top of page

Lampiran pemprosesan data

Lampiran ini merupakan sebahagian daripada Kontrak dan dimeterai oleh:

 

  1. (i) Pelanggan (" Pengeksport Data ")

  2. (ii) POSTCODEZIP (" Pengimport Data ")

 

Masing-masing menjadi " Parti " dan biasanya " Parti ".

Mukadimah

DI MANA Pengimport Data menyediakan perkhidmatan perisian profesional, komputer dan perkhidmatan berkaitan;

DI MANA menurut Kontrak, Pengimport Data telah bersetuju untuk memberikan kepada Pengeksport Data perkhidmatan yang dinyatakan dalam Kontrak (" Perkhidmatan ");

DI MANA, dengan menyediakan Perkhidmatan, Pengimport Data menerima atau mendapat manfaat daripada akses kepada maklumat Pengeksport Data atau maklumat orang lain yang mempunyai hubungan (berpotensi) dengan Pengeksport Data, maklumat tersebut mungkin layak sebagai data peribadi dalam pengertian Peraturan. (EU) 2016/679 Parlimen Eropah dan Majlis 27 April 2016 mengenai melindungi individu berkenaan pemprosesan data peribadi dan mengenai pergerakan bebas data tersebut (" GDPR ") dan undang-undang perlindungan data lain yang berkenaan.

DI MANA Lampiran ini mengandungi terma dan syarat yang terpakai untuk pengumpulan, pemprosesan dan penggunaan data peribadi sedemikian oleh Pengimport Data dalam kapasitinya sebagai ejen pemprosesan data yang dibenarkan bagi Pengeksport Data, untuk memastikan Pihak-Pihak mematuhi undang-undang perlindungan data yang terpakai .

 

OLEH ITU, dan untuk membolehkan Pihak-Pihak meneruskan hubungan mereka secara sah, Pihak-Pihak telah menyimpulkan Lampiran ini seperti berikut:

Bahagian 1

1. Struktur dokumen dan definisi

1.1 Struktur

Lampiran ini mengandungi bahagian yang berbeza seperti berikut:

Part 1: 

contains general provisions, e.g. concerning the definitions used in this Appendix, compliance with local laws, timing, and termination

Bahagian 2:

mengandungi badan dokumen Klausa Kontrak Standard yang tidak dipinda

Appendix 1.1 of Part 2:

contains the details of the processing operations provided by the Data Importer to the Data Exporter as the authorized data processing agent (including the processing, nature, and purpose of the processing, the type of personal data, and the categories of data subjects) under this Appendix

Appendix 2 of Part 2:

contains a description of the Data Importer's technical and organizational security measures, which are applied in connection with all processing activities described in Appendix 1.1 of Part 2

Bahagian 3:

mengandungi tandatangan Pihak yang akan terikat oleh Lampiran ini dan mengenal pasti setiap Pengimport Data

1.2 Terminologi dan definisi

Untuk tujuan Lampiran ini, istilah dan takrifan yang digunakan oleh GDPR adalah terpakai (Dalam badan dokumen Klausa Kontrak Standard dalam Bahagian 2, jika istilah yang ditakrifkan tidak menggunakan huruf besar). 

"Negeri Anggota"

means a country belonging to the European Union or the European Economic Area

"Kategori khas data (peribadi)"

merujuk kepada data peribadi yang mendedahkan asal usul kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, dan data genetik, data biometrik, jika diproses untuk tujuan mengenal pasti seseorang secara unik, data mengenai kesihatan, data mengenai jantina seseorang kehidupan atau orientasi seksual

"Klausa Kontrak Standard"

bermaksud Klausa Kontrak Standard untuk memindahkan data peribadi ejen pemprosesan yang ditubuhkan di negara ketiga, di bawah Keputusan Suruhanjaya 2010/87/EU pada 5 Februari 2010, yang telah dipinda oleh Keputusan Pelaksana Suruhanjaya (EU) 2016/2297 pada 16 haribulan. Disember 2016

“Data processor”

bermaksud mana-mana ejen pemprosesan, yang terletak di dalam atau di luar EU/EEA, yang bersetuju untuk menerima daripada Pengimport Data atau mana-mana pemproses lain Pengimport Data, data peribadi untuk tujuan eksklusif aktiviti pemprosesan yang akan dijalankan oleh Pengeksport Data selepas pemindahan mengikut arahan Pengeksport Data, syarat Lampiran ini dan Kontrak dengan Pengimport Data

2. Kewajipan Pengeksport Data

2.1 Pengeksport Data mempunyai kewajipan untuk memastikan pematuhan terhadap semua kewajipan yang berkenaan di bawah GDPR dan mana-mana undang-undang perlindungan data terpakai lain yang terpakai kepada Pengeksport Data dan untuk menunjukkan pematuhan seperti yang dikehendaki oleh Artikel 5 (2) GDPR. Pengeksport Data menjamin bahawa Pengimport Data telah mendapat kebenaran terlebih dahulu daripada subjek data menurut Perkara 6 (a) GDPR dan telah mematuhi kewajipannya untuk memaklumkan subjek data mengikut Perkara 13 dan 14 GDPR.

2.2 Pengeksport Data mesti memberikan Pengimport Data dengan fail masing-masing aktiviti pemprosesan mengikut Perkara 30 (1) GDPR yang berkaitan dengan Perkhidmatan di bawah Lampiran ini, setakat yang diperlukan untuk Pengimport Data untuk mematuhi kewajipan di bawah Perkara 30 (2) GDPR.

2.3 Pengeksport Data mesti melantik pegawai atau wakil perlindungan data setakat yang diperlukan oleh undang-undang perlindungan data yang berkenaan. Pengeksport Data bertanggungjawab untuk memberikan butiran hubungan ejen perlindungan data atau wakil, jika ada, kepada Pengimport Data.

2.4. Pengeksport Data mengesahkan sebelum selesai pemprosesan, dengan penerimaan Lampiran ini, bahawa langkah keselamatan teknikal dan organisasi Pengimport Data, seperti yang dinyatakan dalam Lampiran 2 hingga Bahagian 2, adalah sesuai dan mencukupi untuk melindungi hak subjek data. dan mengesahkan bahawa Pengimport Data menyediakan perlindungan yang mencukupi dalam hal ini.

3. Pematuhan undang-undang tempatan

Untuk memenuhi keperluan pelaksanaan ejen pemprosesan berikutan Perkara 28 GDPR, pindaan berikut adalah terpakai:

3.1 Arahan

  1. (i) The Data Exporter instructs the Data Importer to process personal data only on behalf of the Data Exporter. The Data Exporter's instructions are provided in this Appendix and in the Contract. The Data Exporter has the obligation to ensure that all instructions were given to the Data Importer comply with applicable data protection laws. The Data Importer must process personal data only in accordance with the instructions provided by the Data Exporter unless otherwise required by the European Union or the law of the Member State (in the latter case, Part 1 Clause 3.2 (iv) (c) applies).

  2. (ii) All other instructions going beyond the instructions in this Appendix or in the Contract must be included in the subject of this Appendix and the Contract. If implementing this additional instruction involves costs for the Data Importer, the Data Importer shall inform the Data Exporter of such costs and provide an explanation before implementing the instruction. Only after the Data Exporter has confirmed acceptance of these costs for implementing the instruction, the Data Importer shall implement this additional instruction. The Data Exporter must give additional instructions in writing unless urgency or other specific circumstances require another form (e.g. oral, electronic). Instructions in a form other than in writing must be confirmed in writing and without delay by the Data Exporter.

  3. 1. Unless the Data Exporter cannot carry out the rectification, erasure, or restriction of personal data by itself, the instructions may also relate to the rectification, erasure, and/or restriction of personal data as set out in Part 1 Clause 3.3.

  4. 2. The Data Importer must immediately inform the Data Exporter if, in its opinion, an Instruction violates the GDPR or other applicable data protection provisions of the European Union or a Member State ("Disputed Instruction"). If the Data Importer believes that an Instruction infringes the GDPR or other applicable data protection provisions of the European Union or a Member State, the Data Importer is not obliged to follow the Disputed Instruction. If the Data Exporter confirms the Contested Instruction upon receipt of information from the Data Importer and acknowledges its responsibility for the Contested Instruction, the Data Importer shall implement the Contested Instruction, unless the Contested Instruction relates to (i) the implementation of technical and organizational measures, (ii) the rights of the Data Subjects or (iii) the engagement of Data processors. In cases (i) to (iii), the Data Importer may contact a competent supervisory authority to have the contested Instruction legally evaluated by such authority. If the supervisory authority declares the challenged Instruction to be legal, the Data Importer shall implement the challenged Instruction. Part 1 Clause 3.1 (ii) shall remain applicable.

  1. 3.2 Kewajipan Pengimport Data

  1. (i) Pengimport Data mesti memastikan bahawa orang yang diberi kuasa oleh Pengimport Data untuk memproses data peribadi bagi pihak Pengeksport Data, khususnya pekerja Pengimport Data dan pekerja mana-mana Sub-Kontraktor, telah mengambil tindakan untuk mematuhi kerahsiaan atau tertakluk kepada kewajipan berkanun yang sesuai untuk kerahsiaan, dan bahawa orang sedemikian yang mempunyai akses kepada data peribadi memprosesnya mengikut arahan Pengeksport Data.

  2. (ii) Pengimport Data mesti melaksanakan langkah keselamatan teknikal dan organisasi seperti yang dinyatakan dalam Lampiran 2 hingga Bahagian 2 sebelum memproses data peribadi bagi pihak Pengeksport Data. Pengimport Data boleh mengubah langkah keselamatan teknikal dan organisasi dari semasa ke semasa jika ia tidak memberikan perlindungan yang kurang daripada yang dinyatakan dalam Lampiran 2 hingga Bahagian 2.

  3. (iii) Pengimport Data hendaklah menyediakan kepada Pengeksport Data, atas permintaan oleh Pengeksport Data, maklumat untuk menunjukkan pematuhan terhadap kewajipan Pengimport Data di bawah Lampiran ini. Para Pihak bersetuju bahawa kewajipan maklumat ini dipenuhi dengan menyediakan laporan audit kepada Pengeksport Data (meliputi keselamatan prinsip, ketersediaan sistem dan kerahsiaan) ("Laporan Audit"). Jika aktiviti audit tambahan diperlukan di sisi undang-undang, Pengeksport Data boleh meminta supaya pemeriksaan dijalankan oleh Pengeksport Data atau juruaudit lain yang dilantik oleh Pengeksport Data, tertakluk kepada pelaksanaan perjanjian kerahsiaan oleh juruaudit tersebut dengan Pengimport Data kepada Pengimport Data. kepuasan yang munasabah ("Audit"). Audit ini tertakluk kepada syarat berikut:(i) penerimaan bertulis rasmi terlebih dahulu daripada Pengimport Data; dan (ii) Pengeksport Data hendaklah menanggung semua kos yang berkaitan dengan Audit Di Tapak untuk Pengeksport Data dan Pengimport Data. Pengeksport Data mesti membuat laporan audit yang meringkaskan keputusan dan pemerhatian Audit Di Tapak ("Laporan Audit Di Tapak"). Laporan Audit Di Tapak dan Laporan Audit, adalah maklumat sulit Pengimport Data dan tidak boleh didedahkan kepada pihak ketiga melainkan dikehendaki oleh undang-undang perlindungan data yang berkenaan atau menurut persetujuan Pengimport Data.Laporan Audit Di Tapak dan Laporan Audit, adalah maklumat sulit Pengimport Data dan tidak boleh didedahkan kepada pihak ketiga melainkan dikehendaki oleh undang-undang perlindungan data yang berkenaan atau menurut persetujuan Pengimport Data.Laporan Audit Di Tapak dan Laporan Audit, adalah maklumat sulit Pengimport Data dan tidak boleh didedahkan kepada pihak ketiga melainkan dikehendaki oleh undang-undang perlindungan data yang berkenaan atau menurut persetujuan Pengimport Data.

  4. (iv) Pengimport Data mempunyai kewajipan untuk memberitahu Pengeksport Data tanpa kelewatan yang tidak wajar:

  5. a. mengenai sebarang permintaan yang mengikat secara sah untuk pendedahan data peribadi oleh pihak berkuasa penguatkuasaan undang-undang, melainkan jika dilarang, seperti larangan di bawah undang-undang jenayah untuk melindungi kerahsiaan penyiasatan penguatkuasaan undang-undang

  6. b. mengenai sebarang aduan dan permintaan yang diterima secara langsung daripada subjek data (cth mengenai akses, pembetulan, pemadaman, sekatan pemprosesan, kemudahalihan data, bantahan terhadap pemprosesan data, pembuatan keputusan automatik) tanpa menjawab permintaan tersebut, melainkan Pengimport Data telah diberi kuasa untuk berbuat demikian

  7. c. jika Pengimport Data atau pemproses Data diwajibkan, di bawah undang-undang Kesatuan Eropah atau Negara Anggota di mana Pengimport Data atau pemproses Data tertakluk, untuk memproses data peribadi di luar arahan Pengeksport Data, sebelum menjalankan pemprosesan sedemikian di luar arahan, melainkan undang-undang Kesatuan Eropah atau Negara Anggota melarang pemprosesan sedemikian atas alasan kepentingan awam yang penting, dalam hal ini pemberitahuan kepada Pengeksport Data hendaklah menyatakan keperluan undang-undang di bawah undang-undang Kesatuan Eropah atau Negara Anggota; atau

  8. d. jika Pengimport Data menyedari pelanggaran data peribadi, semata-mata kerana dirinya sendiri atau sub-kontraktornya, yang akan menjejaskan data peribadi Pengeksport Data yang dilindungi oleh kontrak sekarang, dalam hal ini Pengimport Data akan membantu Pengeksport Data dalam kewajipannya, vis-Ã -vis undang-undang perlindungan data yang terpakai, untuk memaklumkan subjek data dan, jika berkenaan, pihak berkuasa penyeliaan dengan memberikan maklumat yang boleh digunakan, mengikut Perkara 33 (3) GDPR.

  9. (v) Atas permintaan Pengeksport Data, Pengimport Data hendaklah dipaksa untuk membantu Pengeksport Data dalam kewajipannya untuk melaksanakan penilaian kesan perlindungan data yang mungkin diperlukan oleh Perkara 35 GDPR dan rundingan terlebih dahulu yang mungkin dikehendaki oleh Perkara 36 GDPR berkenaan perkhidmatan yang disediakan oleh Pengimport Data kepada Pengeksport Data di bawah Lampiran ini, memberikan maklumat yang diperlukan dan kepada Pengeksport Data. Pengimport Data hanya akan diwajibkan untuk memberikan bantuan tersebut jika Pengeksport Data tidak dapat memenuhi kewajipannya dengan cara lain. Pengimport Data akan menasihati Pengeksport Data tentang kos bantuan tersebut. Sebaik sahaja Pengeksport Data mengesahkan bahawa ia boleh menanggung kos ini, Pengimport Data akan memberikan bantuan ini kepada Pengeksport Data.

  10. (vi) Pada penghujung penyediaan perkhidmatan, Pengeksport Data boleh meminta pengembalian data peribadi yang diproses oleh Pengimport Data di bawah Lampiran ini dalam tempoh satu bulan selepas perkhidmatan. Melainkan undang-undang Negara Anggota atau Kesatuan Eropah menghendaki Pengimport Data menyimpan atau menyimpan data peribadi tersebut, Pengimport Data akan memadamkan semua data peribadi atau bukan peribadi tersebut selepas tempoh sebulan, sama ada ia telah dikembalikan kepada Pengeksport Data atas permintaannya atau tidak.

3.3 Hak orang yang berkenaan

  1. (i) Pengeksport Data mengurus dan bertindak balas terhadap permintaan yang dibuat oleh subjek data. Pengimport Data tidak diwajibkan untuk bertindak balas terus kepada subjek data.

  2. (ii) Jika Pengeksport Data memerlukan bantuan Pengimport Data dalam memproses dan menjawab permintaan Subjek Data, Pengeksport Data hendaklah mengeluarkan arahan lanjut mengikut Klausa 3.1 (ii) Bahagian 1. Pengimport Data akan membantu Pengeksport Data dengan langkah-langkah organisasi yang bersesuaian dan teknikal berikut untuk menjawab permintaan untuk melaksanakan hak subjek data yang dinyatakan dalam Bab III GDPR seperti berikut:

  3. a. Mengenai permintaan untuk maklumat, Pengimport Data hanya akan memberikan Pengeksport Data maklumat yang diperlukan oleh Artikel 13 dan 14 PGRD yang mungkin ada padanya jika Pengeksport Data tidak dapat mencarinya sendiri.

  4. b. Berkenaan permintaan untuk akses (Perkara 15 GDPR), Pengimport Data hanya akan memberikan Pengeksport Data maklumat yang sepatutnya diberikan kepada subjek data untuk permintaan akses tersebut, yang mungkin ada padanya jika yang terakhir tidak dapat mencarinya sahaja.

  5. c. Berkenaan permintaan untuk pembetulan (Perkara 16 GDPR), permintaan untuk pemadaman (Perkara 17 GDPR), sekatan permintaan untuk pemprosesan (Perkara 18 GDPR), atau permintaan untuk mudah alih (Perkara 20 GDPR), dan hanya jika Pengeksport Data tidak boleh sendiri membetulkan atau memadam, mengehadkan atau menghantar data peribadi kepada pihak ketiga yang lain, Pengimport Data akan menawarkan Pengeksport Data kemungkinan untuk membetulkan atau memadam, mengehadkan atau menghantar data peribadi yang berkenaan kepada pihak ketiga yang lain, atau jika ini tidak mungkin, ia akan memberikan bantuan untuk membetulkan atau memadam, mengehadkan atau menghantar data peribadi yang berkenaan kepada pihak ketiga yang lain.

  6. d. Berkenaan pemberitahuan yang berkaitan dengan pembetulan, pemadaman atau sekatan pemprosesan (Perkara 19 GDPR), Pengimport Data akan membantu Pengeksport Data dengan memberitahu semua penerima data peribadi yang terlibat oleh Pengimport Data sebagai pemproses jika Pengeksport Data meminta dan jika Pengeksport Data tidak dapat membetulkan keadaan sendiri.

  7. e. Mengenai hak penentangan yang dilaksanakan oleh subjek data (Perkara 21 dan 22 GDPR), Pengeksport Data akan menentukan sama ada pembangkang itu sah dan cara menanganinya.

  8. (iii) Kewajipan bantuan Pengimport Data adalah terhad kepada data peribadi yang diproses dalam infrastrukturnya (cth pangkalan data, sistem, aplikasi yang dimiliki atau disediakan oleh Pengimport Data).

  9. (iv) Pengeksport Data hendaklah menentukan sama ada Subjek Data boleh menggunakan hak Subjek Data yang dinyatakan dalam Klausa 3.1 Bahagian 1 ini dan hendaklah menasihati Pengimport Data sejauh mana bantuan yang dinyatakan dalam Klausa 3.3 (ii), ( iii) Bahagian 1 adalah perlu.

  10. (v) Jika Pengeksport Data meminta langkah teknikal dan organisasi tambahan atau diubah suai untuk memenuhi hak subjek data yang melampaui bantuan yang diberikan oleh Pengimport Data di bawah Sub-Klausa 3.3 (ii), (iii) Bahagian 1, Data Pengimport hendaklah memaklumkan Pengeksport Data tentang kos melaksanakan langkah-langkah teknikal dan organisasi tambahan atau diubah suai tersebut. Sebaik sahaja Pengeksport Data mengesahkan bahawa ia boleh memenuhi kos ini, Pengimport Data hendaklah melaksanakan langkah-langkah teknikal dan organisasi tambahan atau diubah suai untuk membantu Pengeksport Data dalam menjawab permintaan Subjek Data.

  11. (vi) Tanpa mengehadkan skop Klausa 3.3 (v) Bahagian 1, Pengeksport Data hendaklah bertanggungjawab untuk membayar balik Pengimport Data untuk perbelanjaan munasabahnya yang ditanggung dalam menjawab permintaan Subjek Data.

3.4 Pemprosesan kecil

1.

  1. (i) The Data Exporter authorizes the Data Importer's use of sub-contractors for the provision of services under this Appendix. The Data Importer shall select such Data processor(s) carefully. The Data Exporter approves the Data processor(s) listed in Appendix 1.1 at the end of Part 2.

  2. (ii) The Data Importer shall transfer its obligations under this Appendix to the Data processor (s) to the extent applicable to the subcontracted services.

  3. (iii) The Data Importer may dismiss, replace, or appoint another appropriate and reliable Data processor (s) at its discretion. If so requested in writing by the Data Exporter, the Data Importer must follow the procedure set out below:

2.

  1. a. Pengimport Data hendaklah memaklumkan Pengeksport Data sebelum sebarang perubahan pada senarai pemproses Data yang dirujuk di bawah Klausa 3.4 (i) Bahagian 1. Jika Pengeksport Data tidak membantah di bawah Klausa 3.4. (b) Bahagian 1 tiga puluh hari selepas menerima pemberitahuan daripada Pengimport Data, pemproses Data tambahan akan dianggap sebagai diterima.

  2. b. Jika Pengeksport Data mempunyai sebab yang sah untuk membantah pemproses Data tambahan, ia akan memberikan notis bertulis terlebih dahulu kepada Pengimport Data dalam masa tiga puluh hari selepas menerima pemberitahuan Pengimport Data dan sebelum perkhidmatan Pengimport Data mula beroperasi. Jika Pengeksport Data membantah penggunaan pemproses Data tambahan, Pengimport Data boleh menghapuskan bantahan dengan salah satu daripada pilihan berikut (dipilih mengikut budi bicaranya): (A) Pengimport Data akan membatalkan rancangannya untuk menggunakan pemproses tambahan berkenaan data peribadi Pengeksport Data; (B) Pengimport Data akan mengambil langkah pembetulan yang diminta oleh Pengeksport Data dalam bantahannya (membatalkan bantahan) dan menggunakan pemproses tambahan berkenaan data peribadi Pengeksport Data;(C) Pengimport Data mungkin berhenti memberikan atau Pengeksport Data mungkin bersetuju untuk tidak menggunakan (sementara atau selama-lamanya) aspek tertentu perkhidmatan yang akan melibatkan penggunaan pemproses lanjut data peribadi Pengeksport Data oleh Pengeksport Data.

3.

  1. (iv) if the Data processor is based outside the EU-EEA in a country that is not recognized as offering an adequate level of data protection following a decision of the European Commission, the Data Importer will take the measures to comply with an adequate level of data protection in accordance with the GDPR (such measures may include - among others and - the use of data processing contracts based on the clauses of the EU Model, transfer to self-certified Data processors in the framework of the EU-US Protection Shield, or a similar program).

3.5 Tamat tempoh

  1. Tamat tempoh Lampiran ini adalah sama dengan tarikh tamat Kontrak yang sepadan. Kecuali diperuntukkan sebaliknya dalam Lampiran ini, hak dan kewajipan yang berkaitan dengan penamatan hendaklah sama seperti yang terkandung dalam Kontrak.

4. Had Liabiliti

4.1 Setiap pihak mengendalikan kewajipannya di bawah Lampiran ini dan perundangan perlindungan data yang berkenaan.

4.2 Sebarang liabiliti yang berkaitan dengan pelanggaran kewajipan di bawah Lampiran ini atau perundangan perlindungan data yang berkenaan hendaklah tertakluk kepada dan dikawal oleh peruntukan liabiliti yang dinyatakan dalam, atau terpakai kepada, Kontrak, kecuali sebagaimana yang diperuntukkan sebaliknya dalam Lampiran ini. Jika liabiliti ditadbir oleh peruntukan liabiliti yang dinyatakan dalam atau terpakai kepada Kontrak, untuk mengira had liabiliti atau menentukan pemakaian had liabiliti lain, sebarang liabiliti yang timbul di bawah Lampiran ini akan dianggap timbul di bawah Kontrak.

5. General provisions

5.1 Jika terdapat sebarang percanggahan atau percanggahan antara Bahagian 1 dan 2 Lampiran ini, Bahagian 2 akan diutamakan. Khususnya, walaupun dalam kes sedemikian, Bahagian 1 yang melangkaui Bahagian 2 (iaitu terma klausa Standard) tanpa bercanggah dengannya akan kekal sah.

5.2 Jika timbul sebarang percanggahan antara peruntukan Lampiran ini dan kontrak lain yang mengikat pihak-pihak, Lampiran ini akan mengatasi kewajipan perlindungan data pihak-pihak. Sekiranya terdapat keraguan sama ada klausa dalam kontrak lain berkenaan dengan kewajipan perlindungan data pihak-pihak, Lampiran ini akan diguna pakai.

5.3 Jika mana-mana peruntukan Lampiran ini tidak sah atau tidak boleh dikuatkuasakan, baki Lampiran ini akan kekal berkuat kuasa dan berkesan sepenuhnya. Peruntukan yang tidak sah atau tidak boleh dikuatkuasakan akan (i) dipinda untuk memastikan kesahihan dan kebolehkuatkuasaannya, sambil mengekalkan sejauh mungkin niat pihak-pihak, atau - jika ini tidak mungkin - (ii) ditafsirkan seolah-olah bahagian yang tidak sah atau tidak boleh dikuatkuasakan telah tidak pernah menjadi sebahagian daripada kontrak. Perkara di atas juga hendaklah terpakai jika terdapat ketinggalan dalam Lampiran ini.

5.5 Setakat yang perlu, Pihak-Pihak boleh meminta pindaan kepada Bahagian 1, Fasal 3 (Pematuhan kepada undang-undang tempatan) atau bahagian lain Lampiran untuk mematuhi tafsiran, arahan, atau perintah yang dikeluarkan oleh pihak berkuasa Kesatuan yang berwibawa atau Negara Anggota, peruntukan penguatkuasaan negara atau apa-apa perkembangan undang-undang lain berkenaan GDPR atau syarat perwakilan lain kepada mana-mana entiti yang terlibat dalam pemprosesan data dan khususnya mengenai penggunaan Klausa Kontrak Standard dalam GDPR. Terma Klausa Kontrak Standard tidak boleh diubah suai atau diganti melainkan Suruhanjaya Eropah meluluskannya secara nyata (cth dengan klausa baharu yang mencukupi dan piawaian perlindungan data).

5.6 Sebarang rujukan dalam Lampiran ini kepada "Klausa" hendaklah difahamkan merujuk kepada semua peruntukan Lampiran ini melainkan dinyatakan sebaliknya.

5.7 Pilihan undang-undang dalam Bahagian 2, Fasal 9 terpakai kepada keseluruhan Kontrak.

6.  Data peribadi dihantar dan diproses oleh pihak untuk tujuan peribadi (pindah dari pengawal data kepada pengawal data)

6.1 The Parties know fully that certain personal data will be transferred from the Data Exporter to the Data Importer and vice versa, and that such data is processed by each Party for its own purposes. Regarding such personal data, it does not affect the other provisions of this Appendix (except for this clause 6).

6.2 The Data Exporter may transfer personal data relating to the staff of the Data Importer to the Data Importer, including information on security incidents, or any other documents or files created or established by the Data Exporter in connection with the Services provided by the staff of the Data Importer. The Data Importer may process such personal data for its own purposes, in particular in its professional relations with the Data Importer's personnel, for quality control and training, or for business purposes.

6.3. The Data Importer may transfer personal data to the Data Exporter, including the name and contact details of the Data Importer's personnel. The Data Exporter may process such personal data for its own purposes.

6.4 Both parties shall comply with any applicable data protection laws, including the GDPR, in collecting, processing, and using such personal data received from the other party under clause 1 of Part 1. In particular, both Parties shall take adequate security measures, providing a similar level of protection to the security measures set out in Appendix 2 of Part 2. Any access to such personal data shall be limited to the need to know them.

6.5 Both Parties must delete such personal data as soon as possible after the objectives have been achieved.

Part 2

KEPUTUSAN SURUHANJAYA

pada 5 Februari 2010

mengenai klausa kontrak standard untuk pemindahan data peribadi kepada pemproses data yang ditubuhkan di negara pihak ketiga di bawah Arahan 95/46/EC Parlimen Eropah dan Majlis

Fasal 1

Definisi

a) 'data peribadi', 'kategori khas data', 'pemprosesan/pemprosesan', 'pengawal', 'pemproses', 'subjek data' dan 'pihak berkuasa penyeliaan' hendaklah mempunyai maksud yang sama seperti dalam 95/46/EC Arahan Parlimen Eropah dan Majlis 24 Oktober 1995 mengenai melindungi individu berkenaan pemprosesan data peribadi dan pergerakan bebas data tersebut (1);

b) 'Pengeksport Data' ialah pengawal Data yang memindahkan data peribadi;

c) 'Pengimport Data' ialah pemproses Data yang bersetuju menerima daripada data peribadi Pengeksport Data yang bertujuan untuk diproses bagi pihak Pengeksport Data selepas pemindahan mengikut arahannya dan di bawah terma klausa ini dan yang tidak tertakluk kepada mekanisme negara ketiga yang memastikan perlindungan yang mencukupi mengikut pengertian Perkara 25(1) Arahan 95/46/EC; (d) 'Pemproses data' bermaksud Pemproses Data yang digunakan oleh Pengimport Data atau oleh mana-mana pemproses Data lain Pengimport Data yang bersetuju menerima daripada Pengimport Data atau mana-mana pemproses Data lain data peribadi Pengimport Data secara eksklusif untuk aktiviti pemprosesan untuk dijalankan bagi pihak Pengeksport Data selepas pemindahan mengikut arahan Pengeksport Data,di bawah syarat yang dinyatakan dalam Klausa ini dan di bawah terma subkontrak bertulis kontrak pemprosesan data;

e) "undang-undang perlindungan data yang terpakai" bermaksud perundangan yang melindungi hak asas dan kebebasan individu, termasuk hak untuk privasi berkaitan pemprosesan data peribadi, dan memohon kepada pengawal di Negara Anggota di mana Pengeksport Data ditubuhkan;

f) "langkah teknikal dan organisasi yang berkaitan dengan keselamatan" bermaksud langkah-langkah yang bertujuan untuk melindungi data peribadi daripada kemusnahan yang tidak disengajakan atau menyalahi undang-undang atau kehilangan tidak sengaja, pengubahan, pendedahan atau akses tanpa kebenaran, khususnya apabila pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan yang menyalahi undang-undang yang lain.

Fasal 2

Butiran pemindahan

Butiran pemindahan, termasuk, di mana sesuai, kategori khas data peribadi, dinyatakan dalam Lampiran 1, yang menjadi sebahagian daripada klausa ini.

Fasal 3

Klausa benefisiari pihak ketiga

1. Subjek data boleh menguatkuasakan terhadap Pengeksport Data Klausa ini, Klausa 4(b) hingga (i), Klausa 5(a) hingga (e) dan (g) hingga (j), Klausa 6 (1) dan (2 ), Fasal 7, Fasal 8(2) dan Fasal 9 hingga 12 sebagai benefisiari pihak ketiga

2. Subjek data boleh menguatkuasakan Klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap Pengimport Data di mana Pengeksport Data telah secara fizikal hilang atau tidak lagi wujud dalam undang-undang, melainkan semua kewajipan undang-undangnya telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada entiti pengganti, yang hak dan kewajipan Pengeksport Data kembali, dan terhadapnya data maka subjek boleh menguatkuasakan klausa tersebut.

Subjek data boleh menguatkuasakan Klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap pemproses Data, tetapi hanya dalam kes di mana Data Pengeksport dan Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, melainkan semua kewajipan undang-undang Pengeksport Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang hak dan Oleh itu, kewajipan Pengeksport Data adalah terletak hak, dan terhadap siapa subjek data boleh menguatkuasakan klausa tersebut. Liabiliti pemproses Data sedemikian mestilah terhad kepada aktiviti pemprosesannya sendiri di bawah klausa ini.

4. Pihak-pihak tidak membantah subjek data yang diwakili oleh persatuan atau badan lain jika dia mahu dan jika undang-undang negara membenarkannya.

Fasal 4

Kewajipan Pengeksport Data

The Data Exporter accepts and guarantees the following:

a) the processing, including the actual transfer of personal data, has been and will continue to be carried out in accordance with the relevant provisions of applicable data protection law (and, where applicable, has been notified to the competent authorities of the Member State in which the Data Exporter is based) and does not infringe the relevant provisions of that State;

b) they have instructed, and will instruct for the duration of the personal data processing services, the Data Importer to process the personal data transferred on the sole behalf of the Data Exporter and in accordance with applicable data protection law and these clauses;

c) the Data Importer will provide sufficient safeguards regarding the technical and organizational security measures specified in Appendix 2 to the present contract;

d) after evaluation of the requirements of the applicable data protection law, the security measures are adequate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure, or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing and ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected, having regard to the level of technology and the cost of implementation;

e) they will ensure compliance with security measures;

f) if the transfer relates to special categories of data, the data subject has been informed or will be informed before the transfer, or as soon as possible after the transfer that his or her data may be transferred to a third country that does not offer an adequate level of protection within the meaning of Directive 95/46/EC;

g) they will forward any notification received from the Data Importer or any Data processor under Clauses 5 (b) and 8 (3) to the data protection supervisory authority if it decides to continue transferring or to lift its suspension;

h) they shall make available to data subjects, if they so request, a copy of these Clauses, except for Appendix 2, and a summary description of the security measures, and a copy of any further subcontracting agreement, concluded under these Clauses unless the Clauses or the agreement contain commercial information, in which case he may withdraw such information;

i) in case of sub-contracting the data processing process, the processing activity is carried out in accordance with Clause 11 by a Data processor providing at least the same level of protection of personal data and data subject's rights as the Data Importer under these Clauses; and

j) it will ensure compliance with Clause 4 (a) to (i).

Clause 5

Kewajipan Pengimport Data

Pengimport Data menerima dan menjamin perkara berikut:

a) mereka akan memproses data peribadi hanya bagi pihak Pengeksport Data dan di bawah arahan Pengeksport Data dan klausa ini; jika ia tidak dapat mematuhi sebarang sebab, mereka bersetuju untuk memaklumkan kepada Pengeksport Data tentang ketidakupayaannya secepat mungkin, dalam hal ini Pengeksport Data boleh menggantung pemindahan data dan/atau menamatkan kontrak;

b) mereka tidak mempunyai sebab untuk mempercayai bahawa undang-undang yang terpakai kepada mereka menghalangnya daripada memenuhi arahan yang diberikan oleh Pengeksport Data dan kewajipan yang dibebankan ke atasnya di bawah kontrak, dan jika undang-undang tersebut tertakluk kepada perubahan yang boleh mendatangkan kesan buruk yang material. kesan ke atas waranti dan kewajipan di bawah Klausa, dia hendaklah memberitahu Pengeksport Data tentang perubahan itu tanpa berlengah-lengah selepas menyedarinya, dalam hal ini Pengeksport Data boleh menggantung pemindahan data dan/atau menamatkan kontrak; (c) mereka telah melaksanakan langkah keselamatan teknikal dan organisasi yang dinyatakan dalam Lampiran 2 sebelum memproses data peribadi yang dipindahkan;

d) mereka akan memberitahu Pengeksport Data tanpa berlengah-lengah:

i) sebarang permintaan yang mengikat untuk pendedahan data peribadi daripada pihak berkuasa penguatkuasaan undang-undang, melainkan dinyatakan sebaliknya, seperti larangan jenayah yang bertujuan untuk memelihara kerahsiaan siasatan polis;

ii) sebarang akses sampingan atau tanpa kebenaran; dan

iii) sebarang permintaan yang diterima secara langsung daripada orang yang berkenaan tanpa membalasnya melainkan dia telah diberi kuasa untuk berbuat demikian; pentadbir

e) mereka akan berurusan dengan segera dan betul dengan semua pertanyaan daripada Pengeksport Data mengenai pemprosesan data peribadi yang dipindahkan dan akan bertindak di bawah pendapat pihak berkuasa penyeliaan berkenaan pemprosesan data yang dipindahkan;

f) atas permintaan Pengeksport Data, mereka akan tertakluk kepada kemudahan pemprosesan datanya kepada audit aktiviti pemprosesan yang diliputi oleh klausa ini yang akan dijalankan oleh Pengeksport Data atau badan penyeliaan yang terdiri daripada ahli bebas dengan kelayakan profesional yang diperlukan, tertakluk kepada kewajipan kerahsiaan dan dipilih oleh Pengeksport Data, jika sesuai dengan persetujuan pihak berkuasa penyeliaan;

g) mereka akan menyediakan kepada subjek data, jika dia meminta sedemikian, salinan Klausa ini, atau mana-mana subkontrak kontrak pemprosesan data yang sedia ada, melainkan Klausa atau kontrak itu mengandungi maklumat komersial, dalam hal ini ia boleh mengalih keluar sedemikian. maklumat, kecuali Lampiran 2, yang akan digantikan dengan huraian ringkasan langkah keselamatan, di mana subjek data tidak boleh mendapatkan salinan daripada Pengeksport Data;

h) dalam kes sulit lagi subkontrak pemprosesan data, dia akan memastikan bahawa dia memaklumkan Pengeksport Data terlebih dahulu dan mendapatkan persetujuan bertulis Pengeksport Data;

i) perkhidmatan pemprosesan yang disediakan oleh Pemproses Data hendaklah mematuhi Klausa 11;

j) mereka akan segera menghantar salinan mana-mana subkontrak perjanjian pemprosesan data yang dimeterai olehnya di bawah Klausa ini kepada Pengeksport Data.

Fasal 6

Tanggungjawab

1. Pihak-pihak bersetuju bahawa mana-mana subjek data yang telah mengalami kerosakan kerana pelanggaran kewajipan yang dirujuk dalam Klausa 3 atau Klausa 11 oleh satu pihak atau oleh pemproses Data boleh mendapatkan pampasan daripada Pengeksport Data untuk kerosakan yang dialami.

2. Jika subjek data dihalang daripada membawa tindakan untuk ganti rugi seperti yang dirujuk dalam perenggan 1 terhadap Pengeksport Data kerana kegagalan Pengimport Data atau pemproses Datanya untuk mematuhi mana-mana kewajipannya di bawah Klausa 3 atau Klausa 11 kerana Data Pengeksport telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi muflis, Pengimport Data bersetuju bahawa subjek data boleh membuat aduan terhadapnya seolah-olah ia adalah Pengeksport Data melainkan semua kewajipan undang-undang Pengeksport Data telah dipindahkan, melalui kontrak atau melalui kuatkuasa undang-undang, kepada entiti penggantinya, yang terhadapnya subjek data kemudiannya boleh menguatkuasakan haknya. Pengimport Data tidak boleh bergantung pada pelanggaran kewajipannya oleh pemproses Data untuk mengelakkan liabilitinya sendiri.

3. Jika subjek data dihalang daripada membawa tindakan yang dirujuk dalam perenggan 1 dan 2 terhadap Pengeksport Data atau Pengimport Data kerana pelanggaran oleh pemproses Data kewajipannya di bawah Klausa 3 atau Klausa 11 kerana Pengeksport Data dan Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi muflis, pemproses Data bersetuju bahawa subjek data boleh membuat aduan terhadapnya mengenai aktiviti pemprosesannya sendiri mengikut klausa ini seolah-olah ia adalah Pengeksport Data atau Pengimport Data melainkan semua kewajipan undang-undang Pengeksport Data atau Pengimport Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang terhadapnya subjek data kemudiannya boleh menuntut haknya.Liabiliti pemproses Data mestilah terhad kepada aktiviti pemprosesannya sendiri mengikut klausa ini.

 

Fasal 7

Mediation and jurisdiction

1. Pengimport Data bersetuju bahawa jika di bawah klausa, subjek data memohon terhadapnya hak benefisiari pihak ketiga dan/atau menuntut pampasan untuk prasangka yang dialami, dia akan menerima keputusan subjek data:

a) untuk menyerahkan pertikaian kepada pengantaraan oleh orang bebas atau, jika sesuai, pihak berkuasa penyeliaan;

b) untuk membawa pertikaian ke mahkamah Negara Anggota di mana Pengeksport Data berpusat.

2. Pihak-pihak bersetuju bahawa pilihan yang dibuat oleh subjek data tidak akan menjejaskan hak prosedur atau substantif subjek data untuk mendapatkan ganti rugi mengikut peruntukan lain undang-undang negara atau antarabangsa.

Fasal 8

Cooperation with supervisory authorities

1. Pengeksport Data bersetuju untuk mendepositkan salinan kontrak sekarang dengan pihak berkuasa penyeliaan jika pihak yang kedua memerlukannya atau jika deposit tersebut diperuntukkan oleh undang-undang perlindungan data yang berkenaan.

2. Pihak-pihak bersetuju bahawa pihak berkuasa penyeliaan boleh menjalankan semakan di Pengimport Data dan mana-mana pemproses Data pada tahap yang sama dan di bawah syarat yang sama seperti semakan yang dijalankan di Pengeksport Data mengikut undang-undang perlindungan data yang berkenaan.

3. Pengimport Data hendaklah memaklumkan Pengeksport Data secepat mungkin tentang kewujudan undang-undang berkenaan Pengimport Data atau mana-mana pemproses Data yang menghalang pengesahan di Pengimport Data atau mana-mana pemproses Data mengikut perenggan 2. Dalam kes sedemikian, Pengeksport Data boleh mengambil langkah-langkah yang diperuntukkan dalam Klausa 5 (b).

Fasal 9

Perundangan berkaitan

Klausa tersebut terpakai dan dikawal oleh undang-undang Negara Anggota di mana Pengeksport Data berpusat.

Fasal 10

Pengubahsuaian kontrak

Pihak-pihak berjanji untuk tidak mengubah suai klausa ini. Pihak-pihak kekal bebas untuk memasukkan klausa komersial lain yang mereka anggap perlu, dengan syarat mereka tidak bercanggah dengan klausa sekarang.

Fasal 11

Subsequent subcontracting

1. Pengimport Data tidak boleh mensubkontrakkan sebarang aktiviti pemprosesannya yang dijalankan bagi pihak Pengeksport Data di bawah klausa ini tanpa kebenaran bertulis terlebih dahulu daripada Pengeksport Data. Pengimport Data hanya akan menyubkontrakkan kewajipannya di bawah Klausa ini, dengan persetujuan Pengeksport Data, melalui perjanjian bertulis dengan Pemproses Data yang mengenakan kewajipan yang sama kepada pemproses Data seperti yang dikenakan ke atas Pengimport Data di bawah Klausa ini. Jika Pemproses Data tidak dapat mematuhi kewajipan perlindungan datanya di bawah perjanjian bertulis itu, Pengimport Data hendaklah tetap bertanggungjawab sepenuhnya kepada Pengeksport Data untuk memenuhi kewajipan tersebut.

2. Perjanjian bertulis terdahulu antara Pengimport Data dan pemproses Data hendaklah juga termasuk klausa benefisiari pihak ketiga seperti yang dinyatakan dalam Klausa 3 untuk kes di mana subjek data dihalang daripada membawa tuntutan untuk ganti rugi yang disebut dalam Klausa 6 (1). ), terhadap Pengeksport Data atau Pengimport Data kerana Pengeksport Data atau Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven dan semua kewajipan undang-undang Pengeksport Data atau Pengimport Data belum dipindahkan, melalui kontrak atau operasi undang-undang, kepada entiti pengganti yang lain. Liabiliti pemproses Data mestilah terhad kepada aktiviti pemprosesannya sendiri mengikut klausa ini.

3. Peruntukan yang berkaitan dengan aspek perlindungan data sub-kontrak pemprosesan data kontrak yang disebut dalam perenggan 1 hendaklah dikawal oleh undang-undang Negara Anggota di mana Pengeksport Data ditubuhkan.

4. Pengeksport Data hendaklah menyimpan senarai subkontrak perjanjian pemprosesan data yang dibuat di bawah Klausa ini dan dimaklumkan oleh Pengimport Data mengikut Klausa 5 (j), yang hendaklah dikemas kini sekurang-kurangnya sekali setahun. Senarai ini hendaklah disediakan kepada pihak berkuasa penyeliaan perlindungan data Pengeksport Data.

Fasal 12

Kewajipan selepas penamatan perkhidmatan pemprosesan data peribadi

1. Pihak-pihak bersetuju bahawa setelah selesai perkhidmatan pemprosesan data, Pengimport Data dan pemproses Data akan, atas kemudahan Pengeksport Data, mengembalikan semua data peribadi yang dipindahkan dan salinannya kepada Pengeksport Data, atau memusnahkan semua data tersebut dan memberikan bukti pemusnahan kepada Pengeksport Data, melainkan undang-undang yang dikenakan ke atas Pengimport Data menghalangnya daripada memulangkan atau memusnahkan semua atau sebahagian daripada data peribadi yang dipindahkan. Dalam kes itu, Pengimport Data menjamin bahawa ia akan memastikan kerahsiaan data peribadi yang dipindahkan dan ia tidak lagi akan memproses data secara aktif.

2. Pengimport Data dan Pemproses Data hendaklah memastikan bahawa, jika diminta oleh Pengeksport Data dan/atau pihak berkuasa penyeliaan, mereka akan tertakluk kepada kaedah pemprosesan data mereka kepada pengesahan langkah-langkah yang dirujuk dalam perenggan 1.

Lampiran 1.1 hingga Bahagian 2

Butiran pemindahan

Pengeksport Data

Pengeksport Data ialah Pelanggan yang ditakrifkan dalam perjanjian Kontrak.

Pengimport Data

Pengimport Data ialah POSTCODEZIP dan ditugaskan untuk memproses data, menyediakan perkhidmatan kepada Pengeksport Data.

Subjek data

Data peribadi yang dipindahkan melibatkan kategori subjek data berikut:

â˜?? pelanggan telefon yang disenaraikan dalam direktori universal

â˜' Lain - lain, termasuk:

Kategori data

Data peribadi yang dipindahkan melibatkan kategori data berikut:

 

Kategori data peribadi subjek data Pengeksport Data khususnya,

â˜?? Nama penuh

â˜'Alamat pos

â˜?? Butiran hubungan (e-mel, telefon, alamat IP, dll.)

â˜?? Butiran aktiviti pemasaran mengenai pelanggan telefon

â˜' Lain - lain, termasuk jenis perumahan, pendapatan dan umur purata oleh bandar yang dibuat tanpa nama

Kategori data khas (jika berkenaan)

The personal data transferred concern the following special categories of data:

☒ The transfer of special categories of data is not foreseen

☐ Race or ethnic origin

☐ Religious or philosophical beliefs

☐ Trade union membership

☐ Political views

☐ Genetic information

☐ Biometric information

☐ Information on sexual orientation or sexual life

☐ Health data

Processing activities

Data peribadi yang dipindahkan akan tertakluk kepada aktiviti pemprosesan asas berikut:

  • •  Tujuan pemprosesan

Pemprosesan yang dilakukan bagi pihak Pengeksport Data adalah berdasarkan subjek berikut, khususnya:

â˜' Menjaga produk atau perkhidmatan yang ditawarkan oleh Pengeksport Data

â˜' Tawaran produk atau perkhidmatan yang boleh diminta oleh orang yang dipanggil

â˜' Pesanan yang diambil daripada orang yang dipanggil dan pemprosesan lanjut pesanan ini

â˜' Kajian soal selidik dan analisis

â˜' Telemarketing

â˜?? Lain-lain, termasuk:

  • •  Sifat dan tujuan pemprosesan

The Data Importer processes the personal data of the data subjects on behalf of the Data Exporter, in order to provide the following services, and most notably:

☒ Sales and Marketing

☒ Others, including updating databases of town halls and political parties

    • • Provision of services and employment of service providers

POSTCODEZIP mainly combines, centralizes, and provides services to the Data Exporter. The services provided by the named service provider may be structured (among others as appropriate) around the following ancillary services: (i) provision of applications, tools, systems, and IT infrastructure in relation to the data processing centers used, in order to provide and support the services, including the processing of the personal data of the data subjects as described above, via such applications, tools, and systems, (ii) the provision of IT support, maintenance and other services relating to such applications, tools, systems and IT infrastructure, including potential access to personal data stored in such applications, tools, and systems, and (iii) the provision of data protection services, protection monitoring, and incident response services, including potential access to personal data when providing such protection services. POSTCODEZIP may engage Data processors as set below to provide the services, including ancillary services.

  • • Pembekal perkhidmatan pihak ketiga luaran sebagai sub-entiti yang diperuntukkan kepada pemprosesan data

POSTCODEZIP melibatkan pembekal perkhidmatan luar dan pihak ketiga, yang bukan anak syarikat POSTCODEZIP, untuk menyokong penyediaan perkhidmatan kepada Pengeksport Data. Pengeksport Data meluluskan pembekal perkhidmatan pihak ketiga luaran tersebut sebagai sub-entiti yang diperuntukkan kepada pemprosesan data.

 

Jika sub-entiti yang terlibat dalam pemprosesan data terletak di luar EU/EEA, di negara yang dianggap tidak mempunyai tahap perlindungan data yang mencukupi di bawah keputusan Suruhanjaya Eropah, Pengimport Data akan mengambil langkah untuk mendapatkan tahap yang mencukupi perlindungan data mengikut GDPR dan seksyen 3.4 (iv) Bahagian 1.

Appendix 2, Part 2

Langkah-langkah perlindungan teknikal dan organisasi

Pengimport Data hendaklah mengambil langkah perlindungan teknikal dan organisasi berikut yang disahkan oleh Pengeksport Data, untuk menjamin tahap keselamatan yang sesuai untuk hak dan kebebasan individu, bergantung pada risiko. Dalam menilai tahap perlindungan yang berkenaan, Pengeksport Data telah mempertimbangkan, khususnya, risiko yang terlibat dalam pemprosesan, termasuk pemusnahan, pengubahan, pendedahan tanpa kebenaran, atau akses kepada data peribadi yang dihantar, disimpan atau diproses secara tidak sengaja atau menyalahi undang-undang. Dengan penjelasan: Langkah perlindungan teknikal dan organisasi ini tidak digunakan pada aplikasi, alatan, sistem dan/atau infrastruktur IT yang disediakan oleh Pengeksport Data.

1 Langkah perlindungan teknikal dan organisasi am

1.1 Maklumat am dan strategi perlindungan data

Langkah-langkah berikut perlu diambil untuk mengikuti strategi perlindungan data dan maklumat am:

  • a) take measures to evaluate those taken regarding technical and organizational protection;

  • b) menyediakan latihan untuk meningkatkan kesedaran di kalangan pekerja;

  • c) mempunyai penerangan tentang sistem berkenaan dan memberikan akses kepada pekerja;

  • d) establish a formal documentation process whenever systems are implemented or modified;

  • e) mendokumentasikan struktur organisasi, proses, tanggungjawab, dan penilaian masing-masing;

1.2 Organization of information protection

Langkah-langkah berikut perlu diambil untuk menyelaraskan aktiviti perlindungan data dan maklumat:

  • a) mentakrifkan tanggungjawab untuk perlindungan maklumat dan data (cth melalui dasar pengurusan perlindungan data);

  • b) kepakaran yang diperlukan untuk melindungi maklumat dan data yang masih tersedia;

  • c) semua pekerja komited untuk memastikan data peribadi dirahsiakan, dan telah dimaklumkan tentang kemungkinan akibat melanggar komitmen ini.

1.3 Kawalan akses ke kawasan pemprosesan

Langkah-langkah berikut mesti diambil untuk menghalang orang yang tidak dibenarkan daripada mendapat akses kepada sistem pemprosesan data (khususnya perisian dan perkakasan) apabila data peribadi diproses, disimpan atau dihantar:

  • a) mewujudkan kawasan selamat;

  • b) melindungi dan menyekat akses kepada sistem pemprosesan data;

  • c) mewujudkan kebenaran akses untuk pekerja dan pihak ketiga, termasuk dokumen masing-masing;

  • d) any access to data processing centers in which personal data are stored shall be logged.

1.4 Kawalan capaian kepada sistem pemprosesan data

Langkah-langkah berikut mesti diambil untuk mengelakkan capaian yang tidak dibenarkan kepada sistem pemprosesan data:

  • a) dasar dan prosedur pengesahan pengguna;

  • b) penggunaan kata laluan pada semua sistem komputer;

  • c) capaian jauh ke rangkaian memerlukan pengesahan pelbagai faktor dan diberikan kepada orang berkenaan mengikut tanggungjawab mereka dan atas kebenaran;

  • d) akses kepada fungsi tertentu adalah berdasarkan fungsi kerja dan/atau atribut yang diberikan secara individu kepada akaun pengguna;

  • e) hak akses yang berkaitan dengan data peribadi disemak secara berkala;

  • f) rekod perubahan kepada hak akses sentiasa dikemas kini.

1.5 Mengawal akses kepada kawasan tertentu penggunaan sistem pemprosesan data

Langkah-langkah berikut mesti diambil untuk memastikan bahawa orang yang diberi kuasa yang mempunyai hak untuk menggunakan sistem pemprosesan data hanya boleh mengakses data dalam tanggungjawab masing-masing dan kebenaran mengakses dan bahawa data peribadi tidak boleh dibaca, disalin, diubah suai atau dipadamkan tanpa kebenaran:

  • a) dasar, arahan dan latihan pekerja, mengenai kewajipan setiap daripada mereka tentang kerahsiaan, hak akses kepada data peribadi, dan skop pemprosesan data peribadi;

  • b) tindakan tatatertib terhadap orang yang mengakses data peribadi tanpa kebenaran;

  • c) akses kepada data peribadi hendaklah diberikan hanya kepada orang yang diberi kuasa, atas dasar yang perlu diketahui;

  • d) mengekalkan senarai pentadbir sistem dan mengambil langkah yang sewajarnya untuk memantau pentadbir sistem;

  • e) tidak menyalin atau mengeluarkan semula data peribadi pada mana-mana sistem storan untuk membolehkan orang yang tidak dibenarkan mengalih keluar maklumat pemula;

  • f) pemadaman atau pemusnahan data yang dikawal dan didokumenkan;

  • g) untuk menyimpan dengan selamat semua data peribadi yang mesti disimpan atas sebab undang-undang atau peraturan (cth kewajipan untuk menyimpan data), dan hanya selama yang dikehendaki oleh undang-undang.

1.6 Kawalan penghantaran

Langkah-langkah berikut mesti diambil untuk mengelakkan data peribadi daripada dibaca, disalin, diubah suai atau dipadamkan oleh pihak ketiga yang tidak dibenarkan semasa penghantaran atau pengangkutan peranti storan data (bergantung pada pemprosesan data peribadi yang dijalankan):

  • a) penggunaan tembok api;

  • d) pengelogan penghantaran data peribadi.

  • d) pengelogan penghantaran data peribadi.

1.7 Kawalan kemasukan data

Langkah-langkah berikut mesti diambil untuk memastikan bahawa adalah mungkin untuk mengesahkan dan menentukan sama ada data peribadi telah dimasukkan atau dipadamkan daripada sistem pemprosesan data dan oleh siapa:

  • a) dasar untuk membenarkan pembacaan, pengubahan dan pemadaman data yang disimpan;

  • b) langkah perlindungan mengenai pembacaan, pengubahan dan pemadaman data yang disimpan.

1.8 Kawalan kerja

In the case of delegated processing of personal data, the following measures must be taken to ensure that such data are processed in accordance with the instructions of the Supervisor:

  • a) entiti atau sub-entiti yang diperuntukkan kepada pemprosesan data, dipilih dengan berhati-hati (penyedia perkhidmatan memproses data peribadi bagi pihak pengawal);

  • b) arahan mengenai skop sebarang pemprosesan data peribadi kepada pekerja, entiti atau sub-entiti yang diberikan kepada pemprosesan data;

  • c) audit rights agreed with the entities or sub-entities assigned to the data processing;

  • d) perjanjian dengan entiti atau sub-entiti yang ditugaskan untuk memproses data.

1.10 Pseudonymization

Langkah-langkah berikut mesti diambil berkenaan penyamaran data peribadi:

  • a) If the Data Exporter orders a specific processing operation or if this is considered appropriate by the Data Importer in accordance with the data protection laws in force concerning certain processing activities, the processing of personal data will be carried out in such a way that the data can no longer be attributed to a specific person without the use of additional information. This additional information will be kept separately;

  • b) penggunaan teknik nama samaran, termasuk rawak senarai peruntukan; penciptaan nilai dalam bentuk tajam.

1.11 Penyulitan

Langkah berikut perlu diambil untuk menyulitkan data peribadi dalam aplikasi dan penghantaran yang menyokong penyulitan:

  • a) penggunaan teknik penyulitan;

  • b) penubuhan pengurusan penyulitan untuk menyokong teknik penyulitan yang dibenarkan untuk digunakan;

  • c) supporting the use of cryptography through procedures and protocols for generating, modifying, revoking, destroying, distributing, certifying, storing, capturing, using, and archiving cryptographic keys to protect against unauthorized modification and disclosure.

1.12 Kesempurnaan sistem dan perkhidmatan pemprosesan data

The following steps should be taken to encrypt personal data in applications and transmissions that support encryption:

  • 1. a) perlindungan sistem pemprosesan data daripada manipulasi atau pemusnahan dengan cara yang sesuai (cth perisian anti-virus, perisian pencegahan kehilangan data dan perisian terhadap perisian hasad, tampung perisian, tembok api dan perlindungan desktop terurus);

  • b) melarang pemasangan sebarang perkhidmatan atau perisian yang berbahaya kepada sistem pemprosesan data, perkhidmatan, atau manipulasi data peribadi;

  • c) penggunaan sistem pengesanan dan pencegahan pencerobohan rangkaian dalam struktur rangkaian itu sendiri.

1.13 Ketersediaan sistem dan perkhidmatan pemprosesan data dan kemungkinan memulihkan akses kepada dan penggunaan data peribadi sekiranya berlaku insiden material atau teknikal

Langkah-langkah berikut mesti diambil untuk memastikan ketersediaan sistem pemprosesan data, serta dapat memulihkan ketersediaan dan akses kepada data peribadi dengan cepat, sekiranya berlaku insiden material atau teknikal (khususnya dengan memastikan bahawa data peribadi dilindungi daripada kemusnahan atau kehilangan secara tidak sengaja):

  • a) mempunyai cara kawalan untuk menyimpan salinan sandaran dan memulihkan data yang hilang atau dipadam;

  • b) lebihan infrastruktur dan ujian prestasi;

  • c) perlindungan fizikal sumber komputer;

  • d) penggunaan alat untuk memantau status dan ketersediaan rangkaian dalaman;

  • e) polisi pelaporan dan tindak balas insiden yang mengawal prosedur pengurusan insiden, dan pengulangan pematuhan kepada dasar ini sebagai sebahagian daripada latihan biasa;

  • f) sandaran (kadangkala di luar tapak) untuk memulihkan sistem bagi membolehkannya melaksanakan fungsinya semula;

  • g) kesinambungan perniagaan/pelan pemulihan bencana

1.14 Resilience of data processing systems and services

Langkah-langkah berikut mesti diambil untuk memastikan daya tahan sistem dan perkhidmatan pemprosesan data:

  • a) sistem dan dikonfigurasikan secara harmoni, menggunakan parameter keselamatan yang diluluskan;

  • b) lebihan rangkaian;

  • c) perlindungan pembendungan sistem kritikal.

1.15 Prosedur untuk kerap menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi untuk memastikan keselamatan pemprosesan data

Prosedur untuk kerap menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi untuk melindungi pemprosesan data.

  • a) take the necessary steps to assess risks and mitigation strategies;

  • b) mesyuarat analisis perkhidmatan jabatan IT untuk menangani isu semasa;

  • c) pelan kesinambungan perniagaan/pemulihan bencana sentiasa dikemas kini.

Bahagian 3

Tandatangan pihak dan senarai Pengimport Data

Apabila anda mengisi borang pesanan dalam talian dan mengesahkannya dengan menandakan kotak menerima terma dan syarat umum penggunaan, kontrak yang mengawal hubungan antara Pelanggan dan POSTCODEZIP diwujudkan.

Menghantar bayaran ke POSTCODEZIP akan mempertimbangkan kontrak yang dipersetujui dan ditetapkan.

Ambil perhatian: Teks ini telah diterjemahkan daripada bahasa Perancis. Versi Perancis asal, yang sah dan menyekat undang-undang, tersedia  di sini .

bottom of page