Dataverwerking bylaag

 

Hierdie Bylaag vorm 'n integrale deel van die Kontrak en word aangegaan deur:

 

  1. (i) Die Kliënt (" Data Uitvoerder ")
  2. (ii) POSTCODE (" Data-invoerder ")

 

Elkeen is 'n " party " en gewoonlik " partye ".

 

Aanhef

WAAR die Data-invoerder professionele sagtewaredienste, rekenaar en verwante dienste verskaf;

WAAR ingevolge die Kontrak, die Data-invoerder ingestem het om die dienste wat in die Kontrak gespesifiseer word (die " Dienste ") aan die Data-uitvoerder te verskaf;

WAAR, deur die verskaffing van die Dienste, die Data-invoerder toegang tot die Data-uitvoerder se inligting of die inligting van ander persone wat 'n (potensiële) verhouding met die Data-uitvoerder het, ontvang of daarby baat, kan sodanige inligting as persoonlike data in die betekenis van Regulasie gekwalifiseer word. (EU) 2016/679 van die Europese Parlement en van die Raad van die 27ste April 2016 oor die beskerming van individue rakende die verwerking van persoonlike data en oor die vrye beweging van sulke data (" GDPR ") en ander toepaslike databeskermingswette.

WAAR hierdie Bylaag die bepalings en voorwaardes bevat wat van toepassing is op die versameling, verwerking en gebruik van sodanige persoonlike data deur die Data-invoerder in sy hoedanigheid as die gemagtigde dataverwerkingsagent van die Data-uitvoerder, om te verseker dat die Partye aan toepaslike databeskermingswetgewing voldoen .

 

DUS, en om die Partye in staat te stel om hul verhouding wettiglik voort te sit, het die Partye hierdie Aanhangsel soos volg afgesluit:

Deel 1

 

1. Struktuur van die dokument en definisies

1.1 Struktuur

Hierdie aanhangsel bestaan ​​uit verskillende dele soos volg:

 

Deel 1:

bevat algemene bepalings, bv. rakende die definisies wat in hierdie Bylaag gebruik word, voldoening aan plaaslike wette, tydsberekening en beëindiging

Deel 2:

bevat die liggaam van die ongewysigde Standaard Kontraktuele Klousule-dokument

Bylaag 1.1 van Deel 2:

bevat die besonderhede van die verwerkingsoperasies wat deur die Data-invoerder aan die Data-uitvoerder as die gemagtigde dataverwerkingsagent verskaf word (insluitend die verwerking, aard en doel van die verwerking, die tipe persoonlike data en die kategorieë van datasubjekte) kragtens hierdie Bylaag

Bylaag 2 van Deel 2:

bevat 'n beskrywing van die Data-invoerder se tegniese en organisatoriese sekuriteitsmaatreëls, wat toegepas word in verband met alle verwerkingsaktiwiteite beskryf in Bylaag 1.1 van Deel 2

Deel 3:

bevat die handtekeninge van die partye wat deur hierdie aanhangsel gebind moet word en identifiseer elke data-invoerder

 

1.2 Terminologie en definisies

Vir die doeleindes van hierdie Bylaag is die terminologie en definisies wat deur die GDPR gebruik word van toepassing (In die liggaam van die Standaard Kontraktuele Klousule-dokument in Deel 2, waar gedefinieerde terme nie gekapitaliseer word nie). 

 

"Lidstaat"

beteken 'n land wat aan die Europese Unie of die Europese Ekonomiese Ruimte behoort

"Spesiale kategorieë van (persoonlike) data"

verwys na persoonlike data wat rasse of etniese oorsprong openbaar, politieke opinies, godsdienstige of filosofiese oortuigings, of vakbondlidmaatskap, en genetiese data, biometriese data, indien verwerk met die doel om 'n persoon uniek te identifiseer, data rakende gesondheid, data rakende 'n persoon se geslag lewe of seksuele oriëntasie

"Standaard kontraktuele klousules"

beteken die standaard kontraktuele klousules vir die oordrag van persoonlike data van verwerkingsagente wat in derde lande gevestig is, kragtens Kommissiebesluit 2010/87/EU op 5 Februarie 2010, wat gewysig is deur die Kommissie-implementeringsbesluit (EU) 2016/2297 op die 16de van Desember 2016

"Dataverwerker"

beteken enige verwerkingsagent, geleë binne of buite die EU/EER, wat instem om van die Data-invoerder of enige ander verwerker van die Data-invoerder persoonlike data te ontvang vir die uitsluitlike doel van verwerkingsaktiwiteite wat deur die Data-uitvoerder uitgevoer moet word na die oordrag in ooreenstemming met die data-uitvoerder se instruksies, die bepalings van hierdie aanhangsel en die kontrak met die data-invoerder

 

 

2. Verpligtinge van die data-uitvoerder

2.1 Die Data-uitvoerder het 'n verpligting om voldoening aan alle toepaslike verpligtinge kragtens die GDPR en enige ander toepaslike databeskermingswet wat op die Data-uitvoerder van toepassing is, te verseker en om sodanige voldoening te toon soos vereis deur Artikel 5 (2) van die GDPR. Die Data-uitvoerder waarborg dat die Data-invoerder die vooraftoestemming van die datasubjekte ooreenkomstig Artikel 6 (a) van die GDPR verkry het en voldoen het aan sy verpligting om die datasubjekte in te lig in ooreenstemming met Artikel 13 en 14 van die GDPR.

2.2 Die data-uitvoerder moet die data-invoerder voorsien van die onderskeie lêers van die verwerkingsaktiwiteite in ooreenstemming met artikel 30 (1) van die GDPR wat verband hou met die dienste onder hierdie aanhangsel, in die mate wat nodig is vir die data-invoerder om te voldoen aan die verpligting kragtens Artikel 30 (2) van die GDPR.

2.3 Die Data-uitvoerder moet 'n databeskermingsbeampte of -verteenwoordiger aanstel in die mate wat deur toepaslike databeskermingswetgewing vereis word. Die Data-uitvoerder is verplig om die kontakbesonderhede van die databeskermingsagent of verteenwoordiger, indien enige, aan die Data-invoerder te verskaf.

2.4. Die Data-uitvoerder bevestig voor die voltooiing van die verwerking, deur aanvaarding van hierdie Bylaag, dat die Data-invoerder se tegniese en organisatoriese sekuriteitsmaatreëls, soos uiteengesit in Bylaag 2 tot Deel 2, toepaslik en voldoende is om die regte van die datasubjek te beskerm en bevestig dat die Data-invoerder voldoende waarborge in hierdie verband bied.

 

3. Voldoening aan plaaslike wetgewing

Ten einde te voldoen aan die vereistes van die implementering van die verwerkingsagente volgens Artikel 28 van die GDPR, is die volgende wysigings van toepassing:

 

3.1 Instruksies

  1. (i) Die Data-uitvoerder gee die Data-invoerder opdrag om persoonlike data slegs namens die Data-uitvoerder te verwerk. Die data-uitvoerder se instruksies word in hierdie Bylaag en in die Kontrak verskaf. Die data-uitvoerder het die verpligting om te verseker dat alle instruksies aan die data-invoerder gegee is, voldoen aan toepaslike databeskermingswette. Die Data-invoerder moet persoonlike data verwerk slegs in ooreenstemming met die instruksies verskaf deur die Data-uitvoerder, tensy anders vereis deur die Europese Unie of die wet van die lidstaat (in laasgenoemde geval is Deel 1 Klousule 3.2 (iv) (c) van toepassing) .
  2. (ii) Alle ander instruksies wat verder gaan as die instruksies in hierdie Aanhangsel of in die Kontrak moet ingesluit word in die onderwerp van hierdie Bylae en die Kontrak. Indien die implementering van hierdie bykomende instruksie koste vir die Data-invoerder behels, sal die Data-invoerder die Data-uitvoerder van sodanige koste inlig en 'n verduideliking verskaf voordat die instruksie geïmplementeer word. Slegs nadat die Data-uitvoerder aanvaarding van hierdie koste vir die implementering van die opdrag bevestig het, sal die Data-invoerder hierdie bykomende opdrag implementeer. Die Data-uitvoerder moet bykomende instruksies skriftelik gee tensy dringendheid of ander spesifieke omstandighede 'n ander vorm vereis (bv. mondeling, elektronies). Instruksies in 'n ander vorm as skriftelik moet skriftelik en sonder versuim deur die Data-uitvoerder bevestig word.
  3. 1. Tensy die Data-uitvoerder nie self die regstelling, uitvee of beperking van persoonlike data kan uitvoer nie, kan die instruksies ook verband hou met die regstelling, uitvee en/of beperking van persoonlike data soos uiteengesit in Deel 1 Klousule 3.3.
  4. 2. Die data-invoerder moet die data-uitvoerder onmiddellik in kennis stel indien, na sy mening, 'n opdrag die GDPR of ander toepaslike databeskermingsbepalings van die Europese Unie of 'n lidstaat oortree (" Betwiste opdrag"). As die data-invoerder glo dat 'n instruksie die GDPR of ander toepaslike databeskermingsbepalings van die Europese Unie of 'n lidstaat skend, is die data-invoerder nie verplig om die betwiste instruksie te volg nie. As die data-uitvoerder die betwiste instruksie bevestig by ontvangs van inligting vanaf die data-invoerder en erken sy verantwoordelikheid vir die betwiste opdrag, sal die data-invoerder die betwiste opdrag implementeer, tensy die betwiste opdrag betrekking het op (i) die implementering van tegniese en organisatoriese maatreëls, (ii) die regte van die data Onderwerpe of (iii) die aanstelling van dataverwerkers In gevalle (i) tot (iii) kan die Data-invoerder 'n bevoegde toesighoudende owerheid kontak om die betwiste Opdrag wettiglik deur sodanige owerheid te laat evalueer.Indien die toesighoudende owerheid die betwiste opdrag as wettig verklaar, sal die data-invoerder die betwiste opdrag implementeer. Deel 1 Klousule 3.1 (ii) bly van toepassing.

 

3.2 Verpligtinge van die data-invoerder

  1. (i) Die Data-invoerder moet verseker dat persone wat deur die Data-invoerder gemagtig is om persoonlike data namens die Data-uitvoerder te verwerk, in besonder werknemers van die Data-invoerder en werknemers van enige Sub-kontrakteur, onderneem het om vertroulikheid te handhaaf of onderhewig is aan 'n toepaslike statutêre plig tot vertroulikheid, en dat sodanige persone wat toegang tot persoonlike data het, dit verwerk in ooreenstemming met die Data-uitvoerder se instruksies.
  2. (ii) Die Data-invoerder moet die tegniese en organisatoriese sekuriteitsmaatreëls implementeer soos uiteengesit in Bylaag 2 tot Deel 2 voordat die persoonlike data namens die Data-uitvoerder verwerk word. Die Data-invoerder kan die tegniese en organisatoriese sekuriteitsmaatreëls van tyd tot tyd verander as dit nie minder beskerming bied as dié wat in Bylaag 2 tot Deel 2 uiteengesit word nie.
  3. (iii) Die Data-invoerder sal inligting aan die Data-uitvoerder beskikbaar stel, op versoek deur die Data-uitvoerder, om voldoening aan die Data-invoerder se verpligtinge ingevolge hierdie Aanhangsel te toon. Die partye kom ooreen dat hierdie inligtingsverpligting nagekom word deur die data-uitvoerder van 'n ouditverslag te voorsien (wat sekuriteit van beginsels, stelselbeskikbaarheid en vertroulikheid dek) ("Ouditverslag"). Indien bykomende ouditaktiwiteite wetlik vereis word, kan die data-uitvoerder versoek dat inspeksies deur die data-uitvoerder of 'n ander ouditeur wat deur die data-uitvoerder aangestel is, uitgevoer word, onderhewig aan die uitvoering deur so ouditeur van 'n vertroulikheidsooreenkoms met die data-invoerder na die data-invoerder se redelike tevredenheid ("Oudit"). Hierdie oudit is onderhewig aan die volgende voorwaardes:(i) die vooraf formele skriftelike aanvaarding van die Data-invoerder; en (ii) die Data-uitvoerder sal alle koste dra wat verband hou met die Terrein-oudit vir die Data-uitvoerder en die Data-invoerder. Die data-uitvoerder moet 'n ouditverslag skep wat die resultate en waarnemings van die ter plaatse oudit ("On-Site Ouditverslag") opsom. Die ter plaatse ouditverslae, en die ouditverslae, is vertroulike inligting van die data-invoerder en moet nie aan derde partye bekend gemaak word nie, tensy dit vereis word deur toepaslike databeskermingswetgewing of in ooreenstemming met die toestemming van die data-invoerder.Die ter plaatse ouditverslae, en die ouditverslae, is vertroulike inligting van die data-invoerder en moet nie aan derde partye bekend gemaak word nie, tensy dit vereis word deur toepaslike databeskermingswetgewing of in ooreenstemming met die toestemming van die data-invoerder.Die ter plaatse ouditverslae, en die ouditverslae, is vertroulike inligting van die data-invoerder en moet nie aan derde partye bekend gemaak word nie, tensy dit vereis word deur toepaslike databeskermingswetgewing of in ooreenstemming met die toestemming van die data-invoerder.
  4. (iv) Die Data-invoerder het 'n verpligting om die Data-uitvoerder sonder onnodige vertraging in kennis te stel:
    1. a. met betrekking tot enige wetlik bindende versoek vir die openbaarmaking van persoonlike data deur 'n wetstoepassingsowerheid, tensy anders verbied, soos 'n verbod onder strafreg om die vertroulikheid van 'n wetstoepassingsondersoek te beskerm
    2. b. rakende enige klagte en versoek wat direk van 'n datasubjek ontvang is (bv. rakende toegang, regstelling, skrapping, beperking van verwerking, dataoordraagbaarheid, beswaar teen dataverwerking, geoutomatiseerde besluitneming) sonder om op daardie versoek te reageer, tensy die Data-invoerder gemagtig is om doen so
    3. c. indien die data-invoerder of dataverwerker verplig is om, kragtens die wet van die Europese Unie of van die lidstaat waaraan die data-invoerder of dataverwerker onderworpe is, die persoonlike data buite die data-uitvoerder se instruksies te verwerk, voordat sodanige verwerking verder uitgevoer word die instruksies, tensy wette van die Europese Unie of van die lidstaat sodanige verwerking op grond van noodsaaklike openbare belang verbied, in welke geval die kennisgewing aan die data-uitvoerder die wetlike vereiste ingevolge daardie wet van die Europese Unie of van die lidstaat sal spesifiseer; of
    4. d. indien die Data-invoerder 'n skending van persoonlike data besef, uitsluitlik as gevolg van homself of sy subkontrakteur, wat die Data-uitvoerder se persoonlike data sal beïnvloed wat deur die huidige kontrak gedek word, in welke geval die Data-invoerder die Data-uitvoerder sal bystaan ​​in sy verpligting, teenoor die toepaslike databeskermingswetgewing, om die datasubjekte en, waar van toepassing, die toesighoudende owerhede in te lig deur die inligting tot sy beskikking te verskaf, in ooreenstemming met artikel 33 (3) van die GDPR.
    5. (v) Op versoek van die data-uitvoerder, sal die data-invoerder verplig word om die data-uitvoerder by te staan ​​in sy verpligting om 'n databeskermingsimpakbeoordeling uit te voer wat vereis mag word deur artikel 35 van die GDPR en 'n voorafgaande konsultasie wat mag wees vereis deur Artikel 36 van die GDPR met betrekking tot die dienste wat deur die Data-invoerder aan die Data-uitvoerder verskaf word kragtens hierdie Bylaag, wat die nodige en inligting aan die Data-uitvoerder verskaf. Die Data-invoerder sal slegs verplig wees om sodanige bystand te verleen indien die Data-uitvoerder nie sy verpligting op ander wyse kan nakom nie. Die Data-invoerder sal die Data-uitvoerder in kennis stel van die koste van sodanige bystand. Sodra die Data-uitvoerder bevestig het dat hy hierdie koste kan dra, sal die Data-invoerder hierdie hulp aan die Data-uitvoerder verskaf.
    6. (vi) Aan die einde van die verskaffing van die dienste, kan die Data-uitvoerder die teruggawe van die persoonlike data wat deur die Data-invoerder onder hierdie Bylaag verwerk is, binne een maand na die dienste versoek. Tensy die wetgewing van die lidstaat of van die Europese Unie vereis dat die data-invoerder sodanige persoonlike data moet stoor of behou, sal die data-invoerder alle sodanige persoonlike of nie-persoonlike data uitvee na die tydperk van een maand, of dit terugbesorg is aan die data-uitvoerder op sy versoek of nie.

 

3.3 Regte van betrokke persone

  1.  
    1. (i) Die Data-uitvoerder bestuur en reageer op versoeke wat deur datasubjekte gemaak word. Data-invoerder is nie verplig om direk op die datasubjekte te reageer nie.
    2. (ii) Indien die Data-uitvoerder die Data-invoerder se bystand benodig om die Datasubjek se versoeke te verwerk en daarop te reageer, sal die Data-uitvoerder 'n verdere opdrag uitreik in ooreenstemming met Klousule 3.1 (ii) van Deel 1. Die Data-invoerder sal die Data-uitvoerder bystaan. met die volgende toepaslike en tegniese organisatoriese maatreëls om soos volg te reageer op die versoeke vir die uitoefening van die regte van datasubjekte soos uiteengesit in Hoofstuk III van die GDPR:
    3. a. Wat versoeke om inligting betref, sal die Data-invoerder slegs die inligting wat deur Artikel 13 en 14 van die PGRD vereis word, aan die Data-uitvoerder verskaf wat hy tot sy beskikking mag hê indien die Data-uitvoerder dit nie op sy eie kan vind nie.
    4. b. Met betrekking tot versoeke om toegang (Artikel 15 van die GDPR), sal die Data-invoerder slegs die inligting wat veronderstel is om aan 'n datasubjek verskaf te word vir die genoemde versoek om toegang, aan die Data-uitvoerder verskaf, wat hy tot sy beskikking mag hê indien die laasgenoemde kan dit nie alleen vind nie.
    5. c. Met betrekking tot versoeke vir regstelling (Artikel 16 van die GDPR), versoeke vir uitvee (Artikel 17 van die GDPR), beperking van versoeke vir verwerking (Artikel 18 van die GDPR), of versoeke vir oordraagbaarheid (Artikel 20 van die GDPR), en slegs indien die Data-uitvoerder nie self die persoonlike data kan regstel of uitvee, beperk of aan 'n ander derde party oordra nie, sal die Data-invoerder die data-uitvoerder die moontlikheid bied om die betrokke persoonlike data reg te stel of uit te vee, te beperk of aan die ander derde party oor te dra, of indien dit nie moontlik is nie, sal dit die bystand verskaf om die betrokke persoonlike data reg te stel of uit te vee, te beperk of aan die ander derde party oor te dra.
    6. d. Met betrekking tot die kennisgewing met betrekking tot regstelling, uitvee of beperking van verwerking (Artikel 19 van die GDPR), sal die Data-invoerder die Data-uitvoerder bystaan ​​deur alle ontvangers van persoonlike data wat deur die Data-invoerder as verwerkers aangestel is in kennis te stel indien die Data-uitvoerder dit versoek en indien die data-uitvoerder nie die situasie op sy eie kan regstel nie.
    7. e. Met betrekking tot die reg van opposisie wat deur 'n datasubjek uitgeoefen word (Artikel 21 en 22 van die GDPR) sal die Data-uitvoerder bepaal of die opposisie wettig is en hoe om dit te hanteer.
    8. (iii) Die Data-invoerder se bystandsverpligtinge is beperk tot persoonlike data wat binne sy infrastruktuur verwerk word (bv. databasisse, stelsels, toepassings wat deur die Data-invoerder besit of verskaf word).
    9. (iv) Die data-uitvoerder sal bepaal of 'n datasubjek die regte van datasubjekte mag uitoefen soos uiteengesit in klousule 3.1 van hierdie deel 1 en sal die data-invoerder in kennis stel van die mate waarin die bystand gespesifiseer in klousules 3.3 (ii), ( iii) van Deel 1 is nodig.
    10. (v) Indien die Data-uitvoerder addisionele of gewysigde tegniese en organisatoriese maatreëls versoek om die regte van datasubjekte na te kom wat verder gaan as die bystand verskaf deur die Data-invoerder kragtens Subklousule 3.3 (ii), (iii) van Deel 1, die Data Invoerder sal die Data-uitvoerder inlig oor die koste van die implementering van sodanige bykomende of gewysigde tegniese en organisatoriese maatreëls. Sodra die Data-uitvoerder bevestig het dat hy hierdie koste kan dek, sal die Data-invoerder sulke bykomende of gewysigde tegniese en organisatoriese maatreëls implementeer om die Data-uitvoerder te help om op die Datasubjekte se versoeke te reageer.
    11. (vi) Sonder om die omvang van Klousule 3.3 (v) van Deel 1 te beperk, sal die Data-uitvoerder verplig wees om die Data-invoerder te vergoed vir sy redelike uitgawes wat aangegaan is om op die Datasubjekte se versoeke te reageer.

 

3.4 Sub-verwerking

  1.  
    1. (i) Die Data-uitvoerder magtig die Data-invoerder se gebruik van subkontrakteurs vir die verskaffing van dienste kragtens hierdie Bylaag. Die Data-invoerder sal sodanige Dataverwerker(s) versigtig kies. Die Data-uitvoerder keur die Dataverwerker(s) goed wat in Bylaag 1.1 aan die einde van Deel 2 gelys is.
    2. (ii) Die Data-invoerder sal sy verpligtinge ingevolge hierdie Bylaag aan die Dataverwerker(s) oordra in die mate van toepassing op die gesubkontrakteerde dienste.
    3. (iii) Die Data-invoerder kan na goeddunke 'n ander toepaslike en betroubare dataverwerker(s) ontslaan, vervang of aanstel. Indien die Data-uitvoerder dit skriftelik versoek, moet die Data-invoerder die prosedure volg soos hieronder uiteengesit:
  1.  
    1. a. Die Data-invoerder sal die Data-uitvoerder inlig voor enige veranderinge aan die lys van dataverwerkers waarna verwys word onder Klousule 3.4 (i) van Deel 1. Indien die Data-uitvoerder nie beswaar maak ingevolge Klousule 3.4 nie. (b) van Deel 1 dertig dae na ontvangs van kennisgewing van die Data-invoerder, sal die bykomende Dataverwerkers geag word aanvaar te wees.
    2. b. Indien die Data-uitvoerder 'n wettige rede het om beswaar teen 'n bykomende Dataverwerker te beswaar, sal dit vooraf skriftelike kennis aan die Data-invoerder gee binne dertig dae na ontvangs van die Data-invoerder se kennisgewing en voordat die Data-invoerder se diens in werking gestel word. Indien die Data-uitvoerder beswaar maak teen die gebruik van 'n bykomende dataverwerker, kan die Data-invoerder die beswaar uitwis deur een van die volgende opsies (gekies na goeddunke): (A) die Data-invoerder sal sy planne om 'n bykomende verwerker te gebruik t.o.v. die data-uitvoerder se persoonlike data; (B) die Data-invoerder die regstellende maatreëls sal tref wat die Data-uitvoerder in sy beswaar versoek het (kanselleer die beswaar) en die bykomende verwerker sal gebruik met betrekking tot die Data-uitvoerder se persoonlike data;(C) die Data-invoerder kan ophou om te verskaf of die Data-uitvoerder kan instem om nie (tydelik of permanent) 'n bepaalde aspek van die diens te gebruik wat die gebruik van die Data-uitvoerder se verdere verwerker van die Data-uitvoerder se persoonlike data sal behels nie.
  1.  
    1. (iv) indien die dataverwerker buite die EU-EER gebaseer is in 'n land wat nie erken word as die aanbied van 'n voldoende vlak van databeskerming na 'n besluit van die Europese Kommissie nie, sal die data-invoerder die maatreëls tref om aan 'n voldoende vlak te voldoen van databeskerming in ooreenstemming met die GDPR (sulke maatreëls kan insluit - onder andere en - die gebruik van dataverwerkingskontrakte gebaseer op die klousules van die EU-model, oordrag na selfgesertifiseerde dataverwerkers in die raamwerk van die EU-VS-beskermingskild , of 'n soortgelyke program).

 

3.5 Vervaldatum

Die verstryking van hierdie Bylaag is identies aan die vervaldatum van die ooreenstemmende Kontrak. Tensy anders bepaal in hierdie Bylaag, sal die regte en pligte met betrekking tot beëindiging dieselfde wees as dié wat in die Kontrak vervat is.

 

4. Beperking van aanspreeklikheid

4.1 Elke party hanteer sy verpligtinge ingevolge hierdie Bylaag en die toepaslike databeskermingswetgewing.

4.2 Enige aanspreeklikheid wat verband hou met 'n verbreking van die verpligtinge ingevolge hierdie Bylaag of toepaslike databeskermingswetgewing sal onderhewig wees aan en beheer word deur die aanspreeklikheidsbepalings uiteengesit in, of van toepassing op, die Kontrak, behalwe soos anders bepaal in hierdie Bylaag. Indien aanspreeklikheid beheer word deur die aanspreeklikheidsbepalings uiteengesit in of van toepassing op die Kontrak, vir die berekening van aanspreeklikheidsperke of die bepaling van die toepassing van ander aanspreeklikheidsbeperkings, sal enige aanspreeklikheid wat ingevolge hierdie Aanhangsel ontstaan, geag word ingevolge die Kontrak ontstaan.

 

5. Algemene bepalings

5.1 Indien daar enige teenstrydighede of teenstrydighede tussen Dele 1 en 2 van hierdie Bylaag is, sal Deel 2 seëvier. Spesifiek, selfs in so 'n geval, sal Deel 1 wat bloot verder gaan as Deel 2 (dws die bepalings van Standaardklousules) sonder om dit te weerspreek, geldig bly.

5.2 Indien enige teenstrydigheid ontstaan ​​tussen die bepalings van hierdie Bylae en dié van ander kontrakte wat die partye bind, sal hierdie Aanhangsel geld ten opsigte van die partye se databeskermingsverpligtinge. In geval van twyfel of klousules in ander kontrakte betrekking het op die partye se databeskermingsverpligtinge, sal hierdie Aanhangsel voorrang geniet.

5.3 Indien enige bepaling van hierdie Aanhangsel ongeldig of onafdwingbaar is, sal die res van hierdie Aanhangsel ten volle van krag bly. Die ongeldige of onafdwingbare bepaling sal (i) gewysig word om die geldigheid en afdwingbaarheid daarvan te verseker, terwyl die bedoeling van die partye so ver moontlik bewaar word, of - indien dit nie moontlik is nie - (ii) geïnterpreteer word asof die ongeldige of onafdwingbare deel nooit deel van die kontrak was nie. Die voorafgaande is ook van toepassing indien daar 'n weglating in hierdie Aanhangsel is.

5.5 In die mate wat nodig is, kan die Partye wysigings aan Deel 1, Klousule 3 (Volkoming van plaaslike wetgewing) of ander dele van die Aanhangsel versoek ten einde te voldoen aan interpretasies, voorskrifte of bevele uitgereik deur die bevoegde owerhede van die Unie of die Lidstate, nasionale afdwingingsbepalings, of enige ander wetlike ontwikkelings rakende die GDPR of ander voorwaardes van delegering aan enige entiteite wat betrokke is by dataverwerking en spesifiek met betrekking tot die gebruik van die standaard kontraktuele klousules in die GDPR. Die bepalings van die Standaard kontraktuele klousules mag nie gewysig of vervang word nie, tensy die Europese Kommissie dit uitdruklik goedkeur (bv. deur nuwe toereikende klousules en databeskermingstandaarde).

5.6 Enige verwysing in hierdie Bylaag na die " Klousules " sal verstaan ​​word om te verwys na al die bepalings van hierdie Bylaag, tensy anders vermeld.

5.7 Die regskeuse in Deel 2, Klousule 9 is van toepassing op die hele Kontrak.

 

6.  Persoonlike data oorgedra en verwerk deur die partye vir persoonlike doeleindes (oordrag van die databeheerder na die databeheerder)

6.1 Die Partye weet ten volle dat sekere persoonlike data van die Data-uitvoerder na die Data-invoerder oorgedra sal word en omgekeerd, en dat sodanige data deur elke Party vir sy eie doeleindes verwerk word. Wat sulke persoonlike data betref, raak dit nie die ander bepalings van hierdie Bylaag nie (behalwe vir hierdie klousule 6).

6.2 Die Data-uitvoerder kan persoonlike data met betrekking tot die personeel van die Data-invoerder na die Data-invoerder oordra, insluitend inligting oor sekuriteitsinsidente, of enige ander dokumente of lêers wat deur die Data-uitvoerder geskep of opgestel is in verband met die Dienste wat deur die personeel van die data-invoerder. Die Data-invoerder kan sulke persoonlike data vir sy eie doeleindes verwerk, veral in sy professionele verhoudings met die Data-invoerder se personeel, vir gehaltebeheer en opleiding, of vir besigheidsdoeleindes.

6.3. Die Data-invoerder kan persoonlike data aan die Data-uitvoerder oordra, insluitend die naam en kontakbesonderhede van die Data-invoerder se personeel. Die data-uitvoerder mag sulke persoonlike data vir sy eie doeleindes verwerk.

6.4 Beide partye sal voldoen aan enige toepaslike databeskermingswette, insluitend die GDPR, in die insameling, verwerking en gebruik van sodanige persoonlike data wat ingevolge klousule 1 van Deel 1 van die ander party ontvang is. 'n soortgelyke vlak van beskerming as die sekuriteitsmaatreëls uiteengesit in Bylaag 2 van Deel 2. Enige toegang tot sodanige persoonlike data sal beperk word tot die behoefte om dit te ken.

6.5 Beide Partye moet sodanige persoonlike data so gou moontlik uitvee nadat die doelwitte bereik is.

Deel 2

 

BESLUIT VAN DIE KOMMISSIE

op 5 Februarie 2010

oor standaard kontraktuele klousules vir die oordrag van persoonlike data aan dataverwerkers wat in derdepartylande gevestig is kragtens die 95/46/EG-richtlijn van die Europese Parlement en die Raad

 

 

 

Klousule 1

Definisies

Binne die betekenis van die klousules:

a) 'persoonlike data', 'spesiale kategorieë data', 'verwerking/verwerking', 'beheerder', 'verwerker', 'datasubjek' en 'toesighoudende gesag' het dieselfde betekenis as in die 95/46/EG Richtlijn van die Europese Parlement en van die Raad van 24 Oktober 1995 oor die beskerming van individue met betrekking tot die verwerking van persoonlike data en oor die vrye beweging van sodanige data (1);

b) die 'Data-uitvoerder' is die Databeheerder wat die persoonlike data oordra;

c) die 'Data-invoerder' is die dataverwerker wat instem om van die data-uitvoerder persoonlike data te ontvang wat bedoel is om na die oordrag na die oordrag verwerk te word in ooreenstemming met sy instruksies en onder die bepalings van hierdie klousules en wat nie onderhewig aan die meganisme van 'n derde land wat voldoende beskerming verseker binne die betekenis van Artikel 25(1) van Richtlijn 95/46/EG; (d) 'Dataverwerker' beteken die Dataverwerker wat deur die Data-invoerder of deur enige ander Dataverwerker van die Data-invoerder aangestel word wat instem om van die Data-invoerder of enige ander Dataverwerker van die Data-invoerder persoonlike data te ontvang uitsluitlik vir verwerkingsaktiwiteite om na die oordrag namens die data-uitvoerder uitgevoer word in ooreenstemming met die instruksies van die data-uitvoerder,onder die voorwaardes uiteengesit in hierdie Klousules en onder die bepalings van die skriftelike subkontraktering van die dataverwerkingskontrak;

e) "toepaslike databeskermingswetgewing" beteken die wetgewing wat die fundamentele regte en vryhede van individue beskerm, insluitend die reg op privaatheid met betrekking tot die verwerking van persoonlike data, en wat van toepassing is op 'n kontroleerder in die lidstaat waar die Data-uitvoerder gevestig is;

f) "tegniese en organisatoriese maatreëls met betrekking tot sekuriteit" beteken maatreëls wat bedoel is om persoonlike data te beskerm teen toevallige of onwettige vernietiging of toevallige verlies, verandering, ongemagtigde openbaarmaking of toegang, veral waar die verwerking die oordrag van data oor netwerke behels, en teen alle ander onwettige vorme van verwerking.

Klousule 2

Besonderhede van die oordrag

Die besonderhede van die oordrag, insluitend, waar toepaslik, spesiale kategorieë persoonlike data, word gespesifiseer in Bylaag 1, wat 'n integrale deel van hierdie klousules vorm.

Klousule 3

Derdeparty-begunstigde-klousule

1. Die datasubjek kan hierdie klousule, klousule 4(b) tot (i), klousule 5(a) tot (e) en (g) tot (j), klousule 6 (1) en (2) teen die data-uitvoerder afdwing ), Klousule 7, Klousule 8(2) en Klousule 9 tot 12 as 'n derdeparty-begunstigde

2. Die datasubjek kan hierdie klousule, klousule 5 (a) tot (e) en (g), klousule 6, klousule 7, klousule 8 (2) en klousules 9 tot 12 afdwing teen die data-invoerder waar die data-uitvoerder fisies het verdwyn het of in die wet ophou bestaan ​​het, tensy al sy wetlike verpligtinge deur kontrak of kragtens wet oorgedra is aan die opvolgende entiteit, waarop die regte en verpligtinge van die Data-uitvoerder dus terugval, en waarteen die data onderwerp kan dus die genoemde klousules afdwing.

Die datasubjek kan hierdie klousule, klousule 5 (a) tot (e) en (g), klousule 6, klousule 7, klousule 8 (2) en klousules 9 tot 12 teen die dataverwerker afdwing, maar slegs in gevalle waar die data Uitvoerder en die Data-invoerder het fisies verdwyn, ophou bestaan ​​in die wet of het insolvent geword, tensy al die wetlike verpligtinge van die Data-uitvoerder, deur kontrak of kragtens wet, oorgedra is aan die regsopvolger, aan wie die regte en verpligtinge van die Data-uitvoerder is dus gevestig, en teen wie die datasubjek dus sulke klousules kan afdwing. Sodanige aanspreeklikheid van die dataverwerker moet beperk word tot sy eie verwerkingsaktiwiteite kragtens hierdie klousules.

4. Die partye maak nie beswaar daarteen dat die datasubjek deur 'n vereniging of ander liggaam verteenwoordig word as hy of sy dit wil en indien nasionale wetgewing dit toelaat nie.

Klousule 4

Verpligtinge van die data-uitvoerder

Die data-uitvoerder aanvaar en waarborg die volgende:

a) die verwerking, insluitend die werklike oordrag van persoonlike data, is en sal voortgaan om uitgevoer te word in ooreenstemming met die toepaslike bepalings van toepaslike databeskermingswetgewing (en, waar van toepassing, is in kennis gestel aan die bevoegde owerhede van die lidstaat waarin die data-uitvoerder gebaseer is) en nie die relevante bepalings van daardie staat oortree nie;

b) hulle opdrag gegee het, en vir die duur van die persoonlike dataverwerkingsdienste, die Data-invoerder opdrag gegee het om die persoonlike data wat oorgedra word namens die Data-uitvoerder en in ooreenstemming met toepaslike databeskermingswetgewing en hierdie klousules te verwerk;

c) die Data-invoerder sal voldoende waarborge verskaf met betrekking tot die tegniese en organisatoriese sekuriteitsmaatreëls gespesifiseer in Bylaag 2 tot die huidige kontrak;

d) na evaluering van die vereistes van die toepaslike databeskermingswetgewing, is die sekuriteitsmaatreëls voldoende om persoonlike data te beskerm teen toevallige of onwettige vernietiging of toevallige verlies, verandering, ongemagtigde openbaarmaking of toegang, veral waar die verwerking die oordrag van data behels oor 'n netwerk, en teen alle ander onwettige vorme van verwerking en verseker 'n vlak van sekuriteit wat geskik is vir die risiko's verteenwoordig deur die verwerking en die aard van die data wat beskerm moet word, met inagneming van die vlak van tegnologie en die koste van implementering;

e) hulle sal verseker dat aan veiligheidsmaatreëls voldoen word;

f) indien die oordrag betrekking het op spesiale kategorieë data, is die datasubjek ingelig of sal dit voor die oordrag, of so gou moontlik na die oordrag, ingelig word dat sy of haar data oorgedra kan word na 'n derde land wat nie aanbied nie 'n voldoende vlak van beskerming binne die betekenis van Richtlijn 95/46/EG;

g) hulle sal enige kennisgewing ontvang van die Data-invoerder of enige Dataverwerker kragtens Klousule 5 (b) en 8 (3) aan die databeskermingstoesighoudende owerheid stuur indien dit besluit om voort te gaan met oordrag of om die opskorting daarvan op te hef;

h) hulle sal aan datasubjekte, indien hulle dit versoek, 'n afskrif van hierdie Klousules, behalwe vir Bylaag 2, en 'n opsommende beskrywing van die sekuriteitsmaatreëls, en 'n afskrif van enige verdere subkontrakteursooreenkoms, wat kragtens hierdie Klousules gesluit is, beskikbaar stel, tensy die Klousules of die ooreenkoms bevat kommersiële inligting, in welke geval hy sodanige inligting kan terugtrek;

i) in die geval van subkontraktering van die dataverwerkingsproses, word die verwerkingsaktiwiteit ooreenkomstig klousule 11 uitgevoer deur 'n dataverwerker wat ten minste dieselfde vlak van beskerming van persoonlike data en datasubjek se regte bied as die data-invoerder kragtens hierdie klousules ; en

j) dit sal voldoening aan Klousule 4 (a) tot (i) verseker.

Klousule 5

Verpligtinge van die data-invoerder

Die Data-invoerder aanvaar en waarborg die volgende:

a) hulle die persoonlike data slegs namens die data-uitvoerder en onder die data-uitvoerder se instruksies en hierdie klousules sal verwerk; indien dit om enige rede nie kan voldoen nie, stem hulle in om die Data-uitvoerder so gou moontlik in kennis te stel van sy onvermoë, in welke geval die Data-uitvoerder die data-oordrag kan opskort en/of die kontrak kan beëindig;

b) hulle geen rede het om te glo dat die wet wat op hulle van toepassing is, hom verhinder om die instruksies wat deur die Data-uitvoerder gegee is en die verpligtinge wat ingevolge die kontrak op hom gevestig is, na te kom, en indien sodanige wet onderhewig is aan 'n verandering wat 'n wesenlike nadeel kan hê effek op die waarborge en verpligtinge ingevolge die Klousules, sal hy die Data-uitvoerder van die verandering in kennis stel sonder versuim nadat hy daarvan bewus geword het, in welke geval die Data-uitvoerder die data-oordrag kan opskort en/of die kontrak kan beëindig; (c) hulle die tegniese en organisatoriese sekuriteitsmaatreëls in Aanhangsel 2 gespesifiseer geïmplementeer het voordat hulle die persoonlike data wat oorgedra is verwerk het;

d) hulle sal die data-uitvoerder onverwyld in kennis stel:

i) enige bindende versoek vir openbaarmaking van persoonlike data van 'n wetstoepassingsowerheid, tensy anders gespesifiseer, soos 'n strafregtelike verbod wat daarop gemik is om die geheimhouding van 'n polisie-ondersoek te bewaar;

ii) enige toevallige of ongemagtigde toegang; en

iii) enige versoek wat direk van die betrokke persone ontvang is sonder om daarop te antwoord tensy hy gemagtig is om dit te doen; administrateurs

e) hulle alle navrae van die Data-uitvoerder oor sy verwerking van die persoonlike data wat oorgedra word stiptelik en behoorlik sal hanteer en sal optree onder die mening van die toesighoudende owerheid rakende die verwerking van die data wat oorgedra word;

f) op versoek van die Data-uitvoerder sal hulle sy dataverwerkingsfasiliteite onderwerp aan 'n oudit van die verwerkingsaktiwiteite wat deur hierdie klousules gedek word, wat deur die Data-uitvoerder of 'n toesighoudende liggaam saamgestel uit onafhanklike lede met die vereiste professionele kwalifikasies uitgevoer moet word, onderhewig aan 'n verpligting tot geheimhouding en gekies deur die Data-uitvoerder, waar toepaslik met die ooreenkoms van die toesighoudende owerheid;

g) hulle sal aan die datasubjek beskikbaar stel, indien hy dit versoek, 'n afskrif van hierdie Klousules, of enige bestaande subkontraktering van die dataverwerkingskontrak, tensy die Klousules of die kontrak kommersiële inligting bevat, in welke geval dit sodanige inligting, behalwe vir Bylaag 2, wat vervang sal word deur 'n opsommende beskrywing van die sekuriteitsmaatreëls, waar die datasubjek nie 'n afskrif van die Data-uitvoerder kan kry nie;

h) in die geval van vertroulike verdere subkontraktering van die dataverwerking, sal hy verseker dat hy die Data-uitvoerder vooraf inlig en die Data-uitvoerder se skriftelike toestemming verkry;

i) die verwerkingsdienste wat deur die dataverwerker verskaf word, sal aan Klousule 11 voldoen;

j) hulle sal onverwyld 'n afskrif van enige subkontraktering van die dataverwerkingsooreenkoms wat deur hulle ingevolge hierdie Klousules aangegaan is, aan die Data-uitvoerder stuur.

Klousule 6

Verantwoordelikheid

1. Die partye kom ooreen dat enige datasubjek wat skade gely het weens 'n verbreking van die verpligtinge waarna in Klousule 3 of Klousule 11 verwys word deur een party of deur 'n Dataverwerker vergoeding van die Data-uitvoerder kan kry vir die skade wat gely is.

2. Indien 'n datasubjek verhinder word om 'n aksie vir skadevergoeding soos bedoel in paragraaf 1 teen die Data-uitvoerder in te stel vir die versuim deur die Data-invoerder of sy Dataverwerker om aan enige van sy verpligtinge ingevolge Klousule 3 of Klousule 11 te voldoen omdat die Data Uitvoerder fisies verdwyn het, ophou bestaan ​​in die wet of insolvent geword het, stem die Data-invoerder in dat die datasubjek 'n klag teen hom kan indien asof dit die Data-uitvoerder is, tensy alle wetlike verpligtinge van die Data-uitvoerder per kontrak oorgedra is. of kragtens wet, aan sy opvolgende entiteit, waarteen die datasubjek dan sy regte kan afdwing. Die Data-invoerder mag nie staatmaak op 'n verbreking van sy verpligtinge deur 'n Dataverwerker om sy eie aanspreeklikheid te vermy nie.

3. Indien 'n datasubjek verhinder word om die aksie bedoel in paragrawe 1 en 2 teen die Data-uitvoerder of die Data-invoerder in te stel vir die verbreking deur die Dataverwerker van sy verpligtinge kragtens Klousule 3 of Klousule 11 omdat die Data-uitvoerder en die Data-invoerder fisies verdwyn het, ingevolge hierdie klousules opgehou het om te bestaan ​​of insolvent geword het, stem die dataverwerker in dat die datasubjek 'n klag teen hom kan indien oor sy eie verwerkingsaktiwiteite ooreenkomstig hierdie klousules asof dit die data-uitvoerder of data-invoerder is, tensy alle wetlike verpligtinge van die data-uitvoerder of data-invoerder is, deur kontrak of kragtens wet, oorgedra aan die wettige opvolger, teen wie die datasubjek dan sy regte kan laat geld.Die aanspreeklikheid van die Dataverwerker moet beperk word tot sy eie verwerkingsaktiwiteite in ooreenstemming met hierdie klousules.

 

Klousule 7

Bemiddeling en jurisdiksie

1. Die Data-invoerder stem in dat indien die datasubjek kragtens die klousules die reg van die derdeparty-begunstigde teen hom beroep en/of vergoeding eis vir die benadeling wat gely is, hy die besluit van die datasubjek sal aanvaar:

a) om die dispuut aan bemiddeling deur 'n onafhanklike persoon of, waar toepaslik, die toesighoudende owerheid te onderwerp;

b) om die dispuut voor die howe van die lidstaat waar die data-uitvoerder gebaseer is, te bring.

2. Die partye stem ooreen dat die keuse wat deur die datasubjek gemaak word, nie die prosedurele of substantiewe reg van die datasubjek om regstelling te verkry in ooreenstemming met ander bepalings van nasionale of internasionale reg sal beïnvloed nie.

Klousule 8

Samewerking met toesighoudende owerhede

1. Die Data-uitvoerder stem in om 'n afskrif van die huidige kontrak by die toesighoudende owerheid te deponeer indien laasgenoemde dit vereis of indien sodanige deposito deur die toepaslike databeskermingswet voorsiening gemaak word.

2. Die partye kom ooreen dat die toesighoudende owerheid kontroles by die Data-invoerder en enige Dataverwerker mag uitvoer in dieselfde mate en onder dieselfde voorwaardes as met kontroles wat uitgevoer word by die Data-uitvoerder in ooreenstemming met toepaslike databeskermingswetgewing.

3. Die Data-invoerder sal die Data-uitvoerder so gou moontlik in kennis stel van die bestaan ​​van wetgewing rakende die Data-invoerder of enige Data-verwerker wat verifikasie by die Data-invoerder of enige Data-verwerker in ooreenstemming met paragraaf 2 verhoed. In so 'n geval, die Data-uitvoerder kan die maatreëls tref waarvoor in klousule 5 (b) voorsiening gemaak word.

Klousule 9

Toepaslike wetgewing

Die klousules is van toepassing en word beheer deur die wet van die lidstaat waar die data-uitvoerder gebaseer is.

Klousule 10

Wysiging van die kontrak

Die partye onderneem om nie die huidige klousules te wysig nie. Die partye bly vry om ander kommersiële klousules in te sluit wat hulle nodig ag, mits dit nie die huidige klousules weerspreek nie.

Klousule 11

Daaropvolgende subkontraktering

1. Die Data-invoerder sal geen van sy verwerkingsaktiwiteite wat namens die Data-uitvoerder onder hierdie klousules uitgevoer word, subkontrakteer sonder die vooraf skriftelike toestemming van die Data-uitvoerder nie. Die Data-invoerder sal slegs sy verpligtinge kragtens hierdie Klousules onderkontrakteer, met die toestemming van die Data-uitvoerder, deur middel van 'n skriftelike ooreenkoms met die Dataverwerker wat dieselfde verpligtinge aan die Dataverwerker oplê as dié wat ingevolge hierdie Klousules aan die Data-invoerder opgelê word. Indien die dataverwerker nie aan sy databeskermingsverpligtinge kragtens daardie skriftelike ooreenkoms kan voldoen nie, bly die data-invoerder ten volle verantwoordelik teenoor die data-uitvoerder vir die nakoming van daardie verpligtinge.

2. Die vooraf skriftelike ooreenkoms tussen die Data-invoerder en die Dataverwerker sal ook 'n derdeparty-begunstigde-klousule insluit soos uiteengesit in Klousule 3 vir gevalle waar die datasubjek verhinder word om die eis vir skadevergoeding in te stel waarna in Klousule 6 (1) verwys word. ), teen die data-uitvoerder of data-invoerder omdat die data-uitvoerder of data-invoerder fisies verdwyn het, wetlik ophou bestaan ​​het of insolvent geraak het en alle wetlike verpligtinge van die data-uitvoerder of data-invoerder nie deur kontrak of deur operasie oorgedra is nie. van die wet, na 'n ander opvolgende entiteit. Aanspreeklikheid van die dataverwerker moet beperk word tot sy eie verwerkingsaktiwiteite in ooreenstemming met hierdie klousules.

3. Die bepalings met betrekking tot die databeskermingsaspekte van die subkontraktering van die dataverwerking van die kontrak waarna in paragraaf 1 verwys word, word beheer deur die wet van die lidstaat waarin die data-uitvoerder gevestig is.

4. Die Data-uitvoerder hou 'n lys van die subkontrakteurs van die dataverwerkingsooreenkomste wat kragtens hierdie Klousules gesluit is en deur die Data-invoerder in kennis gestel word in ooreenstemming met Klousule 5 (j), wat ten minste een keer per jaar bygewerk sal word. Hierdie lys sal aan die data-uitvoerder se toesighoudende owerheid vir databeskerming beskikbaar gestel word.

Klousule 12

Verpligting na die beëindiging van persoonlike dataverwerkingsdienste

1. Die partye kom ooreen dat na voltooiing van die dataverwerkingsdienste, die data-invoerder en die dataverwerker, na die data-uitvoerder se gerief, alle persoonlike data wat oorgedra is en afskrifte daarvan aan die data-uitvoerder sal terugbesorg, of al sodanige data sal vernietig en bewys lewer die vernietiging aan die Data-uitvoerder, tensy wetgewing wat aan die Data-invoerder opgelê is dit verhoed om alle of 'n gedeelte van die persoonlike data wat oorgedra is, terug te gee of te vernietig. In daardie geval waarborg die Data-invoerder dat dit die vertroulikheid van die persoonlike data wat oorgedra word sal verseker en dat dit nie meer aktief die data sal verwerk nie.

2. Die Data-invoerder en die Dataverwerker sal verseker dat, indien so versoek deur die Data-uitvoerder en/of die toesighoudende owerheid, hulle hul wyse van dataverwerking sal onderwerp aan verifikasie van die maatreëls waarna in paragraaf 1 verwys word.

 

 

 

 

Bylaag 1.1 tot Deel 2

Besonderhede van die oordrag

 

 

Data Uitvoerder

Die data-uitvoerder is die kliënt wat in die kontraktuele ooreenkoms gedefinieer word.

 

Data invoerder

Die data-invoerder is POSTCODEZIP en is aangewys om die data te verwerk, om dienste aan die data-uitvoerder te verskaf.

 

Onderwerpe van die data

Die persoonlike data wat oorgedra word, het betrekking op die volgende kategorieë datasubjekte:

�? telefoonintekenare wat in die universele gids gelys is

â˜' Ander, insluitend:

 

Kategorieë van data

Die persoonlike data wat oorgedra word, het betrekking op die volgende kategorieë data:

 

Kategorieë van persoonlike data van die data-uitvoerder se datasubjekte in die besonder,

�? Volle naam

â˜' Posadres

�? Kontakbesonderhede (e-pos, telefoon, IP-adres, ens.)

�? Besonderhede van bemarkingsaktiwiteite rakende die telefoonintekenaar

â˜' Ander, insluitend die tipe behuising, inkomste en gemiddelde ouderdomme deur die stad wat anoniem gemaak is

 

Spesiale kategorieë data (indien van toepassing)

Die persoonlike data wat oorgedra word, het betrekking op die volgende spesiale kategorieë data:

â˜' Die oordrag van spesiale kategorieë data word nie voorsien nie

�? Ras of etniese oorsprong

�? Godsdienstige of filosofiese oortuigings

�? Vakbondlidmaatskap

�? Politieke standpunte

�? Genetiese inligting

�? Biometriese inligting

â˜?? Inligting oor seksuele oriëntasie of seksuele lewe

�? Gesondheidsdata

 

Verwerkingsaktiwiteite

Die persoonlike data wat oorgedra word, sal onderhewig wees aan die volgende basiese verwerkingsaktiwiteite:

 

  •  
    • •  Doel van die verwerking

Die verwerking wat namens die data-uitvoerder onderneem word, is veral op die volgende onderwerpe gebaseer:

â˜' Beheer oor die produkte of dienste wat deur die data-uitvoerder aangebied word

â˜' Die aanbod van 'n produk of diens wat die gebelde persoon kan aanvra

â˜' Bestellings geneem van die persone wat geroep is en verdere verwerking van hierdie bestellings

â˜' Bestudeer vraelyste en ontledings

â˜' Telebemarking

�? Ander, insluitend:

 

  •  
    • •  Aard en doel van die verwerking

Die Data-invoerder verwerk die persoonlike data van die datasubjekte namens die Data-uitvoerder om die volgende dienste te verskaf, en veral:

  • â˜' Outomatiese vormvoltooiing
  • â˜' Adresse bekragtigingsvorm

â˜' Verkope en Bemarking

â˜' Ander, insluitend die opdatering van databasisse van stadsale en politieke partye

 

  •  
    • •  Verskaffing van dienste en indiensneming van diensverskaffers

 

POSTCODEZIP kombineer, sentraliseer en verskaf hoofsaaklik dienste aan die data-uitvoerder. Die dienste wat deur die genoemde diensverskaffer verskaf word, kan gestruktureer word (onder andere soos toepaslik) rondom die volgende bykomstige dienste: (i) voorsiening van toepassings, gereedskap, stelsels en IT-infrastruktuur met betrekking tot die dataverwerkingsentrums wat gebruik word, ten einde te voorsien en die dienste te ondersteun, insluitend die verwerking van die persoonlike data van die datasubjekte soos hierbo beskryf, via sulke toepassings, gereedskap en stelsels, (ii) die verskaffing van IT-ondersteuning, instandhouding en ander dienste met betrekking tot sodanige toepassings, gereedskap, stelsels en IT-infrastruktuur, insluitend potensiële toegang tot persoonlike data wat in sulke toepassings, gereedskap en stelsels gestoor word, en (iii) die verskaffing van databeskermingsdienste, beskermingsmonitering en insidentreaksiedienste,insluitend potensiële toegang tot persoonlike data wanneer sulke beskermingsdienste verskaf word. POSTCODEZIP kan dataverwerkers soos hieronder uiteengesit betrek om die dienste te verskaf, insluitend bykomende dienste.

 

  •  
    • • Eksterne derdepartydiensverskaffers as sub-entiteite wat aan dataverwerking toegewys is

 

POSTCODEZIP skakel eksterne en derdeparty diensverskaffers, wat nie filiale van POSTCODEZIP is nie, om die verskaffing van dienste aan die Data-uitvoerder te ondersteun. Die data-uitvoerder keur sulke eksterne derdeparty-diensverskaffers goed as sub-entiteite wat aan dataverwerking toegewys is.

 

Indien 'n sub-entiteit wat betrokke is by dataverwerking buite die EU/EER geleë is, in 'n land wat volgens 'n besluit van die Europese Kommissie nie 'n voldoende vlak van databeskerming het nie, sal die Data-invoerder stappe doen om 'n voldoende vlak van databeskerming in ooreenstemming met die GDPR en afdeling 3.4 (iv) van Deel 1.

 

 

Bylaag 2, Deel 2

Tegniese en organisatoriese beskermingsmaatreëls

 

Die Data-invoerder sal die volgende tegniese en organisatoriese beskermingsmaatreëls tref wat deur die Data-uitvoerder bevestig is, om 'n toepaslike vlak van sekuriteit vir die regte en vryhede van individue te waarborg, afhangende van die risiko's. By die beoordeling van die betrokke vlak van beskerming, het die data-uitvoerder veral die risiko's wat by die verwerking betrokke is, in ag geneem, insluitend toevallige of onwettige vernietiging, verandering, ongemagtigde openbaarmaking of toegang tot persoonlike data wat versend, gestoor of andersins verwerk is. Ter verduideliking: Hierdie tegniese en organisatoriese beskermingsmaatreëls is nie van toepassing op die toepassings, gereedskap, stelsels en/of IT-infrastruktuur wat deur die Data-uitvoerder verskaf word nie.

1 Algemene tegniese en organisatoriese beskermingsmaatreëls

1.1 Algemene inligting en databeskermingstrategieë

Die volgende stappe moet geneem word om algemene data- en inligtingbeskermingstrategieë te volg:

  • a) maatreëls tref om dié wat geneem is met betrekking tot tegniese en organisatoriese beskerming te evalueer;
  • b) verskaf opleiding om bewustheid onder werknemers te kweek;
  • c) 'n beskrywing van die betrokke stelsels hê en toegang aan werknemers verleen;
  • d) 'n formele dokumentasieproses daarstel wanneer stelsels geïmplementeer of gewysig word;
  • e) die dokumentasie van die organisasiestruktuur, prosesse, verantwoordelikhede en onderskeie evaluerings;

1.2 Organisering van inligtingbeskerming

Die volgende maatreëls moet getref word om data- en inligtingbeskermingsaktiwiteite te koördineer:

  • a) gedefinieerde verantwoordelikhede vir die beskerming van inligting en data (bv. deur die databeskermingsbestuursbeleid);
  • b) die nodige kundigheid oor die beskerming van inligting en data wat beskikbaar bly;
  • c) alle werknemers is daartoe verbind om te verseker dat persoonlike data vertroulik gehou word, en is ingelig oor die moontlike gevolge van die verbreking van hierdie verbintenis.

1.3 Toegangsbeheer tot verwerkingsareas

Die volgende maatreëls moet getref word om te verhoed dat ongemagtigde persone toegang tot dataverwerkingstelsels (veral sagteware en hardeware) verkry wanneer persoonlike data verwerk, gestoor of versend word:

  • a) veilige gebiede te vestig;
  • b) beskerm en beperk toegang tot dataverwerkingstelsels;
  • c) toegangsmagtigings vir werknemers en derde partye daarstel, insluitend die onderskeie dokumente;
  • d) enige toegang tot dataverwerkingsentrums waarin persoonlike data gestoor word, sal aangeteken word.

1.4 Toegangsbeheer tot dataverwerkingstelsels

Die volgende maatreëls moet getref word om ongemagtigde toegang tot dataverwerkingstelsels te voorkom:

  • a) gebruikersverifikasiebeleide en -prosedures;
  • b) die gebruik van wagwoorde op alle rekenaarstelsels;
  • c) afstandtoegang tot die netwerk vereis multi-faktor-verifikasie en word aan die betrokke persoon toegestaan ​​volgens hul verantwoordelikhede en met magtiging;
  • d) toegang tot spesifieke funksies is gebaseer op werkfunksies en/of eienskappe wat individueel aan 'n gebruiker se rekening toegeken is;
  • e) toegangsregte wat verband hou met persoonlike data word gereeld hersien;
  • f) rekords van veranderinge aan toegangsregte word op datum gehou.

1.5 Beheer van toegang tot bepaalde gebruiksareas van dataverwerkingstelsels

Die volgende maatreëls moet getref word om te verseker dat gemagtigde persone met die reg om die dataverwerkingstelsel te gebruik slegs toegang tot data binne hul onderskeie verantwoordelikhede en toegangsmagtigings kan verkry en dat persoonlike data nie sonder magtiging gelees, gekopieer, gewysig of uitgevee kan word nie:

  1. 1. 
    1. a) beleide, instruksies en opleiding van werknemers, met betrekking tot die verpligtinge van elkeen van hulle oor vertroulikheid, regte op toegang tot persoonlike data, en die omvang van die verwerking van persoonlike data;
  • b) dissiplinêre maatreëls teen persone wat toegang tot persoonlike data verkry sonder magtiging;
  • c) toegang tot persoonlike data sal slegs aan gemagtigde persone verleen word, op 'n behoefte-om-te-weet-basis;
  • d) 'n lys van stelseladministrateurs byhou en toepaslike maatreëls tref om stelseladministrateurs te monitor;
  • e) om nie persoonlike data op enige bergingstelsel te kopieer of te reproduseer om ongemagtigde persone in staat te stel om die inligting van die skepper te verwyder nie;
  • f) beheerde en gedokumenteerde uitwissing of vernietiging van data;
  • g) om alle persoonlike data wat vir wetlike of regulatoriese redes behou moet word (bv. verpligtinge om data te behou) veilig te stoor en slegs vir so lank as wat die wet vereis.

1.6 Transmissiebeheer

Die volgende maatreëls moet getref word om te verhoed dat persoonlike data gelees, gekopieer, gewysig of uitgevee word deur ongemagtigde derde partye tydens die oordrag of vervoer van databergingstoestelle (afhangende van die verwerking van persoonlike data wat onderneem is):

  1. 1. 
    1. a) gebruik van brandmure;
  • b) vermyding van die berging van persoonlike data op mobiele bergingstoestelle vir vervoerdoeleindes, of die enkripteer van die toestelle;
  • c) gebruik slegs op skootrekenaars en ander mobiele toestelle nadat die enkripsiebeskerming geaktiveer is;
  • d) aanteken van persoonlike data-oordragte.

1.7 Data-invoerbeheer

Die volgende maatreëls moet getref word om te verseker dat dit moontlik is om te verifieer en te bepaal of persoonlike data ingevoer is of uit dataverwerkingstelsels geskrap is en deur wie:

  1. 1. 
    1. a) 'n beleid vir die magtiging van die lees, wysiging en uitvee van gestoorde data;
  • b) beskermingsmaatreëls rakende die lees, wysiging en uitvee van gestoorde data.

1.8 Werkbeheer

In die geval van gedelegeerde verwerking van persoonlike data, moet die volgende maatreëls getref word om te verseker dat sodanige data in ooreenstemming met die instruksies van die Toesighouer verwerk word:

  1. 1. 
    1. a) entiteite of sub-entiteite wat aan dataverwerking toegewys is, met sorg gekies (diensverskaffers wat persoonlike data namens die beheerder verwerk);
  • b) instruksies rakende die omvang van enige verwerking van persoonlike data aan die werknemers, entiteite of sub-entiteite wat aan die dataverwerking toegewys is;
  • c) ouditregte ooreengekom met die entiteite of sub-entiteite wat aan die dataverwerking toegewys is;
  • d) ooreenkomste in plek met die entiteite of sub-entiteite wat toegewys is om die data te verwerk.

1.9 Skeiding van verwerking vir ander doeleindes

Die volgende maatreëls moet getref word om te verseker dat data wat vir ander doeleindes ingesamel word afsonderlik verwerk kan word:

  1. 1. 
    1. a) afsonderlike toegang tot persoonlike data in ooreenstemming met gebruikers se bestaande regte;
  • b) koppelvlakke, bondelverwerking en verslagdoening is vir ander doeleindes en funksies, sodat data wat vir ander doeleindes ingesamel is, afsonderlik verwerk kan word.

1.10 Skuilonimisering

Die volgende maatreëls moet getref word met betrekking tot die skuilnaamisering van persoonlike data:

  1. 1. 
    1. a) Indien die Data-uitvoerder 'n spesifieke verwerkingsoperasie beveel of indien dit deur die Data-invoerder as toepaslik geag word in ooreenstemming met die databeskermingswette wat van krag is rakende sekere verwerkingsaktiwiteite, sal die verwerking van persoonlike data op so 'n wyse uitgevoer word dat die data kan nie meer aan 'n spesifieke persoon toegeskryf word sonder die gebruik van bykomende inligting nie. Hierdie bykomende inligting sal apart gehou word;
  • b) gebruik van pseudonimiseringstegnieke, insluitend toekenningslys-randomisering; skep van waardes in die vorm van skerpte.

1.11 Enkripsie

Die volgende stappe moet geneem word om persoonlike data te enkripteer in toepassings en uitsendings wat enkripsie ondersteun:

  1.  
    1. a) gebruik van enkripsietegnieke;
  • b) vestiging van enkripsiebestuur om die enkripsietegnieke te ondersteun wat gemagtig is om gebruik te word;
  • c) ondersteuning van die gebruik van kriptografie deur prosedures en protokolle vir die generering, wysiging, herroeping, vernietiging, verspreiding, sertifisering, berging, vaslegging, gebruik en argivering van kriptografiese sleutels om te beskerm teen ongemagtigde wysiging en openbaarmaking.

1.12 Voltooidheid van dataverwerkingstelsels en -dienste

Die volgende maatreëls moet getref word om die volledigheid van dataverwerkingstelsels en -dienste te verseker:

  1. 1. a) beskerming van dataverwerkingstelsels teen manipulasie of vernietiging deur toepaslike middele (bv. anti-virus sagteware, sagteware vir die voorkoming van dataverlies en sagteware teen wanware, sagteware-kolle, brandmure en bestuurde rekenaarbeskerming);
  • b) die installering van enige diens of sagteware wat skadelik is vir dataverwerkingstelsels, -dienste of die manipulasie van persoonlike data verbied;
  • c) gebruik van 'n netwerk indringing opsporing en voorkoming stelsel in die struktuur van die netwerk self.

1.13 Beskikbaarheid van dataverwerkingstelsels en -dienste en die moontlikheid om toegang tot en gebruik van persoonlike data te herstel in die geval van 'n wesenlike of tegniese voorval

Die volgende maatreëls moet getref word om die beskikbaarheid van dataverwerkingstelsels te verseker, asook om die beskikbaarheid van en toegang tot persoonlike data vinnig te kan herstel, in die geval van 'n wesenlike of tegniese voorval (veral deur te verseker dat persoonlike data word beskerm teen toevallige vernietiging of verlies):

  • a) beheermiddels hê om rugsteunkopieë te hou en verlore of geskrap data te herstel;
  • b) infrastruktuur oortolligheid en prestasietoetsing;
  • c) fisiese beskerming van rekenaarhulpbronne;
  • d) gebruik van gereedskap om die status en beskikbaarheid van die interne netwerk te monitor;
  • e) voorvalverslagdoening en reaksiebeleide wat die voorvalbestuurprosedure beheer, en herhaling van nakoming van hierdie beleide as deel van gereelde opleiding;
  • f) rugsteun (soms buite die perseel) om die stelsel te herstel sodat dit weer sy funksies kan verrig;
  • g) besigheidskontinuïteit/rampherstelplanne

1.14 Veerkragtigheid van dataverwerkingstelsels en -dienste

Die volgende maatreëls moet getref word om die veerkragtigheid van dataverwerkingstelsels en -dienste te verseker:

  • a) stelsels en harmonieus gekonfigureer, met behulp van goedgekeurde sekuriteitsparameters;
  • b) netwerkoortolligheid;
  • c) inperkingsbeskerming van kritieke stelsels.

1.15 Prosedure om gereeld die doeltreffendheid van tegniese en organisatoriese maatreëls te toets, te evalueer en te assesseer om die sekuriteit van dataverwerking te verseker

Prosedure om gereeld die doeltreffendheid van tegniese en organisatoriese maatreëls te toets, te evalueer en te assesseer om dataverwerking te beskerm.

  • a) die nodige stappe te neem om risiko's en versagtingstrategieë te assesseer;
  • b) diensontledingsvergaderings van die IT-afdeling om huidige kwessies aan te spreek;
  • c) besigheidskontinuïteit/rampherstelplanne word gereeld bygewerk.

 

Deel 3

Handtekeninge van die partye en lys van data-invoerders

 

Wanneer jy die aanlyn bestelvorm invul en dit bevestig deur die blokkie te merk wat die algemene gebruiksbepalings en -voorwaardes aanvaar, word die kontrak wat die verhouding tussen die kliënt en POSTCODEZIP beheer, tot stand gebring.

Deur die betaling aan POSTCODEZIP te stuur, sal die kontrak wat ooreengekom en tot stand gebring is, oorweeg.

Neem kennis: Hierdie teks is uit Frans vertaal. Die oorspronklike Franse weergawe, wat geldig en wetlik beperkend is, is  hier beskikbaar .