Gå til forsiden / Generelle vilkår og betingelser/ Databehandlingsbilag

Bilag til databehandling

 

Dette bilag udgør en integreret del af kontrakten og er indgået af:

 

  1. (i) Kunden (" Dataeksportør ")
  2. (ii) POSTCODE (" Dataimportør ")

 

Hver af dem er et " parti " og almindeligvis " parter ".

 

Præambel

HVOR Dataimportøren leverer professionelle softwaretjenester, computer og relaterede tjenester;

HVOR Dataimportøren i henhold til Kontrakten har indvilliget i at levere til Dataeksportøren de tjenester, der er specificeret i Kontrakten (" Tjenesterne ");

HVOR Dataimportøren ved at levere Tjenesterne modtager eller nyder godt af adgang til Dataeksportørens oplysninger eller oplysninger om andre personer, der har et (potentiel) forhold til Dataeksportøren, kan sådanne oplysninger kvalificeres som persondata i henhold til forordningen (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne data (" GDPR ") og andre gældende databeskyttelseslove.

HVOR dette tillæg indeholder de vilkår og betingelser, der gælder for dataimportørens indsamling, behandling og brug af sådanne personoplysninger i sin egenskab af dataeksportørens autoriseret databehandler for at sikre, at parterne overholder gældende databeskyttelseslovgivning .

 

DERFOR, og for at gøre det muligt for parterne at fortsætte deres forhold lovligt, har parterne konkluderet dette tillæg som følger:

Del 1

 

1. Dokumentets struktur og definitioner

1.1 Struktur

Dette tillæg består af forskellige dele som følger:

 

Del 1:

indeholder generelle bestemmelser, f.eks. vedrørende definitionerne i dette appendiks, overholdelse af lokale love, timing og opsigelse

Del 2:

indeholder brødteksten i det uændrede standardkontraktbestemmelsesdokument

Bilag 1.1 til del 2:

indeholder oplysninger om de behandlingsoperationer, som dataimportøren har givet til dataeksportøren som den autoriserede databehandler (herunder behandlingen, arten og formålet med behandlingen, typen af ​​personoplysninger og kategorierne af registrerede) i henhold til denne bilag

Bilag 2 til del 2:

indeholder en beskrivelse af Dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger, som anvendes i forbindelse med alle behandlingsaktiviteter beskrevet i Bilag 1.1 i Del 2

Del 3:

indeholder underskrifter fra de parter, der skal være bundet af dette tillæg, og identificerer hver dataimportør

 

1.2 Terminologi og definitioner

I forbindelse med dette tillæg er terminologien og definitionerne, der anvendes af GDPR, gældende (i hoveddelen af ​​standardkontraktbestemmelsesdokumentet i del 2, hvor definerede udtryk ikke er med stort). 

 

"Medlemsland"

betyder et land, der tilhører Den Europæiske Union eller Det Europæiske Økonomiske Samarbejdsområde

"Særlige kategorier af (personlige) data"

henviser til personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskab, og genetiske data, biometriske data, hvis de behandles med det formål at identificere en person entydigt, data vedrørende helbred, data vedrørende en persons køn liv eller seksuel orientering

"Standard kontraktlige klausuler"

betyder standardkontraktklausulerne for overførsel af personoplysninger om behandlingsagenter etableret i tredjelande i henhold til Kommissionens afgørelse 2010/87/EU den 5. februar 2010, som blev ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 den 16. december 2016

"Dataprocessor"

betyder enhver behandlingsagent, beliggende i eller uden for EU/EØS, som accepterer at modtage personoplysninger fra Dataimportøren eller enhver anden behandler af Dataimportøren udelukkende med henblik på behandlingsaktiviteter, der skal udføres af Dataeksportøren efter overførsel i overensstemmelse med dataeksportørens instruktioner, vilkårene i dette bilag og kontrakten med dataimportøren

 

 

2. Dataeksportørens forpligtelser

2.1 Dataeksportøren har en forpligtelse til at sikre overholdelse af alle gældende forpligtelser i henhold til GDPR og enhver anden gældende databeskyttelseslovgivning, der gælder for dataeksportøren, og til at vise sådan overholdelse som krævet i henhold til artikel 5 (2) i GDPR. Dataeksportøren garanterer, at dataimportøren har indhentet forudgående samtykke fra de registrerede i overensstemmelse med artikel 6 (a) i GDPR og har overholdt sin forpligtelse til at informere de registrerede i henhold til artikel 13 og 14 i GDPR.

2.2 Dataeksportøren skal give dataimportøren de respektive filer over behandlingsaktiviteterne i overensstemmelse med artikel 30 (1) i GDPR relateret til tjenesterne i henhold til dette bilag, i det omfang det er nødvendigt for at dataimportøren kan overholde forpligtelsen iht. Artikel 30, stk. 2, i GDPR.

2.3 Dataeksportøren skal udpege en databeskyttelsesansvarlig eller repræsentant i det omfang, det kræves af gældende databeskyttelseslovgivning. Dataeksportøren er forpligtet til at oplyse databeskyttelsesagentens eller eventuelle repræsentants kontaktoplysninger til dataimportøren.

2.4. Dataeksportøren bekræfter forud for afslutningen af ​​behandlingen ved accept af dette bilag, at dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger, som angivet i bilag 2 til del 2, er passende og tilstrækkelige til at beskytte den registreredes rettigheder og bekræfter, at Dataimportøren yder tilstrækkelige sikkerhedsforanstaltninger i denne henseende.

 

3. Overholdelse af lokal lovgivning

For at opfylde kravene til implementering af behandlingsagenterne i henhold til artikel 28 i GDPR gælder følgende ændringer:

 

3.1 Instruktioner

  1. (i) Dataeksportøren instruerer dataimportøren om kun at behandle personoplysninger på vegne af dataeksportøren. Dataeksportørens instruktioner findes i dette tillæg og i kontrakten. Dataeksportøren er forpligtet til at sikre, at alle instruktioner blev givet til dataimportøren er i overensstemmelse med gældende databeskyttelseslove. Dataimportøren må kun behandle personoplysninger i overensstemmelse med instruktionerne givet af dataeksportøren, medmindre andet kræves af Den Europæiske Union eller lovgivningen i medlemsstaten (i sidstnævnte tilfælde gælder del 1, punkt 3.2 (iv) (c)) .
  2. (ii) Alle andre instruktioner, der går ud over instruktionerne i dette tillæg eller i kontrakten, skal inkluderes i emnet for dette tillæg og kontrakten. Hvis implementering af denne yderligere instruktion indebærer omkostninger for dataimportøren, skal dataimportøren informere dataeksportøren om sådanne omkostninger og give en forklaring, før instruksen implementeres. Først efter at Dataeksportøren har bekræftet accept af disse omkostninger til implementering af instruktionen, skal Dataimportøren implementere denne yderligere instruktion. Dataeksportøren skal give yderligere instruktioner skriftligt, medmindre hastende eller andre særlige omstændigheder kræver en anden formular (f.eks. mundtlig, elektronisk). Instruktioner i anden form end skriftligt skal bekræftes skriftligt og uden forsinkelse af Dataeksportøren.
  3. 1. Medmindre dataeksportøren ikke selv kan foretage berigtigelse, sletning eller begrænsning af personlige data, kan instruktionerne også vedrøre berigtigelse, sletning og/eller begrænsning af personoplysninger som angivet i del 1, punkt 3.3.
  4. 2. Dataimportøren skal straks informere dataeksportøren, hvis en instruks efter dens opfattelse overtræder GDPR eller andre gældende databeskyttelsesbestemmelser i Den Europæiske Union eller en medlemsstat (" Disputed Instruction"). Hvis Dataimportøren mener, at en Instruktion krænker GDPR eller andre gældende databeskyttelsesbestemmelser i Den Europæiske Union eller en medlemsstat, er Dataimportøren ikke forpligtet til at følge den omstridte Instruktion. Hvis Dataeksportøren bekræfter den Anfægtede Instruktion pr. modtagelse af oplysninger fra Dataimportøren og anerkender sit ansvar for den Anfægtede Instruktion, skal Dataimportøren implementere den Anfægtede Instruktion, medmindre den Anfægtede Instruktion vedrører (i) implementering af tekniske og organisatoriske foranstaltninger, (ii) Dataens rettigheder Emner eller (iii) inddragelse af databehandlere I tilfælde (i) til (iii) kan dataimportøren kontakte en kompetent tilsynsmyndighed for at få den anfægtede instruks juridisk vurderet af en sådan myndighed.Hvis tilsynsmyndigheden erklærer den anfægtede Instruks for lovlig, skal Dataimportøren gennemføre den anfægtede Instruks. Del 1 Klausul 3.1 (ii) forbliver gældende.

 

3.2 Dataimportørens forpligtelser

  1. (i) Dataimportøren skal sikre, at personer, der er autoriseret af Dataimportøren til at behandle personoplysninger på vegne af Dataeksportøren, især ansatte hos Dataimportøren og ansatte hos enhver Underleverandør, har forpligtet sig til at iagttage fortrolighed eller er underlagt en passende lovbestemt tavshedspligt, og at sådanne personer, der har adgang til persondata, behandler dem i overensstemmelse med Dataeksportørens anvisninger.
  2. (ii) Dataimportøren skal implementere de tekniske og organisatoriske sikkerhedsforanstaltninger som angivet i bilag 2 til del 2, før han behandler personoplysningerne på vegne af dataeksportøren. Dataimportøren kan fra tid til anden ændre de tekniske og organisatoriske sikkerhedsforanstaltninger, hvis de ikke giver mindre beskyttelse end dem, der er angivet i bilag 2 til del 2.
  3. (iii) Dataimportøren skal efter anmodning fra dataeksportøren stille oplysninger til rådighed for dataeksportøren for at vise overholdelse af dataimportørens forpligtelser i henhold til dette tillæg. Parterne er enige om, at denne informationsforpligtelse er opfyldt ved at give dataeksportøren en revisionsrapport (der dækker princippernes sikkerhed, systemtilgængelighed og fortrolighed) ("revisionsrapport"). Hvis yderligere revisionsaktiviteter er lovpligtige, kan dataeksportøren anmode om, at inspektioner udføres af dataeksportøren eller en anden revisor udpeget af dataeksportøren, forudsat at en sådan revisor udfører en fortrolighedsaftale med dataimportøren til dataimportørens rimelig tilfredshed ("Revision"). Denne revision er underlagt følgende betingelser:(i) Dataimportørens forudgående formelle skriftlige accept; og (ii) Dataeksportøren skal bære alle omkostninger i forbindelse med On-Site Audit for Dataeksportøren og Dataimportøren. Dataeksportøren skal oprette en revisionsrapport, der opsummerer resultaterne og observationerne af On-Site Audit ("On-Site Audit Report"). Revisionsrapporterne på stedet og revisionsrapporterne er fortrolige oplysninger om dataimportøren og må ikke videregives til tredjeparter, medmindre det kræves af gældende databeskyttelseslovgivning eller i overensstemmelse med dataimportørens samtykke.Revisionsrapporterne på stedet og revisionsrapporterne er fortrolige oplysninger om dataimportøren og må ikke videregives til tredjeparter, medmindre det kræves af gældende databeskyttelseslovgivning eller i overensstemmelse med dataimportørens samtykke.Revisionsrapporterne på stedet og revisionsrapporterne er fortrolige oplysninger om dataimportøren og må ikke videregives til tredjeparter, medmindre det kræves af gældende databeskyttelseslovgivning eller i overensstemmelse med dataimportørens samtykke.
  4. (iv) Dataimportøren er forpligtet til at underrette dataeksportøren uden unødig forsinkelse:
    1. en. vedrørende enhver juridisk bindende anmodning om videregivelse af personoplysninger fra en retshåndhævende myndighed, medmindre andet er forbudt, såsom et forbud i straffeloven for at beskytte fortroligheden af ​​en retshåndhævende undersøgelse
    2. b. vedrørende enhver klage og anmodning modtaget direkte fra en registreret (f.eks. vedrørende adgang, berigtigelse, sletning, begrænsning af behandling, dataportabilitet, indsigelse mod databehandling, automatiseret beslutningstagning) uden at svare på denne anmodning, medmindre dataimportøren har fået tilladelse til at gør det
    3. c. hvis dataimportøren eller databehandleren er forpligtet i henhold til lovgivningen i Den Europæiske Union eller i den medlemsstat, som dataimportøren eller databehandleren er underlagt, til at behandle personoplysningerne ud over dataeksportørens anvisninger, før en sådan behandling udføres efter instruktionerne, medmindre lovgivningen i Den Europæiske Union eller i medlemsstaten forbyder sådan behandling af vitale samfundsinteresser, i hvilket tilfælde meddelelsen til dataeksportøren skal specificere det juridiske krav i henhold til denne lovgivning i Den Europæiske Union eller i medlemsstaten; eller
    4. d. hvis Dataimportøren indser en krænkelse af personoplysninger, udelukkende på grund af sig selv eller sin underleverandør, hvilket vil påvirke Dataeksportørens personoplysninger omfattet af nærværende kontrakt, i hvilket tilfælde Dataimportøren vil bistå Dataeksportøren med dennes forpligtelse, i forhold til den gældende databeskyttelseslovgivning, at informere de registrerede og, hvor det er relevant, tilsynsmyndighederne ved at levere de oplysninger, de har til rådighed, i overensstemmelse med artikel 33, stk. 3, i GDPR.
    5. (v) På anmodning af dataeksportøren skal dataimportøren være tvunget til at bistå dataeksportøren med dennes forpligtelse til at udføre en databeskyttelseskonsekvensvurdering, som kan være påkrævet i henhold til artikel 35 i GDPR og en forudgående høring, der evt. krævet i henhold til artikel 36 i GDPR vedrørende de tjenester, som dataimportøren leverer til dataeksportøren i henhold til dette tillæg, og leverer de nødvendige oplysninger og oplysninger til dataeksportøren. Dataimportøren er kun forpligtet til at yde sådan bistand, hvis Dataeksportøren ikke kan opfylde sin forpligtelse på anden vis. Dataimportøren vil informere dataeksportøren om omkostningerne ved sådan assistance. Så snart dataeksportøren har bekræftet, at den kan afholde denne omkostning, vil dataimportøren give dataeksportøren denne hjælp.
    6. (vi) Ved afslutningen af ​​leveringen af ​​tjenesterne kan dataeksportøren anmode om returnering af de personoplysninger, der behandles af dataimportøren i henhold til dette tillæg, inden for en måned efter tjenesterne. Medmindre lovgivningen i medlemsstaten eller EU kræver, at dataimportøren skal opbevare eller opbevare sådanne personoplysninger, sletter dataimportøren alle sådanne personlige eller ikke-personlige data efter en måneds periode, uanset om de er blevet returneret til dataeksportøren på dennes anmodning eller ej.

 

3.3 Berørte personers rettigheder

  1.  
    1. (i) Dataeksportøren administrerer og besvarer anmodninger fra de registrerede. Dataimportør er ikke forpligtet til at svare direkte til de registrerede.
    2. (ii) Hvis dataeksportøren har brug for dataimportørens assistance til at behandle og besvare den registreredes anmodninger, skal dataeksportøren udstede en yderligere instruktion i overensstemmelse med paragraf 3.1 (ii) i del 1. Dataimportøren vil bistå dataeksportøren med følgende passende og tekniske organisatoriske foranstaltninger til at reagere på anmodninger om udøvelse af de registreredes rettigheder, som er anført i kapitel III i GDPR som følger:
    3. en. Med hensyn til anmodninger om oplysninger, vil dataimportøren kun give dataeksportøren de oplysninger, der kræves i henhold til artikel 13 og 14 i PGRD, som den måtte råde over, hvis dataeksportøren ikke selv kan finde dem.
    4. b. Vedrørende anmodninger om adgang (artikel 15 i GDPR) vil dataimportøren kun give dataeksportøren de oplysninger, der formodes at blive givet til en registreret for den nævnte anmodning om adgang, som den måtte have til sin rådighed, hvis sidstnævnte kan ikke finde det alene.
    5. c. Vedrørende anmodninger om berigtigelse (artikel 16 i GDPR), anmodninger om sletning (artikel 17 i GDPR), begrænsning af anmodninger om behandling (artikel 18 i GDPR) eller anmodninger om portabilitet (artikel 20 i GDPR) og kun hvis Dataeksportøren ikke selv kan rette eller slette, begrænse eller overføre personoplysningerne til en anden tredjepart, vil Dataimportøren tilbyde Dataeksportøren muligheden for at rette eller slette, begrænse eller overføre de pågældende personoplysninger til den anden tredjepart, eller hvis dette ikke er muligt, vil det yde hjælp til at rette eller slette, begrænse eller overføre de pågældende personoplysninger til den anden tredjepart.
    6. d. Med hensyn til meddelelsen vedrørende berigtigelse, sletning eller begrænsning af behandling (artikel 19 i GDPR), vil dataimportøren bistå dataeksportøren ved at underrette alle modtagere af personoplysninger, som er engageret af dataimportøren som behandlere, hvis dataeksportøren anmoder herom og hvis Dataeksportøren ikke selv kan afhjælpe situationen.
    7. e. Med hensyn til retten til indsigelse udøvet af en registreret (artikel 21 og 22 i GDPR) vil dataeksportøren afgøre, om indsigelsen er legitim, og hvordan den skal håndteres.
    8. (iii) Dataimportørens bistandsforpligtelser er begrænset til persondata, der behandles inden for dennes infrastruktur (f.eks. databaser, systemer, applikationer, der ejes eller leveres af Dataimportøren).
    9. (iv) Dataeksportøren skal afgøre, om en registreret kan udøve de registreredes rettigheder anført i paragraf 3.1 i denne del 1, og skal informere dataimportøren om, i hvilket omfang den bistand, der er specificeret i paragraf 3.3 (ii), ( iii) i del 1 er nødvendig.
    10. (v) Hvis dataeksportøren anmoder om yderligere eller ændrede tekniske og organisatoriske foranstaltninger for at opfylde de registreredes rettigheder, som går ud over den bistand, som dataimportøren yder i henhold til afsnit 3.3 (ii), (iii) i del 1, dataene Importøren skal informere dataeksportøren om omkostningerne ved at implementere sådanne yderligere eller ændrede tekniske og organisatoriske foranstaltninger. Så snart Dataeksportøren har bekræftet, at den kan afholde disse omkostninger, skal Dataimportøren implementere sådanne yderligere eller ændrede tekniske og organisatoriske foranstaltninger for at hjælpe Dataeksportøren med at svare på de Registreredes anmodninger.
    11. (vi) Uden at begrænse omfanget af paragraf 3.3 (v) i del 1, er dataeksportøren forpligtet til at godtgøre dataimportøren for dens rimelige udgifter i forbindelse med besvarelse af de registreredes anmodninger.

 

3.4 Underbehandling

  1.  
    1. (i) Dataeksportøren autoriserer dataimportørens brug af underleverandører til levering af tjenester i henhold til dette tillæg. Dataimportøren skal udvælge sådanne databehandlere omhyggeligt. Dataeksportøren godkender den eller de databehandlere, der er anført i bilag 1.1 i slutningen af ​​del 2.
    2. (ii) Dataimportøren skal overføre sine forpligtelser i henhold til dette tillæg til databehandleren/databehandleren i det omfang, det er relevant for de underleverede tjenester.
    3. (iii) Dataimportøren kan afskedige, erstatte eller udpege en anden passende og pålidelig databehandler(e) efter eget skøn. Hvis Dataeksportøren skriftligt anmoder herom, skal Dataimportøren følge nedenstående procedure:
  1.  
    1. en. Dataimportøren skal informere dataeksportøren før enhver ændring af listen over databehandlere, der henvises til i afsnit 3.4 (i) i del 1. Hvis dataeksportøren ikke gør indsigelse i henhold til punkt 3.4. (b) i del 1 tredive dage efter modtagelse af meddelelse fra dataimportøren, anses de yderligere databehandlere for at være accepteret.
    2. b. Hvis Dataeksportøren har en legitim grund til at gøre indsigelse mod en yderligere Databehandler, vil den give forudgående skriftlig meddelelse til Dataimportøren inden for tredive dage efter modtagelsen af ​​Dataimportørens meddelelse og før Dataimportørens service sættes i drift. Hvis dataeksportøren gør indsigelse mod brugen af ​​en yderligere databehandler, kan dataimportøren fjerne indsigelsen ved en af ​​følgende muligheder (valgt efter eget skøn): (A) dataimportøren vil annullere sine planer om at bruge en ekstra databehandler vedr. dataeksportørens personlige data; (B) Dataimportøren vil træffe de korrigerende foranstaltninger, som Dataeksportøren anmoder om i sin indsigelse (annullering af indsigelsen) og bruge den ekstra databehandler vedrørende dataeksportørens personoplysninger;(C) Dataimportøren kan ophøre med at levere, eller Dataeksportøren kan acceptere ikke at bruge (midlertidigt eller permanent) et bestemt aspekt af tjenesten, som ville involvere brugen af ​​Dataeksportørens yderligere behandler af Dataeksportørens personoplysninger.
  2.  
    1. (iv) hvis databehandleren er baseret uden for EU-EØS i et land, der ikke er anerkendt som at tilbyde et passende niveau af databeskyttelse efter en beslutning truffet af Europa-Kommissionen, vil dataimportøren træffe foranstaltninger til at overholde et passende niveau af databeskyttelse i overensstemmelse med GDPR (sådanne foranstaltninger kan omfatte - blandt andet og - brug af databehandlingskontrakter baseret på klausulerne i EU-modellen, overførsel til selvcertificerede databehandlere inden for rammerne af EU-US Protection Shield eller et lignende program).

 

3.5 Udløb

Udløbet af dette tillæg er identisk med udløbsdatoen for den tilsvarende kontrakt. Medmindre andet er angivet i dette tillæg, skal rettighederne og pligterne i forbindelse med opsigelse være de samme som dem, der er indeholdt i Kontrakten.

 

4. Ansvarsbegrænsning

4.1 Hver part varetager sine forpligtelser i henhold til dette bilag og den gældende databeskyttelseslovgivning.

4.2 Ethvert ansvar i forbindelse med en overtrædelse af forpligtelserne i henhold til dette tillæg eller gældende databeskyttelseslovgivning er underlagt og styret af ansvarsbestemmelserne angivet i eller gældende for kontrakten, medmindre andet er angivet i dette tillæg. Hvis ansvar er styret af ansvarsbestemmelserne angivet i eller gældende for Kontrakten, for beregning af ansvarsgrænser eller bestemmelse af anvendelsen af ​​andre ansvarsbegrænsninger, skal ethvert ansvar, der opstår i henhold til dette tillæg, anses for at opstå under Kontrakten.

 

5. Almindelige bestemmelser

5.1 Hvis der er uoverensstemmelser eller uoverensstemmelser mellem del 1 og 2 i dette tillæg, har del 2 forrang. Specifikt, selv i et sådant tilfælde, vil del 1, som blot går ud over del 2 (dvs. vilkårene i standardklausuler) uden at modsige den, forblive gyldig.

5.2 Hvis der opstår uoverensstemmelser mellem bestemmelserne i dette tillæg og bestemmelserne i andre kontrakter, der binder parterne, har dette tillæg forrang med hensyn til parternes databeskyttelsesforpligtelser. I tilfælde af tvivl om, hvorvidt klausuler i andre kontrakter vedrører parternes databeskyttelsesforpligtelser, har dette bilag forrang.

5.3 Hvis en bestemmelse i dette appendiks er ugyldig eller ikke kan håndhæves, forbliver resten af ​​dette appendiks i fuld kraft og virkning. Den ugyldige eller ikke-gennemførlige bestemmelse vil blive (i) ændret for at sikre dens gyldighed og eksigibilitet, samtidig med at parternes hensigt så vidt muligt bevares, eller - hvis dette ikke er muligt - (ii) fortolket som om den ugyldige eller ikke-gennemførlige del havde aldrig været en del af kontrakten. Ovenstående gælder også, hvis der er en udeladelse i dette tillæg.

5.5 I det omfang det er nødvendigt, kan parterne anmode om ændringer af del 1, paragraf 3 (Overholdelse af lokal lovgivning) eller andre dele af tillægget for at overholde fortolkninger, direktiver eller ordrer udstedt af de kompetente myndigheder i Unionen eller Medlemsstater, nationale håndhævelsesbestemmelser eller enhver anden retlig udvikling vedrørende GDPR eller andre betingelser for delegering til enheder, der er involveret i databehandling og specifikt vedrørende brugen af ​​standardkontraktbestemmelserne i GDPR. Vilkårene i standardkontraktklausulerne må ikke ændres eller erstattes, medmindre Europa-Kommissionen udtrykkeligt godkender det (f.eks. ved nye passende klausuler og databeskyttelsesstandarder).

5.6 Enhver henvisning i dette appendiks til "Klausulerne" skal forstås som at henvise til alle bestemmelserne i dette appendiks, medmindre andet er angivet.

5.7 Lovvalget i del 2, punkt 9, gælder for hele kontrakten.

 

6.  Personoplysninger, der overføres og behandles af parterne til personlige formål (overførsel fra den dataansvarlige til den dataansvarlige)

6.1 Parterne ved fuldt ud, at visse personoplysninger vil blive overført fra Dataeksportøren til Dataimportøren og omvendt, og at sådanne data behandles af hver Part til sine egne formål. Med hensyn til sådanne personlige data påvirker det ikke de øvrige bestemmelser i dette tillæg (bortset fra denne paragraf 6).

6.2 Dataeksportøren kan overføre personoplysninger vedrørende dataimportørens personale til dataimportøren, herunder oplysninger om sikkerhedshændelser eller andre dokumenter eller filer oprettet eller etableret af dataeksportøren i forbindelse med de tjenester, der leveres af personalet i dataimportøren. Dataimportøren kan behandle sådanne personoplysninger til sine egne formål, især i sine professionelle forhold til dataimportørens personale, til kvalitetskontrol og uddannelse eller til forretningsformål.

6.3. Dataimportøren kan overføre personoplysninger til Dataeksportøren, herunder navn og kontaktoplysninger på Dataimportørens personale. Dataeksportøren kan behandle sådanne personoplysninger til sine egne formål.

6.4 Begge parter skal overholde enhver gældende databeskyttelseslovgivning, herunder GDPR, ved indsamling, behandling og brug af sådanne personlige data modtaget fra den anden part i henhold til paragraf 1 i del 1. Især skal begge parter træffe passende sikkerhedsforanstaltninger, forudsat at et beskyttelsesniveau svarende til de sikkerhedsforanstaltninger, der er angivet i tillæg 2 til del 2. Enhver adgang til sådanne personoplysninger skal være begrænset til behovet for at kende dem.

6.5 Begge parter skal slette sådanne personoplysninger hurtigst muligt efter, at målene er nået.

Del 2

 

KOMMISSIONENS BESLUTNING

den 5. februar 2010

om standardkontraktbestemmelser for overførsel af personoplysninger til databehandlere etableret i tredjemandslande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF

 

 

 

Klausul 1

Definitioner

I klausulernes betydning:

a) "personoplysninger", "særlige kategorier af data", "behandling/behandling", "dataansvarlig", "databehandler", "registreret" og "tilsynsmyndighed" har samme betydning som i 95/46/EF Europa-Parlamentets og Rådets direktiv af 24. oktober 1995 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1);

b) "Dataeksportøren" er den dataansvarlige, der overfører personoplysningerne;

c) "Dataimportøren" er den databehandler, der accepterer at modtage personoplysninger fra dataeksportøren, der er beregnet til at blive behandlet på vegne af dataeksportøren efter overførslen i overensstemmelse med dennes instruktioner og betingelserne i disse klausuler, og som ikke er underlagt et tredjelands mekanisme, der sikrer passende beskyttelse i henhold til artikel 25, stk. 1, i direktiv 95/46/EF; (d) "Databehandler" betyder den databehandler, der er engageret af dataimportøren eller af enhver anden databehandler fra dataimportøren, som accepterer at modtage fra dataimportøren eller enhver anden databehandler af dataimportøren udelukkende med henblik på behandlingsaktiviteter til udføres på vegne af dataeksportøren efter overførslen i overensstemmelse med dataeksportørens instruktioner,under de betingelser, der er angivet i disse klausuler og under vilkårene i den skriftlige underleverandør af databehandlingskontrakten;

e) "gældende databeskyttelseslovgivning" betyder den lovgivning, der beskytter enkeltpersoners grundlæggende rettigheder og friheder, herunder retten til privatlivets fred vedrørende behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret;

f) "tekniske og organisatoriske foranstaltninger vedrørende sikkerhed"? betyder foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig ødelæggelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen involverer transmission af data over netværk, og mod alle andre ulovlige former for behandling.

Klausul 2

Detaljer om overførslen

Nærmere oplysninger om overførslen, herunder, hvor det er relevant, særlige kategorier af personoplysninger, er specificeret i bilag 1, som udgør en integreret del af disse klausuler.

Klausul 3

Tredjepartsbegunstiget klausul

1. Den registrerede kan påtvinge dataeksportøren denne klausul, paragraf 4(b) til (i), paragraf 5(a) til (e) og (g) til (j), paragraf 6 (1) og (2) ), paragraf 7, paragraf 8(2) og paragraf 9 til 12 som en tredjepartsbegunstiget

2. Den registrerede kan håndhæve denne paragraf, paragraf 5 (a) til (e) og (g), paragraf 6, paragraf 7, paragraf 8 (2) og paragraf 9 til 12 over for dataimportøren, hvor dataeksportøren fysisk har forsvundet eller er ophørt med at eksistere i loven, medmindre alle hans juridiske forpligtelser er blevet overdraget, ved kontrakt eller i kraft af lov, til den efterfølgende enhed, som dataeksportørens rettigheder og forpligtelser derfor vender tilbage til, og som dataene er imod. subjekt kan derfor håndhæve de nævnte klausuler.

Den registrerede kan håndhæve denne paragraf, paragraf 5 (a) til (e) og (g), paragraf 6, paragraf 7, paragraf 8 (2) og paragraf 9 til 12 over for databehandleren, men kun i tilfælde, hvor dataene Eksportøren og dataimportøren er fysisk forsvundet, ophørt med at eksistere i loven eller er blevet insolvente, medmindre alle dataeksportørens juridiske forpligtelser er blevet overdraget, ved kontrakt eller ved lov, til den juridiske efterfølger, til hvem rettighederne og Dataeksportørens forpligtelser er derfor optjent, og over for hvem den registrerede derfor kan håndhæve sådanne klausuler. Et sådant ansvar for databehandleren skal være begrænset til dennes egne behandlingsaktiviteter i henhold til disse klausuler.

4. Parterne gør ikke indsigelse mod, at den registrerede repræsenteres af en forening eller et andet organ, hvis han eller hun ønsker det, og hvis national lovgivning tillader det.

Klausul 4

Dataeksportørens forpligtelser

Dataeksportøren accepterer og garanterer følgende:

a) behandlingen, herunder den faktiske overførsel af personoplysninger, er blevet og vil fortsat blive udført i overensstemmelse med de relevante bestemmelser i gældende databeskyttelseslovgivning (og, hvor det er relevant, er blevet underrettet til de kompetente myndigheder i medlemsstaten) hvori dataeksportøren er baseret) og ikke overtræder de relevante bestemmelser i den pågældende stat;

b) de har instrueret og vil instruere dataimportøren i varigheden af ​​behandlingstjenesterne for persondata om at behandle de personoplysninger, der overføres alene på vegne af dataeksportøren og i overensstemmelse med gældende databeskyttelseslovgivning og disse klausuler;

c) Dataimportøren vil yde tilstrækkelige sikkerhedsforanstaltninger vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i bilag 2 til nærværende kontrakt;

d) efter evaluering af kravene i den gældende databeskyttelseslovgivning er sikkerhedsforanstaltningerne tilstrækkelige til at beskytte personoplysninger mod utilsigtet eller ulovlig ødelæggelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen involverer overførsel af data over et netværk og mod alle andre ulovlige former for behandling og sikre et sikkerhedsniveau, der er passende i forhold til de risici, behandlingen repræsenterer og arten af ​​de data, der skal beskyttes, under hensyntagen til teknologiniveauet og omkostningerne ved implementeringen;

e) de vil sikre overholdelse af sikkerhedsforanstaltninger;

f) hvis overførslen vedrører særlige kategorier af data, er den registrerede blevet informeret eller vil blive informeret før overførslen eller hurtigst muligt efter videregivelsen om, at hans eller hendes data kan blive overført til et tredjeland, der ikke tilbyder et passende beskyttelsesniveau i henhold til direktiv 95/46/EF;

g) de vil videresende enhver meddelelse modtaget fra dataimportøren eller enhver databehandler i henhold til paragraf 5 (b) og 8 (3) til databeskyttelsestilsynsmyndigheden, hvis den beslutter at fortsætte overførslen eller at ophæve sin suspension;

h) de skal, hvis de anmoder herom, stille en kopi af disse klausuler, undtagen tillæg 2, og en sammenfattende beskrivelse af sikkerhedsforanstaltningerne og en kopi af enhver yderligere underleverandøraftale, indgået i henhold til disse klausuler, til rådighed for de registrerede, medmindre Klausuler eller aftalen indeholder kommercielle oplysninger, i hvilket tilfælde han kan trække sådanne oplysninger tilbage;

i) i tilfælde af underentreprise af databehandlingsprocessen, udføres behandlingsaktiviteten i overensstemmelse med paragraf 11 af en databehandler, der giver mindst samme niveau af beskyttelse af personoplysninger og registreredes rettigheder som dataimportøren i henhold til disse paragraffer ; og

j) det vil sikre overholdelse af paragraf 4 (a) til (i).

Klausul 5

Dataimportørens forpligtelser

Dataimportøren accepterer og garanterer følgende:

a) de vil kun behandle personoplysningerne på vegne af dataeksportøren og i henhold til dataeksportørens instruktioner og disse klausuler; hvis den af ​​en eller anden grund ikke kan overholde, accepterer de at informere dataeksportøren om dennes manglende evne så hurtigt som muligt, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og/eller afslutte kontrakten;

b) de ikke har nogen grund til at tro, at den lov, der gælder for dem, forhindrer ham i at opfylde de instruktioner, som dataeksportøren har givet, og de forpligtelser, der påhviler ham i henhold til kontrakten, og hvis en sådan lov er genstand for en ændring, der kan have en væsentlig negativ virkning på garantierne og forpligtelserne i henhold til klausulerne, skal han underrette dataeksportøren om ændringen uden forsinkelse efter at være blevet bekendt med den, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og/eller afslutte kontrakten; (c) de har implementeret de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i bilag 2, før de behandlede de overførte personoplysninger;

d) de vil underrette dataeksportøren uden forsinkelse:

i) enhver bindende anmodning om videregivelse af personoplysninger fra en retshåndhævende myndighed, medmindre andet er angivet, såsom et strafferetligt forbud med det formål at bevare hemmeligholdelsen af ​​en politiefterforskning;

ii) enhver tilfældig eller uautoriseret adgang; og

iii) enhver anmodning modtaget direkte fra de berørte personer uden at besvare den, medmindre han har fået tilladelse hertil; administratorer

e) de vil behandle alle henvendelser fra dataeksportøren omgående og korrekt vedrørende dennes behandling af de personoplysninger, der overføres, og vil handle under tilsynsmyndighedens udtalelse vedrørende behandlingen af ​​de overførte data;

f) efter anmodning fra dataeksportøren vil de underkaste sine databehandlingsfaciliteter en revision af de behandlingsaktiviteter, der er omfattet af disse klausuler, som skal udføres af dataeksportøren eller et tilsynsorgan bestående af uafhængige medlemmer med de nødvendige faglige kvalifikationer underlagt tavshedspligt og valgt af dataeksportøren, hvor det er relevant med tilsynsmyndighedens samtykke;

g) de vil stille til rådighed for den registrerede, hvis denne anmoder herom, en kopi af disse klausuler eller enhver eksisterende underentreprise af databehandlingskontrakten, medmindre klausulerne eller kontrakten indeholder kommerciel information, i hvilket tilfælde den kan fjerne sådanne oplysninger, bortset fra bilag 2, som vil blive erstattet af en sammenfattende beskrivelse af sikkerhedsforanstaltningerne, hvor den registrerede ikke kan få en kopi fra dataeksportøren;

h) i tilfælde af fortrolig yderligere underleverandør af databehandlingen, vil han sikre, at han informerer dataeksportøren på forhånd og indhenter dataeksportørens skriftlige samtykke;

i) de behandlingstjenester, der leveres af databehandleren, skal overholde paragraf 11;

j) de vil straks sende en kopi af enhver underentreprise af databehandleraftalen indgået af den i henhold til disse klausuler til dataeksportøren.

§ 6

Ansvar

1. Parterne er enige om, at enhver registreret, der har lidt skade på grund af en misligholdelse af forpligtelserne nævnt i paragraf 3 eller paragraf 11 af en part eller af en databehandler, kan opnå erstatning fra dataeksportøren for den lidte skade.

2. Hvis en registreret er forhindret i at anlægge et erstatningssøgsmål som nævnt i stk. 1 mod dataeksportøren for dataimportørens eller dennes databehandlers manglende overholdelse af nogen af ​​sine forpligtelser i henhold til paragraf 3 eller paragraf 11, fordi dataene Eksportøren er fysisk forsvundet, ophørt med at eksistere i lovgivningen eller er blevet insolvent, accepterer Dataimportøren, at den registrerede kan indgive en klage over den, som om den var Dataeksportøren, medmindre alle juridiske forpligtelser for Dataeksportøren er blevet overført, ved kontrakt eller i henhold til loven til dens efterfølgende enhed, mod hvilken den registrerede så kan håndhæve sine rettigheder. Dataimportøren må ikke påberåbe sig en databehandlers misligholdelse af sine forpligtelser for at undgå sit eget ansvar.

3. Hvis en registreret er forhindret i at anlægge sagen omhandlet i stk. 1 og 2 mod dataeksportøren eller dataimportøren for databehandlerens misligholdelse af sine forpligtelser i henhold til paragraf 3 eller paragraf 11, fordi dataeksportøren og dataimportøren er fysisk forsvundet, ophørt med at eksistere i loven eller er blevet insolvent, accepterer databehandleren, at den registrerede kan indgive en klage over denne vedrørende sine egne behandlingsaktiviteter i overensstemmelse med disse paragraffer, som om den var dataeksportøren eller dataimportøren, medmindre alle juridiske forpligtelser for dataeksportøren eller dataimportøren er blevet overført, ved kontrakt eller i henhold til lov, til den juridiske efterfølger, mod hvem den registrerede så kan gøre sine rettigheder gældende.Databehandlerens ansvar skal være begrænset til dennes egne behandlingsaktiviteter i overensstemmelse med disse klausuler.

 

§ 7

Mægling og jurisdiktion

1. Dataimportøren er indforstået med, at hvis den registrerede i henhold til klausulerne påberåber sig den tredjemands begunstigedes ret og/eller kræver erstatning for den påførte skade, vil han acceptere den registreredes afgørelse:

a) at forelægge tvisten til mægling af en uafhængig person eller, hvor det er relevant, tilsynsmyndigheden

b) at indbringe tvisten for domstolene i den medlemsstat, hvor dataeksportøren er baseret.

2. Parterne er enige om, at det valg, den registrerede træffer, ikke påvirker den registreredes proceduremæssige eller materielle ret til at opnå erstatning i overensstemmelse med andre bestemmelser i national eller international ret.

§ 8

Samarbejde med tilsynsmyndigheder

1. Dataeksportøren accepterer at deponere en kopi af nærværende kontrakt hos tilsynsmyndigheden, hvis denne kræver det, eller hvis en sådan deponering er fastsat i den gældende databeskyttelseslovgivning.

2. Parterne er enige om, at tilsynsmyndigheden kan foretage kontrol hos Dataimportøren og enhver Databehandler i samme omfang og på samme betingelser som ved kontrol udført hos Dataeksportøren i overensstemmelse med gældende databeskyttelseslovgivning.

3. Dataimportøren skal hurtigst muligt informere dataeksportøren om eksistensen af ​​lovgivning vedrørende dataimportøren eller enhver databehandler, som forhindrer verifikation hos dataimportøren eller enhver databehandler i overensstemmelse med stk. 2. I så fald skal Dataeksportøren kan træffe de foranstaltninger, der er fastsat i paragraf 5 (b).

§ 9

Gældende lov

Klausulerne gælder og er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er baseret.

§ 10

Ændring af kontrakten

Parterne forpligter sig til ikke at ændre nærværende klausuler. Parterne står frit for at medtage andre kommercielle klausuler, som de finder nødvendige, forudsat at de ikke er i modstrid med nærværende klausuler.

§ 11

Efterfølgende underentreprise

1. Dataimportøren skal ikke give nogen af ​​sine behandlingsaktiviteter udført på vegne af dataeksportøren i underentreprise i henhold til disse klausuler uden forudgående skriftligt samtykke fra dataeksportøren. Dataimportøren skal kun give sine forpligtelser i henhold til disse klausuler i underentreprise, med dataeksportørens samtykke, gennem en skriftlig aftale med databehandleren, der pålægger databehandleren de samme forpligtelser som dem, der pålægges dataimportøren i henhold til disse klausuler. Hvis databehandleren ikke kan overholde sine databeskyttelsesforpligtelser i henhold til den skriftlige aftale, forbliver dataimportøren fuldt ud ansvarlig over for dataeksportøren for opfyldelsen af ​​disse forpligtelser.

2. Den forudgående skriftlige aftale mellem Dataimportøren og Databehandleren skal også indeholde en tredjepartsbegunstigetsklausul som anført i punkt 3 for tilfælde, hvor den registrerede er forhindret i at fremsætte erstatningskravet omhandlet i § 6 (1) ), mod dataeksportøren eller dataimportøren, fordi dataeksportøren eller dataimportøren fysisk er forsvundet, ophørt med at eksistere i loven eller er blevet insolvent, og alle juridiske forpligtelser for dataeksportøren eller dataimportøren ikke er blevet overført, ved kontrakt eller ved operation loven, til en anden efterfølger enhed. Databehandlerens ansvar skal være begrænset til dennes egne behandlingsaktiviteter i overensstemmelse med disse klausuler.

3. Bestemmelserne vedrørende databeskyttelsesaspekterne i forbindelse med underleverandører af databehandlingen af ​​den kontrakt, der er omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

4. Dataeksportøren skal føre en liste over underleverandører af databehandleraftaler indgået i henhold til disse paragraffer og meddelt af dataimportøren i overensstemmelse med paragraf 5 (j), som skal ajourføres mindst én gang om året. Denne liste skal stilles til rådighed for dataeksportørens databeskyttelsestilsynsmyndighed.

§ 12

Forpligtelse efter ophør af persondatabehandlingstjenester

1. Parterne er enige om, at efter færdiggørelsen af ​​databehandlingstjenesterne vil Dataimportøren og Databehandleren efter Dataeksportørens bekvemmelighed returnere alle overførte personlige data og kopier heraf til Dataeksportøren eller destruere alle sådanne data og fremlægge bevis. tilintetgørelsen til Dataeksportøren, medmindre lovgivning pålagt Dataimportøren forhindrer denne i at returnere eller ødelægge alle eller dele af de overførte personlige data. I så fald garanterer Dataimportøren, at den vil sikre fortroligheden af ​​de overførte personoplysninger, og at den ikke længere aktivt vil behandle dataene.

2. Dataimportøren og databehandleren sikrer, at de, hvis dataeksportøren og/eller tilsynsmyndigheden anmoder herom, underkaster deres midler til databehandling en verifikation af de i stk.

 

 

 

 

Bilag 1.1 til del 2

Detaljer om overførslen

 

 

Dataeksportør

Dataeksportøren er den kunde, der er defineret i den kontraktlige aftale.

 

Dataimportør

Dataimportøren er POSTCODEZIP og er tildelt til at behandle dataene og levere tjenester til dataeksportøren.

 

Emner for dataene

De overførte personoplysninger vedrører følgende kategorier af registrerede:

en?? telefonabonnenter opført i den universelle telefonbog

â˜' Andre, herunder:

 

Kategorier af data

De overførte personoplysninger vedrører følgende kategorier af data:

 

Kategorier af personoplysninger om dataeksportørens registrerede, især,

en?? Fulde navn

â˜' Postadresse

en?? Kontaktoplysninger (e-mail, telefon, IP-adresse osv.)

en?? Nærmere oplysninger om markedsføringsaktiviteter vedrørende telefonabonnenten

â˜' Andre, herunder typen af ​​bolig, indkomst og gennemsnitsalder lavet af byen anonymt

 

Særlige kategorier af data (hvis relevant)

De overførte personoplysninger vedrører følgende særlige kategorier af data:

â˜' Overførsel af særlige kategorier af data er ikke forudset

en?? Race eller etnisk oprindelse

en?? Religiøse eller filosofiske overbevisninger

en?? Fagforeningsmedlemskab

en?? Politiske synspunkter

en?? Genetisk information

en?? Biometriske oplysninger

en?? Oplysninger om seksuel orientering eller seksualliv

en?? Sundhedsdata

 

Behandlingsaktiviteter

De overførte personoplysninger vil være underlagt følgende grundlæggende behandlingsaktiviteter:

 

  •  
    • •  Formaalet med behandlingen

Den behandling, der foretages på vegne af dataeksportøren, er baseret på følgende emner, især:

â˜' Overtagelse af de produkter eller tjenester, der tilbydes af dataeksportøren

â˜' Tilbuddet om et produkt eller en tjeneste, som den kaldte person kan anmode om

â˜' Ordrer taget fra de indkaldte personer og videre behandling af disse ordrer

â˜' Undersøg spørgeskemaer og analyser

â˜' Telemarketing

en?? Andre, herunder:

 

  •  
    • •  Bearbejdningens art og formål

Dataimportøren behandler de registreredes personoplysninger på vegne af dataeksportøren for at levere følgende tjenester, og især:

  • â˜' Automatisk udfyldelse af formularer
  • â˜' Adresser valideringsformular

â˜' Salg og marketing

â˜' Andre, herunder opdatering af databaser over rådhuse og politiske partier

 

  •  
    • •  Levering af tjenester og ansættelse af tjenesteydere

 

POSTCODEZIP kombinerer, centraliserer og leverer tjenester til dataeksportøren. Tjenesterne leveret af den navngivne tjenesteudbyder kan være struktureret (blandt andet efter behov) omkring følgende hjælpetjenester: (i) levering af applikationer, værktøjer, systemer og it-infrastruktur i forhold til de anvendte databehandlingscentre for at levere og understøtte tjenesterne, herunder behandlingen af ​​de registreredes personoplysninger som beskrevet ovenfor, via sådanne applikationer, værktøjer og systemer, (ii) levering af it-support, vedligeholdelse og andre tjenester relateret til sådanne applikationer, værktøjer, systemer og it-infrastruktur, herunder potentiel adgang til persondata, der er lagret i sådanne applikationer, værktøjer og systemer, og (iii) levering af databeskyttelsestjenester, beskyttelsesovervågning og hændelsesresponstjenester,herunder potentiel adgang til personoplysninger, når du leverer sådanne beskyttelsestjenester. POSTCODEZIP kan engagere databehandlere som angivet nedenfor til at levere tjenesterne, herunder tilknyttede tjenester.

 

  •  
    • • Eksterne tredjepartstjenesteudbydere som underenheder tildelt til databehandling

 

POSTCODEZIP engagerer eksterne og tredjeparts tjenesteudbydere, som ikke er datterselskaber af POSTCODEZIP, til at understøtte leveringen af ​​tjenester til dataeksportøren. Dataeksportøren godkender sådanne eksterne tredjepartstjenesteudbydere som underenheder, der er tildelt databehandling.

 

Hvis en underenhed, der er involveret i databehandling, er beliggende uden for EU/EØS, i et land, der anses for ikke at have et tilstrækkeligt databeskyttelsesniveau i henhold til en beslutning truffet af Europa-Kommissionen, vil dataimportøren tage skridt til at opnå et passende niveau af databeskyttelse i overensstemmelse med GDPR og afsnit 3.4 (iv) i del 1.

 

 

Bilag 2, del 2

Tekniske og organisatoriske beskyttelsesforanstaltninger

 

Dataimportøren skal træffe følgende tekniske og organisatoriske beskyttelsesforanstaltninger bekræftet af dataeksportøren for at garantere et passende sikkerhedsniveau for enkeltpersoners rettigheder og friheder afhængigt af risici. Ved vurderingen af ​​det pågældende beskyttelsesniveau har dataeksportøren især overvejet de risici, der er forbundet med behandlingen, herunder hændelig eller ulovlig ødelæggelse, ændring, uautoriseret videregivelse eller adgang til persondata, der er transmitteret, opbevaret eller på anden måde behandlet. Som præcisering: Disse tekniske og organisatoriske beskyttelsesforanstaltninger gælder ikke for de applikationer, værktøjer, systemer og/eller it-infrastruktur, som dataeksportøren leverer.

1 Generelle tekniske og organisatoriske beskyttelsesforanstaltninger

1.1 Generel information og databeskyttelsesstrategier

Følgende trin bør tages for at følge generelle data- og informationsbeskyttelsesstrategier:

  • a) træffe foranstaltninger til at evaluere dem, der er truffet vedrørende teknisk og organisatorisk beskyttelse;
  • b) tilbyde uddannelse for at øge bevidstheden blandt medarbejderne;
  • c) have en beskrivelse af de pågældende systemer og give medarbejderne adgang;
  • d) etablere en formel dokumentationsproces, når systemer implementeres eller modificeres;
  • e) dokumentere den organisatoriske struktur, processer, ansvar og respektive evalueringer;

1.2 Organisering af informationsbeskyttelse

Følgende foranstaltninger bør træffes for at koordinere data- og informationsbeskyttelsesaktiviteter:

  • a) defineret ansvar for beskyttelse af information og data (f.eks. gennem databeskyttelsesstyringspolitikken);
  • b) den nødvendige ekspertise til at beskytte oplysninger og data, der forbliver tilgængelige;
  • c) alle medarbejdere er forpligtet til at sikre, at personlige data holdes fortrolige, og er blevet informeret om de potentielle konsekvenser af at bryde denne forpligtelse.

1.3 Adgangskontrol til behandlingsområder

Følgende foranstaltninger skal træffes for at forhindre uautoriserede personer i at få adgang til databehandlingssystemer (især software og hardware), når personoplysninger behandles, opbevares eller transmitteres:

  • a) etablere sikre områder;
  • b) beskytte og begrænse adgangen til databehandlingssystemer;
  • c) etablere adgangstilladelser for medarbejdere og tredjeparter, herunder de respektive dokumenter;
  • d) enhver adgang til databehandlingscentre, hvori personoplysninger opbevares, skal logges.

1.4 Adgangskontrol til databehandlingssystemer

Følgende foranstaltninger skal træffes for at forhindre uautoriseret adgang til databehandlingssystemer:

  • a) politikker og procedurer for brugergodkendelse;
  • b) brug af adgangskoder på alle computersystemer;
  • c) fjernadgang til netværket kræver multifaktorautentificering og gives til den pågældende person i henhold til dennes ansvar og efter tilladelse;
  • d) adgang til specifikke funktioner er baseret på jobfunktioner og/eller attributter individuelt tildelt til en brugers konto;
  • e) adgangsrettigheder relateret til personoplysninger gennemgås regelmæssigt;
  • f) registreringer af ændringer i adgangsrettigheder holdes ajour.

1.5 Kontrol af adgangen til bestemte anvendelsesområder for databehandlingssystemer

Følgende foranstaltninger skal træffes for at sikre, at autoriserede personer med ret til at bruge databehandlingssystemet kun kan få adgang til data inden for deres respektive ansvarsområder og adgangsautorisationer, og at persondata ikke kan læses, kopieres, ændres eller slettes uden tilladelse:

  1. 1. 
    1. a) politikker, instruktioner og uddannelse af medarbejdere vedrørende hver enkelt af dems forpligtelser med hensyn til fortrolighed, ret til adgang til personoplysninger og omfanget af behandlingen af ​​personoplysninger;
  • b) disciplinære foranstaltninger mod personer, der får adgang til personlige data uden tilladelse;
  • c) Adgang til personoplysninger gives kun til autoriserede personer på et behov for at vide-basis;
  • d) føre en liste over systemadministratorer og træffe passende foranstaltninger til at overvåge systemadministratorer;
  • e) ikke at kopiere eller reproducere personlige data på noget lagringssystem for at gøre det muligt for uautoriserede personer at fjerne oplysningerne fra ophavsmanden;
  • f) kontrolleret og dokumenteret sletning eller destruktion af data;
  • g) at opbevare alle personlige data sikkert, som skal opbevares af juridiske eller regulatoriske årsager (f.eks. forpligtelser til at opbevare data), og kun så længe som loven kræver det.

1.6 Transmissionskontrol

Følgende foranstaltninger skal træffes for at forhindre, at personoplysninger læses, kopieres, ændres eller slettes af uautoriserede tredjeparter under transmission eller transport af datalagringsenheder (afhængigt af den foretagne behandling af personoplysninger):

  1. 1. 
    1. a) brug af firewalls;
  • b) undgå lagring af personlige data på mobile lagringsenheder til transportformål eller kryptering af enhederne;
  • c) kun brug på bærbare computere og andre mobile enheder, efter at krypteringsbeskyttelsen er blevet aktiveret;
  • d) logning af persondatatransmissioner.

1.7 Dataindtastningskontrol

Følgende foranstaltninger skal træffes for at sikre, at det er muligt at verificere og fastslå, om personoplysninger er indtastet eller slettet fra databehandlingssystemer, og af hvem:

  1. 1. 
    1. a) en politik for godkendelse af læsning, ændring og sletning af lagrede data;
  • b) beskyttelsesforanstaltninger vedrørende læsning, ændring og sletning af lagrede data.

1.8 Arbejdskontrol

I tilfælde af delegeret behandling af personoplysninger skal følgende foranstaltninger træffes for at sikre, at sådanne data behandles i overensstemmelse med tilsynsførendes instrukser:

  1. 1. 
    1. a) enheder eller underenheder, der er tildelt databehandling, valgt med omhu (tjenesteudbydere, der behandler personoplysninger på vegne af den dataansvarlige);
  • b) instruktioner vedrørende omfanget af enhver behandling af personoplysninger til de ansatte, enheder eller underenheder, der er tildelt databehandlingen;
  • c) revisionsrettigheder aftalt med de enheder eller underenheder, der er tildelt databehandlingen;
  • d) indgåede aftaler med de enheder eller underenheder, der er tildelt til at behandle dataene.

1.9 Adskillelse fra behandling til andre formål

Følgende foranstaltninger skal træffes for at sikre, at data indsamlet til andre formål kan behandles separat:

  1. 1. 
    1. a) separat adgang til personoplysninger i overensstemmelse med brugernes eksisterende rettigheder;
  • b) grænseflader, batchbehandling og rapportering er til andre formål og funktioner, således at data indsamlet til andre formål kan behandles separat.

1.10 Pseudonymisering

Følgende foranstaltninger skal træffes vedrørende pseudonymisering af personoplysninger:

  1. 1. 
    1. a) Hvis Dataeksportøren bestiller en specifik behandlingsoperation, eller hvis dette anses for passende af Dataimportøren i overensstemmelse med gældende databeskyttelseslovgivning vedrørende visse behandlingsaktiviteter, vil behandlingen af ​​personoplysninger blive udført på en sådan måde, at data kan ikke længere henføres til en bestemt person uden brug af yderligere oplysninger. Disse yderligere oplysninger vil blive opbevaret separat;
  • b) brug af pseudonymiseringsteknikker, herunder randomisering af tildelingslister; skabelse af værdier i form af skarpe.

1.11 Kryptering

Følgende trin bør tages for at kryptere personlige data i applikationer og transmissioner, der understøtter kryptering:

  1.  
    1. a) brug af krypteringsteknikker;
  • b) etablering af krypteringsstyring til støtte for de krypteringsteknikker, der er godkendt til at blive brugt;
  • c) støtte brugen af ​​kryptografi gennem procedurer og protokoller til generering, ændring, tilbagekaldelse, ødelæggelse, distribution, certificering, lagring, indfangning, brug og arkivering af kryptografiske nøgler for at beskytte mod uautoriseret ændring og offentliggørelse.

1.12 Fuldstændighed af databehandlingssystemer og tjenester

Følgende foranstaltninger skal træffes for at sikre fuldstændigheden af ​​databehandlingssystemer og tjenester:

  1. 1. a) beskyttelse af databehandlingssystemer mod manipulation eller ødelæggelse med passende midler (f.eks. antivirussoftware, software til forebyggelse af datatab og software mod malware, softwarepatches, firewalls og styret skrivebordsbeskyttelse);
  • b) forbyde installation af enhver tjeneste eller software, der er skadelig for databehandlingssystemer, tjenester eller manipulation af personlige data;
  • c) brug af et system til registrering og forebyggelse af netværksindtrængen i selve netværkets struktur.

1.13 Tilgængelighed af databehandlingssystemer og -tjenester og mulighed for at genoprette adgang til og brug af persondata i tilfælde af en væsentlig eller teknisk hændelse

Følgende foranstaltninger skal træffes for at sikre tilgængeligheden af ​​databehandlingssystemer, samt for hurtigt at kunne genoprette tilgængeligheden af ​​og adgangen til personoplysninger, i tilfælde af en væsentlig eller teknisk hændelse (især ved at sikre, at personlige data er beskyttet mod utilsigtet ødelæggelse eller tab):

  • a) have kontrolmidler til at opbevare sikkerhedskopier og gendanne tabte eller slettede data;
  • b) infrastrukturel redundans og præstationstest;
  • c) fysisk beskyttelse af computerressourcer;
  • d) brug af værktøjer til at overvåge status og tilgængelighed af det interne netværk;
  • e) hændelsesrapportering og reaktionspolitikker, der styrer hændelseshåndteringsproceduren, og gentagelse af overholdelse af disse politikker som en del af regelmæssig træning;
  • f) sikkerhedskopier (nogle gange off-site) for at gendanne systemet for at sætte det i stand til at udføre sine funktioner igen;
  • g) forretningskontinuitet/katastrofegenopretningsplaner

1.14 Modstandsdygtighed af databehandlingssystemer og tjenester

Følgende foranstaltninger skal træffes for at sikre robustheden af ​​databehandlingssystemer og tjenester:

  • a) systemer og harmonisk konfigureret ved hjælp af godkendte sikkerhedsparametre;
  • b) netværksredundans;
  • c) indeslutningsbeskyttelse af kritiske systemer.

1.15 Procedure for regelmæssig afprøvning, evaluering og vurdering af effektiviteten af ​​tekniske og organisatoriske foranstaltninger for at sikre databehandlingssikkerheden

Procedure for regelmæssig test, evaluering og vurdering af effektiviteten af ​​tekniske og organisatoriske foranstaltninger til beskyttelse af databehandling.

  • a) tage de nødvendige skridt til at vurdere risici og afhjælpningsstrategier;
  • b) serviceanalysemøder i IT-afdelingen for at behandle aktuelle problemer;
  • c) Planer for forretningskontinuitet/katastrofegenopretning opdateres regelmæssigt.

 

Del 3

Parternes underskrifter og liste over dataimportører

 

Når du udfylder onlinebestillingsformularen og validerer den ved at afkrydse boksen for at acceptere de generelle vilkår og betingelser for brug, er kontrakten, der regulerer forholdet mellem kunden og POSTCODEZIP, etableret.

Sending af betalingen til POSTCODEZIP vil overveje den aftalte og etablerede kontrakt.

Bemærk: Denne tekst er oversat fra fransk. Den originale franske version, som er gyldig og juridisk restriktiv, er tilgængelig  her .