Bilag til databehandling
Dette bilag udgør en integreret del af kontrakten og er indgået af:
Hver af dem er et " parti " og almindeligvis " parter ".
Præambel
HVOR Dataimportøren leverer professionelle softwaretjenester, computer og relaterede tjenester;
HVOR Dataimportøren i henhold til Kontrakten har indvilliget i at levere til Dataeksportøren de tjenester, der er specificeret i Kontrakten (" Tjenesterne ");
HVOR Dataimportøren ved at levere Tjenesterne modtager eller nyder godt af adgang til Dataeksportørens oplysninger eller oplysninger om andre personer, der har et (potentiel) forhold til Dataeksportøren, kan sådanne oplysninger kvalificeres som persondata i henhold til forordningen (EU) 2016/679 fra Europa-Parlamentet og Rådet af 27. april 2016 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne data (" GDPR ") og andre gældende databeskyttelseslove.
HVOR dette tillæg indeholder de vilkår og betingelser, der gælder for dataimportørens indsamling, behandling og brug af sådanne personoplysninger i sin egenskab af dataeksportørens autoriseret databehandler for at sikre, at parterne overholder gældende databeskyttelseslovgivning .
DERFOR, og for at gøre det muligt for parterne at fortsætte deres forhold lovligt, har parterne konkluderet dette tillæg som følger:
Del 1
1. Dokumentets struktur og definitioner
1.1 Struktur
Dette tillæg består af forskellige dele som følger:
Del 1: | indeholder generelle bestemmelser, f.eks. vedrørende definitionerne i dette appendiks, overholdelse af lokale love, timing og opsigelse |
Del 2: | indeholder brødteksten i det uændrede standardkontraktbestemmelsesdokument |
Bilag 1.1 til del 2: | indeholder oplysninger om de behandlingsoperationer, som dataimportøren har givet til dataeksportøren som den autoriserede databehandler (herunder behandlingen, arten og formålet med behandlingen, typen af personoplysninger og kategorierne af registrerede) i henhold til denne bilag |
Bilag 2 til del 2: | indeholder en beskrivelse af Dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger, som anvendes i forbindelse med alle behandlingsaktiviteter beskrevet i Bilag 1.1 i Del 2 |
Del 3: | indeholder underskrifter fra de parter, der skal være bundet af dette tillæg, og identificerer hver dataimportør |
1.2 Terminologi og definitioner
I forbindelse med dette tillæg er terminologien og definitionerne, der anvendes af GDPR, gældende (i hoveddelen af standardkontraktbestemmelsesdokumentet i del 2, hvor definerede udtryk ikke er med stort).
"Medlemsland" | betyder et land, der tilhører Den Europæiske Union eller Det Europæiske Økonomiske Samarbejdsområde |
"Særlige kategorier af (personlige) data" | henviser til personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskab, og genetiske data, biometriske data, hvis de behandles med det formål at identificere en person entydigt, data vedrørende helbred, data vedrørende en persons køn liv eller seksuel orientering |
"Standard kontraktlige klausuler" | betyder standardkontraktklausulerne for overførsel af personoplysninger om behandlingsagenter etableret i tredjelande i henhold til Kommissionens afgørelse 2010/87/EU den 5. februar 2010, som blev ændret ved Kommissionens gennemførelsesafgørelse (EU) 2016/2297 den 16. december 2016 |
"Dataprocessor" | betyder enhver behandlingsagent, beliggende i eller uden for EU/EØS, som accepterer at modtage personoplysninger fra Dataimportøren eller enhver anden behandler af Dataimportøren udelukkende med henblik på behandlingsaktiviteter, der skal udføres af Dataeksportøren efter overførsel i overensstemmelse med dataeksportørens instruktioner, vilkårene i dette bilag og kontrakten med dataimportøren |
2. Dataeksportørens forpligtelser
2.1 Dataeksportøren har en forpligtelse til at sikre overholdelse af alle gældende forpligtelser i henhold til GDPR og enhver anden gældende databeskyttelseslovgivning, der gælder for dataeksportøren, og til at vise sådan overholdelse som krævet i henhold til artikel 5 (2) i GDPR. Dataeksportøren garanterer, at dataimportøren har indhentet forudgående samtykke fra de registrerede i overensstemmelse med artikel 6 (a) i GDPR og har overholdt sin forpligtelse til at informere de registrerede i henhold til artikel 13 og 14 i GDPR.
2.2 Dataeksportøren skal give dataimportøren de respektive filer over behandlingsaktiviteterne i overensstemmelse med artikel 30 (1) i GDPR relateret til tjenesterne i henhold til dette bilag, i det omfang det er nødvendigt for at dataimportøren kan overholde forpligtelsen iht. Artikel 30, stk. 2, i GDPR.
2.3 Dataeksportøren skal udpege en databeskyttelsesansvarlig eller repræsentant i det omfang, det kræves af gældende databeskyttelseslovgivning. Dataeksportøren er forpligtet til at oplyse databeskyttelsesagentens eller eventuelle repræsentants kontaktoplysninger til dataimportøren.
2.4. Dataeksportøren bekræfter forud for afslutningen af behandlingen ved accept af dette bilag, at dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger, som angivet i bilag 2 til del 2, er passende og tilstrækkelige til at beskytte den registreredes rettigheder og bekræfter, at Dataimportøren yder tilstrækkelige sikkerhedsforanstaltninger i denne henseende.
3. Overholdelse af lokal lovgivning
For at opfylde kravene til implementering af behandlingsagenterne i henhold til artikel 28 i GDPR gælder følgende ændringer:
3.1 Instruktioner
3.2 Dataimportørens forpligtelser
3.3 Berørte personers rettigheder
3.4 Underbehandling
3.5 Udløb
Udløbet af dette tillæg er identisk med udløbsdatoen for den tilsvarende kontrakt. Medmindre andet er angivet i dette tillæg, skal rettighederne og pligterne i forbindelse med opsigelse være de samme som dem, der er indeholdt i Kontrakten.
4. Ansvarsbegrænsning
4.1 Hver part varetager sine forpligtelser i henhold til dette bilag og den gældende databeskyttelseslovgivning.
4.2 Ethvert ansvar i forbindelse med en overtrædelse af forpligtelserne i henhold til dette tillæg eller gældende databeskyttelseslovgivning er underlagt og styret af ansvarsbestemmelserne angivet i eller gældende for kontrakten, medmindre andet er angivet i dette tillæg. Hvis ansvar er styret af ansvarsbestemmelserne angivet i eller gældende for Kontrakten, for beregning af ansvarsgrænser eller bestemmelse af anvendelsen af andre ansvarsbegrænsninger, skal ethvert ansvar, der opstår i henhold til dette tillæg, anses for at opstå under Kontrakten.
5. Almindelige bestemmelser
5.1 Hvis der er uoverensstemmelser eller uoverensstemmelser mellem del 1 og 2 i dette tillæg, har del 2 forrang. Specifikt, selv i et sådant tilfælde, vil del 1, som blot går ud over del 2 (dvs. vilkårene i standardklausuler) uden at modsige den, forblive gyldig.
5.2 Hvis der opstår uoverensstemmelser mellem bestemmelserne i dette tillæg og bestemmelserne i andre kontrakter, der binder parterne, har dette tillæg forrang med hensyn til parternes databeskyttelsesforpligtelser. I tilfælde af tvivl om, hvorvidt klausuler i andre kontrakter vedrører parternes databeskyttelsesforpligtelser, har dette bilag forrang.
5.3 Hvis en bestemmelse i dette appendiks er ugyldig eller ikke kan håndhæves, forbliver resten af dette appendiks i fuld kraft og virkning. Den ugyldige eller ikke-gennemførlige bestemmelse vil blive (i) ændret for at sikre dens gyldighed og eksigibilitet, samtidig med at parternes hensigt så vidt muligt bevares, eller - hvis dette ikke er muligt - (ii) fortolket som om den ugyldige eller ikke-gennemførlige del havde aldrig været en del af kontrakten. Ovenstående gælder også, hvis der er en udeladelse i dette tillæg.
5.5 I det omfang det er nødvendigt, kan parterne anmode om ændringer af del 1, paragraf 3 (Overholdelse af lokal lovgivning) eller andre dele af tillægget for at overholde fortolkninger, direktiver eller ordrer udstedt af de kompetente myndigheder i Unionen eller Medlemsstater, nationale håndhævelsesbestemmelser eller enhver anden retlig udvikling vedrørende GDPR eller andre betingelser for delegering til enheder, der er involveret i databehandling og specifikt vedrørende brugen af standardkontraktbestemmelserne i GDPR. Vilkårene i standardkontraktklausulerne må ikke ændres eller erstattes, medmindre Europa-Kommissionen udtrykkeligt godkender det (f.eks. ved nye passende klausuler og databeskyttelsesstandarder).
5.6 Enhver henvisning i dette appendiks til "Klausulerne" skal forstås som at henvise til alle bestemmelserne i dette appendiks, medmindre andet er angivet.
5.7 Lovvalget i del 2, punkt 9, gælder for hele kontrakten.
6. Personoplysninger, der overføres og behandles af parterne til personlige formål (overførsel fra den dataansvarlige til den dataansvarlige)
6.1 Parterne ved fuldt ud, at visse personoplysninger vil blive overført fra Dataeksportøren til Dataimportøren og omvendt, og at sådanne data behandles af hver Part til sine egne formål. Med hensyn til sådanne personlige data påvirker det ikke de øvrige bestemmelser i dette tillæg (bortset fra denne paragraf 6).
6.2 Dataeksportøren kan overføre personoplysninger vedrørende dataimportørens personale til dataimportøren, herunder oplysninger om sikkerhedshændelser eller andre dokumenter eller filer oprettet eller etableret af dataeksportøren i forbindelse med de tjenester, der leveres af personalet i dataimportøren. Dataimportøren kan behandle sådanne personoplysninger til sine egne formål, især i sine professionelle forhold til dataimportørens personale, til kvalitetskontrol og uddannelse eller til forretningsformål.
6.3. Dataimportøren kan overføre personoplysninger til Dataeksportøren, herunder navn og kontaktoplysninger på Dataimportørens personale. Dataeksportøren kan behandle sådanne personoplysninger til sine egne formål.
6.4 Begge parter skal overholde enhver gældende databeskyttelseslovgivning, herunder GDPR, ved indsamling, behandling og brug af sådanne personlige data modtaget fra den anden part i henhold til paragraf 1 i del 1. Især skal begge parter træffe passende sikkerhedsforanstaltninger, forudsat at et beskyttelsesniveau svarende til de sikkerhedsforanstaltninger, der er angivet i tillæg 2 til del 2. Enhver adgang til sådanne personoplysninger skal være begrænset til behovet for at kende dem.
6.5 Begge parter skal slette sådanne personoplysninger hurtigst muligt efter, at målene er nået.
Del 2
KOMMISSIONENS BESLUTNING
den 5. februar 2010
om standardkontraktbestemmelser for overførsel af personoplysninger til databehandlere etableret i tredjemandslande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF
Klausul 1
Definitioner
I klausulernes betydning:
a) "personoplysninger", "særlige kategorier af data", "behandling/behandling", "dataansvarlig", "databehandler", "registreret" og "tilsynsmyndighed" har samme betydning som i 95/46/EF Europa-Parlamentets og Rådets direktiv af 24. oktober 1995 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1);
b) "Dataeksportøren" er den dataansvarlige, der overfører personoplysningerne;
c) "Dataimportøren" er den databehandler, der accepterer at modtage personoplysninger fra dataeksportøren, der er beregnet til at blive behandlet på vegne af dataeksportøren efter overførslen i overensstemmelse med dennes instruktioner og betingelserne i disse klausuler, og som ikke er underlagt et tredjelands mekanisme, der sikrer passende beskyttelse i henhold til artikel 25, stk. 1, i direktiv 95/46/EF; (d) "Databehandler" betyder den databehandler, der er engageret af dataimportøren eller af enhver anden databehandler fra dataimportøren, som accepterer at modtage fra dataimportøren eller enhver anden databehandler af dataimportøren udelukkende med henblik på behandlingsaktiviteter til udføres på vegne af dataeksportøren efter overførslen i overensstemmelse med dataeksportørens instruktioner,under de betingelser, der er angivet i disse klausuler og under vilkårene i den skriftlige underleverandør af databehandlingskontrakten;
e) "gældende databeskyttelseslovgivning" betyder den lovgivning, der beskytter enkeltpersoners grundlæggende rettigheder og friheder, herunder retten til privatlivets fred vedrørende behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret;
f) "tekniske og organisatoriske foranstaltninger vedrørende sikkerhed"? betyder foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig ødelæggelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen involverer transmission af data over netværk, og mod alle andre ulovlige former for behandling.
Klausul 2
Detaljer om overførslen
Nærmere oplysninger om overførslen, herunder, hvor det er relevant, særlige kategorier af personoplysninger, er specificeret i bilag 1, som udgør en integreret del af disse klausuler.
Klausul 3
Tredjepartsbegunstiget klausul
1. Den registrerede kan påtvinge dataeksportøren denne klausul, paragraf 4(b) til (i), paragraf 5(a) til (e) og (g) til (j), paragraf 6 (1) og (2) ), paragraf 7, paragraf 8(2) og paragraf 9 til 12 som en tredjepartsbegunstiget
2. Den registrerede kan håndhæve denne paragraf, paragraf 5 (a) til (e) og (g), paragraf 6, paragraf 7, paragraf 8 (2) og paragraf 9 til 12 over for dataimportøren, hvor dataeksportøren fysisk har forsvundet eller er ophørt med at eksistere i loven, medmindre alle hans juridiske forpligtelser er blevet overdraget, ved kontrakt eller i kraft af lov, til den efterfølgende enhed, som dataeksportørens rettigheder og forpligtelser derfor vender tilbage til, og som dataene er imod. subjekt kan derfor håndhæve de nævnte klausuler.
Den registrerede kan håndhæve denne paragraf, paragraf 5 (a) til (e) og (g), paragraf 6, paragraf 7, paragraf 8 (2) og paragraf 9 til 12 over for databehandleren, men kun i tilfælde, hvor dataene Eksportøren og dataimportøren er fysisk forsvundet, ophørt med at eksistere i loven eller er blevet insolvente, medmindre alle dataeksportørens juridiske forpligtelser er blevet overdraget, ved kontrakt eller ved lov, til den juridiske efterfølger, til hvem rettighederne og Dataeksportørens forpligtelser er derfor optjent, og over for hvem den registrerede derfor kan håndhæve sådanne klausuler. Et sådant ansvar for databehandleren skal være begrænset til dennes egne behandlingsaktiviteter i henhold til disse klausuler.
4. Parterne gør ikke indsigelse mod, at den registrerede repræsenteres af en forening eller et andet organ, hvis han eller hun ønsker det, og hvis national lovgivning tillader det.
Klausul 4
Dataeksportørens forpligtelser
Dataeksportøren accepterer og garanterer følgende:
a) behandlingen, herunder den faktiske overførsel af personoplysninger, er blevet og vil fortsat blive udført i overensstemmelse med de relevante bestemmelser i gældende databeskyttelseslovgivning (og, hvor det er relevant, er blevet underrettet til de kompetente myndigheder i medlemsstaten) hvori dataeksportøren er baseret) og ikke overtræder de relevante bestemmelser i den pågældende stat;
b) de har instrueret og vil instruere dataimportøren i varigheden af behandlingstjenesterne for persondata om at behandle de personoplysninger, der overføres alene på vegne af dataeksportøren og i overensstemmelse med gældende databeskyttelseslovgivning og disse klausuler;
c) Dataimportøren vil yde tilstrækkelige sikkerhedsforanstaltninger vedrørende de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i bilag 2 til nærværende kontrakt;
d) efter evaluering af kravene i den gældende databeskyttelseslovgivning er sikkerhedsforanstaltningerne tilstrækkelige til at beskytte personoplysninger mod utilsigtet eller ulovlig ødelæggelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen involverer overførsel af data over et netværk og mod alle andre ulovlige former for behandling og sikre et sikkerhedsniveau, der er passende i forhold til de risici, behandlingen repræsenterer og arten af de data, der skal beskyttes, under hensyntagen til teknologiniveauet og omkostningerne ved implementeringen;
e) de vil sikre overholdelse af sikkerhedsforanstaltninger;
f) hvis overførslen vedrører særlige kategorier af data, er den registrerede blevet informeret eller vil blive informeret før overførslen eller hurtigst muligt efter videregivelsen om, at hans eller hendes data kan blive overført til et tredjeland, der ikke tilbyder et passende beskyttelsesniveau i henhold til direktiv 95/46/EF;
g) de vil videresende enhver meddelelse modtaget fra dataimportøren eller enhver databehandler i henhold til paragraf 5 (b) og 8 (3) til databeskyttelsestilsynsmyndigheden, hvis den beslutter at fortsætte overførslen eller at ophæve sin suspension;
h) de skal, hvis de anmoder herom, stille en kopi af disse klausuler, undtagen tillæg 2, og en sammenfattende beskrivelse af sikkerhedsforanstaltningerne og en kopi af enhver yderligere underleverandøraftale, indgået i henhold til disse klausuler, til rådighed for de registrerede, medmindre Klausuler eller aftalen indeholder kommercielle oplysninger, i hvilket tilfælde han kan trække sådanne oplysninger tilbage;
i) i tilfælde af underentreprise af databehandlingsprocessen, udføres behandlingsaktiviteten i overensstemmelse med paragraf 11 af en databehandler, der giver mindst samme niveau af beskyttelse af personoplysninger og registreredes rettigheder som dataimportøren i henhold til disse paragraffer ; og
j) det vil sikre overholdelse af paragraf 4 (a) til (i).
Klausul 5
Dataimportørens forpligtelser
Dataimportøren accepterer og garanterer følgende:
a) de vil kun behandle personoplysningerne på vegne af dataeksportøren og i henhold til dataeksportørens instruktioner og disse klausuler; hvis den af en eller anden grund ikke kan overholde, accepterer de at informere dataeksportøren om dennes manglende evne så hurtigt som muligt, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og/eller afslutte kontrakten;
b) de ikke har nogen grund til at tro, at den lov, der gælder for dem, forhindrer ham i at opfylde de instruktioner, som dataeksportøren har givet, og de forpligtelser, der påhviler ham i henhold til kontrakten, og hvis en sådan lov er genstand for en ændring, der kan have en væsentlig negativ virkning på garantierne og forpligtelserne i henhold til klausulerne, skal han underrette dataeksportøren om ændringen uden forsinkelse efter at være blevet bekendt med den, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og/eller afslutte kontrakten; (c) de har implementeret de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i bilag 2, før de behandlede de overførte personoplysninger;
d) de vil underrette dataeksportøren uden forsinkelse:
i) enhver bindende anmodning om videregivelse af personoplysninger fra en retshåndhævende myndighed, medmindre andet er angivet, såsom et strafferetligt forbud med det formål at bevare hemmeligholdelsen af en politiefterforskning;
ii) enhver tilfældig eller uautoriseret adgang; og
iii) enhver anmodning modtaget direkte fra de berørte personer uden at besvare den, medmindre han har fået tilladelse hertil; administratorer
e) de vil behandle alle henvendelser fra dataeksportøren omgående og korrekt vedrørende dennes behandling af de personoplysninger, der overføres, og vil handle under tilsynsmyndighedens udtalelse vedrørende behandlingen af de overførte data;
f) efter anmodning fra dataeksportøren vil de underkaste sine databehandlingsfaciliteter en revision af de behandlingsaktiviteter, der er omfattet af disse klausuler, som skal udføres af dataeksportøren eller et tilsynsorgan bestående af uafhængige medlemmer med de nødvendige faglige kvalifikationer underlagt tavshedspligt og valgt af dataeksportøren, hvor det er relevant med tilsynsmyndighedens samtykke;
g) de vil stille til rådighed for den registrerede, hvis denne anmoder herom, en kopi af disse klausuler eller enhver eksisterende underentreprise af databehandlingskontrakten, medmindre klausulerne eller kontrakten indeholder kommerciel information, i hvilket tilfælde den kan fjerne sådanne oplysninger, bortset fra bilag 2, som vil blive erstattet af en sammenfattende beskrivelse af sikkerhedsforanstaltningerne, hvor den registrerede ikke kan få en kopi fra dataeksportøren;
h) i tilfælde af fortrolig yderligere underleverandør af databehandlingen, vil han sikre, at han informerer dataeksportøren på forhånd og indhenter dataeksportørens skriftlige samtykke;
i) de behandlingstjenester, der leveres af databehandleren, skal overholde paragraf 11;
j) de vil straks sende en kopi af enhver underentreprise af databehandleraftalen indgået af den i henhold til disse klausuler til dataeksportøren.
§ 6
Ansvar
1. Parterne er enige om, at enhver registreret, der har lidt skade på grund af en misligholdelse af forpligtelserne nævnt i paragraf 3 eller paragraf 11 af en part eller af en databehandler, kan opnå erstatning fra dataeksportøren for den lidte skade.
2. Hvis en registreret er forhindret i at anlægge et erstatningssøgsmål som nævnt i stk. 1 mod dataeksportøren for dataimportørens eller dennes databehandlers manglende overholdelse af nogen af sine forpligtelser i henhold til paragraf 3 eller paragraf 11, fordi dataene Eksportøren er fysisk forsvundet, ophørt med at eksistere i lovgivningen eller er blevet insolvent, accepterer Dataimportøren, at den registrerede kan indgive en klage over den, som om den var Dataeksportøren, medmindre alle juridiske forpligtelser for Dataeksportøren er blevet overført, ved kontrakt eller i henhold til loven til dens efterfølgende enhed, mod hvilken den registrerede så kan håndhæve sine rettigheder. Dataimportøren må ikke påberåbe sig en databehandlers misligholdelse af sine forpligtelser for at undgå sit eget ansvar.
3. Hvis en registreret er forhindret i at anlægge sagen omhandlet i stk. 1 og 2 mod dataeksportøren eller dataimportøren for databehandlerens misligholdelse af sine forpligtelser i henhold til paragraf 3 eller paragraf 11, fordi dataeksportøren og dataimportøren er fysisk forsvundet, ophørt med at eksistere i loven eller er blevet insolvent, accepterer databehandleren, at den registrerede kan indgive en klage over denne vedrørende sine egne behandlingsaktiviteter i overensstemmelse med disse paragraffer, som om den var dataeksportøren eller dataimportøren, medmindre alle juridiske forpligtelser for dataeksportøren eller dataimportøren er blevet overført, ved kontrakt eller i henhold til lov, til den juridiske efterfølger, mod hvem den registrerede så kan gøre sine rettigheder gældende.Databehandlerens ansvar skal være begrænset til dennes egne behandlingsaktiviteter i overensstemmelse med disse klausuler.
§ 7
Mægling og jurisdiktion
1. Dataimportøren er indforstået med, at hvis den registrerede i henhold til klausulerne påberåber sig den tredjemands begunstigedes ret og/eller kræver erstatning for den påførte skade, vil han acceptere den registreredes afgørelse:
a) at forelægge tvisten til mægling af en uafhængig person eller, hvor det er relevant, tilsynsmyndigheden
b) at indbringe tvisten for domstolene i den medlemsstat, hvor dataeksportøren er baseret.
2. Parterne er enige om, at det valg, den registrerede træffer, ikke påvirker den registreredes proceduremæssige eller materielle ret til at opnå erstatning i overensstemmelse med andre bestemmelser i national eller international ret.
§ 8
Samarbejde med tilsynsmyndigheder
1. Dataeksportøren accepterer at deponere en kopi af nærværende kontrakt hos tilsynsmyndigheden, hvis denne kræver det, eller hvis en sådan deponering er fastsat i den gældende databeskyttelseslovgivning.
2. Parterne er enige om, at tilsynsmyndigheden kan foretage kontrol hos Dataimportøren og enhver Databehandler i samme omfang og på samme betingelser som ved kontrol udført hos Dataeksportøren i overensstemmelse med gældende databeskyttelseslovgivning.
3. Dataimportøren skal hurtigst muligt informere dataeksportøren om eksistensen af lovgivning vedrørende dataimportøren eller enhver databehandler, som forhindrer verifikation hos dataimportøren eller enhver databehandler i overensstemmelse med stk. 2. I så fald skal Dataeksportøren kan træffe de foranstaltninger, der er fastsat i paragraf 5 (b).
§ 9
Gældende lov
Klausulerne gælder og er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er baseret.
§ 10
Ændring af kontrakten
Parterne forpligter sig til ikke at ændre nærværende klausuler. Parterne står frit for at medtage andre kommercielle klausuler, som de finder nødvendige, forudsat at de ikke er i modstrid med nærværende klausuler.
§ 11
Efterfølgende underentreprise
1. Dataimportøren skal ikke give nogen af sine behandlingsaktiviteter udført på vegne af dataeksportøren i underentreprise i henhold til disse klausuler uden forudgående skriftligt samtykke fra dataeksportøren. Dataimportøren skal kun give sine forpligtelser i henhold til disse klausuler i underentreprise, med dataeksportørens samtykke, gennem en skriftlig aftale med databehandleren, der pålægger databehandleren de samme forpligtelser som dem, der pålægges dataimportøren i henhold til disse klausuler. Hvis databehandleren ikke kan overholde sine databeskyttelsesforpligtelser i henhold til den skriftlige aftale, forbliver dataimportøren fuldt ud ansvarlig over for dataeksportøren for opfyldelsen af disse forpligtelser.
2. Den forudgående skriftlige aftale mellem Dataimportøren og Databehandleren skal også indeholde en tredjepartsbegunstigetsklausul som anført i punkt 3 for tilfælde, hvor den registrerede er forhindret i at fremsætte erstatningskravet omhandlet i § 6 (1) ), mod dataeksportøren eller dataimportøren, fordi dataeksportøren eller dataimportøren fysisk er forsvundet, ophørt med at eksistere i loven eller er blevet insolvent, og alle juridiske forpligtelser for dataeksportøren eller dataimportøren ikke er blevet overført, ved kontrakt eller ved operation loven, til en anden efterfølger enhed. Databehandlerens ansvar skal være begrænset til dennes egne behandlingsaktiviteter i overensstemmelse med disse klausuler.
3. Bestemmelserne vedrørende databeskyttelsesaspekterne i forbindelse med underleverandører af databehandlingen af den kontrakt, der er omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.
4. Dataeksportøren skal føre en liste over underleverandører af databehandleraftaler indgået i henhold til disse paragraffer og meddelt af dataimportøren i overensstemmelse med paragraf 5 (j), som skal ajourføres mindst én gang om året. Denne liste skal stilles til rådighed for dataeksportørens databeskyttelsestilsynsmyndighed.
§ 12
Forpligtelse efter ophør af persondatabehandlingstjenester
1. Parterne er enige om, at efter færdiggørelsen af databehandlingstjenesterne vil Dataimportøren og Databehandleren efter Dataeksportørens bekvemmelighed returnere alle overførte personlige data og kopier heraf til Dataeksportøren eller destruere alle sådanne data og fremlægge bevis. tilintetgørelsen til Dataeksportøren, medmindre lovgivning pålagt Dataimportøren forhindrer denne i at returnere eller ødelægge alle eller dele af de overførte personlige data. I så fald garanterer Dataimportøren, at den vil sikre fortroligheden af de overførte personoplysninger, og at den ikke længere aktivt vil behandle dataene.
2. Dataimportøren og databehandleren sikrer, at de, hvis dataeksportøren og/eller tilsynsmyndigheden anmoder herom, underkaster deres midler til databehandling en verifikation af de i stk.
Bilag 1.1 til del 2
Detaljer om overførslen
Dataeksportør
Dataeksportøren er den kunde, der er defineret i den kontraktlige aftale.
Dataimportør
Dataimportøren er POSTCODEZIP og er tildelt til at behandle dataene og levere tjenester til dataeksportøren.
Emner for dataene
De overførte personoplysninger vedrører følgende kategorier af registrerede:
en?? telefonabonnenter opført i den universelle telefonbog
â˜' Andre, herunder:
Kategorier af data
De overførte personoplysninger vedrører følgende kategorier af data:
Kategorier af personoplysninger om dataeksportørens registrerede, især,
en?? Fulde navn
â˜' Postadresse
en?? Kontaktoplysninger (e-mail, telefon, IP-adresse osv.)
en?? Nærmere oplysninger om markedsføringsaktiviteter vedrørende telefonabonnenten
â˜' Andre, herunder typen af bolig, indkomst og gennemsnitsalder lavet af byen anonymt
Særlige kategorier af data (hvis relevant)
De overførte personoplysninger vedrører følgende særlige kategorier af data:
â˜' Overførsel af særlige kategorier af data er ikke forudset
en?? Race eller etnisk oprindelse
en?? Religiøse eller filosofiske overbevisninger
en?? Fagforeningsmedlemskab
en?? Politiske synspunkter
en?? Genetisk information
en?? Biometriske oplysninger
en?? Oplysninger om seksuel orientering eller seksualliv
en?? Sundhedsdata
Behandlingsaktiviteter
De overførte personoplysninger vil være underlagt følgende grundlæggende behandlingsaktiviteter:
Den behandling, der foretages på vegne af dataeksportøren, er baseret på følgende emner, især:
â˜' Overtagelse af de produkter eller tjenester, der tilbydes af dataeksportøren
â˜' Tilbuddet om et produkt eller en tjeneste, som den kaldte person kan anmode om
â˜' Ordrer taget fra de indkaldte personer og videre behandling af disse ordrer
â˜' Undersøg spørgeskemaer og analyser
â˜' Telemarketing
en?? Andre, herunder:
Dataimportøren behandler de registreredes personoplysninger på vegne af dataeksportøren for at levere følgende tjenester, og især:
â˜' Salg og marketing
â˜' Andre, herunder opdatering af databaser over rådhuse og politiske partier
POSTCODEZIP kombinerer, centraliserer og leverer tjenester til dataeksportøren. Tjenesterne leveret af den navngivne tjenesteudbyder kan være struktureret (blandt andet efter behov) omkring følgende hjælpetjenester: (i) levering af applikationer, værktøjer, systemer og it-infrastruktur i forhold til de anvendte databehandlingscentre for at levere og understøtte tjenesterne, herunder behandlingen af de registreredes personoplysninger som beskrevet ovenfor, via sådanne applikationer, værktøjer og systemer, (ii) levering af it-support, vedligeholdelse og andre tjenester relateret til sådanne applikationer, værktøjer, systemer og it-infrastruktur, herunder potentiel adgang til persondata, der er lagret i sådanne applikationer, værktøjer og systemer, og (iii) levering af databeskyttelsestjenester, beskyttelsesovervågning og hændelsesresponstjenester,herunder potentiel adgang til personoplysninger, når du leverer sådanne beskyttelsestjenester. POSTCODEZIP kan engagere databehandlere som angivet nedenfor til at levere tjenesterne, herunder tilknyttede tjenester.
POSTCODEZIP engagerer eksterne og tredjeparts tjenesteudbydere, som ikke er datterselskaber af POSTCODEZIP, til at understøtte leveringen af tjenester til dataeksportøren. Dataeksportøren godkender sådanne eksterne tredjepartstjenesteudbydere som underenheder, der er tildelt databehandling.
Hvis en underenhed, der er involveret i databehandling, er beliggende uden for EU/EØS, i et land, der anses for ikke at have et tilstrækkeligt databeskyttelsesniveau i henhold til en beslutning truffet af Europa-Kommissionen, vil dataimportøren tage skridt til at opnå et passende niveau af databeskyttelse i overensstemmelse med GDPR og afsnit 3.4 (iv) i del 1.
Bilag 2, del 2
Tekniske og organisatoriske beskyttelsesforanstaltninger
Dataimportøren skal træffe følgende tekniske og organisatoriske beskyttelsesforanstaltninger bekræftet af dataeksportøren for at garantere et passende sikkerhedsniveau for enkeltpersoners rettigheder og friheder afhængigt af risici. Ved vurderingen af det pågældende beskyttelsesniveau har dataeksportøren især overvejet de risici, der er forbundet med behandlingen, herunder hændelig eller ulovlig ødelæggelse, ændring, uautoriseret videregivelse eller adgang til persondata, der er transmitteret, opbevaret eller på anden måde behandlet. Som præcisering: Disse tekniske og organisatoriske beskyttelsesforanstaltninger gælder ikke for de applikationer, værktøjer, systemer og/eller it-infrastruktur, som dataeksportøren leverer.
1 Generelle tekniske og organisatoriske beskyttelsesforanstaltninger |
1.1 Generel information og databeskyttelsesstrategier |
Følgende trin bør tages for at følge generelle data- og informationsbeskyttelsesstrategier: |
|
|
|
|
|
1.2 Organisering af informationsbeskyttelse |
Følgende foranstaltninger bør træffes for at koordinere data- og informationsbeskyttelsesaktiviteter: |
|
|
|
1.3 Adgangskontrol til behandlingsområder |
Følgende foranstaltninger skal træffes for at forhindre uautoriserede personer i at få adgang til databehandlingssystemer (især software og hardware), når personoplysninger behandles, opbevares eller transmitteres: |
|
|
|
|
1.4 Adgangskontrol til databehandlingssystemer |
Følgende foranstaltninger skal træffes for at forhindre uautoriseret adgang til databehandlingssystemer: |
|
|
|
|
|
|
1.5 Kontrol af adgangen til bestemte anvendelsesområder for databehandlingssystemer |
Følgende foranstaltninger skal træffes for at sikre, at autoriserede personer med ret til at bruge databehandlingssystemet kun kan få adgang til data inden for deres respektive ansvarsområder og adgangsautorisationer, og at persondata ikke kan læses, kopieres, ændres eller slettes uden tilladelse: |
|
|
|
|
|
|
|
1.6 Transmissionskontrol |
Følgende foranstaltninger skal træffes for at forhindre, at personoplysninger læses, kopieres, ændres eller slettes af uautoriserede tredjeparter under transmission eller transport af datalagringsenheder (afhængigt af den foretagne behandling af personoplysninger): |
|
|
|
1.7 Dataindtastningskontrol |
Følgende foranstaltninger skal træffes for at sikre, at det er muligt at verificere og fastslå, om personoplysninger er indtastet eller slettet fra databehandlingssystemer, og af hvem: |
|
|
1.8 Arbejdskontrol |
I tilfælde af delegeret behandling af personoplysninger skal følgende foranstaltninger træffes for at sikre, at sådanne data behandles i overensstemmelse med tilsynsførendes instrukser: |
|
|
|
|
1.9 Adskillelse fra behandling til andre formål |
Følgende foranstaltninger skal træffes for at sikre, at data indsamlet til andre formål kan behandles separat: |
|
|
1.10 Pseudonymisering |
Følgende foranstaltninger skal træffes vedrørende pseudonymisering af personoplysninger: |
|
|
1.11 Kryptering |
Følgende trin bør tages for at kryptere personlige data i applikationer og transmissioner, der understøtter kryptering:
|
|
|
1.12 Fuldstændighed af databehandlingssystemer og tjenester |
Følgende foranstaltninger skal træffes for at sikre fuldstændigheden af databehandlingssystemer og tjenester: |
|
|
|
1.13 Tilgængelighed af databehandlingssystemer og -tjenester og mulighed for at genoprette adgang til og brug af persondata i tilfælde af en væsentlig eller teknisk hændelse |
Følgende foranstaltninger skal træffes for at sikre tilgængeligheden af databehandlingssystemer, samt for hurtigt at kunne genoprette tilgængeligheden af og adgangen til personoplysninger, i tilfælde af en væsentlig eller teknisk hændelse (især ved at sikre, at personlige data er beskyttet mod utilsigtet ødelæggelse eller tab): |
|
|
|
|
|
|
|
1.14 Modstandsdygtighed af databehandlingssystemer og tjenester |
Følgende foranstaltninger skal træffes for at sikre robustheden af databehandlingssystemer og tjenester: |
|
|
|
1.15 Procedure for regelmæssig afprøvning, evaluering og vurdering af effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre databehandlingssikkerheden |
Procedure for regelmæssig test, evaluering og vurdering af effektiviteten af tekniske og organisatoriske foranstaltninger til beskyttelse af databehandling. |
|
|
|
Del 3
Parternes underskrifter og liste over dataimportører
Når du udfylder onlinebestillingsformularen og validerer den ved at afkrydse boksen for at acceptere de generelle vilkår og betingelser for brug, er kontrakten, der regulerer forholdet mellem kunden og POSTCODEZIP, etableret.
Sending af betalingen til POSTCODEZIP vil overveje den aftalte og etablerede kontrakt.
Bemærk: Denne tekst er oversat fra fransk. Den originale franske version, som er gyldig og juridisk restriktiv, er tilgængelig her .