Lampiran pemprosesan data

 

Lampiran ini merupakan sebahagian daripada Kontrak dan dimeterai oleh:

 

  1. (i) Pelanggan (" Pengeksport Data ")
  2. (ii) POSTCODEZIP (" Pengimport Data ")

 

Masing-masing menjadi " Parti " dan biasanya " Parti ".

 

Mukadimah

DI MANA Pengimport Data menyediakan perkhidmatan perisian profesional, komputer dan perkhidmatan berkaitan;

DI MANA menurut Kontrak, Pengimport Data telah bersetuju untuk memberikan kepada Pengeksport Data perkhidmatan yang dinyatakan dalam Kontrak (" Perkhidmatan ");

DI MANA, dengan menyediakan Perkhidmatan, Pengimport Data menerima atau mendapat manfaat daripada akses kepada maklumat Pengeksport Data atau maklumat orang lain yang mempunyai hubungan (berpotensi) dengan Pengeksport Data, maklumat tersebut mungkin layak sebagai data peribadi dalam pengertian Peraturan. (EU) 2016/679 Parlimen Eropah dan Majlis 27 April 2016 mengenai melindungi individu berkenaan pemprosesan data peribadi dan mengenai pergerakan bebas data tersebut (" GDPR ") dan undang-undang perlindungan data lain yang berkenaan.

DI MANA Lampiran ini mengandungi terma dan syarat yang terpakai untuk pengumpulan, pemprosesan dan penggunaan data peribadi sedemikian oleh Pengimport Data dalam kapasitinya sebagai ejen pemprosesan data yang dibenarkan bagi Pengeksport Data, untuk memastikan Pihak-Pihak mematuhi undang-undang perlindungan data yang berkenaan .

 

OLEH ITU, dan untuk membolehkan Pihak-Pihak meneruskan hubungan mereka secara sah, Pihak-Pihak telah menyimpulkan Lampiran ini seperti berikut:

Bahagian 1

 

1. Struktur dokumen dan definisi

1.1 Struktur

Lampiran ini mengandungi bahagian yang berbeza seperti berikut:

 

Bahagian 1:

mengandungi peruntukan am, contohnya mengenai definisi yang digunakan dalam Lampiran ini, pematuhan undang-undang tempatan, masa dan penamatan

Bahagian 2:

mengandungi badan dokumen Klausa Kontrak Standard yang tidak dipinda

Lampiran 1.1 Bahagian 2:

mengandungi butiran operasi pemprosesan yang disediakan oleh Pengimport Data kepada Pengeksport Data sebagai ejen pemprosesan data yang dibenarkan (termasuk pemprosesan, sifat dan tujuan pemprosesan, jenis data peribadi dan kategori subjek data) di bawah ini Lampiran

Lampiran 2 Bahagian 2:

mengandungi penerangan tentang langkah keselamatan teknikal dan organisasi Pengimport Data, yang digunakan berkaitan dengan semua aktiviti pemprosesan yang diterangkan dalam Lampiran 1.1 Bahagian 2

Bahagian 3:

mengandungi tandatangan Pihak yang akan terikat oleh Lampiran ini dan mengenal pasti setiap Pengimport Data

 

1.2 Terminologi dan definisi

Untuk tujuan Lampiran ini, istilah dan takrifan yang digunakan oleh GDPR adalah terpakai (Dalam badan dokumen Klausa Kontrak Standard dalam Bahagian 2, jika istilah yang ditakrifkan tidak menggunakan huruf besar). 

 

"Negeri Anggota"

bermaksud negara kepunyaan Kesatuan Eropah atau Kawasan Ekonomi Eropah

"Kategori khas data (peribadi)"

merujuk kepada data peribadi yang mendedahkan asal usul kaum atau etnik, pendapat politik, kepercayaan agama atau falsafah, atau keahlian kesatuan sekerja, dan data genetik, data biometrik, jika diproses untuk tujuan mengenal pasti seseorang secara unik, data mengenai kesihatan, data mengenai jantina seseorang kehidupan atau orientasi seksual

"Klausa Kontrak Standard"

bermaksud Klausa Kontrak Standard untuk memindahkan data peribadi ejen pemprosesan yang ditubuhkan di negara ketiga, di bawah Keputusan Suruhanjaya 2010/87/EU pada 5 Februari 2010, yang telah dipinda oleh Keputusan Pelaksana Suruhanjaya (EU) 2016/2297 pada 16 haribulan. Disember 2016

"Pemproses dataâ€

bermaksud mana-mana ejen pemprosesan, yang terletak di dalam atau di luar EU/EEA, yang bersetuju untuk menerima daripada Pengimport Data atau mana-mana pemproses lain Pengimport Data, data peribadi untuk tujuan eksklusif aktiviti pemprosesan yang akan dijalankan oleh Pengeksport Data selepas pemindahan mengikut arahan Pengeksport Data, syarat Lampiran ini dan Kontrak dengan Pengimport Data

 

 

2. Kewajipan Pengeksport Data

2.1 Pengeksport Data mempunyai kewajipan untuk memastikan pematuhan terhadap semua kewajipan yang berkenaan di bawah GDPR dan mana-mana undang-undang perlindungan data terpakai lain yang terpakai kepada Pengeksport Data dan untuk menunjukkan pematuhan sedemikian seperti yang dikehendaki oleh Artikel 5 (2) GDPR. Pengeksport Data menjamin bahawa Pengimport Data telah mendapat kebenaran terlebih dahulu daripada subjek data menurut Perkara 6 (a) GDPR dan telah mematuhi kewajipannya untuk memaklumkan subjek data mengikut Perkara 13 dan 14 GDPR.

2.2 Pengeksport Data mesti memberikan Pengimport Data dengan fail masing-masing aktiviti pemprosesan mengikut Perkara 30 (1) GDPR yang berkaitan dengan Perkhidmatan di bawah Lampiran ini, setakat yang diperlukan untuk Pengimport Data untuk mematuhi kewajipan di bawah Perkara 30 (2) GDPR.

2.3 Pengeksport Data mesti melantik pegawai atau wakil perlindungan data setakat yang diperlukan oleh undang-undang perlindungan data yang berkenaan. Pengeksport Data bertanggungjawab untuk memberikan butiran hubungan ejen perlindungan data atau wakil, jika ada, kepada Pengimport Data.

2.4. Pengeksport Data mengesahkan sebelum selesai pemprosesan, dengan penerimaan Lampiran ini, bahawa langkah keselamatan teknikal dan organisasi Pengimport Data, seperti yang dinyatakan dalam Lampiran 2 hingga Bahagian 2, adalah sesuai dan mencukupi untuk melindungi hak subjek data. dan mengesahkan bahawa Pengimport Data menyediakan perlindungan yang mencukupi dalam hal ini.

 

3. Pematuhan undang-undang tempatan

Untuk memenuhi keperluan pelaksanaan ejen pemprosesan berikutan Artikel 28 GDPR, pindaan berikut adalah terpakai:

 

3.1 Arahan

  1. (i) Pengeksport Data mengarahkan Pengimport Data untuk memproses data peribadi hanya bagi pihak Pengeksport Data. Arahan Pengeksport Data disediakan dalam Lampiran ini dan dalam Kontrak. Pengeksport Data mempunyai kewajipan untuk memastikan bahawa semua arahan diberikan kepada Pengimport Data mematuhi undang-undang perlindungan data yang berkenaan. Pengimport Data mesti memproses data peribadi hanya mengikut arahan yang diberikan oleh Pengeksport Data melainkan dikehendaki sebaliknya oleh Kesatuan Eropah atau undang-undang Negara Anggota (dalam kes kedua, Bahagian 1 Klausa 3.2 (iv) (c) terpakai) .
  2. (ii) Semua arahan lain yang melangkaui arahan dalam Lampiran ini atau dalam Kontrak mesti disertakan dalam subjek Lampiran ini dan Kontrak. Jika melaksanakan arahan tambahan ini melibatkan kos untuk Pengimport Data, Pengimport Data hendaklah memaklumkan Pengeksport Data tentang kos tersebut dan memberikan penjelasan sebelum melaksanakan arahan tersebut. Hanya selepas Pengeksport Data mengesahkan penerimaan kos ini untuk melaksanakan arahan, Pengimport Data hendaklah melaksanakan arahan tambahan ini. Pengeksport Data mesti memberikan arahan tambahan secara bertulis melainkan keadaan mendesak atau keadaan khusus lain memerlukan bentuk lain (cth lisan, elektronik). Arahan dalam bentuk selain daripada bertulis mesti disahkan secara bertulis dan tanpa berlengah-lengah oleh Pengeksport Data.
  3. 1. Melainkan Pengeksport Data tidak boleh melakukan pembetulan, pemadaman atau pengehadan data peribadi dengan sendirinya, arahan itu mungkin juga berkaitan dengan pembetulan, pemadaman dan/atau pengehadan data peribadi seperti yang dinyatakan dalam Bahagian 1 Klausa 3.3.
  4. 2. Pengimport Data mesti segera memaklumkan Pengeksport Data jika, pada pendapatnya, suatu Arahan melanggar GDPR atau peruntukan perlindungan data lain yang terpakai Kesatuan Eropah atau Negara Anggota (" Arahan yang dipertikaikan"). Jika Pengimport Data percaya bahawa Arahan melanggar GDPR atau peruntukan perlindungan data lain yang terpakai Kesatuan Eropah atau Negara Anggota, Pengimport Data tidak diwajibkan untuk mengikuti Arahan yang Dipertikaikan. Jika Pengeksport Data mengesahkan Arahan yang Dipertandingkan selepas penerimaan maklumat daripada Pengimport Data dan mengakui tanggungjawabnya untuk Arahan yang Dipertandingkan, Pengimport Data hendaklah melaksanakan Arahan yang Dipertandingkan, melainkan Arahan yang Ditandingi berkaitan dengan (i) pelaksanaan langkah teknikal dan organisasi, (ii) hak Data Subjek atau (iii) penglibatan pemproses Data. Dalam kes (i) hingga (iii), Pengimport Data boleh menghubungi pihak berkuasa penyeliaan yang berwibawa untuk mendapatkan Arahan yang dipertandingkan dinilai secara sah oleh pihak berkuasa tersebut.Jika pihak berkuasa penyeliaan mengisytiharkan Arahan yang dicabar sebagai sah, Pengimport Data hendaklah melaksanakan Arahan yang dicabar. Bahagian 1 Klausa 3.1 (ii) hendaklah kekal terpakai.

 

3.2 Kewajipan Pengimport Data

  1. (i) Pengimport Data mesti memastikan bahawa orang yang diberi kuasa oleh Pengimport Data untuk memproses data peribadi bagi pihak Pengeksport Data, khususnya pekerja Pengimport Data dan pekerja mana-mana Sub-Kontraktor, telah mengambil tindakan untuk mematuhi kerahsiaan atau tertakluk kepada kewajipan kerahsiaan berkanun yang sesuai, dan bahawa orang sedemikian yang mempunyai akses kepada data peribadi memprosesnya mengikut arahan Pengeksport Data.
  2. (ii) Pengimport Data mesti melaksanakan langkah keselamatan teknikal dan organisasi seperti yang dinyatakan dalam Lampiran 2 hingga Bahagian 2 sebelum memproses data peribadi bagi pihak Pengeksport Data. Pengimport Data boleh menukar langkah keselamatan teknikal dan organisasi dari semasa ke semasa jika ia tidak memberikan perlindungan yang kurang daripada yang dinyatakan dalam Lampiran 2 hingga Bahagian 2.
  3. (iii) Pengimport Data hendaklah menyediakan kepada Pengeksport Data, atas permintaan oleh Pengeksport Data, maklumat untuk menunjukkan pematuhan terhadap kewajipan Pengimport Data di bawah Lampiran ini. Pihak bersetuju bahawa kewajipan maklumat ini dipenuhi dengan menyediakan laporan audit kepada Pengeksport Data (merangkumi keselamatan prinsip, ketersediaan sistem dan kerahsiaan) ("Laporan Audit"). Jika aktiviti audit tambahan diperlukan di sisi undang-undang, Pengeksport Data boleh meminta supaya pemeriksaan dijalankan oleh Pengeksport Data atau juruaudit lain yang dilantik oleh Pengeksport Data, tertakluk kepada pelaksanaan perjanjian kerahsiaan oleh juruaudit tersebut dengan Pengimport Data kepada Pengimport Data. kepuasan yang munasabah ("Audit"). Audit ini tertakluk kepada syarat-syarat berikut:(i) penerimaan bertulis rasmi sebelum Pengimport Data; dan (ii) Pengeksport Data hendaklah menanggung semua kos yang berkaitan dengan Audit Di Tapak untuk Pengeksport Data dan Pengimport Data. Pengeksport Data mesti membuat laporan audit yang meringkaskan keputusan dan pemerhatian Audit Di Tapak ("Laporan Audit Di Tapak"). Laporan Audit Di Tapak, dan Laporan Audit, adalah maklumat sulit Pengimport Data dan tidak boleh didedahkan kepada pihak ketiga melainkan dikehendaki oleh undang-undang perlindungan data yang berkenaan atau menurut persetujuan Pengimport Data.Laporan Audit Di Tapak, dan Laporan Audit, adalah maklumat sulit Pengimport Data dan tidak boleh didedahkan kepada pihak ketiga melainkan dikehendaki oleh undang-undang perlindungan data yang berkenaan atau menurut persetujuan Pengimport Data.Laporan Audit Di Tapak, dan Laporan Audit, adalah maklumat sulit Pengimport Data dan tidak boleh didedahkan kepada pihak ketiga melainkan dikehendaki oleh undang-undang perlindungan data yang berkenaan atau menurut persetujuan Pengimport Data.
  4. (iv) Pengimport Data mempunyai kewajipan untuk memberitahu Pengeksport Data tanpa kelewatan yang tidak wajar:
    1. a. mengenai sebarang permintaan yang mengikat secara sah untuk pendedahan data peribadi oleh pihak berkuasa penguatkuasaan undang-undang, melainkan jika dilarang, seperti larangan di bawah undang-undang jenayah untuk melindungi kerahsiaan penyiasatan penguatkuasaan undang-undang
    2. b. mengenai sebarang aduan dan permintaan yang diterima secara langsung daripada subjek data (cth mengenai akses, pembetulan, pemadaman, sekatan pemprosesan, kemudahalihan data, bantahan terhadap pemprosesan data, pembuatan keputusan automatik) tanpa menjawab permintaan tersebut, melainkan Pengimport Data telah diberi kuasa untuk berbuat demikian
    3. c. jika Pengimport Data atau pemproses Data diwajibkan, di bawah undang-undang Kesatuan Eropah atau Negara Anggota di mana Pengimport Data atau pemproses Data tertakluk, untuk memproses data peribadi di luar arahan Pengeksport Data, sebelum menjalankan pemprosesan sedemikian di luar arahan, melainkan undang-undang Kesatuan Eropah atau Negara Anggota melarang pemprosesan sedemikian atas alasan kepentingan awam yang penting, dalam hal ini pemberitahuan kepada Pengeksport Data hendaklah menyatakan keperluan undang-undang di bawah undang-undang Kesatuan Eropah atau Negara Anggota; atau
    4. d. jika Pengimport Data menyedari pelanggaran data peribadi, semata-mata kerana dirinya sendiri atau sub-kontraktornya, yang akan menjejaskan data peribadi Pengeksport Data yang dilindungi oleh kontrak semasa, dalam hal ini Pengimport Data akan membantu Pengeksport Data dalam kewajipannya, vis-Ã -vis undang-undang perlindungan data yang terpakai, untuk memaklumkan subjek data dan, jika berkenaan, pihak berkuasa penyeliaan dengan memberikan maklumat yang boleh digunakan, mengikut Perkara 33 (3) GDPR.
    5. (v) Atas permintaan Pengeksport Data, Pengimport Data hendaklah dipaksa untuk membantu Pengeksport Data dalam kewajipannya untuk melaksanakan penilaian kesan perlindungan data yang mungkin diperlukan oleh Perkara 35 GDPR dan rundingan terlebih dahulu yang mungkin dikehendaki oleh Perkara 36 GDPR berkenaan perkhidmatan yang disediakan oleh Pengimport Data kepada Pengeksport Data di bawah Lampiran ini, memberikan maklumat yang diperlukan dan kepada Pengeksport Data. Pengimport Data hanya akan diwajibkan untuk memberikan bantuan tersebut jika Pengeksport Data tidak dapat memenuhi kewajipannya dengan cara lain. Pengimport Data akan menasihati Pengeksport Data tentang kos bantuan tersebut. Sebaik sahaja Pengeksport Data mengesahkan bahawa ia boleh menanggung kos ini, Pengimport Data akan memberikan bantuan ini kepada Pengeksport Data.
    6. (vi) Pada akhir penyediaan perkhidmatan, Pengeksport Data boleh meminta pengembalian data peribadi yang diproses oleh Pengimport Data di bawah Lampiran ini dalam tempoh satu bulan selepas perkhidmatan. Melainkan undang-undang Negara Anggota atau Kesatuan Eropah menghendaki Pengimport Data menyimpan atau menyimpan data peribadi tersebut, Pengimport Data akan memadamkan semua data peribadi atau bukan peribadi tersebut selepas tempoh sebulan, sama ada ia telah dikembalikan kepada Pengeksport Data atas permintaannya atau tidak.

 

3.3 Hak orang yang berkenaan

  1.  
    1. (i) Pengeksport Data mengurus dan bertindak balas terhadap permintaan yang dibuat oleh subjek data. Pengimport Data tidak diwajibkan untuk bertindak balas terus kepada subjek data.
    2. (ii) Jika Pengeksport Data memerlukan bantuan Pengimport Data dalam memproses dan menjawab permintaan Subjek Data, Pengeksport Data hendaklah mengeluarkan arahan lanjut mengikut Klausa 3.1 (ii) Bahagian 1. Pengimport Data akan membantu Pengeksport Data dengan langkah-langkah organisasi yang sesuai dan teknikal berikut untuk bertindak balas terhadap permintaan untuk melaksanakan hak subjek data yang dinyatakan dalam Bab III GDPR seperti berikut:
    3. a. Mengenai permintaan untuk maklumat, Pengimport Data hanya akan memberikan Pengeksport Data maklumat yang diperlukan oleh Perkara 13 dan 14 PGRD yang mungkin ada padanya jika Pengeksport Data tidak dapat mencarinya sendiri.
    4. b. Berkenaan permintaan untuk akses (Perkara 15 GDPR), Pengimport Data hanya akan memberikan Pengeksport Data maklumat yang sepatutnya diberikan kepada subjek data untuk permintaan akses tersebut, yang mungkin ada padanya jika yang terakhir tidak dapat mencarinya sahaja.
    5. c. Berkenaan permintaan untuk pembetulan (Perkara 16 GDPR), permintaan untuk pemadaman (Perkara 17 GDPR), sekatan permintaan untuk pemprosesan (Perkara 18 GDPR), atau permintaan untuk mudah alih (Perkara 20 GDPR), dan hanya jika Pengeksport Data tidak boleh sendiri membetulkan atau memadam, mengehadkan atau menghantar data peribadi kepada pihak ketiga yang lain, Pengimport Data akan menawarkan Pengeksport Data kemungkinan untuk membetulkan atau memadam, mengehadkan atau menghantar data peribadi yang berkenaan kepada pihak ketiga yang lain, atau jika ini tidak mungkin, ia akan memberikan bantuan untuk membetulkan atau memadam, mengehadkan atau menghantar data peribadi yang berkenaan kepada pihak ketiga yang lain.
    6. d. Berkenaan pemberitahuan yang berkaitan dengan pembetulan, pemadaman atau sekatan pemprosesan (Perkara 19 GDPR), Pengimport Data akan membantu Pengeksport Data dengan memberitahu semua penerima data peribadi yang terlibat oleh Pengimport Data sebagai pemproses jika Pengeksport Data meminta dan jika Pengeksport Data tidak dapat membetulkan keadaan sendiri.
    7. e. Mengenai hak penentangan yang dilaksanakan oleh subjek data (Perkara 21 dan 22 GDPR), Pengeksport Data akan menentukan sama ada pembangkang itu sah dan cara menanganinya.
    8. (iii) Kewajipan bantuan Pengimport Data adalah terhad kepada data peribadi yang diproses dalam infrastrukturnya (cth pangkalan data, sistem, aplikasi yang dimiliki atau disediakan oleh Pengimport Data).
    9. (iv) Pengeksport Data hendaklah menentukan sama ada Subjek Data boleh menggunakan hak Subjek Data yang dinyatakan dalam Klausa 3.1 Bahagian 1 ini dan hendaklah menasihati Pengimport Data sejauh mana bantuan yang dinyatakan dalam Klausa 3.3 (ii), ( iii) Bahagian 1 adalah perlu.
    10. (v) Jika Pengeksport Data meminta langkah teknikal dan organisasi tambahan atau diubah suai untuk memenuhi hak subjek data yang melangkaui bantuan yang diberikan oleh Pengimport Data di bawah Sub-Klausa 3.3 (ii), (iii) Bahagian 1, Data Pengimport hendaklah memaklumkan Pengeksport Data tentang kos melaksanakan langkah-langkah teknikal dan organisasi tambahan atau diubah suai tersebut. Sebaik sahaja Pengeksport Data mengesahkan bahawa ia boleh memenuhi kos ini, Pengimport Data hendaklah melaksanakan langkah-langkah teknikal dan organisasi tambahan atau diubah suai untuk membantu Pengeksport Data dalam menjawab permintaan Subjek Data.
    11. (vi) Tanpa mengehadkan skop Klausa 3.3 (v) Bahagian 1, Pengeksport Data hendaklah bertanggungjawab untuk membayar balik Pengimport Data untuk perbelanjaan munasabahnya yang ditanggung dalam menjawab permintaan Subjek Data.

 

3.4 Pemprosesan kecil

  1.  
    1. (i) Pengeksport Data membenarkan penggunaan subkontraktor oleh Pengimport Data untuk penyediaan perkhidmatan di bawah Lampiran ini. Pengimport Data hendaklah memilih pemproses Data tersebut dengan berhati-hati. Pengeksport Data meluluskan pemproses Data yang disenaraikan dalam Lampiran 1.1 pada penghujung Bahagian 2.
    2. (ii) Pengimport Data hendaklah memindahkan kewajipannya di bawah Lampiran ini kepada Pemproses Data setakat yang terpakai kepada perkhidmatan subkontrak.
    3. (iii) Pengimport Data boleh menolak, menggantikan, atau melantik pemproses Data lain yang sesuai dan boleh dipercayai mengikut budi bicaranya. Jika diminta secara bertulis oleh Pengeksport Data, Pengimport Data mesti mengikut prosedur yang ditetapkan di bawah:
  1.  
    1. a. Pengimport Data hendaklah memaklumkan Pengeksport Data sebelum sebarang perubahan pada senarai pemproses Data yang dirujuk di bawah Klausa 3.4 (i) Bahagian 1. Jika Pengeksport Data tidak membantah di bawah Klausa 3.4. (b) Bahagian 1 tiga puluh hari selepas menerima pemberitahuan daripada Pengimport Data, pemproses Data tambahan akan dianggap sebagai diterima.
    2. b. Jika Pengeksport Data mempunyai alasan yang sah untuk membantah pemproses Data tambahan, ia akan memberi notis bertulis terlebih dahulu kepada Pengimport Data dalam masa tiga puluh hari selepas menerima pemberitahuan Pengimport Data dan sebelum perkhidmatan Pengimport Data mula beroperasi. Jika Pengeksport Data membantah penggunaan pemproses Data tambahan, Pengimport Data boleh menghapuskan bantahan dengan salah satu daripada pilihan berikut (dipilih mengikut budi bicaranya): (A) Pengimport Data akan membatalkan rancangannya untuk menggunakan pemproses tambahan berkenaan data peribadi Pengeksport Data; (B) Pengimport Data akan mengambil langkah pembetulan yang diminta oleh Pengeksport Data dalam bantahannya (membatalkan bantahan) dan menggunakan pemproses tambahan berkenaan data peribadi Pengeksport Data;(C) Pengimport Data mungkin berhenti memberikan atau Pengeksport Data mungkin bersetuju untuk tidak menggunakan (sementara atau selama-lamanya) aspek tertentu perkhidmatan yang akan melibatkan penggunaan pemproses lanjut data peribadi Pengeksport Data oleh Pengeksport Data.
  1.  
    1. (iv) jika pemproses Data berpangkalan di luar EU-EEA di negara yang tidak diiktiraf sebagai menawarkan tahap perlindungan data yang mencukupi berikutan keputusan Suruhanjaya Eropah, Pengimport Data akan mengambil langkah untuk mematuhi tahap yang mencukupi perlindungan data menurut GDPR (langkah sedemikian mungkin termasuk - antara lain dan - penggunaan kontrak pemprosesan data berdasarkan klausa Model EU, pemindahan kepada pemproses Data diperakui sendiri dalam rangka EU-US Protection Shield , atau program yang serupa).

 

3.5 Tamat tempoh

Tamat tempoh Lampiran ini adalah sama dengan tarikh tamat Kontrak yang sepadan. Kecuali sebagaimana yang diperuntukkan sebaliknya dalam Lampiran ini, hak dan kewajipan yang berkaitan dengan penamatan hendaklah sama seperti yang terkandung dalam Kontrak.

 

4. Had Liabiliti

4.1 Setiap pihak mengendalikan kewajipannya di bawah Lampiran ini dan perundangan perlindungan data yang berkenaan.

4.2 Sebarang liabiliti yang berkaitan dengan pelanggaran kewajipan di bawah Lampiran ini atau perundangan perlindungan data yang berkenaan hendaklah tertakluk kepada dan dikawal oleh peruntukan liabiliti yang dinyatakan dalam, atau terpakai kepada, Kontrak, kecuali sebagaimana yang diperuntukkan sebaliknya dalam Lampiran ini. Jika liabiliti ditadbir oleh peruntukan liabiliti yang dinyatakan dalam atau terpakai kepada Kontrak, untuk mengira had liabiliti atau menentukan pemakaian had liabiliti lain, sebarang liabiliti yang timbul di bawah Lampiran ini akan dianggap timbul di bawah Kontrak.

 

5. Peruntukan am

5.1 Jika terdapat sebarang percanggahan atau percanggahan antara Bahagian 1 dan 2 Lampiran ini, Bahagian 2 akan diutamakan. Khususnya, walaupun dalam kes sedemikian, Bahagian 1 yang hanya melangkaui Bahagian 2 (iaitu terma klausa Standard) tanpa bercanggah dengannya akan kekal sah.

5.2 Jika sebarang percanggahan timbul antara peruntukan Lampiran ini dan kontrak lain yang mengikat pihak-pihak, Lampiran ini akan mengatasi kewajipan perlindungan data pihak-pihak. Sekiranya terdapat keraguan sama ada klausa dalam kontrak lain berkenaan dengan kewajipan perlindungan data pihak-pihak, Lampiran ini akan diguna pakai.

5.3 Jika mana-mana peruntukan Lampiran ini tidak sah atau tidak boleh dikuatkuasakan, baki Lampiran ini akan kekal berkuat kuasa dan berkesan sepenuhnya. Peruntukan yang tidak sah atau tidak boleh dikuatkuasakan akan (i) dipinda untuk memastikan kesahihan dan kebolehkuatkuasaannya, sambil mengekalkan sejauh mungkin niat pihak-pihak, atau - jika ini tidak mungkin - (ii) ditafsirkan seolah-olah bahagian yang tidak sah atau tidak boleh dikuatkuasakan telah tidak pernah menjadi sebahagian daripada kontrak. Perkara di atas juga hendaklah terpakai sekiranya terdapat ketinggalan dalam Lampiran ini.

5.5 Setakat yang perlu, Pihak-Pihak boleh meminta pindaan kepada Bahagian 1, Fasal 3 (Pematuhan kepada undang-undang tempatan) atau bahagian lain Lampiran untuk mematuhi tafsiran, arahan, atau perintah yang dikeluarkan oleh pihak berkuasa Kesatuan yang berwibawa atau Negara Anggota, peruntukan penguatkuasaan negara atau sebarang perkembangan undang-undang lain berkenaan GDPR atau syarat perwakilan lain kepada mana-mana entiti yang terlibat dalam pemprosesan data dan khususnya mengenai penggunaan Klausa Kontrak Standard dalam GDPR. Terma Klausa Kontrak Standard tidak boleh diubah suai atau diganti melainkan Suruhanjaya Eropah meluluskannya secara nyata (cth dengan klausa baharu yang mencukupi dan piawaian perlindungan data).

5.6 Sebarang rujukan dalam Lampiran ini kepada "Klausa" hendaklah difahamkan merujuk kepada semua peruntukan Lampiran ini melainkan dinyatakan sebaliknya.

5.7 Pilihan undang-undang dalam Bahagian 2, Fasal 9 terpakai kepada keseluruhan Kontrak.

 

6.  Data peribadi yang dihantar dan diproses oleh pihak untuk tujuan peribadi (pindah dari pengawal data kepada pengawal data)

6.1 Para Pihak mengetahui sepenuhnya bahawa data peribadi tertentu akan dipindahkan daripada Pengeksport Data kepada Pengimport Data dan sebaliknya, dan bahawa data tersebut diproses oleh setiap Pihak untuk tujuannya sendiri. Berkenaan data peribadi tersebut, ia tidak menjejaskan peruntukan lain Lampiran ini (kecuali klausa 6 ini).

6.2 Pengeksport Data boleh memindahkan data peribadi yang berkaitan dengan kakitangan Pengimport Data kepada Pengimport Data, termasuk maklumat tentang insiden keselamatan, atau mana-mana dokumen atau fail lain yang dicipta atau ditubuhkan oleh Pengeksport Data berkaitan dengan Perkhidmatan yang disediakan oleh kakitangan Pengimport Data. Pengimport Data boleh memproses data peribadi tersebut untuk tujuannya sendiri, khususnya dalam hubungan profesionalnya dengan kakitangan Pengimport Data, untuk kawalan kualiti dan latihan, atau untuk tujuan perniagaan.

6.3. Pengimport Data boleh memindahkan data peribadi kepada Pengeksport Data, termasuk nama dan butiran hubungan kakitangan Pengimport Data. Pengeksport Data boleh memproses data peribadi tersebut untuk tujuannya sendiri.

6.4 Kedua-dua pihak hendaklah mematuhi mana-mana undang-undang perlindungan data yang terpakai, termasuk GDPR, dalam mengumpul, memproses dan menggunakan data peribadi sedemikian yang diterima daripada pihak lain di bawah klausa 1 Bahagian 1. Khususnya, kedua-dua Pihak hendaklah mengambil langkah keselamatan yang mencukupi, dengan menyediakan tahap perlindungan yang serupa dengan langkah keselamatan yang dinyatakan dalam Lampiran 2 Bahagian 2. Sebarang akses kepada data peribadi tersebut hendaklah terhad kepada keperluan untuk mengetahuinya.

6.5 Kedua-dua Pihak mesti memadam data peribadi tersebut secepat mungkin selepas objektif telah dicapai.

Bahagian 2

 

KEPUTUSAN SURUHANJAYA

pada 5 Februari 2010

mengenai klausa kontrak standard untuk pemindahan data peribadi kepada pemproses data yang ditubuhkan di negara pihak ketiga di bawah Arahan 95/46/EC Parlimen Eropah dan Majlis

 

 

 

Fasal 1

Definisi

Dalam pengertian klausa:

a) 'personal data', 'special categories of data', 'processing/processing', 'controller', 'processor', 'data subject' and 'supervisory authority' shall have the same meaning as in the 95/46/EC Directive of the European Parliament and of the Council of the 24th October 1995 on protecting individuals regarding the processing of personal data and on the free movement of such data (1);

b) the 'Data Exporter' is the Data controller transferring the personal data;

c) the 'Data Importer' is the Data processor who agrees to receive from the Data Exporter personal data intended to be processed on behalf of the Data Exporter after the transfer in accordance with its instructions and under the terms of these clauses and who is not subject to the mechanism of a third country ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC; (d) 'Data processor' means the Data processor engaged by the Data Importer or by any other Data processor of the Data Importer who agrees to receive from the Data Importer or any other Data processor of the Data Importer personal data exclusively for processing activities to be carried out on behalf of the Data Exporter after the transfer in accordance with the instructions of the Data Exporter, under the conditions set out in these Clauses and under the terms of the written sub-contracting the data processing contract;

e) "undang-undang perlindungan data yang terpakai" bermaksud perundangan yang melindungi hak asas dan kebebasan individu, termasuk hak untuk privasi berkenaan pemprosesan data peribadi, dan memohon kepada pengawal di Negara Anggota di mana Pengeksport Data ditubuhkan;

f) "langkah teknikal dan organisasi yang berkaitan dengan keselamatan" bermaksud langkah-langkah yang bertujuan untuk melindungi data peribadi daripada kemusnahan yang tidak disengajakan atau menyalahi undang-undang atau kehilangan tidak sengaja, pengubahan, pendedahan atau akses tanpa kebenaran, khususnya apabila pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan yang menyalahi undang-undang yang lain.

Fasal 2

Butiran pemindahan

Butiran pemindahan, termasuk, di mana sesuai, kategori khas data peribadi, dinyatakan dalam Lampiran 1, yang membentuk bahagian penting daripada klausa ini.

Fasal 3

Klausa benefisiari pihak ketiga

1. Subjek data boleh menguatkuasakan terhadap Pengeksport Data Klausa ini, Klausa 4(b) hingga (i), Klausa 5(a) hingga (e) dan (g) hingga (j), Klausa 6 (1) dan (2 ), Fasal 7, Fasal 8(2) dan Fasal 9 hingga 12 sebagai benefisiari pihak ketiga

2. Subjek data boleh menguatkuasakan Klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap Pengimport Data di mana Pengeksport Data telah secara fizikal hilang atau tidak lagi wujud dalam undang-undang, melainkan semua kewajipan undang-undangnya telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada entiti pengganti, yang hak dan kewajipan Pengeksport Data kembali, dan terhadapnya data maka subjek boleh menguatkuasakan klausa tersebut.

Subjek data boleh menguatkuasakan Klausa ini, Klausa 5 (a) hingga (e) dan (g), Klausa 6, Klausa 7, Klausa 8 (2) dan Klausa 9 hingga 12 terhadap pemproses Data, tetapi hanya dalam kes di mana Data Pengeksport dan Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, melainkan semua kewajipan undang-undang Pengeksport Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang hak dan Oleh itu, kewajipan Pengeksport Data adalah terletak hak, dan terhadap siapa subjek data boleh menguatkuasakan klausa tersebut. Liabiliti pemproses Data sedemikian mestilah terhad kepada aktiviti pemprosesannya sendiri di bawah klausa ini.

4. Pihak-pihak tidak membantah subjek data yang diwakili oleh persatuan atau badan lain jika dia mahu dan jika undang-undang negara membenarkannya.

Fasal 4

Kewajipan Pengeksport Data

Pengeksport Data menerima dan menjamin perkara berikut:

a) pemprosesan, termasuk pemindahan sebenar data peribadi, telah dan akan terus dijalankan mengikut peruntukan berkaitan undang-undang perlindungan data yang terpakai (dan, jika berkenaan, telah dimaklumkan kepada pihak berkuasa kompeten Negara Anggota. di mana Pengeksport Data berasaskan) dan tidak melanggar peruntukan berkaitan Negeri itu;

b) mereka telah mengarahkan, dan akan mengarahkan untuk tempoh perkhidmatan pemprosesan data peribadi, Pengimport Data untuk memproses data peribadi yang dipindahkan bagi pihak tunggal Pengeksport Data dan mengikut undang-undang perlindungan data yang berkenaan dan klausa ini;

c) Pengimport Data akan menyediakan perlindungan yang mencukupi mengenai langkah keselamatan teknikal dan organisasi yang dinyatakan dalam Lampiran 2 kepada kontrak semasa;

d) selepas menilai keperluan undang-undang perlindungan data yang berkenaan, langkah keselamatan adalah memadai untuk melindungi data peribadi daripada kemusnahan yang tidak disengajakan atau menyalahi undang-undang atau kehilangan, pengubahan, pendedahan tanpa kebenaran, atau akses, khususnya apabila pemprosesan melibatkan penghantaran data melalui rangkaian, dan terhadap semua bentuk pemprosesan lain yang menyalahi undang-undang dan memastikan tahap keselamatan yang sesuai dengan risiko yang diwakili oleh pemprosesan dan sifat data yang akan dilindungi, dengan mengambil kira tahap teknologi dan kos pelaksanaan;

e) mereka akan memastikan pematuhan terhadap langkah keselamatan;

f) jika pemindahan berkaitan dengan kategori data khas, subjek data telah dimaklumkan atau akan dimaklumkan sebelum pemindahan, atau secepat mungkin selepas pemindahan bahawa datanya boleh dipindahkan ke negara ketiga yang tidak menawarkan tahap perlindungan yang mencukupi dalam pengertian Arahan 95/46/EC;

g) mereka akan memajukan sebarang pemberitahuan yang diterima daripada Pengimport Data atau mana-mana pemproses Data di bawah Fasal 5 (b) dan 8 (3) kepada pihak berkuasa penyeliaan perlindungan data jika ia memutuskan untuk meneruskan pemindahan atau menarik balik penggantungannya;

h) mereka hendaklah menyediakan kepada subjek data, jika mereka meminta sedemikian, salinan Fasal ini, kecuali untuk Lampiran 2, dan huraian ringkasan langkah keselamatan, dan salinan mana-mana perjanjian subkontrak selanjutnya, yang dibuat di bawah Fasal ini melainkan jika Fasal atau perjanjian mengandungi maklumat komersial, di mana dia boleh menarik balik maklumat tersebut;

i) dalam kes sub-kontrak proses pemprosesan data, aktiviti pemprosesan dijalankan mengikut Klausa 11 oleh Pemproses Data yang menyediakan sekurang-kurangnya tahap perlindungan data peribadi dan hak subjek data yang sama seperti Pengimport Data di bawah Klausa ini ; dan

j) ia akan memastikan pematuhan Klausa 4 (a) hingga (i).

Fasal 5

Kewajipan Pengimport Data

Pengimport Data menerima dan menjamin perkara berikut:

a) mereka akan memproses data peribadi hanya bagi pihak Pengeksport Data dan di bawah arahan Pengeksport Data dan klausa ini; jika ia tidak dapat mematuhi apa-apa sebab, mereka bersetuju untuk memaklumkan Pengeksport Data tentang ketidakupayaannya secepat mungkin, dalam hal ini Pengeksport Data boleh menggantung pemindahan data dan/atau menamatkan kontrak;

b) mereka tidak mempunyai sebab untuk mempercayai bahawa undang-undang yang terpakai kepada mereka menghalangnya daripada memenuhi arahan yang diberikan oleh Pengeksport Data dan kewajipan yang dibebankan ke atasnya di bawah kontrak, dan jika undang-undang tersebut tertakluk kepada perubahan yang boleh mendatangkan kesan buruk yang material. kesan ke atas waranti dan kewajipan di bawah Klausa, dia hendaklah memberitahu Pengeksport Data tentang perubahan itu tanpa berlengah-lengah selepas menyedarinya, dalam hal ini Pengeksport Data boleh menggantung pemindahan data dan/atau menamatkan kontrak; (c) mereka telah melaksanakan langkah keselamatan teknikal dan organisasi yang dinyatakan dalam Lampiran 2 sebelum memproses data peribadi yang dipindahkan;

d) mereka akan memberitahu Pengeksport Data tanpa berlengah-lengah:

i) sebarang permintaan yang mengikat untuk pendedahan data peribadi daripada pihak berkuasa penguatkuasaan undang-undang, melainkan dinyatakan sebaliknya, seperti larangan jenayah yang bertujuan untuk memelihara kerahsiaan siasatan polis;

ii) sebarang akses sampingan atau tanpa kebenaran; dan

iii) sebarang permintaan yang diterima terus daripada orang yang berkenaan tanpa membalasnya melainkan dia telah diberi kuasa untuk berbuat demikian; pentadbir

e) mereka akan berurusan dengan segera dan betul dengan semua pertanyaan daripada Pengeksport Data mengenai pemprosesan data peribadi yang dipindahkan dan akan bertindak di bawah pendapat pihak berkuasa penyeliaan berkenaan pemprosesan data yang dipindahkan;

f) atas permintaan Pengeksport Data, mereka akan tertakluk kepada kemudahan pemprosesan datanya kepada audit terhadap aktiviti pemprosesan yang diliputi oleh klausa ini yang akan dijalankan oleh Pengeksport Data atau badan penyeliaan yang terdiri daripada ahli bebas dengan kelayakan profesional yang diperlukan, tertakluk kepada kewajipan kerahsiaan dan dipilih oleh Pengeksport Data, jika sesuai dengan persetujuan pihak berkuasa penyeliaan;

g) mereka akan menyediakan kepada subjek data, jika dia meminta sedemikian, salinan Klausa ini, atau mana-mana subkontrak kontrak pemprosesan data yang sedia ada, melainkan Klausa atau kontrak itu mengandungi maklumat komersial, dalam hal ini ia boleh mengalih keluar sedemikian. maklumat, kecuali Lampiran 2, yang akan digantikan dengan huraian ringkasan langkah keselamatan, di mana subjek data tidak boleh mendapatkan salinan daripada Pengeksport Data;

h) dalam kes sulit lagi subkontrak pemprosesan data, dia akan memastikan bahawa dia memaklumkan Pengeksport Data terlebih dahulu dan mendapatkan kebenaran bertulis Pengeksport Data;

i) perkhidmatan pemprosesan yang disediakan oleh Pemproses Data hendaklah mematuhi Klausa 11;

j) mereka akan segera menghantar salinan mana-mana subkontrak perjanjian pemprosesan data yang dimeterai olehnya di bawah Klausa ini kepada Pengeksport Data.

Fasal 6

Tanggungjawab

1. Pihak-pihak bersetuju bahawa mana-mana subjek data yang telah mengalami kerosakan kerana pelanggaran kewajipan yang dirujuk dalam Klausa 3 atau Klausa 11 oleh satu pihak atau oleh pemproses Data boleh mendapatkan pampasan daripada Pengeksport Data untuk kerosakan yang dialami.

2. Jika subjek data dihalang daripada membawa tindakan untuk ganti rugi seperti yang dirujuk dalam perenggan 1 terhadap Pengeksport Data kerana kegagalan Pengimport Data atau pemproses Datanya untuk mematuhi mana-mana kewajipannya di bawah Klausa 3 atau Klausa 11 kerana Data Pengeksport telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, Pengimport Data bersetuju bahawa subjek data boleh membuat aduan terhadapnya seolah-olah ia adalah Pengeksport Data melainkan semua kewajipan undang-undang Pengeksport Data telah dipindahkan, melalui kontrak atau melalui kuat kuasa undang-undang, kepada entiti penggantinya, yang terhadapnya subjek data kemudiannya boleh menguatkuasakan haknya. Pengimport Data tidak boleh bergantung pada pelanggaran kewajipannya oleh pemproses Data untuk mengelakkan liabilitinya sendiri.

3. Jika subjek data dihalang daripada membawa tindakan yang dirujuk dalam perenggan 1 dan 2 terhadap Pengeksport Data atau Pengimport Data kerana dilanggar oleh pemproses Data kewajipannya di bawah Klausa 3 atau Klausa 11 kerana Pengeksport Data dan Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven, pemproses Data bersetuju bahawa subjek data boleh membuat aduan terhadapnya mengenai aktiviti pemprosesannya sendiri mengikut klausa ini seolah-olah ia adalah Pengeksport Data atau Pengimport Data melainkan semua kewajipan undang-undang Pengeksport Data atau Pengimport Data telah dipindahkan, melalui kontrak atau melalui operasi undang-undang, kepada pengganti undang-undang, yang terhadapnya subjek data kemudiannya boleh menuntut haknya.Liabiliti pemproses Data mestilah terhad kepada aktiviti pemprosesannya sendiri mengikut klausa ini.

 

Fasal 7

Pengantaraan dan bidang kuasa

1. Pengimport Data bersetuju bahawa jika di bawah klausa, subjek data memohon terhadapnya hak benefisiari pihak ketiga dan/atau menuntut pampasan untuk prasangka yang dialami, dia akan menerima keputusan subjek data:

a) untuk menyerahkan pertikaian kepada pengantaraan oleh orang bebas atau, jika sesuai, pihak berkuasa penyeliaan;

b) untuk membawa pertikaian ke mahkamah Negara Anggota di mana Pengeksport Data berpusat.

2. Pihak-pihak bersetuju bahawa pilihan yang dibuat oleh subjek data tidak akan menjejaskan hak prosedur atau substantif subjek data untuk mendapatkan ganti rugi mengikut peruntukan lain undang-undang negara atau antarabangsa.

Fasal 8

Kerjasama dengan pihak berkuasa penyeliaan

1. Pengeksport Data bersetuju untuk mendepositkan salinan kontrak sekarang dengan pihak berkuasa penyeliaan jika pihak yang kedua memerlukannya atau jika deposit tersebut diperuntukkan oleh undang-undang perlindungan data yang berkenaan.

2. Pihak-pihak bersetuju bahawa pihak berkuasa penyeliaan boleh menjalankan pemeriksaan di Pengimport Data dan mana-mana pemproses Data pada tahap yang sama dan di bawah syarat yang sama seperti pemeriksaan yang dijalankan di Pengeksport Data mengikut undang-undang perlindungan data yang berkenaan.

3. Pengimport Data hendaklah memaklumkan Pengeksport Data secepat mungkin tentang kewujudan undang-undang berkenaan Pengimport Data atau mana-mana pemproses Data yang menghalang pengesahan di Pengimport Data atau mana-mana pemproses Data mengikut perenggan 2. Dalam kes sedemikian, Pengeksport Data boleh mengambil langkah-langkah yang diperuntukkan dalam Klausa 5 (b).

Fasal 9

Perundangan berkaitan

Klausa tersebut terpakai dan dikawal oleh undang-undang Negara Anggota di mana Pengeksport Data berpusat.

Fasal 10

Pengubahsuaian kontrak

Pihak-pihak berjanji untuk tidak mengubah suai klausa ini. Pihak-pihak kekal bebas untuk memasukkan klausa komersial lain yang mereka anggap perlu, dengan syarat mereka tidak bercanggah dengan klausa sekarang.

Fasal 11

Subkontrak seterusnya

1. Pengimport Data tidak boleh mensubkontrakkan sebarang aktiviti pemprosesannya yang dijalankan bagi pihak Pengeksport Data di bawah klausa ini tanpa kebenaran bertulis terlebih dahulu daripada Pengeksport Data. Pengimport Data hanya akan menyubkontrakkan kewajipannya di bawah Klausa ini, dengan persetujuan Pengeksport Data, melalui perjanjian bertulis dengan Pemproses Data yang mengenakan kewajipan yang sama kepada pemproses Data seperti yang dikenakan ke atas Pengimport Data di bawah Klausa ini. Jika pemproses Data tidak dapat mematuhi kewajipan perlindungan datanya di bawah perjanjian bertulis itu, Pengimport Data hendaklah tetap bertanggungjawab sepenuhnya kepada Pengeksport Data untuk memenuhi kewajipan tersebut.

2. Perjanjian bertulis terdahulu antara Pengimport Data dan pemproses Data hendaklah juga termasuk klausa benefisiari pihak ketiga seperti yang dinyatakan dalam Klausa 3 untuk kes di mana subjek data dihalang daripada membawa tuntutan untuk ganti rugi yang disebut dalam Klausa 6 (1). ), terhadap Pengeksport Data atau Pengimport Data kerana Pengeksport Data atau Pengimport Data telah hilang secara fizikal, tidak lagi wujud dalam undang-undang atau telah menjadi tidak solven dan semua kewajipan undang-undang Pengeksport Data atau Pengimport Data belum dipindahkan, melalui kontrak atau operasi undang-undang, kepada entiti pengganti yang lain. Liabiliti pemproses Data mestilah terhad kepada aktiviti pemprosesannya sendiri mengikut klausa ini.

3. Peruntukan yang berkaitan dengan aspek perlindungan data sub-kontrak pemprosesan data kontrak yang disebut dalam perenggan 1 hendaklah dikawal oleh undang-undang Negara Anggota di mana Pengeksport Data ditubuhkan.

4. Pengeksport Data hendaklah menyimpan senarai subkontrak perjanjian pemprosesan data yang dibuat di bawah Klausa ini dan dimaklumkan oleh Pengimport Data mengikut Klausa 5 (j), yang hendaklah dikemas kini sekurang-kurangnya sekali setahun. Senarai ini hendaklah disediakan kepada pihak berkuasa penyeliaan perlindungan data Pengeksport Data.

Fasal 12

Kewajipan selepas penamatan perkhidmatan pemprosesan data peribadi

1. Pihak-pihak bersetuju bahawa setelah selesai perkhidmatan pemprosesan data, Pengimport Data dan pemproses Data akan, atas kemudahan Pengeksport Data, mengembalikan semua data peribadi yang dipindahkan dan salinannya kepada Pengeksport Data, atau memusnahkan semua data tersebut dan memberikan bukti pemusnahan kepada Pengeksport Data, melainkan undang-undang yang dikenakan ke atas Pengimport Data menghalangnya daripada memulangkan atau memusnahkan semua atau sebahagian daripada data peribadi yang dipindahkan. Dalam kes itu, Pengimport Data menjamin bahawa ia akan memastikan kerahsiaan data peribadi yang dipindahkan dan ia tidak lagi akan memproses data secara aktif.

2. Pengimport Data dan Pemproses Data hendaklah memastikan bahawa, jika diminta oleh Pengeksport Data dan/atau pihak berkuasa penyeliaan, mereka akan tertakluk kepada kaedah pemprosesan data mereka kepada pengesahan langkah-langkah yang dirujuk dalam perenggan 1.

 

 

 

 

Lampiran 1.1 hingga Bahagian 2

Butiran pemindahan

 

 

Pengeksport Data

Pengeksport Data ialah Pelanggan yang ditakrifkan dalam perjanjian Kontrak.

 

Pengimport Data

Pengimport Data ialah POSTCODEZIP dan ditugaskan untuk memproses data, menyediakan perkhidmatan kepada Pengeksport Data.

 

Subjek data

Data peribadi yang dipindahkan melibatkan kategori subjek data berikut:

�? pelanggan telefon yang disenaraikan dalam direktori universal

â˜' Lain-lain, termasuk:

 

Kategori data

Data peribadi yang dipindahkan melibatkan kategori data berikut:

 

Kategori data peribadi subjek data Pengeksport Data khususnya,

�? Nama penuh

â˜'Alamat pos

�? Butiran hubungan (e-mel, telefon, alamat IP, dsb.)

�? Butiran aktiviti pemasaran mengenai pelanggan telefon

â˜' Lain-lain, termasuk jenis perumahan, pendapatan dan umur purata oleh bandar yang dibuat tanpa nama

 

Kategori data khas (jika berkenaan)

Data peribadi yang dipindahkan melibatkan kategori data khas berikut:

â˜' Pemindahan kategori khusus data tidak diramalkan

�? Bangsa atau asal usul etnik

�? Kepercayaan agama atau falsafah

�? Keahlian kesatuan sekerja

�? Pandangan politik

�? Maklumat genetik

�? Maklumat biometrik

�? Maklumat tentang orientasi seksual atau kehidupan seksual

�? Data kesihatan

 

Aktiviti pemprosesan

Data peribadi yang dipindahkan akan tertakluk kepada aktiviti pemprosesan asas berikut:

 

  •  
    • •  Tujuan pemprosesan

Pemprosesan yang dilakukan bagi pihak Pengeksport Data adalah berdasarkan subjek berikut, khususnya:

â˜' Menjaga produk atau perkhidmatan yang ditawarkan oleh Pengeksport Data

â˜' Tawaran produk atau perkhidmatan yang boleh diminta oleh orang yang dipanggil

â˜' Pesanan yang diambil daripada orang yang dipanggil dan pemprosesan lanjut pesanan ini

â˜' Kajian soal selidik dan analisis

â˜' Telemarketing

�? Lain-lain, termasuk:

 

  •  
    • •  Sifat dan tujuan pemprosesan

Pengimport Data memproses data peribadi subjek data bagi pihak Pengeksport Data, untuk menyediakan perkhidmatan berikut, dan terutamanya:

  • â˜' Penyiapan borang automatik
  • â˜' Alamat borang pengesahan

â˜' Jualan dan Pemasaran

â˜' Lain-lain, termasuk mengemas kini pangkalan data dewan bandaran dan parti politik

 

  •  
    • •  Penyediaan perkhidmatan dan pekerjaan penyedia perkhidmatan

 

POSTCODEZIP terutamanya menggabungkan, memusatkan dan menyediakan perkhidmatan kepada Pengeksport Data. Perkhidmatan yang disediakan oleh pembekal perkhidmatan yang dinamakan mungkin distrukturkan (antara lain mengikut kesesuaian) di sekitar perkhidmatan sampingan berikut: (i) penyediaan aplikasi, alatan, sistem dan infrastruktur IT berhubung dengan pusat pemprosesan data yang digunakan, untuk menyediakan dan menyokong perkhidmatan, termasuk pemprosesan data peribadi subjek data seperti yang diterangkan di atas, melalui aplikasi, alatan dan sistem tersebut, (ii) penyediaan sokongan IT, penyelenggaraan dan perkhidmatan lain yang berkaitan dengan aplikasi, alatan, sistem tersebut dan infrastruktur IT, termasuk potensi akses kepada data peribadi yang disimpan dalam aplikasi, alatan dan sistem tersebut, dan (iii) penyediaan perkhidmatan perlindungan data, pemantauan perlindungan dan perkhidmatan tindak balas insiden,termasuk potensi akses kepada data peribadi apabila menyediakan perkhidmatan perlindungan tersebut. POSTCODEZIP boleh menggunakan pemproses Data seperti yang ditetapkan di bawah untuk menyediakan perkhidmatan, termasuk perkhidmatan sampingan.

 

  •  
    • • Pembekal perkhidmatan pihak ketiga luaran sebagai sub-entiti yang diperuntukkan kepada pemprosesan data

 

POSTCODEZIP melibatkan penyedia perkhidmatan luar dan pihak ketiga, yang bukan anak syarikat POSTCODEZIP, untuk menyokong penyediaan perkhidmatan kepada Pengeksport Data. Pengeksport Data meluluskan pembekal perkhidmatan pihak ketiga luaran tersebut sebagai sub-entiti yang diperuntukkan kepada pemprosesan data.

 

Jika sub-entiti yang terlibat dalam pemprosesan data terletak di luar EU/EEA, di negara yang dianggap tidak mempunyai tahap perlindungan data yang mencukupi di bawah keputusan Suruhanjaya Eropah, Pengimport Data akan mengambil langkah untuk mendapatkan tahap yang mencukupi perlindungan data mengikut GDPR dan seksyen 3.4 (iv) Bahagian 1.

 

 

Lampiran 2, Bahagian 2

Langkah-langkah perlindungan teknikal dan organisasi

 

Pengimport Data hendaklah mengambil langkah perlindungan teknikal dan organisasi berikut yang disahkan oleh Pengeksport Data, untuk menjamin tahap keselamatan yang sesuai untuk hak dan kebebasan individu, bergantung pada risiko. Dalam menilai tahap perlindungan yang berkenaan, Pengeksport Data telah mempertimbangkan, khususnya, risiko yang terlibat dalam pemprosesan, termasuk pemusnahan, pengubahan, pendedahan tanpa kebenaran, atau akses kepada data peribadi yang dihantar, disimpan atau diproses secara tidak sengaja atau menyalahi undang-undang. Dengan penjelasan: Langkah perlindungan teknikal dan organisasi ini tidak digunakan pada aplikasi, alatan, sistem dan/atau infrastruktur IT yang disediakan oleh Pengeksport Data.

1 Langkah perlindungan teknikal dan organisasi am

1.1 Maklumat am dan strategi perlindungan data

Langkah-langkah berikut perlu diambil untuk mengikuti strategi perlindungan data dan maklumat am:

  • a) mengambil langkah untuk menilai tindakan yang diambil berkenaan perlindungan teknikal dan organisasi;
  • b) menyediakan latihan untuk meningkatkan kesedaran di kalangan pekerja;
  • c) mempunyai penerangan tentang sistem yang berkenaan dan memberikan akses kepada pekerja;
  • d) mewujudkan proses dokumentasi formal apabila sistem dilaksanakan atau diubah suai;
  • e) mendokumentasikan struktur organisasi, proses, tanggungjawab, dan penilaian masing-masing;

1.2 Organisasi perlindungan maklumat

Langkah-langkah berikut perlu diambil untuk menyelaraskan aktiviti perlindungan data dan maklumat:

  • a) mentakrifkan tanggungjawab untuk perlindungan maklumat dan data (cth melalui dasar pengurusan perlindungan data);
  • b) kepakaran yang diperlukan untuk melindungi maklumat dan data yang masih ada;
  • c) semua pekerja komited untuk memastikan data peribadi dirahsiakan, dan telah dimaklumkan tentang kemungkinan akibat melanggar komitmen ini.

1.3 Kawalan akses ke kawasan pemprosesan

Langkah-langkah berikut mesti diambil untuk menghalang orang yang tidak dibenarkan daripada mendapat akses kepada sistem pemprosesan data (khususnya perisian dan perkakasan) apabila data peribadi diproses, disimpan atau dihantar:

  • a) mewujudkan kawasan selamat;
  • b) melindungi dan menyekat akses kepada sistem pemprosesan data;
  • c) mewujudkan kebenaran akses untuk pekerja dan pihak ketiga, termasuk dokumen masing-masing;
  • d) sebarang akses kepada pusat pemprosesan data di mana data peribadi disimpan hendaklah direkodkan.

1.4 Kawalan capaian kepada sistem pemprosesan data

Langkah-langkah berikut mesti diambil untuk mengelakkan capaian yang tidak dibenarkan kepada sistem pemprosesan data:

  • a) dasar dan prosedur pengesahan pengguna;
  • b) penggunaan kata laluan pada semua sistem komputer;
  • c) capaian jauh ke rangkaian memerlukan pengesahan berbilang faktor dan diberikan kepada orang berkenaan mengikut tanggungjawab mereka dan atas kebenaran;
  • d) akses kepada fungsi tertentu adalah berdasarkan fungsi kerja dan/atau atribut yang diperuntukkan secara individu kepada akaun pengguna;
  • e) hak akses yang berkaitan dengan data peribadi disemak secara berkala;
  • f) rekod perubahan kepada hak akses sentiasa dikemas kini.

1.5 Mengawal akses kepada kawasan tertentu penggunaan sistem pemprosesan data

Langkah-langkah berikut mesti diambil untuk memastikan bahawa orang yang diberi kuasa yang mempunyai hak untuk menggunakan sistem pemprosesan data hanya boleh mengakses data dalam tanggungjawab dan kebenaran capaian masing-masing dan bahawa data peribadi tidak boleh dibaca, disalin, diubah suai atau dipadamkan tanpa kebenaran:

  1. 1. 
    1. a) dasar, arahan, dan latihan pekerja, mengenai kewajipan setiap daripada mereka tentang kerahsiaan, hak akses kepada data peribadi, dan skop pemprosesan data peribadi;
  • b) tindakan tatatertib terhadap orang yang mengakses data peribadi tanpa kebenaran;
  • c) akses kepada data peribadi hendaklah diberikan hanya kepada orang yang diberi kuasa, atas dasar yang perlu diketahui;
  • d) mengekalkan senarai pentadbir sistem dan mengambil langkah yang sewajarnya untuk memantau pentadbir sistem;
  • e) tidak menyalin atau mengeluarkan semula data peribadi pada mana-mana sistem storan untuk membolehkan orang yang tidak dibenarkan mengalih keluar maklumat pemula;
  • f) pemadaman atau pemusnahan data yang dikawal dan didokumenkan;
  • g) untuk menyimpan dengan selamat semua data peribadi yang mesti disimpan atas sebab undang-undang atau peraturan (cth kewajipan untuk menyimpan data), dan hanya selama yang dikehendaki oleh undang-undang.

1.6 Kawalan penghantaran

Langkah-langkah berikut mesti diambil untuk mengelakkan data peribadi daripada dibaca, disalin, diubah suai atau dipadamkan oleh pihak ketiga yang tidak dibenarkan semasa penghantaran atau pengangkutan peranti storan data (bergantung pada pemprosesan data peribadi yang dijalankan):

  1. 1. 
    1. a) penggunaan tembok api;
  • b) mengelakkan penyimpanan data peribadi pada peranti storan mudah alih untuk tujuan pengangkutan, atau menyulitkan peranti;
  • c) gunakan pada komputer riba dan peranti mudah alih lain hanya selepas perlindungan penyulitan telah diaktifkan;
  • d) pengelogan penghantaran data peribadi.

1.7 Kawalan kemasukan data

Langkah-langkah berikut mesti diambil untuk memastikan bahawa adalah mungkin untuk mengesahkan dan menentukan sama ada data peribadi telah dimasukkan atau dipadamkan daripada sistem pemprosesan data dan oleh siapa:

  1. 1. 
    1. a) dasar untuk membenarkan pembacaan, pengubahan dan pemadaman data yang disimpan;
  • b) langkah perlindungan berkenaan pembacaan, pengubahan dan pemadaman data yang disimpan.

1.8 Kawalan kerja

Dalam kes pemprosesan data peribadi yang diwakilkan, langkah-langkah berikut mesti diambil untuk memastikan data tersebut diproses mengikut arahan Penyelia:

  1. 1. 
    1. a) entiti atau sub-entiti yang diberikan kepada pemprosesan data, dipilih dengan berhati-hati (penyedia perkhidmatan memproses data peribadi bagi pihak pengawal);
  • b) arahan mengenai skop sebarang pemprosesan data peribadi kepada pekerja, entiti atau sub-entiti yang diberikan kepada pemprosesan data;
  • c) hak audit yang dipersetujui dengan entiti atau sub-entiti yang diberikan kepada pemprosesan data;
  • d) perjanjian dengan entiti atau sub-entiti yang ditugaskan untuk memproses data.

1.9 Pengasingan daripada pemprosesan untuk tujuan lain

Langkah-langkah berikut mesti diambil untuk memastikan data yang dikumpul untuk tujuan lain boleh diproses secara berasingan:

  1. 1. 
    1. a) akses berasingan kepada data peribadi mengikut hak sedia ada pengguna;
  • b) antara muka, pemprosesan kelompok dan pelaporan adalah untuk tujuan dan fungsi lain, supaya data yang dikumpul untuk tujuan lain boleh diproses secara berasingan.

1.10 Nama samaran

Langkah-langkah berikut mesti diambil berkenaan penyamaran data peribadi:

  1. 1. 
    1. a) Jika Pengeksport Data memerintahkan operasi pemprosesan tertentu atau jika ini dianggap sesuai oleh Pengimport Data mengikut undang-undang perlindungan data yang berkuat kuasa berkenaan aktiviti pemprosesan tertentu, pemprosesan data peribadi akan dijalankan dengan cara yang data tidak lagi boleh dikaitkan dengan orang tertentu tanpa menggunakan maklumat tambahan. Maklumat tambahan ini akan disimpan secara berasingan;
  • b) penggunaan teknik nama samaran, termasuk rawak senarai peruntukan; penciptaan nilai dalam bentuk tajam.

1.11 Penyulitan

Langkah berikut perlu diambil untuk menyulitkan data peribadi dalam aplikasi dan penghantaran yang menyokong penyulitan:

  1.  
    1. a) penggunaan teknik penyulitan;
  • b) penubuhan pengurusan penyulitan untuk menyokong teknik penyulitan yang dibenarkan untuk digunakan;
  • c) menyokong penggunaan kriptografi melalui prosedur dan protokol untuk menjana, mengubah suai, membatalkan, memusnahkan, mengedar, memperakui, menyimpan, menangkap, menggunakan dan mengarkibkan kunci kriptografi untuk melindungi daripada pengubahsuaian dan pendedahan yang tidak dibenarkan.

1.12 Kesempurnaan sistem dan perkhidmatan pemprosesan data

Langkah-langkah berikut mesti diambil untuk memastikan kesempurnaan sistem dan perkhidmatan pemprosesan data:

  1. 1. a) perlindungan sistem pemprosesan data daripada manipulasi atau pemusnahan dengan cara yang sesuai (cth perisian anti-virus, perisian pencegahan kehilangan data dan perisian terhadap perisian hasad, tampung perisian, tembok api dan perlindungan desktop terurus);
  • b) melarang pemasangan sebarang perkhidmatan atau perisian yang berbahaya kepada sistem pemprosesan data, perkhidmatan, atau manipulasi data peribadi;
  • c) penggunaan sistem pengesanan dan pencegahan pencerobohan rangkaian dalam struktur rangkaian itu sendiri.

1.13 Ketersediaan sistem dan perkhidmatan pemprosesan data dan kemungkinan memulihkan akses kepada dan penggunaan data peribadi sekiranya berlaku insiden material atau teknikal

Langkah-langkah berikut mesti diambil untuk memastikan ketersediaan sistem pemprosesan data, serta dapat memulihkan ketersediaan dan akses kepada data peribadi dengan cepat, sekiranya berlaku insiden material atau teknikal (khususnya dengan memastikan bahawa data peribadi dilindungi daripada kemusnahan atau kehilangan secara tidak sengaja):

  • a) mempunyai cara kawalan untuk menyimpan salinan sandaran dan memulihkan data yang hilang atau dipadam;
  • b) lebihan infrastruktur dan ujian prestasi;
  • c) perlindungan fizikal sumber komputer;
  • d) penggunaan alatan untuk memantau status dan ketersediaan rangkaian dalaman;
  • e) polisi pelaporan dan tindak balas insiden yang mengawal prosedur pengurusan insiden, dan pengulangan pematuhan kepada dasar ini sebagai sebahagian daripada latihan biasa;
  • f) sandaran (kadangkala di luar tapak) untuk memulihkan sistem bagi membolehkannya melaksanakan fungsinya semula;
  • g) kesinambungan perniagaan/pelan pemulihan bencana

1.14 Ketahanan sistem dan perkhidmatan pemprosesan data

Langkah-langkah berikut mesti diambil untuk memastikan daya tahan sistem dan perkhidmatan pemprosesan data:

  • a) sistem dan dikonfigurasikan secara harmoni, menggunakan parameter keselamatan yang diluluskan;
  • b) lebihan rangkaian;
  • c) perlindungan pembendungan sistem kritikal.

1.15 Prosedur untuk kerap menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi untuk memastikan keselamatan pemprosesan data

Prosedur untuk kerap menguji, menilai dan menilai keberkesanan langkah teknikal dan organisasi untuk melindungi pemprosesan data.

  • a) mengambil langkah yang perlu untuk menilai risiko dan strategi mitigasi;
  • b) mesyuarat analisis perkhidmatan jabatan IT untuk menangani isu semasa;
  • c) pelan kesinambungan perniagaan/pemulihan bencana sentiasa dikemas kini.

 

Bahagian 3

Tandatangan pihak dan senarai Pengimport Data

 

Apabila anda mengisi borang pesanan dalam talian dan mengesahkannya dengan menandakan kotak menerima terma dan syarat umum penggunaan, kontrak yang mengawal hubungan antara Pelanggan dan POSTCODEZIP diwujudkan.

Menghantar bayaran ke POSTCODEZIP akan mempertimbangkan kontrak yang dipersetujui dan ditetapkan.

Ambil perhatian: Teks ini telah diterjemahkan daripada bahasa Perancis. Versi Perancis asal, yang sah dan menyekat undang-undang, tersedia  di sini .