Anexă de prelucrare a datelor

 

Acest apendice face parte integrantă din contract și este încheiat de:

 

  1. (i) Clientul (" Exportator de date ")
  2. (ii) POSTCODEZIP (" Importatorul de date ")

 

Fiecare fiind un „ partid ” și de obicei „ partide ”.

 

Preambul

UNDE Importatorul de date oferă servicii software profesionale, computer și servicii conexe;

UNDE în conformitate cu Contractul, Importatorul de date a fost de acord să furnizeze Exportatorului de date serviciile specificate în Contract („ Serviciile ”);

UNDE, prin furnizarea Serviciilor, Importatorul de Date primește sau beneficiază de acces la informațiile Exportatorului de Date sau la informațiile altor persoane care au o relație (potențială) cu Exportatorul de Date, astfel de informații pot fi calificate drept date personale în sensul Regulamentului. (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (" GDPR ") și alte legi aplicabile privind protecția datelor.

UNDE acest apendice conține termenii și condițiile aplicabile colectării, prelucrării și utilizării acestor date cu caracter personal de către importatorul de date în calitatea sa de agent autorizat de prelucrare a datelor al exportatorului de date, pentru a se asigura că părțile respectă legea aplicabilă privind protecția datelor. .

 

PRIN CARE și pentru a permite părților să își continue relația în mod legal, părțile au încheiat prezentul apendice după cum urmează:

Partea 1

 

1. Structura documentului și definiții

1.1 Structura

Acest apendice cuprinde diferite părți, după cum urmează:

 

Partea 1:

conține prevederi generale, de exemplu, cu privire la definițiile utilizate în acest apendice, conformitatea cu legile locale, calendarul și rezilierea

Partea 2:

conţine corpul documentului de clauze contractuale standard nemodificat

Anexa 1.1 din partea 2:

conține detaliile operațiunilor de prelucrare furnizate de Importatorul de date Exportatorului de date în calitate de agent autorizat de prelucrare a datelor (inclusiv prelucrarea, natura și scopul prelucrării, tipul de date cu caracter personal și categoriile de persoane vizate) în conformitate cu prezentul Apendice

Anexa 2 din partea 2:

conține o descriere a măsurilor de securitate tehnice și organizatorice ale importatorului de date, care sunt aplicate în legătură cu toate activitățile de prelucrare descrise în apendicele 1.1 din partea 2.

Partea 3:

conține semnăturile părților care urmează să fie obligate prin prezentul apendice și identifică fiecare importator de date

 

1.2 Terminologie și definiții

În sensul acestui apendice, terminologia și definițiile utilizate de GDPR sunt aplicabile (în corpul documentului Clauza contractuală standard din partea 2, unde termenii definiți nu sunt scrisi cu majuscule). 

 

"Stat membru"

înseamnă o țară aparținând Uniunii Europene sau Spațiului Economic European

„Categorii speciale de date (personale)”

se referă la date personale care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenența la un sindicat și datele genetice, datele biometrice, dacă sunt prelucrate în scopul identificării în mod unic a unei persoane, date referitoare la sănătate, date referitoare la sexul unei persoane viata sau orientarea sexuala

„Clauze contractuale standard”

înseamnă Clauzele Contractuale Standard pentru transferul datelor cu caracter personal ale agenților de prelucrare stabiliți în țări terțe, în temeiul Deciziei 2010/87/UE a Comisiei din 5 februarie 2010, care a fost modificată prin Decizia de punere în aplicare (UE) 2016/2297 a Comisiei din 16 decembrie 2016

„Procesor de date”

înseamnă orice agent de prelucrare, situat în interiorul sau în afara UE/SEE, care este de acord să primească de la Importatorul de date sau de la orice alt procesator al Importatorului de date, date cu caracter personal în scopul exclusiv al activităților de prelucrare care urmează să fie efectuate de către Exportatorul de date după transferul în conformitate cu instrucțiunile Exportatorului de Date, termenii prezentei Anexe și Contractul cu Importatorul de Date

 

 

2. Obligațiile Exportatorului de Date

2.1 Exportatorul de date are obligația de a asigura respectarea tuturor obligațiilor aplicabile în temeiul GDPR și a oricărei alte legi aplicabile privind protecția datelor care se aplică Exportatorului de date și de a demonstra conformitatea conform articolului 5 (2) din GDPR. Exportatorul de date garantează că importatorul de date a obținut consimțământul prealabil al persoanelor vizate în conformitate cu articolul 6 litera (a) din GDPR și și-a respectat obligația de a informa persoanele vizate în conformitate cu articolele 13 și 14 din GDPR.

2.2 Exportatorul de date trebuie să furnizeze Importatorului de date fișierele respective ale activităților de prelucrare în conformitate cu articolul 30 (1) din GDPR aferente Serviciilor din prezentul apendice, în măsura în care este necesar pentru ca Importatorul de date să respecte obligația conform Articolul 30 (2) din GDPR.

2.3 Exportatorul de date trebuie să numească un responsabil cu protecția datelor sau un reprezentant în măsura cerută de legea aplicabilă privind protecția datelor. Exportatorul de date este obligat să furnizeze importatorului de date datele de contact ale agentului de protecție a datelor sau ale reprezentantului, dacă este cazul.

2.4. Exportatorul de date confirmă înainte de finalizarea prelucrării, prin acceptarea acestui apendice, că măsurile de securitate tehnice și organizatorice ale importatorului de date, așa cum sunt prevăzute în apendicele 2 la partea 2, sunt adecvate și suficiente pentru a proteja drepturile persoanei vizate. și confirmă că importatorul de date oferă suficiente garanții în acest sens.

 

3. Respectarea legislației locale

Pentru a îndeplini cerințele de implementare a agenților de prelucrare în conformitate cu articolul 28 din GDPR, se aplică următoarele modificări:

 

3.1 Instrucțiuni

  1. (i) Exportatorul de date instruiește importatorul de date să prelucreze datele cu caracter personal numai în numele exportatorului de date. Instrucțiunile Exportatorului de Date sunt furnizate în această Anexă și în Contract. Exportatorul de date are obligația de a se asigura că toate instrucțiunile date importatorului de date respectă legile aplicabile privind protecția datelor. Importatorul de date trebuie să prelucreze datele cu caracter personal numai în conformitate cu instrucțiunile furnizate de exportatorul de date, cu excepția cazului în care se solicită altfel de către Uniunea Europeană sau legea statului membru (în acest din urmă caz, se aplică Partea 1 Clauza 3.2 (iv) (c)). .
  2. (ii) Toate celelalte instrucțiuni care depășesc instrucțiunile din acest Apendice sau din Contract trebuie să fie incluse în subiectul acestui Apendice și al Contractului. Dacă implementarea acestei instrucțiuni suplimentare implică costuri pentru Importatorul de date, Importatorul de date va informa Exportatorul de date despre aceste costuri și va oferi o explicație înainte de implementarea instrucțiunii. Numai după ce Exportatorul de date a confirmat acceptarea acestor costuri pentru implementarea instrucțiunii, Importatorul de date va implementa această instrucțiune suplimentară. Exportatorul de date trebuie să dea instrucțiuni suplimentare în scris, cu excepția cazului în care urgența sau alte circumstanțe specifice necesită o altă formă (de exemplu, orală, electronică). Instrucțiunile într-o altă formă decât în ​​scris trebuie confirmate în scris și fără întârziere de către Exportatorul de date.
  3. 1. Cu excepția cazului în care Exportatorul de date nu poate efectua singur rectificarea, ștergerea sau restricționarea datelor cu caracter personal, instrucțiunile se pot referi, de asemenea, la rectificarea, ștergerea și/sau restricționarea datelor cu caracter personal, așa cum este prevăzut în Partea 1 Clauza 3.3.
  4. 2. Importatorul de date trebuie să informeze imediat Exportatorul de date dacă, în opinia sa, o instrucțiune încalcă GDPR sau alte prevederi aplicabile privind protecția datelor din Uniunea Europeană sau dintr-un stat membru („ Instrucțiunea în litigiu"). În cazul în care importatorul de date consideră că o instrucțiune încalcă GDPR sau alte prevederi aplicabile privind protecția datelor din Uniunea Europeană sau dintr-un stat membru, importatorul de date nu este obligat să urmeze instrucțiunea în litigiu. Dacă exportatorul de date confirmă instrucțiunea contestată la data primind informații de la Importatorul de date și își ia la cunoștință responsabilitatea pentru Instrucțiunea contestată, Importatorul de date va implementa Instrucțiunea contestată, cu excepția cazului în care Instrucțiunea contestată se referă la (i) implementarea măsurilor tehnice și organizatorice, (ii) drepturile datelor. Subiecții sau (iii) angajarea procesatorilor de date. În cazurile (i) până la (iii), Importatorul de date poate contacta o autoritate de supraveghere competentă pentru ca Instrucțiunea contestată să fie evaluată din punct de vedere legal de către această autoritate.În cazul în care autoritatea de supraveghere declară Instrucțiunea contestată ca fiind legală, Importatorul de Date va implementa Instrucțiunea contestată. Partea 1 Clauza 3.1 (ii) va rămâne aplicabilă.

 

3.2 Obligațiile importatorului de date

  1. (i) Importatorul de date trebuie să se asigure că persoanele autorizate de către importatorul de date să prelucreze date cu caracter personal în numele exportatorului de date, în special angajații importatorului de date și angajații oricărui subcontractant, s-au angajat să respecte confidențialitatea sau sunt supuși o obligație legală corespunzătoare de confidențialitate și ca acele persoane care au acces la datele cu caracter personal le prelucrează în conformitate cu instrucțiunile exportatorului de date.
  2. (ii) Importatorul de date trebuie să pună în aplicare măsurile de securitate tehnice și organizatorice prevăzute în apendicele 2 la partea 2 înainte de a procesa datele cu caracter personal în numele exportatorului de date. Importatorul de date poate modifica din când în când măsurile de securitate tehnice și organizatorice dacă acestea nu oferă o protecție mai mică decât cele prevăzute în Anexa 2 la Partea 2.
  3. (iii) Importatorul de date va pune la dispoziția exportatorului de date, la cererea exportatorului de date, informații care să demonstreze respectarea obligațiilor importatorului de date în temeiul prezentului apendice. Părțile sunt de acord că această obligație de informare este îndeplinită prin furnizarea exportatorului de date a unui raport de audit (care acoperă securitatea principiilor, disponibilitatea sistemului și confidențialitatea) („Raport de audit”). Dacă sunt necesare activități de audit suplimentare, exportatorul de date poate solicita efectuarea de inspecții de către exportatorul de date sau de un alt auditor desemnat de exportatorul de date, sub rezerva încheierii de către respectivul auditor a unui acord de confidențialitate cu importatorul de date la importatorul de date. satisfacție rezonabilă („Audit”). Acest audit este supus următoarelor condiții:(i) acceptarea prealabilă în scris a importatorului de date; și (ii) Exportatorul de date va suporta toate costurile legate de Auditul la fața locului pentru Exportatorul de Date și Importatorul de Date. Exportatorul de date trebuie să creeze un raport de audit care rezumă rezultatele și observațiile auditului la fața locului („Raport de audit la fața locului”). Rapoartele de audit la fața locului și Rapoartele de audit sunt informații confidențiale ale importatorului de date și nu trebuie dezvăluite unor terțe părți decât dacă este cerut de legea aplicabilă privind protecția datelor sau în conformitate cu consimțământul importatorului de date.Rapoartele de audit la fața locului și Rapoartele de audit sunt informații confidențiale ale importatorului de date și nu trebuie dezvăluite unor terțe părți decât dacă este cerut de legea aplicabilă privind protecția datelor sau în conformitate cu consimțământul importatorului de date.Rapoartele de audit la fața locului și Rapoartele de audit sunt informații confidențiale ale importatorului de date și nu trebuie dezvăluite unor terțe părți decât dacă este cerut de legea aplicabilă privind protecția datelor sau în conformitate cu consimțământul importatorului de date.
  4. (iv) Importatorul de date are obligația de a notifica exportatorul de date fără întârzieri nejustificate:
    1. A. cu privire la orice cerere obligatorie din punct de vedere juridic de dezvăluire a datelor cu caracter personal de către o autoritate de aplicare a legii, cu excepția cazului în care este interzis altfel, cum ar fi o interdicție conform legii penale pentru a proteja confidențialitatea unei investigații de aplicare a legii
    2. b. cu privire la orice plângere și cerere primită direct de la o persoană vizată (de exemplu, cu privire la accesul, rectificarea, ștergerea, restricționarea prelucrării, portabilitatea datelor, obiecția la prelucrarea datelor, luarea automată a deciziilor) fără a răspunde acelei solicitări, cu excepția cazului în care Importatorul de date a fost autorizat să face acest lucru
    3. c. în cazul în care Importatorul de date sau Procesatorul de date este obligat, în temeiul legislației Uniunii Europene sau a statului membru căruia îi este supus Importatorul de date sau Procesatorul de date, să prelucreze datele cu caracter personal dincolo de instrucțiunile Exportatorului de date, înainte de a efectua o astfel de prelucrare dincolo de instrucțiunile, cu excepția cazului în care legile Uniunii Europene sau ale statului membru interzic o astfel de prelucrare din motive de interes public vital, caz în care notificarea către exportatorul de date va specifica cerința legală în temeiul legii respective a Uniunii Europene sau a statului membru; sau
    4. d. în cazul în care importatorul de date realizează o încălcare a datelor cu caracter personal, exclusiv din cauza sa sau a subcontractantului său, care ar afecta datele cu caracter personal ale exportatorului de date acoperite de prezentul contract, caz în care importatorul de date va asista exportatorul de date în obligația sa, față de legea aplicabilă privind protecția datelor, să informeze persoanele vizate și, după caz, autoritățile de supraveghere prin furnizarea informațiilor de care dispune, în conformitate cu articolul 33 (3) din GDPR.
    5. (v) La cererea exportatorului de date, importatorul de date va fi obligat să asiste exportatorul de date în obligația sa de a efectua o evaluare a impactului asupra protecției datelor care poate fi cerută de articolul 35 din GDPR și o consultare prealabilă care poate fi cerute de articolul 36 din GDPR cu privire la serviciile furnizate de Importatorul de date Exportatorului de date în conformitate cu prezentul apendice, furnizând informațiile necesare Exportatorului de date. Importatorul de date va fi obligat să ofere o astfel de asistență numai dacă Exportatorul de date nu își poate îndeplini obligația prin alte mijloace. Importatorul de date va informa Exportatorul de date cu privire la costul unei astfel de asistențe. De îndată ce exportatorul de date a confirmat că poate suporta acest cost, importatorul de date va oferi exportatorului de date acest ajutor.
    6. (vi) La încheierea prestării serviciilor, Exportatorul de Date poate solicita returnarea datelor cu caracter personal prelucrate de Importatorul de Date în conformitate cu prezentul Apendice în termen de o lună de la efectuarea serviciilor. Cu excepția cazului în care legislația statului membru sau a Uniunii Europene impune importatorului de date să stocheze sau să rețină astfel de date cu caracter personal, importatorul de date va șterge toate aceste date cu caracter personal sau nepersonal după perioada de o lună, indiferent dacă acestea au fost returnate către Exportatorul de date la cererea acestuia sau nu.

 

3.3 Drepturile persoanelor vizate

  1.  
    1. (i) Exportatorul de date gestionează și răspunde solicitărilor făcute de persoanele vizate. Data Importer nu este obligat să răspundă direct persoanelor vizate.
    2. (ii) În cazul în care exportatorul de date necesită asistența importatorului de date pentru procesarea și răspunsul la solicitările Persoanei vizate, exportatorul de date va emite o instrucțiune suplimentară în conformitate cu clauza 3.1 (ii) din partea 1. Importatorul de date va asista exportatorul de date. cu următoarele măsuri organizatorice adecvate și tehnice pentru a răspunde solicitărilor de exercitare a drepturilor persoanelor vizate prevăzute în Capitolul III din GDPR, după cum urmează:
    3. A. În ceea ce privește solicitările de informații, Importatorul de Date va furniza Exportatorului de Date doar informațiile cerute de Articolele 13 și 14 din PGRD pe care le poate avea la dispoziție în cazul în care Exportatorul de Date nu le poate găsi singur.
    4. b. În ceea ce privește cererile de acces (articolul 15 din GDPR), Importatorul de date va furniza Exportatorului de date doar informațiile care ar trebui furnizate unei persoane vizate pentru respectiva cerere de acces, pe care le poate avea la dispoziție dacă acesta din urmă nu-l poate găsi singur.
    5. c. În ceea ce privește cererile de rectificare (articolul 16 din GDPR), cererile de ștergere (articolul 17 din GDPR), restricționarea cererilor de prelucrare (articolul 18 din GDPR) sau cererile de portabilitate (articolul 20 din GDPR) și numai în cazul în care Exportatorul de date nu poate rectifica sau șterge, limita sau transmite datele cu caracter personal către o altă parte terță, Importatorul de date va oferi Exportatorului de date posibilitatea de a rectifica sau șterge, limita sau transmite celeilalte părți datele personale în cauză, sau dacă acest lucru nu este posibil, va oferi asistență pentru a rectifica sau șterge, limita sau transmite celuilalt terț datele personale în cauză.
    6. d. În ceea ce privește notificarea privind rectificarea, ștergerea sau restricționarea prelucrării (articolul 19 din GDPR), Importatorul de date va asista Exportatorul de date prin notificarea tuturor destinatarilor datelor cu caracter personal angajați de Importatorul de date în calitate de procesatori, dacă Exportatorul de date solicită acest lucru și dacă Exportatorul de date nu poate remedia singur situația.
    7. e. În ceea ce privește dreptul de opoziție exercitat de o persoană vizată (articolul 21 și 22 din GDPR), Exportatorul de date va stabili dacă opoziția este legitimă și cum să o rezolve.
    8. (iii) Obligațiile de asistență ale Importatorului de Date sunt limitate la datele cu caracter personal prelucrate în cadrul infrastructurii sale (de exemplu, baze de date, sisteme, aplicații deținute sau furnizate de Importatorul de Date).
    9. (iv) Exportatorul de date va stabili dacă o persoană vizată poate exercita drepturile persoanelor vizate prevăzute în clauza 3.1 a acestei părți 1 și va informa importatorul de date cu privire la măsura în care asistența specificată în clauzele 3.3 (ii), ( iii) din partea 1 este necesar.
    10. (v) În cazul în care exportatorul de date solicită măsuri tehnice și organizatorice suplimentare sau modificate pentru a îndeplini drepturile persoanelor vizate, care depășesc asistența oferită de importatorul de date în temeiul sub-clauzei 3.3 (ii), (iii) din partea 1, datele Importatorul va informa Exportatorul de date cu privire la costurile implementării acestor măsuri tehnice și organizatorice suplimentare sau modificate. De îndată ce Exportatorul de Date a confirmat că poate acoperi aceste costuri, Importatorul de Date va implementa astfel de măsuri tehnice și organizatorice suplimentare sau modificate pentru a ajuta Exportatorul de Date să răspundă solicitărilor Subiecților datelor.
    11. (vi) Fără a limita domeniul de aplicare al clauzei 3.3 (v) din partea 1, exportatorul de date va fi obligat să ramburseze importatorului de date cheltuielile rezonabile suportate pentru a răspunde solicitărilor persoanelor vizate.

 

3.4 Sub-prelucrare

  1.  
    1. (i) Exportatorul de date autorizează importatorul de date utilizarea subcontractanților pentru furnizarea de servicii în conformitate cu prezentul apendice. Importatorul de date va selecta cu atenție astfel de procesatori de date. Exportatorul de date aprobă procesatorii de date enumerați în Anexa 1.1 la sfârșitul Părții 2.
    2. (ii) Importatorul de date își va transfera obligațiile în temeiul prezentului apendice împuterniciților de prelucrare a datelor în măsura în care se aplică serviciilor subcontractate.
    3. (iii) Importatorul de date poate demite, înlocui sau numi un alt procesator de date adecvat și de încredere, la discreția sa. Dacă exportatorul de date solicită acest lucru în scris, importatorul de date trebuie să urmeze procedura de mai jos:
  1.  
    1. A. Importatorul de date va informa Exportatorul de date înainte de orice modificare a listei procesatorilor de date la care se face referire în Clauza 3.4 (i) din Partea 1. În cazul în care Exportatorul de date nu se opune conform Clauzei 3.4. (b) din partea 1 la treizeci de zile de la primirea notificării de la importatorul de date, procesatorii de date suplimentari vor fi considerați acceptați.
    2. b. În cazul în care Exportatorul de date are un motiv legitim de a se opune unui procesator de date suplimentar, acesta va notifica în prealabil în scris Importatorul de date în termen de treizeci de zile de la primirea notificării importatorului de date și înainte ca serviciul importatorului de date să fie pus în funcțiune. În cazul în care Exportatorul de date se opune utilizării unui procesor suplimentar de date, Importatorul de date poate elimina obiecția prin una dintre următoarele opțiuni (alese la discreția sa): (A) Importatorul de date își va anula planurile de a utiliza un procesor suplimentar în ceea ce privește datele personale ale Exportatorului de date; (B) Importatorul de Date va lua măsurile corective solicitate de Exportatorul de Date în obiecția sa (anularea obiecției) și va folosi procesatorul suplimentar cu privire la datele personale ale Exportatorului de Date;(C) Importatorul de date poate înceta să furnizeze sau Exportatorul de date poate fi de acord să nu folosească (temporar sau permanent) un anumit aspect al serviciului care ar implica utilizarea procesorului ulterior al Exportatorului de date a datelor personale ale Exportatorului de date.
  1.  
    1. (iv) în cazul în care operatorul de date are sediul în afara UE-SEE într-o țară care nu este recunoscută ca oferind un nivel adecvat de protecție a datelor în urma unei decizii a Comisiei Europene, importatorul de date va lua măsurile pentru a respecta un nivel adecvat. de protecție a datelor în conformitate cu GDPR (astfel de măsuri pot include - printre altele și - utilizarea contractelor de prelucrare a datelor bazate pe clauzele modelului UE, transferul către procesatori de date auto-certificati în cadrul Scutului de protecție UE-SUA , sau un program similar).

 

3.5 Expirare

Perioada de valabilitate a acestui Apendice este identică cu data de expirare a Contractului corespunzător. Cu excepția cazului în care se prevede altfel în prezentul apendice, drepturile și obligațiile legate de reziliere vor fi aceleași cu cele cuprinse în Contract.

 

4. Limitarea răspunderii

4.1 Fiecare parte își îndeplinește obligațiile în temeiul prezentului apendice și al legislației aplicabile privind protecția datelor.

4.2 Orice răspundere legată de o încălcare a obligațiilor din prezentul apendice sau legislația aplicabilă privind protecția datelor va fi supusă și guvernată de prevederile privind răspunderea stabilite în contract sau aplicabile acestuia, cu excepția cazului în care se prevede altfel în acest apendice. Dacă răspunderea este guvernată de prevederile de răspundere stabilite în sau aplicabile Contractului, pentru calcularea limitelor de răspundere sau determinarea aplicării altor limitări de răspundere, orice răspundere care decurge în temeiul prezentului Apendice va fi considerată a decurge din Contract.

 

5. Dispoziții generale

5.1 Dacă există neconcordanțe sau discrepanțe între părțile 1 și 2 ale acestui apendice, partea 2 va prevala. În mod specific, chiar și într-un astfel de caz, partea 1 care pur și simplu depășește partea 2 (adică termenii clauzelor standard) fără a o contrazice va rămâne valabilă.

5.2 În cazul în care apare vreo discrepanță între prevederile prezentului apendice și cele ale altor contracte care leagă părțile, prezentul apendice va prevala în ceea ce privește obligațiile părților în materie de protecție a datelor. În cazul în care există îndoieli cu privire la faptul dacă clauzele din alte contracte privesc obligațiile părților în materie de protecție a datelor, prezentul apendice va prevala.

5.3 Dacă vreo prevedere a acestui apendice este invalidă sau inaplicabilă, restul acestui apendice va rămâne în vigoare și în vigoare. Dispoziția invalidă sau inaplicabilă va fi (i) modificată pentru a asigura valabilitatea și caracterul executoriu acesteia, păstrând în același timp pe cât posibil intenția părților, sau - dacă acest lucru nu este posibil - (ii) interpretată ca și cum partea invalidă sau inaplicabilă ar fi nu a făcut parte niciodată din contract. Cele de mai sus se aplică, de asemenea, dacă există o omisiune în acest apendice.

5.5 În măsura în care este necesar, Părțile pot solicita modificări la Partea 1, Clauza 3 (Respectarea legislației locale) sau alte părți ale Anexei pentru a se conforma interpretărilor, directivelor sau ordinelor emise de autoritățile competente ale Uniunii sau Statele membre, dispozițiile naționale de aplicare sau orice alte evoluții legale referitoare la GDPR sau la alte condiții de delegare către orice entități implicate în prelucrarea datelor și în special în ceea ce privește utilizarea clauzelor contractuale standard din GDPR. Termenii Clauzelor Contractuale Standard nu pot fi modificați sau înlocuiți decât dacă Comisia Europeană îi aprobă în mod expres (de exemplu, prin noi clauze adecvate și standarde de protecție a datelor).

5.6 Orice referire în acest Apendice la „Clauze” se înțelege ca referindu-se la toate prevederile acestui Apendice, dacă nu se specifică altfel.

5.7 Alegerea legii din Partea 2, Clauza 9 se aplică întregului Contract.

 

6.  Date cu caracter personal transmise și prelucrate de părți în scopuri personale (transfer de la operatorul de date la operatorul de date)

6.1 Părțile știu pe deplin că anumite date cu caracter personal vor fi transferate de la Exportatorul de date la Importatorul de date și invers și că astfel de date sunt prelucrate de fiecare parte în propriile scopuri. În ceea ce privește astfel de date cu caracter personal, acestea nu afectează celelalte prevederi ale acestui apendice (cu excepția acestei clauze 6).

6.2 Exportatorul de date poate transfera date cu caracter personal referitoare la personalul Importatorului de date către Importatorul de date, inclusiv informații despre incidente de securitate sau orice alte documente sau fișiere create sau stabilite de Exportatorul de date în legătură cu Serviciile furnizate de personalul importatorul de date. Importatorul de date poate prelucra astfel de date cu caracter personal în propriile sale scopuri, în special în relațiile sale profesionale cu personalul importatorului de date, pentru controlul calității și instruire sau în scopuri comerciale.

6.3. Importatorul de date poate transfera date cu caracter personal către Exportatorul de date, inclusiv numele și detaliile de contact ale personalului importatorului de date. Exportatorul de date poate prelucra astfel de date personale în propriile sale scopuri.

6.4 Ambele părți se vor conforma oricăror legi aplicabile privind protecția datelor, inclusiv GDPR, în colectarea, prelucrarea și utilizarea acestor date cu caracter personal primite de la cealaltă parte în temeiul clauzei 1 din partea 1. În special, ambele părți vor lua măsuri de securitate adecvate, cu condiția ca: un nivel similar de protecție cu măsurile de securitate prevăzute în apendicele 2 din partea 2. Orice acces la astfel de date cu caracter personal se limitează la necesitatea cunoașterii acestora.

6.5 Ambele părți trebuie să șteargă aceste date cu caracter personal cât mai curând posibil după ce obiectivele au fost atinse.

Partea 2

 

DECIZIA COMISIEI

la 5 februarie 2010

privind clauzele contractuale standard pentru transferul de date cu caracter personal către operatori de date stabiliți în țări terțe în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului

 

 

 

Clauza 1

Definiții

În sensul clauzelor:

a) „date cu caracter personal”, „categorii speciale de date”, „prelucrare/prelucrare”, „operator”, „operator”, „persoană de date” și „autoritate de supraveghere” au același înțeles ca în 95/46/CE Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (1);

b) „Exportatorul de date” este operatorul de date care transferă datele cu caracter personal;

c) „Importatorul de date” este operatorul de date care acceptă să primească de la Exportatorul de date date cu caracter personal destinate a fi prelucrate în numele Exportatorului de date după transfer, în conformitate cu instrucțiunile acestuia și în condițiile acestor clauze și care nu este sub rezerva mecanismului unei țări terțe care asigură o protecție adecvată în sensul articolului 25 alineatul (1) din Directiva 95/46/CE; (d) „Procesator de date” înseamnă operatorul de date angajat de Importatorul de date sau de orice alt procesator de date al Importatorului de date care este de acord să primească de la Importatorul de date sau orice alt procesator de date al Importatorului de date date cu caracter personal exclusiv pentru activități de prelucrare către să fie efectuate în numele exportatorului de date după transfer, în conformitate cu instrucțiunile exportatorului de date,în condițiile prevăzute în prezentele Clauze și în condițiile contractului de subcontractare scrisă de prelucrare a datelor;

e) „lege aplicabilă privind protecția datelor” înseamnă legislația care protejează drepturile și libertățile fundamentale ale persoanelor, inclusiv dreptul la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, și care se aplică unui operator din statul membru în care este stabilit Exportatorul de date;

f) „măsuri tehnice şi organizatorice referitoare la securitate” înseamnă măsuri menite să protejeze datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor prin rețele și împotriva tuturor altor forme ilegale de prelucrare.

Clauza 2

Detalii despre transfer

Detaliile transferului, inclusiv, după caz, categorii speciale de date cu caracter personal, sunt specificate în Anexa 1, care face parte integrantă din aceste clauze.

Clauza 3

Clauza de terț beneficiar

1. Persoana vizată poate aplica împotriva exportatorului de date această clauză, clauza 4(b) până la (i), clauza 5(a) până la (e) și (g) până la (j), clauza 6 (1) și (2). ), clauza 7, clauza 8 alineatul (2) și clauzele 9 până la 12 în calitate de terț beneficiar

2. Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 până la 12 împotriva importatorului de date în cazul în care exportatorul de date are fizic a dispărut sau a încetat să mai existe în drept, cu excepția cazului în care toate obligațiile sale legale au fost transferate, prin contract sau de drept, entității succesoare, căreia îi revin, prin urmare, drepturile și obligațiile Exportatorului de date și față de care datele subiectul poate, prin urmare, să aplice clauzele menționate.

Persoana vizată poate aplica această clauză, clauza 5 (a) la (e) și (g), clauza 6, clauza 7, clauza 8 (2) și clauzele 9 până la 12 împotriva operatorului de date, dar numai în cazurile în care datele Exportatorul și Importatorul de date au dispărut fizic, au încetat să mai existe în drept sau au intrat în insolvență, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, succesorului legal, căruia drepturile și Prin urmare, sunt învestite obligațiile Exportatorului de date și față de care persoana vizată poate, prin urmare, să aplice astfel de clauze. O astfel de răspundere a împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în temeiul acestor clauze.

4. Părțile nu se opun ca persoana vizată să fie reprezentată de o asociație sau alt organism dacă acesta dorește și dacă legislația națională permite acest lucru.

Clauza 4

Obligațiile Exportatorului de Date

Exportatorul de date acceptă și garantează următoarele:

a) prelucrarea, inclusiv transferul efectiv al datelor cu caracter personal, a fost și va continua să fie efectuată în conformitate cu prevederile relevante ale legislației aplicabile privind protecția datelor (și, după caz, a fost notificată autorităților competente ale statului membru). în care își are sediul Exportatorul de date) și nu încalcă prevederile relevante ale statului respectiv;

b) au instruit și vor instrui pe durata serviciilor de prelucrare a datelor cu caracter personal, Importatorul de date să prelucreze datele cu caracter personal transferate în numele exclusiv al Exportatorului de date și în conformitate cu legislația aplicabilă privind protecția datelor și aceste clauze;

c) Importatorul de Date va oferi suficiente garanții cu privire la măsurile de securitate tehnice și organizatorice specificate în Anexa 2 la prezentul contract;

d) după evaluarea cerințelor legislației aplicabile privind protecția datelor, măsurile de securitate sunt adecvate pentru a proteja datele cu caracter personal împotriva distrugerii accidentale sau ilegale sau a pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea implică transmiterea datelor; în rețea și împotriva tuturor celorlalte forme ilegale de prelucrare și să asigure un nivel de securitate adecvat riscurilor reprezentate de prelucrare și naturii datelor care trebuie protejate, ținând cont de nivelul de tehnologie și de costul implementării;

e) vor asigura respectarea măsurilor de securitate;

f) dacă transferul se referă la categorii speciale de date, persoana vizată a fost informată sau va fi informată înainte de transfer, sau cât mai curând posibil după transfer, că datele sale pot fi transferate într-o țară terță care nu oferă un nivel adecvat de protecție în sensul Directivei 95/46/CE;

g) vor transmite autorității de supraveghere a protecției datelor orice notificare primită de la Importatorul de date sau de la orice operator de date în temeiul Clauzelor 5 (b) și 8 (3) dacă aceasta decide să continue transferul sau să ridice suspendarea acestuia;

h) vor pune la dispoziția persoanelor vizate, dacă solicită acest lucru, o copie a acestor clauze, cu excepția anexei 2, și o descriere sumară a măsurilor de securitate, precum și o copie a oricărui alt acord de subcontractare, încheiat în temeiul prezentelor clauze, cu excepția cazului în care: Clauzele sau acordul conțin informații comerciale, caz în care poate retrage aceste informații;

i) în cazul subcontractării procesului de prelucrare a datelor, activitatea de prelucrare este desfășurată în conformitate cu Clauza 11 de către un operator de date care asigură cel puțin același nivel de protecție a datelor cu caracter personal și a drepturilor persoanei vizate ca și Importatorul de date în temeiul acestor clauze. ; și

j) va asigura conformitatea cu Clauza 4 (a) la (i).

Clauza 5

Obligațiile importatorului de date

Importatorul de date acceptă și garantează următoarele:

a) vor prelucra datele cu caracter personal numai în numele Exportatorului de date și conform instrucțiunilor Exportatorului de date și ale acestor clauze; în cazul în care nu se poate conforma din orice motiv, aceștia sunt de acord să informeze Exportatorul de Date despre incapacitatea acestuia cât mai curând posibil, caz în care Exportatorul de Date poate suspenda transferul de date și/sau înceta contractul;

b) nu au motive să creadă că legea aplicabilă acestora îl împiedică să îndeplinească instrucțiunile date de Exportatorul de date și obligațiile care îi revin în temeiul contractului și dacă această lege este supusă unei modificări care ar putea avea un prejudiciu material; efect asupra garanțiilor și obligațiilor prevăzute de Clauze, acesta va notifica fără întârziere Exportatorul de date modificarea după ce a luat cunoștință de aceasta, caz în care Exportatorul de date poate suspenda transferul de date și/sau încetează contractul; (c) au implementat măsurile de securitate tehnice și organizatorice specificate în apendicele 2 înainte de a prelucra datele cu caracter personal transferate;

d) vor notifica fără întârziere Exportatorul de date:

i) orice cerere obligatorie de dezvăluire a datelor cu caracter personal din partea unei autorități de aplicare a legii, cu excepția cazului în care se specifică altfel, cum ar fi o interdicție penală care vizează păstrarea secretului unei anchete polițienești;

ii) orice acces accidental sau neautorizat; și

iii) orice cerere primită direct de la persoanele în cauză fără a răspunde la aceasta, cu excepția cazului în care acesta a fost autorizat să facă acest lucru; administratori

e) vor trata cu promptitudine și în mod corespunzător toate întrebările din partea Exportatorului de date cu privire la prelucrarea de către acesta a datelor cu caracter personal care sunt transferate și vor acționa sub avizul autorității de supraveghere cu privire la prelucrarea datelor transferate;

f) la cererea Exportatorului de date, acestea vor supune instalațiile sale de prelucrare a datelor unui audit al activităților de prelucrare reglementate de aceste clauze, care urmează să fie efectuat de către Exportatorul de date sau de un organism de supraveghere compus din membri independenți cu calificările profesionale necesare; supus unei obligații de secret și ales de Exportatorul de date, după caz, cu acordul autorității de supraveghere;

g) vor pune la dispoziția persoanei vizate, dacă aceasta solicită acest lucru, o copie a acestor Clauze, sau orice subcontractare existentă a contractului de prelucrare a datelor, cu excepția cazului în care Clauzele sau contractul conțin informații comerciale, caz în care poate elimina astfel de clauze. informații, cu excepția Anexei 2, care va fi înlocuită cu o descriere sumară a măsurilor de securitate, în cazul în care persoana vizată nu poate obține o copie de la Exportatorul de date;

h) în cazul subcontractării ulterioare confidențiale a prelucrării datelor, se va asigura că informează în prealabil Exportatorul de date și obține acordul scris al Exportatorului de date;

i) serviciile de prelucrare furnizate de operatorul de date vor respecta clauza 11;

j) vor trimite cu promptitudine Exportatorului de date o copie a oricărei subcontractări a acordului de prelucrare a datelor încheiat de acesta în temeiul prezentelor Clauze.

Clauza 6

Responsabilitate

1. Părțile convin că orice persoană vizată care a suferit un prejudiciu din cauza încălcării obligațiilor menționate în Clauza 3 sau Clauza 11 de către una dintre părți sau de către un procesator de date poate obține despăgubiri de la Exportatorul de date pentru prejudiciul suferit.

2. În cazul în care o persoană vizată este împiedicată să introducă o acțiune în despăgubire conform paragrafului 1 împotriva exportatorului de date pentru nerespectarea de către importatorul de date sau persoana împuternicită a procesului de date cu oricare dintre obligațiile care îi revin în temeiul clauzei 3 sau 11, deoarece datele Exportatorul a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil, Importatorul de date este de acord ca persoana vizată să poată depune o plângere împotriva sa ca și cum ar fi Exportatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de date au fost transferate, prin contract sau de drept, către entitatea succesoare a acesteia, față de care persoana vizată își poate exercita apoi drepturile. Importatorul de date nu se poate baza pe o încălcare a obligațiilor sale de către un procesator de date pentru a evita propria răspundere.

3. În cazul în care o persoană vizată este împiedicată să introducă acțiunea menționată la paragrafele 1 și 2 împotriva Exportatorului de date sau Importatorului de date pentru încălcarea de către Procesorul de date a obligațiilor sale în temeiul Clauzei 3 sau Clauzei 11, deoarece Exportatorul de Date și Importatorul de date au dispărut fizic, au încetat să existe în drept sau au intrat în insolvență, Procesatorul de date este de acord ca persoana vizată să poată depune o plângere împotriva acesteia cu privire la propriile activități de prelucrare în conformitate cu aceste clauze ca și cum ar fi Exportatorul de date sau Importatorul de date, cu excepția cazului în care toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date au fost transferate, prin contract sau de drept, succesorului legal, față de care persoana vizată își poate exercita apoi drepturile.Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.

 

Clauza 7

Mediere și jurisdicție

1. Importatorul de date este de acord ca, în cazul în care, conform clauzelor, persoana vizată invocă împotriva sa dreptul terțului beneficiar și/sau solicită despăgubiri pentru prejudiciul suferit, va accepta decizia persoanei vizate:

a) să supună litigiul medierii de către o persoană independentă sau, după caz, autoritatea de supraveghere;

b) să sesizeze litigiul în fața instanțelor din statul membru în care își are sediul Exportatorul de date.

2. Părțile convin că alegerea făcută de persoana vizată nu va afecta dreptul procedural sau material al persoanei vizate de a obține despăgubiri în conformitate cu alte dispoziții de drept național sau internațional.

Clauza 8

Cooperare cu autoritățile de supraveghere

1. Exportatorul de date este de acord să depună o copie a prezentului contract la autoritatea de supraveghere dacă aceasta din urmă solicită acest lucru sau dacă o astfel de depunere este prevăzută de legea aplicabilă privind protecția datelor.

2. Părțile convin că autoritatea de supraveghere poate efectua verificări la Importatorul de date și orice operator de date în aceeași măsură și în aceleași condiții ca și în cazul verificărilor efectuate la Exportatorul de date în conformitate cu legislația aplicabilă privind protecția datelor.

3. Importatorul de date informează Exportatorul de date cât mai curând posibil despre existența unei legislații privind importatorul de date sau orice operator de date care împiedică verificarea la importatorul de date sau orice operator de date în conformitate cu alineatul (2). În acest caz, Exportatorul de date poate lua măsurile prevăzute în Clauza 5 (b).

Clauza 9

Lege aplicabilă

Clauzele se aplică și sunt guvernate de legea statului membru în care își are sediul Exportatorul de date.

Clauza 10

Modificarea contractului

Părțile se obligă să nu modifice prezentele clauze. Părțile rămân libere să includă și alte clauze comerciale pe care le consideră necesare, cu condiția ca acestea să nu contravină prezentelor clauze.

Clauza 11

Subcontractare ulterioară

1. Importatorul de date nu va subcontracta niciuna dintre activitățile sale de prelucrare efectuate în numele Exportatorului de date în conformitate cu aceste clauze fără acordul prealabil scris al Exportatorului de date. Importatorul de date își va subcontracta obligațiile în temeiul acestor Clauze numai, cu acordul Exportatorului de Date, printr-un acord scris cu Procesatorul de Date care impune Procesatorului de Date aceleași obligații ca și cele impuse Importatorului de Date prin aceste Clauze. În cazul în care operatorul de date nu își poate respecta obligațiile de protecție a datelor în temeiul acordului scris, importatorul de date va rămâne pe deplin responsabil față de exportatorul de date pentru îndeplinirea acestor obligații.

2. Acordul scris prealabil dintre importatorul de date și împuternicitul de date va include, de asemenea, o clauză de beneficiar terță parte, astfel cum este prevăzută în clauza 3, pentru cazurile în care persoana vizată este împiedicată să introducă cererea de despăgubire menționată la clauza 6 (1). ), împotriva Exportatorului de Date sau Importatorului de Date deoarece Exportatorul de Date sau Importatorul de Date a dispărut fizic, a încetat să mai existe în drept sau a devenit insolvabil și toate obligațiile legale ale Exportatorului de Date sau Importatorului de Date nu au fost transferate, prin contract sau prin operațiune de drept, către o altă entitate succesoare. Răspunderea împuternicitului de date trebuie să fie limitată la propriile activități de prelucrare în conformitate cu aceste clauze.

(3) Dispozițiile referitoare la aspectele legate de protecția datelor în subcontractarea prelucrării datelor din contractul menționat la alineatul (1) sunt reglementate de legea statului membru în care este stabilit Exportatorul de date.

4. Exportatorul de date va păstra o listă a contractelor de subcontractare de prelucrare a datelor încheiate în temeiul prezentelor clauze și notificate de către importatorul de date în conformitate cu clauza 5 (j), care va fi actualizată cel puțin o dată pe an. Această listă va fi pusă la dispoziția autorității de supraveghere a protecției datelor a exportatorului de date.

Clauza 12

Obligație după încetarea serviciilor de prelucrare a datelor cu caracter personal

1. Părțile sunt de acord că, la finalizarea serviciilor de prelucrare a datelor, importatorul de date și procesatorul de date vor returna exportatorului de date toate datele cu caracter personal transferate și copiile acestora, la comoditatea exportatorului de date, sau vor distruge toate aceste date și vor furniza dovezi. distrugerea către Exportatorul de Date, cu excepția cazului în care legislația impusă Importatorului de Date îl împiedică să returneze sau să distrugă toate sau o parte din datele cu caracter personal transferate. În acest caz, Importatorul de Date garantează că va asigura confidențialitatea datelor cu caracter personal transferate și că nu va mai procesa în mod activ datele.

(2) Importatorul de date și operatorul de date se asigură că, la cererea exportatorului de date și/sau a autorității de supraveghere, își vor supune mijloacele de prelucrare a datelor verificării măsurilor menționate la alineatul (1).

 

 

 

 

Anexa 1.1 la partea 2

Detalii despre transfer

 

 

Exportator de date

Exportatorul de date este Clientul definit în Acordul Contractual.

 

Importator de date

Importatorul de date este POSTCODEZIP și este desemnat să prelucreze datele, furnizând servicii Exportatorului de date.

 

Subiectele datelor

Datele cu caracter personal transferate privesc următoarele categorii de persoane vizate:

A?? abonaților telefonici enumerați în directorul universal

â˜' Altele, inclusiv:

 

Categorii de date

Datele cu caracter personal transferate privesc urmatoarele categorii de date:

 

Categorii de date cu caracter personal ale persoanelor vizate ale exportatorului de date, în special,

A?? Numele complet

â˜' Adresa poştală

A?? Detalii de contact (e-mail, telefon, adresa IP etc.)

A?? Detalii despre activitățile de marketing privind abonatul la telefon

â˜' Altele, inclusiv tipul de locuință, venitul și vârsta medie de către oraș, făcute anonim

 

Categorii speciale de date (dacă este cazul)

Datele cu caracter personal transferate privesc următoarele categorii speciale de date:

â˜' Nu este prevăzut transferul de categorii speciale de date

A?? Rasă sau origine etnică

A?? Credințe religioase sau filozofice

A?? Apartenența la sindicat

A?? Opinii Politice

A?? Informații genetice

A?? Informații biometrice

A?? Informații despre orientarea sexuală sau viața sexuală

A?? Date de sănătate

 

Activitati de prelucrare

Datele cu caracter personal transferate vor face obiectul următoarelor activități de prelucrare de bază:

 

  •  
    • •  Scopul prelucrării

Prelucrarea efectuată în numele Exportatorului de date se bazează pe următoarele subiecte, în special:

â˜' Preluarea asupra produselor sau serviciilor oferite de Exportatorul de date

â˜' Oferta unui produs sau serviciu pe care persoana apelată o poate solicita

â˜' Comenzi preluate de la persoanele chemate și procesarea ulterioară a acestor comenzi

â˜' Studiați chestionare și analize

â˜' Telemarketing

A?? Altele, inclusiv:

 

  •  
    • •  Natura și scopul prelucrării

Importatorul de date prelucrează datele cu caracter personal ale persoanelor vizate în numele Exportatorului de date, pentru a furniza următoarele servicii și, în special:

  • â˜' Completarea automată a formularului
  • â˜' Formular de validare a adreselor

â˜' Vânzări și marketing

â˜' Altele, inclusiv actualizarea bazelor de date ale primăriilor și ale partidelor politice

 

  •  
    • •  Furnizarea de servicii şi angajarea furnizorilor de servicii

 

POSTCODEZIP în principal combină, centralizează și oferă servicii Exportatorului de date. Serviciile furnizate de furnizorul de servicii numit pot fi structurate (printre altele, după caz) în jurul următoarelor servicii auxiliare: (i) furnizarea de aplicații, instrumente, sisteme și infrastructură IT în legătură cu centrele de prelucrare a datelor utilizate, pentru a furniza și să sprijine serviciile, inclusiv prelucrarea datelor cu caracter personal ale persoanelor vizate, așa cum este descris mai sus, prin astfel de aplicații, instrumente și sisteme, (ii) furnizarea de suport IT, întreținere și alte servicii legate de astfel de aplicații, instrumente, sisteme și infrastructura IT, inclusiv acces potențial la datele personale stocate în astfel de aplicații, instrumente și sisteme și (iii) furnizarea de servicii de protecție a datelor, monitorizare a protecției și servicii de răspuns la incidente;inclusiv accesul potențial la datele cu caracter personal atunci când furnizează astfel de servicii de protecție. POSTCODEZIP poate angaja procesatori de date, după cum se stabilește mai jos, pentru a furniza serviciile, inclusiv serviciile auxiliare.

 

  •  
    • • Furnizori externi de servicii terți ca subentități alocate procesării datelor

 

POSTCODEZIP angajează furnizori de servicii externi și terți, care nu sunt subsidiare ale POSTCODEZIP, pentru a sprijini furnizarea de servicii către Exportatorul de date. Exportatorul de date aprobă astfel de furnizori externi de servicii terți ca subentități alocate procesării datelor.

 

Dacă o subentitate implicată în prelucrarea datelor este situată în afara UE/SEE, într-o țară despre care se consideră că nu are un nivel adecvat de protecție a datelor în temeiul unei decizii a Comisiei Europene, importatorul de date va lua măsuri pentru a obține un nivel adecvat de protecția datelor în conformitate cu GDPR și cu secțiunea 3.4 (iv) din partea 1.

 

 

Anexa 2, partea 2

Măsuri tehnice și organizatorice de protecție

 

Importatorul de Date va lua următoarele măsuri tehnice și organizatorice de protecție confirmate de Exportatorul de Date, pentru a garanta un nivel adecvat de securitate pentru drepturile și libertățile persoanelor, în funcție de riscuri. La evaluarea nivelului de protecție în cauză, Exportatorul de date a luat în considerare, în special, riscurile implicate de prelucrare, inclusiv distrugerea accidentală sau ilegală, modificarea, dezvăluirea neautorizată sau accesul la datele cu caracter personal transmise, stocate sau prelucrate în alt mod. Prin clarificare: Aceste măsuri tehnice și organizatorice de protecție nu se aplică aplicațiilor, instrumentelor, sistemelor și/sau infrastructurii IT furnizate de Exportatorul de date.

1 Măsuri generale de protecție tehnică și organizatorică

1.1 Informații generale și strategii de protecție a datelor

Următorii pași ar trebui luați pentru a urma strategiile generale de protecție a datelor și informațiilor:

  • a) să ia măsuri de evaluare a celor luate privind protecția tehnică și organizatorică;
  • b) să ofere instruire pentru sensibilizarea angajaților;
  • c) să aibă o descriere a sistemelor în cauză și să acorde acces angajaților;
  • d) să stabilească un proces formal de documentare ori de câte ori sistemele sunt implementate sau modificate;
  • e) documentarea structurii organizatorice, proceselor, responsabilităţilor şi evaluărilor respective;

1.2 Organizarea protecției informațiilor

Următoarele măsuri ar trebui luate pentru a coordona activitățile de protecție a datelor și informațiilor:

  • a) responsabilități definite pentru protecția informațiilor și a datelor (de exemplu, prin politica de management al protecției datelor);
  • b) expertiza necesară privind protecția informațiilor și a datelor rămase disponibile;
  • c) toți angajații se angajează să se asigure că datele personale sunt păstrate confidențiale și au fost informați cu privire la potențialele consecințe ale încălcării acestui angajament.

1.3 Controlul accesului în zonele de procesare

Trebuie luate următoarele măsuri pentru a preveni accesul persoanelor neautorizate la sistemele de prelucrare a datelor (în special software și hardware) atunci când datele cu caracter personal sunt prelucrate, stocate sau transmise:

  • a) să stabilească zone securizate;
  • b) protejează și restricționează accesul la sistemele de prelucrare a datelor;
  • c) stabilesc autorizații de acces pentru angajați și terți, inclusiv documentele respective;
  • d) se înregistrează orice acces la centrele de prelucrare a datelor în care sunt stocate datele cu caracter personal.

1.4 Controlul accesului la sistemele de prelucrare a datelor

Următoarele măsuri trebuie luate pentru a preveni accesul neautorizat la sistemele de prelucrare a datelor:

  • a) politicile și procedurile de autentificare a utilizatorilor;
  • b) utilizarea parolelor pe toate sistemele informatice;
  • c) accesul de la distanță la rețea necesită autentificare multifactorială și se acordă persoanei în cauză în funcție de responsabilitățile sale și cu autorizare;
  • d) accesul la anumite funcții se bazează pe funcțiile postului și/sau atributele atribuite individual contului unui utilizator;
  • e) drepturile de acces aferente datelor cu caracter personal sunt revizuite periodic;
  • f) înregistrările modificărilor aduse drepturilor de acces sunt ținute la zi.

1.5 Controlul accesului la anumite zone de utilizare a sistemelor de prelucrare a datelor

Următoarele măsuri trebuie luate pentru a se asigura că persoanele autorizate cu drept de utilizare a sistemului de prelucrare a datelor pot accesa numai date în limitele responsabilităților și autorizațiilor de acces ale acestora și că datele cu caracter personal nu pot fi citite, copiate, modificate sau șterse fără autorizație:

  1. 1. 
    1. a) politicile, instrucțiunile și instruirea angajaților, cu privire la obligațiile fiecăruia dintre aceștia cu privire la confidențialitate, drepturile de acces la datele cu caracter personal și domeniul de aplicare al prelucrării datelor cu caracter personal;
  • b) măsuri disciplinare împotriva persoanelor care accesează date cu caracter personal fără autorizație;
  • c) accesul la datele cu caracter personal se acordă numai persoanelor autorizate, în funcție de necesitate;
  • d) menține o listă a administratorilor de sistem și ia măsurile corespunzătoare pentru monitorizarea administratorilor de sistem;
  • e) să nu copieze sau să reproducă datele personale pe niciun sistem de stocare pentru a permite persoanelor neautorizate să elimine informațiile emitentului;
  • f) ștergerea sau distrugerea controlată și documentată a datelor;
  • g) să stocheze în siguranță toate datele cu caracter personal care trebuie reținute din motive legale sau de reglementare (de exemplu, obligații de păstrare a datelor), și numai atât timp cât este cerut de lege.

1.6 Controlul transmisiilor

Următoarele măsuri trebuie luate pentru a preveni citirea, copierea, modificarea sau ștergerea datelor cu caracter personal de către terți neautorizați în timpul transmiterii sau transportului dispozitivelor de stocare a datelor (în funcție de prelucrarea datelor cu caracter personal efectuată):

  1. 1. 
    1. a) utilizarea firewall-urilor;
  • b) evitarea stocării datelor cu caracter personal pe dispozitive mobile de stocare în scopuri de transport, sau criptarea dispozitivelor;
  • c) utilizarea pe laptopuri și alte dispozitive mobile numai după ce a fost activată protecția prin criptare;
  • d) înregistrarea transmisiilor de date cu caracter personal.

1.7 Controlul introducerii datelor

Trebuie luate următoarele măsuri pentru a se asigura că este posibil să se verifice și să se determine dacă datele cu caracter personal au fost introduse sau șterse din sistemele de prelucrare a datelor și de către cine:

  1. 1. 
    1. a) o politică de autorizare a citirii, modificării și ștergerii datelor stocate;
  • b) măsuri de protecție privind citirea, modificarea și ștergerea datelor stocate.

1.8 Controlul muncii

În cazul prelucrării delegate a datelor cu caracter personal, trebuie luate următoarele măsuri pentru a se asigura că aceste date sunt prelucrate în conformitate cu instrucțiunile Supraveghetorului:

  1. 1. 
    1. a) entități sau subentități alocate prelucrării datelor, alese cu grijă (furnizorii de servicii care prelucrează date cu caracter personal în numele operatorului);
  • b) instrucțiuni privind sfera oricărei prelucrări de date cu caracter personal către angajații, entitățile sau subentitățile alocate prelucrării datelor;
  • c) drepturi de audit convenite cu entitățile sau subentitățile alocate prelucrării datelor;
  • d) acorduri în vigoare cu entitățile sau subentitățile desemnate să prelucreze datele.

1.9 Separarea de prelucrare în alte scopuri

Trebuie luate următoarele măsuri pentru a se asigura că datele colectate în alte scopuri pot fi prelucrate separat:

  1. 1. 
    1. a) acces separat la datele cu caracter personal în conformitate cu drepturile existente ale utilizatorilor;
  • b) interfețele, procesarea loturilor și raportarea sunt pentru alte scopuri și funcții, astfel încât datele colectate în alte scopuri pot fi prelucrate separat.

1.10 Pseudonimizare

În ceea ce privește pseudonimizarea datelor cu caracter personal trebuie luate următoarele măsuri:

  1. 1. 
    1. a) În cazul în care Exportatorul de date dispune o anumită operațiune de prelucrare sau dacă aceasta este considerată adecvată de către Importatorul de date în conformitate cu legile de protecție a datelor în vigoare privind anumite activități de prelucrare, prelucrarea datelor cu caracter personal va fi efectuată în așa fel încât datele nu mai pot fi atribuite unei anumite persoane fără utilizarea unor informații suplimentare. Aceste informații suplimentare vor fi păstrate separat;
  • b) utilizarea tehnicilor de pseudonimizare, inclusiv randomizarea listelor de alocare; crearea de valori sub formă de ascuţituri.

1.11 Criptare

Următorii pași ar trebui să fie luați pentru a cripta datele personale în aplicațiile și transmisiile care acceptă criptarea:

  1.  
    1. a) utilizarea tehnicilor de criptare;
  • b) stabilirea managementului criptării pentru a sprijini tehnicile de criptare autorizate a fi utilizate;
  • c) sprijinirea utilizării criptografiei prin proceduri și protocoale pentru generarea, modificarea, revocarea, distrugerea, distribuirea, certificarea, stocarea, capturarea, utilizarea și arhivarea cheilor criptografice pentru a proteja împotriva modificărilor și dezvăluirii neautorizate.

1.12 Completitudinea sistemelor și serviciilor de prelucrare a datelor

Următoarele măsuri trebuie luate pentru a asigura caracterul complet al sistemelor și serviciilor de prelucrare a datelor:

  1. 1. a) protecția sistemelor de prelucrare a datelor împotriva manipulării sau distrugerii prin mijloace adecvate (de exemplu, software antivirus, software de prevenire a pierderii datelor și software împotriva programelor malware, corecții software, firewall-uri și protecție gestionată pentru desktop);
  • b) interzice instalarea oricărui serviciu sau software dăunător sistemelor de prelucrare a datelor, serviciilor sau manipulării datelor cu caracter personal;
  • c) utilizarea unui sistem de detectare și prevenire a intruziunilor în rețea în structura rețelei în sine.

1.13 Disponibilitatea sistemelor și serviciilor de prelucrare a datelor și posibilitatea de a restabili accesul și utilizarea datelor cu caracter personal în cazul unui incident material sau tehnic

Trebuie luate următoarele măsuri pentru a asigura disponibilitatea sistemelor de prelucrare a datelor, precum și pentru a putea restabili rapid disponibilitatea și accesul la datele cu caracter personal, în cazul unui incident material sau tehnic (în special prin asigurarea faptului că: datele personale sunt protejate împotriva distrugerii sau pierderii accidentale):

  • a) dispune de mijloace de control pentru păstrarea copiilor de rezervă și restaurarea datelor pierdute sau șterse;
  • b) redundanță infrastructurală și testare de performanță;
  • c) protecția fizică a resurselor informatice;
  • d) utilizarea instrumentelor de monitorizare a stării și disponibilității rețelei interne;
  • e) raportarea incidentelor și politicile de răspuns care guvernează procedura de gestionare a incidentelor și reiterarea aderării la aceste politici ca parte a instruirii regulate;
  • f) copii de rezervă (uneori în afara amplasamentului) pentru a restaura sistemul pentru a-i permite să-și îndeplinească din nou funcțiile;
  • g) planuri de continuitate a afacerii/recuperare în caz de dezastru

1.14 Reziliența sistemelor și serviciilor de prelucrare a datelor

Trebuie luate următoarele măsuri pentru a asigura rezistența sistemelor și serviciilor de prelucrare a datelor:

  • a) sisteme și configurate armonios, folosind parametri de securitate aprobați;
  • b) redundanța rețelei;
  • c) protecţia de izolare a sistemelor critice.

1.15 Procedura pentru testarea, evaluarea și evaluarea periodică a eficacității măsurilor tehnice și organizatorice pentru a asigura securitatea prelucrării datelor

Procedura pentru testarea, evaluarea și evaluarea periodică a eficacității măsurilor tehnice și organizatorice pentru protejarea prelucrării datelor.

  • a) să ia măsurile necesare pentru evaluarea riscurilor și a strategiilor de atenuare;
  • b) întâlniri de analiză a serviciilor ale departamentului IT pentru abordarea problemelor actuale;
  • c) planurile de continuitate a activității/recuperare în caz de dezastru sunt actualizate periodic.

 

Partea 3

Semnăturile părților și lista importatorilor de date

 

Când completați formularul de comandă online și îl validați bifând căsuța de acceptare a termenilor și condițiilor generale de utilizare, se stabilește contractul care reglementează relația dintre Client și POSTCODEZIP.

Trimiterea plății către POSTCODEZIP va avea în vedere contractul agreat și stabilit.

Rețineți: acest text a fost tradus din franceză. Versiunea originală franceză, care este valabilă și restrictivă din punct de vedere legal, este disponibilă  aici .