Databehandling vedlegg
Dette vedlegget utgjør en integrert del av kontrakten og er inngått av:
Hver av dem er et " parti " og vanligvis " partier ".
Innledning
HVOR Dataimportøren tilbyr profesjonelle programvaretjenester, datamaskiner og relaterte tjenester;
HVOR Dataimportøren i henhold til Kontrakten har samtykket i å levere til Dataeksportøren tjenestene spesifisert i Kontrakten (" Tjenestene ");
HVOR Dataimportøren ved å levere tjenestene mottar eller drar nytte av tilgang til dataeksportørens informasjon eller informasjonen til andre personer som har et (potensielt) forhold til dataeksportøren, kan slik informasjon bli kvalifisert som personopplysninger i henhold til forordningen (EU) 2016/679 fra Europaparlamentet og rådet av 27. april 2016 om beskyttelse av enkeltpersoner angående behandling av personopplysninger og om fri flyt av slike data (" GDPR ") og andre gjeldende databeskyttelseslover.
HVOR dette vedlegget inneholder vilkårene og betingelsene som gjelder for innsamling, behandling og bruk av slike personopplysninger av dataimportøren i egenskap av dataeksportørens autoriserte databehandler, for å sikre at partene overholder gjeldende databeskyttelseslovgivning .
DERFOR, og for å gjøre det mulig for partene å fortsette sitt forhold lovlig, har partene konkludert med dette vedlegget som følger:
Del 1
1. Dokumentets struktur og definisjoner
1.1 Struktur
Dette vedlegget består av forskjellige deler som følger:
Del 1: | inneholder generelle bestemmelser, f.eks. angående definisjonene brukt i dette vedlegget, overholdelse av lokale lover, timing og oppsigelse |
Del 2: | inneholder hoveddelen av det uendrede dokumentet om standardkontraktsklausuler |
Vedlegg 1.1 i del 2: | inneholder detaljene om behandlingsoperasjonene gitt av dataimportøren til dataeksportøren som autorisert databehandler (inkludert behandlingen, arten og formålet med behandlingen, typen personopplysninger og kategoriene av registrerte personer) under denne blindtarm |
Vedlegg 2 til del 2: | inneholder en beskrivelse av Dataimportørens tekniske og organisatoriske sikkerhetstiltak, som anvendes i forbindelse med alle behandlingsaktiviteter beskrevet i vedlegg 1.1 i del 2 |
Del 3: | inneholder signaturene til partene som skal være bundet av dette vedlegget og identifiserer hver dataimportør |
1.2 Terminologi og definisjoner
For formålet med dette vedlegget er terminologien og definisjonene som brukes av GDPR gjeldende (i hoveddelen av standardkontraktsklausulen i del 2, der definerte begreper ikke er store).
"Medlemsland" | betyr et land som tilhører Den europeiske union eller det europeiske økonomiske samarbeidsområdet |
"Spesielle kategorier av (personlige) data" | refererer til personopplysninger som avslører rase eller etnisk opprinnelse, politiske meninger, religiøse eller filosofiske overbevisninger, eller fagforeningsmedlemskap, og genetiske data, biometriske data, hvis de behandles med det formål å identifisere en person unikt, data om helse, data om en persons kjønn liv eller seksuell legning |
"Standard kontraktuelle klausuler" | betyr standardkontraktsklausulene for overføring av personopplysninger til behandlingsagenter etablert i tredjeland, i henhold til kommisjonsavgjørelse 2010/87/EU 5. februar 2010, som ble endret av kommisjonens implementeringsavgjørelse (EU) 2016/2297 16. desember 2016 |
«Databehandler»? | betyr enhver behandlingsagent, lokalisert innenfor eller utenfor EU/EØS, som samtykker i å motta personopplysninger fra dataimportøren eller en annen behandler av dataimportøren for det eksklusive formålet med behandlingsaktiviteter som skal utføres av dataeksportøren etter at overføring i samsvar med dataeksportørens instruksjoner, vilkårene i dette vedlegget og kontrakten med dataimportøren |
2. Dataeksportørens forpliktelser
2.1 Dataeksportøren har en forpliktelse til å sikre overholdelse av alle gjeldende forpliktelser i henhold til GDPR og enhver annen gjeldende databeskyttelseslov som gjelder for dataeksportøren og til å vise slik samsvar som kreves i artikkel 5 (2) i GDPR. Dataeksportøren garanterer at dataimportøren har innhentet forhåndssamtykke fra de registrerte i samsvar med artikkel 6 (a) i GDPR og har overholdt sin forpliktelse til å informere de registrerte i samsvar med artikkel 13 og 14 i GDPR.
2.2 Dataeksportøren må gi dataimportøren de respektive filene for behandlingsaktivitetene i samsvar med artikkel 30 (1) i GDPR knyttet til tjenestene under dette vedlegget, i den grad det er nødvendig for at dataimportøren skal overholde forpliktelsen iht. Artikkel 30 (2) i GDPR.
2.3 Dataeksportøren må utnevne en databeskyttelsesansvarlig eller representant i den grad det kreves av gjeldende databeskyttelseslovgivning. Dataeksportøren er forpliktet til å gi kontaktinformasjonen til databeskyttelsesagenten eller representanten, hvis noen, til dataimportøren.
2.4. Dataeksportøren bekrefter før fullføring av behandlingen, ved godkjenning av dette vedlegget, at dataimportørens tekniske og organisatoriske sikkerhetstiltak, som angitt i vedlegg 2 til del 2, er hensiktsmessige og tilstrekkelige til å beskytte rettighetene til den registrerte. og bekrefter at dataimportøren gir tilstrekkelige garantier i denne forbindelse.
3. Overholdelse av lokal lov
For å oppfylle kravene til implementeringen av behandlingsagentene etter artikkel 28 i GDPR, gjelder følgende endringer:
3.1 Instruksjoner
3.2 Dataimportørens forpliktelser
3.3 Rettigheter til berørte personer
3.4 Underbehandling
3.5 Utløp
Utløpet av dette vedlegget er identisk med utløpsdatoen for den tilsvarende kontrakten. Med mindre annet er angitt i dette vedlegget, skal rettighetene og pliktene knyttet til oppsigelse være de samme som er inkludert i kontrakten.
4. Ansvarsbegrensning
4.1 Hver part håndterer sine forpliktelser i henhold til dette vedlegget og gjeldende databeskyttelseslovgivning.
4.2 Ethvert ansvar knyttet til brudd på forpliktelsene i henhold til dette tillegget eller gjeldende databeskyttelseslovgivning skal være underlagt og styrt av ansvarsbestemmelsene fastsatt i eller gjeldende for kontrakten, med mindre annet er angitt i dette tillegget. Hvis ansvar styres av ansvarsbestemmelsene fastsatt i eller gjeldende for Kontrakten, for å beregne ansvarsgrenser eller bestemme anvendelsen av andre ansvarsbegrensninger, skal ethvert ansvar som oppstår under dette vedlegget anses å oppstå under Kontrakten.
5. Generelle bestemmelser
5.1 Hvis det er uoverensstemmelser eller uoverensstemmelser mellom del 1 og 2 i dette vedlegget, skal del 2 ha forrang. Spesifikt, selv i et slikt tilfelle, skal del 1 som ganske enkelt går utover del 2 (dvs. vilkårene i standardklausuler) uten å motsi den, forbli gyldig.
5.2 Hvis det oppstår uoverensstemmelser mellom bestemmelsene i dette vedlegget og bestemmelsene i andre kontrakter som binder partene, skal dette vedlegget ha forrang med hensyn til partenes databeskyttelsesforpliktelser. Ved tvil om klausuler i andre kontrakter angår partenes databeskyttelsesforpliktelser, skal dette vedlegget ha forrang.
5.3 Hvis noen bestemmelse i dette tillegget er ugyldig eller ikke kan håndheves, skal resten av dette tillegget forbli i full kraft og virkning. Den ugyldige eller ikke-gjennomførbare bestemmelsen vil bli (i) endret for å sikre dens gyldighet og håndhevbarhet, samtidig som partenes intensjon så langt som mulig bevares, eller - hvis dette ikke er mulig - (ii) tolkes som om den ugyldige eller ugjennomførbare delen hadde aldri vært en del av kontrakten. Det foregående gjelder også dersom det er en utelatelse i dette vedlegg.
5.5 I den grad det er nødvendig, kan partene be om endringer i del 1, klausul 3 (overholdelse av lokal lov) eller andre deler av vedlegget for å overholde tolkninger, direktiver eller pålegg utstedt av de kompetente myndigheter i unionen eller Medlemsstater, nasjonale håndhevingsbestemmelser eller andre juridiske utviklinger angående GDPR eller andre vilkår for delegering til enheter som er involvert i databehandling og spesifikt angående bruken av standardkontraktsklausulene i GDPR. Vilkårene i standardkontraktsklausulene kan ikke endres eller erstattes med mindre EU-kommisjonen uttrykkelig godkjenner det (f.eks. med nye passende klausuler og databeskyttelsesstandarder).
5.6 Enhver henvisning i dette tillegget til "Klausulene" skal forstås å referere til alle bestemmelsene i dette tillegget med mindre annet er angitt.
5.7 Lovvalget i del 2, punkt 9 gjelder hele Kontrakten.
6. Personopplysninger overført og behandlet av partene for personlige formål (overføring fra behandlingsansvarlig til behandlingsansvarlig)
6.1 Partene vet fullt ut at visse personopplysninger vil bli overført fra Dataeksportøren til Dataimportøren og omvendt, og at slike data behandles av hver Part for sine egne formål. Når det gjelder slike personopplysninger, påvirker det ikke de andre bestemmelsene i dette vedlegget (bortsett fra denne klausulen 6).
6.2 Dataeksportøren kan overføre personopplysninger knyttet til dataimportørens ansatte til dataimportøren, inkludert informasjon om sikkerhetshendelser, eller andre dokumenter eller filer opprettet eller etablert av dataeksportøren i forbindelse med tjenestene levert av personalet på dataimportøren. Dataimportøren kan behandle slike personopplysninger for sine egne formål, spesielt i sine profesjonelle forhold til Dataimportørens personell, for kvalitetskontroll og opplæring, eller for forretningsformål.
6.3. Dataimportøren kan overføre personopplysninger til dataeksportøren, inkludert navn og kontaktinformasjon til dataimportørens personell. Dataeksportøren kan behandle slike personopplysninger til egne formål.
6.4 Begge parter skal overholde alle gjeldende databeskyttelseslover, inkludert GDPR, ved innsamling, behandling og bruk av slike personopplysninger mottatt fra den andre parten under punkt 1 i del 1. Spesielt skal begge parter ta tilstrekkelige sikkerhetstiltak, forutsatt at et tilsvarende beskyttelsesnivå som sikkerhetstiltakene angitt i vedlegg 2 i del 2. Enhver tilgang til slike personopplysninger skal begrenses til behovet for å kjenne dem.
6.5 Begge parter må slette slike personopplysninger så snart som mulig etter at målene er oppnådd.
Del 2
KOMMISSJONENS BESLUTNING
den 5. februar 2010
om standard kontraktsbestemmelser for overføring av personopplysninger til databehandlere etablert i tredjepartsland i henhold til 95/46/EF-direktivet til Europaparlamentet og rådet
Klausul 1
Definisjoner
I betydningen av klausulene:
a) «personopplysninger», «spesielle kategorier av data», «behandling/behandling», «kontrollør», «behandler», «registrerte» og «tilsynsmyndighet» skal ha samme betydning som i 95/46/EF Europaparlamentets og rådets direktiv av 24. oktober 1995 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri flyt av slike opplysninger (1);
b) "Dataeksportøren" er den behandlingsansvarlige som overfører personopplysningene;
c) "Dataimportøren" er databehandleren som godtar å motta personopplysninger fra dataeksportøren som skal behandles på vegne av dataeksportøren etter overføringen i samsvar med dens instruksjoner og vilkårene i disse klausulene, og som ikke er underlagt mekanismen til et tredjeland som sikrer tilstrekkelig beskyttelse i henhold til artikkel 25 nr. 1 i direktiv 95/46/EF; (d) "Databehandler" betyr databehandleren engasjert av dataimportøren eller av en annen databehandler til dataimportøren som samtykker i å motta personopplysninger fra dataimportøren eller en annen databehandler av dataimportøren utelukkende for behandlingsaktiviteter til utføres på vegne av dataeksportøren etter overføringen i samsvar med instruksjonene fra dataeksportøren,under betingelsene angitt i disse klausulene og under vilkårene i den skriftlige underleverandøren av databehandlingskontrakten;
e) «gjeldende databeskyttelseslovgivning» betyr lovgivningen som beskytter enkeltpersoners grunnleggende rettigheter og friheter, inkludert retten til privatliv angående behandling av personopplysninger, og som gjelder for en behandlingsansvarlig i medlemsstaten der dataeksportøren er etablert;
f) «tekniske og organisatoriske tiltak knyttet til sikkerhet»? betyr tiltak som har til hensikt å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert utlevering eller tilgang, spesielt der behandlingen involverer overføring av data over nettverk, og mot alle andre ulovlige former for behandling.
Klausul 2
Detaljer om overføringen
Detaljene for overføringen, inkludert, der det er hensiktsmessig, spesielle kategorier av personopplysninger, er spesifisert i vedlegg 1, som utgjør en integrert del av disse klausulene.
Klausul 3
Tredjepartsbegunstigetsklausul
1. Den registrerte kan påtvinge dataeksportøren denne klausulen, klausul 4(b) til (i), klausul 5(a) til (e) og (g) til (j), klausul 6 (1) og (2) ), klausul 7, klausul 8(2) og klausul 9 til 12 som en tredjepartsbegunstiget
2. Den registrerte kan håndheve denne klausulen, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 mot dataimportøren der dataeksportøren fysisk har forsvunnet eller har opphørt å eksistere i lov, med mindre alle hans juridiske forpliktelser er overført, ved kontrakt eller ved lov, til den etterfølgende enheten, som dataeksportørens rettigheter og forpliktelser derfor går tilbake til, og som dataene subjektet kan derfor håndheve nevnte klausuler.
Den registrerte kan håndheve denne klausulen, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 mot databehandleren, men bare i tilfeller der dataene Eksportøren og dataimportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvente, med mindre alle de juridiske forpliktelsene til dataeksportøren har blitt overført, ved kontrakt eller ved lov, til den juridiske etterfølgeren, som rettighetene og Dataeksportørens forpliktelser er derfor opptjent, og mot hvem den registrerte derfor kan håndheve slike klausuler. Slikt ansvar for databehandleren må begrenses til egne behandlingsaktiviteter i henhold til disse klausulene.
4. Partene motsetter seg ikke at den registrerte blir representert av en forening eller annet organ dersom han eller hun ønsker det og dersom nasjonal lovgivning tillater det.
Klausul 4
Dataeksportørens forpliktelser
Dataeksportøren godtar og garanterer følgende:
a) behandlingen, inkludert den faktiske overføringen av personopplysninger, har blitt og vil fortsette å bli utført i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslovgivning (og, der det er aktuelt, har blitt varslet til vedkommende myndigheter i medlemsstaten) hvor dataeksportøren er basert) og ikke bryter de relevante bestemmelsene i den staten;
b) de har instruert, og vil instruere dataimportøren under varigheten av behandlingstjenestene for personopplysninger om å behandle personopplysningene som er overført på vegne av dataeksportøren og i samsvar med gjeldende databeskyttelseslovgivning og disse klausulene;
c) Dataimportøren vil gi tilstrekkelige garantier angående de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 til denne kontrakten;
d) etter evaluering av kravene i gjeldende databeskyttelseslovgivning, er sikkerhetstiltakene tilstrekkelige for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt der behandlingen involverer overføring av data over et nettverk, og mot alle andre ulovlige former for behandling og sikre et sikkerhetsnivå som er passende for risikoene som representeres av behandlingen og arten av dataene som skal beskyttes, med hensyn til teknologinivået og kostnadene ved implementering;
e) de vil sikre overholdelse av sikkerhetstiltak;
f) dersom overføringen gjelder spesielle kategorier av data, har den registrerte blitt informert eller vil bli informert før overføringen, eller så snart som mulig etter overføringen, at hans eller hennes data kan overføres til et tredjeland som ikke tilbyr et tilstrekkelig beskyttelsesnivå i henhold til direktiv 95/46/EF;
g) de vil videresende enhver melding mottatt fra dataimportøren eller en databehandler i henhold til paragraf 5 (b) og 8 (3) til tilsynsmyndigheten for databeskyttelse dersom den bestemmer seg for å fortsette overføringen eller å oppheve suspensjonen;
h) de skal gjøre tilgjengelig for registrerte, hvis de ber om det, en kopi av disse klausulene, bortsett fra vedlegg 2, og en oppsummerende beskrivelse av sikkerhetstiltakene, og en kopi av enhver ytterligere underleverandøravtale, inngått i henhold til disse klausulene, med mindre Klausuler eller avtalen inneholder kommersiell informasjon, i så fall kan han trekke tilbake slik informasjon;
i) i tilfelle underleverandør av databehandlingsprosessen, utføres behandlingsaktiviteten i samsvar med punkt 11 av en databehandler som gir minst samme nivå av beskyttelse av personopplysninger og registrerte rettigheter som dataimportøren i henhold til disse klausulene ; og
j) det vil sikre samsvar med punkt 4 (a) til (i).
Klausul 5
Dataimportørens forpliktelser
Dataimportøren godtar og garanterer følgende:
a) de vil behandle personopplysningene kun på vegne av dataeksportøren og under dataeksportørens instruksjoner og disse klausulene; hvis den av en eller annen grunn ikke kan overholde, samtykker de i å informere dataeksportøren om sin manglende evne så snart som mulig, i så fall kan dataeksportøren suspendere dataoverføringen og/eller avslutte kontrakten;
b) de har ingen grunn til å tro at loven som gjelder for dem hindrer ham i å oppfylle instruksjonene gitt av dataeksportøren og forpliktelsene som påhviler ham i henhold til kontrakten, og dersom slik lov er gjenstand for en endring som kan ha en vesentlig negativ virkning på garantiene og forpliktelsene i henhold til klausulene, skal han varsle dataeksportøren om endringen uten forsinkelse etter å ha blitt oppmerksom på den, i så fall kan dataeksportøren suspendere dataoverføringen og/eller avslutte kontrakten; (c) de har implementert de tekniske og organisatoriske sikkerhetstiltakene spesifisert i vedlegg 2 før behandlingen av de overførte personopplysningene;
d) de vil varsle dataeksportøren uten forsinkelse:
i) enhver bindende anmodning om utlevering av personopplysninger fra en rettshåndhevelsesmyndighet, med mindre annet er spesifisert, for eksempel et strafferettslig forbud som tar sikte på å bevare hemmeligholdet til en politietterforskning;
ii) enhver tilfeldig eller uautorisert tilgang; og
iii) enhver forespørsel mottatt direkte fra de berørte personene uten å svare på den med mindre han har fått fullmakt til det; administratorer
e) de vil behandle alle henvendelser fra dataeksportøren omgående og på riktig måte angående dens behandling av personopplysningene som overføres, og vil handle under tilsynsmyndighetens mening angående behandlingen av de overførte dataene;
f) på anmodning fra dataeksportøren vil de utsette databehandlingsanleggene for en revisjon av behandlingsaktivitetene som omfattes av disse klausulene som skal utføres av dataeksportøren eller et tilsynsorgan bestående av uavhengige medlemmer med de nødvendige faglige kvalifikasjonene, underlagt taushetsplikt og valgt av dataeksportøren, der det er hensiktsmessig med samtykke fra tilsynsmyndigheten;
g) de vil gjøre tilgjengelig for den registrerte, hvis han ber om det, en kopi av disse klausulene, eller enhver eksisterende underleverandør av databehandlingskontrakten, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, i hvilket tilfelle den kan fjerne slike informasjon, bortsett fra vedlegg 2, som vil bli erstattet av en oppsummerende beskrivelse av sikkerhetstiltakene, der den registrerte ikke kan få en kopi fra dataeksportøren;
h) i tilfelle av konfidensiell videre underleverandør av databehandlingen, vil han sørge for at han informerer dataeksportøren på forhånd og innhenter dataeksportørens skriftlige samtykke;
i) behandlingstjenestene levert av databehandleren skal være i samsvar med punkt 11;
j) de vil umiddelbart sende en kopi av enhver underleverandør av databehandlingsavtalen inngått av den under disse klausulene til dataeksportøren.
Klausul 6
Ansvar
1. Partene er enige om at ethvert datasubjekt som har lidd skade på grunn av brudd på forpliktelsene nevnt i punkt 3 eller punkt 11 av en part eller av en databehandler kan få erstatning fra dataeksportøren for skaden som er påført.
2. Dersom en registrert er forhindret i å reise et erstatningssøksmål som nevnt i paragraf 1 mot dataeksportøren for manglende overholdelse av noen av sine forpliktelser i henhold til punkt 3 eller punkt 11 fra dataimportørens eller databehandlerens side. Eksportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvent, samtykker Dataimportøren i at den registrerte kan sende inn en klage mot den som om den var Dataeksportøren med mindre alle juridiske forpliktelser til Dataeksportøren er overført, ved kontrakt eller ved lov, til dens etterfølgerenhet, som den registrerte deretter kan håndheve sine rettigheter mot. Dataimportøren kan ikke stole på brudd på sine forpliktelser fra en databehandler for å unngå sitt eget ansvar.
3. Dersom en registrert er forhindret i å reise saksbehandlingen nevnt i paragraf 1 og 2 mot dataeksportøren eller dataimportøren for databehandlerens brudd på sine forpliktelser i henhold til punkt 3 eller punkt 11 fordi dataeksportøren og dataimportøren har fysisk forsvunnet, opphørt å eksistere i loven eller har blitt insolvent, samtykker Databehandleren i at den registrerte kan sende inn en klage mot den vedrørende sine egne behandlingsaktiviteter i samsvar med disse punktene som om den var Dataeksportøren eller Dataimportøren med mindre alle juridiske forpliktelser til dataeksportøren eller dataimportøren har blitt overført, ved kontrakt eller ved lov, til den juridiske etterfølgeren, som den registrerte deretter kan gjøre sine rettigheter gjeldende overfor.Databehandlerens ansvar må begrenses til egne behandlingsaktiviteter i henhold til disse punktene.
Klausul 7
Mekling og jurisdiksjon
1. Dataimportøren godtar at dersom den registrerte i henhold til klausulene påberoper seg rettigheten til tredjepartsbegunstigede mot ham og/eller krever kompensasjon for skaden påført, vil han godta avgjørelsen til den registrerte:
a) å sende tvisten til mekling av en uavhengig person eller, der det er hensiktsmessig, tilsynsmyndigheten;
b) å bringe tvisten inn for domstolene i medlemsstaten der dataeksportøren er basert.
2. Partene er enige om at valget som den registrerte har tatt, ikke skal påvirke den registrertes prosessuelle eller materielle rett til å få oppreisning i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.
Klausul 8
Samarbeid med tilsynsmyndigheter
1. Dataeksportøren godtar å deponere en kopi av denne kontrakten hos tilsynsmyndigheten hvis sistnevnte krever det eller dersom slik deponering er foreskrevet av gjeldende databeskyttelseslovgivning.
2. Partene er enige om at tilsynsmyndigheten kan foreta kontroller hos Dataimportøren og enhver Databehandler i samme omfang og på samme vilkår som ved kontroller utført hos Dataeksportøren i henhold til gjeldende personvernlovgivning.
3. Dataimportøren skal informere dataeksportøren så snart som mulig om eksistensen av lovgivning vedrørende dataimportøren eller enhver databehandler som hindrer verifisering hos dataimportøren eller en databehandler i samsvar med paragraf 2. I et slikt tilfelle skal Dataeksportøren kan treffe tiltakene fastsatt i punkt 5 (b).
Klausul 9
Gjeldende lov
Klausulene gjelder og er underlagt loven i medlemsstaten der dataeksportøren er basert.
Klausul 10
Endring av kontrakten
Partene forplikter seg til ikke å endre disse klausulene. Partene står fritt til å inkludere andre kommersielle klausuler som de anser nødvendige, forutsatt at de ikke er i strid med de foreliggende klausuler.
Klausul 11
Påfølgende underentreprise
1. Dataimportøren skal ikke legge ut noen av sine behandlingsaktiviteter utført på vegne av dataeksportøren i henhold til disse klausulene uten skriftlig forhåndssamtykke fra dataeksportøren. Dataimportøren skal kun legge ut sine forpliktelser i henhold til disse klausulene, med samtykke fra dataeksportøren, gjennom en skriftlig avtale med databehandleren som pålegger databehandleren de samme forpliktelsene som de som pålegges dataimportøren i henhold til disse klausulene. Hvis databehandleren ikke kan overholde sine databeskyttelsesforpliktelser i henhold til den skriftlige avtalen, skal dataimportøren forbli fullt ansvarlig overfor dataeksportøren for oppfyllelsen av disse forpliktelsene.
2. Den skriftlige forhåndsavtalen mellom dataimportøren og databehandleren skal også inneholde en tredjepartsbegunstigetsklausul som angitt i punkt 3 for tilfeller der den registrerte er forhindret fra å fremme erstatningskravet nevnt i punkt 6 (1) ), mot dataeksportøren eller dataimportøren fordi dataeksportøren eller dataimportøren fysisk har forsvunnet, opphørt å eksistere i loven eller har blitt insolvent og alle juridiske forpliktelser til dataeksportøren eller dataimportøren ikke er overført, ved kontrakt eller ved operasjon loven, til en annen etterfølger enhet. Databehandlerens ansvar må begrenses til egne behandlingsaktiviteter i henhold til disse punktene.
3. Bestemmelsene knyttet til databeskyttelsesaspektene ved underleverandør av databehandlingen av kontrakten nevnt i nr. 1 skal reguleres av loven i medlemsstaten der dataeksportøren er etablert.
4. Dataeksportøren skal føre en liste over underleverandørene av databehandlingsavtalene som er inngått i henhold til disse punktene og varslet av dataimportøren i samsvar med punkt 5 (j), som skal oppdateres minst én gang i året. Denne listen skal gjøres tilgjengelig for dataeksportørens databeskyttelsesmyndighet.
Klausul 12
Plikt etter opphør av behandling av personopplysninger
1. Partene er enige om at etter fullføring av databehandlingstjenestene vil dataimportøren og databehandleren, når det passer dataeksportørens bekvemmelighet, returnere alle overførte personopplysninger og kopier av disse til dataeksportøren, eller ødelegge alle slike data og fremlegge bevis ødeleggelsen til Dataeksportøren, med mindre lovgivning pålagt Dataimportøren hindrer denne i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer Dataimportøren at den vil sikre konfidensialiteten til de overførte personopplysningene og at den ikke lenger aktivt vil behandle dataene.
2. Dataimportøren og databehandleren skal sørge for at de, hvis dataeksportøren og/eller tilsynsmyndigheten ber om det, vil underkaste sine midler for databehandling verifisering av tiltakene nevnt i nr. 1.
Vedlegg 1.1 til del 2
Detaljer om overføringen
Dataeksportør
Dataeksportøren er kunden definert i kontraktsavtalen.
Dataimportør
Dataimportøren er POSTCODEZIP og er tildelt til å behandle dataene og levere tjenester til dataeksportøren.
Emner for dataene
Personopplysningene som overføres gjelder følgende kategorier av registrerte:
en?? telefonabonnenter oppført i den universelle katalogen
â˜' Andre, inkludert:
Kategorier av data
Personopplysningene som overføres gjelder følgende datakategorier:
Kategorier av personopplysninger om dataeksportørens registrerte subjekter, spesielt,
en?? Fullt navn
â˜' Postadresse
en?? Kontaktinformasjon (e-post, telefon, IP-adresse, etc.)
en?? Detaljer om markedsføringsaktiviteter vedrørende telefonabonnenten
â˜' Andre, inkludert boligtype, inntekt og gjennomsnittsalder av byen gjort anonymt
Spesielle kategorier av data (hvis aktuelt)
De overførte personopplysningene gjelder følgende spesielle datakategorier:
â˜' Overføring av spesielle kategorier av data er ikke forutsett
en?? Rase eller etnisk opprinnelse
en?? Religiøs eller filosofisk tro
en?? Fagforeningsmedlemskap
en?? Politiske Synspunkter
en?? Genetisk informasjon
en?? Biometrisk informasjon
en?? Informasjon om seksuell legning eller seksualliv
en?? Helsedata
Behandlingsaktiviteter
Personopplysningene som overføres vil være gjenstand for følgende grunnleggende behandlingsaktiviteter:
Behandlingen som utføres på vegne av dataeksportøren er basert på følgende emner, spesielt:
â˜' Ta ansvar for produktene eller tjenestene som tilbys av dataeksportøren
â˜' Tilbudet om et produkt eller en tjeneste som den oppringte personen kan be om
â˜' Bestillinger tatt fra personene som ble kalt og videre behandling av disse bestillingene
â˜' Studer spørreskjemaer og analyser
â˜' Telemarketing
en?? Andre, inkludert:
Dataimportøren behandler personopplysningene til de registrerte på vegne av dataeksportøren, for å kunne tilby følgende tjenester, og spesielt:
â˜' Salg og markedsføring
â˜' Andre, inkludert oppdatering av databaser over rådhus og politiske partier
POSTCODEZIP kombinerer, sentraliserer og leverer tjenester til dataeksportøren. Tjenestene som tilbys av den navngitte tjenesteleverandøren kan være strukturert (blant annet etter behov) rundt følgende tilleggstjenester: (i) levering av applikasjoner, verktøy, systemer og IT-infrastruktur i forhold til databehandlingssentralene som brukes, for å tilby og støtte tjenestene, inkludert behandlingen av personopplysningene til de registrerte som beskrevet ovenfor, via slike applikasjoner, verktøy og systemer, (ii) levering av IT-støtte, vedlikehold og andre tjenester knyttet til slike applikasjoner, verktøy, systemer og IT-infrastruktur, inkludert potensiell tilgang til personopplysninger som er lagret i slike applikasjoner, verktøy og systemer, og (iii) levering av databeskyttelsestjenester, beskyttelsesovervåking og hendelsesresponstjenester,inkludert potensiell tilgang til personopplysninger når du tilbyr slike beskyttelsestjenester. POSTCODEZIP kan engasjere databehandlere som angitt nedenfor for å levere tjenestene, inkludert tilleggstjenester.
POSTCODEZIP engasjerer eksterne og tredjeparts tjenesteleverandører, som ikke er datterselskaper av POSTCODEZIP, for å støtte levering av tjenester til dataeksportøren. Dataeksportøren godkjenner slike eksterne tredjeparts tjenesteleverandører som underenheter tildelt til databehandling.
Hvis en underenhet involvert i databehandling er lokalisert utenfor EU/EØS, i et land som anses å ikke ha et tilstrekkelig nivå av databeskyttelse i henhold til en beslutning fra EU-kommisjonen, vil dataimportøren ta skritt for å oppnå et tilstrekkelig nivå av databeskyttelse i henhold til GDPR og avsnitt 3.4 (iv) i del 1.
Vedlegg 2, del 2
Tekniske og organisatoriske beskyttelsestiltak
Dataimportøren skal ta følgende tekniske og organisatoriske beskyttelsestiltak bekreftet av dataeksportøren, for å garantere et passende sikkerhetsnivå for rettigheter og friheter til enkeltpersoner, avhengig av risikoene. Ved vurderingen av det aktuelle beskyttelsesnivået har dataeksportøren spesielt vurdert risikoene som er involvert i behandlingen, inkludert utilsiktet eller ulovlig ødeleggelse, endring, uautorisert avsløring eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Ved presisering: Disse tekniske og organisatoriske beskyttelsestiltakene gjelder ikke for applikasjonene, verktøyene, systemene og/eller IT-infrastrukturen levert av dataeksportøren.
1 Generelle tekniske og organisatoriske vernetiltak |
1.1 Generell informasjon og databeskyttelsesstrategier |
Følgende skritt bør tas for å følge generelle data- og informasjonsbeskyttelsesstrategier: |
|
|
|
|
|
1.2 Organisering av informasjonsbeskyttelse |
Følgende tiltak bør iverksettes for å koordinere data- og informasjonsbeskyttelsesaktiviteter: |
|
|
|
1.3 Adgangskontroll til behandlingsområder |
Følgende tiltak må iverksettes for å forhindre at uvedkommende får tilgang til databehandlingssystemer (spesielt programvare og maskinvare) når personopplysninger behandles, lagres eller overføres: |
|
|
|
|
1.4 Adgangskontroll til databehandlingssystemer |
Følgende tiltak må iverksettes for å hindre uautorisert tilgang til databehandlingssystemer: |
|
|
|
|
|
|
1.5 Kontrollere tilgang til bestemte bruksområder for databehandlingssystemer |
Følgende tiltak må iverksettes for å sikre at autoriserte personer med rett til å bruke databehandlingssystemet kun kan få tilgang til data innenfor sine respektive ansvarsområder og tilgangsfullmakter, og at personopplysninger ikke kan leses, kopieres, endres eller slettes uten autorisasjon: |
|
|
|
|
|
|
|
1.6 Transmisjonskontroll |
Følgende tiltak må iverksettes for å forhindre at personopplysninger leses, kopieres, endres eller slettes av uautoriserte tredjeparter under overføring eller transport av datalagringsenheter (avhengig av behandlingen av personopplysninger som foretas): |
|
|
|
1.7 Dataregistreringskontroll |
Følgende tiltak må iverksettes for å sikre at det er mulig å verifisere og fastslå om personopplysninger er lagt inn eller slettet fra databehandlingssystemer og av hvem: |
|
|
1.8 Arbeidskontroll |
Ved delegert behandling av personopplysninger må følgende tiltak iverksettes for å sikre at slike data behandles i samsvar med veilederens instrukser: |
|
|
|
|
1.9 Separasjon fra behandling for andre formål |
Følgende tiltak må iverksettes for å sikre at data som samles inn til andre formål kan behandles separat: |
|
|
1.10 Pseudonymisering |
Følgende tiltak må iverksettes for pseudonymisering av personopplysninger: |
|
|
1.11 Kryptering |
Følgende trinn bør tas for å kryptere personlige data i applikasjoner og overføringer som støtter kryptering:
|
|
|
1.12 Fullstendighet av databehandlingssystemer og tjenester |
Følgende tiltak må iverksettes for å sikre fullstendigheten av databehandlingssystemer og tjenester: |
|
|
|
1.13 Tilgjengelighet av databehandlingssystemer og -tjenester og mulighet for å gjenopprette tilgang til og bruk av personopplysninger ved en materiell eller teknisk hendelse |
Følgende tiltak må iverksettes for å sikre tilgjengeligheten av databehandlingssystemer, samt for raskt å kunne gjenopprette tilgjengeligheten til og tilgangen til personopplysninger, i tilfelle en materiell eller teknisk hendelse (spesielt ved å sikre at personopplysninger er beskyttet mot utilsiktet ødeleggelse eller tap): |
|
|
|
|
|
|
|
1.14 Resiliens av databehandlingssystemer og tjenester |
Følgende tiltak må iverksettes for å sikre robustheten til databehandlingssystemer og tjenester: |
|
|
|
1.15 Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til databehandling |
Prosedyre for regelmessig testing, evaluering og vurdering av effektiviteten av tekniske og organisatoriske tiltak for å beskytte databehandling. |
|
|
|
Del 3
Partenes signaturer og liste over dataimportører
Når du fyller ut det elektroniske bestillingsskjemaet og validerer det ved å krysse av i boksen for å godta de generelle vilkårene for bruk, etableres kontrakten som regulerer forholdet mellom kunden og POSTCODEZIP.
Sending av betalingen til POSTCODEZIP vil vurdere kontrakten som er avtalt og etablert.
Legg merke til: Denne teksten er oversatt fra fransk. Den originale franske versjonen, som er gyldig og juridisk restriktiv, er tilgjengelig her .