Data processing appendix | Postcodezip studio

Käesolev lisa on lepingu lahutamatu osa ja selle sõlmivad:

(i) Klient (" andmete eksportija ")
(ii) POSTCODEZIP (" andmete importija ")
Igaüks neist on " pidu " ja tavaliselt " peod ".

Preamble

KUS Andmete importija pakub professionaalseid tarkvarateenuseid, arvuti- ja seonduvaid teenuseid;

KUI Andmete importija on Lepingu kohaselt nõustunud osutama Andmeeksportijale Lepingus nimetatud teenuseid (edaspidi " Teenused ");

KUI Andmeimportija saab teenuseid pakkudes juurdepääsu andmeeksportija teabele või teiste andmete eksportijaga (võimalikes) suhetes olevate isikute teabele või saab sellest kasu, võib sellist teavet kvalifitseerida isikuandmetena määruse tähenduses. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 üksikisikute kaitsmise kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ( GDPR ) ja muud kohaldatavad andmekaitseseadused.

KUI käesolev lisa sisaldab tingimusi, mida kohaldatakse selliste isikuandmete kogumise, töötlemise ja kasutamise suhtes andmeimportija kui andmeeksportija volitatud andmetöötlusagendina, et tagada lepinguosaliste vastavus kohaldatavatele andmekaitseseadustele. .

SEEGA ja selleks, et lepinguosalised saaksid oma suhteid seaduslikult jätkata, on pooled sõlminud käesoleva liite järgmiselt:

1. osa

1. Dokumendi ülesehitus ja mõisted

1.1 Struktuur

See liide koosneb järgmistest osadest:

1. osa:

sisaldab üldsätteid, nt selles lisas kasutatud mõistete, kohalike seaduste järgimise, ajastuse ja lõpetamise kohta

2. osa:

sisaldab muutmata lepingu tüüptingimuste dokumendi sisu

Appendix 1.1 of Part 2:

sisaldab andmete importija poolt andmeeksportijale kui volitatud andmetöötlusagendile edastatud töötlemistoimingute üksikasju (sealhulgas töötlemine, töötlemise laad ja eesmärk, isikuandmete liik ja andmesubjektide kategooriad) käesoleva artikli alusel. Lisa

2. osa 2. liide:

sisaldab andmete importija tehniliste ja organisatsiooniliste turvameetmete kirjeldust, mida rakendatakse seoses kõigi 2. osa lisas 1.1 kirjeldatud töötlemistoimingutega.

3. osa:

contains the signatures of the Parties to be bound by this Appendix and identifies each Data Importer

1.2 Terminoloogia ja määratlused

Selle lisa tähenduses kohaldatakse GDPR-is kasutatud terminoloogiat ja määratlusi (lepingu tüüpklausli dokumendi põhiosas 2. osas, kus määratletud termineid ei kirjutata suurtähtedega).

"liikmesriik"

tähendab Euroopa Liitu või Euroopa Majanduspiirkonda kuuluvat riiki

"(isiku)andmete erikategooriad"

viitab isikuandmetele, mis paljastavad rassilise või etnilise päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi või ametiühingusse kuulumist, ja geneetilisi andmeid, biomeetrilisi andmeid, kui neid töödeldakse isiku kordumatu tuvastamise eesmärgil, terviseandmeid, isiku soo andmeid. elu või seksuaalne sättumus

"Standardsed lepingutingimused"

means the Standard Contractual Clauses for transferring personal data of processing agents established in third countries, under Commission Decision 2010/87/EU on the 5th of February 2010, which was amended by the Commission Implementing Decision (EU) 2016/2297 on the 16th of December 2016

"Andmeprotsessor"

tähendab mis tahes töötlejat, kes asub EL-is/EMP-s või väljaspool seda ja kes nõustub saama andmeimportijalt või andmeimportija muult töötlejalt isikuandmeid üksnes töötlemise eesmärgil, mida andmeeksportija teostab pärast edastamine vastavalt Andmeeksportija juhistele, käesoleva lisa tingimustele ja andmeimportijaga sõlmitud lepingule

2. Andmeeksportija kohustused

2.1 Andmeeksportija on kohustatud tagama kõigi GDPR-ist ja muudest andmeeksportija suhtes kohaldatavatest kohaldatavatest andmekaitseseadustest tulenevate kohustuste järgimise ning näitama sellist vastavust GDPR-i artikli 5 lõike 2 kohaselt. Andmeeksportija garanteerib, et andmete importija on saanud andmesubjektide eelneva nõusoleku vastavalt GDPR-i artikli 6 punktile a ning täitnud andmesubjektide teavitamise kohustuse vastavalt GDPR-i artiklitele 13 ja 14.

2.2 Andmeeksportija peab esitama andmeimportijale käesoleva lisa kohaste teenustega seotud töötlemistoimingute vastavad failid vastavalt GDPR artikli 30 lõikele 1 ulatuses, mis on andmete importijale vajalik. GDPR artikli 30 lõige 2.

2.3 Andmeeksportija peab määrama andmekaitseametniku või esindaja kohaldatava andmekaitseseadusega nõutavas ulatuses. Andmeeksportija on kohustatud edastama andmeimportijale andmekaitseagendi või esindaja kontaktandmed, kui need on olemas.

2.4. Andmeeksportija kinnitab enne töötlemise lõpetamist käesoleva lisaga nõustudes, et andmeimportija tehnilised ja organisatsioonilised turvameetmed, mis on sätestatud 2. osa 2. lisas, on andmesubjekti õiguste kaitsmiseks asjakohased ja piisavad. ja kinnitab, et andmeimportija pakub selles osas piisavaid kaitsemeetmeid.

3. Kohalike seaduste järgimine

GDPR-i artiklist 28 tulenevate töötlemisagentide rakendamise nõuete täitmiseks kohaldatakse järgmisi muudatusi:

3.1 Instructions

(i) Andmeeksportija annab andmeimportijale ülesandeks töödelda isikuandmeid ainult andmeeksportija nimel. Andmeeksportija juhised on toodud käesolevas lisas ja lepingus. Andmeeksportija on kohustatud tagama, et kõik andmeimportijale antud juhised vastaksid kehtivatele andmekaitseseadustele. Andmete importija peab isikuandmeid töötlema ainult andmeeksportija antud juhiste kohaselt, kui Euroopa Liidu või liikmesriigi õigusega ei nõuta teisiti (viimasel juhul kohaldatakse 1. osa punkti 3.2 alapunkti iv alapunkti c). .
(ii) Kõik muud juhised, mis lähevad kaugemale käesolevas lisas või lepingus sisalduvatest juhistest, peavad sisalduma käesoleva lisa ja lepingu esemes. Kui selle lisajuhise rakendamine toob andmeimportijale kulusid, teavitab andmeimportija nendest kuludest andmeeksportijat ja esitab selgituse enne juhise rakendamist. Alles pärast seda, kui andmeeksportija on kinnitanud, et nõustub nende juhiste rakendamisega seotud kuludega, rakendab andmete importija selle täiendava juhise. Andmeeksportija peab andma täiendavaid juhiseid kirjalikult, välja arvatud juhul, kui kiireloomulisus või muud konkreetsed asjaolud nõuavad muud vormi (nt suuline, elektrooniline). Muus vormis kui kirjalikud juhised peab andmeeksportija viivitamata kirjalikult kinnitama.
1. Kui andmeeksportija ei saa ise isikuandmeid parandada, kustutada või piirata, võivad juhised olla seotud ka isikuandmete parandamise, kustutamise ja/või piiramisega, nagu on sätestatud 1. osa punktis 3.3.
2. Andmeimportija peab viivitamatult teavitama Andmeeksportijat, kui tema hinnangul rikub Juhend GDPR-i või muid Euroopa Liidu või liikmesriigi kehtivaid andmekaitsesätteid (“ Vaidlustatud juhend"). Kui andmeimportija leiab, et juhis rikub GDPR-i või muid Euroopa Liidu või liikmesriigi kehtivaid andmekaitsesätteid, ei ole andmete importija kohustatud vaidlusalust juhist järgima. Kui andmeeksportija kinnitab vaidlustatud juhist Andmeimportijalt teabe saamisel ja oma vastutust vaidlustatud juhise eest teadvustades rakendab andmete importija vaidlustatud juhist, välja arvatud juhul, kui vaidlustatud juhis puudutab (i) tehniliste ja korralduslike meetmete rakendamist, (ii) andmete õigusi. Subjektid või (iii) andmetöötlejate kaasamine Juhtudel (i) (iii) võib andmete importija võtta ühendust pädeva järelevalveasutusega, et vaidlustatud juhist saaks õiguslikult hinnata.Kui järelevalveasutus tunnistab vaidlustatud juhise seaduslikuks, rakendab andmeimportija vaidlustatud juhise. 1. osa punkti 3.1 alapunkt ii jääb kehtima.

3.2 Obligations of the Data Importer

(i) Andmete importija peab tagama, et isikud, kelle andmeimportija on volitanud töötlema isikuandmeid andmeeksportija nimel, eelkõige andmeimportija töötajad ja mis tahes alltöövõtja töötajad, on kohustunud järgima konfidentsiaalsust või nende suhtes kohaldatakse asjakohane seadusest tulenev konfidentsiaalsuskohustus ning isikuandmetele juurdepääsu omavad isikud töötleksid neid vastavalt andmeeksportija juhistele.
(ii) Andmete importija peab enne isikuandmete töötlemist andmeeksportija nimel rakendama 2. osa 2. lisas sätestatud tehnilisi ja organisatsioonilisi turvameetmeid. Andmete importija võib tehnilisi ja korralduslikke turvameetmeid aeg-ajalt muuta, kui need ei paku vähem kaitset kui 2. osa lisas 2 sätestatu.
(iii) Andmeimportija teeb andmeeksportija taotlusel andmeeksportijale kättesaadavaks teabe, mis tõendab andmete importija käesolevast liitest tulenevate kohustuste täitmist. Pooled lepivad kokku, et see teavitamiskohustus on täidetud, esitades andmeeksportijale auditiaruande (mis hõlmab põhimõtete turvalisust, süsteemi käideldavust ja konfidentsiaalsust) (edaspidi "auditiaruanne"). Kui seadusega on vaja täiendavaid auditeerimistoiminguid, võib andmeeksportija nõuda, et kontrolli teostaks andmeeksportija või muu andmeeksportija määratud audiitor, tingimusel et selline audiitor on sõlminud andmete importijaga andmeimportijaga konfidentsiaalsuslepingu. mõistlik rahulolu ("Audit"). Sellele auditile kehtivad järgmised tingimused:(i) andmete importija eelnev ametlik kirjalik nõusolek; ja (ii) andmeeksportija kannab kõik andmeeksportija ja andmete importija kohapealse auditiga seotud kulud. Andmeeksportija peab koostama kohapealse auditi tulemused ja tähelepanekud kokkuvõtva auditi aruande ("Kohapealse auditi aruanne"). Kohapealsed auditiaruanded ja auditiaruanded on andmete importija konfidentsiaalne teave ja neid ei tohi avaldada kolmandatele isikutele, välja arvatud juhul, kui seda nõuavad kohaldatavad andmekaitseseadused või andmete importija nõusolekul.Kohapealsed auditiaruanded ja auditiaruanded on andmete importija konfidentsiaalne teave ja neid ei tohi avaldada kolmandatele isikutele, välja arvatud juhul, kui seda nõuavad kohaldatavad andmekaitseseadused või andmete importija nõusolekul.Kohapealsed auditiaruanded ja auditiaruanded on andmete importija konfidentsiaalne teave ja neid ei tohi avaldada kolmandatele isikutele, välja arvatud juhul, kui seda nõuavad kohaldatavad andmekaitseseadused või andmete importija nõusolekul.
(iv) Andmeimportija on kohustatud andmeeksportijat põhjendamatu viivituseta teavitama:
a. seoses õiguskaitseorganite mis tahes õiguslikult siduva isikuandmete avaldamise taotlusega, kui ei ole teisiti keelatud, näiteks kriminaalõiguslik keeld kaitsta õiguskaitselise uurimise konfidentsiaalsust
b. mis tahes kaebuse ja taotluse kohta, mis on saadud otse andmesubjektilt (nt seoses juurdepääsu, parandamise, kustutamise, töötlemise piiramise, andmete teisaldatavuse, andmete töötlemisele vastuväidete, automatiseeritud otsuste tegemisega) sellele päringule vastamata, välja arvatud juhul, kui andmeimportijal on selleks volitused. tee nii
c. kui andmeimportija või andmetöötleja on Euroopa Liidu või selle liikmesriigi õiguse alusel, kuhu andmete importija või töötleja allub, kohustatud töötlema isikuandmeid väljaspool andmeeksportija korraldusi, enne sellise töötlemise läbiviimist pärast seda juhised, välja arvatud juhul, kui Euroopa Liidu või liikmesriigi seadused keelavad sellise töötlemise olulisel avalikul huvil, millisel juhul tuleb andmeeksportijale saadetavas teates täpsustada Euroopa Liidu või liikmesriigi selle õiguse kohane nõue; või
d. kui Andmeimportija mõistab ainuüksi enda või alltöövõtja tõttu isikuandmete rikkumist, mis mõjutaks käesoleva lepinguga hõlmatud andmeeksportija isikuandmeid, mille puhul andmete importija abistab andmeeksportijat tema kohustuse täitmisel, seoses kohaldatava andmekaitseseadusega teavitama andmesubjekte ja vajaduse korral järelevalveasutusi, edastades tema käsutuses oleva teabe vastavalt GDPR-i artikli 33 lõikele 3.
(v) Andmeeksportija taotlusel on andmete importija sunnitud aitama andmeeksportijat tema kohustuse täitmisel viia läbi andmekaitsemõju hindamine, mida võib nõuda GDPR-i artikkel 35, ja eelnev konsultatsioon, mis võib olla nõutav. GDPR artikliga 36 nõutud andmete importija poolt andmeeksportijale käesoleva lisa alusel osutatavate teenuste kohta, andes andmeeksportijale vajaliku ja teabe. Andmete importija on kohustatud sellist abi osutama vaid juhul, kui andmeeksportija ei saa oma kohustust muul viisil täita. Andmete importija teavitab andmeeksportijat sellise abi maksumusest. Niipea, kui andmeeksportija on kinnitanud, et suudab selle kulu kanda, annab andmete importija andmeeksportijale selle abi.
(vi) Teenuste osutamise lõppedes võib andmeeksportija nõuda andmete importija poolt käesoleva lisa alusel töödeldud isikuandmete tagastamist ühe kuu jooksul pärast teenuste osutamist. Kui liikmesriigi või Euroopa Liidu õigusaktid ei kohusta andmeimportijat selliseid isikuandmeid säilitama või säilitama, kustutab andmeimportija kõik sellised isiku- või mitteisikuandmed pärast ühekuulist perioodi, olenemata sellest, kas need on tagastatud andmeeksportija taotlusel või mitte.

3.3 Asjaomaste isikute õigused

(i) The Data Exporter manages and responds to requests made by data subjects. Data Importer is not obliged to respond directly to the data subjects.
(ii) If the Data Exporter requires the Data Importer's assistance in processing and responding to the Data Subject's requests, the Data Exporter shall issue a further instruction in accordance with Clause 3.1 (ii) of Part 1. The Data Importer will assist the Data Exporter with the following appropriate and technical organizational measures to respond to the requests for the exercise of the rights of data subjects set out in Chapter III of the GDPR as follows:
a. Regarding requests for information, the Data Importer will only provide the Data Exporter with the information required by Article 13 and 14 of the PGRD that it may have at its disposal if the Data Exporter cannot find it on its own.
b. Regarding requests for access (Article 15 of the GDPR), the Data Importer will only provide the Data Exporter with the information that is supposed to be provided to a data subject for the said request for access, which it may have at its disposal if the latter cannot find it alone.
c. Regarding requests for rectification (Article 16 of the GDPR), requests for erasure (Article 17 of the GDPR), restriction of requests for processing (Article 18 of the GDPR), or requests for portability (Article 20 of the GDPR), and only if the Data Exporter cannot itself rectify or erase, limit or transmit the personal data to another third party, the Data Importer will offer the Data Exporter the possibility to rectify or erase, limit, or transmit the personal data concerned to the other third party, or if this is not possible, it will provide the assistance to rectify or erase, limit, or transmit to the other third party the personal data concerned.
d. Regarding the notification relating to rectification, erasure, or restriction of processing (Article 19 of the GDPR), the Data Importer will assist the Data Exporter by notifying all recipients of personal data engaged by the Data Importer as processors if the Data Exporter so requests and if the Data Exporter cannot remedy the situation on its own.
e. Regarding the right of opposition exercised by a data subject (Article 21 and 22 of the GDPR) the Data Exporter will determine whether the opposition is legitimate and how to deal with it.
(iii) The Data Importer's assistance obligations are limited to personal data processed within its infrastructure (e.g. databases, systems, applications owned or provided by the Data Importer).
(iv) The Data Exporter shall determine whether a Data Subject may exercise the rights of Data Subjects set out in Clause 3.1 of this Part 1 and shall advise the Data Importer of the extent to which the assistance specified in Clauses 3.3 (ii), (iii) of Part 1 is necessary.
(v) If the Data Exporter requests additional or modified technical and organizational measures to meet the rights of data subjects which go beyond the assistance provided by the Data Importer under Sub-Clause 3.3 (ii), (iii) of Part 1, the Data Importer shall inform the Data Exporter of the costs of implementing such additional or modified technical and organizational measures. As soon as the Data Exporter has confirmed that it can meet these costs, the Data Importer shall implement such additional or modified technical and organizational measures to assist the Data Exporter in responding to the Data Subjects' requests.
(vi) Without limiting the scope of Clause 3.3 (v) of Part 1, the Data Exporter shall be obliged to reimburse the Data Importer for its reasonable expenses incurred in responding to the Data Subjects' requests.

3.4 Alamtöötlus

(i) The Data Exporter authorizes the Data Importer's use of sub-contractors for the provision of services under this Appendix. The Data Importer shall select such Data processor(s) carefully. The Data Exporter approves the Data processor(s) listed in Appendix 1.1 at the end of Part 2.
(ii) The Data Importer shall transfer its obligations under this Appendix to the Data processor (s) to the extent applicable to the subcontracted services.
(iii) The Data Importer may dismiss, replace, or appoint another appropriate and reliable Data processor (s) at its discretion. If so requested in writing by the Data Exporter, the Data Importer must follow the procedure set out below:

a. Andmeimportija teavitab andmeeksportijat enne 1. osa punkti 3.4 alapunktis i viidatud andmetöötlejate loendi muutmist. Kui andmeeksportija ei esita punkti 3.4 alusel vastuväiteid, teavitab ta Andmeeksportijat. b) 1. osa kolmkümmend päeva pärast andmete importijalt teate saamist loetakse täiendavad andmetöötlejad vastuvõetuks.
b. Kui andmeeksportijal on õigustatud põhjus esitada vastuväiteid täiendava andmetöötleja suhtes, teatab ta sellest eelnevalt andmeimportijale kirjalikult kolmekümne päeva jooksul andmete importija teate saamisest ja enne andmeimportija teenuse käivitamist. Kui andmeeksportija on vastu täiendava andmetöötleja kasutamisele, võib andmeimportija vastuväite tühistada, kasutades ühte järgmistest valikutest (valitud oma äranägemisel): (A) andmete importija tühistab oma plaani kasutada täiendavat töötlejat. Andmeeksportija isikuandmed; (B) Andmeimportija rakendab andmeeksportija poolt vastulauses taotletud parandusmeetmeid (vastulause tühistab) ja kasutab andmeeksportija isikuandmete osas täiendavat töötlejat;(C) Andmeimportija võib lõpetada osutamise või andmeeksportija võib nõustuda mitte kasutama (ajutiselt või püsivalt) teenuse teatud aspekti, mis hõlmaks andmeeksportija isikuandmete edasise töötleja kasutamist.

(iv) kui andmetöötleja asub väljaspool EL-EMP-d riigis, mis ei ole Euroopa Komisjoni otsuse alusel tunnistatud piisava andmekaitsetaseme pakkumiseks, võtab andmete importija meetmed piisava taseme järgimiseks. andmekaitse vastavalt GDPR-ile (sellised meetmed võivad muuhulgas hõlmata ELi mudeli klauslitel põhinevate andmetöötluslepingute kasutamist, edastamist isesertifitseeritud andmetöötlejatele EL-USA kaitsekilbi raames või mõni sarnane programm).

3.5 Kehtivusaeg

Käesoleva lisa kehtivusaeg on identne vastava Lepingu aegumiskuupäevaga. Kui käesolevas Lisas ei ole sätestatud teisiti, on ülesütlemisega seotud õigused ja kohustused samad, mis Lepingus sisalduvad.

4. Vastutuse piiramine

4.1 Kumbki pool täidab oma kohustusi, mis tulenevad käesolevast lisast ja kohaldatavatest andmekaitseseadustest.

4.2 Mis tahes vastutus, mis on seotud käesolevast liitest või kohaldatavatest andmekaitsealastest õigusaktidest tulenevate kohustuste rikkumisega, allub lepingus sätestatud või lepingule kohaldatavatele vastutussätetele ja neid reguleeritakse, välja arvatud juhul, kui käesolevas lisas on sätestatud teisiti. Kui vastutust reguleerivad Lepingus sätestatud või sellele kohaldatavad vastutussätted, siis vastutuslimiitide arvutamisel või muude vastutuspiirangute kohaldamise määramisel, loetakse käesolevast lisast tulenevad kohustused tulenevad lepingust.

5. Üldsätted

5.1. Kui käesoleva liite 1. ja 2. osa vahel esineb ebakõlasid või lahknevusi, kohaldatakse 2. osa. Täpsemalt, isegi sellisel juhul jääb kehtima 1. osa, mis lihtsalt läheb kaugemale 2. osast (st standardklauslite tingimused), ilma et see oleks sellega vastuolus.

5.2 Kui käesoleva lisa ja teiste pooli siduvate lepingute sätete vahel ilmneb lahknevus, on poolte andmekaitsekohustuste osas ülimuslik käesolev lisa. Kahtluse korral, kas teiste lepingute punktid puudutavad poolte andmekaitsekohustusi, on ülimuslik käesolev lisa.

5.3 Kui mõni selle lisa säte on kehtetu või jõustamatu, jääb selle lisa ülejäänud osa täielikult jõusse. Kehtetut või jõustamatut sätet (i) muudetakse, et tagada selle kehtivus ja jõustatavus, säilitades nii palju kui võimalik poolte kavatsused, või – kui see ei ole võimalik – (ii) tõlgendatakse nii, nagu oleks kehtetu või jõustamatu osa pole kunagi lepingu osaks olnud. Eelöeldu kehtib ka juhul, kui käesolevas liites on väljajätmine.

5.5 Osapooled võivad vajalikul määral nõuda 1. osa punkti 3 (Kohaliku õiguse järgimine) või liite muude osade muutmist, et järgida liidu pädevate asutuste tõlgendusi, direktiive või korraldusi. liikmesriigid, riiklikud jõustamissätted või muud õiguslikud arengud, mis puudutavad GDPR-i või muid andmetöötlusega seotud üksustele delegeerimise tingimusi ja konkreetselt GDPR-i lepingu tüüptingimuste kasutamist. Lepingu tüüptingimuste tingimusi ei tohi muuta ega asendada, välja arvatud juhul, kui Euroopa Komisjon seda selgesõnaliselt heaks kiidab (nt uute asjakohaste klauslite ja andmekaitsestandarditega).

5.6 Kui ei ole sätestatud teisiti, käesolevas lisas sisalduvaid viiteid "klauslitele" tuleb mõista viitena kõigile selle lisa sätetele.

5.7 Osa 2 punktis 9 toodud õiguse valik kehtib kogu Lepingule.

6. Poolte poolt isiklikel eesmärkidel edastatud ja töödeldavad isikuandmed (vastutavalt vastutavalt töötlejalt vastutavale töötlejale üleandmine)

6.1 Pooled teavad täielikult, et teatud isikuandmed edastatakse andmeeksportijalt andmeimportijale ja vastupidi ning neid andmeid töötleb kumbki pool oma eesmärkidel. Mis puudutab selliseid isikuandmeid, siis see ei mõjuta käesoleva lisa muid sätteid (välja arvatud käesolev punkt 6).

6.2 Andmeeksportija võib andmeimportijale edastada andmeimportija töötajatega seotud isikuandmeid, sealhulgas teavet turvaintsidentide kohta, või mis tahes muid dokumente või faile, mille andmeeksportija on loonud või loonud seoses ettevõtte töötajate pakutavate teenustega. andmete importija. Andmete importija võib selliseid isikuandmeid töödelda oma eesmärkidel, eelkõige ametialastes suhetes andmete importija töötajatega, kvaliteedikontrolliks ja koolituseks või ärilistel eesmärkidel.

6.3. Andmete importija võib andmeeksportijale edastada isikuandmeid, sealhulgas andmeimportija töötajate nime ja kontaktandmeid. Andmeeksportija võib selliseid isikuandmeid töödelda oma eesmärkidel.

6.4 Mõlemad pooled järgivad 1. osa punkti 1 alusel teiselt poolelt saadud isikuandmete kogumisel, töötlemisel ja kasutamisel kõiki kohaldatavaid andmekaitseseadusi, sealhulgas GDPR-i. Eelkõige võtavad mõlemad pooled piisavaid turvameetmeid, tagades 2. osa 2. liites sätestatud turvameetmetega sarnane kaitsetase. Juurdepääs sellistele isikuandmetele piirdub vajadusega neid teada.

6.5 Mõlemad pooled peavad sellised isikuandmed kustutama võimalikult kiiresti pärast eesmärkide saavutamist.

2. osa

DECISION OF THE COMMISSION

on the 5th February 2010

on standard contractual clauses for the transfer of personal data to data processors established in third-party countries under the 95/46/EC Directive of the European Parliament and of the Council

Klausel 1

Definitsioonid

a) mõistetel „isikuandmed”, „andmete erikategooriad”, „töötlemine/töötlemine”, „vastutav töötleja”, „töötleja”, „andmesubjekt” ja „järelevalveasutus” on sama tähendus kui direktiivis 95/46/EÜ. Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (1);

b) „andmete eksportija” on isikuandmeid edastav vastutav töötleja;

c) Andmeimportija on andmetöötleja, kes nõustub saama andmeeksportijalt isikuandmeid, mida kavatsetakse töödelda andmeeksportija nimel pärast edastamist vastavalt tema juhistele ja käesolevate punktide tingimustele, ning kes ei ole vastavalt kolmanda riigi mehhanismile, mis tagab piisava kaitse direktiivi 95/46/EÜ artikli 25 lõike 1 tähenduses; d) Andmetöötleja – andmeimportija või andmeimportija muu andmetöötleja kaasatud andmetöötleja, kes nõustub saama andmeimportijalt või muult andmeimportija andmetöötlejalt isikuandmeid ainult selleks, et andmeimportijat töödelda. teostada andmeeksportija nimel pärast edastamist vastavalt andmeeksportija juhistele,käesolevates punktides sätestatud tingimustel ja andmetöötluslepingu kirjaliku alltöövõtulepingu tingimustel;

e) kohaldatav andmekaitseseadus – õigusakt, mis kaitseb üksikisikute põhiõigusi ja -vabadusi, sealhulgas õigust eraelu puutumatusele seoses isikuandmete töötlemisega, ja mida kohaldatakse vastutava töötleja suhtes selles liikmesriigis, kus andmeeksportija on registreeritud;

f) "turvalisusega seotud tehnilised ja organisatsioonilised meetmed" – meetmed, mis on ette nähtud isikuandmete kaitsmiseks juhusliku või ebaseadusliku hävitamise või juhusliku kaotsimineku, muutmise, loata avaldamise või juurdepääsu eest, eelkõige kui töötlemine hõlmab andmete edastamist võrkude kaudu, ja kõigi muude ebaseaduslike töötlemisviiside eest.

Punkt 2

Ülekande üksikasjad

Edastamise üksikasjad, sealhulgas vajaduse korral isikuandmete erikategooriad, on täpsustatud 1. lisas, mis on nende klauslite lahutamatu osa.

Punkt 3

Kolmanda osapoole abisaaja klausel

1. Andmesubjekt võib andmeeksportija suhtes jõustada käesoleva klausli punkti 4 punktid b–i, klausli 5 punktid a–e ja g–j ning klausli 6 lõiked 1 ja 2. ), klausel 7, klausli 8 lõige 2 ja klauslid 9–12 kolmandast isikust kasusaajana

2. Andmesubjekt võib käesoleva klausli, punkti 5 alapunktide a–e ja g, klausli 6, klausli 7, punkti 8 lõike 2 ja klausli 9 kuni 12 jõustada andmeimportija suhtes, kui andmeeksportija on füüsiliselt on kadunud või seaduslikult lakanud eksisteerimast, välja arvatud juhul, kui kõik tema juriidilised kohustused on lepingu või seaduse alusel üle antud õigusjärglasele, kellele andmeeksportija õigused ja kohustused seetõttu tagasi lähevad ning kelle vastu andmed subjekt saab seega nimetatud klausleid jõustada.

Andmesubjekt võib käesoleva punkti, punkti 5 punktide a–e ja g, klausli 6, punkti 7, punkti 8 lõike 2 ja punktide 9 kuni 12 täitmist andmetöötleja suhtes rakendada, kuid ainult juhtudel, kui Andmed Eksportija ja Andmeimportija on füüsiliselt kadunud, seaduslikult lakanud eksisteerimast või muutunud maksejõuetuks, välja arvatud juhul, kui kõik Andmeeksportija juriidilised kohustused on lepingu või seaduse alusel üle läinud õigusjärglasele, kellele kuuluvad õigused ja seega on andmeeksportija kohustused ja kelle suhtes andmesubjekt võib selliseid klausleid jõustada. Andmetöötleja selline vastutus peab piirduma tema enda töötlemistoimingutega nende punktide alusel.

4. Pooled ei ole vastu sellele, et andmesubjekti esindab ühendus või muu organ, kui ta seda soovib ja kui siseriiklik õigus seda võimaldab.

Punkt 4

Andmeeksportija kohustused

The Data Exporter accepts and guarantees the following:

a) the processing, including the actual transfer of personal data, has been and will continue to be carried out in accordance with the relevant provisions of applicable data protection law (and, where applicable, has been notified to the competent authorities of the Member State in which the Data Exporter is based) and does not infringe the relevant provisions of that State;

b) they have instructed, and will instruct for the duration of the personal data processing services, the Data Importer to process the personal data transferred on the sole behalf of the Data Exporter and in accordance with applicable data protection law and these clauses;

c) the Data Importer will provide sufficient safeguards regarding the technical and organizational security measures specified in Appendix 2 to the present contract;

d) after evaluation of the requirements of the applicable data protection law, the security measures are adequate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure, or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing and ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected, having regard to the level of technology and the cost of implementation;

e) they will ensure compliance with security measures;

f) if the transfer relates to special categories of data, the data subject has been informed or will be informed before the transfer, or as soon as possible after the transfer that his or her data may be transferred to a third country that does not offer an adequate level of protection within the meaning of Directive 95/46/EC;

g) they will forward any notification received from the Data Importer or any Data processor under Clauses 5 (b) and 8 (3) to the data protection supervisory authority if it decides to continue transferring or to lift its suspension;

h) they shall make available to data subjects, if they so request, a copy of these Clauses, except for Appendix 2, and a summary description of the security measures, and a copy of any further subcontracting agreement, concluded under these Clauses unless the Clauses or the agreement contain commercial information, in which case he may withdraw such information;

i) in case of sub-contracting the data processing process, the processing activity is carried out in accordance with Clause 11 by a Data processor providing at least the same level of protection of personal data and data subject's rights as the Data Importer under these Clauses; and

j) it will ensure compliance with Clause 4 (a) to (i).

Clause 5

Andmete importija kohustused

Andmete importija aktsepteerib ja tagab järgmise:

a) nad töötlevad isikuandmeid ainult andmeeksportija nimel ning andmeeksportija juhiste ja käesolevate klauslite alusel; kui ta ei suuda mingil põhjusel järgida, nõustuvad nad andmeeksportijat oma suutmatusest esimesel võimalusel teavitada, sel juhul võib andmeeksportija andmeedastuse peatada ja/või lepingu lõpetada;

b) neil ei ole põhjust arvata, et nende suhtes kohaldatav õigus takistab tal täita andmeeksportija antud juhiseid ja talle lepingust tulenevaid kohustusi, ning kui sellist seadust muudetakse, mis võib oluliselt kahjustada avaldab mõju punktidest tulenevatele garantiidele ja kohustustele, teavitab ta muudatusest viivitamata pärast sellest teadasaamist Andmeeksportijat, millisel juhul võib andmeeksportija andmeedastuse peatada ja/või lepingu lõpetada; c) nad on enne edastatud isikuandmete töötlemist rakendanud 2. liites nimetatud tehnilised ja organisatsioonilised turvameetmed;

d) nad teavitavad andmeeksportijat viivitamata:

i) õiguskaitseasutuse mis tahes siduv taotlus isikuandmete avaldamiseks, kui ei ole sätestatud teisiti, näiteks kriminaalmenetluse keeld, mille eesmärk on säilitada politseijuurdluse saladus;

ii) juhuslik või volitamata juurdepääs; ja

iii) kõik taotlused, mis on saadud otse asjaomastelt isikutelt ilma sellele vastamata, välja arvatud juhul, kui tal on selleks luba; administraatorid

e) nad tegelevad kiiresti ja nõuetekohaselt kõigi andmeeksportijalt esitatud päringutega, mis puudutavad tema poolt edastatavate isikuandmete töötlemist, ning tegutsevad edastatud andmete töötlemise osas järelevalveasutuse arvamuse kohaselt;

f) andmeeksportija taotlusel kontrollivad nad andmeeksportija või nõutava kutsekvalifikatsiooniga sõltumatutest liikmetest koosnev järelevalveorgan tema andmetöötlusrajatisi nendes klauslites käsitletud töötlemistoiminguid; järgib saladuse hoidmise kohustust ja valib andmeeksportija vajaduse korral kokkuleppel järelevalveasutusega;

g) nad teevad andmesubjektile tema nõudmisel kättesaadavaks nende klauslite koopia või mis tahes olemasoleva andmetöötluslepingu alltöövõtulepingu koopia, välja arvatud juhul, kui klauslid või leping sisaldavad äriteavet; sel juhul võib ta sellise teabe eemaldada. teave, välja arvatud lisa 2, mis asendatakse turvameetmete kokkuvõtliku kirjeldusega, kui andmesubjekt ei saa andmeeksportijalt koopiat;

h) konfidentsiaalse edasise andmetöötluse alltöövõtulepingu sõlmimise korral tagab ta, et teavitab sellest eelnevalt andmeeksportijat ja saab andmeeksportijalt kirjaliku nõusoleku;

i) andmetöötleja poolt osutatavad töötlemisteenused peavad vastama punktile 11;

j) nad saadavad nende punktide alusel sõlmitud andmetöötluslepingu mis tahes allhankelepingu koopia viivitamata andmeeksportijale.

Punkt 6

Vastutus

1. Pooled lepivad kokku, et iga andmesubjekt, kes on kandnud kahju ühe poole või andmetöötleja poolt punktis 3 või 11 nimetatud kohustuste rikkumise tõttu, võib saada andmeeksportijalt tekkinud kahju hüvitamist.

2. Kui andmesubjektil ei ole võimalik esitada lõikes 1 osutatud kahju hüvitamise hagi andmeeksportija vastu, kuna andmeimportija või tema andmetöötleja ei ole täitnud mis tahes punktist 3 või punktist 11 tulenevat kohustust, kuna andmed Eksportija on füüsiliselt kadunud, lakanud eksisteerimast seadusega või muutunud maksejõuetuks, andmesubjekt nõustub sellega, et andmesubjekt võib esitada tema peale kaebuse nii nagu ta oleks andmeeksportija, välja arvatud juhul, kui kõik andmeeksportija juriidilised kohustused on lepinguga üle antud. või seaduse alusel selle õigusjärglasele, kelle suhtes andmesubjekt võib seejärel oma õigusi rakendada. Andmete importija ei tohi oma vastutuse vältimiseks tugineda andmetöötleja poolt oma kohustuste rikkumisele.

3. Kui andmesubjektil ei ole võimalik esitada lõigetes 1 ja 2 nimetatud hagi andmeeksportija või andmeimportija vastu, kuna andmetöötleja on rikkunud punktis 3 või 11 sätestatud kohustusi, kuna andmeeksportija ja andmete importija on füüsiliselt kadunud, lakanud eksisteerimast seaduse alusel või muutunud maksejõuetuks, nõustub andmesubjekt, et andmesubjekt võib vastavalt käesolevatele punktidele esitada tema vastu kaebuse enda töötlemistoimingute kohta nii, nagu oleks ta andmeeksportija või -importija, välja arvatud juhul, kui kõik Andmeeksportija või -importija juriidilised kohustused on lepingu või seaduse alusel üle antud õigusjärglasele, kelle vastu andmesubjekt võib seejärel oma õigusi kaitsta.Andmetöötleja vastutus peab piirduma tema enda töötlemistoimingutega vastavalt käesolevatele punktidele.

Punkt 7

Vahendus ja jurisdiktsioon

1. Andmete importija nõustub sellega, et kui andmesubjekt tugineb punktide kohaselt tema vastu kolmandast isikust kasusaaja õigusele ja/või nõuab kahju hüvitamist, nõustub ta andmesubjekti otsusega:

a) anda vaidlus sõltumatule isikule või vajaduse korral järelevalveasutusele vahendajaks;

b) anda vaidlus selle liikmesriigi kohtusse, kus andmete eksportija asub.

2. Pooled lepivad kokku, et andmesubjekti valik ei mõjuta andmesubjekti menetluslikku ega materiaalset õigust saada hüvitist vastavalt siseriikliku või rahvusvahelise õiguse muudele sätetele.

Punkt 8

Koostöö järelevalveasutustega

1. Andmeeksportija nõustub hoiule andma käesoleva lepingu koopia järelevalveasutusele, kui viimane seda nõuab või kui selline hoiuleandmine on ette nähtud kohaldatava andmekaitseseadusega.

2. Pooled lepivad kokku, et järelevalveasutus võib andmeimportija ja mis tahes andmetöötleja juures läbi viia kontrolle samas ulatuses ja samadel tingimustel kui andmeeksportija juures läbiviidavaid kontrolle kooskõlas kehtiva andmekaitseseadusega.

3. Andmete importija teavitab andmeeksportijat niipea kui võimalik andmete importijat või mis tahes andmetöötlejat puudutavate õigusaktide olemasolust, mis takistavad andmete importija või mis tahes andmetöötleja juures lõike 2 kohaselt kontrollimist. Andmete eksportija võib rakendada punkti 5 punktis b sätestatud meetmeid.

Punkt 9

Kohaldatav seadus

The clauses apply and are governed by the law of the Member State where the Data Exporter is based.

Clause 10

Lepingu muutmine

Pooled kohustuvad käesolevaid tingimusi mitte muutma. Pooled võivad lisada muid kaubandusklausleid, mida nad vajalikuks peavad, tingimusel et need ei ole käesolevate klauslitega vastuolus.

Punkt 11

Hilisem alltöövõtt

1. Andmeimportija ei sõlmi allhankelepinguid oma andmeeksportija nimel teostatavatest töötlemistoimingutest nende punktide alusel ilma andmeeksportija eelneva kirjaliku nõusolekuta. Andmeimportija sõlmib oma käesolevatest punktidest tulenevate kohustuste täitmise alltöövõtu korras ainult andmeeksportija nõusolekul andmetöötlejaga sõlmitud kirjaliku lepinguga, millega kehtestatakse andmetöötlejale samad kohustused, mis nende punktide alusel on andmeimportijale pandud. Kui andmetöötleja ei suuda täita oma sellest kirjalikust lepingust tulenevaid andmekaitsekohustusi, jääb andmeimportija nende kohustuste täitmise eest täielikult vastutavaks andmeeksportija ees.

2. Andmeimportija ja andmetöötleja vaheline eelnev kirjalik leping sisaldab ka punktis 3 sätestatud kolmandast isikust kasusaaja klauslit juhtudeks, kui andmesubjektil ei ole võimalik esitada punktis 6 (1) nimetatud kahju hüvitamise nõuet. ), andmeeksportija või andmete importija vastu, kuna andmeeksportija või andmete importija on füüsiliselt kadunud, seaduslikult lakanud eksisteerimast või muutunud maksejõuetuks ning kõik andmeeksportija või andmeimportija juriidilised kohustused ei ole lepingu või tegevusega üle läinud. seaduse alusel teisele õigusjärglasele. Andmetöötleja vastutus peab piirduma tema enda töötlemistoimingutega vastavalt käesolevatele punktidele.

3. Lõikes 1 osutatud lepingu andmetöötluse allhankelepingute sõlmimise andmekaitseaspekte käsitlevaid sätteid reguleerib selle liikmesriigi õigus, kus andmeeksportija on registreeritud.

4. Andmeeksportija peab käesolevate punktide alusel sõlmitud ja Andmeimportija poolt punkti 5 punkti j kohaselt teatavaks tehtud andmetöötluslepingute alltöövõtjate nimekirja, mida ajakohastatakse vähemalt kord aastas. See nimekiri tehakse kättesaadavaks andmeeksportija andmekaitse järelevalveasutusele.

Punkt 12

Obligation after the termination of personal data processing services

1. Pooled lepivad kokku, et pärast andmetöötlusteenuste lõpetamist tagastavad andmete importija ja töötleja andmeeksportijale sobival viisil kõik edastatud isikuandmed ja nende koopiad andmeeksportijale või hävitavad kõik sellised andmed ja esitavad tõendi. hävitamine Andmeeksportijale, välja arvatud juhul, kui andmeimportijale kehtestatud õigusaktid ei takista tal kõiki või osa edastatud isikuandmeid tagastada või hävitada. Sellisel juhul garanteerib Andmeimportija, et ta tagab edastatavate isikuandmete konfidentsiaalsuse ning andmeid enam aktiivselt ei töötle.

2. Andmeimportija ja andmetöötleja tagavad, et andmeeksportija ja/või järelevalveasutuse nõudmisel kontrollivad nad oma andmetöötlusvahendeid lõikes 1 osutatud meetmete järgimise kohta.

2. osa lisa 1.1

Ülekande üksikasjad

Andmete eksportija

Andmete eksportija on Lepingus määratletud Klient.

Andmete importija

Andmete importija on POSTCODEZIP ja on määratud töötlema andmeid, pakkudes andmeeksportijale teenuseid.

Andmete subjektid

Edastatud isikuandmed puudutavad järgmisi andmesubjektide kategooriaid:

â˜?? universaalses kataloogis loetletud telefoniabonendid

" Muud, sealhulgas:

Andmete kategooriad

Edastatud isikuandmed puudutavad järgmisi andmekategooriaid:

Eelkõige andmeeksportija andmesubjektide isikuandmete kategooriad,

â˜?? Täisnimi

â˜' Postiaadress

â˜?? Kontaktandmed (e-post, telefon, IP-aadress jne)

â˜?? Andmed telefoniabonenti puudutava turundustegevuse kohta

„ Muud, sealhulgas anonüümselt tehtud eluaseme tüüp, sissetulek ja linna keskmine vanus

Special categories of data (if applicable)

Edastatud isikuandmed puudutavad järgmisi andmekategooriaid:

â˜' Erikategooriate andmete edastamine ei ole ette nähtud

â˜?? Rass või etniline päritolu

â˜?? Religioossed või filosoofilised tõekspidamised

â˜?? Ametiühingusse kuulumine

â˜?? Poliitilised vaated

â˜?? Geneetiline teave

â˜?? Biomeetriline teave

â˜?? Teave seksuaalse sättumuse või seksuaalelu kohta

â˜?? Terviseandmed

Töötlemistegevused

Edastatud isikuandmete suhtes kohaldatakse järgmisi põhilisi töötlemistoiminguid:

- • Purpose of the processing

Andmeeksportija nimel tehtav töötlemine põhineb järgmistel teemadel, eelkõige:

â˜' Andmeeksportija pakutavate toodete või teenuste eest vastutamine

â˜' Toote või teenuse pakkumine, mida helistaja saab taotleda

â˜' Helistatud isikutelt võetud korraldused ja nende tellimuste edasine töötlemine

â˜' Uurige küsimustikke ja analüüse

â˜' Telemarketing

â˜?? Muud, sealhulgas:

â€¢ Töötlemise olemus ja eesmärk

Andmeimportija töötleb andmesubjektide isikuandmeid andmeeksportija nimel, et pakkuda järgmisi teenuseid, eelkõige:

â˜' Vormi automaatne täitmine
â˜' Aadresside kinnitamise vorm

â˜' Müük ja turundus

â˜' Muud, sealhulgas raekodade ja erakondade andmebaaside uuendamine

â€¢ Teenuste pakkumine ja teenuseosutajate palkamine

POSTCODEZIP peamiselt ühendab, tsentraliseerib ja pakub teenuseid andmeeksportijale. Nimetatud teenusepakkuja pakutavad teenused võivad olla struktureeritud (muu hulgas vastavalt vajadusele) järgmiste abiteenuste ümber: (i) rakenduste, tööriistade, süsteemide ja IT-infrastruktuuri pakkumine seoses kasutatavate andmetöötluskeskustega, et pakkuda ja toetada teenuseid, sealhulgas ülalkirjeldatud andmesubjektide isikuandmete töötlemist selliste rakenduste, tööriistade ja süsteemide kaudu, (ii) selliste rakenduste, tööriistade ja süsteemidega seotud IT-toe, hoolduse ja muude teenuste pakkumine. ja IT-infrastruktuur, sealhulgas potentsiaalne juurdepääs sellistes rakendustes, tööriistades ja süsteemides salvestatud isikuandmetele ning iii) andmekaitseteenuste pakkumine, kaitse jälgimine ja intsidentidele reageerimise teenused,sealhulgas võimalik juurdepääs isikuandmetele selliste kaitseteenuste osutamisel. POSTCODEZIP võib teenuste, sealhulgas abiteenuste osutamiseks kaasata andmetöötlejaid, nagu allpool sätestatud.

â€¢ Andmetöötlusele määratud allüksustena välised kolmandast osapoolest teenusepakkujad

POSTCODEZIP kaasab andmeeksportijale teenuste osutamise toetamiseks väliseid ja kolmandatest osapooltest teenusepakkujaid, kes ei ole POSTCODEZIPi tütarettevõtted. Andmeeksportija kinnitab sellised välised kolmandatest isikutest teenusepakkujad andmetöötlusele määratud allüksusteks.

Kui andmetöötlusega seotud allüksus asub väljaspool EL-i/EMP-d riigis, mille andmekaitse tase Euroopa Komisjoni otsuse kohaselt ei ole piisav, astub andmete importija meetmeid piisava andmekaitse taseme saavutamiseks. andmekaitse vastavalt GDPR-ile ja 1. osa jaotisele 3.4 (iv).

2. lisa 2. osa

Tehnilised ja organisatsioonilised kaitsemeetmed

The Data Importer shall take the following technical and organizational protection measures confirmed by the Data Exporter, in order to guarantee an appropriate level of security for the rights and freedoms of individuals, depending on the risks. In assessing the level of protection concerned, the Data Exporter has considered, in particular, the risks involved in the processing, including accidental or unlawful destruction, alteration, unauthorized disclosure, or access to personal data transmitted, stored, or otherwise processed. By clarification: These technical and organizational protection measures do not apply to the applications, tools, systems, and/or IT infrastructure provided by the Data Exporter.

1 Üldised tehnilised ja organisatsioonilised kaitsemeetmed

1.1 Üldteave ja andmekaitsestrateegiad

Üldiste andme- ja teabekaitsestrateegiate järgimiseks tuleks võtta järgmised sammud.

a) take measures to evaluate those taken regarding technical and organizational protection;

b) pakkuda koolitusi töötajate teadlikkuse tõstmiseks;

c) omama asjaomaste süsteemide kirjeldust ja võimaldama töötajatele juurdepääsu;

d) kehtestama ametliku dokumenteerimisprotsessi iga kord, kui süsteeme rakendatakse või muudetakse;

e) documenting the organizational structure, processes, responsibilities, and respective evaluations;

1.2 Organization of information protection

Andme- ja teabekaitsetegevuse koordineerimiseks tuleks võtta järgmised meetmed:

a) määratletud vastutus teabe ja andmete kaitsmisel (nt andmekaitsehalduspoliitika kaudu);

b) vajalikud teadmised teabe ja kättesaadavaks jäävate andmete kaitsmiseks;

c) kõik töötajad on võtnud kohustuse tagada, et isikuandmeid hoitakse konfidentsiaalsena, ja neid on teavitatud selle kohustuse rikkumise võimalikest tagajärgedest.

1.3 Juurdepääsu kontroll töötlemisaladele

Tuleb võtta järgmised meetmed, et vältida volitamata isikute juurdepääsu andmetöötlussüsteemidele (eelkõige tarkvarale ja riistvarale) isikuandmete töötlemise, säilitamise või edastamise ajal:

a) rajama turvaalasid;

b) kaitsta andmetöötlussüsteeme ja piirata neile juurdepääsu;

c) kehtestada töötajatele ja kolmandatele isikutele juurdepääsuload, sealhulgas vastavad dokumendid;

d) registreeritakse igasugune juurdepääs andmetöötluskeskustele, kus isikuandmeid säilitatakse.

1.4 Juurdepääsu kontroll andmetöötlussüsteemidele

Selleks et vältida volitamata juurdepääsu andmetöötlussüsteemidele, tuleb võtta järgmised meetmed:

a) kasutaja autentimise eeskirjad ja protseduurid;

b) paroolide kasutamine kõigis arvutisüsteemides;

c) remote access to the network requires multi-factor authentication and is granted to the person concerned according to their responsibilities and upon authorization;

d) juurdepääs konkreetsetele funktsioonidele põhineb tööfunktsioonidel ja/või kasutajakontole individuaalselt määratud atribuutidel;

e) isikuandmetega seotud juurdepääsuõigused vaadatakse regulaarselt üle;

f) juurdepääsuõiguste muudatuste dokumente hoitakse ajakohasena.

1.5 Andmetöötlussüsteemide konkreetsetele kasutusvaldkondadele juurdepääsu kontrollimine

Tagamaks, et andmetöötlussüsteemi kasutamise õigust omavad volitatud isikud pääseksid juurde ainult oma kohustuste ja juurdepääsulubade piires ning isikuandmeid ei saaks ilma loata lugeda, kopeerida, muuta ega kustutada, tuleb kasutusele võtta järgmised meetmed:

a) poliitikad, juhised ja töötajate koolitus, mis puudutavad igaühe kohustusi seoses konfidentsiaalsusega, isikuandmetega tutvumise õigusi ja isikuandmete töötlemise ulatust;

b) distsiplinaarmeetmed isikute suhtes, kes pääsevad isikuandmetele loata juurde;

c) juurdepääs isikuandmetele võimaldatakse ainult selleks volitatud isikutele teadmisvajaduse alusel;

d) pidama süsteemiadministraatorite nimekirja ja võtma asjakohaseid meetmeid süsteemiadministraatorite jälgimiseks;

e) mitte kopeerida ega reprodutseerida isikuandmeid üheski salvestussüsteemis, et võimaldada volitamata isikutel andmete koostaja teavet eemaldada;

f) andmete kontrollitud ja dokumenteeritud kustutamine või hävitamine;

g) säilitada turvaliselt kõiki isikuandmeid, mida tuleb säilitada õiguslikel või regulatiivsetel põhjustel (nt andmete säilitamise kohustus) ja ainult nii kaua, kui seadus seda nõuab.

1.6 Käigukasti juhtimine

Selleks et vältida isikuandmete lugemist, kopeerimist, muutmist või kustutamist volitamata kolmandate isikute poolt andmesalvestusseadmete edastamise või transportimise ajal (olenevalt teostatud isikuandmete töötlemisest), tuleb kasutusele võtta järgmised meetmed:

a) tulemüüride kasutamine;

b) vältides isikuandmete salvestamist mobiilsetesse salvestusseadmetesse transpordi eesmärgil või seadmete krüpteerimist;
c) kasutada sülearvutites ja muudes mobiilseadmetes alles pärast krüpteerimiskaitse aktiveerimist;

d) isikuandmete edastamise logimine.

1.7 Andmesisestuse kontroll

Selleks, et oleks võimalik kontrollida ja kindlaks teha, kas isikuandmeid on andmetöötlussüsteemidesse sisestatud või neist kustutatud ja kes on, tuleb võtta järgmised meetmed:

a) salvestatud andmete lugemise, muutmise ja kustutamise lubamise poliitika;

b) salvestatud andmete lugemise, muutmise ja kustutamise kaitsemeetmed.

1.8 Töökontroll

Isikuandmete delegeeritud töötlemise korral tuleb rakendada järgmisi meetmeid tagamaks, et neid andmeid töödeldakse vastavalt järelevalve teostaja juhistele:

a) andmetöötluseks määratud üksused või allüksused, kes on hoolikalt valitud (vastutava töötleja nimel isikuandmeid töötlevad teenusepakkujad);

b) instructions concerning the scope of any processing of personal data to the employees, entities, or sub-entities assigned to the data processing;

c) andmetöötluseks määratud üksuste või allüksustega kokkulepitud auditeerimisõigused;

d) lepingud, mis on sõlmitud andmete töötlemiseks määratud üksuste või allüksustega.

1.10 Pseudonüümiseerimine

Isikuandmete pseudonümiseerimiseks tuleb võtta järgmised meetmed:

a) Kui andmeeksportija tellib konkreetse töötlemistoimingu või kui andmeimportija peab seda teatud töötlemistoimingute kohta kehtivate andmekaitseseaduste kohaselt asjakohaseks, töödeldakse isikuandmeid nii, et andmeid ei saa enam konkreetsele isikule omistada ilma täiendavat teavet kasutamata. Seda lisateavet säilitatakse eraldi;

b) pseudonüümiseerimise tehnikate kasutamine, sealhulgas jaotusnimekirjade randomiseerimine; väärtuste loomine teravate näol.

1.11 Krüpteerimine

Isikuandmete krüpteerimiseks krüptimist toetavates rakendustes ja edastustes tuleks võtta järgmised toimingud.

a) krüpteerimistehnikate kasutamine;

b) krüpteerimishalduse loomine, et toetada kasutamiseks lubatud krüpteerimistehnikaid;

c) krüptograafia kasutamise toetamine krüptograafiliste võtmete genereerimise, muutmise, tühistamise, hävitamise, levitamise, sertifitseerimise, salvestamise, hõivamise, kasutamise ja arhiveerimise protseduuride ja protokollide kaudu, et kaitsta neid volitamata muutmise ja avalikustamise eest.

1.12 Andmetöötlussüsteemide ja -teenuste täielikkus

Andmetöötlussüsteemide ja -teenuste täielikkuse tagamiseks tuleb võtta järgmised meetmed:

1. a) andmetöötlussüsteemide kaitse manipuleerimise või hävitamise eest asjakohaste vahenditega (nt viirusetõrjetarkvara, andmekao vältimise tarkvara ja tarkvara pahavara vastu, tarkvarapaigad, tulemüürid ja hallatud töölauakaitse);

b) keelata andmetöötlussüsteeme, teenuseid kahjustava teenuse või tarkvara installimine või isikuandmetega manipuleerimine;

c) võrgu sissetungi tuvastamise ja ennetamise süsteemi kasutamine võrgu enda struktuuris.

1.13 Andmetöötlussüsteemide ja -teenuste kättesaadavus ning isikuandmetele juurdepääsu ja nende kasutamise taastamise võimalus materiaalse või tehnilise intsidendi korral

Selleks et tagada andmetöötlussüsteemide kättesaadavus, samuti oleks võimalik kiiresti taastada isikuandmete kättesaadavus ja juurdepääs materiaalse või tehnilise intsidendi korral, tuleb kasutusele võtta järgmised meetmed (eelkõige tagades isikuandmed on kaitstud juhusliku hävimise või kaotsimineku eest):

a) omama kontrollivahendeid varukoopiate säilitamiseks ja kadunud või kustutatud andmete taastamiseks;

b) infrastruktuuri koondamise ja jõudluse testimine;

c) arvutiressursside füüsiline kaitse;

d) vahendite kasutamine sisevõrgu oleku ja saadavuse jälgimiseks;

e) incident reporting and response policies governing the incident management procedure, and reiteration of adherence to these policies as part of regular training;

f) varukoopiad (mõnikord väljaspool asukohta), et taastada süsteem, et see saaks uuesti oma funktsioone täita;

g) talitluspidevuse/katastroofi taastamise kavad

1.14 Andmetöötlussüsteemide ja -teenuste vastupidavus

The following measures must be taken to ensure the resilience of data processing systems and services:

a) süsteemid ja konfigureeritud harmooniliselt, kasutades heakskiidetud turvaparameetreid;

b) võrgu koondamine;

c) containment protection of critical systems.

1.15 Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to ensure the security of data processing

Andmetöötluse kaitse tehniliste ja organisatsiooniliste meetmete regulaarse testimise, hindamise ja tõhususe hindamise kord.

a) võtma vajalikke meetmeid riskide ja maandamise strateegiate hindamiseks;

b) IT-osakonna teenuseanalüüsi koosolekud jooksvate küsimuste käsitlemiseks;

c) talitluspidevuse/katastroofi taastamise plaane ajakohastatakse regulaarselt.

Part 3

Signatures of the parties and list of Data Importers

Kui täidate veebipõhise tellimisvormi ja kinnitate selle üldiste kasutustingimustega nõustumise kastikesega, sõlmitakse Kliendi ja POSTCODEZIP-i vahelisi suhteid reguleeriv leping.

Makse saatmisel POSTCODEZIP-ile loetakse leping kokkulepitud ja sõlmituks.

Take a note: This text has been translated from French. The original French version, which is valid and legally restrictive, is available here.