Dataverwerking bylaag
Hierdie Bylaag vorm 'n integrale deel van die Kontrak en word aangegaan deur:
Elkeen is 'n " party " en gewoonlik " partye ".
Aanhef
WAAR die Data-invoerder professionele sagtewaredienste, rekenaar en verwante dienste verskaf;
WAAR ingevolge die Kontrak, die Data-invoerder ingestem het om die dienste wat in die Kontrak gespesifiseer word (die " Dienste ") aan die Data-uitvoerder te verskaf;
WAAR, deur die verskaffing van die Dienste, die Data-invoerder toegang tot die Data-uitvoerder se inligting of die inligting van ander persone wat 'n (potensiële) verhouding met die Data-uitvoerder het, ontvang of daarby baat, kan sodanige inligting as persoonlike data in die betekenis van Regulasie gekwalifiseer word. (EU) 2016/679 van die Europese Parlement en van die Raad van die 27ste April 2016 oor die beskerming van individue rakende die verwerking van persoonlike data en oor die vrye beweging van sulke data (" GDPR ") en ander toepaslike databeskermingswette.
WAAR hierdie Bylaag die bepalings en voorwaardes bevat wat van toepassing is op die versameling, verwerking en gebruik van sodanige persoonlike data deur die Data-invoerder in sy hoedanigheid as die gemagtigde dataverwerkingsagent van die Data-uitvoerder, om te verseker dat die Partye aan toepaslike databeskermingswetgewing voldoen .
DUS, en om die Partye in staat te stel om hul verhouding wettiglik voort te sit, het die Partye hierdie Aanhangsel soos volg afgesluit:
Deel 1
1. Struktuur van die dokument en definisies
1.1 Struktuur
Hierdie aanhangsel bestaan uit verskillende dele soos volg:
Deel 1: | bevat algemene bepalings, bv. rakende die definisies wat in hierdie Bylaag gebruik word, voldoening aan plaaslike wette, tydsberekening en beëindiging |
Deel 2: | bevat die liggaam van die ongewysigde Standaard Kontraktuele Klousule-dokument |
Bylaag 1.1 van Deel 2: | bevat die besonderhede van die verwerkingsoperasies wat deur die Data-invoerder aan die Data-uitvoerder as die gemagtigde dataverwerkingsagent verskaf word (insluitend die verwerking, aard en doel van die verwerking, die tipe persoonlike data en die kategorieë van datasubjekte) kragtens hierdie Bylaag |
Bylaag 2 van Deel 2: | bevat 'n beskrywing van die Data-invoerder se tegniese en organisatoriese sekuriteitsmaatreëls, wat toegepas word in verband met alle verwerkingsaktiwiteite beskryf in Bylaag 1.1 van Deel 2 |
Deel 3: | bevat die handtekeninge van die partye wat deur hierdie aanhangsel gebind moet word en identifiseer elke data-invoerder |
1.2 Terminologie en definisies
Vir die doeleindes van hierdie Bylaag is die terminologie en definisies wat deur die GDPR gebruik word van toepassing (In die liggaam van die Standaard Kontraktuele Klousule-dokument in Deel 2, waar gedefinieerde terme nie gekapitaliseer word nie).
"Lidstaat" | beteken 'n land wat aan die Europese Unie of die Europese Ekonomiese Ruimte behoort |
"Spesiale kategorieë van (persoonlike) data" | verwys na persoonlike data wat rasse of etniese oorsprong openbaar, politieke opinies, godsdienstige of filosofiese oortuigings, of vakbondlidmaatskap, en genetiese data, biometriese data, indien verwerk met die doel om 'n persoon uniek te identifiseer, data rakende gesondheid, data rakende 'n persoon se geslag lewe of seksuele oriëntasie |
"Standaard kontraktuele klousules" | beteken die standaard kontraktuele klousules vir die oordrag van persoonlike data van verwerkingsagente wat in derde lande gevestig is, kragtens Kommissiebesluit 2010/87/EU op 5 Februarie 2010, wat gewysig is deur die Kommissie-implementeringsbesluit (EU) 2016/2297 op die 16de van Desember 2016 |
"Dataverwerker" | beteken enige verwerkingsagent, geleë binne of buite die EU/EER, wat instem om van die Data-invoerder of enige ander verwerker van die Data-invoerder persoonlike data te ontvang vir die uitsluitlike doel van verwerkingsaktiwiteite wat deur die Data-uitvoerder uitgevoer moet word na die oordrag in ooreenstemming met die data-uitvoerder se instruksies, die bepalings van hierdie aanhangsel en die kontrak met die data-invoerder |
2. Verpligtinge van die data-uitvoerder
2.1 Die Data-uitvoerder het 'n verpligting om voldoening aan alle toepaslike verpligtinge kragtens die GDPR en enige ander toepaslike databeskermingswet wat op die Data-uitvoerder van toepassing is, te verseker en om sodanige voldoening te toon soos vereis deur Artikel 5 (2) van die GDPR. Die Data-uitvoerder waarborg dat die Data-invoerder die vooraftoestemming van die datasubjekte ooreenkomstig Artikel 6 (a) van die GDPR verkry het en voldoen het aan sy verpligting om die datasubjekte in te lig in ooreenstemming met Artikel 13 en 14 van die GDPR.
2.2 Die data-uitvoerder moet die data-invoerder voorsien van die onderskeie lêers van die verwerkingsaktiwiteite in ooreenstemming met artikel 30 (1) van die GDPR wat verband hou met die dienste onder hierdie aanhangsel, in die mate wat nodig is vir die data-invoerder om te voldoen aan die verpligting kragtens Artikel 30 (2) van die GDPR.
2.3 Die Data-uitvoerder moet 'n databeskermingsbeampte of -verteenwoordiger aanstel in die mate wat deur toepaslike databeskermingswetgewing vereis word. Die Data-uitvoerder is verplig om die kontakbesonderhede van die databeskermingsagent of verteenwoordiger, indien enige, aan die Data-invoerder te verskaf.
2.4. Die Data-uitvoerder bevestig voor die voltooiing van die verwerking, deur aanvaarding van hierdie Bylaag, dat die Data-invoerder se tegniese en organisatoriese sekuriteitsmaatreëls, soos uiteengesit in Bylaag 2 tot Deel 2, toepaslik en voldoende is om die regte van die datasubjek te beskerm en bevestig dat die Data-invoerder voldoende waarborge in hierdie verband bied.
3. Voldoening aan plaaslike wetgewing
Ten einde te voldoen aan die vereistes van die implementering van die verwerkingsagente volgens Artikel 28 van die GDPR, is die volgende wysigings van toepassing:
3.1 Instruksies
3.2 Verpligtinge van die data-invoerder
3.3 Regte van betrokke persone
3.4 Sub-verwerking
3.5 Vervaldatum
Die verstryking van hierdie Bylaag is identies aan die vervaldatum van die ooreenstemmende Kontrak. Tensy anders bepaal in hierdie Bylaag, sal die regte en pligte met betrekking tot beëindiging dieselfde wees as dié wat in die Kontrak vervat is.
4. Beperking van aanspreeklikheid
4.1 Elke party hanteer sy verpligtinge ingevolge hierdie Bylaag en die toepaslike databeskermingswetgewing.
4.2 Enige aanspreeklikheid wat verband hou met 'n verbreking van die verpligtinge ingevolge hierdie Bylaag of toepaslike databeskermingswetgewing sal onderhewig wees aan en beheer word deur die aanspreeklikheidsbepalings uiteengesit in, of van toepassing op, die Kontrak, behalwe soos anders bepaal in hierdie Bylaag. Indien aanspreeklikheid beheer word deur die aanspreeklikheidsbepalings uiteengesit in of van toepassing op die Kontrak, vir die berekening van aanspreeklikheidsperke of die bepaling van die toepassing van ander aanspreeklikheidsbeperkings, sal enige aanspreeklikheid wat ingevolge hierdie Aanhangsel ontstaan, geag word ingevolge die Kontrak ontstaan.
5. Algemene bepalings
5.1 Indien daar enige teenstrydighede of teenstrydighede tussen Dele 1 en 2 van hierdie Bylaag is, sal Deel 2 seëvier. Spesifiek, selfs in so 'n geval, sal Deel 1 wat bloot verder gaan as Deel 2 (dws die bepalings van Standaardklousules) sonder om dit te weerspreek, geldig bly.
5.2 Indien enige teenstrydigheid ontstaan tussen die bepalings van hierdie Bylae en dié van ander kontrakte wat die partye bind, sal hierdie Aanhangsel geld ten opsigte van die partye se databeskermingsverpligtinge. In geval van twyfel of klousules in ander kontrakte betrekking het op die partye se databeskermingsverpligtinge, sal hierdie Aanhangsel voorrang geniet.
5.3 Indien enige bepaling van hierdie Aanhangsel ongeldig of onafdwingbaar is, sal die res van hierdie Aanhangsel ten volle van krag bly. Die ongeldige of onafdwingbare bepaling sal (i) gewysig word om die geldigheid en afdwingbaarheid daarvan te verseker, terwyl die bedoeling van die partye so ver moontlik bewaar word, of - indien dit nie moontlik is nie - (ii) geïnterpreteer word asof die ongeldige of onafdwingbare deel nooit deel van die kontrak was nie. Die voorafgaande is ook van toepassing indien daar 'n weglating in hierdie Aanhangsel is.
5.5 In die mate wat nodig is, kan die Partye wysigings aan Deel 1, Klousule 3 (Volkoming van plaaslike wetgewing) of ander dele van die Aanhangsel versoek ten einde te voldoen aan interpretasies, voorskrifte of bevele uitgereik deur die bevoegde owerhede van die Unie of die Lidstate, nasionale afdwingingsbepalings, of enige ander wetlike ontwikkelings rakende die GDPR of ander voorwaardes van delegering aan enige entiteite wat betrokke is by dataverwerking en spesifiek met betrekking tot die gebruik van die standaard kontraktuele klousules in die GDPR. Die bepalings van die Standaard kontraktuele klousules mag nie gewysig of vervang word nie, tensy die Europese Kommissie dit uitdruklik goedkeur (bv. deur nuwe toereikende klousules en databeskermingstandaarde).
5.6 Enige verwysing in hierdie Bylaag na die " Klousules " sal verstaan word om te verwys na al die bepalings van hierdie Bylaag, tensy anders vermeld.
5.7 Die regskeuse in Deel 2, Klousule 9 is van toepassing op die hele Kontrak.
6. Persoonlike data oorgedra en verwerk deur die partye vir persoonlike doeleindes (oordrag van die databeheerder na die databeheerder)
6.1 Die Partye weet ten volle dat sekere persoonlike data van die Data-uitvoerder na die Data-invoerder oorgedra sal word en omgekeerd, en dat sodanige data deur elke Party vir sy eie doeleindes verwerk word. Wat sulke persoonlike data betref, raak dit nie die ander bepalings van hierdie Bylaag nie (behalwe vir hierdie klousule 6).
6.2 Die Data-uitvoerder kan persoonlike data met betrekking tot die personeel van die Data-invoerder na die Data-invoerder oordra, insluitend inligting oor sekuriteitsinsidente, of enige ander dokumente of lêers wat deur die Data-uitvoerder geskep of opgestel is in verband met die Dienste wat deur die personeel van die data-invoerder. Die Data-invoerder kan sulke persoonlike data vir sy eie doeleindes verwerk, veral in sy professionele verhoudings met die Data-invoerder se personeel, vir gehaltebeheer en opleiding, of vir besigheidsdoeleindes.
6.3. Die Data-invoerder kan persoonlike data aan die Data-uitvoerder oordra, insluitend die naam en kontakbesonderhede van die Data-invoerder se personeel. Die data-uitvoerder mag sulke persoonlike data vir sy eie doeleindes verwerk.
6.4 Beide partye sal voldoen aan enige toepaslike databeskermingswette, insluitend die GDPR, in die insameling, verwerking en gebruik van sodanige persoonlike data wat ingevolge klousule 1 van Deel 1 van die ander party ontvang is. 'n soortgelyke vlak van beskerming as die sekuriteitsmaatreëls uiteengesit in Bylaag 2 van Deel 2. Enige toegang tot sodanige persoonlike data sal beperk word tot die behoefte om dit te ken.
6.5 Beide Partye moet sodanige persoonlike data so gou moontlik uitvee nadat die doelwitte bereik is.
Deel 2
BESLUIT VAN DIE KOMMISSIE
op 5 Februarie 2010
oor standaard kontraktuele klousules vir die oordrag van persoonlike data aan dataverwerkers wat in derdepartylande gevestig is kragtens die 95/46/EG-richtlijn van die Europese Parlement en die Raad
Klousule 1
Definisies
Binne die betekenis van die klousules:
a) 'persoonlike data', 'spesiale kategorieë data', 'verwerking/verwerking', 'beheerder', 'verwerker', 'datasubjek' en 'toesighoudende gesag' het dieselfde betekenis as in die 95/46/EG Richtlijn van die Europese Parlement en van die Raad van 24 Oktober 1995 oor die beskerming van individue met betrekking tot die verwerking van persoonlike data en oor die vrye beweging van sodanige data (1);
b) die 'Data-uitvoerder' is die Databeheerder wat die persoonlike data oordra;
c) die 'Data-invoerder' is die dataverwerker wat instem om van die data-uitvoerder persoonlike data te ontvang wat bedoel is om na die oordrag na die oordrag verwerk te word in ooreenstemming met sy instruksies en onder die bepalings van hierdie klousules en wat nie onderhewig aan die meganisme van 'n derde land wat voldoende beskerming verseker binne die betekenis van Artikel 25(1) van Richtlijn 95/46/EG; (d) 'Dataverwerker' beteken die Dataverwerker wat deur die Data-invoerder of deur enige ander Dataverwerker van die Data-invoerder aangestel word wat instem om van die Data-invoerder of enige ander Dataverwerker van die Data-invoerder persoonlike data te ontvang uitsluitlik vir verwerkingsaktiwiteite om na die oordrag namens die data-uitvoerder uitgevoer word in ooreenstemming met die instruksies van die data-uitvoerder,onder die voorwaardes uiteengesit in hierdie Klousules en onder die bepalings van die skriftelike subkontraktering van die dataverwerkingskontrak;
e) "toepaslike databeskermingswetgewing" beteken die wetgewing wat die fundamentele regte en vryhede van individue beskerm, insluitend die reg op privaatheid met betrekking tot die verwerking van persoonlike data, en wat van toepassing is op 'n kontroleerder in die lidstaat waar die Data-uitvoerder gevestig is;
f) "tegniese en organisatoriese maatreëls met betrekking tot sekuriteit" beteken maatreëls wat bedoel is om persoonlike data te beskerm teen toevallige of onwettige vernietiging of toevallige verlies, verandering, ongemagtigde openbaarmaking of toegang, veral waar die verwerking die oordrag van data oor netwerke behels, en teen alle ander onwettige vorme van verwerking.
Klousule 2
Besonderhede van die oordrag
Die besonderhede van die oordrag, insluitend, waar toepaslik, spesiale kategorieë persoonlike data, word gespesifiseer in Bylaag 1, wat 'n integrale deel van hierdie klousules vorm.
Klousule 3
Derdeparty-begunstigde-klousule
1. Die datasubjek kan hierdie klousule, klousule 4(b) tot (i), klousule 5(a) tot (e) en (g) tot (j), klousule 6 (1) en (2) teen die data-uitvoerder afdwing ), Klousule 7, Klousule 8(2) en Klousule 9 tot 12 as 'n derdeparty-begunstigde
2. Die datasubjek kan hierdie klousule, klousule 5 (a) tot (e) en (g), klousule 6, klousule 7, klousule 8 (2) en klousules 9 tot 12 afdwing teen die data-invoerder waar die data-uitvoerder fisies het verdwyn het of in die wet ophou bestaan het, tensy al sy wetlike verpligtinge deur kontrak of kragtens wet oorgedra is aan die opvolgende entiteit, waarop die regte en verpligtinge van die Data-uitvoerder dus terugval, en waarteen die data onderwerp kan dus die genoemde klousules afdwing.
Die datasubjek kan hierdie klousule, klousule 5 (a) tot (e) en (g), klousule 6, klousule 7, klousule 8 (2) en klousules 9 tot 12 teen die dataverwerker afdwing, maar slegs in gevalle waar die data Uitvoerder en die Data-invoerder het fisies verdwyn, ophou bestaan in die wet of het insolvent geword, tensy al die wetlike verpligtinge van die Data-uitvoerder, deur kontrak of kragtens wet, oorgedra is aan die regsopvolger, aan wie die regte en verpligtinge van die Data-uitvoerder is dus gevestig, en teen wie die datasubjek dus sulke klousules kan afdwing. Sodanige aanspreeklikheid van die dataverwerker moet beperk word tot sy eie verwerkingsaktiwiteite kragtens hierdie klousules.
4. Die partye maak nie beswaar daarteen dat die datasubjek deur 'n vereniging of ander liggaam verteenwoordig word as hy of sy dit wil en indien nasionale wetgewing dit toelaat nie.
Klousule 4
Verpligtinge van die data-uitvoerder
Die data-uitvoerder aanvaar en waarborg die volgende:
a) die verwerking, insluitend die werklike oordrag van persoonlike data, is en sal voortgaan om uitgevoer te word in ooreenstemming met die toepaslike bepalings van toepaslike databeskermingswetgewing (en, waar van toepassing, is in kennis gestel aan die bevoegde owerhede van die lidstaat waarin die data-uitvoerder gebaseer is) en nie die relevante bepalings van daardie staat oortree nie;
b) hulle opdrag gegee het, en vir die duur van die persoonlike dataverwerkingsdienste, die Data-invoerder opdrag gegee het om die persoonlike data wat oorgedra word namens die Data-uitvoerder en in ooreenstemming met toepaslike databeskermingswetgewing en hierdie klousules te verwerk;
c) die Data-invoerder sal voldoende waarborge verskaf met betrekking tot die tegniese en organisatoriese sekuriteitsmaatreëls gespesifiseer in Bylaag 2 tot die huidige kontrak;
d) na evaluering van die vereistes van die toepaslike databeskermingswetgewing, is die sekuriteitsmaatreëls voldoende om persoonlike data te beskerm teen toevallige of onwettige vernietiging of toevallige verlies, verandering, ongemagtigde openbaarmaking of toegang, veral waar die verwerking die oordrag van data behels oor 'n netwerk, en teen alle ander onwettige vorme van verwerking en verseker 'n vlak van sekuriteit wat geskik is vir die risiko's verteenwoordig deur die verwerking en die aard van die data wat beskerm moet word, met inagneming van die vlak van tegnologie en die koste van implementering;
e) hulle sal verseker dat aan veiligheidsmaatreëls voldoen word;
f) indien die oordrag betrekking het op spesiale kategorieë data, is die datasubjek ingelig of sal dit voor die oordrag, of so gou moontlik na die oordrag, ingelig word dat sy of haar data oorgedra kan word na 'n derde land wat nie aanbied nie 'n voldoende vlak van beskerming binne die betekenis van Richtlijn 95/46/EG;
g) hulle sal enige kennisgewing ontvang van die Data-invoerder of enige Dataverwerker kragtens Klousule 5 (b) en 8 (3) aan die databeskermingstoesighoudende owerheid stuur indien dit besluit om voort te gaan met oordrag of om die opskorting daarvan op te hef;
h) hulle sal aan datasubjekte, indien hulle dit versoek, 'n afskrif van hierdie Klousules, behalwe vir Bylaag 2, en 'n opsommende beskrywing van die sekuriteitsmaatreëls, en 'n afskrif van enige verdere subkontrakteursooreenkoms, wat kragtens hierdie Klousules gesluit is, beskikbaar stel, tensy die Klousules of die ooreenkoms bevat kommersiële inligting, in welke geval hy sodanige inligting kan terugtrek;
i) in die geval van subkontraktering van die dataverwerkingsproses, word die verwerkingsaktiwiteit ooreenkomstig klousule 11 uitgevoer deur 'n dataverwerker wat ten minste dieselfde vlak van beskerming van persoonlike data en datasubjek se regte bied as die data-invoerder kragtens hierdie klousules ; en
j) dit sal voldoening aan Klousule 4 (a) tot (i) verseker.
Klousule 5
Verpligtinge van die data-invoerder
Die Data-invoerder aanvaar en waarborg die volgende:
a) hulle die persoonlike data slegs namens die data-uitvoerder en onder die data-uitvoerder se instruksies en hierdie klousules sal verwerk; indien dit om enige rede nie kan voldoen nie, stem hulle in om die Data-uitvoerder so gou moontlik in kennis te stel van sy onvermoë, in welke geval die Data-uitvoerder die data-oordrag kan opskort en/of die kontrak kan beëindig;
b) hulle geen rede het om te glo dat die wet wat op hulle van toepassing is, hom verhinder om die instruksies wat deur die Data-uitvoerder gegee is en die verpligtinge wat ingevolge die kontrak op hom gevestig is, na te kom, en indien sodanige wet onderhewig is aan 'n verandering wat 'n wesenlike nadeel kan hê effek op die waarborge en verpligtinge ingevolge die Klousules, sal hy die Data-uitvoerder van die verandering in kennis stel sonder versuim nadat hy daarvan bewus geword het, in welke geval die Data-uitvoerder die data-oordrag kan opskort en/of die kontrak kan beëindig; (c) hulle die tegniese en organisatoriese sekuriteitsmaatreëls in Aanhangsel 2 gespesifiseer geïmplementeer het voordat hulle die persoonlike data wat oorgedra is verwerk het;
d) hulle sal die data-uitvoerder onverwyld in kennis stel:
i) enige bindende versoek vir openbaarmaking van persoonlike data van 'n wetstoepassingsowerheid, tensy anders gespesifiseer, soos 'n strafregtelike verbod wat daarop gemik is om die geheimhouding van 'n polisie-ondersoek te bewaar;
ii) enige toevallige of ongemagtigde toegang; en
iii) enige versoek wat direk van die betrokke persone ontvang is sonder om daarop te antwoord tensy hy gemagtig is om dit te doen; administrateurs
e) hulle alle navrae van die Data-uitvoerder oor sy verwerking van die persoonlike data wat oorgedra word stiptelik en behoorlik sal hanteer en sal optree onder die mening van die toesighoudende owerheid rakende die verwerking van die data wat oorgedra word;
f) op versoek van die Data-uitvoerder sal hulle sy dataverwerkingsfasiliteite onderwerp aan 'n oudit van die verwerkingsaktiwiteite wat deur hierdie klousules gedek word, wat deur die Data-uitvoerder of 'n toesighoudende liggaam saamgestel uit onafhanklike lede met die vereiste professionele kwalifikasies uitgevoer moet word, onderhewig aan 'n verpligting tot geheimhouding en gekies deur die Data-uitvoerder, waar toepaslik met die ooreenkoms van die toesighoudende owerheid;
g) hulle sal aan die datasubjek beskikbaar stel, indien hy dit versoek, 'n afskrif van hierdie Klousules, of enige bestaande subkontraktering van die dataverwerkingskontrak, tensy die Klousules of die kontrak kommersiële inligting bevat, in welke geval dit sodanige inligting, behalwe vir Bylaag 2, wat vervang sal word deur 'n opsommende beskrywing van die sekuriteitsmaatreëls, waar die datasubjek nie 'n afskrif van die Data-uitvoerder kan kry nie;
h) in die geval van vertroulike verdere subkontraktering van die dataverwerking, sal hy verseker dat hy die Data-uitvoerder vooraf inlig en die Data-uitvoerder se skriftelike toestemming verkry;
i) die verwerkingsdienste wat deur die dataverwerker verskaf word, sal aan Klousule 11 voldoen;
j) hulle sal onverwyld 'n afskrif van enige subkontraktering van die dataverwerkingsooreenkoms wat deur hulle ingevolge hierdie Klousules aangegaan is, aan die Data-uitvoerder stuur.
Klousule 6
Verantwoordelikheid
1. Die partye kom ooreen dat enige datasubjek wat skade gely het weens 'n verbreking van die verpligtinge waarna in Klousule 3 of Klousule 11 verwys word deur een party of deur 'n Dataverwerker vergoeding van die Data-uitvoerder kan kry vir die skade wat gely is.
2. Indien 'n datasubjek verhinder word om 'n aksie vir skadevergoeding soos bedoel in paragraaf 1 teen die Data-uitvoerder in te stel vir die versuim deur die Data-invoerder of sy Dataverwerker om aan enige van sy verpligtinge ingevolge Klousule 3 of Klousule 11 te voldoen omdat die Data Uitvoerder fisies verdwyn het, ophou bestaan in die wet of insolvent geword het, stem die Data-invoerder in dat die datasubjek 'n klag teen hom kan indien asof dit die Data-uitvoerder is, tensy alle wetlike verpligtinge van die Data-uitvoerder per kontrak oorgedra is. of kragtens wet, aan sy opvolgende entiteit, waarteen die datasubjek dan sy regte kan afdwing. Die Data-invoerder mag nie staatmaak op 'n verbreking van sy verpligtinge deur 'n Dataverwerker om sy eie aanspreeklikheid te vermy nie.
3. Indien 'n datasubjek verhinder word om die aksie bedoel in paragrawe 1 en 2 teen die Data-uitvoerder of die Data-invoerder in te stel vir die verbreking deur die Dataverwerker van sy verpligtinge kragtens Klousule 3 of Klousule 11 omdat die Data-uitvoerder en die Data-invoerder fisies verdwyn het, ingevolge hierdie klousules opgehou het om te bestaan of insolvent geword het, stem die dataverwerker in dat die datasubjek 'n klag teen hom kan indien oor sy eie verwerkingsaktiwiteite ooreenkomstig hierdie klousules asof dit die data-uitvoerder of data-invoerder is, tensy alle wetlike verpligtinge van die data-uitvoerder of data-invoerder is, deur kontrak of kragtens wet, oorgedra aan die wettige opvolger, teen wie die datasubjek dan sy regte kan laat geld.Die aanspreeklikheid van die Dataverwerker moet beperk word tot sy eie verwerkingsaktiwiteite in ooreenstemming met hierdie klousules.
Klousule 7
Bemiddeling en jurisdiksie
1. Die Data-invoerder stem in dat indien die datasubjek kragtens die klousules die reg van die derdeparty-begunstigde teen hom beroep en/of vergoeding eis vir die benadeling wat gely is, hy die besluit van die datasubjek sal aanvaar:
a) om die dispuut aan bemiddeling deur 'n onafhanklike persoon of, waar toepaslik, die toesighoudende owerheid te onderwerp;
b) om die dispuut voor die howe van die lidstaat waar die data-uitvoerder gebaseer is, te bring.
2. Die partye stem ooreen dat die keuse wat deur die datasubjek gemaak word, nie die prosedurele of substantiewe reg van die datasubjek om regstelling te verkry in ooreenstemming met ander bepalings van nasionale of internasionale reg sal beïnvloed nie.
Klousule 8
Samewerking met toesighoudende owerhede
1. Die Data-uitvoerder stem in om 'n afskrif van die huidige kontrak by die toesighoudende owerheid te deponeer indien laasgenoemde dit vereis of indien sodanige deposito deur die toepaslike databeskermingswet voorsiening gemaak word.
2. Die partye kom ooreen dat die toesighoudende owerheid kontroles by die Data-invoerder en enige Dataverwerker mag uitvoer in dieselfde mate en onder dieselfde voorwaardes as met kontroles wat uitgevoer word by die Data-uitvoerder in ooreenstemming met toepaslike databeskermingswetgewing.
3. Die Data-invoerder sal die Data-uitvoerder so gou moontlik in kennis stel van die bestaan van wetgewing rakende die Data-invoerder of enige Data-verwerker wat verifikasie by die Data-invoerder of enige Data-verwerker in ooreenstemming met paragraaf 2 verhoed. In so 'n geval, die Data-uitvoerder kan die maatreëls tref waarvoor in klousule 5 (b) voorsiening gemaak word.
Klousule 9
Toepaslike wetgewing
Die klousules is van toepassing en word beheer deur die wet van die lidstaat waar die data-uitvoerder gebaseer is.
Klousule 10
Wysiging van die kontrak
Die partye onderneem om nie die huidige klousules te wysig nie. Die partye bly vry om ander kommersiële klousules in te sluit wat hulle nodig ag, mits dit nie die huidige klousules weerspreek nie.
Klousule 11
Daaropvolgende subkontraktering
1. Die Data-invoerder sal geen van sy verwerkingsaktiwiteite wat namens die Data-uitvoerder onder hierdie klousules uitgevoer word, subkontrakteer sonder die vooraf skriftelike toestemming van die Data-uitvoerder nie. Die Data-invoerder sal slegs sy verpligtinge kragtens hierdie Klousules onderkontrakteer, met die toestemming van die Data-uitvoerder, deur middel van 'n skriftelike ooreenkoms met die Dataverwerker wat dieselfde verpligtinge aan die Dataverwerker oplê as dié wat ingevolge hierdie Klousules aan die Data-invoerder opgelê word. Indien die dataverwerker nie aan sy databeskermingsverpligtinge kragtens daardie skriftelike ooreenkoms kan voldoen nie, bly die data-invoerder ten volle verantwoordelik teenoor die data-uitvoerder vir die nakoming van daardie verpligtinge.
2. Die vooraf skriftelike ooreenkoms tussen die Data-invoerder en die Dataverwerker sal ook 'n derdeparty-begunstigde-klousule insluit soos uiteengesit in Klousule 3 vir gevalle waar die datasubjek verhinder word om die eis vir skadevergoeding in te stel waarna in Klousule 6 (1) verwys word. ), teen die data-uitvoerder of data-invoerder omdat die data-uitvoerder of data-invoerder fisies verdwyn het, wetlik ophou bestaan het of insolvent geraak het en alle wetlike verpligtinge van die data-uitvoerder of data-invoerder nie deur kontrak of deur operasie oorgedra is nie. van die wet, na 'n ander opvolgende entiteit. Aanspreeklikheid van die dataverwerker moet beperk word tot sy eie verwerkingsaktiwiteite in ooreenstemming met hierdie klousules.
3. Die bepalings met betrekking tot die databeskermingsaspekte van die subkontraktering van die dataverwerking van die kontrak waarna in paragraaf 1 verwys word, word beheer deur die wet van die lidstaat waarin die data-uitvoerder gevestig is.
4. Die Data-uitvoerder hou 'n lys van die subkontrakteurs van die dataverwerkingsooreenkomste wat kragtens hierdie Klousules gesluit is en deur die Data-invoerder in kennis gestel word in ooreenstemming met Klousule 5 (j), wat ten minste een keer per jaar bygewerk sal word. Hierdie lys sal aan die data-uitvoerder se toesighoudende owerheid vir databeskerming beskikbaar gestel word.
Klousule 12
Verpligting na die beëindiging van persoonlike dataverwerkingsdienste
1. Die partye kom ooreen dat na voltooiing van die dataverwerkingsdienste, die data-invoerder en die dataverwerker, na die data-uitvoerder se gerief, alle persoonlike data wat oorgedra is en afskrifte daarvan aan die data-uitvoerder sal terugbesorg, of al sodanige data sal vernietig en bewys lewer die vernietiging aan die Data-uitvoerder, tensy wetgewing wat aan die Data-invoerder opgelê is dit verhoed om alle of 'n gedeelte van die persoonlike data wat oorgedra is, terug te gee of te vernietig. In daardie geval waarborg die Data-invoerder dat dit die vertroulikheid van die persoonlike data wat oorgedra word sal verseker en dat dit nie meer aktief die data sal verwerk nie.
2. Die Data-invoerder en die Dataverwerker sal verseker dat, indien so versoek deur die Data-uitvoerder en/of die toesighoudende owerheid, hulle hul wyse van dataverwerking sal onderwerp aan verifikasie van die maatreëls waarna in paragraaf 1 verwys word.
Bylaag 1.1 tot Deel 2
Besonderhede van die oordrag
Data Uitvoerder
Die data-uitvoerder is die kliënt wat in die kontraktuele ooreenkoms gedefinieer word.
Data invoerder
Die data-invoerder is POSTCODEZIP en is aangewys om die data te verwerk, om dienste aan die data-uitvoerder te verskaf.
Onderwerpe van die data
Die persoonlike data wat oorgedra word, het betrekking op die volgende kategorieë datasubjekte:
�? telefoonintekenare wat in die universele gids gelys is
â˜' Ander, insluitend:
Kategorieë van data
Die persoonlike data wat oorgedra word, het betrekking op die volgende kategorieë data:
Kategorieë van persoonlike data van die data-uitvoerder se datasubjekte in die besonder,
�? Volle naam
â˜' Posadres
�? Kontakbesonderhede (e-pos, telefoon, IP-adres, ens.)
�? Besonderhede van bemarkingsaktiwiteite rakende die telefoonintekenaar
â˜' Ander, insluitend die tipe behuising, inkomste en gemiddelde ouderdomme deur die stad wat anoniem gemaak is
Spesiale kategorieë data (indien van toepassing)
Die persoonlike data wat oorgedra word, het betrekking op die volgende spesiale kategorieë data:
â˜' Die oordrag van spesiale kategorieë data word nie voorsien nie
�? Ras of etniese oorsprong
�? Godsdienstige of filosofiese oortuigings
�? Vakbondlidmaatskap
�? Politieke standpunte
�? Genetiese inligting
�? Biometriese inligting
â˜?? Inligting oor seksuele oriëntasie of seksuele lewe
�? Gesondheidsdata
Verwerkingsaktiwiteite
Die persoonlike data wat oorgedra word, sal onderhewig wees aan die volgende basiese verwerkingsaktiwiteite:
Die verwerking wat namens die data-uitvoerder onderneem word, is veral op die volgende onderwerpe gebaseer:
â˜' Beheer oor die produkte of dienste wat deur die data-uitvoerder aangebied word
â˜' Die aanbod van 'n produk of diens wat die gebelde persoon kan aanvra
â˜' Bestellings geneem van die persone wat geroep is en verdere verwerking van hierdie bestellings
â˜' Bestudeer vraelyste en ontledings
â˜' Telebemarking
�? Ander, insluitend:
Die Data-invoerder verwerk die persoonlike data van die datasubjekte namens die Data-uitvoerder om die volgende dienste te verskaf, en veral:
â˜' Verkope en Bemarking
â˜' Ander, insluitend die opdatering van databasisse van stadsale en politieke partye
POSTCODEZIP kombineer, sentraliseer en verskaf hoofsaaklik dienste aan die data-uitvoerder. Die dienste wat deur die genoemde diensverskaffer verskaf word, kan gestruktureer word (onder andere soos toepaslik) rondom die volgende bykomstige dienste: (i) voorsiening van toepassings, gereedskap, stelsels en IT-infrastruktuur met betrekking tot die dataverwerkingsentrums wat gebruik word, ten einde te voorsien en die dienste te ondersteun, insluitend die verwerking van die persoonlike data van die datasubjekte soos hierbo beskryf, via sulke toepassings, gereedskap en stelsels, (ii) die verskaffing van IT-ondersteuning, instandhouding en ander dienste met betrekking tot sodanige toepassings, gereedskap, stelsels en IT-infrastruktuur, insluitend potensiële toegang tot persoonlike data wat in sulke toepassings, gereedskap en stelsels gestoor word, en (iii) die verskaffing van databeskermingsdienste, beskermingsmonitering en insidentreaksiedienste,insluitend potensiële toegang tot persoonlike data wanneer sulke beskermingsdienste verskaf word. POSTCODEZIP kan dataverwerkers soos hieronder uiteengesit betrek om die dienste te verskaf, insluitend bykomende dienste.
POSTCODEZIP skakel eksterne en derdeparty diensverskaffers, wat nie filiale van POSTCODEZIP is nie, om die verskaffing van dienste aan die Data-uitvoerder te ondersteun. Die data-uitvoerder keur sulke eksterne derdeparty-diensverskaffers goed as sub-entiteite wat aan dataverwerking toegewys is.
Indien 'n sub-entiteit wat betrokke is by dataverwerking buite die EU/EER geleë is, in 'n land wat volgens 'n besluit van die Europese Kommissie nie 'n voldoende vlak van databeskerming het nie, sal die Data-invoerder stappe doen om 'n voldoende vlak van databeskerming in ooreenstemming met die GDPR en afdeling 3.4 (iv) van Deel 1.
Bylaag 2, Deel 2
Tegniese en organisatoriese beskermingsmaatreëls
Die Data-invoerder sal die volgende tegniese en organisatoriese beskermingsmaatreëls tref wat deur die Data-uitvoerder bevestig is, om 'n toepaslike vlak van sekuriteit vir die regte en vryhede van individue te waarborg, afhangende van die risiko's. By die beoordeling van die betrokke vlak van beskerming, het die data-uitvoerder veral die risiko's wat by die verwerking betrokke is, in ag geneem, insluitend toevallige of onwettige vernietiging, verandering, ongemagtigde openbaarmaking of toegang tot persoonlike data wat versend, gestoor of andersins verwerk is. Ter verduideliking: Hierdie tegniese en organisatoriese beskermingsmaatreëls is nie van toepassing op die toepassings, gereedskap, stelsels en/of IT-infrastruktuur wat deur die Data-uitvoerder verskaf word nie.
1 Algemene tegniese en organisatoriese beskermingsmaatreëls |
1.1 Algemene inligting en databeskermingstrategieë |
Die volgende stappe moet geneem word om algemene data- en inligtingbeskermingstrategieë te volg: |
|
|
|
|
|
1.2 Organisering van inligtingbeskerming |
Die volgende maatreëls moet getref word om data- en inligtingbeskermingsaktiwiteite te koördineer: |
|
|
|
1.3 Toegangsbeheer tot verwerkingsareas |
Die volgende maatreëls moet getref word om te verhoed dat ongemagtigde persone toegang tot dataverwerkingstelsels (veral sagteware en hardeware) verkry wanneer persoonlike data verwerk, gestoor of versend word: |
|
|
|
|
1.4 Toegangsbeheer tot dataverwerkingstelsels |
Die volgende maatreëls moet getref word om ongemagtigde toegang tot dataverwerkingstelsels te voorkom: |
|
|
|
|
|
|
1.5 Beheer van toegang tot bepaalde gebruiksareas van dataverwerkingstelsels |
Die volgende maatreëls moet getref word om te verseker dat gemagtigde persone met die reg om die dataverwerkingstelsel te gebruik slegs toegang tot data binne hul onderskeie verantwoordelikhede en toegangsmagtigings kan verkry en dat persoonlike data nie sonder magtiging gelees, gekopieer, gewysig of uitgevee kan word nie: |
|
|
|
|
|
|
|
1.6 Transmissiebeheer |
Die volgende maatreëls moet getref word om te verhoed dat persoonlike data gelees, gekopieer, gewysig of uitgevee word deur ongemagtigde derde partye tydens die oordrag of vervoer van databergingstoestelle (afhangende van die verwerking van persoonlike data wat onderneem is): |
|
|
|
1.7 Data-invoerbeheer |
Die volgende maatreëls moet getref word om te verseker dat dit moontlik is om te verifieer en te bepaal of persoonlike data ingevoer is of uit dataverwerkingstelsels geskrap is en deur wie: |
|
|
1.8 Werkbeheer |
In die geval van gedelegeerde verwerking van persoonlike data, moet die volgende maatreëls getref word om te verseker dat sodanige data in ooreenstemming met die instruksies van die Toesighouer verwerk word: |
|
|
|
|
1.9 Skeiding van verwerking vir ander doeleindes |
Die volgende maatreëls moet getref word om te verseker dat data wat vir ander doeleindes ingesamel word afsonderlik verwerk kan word: |
|
|
1.10 Skuilonimisering |
Die volgende maatreëls moet getref word met betrekking tot die skuilnaamisering van persoonlike data: |
|
|
1.11 Enkripsie |
Die volgende stappe moet geneem word om persoonlike data te enkripteer in toepassings en uitsendings wat enkripsie ondersteun:
|
|
|
1.12 Voltooidheid van dataverwerkingstelsels en -dienste |
Die volgende maatreëls moet getref word om die volledigheid van dataverwerkingstelsels en -dienste te verseker: |
|
|
|
1.13 Beskikbaarheid van dataverwerkingstelsels en -dienste en die moontlikheid om toegang tot en gebruik van persoonlike data te herstel in die geval van 'n wesenlike of tegniese voorval |
Die volgende maatreëls moet getref word om die beskikbaarheid van dataverwerkingstelsels te verseker, asook om die beskikbaarheid van en toegang tot persoonlike data vinnig te kan herstel, in die geval van 'n wesenlike of tegniese voorval (veral deur te verseker dat persoonlike data word beskerm teen toevallige vernietiging of verlies): |
|
|
|
|
|
|
|
1.14 Veerkragtigheid van dataverwerkingstelsels en -dienste |
Die volgende maatreëls moet getref word om die veerkragtigheid van dataverwerkingstelsels en -dienste te verseker: |
|
|
|
1.15 Prosedure om gereeld die doeltreffendheid van tegniese en organisatoriese maatreëls te toets, te evalueer en te assesseer om die sekuriteit van dataverwerking te verseker |
Prosedure om gereeld die doeltreffendheid van tegniese en organisatoriese maatreëls te toets, te evalueer en te assesseer om dataverwerking te beskerm. |
|
|
|
Deel 3
Handtekeninge van die partye en lys van data-invoerders
Wanneer jy die aanlyn bestelvorm invul en dit bevestig deur die blokkie te merk wat die algemene gebruiksbepalings en -voorwaardes aanvaar, word die kontrak wat die verhouding tussen die kliënt en POSTCODEZIP beheer, tot stand gebring.
Deur die betaling aan POSTCODEZIP te stuur, sal die kontrak wat ooreengekom en tot stand gebring is, oorweeg.
Neem kennis: Hierdie teks is uit Frans vertaal. Die oorspronklike Franse weergawe, wat geldig en wetlik beperkend is, is hier beskikbaar .