top of page

Datu apstrādes pielikums

Šis pielikums ir Līguma neatņemama sastāvdaļa, un to noslēdz:

 

  1. (i) Klients (" Datu eksportētājs ")

  2. (ii) POSTCODEZIP ( Datu importētājs )

 

Katrs no tiem ir " partija " un parasti " partijas ".

Preambula

KUR Datu importētājs sniedz profesionālus programmatūras pakalpojumus, datoru un saistītos pakalpojumus;

KAD saskaņā ar Līgumu Datu importētājs ir piekritis sniegt Datu eksportētājam Līgumā noteiktos pakalpojumus (" Pakalpojumi ");

KAD, sniedzot Pakalpojumus, datu importētājs saņem vai gūst labumu no piekļuves datu eksportētāja informācijai vai citu personu informācijai, kurām ir (potenciālas) attiecības ar datu eksportētāju, šāda informācija var tikt kvalificēta kā personas dati Regulas izpratnē. Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regula (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (“ VDAR ”) un citi piemērojamie datu aizsardzības tiesību akti.

KAD šajā pielikumā ir ietverti noteikumi un nosacījumi, kas piemērojami šādu personas datu vākšanai, apstrādei un lietošanai, ko datu importētājs veic kā datu eksportētāja pilnvarotais datu apstrādes aģents, lai nodrošinātu, ka Puses ievēro piemērojamos datu aizsardzības tiesību aktus. .

 

TĀPĒC un, lai Puses varētu likumīgi turpināt savas attiecības, Puses ir noslēgušas šo papildinājumu šādi:

1. daļa

1. Structure of the document and definitions

1.1. Struktūra

Šis papildinājums sastāv no šādām dažādām daļām:

1. daļa:

satur vispārīgus noteikumus, piemēram, par šajā pielikumā lietotajām definīcijām, atbilstību vietējiem likumiem, laiku un izbeigšanu

2. daļa:

satur negrozītā līguma standartklauzulu dokumenta pamattekstu

2. daļas 1.1. papildinājums:

satur informāciju par apstrādes darbībām, ko datu importētājs sniedzis datu eksportētājam kā pilnvarotajam datu apstrādes aģentam (tostarp apstrādi, apstrādes veidu un mērķi, personas datu veidu un datu subjektu kategorijas) saskaņā ar šo Pielikums

Appendix 2 of Part 2:

contains a description of the Data Importer's technical and organizational security measures, which are applied in connection with all processing activities described in Appendix 1.1 of Part 2

3. daļa:

satur to pušu parakstus, kurām ir saistošs šis papildinājums, un identificē katru datu importētāju

1.2. Terminoloģija un definīcijas

Šī pielikuma vajadzībām ir piemērojama VDAR izmantotā terminoloģija un definīcijas (Līguma standarta klauzulas dokumenta 2. daļā, kur definētie termini nav rakstīti ar lielo burtu). 

"dalībvalsts"

nozīmē valsti, kas pieder Eiropas Savienībai vai Eiropas Ekonomikas zonai

"Īpašas (personas) datu kategorijas"

refers to personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and genetic data, biometric data, if processed for the purpose of uniquely identifying a person, data concerning health, data concerning a person's sex life or sexual orientation

"Līgumu standarta klauzulas"

ir līguma standartklauzulas par trešās valstīs reģistrētu apstrādes aģentu personas datu pārsūtīšanu saskaņā ar Komisijas 2010. gada 5. februāra Lēmumu 2010/87/ES, kas grozīts ar Komisijas Īstenošanas lēmumu (ES) 2016/2297 2010. gada 16. februārī. 2016. gada decembris

"Datu procesors"

ir jebkurš apstrādes aģents, kas atrodas ES/EEZ vai ārpus tās un kurš piekrīt saņemt no datu importētāja vai jebkura cita datu importētāja apstrādātāja personas datus tikai apstrādes darbībām, kuras datu eksportētājs veiks pēc datuma pārsūtīšanu saskaņā ar datu eksportētāja norādījumiem, šī pielikuma noteikumiem un līgumu ar datu importētāju

2. Datu eksportētāja pienākumi

2.1. Datu eksportētāja pienākums ir nodrošināt atbilstību visiem piemērojamajiem pienākumiem saskaņā ar VDAR un citiem piemērojamiem datu aizsardzības tiesību aktiem, kas attiecas uz datu eksportētāju, un uzrādīt šādu atbilstību, kā noteikts VDAR 5. panta 2. punktā. Datu eksportētājs garantē, ka datu importētājs ir saņēmis datu subjektu iepriekšēju piekrišanu saskaņā ar VDAR 6. panta a) apakšpunktu un ir izpildījis savu pienākumu informēt datu subjektus saskaņā ar VDAR 13. un 14. pantu.

2.2. Datu eksportētājam ir jāiesniedz datu importētājam attiecīgie apstrādes darbību faili saskaņā ar VDAR 30. panta 1. punktu saistībā ar Pakalpojumiem saskaņā ar šo pielikumu, ciktāl tas nepieciešams, lai datu importētājs izpildītu pienākumu saskaņā ar šo pielikumu. VDAR 30. panta 2. punkts.

2.3. Datu eksportētājam jāieceļ datu aizsardzības speciālists vai pārstāvis, ciktāl to prasa piemērojamie datu aizsardzības tiesību akti. Datu eksportētājam ir pienākums sniegt datu importētājam datu aizsardzības aģenta vai pārstāvja kontaktinformāciju, ja tāds ir.

2.4. Datu eksportētājs pirms apstrādes pabeigšanas, akceptējot šo pielikumu, apstiprina, ka datu importētāja tehniskie un organizatoriski drošības pasākumi, kas noteikti 2. daļas 2. pielikumā, ir atbilstoši un pietiekami, lai aizsargātu datu subjekta tiesības. un apstiprina, ka datu importētājs šajā ziņā nodrošina pietiekamus drošības pasākumus.

3. Atbilstība vietējiem tiesību aktiem

Lai izpildītu apstrādes aģentu ieviešanas prasības saskaņā ar VDAR 28. pantu, ir piemērojami šādi grozījumi:

3.1 Norādījumi

  1. (i) Datu eksportētājs uzdod datu importētājam apstrādāt personas datus tikai datu eksportētāja vārdā. Datu eksportētāja norādījumi ir sniegti šajā pielikumā un Līgumā. Datu eksportētāja pienākums ir nodrošināt, lai visi datu importētājam sniegtie norādījumi atbilstu piemērojamajiem datu aizsardzības tiesību aktiem. Datu importētājam ir jāapstrādā personas dati tikai saskaņā ar datu eksportētāja sniegtajiem norādījumiem, ja vien Eiropas Savienībā vai dalībvalsts tiesību aktos nav noteikts citādi (pēdējā gadījumā piemēro 1. daļas 3.2. punkta iv) apakšpunkta c) apakšpunktu) .

  2. (ii) Visiem citiem norādījumiem, kas pārsniedz šajā pielikumā vai Līgumā sniegtos norādījumus, jābūt iekļautiem šī pielikuma un līguma priekšmetā. Ja šīs papildu instrukcijas īstenošana datu importētājam ir saistīta ar izmaksām, datu importētājs par tām informē datu eksportētāju un sniedz paskaidrojumu pirms norādījuma ieviešanas. Tikai pēc tam, kad datu eksportētājs ir apstiprinājis, ka piekrīt šīm instrukcijas izpildes izmaksām, datu importētājs īsteno šo papildu norādījumu. Datu eksportētājam jāsniedz papildu norādījumi rakstiski, ja vien steidzamības vai citu īpašu apstākļu dēļ nav nepieciešama cita forma (piemēram, mutiska, elektroniska). Norādījumi citā formā, nevis rakstiski, datu eksportētājam ir nekavējoties jāapstiprina rakstiski.

  3. 1. Ja vien datu eksportētājs nevar pats veikt personas datu labošanu, dzēšanu vai ierobežošanu, norādījumi var attiekties arī uz personas datu labošanu, dzēšanu un/vai ierobežošanu, kā noteikts 1. daļas 3.3. punktā.

  4. 2. Datu importētājam nekavējoties jāinformē datu eksportētājs, ja, viņaprāt, Instrukcija pārkāpj GDPR vai citus piemērojamos Eiropas Savienības vai dalībvalsts datu aizsardzības noteikumus (" Apstrīdētā instrukcija"). Ja datu importētājs uzskata, ka Instrukcija pārkāpj GDPR vai citus piemērojamos Eiropas Savienības vai dalībvalsts datu aizsardzības noteikumus, datu importētājam nav pienākuma ievērot Apstrīdēto norādījumu. Ja datu eksportētājs apstiprina Apstrīdēto norādījumu saņemot informāciju no Datu importētāja un atzīstot savu atbildību par Apstrīdēto norādījumu, Datu importētājs īsteno Apstrīdēto norādījumu, ja vien Apstrīdētā instrukcija neattiecas uz (i) tehnisko un organizatorisko pasākumu īstenošanu, (ii) Datu tiesībām. Subjekti vai (iii) Datu apstrādātāju piesaiste Gadījumos (i) līdz (iii) datu importētājs var sazināties ar kompetentu uzraudzības iestādi, lai šī iestāde juridiski izvērtē apstrīdēto norādījumu.Ja uzraudzības iestāde atzīst apstrīdēto Rīkojumu par likumīgu, Datu importētājs īsteno apstrīdēto Instrukciju. 1. daļas 3.1. punkta ii) apakšpunkts paliek spēkā.

3.2. Datu importētāja pienākumi

  1. (i) The Data Importer must ensure that persons authorized by the Data Importer to process personal data on behalf of the Data Exporter, in particular employees of the Data Importer and employees of any Sub-Contractor, have undertaken to observe confidentiality or are subject to an appropriate statutory duty of confidentiality, and that such persons who have access to personal data process it in accordance with the Data Exporter's instructions.

  2. (ii) The Data Importer must implement the technical and organizational security measures as set out in Appendix 2 to Part 2 before processing the personal data on behalf of the Data Exporter. The Data Importer may change the technical and organizational security measures from time to time if they do not provide less protection than those set out in Appendix 2 to Part 2.

  3. (iii) The Data Importer shall make available to the Data Exporter, upon request by the Data Exporter, information to show compliance with the Data Importer's obligations under this Appendix. The Parties agree that this information obligation is met by providing the Data Exporter with an audit report (covering security of principles, system availability, and confidentiality) ("Audit Report"). If additional audit activities are legally required, the Data Exporter may request that inspections be carried out by the Data Exporter or another auditor appointed by the Data Exporter, subject to the execution by such auditor of a confidentiality agreement with the Data Importer to the Data Importer's reasonable satisfaction ("Audit"). This Audit is subject to the following conditions: (i) the prior formal written acceptance of the Data Importer; and (ii) the Data Exporter shall bear all costs relating to the On-Site Audit for the Data Exporter and the Data Importer. The Data Exporter must create an audit report summarizing the results and observations of the On-Site Audit ("On-Site Audit Report"). The On-Site Audit Reports, and the Audit Reports, are confidential information of the Data Importer and must not be disclosed to third parties unless required by applicable data protection law or in accordance with the consent of the Data Importer.

  4. (iv) The Data Importer has an obligation to notify the Data Exporter without undue delay:

  5. a. regarding any legally binding request for disclosure of personal data by a law enforcement authority, unless otherwise prohibited, such as a prohibition under criminal law to protect the confidentiality of a law enforcement investigation

  6. b. regarding any complaint and request received directly from a data subject (e.g. regarding access, rectification, deletion, restriction of processing, data portability, objection to data processing, automated decision making) without responding to that request, unless the Data Importer has been authorized to do so

  7. c. if the Data Importer or Data processor is obligated, under the law of the European Union or of the Member State to which the Data Importer or Data processor is subject, to process the personal data beyond the Data Exporter's instructions, before carrying out such processing beyond the instructions, unless laws of the European Union or of the Member State prohibits such processing on vital public interest grounds, in which case the notification to the Data Exporter shall specify the legal requirement under that law of the European Union or of the Member State; or

  8. d. if the Data Importer realizes an infringement of personal data, solely because of itself or its sub-contractor, which would affect the Data Exporter's personal data covered by the present contract, in which case the Data Importer will assist the Data Exporter in its obligation, vis-à-vis the applicable data protection law, to inform the data subjects and, where applicable, the supervisory authorities by providing the information at its disposal, in accordance with Article 33 (3) of the GDPR.

  9. (v) At the request of the Data Exporter, the Data Importer shall be compelled to assist the Data Exporter in its obligation to carry out a data protection impact assessment that may be required by Article 35 of the GDPR and a prior consultation that may be required by Article 36 of the GDPR concerning the services provided by the Data Importer to the Data Exporter under this Appendix, providing the necessary and information to the Data Exporter. The Data Importer will only be obliged to provide such assistance if the Data Exporter cannot fulfill its obligation by other means. The Data Importer will advise the Data Exporter of the cost of such assistance. As soon as the Data Exporter has confirmed that it can bear this cost, the Data Importer will provide the Data Exporter with this help.

  10. (vi) At the end of the provision of the services, the Data Exporter may request the return of the personal data processed by the Data Importer under this Appendix within one month after the services. Unless the legislation of the Member State or of the European Union requires the Data Importer to store or retain such personal data, the Data Importer will delete all such personal or non-personal data after the one-month period, whether they have been returned to the Data Exporter at its request or not.

3.3. Attiecīgo personu tiesības

  1. (i) The Data Exporter manages and responds to requests made by data subjects. Data Importer is not obliged to respond directly to the data subjects.

  2. (ii) If the Data Exporter requires the Data Importer's assistance in processing and responding to the Data Subject's requests, the Data Exporter shall issue a further instruction in accordance with Clause 3.1 (ii) of Part 1. The Data Importer will assist the Data Exporter with the following appropriate and technical organizational measures to respond to the requests for the exercise of the rights of data subjects set out in Chapter III of the GDPR as follows:

  3. a. Regarding requests for information, the Data Importer will only provide the Data Exporter with the information required by Article 13 and 14 of the PGRD that it may have at its disposal if the Data Exporter cannot find it on its own.

  4. b. Regarding requests for access (Article 15 of the GDPR), the Data Importer will only provide the Data Exporter with the information that is supposed to be provided to a data subject for the said request for access, which it may have at its disposal if the latter cannot find it alone.

  5. c. Regarding requests for rectification (Article 16 of the GDPR), requests for erasure (Article 17 of the GDPR), restriction of requests for processing (Article 18 of the GDPR), or requests for portability (Article 20 of the GDPR), and only if the Data Exporter cannot itself rectify or erase, limit or transmit the personal data to another third party, the Data Importer will offer the Data Exporter the possibility to rectify or erase, limit, or transmit the personal data concerned to the other third party, or if this is not possible, it will provide the assistance to rectify or erase, limit, or transmit to the other third party the personal data concerned.

  6. d. Regarding the notification relating to rectification, erasure, or restriction of processing (Article 19 of the GDPR), the Data Importer will assist the Data Exporter by notifying all recipients of personal data engaged by the Data Importer as processors if the Data Exporter so requests and if the Data Exporter cannot remedy the situation on its own.

  7. e. Regarding the right of opposition exercised by a data subject (Article 21 and 22 of the GDPR) the Data Exporter will determine whether the opposition is legitimate and how to deal with it.

  8. (iii) The Data Importer's assistance obligations are limited to personal data processed within its infrastructure (e.g. databases, systems, applications owned or provided by the Data Importer).

  9. (iv) The Data Exporter shall determine whether a Data Subject may exercise the rights of Data Subjects set out in Clause 3.1 of this Part 1 and shall advise the Data Importer of the extent to which the assistance specified in Clauses 3.3 (ii), (iii) of Part 1 is necessary.

  10. (v) If the Data Exporter requests additional or modified technical and organizational measures to meet the rights of data subjects which go beyond the assistance provided by the Data Importer under Sub-Clause 3.3 (ii), (iii) of Part 1, the Data Importer shall inform the Data Exporter of the costs of implementing such additional or modified technical and organizational measures. As soon as the Data Exporter has confirmed that it can meet these costs, the Data Importer shall implement such additional or modified technical and organizational measures to assist the Data Exporter in responding to the Data Subjects' requests.

  11. (vi) Without limiting the scope of Clause 3.3 (v) of Part 1, the Data Exporter shall be obliged to reimburse the Data Importer for its reasonable expenses incurred in responding to the Data Subjects' requests.

3.4. Apakšapstrāde

1.

  1. (i) Datu eksportētājs atļauj datu importētājam izmantot apakšuzņēmējus pakalpojumu sniegšanai saskaņā ar šo papildinājumu. Datu importētājs rūpīgi izvēlas šādus datu apstrādātājus. Datu eksportētājs apstiprina datu apstrādātāju(-us), kas norādīti 1.1. pielikumā 2. daļas beigās.

  2. (ii) Datu importētājs nodod savus pienākumus saskaņā ar šo pielikumu datu apstrādātājam(-iem), ciktāl tas attiecas uz apakšlīguma pakalpojumiem.

  3. (iii) Datu importētājs pēc saviem ieskatiem var atlaist, aizstāt vai iecelt citu atbilstošu un uzticamu datu apstrādātāju(-us). Ja datu eksportētājs to rakstiski pieprasa, datu importētājam jāievēro tālāk norādītā procedūra:

  1. a. Datu importētājs informē datu eksportētāju pirms jebkādām izmaiņām datu apstrādātāju sarakstā, kas minēts 1. daļas 3.4. (i) punktā. Ja datu eksportētājs neiebilst saskaņā ar 3.4. 1. daļas b) apakšpunktu. Trīsdesmit dienas pēc paziņojuma saņemšanas no datu importētāja papildu datu apstrādātājus uzskata par pieņemtiem.

  2. b. Ja datu eksportētājam ir likumīgs iemesls iebilst pret papildu datu apstrādātāju, tas trīsdesmit dienu laikā pēc datu importētāja paziņojuma saņemšanas un pirms datu importētāja pakalpojuma nodošanas iepriekš rakstiski paziņos datu importētājam. Ja datu eksportētājs iebilst pret papildu datu apstrādātāja izmantošanu, datu importētājs var dzēst iebildumu, izmantojot vienu no šādām iespējām (izvēlas pēc saviem ieskatiem): (A) datu importētājs atcels savus plānus izmantot papildu apstrādātāju saistībā ar Datu eksportētāja personas datus; (B) datu importētājs veiks datu eksportētāja iebildumā pieprasītos korektīvos pasākumus (atceļ iebildumu) un izmantos papildu apstrādātāju attiecībā uz datu eksportētāja personas datiem;(C) datu importētājs var pārtraukt sniegt vai datu eksportētājs var piekrist neizmantot (īslaicīgi vai pastāvīgi) noteiktu pakalpojuma aspektu, kas būtu saistīts ar datu eksportētāja turpmākā datu eksportētāja personas datu apstrādātāja izmantošanu.

  1. (iv) ja Datu apstrādātājs atrodas ārpus ES-EEZ valstī, kas pēc Eiropas Komisijas lēmuma nav atzīta par tādu, kas piedāvā atbilstošu datu aizsardzības līmeni, datu importētājs veiks pasākumus, lai ievērotu atbilstošu līmeni. datu aizsardzību saskaņā ar GDPR (šādi pasākumi cita starpā var ietvert datu apstrādes līgumu izmantošanu, pamatojoties uz ES modeļa klauzulām, nosūtīšanu pašsertificētiem datu apstrādātājiem ES un ASV aizsardzības vairoga ietvaros , vai līdzīga programma).

3.5. Derīguma termiņš

  1. Šī pielikuma derīguma termiņš ir identisks attiecīgā Līguma beigu datumam. Ja šajā pielikumā nav noteikts citādi, tiesības un pienākumi, kas attiecas uz izbeigšanu, ir tādi paši kā Līgumā ietvertie.

4. Atbildības ierobežojums

4.1. Katra puse pilda savus pienākumus saskaņā ar šo pielikumu un piemērojamajiem datu aizsardzības tiesību aktiem.

4.2. Jebkura atbildība, kas saistīta ar šajā papildinājumā vai piemērojamajiem datu aizsardzības tiesību aktiem paredzēto saistību pārkāpšanu, ir pakļauta Līgumā izklāstītajiem vai uz to piemērojamajiem atbildības noteikumiem un tos regulē, ja vien šajā pielikumā nav noteikts citādi. Ja atbildību regulē Līgumā izklāstītie vai uz to attiecināmie atbildības noteikumi, lai aprēķinātu atbildības limitus vai noteiktu citu atbildības ierobežojumu piemērošanu, jebkura atbildība, kas izriet no šī pielikuma, tiek uzskatīta par tādu, kas izriet no Līguma.

5. Vispārīgie noteikumi

5.1. Ja starp šī papildinājuma 1. un 2. daļu ir pretrunas vai neatbilstības, noteicošā ir 2. daļa. Konkrēti, pat šādā gadījumā 1. daļa, kas vienkārši pārsniedz 2. daļu (ti, standarta klauzulu noteikumus), ar to nav pretrunā, paliek spēkā.

5.2. Ja rodas pretrunas starp šī pielikuma noteikumiem un citiem līgumiem, kas ir saistoši pusēm, šis pielikums ir noteicošais attiecībā uz pušu datu aizsardzības saistībām. Ja rodas šaubas par to, vai citu līgumu klauzulas attiecas uz pušu datu aizsardzības saistībām, noteicošais ir šis papildinājums.

5.3. Ja kāds šī pielikuma noteikums ir nederīgs vai neizpildāms, pārējā šī pielikuma daļa paliek spēkā pilnībā. Nederīgais vai neizpildāmais noteikums tiks (i) grozīts, lai nodrošinātu tā spēkā esamību un izpildāmību, vienlaikus cik vien iespējams saglabājot pušu nodomu, vai, ja tas nav iespējams, (ii) interpretēts tā, it kā spēkā neesošā vai neizpildāmā daļa būtu bijusi nekad nav bijis līguma daļa. Iepriekšminēto piemēro arī tad, ja šajā papildinājumā ir izlaidums.

5.5. Ciktāl nepieciešams, Puses var pieprasīt grozījumus 1. daļas 3. punktā (Atbilstība vietējiem tiesību aktiem) vai citās pielikuma daļās, lai izpildītu Savienības kompetento iestāžu izdotās interpretācijas, direktīvas vai rīkojumus. Dalībvalstīm, valsts izpildes noteikumiem vai jebkādiem citiem juridiskiem notikumiem saistībā ar VDAR vai citiem deleģēšanas nosacījumiem jebkurai datu apstrādē iesaistītai struktūrai un jo īpaši attiecībā uz VDAR līguma standartklauzulu izmantošanu. Līguma standartklauzulu noteikumus nedrīkst grozīt vai aizstāt, ja vien Eiropas Komisija to nepārprotami apstiprina (piemēram, ar jaunām atbilstošām klauzulām un datu aizsardzības standartiem).

5.6. Jebkura atsauce šajā pielikumā uz "Klauzulām" ir jāsaprot kā atsauce uz visiem šī pielikuma noteikumiem, ja vien nav norādīts citādi.

5.7. Tiesību aktu izvēle 2. daļas 9. punktā attiecas uz visu Līgumu.

6.  Personas dati, ko puses pārsūta un apstrādā personiskiem nolūkiem (nodošana no datu pārziņa datu pārzinim)

6.1. Puses pilnībā apzinās, ka noteikti personas dati tiks pārsūtīti no datu eksportētāja uz datu importētāju un otrādi, un ka šādus datus katra Puse apstrādā saviem nolūkiem. Attiecībā uz šādiem personas datiem tas neietekmē pārējos šī pielikuma noteikumus (izņemot šo 6. punktu).

6.2. Datu eksportētājs var pārsūtīt datu importētājam personas datus, kas attiecas uz datu importētāja darbiniekiem, tostarp informāciju par drošības incidentiem, vai jebkurus citus dokumentus vai failus, ko datu eksportētājs ir izveidojis vai izveidojis saistībā ar uzņēmuma darbinieku sniegtajiem pakalpojumiem. datu importētājs. Datu importētājs var apstrādāt šādus personas datus saviem mērķiem, jo ​​īpaši profesionālajās attiecībās ar Datu importētāja personālu, kvalitātes kontrolei un apmācībai, vai uzņēmējdarbības nolūkos.

6.3. Datu importētājs var nodot Datu eksportētājam personas datus, tostarp datu importētāja personāla vārdu un kontaktinformāciju. Datu eksportētājs var apstrādāt šādus personas datus saviem mērķiem.

6.4. Abas puses ievēro visus piemērojamos datu aizsardzības likumus, tostarp VDAR, vācot, apstrādājot un izmantojot šādus personas datus, kas saņemti no otras puses saskaņā ar 1. daļas 1. pantu. Jo īpaši abas puses veic atbilstošus drošības pasākumus, nodrošinot līdzīgs aizsardzības līmenis 2. daļas 2. papildinājumā noteiktajiem drošības pasākumiem. Jebkura piekļuve šādiem personas datiem ir ierobežota līdz nepieciešamībai tos zināt.

6.5 Abām Pusēm šādi personas dati ir jādzēš pēc iespējas ātrāk pēc mērķu sasniegšanas.

2. daļa

KOMISIJAS LĒMUMS

2010. gada 5. februārī

par līguma standartklauzulām par personas datu pārsūtīšanu datu apstrādātājiem, kas reģistrēti trešās puses valstīs saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK

1. punkts

Definīcijas

a) "personas datiem", "īpašām datu kategorijām", "apstrāde/apstrāde", "pārzinis", "apstrādātājs", "datu subjekts" un "uzraudzības iestāde" ir tāda pati nozīme kā Direktīvā 95/46/EK. Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (1);

b) “Datu eksportētājs” ir datu pārzinis, kas nodod personas datus;

c) “Datu importētājs” ir datu apstrādātājs, kurš piekrīt saņemt no datu eksportētāja personas datus, kurus paredzēts apstrādāt datu eksportētāja vārdā pēc nosūtīšanas saskaņā ar tā norādījumiem un saskaņā ar šo klauzulu nosacījumiem, un kurš nav saskaņā ar trešās valsts mehānismu, kas nodrošina atbilstošu aizsardzību Direktīvas 95/46/EK 25. panta 1. punkta nozīmē; d) “datu apstrādātājs” ir datu apstrādātājs, ko nolīgst datu importētājs vai jebkurš cits datu importētāja datu apstrādātājs, kurš piekrīt saņemt no datu importētāja vai jebkura cita datu importētāja datu apstrādātāja personas datus tikai apstrādes darbībām, lai veikt datu eksportētāja vārdā pēc pārsūtīšanas saskaņā ar datu eksportētāja norādījumiem,saskaņā ar šajos punktos noteiktajiem nosacījumiem un saskaņā ar datu apstrādes līguma rakstiska apakšlīguma nosacījumiem;

e) "piemērojamie datu aizsardzības tiesību akti" ir tiesību akti, kas aizsargā personu pamattiesības un brīvības, tostarp tiesības uz privātumu attiecībā uz personas datu apstrādi, un attiecas uz pārzini dalībvalstī, kurā datu eksportētājs ir reģistrēts;

f) "tehniskie un organizatoriski pasākumi saistībā ar drošību" ir pasākumi, kas paredzēti, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrāde ietver datu pārraidi pa tīkliem, un pret visiem citiem nelikumīgiem apstrādes veidiem.

2. punkts

Sīkāka informācija par pārskaitījumu

Sīkāka informācija par pārsūtīšanu, tostarp attiecīgā gadījumā īpašas personas datu kategorijas, ir norādīta 1. pielikumā, kas ir šo klauzulu neatņemama sastāvdaļa.

3. punkts

Trešās puses saņēmēja klauzula

1. The data subject may enforce against the Data Exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e) and (g) to (j), Clause 6 (1) and (2), Clause 7, Clause 8(2) and Clauses 9 to 12 as a third party beneficiary

2. The data subject may enforce this Clause, Clause 5 (a) to (e) and (g), Clause 6, Clause 7, Clause 8 (2) and Clauses 9 to 12 against the Data Importer where the Data Exporter has physically disappeared or has ceased to exist in law, unless all of his legal obligations have been transferred, by contract or by operation of law, to the successor entity, to which the rights and obligations of the Data Exporter therefore revert, and against which the data subject can therefore enforce the said clauses.

The data subject may enforce this Clause, Clause 5 (a) to (e) and (g), Clause 6, Clause 7, Clause 8 (2) and Clauses 9 to 12 against the Data processor, but only in cases where the Data Exporter and the Data Importer have physically disappeared, ceased to exist in law or have become insolvent, unless all the legal obligations of the Data Exporter have been transferred, by contract or by operation of law, to the legal successor, to whom the rights and obligations of the Data Exporter are therefore vested, and against whom the data subject may therefore enforce such clauses. Such liability of the Data processor must be limited to its own processing activities under these clauses.

4. The parties do not object to the data subject being represented by an association or other body if he or she so wishes and if national law so allows.

Clause 4

Datu eksportētāja pienākumi

Datu eksportētājs pieņem un garantē sekojošo:

a) apstrāde, tostarp faktiskā personas datu pārsūtīšana, ir veikta un tiks veikta saskaņā ar attiecīgajiem piemērojamo datu aizsardzības tiesību aktu noteikumiem (un attiecīgā gadījumā par to ir paziņots dalībvalsts kompetentajām iestādēm kurā atrodas datu eksportētājs) un nepārkāpj attiecīgās valsts noteikumus;

b) viņi ir devuši norādījumus un dos norādījumus personas datu apstrādes pakalpojumu sniegšanas laikā datu importētājam apstrādāt personas datus, kas pārsūtīti tikai datu eksportētāja vārdā un saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem un šīm klauzulām;

c) Datu importētājs nodrošinās pietiekamus drošības pasākumus attiecībā uz šī līguma 2.pielikumā noteiktajiem tehniskajiem un organizatoriskiem drošības pasākumiem;

d) pēc piemērojamo datu aizsardzības tiesību aktu prasību izvērtēšanas drošības pasākumi ir atbilstoši, lai aizsargātu personas datus pret nejaušu vai nelikumīgu iznīcināšanu vai nejaušu nozaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi, jo īpaši, ja apstrāde ir saistīta ar datu pārsūtīšanu. tīklā un pret visiem citiem nelikumīgiem apstrādes veidiem un nodrošina tādu drošības līmeni, kas atbilst apstrādes radītajiem riskiem un aizsargājamo datu veidam, ņemot vērā tehnoloģijas līmeni un īstenošanas izmaksas;

e) viņi nodrošinās drošības pasākumu ievērošanu;

f) ja pārsūtīšana attiecas uz īpašām datu kategorijām, datu subjekts ir informēts vai tiks informēts pirms nosūtīšanas vai cik drīz vien iespējams pēc nosūtīšanas, ka viņa datus var pārsūtīt uz trešo valsti, kas nepiedāvā atbilstošs aizsardzības līmenis Direktīvas 95/46/EK nozīmē;

g) viņi nosūtīs datu aizsardzības uzraudzības iestādei visus paziņojumus, kas saņemti no datu importētāja vai jebkura datu apstrādātāja saskaņā ar 5. panta b) apakšpunktu un 8. panta 3. punktu, ja tā nolems turpināt pārsūtīšanu vai atcelt tās apturēšanu;

h) tie dara pieejamu datu subjektiem, ja viņi to pieprasa, šo punktu kopiju, izņemot 2. pielikumu, un drošības pasākumu kopsavilkuma aprakstu, kā arī jebkura turpmāka apakšlīguma līguma kopiju, kas noslēgta saskaņā ar šiem punktiem, ja vien Noteikumos vai līgumā ir ietverta komerciāla informācija, un tādā gadījumā viņš var atsaukt šādu informāciju;

i) datu apstrādes procesa apakšlīguma gadījumā apstrādes darbību saskaņā ar 11. punktu veic Datu apstrādātājs, kas nodrošina vismaz tādu pašu personas datu un datu subjekta tiesību aizsardzības līmeni kā Datu importētājs saskaņā ar šiem punktiem ; un

j) tas nodrošinās atbilstību 4. panta a) līdz i) apakšpunktam.

5. punkts

Datu importētāja pienākumi

Datu importētājs pieņem un garantē sekojošo:

a) viņi apstrādās personas datus tikai datu eksportētāja vārdā un saskaņā ar datu eksportētāja norādījumiem un šīm klauzulām; ja tas kāda iemesla dēļ nevar ievērot, viņi piekrīt pēc iespējas ātrāk informēt datu eksportētāju par savu nespēju, un tādā gadījumā datu eksportētājs var apturēt datu pārsūtīšanu un/vai izbeigt līgumu;

b) viņiem nav iemesla uzskatīt, ka viņiem piemērojamie tiesību akti liedz viņam izpildīt datu eksportētāja dotos norādījumus un saistības, kas viņam uzliktas saskaņā ar līgumu, un ja šie tiesību akti ir pakļauti izmaiņām, kas varētu būtiski nelabvēlīgi ietekmēt punktā noteiktajām garantijām un saistībām, viņam nekavējoties pēc to uzzināšanas ir jāpaziņo datu eksportētājam par izmaiņām, un tādā gadījumā datu eksportētājs var apturēt datu pārsūtīšanu un/vai izbeigt līgumu; c) pirms pārsūtīto personas datu apstrādes tās ir īstenojušas 2. papildinājumā noteiktos tehniskos un organizatoriskos drošības pasākumus;

d) viņi nekavējoties informēs datu eksportētāju:

i) jebkuru saistošu pieprasījumu par personas datu izpaušanu no tiesībaizsardzības iestādes, ja vien nav noteikts citādi, piemēram, kriminālaizliedzība, kuras mērķis ir saglabāt policijas izmeklēšanas noslēpumu;

ii) jebkura nejauša vai nesankcionēta piekļuve; un

iii) jebkuru pieprasījumu, kas saņemts tieši no attiecīgajām personām, uz to neatbildot, ja vien tā nav pilnvarota to darīt; administratori

e) viņi nekavējoties un pareizi izskatīs visus Datu eksportētāja pieprasījumus par pārsūtāmo personas datu apstrādi un rīkosies saskaņā ar uzraudzības iestādes atzinumu par nodoto datu apstrādi;

f) pēc datu eksportētāja pieprasījuma tie pakļauj tā datu apstrādes iekārtas šajās klauzulās ietverto apstrādes darbību auditam, ko veic datu eksportētājs vai uzraudzības iestāde, kurā ir neatkarīgi locekļi ar nepieciešamo profesionālo kvalifikāciju; uz ko attiecas slepenības pienākums un ko izvēlas datu eksportētājs, vajadzības gadījumā vienojoties ar uzraudzības iestādi;

g) datu subjektam, ja viņš to pieprasa, viņi darīs pieejamu šo punktu kopiju vai jebkuru esošo datu apstrādes līguma apakšlīgumu, ja vien klauzulas vai līgums nesatur komerciālu informāciju, un tādā gadījumā tā var noņemt informāciju, izņemot 2.pielikumu, kas tiks aizstāts ar kopsavilkuma drošības pasākumu aprakstu, ja datu subjekts nevar iegūt kopiju no Datu eksportētāja;

h) konfidenciālas turpmākas datu apstrādes apakšlīguma slēgšanas gadījumā viņš nodrošinās, ka iepriekš informē datu eksportētāju un saņem datu eksportētāja rakstisku piekrišanu;

i) datu apstrādātāja sniegtie apstrādes pakalpojumi atbilst 11. punktam;

j) tie nekavējoties nosūtīs datu eksportētājam jebkura datu apstrādes līguma apakšlīguma kopiju, ko tā noslēgusi saskaņā ar šiem punktiem.

6. punkts

Atbildība

1. Puses vienojas, ka jebkurš datu subjekts, kuram ir nodarīts kaitējums vienas puses vai datu apstrādātāja 3. vai 11. punktā minēto pienākumu pārkāpuma dēļ, var saņemt kompensāciju no datu eksportētāja par nodarīto kaitējumu.

2. Ja datu subjektam ir liegts celt prasību par zaudējumu atlīdzināšanu, kā minēts 1. punktā pret datu eksportētāju, jo datu importētājs vai tā datu apstrādātājs nav izpildījis kādu no saviem 3. vai 11. punktā noteiktajiem pienākumiem, jo ​​Dati Eksportētājs ir fiziski pazudis, beidzis pastāvēt likumā vai ir kļuvis maksātnespējīgs, datu importētājs piekrīt, ka datu subjekts var iesniegt pret to sūdzību tā, it kā tas būtu datu eksportētājs, ja vien ar līgumu nav nodotas visas datu eksportētāja juridiskās saistības. vai saskaņā ar likumu tās tiesību pārņēmējai vienībai, pret kuru datu subjekts pēc tam var īstenot savas tiesības. Datu importētājs nedrīkst paļauties uz to, ka Datu apstrādātājs ir pārkāpis savus pienākumus, lai izvairītos no savas atbildības.

3. Ja datu subjektam ir liegts celt 1. un 2. punktā minēto prasību pret datu eksportētāju vai datu importētāju par to, ka datu apstrādātājs ir pārkāpis savus pienākumus saskaņā ar 3. vai 11. punktu, jo datu eksportētājs un datu importētājs ir fiziski pazuduši, beiguši pastāvēt likumā vai ir kļuvuši maksātnespējīgi, Datu apstrādātājs piekrīt, ka datu subjekts var iesniegt pret to sūdzību par savām apstrādes darbībām saskaņā ar šiem punktiem tā, it kā tas būtu datu eksportētājs vai datu importētājs, ja vien datu eksportētāja vai datu importētāja juridiskās saistības ar līgumu vai saskaņā ar likumu ir nodotas tiesību pārņēmējam, pret kuru datu subjekts pēc tam var aizstāvēt savas tiesības.Datu apstrādātāja atbildība ir jāierobežo ar viņa paša apstrādes darbībām saskaņā ar šiem punktiem.

 

7. punkts

Starpniecība un jurisdikcija

1. Datu importētājs piekrīt, ka, ja saskaņā ar šiem noteikumiem datu subjekts atsaucas pret viņu uz trešās puses labuma guvēja tiesībām un/vai pieprasa kompensāciju par nodarīto kaitējumu, viņš pieņems datu subjekta lēmumu:

a) nodot strīdu neatkarīgai personai vai, attiecīgā gadījumā, uzraudzības iestādei starpniecības procesā;

b) iesniegt strīdu tās dalībvalsts tiesās, kurā atrodas datu eksportētājs.

2. Puses vienojas, ka datu subjekta izdarītā izvēle neietekmē datu subjekta procesuālās vai materiālās tiesības saņemt kompensāciju saskaņā ar citiem valsts vai starptautisko tiesību noteikumiem.

8. punkts

Sadarbība ar uzraudzības iestādēm

1. Datu eksportētājs piekrīt nodot šī līguma kopiju uzraudzības iestādei, ja tā to pieprasa vai ja šādu deponēšanu paredz piemērojamie datu aizsardzības tiesību akti.

2. Puses vienojas, ka uzraudzības iestāde var veikt pārbaudes pie datu importētāja un jebkura datu apstrādātāja tādā pašā apjomā un ar tādiem pašiem nosacījumiem kā pie datu eksportētāja veiktās pārbaudes saskaņā ar piemērojamajiem datu aizsardzības tiesību aktiem.

3. Datu importētājs pēc iespējas ātrāk informē datu eksportētāju par tiesību aktiem attiecībā uz datu importētāju vai jebkuru datu apstrādātāju, kas neļauj veikt pārbaudi pie datu importētāja vai jebkura datu apstrādātāja saskaņā ar 2. punktu. Šādā gadījumā Datu eksportētājs var veikt 5. panta b) apakšpunktā paredzētos pasākumus.

9. punkts

Piemērojamiem tiesību aktiem

Šīs klauzulas ir piemērojamas, un tās regulē tās dalībvalsts tiesību akti, kurā atrodas datu eksportētājs.

10. punkts

Līguma grozīšana

Puses apņemas nemainīt šos noteikumus. Puses var brīvi iekļaut citas komerciālas klauzulas, kuras tās uzskata par vajadzīgām, ja tās nav pretrunā esošajām klauzulām.

11. punkts

Turpmākie apakšlīgumi

1. Datu importētājs bez iepriekšējas rakstiskas datu eksportētāja piekrišanas nenoslēgs apakšlīgumu par nevienu no savām apstrādes darbībām, kas tiek veiktas datu eksportētāja vārdā saskaņā ar šiem punktiem. Datu importētājs noslēdz apakšlīgumus par savām saistībām saskaņā ar šiem punktiem tikai ar datu eksportētāja piekrišanu, noslēdzot rakstisku vienošanos ar datu apstrādātāju, uzliekot datu apstrādātājam tādus pašus pienākumus kā datu importētājam saskaņā ar šiem punktiem. Ja datu apstrādātājs nevar izpildīt savus datu aizsardzības pienākumus saskaņā ar šo rakstisko līgumu, datu importētājs ir pilnībā atbildīgs datu eksportētāja priekšā par šo saistību izpildi.

2. Iepriekšējā rakstiskā līgumā starp datu importētāju un datu apstrādātāju iekļauj arī trešās puses labuma guvēja klauzulu, kā noteikts 3. punktā gadījumos, kad datu subjekts nevar celt prasību par zaudējumu atlīdzināšanu, kas minēta 6. panta 1. punktā. ), pret Datu eksportētāju vai datu importētāju, jo datu eksportētājs vai datu importētājs ir fiziski pazudis, beidzis pastāvēt saskaņā ar likumu vai ir kļuvis maksātnespējīgs un visas datu eksportētāja vai datu importētāja juridiskās saistības nav nodotas, ar līgumu vai ar darbību. saskaņā ar likumu citai tiesību pārņēmējai vienībai. Datu apstrādātāja atbildība ir jāierobežo ar viņa paša apstrādes darbībām saskaņā ar šiem punktiem.

3. Noteikumus, kas attiecas uz datu aizsardzības aspektiem, slēdzot apakšlīgumus par datu apstrādi saskaņā ar 1. punktā minēto līgumu, reglamentē tās dalībvalsts tiesību akti, kurā datu eksportētājs ir reģistrēts.

4. Datu eksportētājs uztur saskaņā ar šiem punktiem noslēgto datu apstrādes līgumu apakšlīgumu sarakstu, par kuriem datu importētājs ir paziņojis saskaņā ar 5. punkta j) apakšpunktu, un tas tiek atjaunināts vismaz reizi gadā. Šo sarakstu dara pieejamu datu eksportētāja datu aizsardzības uzraudzības iestādei.

12. punkts

Pienākums pēc personas datu apstrādes pakalpojumu pārtraukšanas

1. Puses vienojas, ka pēc datu apstrādes pakalpojumu pabeigšanas Datu importētājs un datu apstrādātājs pēc datu eksportētāja ērtībām atdos visus pārsūtītos personas datus un to kopijas datu eksportētājam vai iznīcinās visus šos datus un uzrādīs pierādījumus. iznīcināšanu datu eksportētājam, ja vien Datu importētājam noteiktā likumdošana neliedz atgriezt vai iznīcināt visus vai daļu no nodotajiem personas datiem. Tādā gadījumā Datu importētājs garantē, ka nodrošinās nodoto personas datu konfidencialitāti un vairs aktīvi neapstrādās datus.

2. Datu importētājs un datu apstrādātājs nodrošina, ka pēc datu eksportētāja un/vai uzraudzības iestādes pieprasījuma tie pakļauj savus datu apstrādes līdzekļus 1. punktā minēto pasākumu pārbaudei.

2. daļas 1.1. papildinājums

Sīkāka informācija par pārskaitījumu

Datu eksportētājs

Datu eksportētājs ir Līgumā noteiktais Klients.

Datu importētājs

Datu importētājs ir POSTCODEZIP, un tam ir uzticēts apstrādāt datus, sniedzot pakalpojumus datu eksportētājam.

Datu subjekti

Pārsūtītie personas dati attiecas uz šādām datu subjektu kategorijām:

â˜?? tālruņu abonenti, kas uzskaitīti universālajā katalogā

â˜' Citi, tostarp:

Datu kategorijas

Pārsūtītie personas dati attiecas uz šādām datu kategorijām:

 

Jo īpaši datu eksportētāja datu subjektu personas datu kategorijas,

â˜?? Pilnais vārds

â˜' Pasta adrese

â˜?? Kontaktinformācija (e-pasts, tālrunis, IP adrese utt.)

â˜?? Sīkāka informācija par mārketinga darbībām saistībā ar tālruņa abonentu

A ' Citi, tostarp mājokļu, ienākumu veids, un vidējais vecums pa pilsētu, kas anonīmi

Īpašas datu kategorijas (ja piemērojams)

Pārsūtītie personas dati attiecas uz šādām īpašām datu kategorijām:

â˜' Īpašu kategoriju datu pārsūtīšana nav paredzēta

â˜?? Rase vai etniskā izcelsme

â˜?? Reliģiskā vai filozofiskā pārliecība

â˜?? Dalība arodbiedrībā

â˜?? Politiskie uzskati

â˜?? Ģenētiskā informācija

â˜?? Biometriskā informācija

â˜?? Informācija par seksuālo orientāciju vai seksuālo dzīvi

â˜?? Veselības dati

Apstrādes darbības

Pārsūtītie personas dati tiks pakļauti šādām pamata apstrādes darbībām:

  • •  Apstrādes mērķis

Datu eksportētāja vārdā veiktā apstrāde ir balstīta uz šādiem jautājumiem, jo ​​īpaši:

â˜' Datu eksportētāja piedāvāto produktu vai pakalpojumu pārņemšana

â˜' Produkta vai pakalpojuma piedāvājums, ko zvanītā persona var pieprasīt

â˜' No izsauktajām personām pieņemtie pasūtījumi un to turpmākā apstrāde

â˜' Pētījumu anketas un analīzes

â˜' Telemārketings

â˜?? Citi, tostarp:

  • •  Apstrādes veids un mērķis

Datu importētājs apstrādā datu subjektu personas datus datu eksportētāja vārdā, lai sniegtu šādus pakalpojumus, un jo īpaši:

  • â˜' Automātiska veidlapas aizpildīšana

  • â˜' Adreses apstiprināšanas veidlapa

â˜' Pārdošana un mārketings

â˜' Citi, tostarp rātsnamu un politisko partiju datubāzu atjaunināšana

  • •  Pakalpojumu sniegšana un pakalpojumu sniedzēju nodarbināšana

POSTCODEZIP galvenokārt apvieno, centralizē un sniedz pakalpojumus datu eksportētājam. Nosauktā pakalpojumu sniedzēja sniegtie pakalpojumi var būt strukturēti (tostarp pēc vajadzības) ap šādiem palīgpakalpojumiem: (i) lietojumprogrammu, rīku, sistēmu un IT infrastruktūras nodrošināšana saistībā ar izmantotajiem datu apstrādes centriem, lai nodrošinātu un atbalsta pakalpojumus, tostarp iepriekš aprakstīto datu subjektu personas datu apstrādi, izmantojot šādas lietojumprogrammas, rīkus un sistēmas, (ii) IT atbalsta, apkopes un citu pakalpojumu sniegšanu saistībā ar šādām lietojumprogrammām, rīkiem, sistēmām. un IT infrastruktūra, tostarp potenciāla piekļuve personas datiem, kas glabājas šādās lietojumprogrammās, rīkos un sistēmās, un iii) datu aizsardzības pakalpojumu, aizsardzības uzraudzības un incidentu reaģēšanas pakalpojumu sniegšana,tostarp iespēja piekļūt personas datiem, sniedzot šādus aizsardzības pakalpojumus. POSTCODEZIP var piesaistīt datu apstrādātājus, kā norādīts tālāk, lai sniegtu pakalpojumus, tostarp palīgpakalpojumus.

  • • Ārējie trešo pušu pakalpojumu sniedzēji kā datu apstrādei piešķirtās apakšvienības

POSTCODEZIP piesaista ārējos un trešo pušu pakalpojumu sniedzējus, kas nav POSTCODEZIP meitasuzņēmumi, lai atbalstītu pakalpojumu sniegšanu datu eksportētājam. Datu eksportētājs šādus ārējos trešo personu pakalpojumu sniedzējus apstiprina kā datu apstrādei uzticētās apakšvienības.

 

Ja datu apstrādē iesaistītā apakšvienība atrodas ārpus ES/EEZ, valstī, kurā saskaņā ar Eiropas Komisijas lēmumu tiek uzskatīts, ka datu aizsardzības līmenis nav atbilstošs, datu importētājs veiks pasākumus, lai iegūtu atbilstošu datu aizsardzības līmeni. datu aizsardzība saskaņā ar VDAR un 1. daļas 3.4. sadaļu (iv).

Appendix 2, Part 2

Tehniskie un organizatoriskie aizsardzības pasākumi

Datu importētājs veic šādus Datu eksportētāja apstiprinātus tehniskos un organizatoriskos aizsardzības pasākumus, lai atkarībā no riskiem garantētu atbilstošu fizisko personu tiesību un brīvību drošības līmeni. Novērtējot attiecīgo aizsardzības līmeni, datu eksportētājs jo īpaši ir ņēmis vērā ar apstrādi saistītos riskus, tostarp nejaušu vai nelikumīgu iznīcināšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi pārsūtītajiem, uzglabātajiem vai citādi apstrādātajiem personas datiem. Precizējot: Šie tehniskie un organizatoriskie aizsardzības pasākumi neattiecas uz datu eksportētāja nodrošinātajām lietojumprogrammām, rīkiem, sistēmām un/vai IT infrastruktūru.

1 Vispārējie tehniskie un organizatoriskie aizsardzības pasākumi

1.1. Vispārīga informācija un datu aizsardzības stratēģijas

The following steps should be taken to follow general data and information protection strategies:

  • a) veikt pasākumus, lai novērtētu veiktos tehniskos un organizatoriskos aizsardzības pasākumus;

  • b) nodrošināt apmācību, lai palielinātu darbinieku informētību;

  • c) ir attiecīgo sistēmu apraksts un jānodrošina darbiniekiem piekļuve;

  • d) izveido formālu dokumentācijas procesu ikreiz, kad sistēmas tiek ieviestas vai pārveidotas;

  • e) documenting the organizational structure, processes, responsibilities, and respective evaluations;

1.2 Informācijas aizsardzības organizācija

The following measures should be taken in order to coordinate data and information protection activities:

  • a) noteikti pienākumi par informācijas un datu aizsardzību (piemēram, izmantojot datu aizsardzības pārvaldības politiku);

  • b) nepieciešamās zināšanas par informācijas un pieejamo datu aizsardzību;

  • c) visi darbinieki ir apņēmušies nodrošināt personas datu konfidencialitāti, un ir informēti par iespējamām sekām, ja šīs saistības tiek pārkāptas.

1.3. Piekļuves kontrole apstrādes zonām

Jāveic šādi pasākumi, lai personas datu apstrādes, uzglabāšanas vai pārsūtīšanas laikā nepieļautu nepilnvarotu personu piekļuvi datu apstrādes sistēmām (jo īpaši programmatūrai un aparatūrai):

  • a) izveidot drošas zonas;

  • b) protect and restrict access to data processing systems;

  • c) izveidot darbiniekiem un trešajām personām piekļuves atļaujas, ieskaitot attiecīgos dokumentus;

  • d) tiek reģistrēta jebkura piekļuve datu apstrādes centriem, kuros tiek glabāti personas dati.

1.4. Piekļuves kontrole datu apstrādes sistēmām

Lai novērstu nesankcionētu piekļuvi datu apstrādes sistēmām, jāveic šādi pasākumi:

  • a) lietotāju autentifikācijas politikas un procedūras;

  • b) paroļu izmantošana visās datorsistēmās;

  • c) remote access to the network requires multi-factor authentication and is granted to the person concerned according to their responsibilities and upon authorization;

  • d) piekļuve konkrētām funkcijām ir balstīta uz darba funkcijām un/vai atribūtiem, kas individuāli piešķirti lietotāja kontam;

  • e) regulāri tiek pārskatītas piekļuves tiesības saistībā ar personas datiem;

  • f) piekļuves tiesību izmaiņu ieraksti tiek pastāvīgi atjaunināti.

1.5. Kontrolēt piekļuvi noteiktām datu apstrādes sistēmu lietošanas jomām

Jāveic šādi pasākumi, lai nodrošinātu, ka pilnvarotās personas, kurām ir tiesības izmantot datu apstrādes sistēmu, var piekļūt datiem tikai savu attiecīgo pienākumu un piekļuves atļauju ietvaros un lai personas datus nevarētu bez atļaujas lasīt, kopēt, mainīt vai dzēst:

  • a) politiku, norādījumus un darbinieku apmācību attiecībā uz katra viņu pienākumiem attiecībā uz konfidencialitāti, tiesībām piekļūt personas datiem un personas datu apstrādes apjomu;

  • b) disciplināri pasākumi pret personām, kas bez atļaujas piekļūst personas datiem;

  • c) piekļuvi personas datiem piešķir tikai pilnvarotām personām, pamatojoties uz nepieciešamību zināt;

  • d) uzturēt sistēmu administratoru sarakstu un veikt atbilstošus pasākumus, lai uzraudzītu sistēmas administratorus;

  • e) nekopēt vai reproducēt personas datus nevienā uzglabāšanas sistēmā, lai ļautu nepiederošām personām noņemt izcelsmes informāciju;

  • f) kontrolēta un dokumentēta datu dzēšana vai iznīcināšana;

  • g) to store securely all personal data that must be retained for legal or regulatory reasons (e.g. obligations to retain data), and only for as long as required by law.

1.6 Transmisijas vadība

Jāveic šādi pasākumi, lai datu uzglabāšanas ierīču pārraides vai transportēšanas laikā nesankcionētas trešās personas nelasītu, kopētu, pārveidotu vai dzēstu personas datus (atkarībā no veiktās personas datu apstrādes):

  • a) ugunsmūru izmantošana;

  • b) izvairoties no personas datu uzglabāšanas mobilajās datu glabāšanas ierīcēs transporta nolūkos vai ierīču šifrēšanas;

  • c) lietot klēpjdatoros un citās mobilajās ierīcēs tikai pēc tam, kad ir aktivizēta šifrēšanas aizsardzība;

  • d) personas datu pārraides reģistrēšana.

1.7 Datu ievades kontrole

Jāveic šādi pasākumi, lai nodrošinātu, ka ir iespējams pārbaudīt un noteikt, vai personas dati ir ievadīti vai dzēsti no datu apstrādes sistēmām un kas to ir veicis:

  • a) saglabāto datu lasīšanas, grozīšanas un dzēšanas atļaujas politika;

  • b) aizsardzības pasākumi attiecībā uz saglabāto datu nolasīšanu, pārveidošanu un dzēšanu.

1.8 Darba kontrole

Deleģētas personas datu apstrādes gadījumā ir jāveic šādi pasākumi, lai nodrošinātu, ka šie dati tiek apstrādāti saskaņā ar Uzraudzītāja norādījumiem:

  • a) vienībām vai apakšvienībām, kurām uzticēta datu apstrāde un kuras ir izvēlētas rūpīgi (pakalpojumu sniedzēji, kas apstrādā personas datus pārziņa vārdā);

  • b) norādījumus par jebkādas personas datu apstrādes apjomu darbiniekiem, vienībām vai apakšvienībām, kurām ir uzticēta datu apstrāde;

  • c) revīzijas tiesības, par kurām panākta vienošanās ar vienībām vai apakšvienībām, kas uzticētas datu apstrādei;

  • d) noslēgtie līgumi ar vienībām vai apakšvienībām, kurām ir uzticēta datu apstrāde.

1.10. Pseidonimizācija

Attiecībā uz personas datu pseidonimizāciju ir jāveic šādi pasākumi:

  • a) Ja datu eksportētājs pasūta konkrētu apstrādes darbību vai ja datu importētājs to uzskata par vajadzīgu saskaņā ar spēkā esošajiem datu aizsardzības tiesību aktiem attiecībā uz noteiktām apstrādes darbībām, personas datu apstrāde tiks veikta tā, lai datus vairs nevar attiecināt uz konkrētu personu, neizmantojot papildu informāciju. Šī papildu informācija tiks glabāta atsevišķi;

  • b) pseidonimizācijas paņēmienu izmantošana, tostarp sadales saraksta randomizācija; vērtību radīšana asumu veidā.

1.11 Šifrēšana

Lai šifrētu personas datus lietojumprogrammās un pārraidēs, kas atbalsta šifrēšanu, jāveic šādas darbības:

  • a) šifrēšanas metožu izmantošana;

  • b) šifrēšanas pārvaldības izveide, lai atbalstītu atļautās šifrēšanas metodes;

  • c) supporting the use of cryptography through procedures and protocols for generating, modifying, revoking, destroying, distributing, certifying, storing, capturing, using, and archiving cryptographic keys to protect against unauthorized modification and disclosure.

1.12. Datu apstrādes sistēmu un pakalpojumu pilnīgums

Lai nodrošinātu datu apstrādes sistēmu un pakalpojumu pilnīgumu, jāveic šādi pasākumi:

  • 1. a) datu apstrādes sistēmu aizsardzība pret manipulācijām vai iznīcināšanu, izmantojot piemērotus līdzekļus (piemēram, pretvīrusu programmatūru, datu zudumu novēršanas programmatūru un programmatūru pret ļaunprātīgu programmatūru, programmatūras ielāpus, ugunsmūrus un pārvaldītu darbvirsmas aizsardzību);

  • b) aizliegt jebkādu pakalpojumu vai programmatūras instalēšanu, kas kaitē datu apstrādes sistēmām, pakalpojumiem vai manipulācijām ar personas datiem;

  • c) tīkla ielaušanās atklāšanas un novēršanas sistēmas izmantošana paša tīkla struktūrā.

1.13. Datu apstrādes sistēmu un pakalpojumu pieejamība un iespēja atjaunot piekļuvi personas datiem un to izmantošanu materiāla vai tehniska incidenta gadījumā

Ir jāveic šādi pasākumi, lai nodrošinātu datu apstrādes sistēmu pieejamību, kā arī varētu ātri atjaunot personas datu pieejamību un piekļuvi tiem materiāla vai tehniska incidenta gadījumā (jo īpaši nodrošinot, ka personas dati ir aizsargāti pret nejaušu iznīcināšanu vai nozaudēšanu):

  • a) jābūt kontroles līdzekļiem dublējumkopiju saglabāšanai un pazaudētu vai izdzēstu datu atjaunošanai;

  • b) infrastructural redundancy and performance testing;

  • c) datoru resursu fiziskā aizsardzība;

  • d) rīku izmantošana iekšējā tīkla statusa un pieejamības uzraudzībai;

  • e) ziņošanas par incidentiem un reaģēšanas politikas, kas reglamentē incidentu pārvaldības procedūru, un šo politiku ievērošanas atkārtošana regulāru apmācību ietvaros;

  • f) dublējumkopijas (dažreiz ārpus vietnes), lai atjaunotu sistēmu, lai tā atkal varētu veikt savas funkcijas;

  • g) darbības nepārtrauktības/atveseļošanas plāni katastrofu gadījumā

1.14. Datu apstrādes sistēmu un pakalpojumu noturība

The following measures must be taken to ensure the resilience of data processing systems and services:

  • a) sistēmas un harmoniski konfigurētas, izmantojot apstiprinātus drošības parametrus;

  • b) tīkla dublēšana;

  • c) kritisko sistēmu ierobežošanas aizsardzība.

1.15. Datu apstrādes drošības nodrošināšanas tehnisko un organizatorisko pasākumu regulāras pārbaudes, izvērtēšanas un efektivitātes novērtēšanas kārtība

Procedūra datu apstrādes aizsardzības tehnisko un organizatorisko pasākumu regulārai pārbaudei, novērtēšanai un efektivitātes novērtēšanai.

  • a) take the necessary steps to assess risks and mitigation strategies;

  • b) IT nodaļas pakalpojumu analīzes sanāksmes aktuālo jautājumu risināšanai;

  • c) darbības nepārtrauktības/avārijas seku novēršanas plāni tiek regulāri atjaunināti.

3. daļa

Pušu paraksti un datu importētāju saraksts

Aizpildot tiešsaistes pasūtījuma veidlapu un apstiprinot to, atzīmējot rūtiņu, kas piekrīt vispārīgajiem lietošanas noteikumiem, tiek noslēgts līgums, kas regulē attiecības starp Klientu un POSTCODEZIP.

Nosūtot maksājumu uz POSTCODEZIP, tiks uzskatīts, ka līgums ir saskaņots un noslēgts.

Ņemiet vērā: Šis teksts ir tulkots no franču valodas. Sākotnējā franču valodas versija, kas ir derīga un juridiski ierobežojoša, ir pieejama  šeit .

bottom of page