top of page

Data processing appendix

This Appendix forms an integral part of the Contract and is entered into by:

 

  1. (i) The Client ("Data Exporter")

  2. (ii) POSTCODEZIP ("Data Importer")

 

Each being a "Party" and commonly "Parties".

Preambulė

KUR Duomenų importuotojas teikia profesionalias programinės įrangos, kompiuterių ir susijusias paslaugas;

KAI pagal Sutartį Duomenų importuotojas sutiko teikti Duomenų eksportuotojui Sutartyje nurodytas paslaugas (" Paslaugos ");

KAI Duomenų importuotojas, teikdamas Paslaugas, gauna prieigą prie Duomenų eksportuotojo informacijos arba kitų asmenų, turinčių (galimų) ryšių su duomenų eksportuotoju, informacijos, tokia informacija gali būti kvalifikuojama kaip asmens duomenys, kaip apibrėžta Reglamento Nr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (toliau – BDAR ) ir kiti taikomi duomenų apsaugos įstatymai.

KAI šiame priede pateikiamos duomenų importuotojo, kaip duomenų eksportuotojo įgalioto duomenų apdorojimo agento, tokių asmens duomenų rinkimui, tvarkymui ir naudojimui taikomos taisyklės ir sąlygos, siekdamos užtikrinti, kad Šalys laikytųsi taikomų duomenų apsaugos teisės aktų. .

 

TODĖL ir siekdamos sudaryti sąlygas Šalims teisėtai tęsti savo santykius, Šalys sudarė šį priedą taip:

1 dalis

1. Dokumento struktūra ir apibrėžimai

1.1 Structure

Šį priedą sudaro įvairios dalys:

1 dalis:

yra bendrųjų nuostatų, pvz., dėl šiame priede vartojamų apibrėžimų, vietinių įstatymų laikymosi, laiko ir nutraukimo

2 dalis:

contains the body of the unamended Standard Contractual Clauses document

Appendix 1.1 of Part 2:

contains the details of the processing operations provided by the Data Importer to the Data Exporter as the authorized data processing agent (including the processing, nature, and purpose of the processing, the type of personal data, and the categories of data subjects) under this Appendix

2 dalies 2 priedėlis:

yra Duomenų importuotojo techninių ir organizacinių saugumo priemonių, kurios taikomos atliekant visas 2 dalies 1.1 priede aprašytas tvarkymo veiklas, aprašymas.

3 dalis:

yra Šalių, kurios privalo laikytis šio priedo, parašai ir nurodomas kiekvienas duomenų importuotojas

1.2 Terminija ir apibrėžimai

Šio priedo tikslais taikoma BDAR vartojama terminija ir apibrėžimai (Standartinės sutarties sąlygos dokumento 2 dalyje, kur apibrėžti terminai nėra rašomi didžiosiomis raidėmis). 

"Member State"

means a country belonging to the European Union or the European Economic Area

"Special categories of (personal) data"

nurodo asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus arba narystę profesinėse sąjungose, taip pat genetinius duomenis, biometrinius duomenis, jei tvarkomi siekiant tiksliai nustatyti asmens tapatybę, duomenis apie sveikatą, duomenis apie asmens lytį. gyvenimo ar seksualinės orientacijos

"Standard Contractual Clauses"

Tai standartinės sutarčių sąlygos dėl trečiosiose šalyse įsteigtų duomenų tvarkymo tarpininkų asmens duomenų perdavimo pagal 2010 m. vasario 5 d. Komisijos sprendimą 2010/87/ES, kuris buvo pakeistas 2010 m. vasario 16 d. Komisijos įgyvendinimo sprendimu (ES) 2016/2297. 2016 m. gruodžio mėn

“Data processor”

reiškia bet kurį duomenų tvarkymo tarpininką, esantį ES/EEE arba už jos ribų, kuris sutinka gauti iš Duomenų importuotojo ar bet kurio kito Duomenų importuotojo tvarkytojo asmens duomenis išskirtiniu tikslu duomenų eksportuotojo vykdomai tvarkymo veiklai pasibaigus perduoti pagal Duomenų eksportuotojo nurodymus, šio priedo sąlygas ir sutartį su duomenų importuotoju

2. Duomenų eksportuotojo įsipareigojimai

2.1 Duomenų eksportuotojas privalo užtikrinti, kad būtų laikomasi visų taikomų įsipareigojimų pagal BDAR ir bet kurį kitą taikomą duomenų apsaugos įstatymą, kuris taikomas duomenų eksportuotojui, ir parodyti tokį laikymąsi, kaip reikalaujama pagal BDAR 5 straipsnio 2 dalį. Duomenų eksportuotojas garantuoja, kad Duomenų importuotojas gavo išankstinį duomenų subjektų sutikimą pagal BDAR 6 straipsnio a punktą ir įvykdė savo pareigą informuoti duomenų subjektus pagal BDAR 13 ir 14 straipsnius.

2.2 Duomenų eksportuotojas privalo pateikti duomenų importuotojui atitinkamas tvarkymo veiksmų bylas pagal BDAR 30 straipsnio 1 dalį, susijusią su Paslaugomis pagal šį priedą, tiek, kiek tai būtina, kad Duomenų importuotojas įvykdytų įsipareigojimą pagal BDAR. BDAR 30 straipsnio 2 dalis.

2.3 Duomenų eksportuotojas turi paskirti duomenų apsaugos pareigūną arba atstovą tiek, kiek to reikalauja taikytini duomenų apsaugos teisės aktai. Duomenų eksportuotojas privalo pateikti duomenų importuotojui duomenų apsaugos agento arba atstovo, jei toks yra, kontaktinius duomenis.

2.4. Duomenų eksportuotojas prieš baigdamas tvarkyti, sutikdamas su šiuo priedu, patvirtina, kad duomenų importuotojo techninės ir organizacinės saugumo priemonės, nurodytos 2 dalies 2 priede, yra tinkamos ir pakankamos duomenų subjekto teisėms apsaugoti. ir patvirtina, kad Duomenų importuotojas šiuo atžvilgiu užtikrina pakankamas apsaugos priemones.

3. Vietos įstatymų laikymasis

Siekiant įvykdyti apdorojimo agentų diegimo reikalavimus pagal BDAR 28 straipsnį, taikomi šie pakeitimai:

3.1 Instructions

  1. (i) Duomenų eksportuotojas nurodo duomenų importuotojui asmens duomenis tvarkyti tik duomenų eksportuotojo vardu. Duomenų eksportuotojo nurodymai pateikiami šiame priede ir Sutartyje. Duomenų eksportuotojas privalo užtikrinti, kad visi duomenų importuotojui duoti nurodymai atitiktų galiojančius duomenų apsaugos įstatymus. Duomenų importuotojas asmens duomenis privalo tvarkyti tik pagal Duomenų eksportuotojo pateiktas instrukcijas, nebent Europos Sąjunga ar valstybės narės teisės aktai reikalauja kitaip (pastaruoju atveju taikomas 1 dalies 3.2 punkto iv papunkčio c papunktis). .

  2. (ii) Visos kitos instrukcijos, viršijančios šiame priede arba Sutartyje pateiktas instrukcijas, turi būti įtrauktos į šio priedo ir sutarties dalyką. Jei įgyvendinant šį papildomą nurodymą duomenų importuotojas patiria išlaidų, duomenų importuotojas apie tokias išlaidas informuoja duomenų eksportuotoją ir pateikia paaiškinimą prieš įgyvendindamas nurodymą. Tik po to, kai Duomenų eksportuotojas patvirtina, kad sutinka su šiomis nurodymo įgyvendinimo išlaidomis, Duomenų importuotojas įgyvendina šį papildomą nurodymą. Duomenų eksportuotojas turi duoti papildomus nurodymus raštu, nebent dėl ​​skubos ar kitų specifinių aplinkybių reikia kitos formos (pvz., žodžiu, elektroniniu). Ne rašytiniai nurodymai turi būti nedelsdami patvirtinti raštu Duomenų eksportuotojo.

  3. 1. Išskyrus atvejus, kai duomenų eksportuotojas pats negali ištaisyti, ištrinti arba apriboti asmens duomenų, nurodymai taip pat gali būti susiję su asmens duomenų taisymu, ištrynimu ir (arba) apribojimu, kaip nurodyta 1 dalies 3.3 punkte.

  4. 2. Duomenų importuotojas privalo nedelsdamas informuoti duomenų eksportuotoją, jeigu, jo nuomone, Nurodymas pažeidžia BDAR ar kitas taikomas Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatas (toliau – Ginčijamas nurodymas)."). Jei Duomenų importuotojas mano, kad Nurodymas pažeidžia BDAR ar kitas taikomas Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatas, duomenų importuotojas neprivalo laikytis ginčijamo nurodymo. Jei duomenų eksportuotojas patvirtina ginčijamą nurodymą gavęs informaciją iš Duomenų importuotojo ir pripažįsta savo atsakomybę už ginčijamą nurodymą, duomenų importuotojas įgyvendina ginčijamą nurodymą, išskyrus atvejus, kai ginčijamas nurodymas yra susijęs su (i) techninių ir organizacinių priemonių įgyvendinimu, (ii) su Duomenų teisėmis. Subjektai arba (iii) Duomenų tvarkytojų įsipareigojimas. (i–iii) atvejais Duomenų importuotojas gali kreiptis į kompetentingą priežiūros instituciją, kad tokia institucija teisiškai įvertintų ginčijamą Nurodymą.Jeigu priežiūros institucija ginčijamą Nurodymą pripažįsta teisėtu, Duomenų importuotojas ginčijamą Nurodymą įgyvendina. 1 dalies 3.1 punkto ii papunktis ir toliau taikomas.

  5. (i) Duomenų eksportuotojas nurodo duomenų importuotojui asmens duomenis tvarkyti tik duomenų eksportuotojo vardu. Duomenų eksportuotojo nurodymai pateikiami šiame priede ir Sutartyje. Duomenų eksportuotojas privalo užtikrinti, kad visi duomenų importuotojui duoti nurodymai atitiktų galiojančius duomenų apsaugos įstatymus. Duomenų importuotojas asmens duomenis privalo tvarkyti tik pagal Duomenų eksportuotojo pateiktas instrukcijas, nebent Europos Sąjunga ar valstybės narės teisės aktai reikalauja kitaip (pastaruoju atveju taikomas 1 dalies 3.2 punkto iv papunkčio c papunktis). .

  6. (ii) Visos kitos instrukcijos, viršijančios šiame priede arba Sutartyje pateiktas instrukcijas, turi būti įtrauktos į šio priedo ir sutarties dalyką. Jei įgyvendinant šį papildomą nurodymą duomenų importuotojas patiria išlaidų, duomenų importuotojas apie tokias išlaidas informuoja duomenų eksportuotoją ir pateikia paaiškinimą prieš įgyvendindamas nurodymą. Tik po to, kai Duomenų eksportuotojas patvirtina, kad sutinka su šiomis nurodymo įgyvendinimo išlaidomis, Duomenų importuotojas įgyvendina šį papildomą nurodymą. Duomenų eksportuotojas turi duoti papildomus nurodymus raštu, nebent dėl ​​skubos ar kitų specifinių aplinkybių reikia kitos formos (pvz., žodžiu, elektroniniu). Ne rašytiniai nurodymai turi būti nedelsdami patvirtinti raštu Duomenų eksportuotojo.

  7. 1. Išskyrus atvejus, kai duomenų eksportuotojas pats negali ištaisyti, ištrinti arba apriboti asmens duomenų, nurodymai taip pat gali būti susiję su asmens duomenų taisymu, ištrynimu ir (arba) apribojimu, kaip nurodyta 1 dalies 3.3 punkte.

  8. 2. Duomenų importuotojas privalo nedelsdamas informuoti duomenų eksportuotoją, jeigu, jo nuomone, Nurodymas pažeidžia BDAR ar kitas taikomas Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatas (toliau – Ginčijamas nurodymas)."). Jei Duomenų importuotojas mano, kad Nurodymas pažeidžia BDAR ar kitas taikomas Europos Sąjungos ar valstybės narės duomenų apsaugos nuostatas, duomenų importuotojas neprivalo laikytis ginčijamo nurodymo. Jei duomenų eksportuotojas patvirtina ginčijamą nurodymą gavęs informaciją iš Duomenų importuotojo ir pripažįsta savo atsakomybę už ginčijamą nurodymą, duomenų importuotojas įgyvendina ginčijamą nurodymą, išskyrus atvejus, kai ginčijamas nurodymas yra susijęs su (i) techninių ir organizacinių priemonių įgyvendinimu, (ii) su Duomenų teisėmis. Subjektai arba (iii) Duomenų tvarkytojų įsipareigojimas. (i–iii) atvejais Duomenų importuotojas gali kreiptis į kompetentingą priežiūros instituciją, kad tokia institucija teisiškai įvertintų ginčijamą Nurodymą.Jeigu priežiūros institucija ginčijamą Nurodymą pripažįsta teisėtu, Duomenų importuotojas ginčijamą Nurodymą įgyvendina. 1 dalies 3.1 punkto ii papunktis ir toliau taikomas.

3.2 Duomenų importuotojo įsipareigojimai

  1. (i) The Data Importer must ensure that persons authorized by the Data Importer to process personal data on behalf of the Data Exporter, in particular employees of the Data Importer and employees of any Sub-Contractor, have undertaken to observe confidentiality or are subject to an appropriate statutory duty of confidentiality, and that such persons who have access to personal data process it in accordance with the Data Exporter's instructions.

  2. (ii) The Data Importer must implement the technical and organizational security measures as set out in Appendix 2 to Part 2 before processing the personal data on behalf of the Data Exporter. The Data Importer may change the technical and organizational security measures from time to time if they do not provide less protection than those set out in Appendix 2 to Part 2.

  3. (iii) The Data Importer shall make available to the Data Exporter, upon request by the Data Exporter, information to show compliance with the Data Importer's obligations under this Appendix. The Parties agree that this information obligation is met by providing the Data Exporter with an audit report (covering security of principles, system availability, and confidentiality) ("Audit Report"). If additional audit activities are legally required, the Data Exporter may request that inspections be carried out by the Data Exporter or another auditor appointed by the Data Exporter, subject to the execution by such auditor of a confidentiality agreement with the Data Importer to the Data Importer's reasonable satisfaction ("Audit"). This Audit is subject to the following conditions: (i) the prior formal written acceptance of the Data Importer; and (ii) the Data Exporter shall bear all costs relating to the On-Site Audit for the Data Exporter and the Data Importer. The Data Exporter must create an audit report summarizing the results and observations of the On-Site Audit ("On-Site Audit Report"). The On-Site Audit Reports, and the Audit Reports, are confidential information of the Data Importer and must not be disclosed to third parties unless required by applicable data protection law or in accordance with the consent of the Data Importer.

  4. (iv) The Data Importer has an obligation to notify the Data Exporter without undue delay:

  5. a. regarding any legally binding request for disclosure of personal data by a law enforcement authority, unless otherwise prohibited, such as a prohibition under criminal law to protect the confidentiality of a law enforcement investigation

  6. b. regarding any complaint and request received directly from a data subject (e.g. regarding access, rectification, deletion, restriction of processing, data portability, objection to data processing, automated decision making) without responding to that request, unless the Data Importer has been authorized to do so

  7. c. if the Data Importer or Data processor is obligated, under the law of the European Union or of the Member State to which the Data Importer or Data processor is subject, to process the personal data beyond the Data Exporter's instructions, before carrying out such processing beyond the instructions, unless laws of the European Union or of the Member State prohibits such processing on vital public interest grounds, in which case the notification to the Data Exporter shall specify the legal requirement under that law of the European Union or of the Member State; or

  8. d. if the Data Importer realizes an infringement of personal data, solely because of itself or its sub-contractor, which would affect the Data Exporter's personal data covered by the present contract, in which case the Data Importer will assist the Data Exporter in its obligation, vis-à-vis the applicable data protection law, to inform the data subjects and, where applicable, the supervisory authorities by providing the information at its disposal, in accordance with Article 33 (3) of the GDPR.

  9. (v) At the request of the Data Exporter, the Data Importer shall be compelled to assist the Data Exporter in its obligation to carry out a data protection impact assessment that may be required by Article 35 of the GDPR and a prior consultation that may be required by Article 36 of the GDPR concerning the services provided by the Data Importer to the Data Exporter under this Appendix, providing the necessary and information to the Data Exporter. The Data Importer will only be obliged to provide such assistance if the Data Exporter cannot fulfill its obligation by other means. The Data Importer will advise the Data Exporter of the cost of such assistance. As soon as the Data Exporter has confirmed that it can bear this cost, the Data Importer will provide the Data Exporter with this help.

  10. (vi) At the end of the provision of the services, the Data Exporter may request the return of the personal data processed by the Data Importer under this Appendix within one month after the services. Unless the legislation of the Member State or of the European Union requires the Data Importer to store or retain such personal data, the Data Importer will delete all such personal or non-personal data after the one-month period, whether they have been returned to the Data Exporter at its request or not.

3.3 Suinteresuotų asmenų teisės

  1. (i) Duomenų eksportuotojas tvarko duomenų subjektų prašymus ir į juos atsako. Duomenų importuotojas neprivalo tiesiogiai atsakyti duomenų subjektams.

  2. (ii) Jei duomenų eksportuotojas reikalauja duomenų importuotojo pagalbos tvarkant ir atsakant į duomenų subjekto prašymus, duomenų eksportuotojas pateikia tolesnį nurodymą pagal 1 dalies 3.1 punkto ii papunktį. Duomenų importuotojas padės duomenų eksportuotojui šiomis tinkamomis ir techninėmis organizacinėmis priemonėmis atsakyti į prašymus įgyvendinti duomenų subjektų teises, nustatytas BDAR III skyriuje:

  3. a. Dėl informacijos užklausų duomenų importuotojas duomenų eksportuotojui pateiks tik tą informaciją, kurios reikalaujama pagal PGRD 13 ir 14 straipsnius, kuria jis gali disponuoti, jei duomenų eksportuotojas pats jos neras.

  4. b. Kalbant apie prašymus leisti susipažinti su duomenimis (BDAR 15 straipsnis), duomenų importuotojas duomenų eksportuotojui pateiks tik tą informaciją, kuri turėtų būti pateikta duomenų subjektui už minėtą prieigos prašymą, kuriuo jis gali disponuoti, jei pastarasis vienas jo neranda.

  5. c. Dėl prašymų ištaisyti (BDAR 16 straipsnis), prašymų ištrinti (BDAR 17 straipsnis), prašymų dėl apdorojimo apribojimo (BDAR 18 straipsnis) arba prašymų dėl perkeliamumo (BDAR 20 straipsnis) ir tik jei Duomenų eksportuotojas pats negali ištaisyti ar ištrinti, apriboti ar perduoti asmens duomenų kitai trečiajai šaliai, duomenų importuotojas pasiūlys duomenų eksportuotojui galimybę ištaisyti arba ištrinti, apriboti arba perduoti atitinkamus asmens duomenis kitai trečiajai šaliai, arba, jei tai neįmanoma, ji suteiks pagalbą ištaisyti, ištrinti, apriboti arba perduoti kitai trečiajai šaliai atitinkamus asmens duomenis.

  6. d. Kalbant apie pranešimą, susijusį su ištaisymu, ištrynimu ar tvarkymo apribojimu (BDAR 19 straipsnis), Duomenų importuotojas padės duomenų eksportuotojui, pranešdamas visiems asmens duomenų gavėjams, kuriuos duomenų importuotojas pasamdo kaip tvarkytojus, jei duomenų eksportuotojas to prašo ir jei Duomenų eksportuotojas negali pats ištaisyti situacijos.

  7. e. Dėl duomenų subjekto vykdomos prieštaravimo teisės (BDAR 21 ir 22 straipsniai) duomenų eksportuotojas nustatys, ar prieštaravimas yra teisėtas ir kaip su juo elgtis.

  8. (iii) Duomenų importuotojo pagalbos įsipareigojimai apsiriboja jo infrastruktūroje tvarkomais asmens duomenimis (pvz., duomenų importuotojui priklausančiose arba jo teikiamose duomenų bazėse, sistemose, taikomosiose programose).

  9. (iv) Duomenų eksportuotojas nustato, ar duomenų subjektas gali pasinaudoti duomenų subjektų teisėmis, nustatytomis šios 1 dalies 3.1 punkte, ir informuoja duomenų importuotoją apie tai, kiek pagalbos, nurodytos 3.3 punkto ii, ( iii) būtina.

  10. (v) Jei duomenų eksportuotojas prašo papildomų arba pakeistų techninių ir organizacinių priemonių, kad būtų įgyvendintos duomenų subjektų teisės, kurios viršija duomenų importuotojo teikiamą pagalbą pagal 1 dalies 3.3 punkto ii, iii papunkčius, Duomenys Importuotojas informuoja duomenų eksportuotoją apie tokių papildomų ar pakeistų techninių ir organizacinių priemonių įgyvendinimo išlaidas. Kai tik Duomenų eksportuotojas patvirtina, kad gali padengti šias išlaidas, Duomenų importuotojas įgyvendina tokias papildomas arba pakeistas technines ir organizacines priemones, kad padėtų Duomenų eksportuotojui atsakyti į Duomenų subjektų prašymus.

  11. (vi) Neribojant 1 dalies 3.3 punkto v papunkčio taikymo srities, duomenų eksportuotojas privalo atlyginti duomenų importuotojui jo pagrįstas išlaidas, patirtas atsakant į duomenų subjektų prašymus.

3.4 Papildomas apdorojimas

1.

  1. (i) Duomenų eksportuotojas leidžia duomenų importuotojui pasitelkti subrangovus, kad šios teiktų paslaugas pagal šį priedą. Duomenų importuotojas tokius Duomenų tvarkytojus (-us) pasirenka atidžiai. Duomenų eksportuotojas patvirtina Duomenų tvarkytoją (-us), nurodytą (-us) 1.1 priedėlyje 2 dalies pabaigoje.

  2. (ii) Duomenų importuotojas perduoda savo įsipareigojimus pagal šį priedą Duomenų tvarkytojui (-iams) tiek, kiek tai taikoma subrangos paslaugoms.

  3. (iii) Duomenų importuotojas gali savo nuožiūra atleisti, pakeisti arba paskirti kitą tinkamą ir patikimą duomenų tvarkytoją (-us). Duomenų eksportuotojui raštu paprašius, duomenų importuotojas privalo laikytis toliau nurodytos tvarkos:

2.

  1. a. Duomenų importuotojas informuoja duomenų eksportuotoją prieš bet kokius 1 dalies 3.4 punkto i papunktyje nurodyto Duomenų tvarkytojų sąrašo pakeitimus. Jei duomenų eksportuotojas neprieštarauja pagal 3.4 punktą. b) 1 dalies 30 dienų nuo duomenų importuotojo pranešimo gavimo, laikoma, kad papildomi duomenų tvarkytojai yra priimti.

  2. b. Jei Duomenų eksportuotojas turi teisėtą priežastį nesutikti su papildomu Duomenų tvarkytoju, jis per trisdešimt dienų nuo Duomenų importuotojo pranešimo gavimo ir prieš pradedant teikti Duomenų importuotojo paslaugą apie tai iš anksto raštu praneša Duomenų importuotojui. Jei duomenų eksportuotojas prieštarauja, kad būtų naudojamas papildomas duomenų tvarkytojas, duomenų importuotojas gali panaikinti prieštaravimą viena iš šių parinkčių (pasirinkta savo nuožiūra): (A) duomenų importuotojas atšauks savo planus naudoti papildomą duomenų tvarkytoją. Duomenų eksportuotojo asmens duomenis; (B) Duomenų importuotojas imsis taisomųjų priemonių, kurių Duomenų eksportuotojas paprašė pateikti prieštaravimą (atšaukdamas prieštaravimą) ir naudosis papildomu tvarkytoju dėl duomenų eksportuotojo asmens duomenų;(C) Duomenų importuotojas gali nustoti teikti arba duomenų eksportuotojas gali sutikti nenaudoti (laikinai ar visam laikui) tam tikro paslaugos aspekto, dėl kurio duomenų eksportuotojo asmens duomenų tvarkytojas naudotųsi tolesnis duomenų eksportuotojo tvarkytojas.

3.

  1. (iv) jei Duomenų tvarkytojas yra įsisteigęs už ES-EEE ribų šalyje, kuri nepripažinta kaip siūlanti tinkamą duomenų apsaugos lygį Europos Komisijos sprendimu, duomenų importuotojas imsis priemonių, kad būtų laikomasi atitinkamo lygio duomenų apsaugos pagal BDAR (tokios priemonės, be kita ko, gali apimti duomenų tvarkymo sutarčių, pagrįstų ES modelio sąlygomis, naudojimą, perdavimą savarankiškai sertifikuotiems duomenų tvarkytojams pagal ES ir JAV apsaugos skydą. , arba panašią programą).

3.5 Galiojimo laikas

  1. Šio priedo galiojimo laikas yra identiškas atitinkamos Sutarties galiojimo terminui. Išskyrus atvejus, kai šiame priede nurodyta kitaip, teisės ir pareigos, susijusios su sutarties nutraukimu, yra tokios pačios kaip ir nurodytos Sutartyje.

4. Atsakomybės ribojimas

4.1 Kiekviena šalis vykdo savo įsipareigojimus pagal šį priedą ir taikomus duomenų apsaugos teisės aktus.

4.2 Bet kokiai atsakomybei, susijusiai su įsipareigojimų pagal šį priedą arba taikomų duomenų apsaugos teisės aktų pažeidimu, taikomos Sutartyje išdėstytos arba jai taikomos atsakomybės nuostatos, išskyrus atvejus, kai šiame priede nurodyta kitaip. Jei atsakomybę reglamentuoja Sutartyje išdėstytos arba jai taikomos atsakomybės nuostatos, apskaičiuojant atsakomybės limitus ar nustatant kitų atsakomybės apribojimų taikymą, laikoma, kad bet kokia pagal šį priedą kylanti atsakomybė atsiranda pagal Sutartį.

5. Bendrosios nuostatos

5.1 If there are any inconsistencies or discrepancies between Parts 1 and 2 of this Appendix, Part 2 shall prevail. Specifically, even in such a case, Part 1 which simply goes beyond Part 2 (i.e. the terms of Standard clauses) without contradicting it shall remain valid.

5.2 If any discrepancy arises between the provisions of this Appendix and those of other contracts binding the parties, this Appendix shall prevail regarding the parties' data protection obligations. In case of doubt as to whether clauses in other contracts concern the parties' data protection obligations, this Appendix shall prevail.

5.3 If any provision of this Appendix is invalid or unenforceable, the remainder of this Appendix shall remain in full force and effect. The invalid or unenforceable provision will be (i) amended to ensure its validity and enforceability, while preserving as far as possible the intention of the parties, or - if this is not possible - (ii) interpreted as if the invalid or unenforceable part had never been part of the contract. The foregoing shall also apply if there is an omission in this Appendix.

5.5 To the extent necessary, the Parties may request amendments to Part 1, Clause 3 (Compliance with local law) or other parts of the Appendix in order to comply with interpretations, directives, or orders issued by the competent authorities of the Union or the Member States, national enforcement provisions, or any other legal developments concerning the GDPR or other conditions of delegation to any entities involved in data processing and specifically regarding the use of the Standard Contractual Clauses in the GDPR. The terms of the Standard Contractual Clauses may not be modified or replaced unless the European Commission expressly approves it (e.g. by new adequate clauses and data protection standards).

5.6 Any reference in this Appendix to the " Clauses " shall be understood to refer to all the provisions of this Appendix unless otherwise stated.

5.7 The choice of law in Part 2, Clause 9 applies to the entire Contract.

6.  Šalių asmeniniais tikslais perduoti ir tvarkomi asmens duomenys (perdavimas iš duomenų valdytojo duomenų valdytojui)

6.1 Šalys puikiai žino, kad tam tikri asmens duomenys bus perduoti iš Duomenų eksportuotojo duomenų importuotojui ir atvirkščiai, ir kad tokius duomenis kiekviena Šalis tvarko savo tikslais. Kalbant apie tokius asmens duomenis, tai neturi įtakos kitoms šio priedo nuostatoms (išskyrus šį 6 punktą).

6.2 Duomenų eksportuotojas gali perduoti duomenų importuotojui asmens duomenis, susijusius su Duomenų importuotojo darbuotojais, įskaitant informaciją apie saugumo incidentus, arba bet kokius kitus Duomenų eksportuotojo sukurtus ar sukurtus dokumentus ar failus, susijusius su Duomenų eksportuotojo teikiamomis paslaugomis. duomenų importuotojas. Duomenų importuotojas tokius asmens duomenis gali tvarkyti savo tikslais, ypač palaikydamas profesinius santykius su Duomenų importuotojo darbuotojais, kokybės kontrolei ir mokymams arba verslo tikslais.

6.3. Duomenų importuotojas gali perduoti Duomenų eksportuotojui asmens duomenis, įskaitant Duomenų importuotojo darbuotojų vardą ir pavardę bei kontaktinius duomenis. Duomenų eksportuotojas tokius asmens duomenis gali tvarkyti savo tikslais.

6.4 Abi šalys laikosi visų taikomų duomenų apsaugos įstatymų, įskaitant BDAR, rinkdamos, tvarkydamos ir naudodamos tokius asmens duomenis, gautus iš kitos šalies pagal 1 dalies 1 punktą. Visų pirma, abi Šalys imasi tinkamų saugumo priemonių, panašaus lygio apsauga kaip ir 2 dalies 2 priedėlyje nustatytos saugumo priemonės. Bet kokia prieiga prie tokių asmens duomenų apsiriboja būtinybe juos žinoti.

6.5 Abi Šalys privalo ištrinti tokius asmens duomenis kuo greičiau po to, kai bus pasiekti tikslai.

Part 2

KOMISIJOS SPRENDIMAS

2010 metų vasario 5 dieną

dėl standartinių sutarčių sąlygų dėl asmens duomenų perdavimo duomenų tvarkytojams, įsisteigusiems trečiųjų šalių šalyse pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB

1 punktas

Apibrėžimai

a) „asmens duomenys“, „specialios duomenų kategorijos“, „tvarkomas / tvarkomas“, „duomenų valdytojas“, „tvarkytojas“, „duomenų subjektas“ ir „priežiūros institucija“ turi tą pačią reikšmę kaip ir 95/46/EB. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (1);

b) „Duomenų eksportuotojas“ yra asmens duomenis perduodantis duomenų valdytojas;

c) „Duomenų importuotojas“ yra duomenų tvarkytojas, kuris sutinka gauti iš Duomenų eksportuotojo asmens duomenis, skirtus tvarkyti duomenų eksportuotojo vardu po perdavimo pagal jo nurodymus ir šių punktų sąlygas, ir kuris nėra atsižvelgiant į trečiosios šalies mechanizmą, užtikrinantį tinkamą apsaugą, kaip apibrėžta Direktyvos 95/46/EB 25 straipsnio 1 dalyje; d) Duomenų tvarkytojas – duomenų tvarkytojas, kurį pasamdo duomenų importuotojas arba bet kuris kitas duomenų importuotojo duomenų tvarkytojas, kuris sutinka gauti iš Duomenų importuotojo ar bet kurio kito Duomenų importuotojo duomenų tvarkytojo asmens duomenis, skirtus išimtinai tvarkymo veiklai. atlikti duomenų eksportuotojo vardu po perdavimo pagal duomenų eksportuotojo nurodymus,šiuose punktuose nustatytomis sąlygomis ir duomenų tvarkymo rašytinės subrangos sutarties sąlygomis;

e) taikomas duomenų apsaugos įstatymas – teisės aktas, ginantis pagrindines asmenų teises ir laisves, įskaitant teisę į privatumą tvarkant asmens duomenis, ir taikomas duomenų valdytojui valstybėje narėje, kurioje yra įsisteigęs duomenų eksportuotojas;

f) „techninės ir organizacinės priemonės, susijusios su saugumu" priemonės, skirtos apsaugoti asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač kai tvarkomi duomenys perduodami tinklais, ir nuo visų kitų neteisėtų tvarkymo formų.

2 punktas

Išsami informacija apie perkėlimą

Išsami informacija apie perdavimą, įskaitant, jei reikia, specialias asmens duomenų kategorijas, nurodyta 1 priede, kuris yra neatskiriama šių punktų dalis.

3 punktas

Trečiosios šalies naudos gavėjo sąlyga

1. Duomenų subjektas gali priversti duomenų eksportuotoją vykdyti šią sąlygą, 4 punkto b–i papunkčius, 5 punkto a–e papunkčius ir g–j punktus, 6 straipsnio 1 ir 2 dalis. ), 7 straipsnis, 8 straipsnio 2 dalis ir 9–12 punktai kaip trečiosios šalies naudos gavėjas

2. Duomenų subjektas gali įgyvendinti šią sąlygą, 5 punkto a–e ir g punktus, 6 punktą, 7 punktą, 8 straipsnio 2 dalį ir 9–12 punktus prieš duomenų importuotoją, jei duomenų eksportuotojas fiziškai dingo arba nustojo egzistuoti pagal įstatymą, nebent visos jo teisinės prievolės pagal sutartį ar pagal įstatymą buvo perduotos perėmėjui, kuriam dėl to grįžta duomenų eksportuotojo teisės ir pareigos, ir prieš kurį duomenys todėl subjektas gali vykdyti minėtas sąlygas.

Duomenų subjektas gali įgyvendinti šią sąlygą, 5 punkto a–e ir g papunkčius, 6 punktą, 7 punktą, 8 punkto 2 dalį ir 9–12 punktus prieš Duomenų tvarkytoją, tačiau tik tais atvejais, kai Duomenų Eksportuotojas ir Duomenų importuotojas fiziškai išnyko, nustojo egzistuoti pagal įstatymą arba tapo nemokūs, nebent visos Duomenų eksportuotojo teisinės pareigos sutartimi ar pagal įstatymą buvo perduotos teisių perėmėjui, kurio teisės ir todėl duomenų eksportuotojas turi savo įsipareigojimus, o prieš kurį duomenų subjektas gali vykdyti tokias sąlygas. Tokia Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.

4. Šalys neprieštarauja, kad duomenų subjektui atstovautų asociacija ar kita įstaiga, jei jis to pageidauja ir jei tai leidžia nacionalinė teisė.

4 punktas

Duomenų eksportuotojo įsipareigojimai

Duomenų eksportuotojas sutinka ir garantuoja:

a) tvarkymas, įskaitant faktinį asmens duomenų perdavimą, buvo ir bus toliau vykdomas pagal atitinkamas galiojančio duomenų apsaugos įstatymo nuostatas (ir, kai taikoma, apie tai buvo pranešta valstybės narės kompetentingoms institucijoms kurioje yra duomenų eksportuotojas) ir nepažeidžia atitinkamų tos valstybės nuostatų;

b) jie nurodė ir duos nurodymus asmens duomenų tvarkymo paslaugų teikimo laikotarpiu Duomenų importuotojui tvarkyti asmens duomenis, perduotus tik duomenų eksportuotojo vardu ir pagal taikomus duomenų apsaugos įstatymus ir šias sąlygas;

c) Duomenų importuotojas užtikrins pakankamas garantijas dėl techninių ir organizacinių saugumo priemonių, nurodytų šios sutarties 2 priede;

d) įvertinus taikomų duomenų apsaugos teisės aktų reikalavimus, saugumo priemonės yra tinkamos asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo ar netyčinio praradimo, pakeitimo, neteisėto atskleidimo ar prieigos, ypač kai tvarkomi duomenys yra perduodami. tinkle ir nuo visų kitų neteisėtų duomenų tvarkymo formų ir užtikrina saugumo lygį, atitinkantį su apdorojimu susijusią riziką ir saugotinų duomenų pobūdį, atsižvelgiant į technologijos lygį ir įgyvendinimo išlaidas;

e) jie užtikrins saugumo priemonių laikymąsi;

f) jei perdavimas yra susijęs su specialiomis duomenų kategorijomis, duomenų subjektas buvo informuotas arba bus informuotas prieš perdavimą arba kuo greičiau po perdavimo, kad jo duomenys gali būti perduoti trečiajai šaliai, kuri nesiūlo tinkamas apsaugos lygis, kaip apibrėžta Direktyvoje 95/46/EB;

g) jie perduos visus iš Duomenų importuotojo arba bet kurio duomenų tvarkytojo pagal 5 punkto b punktą ir 8 straipsnio 3 dalį gautus pranešimus duomenų apsaugos priežiūros institucijai, jei ji nuspręs tęsti perdavimą arba panaikinti jo sustabdymą;

h) jie pateikia duomenų subjektams, jei jie to reikalauja, šių punktų, išskyrus 2 priedėlį, kopiją ir saugumo priemonių santrauką bei bet kokios kitos subrangos sutarties, sudarytos pagal šias nuostatas, kopiją, nebent Sąlygose arba sutartyje yra komercinės informacijos, tokiu atveju jis gali tokią informaciją atšaukti;

i) jei duomenų tvarkymo procesą sudaro subrangos sutartimi, duomenų tvarkymo veiklą pagal 11 punktą atlieka Duomenų tvarkytojas, užtikrinantis bent tokį patį asmens duomenų ir duomenų subjekto teisių apsaugos lygį kaip ir Duomenų importuotojas pagal šiuos punktus. ; ir

j) ji užtikrins, kad būtų laikomasi 4 punkto a–i punktų.

5 punktas

Duomenų importuotojo įsipareigojimai

The Data Importer accepts and guarantees the following:

a) they will process the personal data only on behalf of the Data Exporter and under the Data Exporter's instructions and these clauses; if it cannot comply for any reason, they agree to inform the Data Exporter of its inability as soon as possible, in which case the Data Exporter may suspend the data transfer and/or end the contract;

b) they have no reason to believe that the law applicable to them prevents him from fulfilling the instructions given by the Data Exporter and the obligations incumbent upon him under the contract, and if such law is subject to a change which could have a material adverse effect on the warranties and obligations under the Clauses, he shall notify the Data Exporter of the change without delay after becoming aware of it, in which case the Data Exporter may suspend the data transfer and/or end the contract; (c) they have implemented the technical and organizational security measures specified in Appendix 2 before processing the personal data transferred;

d) they will notify the Data Exporter without delay:

i) any binding request for disclosure of personal data from a law enforcement authority, unless otherwise specified, such as a criminal prohibition aimed at preserving the secrecy of a police investigation;

ii) any incidental or unauthorized access; and

iii) any request received directly from the persons concerned without replying to it unless he has been authorized to do so; administrators

e) they will deal promptly and properly with all inquiries from the Data Exporter concerning its processing of the personal data being transferred and will act under the opinion of the supervisory authority regarding the processing of the data transferred;

f) at the request of the Data Exporter, they will subject its data processing facilities to an audit of the processing activities covered by these clauses to be carried out by the Data Exporter or a supervisory body composed of independent members with the requisite professional qualifications, subject to an obligation of secrecy and chosen by the Data Exporter, where appropriate with the agreement of the supervisory authority;

g) they will make available to the data subject, if he so requests, a copy of these Clauses, or any existing sub-contracting the data processing contract, unless the Clauses or the contract contain commercial information, in which case it may remove such information, except for Appendix 2, which will be replaced by a summary description of the security measures, where the data subject cannot obtain a copy from the Data Exporter;

h) in the case of confidential further sub-contracting the data processing, he will ensure that he informs the Data Exporter in advance and obtains the Data Exporter's written consent;

i) the processing services provided by the Data processor shall comply with Clause 11;

j) they will promptly send a copy of any sub-contracting of the data processing agreement entered into by it under these Clauses to the Data Exporter.

Clause 6

Responsibility

1. Šalys susitaria, kad bet kuris duomenų subjektas, patyręs žalą dėl to, kad viena šalis arba Duomenų tvarkytojas pažeidė 3 arba 11 punkte nurodytus įsipareigojimus, gali gauti iš Duomenų eksportuotojo kompensaciją už patirtą žalą.

2. Jei duomenų subjektas negali pareikšti ieškinio dėl žalos atlyginimo, kaip nurodyta 1 dalyje duomenų eksportuotojui dėl to, kad duomenų importuotojas arba jo duomenų tvarkytojas nevykdo kokių nors savo įsipareigojimų pagal 3 ar 11 punktą, nes duomenys Eksportuotojas fiziškai dingo, nustojo egzistuoti pagal įstatymą arba tapo nemokus, duomenų importuotojas sutinka, kad duomenų subjektas galėtų pateikti jam skundą taip, lyg jis būtų duomenų eksportuotojas, nebent visi duomenų eksportuotojo teisiniai įsipareigojimai būtų perduoti pagal sutartį. arba pagal įstatymą jį perėmėnčiam subjektui, prieš kurį duomenų subjektas gali įgyvendinti savo teises. Duomenų importuotojas negali remtis tuo, kad Duomenų tvarkytojas pažeidė savo įsipareigojimus, kad išvengtų savo atsakomybės.

3. Jei duomenų subjektas negali pareikšti 1 ir 2 dalyse nurodytų ieškinių duomenų eksportuotojui arba duomenų importuotojui dėl to, kad duomenų tvarkytojas pažeidė savo įsipareigojimus pagal 3 arba 11 punktą, nes duomenų eksportuotojas ir duomenų importuotojas fiziškai dingo, nustojo egzistuoti pagal įstatymą arba tapo nemokus, Duomenų tvarkytojas sutinka, kad duomenų subjektas galėtų pateikti jam skundą dėl savo duomenų tvarkymo veiklos pagal šias sąlygas taip, lyg jis būtų duomenų eksportuotojas ar importuotojas, nebent visi Duomenų eksportuotojo arba duomenų importuotojo teisinės pareigos pagal sutartį arba pagal įstatymą buvo perduotos teisių perėmėjui, prieš kurį duomenų subjektas gali ginti savo teises.Duomenų tvarkytojo atsakomybė turi apsiriboti jo paties tvarkymo veikla pagal šiuos punktus.

 

7 punktas

Tarpininkavimas ir jurisdikcija

1. Duomenų importuotojas sutinka, kad jei pagal sąlygas duomenų subjektas prieš jį remiasi trečiosios šalies naudos gavėjo teise ir (arba) reikalauja kompensacijos už patirtą žalą, jis priims duomenų subjekto sprendimą:

a) perduoti ginčą tarpininkauti nepriklausomam asmeniui arba, jei reikia, priežiūros institucijai;

b) perduoti ginčą valstybės narės, kurioje yra duomenų eksportuotojas, teismams.

2. Šalys susitaria, kad duomenų subjekto pasirinkimas neturi įtakos procedūrinei ar materialinei duomenų subjekto teisei gauti žalos atlyginimą pagal kitas nacionalinės ar tarptautinės teisės nuostatas.

8 punktas

Bendradarbiavimas su priežiūros institucijomis

1. Duomenų eksportuotojas sutinka deponuoti šios sutarties kopiją priežiūros institucijai, jei ši to reikalauja arba jei toks deponavimas numatytas taikomuose duomenų apsaugos įstatymuose.

2. Šalys susitaria, kad priežiūros institucija duomenų importuotojo ir bet kurio duomenų tvarkytojo patikrinimus gali atlikti tokia pat apimtimi ir tokiomis pat sąlygomis, kaip ir duomenų eksportuotoje atliekamus patikrinimus pagal taikomus duomenų apsaugos įstatymus.

3. Duomenų importuotojas kuo greičiau informuoja duomenų eksportuotoją apie su duomenų importuotoju arba bet kuriuo duomenų tvarkytoju susijusius teisės aktus, kurie neleidžia duomenų importuotojui ar bet kuriam duomenų tvarkytojui atlikti patikrinimą pagal 2 dalį. Tokiu atveju Duomenų eksportuotojas gali imtis 5 punkto b punkte numatytų priemonių.

9 punktas

Taikytina teisė

The clauses apply and are governed by the law of the Member State where the Data Exporter is based.

Clause 10

Sutarties pakeitimas

Šalys įsipareigoja nekeisti šių sąlygų. Šalys gali laisvai įtraukti kitas komercines sąlygas, kurios, jų nuomone, yra būtinos, jei jos neprieštarauja šioms sąlygoms.

11 punktas

Vėlesnė subranga

1. The Data Importer shall subcontract none of its processing activities carried out on behalf of the Data Exporter under these clauses without the prior written consent of the Data Exporter. The Data Importer shall only subcontract its obligations under these Clauses, with the consent of the Data Exporter, through a written agreement with the Data processor imposing on the Data processor the same obligations as those imposed on the Data Importer under these Clauses. If the Data processor cannot comply with its data protection obligations under that written agreement, the Data Importer shall remain fully responsible to the Data Exporter for the fulfillment of those obligations.

2. The prior written agreement between the Data Importer and the Data processor shall also include a third-party beneficiary clause as set out in Clause 3 for cases where the data subject is prevented from bringing the claim for damages referred to in Clause 6 (1), against the Data Exporter or Data Importer because the Data Exporter or Data Importer has physically disappeared, ceased to exist in law or has become insolvent and all legal obligations of the Data Exporter or Data Importer have not been transferred, by contract or by operation of law, to another successor entity. Liability of the Data processor must be limited to its own processing activities in accordance with these clauses.

3. The provisions relating to the data protection aspects of sub-contracting the data processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the Data Exporter is established.

4. The Data Exporter shall keep a list of the sub-contracting the data processing agreements concluded under these Clauses and notified by the Data Importer in accordance with Clause 5 (j), which shall be updated at least once a year. This list shall be made available to the Data Exporter's data protection supervisory authority.

Clause 12

Prievolė nutraukus asmens duomenų tvarkymo paslaugas

1. The parties agree that upon completion of the data processing services, the Data Importer and the Data processor will, at the Data Exporter's convenience, return all personal data transferred and copies thereof to the Data Exporter, or destroy all such data and provide proof the destruction to the Data Exporter, unless legislation imposed on the Data Importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the Data Importer guarantees that it will ensure the confidentiality of the personal data transferred and that it will no longer actively process the data.

2. The Data Importer and the Data processor shall ensure that, if so requested by the Data Exporter and/or the supervisory authority, they will subject their means of data processing to verification of the measures referred to in paragraph 1.

2 dalies 1.1 priedas

Išsami informacija apie perkėlimą

Duomenų eksportuotojas

Duomenų eksportuotojas yra Sutartyje apibrėžtas Klientas.

Duomenų importuotojas

Duomenų importuotojas yra POSTCODEZIP ir yra priskirtas tvarkyti duomenis, teikti paslaugas duomenų eksportuotojui.

Duomenų subjektai

The personal data transferred concern the following categories of data subjects:

☒ telephone subscribers listed in the universal directory

☐ Others, including:

Duomenų kategorijos

Perduodami asmens duomenys yra susiję su šių kategorijų duomenimis:

 

Visų pirma Duomenų eksportuotojo duomenų subjektų asmens duomenų kategorijos,

â˜?? Pilnas vardas

â˜' Pašto adresas

â˜?? Kontaktiniai duomenys (el. paštas, telefonas, IP adresas ir kt.)

â˜?? Informacija apie rinkodaros veiklą, susijusią su telefono abonentu

A " Kiti, įskaitant būsto, pajamų rūšis, ir vidutinės amžiaus miesto padarė anonimiškai

Specialios duomenų kategorijos (jei taikoma)

Perduodami asmens duomenys yra susiję su šiomis specialiomis duomenų kategorijomis:

â˜' Specialių kategorijų duomenų perdavimas nenumatytas

â˜?? Rasė arba etninė kilmė

â˜?? Religiniai ar filosofiniai įsitikinimai

â˜?? Narystė profesinėse sąjungose

â˜?? Politinės pažiūros

â˜?? Genetinė informacija

â˜?? Biometrinė informacija

â˜?? Informacija apie seksualinę orientaciją ar seksualinį gyvenimą

â˜?? Sveikatos duomenys

Apdorojimo veikla

Perduotiems asmens duomenims bus taikomos šios pagrindinės tvarkymo veiklos:

  • •  Tvarkymo tikslas

Duomenų eksportuotojo vardu atliekamas tvarkymas grindžiamas šiais dalykais, visų pirma:

„ Duomenų eksportuotojo siūlomų produktų ar paslaugų valdymas

„ Prekės ar paslaugos pasiūlymas, kurio gali paprašyti skambinamas asmuo

â˜' Iš skambintų asmenų paimti užsakymai ir tolesnis šių užsakymų apdorojimas

â˜' Studijuoti klausimynus ir analizes

„ Telerinkodara

â˜?? Kiti, įskaitant:

  • •  Tvarkymo pobūdis ir tikslas

The Data Importer processes the personal data of the data subjects on behalf of the Data Exporter, in order to provide the following services, and most notably:

☒ Sales and Marketing

☒ Others, including updating databases of town halls and political parties

  • •  Paslaugų teikimas ir paslaugų teikėjų įdarbinimas

POSTCODEZIP daugiausia sujungia, centralizuoja ir teikia paslaugas duomenų eksportuotojui. Nurodyto paslaugų teikėjo teikiamos paslaugos gali būti struktūrizuotos (be kitų, jei reikia) pagal šias papildomas paslaugas: i) taikomųjų programų, įrankių, sistemų ir IT infrastruktūros teikimas, susijęs su naudojamais duomenų apdorojimo centrais, siekiant teikti ir teikti paslaugas, įskaitant pirmiau aprašytą duomenų subjektų asmens duomenų tvarkymą, naudojant tokias programas, įrankius ir sistemas, (ii) teikti IT pagalbą, techninę priežiūrą ir kitas paslaugas, susijusias su tokiomis programomis, įrankiais, sistemomis. ir IT infrastruktūra, įskaitant galimą prieigą prie asmens duomenų, saugomų tokiose programose, priemonėse ir sistemose, ir iii) duomenų apsaugos paslaugų teikimą, apsaugos stebėjimą ir reagavimo į incidentus paslaugas,įskaitant galimą prieigą prie asmens duomenų teikiant tokias apsaugos paslaugas. POSTCODEZIP gali pasitelkti duomenų tvarkytojus, kaip nurodyta toliau, kad teiktų paslaugas, įskaitant papildomas paslaugas.

    • • External third-party service providers as sub-entities assigned to data processing

POSTCODEZIP pasitelkia išorinius ir trečiųjų šalių paslaugų teikėjus, kurie nėra POSTCODEZIP dukterinės įmonės, kad palaikytų paslaugų teikimą duomenų eksportuotojui. Duomenų eksportuotojas tokius išorinius trečiųjų šalių paslaugų teikėjus patvirtina duomenų tvarkymui priskirtais subsubjektais.

 

Jei su duomenų tvarkymu susijęs subjektas yra ne ES/EEE, šalyje, kurioje, remiantis Europos Komisijos sprendimu, nėra tinkamo duomenų apsaugos lygio, duomenų importuotojas imsis veiksmų, kad pasiektų tinkamą duomenų apsaugos lygį. duomenų apsauga pagal BDAR ir 1 dalies 3.4 skirsnio iv papunktį.

Appendix 2, Part 2

Techninės ir organizacinės apsaugos priemonės

Duomenų importuotojas imasi šių duomenų eksportuotojo patvirtintų techninių ir organizacinių apsaugos priemonių, siekdamas užtikrinti tinkamą asmenų teisių ir laisvių saugumo lygį, priklausomai nuo rizikos. Vertindamas atitinkamą apsaugos lygį, duomenų eksportuotojas visų pirma atsižvelgė į riziką, susijusią su duomenų tvarkymu, įskaitant atsitiktinį ar neteisėtą sunaikinimą, pakeitimą, neteisėtą atskleidimą arba prieigą prie perduodamų, saugomų ar kitaip tvarkomų asmens duomenų. Paaiškinimu: Šios techninės ir organizacinės apsaugos priemonės netaikomos Duomenų eksportuotojo teikiamoms programoms, priemonėms, sistemoms ir (arba) IT infrastruktūrai.

1 General technical and organizational protection measures

1.1 Bendroji informacija ir duomenų apsaugos strategijos

Norint laikytis bendrųjų duomenų ir informacijos apsaugos strategijų, reikia imtis šių veiksmų:

  • a) take measures to evaluate those taken regarding technical and organizational protection;

  • b) rengti mokymus, skirtus darbuotojų informuotumui didinti;

  • c) have a description of the systems concerned and grant access to employees;

  • d) nustato oficialų dokumentacijos procesą, kai sistemos yra įdiegiamos arba keičiamos;

  • e) documenting the organizational structure, processes, responsibilities, and respective evaluations;

1.2 Informacijos apsaugos organizavimas

Siekiant koordinuoti duomenų ir informacijos apsaugos veiklą, reikėtų imtis šių priemonių:

  • a) apibrėžtos atsakomybės už informacijos ir duomenų apsaugą (pvz., taikant duomenų apsaugos valdymo politiką);

  • b) reikiamą informaciją ir turimus duomenis apsaugoti;

  • c) all employees are committed to ensuring that personal data is kept confidential, and have been informed of the potential consequences of breaching this commitment.

1.3 Access control to processing areas

Turi būti imamasi šių priemonių, kad asmens duomenys tvarkomi, saugomi ar perduodami, kad pašaliniai asmenys nepatektų į duomenų tvarkymo sistemas (ypač programinę ir techninę įrangą):

  • a) įrengti saugias zonas;

  • b) apsaugoti ir apriboti prieigą prie duomenų tvarkymo sistemų;

  • c) nustatyti prieigos teises darbuotojams ir trečiosioms šalims, įskaitant atitinkamus dokumentus;

  • d) bet kokia prieiga prie duomenų tvarkymo centrų, kuriuose saugomi asmens duomenys, registruojama.

1.4 Prieigos prie duomenų apdorojimo sistemų kontrolė

Siekiant užkirsti kelią neteisėtai prieigai prie duomenų tvarkymo sistemų, reikia imtis šių priemonių:

  • a) vartotojo autentifikavimo politika ir procedūros;

  • b) slaptažodžių naudojimas visose kompiuterinėse sistemose;

  • c) nuotolinei prieigai prie tinklo reikalingas kelių veiksnių autentifikavimas ir ji suteikiama atitinkamam asmeniui pagal jo pareigas ir gavus leidimą;

  • d) access to specific functions is based on job functions and/or attributes individually assigned to a user's account;

  • e) su asmens duomenimis susijusios prieigos teisės būtų reguliariai peržiūrimos;

  • f) prieigos teisių pasikeitimų įrašai yra nuolat atnaujinami.

1.5 Prieigos prie konkrečių duomenų apdorojimo sistemų naudojimo sričių kontrolė

Turi būti imamasi šių priemonių siekiant užtikrinti, kad įgalioti asmenys, turintys teisę naudotis duomenų tvarkymo sistema, galėtų prieiti tik prie duomenų pagal savo atitinkamas pareigas ir prieigos įgaliojimus ir kad asmens duomenų nebūtų galima skaityti, kopijuoti, keisti ar ištrinti be leidimo:

  • a) politika, nurodymai ir darbuotojų mokymai, susiję su kiekvieno iš jų įsipareigojimais dėl konfidencialumo, teisėmis susipažinti su asmens duomenimis ir asmens duomenų tvarkymo apimtimi;

  • b) disciplinary measures against persons accessing personal data without authorization;

  • c) prieiga prie asmens duomenų suteikiama tik įgaliotiems asmenims, esant būtinybei žinoti;

  • d) maintain a list of system administrators and take appropriate measures to monitor system administrators;

  • e) nekopijuoti ir neatkurti asmens duomenų jokioje saugojimo sistemoje, kad pašaliniai asmenys galėtų pašalinti informaciją, kurią jie pateikė;

  • f) kontroliuojamas ir dokumentais pagrįstas duomenų ištrynimas arba sunaikinimas;

  • g) saugiai saugoti visus asmens duomenis, kurie turi būti saugomi dėl teisinių ar reguliavimo priežasčių (pvz., įsipareigojimų saugoti duomenis), ir tik tiek, kiek to reikalauja įstatymai.

1.6 Transmisijų valdymas

Turi būti imamasi šių priemonių, kad asmens duomenų neleistų perskaityti, kopijuoti, keisti ar ištrinti neįgalioti tretieji asmenys perduodant ar gabenant duomenų saugojimo priemones (priklausomai nuo asmens duomenų tvarkymo):

  • a) ugniasienės naudojimas;

  • b) vengiant asmens duomenų saugojimo mobiliuosiuose saugojimo įrenginiuose transportavimo tikslais arba prietaisų šifravimo;

  • c) naudoti nešiojamuosiuose kompiuteriuose ir kituose mobiliuosiuose įrenginiuose tik suaktyvinus šifravimo apsaugą;

  • d) asmens duomenų perdavimo registravimas.

1.7 Duomenų įvedimo kontrolė

Turi būti imamasi šių priemonių, kad būtų galima patikrinti ir nustatyti, ar asmens duomenys buvo įtraukti į duomenų tvarkymo sistemas arba iš jų ištrinti ir kas juos atliko:

  • a) leidimo skaityti, keisti ir ištrinti saugomus duomenis politika;

  • b) protection measures concerning the reading, alteration, and deletion of stored data.

1.8 Darbo kontrolė

Perduoto asmens duomenų tvarkymo atveju turi būti imamasi šių priemonių siekiant užtikrinti, kad tokie duomenys būtų tvarkomi pagal Prižiūrėtojo nurodymus:

  • a) subjektai ar subsubjektai, kuriems pavesta tvarkyti duomenis, pasirinkti atsargiai (paslaugų teikėjai, tvarkantys asmens duomenis duomenų valdytojo vardu);

  • b) nurodymai dėl bet kokio asmens duomenų tvarkymo apimties darbuotojams, subjektams ar subjektams, kuriems pavesta tvarkyti duomenis;

  • c) audito teisės, sutartos su subjektais ar subsubjektais, kuriems pavesta tvarkyti duomenis;

  • d) sudarytos sutartys su subjektais ar subsubjektais, kuriems pavesta tvarkyti duomenis.

1.10 Pseudonymization

Dėl asmens duomenų pseudonimizacijos turi būti imamasi šių priemonių:

  • a) Jei duomenų eksportuotojas užsako atlikti konkrečią tvarkymo operaciją arba jei duomenų importuotojas mano, kad tai tinkama pagal galiojančius duomenų apsaugos įstatymus, susijusius su tam tikra tvarkymo veikla, asmens duomenys bus tvarkomi taip, kad duomenys nebegali būti priskirti konkrečiam asmeniui, nenaudojant papildomos informacijos. Ši papildoma informacija bus saugoma atskirai;

  • b) pseudonimizacijos metodų naudojimas, įskaitant atsitiktinių imčių paskirstymo sąrašus; vertybių kūrimas aštrių pavidalu.

1.11 Encryption

Norint užšifruoti asmeninius duomenis programose ir perdavimuose, kurie palaiko šifravimą, reikia atlikti šiuos veiksmus:

  • a) šifravimo metodų naudojimas;

  • b) šifravimo valdymo sukūrimas, kad būtų palaikomi leistini naudoti šifravimo būdai;

  • c) remti kriptografijos naudojimą taikant procedūras ir protokolus, skirtus kriptografinių raktų generavimui, modifikavimui, atšaukimui, naikinimui, platinimui, sertifikavimui, saugojimui, fiksavimui, naudojimui ir archyvavimui, siekiant apsaugoti nuo neteisėto pakeitimo ir atskleidimo.

1.12 Completeness of data processing systems and services

Siekiant užtikrinti duomenų tvarkymo sistemų ir paslaugų išsamumą, būtina imtis šių priemonių:

  • a) protection of data processing systems against manipulation or destruction by appropriate means (e.g. anti-virus software, data loss prevention software and software against malware, software patches, firewalls, and managed desktop protection);

  • b) uždrausti įdiegti bet kokias duomenų tvarkymo sistemoms, paslaugoms kenksmingas paslaugas ar programinę įrangą arba manipuliuoti asmens duomenimis;

  • c) tinklo įsilaužimo aptikimo ir prevencijos sistemos naudojimas pačiame tinklo struktūroje.

1.13 Duomenų tvarkymo sistemų ir paslaugų prieinamumas bei galimybė atkurti prieigą prie asmens duomenų ir jų naudojimą materialinio ar techninio incidento atveju

Turi būti imamasi šių priemonių, kad būtų užtikrintas duomenų tvarkymo sistemų prieinamumas, taip pat būtų galima greitai atkurti asmens duomenų prieinamumą ir prieigą prie jų materialinio ar techninio incidento atveju (ypač užtikrinant, kad asmens duomenys yra apsaugoti nuo atsitiktinio sunaikinimo ar praradimo):

  • a) have means of control for keeping back-up copies and restoring lost or deleted data;

  • b) infrastructural redundancy and performance testing;

  • c) fizinė kompiuterių išteklių apsauga;

  • d) vidaus tinklo būsenos ir prieinamumo stebėjimo priemonių naudojimas;

  • e) pranešimų apie incidentus ir reagavimo į incidentus politiką, reglamentuojančią incidentų valdymo procedūrą, ir šios politikos laikymosi pakartojimą kaip reguliarių mokymų dalį;

  • f) backups (sometimes off-site) to restore the system to enable it to perform its functions again;

  • g) veiklos tęstinumo / atkūrimo po nelaimių planai

1.14 Duomenų apdorojimo sistemų ir paslaugų atsparumas

Siekiant užtikrinti duomenų apdorojimo sistemų ir paslaugų atsparumą, reikia imtis šių priemonių:

  • a) systems and configured harmoniously, using approved security parameters;

  • b) tinklo dubliavimas;

  • c) svarbiausių sistemų izoliavimo apsauga.

1.15 Techninių ir organizacinių priemonių, skirtų duomenų tvarkymo saugumui užtikrinti, reguliaraus tikrinimo, vertinimo ir efektyvumo vertinimo tvarka

Procedure for regularly testing, evaluating, and assessing the effectiveness of technical and organizational measures to protect data processing.

  • a) take the necessary steps to assess risks and mitigation strategies;

  • b) IT skyriaus paslaugų analizės posėdžiai aktualiems klausimams spręsti;

  • c) veiklos tęstinumo / atkūrimo po nelaimių planai yra reguliariai atnaujinami.

3 dalis

Šalių parašai ir duomenų importuotojų sąrašas

Kai užpildote internetinę užsakymo formą ir patvirtinate ją pažymėdami varnelę, kurioje sutinkate su bendromis naudojimo sąlygomis, sudaroma sutartis, reglamentuojanti Kliento ir POSTCODEZIP santykius.

Siunčiant mokėjimą POSTCODEZIP, bus laikoma, kad sutartis yra sudaryta ir sudaryta.

Atkreipkite dėmesį: šis tekstas išverstas iš prancūzų kalbos. Originalią versiją prancūzų kalba, kuri yra galiojanti ir teisiškai ribojanti, rasite  čia .

bottom of page