Ang Appendix na ito ay bumubuo ng mahalagang bahagi ng Kontrata at pinasok ng:
Ang bawat isa ay isang " Partido " at karaniwang " Mga Partido ".
Preamble
KUNG SAAN ang Data Importer ay nagbibigay ng mga propesyonal na serbisyo ng software, computer, at mga kaugnay na serbisyo (tulad ng mga browser na may mga advanced na function sa paghahanap);
KUNG SAAN alinsunod sa Kontrata, ang Data Importer ay sumang-ayon na ibigay sa Data Exporter ang mga serbisyong tinukoy sa Kontrata (ang " Mga Serbisyo ");
KUNG SAAN, sa pamamagitan ng pagbibigay ng Mga Serbisyo, natatanggap o nakikinabang ang Data Importer mula sa pag-access sa impormasyon ng Data Exporter o sa impormasyon ng ibang mga taong may (potensyal) na kaugnayan sa Data Exporter, ang naturang impormasyon ay maaaring maging kwalipikado bilang personal na data sa loob ng kahulugan ng Regulasyon (EU) 2016/679 ng European Parliament at ng Council of the 27th of April 2016 sa pagprotekta sa mga indibidwal hinggil sa pagproseso ng personal na data at sa libreng paggalaw ng naturang data (" GDPR ") at iba pang naaangkop na mga batas sa proteksyon ng data.
KUNG SAAN naglalaman ang Appendix na ito ng mga tuntunin at kundisyon na naaangkop sa pangongolekta, pagproseso, at paggamit ng naturang personal na data ng Data Importer sa kapasidad nito bilang awtorisadong ahente sa pagproseso ng data ng Data Exporter, upang matiyak na ang mga Partido ay sumusunod sa naaangkop na batas sa proteksyon ng data .
KAYA, at upang bigyang-daan ang mga Partido na ipagpatuloy ang kanilang relasyon ayon sa batas, tinapos ng Mga Partido ang Appendix na ito bilang sumusunod:
Bahagi 1
1. Istraktura ng dokumento at mga kahulugan
1.1 Istruktura
Ang Apendiks na ito ay binubuo ng iba't ibang bahagi tulad ng sumusunod:
Bahagi 1: | naglalaman ng mga pangkalahatang probisyon, hal. patungkol sa mga kahulugang ginamit sa Appendix na ito, pagsunod sa mga lokal na batas, timing, at pagwawakas.
|
Bahagi 2: | naglalaman ng katawan ng hindi binagong dokumento ng Standard Contractual Clauses
|
Appendix 1.1 ng Bahagi 2: | naglalaman ng mga detalye ng mga operasyon sa pagpoproseso na ibinigay ng Data Importer sa Data Exporter bilang ang awtorisadong ahente sa pagpoproseso ng data (kabilang ang pagproseso, kalikasan, at layunin ng pagproseso, ang uri ng personal na data, at ang mga kategorya ng mga paksa ng data) sa ilalim nito Appendix
|
Appendix 2 ng Part 2: | naglalaman ng paglalarawan ng mga teknikal at pang-organisasyong hakbang sa seguridad ng Data Importer, na inilalapat kaugnay ng lahat ng aktibidad sa pagproseso na inilalarawan sa Appendix 1.1 ng Bahagi 2
|
Bahagi 3: | naglalaman ng mga lagda ng Mga Partido na mapapatali sa Appendix na ito at kinikilala ang bawat Data Importer
|
1.2 Terminolohiya at mga kahulugan
Para sa mga layunin ng Appendix na ito, ang mga terminolohiya at mga kahulugan na ginamit ng GDPR ay naaangkop (Sa katawan ng dokumento ng Standard Contractual Clause sa Part 2, kung saan ang mga tinukoy na termino ay hindi naka-capitalize).
"Miyembrong estado" | nangangahulugang isang bansang kabilang sa European Union o European Economic Area
|
"Mga espesyal na kategorya ng (personal) na data" | tumutukoy sa personal na data na naghahayag ng lahi o etnikong pinagmulan, mga opinyon sa pulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, at genetic data, biometric data, kung naproseso para sa layunin ng natatanging pagkilala sa isang tao, data tungkol sa kalusugan, data tungkol sa kasarian ng isang tao buhay o oryentasyong sekswal
|
"Mga Karaniwang Kontratwal na Sugnay" | nangangahulugang ang Standard Contractual Clauses para sa paglilipat ng personal na data ng mga ahente sa pagpoproseso na itinatag sa mga ikatlong bansa, sa ilalim ng Commission Decision 2010/87/EU noong ika-5 ng Pebrero 2010, na binago ng Commission Implementing Decision (EU) 2016/2297 noong ika-16 ng Disyembre 2016
|
œData processor | nangangahulugang anumang ahente sa pagproseso, na matatagpuan sa loob o labas ng EU/EEA, na sumasang-ayon na tumanggap mula sa Data Importer o anumang iba pang processor ng Data Importer, personal na data para sa eksklusibong layunin ng pagproseso ng mga aktibidad na isasagawa ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin ng Data Exporter, sa mga tuntunin ng Appendix na ito at sa Kontrata sa Data Importer
|
2. Mga Obligasyon ng Data Exporter
2.1 Ang Data Exporter ay may obligasyon na tiyakin ang pagsunod sa lahat ng naaangkop na obligasyon sa ilalim ng GDPR at anumang iba pang naaangkop na batas sa proteksyon ng data na nalalapat sa Data Exporter at upang ipakita ang naturang pagsunod gaya ng iniaatas ng Artikulo 5 (2) ng GDPR. Ginagarantiyahan ng Data Exporter na nakuha ng Data Importer ang paunang pahintulot ng mga paksa ng data alinsunod sa Artikulo 6 (a) ng GDPR at nakasunod sa obligasyon nitong ipaalam sa mga paksa ng data alinsunod sa Artikulo 13 at 14 ng GDPR.
2.2 Ang Data Exporter ay dapat magbigay sa Data Importer ng kani-kanilang mga file ng mga aktibidad sa pagpoproseso alinsunod sa Artikulo 30 (1) ng GDPR na nauugnay sa Mga Serbisyo sa ilalim ng Appendix na ito, sa lawak na kinakailangan para sa Data Importer na sumunod sa obligasyon sa ilalim ng Artikulo 30 (2) ng GDPR.
2.3 Ang Data Exporter ay dapat magtalaga ng isang opisyal ng proteksyon ng data o kinatawan sa lawak na kinakailangan ng naaangkop na batas sa proteksyon ng data. Obligado ang Data Exporter na ibigay ang mga detalye sa pakikipag-ugnayan ng ahente o kinatawan ng proteksyon ng data, kung mayroon man, sa Data Importer.
2.4. Kinukumpirma ng Data Exporter bago ang pagkumpleto ng pagproseso, sa pamamagitan ng pagtanggap sa Appendix na ito, na ang mga teknikal at organisasyonal na hakbang sa seguridad ng Data Importer, tulad ng itinakda sa Appendix 2 hanggang Part 2, ay angkop at sapat upang protektahan ang mga karapatan ng paksa ng data. at kinukumpirma na ang Data Importer ay nagbibigay ng sapat na mga pananggalang sa bagay na ito.
3. Pagsunod sa lokal na batas
Upang matugunan ang mga kinakailangan ng pagpapatupad ng mga ahente sa pagproseso kasunod ng Artikulo 28 ng GDPR, naaangkop ang mga sumusunod na pagbabago:
3.1 Mga Tagubilin
3.2 Mga Obligasyon ng Data Importer
3.3 Mga karapatan ng mga taong kinauukulan
3.4 Sub-processing
3.5 Pag-expire
Ang expiration ng Appendix na ito ay kapareho ng expiration date ng kaukulang Kontrata. Maliban sa iba pang itinatadhana sa Apendise na ito, ang mga karapatan at tungkulin na may kaugnayan sa pagwawakas ay magiging pareho sa mga nilalaman ng Kontrata.
4. Limitasyon ng Pananagutan
4.1 Pinangangasiwaan ng bawat partido ang mga obligasyon nito sa ilalim ng Appendix na ito at ang naaangkop na batas sa proteksyon ng data.
4.2 Ang anumang pananagutan na nauugnay sa isang paglabag sa mga obligasyon sa ilalim ng Appendix na ito o naaangkop na batas sa proteksyon ng data ay sasailalim sa at pamamahalaan ng mga probisyon ng pananagutan na itinakda sa, o naaangkop sa, Kontrata, maliban kung itinatadhana sa Appendix na ito. Kung ang pananagutan ay pinamamahalaan ng mga probisyon ng pananagutan na itinakda sa o naaangkop sa Kontrata, para sa pagkalkula ng mga limitasyon sa pananagutan o pagtukoy sa aplikasyon ng iba pang mga limitasyon ng pananagutan, anumang pananagutan na magmumula sa ilalim ng Apendise na ito ay dapat ituring na lumitaw sa ilalim ng Kontrata.
5. Pangkalahatang mga probisyon
5.1 Kung mayroong anumang mga hindi pagkakapare-pareho o pagkakaiba sa pagitan ng Mga Bahagi 1 at 2 ng Appendix na ito, ang Bahagi 2 ay mananaig. Sa partikular, kahit na sa ganoong kaso, ang Bahagi 1 na lumalampas lamang sa Bahagi 2 (ibig sabihin, ang mga tuntunin ng Mga Pamantayang sugnay) nang hindi sumasalungat dito ay mananatiling wasto.
5.2 Kung may anumang pagkakaiba sa pagitan ng mga probisyon ng Appendix na ito at ng iba pang mga kontratang nagbubuklod sa mga partido, ang Appendix na ito ay mananaig patungkol sa mga obligasyon sa proteksyon ng data ng mga partido. Sa kaso ng pagdududa kung ang mga sugnay sa ibang mga kontrata ay may kinalaman sa mga obligasyon sa proteksyon ng data ng mga partido, ang Apendise na ito ay mananaig.
5.3 Kung ang anumang probisyon ng Appendix na ito ay hindi wasto o hindi maipapatupad, ang natitira sa Appendix na ito ay mananatiling ganap na may bisa at bisa. Ang di-wasto o hindi maipapatupad na probisyon ay (i) susugan upang matiyak ang bisa at kakayahang maipatupad nito, habang pinapanatili hangga't maaari ang intensyon ng mga partido, o - kung hindi ito posible - (ii) ipakahulugan na parang ang di-wasto o hindi maipapatupad na bahagi ay may hindi kailanman naging bahagi ng kontrata. Ang nabanggit ay dapat ding ilapat kung may pagkukulang sa Appendix na ito.
5.5 Sa lawak na kinakailangan, ang Mga Partido ay maaaring humiling ng mga pagbabago sa Bahagi 1, Clause 3 (Pagsunod sa lokal na batas) o iba pang bahagi ng Appendix upang makasunod sa mga interpretasyon, direktiba, o mga utos na inisyu ng mga karampatang awtoridad ng Unyon o ng Mga Estado ng Miyembro, mga probisyon sa pambansang pagpapatupad, o anumang iba pang legal na pag-unlad tungkol sa GDPR o iba pang mga kundisyon ng delegasyon sa anumang mga entity na kasangkot sa pagproseso ng data at partikular na patungkol sa paggamit ng mga Standard Contractual Clause sa GDPR. Ang mga tuntunin ng Standard Contractual Clauses ay hindi maaaring baguhin o palitan maliban kung ang European Commission ay hayagang inaprubahan ito (hal sa pamamagitan ng mga bagong sapat na clause at mga pamantayan sa proteksyon ng data).
5.6 Ang anumang pagtukoy sa Appendix na ito sa "Mga Sugnay" ay dapat unawaing sumangguni sa lahat ng mga probisyon ng Apendise na ito maliban kung iba ang nakasaad.
5.7 Ang pagpili ng batas sa Bahagi 2, Clause 9 ay nalalapat sa buong Kontrata.
6. Personal na data na ipinadala at pinoproseso ng mga partido para sa mga personal na layunin (ilipat mula sa data controller patungo sa data controller)
6.1 Ang mga Partido ay lubos na nakakaalam na ang ilang partikular na personal na data ay ililipat mula sa Data Exporter patungo sa Data Importer at sa kabaligtaran, at ang naturang data ay pinoproseso ng bawat Partido para sa sarili nitong mga layunin. Tungkol sa naturang personal na data, hindi nito naaapektuhan ang iba pang mga probisyon ng Appendix na ito (maliban sa sugnay 6 na ito).
6.2 Ang Data Exporter ay maaaring maglipat ng personal na data na nauugnay sa mga tauhan ng Data Importer sa Data Importer, kabilang ang impormasyon sa mga insidente ng seguridad, o anumang iba pang mga dokumento o file na ginawa o itinatag ng Data Exporter kaugnay ng Mga Serbisyong ibinigay ng kawani ng ang Data Importer. Maaaring iproseso ng Data Importer ang naturang personal na data para sa sarili nitong mga layunin, lalo na sa mga propesyonal na relasyon nito sa mga tauhan ng Data Importer, para sa kontrol sa kalidad at pagsasanay, o para sa mga layunin ng negosyo.
6.3. Ang Data Importer ay maaaring maglipat ng personal na data sa Data Exporter, kasama ang pangalan at mga detalye ng contact ng mga tauhan ng Data Importer. Maaaring iproseso ng Data Exporter ang naturang personal na data para sa sarili nitong mga layunin.
6.4 Ang parehong partido ay dapat sumunod sa anumang naaangkop na mga batas sa proteksyon ng data, kabilang ang GDPR, sa pagkolekta, pagproseso, at paggamit ng naturang personal na data na natanggap mula sa kabilang partido sa ilalim ng sugnay 1 ng Bahagi 1. Sa partikular, ang parehong Mga Partido ay magsasagawa ng sapat na mga hakbang sa seguridad, na nagbibigay ng isang katulad na antas ng proteksyon sa mga hakbang sa seguridad na itinakda sa Appendix 2 ng Bahagi 2. Ang anumang pag-access sa naturang personal na data ay dapat na limitado sa pangangailangang malaman ang mga ito.
6.5 Dapat tanggalin ng parehong Partido ang naturang personal na data sa lalong madaling panahon pagkatapos na makamit ang mga layunin.
Bahagi 2
DESISYON NG KOMISYON
noong ika-5 ng Pebrero 2010
sa mga karaniwang contractual clause para sa paglipat ng personal na data sa mga tagaproseso ng data na itinatag sa mga bansang third-party sa ilalim ng 95/46/EC Directive ng European Parliament at ng Konseho
Sugnay 1
Mga Kahulugan
Sa loob ng kahulugan ng mga sugnay:
a) 'personal na data', 'espesyal na kategorya ng data', 'pagproseso/pagproseso', 'controller', 'processor', 'data subject' at 'supervisory authority' ay magkakaroon ng parehong kahulugan tulad ng sa 95/46/EC Direktiba ng European Parliament at ng Konseho ng ika-24 ng Oktubre 1995 sa pagprotekta sa mga indibidwal hinggil sa pagproseso ng personal na data at sa malayang paggalaw ng naturang data (1);
b) ang 'Data Exporter' ay ang Data controller na naglilipat ng personal na data;
c) ang 'Data Importer' ay ang Data processor na sumasang-ayon na tumanggap mula sa Data Exporter ng personal na data na nilalayong iproseso sa ngalan ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin nito at sa ilalim ng mga tuntunin ng mga clause na ito at kung sino ang hindi napapailalim sa mekanismo ng ikatlong bansa na nagtitiyak ng sapat na proteksyon sa loob ng kahulugan ng Artikulo 25(1) ng Direktiba 95/46/EC; (d) Ang ibig sabihin ng 'Data processor' ay ang Data processor na nakikipag-ugnayan ng Data Importer o ng anumang iba pang Data processor ng Data Importer na sumasang-ayon na tumanggap mula sa Data Importer o anumang iba pang Data processor ng Data Importer na personal na data para lamang sa pagproseso ng mga aktibidad sa isagawa sa ngalan ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin ng Data Exporter,
e) "naaangkop na batas sa proteksyon ng data" ay nangangahulugang ang batas na nagpoprotekta sa mga pangunahing karapatan at kalayaan ng mga indibidwal, kabilang ang karapatan sa privacy tungkol sa pagproseso ng personal na data, at pag-aaplay sa isang controller sa Member State kung saan itinatag ang Data Exporter;
f) Ang ibig sabihin ng œmga teknikal at organisasyonal na hakbang na may kaugnayan sa seguridad ay mga hakbang na nilayon upang protektahan ang personal na data laban sa aksidente o labag sa batas na pagkasira o aksidenteng pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access, lalo na kung saan ang pagproseso ay nagsasangkot ng pagpapadala ng data sa mga network, at laban sa lahat ng iba pang labag sa batas na paraan ng pagproseso.
Sugnay 2
Mga detalye ng paglilipat
Ang mga detalye ng paglilipat, kasama, kung naaangkop, mga espesyal na kategorya ng personal na data, ay tinukoy sa Appendix 1, na bumubuo ng mahalagang bahagi ng mga sugnay na ito.
Clause 3
Clause ng third-party na benepisyaryo
1. Maaaring ipatupad ng paksa ng data laban sa Data Exporter ang Clause na ito, Clause 4(b) hanggang (i), Clause 5(a) hanggang (e) at (g) hanggang (j), Clause 6 (1) at (2 ), Clause 7, Clause 8(2) at Clause 9 hanggang 12 bilang isang third party na benepisyaryo
2. Maaaring ipatupad ng paksa ng data ang Clause na ito, Clause 5 (a) hanggang (e) at (g), Clause 6, Clause 7, Clause 8 (2) at Clause 9 hanggang 12 laban sa Data Importer kung saan pisikal na mayroon ang Data Exporter nawala o hindi na umiral sa batas, maliban kung ang lahat ng kanyang legal na obligasyon ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa kahalili na entity, kung saan ang mga karapatan at obligasyon ng Data Exporter ay ibinalik, at laban sa kung saan ang data maaaring ipatupad ng paksa ang nasabing mga sugnay.
Maaaring ipatupad ng paksa ng data ang Clause na ito, Clause 5 (a) hanggang (e) at (g), Clause 6, Clause 7, Clause 8 (2) at Clauses 9 hanggang 12 laban sa Data processor, ngunit sa mga kaso lamang kung saan ang Data Ang Exporter at ang Data Importer ay pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent, maliban kung ang lahat ng mga legal na obligasyon ng Data Exporter ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa legal na kahalili, kung saan ang mga karapatan at ang mga obligasyon ng Data Exporter ay samakatuwid ay binigay, at laban sa kung kanino ang paksa ng data ay maaaring magpatupad ng mga naturang sugnay. Ang nasabing pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagproseso sa ilalim ng mga sugnay na ito.
4. Ang mga partido ay hindi tumututol sa data subject na kinakatawan ng isang asosasyon o iba pang katawan kung nais niya at kung pinapayagan ng pambansang batas.
Sugnay 4
Mga Obligasyon ng Data Exporter
Tinatanggap at ginagarantiyahan ng Data Exporter ang sumusunod:
a) ang pagproseso, kabilang ang aktwal na paglilipat ng personal na data, ay at patuloy na isasagawa alinsunod sa mga nauugnay na probisyon ng naaangkop na batas sa proteksyon ng data (at, kung naaangkop, ay naabisuhan sa mga karampatang awtoridad ng Estado ng Miyembro. kung saan nakabatay ang Data Exporter) at hindi nilalabag ang mga nauugnay na probisyon ng Estadong iyon;
b) sila ay nag-utos, at magtuturo sa tagal ng mga serbisyo sa pagpoproseso ng personal na data, ang Data Importer na iproseso ang personal na data na inilipat sa ngalan ng Data Exporter at alinsunod sa naaangkop na batas sa proteksyon ng data at mga sugnay na ito;
c) ang Data Importer ay magbibigay ng sapat na mga pananggalang patungkol sa teknikal at organisasyonal na mga hakbang sa seguridad na tinukoy sa Appendix 2 sa kasalukuyang kontrata;
d) pagkatapos ng pagsusuri ng mga kinakailangan ng naaangkop na batas sa proteksyon ng data, ang mga hakbang sa seguridad ay sapat upang maprotektahan ang personal na data laban sa aksidente o labag sa batas na pagkasira o aksidenteng pagkawala, pagbabago, hindi awtorisadong pagsisiwalat, o pag-access, lalo na kung saan ang pagproseso ay nagsasangkot ng paghahatid ng data sa isang network, at laban sa lahat ng iba pang labag sa batas na paraan ng pagproseso at pagtiyak ng antas ng seguridad na naaangkop sa mga panganib na kinakatawan ng pagproseso at likas na katangian ng data na protektahan, na isinasaalang-alang ang antas ng teknolohiya at ang halaga ng pagpapatupad;
e) titiyakin nila ang pagsunod sa mga hakbang sa seguridad;
f) kung ang paglipat ay nauugnay sa mga espesyal na kategorya ng data, ang paksa ng data ay ipinaalam o ipaalam bago ang paglipat, o sa lalong madaling panahon pagkatapos ng paglipat na ang kanyang data ay maaaring ilipat sa isang ikatlong bansa na hindi nag-aalok isang sapat na antas ng proteksyon sa loob ng kahulugan ng Directive 95/46/EC;
g) ipapasa nila ang anumang notification na natanggap mula sa Data Importer o anumang Data processor sa ilalim ng Clauses 5 (b) at 8 (3) sa data protection supervisory authority kung magpasya itong ipagpatuloy ang paglilipat o alisin ang pagsususpinde nito;
h) ibibigay nila sa mga paksa ng data, kung humiling sila, ng kopya ng Mga Clause na ito, maliban sa Appendix 2, at isang buod na paglalarawan ng mga hakbang sa seguridad, at isang kopya ng anumang karagdagang kasunduan sa subcontracting, na natapos sa ilalim ng Mga Clause na ito maliban kung ang Ang mga sugnay o ang kasunduan ay naglalaman ng komersyal na impormasyon, kung saan maaari niyang bawiin ang naturang impormasyon;
i) sa kaso ng sub-contracting ang proseso ng pagproseso ng data, ang aktibidad sa pagproseso ay isinasagawa alinsunod sa Clause 11 ng isang Data processor na nagbibigay ng hindi bababa sa parehong antas ng proteksyon ng personal na data at mga karapatan ng subject ng data bilang ang Data Importer sa ilalim ng Mga Clause na ito ; at
j) titiyakin nito ang pagsunod sa Clause 4 (a) hanggang (i).
Clause 5
Mga Obligasyon ng Data Importer
Tinatanggap at ginagarantiyahan ng Data Importer ang sumusunod:
a) ipoproseso lamang nila ang personal na data sa ngalan ng Data Exporter at sa ilalim ng mga tagubilin ng Data Exporter at mga clause na ito; kung hindi ito makakasunod sa anumang dahilan, sumasang-ayon silang ipaalam sa Data Exporter ang kawalan nito sa lalong madaling panahon, kung saan maaaring suspindihin ng Data Exporter ang paglilipat ng data at/o tapusin ang kontrata;
b) wala silang dahilan upang maniwala na ang batas na naaangkop sa kanila ay pumipigil sa kanya na tuparin ang mga tagubiling ibinigay ng Data Exporter at ang mga obligasyong nauukol sa kanya sa ilalim ng kontrata, at kung ang naturang batas ay napapailalim sa pagbabago na maaaring magkaroon ng materyal na masamang epekto. epekto sa mga warranty at obligasyon sa ilalim ng Mga Clause, aabisuhan niya ang Data Exporter ng pagbabago nang walang pagkaantala pagkatapos na malaman ito, kung saan maaaring suspindihin ng Data Exporter ang paglilipat ng data at/o tapusin ang kontrata; (c) ipinatupad nila ang teknikal at organisasyonal na mga hakbang sa seguridad na tinukoy sa Appendix 2 bago iproseso ang inilipat na personal na data;
d) aabisuhan nila ang Data Exporter nang walang pagkaantala:
i) anumang may-bisang kahilingan para sa pagbubunyag ng personal na data mula sa isang awtoridad na nagpapatupad ng batas, maliban kung tinukoy, tulad ng isang pagbabawal sa krimen na naglalayong panatilihin ang lihim ng isang imbestigasyon ng pulisya;
ii) anumang hindi sinasadya o hindi awtorisadong pag-access; at
iii) anumang kahilingang natanggap nang direkta mula sa mga taong kinauukulan nang hindi tumutugon dito maliban kung siya ay pinahintulutan na gawin ito; mga tagapangasiwa
e) haharapin nila kaagad at maayos ang lahat ng mga katanungan mula sa Data Exporter tungkol sa pagproseso nito ng inililipat na personal na data at kikilos sa ilalim ng opinyon ng awtoridad na nangangasiwa tungkol sa pagproseso ng inilipat na data;
f) sa kahilingan ng Data Exporter, isasailalim nila ang mga pasilidad sa pagpoproseso ng data nito sa isang pag-audit ng mga aktibidad sa pagproseso na saklaw ng mga clause na ito na isasagawa ng Data Exporter o isang supervisory body na binubuo ng mga independiyenteng miyembro na may mga kinakailangang propesyonal na kwalipikasyon, napapailalim sa isang obligasyon ng lihim at pinili ng Data Exporter, kung saan naaangkop sa kasunduan ng awtoridad sa pangangasiwa;
g) gagawin nilang available sa paksa ng data, kung humiling siya, ng kopya ng Mga Clause na ito, o anumang umiiral nang sub-contracting sa kontrata sa pagpoproseso ng data, maliban kung naglalaman ang Mga Clause o ang kontrata ng komersyal na impormasyon, kung saan maaari nitong alisin ang naturang kontrata. impormasyon, maliban sa Appendix 2, na papalitan ng isang buod na paglalarawan ng mga hakbang sa seguridad, kung saan ang paksa ng data ay hindi makakakuha ng kopya mula sa Data Exporter;
h) sa kaso ng kumpidensyal na karagdagang sub-contracting sa pagpoproseso ng data, titiyakin niyang ipapaalam niya ang Data Exporter nang maaga at kukuha ng nakasulat na pahintulot ng Data Exporter;
i) ang mga serbisyo sa pagproseso na ibinigay ng Data processor ay dapat sumunod sa Clause 11;
j) kaagad silang magpapadala ng kopya ng anumang sub-contracting ng kasunduan sa pagproseso ng data na pinasok nito sa ilalim ng Mga Clause na ito sa Data Exporter.
Sugnay 6
Pananagutan
1. Sumasang-ayon ang mga partido na ang sinumang paksa ng data na nakaranas ng pinsala dahil sa paglabag sa mga obligasyong tinukoy sa Clause 3 o Clause 11 ng isang partido o ng isang Data processor ay maaaring makakuha ng kabayaran mula sa Data Exporter para sa pinsalang natamo.
2. Kung ang isang paksa ng data ay pinigilan na magsagawa ng aksyon para sa mga pinsala gaya ng tinutukoy sa talata 1 laban sa Data Exporter dahil sa pagkabigo ng Data Importer o ng Data processor nito na sumunod sa alinman sa mga obligasyon nito sa ilalim ng Clause 3 o Clause 11 dahil ang Data Ang Exporter ay pisikal na nawala, hindi na umiral sa batas o naging insolvent, ang Data Importer ay sumasang-ayon na ang data subject ay maaaring magsampa ng reklamo laban dito na parang ito ang Data Exporter maliban kung ang lahat ng legal na obligasyon ng Data Exporter ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa kahalili nitong entity, kung saan maaaring ipatupad ng paksa ng data ang kanyang mga karapatan. Maaaring hindi umasa ang Data Importer sa isang paglabag sa mga obligasyon nito ng isang Data processor upang maiwasan ang sarili nitong pananagutan.
3. Kung ang isang paksa ng data ay pinigilan na magsagawa ng pagkilos na tinutukoy sa mga talata 1 at 2 laban sa Data Exporter o sa Data Importer dahil sa paglabag ng Data processor sa mga obligasyon nito sa ilalim ng Clause 3 o Clause 11 dahil ang Data Exporter at ang Data Importer pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent, sumasang-ayon ang Data processor na ang data subject ay maaaring magsampa ng reklamo laban dito tungkol sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga clause na ito na parang ito ang Data Exporter o Data Importer maliban kung lahat ang mga legal na obligasyon ng Data Exporter o Data Importer ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa legal na kahalili, kung saan maaaring igiit ng paksa ng data ang kanyang mga karapatan.Ang pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga sugnay na ito.
Sugnay 7
Pamamagitan at hurisdiksyon
1. Sumasang-ayon ang Data Importer na kung sa ilalim ng mga sugnay, ang paksa ng data ay humihiling laban sa kanya ng karapatan ng third party na benepisyaryo at/o maghahabol ng kabayaran para sa pinsalang dinanas, tatanggapin niya ang desisyon ng paksa ng data:
a) upang isumite ang hindi pagkakaunawaan sa pamamagitan ng isang independiyenteng tao o, kung naaangkop, ang awtoridad sa pangangasiwa;
b) upang dalhin ang hindi pagkakaunawaan sa mga korte ng Estado ng Miyembro kung saan nakabatay ang Data Exporter.
2. Sumasang-ayon ang mga partido na ang pagpili na ginawa ng paksa ng data ay hindi makakaapekto sa pamamaraan o substantibong karapatan ng paksa ng data upang makakuha ng pagbawi alinsunod sa iba pang mga probisyon ng pambansa o internasyonal na batas.
Sugnay 8
Pakikipagtulungan sa mga awtoridad sa pangangasiwa
1. Sumasang-ayon ang Data Exporter na magdeposito ng kopya ng kasalukuyang kontrata sa awtoridad ng pangangasiwa kung kinakailangan ng huli o kung ang naturang deposito ay ibinigay ng naaangkop na batas sa proteksyon ng data.
2. Sumasang-ayon ang mga partido na ang awtoridad sa pangangasiwa ay maaaring magsagawa ng mga pagsusuri sa Data Importer at anumang Data processor sa parehong lawak at sa ilalim ng parehong mga kundisyon tulad ng mga pagsusuri na isinasagawa sa Data Exporter alinsunod sa naaangkop na batas sa proteksyon ng data.
3. Dapat ipaalam ng Data Importer sa Data Exporter sa lalong madaling panahon ang pagkakaroon ng batas tungkol sa Data Importer o anumang Data processor na pumipigil sa pag-verify sa Data Importer o anumang Data processor alinsunod sa talata 2. Sa ganoong kaso, ang Maaaring gawin ng Data Exporter ang mga hakbang na ibinigay para sa Clause 5 (b).
Sugnay 9
Naaangkop na batas
Nalalapat ang mga sugnay at pinamamahalaan ng batas ng Estado ng Miyembro kung saan nakabatay ang Data Exporter.
Sugnay 10
Pagbabago ng kontrata
Ang mga partido ay nangangako na hindi baguhin ang kasalukuyang mga sugnay. Nananatiling malaya ang mga partido na isama ang iba pang mga komersyal na sugnay na sa tingin nila ay kinakailangan, sa kondisyon na hindi sila sumasalungat sa kasalukuyang mga sugnay.
Sugnay 11
Kasunod na subcontracting
1. Hindi dapat i-subcontract ng Data Importer ang alinman sa mga aktibidad sa pagproseso nito na isinasagawa sa ngalan ng Data Exporter sa ilalim ng mga clause na ito nang walang paunang nakasulat na pahintulot ng Data Exporter. Dapat lamang i-subcontract ng Data Importer ang mga obligasyon nito sa ilalim ng Mga Clause na ito, nang may pahintulot ng Data Exporter, sa pamamagitan ng isang nakasulat na kasunduan sa Data processor na nagpapataw sa Data processor ng parehong mga obligasyon tulad ng ipinataw sa Data Importer sa ilalim ng Mga Clause na ito. Kung hindi makasunod ang Data processor sa mga obligasyon nito sa proteksyon ng data sa ilalim ng nakasulat na kasunduan, ang Data Importer ay mananatiling ganap na responsable sa Data Exporter para sa pagtupad ng mga obligasyong iyon.
2. Ang naunang nakasulat na kasunduan sa pagitan ng Data Importer at ng Data processor ay dapat ding magsama ng isang third-party na sugnay na benepisyaryo tulad ng itinakda sa Clause 3 para sa mga kaso kung saan ang paksa ng data ay pinipigilan na dalhin ang claim para sa mga pinsalang tinutukoy sa Clause 6 (1 ), laban sa Data Exporter o Data Importer dahil ang Data Exporter o Data Importer ay pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent at lahat ng legal na obligasyon ng Data Exporter o Data Importer ay hindi nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng operasyon ng batas, sa isa pang kahalili na entity. Ang pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga sugnay na ito.
3. Ang mga probisyon na nauugnay sa mga aspeto ng proteksyon ng data ng sub-contracting sa pagproseso ng data ng kontrata na tinutukoy sa talata 1 ay dapat na pamamahalaan ng batas ng Estado ng Miyembro kung saan itinatag ang Data Exporter.
4. Ang Data Exporter ay dapat magtago ng isang listahan ng sub-contracting ang mga kasunduan sa pagpoproseso ng data na natapos sa ilalim ng Mga Clause na ito at aabisuhan ng Data Importer alinsunod sa Clause 5 (j), na dapat i-update nang hindi bababa sa isang beses sa isang taon. Ang listahang ito ay dapat gawing available sa awtoridad ng pangangasiwa sa proteksyon ng data ng Data Exporter.
Sugnay 12
Obligasyon pagkatapos ng pagwawakas ng mga serbisyo sa pagpoproseso ng personal na data
1. Sumasang-ayon ang mga partido na sa pagkumpleto ng mga serbisyo sa pagpoproseso ng data, ang Data Importer at ang Data processor ay, sa kaginhawahan ng Data Exporter, ibabalik ang lahat ng personal na data na inilipat at mga kopya nito sa Data Exporter, o sisirain ang lahat ng naturang data at magbibigay ng patunay ang pagkasira sa Data Exporter, maliban kung ang batas na ipinataw sa Data Importer ay humahadlang dito na ibalik o sirain ang lahat o bahagi ng personal na data na inilipat. Sa kasong iyon, ginagarantiyahan ng Data Importer na titiyakin nito ang pagiging kumpidensyal ng inilipat na personal na data at hindi na nito aktibong ipoproseso ang data.
2. Ang Data Importer at ang Data processor ay dapat tiyakin na, kung ito ay hihilingin ng Data Exporter at/o ang nangangasiwa na awtoridad, isasailalim nila ang kanilang paraan ng pagproseso ng data sa pag-verify ng mga hakbang na tinutukoy sa talata 1.
Appendix 1.1 hanggang Part 2
Mga detalye ng paglilipat
Taga-export ng Data
Ang Data Exporter ay ang Customer na tinukoy sa Contractual na kasunduan.
Taga-import ng Data
Ang Data Importer ay IQUALIF at itinalaga upang iproseso ang data, na nagbibigay ng mga serbisyo sa Data Exporter.
Mga paksa ng datos
Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng mga paksa ng data:
˜' mga subscriber ng telepono na nakalista sa pangkalahatang direktoryo
˜ Iba pa, kabilang ang:
Mga kategorya ng data
Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng data:
Mga kategorya ng personal na data ng mga paksa ng data ng Data Exporter sa partikular,
˜' Buong pangalan
˜' Postal address
˜' Mga detalye ng contact (e-mail, telepono, IP address, atbp.)
˜' Mga detalye ng mga aktibidad sa marketing tungkol sa subscriber ng telepono
˜' Iba pa, kabilang ang uri ng pabahay, kita, at karaniwang edad ng lungsod na ginawa nang hindi nagpapakilala
Mga espesyal na kategorya ng data (kung naaangkop)
Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na espesyal na kategorya ng data:
˜' Ang paglipat ng mga espesyal na kategorya ng data ay hindi inaasahan
˜ Lahi o etnikong pinagmulan
˜ Relihiyoso o pilosopikal na paniniwala
˜ Membership sa unyon ng manggagawa
˜ Mga pananaw sa pulitika
˜ Genetic na impormasyon
˜ Biometric na impormasyon
˜ Impormasyon sa oryentasyong sekswal o buhay sekswal
˜ Data ng kalusugan
Mga aktibidad sa pagproseso
Ang personal na data na inilipat ay sasailalim sa mga sumusunod na pangunahing aktibidad sa pagproseso:
Ang pagproseso na isinagawa sa ngalan ng Data Exporter ay batay sa mga sumusunod na paksa, sa partikular:
˜' Pangangasiwa sa mga produkto o serbisyong inaalok ng Data Exporter
˜' Ang alok ng isang produkto o serbisyo na maaaring hilingin ng tinatawag na tao
˜' Mga order na kinuha mula sa mga taong tinawag at karagdagang pagproseso ng mga order na ito
˜' Pag-aralan ang mga questionnaire at pagsusuri
˜' Telemarketing
˜ Iba pa, kabilang ang:
Pinoproseso ng Data Importer ang personal na data ng mga paksa ng data sa ngalan ng Data Exporter, upang maibigay ang mga sumusunod na serbisyo, at higit sa lahat:
˜' Sales at Marketing
˜' Iba pa, kabilang ang pag-update ng mga database ng mga bulwagan ng bayan at mga partidong pampulitika
Ang IQUALIF ay pangunahing pinagsasama, isinasentro, at nagbibigay ng mga serbisyo sa Data Exporter. Ang mga serbisyong ibinigay ng pinangalanang service provider ay maaaring nakaayos (kabilang ang iba kung naaangkop) sa paligid ng mga sumusunod na pantulong na serbisyo: (i) probisyon ng mga application, tool, system, at imprastraktura ng IT kaugnay ng mga data processing center na ginamit, upang makapagbigay ng at suportahan ang mga serbisyo, kabilang ang pagpoproseso ng personal na data ng mga paksa ng data tulad ng inilarawan sa itaas, sa pamamagitan ng mga application, tool, at system, (ii) ang pagbibigay ng suporta sa IT, pagpapanatili at iba pang mga serbisyong nauugnay sa mga naturang application, tool, system at imprastraktura ng IT, kabilang ang potensyal na pag-access sa personal na data na nakaimbak sa naturang mga application, tool, at system, at (iii) ang pagbibigay ng mga serbisyo sa proteksyon ng data, pagsubaybay sa proteksyon, at mga serbisyo sa pagtugon sa insidente, kabilang ang potensyal na pag-access sa personal na data kapag nagbibigay ng mga naturang serbisyo sa proteksyon. Maaaring makipag-ugnayan ang IQUALIF sa mga Data processor gaya ng itinakda sa ibaba upang ibigay ang mga serbisyo, kabilang ang mga pantulong na serbisyo.
Nakikipag-ugnayan ang IQUALIF sa mga external at third-party na service provider, na hindi mga subsidiary ng IQUALIF, upang suportahan ang pagbibigay ng mga serbisyo sa Data Exporter. Inaprubahan ng Data Exporter ang mga panlabas na third-party na service provider bilang mga sub-entity na nakatalaga sa pagproseso ng data.
Kung ang isang sub-entity na kasangkot sa pagproseso ng data ay matatagpuan sa labas ng EU/EEA, sa isang bansang itinuring na walang sapat na antas ng proteksyon ng data sa ilalim ng desisyon ng European Commission, ang Data Importer ay gagawa ng mga hakbang upang makakuha ng sapat na antas ng proteksyon ng data alinsunod sa GDPR at seksyon 3.4 (iv) ng Bahagi 1.
Appendix 2, Bahagi 2
Teknikal at organisasyonal na mga hakbang sa proteksyon
Dapat gawin ng Data Importer ang mga sumusunod na teknikal at organisasyonal na mga hakbang sa proteksyon na kinumpirma ng Data Exporter, upang magarantiya ang naaangkop na antas ng seguridad para sa mga karapatan at kalayaan ng mga indibidwal, depende sa mga panganib. Sa pagtatasa sa antas ng proteksyong nababahala, ang Data Exporter ay isinasaalang-alang, sa partikular, ang mga panganib na kasangkot sa pagproseso, kabilang ang hindi sinasadya o labag sa batas na pagkasira, pagbabago, hindi awtorisadong pagbubunyag, o pag-access sa personal na data na ipinadala, nakaimbak, o kung hindi man naproseso. Sa pamamagitan ng paglilinaw: Hindi nalalapat ang mga teknikal at organisasyonal na hakbang na ito sa proteksyon sa mga application, tool, system, at/o imprastraktura ng IT na ibinigay ng Data Exporter.
1 Pangkalahatang teknikal at organisasyonal na mga hakbang sa proteksyon |
1.1 Pangkalahatang impormasyon at mga diskarte sa proteksyon ng data |
Ang mga sumusunod na hakbang ay dapat gawin upang sundin ang pangkalahatang data at mga diskarte sa proteksyon ng impormasyon: |
|
|
|
|
|
1.2 Organisasyon ng proteksyon ng impormasyon |
Ang mga sumusunod na hakbang ay dapat gawin upang i-coordinate ang mga aktibidad sa proteksyon ng data at impormasyon: |
|
|
|
1.3 I-access ang kontrol sa mga lugar ng pagpoproseso |
Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang mga hindi awtorisadong tao na magkaroon ng access sa mga sistema ng pagpoproseso ng data (sa partikular na software at hardware) kapag ang personal na data ay naproseso, iniimbak, o ipinadala: |
|
|
|
|
1.4 I-access ang kontrol sa mga sistema ng pagproseso ng data |
Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang hindi awtorisadong pag-access sa mga sistema ng pagproseso ng data: |
|
|
|
|
|
|
1.5 Pagkontrol sa pag-access sa mga partikular na lugar ng paggamit ng mga sistema ng pagpoproseso ng data |
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang mga awtorisadong tao na may karapatang gumamit ng sistema ng pagpoproseso ng data ay maaari lamang mag-access ng data sa loob ng kani-kanilang mga responsibilidad at ma-access ang mga pahintulot at ang personal na data ay hindi maaaring basahin, kopyahin, baguhin, o tanggalin nang walang pahintulot: |
|
|
|
|
|
|
|
1.6 Kontrol sa paghahatid |
Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang personal na data na mabasa, makopya, mabago, o matanggal ng hindi awtorisadong mga third party sa panahon ng paghahatid o transportasyon ng mga data storage device (depende sa pagproseso ng personal na data na ginawa): |
|
|
|
1.7 Kontrol sa pagpasok ng data |
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na posibleng ma-verify at matukoy kung ang personal na data ay naipasok o tinanggal mula sa mga sistema ng pagproseso ng data at kung kanino: |
|
|
1.8 Kontrol sa trabaho |
Sa kaso ng itinalagang pagproseso ng personal na data, ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang naturang data ay naproseso alinsunod sa mga tagubilin ng Supervisor: |
|
|
|
|
1.9 Paghihiwalay mula sa pagproseso para sa iba pang mga layunin |
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang data na nakolekta para sa iba pang mga layunin ay maaaring iproseso nang hiwalay: |
|
|
1.10 Pseudonymization |
Ang mga sumusunod na hakbang ay dapat gawin tungkol sa pseudonymization ng personal na data: |
|
|
1.11 Pag-encrypt |
Ang mga sumusunod na hakbang ay dapat gawin upang i-encrypt ang personal na data sa mga application at pagpapadala na sumusuporta sa pag-encrypt:
|
|
|
1.12 Pagkumpleto ng mga sistema at serbisyo sa pagproseso ng data |
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang pagkakumpleto ng mga sistema at serbisyo sa pagproseso ng data: |
|
|
|
1.13 Availability ng mga system at serbisyo sa pagpoproseso ng data at ang posibilidad ng pagpapanumbalik ng access sa at paggamit ng personal na data sa kaganapan ng isang materyal o teknikal na insidente |
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang pagkakaroon ng mga sistema sa pagpoproseso ng data, gayundin upang mabilis na maibalik ang kakayahang magamit at pag-access sa personal na data, sa kaganapan ng isang materyal o teknikal na insidente (lalo na sa pamamagitan ng pagtiyak na ang personal na data ay protektado laban sa hindi sinasadyang pagkasira o pagkawala): |
|
|
|
|
|
|
|
1.14 Katatagan ng mga sistema at serbisyo sa pagpoproseso ng data |
Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang katatagan ng mga sistema at serbisyo sa pagproseso ng data: |
|
|
|
1.15 Pamamaraan para sa regular na pagsubok, pagsusuri, at pagtatasa ng pagiging epektibo ng teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng pagproseso ng data |
Pamamaraan para sa regular na pagsubok, pagsusuri, at pagtatasa ng pagiging epektibo ng mga teknikal at organisasyonal na hakbang upang maprotektahan ang pagproseso ng data. |
|
|
|
Bahagi 3
Mga lagda ng mga partido at listahan ng mga Data Importer
Kapag pinunan mo ang online na form ng pag-order at na-validate ito sa pamamagitan ng pag-tick sa kahon na tinatanggap ang mga pangkalahatang tuntunin at kundisyon ng paggamit, ang kontrata na namamahala sa relasyon sa pagitan ng Customer at IQUALIF ay itinatag.
Ang pagpapadala ng bayad sa IQUALIF ay isasaalang-alang ang kontratang napagkasunduan at itinatag.
Tandaan: Ang tekstong ito ay isinalin mula sa French. Ang orihinal na bersyon ng Pranses, na may bisa at legal na paghihigpit, ay magagamit dito .