Data processing appendix | Postcodezip studio

डाटा प्रोसेसिंग परिशिष्ट

यह परिशिष्ट अनुबंध का एक अभिन्न अंग है और इसमें निम्नलिखित शामिल हैं:

(i) ग्राहक (" डेटा निर्यातक ")
(ii) POSTCODEZIP (" डेटा आयातक ")

प्रत्येक एक " पार्टी " और आमतौर पर " पार्टियाँ " होता है।

प्रस्तावना

जहां डेटा आयातक पेशेवर सॉफ्टवेयर सेवाएं, कंप्यूटर और संबंधित सेवाएं प्रदान करता है;

जहां अनुबंध के अनुसार, डेटा आयातक डेटा निर्यातक को अनुबंध में निर्दिष्ट सेवाएं (" सेवाएं ") प्रदान करने के लिए सहमत हो गया है ;

जहां, सेवाएं प्रदान करके, डेटा आयातक डेटा निर्यातक की जानकारी या डेटा निर्यातक के साथ (संभावित) संबंध रखने वाले अन्य व्यक्तियों की जानकारी तक पहुंच से लाभ प्राप्त करता है या लाभ प्राप्त करता है, ऐसी जानकारी विनियमन के अर्थ के भीतर व्यक्तिगत डेटा के रूप में योग्य हो सकती है। (ईयू) 2016/679 यूरोपीय संसद और 27 अप्रैल 2016 की परिषद के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में और ऐसे डेटा (" जीडीपीआर ") और अन्य लागू डेटा सुरक्षा कानूनों के मुक्त आंदोलन के संबंध में व्यक्तियों की सुरक्षा पर ।

जहां इस परिशिष्ट में डेटा आयातक के अधिकृत डेटा प्रोसेसिंग एजेंट के रूप में डेटा आयातक द्वारा ऐसे व्यक्तिगत डेटा के संग्रह, प्रसंस्करण और उपयोग के लिए लागू नियम और शर्तें शामिल हैं, ताकि यह सुनिश्चित किया जा सके कि पक्ष लागू डेटा सुरक्षा कानून का अनुपालन करते हैं। .

इसलिए, और पार्टियों को अपने संबंधों को कानूनी रूप से जारी रखने में सक्षम बनाने के लिए, पार्टियों ने इस परिशिष्ट को निम्नानुसार समाप्त किया है:

भाग 1

1. दस्तावेज़ की संरचना और परिभाषाएँ

1.1 संरचना

इस परिशिष्ट में विभिन्न भाग शामिल हैं जो इस प्रकार हैं:

भाग 1:

इसमें सामान्य प्रावधान शामिल हैं, उदाहरण के लिए इस परिशिष्ट में प्रयुक्त परिभाषाओं से संबंधित, स्थानीय कानूनों का अनुपालन, समय और समाप्ति

भाग 2:

असंशोधित मानक संविदात्मक खंड दस्तावेज़ का मुख्य भाग शामिल है

भाग 2 का परिशिष्ट 1.1:

इसके तहत डेटा आयातक द्वारा अधिकृत डेटा प्रोसेसिंग एजेंट (प्रसंस्करण, प्रकृति और प्रसंस्करण के उद्देश्य, व्यक्तिगत डेटा के प्रकार और डेटा विषयों की श्रेणियों सहित) के रूप में डेटा निर्यातक को डेटा आयातक द्वारा प्रदान किए गए प्रसंस्करण कार्यों का विवरण शामिल है। अनुबंध

भाग 2 का परिशिष्ट 1.1:

इसमें डेटा आयातक के तकनीकी और संगठनात्मक सुरक्षा उपायों का विवरण शामिल है, जो भाग 2 के परिशिष्ट 1.1 में वर्णित सभी प्रसंस्करण गतिविधियों के संबंध में लागू होते हैं।

भाग 3:

इस परिशिष्ट से बाध्य होने वाले पक्षों के हस्ताक्षर शामिल हैं और प्रत्येक डेटा आयातक की पहचान करता है

1.2 शब्दावली और परिभाषाएं

इस परिशिष्ट के प्रयोजनों के लिए, GDPR द्वारा उपयोग की जाने वाली शब्दावली और परिभाषाएँ लागू हैं (भाग 2 में मानक संविदात्मक खंड दस्तावेज़ के मुख्य भाग में, जहाँ परिभाषित शब्द बड़े अक्षरों में नहीं हैं)।

"सदस्य राज्य"

का अर्थ यूरोपीय संघ या यूरोपीय आर्थिक क्षेत्र से संबंधित देश है

"(व्यक्तिगत) डेटा की विशेष श्रेणियां"

व्यक्तिगत डेटा को संदर्भित करता है जो नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक मान्यताओं, या ट्रेड यूनियन सदस्यता, और आनुवंशिक डेटा, बायोमेट्रिक डेटा को प्रकट करता है, यदि किसी व्यक्ति की विशिष्ट पहचान के उद्देश्य से संसाधित किया जाता है, स्वास्थ्य से संबंधित डेटा, किसी व्यक्ति के लिंग से संबंधित डेटा जीवन या यौन अभिविन्यास

"मानक संविदात्मक खंड"

का अर्थ है 5 फरवरी 2010 को आयोग के निर्णय 2010/87/ईयू के तहत तीसरे देशों में स्थापित प्रसंस्करण एजेंटों के व्यक्तिगत डेटा को स्थानांतरित करने के लिए मानक संविदात्मक खंड, जिसे 16 तारीख को आयोग कार्यान्वयन निर्णय (ईयू) 2016/2297 द्वारा संशोधित किया गया था। दिसंबर 2016

एक € œडेटा प्रोसेसरâ €

इसका मतलब ईयू/ईईए के अंदर या बाहर स्थित कोई भी प्रोसेसिंग एजेंट है, जो डेटा आयातक या डेटा आयातक के किसी अन्य प्रोसेसर से डेटा एक्सपोर्टर द्वारा की जाने वाली प्रोसेसिंग गतिविधियों के अनन्य उद्देश्य के लिए व्यक्तिगत डेटा प्राप्त करने के लिए सहमत होता है। डेटा निर्यातक के निर्देशों के अनुसार स्थानांतरण, इस परिशिष्ट की शर्तों और डेटा आयातक के साथ अनुबंध

2. डेटा निर्यातक के दायित्व

2.1 डेटा निर्यातक का दायित्व है कि वह जीडीपीआर के तहत सभी लागू दायित्वों और डेटा निर्यातक पर लागू होने वाले किसी भी अन्य लागू डेटा सुरक्षा कानून का अनुपालन सुनिश्चित करे और जीडीपीआर के अनुच्छेद 5 (2) के अनुसार आवश्यक अनुपालन प्रदर्शित करे। डेटा निर्यातक वारंट करता है कि डेटा आयातक ने जीडीपीआर के अनुच्छेद 6 (ए) के अनुसार डेटा विषयों की पूर्व सहमति प्राप्त की है और जीडीपीआर के अनुच्छेद 13 और 14 के अनुसार डेटा विषयों को सूचित करने के अपने दायित्व का अनुपालन किया है।

2.2 डेटा निर्यातक को इस परिशिष्ट के तहत सेवाओं से संबंधित जीडीपीआर के अनुच्छेद 30 (1) के अनुसार प्रसंस्करण गतिविधियों की संबंधित फाइलों के साथ डेटा आयातक को डेटा आयातक के लिए दायित्व का पालन करने के लिए आवश्यक सीमा तक प्रदान करना होगा। जीडीपीआर का अनुच्छेद 30 (2)।

2.3 डेटा निर्यातक को लागू डेटा सुरक्षा कानून द्वारा अपेक्षित सीमा तक डेटा सुरक्षा अधिकारी या प्रतिनिधि नियुक्त करना चाहिए। डेटा निर्यातक डेटा आयातक को डेटा सुरक्षा एजेंट या प्रतिनिधि, यदि कोई हो, का संपर्क विवरण प्रदान करने के लिए बाध्य है।

2.4. डेटा निर्यातक इस परिशिष्ट की स्वीकृति के द्वारा प्रसंस्करण के पूरा होने से पहले पुष्टि करता है कि डेटा आयातक के तकनीकी और संगठनात्मक सुरक्षा उपाय, जैसा कि परिशिष्ट 2 से भाग 2 में निर्धारित किया गया है, डेटा विषय के अधिकारों की रक्षा के लिए उपयुक्त और पर्याप्त हैं। और पुष्टि करता है कि डेटा आयातक इस संबंध में पर्याप्त सुरक्षा उपाय प्रदान करता है।

3. स्थानीय कानून का अनुपालन

GDPR के अनुच्छेद 28 के बाद प्रसंस्करण एजेंटों के कार्यान्वयन की आवश्यकताओं को पूरा करने के लिए, निम्नलिखित संशोधन लागू होते हैं:

3.1 निर्देश

(i) डेटा निर्यातक डेटा आयातक को केवल डेटा निर्यातक की ओर से व्यक्तिगत डेटा संसाधित करने का निर्देश देता है। डेटा निर्यातक के निर्देश इस परिशिष्ट और अनुबंध में दिए गए हैं। डेटा निर्यातक का यह दायित्व है कि वह यह सुनिश्चित करे कि डेटा आयातक को सभी निर्देश दिए गए हैं जो लागू डेटा सुरक्षा कानूनों का अनुपालन करते हैं। डेटा आयातक को व्यक्तिगत डेटा को केवल डेटा निर्यातक द्वारा प्रदान किए गए निर्देशों के अनुसार संसाधित करना चाहिए, जब तक कि यूरोपीय संघ या सदस्य राज्य के कानून द्वारा अन्यथा आवश्यक न हो (बाद के मामले में, भाग 1 खंड 3.2 (iv) (सी) लागू होता है) .
(ii) इस परिशिष्ट या अनुबंध में दिए गए निर्देशों से परे जाने वाले अन्य सभी निर्देशों को इस परिशिष्ट और अनुबंध के विषय में शामिल किया जाना चाहिए। यदि इस अतिरिक्त निर्देश को लागू करने में डेटा आयातक के लिए लागत शामिल है, तो डेटा आयातक डेटा निर्यातक को ऐसी लागतों के बारे में सूचित करेगा और निर्देश को लागू करने से पहले एक स्पष्टीकरण प्रदान करेगा। डेटा निर्यातक द्वारा निर्देश को लागू करने के लिए इन लागतों की स्वीकृति की पुष्टि के बाद ही, डेटा आयातक इस अतिरिक्त निर्देश को लागू करेगा। डेटा एक्सपोर्टर को लिखित रूप में अतिरिक्त निर्देश देना होगा जब तक कि तात्कालिकता या अन्य विशिष्ट परिस्थितियों के लिए किसी अन्य फॉर्म (जैसे मौखिक, इलेक्ट्रॉनिक) की आवश्यकता न हो। लिखित के अलावा किसी अन्य रूप में निर्देशों की लिखित रूप में पुष्टि की जानी चाहिए और डेटा निर्यातक द्वारा बिना किसी देरी के पुष्टि की जानी चाहिए।
1. जब तक डेटा एक्सपोर्टर व्यक्तिगत डेटा का सुधार, मिटाना या प्रतिबंध स्वयं नहीं कर सकता, निर्देश भाग 1 क्लॉज 3.3 में निर्धारित व्यक्तिगत डेटा के सुधार, मिटाने और/या प्रतिबंध से भी संबंधित हो सकते हैं।
2. डेटा आयातक को तुरंत डेटा निर्यातक को सूचित करना चाहिए, यदि उसकी राय में, कोई निर्देश GDPR या यूरोपीय संघ या किसी सदस्य राज्य के अन्य लागू डेटा सुरक्षा प्रावधानों का उल्लंघन करता है (" विवादित निर्देश "". अगर डेटा आयातक का मानना है कि एक निर्देश जीडीपीआर या यूरोपीय संघ या किसी सदस्य राज्य के अन्य लागू डेटा सुरक्षा प्रावधानों का उल्लंघन करता है, तो डेटा आयातक विवादित निर्देश का पालन करने के लिए बाध्य नहीं है। अगर डेटा निर्यातक विवादित निर्देश की पुष्टि करता है डेटा आयातक से जानकारी प्राप्त करना और विवादित निर्देश के लिए अपनी जिम्मेदारी स्वीकार करता है, डेटा आयातक विवादित निर्देश को लागू करेगा, जब तक कि विवादित निर्देश (i) तकनीकी और संगठनात्मक उपायों के कार्यान्वयन, (ii) डेटा के अधिकारों से संबंधित न हो। विषय या (iii) डेटा प्रोसेसर की सगाई। (i) से (iii) के मामलों में, डेटा आयातक एक सक्षम पर्यवेक्षी प्राधिकारी से संपर्क कर सकता है ताकि ऐसे प्राधिकरण द्वारा कानूनी रूप से विवादित निर्देश का मूल्यांकन किया जा सके।यदि पर्यवेक्षी प्राधिकरण चुनौती दिए गए निर्देश को कानूनी घोषित करता है, तो डेटा आयातक चुनौती दिए गए निर्देश को लागू करेगा। भाग 1 खंड 3.1 (ii) लागू रहेगा।

3.2 डेटा आयातक के दायित्व

(i) डेटा आयातक को यह सुनिश्चित करना चाहिए कि डेटा आयातक द्वारा डेटा निर्यातक की ओर से व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों, विशेष रूप से डेटा आयातक के कर्मचारियों और किसी उप-ठेकेदार के कर्मचारियों ने गोपनीयता का पालन करने का वचन दिया है या इसके अधीन हैं गोपनीयता का एक उपयुक्त वैधानिक कर्तव्य है, और ऐसे व्यक्ति जिनके पास व्यक्तिगत डेटा तक पहुंच है, डेटा निर्यातक के निर्देशों के अनुसार इसे संसाधित करते हैं।
(ii) डेटा निर्यातक की ओर से व्यक्तिगत डेटा को संसाधित करने से पहले डेटा आयातक को परिशिष्ट 2 से भाग 2 में निर्धारित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करना चाहिए। डेटा आयातक समय-समय पर तकनीकी और संगठनात्मक सुरक्षा उपायों को बदल सकता है यदि वे परिशिष्ट 2 से भाग 2 में निर्धारित सुरक्षा उपायों से कम सुरक्षा प्रदान नहीं करते हैं।
(iii) डेटा आयातक इस परिशिष्ट के तहत डेटा आयातक के दायित्वों के अनुपालन को दर्शाने के लिए डेटा निर्यातक के अनुरोध पर डेटा निर्यातक को जानकारी उपलब्ध कराएगा। पक्ष सहमत हैं कि डेटा निर्यातक को एक ऑडिट रिपोर्ट (सिद्धांतों की सुरक्षा, सिस्टम की उपलब्धता और गोपनीयता को कवर करते हुए) ("ऑडिट रिपोर्ट") प्रदान करके इस सूचना दायित्व को पूरा किया जाता है। यदि अतिरिक्त ऑडिट गतिविधियों की कानूनी रूप से आवश्यकता होती है, तो डेटा निर्यातक अनुरोध कर सकता है कि डेटा निर्यातक या डेटा निर्यातक द्वारा नियुक्त किसी अन्य ऑडिटर द्वारा निरीक्षण किया जाए, जो डेटा आयातक के साथ डेटा आयातक के साथ गोपनीयता समझौते के ऐसे ऑडिटर द्वारा निष्पादन के अधीन है। उचित संतुष्टि ("लेखापरीक्षा")। यह लेखापरीक्षा निम्नलिखित शर्तों के अधीन है:(i) डेटा आयातक की पूर्व औपचारिक लिखित स्वीकृति; और (ii) डेटा निर्यातक डेटा निर्यातक और डेटा आयातक के लिए ऑन-साइट ऑडिट से संबंधित सभी लागतों को वहन करेगा। डेटा एक्सपोर्टर को ऑन-साइट ऑडिट ("ऑन-साइट ऑडिट रिपोर्ट") के परिणामों और टिप्पणियों को सारांशित करते हुए एक ऑडिट रिपोर्ट बनानी चाहिए। ऑन-साइट ऑडिट रिपोर्ट और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी हैं और जब तक लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक तीसरे पक्ष को इसका खुलासा नहीं किया जाना चाहिए।ऑन-साइट ऑडिट रिपोर्ट और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी हैं और जब तक लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक तीसरे पक्ष को इसका खुलासा नहीं किया जाना चाहिए।ऑन-साइट ऑडिट रिपोर्ट और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी हैं और जब तक लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक तीसरे पक्ष को इसका खुलासा नहीं किया जाना चाहिए।
(iv) डेटा आयातक का दायित्व है कि वह बिना किसी देरी के डेटा निर्यातक को सूचित करे:
ए। कानून प्रवर्तन प्राधिकरण द्वारा व्यक्तिगत डेटा के प्रकटीकरण के लिए कानूनी रूप से बाध्यकारी अनुरोध के संबंध में, जब तक कि अन्यथा निषिद्ध न हो, जैसे कि कानून प्रवर्तन जांच की गोपनीयता की रक्षा के लिए आपराधिक कानून के तहत निषेध
बी। किसी डेटा विषय से सीधे प्राप्त किसी भी शिकायत और अनुरोध के संबंध में (उदाहरण के लिए एक्सेस, सुधार, विलोपन, प्रसंस्करण पर प्रतिबंध, डेटा पोर्टेबिलिटी, डेटा प्रोसेसिंग पर आपत्ति, स्वचालित निर्णय लेने के संबंध में) उस अनुरोध का जवाब दिए बिना, जब तक कि डेटा आयातक को अधिकृत नहीं किया गया हो ऐसा करो
सी। यदि डेटा आयातक या डेटा प्रोसेसर यूरोपीय संघ या सदस्य राज्य के कानून के तहत बाध्य है, जिसके लिए डेटा आयातक या डेटा प्रोसेसर विषय है, तो डेटा निर्यातक के निर्देशों से परे व्यक्तिगत डेटा को संसाधित करने के लिए, इस तरह के प्रसंस्करण को आगे बढ़ाने से पहले निर्देश, जब तक कि यूरोपीय संघ या सदस्य राज्य के कानून महत्वपूर्ण सार्वजनिक हित के आधार पर इस तरह के प्रसंस्करण को प्रतिबंधित नहीं करते हैं, उस स्थिति में डेटा निर्यातक को अधिसूचना यूरोपीय संघ या सदस्य राज्य के उस कानून के तहत कानूनी आवश्यकता को निर्दिष्ट करेगी; या
डी। यदि डेटा आयातक को व्यक्तिगत डेटा के उल्लंघन का एहसास होता है, केवल अपने या उसके उप-ठेकेदार के कारण, जो वर्तमान अनुबंध द्वारा कवर किए गए डेटा निर्यातक के व्यक्तिगत डेटा को प्रभावित करेगा, तो उस स्थिति में डेटा आयातक डेटा निर्यातक को उसके दायित्व में सहायता करेगा, जीडीपीआर के अनुच्छेद 33 (3) के अनुसार, डेटा विषयों को सूचित करने के लिए और जहां लागू हो, पर्यवेक्षी अधिकारियों को इसके निपटान में जानकारी प्रदान करके लागू डेटा सुरक्षा कानून के साथ-साथ।
(v) डेटा निर्यातक के अनुरोध पर, डेटा आयातक को डेटा सुरक्षा प्रभाव मूल्यांकन करने के लिए डेटा निर्यातक की सहायता करने के लिए बाध्य किया जाएगा जो कि GDPR के अनुच्छेद 35 द्वारा आवश्यक हो सकता है और एक पूर्व परामर्श जो हो सकता है इस परिशिष्ट के तहत डेटा आयातक द्वारा डेटा निर्यातक को प्रदान की जाने वाली सेवाओं से संबंधित GDPR के अनुच्छेद 36 द्वारा आवश्यक, डेटा निर्यातक को आवश्यक और जानकारी प्रदान करना। डेटा आयातक केवल ऐसी सहायता प्रदान करने के लिए बाध्य होगा यदि डेटा निर्यातक अन्य माध्यमों से अपने दायित्व को पूरा नहीं कर सकता है। डेटा आयातक डेटा निर्यातक को ऐसी सहायता की लागत के बारे में सलाह देगा। जैसे ही डेटा निर्यातक ने पुष्टि की है कि वह इस लागत को वहन कर सकता है, डेटा आयातक डेटा निर्यातक को यह सहायता प्रदान करेगा।
(vi) सेवाओं के प्रावधान के अंत में, डेटा निर्यातक सेवाओं के बाद एक महीने के भीतर इस परिशिष्ट के तहत डेटा आयातक द्वारा संसाधित व्यक्तिगत डेटा की वापसी का अनुरोध कर सकता है। जब तक सदस्य राज्य या यूरोपीय संघ के कानून के लिए डेटा आयातक को ऐसे व्यक्तिगत डेटा को संग्रहीत या बनाए रखने की आवश्यकता नहीं होती है, डेटा आयातक एक महीने की अवधि के बाद ऐसे सभी व्यक्तिगत या गैर-व्यक्तिगत डेटा को हटा देगा, चाहे उन्हें वापस कर दिया गया हो डेटा निर्यातक उसके अनुरोध पर या नहीं।

3.3 संबंधित व्यक्तियों के अधिकार

(i) डेटा निर्यातक डेटा विषयों द्वारा किए गए अनुरोधों का प्रबंधन और प्रतिक्रिया करता है। डेटा आयातक डेटा विषयों पर सीधे प्रतिक्रिया देने के लिए बाध्य नहीं है।
(ii) यदि डेटा निर्यातक को डेटा विषय के अनुरोधों को संसाधित करने और उनका जवाब देने में डेटा आयातक की सहायता की आवश्यकता होती है, तो डेटा निर्यातक भाग 1 के खंड 3.1 (ii) के अनुसार एक और निर्देश जारी करेगा। डेटा आयातक डेटा निर्यातक की सहायता करेगा। जीडीपीआर के अध्याय III में निर्धारित डेटा विषयों के अधिकारों के प्रयोग के अनुरोधों का जवाब देने के लिए निम्नलिखित उपयुक्त और तकनीकी संगठनात्मक उपायों के साथ निम्नानुसार है:
ए। जानकारी के अनुरोधों के संबंध में, डेटा आयातक केवल डेटा निर्यातक को PGRD के अनुच्छेद 13 और 14 के लिए आवश्यक जानकारी प्रदान करेगा, जो उसके पास हो सकती है यदि डेटा निर्यातक इसे स्वयं नहीं ढूंढ पाता है।
बी। एक्सेस के अनुरोधों के संबंध में (जीडीपीआर के अनुच्छेद 15), डेटा आयातक केवल डेटा निर्यातक को वह जानकारी प्रदान करेगा जो डेटा विषय को एक्सेस के लिए उक्त अनुरोध के लिए प्रदान की जानी चाहिए, जो उसके पास हो सकती है यदि बाद वाला इसे अकेला नहीं ढूंढ सकता।
सी। सुधार के लिए अनुरोध (जीडीपीआर का अनुच्छेद 16), मिटाने के अनुरोध (जीडीपीआर का अनुच्छेद 17), प्रसंस्करण के लिए अनुरोधों पर प्रतिबंध (जीडीपीआर का अनुच्छेद 18), या पोर्टेबिलिटी के लिए अनुरोध (जीडीपीआर का अनुच्छेद 20), और केवल यदि डेटा निर्यातक स्वयं किसी अन्य तृतीय पक्ष को व्यक्तिगत डेटा को सुधार या मिटा, सीमित या संचारित नहीं कर सकता है, तो डेटा आयातक डेटा निर्यातक को संबंधित व्यक्तिगत डेटा को अन्य तृतीय पक्ष को सुधारने या मिटाने, सीमित करने या संचारित करने की संभावना प्रदान करेगा, या यदि यह संभव नहीं है, तो यह संबंधित व्यक्तिगत डेटा को अन्य तृतीय पक्ष को सुधारने या मिटाने, सीमित करने या संचारित करने में सहायता प्रदान करेगा।
डी। सुधार, मिटाने या प्रसंस्करण के प्रतिबंध (जीडीपीआर के अनुच्छेद 19) से संबंधित अधिसूचना के संबंध में, डेटा आयातक डेटा निर्यातक द्वारा अनुरोध किए जाने पर डेटा आयातक द्वारा लगाए गए व्यक्तिगत डेटा के सभी प्राप्तकर्ताओं को प्रोसेसर के रूप में सूचित करके डेटा निर्यातक की सहायता करेगा। यदि डेटा निर्यातक स्वयं स्थिति का समाधान नहीं कर सकता है।
इ। डेटा विषय (जीडीपीआर के अनुच्छेद 21 और 22) द्वारा प्रयोग किए जाने वाले विरोध के अधिकार के संबंध में डेटा निर्यातक यह निर्धारित करेगा कि क्या विरोध वैध है और इससे कैसे निपटा जाए।
(iii) डेटा आयातक की सहायता की बाध्यता उसके बुनियादी ढांचे (जैसे डेटाबेस, सिस्टम, डेटा आयातक के स्वामित्व वाले या प्रदान किए गए एप्लिकेशन) के भीतर संसाधित व्यक्तिगत डेटा तक सीमित है।
(iv) डेटा निर्यातक यह निर्धारित करेगा कि क्या कोई डेटा विषय इस भाग 1 के खंड 3.1 में निर्धारित डेटा विषयों के अधिकारों का प्रयोग कर सकता है और डेटा आयातक को खंड 3.3 (ii) में निर्दिष्ट सहायता की सीमा तक डेटा आयातक को सलाह देगा, ( iii) भाग 1 का आवश्यक है।
(v) यदि डेटा निर्यातक डेटा विषयों के अधिकारों को पूरा करने के लिए अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों का अनुरोध करता है जो भाग 1 के उप-खंड 3.3 (ii), (iii) के तहत डेटा आयातक द्वारा प्रदान की गई सहायता से परे हैं, तो डेटा आयातक ऐसे अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों को लागू करने की लागत के बारे में डेटा निर्यातक को सूचित करेगा। जैसे ही डेटा निर्यातक ने पुष्टि की है कि वह इन लागतों को पूरा कर सकता है, डेटा आयातक डेटा विषय के अनुरोधों का जवाब देने में डेटा निर्यातक की सहायता करने के लिए ऐसे अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों को लागू करेगा।
(vi) भाग 1 के खंड 3.3 (v) के दायरे को सीमित किए बिना, डेटा निर्यातक डेटा विषय के अनुरोधों का जवाब देने में किए गए अपने उचित खर्चों के लिए डेटा आयातक की प्रतिपूर्ति करने के लिए बाध्य होगा।

3.4 उप-प्रसंस्करण

(i) The Data Exporter authorizes the Data Importer's use of sub-contractors for the provision of services under this Appendix. The Data Importer shall select such Data processor(s) carefully. The Data Exporter approves the Data processor(s) listed in Appendix 1.1 at the end of Part 2.
(ii) The Data Importer shall transfer its obligations under this Appendix to the Data processor (s) to the extent applicable to the subcontracted services.
(iii) The Data Importer may dismiss, replace, or appoint another appropriate and reliable Data processor (s) at its discretion. If so requested in writing by the Data Exporter, the Data Importer must follow the procedure set out below:

ए। डेटा आयातक भाग 1 के खंड 3.4 (i) के तहत संदर्भित डेटा प्रोसेसर की सूची में किसी भी परिवर्तन से पहले डेटा निर्यातक को सूचित करेगा। यदि डेटा निर्यातक खंड 3.4 के तहत आपत्ति नहीं करता है। (बी) भाग 1 के डेटा आयातक से अधिसूचना प्राप्त करने के तीस दिनों के बाद, अतिरिक्त डेटा प्रोसेसर को स्वीकार किया जाना माना जाएगा।
बी। यदि डेटा निर्यातक के पास किसी अतिरिक्त डेटा प्रोसेसर पर आपत्ति करने का वैध कारण है, तो वह डेटा आयातक की सूचना प्राप्त होने के तीस दिनों के भीतर और डेटा आयातक की सेवा के संचालन में आने से पहले डेटा आयातक को पूर्व लिखित सूचना देगा। यदि डेटा निर्यातक एक अतिरिक्त डेटा प्रोसेसर के उपयोग पर आपत्ति करता है, तो डेटा आयातक निम्नलिखित विकल्पों में से एक (अपने विवेक पर चुने गए) द्वारा आपत्ति को दूर कर सकता है: (ए) डेटा आयातक एक अतिरिक्त प्रोसेसर का उपयोग करने के संबंध में अपनी योजनाओं को रद्द कर देगा। डेटा निर्यातक का व्यक्तिगत डेटा; (बी) डेटा आयातक अपनी आपत्ति (आपत्ति को रद्द करने) में डेटा निर्यातक द्वारा अनुरोधित सुधारात्मक उपाय करेगा और डेटा निर्यातक के व्यक्तिगत डेटा के संबंध में अतिरिक्त प्रोसेसर का उपयोग करेगा;(सी) डेटा आयातक प्रदान करना बंद कर सकता है या डेटा निर्यातक सेवा के एक विशेष पहलू (अस्थायी या स्थायी रूप से) का उपयोग नहीं करने के लिए सहमत हो सकता है जिसमें डेटा निर्यातक के डेटा निर्यातक के व्यक्तिगत डेटा के आगे के प्रोसेसर का उपयोग शामिल होगा।

(iv) यदि डेटा प्रोसेसर यूरोपीय संघ-ईईए के बाहर किसी ऐसे देश में स्थित है जिसे यूरोपीय आयोग के निर्णय के बाद डेटा सुरक्षा के पर्याप्त स्तर की पेशकश के रूप में मान्यता प्राप्त नहीं है, तो डेटा आयातक पर्याप्त स्तर का अनुपालन करने के लिए उपाय करेगा। GDPR के अनुसार डेटा सुरक्षा का (इस तरह के उपायों में शामिल हो सकते हैं - दूसरों के बीच और - EU मॉडल की धाराओं के आधार पर डेटा प्रोसेसिंग अनुबंधों का उपयोग, EU-US सुरक्षा शील्ड के ढांचे में स्व-प्रमाणित डेटा प्रोसेसर में स्थानांतरण , या एक समान कार्यक्रम)।

3.5 समाप्ति

इस परिशिष्ट की समाप्ति संबंधित अनुबंध की समाप्ति तिथि के समान है। इस परिशिष्ट में अन्यथा प्रदान किए जाने के अलावा, समाप्ति से संबंधित अधिकार और कर्तव्य वही होंगे जो अनुबंध में निहित हैं।

4. दायित्व की सीमा

4.1 प्रत्येक पक्ष इस परिशिष्ट और लागू डेटा सुरक्षा कानून के तहत अपने दायित्वों को संभालता है।

4.2 इस परिशिष्ट या लागू डेटा संरक्षण कानून के तहत दायित्वों के उल्लंघन से संबंधित कोई भी दायित्व अनुबंध में निर्धारित या लागू होने वाले दायित्व प्रावधानों के अधीन और शासित होगा, सिवाय इसके कि इस परिशिष्ट में अन्यथा प्रदान किया गया है। यदि दायित्व दायित्व सीमाओं की गणना या दायित्व की अन्य सीमाओं के आवेदन का निर्धारण करने के लिए अनुबंध में निर्धारित या लागू दायित्व प्रावधानों द्वारा शासित होता है, तो इस परिशिष्ट के तहत उत्पन्न होने वाली किसी भी देयता को अनुबंध के तहत उत्पन्न माना जाएगा।

5. General provisions

5.1 यदि इस परिशिष्ट के भाग 1 और 2 के बीच कोई विसंगतियां या विसंगतियां हैं, तो भाग 2 मान्य होगा। विशेष रूप से, ऐसे मामले में भी, भाग 1 जो केवल भाग 2 (अर्थात मानक खंड की शर्तों) से परे जाता है, बिना इसका खंडन किए वैध रहेगा।

5.2 यदि इस परिशिष्ट के प्रावधानों और पार्टियों को बाध्य करने वाले अन्य अनुबंधों के बीच कोई विसंगति उत्पन्न होती है, तो यह परिशिष्ट पार्टियों के डेटा संरक्षण दायित्वों के संबंध में प्रबल होगा। संदेह के मामले में कि क्या अन्य अनुबंधों के खंड पार्टियों के डेटा संरक्षण दायित्वों से संबंधित हैं, यह परिशिष्ट मान्य होगा।

5.3 यदि इस परिशिष्ट का कोई प्रावधान अमान्य या अप्रवर्तनीय है, तो इस परिशिष्ट का शेष भाग पूरी तरह से लागू और प्रभावी रहेगा। अमान्य या अप्रवर्तनीय प्रावधान (i) पार्टियों के इरादे को यथासंभव संरक्षित करते हुए, इसकी वैधता और प्रवर्तनीयता सुनिश्चित करने के लिए संशोधित किया जाएगा, या - यदि यह संभव नहीं है - (ii) व्याख्या की गई जैसे कि अमान्य या अप्रवर्तनीय भाग था अनुबंध का हिस्सा कभी नहीं रहा। यदि इस परिशिष्ट में कोई चूक है तो पूर्वगामी भी लागू होगा।

5.5 आवश्यक सीमा तक, पक्षकार संघ के सक्षम प्राधिकारियों द्वारा जारी किए गए व्याख्याओं, निर्देशों, या आदेशों का अनुपालन करने के लिए भाग 1, खंड 3 (स्थानीय कानून का अनुपालन) या परिशिष्ट के अन्य भागों में संशोधन का अनुरोध कर सकते हैं। सदस्य राज्य, राष्ट्रीय प्रवर्तन प्रावधान, या GDPR से संबंधित कोई अन्य कानूनी विकास या डेटा प्रोसेसिंग में शामिल किसी भी संस्था को प्रतिनिधिमंडल की अन्य शर्तें और विशेष रूप से GDPR में मानक संविदात्मक खंड के उपयोग के संबंध में। मानक संविदात्मक खंड की शर्तों को तब तक संशोधित या प्रतिस्थापित नहीं किया जा सकता है जब तक कि यूरोपीय आयोग इसे स्पष्ट रूप से अनुमोदित नहीं करता (उदाहरण के लिए नए पर्याप्त खंड और डेटा सुरक्षा मानकों द्वारा)।

5.6 इस परिशिष्ट में "खंड" के किसी भी संदर्भ को इस परिशिष्ट के सभी प्रावधानों को संदर्भित करने के लिए समझा जाएगा जब तक कि अन्यथा न कहा गया हो।

5.7 भाग 2, खण्ड 9 में कानून का चुनाव पूरे अनुबंध पर लागू होता है।

6. व्यक्तिगत उद्देश्यों के लिए पार्टियों द्वारा प्रेषित और संसाधित व्यक्तिगत डेटा (डेटा नियंत्रक से डेटा नियंत्रक में स्थानांतरण)

6.1 पक्ष पूरी तरह से जानते हैं कि कुछ व्यक्तिगत डेटा डेटा निर्यातक से डेटा आयातक को स्थानांतरित किया जाएगा और इसके विपरीत, और इस तरह के डेटा को प्रत्येक पार्टी द्वारा अपने उद्देश्यों के लिए संसाधित किया जाता है। ऐसे व्यक्तिगत डेटा के संबंध में, यह इस परिशिष्ट के अन्य प्रावधानों (इस खंड 6 को छोड़कर) को प्रभावित नहीं करता है।

6.2 डेटा निर्यातक डेटा आयातक के कर्मचारियों से संबंधित व्यक्तिगत डेटा को डेटा आयातक को स्थानांतरित कर सकता है, जिसमें सुरक्षा घटनाओं की जानकारी, या डेटा निर्यातक द्वारा बनाए गए या स्थापित किए गए किसी भी अन्य दस्तावेज़ या फ़ाइलें शामिल हैं, जो कर्मचारियों द्वारा प्रदान की गई सेवाओं के संबंध में हैं। डेटा आयातक। डेटा आयातक ऐसे व्यक्तिगत डेटा को अपने स्वयं के उद्देश्यों के लिए संसाधित कर सकता है, विशेष रूप से डेटा आयातक के कर्मियों के साथ अपने व्यावसायिक संबंधों में, गुणवत्ता नियंत्रण और प्रशिक्षण के लिए, या व्यावसायिक उद्देश्यों के लिए।

6.3. डेटा आयातक व्यक्तिगत डेटा को डेटा निर्यातक को स्थानांतरित कर सकता है, जिसमें डेटा आयातक के कर्मियों के नाम और संपर्क विवरण शामिल हैं। डेटा निर्यातक ऐसे व्यक्तिगत डेटा को अपने उद्देश्यों के लिए संसाधित कर सकता है।

6.4 दोनों पक्ष भाग 1 के खंड 1 के तहत दूसरे पक्ष से प्राप्त ऐसे व्यक्तिगत डेटा को एकत्र करने, संसाधित करने और उपयोग करने में जीडीपीआर सहित किसी भी लागू डेटा सुरक्षा कानूनों का पालन करेंगे। विशेष रूप से, दोनों पक्ष पर्याप्त सुरक्षा उपाय करेंगे, बशर्ते कि भाग 2 के परिशिष्ट 2 में निर्धारित सुरक्षा उपायों के लिए समान स्तर की सुरक्षा। ऐसे व्यक्तिगत डेटा तक कोई भी पहुंच उन्हें जानने की आवश्यकता तक सीमित होगी।

6.5 दोनों पक्षों को ऐसे व्यक्तिगत डेटा को उद्देश्यों की प्राप्ति के बाद जितनी जल्दी हो सके हटा देना चाहिए।

भाग 2

DECISION OF THE COMMISSION

on the 5th February 2010

on standard contractual clauses for the transfer of personal data to data processors established in third-party countries under the 95/46/EC Directive of the European Parliament and of the Council

खंड 1

परिभाषाएं

खंडों के अर्थ के भीतर:

ए) 'व्यक्तिगत डेटा', 'डेटा की विशेष श्रेणियां', 'प्रसंस्करण/प्रसंस्करण', 'नियंत्रक', 'प्रोसेसर', 'डेटा विषय' और 'पर्यवेक्षी प्राधिकरण' का वही अर्थ होगा जो 95/46/ईसी में है। व्यक्तिगत डेटा के प्रसंस्करण और इस तरह के डेटा के मुक्त संचलन के संबंध में व्यक्तियों की सुरक्षा पर यूरोपीय संसद और 24 अक्टूबर 1995 की परिषद का निर्देश (1);

बी) 'डेटा एक्सपोर्टर' व्यक्तिगत डेटा को स्थानांतरित करने वाला डेटा नियंत्रक है;

सी) 'डेटा आयातक' डेटा प्रोसेसर है जो डेटा निर्यातक से प्राप्त करने के लिए सहमत है, जो डेटा निर्यातक की ओर से डेटा निर्यातक की ओर से संसाधित होने के लिए उसके निर्देशों के अनुसार और इन खंडों की शर्तों के तहत प्राप्त करने के लिए सहमत है और जो नहीं है निर्देश 95/46/EC के अनुच्छेद 25(1) के अर्थ में पर्याप्त सुरक्षा सुनिश्चित करने वाले किसी तीसरे देश के तंत्र के अधीन; (डी) 'डेटा प्रोसेसर' का अर्थ डेटा आयातक या डेटा आयातक के किसी अन्य डेटा प्रोसेसर द्वारा लगाया गया डेटा प्रोसेसर है जो डेटा आयातक या डेटा आयातक के किसी अन्य डेटा प्रोसेसर से विशेष रूप से प्रसंस्करण गतिविधियों के लिए डेटा आयातक से प्राप्त करने के लिए सहमत है। डेटा निर्यातक के निर्देशों के अनुसार स्थानांतरण के बाद डेटा निर्यातक की ओर से किया जाएगा,इन क्लॉज में निर्धारित शर्तों के तहत और डेटा प्रोसेसिंग अनुबंध लिखित उप-अनुबंध की शर्तों के तहत;

ई) "लागू डेटा संरक्षण कानून" का अर्थ है व्यक्तिगत डेटा के प्रसंस्करण के संबंध में गोपनीयता के अधिकार सहित मौलिक अधिकारों और व्यक्तियों की स्वतंत्रता की रक्षा करने वाला कानून, और सदस्य राज्य में एक नियंत्रक को लागू करना जहां डेटा निर्यातक स्थापित है;

च) "सुरक्षा से संबंधित तकनीकी और संगठनात्मक उपाय" इसका अर्थ है व्यक्तिगत डेटा को आकस्मिक या गैरकानूनी विनाश या आकस्मिक हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच से बचाने के उद्देश्य से, विशेष रूप से जहां प्रसंस्करण में नेटवर्क पर डेटा का संचरण शामिल है, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ है।

खंड 2

स्थानांतरण का विवरण

स्थानांतरण का विवरण, जहां उपयुक्त हो, व्यक्तिगत डेटा की विशेष श्रेणियां, परिशिष्ट 1 में निर्दिष्ट हैं, जो इन खंडों का एक अभिन्न अंग है।

खंड 3

तृतीय-पक्ष लाभार्थी खंड

1. डेटा विषय डेटा एक्सपोर्टर के खिलाफ इस क्लॉज, क्लॉज 4(बी) से (i), क्लॉज 5(ए) से (ई) और (जी) से (जे), क्लॉज 6(1) और (2 ), क्लॉज 7, क्लॉज 8(2) और क्लॉज 9 से 12 तक तीसरे पक्ष के लाभार्थी के रूप में

2. डेटा विषय इस क्लॉज, क्लॉज 5 (ए) से (ई) और (जी), क्लॉज 6, क्लॉज 7, क्लॉज 8 (2) और क्लॉज 9 से 12 को डेटा आयातक के खिलाफ लागू कर सकता है, जहां डेटा एक्सपोर्टर ने भौतिक रूप से गायब हो गया है या कानून में अस्तित्व समाप्त हो गया है, जब तक कि उसके सभी कानूनी दायित्वों को अनुबंध द्वारा या कानून के संचालन द्वारा, उत्तराधिकारी इकाई को स्थानांतरित नहीं किया गया है, जिसके लिए डेटा निर्यातक के अधिकार और दायित्व वापस आ जाते हैं, और जिसके खिलाफ डेटा विषय इसलिए उक्त खंडों को लागू कर सकता है।

डेटा विषय डेटा प्रोसेसर के खिलाफ इस क्लॉज, क्लॉज 5 (ए) से (ई) और (जी), क्लॉज 6, क्लॉज 7, क्लॉज 8 (2) और क्लॉज 9 से 12 को लागू कर सकता है, लेकिन केवल उन मामलों में जहां डेटा निर्यातक और डेटा आयातक भौतिक रूप से गायब हो गए हैं, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है, जब तक कि डेटा निर्यातक के सभी कानूनी दायित्वों को अनुबंध द्वारा या कानून के संचालन द्वारा कानूनी उत्तराधिकारी को हस्तांतरित नहीं किया गया है, जिसे अधिकार और इसलिए डेटा एक्सपोर्टर के दायित्व निहित हैं, और जिसके खिलाफ डेटा विषय इस तरह के क्लॉज को लागू कर सकता है। डेटा प्रोसेसर की ऐसी देनदारी इन क्लॉज के तहत अपनी प्रोसेसिंग गतिविधियों तक सीमित होनी चाहिए।

4. पार्टियां किसी संघ या अन्य निकाय द्वारा प्रतिनिधित्व किए जा रहे डेटा विषय पर आपत्ति नहीं करती हैं यदि वह चाहें और यदि राष्ट्रीय कानून इसकी अनुमति देता है।

खंड 4

डेटा निर्यातक के दायित्व

डेटा निर्यातक निम्नलिखित को स्वीकार करता है और इसकी गारंटी देता है:

ए) व्यक्तिगत डेटा के वास्तविक हस्तांतरण सहित प्रसंस्करण, लागू डेटा सुरक्षा कानून के प्रासंगिक प्रावधानों के अनुसार किया गया है और जारी रहेगा (और, जहां लागू हो, सदस्य राज्य के सक्षम अधिकारियों को अधिसूचित किया गया है) जिसमें डेटा निर्यातक आधारित है) और उस राज्य के प्रासंगिक प्रावधानों का उल्लंघन नहीं करता है;

b) उन्होंने निर्देश दिया है, और व्यक्तिगत डेटा प्रोसेसिंग सेवाओं की अवधि के लिए, डेटा आयातक को डेटा निर्यातक की ओर से स्थानांतरित किए गए व्यक्तिगत डेटा को संसाधित करने और लागू डेटा सुरक्षा कानून और इन खंडों के अनुसार निर्देश देंगे;

ग) डेटा आयातक वर्तमान अनुबंध के परिशिष्ट 2 में निर्दिष्ट तकनीकी और संगठनात्मक सुरक्षा उपायों के संबंध में पर्याप्त सुरक्षा उपाय प्रदान करेगा;

डी) लागू डेटा सुरक्षा कानून की आवश्यकताओं के मूल्यांकन के बाद, सुरक्षा उपाय व्यक्तिगत डेटा को आकस्मिक या गैरकानूनी विनाश या आकस्मिक हानि, परिवर्तन, अनधिकृत प्रकटीकरण, या पहुंच से बचाने के लिए पर्याप्त हैं, विशेष रूप से जहां प्रसंस्करण में डेटा का संचरण शामिल है एक नेटवर्क पर, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ और प्रौद्योगिकी के स्तर और कार्यान्वयन की लागत को ध्यान में रखते हुए, प्रसंस्करण और संरक्षित किए जाने वाले डेटा की प्रकृति द्वारा दर्शाए गए जोखिमों के लिए उपयुक्त सुरक्षा का एक स्तर सुनिश्चित करना;

ई) वे सुरक्षा उपायों का अनुपालन सुनिश्चित करेंगे;

च) यदि स्थानांतरण डेटा की विशेष श्रेणियों से संबंधित है, तो डेटा विषय को सूचित किया गया है या हस्तांतरण से पहले सूचित किया जाएगा, या हस्तांतरण के बाद जितनी जल्दी हो सके कि उसका डेटा किसी तीसरे देश में स्थानांतरित किया जा सकता है जो पेशकश नहीं करता है निर्देश 95/46/EC के अर्थ में पर्याप्त स्तर की सुरक्षा;

छ) वे डेटा आयातक या खंड 5 (बी) और 8 (3) के तहत किसी भी डेटा प्रोसेसर से प्राप्त किसी भी अधिसूचना को डेटा सुरक्षा पर्यवेक्षी प्राधिकरण को अग्रेषित करेंगे यदि वह स्थानांतरण जारी रखने या इसके निलंबन को उठाने का निर्णय लेता है;

एच) वे डेटा विषयों को उपलब्ध कराएंगे, यदि वे ऐसा अनुरोध करते हैं, तो इन क्लॉज की एक प्रति, परिशिष्ट 2 को छोड़कर, और सुरक्षा उपायों का एक सारांश विवरण, और इन क्लॉज के तहत समाप्त किसी भी उप-अनुबंध समझौते की एक प्रति, जब तक कि खंड या समझौते में वाणिज्यिक जानकारी होती है, जिस स्थिति में वह ऐसी जानकारी वापस ले सकता है;

i) डेटा प्रोसेसिंग प्रक्रिया के उप-अनुबंध के मामले में, प्रोसेसिंग गतिविधि एक डेटा प्रोसेसर द्वारा क्लॉज 11 के अनुसार की जाती है, जो इन क्लॉज के तहत डेटा आयातक के रूप में व्यक्तिगत डेटा और डेटा विषय के अधिकारों की सुरक्षा का कम से कम समान स्तर प्रदान करता है। ; तथा

जे) यह खंड 4 (ए) से (i) के अनुपालन को सुनिश्चित करेगा।

खंड 5

डेटा आयातक के दायित्व

डेटा आयातक निम्नलिखित को स्वीकार करता है और इसकी गारंटी देता है:

a) वे केवल डेटा निर्यातक की ओर से और डेटा निर्यातक के निर्देशों और इन खंडों के तहत व्यक्तिगत डेटा को संसाधित करेंगे; यदि यह किसी भी कारण से अनुपालन नहीं कर सकता है, तो वे डेटा निर्यातक को इसकी अक्षमता के बारे में जल्द से जल्द सूचित करने के लिए सहमत हैं, जिस स्थिति में डेटा निर्यातक डेटा स्थानांतरण को निलंबित कर सकता है और/या अनुबंध समाप्त कर सकता है;

बी) उनके पास यह मानने का कोई कारण नहीं है कि उन पर लागू कानून उसे डेटा एक्सपोर्टर द्वारा दिए गए निर्देशों और अनुबंध के तहत उन पर दायित्वों को पूरा करने से रोकता है, और यदि ऐसा कानून किसी परिवर्तन के अधीन है जो सामग्री के प्रतिकूल हो सकता है क्लॉज के तहत वारंटियों और दायित्वों पर प्रभाव, वह डेटा निर्यातक को इसके बारे में जागरूक होने के बाद बिना किसी देरी के परिवर्तन के बारे में सूचित करेगा, इस मामले में डेटा निर्यातक डेटा स्थानांतरण को निलंबित कर सकता है और/या अनुबंध समाप्त कर सकता है; (सी) उन्होंने हस्तांतरित व्यक्तिगत डेटा को संसाधित करने से पहले परिशिष्ट 2 में निर्दिष्ट तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू किया है;

d) वे बिना किसी देरी के डेटा निर्यातक को सूचित करेंगे:

i) कानून प्रवर्तन प्राधिकरण से व्यक्तिगत डेटा के प्रकटीकरण के लिए कोई बाध्यकारी अनुरोध, जब तक कि अन्यथा निर्दिष्ट न हो, जैसे कि एक पुलिस जांच की गोपनीयता को बनाए रखने के उद्देश्य से एक आपराधिक निषेध;

ii) कोई आकस्मिक या अनधिकृत पहुंच; तथा

iii) जब तक कि उसे ऐसा करने के लिए अधिकृत नहीं किया गया हो, बिना किसी उत्तर के संबंधित व्यक्तियों से सीधे प्राप्त कोई अनुरोध; प्रशासकों

ई) वे स्थानांतरित किए जा रहे व्यक्तिगत डेटा के प्रसंस्करण के संबंध में डेटा निर्यातक से सभी पूछताछों को तुरंत और उचित तरीके से निपटेंगे और स्थानांतरित किए गए डेटा के प्रसंस्करण के संबंध में पर्यवेक्षी प्राधिकरण की राय के तहत कार्य करेंगे;

च) डेटा एक्सपोर्टर के अनुरोध पर, वे डेटा एक्सपोर्टर या अपेक्षित व्यावसायिक योग्यताओं वाले स्वतंत्र सदस्यों से बने एक पर्यवेक्षी निकाय द्वारा किए जाने वाले इन क्लॉज द्वारा कवर की जाने वाली प्रोसेसिंग गतिविधियों के ऑडिट के लिए इसकी डेटा प्रोसेसिंग सुविधाओं के अधीन होंगे, गोपनीयता के दायित्व के अधीन और डेटा निर्यातक द्वारा चुना गया, जहां पर्यवेक्षी प्राधिकरण के समझौते के साथ उपयुक्त हो;

छ) वे डेटा विषय को उपलब्ध कराएंगे, यदि वह ऐसा अनुरोध करता है, तो इन क्लॉज की एक प्रति, या डेटा प्रोसेसिंग अनुबंध का कोई मौजूदा उप-अनुबंध, जब तक कि क्लॉज या अनुबंध में वाणिज्यिक जानकारी न हो, जिस स्थिति में यह ऐसे को हटा सकता है जानकारी, परिशिष्ट 2 को छोड़कर, जिसे सुरक्षा उपायों के सारांश विवरण द्वारा प्रतिस्थापित किया जाएगा, जहां डेटा विषय डेटा निर्यातक से एक प्रति प्राप्त नहीं कर सकता है;

ज) गोपनीय आगे डेटा प्रोसेसिंग के उप-अनुबंध के मामले में, वह यह सुनिश्चित करेगा कि वह डेटा निर्यातक को अग्रिम रूप से सूचित करता है और डेटा निर्यातक की लिखित सहमति प्राप्त करता है;

i) डेटा प्रोसेसर द्वारा प्रदान की जाने वाली प्रोसेसिंग सेवाएं क्लॉज 11 का अनुपालन करेंगी;

j) वे डेटा एक्सपोर्टर को इन क्लॉज के तहत उसके द्वारा किए गए डेटा प्रोसेसिंग एग्रीमेंट के किसी भी सब-कॉन्ट्रैक्ट की एक कॉपी तुरंत भेजेंगे।

खंड 6

ज़िम्मेदारी

1. पार्टियां इस बात से सहमत हैं कि कोई भी डेटा विषय जिसे क्लॉज 3 या क्लॉज 11 में निर्दिष्ट दायित्वों के उल्लंघन के कारण एक पार्टी या डेटा प्रोसेसर द्वारा नुकसान हुआ है, वह डेटा एक्सपोर्टर से हुए नुकसान के लिए मुआवजा प्राप्त कर सकता है।

2. यदि किसी डेटा विषय को डेटा आयातक या उसके डेटा प्रोसेसर द्वारा क्लॉज़ 3 या क्लॉज़ 11 के तहत अपने किसी भी दायित्व का अनुपालन करने में विफलता के लिए डेटा निर्यातक के खिलाफ पैरा 1 में संदर्भित नुकसान के लिए कार्रवाई करने से रोका जाता है क्योंकि डेटा निर्यातक भौतिक रूप से गायब हो गया है, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है, डेटा आयातक सहमत है कि डेटा विषय इसके खिलाफ शिकायत दर्ज कर सकता है जैसे कि यह डेटा निर्यातक था जब तक कि डेटा निर्यातक के सभी कानूनी दायित्वों को अनुबंध द्वारा स्थानांतरित नहीं किया गया हो। या कानून के संचालन द्वारा, उसके उत्तराधिकारी इकाई को, जिसके विरुद्ध डेटा विषय उसके अधिकारों को लागू कर सकता है। डेटा आयातक अपने स्वयं के दायित्व से बचने के लिए डेटा प्रोसेसर द्वारा अपने दायित्वों के उल्लंघन पर भरोसा नहीं कर सकता है।

3. यदि किसी डेटा विषय को डेटा निर्यातक या डेटा आयातक के खिलाफ पैराग्राफ 1 और 2 में निर्दिष्ट कार्रवाई करने से रोका जाता है, तो डेटा प्रोसेसर द्वारा क्लॉज़ 3 या क्लॉज़ 11 के तहत अपने दायित्वों का उल्लंघन किया जाता है क्योंकि डेटा निर्यातक और डेटा आयातक भौतिक रूप से गायब हो गए हैं, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है, डेटा प्रोसेसर इस बात से सहमत है कि डेटा विषय इन खंडों के अनुसार अपनी प्रसंस्करण गतिविधियों के बारे में इसके खिलाफ शिकायत दर्ज कर सकता है जैसे कि यह डेटा निर्यातक या डेटा आयातक था जब तक कि सभी डेटा निर्यातक या डेटा आयातक के कानूनी दायित्वों को अनुबंध द्वारा या कानून के संचालन द्वारा कानूनी उत्तराधिकारी को स्थानांतरित कर दिया गया है, जिसके खिलाफ डेटा विषय अपने अधिकारों का दावा कर सकता है।डेटा प्रोसेसर का दायित्व इन क्लॉज के अनुसार अपनी प्रोसेसिंग गतिविधियों तक सीमित होना चाहिए।

खंड 7

मध्यस्थता और अधिकार क्षेत्र

1. डेटा आयातक इस बात से सहमत है कि यदि क्लॉज के तहत, डेटा विषय उसके खिलाफ तीसरे पक्ष के लाभार्थी के अधिकार का आह्वान करता है और/या पक्षपात के लिए मुआवजे का दावा करता है, तो वह डेटा विषय के निर्णय को स्वीकार करेगा:

क) एक स्वतंत्र व्यक्ति या, जहां उपयुक्त हो, पर्यवेक्षी प्राधिकरण द्वारा विवाद को मध्यस्थता के लिए प्रस्तुत करना;

b) विवाद को उस सदस्य राज्य की अदालतों के समक्ष लाने के लिए जहां डेटा निर्यातक आधारित है।

2. पक्ष सहमत हैं कि डेटा विषय द्वारा किया गया चुनाव राष्ट्रीय या अंतर्राष्ट्रीय कानून के अन्य प्रावधानों के अनुसार निवारण प्राप्त करने के लिए डेटा के प्रक्रियात्मक या वास्तविक अधिकार को प्रभावित नहीं करेगा।

खंड 8

पर्यवेक्षी अधिकारियों के साथ सहयोग

1. डेटा निर्यातक पर्यवेक्षी प्राधिकरण के पास वर्तमान अनुबंध की एक प्रति जमा करने के लिए सहमत होता है यदि बाद वाले को इसकी आवश्यकता होती है या यदि ऐसी जमा राशि लागू डेटा सुरक्षा कानून द्वारा प्रदान की जाती है।

2. पार्टियां सहमत हैं कि पर्यवेक्षी प्राधिकरण डेटा आयातक और किसी भी डेटा प्रोसेसर पर उसी सीमा तक और उसी शर्तों के तहत जांच कर सकता है जैसे डेटा निर्यातक पर लागू डेटा सुरक्षा कानून के अनुसार किया जाता है।

3. डेटा आयातक डेटा आयातक या किसी डेटा प्रोसेसर से संबंधित कानून के अस्तित्व के बारे में जितनी जल्दी हो सके डेटा निर्यातक को सूचित करेगा जो डेटा आयातक या किसी डेटा प्रोसेसर पर पैराग्राफ 2 के अनुसार सत्यापन को रोकता है। ऐसे मामले में, डेटा निर्यातक खंड 5 (बी) में दिए गए उपायों को अपना सकता है।

खंड 9

लागू कानून

खंड लागू होते हैं और उस सदस्य राज्य के कानून द्वारा शासित होते हैं जहां डेटा निर्यातक आधारित है।

खंड 10

अनुबंध का संशोधन

The parties undertake not to modify the present clauses. The parties remain free to include other commercial clauses that they deem necessary, provided that they do not contradict the present clauses.

Clause 11

बाद के उपठेके

1. डेटा आयातक डेटा निर्यातक की पूर्व लिखित सहमति के बिना इन खंडों के तहत डेटा निर्यातक की ओर से की गई अपनी किसी भी प्रोसेसिंग गतिविधि को उप-अनुबंध नहीं करेगा। डेटा आयातक डेटा प्रोसेसर के साथ एक लिखित समझौते के माध्यम से डेटा निर्यातक की सहमति से, इन क्लॉज़ के तहत अपने दायित्वों को केवल उप-अनुबंध करेगा, डेटा प्रोसेसर पर वही दायित्व लगाएगा जो इन क्लॉज़ के तहत डेटा आयातक पर लगाए गए हैं। यदि डेटा प्रोसेसर उस लिखित समझौते के तहत अपने डेटा सुरक्षा दायित्वों का पालन नहीं कर सकता है, तो डेटा आयातक उन दायित्वों की पूर्ति के लिए डेटा निर्यातक के लिए पूरी तरह से जिम्मेदार होगा।

2. डेटा आयातक और डेटा प्रोसेसर के बीच पूर्व लिखित समझौते में उन मामलों के लिए क्लॉज 3 में निर्धारित एक तृतीय-पक्ष लाभार्थी क्लॉज भी शामिल होगा जहां डेटा विषय को क्लॉज 6 (1 में संदर्भित नुकसान के लिए दावा लाने से रोका जाता है) ), डेटा निर्यातक या डेटा आयातक के खिलाफ क्योंकि डेटा निर्यातक या डेटा आयातक भौतिक रूप से गायब हो गया है, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है और डेटा निर्यातक या डेटा आयातक के सभी कानूनी दायित्वों को अनुबंध या संचालन द्वारा स्थानांतरित नहीं किया गया है। कानून का, किसी अन्य उत्तराधिकारी इकाई को। डेटा प्रोसेसर का दायित्व इन क्लॉज के अनुसार अपनी प्रोसेसिंग गतिविधियों तक सीमित होना चाहिए।

3. पैराग्राफ 1 में निर्दिष्ट अनुबंध के डेटा प्रोसेसिंग के उप-अनुबंध के डेटा संरक्षण पहलुओं से संबंधित प्रावधान सदस्य राज्य के कानून द्वारा शासित होंगे जिसमें डेटा निर्यातक स्थापित है।

4. डेटा एक्सपोर्टर इन क्लॉज के तहत संपन्न और डेटा इंपोर्टर द्वारा क्लॉज 5 (जे) के अनुसार अधिसूचित डेटा प्रोसेसिंग समझौतों की एक सूची रखेगा, जिसे साल में कम से कम एक बार अपडेट किया जाएगा। यह सूची डेटा निर्यातक के डेटा सुरक्षा पर्यवेक्षी प्राधिकरण को उपलब्ध कराई जाएगी।

खंड 12

व्यक्तिगत डेटा प्रोसेसिंग सेवाओं की समाप्ति के बाद दायित्व

1. पक्ष सहमत हैं कि डेटा प्रोसेसिंग सेवाओं के पूरा होने पर, डेटा आयातक और डेटा प्रोसेसर, डेटा निर्यातक की सुविधा पर, स्थानांतरित किए गए सभी व्यक्तिगत डेटा और उसकी प्रतियां डेटा निर्यातक को वापस कर देंगे, या ऐसे सभी डेटा को नष्ट कर देंगे और सबूत प्रदान करेंगे। डेटा निर्यातक को नष्ट करना, जब तक कि डेटा आयातक पर लगाया गया कानून उसे स्थानांतरित किए गए व्यक्तिगत डेटा के सभी या हिस्से को वापस करने या नष्ट करने से रोकता है। उस स्थिति में, डेटा आयातक गारंटी देता है कि वह हस्तांतरित किए गए व्यक्तिगत डेटा की गोपनीयता सुनिश्चित करेगा और यह कि वह अब डेटा को सक्रिय रूप से संसाधित नहीं करेगा।

2. डेटा आयातक और डेटा प्रोसेसर यह सुनिश्चित करेंगे कि, यदि डेटा निर्यातक और/या पर्यवेक्षी प्राधिकरण द्वारा ऐसा अनुरोध किया जाता है, तो वे पैरा 1 में निर्दिष्ट उपायों के सत्यापन के लिए डेटा प्रोसेसिंग के अपने साधनों के अधीन होंगे।

Appendix 1.1 to Part 2

स्थानांतरण का विवरण

डेटा निर्यातक

डेटा निर्यातक अनुबंध अनुबंध में परिभाषित ग्राहक है।

डेटा आयातक

डेटा निर्यातक अनुबंध अनुबंध में परिभाषित ग्राहक है।

डेटा के विषय

व्यक्तिगत डेटा स्थानांतरित डेटा विषयों की निम्नलिखित श्रेणियों से संबंधित है:

ए?? सार्वभौमिक निर्देशिका में सूचीबद्ध टेलीफोन ग्राहक

एक ~ ' अन्य, जिनमें शामिल हैं

डेटा की श्रेणियां

स्थानांतरित किया गया व्यक्तिगत डेटा डेटा की निम्नलिखित श्रेणियों से संबंधित है:

विशेष रूप से डेटा निर्यातक के डेटा विषयों के व्यक्तिगत डेटा की श्रेणियां,

ए?? पूरा नाम

एक ~ ' डाक पता

ए?? संपर्क विवरण (ई-मेल, टेलीफोन, आईपी पता, आदि)

ए?? टेलीफोन ग्राहक से संबंधित विपणन गतिविधियों का विवरण

˜ अन्य, जिसमें आवास का प्रकार, आय, और शहर द्वारा गुमनाम रूप से बनाए गए औसत आयु शामिल हैं

डेटा की विशेष श्रेणियां (यदि लागू हो)

स्थानांतरित किया गया व्यक्तिगत डेटा डेटा की निम्नलिखित विशेष श्रेणियों से संबंधित है:

â˜' डेटा की विशेष श्रेणियों का स्थानांतरण पूर्वाभास नहीं है

ए?? जाति या जातीय मूल

ए?? धार्मिक या दार्शनिक विश्वास

ए?? ट्रेड यूनियन सदस्यता

ए?? राजनीतिक दृष्टिकोण

ए?? आनुवंशिक जानकारी

ए?? बायोमेट्रिक जानकारी

ए?? यौन अभिविन्यास या यौन जीवन पर जानकारी

ए?? स्वास्थ्य डेटा

प्रसंस्करण गतिविधियाँ

हस्तांतरित व्यक्तिगत डेटा निम्नलिखित बुनियादी प्रसंस्करण गतिविधियों के अधीन होगा:

" प्रसंस्करण का उद्देश्य "

डेटा निर्यातक की ओर से किया गया प्रसंस्करण निम्नलिखित विषयों पर आधारित है, विशेष रूप से:

â˜' डेटा निर्यातक द्वारा पेश किए जाने वाले उत्पादों या सेवाओं का प्रभार लेना

एक ~ ' एक उत्पाद या सेवा है कि कहा जाता है व्यक्ति का अनुरोध कर सकते का प्रस्ताव

एक ~ ' व्यक्तियों से लिया आदेश को फोन किया और इन आदेशों की आगे की प्रक्रिया

एक ~ ' अध्ययन प्रश्नावली और विश्लेषण

एक ~ ' टेलीमार्केटिंग

ए?? अन्य, जिनमें शामिल हैं:

एक € ¢ प्रकृति और प्रसंस्करण के प्रयोजन

डेटा आयातक डेटा निर्यातक की ओर से डेटा विषयों के व्यक्तिगत डेटा को संसाधित करता है, ताकि निम्नलिखित सेवाएं प्रदान की जा सकें, और विशेष रूप से:

˜'स्वचालित फ़ॉर्म पूर्णता
˜'सत्यापन फॉर्म को संबोधित करता है

' बिक्री और विपणन

एक ~ ' अन्य, टाउन हॉल और राजनीतिक दलों के अद्यतन करने के लिए डेटाबेस सहित

â डेटा प्रोसेसिंग के लिए सौंपे गए उप-इकाइयों के रूप में बाहरी तृतीय-पक्ष सेवा प्रदाता

POSTCODEZIP मुख्य रूप से डेटा निर्यातक को जोड़ता है, केंद्रीकृत करता है और सेवाएं प्रदान करता है। नामित सेवा प्रदाता द्वारा प्रदान की जाने वाली सेवाओं को निम्नलिखित सहायक सेवाओं के आसपास (अन्य के रूप में उपयुक्त के रूप में) संरचित किया जा सकता है: (i) प्रदान करने के लिए उपयोग किए गए डेटा प्रोसेसिंग केंद्रों के संबंध में अनुप्रयोगों, उपकरणों, प्रणालियों और आईटी बुनियादी ढांचे का प्रावधान। और इस तरह के अनुप्रयोगों, उपकरणों और प्रणालियों के माध्यम से ऊपर वर्णित डेटा विषयों के व्यक्तिगत डेटा के प्रसंस्करण सहित सेवाओं का समर्थन करते हैं, (ii) ऐसे अनुप्रयोगों, उपकरणों, प्रणालियों से संबंधित आईटी समर्थन, रखरखाव और अन्य सेवाओं का प्रावधान और आईटी अवसंरचना, जिसमें ऐसे अनुप्रयोगों, उपकरणों और प्रणालियों में संग्रहीत व्यक्तिगत डेटा तक संभावित पहुंच शामिल है, और (iii) डेटा सुरक्षा सेवाओं, सुरक्षा निगरानी और घटना प्रतिक्रिया सेवाओं का प्रावधान,ऐसी सुरक्षा सेवाएं प्रदान करते समय व्यक्तिगत डेटा तक संभावित पहुंच सहित। POSTCODEZIP सहायक सेवाओं सहित सेवाएं प्रदान करने के लिए नीचे दिए गए डेटा प्रोसेसर को संलग्न कर सकता है।

â डेटा प्रोसेसिंग के लिए सौंपे गए उप-इकाइयों के रूप में बाहरी तृतीय-पक्ष सेवा प्रदाता

POSTCODEZIP बाहरी और तृतीय-पक्ष सेवा प्रदाताओं को संलग्न करता है, जो डेटा निर्यातक को सेवाओं के प्रावधान का समर्थन करने के लिए POSTCODEZIP की सहायक कंपनियां नहीं हैं। डेटा एक्सपोर्टर ऐसे बाहरी तृतीय-पक्ष सेवा प्रदाताओं को डेटा प्रोसेसिंग के लिए असाइन की गई उप-इकाइयाँ के रूप में अनुमोदित करता है।

यदि डेटा प्रोसेसिंग में शामिल एक उप-इकाई यूरोपीय संघ/ईईए के बाहर स्थित है, ऐसे देश में जिसे यूरोपीय आयोग के एक निर्णय के तहत डेटा सुरक्षा का पर्याप्त स्तर नहीं माना जाता है, तो डेटा आयातक पर्याप्त स्तर प्राप्त करने के लिए कदम उठाएगा। GDPR और भाग 1 की धारा 3.4 (iv) के अनुसार डेटा सुरक्षा।

परिशिष्ट 2, भाग 2

तकनीकी और संगठनात्मक सुरक्षात्मक उपाय

The Data Importer shall take the following technical and organizational protection measures confirmed by the Data Exporter, in order to guarantee an appropriate level of security for the rights and freedoms of individuals, depending on the risks. In assessing the level of protection concerned, the Data Exporter has considered, in particular, the risks involved in the processing, including accidental or unlawful destruction, alteration, unauthorized disclosure, or access to personal data transmitted, stored, or otherwise processed. By clarification: These technical and organizational protection measures do not apply to the applications, tools, systems, and/or IT infrastructure provided by the Data Exporter.

1 सामान्य तकनीकी और संगठनात्मक सुरक्षा उपाय

1.1 सामान्य जानकारी और डेटा सुरक्षा रणनीतियाँ

सामान्य डेटा और सूचना सुरक्षा रणनीतियों का पालन करने के लिए निम्नलिखित कदम उठाए जाने चाहिए:

क) तकनीकी और संगठनात्मक सुरक्षा के संबंध में किए गए उपायों का मूल्यांकन करने के लिए उपाय करना;

बी) कर्मचारियों के बीच जागरूकता बढ़ाने के लिए प्रशिक्षण प्रदान करना;

सी) संबंधित प्रणालियों का विवरण है और कर्मचारियों को पहुंच प्रदान करता है;

d) जब भी सिस्टम लागू या संशोधित किया जाता है तो एक औपचारिक दस्तावेज़ीकरण प्रक्रिया स्थापित करें;

ई) संगठनात्मक संरचना, प्रक्रियाओं, जिम्मेदारियों और संबंधित मूल्यांकन का दस्तावेजीकरण;

1.2 सूचना सुरक्षा का संगठन

डेटा और सूचना सुरक्षा गतिविधियों के समन्वय के लिए निम्नलिखित उपाय किए जाने चाहिए:

ए) सूचना और डेटा की सुरक्षा के लिए परिभाषित जिम्मेदारियां (उदाहरण के लिए डेटा सुरक्षा प्रबंधन नीति के माध्यम से);

ए) सूचना और डेटा की सुरक्षा के लिए परिभाषित जिम्मेदारियां (उदाहरण के लिए डेटा सुरक्षा प्रबंधन नीति के माध्यम से);

c) सभी कर्मचारी यह सुनिश्चित करने के लिए प्रतिबद्ध हैं कि व्यक्तिगत डेटा को गोपनीय रखा जाए, और उन्हें इस प्रतिबद्धता के उल्लंघन के संभावित परिणामों के बारे में सूचित किया गया है।

1.3 प्रसंस्करण क्षेत्रों तक पहुंच नियंत्रण

जब व्यक्तिगत डेटा संसाधित, संग्रहीत या प्रसारित किया जाता है, तो अनधिकृत व्यक्तियों को डेटा प्रोसेसिंग सिस्टम (विशेष रूप से सॉफ़्टवेयर और हार्डवेयर) तक पहुंच प्राप्त करने से रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए:

ए) सुरक्षित क्षेत्रों की स्थापना;

बी) डेटा प्रोसेसिंग सिस्टम तक पहुंच को सुरक्षित और प्रतिबंधित करना;

c) संबंधित दस्तावेजों सहित कर्मचारियों और तृतीय पक्षों के लिए एक्सेस प्राधिकरण स्थापित करना;

डी) डेटा प्रोसेसिंग केंद्रों तक किसी भी पहुंच को लॉग किया जाएगा जिसमें व्यक्तिगत डेटा संग्रहीत किया जाता है।

1.4 डाटा प्रोसेसिंग सिस्टम तक पहुंच नियंत्रण

डेटा प्रोसेसिंग सिस्टम तक अनधिकृत पहुंच को रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए:

ए) उपयोगकर्ता प्रमाणीकरण नीतियां और प्रक्रियाएं;

बी) सभी कंप्यूटर सिस्टम पर पासवर्ड का उपयोग;

ग) नेटवर्क तक दूरस्थ पहुंच के लिए बहु-कारक प्रमाणीकरण की आवश्यकता होती है और संबंधित व्यक्ति को उनकी जिम्मेदारियों के अनुसार और प्राधिकरण पर प्रदान की जाती है;

डी) विशिष्ट कार्यों तक पहुंच नौकरी के कार्यों और/या व्यक्तिगत रूप से उपयोगकर्ता के खाते में निर्दिष्ट विशेषताओं पर आधारित होती है;

ई) व्यक्तिगत डेटा से संबंधित एक्सेस अधिकारों की नियमित रूप से समीक्षा की जाती है;

च) एक्सेस राइट्स में बदलाव के रिकॉर्ड को अप टू डेट रखा जाता है।

1.5 डाटा प्रोसेसिंग सिस्टम के उपयोग के विशेष क्षेत्रों तक पहुंच को नियंत्रित करना

यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि डेटा प्रोसेसिंग सिस्टम का उपयोग करने के अधिकार वाले अधिकृत व्यक्ति केवल अपनी संबंधित जिम्मेदारियों और एक्सेस प्राधिकरणों के भीतर डेटा तक पहुंच सकते हैं और व्यक्तिगत डेटा को प्राधिकरण के बिना पढ़ा, कॉपी, संशोधित या हटाया नहीं जा सकता है:

a) कर्मचारियों की नीतियां, निर्देश और प्रशिक्षण, गोपनीयता, व्यक्तिगत डेटा तक पहुंच के अधिकार और व्यक्तिगत डेटा के प्रसंस्करण के दायरे के बारे में उनमें से प्रत्येक के दायित्वों से संबंधित;

बी) प्राधिकरण के बिना व्यक्तिगत डेटा तक पहुंचने वाले व्यक्तियों के खिलाफ अनुशासनात्मक उपाय;

सी) व्यक्तिगत डेटा तक पहुंच केवल अधिकृत व्यक्तियों को ही जानने की आवश्यकता के आधार पर दी जाएगी;

d) सिस्टम प्रशासकों की सूची बनाए रखना और सिस्टम प्रशासकों की निगरानी के लिए उचित उपाय करना;

e) not to copy or reproduce personal data on any storage system to enable unauthorized persons to remove the information of the originator;

च) डेटा को हटाने या नष्ट करने के लिए नियंत्रित और प्रलेखित;

छ) सभी व्यक्तिगत डेटा को सुरक्षित रूप से संग्रहीत करने के लिए जिसे कानूनी या नियामक कारणों (जैसे डेटा को बनाए रखने के लिए दायित्व) के लिए बनाए रखा जाना चाहिए, और केवल तब तक जब तक कानून द्वारा आवश्यक हो।

1.6 प्रसारण नियंत्रण

डेटा भंडारण उपकरणों के प्रसारण या परिवहन के दौरान अनधिकृत तृतीय पक्षों द्वारा व्यक्तिगत डेटा को पढ़ने, कॉपी, संशोधित या हटाए जाने से रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए (व्यक्तिगत डेटा के प्रसंस्करण के आधार पर):

ए) फायरवॉल का उपयोग;

बी) परिवहन उद्देश्यों के लिए मोबाइल भंडारण उपकरणों पर व्यक्तिगत डेटा के भंडारण से बचना, या उपकरणों को एन्क्रिप्ट करना;
ग) एन्क्रिप्शन सुरक्षा सक्रिय होने के बाद ही लैपटॉप और अन्य मोबाइल उपकरणों पर उपयोग करें;

डी) व्यक्तिगत डेटा प्रसारण की लॉगिंग।

1.7 डेटा प्रविष्टि नियंत्रण

यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि यह सत्यापित करना और निर्धारित करना संभव है कि डेटा प्रोसेसिंग सिस्टम से व्यक्तिगत डेटा दर्ज किया गया है या हटा दिया गया है और किसके द्वारा:

a) संग्रहीत डेटा को पढ़ने, बदलने और हटाने को अधिकृत करने के लिए एक नीति;

बी) संग्रहीत डेटा को पढ़ने, बदलने और हटाने से संबंधित सुरक्षा उपाय।

1.8 कार्य नियंत्रण

व्यक्तिगत डेटा के प्रत्यायोजित प्रसंस्करण के मामले में, यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि ऐसे डेटा को पर्यवेक्षक के निर्देशों के अनुसार संसाधित किया जाए:

a) डेटा प्रोसेसिंग के लिए असाइन की गई इकाइयां या उप-इकाइयां, जिन्हें सावधानी से चुना गया है (नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करने वाले सेवा प्रदाता);

बी) डेटा प्रोसेसिंग के लिए सौंपे गए कर्मचारियों, संस्थाओं या उप-इकाइयों को व्यक्तिगत डेटा के किसी भी प्रसंस्करण के दायरे से संबंधित निर्देश;

c) डेटा प्रोसेसिंग के लिए असाइन की गई संस्थाओं या उप-संस्थाओं के साथ सहमत ऑडिट अधिकार;

डी) डेटा को संसाधित करने के लिए निर्दिष्ट संस्थाओं या उप-संस्थाओं के साथ समझौते।

1.10 छद्मनामीकरण

व्यक्तिगत डेटा के छद्म नाम के संबंध में निम्नलिखित उपाय किए जाने चाहिए:

a) यदि डेटा एक्सपोर्टर एक विशिष्ट प्रोसेसिंग ऑपरेशन का आदेश देता है या यदि डेटा आयातक द्वारा इसे कुछ प्रोसेसिंग गतिविधियों से संबंधित डेटा सुरक्षा कानूनों के अनुसार उपयुक्त माना जाता है, तो व्यक्तिगत डेटा का प्रसंस्करण इस तरह से किया जाएगा कि अतिरिक्त जानकारी के उपयोग के बिना डेटा को अब किसी विशिष्ट व्यक्ति के लिए जिम्मेदार नहीं ठहराया जा सकता है। यह अतिरिक्त जानकारी अलग से रखी जाएगी;

बी) आवंटन सूची यादृच्छिकरण सहित छद्म नामकरण तकनीकों का उपयोग; शार्प के रूप में मूल्यों का निर्माण।

1.11 एन्क्रिप्शन

एन्क्रिप्शन का समर्थन करने वाले एप्लिकेशन और ट्रांसमिशन में व्यक्तिगत डेटा को एन्क्रिप्ट करने के लिए निम्नलिखित कदम उठाए जाने चाहिए:

क) एन्क्रिप्शन तकनीकों का उपयोग;

बी) उपयोग के लिए अधिकृत एन्क्रिप्शन तकनीकों का समर्थन करने के लिए एन्क्रिप्शन प्रबंधन की स्थापना;

c) अनधिकृत संशोधन और प्रकटीकरण से बचाने के लिए क्रिप्टोग्राफ़िक कुंजियों को बनाने, संशोधित करने, रद्द करने, नष्ट करने, वितरित करने, प्रमाणित करने, संग्रहीत करने, कैप्चर करने, उपयोग करने और संग्रहीत करने के लिए प्रक्रियाओं और प्रोटोकॉल के माध्यम से क्रिप्टोग्राफी के उपयोग का समर्थन करना।

1.12 डाटा प्रोसेसिंग सिस्टम और सेवाओं की पूर्णता

डेटा प्रोसेसिंग सिस्टम और सेवाओं की पूर्णता सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए:

1. ए) डेटा प्रोसेसिंग सिस्टम को उचित माध्यमों से हेरफेर या विनाश के खिलाफ सुरक्षा (उदाहरण के लिए एंटी-वायरस सॉफ़्टवेयर, डेटा हानि निवारण सॉफ़्टवेयर और मैलवेयर, सॉफ़्टवेयर पैच, फ़ायरवॉल और प्रबंधित डेस्कटॉप सुरक्षा के विरुद्ध सॉफ़्टवेयर);

बी) डेटा प्रोसेसिंग सिस्टम, सेवाओं, या व्यक्तिगत डेटा के हेरफेर के लिए हानिकारक किसी भी सेवा या सॉफ़्टवेयर की स्थापना को प्रतिबंधित करें;

सी) नेटवर्क की संरचना में ही नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली का उपयोग।

1.13 डेटा प्रोसेसिंग सिस्टम और सेवाओं की उपलब्धता और सामग्री या तकनीकी घटना की स्थिति में व्यक्तिगत डेटा तक पहुंच और उपयोग को बहाल करने की संभावना

डेटा प्रोसेसिंग सिस्टम की उपलब्धता सुनिश्चित करने के साथ-साथ सामग्री या तकनीकी घटना की स्थिति में (विशेष रूप से यह सुनिश्चित करके कि व्यक्तिगत डेटा की उपलब्धता और पहुंच को जल्दी से बहाल करने में सक्षम होने के लिए निम्नलिखित उपाय किए जाने चाहिए। व्यक्तिगत डेटा आकस्मिक विनाश या हानि से सुरक्षित हैं):

ए) बैकअप प्रतियां रखने और खोए या हटाए गए डेटा को पुनर्स्थापित करने के लिए नियंत्रण के साधन हैं;

बी) अवसंरचनात्मक अतिरेक और प्रदर्शन परीक्षण;

ग) कंप्यूटर संसाधनों की भौतिक सुरक्षा;

डी) आंतरिक नेटवर्क की स्थिति और उपलब्धता की निगरानी के लिए उपकरणों का उपयोग;

ई) घटना प्रबंधन प्रक्रिया को नियंत्रित करने वाली घटना रिपोर्टिंग और प्रतिक्रिया नीतियां, और नियमित प्रशिक्षण के हिस्से के रूप में इन नीतियों के पालन की पुनरावृत्ति;

f) backups (sometimes off-site) to restore the system to enable it to perform its functions again;

छ) व्यापार निरंतरता/आपदा वसूली योजनाएं

1.14 डाटा प्रोसेसिंग सिस्टम और सेवाओं का लचीलापन

डेटा प्रोसेसिंग सिस्टम और सेवाओं के लचीलेपन को सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए:

ए) अनुमोदित सुरक्षा मानकों का उपयोग करके सिस्टम और सामंजस्यपूर्ण रूप से कॉन्फ़िगर किया गया;

बी) नेटवर्क अतिरेक;

ग) महत्वपूर्ण प्रणालियों की रोकथाम संरक्षण।

1.15 डेटा प्रोसेसिंग की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन के लिए प्रक्रिया

डेटा प्रोसेसिंग की सुरक्षा के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन की प्रक्रिया।

क) जोखिम और शमन रणनीतियों का आकलन करने के लिए आवश्यक कदम उठाना;

बी) मौजूदा मुद्दों के समाधान के लिए आईटी विभाग की सेवा विश्लेषण बैठकें;

ग) व्यापार निरंतरता/आपदा वसूली योजनाओं को नियमित रूप से अद्यतन किया जाता है।

भाग 3

पार्टियों के हस्ताक्षर और डेटा आयातकों की सूची

जब आप ऑनलाइन ऑर्डर फॉर्म भरते हैं और उपयोग के सामान्य नियमों और शर्तों को स्वीकार करते हुए बॉक्स को चेक करके इसे मान्य करते हैं, तो ग्राहक और POSTCODEZIP के बीच संबंध को नियंत्रित करने वाला अनुबंध स्थापित हो जाता है।

POSTCODEZIP को भुगतान भेजना सहमत और स्थापित अनुबंध पर विचार करेगा।

ध्यान दें: इस पाठ का फ्रेंच से अनुवाद किया गया है। मूल फ्रेंच संस्करण, जो वैध और कानूनी रूप से प्रतिबंधित है, यहां उपलब्ध है ।