Acest apendice face parte integrantă din Contract și este încheiat de:
Fiecare fiind un „ partid și de obicei „ partide .
Preambul
UNDE Importatorul de date oferă servicii software profesionale, computer și servicii conexe (cum ar fi browsere cu funcții de căutare avansate);
UNDE în conformitate cu Contractul, Importatorul de date a fost de acord să furnizeze Exportatorului de date serviciile specificate în Contract („ Serviciile );
UNDE, prin furnizarea Serviciilor, Importatorul de Date primește sau beneficiază de acces la informațiile Exportatorului de Date sau la informațiile altor persoane care au o relație (potențială) cu Exportatorul de Date, astfel de informații pot fi calificate drept date personale în sensul Regulamentului. (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (" GDPR ") și alte legi aplicabile privind protecția datelor.
UNDE acest apendice conține termenii și condițiile aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către importatorul de date în calitatea sa de agent autorizat de prelucrare a datelor al exportatorului de date, pentru a se asigura că părțile respectă legea aplicabilă privind protecția datelor. .
PRIN CARE și pentru a permite părților să își continue relația în mod legal, părțile au încheiat prezentul apendice după cum urmează:
Partea 1
1. Structura documentului și definiții
1.1 Structura
Acest apendice cuprinde diferite părți, după cum urmează:
Partea 1: | conține prevederi generale, de exemplu, cu privire la definițiile utilizate în acest apendice, conformitatea cu legile locale, calendarul și rezilierea
|
Partea 2: | conține corpul documentului Clauzele Contractuale Standard nemodificat
|
Anexa 1.1 din partea 2: | conține detaliile operațiunilor de prelucrare furnizate de Importatorul de date Exportatorului de date în calitate de agent autorizat de prelucrare a datelor (inclusiv prelucrarea, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate) în conformitate cu prezentul Apendice
|
Anexa 2 din partea 2: | conține o descriere a măsurilor de securitate tehnice și organizatorice ale importatorului de date, care sunt aplicate în legătură cu toate activitățile de prelucrare descrise în apendicele 1.1 din partea 2.
|
Partea 3: | conține semnăturile părților care urmează să fie obligate prin prezentul apendice și identifică fiecare importator de date
|
1.2 Terminologie și definiții
În sensul acestui apendice, terminologia și definițiile utilizate de GDPR sunt aplicabile (în corpul documentului Clauza contractuală standard din partea 2, unde termenii definiți nu sunt scrisi cu majuscule).
"Stat membru" | înseamnă o țară aparținnd Uniunii Europene sau Spațiului Economic European
|
„Categorii speciale de date (personale) | se referă la date personale care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența la un sindicat și datele genetice, datele biometrice, dacă sunt prelucrate în scopul identificării în mod unic a unei persoane, date referitoare la sănătate, date referitoare la sexul unei persoane viata sau orientarea sexuala
|
„Clauze contractuale standard | înseamnă Clauzele Contractuale Standard pentru transferul datelor cu caracter personal ale agenților de prelucrare stabiliți în țări terțe, în temeiul Deciziei 2010/87/UE a Comisiei din 5 februarie 2010, care a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016
|
„Procesor de date. | înseamnă orice agent de prelucrare, situat în interiorul sau în afara UE/SEE, care este de acord să primească de la Importatorul de date sau de la orice alt procesator al Importatorului de date, date cu caracter personal în scopul exclusiv al activităților de prelucrare care urmează să fie efectuate de către Exportatorul de date după transferul în conformitate cu instrucțiunile Exportatorului de Date, termenii prezentei Anexe și Contractul cu Importatorul de Date
|
2. Obligațiile Exportatorului de Date
2.1 Exportatorul de date are obligația de a asigura respectarea tuturor obligațiilor aplicabile în temeiul GDPR și a oricărei alte legi aplicabile privind protecția datelor care se aplică Exportatorului de date și de a demonstra conformitatea conform articolului 5 (2) din GDPR. Exportatorul de date garantează că importatorul de date a obținut consimțămntul prealabil al persoanelor vizate în conformitate cu articolul 6 litera (a) din GDPR și și-a respectat obligația de a informa persoanele vizate în conformitate cu articolele 13 și 14 din GDPR.
2.2 Exportatorul de date trebuie să furnizeze Importatorului de date fișierele respective ale activităților de prelucrare în conformitate cu articolul 30 (1) din GDPR aferente Serviciilor din prezentul apendice, în măsura în care este necesar pentru ca Importatorul de date să respecte obligația conform Articolul 30 (2) din GDPR.
2.3 Exportatorul de date trebuie să numească un responsabil cu protecția datelor sau un reprezentant în măsura cerută de legea aplicabilă privind protecția datelor. Exportatorul de date este obligat să furnizeze importatorului de date datele de contact ale agentului de protecție a datelor sau ale reprezentantului, dacă este cazul.
2.4. Exportatorul de date confirmă înainte de finalizarea prelucrării, prin acceptarea acestui apendice, că măsurile de securitate tehnice și organizatorice ale importatorului de date, așa cum sunt prevăzute în apendicele 2 la partea 2, sunt adecvate și suficiente pentru a proteja drepturile persoanei vizate. și confirmă că importatorul de date oferă suficiente garanții în acest sens.
3. Respectarea legislației locale
Pentru a îndeplini cerințele de implementare a agenților de prelucrare în conformitate cu articolul 28 din GDPR, se aplică următoarele modificări:
3.1 Instrucțiuni
3.2 Obligațiile importatorului de date
3.3 Drepturile persoanelor vizate
3.4 Sub-prelucrare
3.5 Expirare
Perioada de valabilitate a acestui Apendice este identică cu data de expirare a Contractului corespunzător. Cu excepția cazului în care se prevede altfel în prezentul apendice, drepturile și obligațiile legate de reziliere vor fi aceleași cu cele cuprinse în Contract.
4. Limitarea răspunderii
4.1 Fiecare parte își îndeplinește obligațiile în temeiul prezentului apendice și al legislației aplicabile privind protecția datelor.
4.2 Orice răspundere legată de o încălcare a obligațiilor din prezentul apendice sau legislația aplicabilă privind protecția datelor va fi supusă și guvernată de prevederile privind răspunderea stabilite în contract sau aplicabile acestuia, cu excepția cazului în care se prevede altfel în acest apendice. Dacă răspunderea este guvernată de prevederile de răspundere stabilite în sau aplicabile Contractului, pentru calcularea limitelor de răspundere sau determinarea aplicării altor limitări de răspundere, orice răspundere care decurge în temeiul prezentului Apendice va fi considerată a decurge din Contract.
5. Prevederi generale
5.1 Dacă există neconcordanțe sau discrepanțe între părțile 1 și 2 ale acestui apendice, partea 2 va prevala. În mod specific, chiar și într-un astfel de caz, partea 1 care pur și simplu depășește partea 2 (adică termenii clauzelor standard) fără a o contrazice va rămne valabilă.
5.2 Dacă apare vreo discrepanță între prevederile prezentului apendice și cele ale altor contracte care leagă părțile, prezentul apendice va prevala în ceea ce privește obligațiile părților în materie de protecție a datelor. În cazul în care există îndoieli cu privire la faptul dacă clauzele din alte contracte privesc obligațiile părților în materie de protecție a datelor, prezentul apendice va prevala.
5.3 Dacă vreo prevedere a acestui apendice este invalidă sau inaplicabilă, restul acestui apendice va rămne în vigoare și în vigoare. Prevederea invalidă sau inaplicabilă va fi (i) modificată pentru a asigura valabilitatea și caracterul executoriu ei, păstrnd în același timp pe ct posibil intenția părților, sau - dacă acest lucru nu este posibil - (ii) interpretată ca și cum partea invalidă sau inaplicabilă ar fi nu a făcut niciodată parte din contract. Cele de mai sus se aplică și în cazul în care există o omisiune în acest apendice.
5.5 În măsura în care este necesar, Părțile pot solicita modificări la Partea 1, Clauza 3 (Respectarea legislației locale) sau alte părți ale Anexei pentru a se conforma interpretărilor, directivelor sau ordinelor emise de autoritățile competente ale Uniunii sau Statele membre, dispozițiile naționale de aplicare sau orice alte evoluții legale referitoare la GDPR sau la alte condiții de delegare către orice entități implicate în prelucrarea datelor și în special în ceea ce privește utilizarea clauzelor contractuale standard din GDPR. Termenii Clauzelor Contractuale Standard nu pot fi modificați sau înlocuiți dect dacă Comisia Europeană îi aprobă în mod expres (de exemplu, prin noi clauze adecvate și standarde de protecție a datelor).
5.6 Orice referire în acest Apendice la „Clauze se înțelege ca referindu-se la toate prevederile acestui Apendice, dacă nu se specifică altfel.
5.7 Alegerea legii din Partea 2, Clauza 9 se aplică întregului Contract.
6. Date cu caracter personal transmise și prelucrate de părți în scopuri personale (transfer de la operatorul de date la operatorul de date)
6.1 Părțile știu pe deplin că anumite date cu caracter personal vor fi transferate de la Exportatorul de date la Importatorul de date și invers și că astfel de date sunt prelucrate de fiecare parte în propriile scopuri. În ceea ce privește astfel de date cu caracter personal, acestea nu afectează celelalte prevederi ale acestui apendice (cu excepția acestei clauze 6).
6.2 Exportatorul de date poate transfera date cu caracter personal referitoare la personalul Importatorului de date către Importatorul de date, inclusiv informații despre incidente de securitate sau orice alte documente sau fișiere create sau stabilite de Exportatorul de date în legătură cu Serviciile furnizate de personalul importatorul de date. Importatorul de date poate prelucra astfel de date cu caracter personal în propriile sale scopuri, în special în relațiile sale profesionale cu personalul importatorului de date, pentru controlul calității și instruire sau în scopuri comerciale.
6.3. Importatorul de date poate transfera date cu caracter personal către Exportatorul de date, inclusiv numele și detaliile de contact ale personalului importatorului de date. Exportatorul de date poate prelucra astfel de date personale în propriile sale scopuri.
6.4 Ambele părți se vor conforma oricăror legi aplicabile privind protecția datelor, inclusiv GDPR, în colectarea, prelucrarea și utilizarea acestor date cu caracter personal primite de la cealaltă parte în temeiul clauzei 1 din partea 1. În special, ambele părți vor lua măsuri de securitate adecvate, cu condiția ca: un nivel similar de protecție cu măsurile de securitate prevăzute în apendicele 2 din partea 2. Orice acces la astfel de date cu caracter personal se limitează la necesitatea cunoașterii acestora.
6.5 Ambele părți trebuie să șteargă aceste date cu caracter personal ct mai curnd posibil după ce obiectivele au fost atinse.
Partea 2
DECIZIA COMISIEI
la 5 februarie 2010
privind clauzele contractuale standard pentru transferul de date cu caracter personal către operatori de date stabiliți în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului
Clauza 1
Definiții
În sensul clauzelor:
a) „date cu caracter personal, „categorii speciale de date, „prelucrare/prelucrare, „operator, „operator, „persoană de date și „autoritate de supraveghere au același înțeles ca în 95/46/CE Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (1);
b) „Exportatorul de date este operatorul de date care transferă datele cu caracter personal;
c) „Importatorul de date este operatorul de date care acceptă să primească de la Exportatorul de date date cu caracter personal destinate a fi prelucrate în numele Exportatorului de date după transfer, în conformitate cu instrucțiunile acestuia și în condițiile acestor clauze și care nu este sub rezerva mecanismului unei țări terțe care asigură o protecție adecvată în sensul articolului 25 alineatul (1) din Directiva 95/46/CE; (d) „Procesator de date înseamnă operatorul de date angajat de Importatorul de date sau de orice alt procesator de date al Importatorului de date care este de acord să primească de la Importatorul de date sau orice alt procesator de date al Importatorului de date date cu caracter personal exclusiv pentru activități de prelucrare către să fie efectuate în numele exportatorului de date după transfer, în conformitate cu instrucțiunile exportatorului de date,
e) „lege aplicabilă privind protecția datelor înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor, inclusiv dreptul la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și care se aplică unui operator din statul membru în care este stabilit Exportatorul de date;
f) „măsuri tehnice și organizatorice legate de securitate înseamnă măsuri destinate să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci cnd prelucrarea implică transmiterea de date prin rețele și împotriva toate celelalte forme ilegale de prelucrare.
Clauza 2
Detalii despre transfer
Detaliile transferului, inclusiv, după caz, categorii speciale de date cu caracter personal, sunt specificate în Anexa 1, care face parte integrantă din aceste clauze.
Clauza 3
Clauza de terț beneficiar
1. Persoana vizată poate aplica împotriva exportatorului de date această clauză, clauza 4(b) pnă la (i), clauza 5(a) pnă la (e) și (g) pnă la (j), clauza 6 (1) și (2). ), clauza 7, clauza 8 alineatul (2) și clauzele 9 pnă la 12 în calitate de terț beneficiar
2. Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 pnă la 12 împotriva importatorului de date în cazul în care exportatorul de date are fizic a dispărut sau a încetat să mai existe în drept, cu excepția cazului în care toate obligațiile sale legale au fost transferate, prin contract sau de drept, entității succesoare, căreia îi revin, prin urmare, drepturile și obligațiile Exportatorului de date și față de care datele subiectul poate, prin urmare, să aplice clauzele menționate.
Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 pnă la 12 împotriva operatorului de date, dar numai în cazurile în care datele Exportatorul și Importatorul de date au dispărut fizic, au încetat să mai existe în drept sau au intrat în insolvență, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, succesorului legal, căruia drepturile și Prin urmare, sunt învestite obligațiile Exportatorului de date și față de care persoana vizată poate, prin urmare, să aplice astfel de clauze. O astfel de răspundere a împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.
4. Părțile nu se opun ca persoana vizată să fie reprezentată de o asociație sau alt organism dacă acesta dorește și dacă legislația națională permite acest lucru.
Clauza 4
Obligațiile Exportatorului de Date
Exportatorul de date acceptă și garantează următoarele:
a) prelucrarea, inclusiv transferul efectiv al datelor cu caracter personal, a fost și va continua să fie efectuată în conformitate cu prevederile relevante ale legislației aplicabile privind protecția datelor (și, după caz, a fost notificată autorităților competente ale statului membru). în care își are sediul Exportatorul de date) și nu încalcă prevederile relevante ale statului respectiv;
b) au instruit și vor instrui pe durata serviciilor de prelucrare a datelor cu caracter personal, Importatorul de date să prelucreze datele cu caracter personal transferate în numele exclusiv al Exportatorului de date și în conformitate cu legislația aplicabilă privind protecția datelor și aceste clauze;
c) Importatorul de Date va oferi suficiente garanții cu privire la măsurile de securitate tehnice și organizatorice specificate în Anexa 2 la prezentul contract;
d) după evaluarea cerințelor legislației aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci cnd prelucrarea implică transmiterea datelor; în rețea și împotriva tuturor celorlalte forme ilegale de prelucrare și să asigure un nivel de securitate adecvat riscurilor reprezentate de prelucrare și naturii datelor care trebuie protejate, ținnd cont de nivelul de tehnologie și de costul implementării;
e) vor asigura respectarea măsurilor de securitate;
f) dacă transferul se referă la categorii speciale de date, persoana vizată a fost informată sau va fi informată înainte de transfer, sau ct mai curnd posibil după transfer, că datele sale pot fi transferate într-o țară terță care nu oferă un nivel adecvat de protecție în sensul Directivei 95/46/CE;
g) vor transmite autorității de supraveghere a protecției datelor orice notificare primită de la Importatorul de date sau de la orice operator de date în temeiul Clauzelor 5 (b) și 8 (3) dacă aceasta decide să continue transferul sau să ridice suspendarea acestuia;
h) vor pune la dispoziția persoanelor vizate, dacă solicită acest lucru, o copie a acestor clauze, cu excepția anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui alt acord de subcontractare, încheiat în temeiul prezentelor clauze, cu excepția cazului în care: Clauzele sau acordul conțin informații comerciale, caz în care poate retrage aceste informații;
i) în cazul subcontractării procesului de prelucrare a datelor, activitatea de prelucrare este desfășurată în conformitate cu Clauza 11 de către un operator de date care asigură cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca și Importatorul de date în temeiul acestor clauze. ; și
j) va asigura conformitatea cu Clauza 4 (a) la (i).
Clauza 5
Obligațiile importatorului de date
Importatorul de date acceptă și garantează următoarele:
a) vor prelucra datele cu caracter personal numai în numele Exportatorului de date și conform instrucțiunilor Exportatorului de date și ale acestor clauze; în cazul în care nu se poate conforma din orice motiv, aceștia sunt de acord să informeze Exportatorul de Date despre incapacitatea acestuia ct mai curnd posibil, caz în care Exportatorul de Date poate suspenda transferul de date și/sau înceta contractul;
b) nu au motive să creadă că legea aplicabilă acestora îl împiedică să îndeplinească instrucțiunile date de Exportatorul de date și obligațiile care îi revin în temeiul contractului și dacă această lege este supusă unei modificări care ar putea avea un prejudiciu material; efect asupra garanțiilor și obligațiilor prevăzute de Clauze, acesta va notifica fără întrziere Exportatorul de date modificarea după ce a luat cunoștință de aceasta, caz în care Exportatorul de date poate suspenda transferul de date și/sau încetează contractul; (c) au implementat măsurile de securitate tehnice și organizatorice specificate în apendicele 2 înainte de a prelucra datele cu caracter personal transferate;
d) vor notifica fără întrziere Exportatorul de date:
i) orice cerere obligatorie de dezvăluire a datelor cu caracter personal din partea unei autorități de aplicare a legii, cu excepția cazului în care se specifică altfel, cum ar fi o interdicție penală care vizează păstrarea secretului unei anchete polițienești;
ii) orice acces accidental sau neautorizat; și
iii) orice cerere primită direct de la persoanele în cauză fără a răspunde la aceasta, cu excepția cazului în care acesta a fost autorizat să facă acest lucru; administratori
e) vor trata cu promptitudine și în mod corespunzător toate întrebările din partea Exportatorului de date cu privire la prelucrarea de către acesta a datelor cu caracter personal care sunt transferate și vor acționa sub avizul autorității de supraveghere cu privire la prelucrarea datelor transferate;
f) la cererea Exportatorului de date, acestea vor supune instalațiile sale de prelucrare a datelor unui audit al activităților de prelucrare reglementate de aceste clauze, care urmează să fie efectuat de către Exportatorul de date sau de un organism de supraveghere compus din membri independenți cu calificările profesionale necesare; supus unei obligații de secret și ales de Exportatorul de date, după caz, cu acordul autorității de supraveghere;
g) vor pune la dispoziția persoanei vizate, dacă aceasta solicită acest lucru, o copie a acestor Clauze, sau orice subcontractare existentă a contractului de prelucrare a datelor, cu excepția cazului în care Clauzele sau contractul conțin informații comerciale, caz în care poate elimina astfel de clauze. informații, cu excepția Anexei 2, care va fi înlocuită cu o descriere sumară a măsurilor de securitate, în cazul în care persoana vizată nu poate obține o copie de la Exportatorul de date;
h) în cazul subcontractării ulterioare confidențiale a prelucrării datelor, se va asigura că informează în prealabil Exportatorul de date și obține acordul scris al Exportatorului de date;
i) serviciile de prelucrare furnizate de operatorul de date vor respecta clauza 11;
j) vor trimite cu promptitudine Exportatorului de date o copie a oricărei subcontractări a acordului de prelucrare a datelor încheiat de acesta în temeiul prezentelor Clauze.
Clauza 6
Responsabilitate
1. Părțile convin că orice persoană vizată care a suferit un prejudiciu din cauza încălcării obligațiilor menționate în Clauza 3 sau Clauza 11 de către una dintre părți sau de către un procesator de date poate obține despăgubiri de la Exportatorul de date pentru prejudiciul suferit.
2. În cazul în care o persoană vizată este împiedicată să introducă o acțiune în despăgubire conform paragrafului 1 împotriva exportatorului de date pentru nerespectarea de către importatorul de date sau persoana împuternicită a procesului de date cu oricare dintre obligațiile care îi revin în temeiul clauzei 3 sau 11, deoarece datele Exportatorul a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil, Importatorul de date este de acord ca persoana vizată să poată depune o plngere împotriva sa ca și cum ar fi Exportatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, către entitatea succesoare a acesteia, față de care persoana vizată își poate exercita apoi drepturile. Importatorul de date nu se poate baza pe o încălcare a obligațiilor sale de către un procesator de date pentru a evita propria răspundere.
3. În cazul în care o persoană vizată este împiedicată să introducă acțiunea menționată la paragrafele 1 și 2 împotriva Exportatorului de date sau Importatorului de date pentru încălcarea de către Procesorul de date a obligațiilor sale în temeiul Clauzei 3 sau Clauzei 11, deoarece Exportatorul de Date și Importatorul de date au dispărut fizic, au încetat să existe în drept sau au intrat în insolvență, Procesatorul de date este de acord ca persoana vizată să poată depune o plngere împotriva acesteia cu privire la propriile activități de prelucrare în conformitate cu aceste clauze ca și cum ar fi Exportatorul de date sau Importatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date au fost transferate, prin contract sau de drept, succesorului legal, față de care persoana vizată își poate exercita apoi drepturile.Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.
Clauza 7
Mediere și jurisdicție
1. Importatorul de date este de acord că, în cazul în care, conform clauzelor, persoana vizată invocă împotriva sa dreptul terțului beneficiar și/sau solicită despăgubiri pentru prejudiciul suferit, va accepta decizia persoanei vizate:
a) să supună litigiul medierii de către o persoană independentă sau, după caz, autoritatea de supraveghere;
b) să sesizeze litigiul în fața instanțelor din statul membru în care își are sediul Exportatorul de date.
2. Părțile convin că alegerea făcută de persoana vizată nu va afecta dreptul procedural sau material al persoanei vizate de a obține despăgubiri în conformitate cu alte dispoziții de drept național sau internațional.
Clauza 8
Cooperarea cu autoritățile de supraveghere
1. Exportatorul de date este de acord să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta din urmă solicită acest lucru sau dacă o astfel de depunere este prevăzută de legea aplicabilă privind protecția datelor.
2. Părțile convin că autoritatea de supraveghere poate efectua verificări la Importatorul de date și orice operator de date în aceeași măsură și în aceleași condiții ca și în cazul verificărilor efectuate la Exportatorul de date în conformitate cu legislația aplicabilă privind protecția datelor.
3. Importatorul de date informează Exportatorul de date ct mai curnd posibil despre existența unei legislații privind importatorul de date sau orice operator de date care împiedică verificarea la importatorul de date sau orice operator de date în conformitate cu alineatul (2). În acest caz, Exportatorul de date poate lua măsurile prevăzute în Clauza 5 (b).
Clauza 9
Lege aplicabilă
Clauzele se aplică și sunt guvernate de legea statului membru în care își are sediul Exportatorul de date.
Clauza 10
Modificarea contractului
Părțile se obligă să nu modifice prezentele clauze. Părțile rămn libere să includă și alte clauze comerciale pe care le consideră necesare, cu condiția ca acestea să nu contravină prezentelor clauze.
Clauza 11
Subcontractare ulterioară
1. Importatorul de date nu va subcontracta niciuna dintre activitățile sale de prelucrare desfășurate în numele Exportatorului de date în conformitate cu aceste clauze fără acordul prealabil scris al Exportatorului de date. Importatorul de date își va subcontracta obligațiile în temeiul acestor Clauze numai, cu acordul Exportatorului de Date, printr-un acord scris cu Procesatorul de Date care impune Procesatorului de Date aceleași obligații ca și cele impuse Importatorului de Date prin aceste Clauze. În cazul în care operatorul de date nu își poate respecta obligațiile de protecție a datelor în temeiul acordului scris, importatorul de date va rămne pe deplin responsabil față de exportatorul de date pentru îndeplinirea acestor obligații.
2. Acordul scris prealabil dintre importatorul de date și împuternicitul de date va include, de asemenea, o clauză de beneficiar terță parte, astfel cum este prevăzută în clauza 3, pentru cazurile în care persoana vizată este împiedicată să introducă cererea de despăgubire menționată la clauza 6 (1). ), împotriva Exportatorului de Date sau Importatorului de Date deoarece Exportatorul de Date sau Importatorul de Date a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil și toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date nu au fost transferate, prin contract sau prin operațiune de drept, către o altă entitate succesoare. Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.
(3) Dispozițiile referitoare la aspectele legate de protecția datelor în subcontractarea prelucrării datelor din contractul menționat la alineatul (1) sunt reglementate de legea statului membru în care este stabilit Exportatorul de date.
4. Exportatorul de date va păstra o listă a contractelor de subcontractare de prelucrare a datelor încheiate în temeiul prezentelor clauze și notificate de către importatorul de date în conformitate cu clauza 5 (j), care va fi actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de supraveghere a protecției datelor a exportatorului de date.
Clauza 12
Obligație după încetarea serviciilor de prelucrare a datelor cu caracter personal
1. Părțile sunt de acord că, la finalizarea serviciilor de prelucrare a datelor, importatorul de date și procesatorul de date vor returna exportatorului de date toate datele cu caracter personal transferate și copiile acestora, la comoditatea exportatorului de date, sau vor distruge toate aceste date și vor furniza dovezi. distrugerea către Exportatorul de Date, cu excepția cazului în care legislația impusă Importatorului de Date îl împiedică să returneze sau să distrugă toate sau o parte din datele cu caracter personal transferate. În acest caz, Importatorul de Date garantează că va asigura confidențialitatea datelor cu caracter personal transferate și că nu va mai procesa în mod activ datele.
(2) Importatorul de date și operatorul de date se asigură că, la cererea exportatorului de date și/sau a autorității de supraveghere, își vor supune mijloacele de prelucrare a datelor verificării măsurilor menționate la alineatul (1).
Anexa 1.1 la partea 2
Detalii despre transfer
Exportator de date
Exportatorul de date este Clientul definit în Acordul Contractual.
Importator de date
Importatorul de date este IQUALIF și este desemnat să prelucreze datele, furniznd servicii Exportatorului de date.
Subiectele datelor
Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:
˜' abonații telefonici enumerați în directorul universal
˜ Altele, inclusiv:
Categorii de date
Datele cu caracter personal transferate privesc urmatoarele categorii de date:
Categorii de date cu caracter personal ale persoanelor vizate ale exportatorului de date, în special,
˜' Numele complet
˜' Adresa poştală
˜' Detalii de contact (e-mail, telefon, adresa IP etc.)
˜' Detalii despre activitățile de marketing privind abonatul la telefon
˜' Altele, inclusiv tipul de locuință, venitul și vrsta medie de către oraș, făcute anonim
Categorii speciale de date (dacă este cazul)
Datele cu caracter personal transferate privesc următoarele categorii speciale de date:
˜' Nu este prevăzut transferul de categorii speciale de date
˜ Rasa sau originea etnică
˜ Credințele religioase sau filozofice
˜ Apartenența la sindicat
˜ Opinii politice
˜ Informaţii genetice
˜ Informații biometrice
˜ Informații despre orientarea sexuală sau viața sexuală
˜ Date de sănătate
Activitati de prelucrare
Datele cu caracter personal transferate vor face obiectul următoarelor activități de prelucrare de bază:
The processing undertaken on behalf of the Data Exporter is based on the following subjects, in particular:
˜’ Taking charge of the products or services offered by the Data Exporter
˜’ The offer of a product or service that the called person can request
˜’ Orders taken from the persons called and further processing of these orders
˜’ Study questionnaires and analyses
˜’ Telemarketing
˜ Others, including:
The Data Importer processes the personal data of the data subjects on behalf of the Data Exporter, in order to provide the following services, and most notably:
˜’ Sales and Marketing
˜’ Others, including updating databases of town halls and political parties
IQUALIF mainly combines, centralizes, and provides services to the Data Exporter. The services provided by the named service provider may be structured (among others as appropriate) around the following ancillary services: (i) provision of applications, tools, systems, and IT infrastructure in relation to the data processing centers used, in order to provide and support the services, including the processing of the personal data of the data subjects as described above, via such applications, tools, and systems, (ii) the provision of IT support, maintenance and other services relating to such applications, tools, systems and IT infrastructure, including potential access to personal data stored in such applications, tools, and systems, and (iii) the provision of data protection services, protection monitoring, and incident response services, including potential access to personal data when providing such protection services. IQUALIF may engage Data processors as set below to provide the services, including ancillary services.
IQUALIF engages external and third-party service providers, which are not subsidiaries of IQUALIF, to support the provision of services to the Data Exporter. The Data Exporter approves such external third-party service providers as sub-entities assigned to data processing.
If a sub-entity involved in data processing is located outside the EU/EEA, in a country deemed not to have an adequate level of data protection under a decision of the European Commission, the Data Importer will take steps to obtain an adequate level of data protection in accordance with the GDPR and section 3.4 (iv) of Part 1.
Appendix 2, Part 2
Technical and organizational protective measures
The Data Importer shall take the following technical and organizational protection measures confirmed by the Data Exporter, in order to guarantee an appropriate level of security for the rights and freedoms of individuals, depending on the risks. In assessing the level of protection concerned, the Data Exporter has considered, in particular, the risks involved in the processing, including accidental or unlawful destruction, alteration, unauthorized disclosure, or access to personal data transmitted, stored, or otherwise processed. By clarification: These technical and organizational protection measures do not apply to the applications, tools, systems, and/or IT infrastructure provided by the Data Exporter.
1 General technical and organizational protection measures |
1.1 General information and data protection strategies |
The following steps should be taken to follow general data and information protection strategies: |
|
|
|
|
|
1.2 Organization of information protection |
The following measures should be taken in order to coordinate data and information protection activities: |
|
|
|
1.3 Access control to processing areas |
The following measures must be taken to prevent unauthorized persons from gaining access to data processing systems (in particular software and hardware) when personal data are processed, stored, or transmitted: |
|
|
|
|
1.4 Access control to data processing systems |
The following measures must be taken in order to prevent unauthorized access to data processing systems: |
|
|
|
|
|
|
1.5 Controlling access to particular areas of use of data processing systems |
The following measures must be taken to ensure that authorized persons with the right to use the data processing system can only access data within their respective responsibilities and access authorizations and that personal data cannot be read, copied, modified, or deleted without authorization: |
|
|
|
|
|
|
|
1.6 Transmissions control |
The following measures must be taken in order to prevent personal data from being read, copied, modified, or deleted by unauthorized third parties during the transmission or transport of data storage devices (depending on the processing of personal data undertaken): |
|
|
|
1.7 Data entry control |
The following measures must be taken to ensure that it is possible to verify and determine whether personal data have been entered into or deleted from data processing systems and by whom: |
|
|
1.8 Work control |
In the case of delegated processing of personal data, the following measures must be taken to ensure that such data are processed in accordance with the instructions of the Supervisor: |
|
|
|
|
1.9 Separation from processing for other purposes |
The following measures must be taken to ensure that data collected for other purposes can be processed separately: |
|
|
1.10 Pseudonymization |
The following measures must be taken regarding the pseudonymization of personal data: |
|
|
1.11 Encryption |
The following steps should be taken to encrypt personal data in applications and transmissions that support encryption:
|
|
|
1.12 Completeness of data processing systems and services |
The following measures must be taken in order to ensure the completeness of data processing systems and services: |
|
|
|
1.13 Availability of data processing systems and services and the possibility of restoring access to and use of personal data in the event of a material or technical incident |
The following measures must be taken in order to ensure the availability of data processing systems, as well as to be able to quickly restore the availability of and access to personal data, in the event of a material or technical incident (in particular by ensuring that personal data are protected against accidental destruction or loss): |
|
|
|
|
|
|
|
1.14 Resilience of data processing systems and services |
The following measures must be taken to ensure the resilience of data processing systems and services: |
|
|
|
1.15 Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to ensure the security of data processing |
Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to protect data processing. |
|
|
|
Partea 3
Semnăturile părților și lista importatorilor de date
Cnd completați formularul de comandă online și îl validați bifnd căsuța de acceptare a termenilor și condițiilor generale de utilizare, se stabilește contractul care reglementează relația dintre Client și IQUALIF.
Trimiterea plății către IQUALIF va avea în vedere contractul agreat și stabilit.
Rețineți: acest text a fost tradus din franceză. Versiunea originală franceză, care este valabilă și restrictivă din punct de vedere legal, este disponibilă aici .