Додатак за обраду података

 

Овај додатак чини саставни део Уговора и склапа га:

 

  1. (и) Клијент („ Извозник података “)
  2. (ии) ИКУАЛИФ („ Увозник података “)

 

Свака је „ Странка “ и обично „ Странке “.

 

Преамбула

ГДЈЕ Дата Импортер пружа професионалне софтверске услуге, рачунарске и сродне услуге (као што су претраживачи са напредним функцијама претраживања);

ГДЕ је у складу са Уговором, Увозник података пристао да пружи Извознику података услуге наведене у Уговору („ Услуге “);

ГДЈЕ, пружањем Услуга, Увозник података прима или има користи од приступа информацијама Извозника података или информацијама других лица која имају (потенцијални) однос са Извозником података, такве информације се могу квалификовати као лични подаци у смислу Уредбе (ЕУ) 2016/679 Европског парламента и Савета од 27. априла 2016. о заштити појединаца у вези са обрадом личних података и о слободном кретању таквих података („ ГДПР “) и другим важећим законима о заштити података.

ГДЕ овај Додатак садржи одредбе и услове који се примењују на прикупљање, обраду и коришћење таквих личних података од стране Увозника података у својству овлашћеног агента за обраду података Извозника података, како би се осигурало да се Стране придржавају важећег закона о заштити података .

 

СТОГА, и да би омогућиле Странама да законито наставе свој однос, Стране су закључиле овај Додатак на следећи начин:

Део 1

 

1. Структура документа и дефиниције

1.1 Структура

Овај додатак се састоји од различитих делова како следи:

 

Део 1: 

садржи опште одредбе, нпр. у вези са дефиницијама које се користе у овом додатку, усклађености са локалним законима, временског распореда и раскида

 

Део 2:

садржи тело неизмењеног документа Стандардних уговорних клаузула

 

Додатак 1.1 дела 2:

садржи детаље о операцијама обраде које је Увозник података доставио Извознику података као овлашћеном агенту за обраду података (укључујући обраду, природу и сврху обраде, врсту личних података и категорије субјеката података) према овом слепо црево

 

Додатак 2 дела 2:

садржи опис техничких и организационих безбедносних мера Увозника података, које се примењују у вези са свим активностима обраде описаним у Додатку 1.1 Дела 2

 

део 3:

садржи потписе Страна које се обавезују овим Додатком и идентификује сваког увозника података

 

 

1.2 Терминологија и дефиниције

За потребе овог додатка, применљива је терминологија и дефиниције које користи ГДПР (у телу Стандардне уговорне клаузуле у делу 2, где дефинисани термини нису написани великим словима). 

 

"Држава чланица"

означава државу која припада Европској унији или Европском економском простору

 

„Посебне категорије (личних) података“

односи се на личне податке који откривају расно или етничко порекло, политичка мишљења, верска или филозофска уверења или чланство у синдикату, и генетске податке, биометријске податке, ако се обрађују у сврху јединствене идентификације особе, податке који се односе на здравље, податке који се односе на пол особе животна или сексуална оријентација

 

"Стандардне уговорне клаузуле"

означава Стандардне уговорне клаузуле за пренос личних података агената за обраду података основаних у трећим земљама, према Одлуци Комисије 2010/87/ЕУ од 5. фебруара 2010. године, која је измењена Одлуком Комисије за спровођење (ЕУ) 2016/2297 од 16. децембра 2016

 

œПроцесор података

означава било ког агента за обраду, који се налази унутар или изван ЕУ/ЕЕА, који пристаје да од Увозника података или било ког другог обрађивача Увозника података прими личне податке у искључиву сврху активности обраде које ће извршити Извозник података након пренос у складу са упутствима Извозника података, условима овог Додатка и Уговора са Увозником података

 

 

 

2. Обавезе Извозника података

2.1 Извозник података има обавезу да обезбеди усаглашеност са свим примењивим обавезама према ГДПР-у и било ком другом примењивом закону о заштити података који се примењује на Извозника података и да покаже такву усклађеност као што се захтева чланом 5 (2) ГДПР-а. Извозник података гарантује да је Увозник података добио претходну сагласност субјеката података у складу са чланом 6 (а) ГДПР-а и да је поштовао своју обавезу да обавести субјекте података у складу са чланом 13. и 14. ГДПР-а.

2.2 Извозник података мора Увознику података доставити одговарајуће датотеке о активностима обраде у складу са чланом 30 (1) ГДПР-а у вези са Услугама према овом Додатку, у мери у којој је Увозник података у складу са обавезом према Члан 30 (2) ГДПР.

2.3 Извозник података мора именовати службеника за заштиту података или представника у мери у којој то захтева важећи закон о заштити података. Извозник података је дужан да Увознику података достави контакт податке агента за заштиту података или представника, ако постоји.

2.4. Извозник података потврђује пре завршетка обраде, прихватањем овог Додатка, да су техничке и организационе мере безбедности Увозника података, као што је наведено у Додатку 2 Дела 2, одговарајуће и довољне да заштите права носиоца података и потврђује да Увозник података пружа довољне мере заштите у овом погледу.

 

3. Усклађеност са локалним законом

Да би се испунили захтеви примене агената за обраду према члану 28 ГДПР-а, примењују се следеће измене:

 

3.1 Упутства

  1. (и) Извозник података даје упутства Увознику података да обрађује личне податке само у име Извозника података. Упутства Извозника података су дата у овом Додатку и у Уговору. Извозник података има обавезу да обезбеди да су сва упутства дата Увознику података у складу са важећим законима о заштити података. Увозник података мора да обрађује личне податке само у складу са упутствима које даје Извозник података, осим ако Европска унија или закон државе чланице не захтева другачије (у последњем случају примењује се Део 1, тачка 3.2 (ив) (ц)) .
  2. (ии) Сва друга упутства која превазилазе упутства у овом Додатку или у Уговору морају бити укључена у предмет овог Додатка и Уговора. Ако спровођење овог додатног упутства укључује трошкове за Увозника података, Увозник података ће обавестити Извозника података о таквим трошковима и дати објашњење пре спровођења упутства. Тек након што Извозник података потврди прихватање ових трошкова за спровођење упутства, Увозник података ће применити ово додатно упутство. Извозник података мора дати додатна упутства у писаној форми осим ако хитност или друге посебне околности захтевају други облик (нпр. усмени, електронски). Инструкције у форми која није писмена мора бити потврђена у писаној форми и без одлагања од стране Извозника података.
  3. 1. Осим ако Извозник података не може сам да изврши исправку, брисање или ограничење личних података, упутства се такође могу односити на исправљање, брисање и/или ограничење личних података као што је наведено у Делу 1, тачка 3.3.
  4. 2. Увозник података мора одмах обавестити Извозника података ако, по његовом мишљењу, Упутство крши ГДПР или друге применљиве одредбе о заштити података Европске уније или државе чланице („ Спорно упутствоАко надзорни орган прогласи оспорено упутство законитим, Увозник података ће спровести оспорено упутство. Део 1, клаузула 3.1 (ии) остаје применљив.

 

3.2 Обавезе увозника података

  1. (и) Увозник података мора осигурати да су особе које је Увозник података овластио за обраду личних података у име Извозника података, посебно запослени у Увознику података и запослени у било ком подизвођачу, обавезали да ће поштовати повјерљивост или да су подложни одговарајућу законску обавезу чувања поверљивости и да лица која имају приступ личним подацима их обрађују у складу са упутствима Извозника података.
  2. (ии) Увозник података мора применити техничке и организационе мере безбедности како је наведено у Додатку 2 Делу 2 пре обраде личних података у име Извозника података. Увозник података може с времена на време променити техничке и организационе мере безбедности ако оне не пружају мању заштиту од оних наведених у Додатку 2 Делу 2.
  3. (иии) Увозник података ће учинити доступним Извознику података, на захтев Извозника података, информације које показују усклађеност са обавезама Увозника података према овом Додатку. Стране су сагласне да се ова обавеза информисања испуњава тако што Извознику података достави ревизорски извештај (који покрива безбедност принципа, доступност система и поверљивост) („Извештај о ревизији“). Ако су законски потребне додатне активности ревизије, Извозник података може захтевати да инспекције спроведе Извозник података или други ревизор кога је именовао Извозник података, под условом да такав ревизор изврши уговор о поверљивости са Увозником података за Увозника података разумно задовољство („Ревизија“). Ова ревизија подлеже следећим условима: (и) претходно формално писмено прихватање Увозника података; и (ии) Извозник података сноси све трошкове у вези са ревизијом на лицу места за Извозника података и Увозника података. Извозник података мора да направи извештај ревизије који резимира резултате и запажања ревизије на лицу места („Извештај о ревизији на лицу места“). Извештаји о ревизији на лицу места и Извештаји ревизије су поверљиве информације Увозника података и не смеју се открити трећим лицима осим ако то захтева важећи закон о заштити података или у складу са пристанком Увозника података.
  4. (ив) Увозник података има обавезу да обавести Извозника података без непотребног одлагања:
    1. а. у вези са било којим правно обавезујућим захтевом за откривање личних података од стране органа за спровођење закона, осим ако није другачије забрањено, као што је забрана по кривичном закону да се заштити поверљивост истраге за спровођење закона
    2. б. у вези са било којом жалбом и захтевом примљеним директно од субјекта података (нпр. у вези са приступом, исправком, брисањем, ограничењем обраде, преносивости података, приговором на обраду података, аутоматизованим доношењем одлука) без одговора на тај захтев, осим ако је Увозник података овлашћен да урадити тако
    3. ц. ако је увозник података или обрађивач података обавезан, према закону Европске уније или државе чланице којој је подложан увозник података или обрађивач података, да обрађује личне податке мимо упутстава Извозника података, пре него што изврши такву обраду изван упутства, осим ако закони Европске уније или државе чланице забрањују такву обраду на основу виталног јавног интереса, у ком случају ће обавештење Извознику података навести правни захтев према том закону Европске уније или државе чланице; или
    4. д. ако Увозник података схвати повреду личних података, искључиво због себе или свог подизвођача, што би утицало на личне податке Извозника података обухваћене овим уговором, у ком случају ће Увозник података помоћи Извознику података у његовој обавези, вис-А -вис важећег закона о заштити података, да информише субјекте података и, где је применљиво, надзорне органе пружањем информација које су му на располагању, у складу са чланом 33 (3) ГДПР-а.
    5. (в) На захтев Извозника података, Увозник података ће бити приморан да помогне Извознику података у његовој обавези да изврши процену утицаја на заштиту података која се може захтевати чланом 35 ГДПР-а и претходне консултације које могу бити захтева члан 36 ГДПР-а у вези са услугама које увозник података пружа Извознику података у складу са овим Додатком, пружајући потребне и информације Извознику података. Увозник података ће бити у обавези да пружи такву помоћ само ако Извозник података не може да испуни своју обавезу на други начин. Увозник података ће обавестити Извозника података о трошковима такве помоћи. Чим Извозник података потврди да може да сноси овај трошак, Увозник података ће пружити Извознику података ову помоћ.
    6. (ви) По завршетку пружања услуга, Извозник података може захтевати враћање личних података које обрађује Увозник података у складу са овим Додатком у року од месец дана након пружања услуга. Осим ако законодавство државе чланице или Европске уније захтева од Увозника података да чува или чува такве личне податке, Увозник података ће избрисати све такве личне или неличне податке након периода од месец дана, без обзира да ли су враћени извозника података на његов захтев или не.

 

3.3 Права дотичних лица

  1.  
    1. (и) Извозник података управља и одговара на захтеве субјеката података. Увозник података није у обавези да директно одговара субјектима података.
    2. (ии) Ако Извознику података буде потребна помоћ Увозника података у обради и одговарању на захтеве Субјекта података, Извозник података ће издати даље упутство у складу са клаузулом 3.1 (ии) Дела 1. Увозник података ће помоћи Извознику података са следећим одговарајућим и техничким организационим мерама да се одговори на захтеве за остваривање права субјеката података наведених у Поглављу ИИИ ГДПР-а, како следи:
    3. а. Што се тиче захтева за информацијама, Увозник података ће доставити Извознику података само оне информације које захтевају чланови 13. и 14. ПГРД-а које може имати на располагању ако Извозник података не може сам да их пронађе.
    4. б. Што се тиче захтева за приступ (члан 15. ГДПР), Увозник података ће доставити Извознику података само оне информације које треба да буду достављене субјекту података за наведени захтев за приступ, а које може имати на располагању ако овај други не може да га пронађе сам.
    5. ц. Што се тиче захтева за исправку (члан 16 ГДПР), захтева за брисање (члан 17 ГДПР), ограничења захтева за обраду (члан 18 ГДПР), или захтева за преносивост (члан 20 ГДПР), и само ако Извозник података не може сам да исправи или избрише, ограничи или пренесе личне податке другој трећој страни, Увозник података ће понудити Извознику података могућност да исправи или избрише, ограничи или пренесе дотичне личне податке другој трећој страни, или ако то није могуће, пружиће помоћ за исправљање или брисање, ограничавање или преношење дотичних личних података другој трећој страни.
    6. д. У вези са обавештењем које се односи на исправљање, брисање или ограничење обраде (члан 19. ГДПР-а), Увозник података ће помоћи Извознику података тако што ће обавестити све примаоце личних података које је Увозник података ангажовао као обрађиваче ако Извозник података то захтева и ако Извозник података не може сам да поправи ситуацију.
    7. е. Што се тиче права приговора које користи носилац података (чланови 21. и 22. ГДПР-а), Извозник података ће утврдити да ли је противљење легитимно и како се с њим позабавити.
    8. (иии) Обавезе помоћи Увозника података ограничене су на личне податке који се обрађују у оквиру његове инфраструктуре (нпр. базе података, системи, апликације које поседује или обезбеђује Увозник података).
    9. (ив) Извозник података ће одредити да ли субјекат података може да користи права субјеката података из клаузуле 3.1 овог дела 1 и обавестиће увозника података о обиму до којег је помоћ наведена у клаузулама 3.3 (ии), ( иии) из дела 1 је неопходно.
    10. (в) Ако Извозник података захтева додатне или модификоване техничке и организационе мере за испуњавање права субјеката података које превазилазе помоћ коју пружа Увозник података у складу са подтачком 3.3 (ии), (иии) Дела 1, Подаци Увозник ће обавестити Извозника података о трошковима спровођења ових додатних или модификованих техничких и организационих мера. Чим Извозник података потврди да може да подмири ове трошкове, Увозник података ће применити такве додатне или модификоване техничке и организационе мере како би помогао Извознику података да одговори на захтеве субјеката података.
    11. (ви) Без ограничавања делокруга клаузуле 3.3 (в) Дела 1, Извозник података ће бити у обавези да надокнади Увознику података његове разумне трошкове настале у одговору на захтеве субјеката података.

 

3.4 Подобрада

  1.  
    1. (и) Извозник података овлашћује Увозника података да користи подизвођаче за пружање услуга према овом Додатку. Увозник података ће пажљиво одабрати такве процесоре података. Извозник података одобрава процесор(е) података наведен у Додатку 1.1 на крају 2. дела.
    2. (ии) Увозник података ће пренети своје обавезе према овом Додатку на обрађивача(е) података у мери која је применљива на подуговорене услуге.
    3. (иии) Увозник података може отпустити, заменити или именовати другог одговарајућег и поузданог(е) обрађивача(е) података по свом нахођењу. Ако то писмено затражи Извозник података, Увозник података мора да следи процедуру која је наведена у наставку:
  2.  
    1. а. Увозник података ће обавестити Извозника података пре било каквих промена на листи процесора података који се помињу у клаузули 3.4 (и) Дела 1. Ако се Извозник података не противи према клаузули 3.4. (б) Дела 1 тридесет дана након пријема обавештења од Увозника података, сматраће се да су додатни обрађивачи података прихваћени.
    2. б. Ако Извозник података има легитиман разлог да приговори додатном процесору података, он ће претходно писмено обавестити Увозника података у року од тридесет дана од пријема обавештења Увозника података и пре него што услуга Увозника података буде пуштена у рад. Ако се Извозник података успротиви коришћењу додатног процесора података, Увозник података може да отклони приговор помоћу једне од следећих опција (одабраних по сопственом нахођењу): (А) Увозник података ће отказати своје планове за коришћење додатног процесора у вези са лични подаци Извозника података; (Б) Увозник података ће предузети корективне мере које је захтевао Извозник података у свом приговору (поништавање приговора) и користити додатног процесора у вези са личним подацима Извозника података;
  3.  
    1. (ив) ако се обрађивач података налази изван ЕУ-ЕЕА у земљи која није призната као пружа адекватан ниво заштите података након одлуке Европске комисије, Увозник података ће предузети мере да се усклади са одговарајућим нивоом заштите података у складу са ГДПР-ом (такве мере могу укључивати - између осталог и - коришћење уговора о обради података на основу клаузула модела ЕУ, пренос на самоцертификоване обрађиваче података у оквиру ЕУ-САД Протецтион Схиелд-а , или сличан програм).

 

3.5 Истек

Истек овог Додатка је идентичан датуму истека одговарајућег Уговора. Осим ако је другачије предвиђено у овом Додатку, права и дужности у вези са раскидом биће иста као и она садржана у Уговору.

 

4. Ограничење одговорности

4.1 Свака страна испуњава своје обавезе према овом Додатку и важећим законима о заштити података.

4.2 Свака одговорност у вези са кршењем обавеза према овом Додатку или применљивим законима о заштити података биће предмет и регулисана одредбама о одговорности утврђеним или примењивим на Уговор, осим ако је другачије предвиђено у овом Додатку. Ако је одговорност регулисана одредбама о одговорности утврђеним или примењивим на Уговор, за израчунавање ограничења одговорности или одређивање примене других ограничења одговорности, сматраће се да свака одговорност произилази из овог Додатка настаје по Уговору.

 

5. Опште одредбе

5.1 Ако постоје било какве недоследности или неслагања између Делова 1 и 2 овог Додатка, Део 2 ће имати предност. Конкретно, чак и у таквом случају, Део 1 који једноставно превазилази Део 2 (тј. услове стандардних клаузула) без да му је у супротности, остаје важећи.

5.2 Уколико дође до било каквог неслагања између одредби овог Додатка и одредби других уговора који обавезују стране, овај Додатак ће имати предност у погледу обавеза страна у вези са заштитом података. У случају сумње да ли се клаузуле у другим уговорима односе на обавезе стране у вези са заштитом података, овај додатак има предност.

5.3 Ако је било која одредба овог Додатка неважећа или неприменљива, остатак овог Додатка остаје на пуној снази. Неважећа или неприменљива одредба ће бити (и) измењена како би се обезбедила њена ваљаност и изводљивост, уз очување намера страна колико год је то могуће, или - ако то није могуће - (ии) тумачено као да је неважећи или непроменљиви део никада није био део уговора. Горенаведено ће се такође применити ако постоји пропуст у овом Додатку.

5.5 У мери у којој је то неопходно, Стране могу захтевати измене дела 1, клаузуле 3 (усклађеност са локалним законом) или других делова Додатка како би се ускладиле са тумачењима, директивама или налозима које издају надлежни органи Уније или Државе чланице, националне одредбе о спровођењу или било који други правни развој у вези са ГДПР-ом или другим условима делегирања било којим субјектима укљученим у обраду података и посебно у вези са коришћењем Стандардних уговорних клаузула у ГДПР-у. Услови Стандардних уговорних клаузула не могу се мењати или заменити осим ако Европска комисија то изричито не одобри (нпр. новим адекватним клаузулама и стандардима заштите података).

5.6. Било које упућивање у овом додатку на "клаузуле" сматраће се као упућивање на све одредбе овог додатка осим ако није другачије наведено.

5.7 Избор закона у Делу 2, клаузула 9 примењује се на цео Уговор.

 

6. Лични подаци које стране преносе и обрађују у личне сврхе (пренос од контролора података до контролора података)

6.1 Стране у потпуности знају да ће одређени лични подаци бити пренети од Извозника података до Увозника података и обрнуто, и да такве податке свака Страна обрађује за своје сврхе. Што се тиче таквих личних података, то не утиче на остале одредбе овог Додатка (осим ове тачке 6).

6.2 Извозник података може пренети личне податке који се односе на особље Увозника података Увознику података, укључујући информације о безбедносним инцидентима, или било које друге документе или датотеке које је креирао или успоставио Извозник података у вези са Услугама које пружа особље увозник података. Увозник података може да обрађује такве личне податке за сопствене потребе, посебно у својим професионалним односима са особљем Увозника података, за контролу квалитета и обуку, или у пословне сврхе.

6.3. Увозник података може пренети личне податке Извознику података, укључујући име и контакт податке особља Увозника података. Извозник података може обрадити такве личне податке за сопствене потребе.

6.4 Обе стране ће се придржавати свих важећих закона о заштити података, укључујући ГДПР, у прикупљању, обради и коришћењу таквих личних података примљених од друге стране у складу са клаузулом 1. Дела 1. Обе стране ће посебно предузети адекватне мере безбедности, обезбеђујући сличан ниво заштите безбедносним мерама наведеним у Додатку 2 Дела 2. Сваки приступ таквим личним подацима биће ограничен на потребу њиховог познавања.

6.5 Обе стране морају избрисати такве личне податке што је пре могуће након што су циљеви постигнути.

Део 2

 

ОДЛУКА КОМИСИЈЕ

5. фебруара 2010

о стандардним уговорним клаузулама за пренос личних података обрађивачима података основаним у трећим земљама према 95/46/ЕЦ Директиви Европског парламента и Савета

 

 

 

клаузула 1

Дефиниције

У смислу клаузула:

а) 'лични подаци', 'посебне категорије података', 'обрада/обрада', 'контролор', 'обрађивач', 'субјекат података' и 'надзорни орган' имаће исто значење као у 95/46/ЕЦ Директива Европског парламента и Савета од 24. октобра 1995. о заштити појединаца у вези са обрадом личних података и о слободном кретању таквих података (1);

б) 'Извозник података' је контролор података који преноси личне податке;

ц) 'Увозник података' је обрађивач података који је сагласан да од Извозника података прими личне податке намењене за обраду у име Извозника података након преноса у складу са његовим упутствима и према условима ових клаузула и који није подлеже механизму треће земље који обезбеђује адекватну заштиту у смислу члана 25(1) Директиве 95/46/ЕЦ; (д) „Обрађивач података“ означава обрађивача података којег ангажује Увозник података или било који други обрађивач података Увозника података који је сагласан да од Увозника података или било ког другог обрађивача података Увозника података прима личне податке искључиво за активности обраде за да се изврши у име Извозника података након преноса у складу са упутствима Извозника података,

е) „примењиви закон о заштити података“ означава законе који штите основна права и слободе појединаца, укључујући право на приватност у вези са обрадом личних података, и који се примењују на контролора у држави чланици у којој је основан Извозник података;

ф) „техничке и организационе мере које се односе на безбедност“ означава мере намењене заштити личних података од случајног или незаконитог уништења или случајног губитка, измене, неовлашћеног откривања или приступа, посебно када обрада укључује пренос података преко мрежа, и против све друге противправне облике обраде.

клаузула 2

Детаљи трансфера

Детаљи преноса, укључујући, где је то прикладно, посебне категорије личних података, наведени су у Додатку 1, који чини саставни део ових клаузула.

клаузула 3

Клаузула о кориснику треће стране

1. Субјект података може применити против Извозника података ову клаузулу, клаузулу 4(б) до (и), клаузулу 5(а) до (е) и (г) до (ј), клаузулу 6 (1) и (2 ), клаузула 7, клаузула 8(2) и клаузуле 9 до 12 као трећи корисник

2. Субјект података може да примени ову клаузулу, клаузулу 5 (а) до (е) и (г), клаузулу 6, клаузулу 7, клаузулу 8 (2) и клаузуле 9 до 12 против Увозника података када је Извозник података физички нестао или је престао да постоји у закону, осим ако све његове законске обавезе нису пренете, уговором или на основу закона, на ентитет сукцесора, на који се стога враћају права и обавезе Извозника података, и против којег су подаци субјект стога може спровести наведене клаузуле.

Субјект података може да примени ову клаузулу, клаузулу 5 (а) до (е) и (г), клаузулу 6, клаузулу 7, клаузулу 8 (2) и клаузуле 9 до 12 против обрађивача података, али само у случајевима када подаци Извозник и Увозник података су физички нестали, престали да постоје у закону или су постали неликвидни, осим ако све законске обавезе Извозника података нису пренете, уговором или на основу закона, на правног следбеника, на кога су права и Стога су обавезе Извозника података и против којих субјект података може да примени такве клаузуле. Таква одговорност обрађивача података мора бити ограничена на његове сопствене активности обраде према овим клаузулама.

4. Стране се не противе да субјекта података представља удружење или друго тело ако он или она то жели и ако национални закон то дозвољава.

Клаузула 4

Обавезе извозника података

Извозник података прихвата и гарантује следеће:

а) обрада, укључујући стварни пренос личних података, је и наставиће да се обавља у складу са релевантним одредбама важећег закона о заштити података (и, где је применљиво, о томе обавештени надлежни органи државе чланице у којој се налази Извозник података) и не крши релевантне одредбе те државе;

б) дали су инструкције, и даће упутства за време трајања услуга обраде личних података, Увозника података да обрађује личне податке пренете у искључиво име Извозника података иу складу са важећим законом о заштити података и овим клаузулама;

ц) Увозник података ће обезбедити довољне мере заштите у погледу техничких и организационих безбедносних мера наведених у Додатку 2 овог уговора;

д) након процене захтева важећег закона о заштити података, мере безбедности су адекватне за заштиту личних података од случајног или незаконитог уништења или случајног губитка, измене, неовлашћеног откривања или приступа, посебно када обрада укључује пренос података преко мреже, и против свих других незаконитих облика обраде и обезбедити ниво безбедности који одговара ризицима које представља обрада и природи података који се штите, имајући у виду ниво технологије и трошкове имплементације;

е) обезбедиће поштовање мера безбедности;

ф) ако се пренос односи на посебне категорије података, субјект података је обавештен или ће бити обавештен пре преноса, или што је пре могуће након преноса да се његови или њени подаци могу пренети у трећу земљу која не нуди адекватан ниво заштите у смислу Директиве 95/46/ЕЦ;

г) проследиће свако обавештење које добије од Увозника података или било ког обрађивача података у складу са клаузулама 5 (б) и 8 (3) надзорном органу за заштиту података ако одлучи да настави са преносом или да укине суспензију;

х) они ће ставити на располагање субјектима података, ако то захтевају, копију ових клаузула, осим Додатка 2, и сажети опис безбедносних мера, и копију било ког даљег уговора о подуговарању, закљученог према овим клаузулама, осим ако Клаузуле или уговор садрже комерцијалне информације, у ком случају он може повући такве информације;

и) у случају подуговарања процеса обраде података, активност обраде се спроводи у складу са клаузулом 11 од стране обрађивача података који обезбеђује најмање исти ниво заштите личних података и права субјекта података као и Увозник података према овим клаузулама ; и

ј) обезбедиће усклађеност са клаузулом 4 (а) до (и).

Клаузула 5

Обавезе увозника података

Увозник података прихвата и гарантује следеће:

а) обрађиваће личне податке само у име Извозника података и према упутствима Извозника података и овим клаузулама; ако не може да се придржава из било ког разлога, сагласни су да обавесте Извозника података о својој немогућности што је пре могуће, у ком случају Извозник података може да обустави пренос података и/или раскине уговор;

б) немају разлога да верују да га закон који се примењује на њих спречава да испуни упутства дата од стране Извозника података и обавезе које су му наметнуте по уговору, и ако је такав закон подложан промени која би могла имати материјалне негативне последице утицај на гаранције и обавезе према клаузулама, он ће обавестити Извозника података о промени без одлагања након што је сазнао за то, у ком случају Извозник података може суспендовати пренос података и/или раскинути уговор; (ц) да су применили техничке и организационе мере безбедности наведене у Додатку 2 пре обраде пренетих личних података;

д) ће без одлагања обавестити Извозника података:

и) сваки обавезујући захтев за откривање личних података од органа за спровођење закона, осим ако није другачије одређено, као што је кривична забрана која има за циљ очување тајности полицијске истраге;

ии) сваки случајан или неовлашћен приступ; и

иии) сваки захтев примљен директно од дотичних лица без одговора на њега, осим ако је он за то овлашћен; администратори

е) они ће благовремено и правилно решавати све упите Извозника података у вези са његовом обрадом личних података који се преносе и поступаће по мишљењу надзорног органа у вези са обрадом пренетих података;

ф) на захтев Извозника података, подвргну своје објекте за обраду података ревизији активности обраде обухваћених овим клаузулама коју ће извршити Извозник података или надзорни орган састављен од независних чланова са потребним стручним квалификацијама, подлеже обавези чувања тајности и изабран од стране Извозника података, где је то потребно уз сагласност надзорног органа;

г) ставиће на располагање субјекту података, ако он то затражи, копију ових клаузула или било којег постојећег подуговарања уговора о обради података, осим ако клаузуле или уговор не садрже комерцијалне информације, у ком случају може уклонити такве информације, осим Додатка 2, који ће бити замењен сажетим описом безбедносних мера, где субјект података не може да добије копију од Извозника података;

х) у случају даљег поверљивог подуговарања обраде података, он ће обезбедити да унапред обавести Извозника података и да добије писмену сагласност Извозника података;

и) услуге обраде које пружа обрађивач података морају бити у складу са клаузулом 11;

ј) они ће одмах послати копију сваког подуговарања уговора о обради података који је склопио према овим клаузулама Извознику података.

Клаузула 6

Одговорност

1. Стране су сагласне да сваки субјект података који је претрпео штету због кршења обавеза наведених у клаузули 3 или клаузули 11 од стране једне стране или од стране обрађивача података може добити надокнаду од Извозника података за претрпљену штету.

2. Ако је субјект података спречен да поднесе тужбу за накнаду штете из става 1. против Извозника података због пропуста Увозника података или његовог обрађивача података да испоштује било коју од својих обавеза према клаузули 3 или клаузули 11 јер подаци Извозник је физички нестао, престао да постоји или је постао несолвентан, Увозник података је сагласан да субјект података може уложити жалбу против њега као да је Извозник података осим ако су све законске обавезе Извозника података пренете уговором или на основу закона, његовом сукцесорском субјекту, против којег субјекат података може потом спровести своја права. Увозник података се не може ослањати на кршење својих обавеза од стране обрађивача података како би избегао сопствену одговорност.

3. Ако је субјект података спречен да поднесе тужбу из ст. 1. и 2. против Извозника података или Увозника података због кршења својих обавеза од стране Обрађивача података из клаузуле 3 или 11, јер Извозник података и Увозник података физички нестали, престали да постоје у закону или су постали несолвентни, Обрађивач података је сагласан да субјект података може уложити жалбу против њега у вези са сопственим активностима обраде у складу са овим клаузулама као да је извозник података или увозник података осим ако сви законске обавезе Извозника података или Увозника података су пренете, уговором или на основу закона, на правног следбеника, против кога субјект података може да оствари своја права.Одговорност обрађивача података мора бити ограничена на сопствене активности обраде у складу са овим клаузулама.

 

Клаузула 7

Посредовање и надлежност

1. Увозник података је сагласан да, ако се према клаузулама, субјект података позове против њега на право трећег лица корисника и/или тражи накнаду за претрпљену штету, прихватиће одлуку носиоца података:

а) да поднесе спор на посредовање независног лица или, где је то прикладно, надзорног органа;

б) да изнесе спор пред судовима државе чланице у којој се налази седиште Извозника података.

2. Стране су сагласне да избор који је извршио субјект података неће утицати на процесно или материјално право субјекта података да добије обештећење у складу са другим одредбама националног или међународног права.

Клаузула 8

Сарадња са надзорним органима

1. Извозник података сагласан је да депонује копију овог уговора код надзорног органа ако то потоњи захтева или ако је такво депоновање предвиђено важећим законом о заштити података.

2. Стране су сагласне да надзорни орган може вршити провере код увозника података и било ког обрађивача података у истој мери и под истим условима као и провере које се врше код извозника података у складу са важећим законом о заштити података.

3. Увозник података ће обавестити извозника података што је пре могуће о постојању закона у вези са увозником података или било којим обрађивачем података који спречава верификацију код увозника података или било ког обрађивача података у складу са ставом 2. У том случају, Извозник података може предузети мере предвиђене у тачки 5 (б).

Клаузула 9

Важећи закон

Клаузуле се примењују и регулисане су законом државе чланице у којој се налази седиште Извозника података.

клаузула 10

Измена уговора

Стране се обавезују да неће мењати ове клаузуле. Стране остају слободне да укључе друге комерцијалне клаузуле које сматрају неопходним, под условом да нису у супротности са овим клаузулама.

клаузула 11

Накнадно подуговарање

1. Увозник података неће подуговарати ниједну од својих активности обраде које се обављају у име Извозника података према овим клаузулама без претходне писмене сагласности Извозника података. Увозник података ће само подуговарати своје обавезе према овим клаузулама, уз сагласност Извозника података, кроз писани споразум са Обрађивачем података који налаже Обрађивачу података исте обавезе као оне које су наметнуте Увознику података према овим клаузулама. Ако обрађивач података не може да испоштује своје обавезе заштите података из тог писаног уговора, Увозник података остаје у потпуности одговоран Извознику података за испуњење тих обавеза.

2. Претходни писани споразум између Увозника података и Обрађивача података ће такође укључити клаузулу о кориснику треће стране као што је наведено у клаузули 3 за случајеве када је субјект података спречен да поднесе тужбу за накнаду штете из клаузуле 6 (1. ), против Извозника података или Увозника података зато што је Извозник података или Увозник података физички нестао, престао да постоји законски или је постао несолвентан и све законске обавезе Извозника података или Увозника података нису пренете, уговором или операцијом закона, другом субјекту наследнику. Одговорност обрађивача података мора бити ограничена на сопствене активности обраде у складу са овим клаузулама.

3. Одредбе које се односе на аспекте заштите података подуговарања обраде података из уговора из става 1. биће регулисане законом државе чланице у којој је основан Извозник података.

4. Извозник података ће водити списак подуговарача уговора о обради података закључених према овим клаузулама и обавештен од стране Увозника података у складу са чланом 5 (ј), који ће се ажурирати најмање једном годишње. Ова листа ће бити доступна надзорном органу за заштиту података Извозника података.

клаузула 12

Обавеза по престанку пружања услуга обраде личних података

1. Стране су сагласне да ће по завршетку услуга обраде података, Увозник података и Обрађивач података, по потреби Извозника података, вратити све пренете личне податке и њихове копије Извознику података, или уништити све такве податке и пружити доказ уништавање Извознику података, осим ако закон наметнут Увознику података га спречава да врати или уништи све или део пренетих личних података. У том случају, Увозник података гарантује да ће обезбедити поверљивост пренетих личних података и да више неће активно обрађивати податке.

2. Увозник података и обрађивач података ће обезбедити да, ако то захтевају Извозник података и/или надзорни орган, подвргну своја средства обраде података верификацији мера из става 1. овог члана.

 

 

 

 

Додатак 1.1 делу 2

Детаљи трансфера

 

 

Дата Екпортер

Извозник података је купац дефинисан Уговором.

 

Увозник података

Увозник података је ИКУАЛИФ и додељен му је да обрађује податке, пружајући услуге Извознику података.

 

Субјекти података

Пренети лични подаци односе се на следеће категорије субјеката података:

а˜' телефонски претплатници наведени у универзалном именику

а˜ Други, укључујући:

 

Категорије података

Пренети лични подаци односе се на следеће категорије података:

 

Посебно категорије личних података субјеката података Извозника података,

а˜' Пуно име

а˜' Поштанска адреса

а˜' Контакт детаљи (е-маил, телефон, ИП адреса, итд.)

а˜' Детаљи маркетиншких активности у вези са телефонским претплатником

а˜' Други, укључујући тип становања, приходе и просечну старост града анонимно

 

Посебне категорије података (ако је применљиво)

Пренети лични подаци односе се на следеће посебне категорије података:

а˜' Пренос посебних категорија података није предвиђен

а˜ Раса или етничко порекло

а˜ Религијска или филозофска уверења

а˜ Чланство у синдикату

а˜ Политички погледи

а˜ Генетске информације

а˜ Биометријске информације

а˜ Информације о сексуалној оријентацији или сексуалном животу

а˜ Здравствени подаци

 

Активности обраде

Пренети лични подаци биће предмет следећих основних активности обраде:

 

  •  
    • ¢ Сврха обраде

Обрада предузета у име Извозника података заснива се на следећим темама, посебно:

а˜' преузимање одговорности за производе или услуге које нуди Извозник података

а˜' Понуда производа или услуге коју позвана особа може затражити

а˜' Преузети налози од позваних лица и даља обрада ових налога

а˜' Упитници и анализе за проучавање

а˜' Телемаркетинг

а˜ Други, укључујући:

 

  •  
    • ¢ Природа и сврха обраде

Увозник података обрађује личне податке субјеката података у име Извозника података, како би пружио следеће услуге, а пре свега:

а˜' Продаја и маркетинг

а˜' Други, укључујући ажурирање база података о градским већницама и политичким партијама

 

  •  
    • ¢ Пружање услуга и запошљавање пружалаца услуга

 

ИКУАЛИФ углавном комбинује, централизује и пружа услуге извознику података. Услуге које пружа именовани провајдер услуга могу бити структурисане (између осталог по потреби) око следећих помоћних услуга: (и) обезбеђивање апликација, алата, система и ИТ инфраструктуре у вези са центрима за обраду података који се користе, како би се обезбедило и подршку услугама, укључујући обраду личних података субјеката података као што је горе описано, преко таквих апликација, алата и система, (ии) пружање ИТ подршке, одржавања и других услуга у вези са таквим апликацијама, алатима, системима и ИТ инфраструктуру, укључујући потенцијални приступ личним подацима ускладиштеним у таквим апликацијама, алатима и системима, и (иии) пружање услуга заштите података, надзора заштите и услуга реаговања на инциденте, укључујући потенцијални приступ личним подацима приликом пружања таквих услуга заштите. ИКУАЛИФ може ангажовати процесоре података као што је наведено у наставку за пружање услуга, укључујући помоћне услуге.

 

  •  
    • ¢ Спољни добављачи услуга треће стране као подентитет додељени за обраду података

 

ИКУАЛИФ ангажује спољне и треће стране добављаче услуга, који нису подружнице ИКУАЛИФ-а, да подрже пружање услуга Извознику података. Извозник података одобрава такве спољне пружаоце услуга треће стране као под-ентитете додељене за обраду података.

 

Ако се подентитет укључен у обраду података налази изван ЕУ/ЕЕА, у земљи за коју се сматра да нема адекватан ниво заштите података према одлуци Европске комисије, Увозник података ће предузети кораке да добије адекватан ниво заштите података. заштита података у складу са ГДПР-ом и одељком 3.4 (ив) 1. дела.

 

 

Додатак 2, Део 2

Техничке и организационе мере заштите

 

Увозник података ће предузети следеће техничке и организационе мере заштите које је потврдио Извозник података, како би гарантовао одговарајући ниво безбедности права и слобода појединаца, у зависности од ризика. Приликом процене дотичног нивоа заштите, Извозник података је посебно узео у обзир ризике укључене у обраду, укључујући случајно или незаконито уништавање, измене, неовлашћено откривање или приступ личним подацима који се преносе, чувају или на други начин обрађују. Уз појашњење: Ове техничке и организационе мере заштите се не примењују на апликације, алате, системе и/или ИТ инфраструктуру које обезбеђује Извозник података.

1 Опште техничке и организационе мере заштите
1.1 Опште информације и стратегије заштите података
Следеће кораке треба предузети да бисте пратили опште стратегије заштите података и информација:
  • а) предузима мере за оцењивање предузетих у погледу техничке и организационе заштите;
  • б) обезбеди обуку за подизање свести међу запосленима;
  • ц) има опис дотичних система и омогући приступ запосленима;
  • д) успоставити формални процес документације кад год се системи имплементирају или модификују;
  • е) документовање организационе структуре, процеса, одговорности и одговарајућих евалуација;
 
1.2 Организација заштите информација
У циљу координације активности заштите података и информација треба предузети следеће мере:
  • а) дефинисане одговорности за заштиту информација и података (нпр. кроз политику управљања заштитом података);
  • б) неопходну експертизу за заштиту информација и података који остају доступни;
  • ц) сви запослени су посвећени да обезбеде да лични подаци буду поверљиви и да су обавештени о потенцијалним последицама кршења ове обавезе.
 
1.3 Контрола приступа областима обраде
Морају се предузети следеће мере како би се спречило да неовлашћена лица добију приступ системима за обраду података (посебно софтверу и хардверу) када се лични подаци обрађују, чувају или преносе:
  • а) успоставити безбедне области;
  • б) заштити и ограничи приступ системима за обраду података;
  • ц) успоставља овлашћења за приступ запосленима и трећим лицима, укључујући одговарајућа документа;
  • д) сваки приступ центрима за обраду података у којима се чувају лични подаци биће евидентиран.
 
1.4 Контрола приступа системима за обраду података
Да би се спречио неовлашћени приступ системима за обраду података потребно је предузети следеће мере:
  • а) политике и процедуре за аутентификацију корисника;
  • б) коришћење лозинки на свим рачунарским системима;
  • ц) даљински приступ мрежи захтева вишефакторску аутентификацију и одобрава се дотичном лицу у складу са њиховим одговорностима и по овлашћењу;
  • д) приступ одређеним функцијама заснива се на функцијама посла и/или атрибутима који су појединачно додељени корисничком налогу;
  • е) права приступа у вези са личним подацима се редовно проверавају;
  • ф) евиденција о променама права приступа се ажурира.
 
1.5 Контролисање приступа одређеним областима коришћења система за обраду података
Морају се предузети следеће мере како би се обезбедило да овлашћена лица са правом коришћења система за обраду података могу приступити подацима само у оквиру својих одговорности и овлашћења за приступ и да се лични подаци не могу читати, копирати, мењати или брисати без овлашћења:
  1.  
    1. а) политике, упутства и обуку запослених у вези са обавезама сваког од њих у погледу поверљивости, права на приступ личним подацима и обима обраде личних података;
  • б) дисциплинске мере против лица која неовлашћено приступају личним подацима;
  • ц) приступ личним подацима ће бити одобрен само овлашћеним лицима, на основу потребе за сазнањем;
  • д) одржава листу администратора система и предузима одговарајуће мере за праћење администратора система;
  • е) да не копира или репродукује личне податке на било ком систему за складиштење како би се омогућило неовлашћеним лицима да уклоне информације аутора;
  • ф) контролисано и документовано брисање или уништавање података;
  • г) да безбедно чувају све личне податке који се морају чувати из правних или регулаторних разлога (нпр. обавезе чувања података), и то само онолико дуго колико је прописано законом.
 
1.6 Контрола преноса
Морају се предузети следеће мере како би се спречило да личне податке читају, копирају, мењају или бришу неовлашћена трећа лица током преноса или транспорта уређаја за складиштење података (у зависности од предузете обраде личних података):
  1.  
    1. а) коришћење заштитних зидова;
  • б) избегавање складиштења личних података на мобилним уређајима за складиштење у сврхе транспорта, или шифровање уређаја;
  • ц) користити на лаптоповима и другим мобилним уређајима само након што је активирана заштита шифровања;
  • д) евидентирање преноса личних података.
 
1.7 Контрола уноса података
Морају се предузети следеће мере како би се обезбедило да је могуће проверити и утврдити да ли су лични подаци унети или избрисани из система за обраду података и ко:
  1.  
    1. а) политику за одобравање читања, измене и брисања сачуваних података;
  • б) мере заштите у вези са читањем, изменом и брисањем сачуваних података.
 
1.8 Контрола рада
У случају делегиране обраде личних података, морају се предузети следеће мере како би се обезбедило да се такви подаци обрађују у складу са упутствима Супервизора:
  1.  
    1. а) субјекти или под-ентитети додељени за обраду података, пажљиво одабрани (пружаоци услуга који обрађују личне податке у име контролора);
  • б) упутства која се односе на обим било које обраде личних података запосленима, субјектима или подентитетима који су задужени за обраду података;
  • ц) права ревизије договорена са субјектима или подентитетима који су додељени за обраду података;
  • д) постоје споразуми са субјектима или подентитетима који су задужени за обраду података.
 
1.9 Одвајање од обраде у друге сврхе
Морају се предузети следеће мере како би се обезбедило да се подаци прикупљени у друге сврхе могу засебно обрађивати:
  1.  
    1. а) одвојен приступ личним подацима у складу са постојећим правима корисника;
  • б) интерфејси, групна обрада и извештавање су за друге сврхе и функције, тако да се подаци прикупљени у друге сврхе могу засебно обрадити.
 
1.10 Псеудонимизација
У вези са псеудонимизацијом личних података морају се предузети следеће мере:
  1.  
    1. а) Ако Извозник података нареди одређену операцију обраде или ако то сматра одговарајућим од стране Увозника података у складу са законима о заштити података који су на снази у вези са одређеним активностима обраде, обрада личних података ће се вршити на начин да подаци се више не могу приписати одређеном лицу без употребе додатних информација. Ове додатне информације ће се чувати одвојено;
  • б) коришћење техника псеудонимизације, укључујући рандомизацију листе алокације; стварање вредности у виду оштрих.
 
1.11 Шифровање

Треба предузети следеће кораке за шифровање личних података у апликацијама и преносима који подржавају шифровање:

  1.  
    1. а) коришћење техника шифровања;
  • б) успостављање управљања шифровањем за подршку техникама шифровања које су дозвољене за коришћење;
  • ц) подржавање употребе криптографије кроз процедуре и протоколе за генерисање, модификовање, опозив, уништавање, дистрибуцију, сертификацију, складиштење, хватање, коришћење и архивирање криптографских кључева ради заштите од неовлашћених модификација и откривања.
 
1.12 Комплетност система и услуга за обраду података
Потребно је предузети следеће мере како би се обезбедила комплетност система и услуга обраде података:
  1. а) заштита система за обраду података од манипулације или уништења одговарајућим средствима (нпр. антивирусни софтвер, софтвер за спречавање губитка података и софтвер од малвера, софтверске закрпе, заштитни зидови и управљана заштита радне површине);
  • б) забрани инсталацију било које услуге или софтвера штетног за системе за обраду података, услуге или манипулацију личним подацима;
  • ц) коришћење система за откривање и превенцију упада у мрежу у структури саме мреже.
 
1.13 Доступност система и услуга за обраду података и могућност враћања приступа и коришћења личних података у случају материјалног или техничког инцидента
Морају се предузети следеће мере како би се обезбедила доступност система за обраду података, као и да би се брзо вратила доступност и приступ личним подацима, у случају материјалног или техничког инцидента (посебно тако што ће се обезбедити да лични подаци су заштићени од случајног уништења или губитка):
  • а) имају средства контроле за чување резервних копија и враћање изгубљених или избрисаних података;
  • б) инфраструктурна редундантност и тестирање перформанси;
  • ц) физичка заштита рачунарских ресурса;
  • д) коришћење алата за праћење статуса и доступности интерне мреже;
  • е) политике извештавања о инцидентима и реаговања које регулишу процедуру управљања инцидентима, као и понављање придржавања ових политика као део редовне обуке;
  • ф) резервне копије (понекад ван локације) за враћање система како би се омогућило да поново обавља своје функције;
  • г) планове за континуитет пословања/опоравак од катастрофе
 
1.14 Отпорност система и услуга за обраду података
Морају се предузети следеће мере да би се обезбедила отпорност система и услуга за обраду података:
  • а) системи и хармонично конфигурисани, користећи одобрене безбедносне параметре;
  • б) редундантност мреже;
  • ц) заштитна заштита критичних система.
 
1.15 Процедура за редовно тестирање, процену и процену ефикасности техничких и организационих мера за обезбеђивање сигурности обраде података
Процедура за редовно тестирање, оцењивање и оцењивање ефикасности техничких и организационих мера заштите обраде података.
  • а) предузети неопходне кораке за процену ризика и стратегија за ублажавање;
  • б) састанке за анализу услуга ИТ одељења ради решавања актуелних питања;
  • ц) планови за континуитет пословања/опоравак од катастрофе се редовно ажурирају.

 

део 3

Потписи страна и списак увозника података

 

Када попуните онлајн формулар за поруџбину и потврдите га тако што ћете означити поље за прихватање општих услова коришћења, успоставља се уговор који регулише однос између Купца и ИКУАЛИФ-а.

Слањем уплате ИКУАЛИФ-у ће се сматрати да је уговор договорен и успостављен.


Обратите пажњу: Овај текст је преведен са француског. Оригинална француска верзија, која је важећа и правно рестриктивна, доступна је овде .