ملحق معالجة البيانات

يشكل هذا الملحق جزءًا لا يتجزأ من العقد ويتم الدخول فيه عن طريق:

1. (ط) العميل ("جهة تصدير البيانات ")
2. (2) POSTCODEZIP (" مستورد البيانات ")

كل منها " طرف " وبشكل عام " أطراف ".

الديباجة

حيث يقدم مستورد البيانات خدمات برمجية احترافية وحاسوب وخدمات ذات صلة ؛

عندما يكون بموجب العقد ، وافق مستورد البيانات على تزويد جهة تصدير البيانات بالخدمات المحددة في العقد (" الخدمات ") ؛

حيثما ، من خلال توفير الخدمات ، يتلقى مستورد البيانات أو يستفيد من الوصول إلى معلومات جهة تصدير البيانات أو معلومات الأشخاص الآخرين الذين لديهم علاقة (محتملة) مع جهة تصدير البيانات ، يمكن اعتبار هذه المعلومات بيانات شخصية بالمعنى المقصود في اللائحة. (الاتحاد الأوروبي) 2016/679 للبرلمان الأوروبي ومجلس 27 أبريل 2016 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية حركة هذه البيانات (" GDPR ") وغيرها من قوانين حماية البيانات المعمول بها.

حيث يحتوي هذا الملحق على الشروط والأحكام المطبقة على جمع ومعالجة واستخدام هذه البيانات الشخصية من قبل جهة استيراد البيانات بصفتها وكيل معالجة البيانات المعتمد من جهة تصدير البيانات ، لضمان امتثال الأطراف لقانون حماية البيانات المعمول به .

لذلك ، ولتمكين الطرفين من مواصلة علاقتهما بشكل قانوني ، اختتم الطرفان هذا الملحق على النحو التالي:

الجزء الأول

1. هيكل الوثيقة والتعاريف

1.1 الهيكل

يشتمل هذا الملحق على أجزاء مختلفة على النحو التالي:

1.2 المصطلحات والتعاريف

لأغراض هذا الملحق ، تنطبق المصطلحات والتعريفات المستخدمة من قبل اللائحة العامة لحماية البيانات (في نص وثيقة البند التعاقدي القياسي في الجزء 2 ، حيث لا تتم كتابة المصطلحات المحددة بأحرف كبيرة). 

2. التزامات جهة تصدير البيانات

2.1 تلتزم جهة تصدير البيانات بضمان الامتثال لجميع الالتزامات المعمول بها بموجب اللائحة العامة لحماية البيانات وأي قانون حماية بيانات آخر معمول به ينطبق على جهة تصدير البيانات وإظهار هذا الامتثال على النحو المطلوب بموجب المادة 5 (2) من القانون العام لحماية البيانات (GDPR). تتعهد جهة تصدير البيانات بأن جهة استيراد البيانات قد حصلت على الموافقة المسبقة لأصحاب البيانات وفقًا للمادة 6 (أ) من القانون العام لحماية البيانات (GDPR) وامتثلت لالتزامها بإبلاغ موضوعات البيانات وفقًا للمادتين 13 و 14 من القانون العام لحماية البيانات (GDPR).

2.2 يجب على جهة تصدير البيانات تزويد جهة استيراد البيانات بالملفات ذات الصلة لأنشطة المعالجة وفقًا للمادة 30 (1) من القانون العام لحماية البيانات (GDPR) المتعلقة بالخدمات بموجب هذا الملحق ، إلى الحد الضروري لامتثال جهة استيراد البيانات للالتزام بموجب المادة 30 (2) من اللائحة العامة لحماية البيانات.

2.3 يجب على جهة تصدير البيانات تعيين مسؤول حماية البيانات أو ممثل إلى الحد الذي يقتضيه قانون حماية البيانات المعمول به. تلتزم جهة تصدير البيانات بتقديم تفاصيل الاتصال الخاصة بوكيل أو ممثل حماية البيانات ، إن وجد ، إلى جهة استيراد البيانات.

2.4 تؤكد جهة تصدير البيانات قبل اكتمال المعالجة ، بقبول هذا الملحق ، أن تدابير الأمان الفنية والتنظيمية لمورد البيانات ، على النحو المنصوص عليه في الملحق 2 بالجزء 2 ، مناسبة وكافية لحماية حقوق موضوع البيانات ويؤكد أن جهة استيراد البيانات توفر ضمانات كافية في هذا الصدد.

3. الامتثال للقانون المحلي

من أجل تلبية متطلبات تنفيذ وكلاء المعالجة وفقًا للمادة 28 من القانون العام لحماية البيانات (GDPR) ، تسري التعديلات التالية:

3.1 تعليمات

1. (1) يوجه مُصدِّر البيانات جهة استيراد البيانات لمعالجة البيانات الشخصية فقط بالنيابة عن جهة تصدير البيانات. يتم توفير إرشادات جهة تصدير البيانات في هذا الملحق وفي العقد. تلتزم جهة تصدير البيانات بضمان أن جميع التعليمات التي تم تقديمها إلى جهة استيراد البيانات تتوافق مع قوانين حماية البيانات المعمول بها. يجب على جهة استيراد البيانات معالجة البيانات الشخصية فقط وفقًا للتعليمات المقدمة من جهة تصدير البيانات ما لم يطلب الاتحاد الأوروبي أو قانون الدولة العضو خلاف ذلك (في الحالة الأخيرة ، ينطبق الجزء 1 ، الفقرة 3.2 (4) (ج)) .
2. (2) يجب تضمين جميع التعليمات الأخرى التي تتجاوز التعليمات الواردة في هذا الملحق أو في العقد في موضوع هذا الملحق والعقد. إذا كان تنفيذ هذه التعليمات الإضافية ينطوي على تكاليف تتحملها جهة استيراد البيانات ، فيجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات بهذه التكاليف وتقديم توضيح قبل تنفيذ التعليمات. فقط بعد تأكيد جهة تصدير البيانات قبول هذه التكاليف لتنفيذ التعليمات ، يجب على جهة استيراد البيانات تنفيذ هذه التعليمات الإضافية. يجب أن تقدم جهة تصدير البيانات تعليمات إضافية كتابية ما لم تتطلب الاستعجال أو ظروف محددة أخرى نموذجًا آخر (على سبيل المثال شفهيًا أو إلكترونيًا). يجب تأكيد التعليمات المكتوبة بأي شكل آخر كتابةً ودون تأخير من قبل جهة تصدير البيانات.
3. 1. ما لم تتمكن جهة تصدير البيانات من إجراء تصحيح البيانات الشخصية أو محوها أو تقييدها بنفسها ، فقد تتعلق الإرشادات أيضًا بتصحيح البيانات الشخصية و / أو محوها و / أو تقييدها على النحو المنصوص عليه في الجزء 1 البند 3.3.
4. 2. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات فورًا إذا كانت هناك تعليمات تنتهك اللائحة العامة لحماية البيانات أو غيرها من أحكام حماية البيانات المعمول بها في الاتحاد الأوروبي أو إحدى الدول الأعضاء (" التعليمات المتنازع عليها. استلام المعلومات من جهة استيراد البيانات والإقرار بمسؤوليتها عن التعليمات المتنازع عليها ، يجب على جهة استيراد البيانات تنفيذ التعليمات المتنازع عليها ، ما لم تتعلق التعليمات المتنازع عليها بـ (1) تنفيذ التدابير الفنية والتنظيمية ، (2) حقوق البيانات الموضوعات أو (3) إشراك معالجي البيانات. في الحالات من (1) إلى (3) ، يجوز لمورد البيانات الاتصال بسلطة إشرافية مختصة لتقييم التعليمات المتنازع عليها قانونًا من قبل هذه السلطة.إذا أعلنت السلطة الإشرافية أن التعليمات المعترض عليها قانونية ، فيجب على جهة استيراد البيانات تنفيذ التعليمات المعترض عليها. الجزء 1 الفقرة 3.1 (2) تظل سارية.

3.2 التزامات جهة استيراد البيانات

1. (1) يجب على جهة استيراد البيانات التأكد من أن الأشخاص المصرح لهم من قبل جهة استيراد البيانات لمعالجة البيانات الشخصية نيابة عن جهة تصدير البيانات ، ولا سيما موظفي جهة استيراد البيانات وموظفي أي مقاول من الباطن ، قد تعهدوا بمراعاة السرية أو أنهم يخضعون واجب قانوني مناسب يتعلق بالسرية ، وأن يقوم هؤلاء الأشخاص الذين لديهم حق الوصول إلى البيانات الشخصية بمعالجتها وفقًا لتعليمات جهة تصدير البيانات.
2. (2) يجب على جهة استيراد البيانات تنفيذ إجراءات الأمان الفنية والتنظيمية كما هو موضح في الملحق 2 بالجزء 2 قبل معالجة البيانات الشخصية نيابة عن جهة تصدير البيانات. قد تقوم جهة استيراد البيانات بتغيير إجراءات الأمان الفنية والتنظيمية من وقت لآخر إذا لم توفر حماية أقل من تلك المنصوص عليها في الملحق 2 بالجزء 2.
3. (3) يجب على جهة استيراد البيانات توفير معلومات لمُصدِّر البيانات ، بناءً على طلب جهة تصدير البيانات ، لإظهار الامتثال لالتزامات جهة استيراد البيانات بموجب هذا الملحق. يتفق الطرفان على الوفاء بهذا الالتزام المتعلق بالمعلومات من خلال تزويد جهة تصدير البيانات بتقرير تدقيق (يغطي أمن المبادئ وتوافر النظام والسرية) ("تقرير التدقيق"). إذا كانت أنشطة التدقيق الإضافية مطلوبة قانونًا ، يجوز لجهة تصدير البيانات أن تطلب إجراء عمليات التفتيش بواسطة جهة تصدير البيانات أو مدقق آخر يعينه جهة تصدير البيانات ، مع مراعاة تنفيذ هذا المدقق لاتفاقية سرية مع جهة استيراد البيانات إلى جهة استيراد البيانات. الرضا المعقول ("التدقيق"). يخضع هذا التدقيق للشروط التالية:(1) القبول الكتابي الرسمي المسبق من جهة استيراد البيانات ؛ و (2) تتحمل جهة تصدير البيانات جميع التكاليف المتعلقة بالتدقيق في الموقع لمصدر البيانات ومستورد البيانات. يجب على جهة تصدير البيانات إنشاء تقرير تدقيق يلخص النتائج والملاحظات الخاصة بالتدقيق في الموقع ("تقرير التدقيق في الموقع"). تعد تقارير التدقيق في الموقع وتقارير التدقيق معلومات سرية خاصة بجهة استيراد البيانات ويجب عدم الكشف عنها لأطراف ثالثة ما لم يكن ذلك مطلوبًا بموجب قانون حماية البيانات المعمول به أو وفقًا لموافقة جهة استيراد البيانات.تعد تقارير التدقيق في الموقع وتقارير التدقيق معلومات سرية خاصة بجهة استيراد البيانات ويجب عدم الكشف عنها لأطراف ثالثة ما لم يكن ذلك مطلوبًا بموجب قانون حماية البيانات المعمول به أو وفقًا لموافقة جهة استيراد البيانات.تعد تقارير التدقيق في الموقع وتقارير التدقيق معلومات سرية خاصة بجهة استيراد البيانات ويجب عدم الكشف عنها لأطراف ثالثة ما لم يكن ذلك مطلوبًا بموجب قانون حماية البيانات المعمول به أو وفقًا لموافقة جهة استيراد البيانات.
4. (4) تلتزم جهة استيراد البيانات بإخطار جهة تصدير البيانات دون تأخير لا داعي له:
   1. أ. بخصوص أي طلب ملزم قانونًا للإفصاح عن البيانات الشخصية من قبل سلطة إنفاذ القانون ، ما لم يُحظر خلاف ذلك ، مثل الحظر بموجب القانون الجنائي لحماية سرية تحقيق إنفاذ القانون
   2. ب. فيما يتعلق بأي شكوى وطلب تم تلقيه مباشرة من صاحب البيانات (على سبيل المثال فيما يتعلق بالوصول والتصحيح والحذف وتقييد المعالجة وإمكانية نقل البيانات والاعتراض على معالجة البيانات واتخاذ القرار الآلي) دون الاستجابة لهذا الطلب ، ما لم يتم تفويض جهة استيراد البيانات بذلك القيام بذلك
   3. ج. إذا كان مستورد البيانات أو معالج البيانات ملزمًا ، بموجب قانون الاتحاد الأوروبي أو الدولة العضو التي يخضع لها مستورد البيانات أو معالج البيانات ، بمعالجة البيانات الشخصية بما يتجاوز تعليمات جهة تصدير البيانات ، قبل تنفيذ هذه المعالجة بعد التعليمات ، ما لم تحظر قوانين الاتحاد الأوروبي أو الدولة العضو مثل هذه المعالجة لأسباب حيوية للمصلحة العامة ، وفي هذه الحالة يجب أن يحدد الإخطار إلى جهة تصدير البيانات المتطلبات القانونية بموجب قانون الاتحاد الأوروبي أو قانون الدولة العضو ؛ أو
   4. د. إذا أدركت جهة استيراد البيانات انتهاكًا للبيانات الشخصية ، فقط بسبب نفسها أو بسبب المتعاقد معها من الباطن ، مما قد يؤثر على البيانات الشخصية لمصدر البيانات التي يغطيها العقد الحالي ، وفي هذه الحالة سيساعد مستورد البيانات جهة تصدير البيانات في الوفاء بالتزاماتها ، فيما يتعلق بقانون حماية البيانات المعمول به ، لإبلاغ موضوعات البيانات ، وعند الاقتضاء ، السلطات الإشرافية من خلال توفير المعلومات المتاحة لها ، وفقًا للمادة 33 (3) من القانون العام لحماية البيانات (GDPR).
   5. (5) بناءً على طلب جهة تصدير البيانات ، يجب على جهة استيراد البيانات مساعدة جهة تصدير البيانات في التزامها بتنفيذ تقييم تأثير حماية البيانات الذي قد يكون مطلوبًا بموجب المادة 35 من القانون العام لحماية البيانات (GDPR) والتشاور المسبق الذي قد يكون مطلوب بموجب المادة 36 من القانون العام لحماية البيانات (GDPR) فيما يتعلق بالخدمات المقدمة من قبل جهة استيراد البيانات إلى جهة تصدير البيانات بموجب هذا الملحق ، مع توفير المعلومات الضرورية لجهة تصدير البيانات. ستكون جهة استيراد البيانات ملزمة فقط بتقديم هذه المساعدة إذا لم تستطع جهة تصدير البيانات الوفاء بالتزاماتها بوسائل أخرى. ستقوم جهة استيراد البيانات بإبلاغ جهة تصدير البيانات بتكلفة هذه المساعدة. بمجرد أن تؤكد جهة تصدير البيانات قدرتها على تحمل هذه التكلفة ، ستقدم جهة استيراد البيانات هذه المساعدة إلى جهة تصدير البيانات.
   6. (6) في نهاية تقديم الخدمات ، يجوز لجهة تصدير البيانات أن تطلب إعادة البيانات الشخصية التي تمت معالجتها بواسطة جهة استيراد البيانات بموجب هذا الملحق في غضون شهر واحد بعد الخدمات. ما لم تطلب تشريعات الدولة العضو أو الاتحاد الأوروبي من جهة استيراد البيانات تخزين هذه البيانات الشخصية أو الاحتفاظ بها ، فإن جهة استيراد البيانات ستحذف جميع هذه البيانات الشخصية أو غير الشخصية بعد فترة شهر واحد ، سواء تمت إعادتها إلى مصدر البيانات بناءً على طلبه أم لا.

3.3 حقوق الأشخاص المعنيين

1.  
   1. (ط) يقوم "مُصدِّر البيانات" بإدارة الطلبات المقدمة من أصحاب البيانات والاستجابة لها. جهة استيراد البيانات ليست ملزمة بالرد مباشرة على موضوعات البيانات.
   2. (2) في حالة طلب جهة تصدير البيانات مساعدة جهة استيراد البيانات في معالجة طلبات موضوع البيانات والاستجابة لها ، يجب على جهة تصدير البيانات إصدار تعليمات إضافية وفقًا للبند 3.1 (2) من الجزء 1. سيساعد جهة استيراد البيانات جهة تصدير البيانات من خلال التدابير التنظيمية المناسبة والتقنية التالية للاستجابة لطلبات ممارسة حقوق موضوعات البيانات المنصوص عليها في الفصل الثالث من اللائحة العامة لحماية البيانات على النحو التالي:
   3. أ. فيما يتعلق بطلبات الحصول على المعلومات ، فإن جهة استيراد البيانات ستزود جهة تصدير البيانات فقط بالمعلومات المطلوبة بموجب المادتين 13 و 14 من دليل الموارد الوراثية النباتية التي قد تكون تحت تصرفها إذا لم يتمكن مصدر البيانات من العثور عليها بمفرده.
   4. ب. فيما يتعلق بطلبات الوصول (المادة 15 من القانون العام لحماية البيانات) ، فإن جهة استيراد البيانات سوف تزود جهة تصدير البيانات فقط بالمعلومات التي من المفترض أن يتم تقديمها إلى صاحب البيانات لطلب الوصول المذكور ، والتي قد تكون تحت تصرفها إذا كان الأخير لا يمكن العثور عليه بمفرده.
   5. ج. فيما يتعلق بطلبات التصحيح (المادة 16 من اللائحة العامة لحماية البيانات) ، وطلبات الحذف (المادة 17 من اللائحة العامة لحماية البيانات) ، وتقييد طلبات المعالجة (المادة 18 من اللائحة العامة لحماية البيانات) ، أو طلبات قابلية النقل (المادة 20 من اللائحة العامة لحماية البيانات) ، وفقط إذا تعذر على جهة تصدير البيانات بنفسها تصحيح البيانات الشخصية أو محوها أو تقييدها أو نقلها إلى جهة خارجية أخرى ، فإن جهة استيراد البيانات ستعرض على جهة تصدير البيانات إمكانية تصحيح البيانات الشخصية المعنية أو محوها أو تقييدها أو نقلها إلى الطرف الثالث ، أو إذا لم يكن ذلك ممكنًا ، فسيقدم المساعدة لتصحيح البيانات الشخصية المعنية أو محوها أو تقييدها أو نقلها إلى الطرف الثالث الآخر.
   6. د. فيما يتعلق بالإخطار المتعلق بالتصحيح أو المحو أو تقييد المعالجة (المادة 19 من القانون العام لحماية البيانات) ، فإن جهة استيراد البيانات ستساعد جهة تصدير البيانات عن طريق إخطار جميع المستلمين بالبيانات الشخصية التي يستخدمها جهة استيراد البيانات بصفتهم معالجات إذا طلب مصدر البيانات ذلك و إذا تعذر على جهة تصدير البيانات معالجة الموقف من تلقاء نفسها.
   7. ه. فيما يتعلق بحق المعارضة الذي يمارسه صاحب البيانات (المادتان 21 و 22 من اللائحة العامة لحماية البيانات) ، سيحدد مصدر البيانات ما إذا كانت المعارضة مشروعة وكيفية التعامل معها.
   8. (3) تقتصر التزامات مساعدة مستورد البيانات على البيانات الشخصية التي تتم معالجتها ضمن بنيته التحتية (مثل قواعد البيانات والأنظمة والتطبيقات التي يمتلكها أو يوفرها مستورد البيانات).
   9. (4) يجب على جهة تصدير البيانات تحديد ما إذا كان يجوز لصاحب البيانات ممارسة حقوق موضوعات البيانات المنصوص عليها في الفقرة 3.1 من هذا الجزء 1 وإبلاغ جهة استيراد البيانات بمدى المساعدة المحددة في البنود 3.3 (2) ، ( ثالثا) من الجزء 1 ضروري.
   10. (5) إذا طلب مصدر البيانات إجراءات فنية وتنظيمية إضافية أو معدلة لتلبية حقوق موضوعات البيانات التي تتجاوز المساعدة المقدمة من قبل جهة استيراد البيانات بموجب الفقرة الفرعية 3.3 (ii) ، (iii) من الجزء 1 ، البيانات يجب على المستورد إبلاغ جهة تصدير البيانات بتكاليف تنفيذ مثل هذه الإجراءات الفنية والتنظيمية الإضافية أو المعدلة. بمجرد أن تؤكد جهة تصدير البيانات قدرتها على تحمل هذه التكاليف ، يجب على جهة استيراد البيانات تنفيذ هذه الإجراءات الفنية والتنظيمية الإضافية أو المعدلة لمساعدة جهة تصدير البيانات في الاستجابة لطلبات أصحاب البيانات.
   11. (6) دون تقييد نطاق البند 3.3 (v) من الجزء 1 ، يجب على جهة تصدير البيانات أن تسدد إلى جهة استيراد البيانات نفقاتها المعقولة التي تكبدتها في الاستجابة لطلبات أصحاب البيانات.

3.4 المعالجة الفرعية

1.  
   1. (1) يصرح مصدر البيانات باستخدام مستورد البيانات للمقاولين من الباطن لتقديم الخدمات بموجب هذا الملحق. يجب على جهة استيراد البيانات تحديد معالج (معالجات) البيانات هذه بعناية. يوافق مصدر البيانات على معالج (معالجات) البيانات المدرجة في الملحق 1.1 في نهاية الجزء 2.
   2. (2) يجب على جهة استيراد البيانات نقل التزاماتها بموجب هذا الملحق إلى معالج (معالجات) البيانات إلى الحد الذي ينطبق على الخدمات المتعاقد عليها من الباطن.
   3. (3) يجوز لجهة استيراد البيانات استبعاد أو استبدال أو تعيين معالج (معالجات) بيانات أخرى مناسبة وموثوقة وفقًا لتقديرها. إذا طلبت جهة تصدير البيانات ذلك كتابيًا ، يجب على جهة استيراد البيانات اتباع الإجراء الموضح أدناه:

1. 1. أ. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات قبل إجراء أي تغييرات على قائمة معالجات البيانات المشار إليها في الفقرة 3.4 (1) من الجزء 1. إذا لم تعترض جهة تصدير البيانات بموجب الفقرة 3.4. (ب) من الجزء الأول بعد ثلاثين يومًا من تلقي إشعار من جهة استيراد البيانات ، سيتم اعتبار معالجي البيانات الإضافيين مقبولين.
   2. ب. إذا كان لدى جهة تصدير البيانات سبب مشروع للاعتراض على معالج بيانات إضافي ، فسوف تقدم إشعارًا كتابيًا مسبقًا إلى جهة استيراد البيانات في غضون ثلاثين يومًا من استلام إشعار مستورد البيانات وقبل تشغيل خدمة مستورد البيانات. إذا اعترضت جهة تصدير البيانات على استخدام معالج بيانات إضافي ، فيجوز لجهة استيراد البيانات إزالة الاعتراض بأحد الخيارات التالية (يتم اختيارها وفقًا لتقديرها): (أ) سيلغي مستورد البيانات خططه لاستخدام معالج إضافي فيما يتعلق البيانات الشخصية لمصدر البيانات ؛ (ب) ستتخذ جهة استيراد البيانات الإجراءات التصحيحية التي طلبتها جهة تصدير البيانات في اعتراضها (إلغاء الاعتراض) وتستخدم المعالج الإضافي فيما يتعلق بالبيانات الشخصية لمصدر البيانات ؛(ج) يجوز لجهة استيراد البيانات التوقف عن تقديم أو قد توافق جهة تصدير البيانات على عدم استخدام (بشكل مؤقت أو دائم) جانب معين من الخدمة والذي قد يتضمن استخدام المعالج الإضافي الخاص بمصدر البيانات للبيانات الشخصية لمصدر البيانات.
2.  
   1. (4) إذا كان معالج البيانات موجودًا خارج الاتحاد الأوروبي - المنطقة الاقتصادية الأوروبية في بلد غير معترف به على أنه يقدم مستوى مناسبًا من حماية البيانات بعد قرار من المفوضية الأوروبية ، فإن جهة استيراد البيانات ستتخذ التدابير للامتثال للمستوى المناسب حماية البيانات وفقًا للائحة العامة لحماية البيانات (قد تشمل هذه الإجراءات - من بين أمور أخرى - استخدام عقود معالجة البيانات بناءً على بنود نموذج الاتحاد الأوروبي ، والنقل إلى معالجي البيانات المعتمدين ذاتيًا في إطار عمل درع الحماية بين الاتحاد الأوروبي والولايات المتحدة ، أو برنامج مشابه).

3.5 انتهاء الصلاحية

انتهاء صلاحية هذا الملحق مطابق لتاريخ انتهاء صلاحية العقد المقابل. باستثناء ما هو منصوص عليه خلافًا لذلك في هذا الملحق ، فإن الحقوق والواجبات المتعلقة بالإنهاء يجب أن تكون هي نفسها تلك الواردة في العقد.

4. تحديد المسؤولية

4.1 يعالج كل طرف التزاماته بموجب هذا الملحق وقانون حماية البيانات المعمول به.

4.2 أي مسؤولية تتعلق بخرق الالتزامات بموجب هذا الملحق أو تشريعات حماية البيانات المعمول بها يجب أن تخضع وتحكمها أحكام المسؤولية المنصوص عليها في العقد أو المنطبقة عليه ، باستثناء ما هو منصوص عليه بخلاف ذلك في هذا الملحق. إذا كانت المسؤولية تحكمها أحكام المسؤولية المنصوص عليها في العقد أو المطبقة عليه ، لحساب حدود المسؤولية أو تحديد تطبيق قيود أخرى على المسؤولية ، فإن أي مسؤولية تنشأ بموجب هذا الملحق تعتبر ناشئة بموجب العقد.

5. أحكام عامة

5.1 في حالة وجود أي تناقضات أو تناقضات بين الجزأين 1 و 2 من هذا الملحق ، يسود الجزء 2. على وجه التحديد ، حتى في مثل هذه الحالة ، فإن الجزء 1 الذي يتجاوز الجزء 2 (أي شروط البنود القياسية) دون التناقض معها يظل صالحًا.

5.2 إذا نشأ أي تناقض بين أحكام هذا الملحق وأحكام العقود الأخرى الملزمة للطرفين ، يسود هذا الملحق فيما يتعلق بالتزامات حماية البيانات الخاصة بالطرفين. في حالة الشك فيما إذا كانت البنود الواردة في العقود الأخرى تتعلق بالتزامات حماية البيانات للأطراف ، فإن هذا الملحق يسود.

5.3 إذا كان أي حكم من هذا الملحق غير صالح أو غير قابل للتنفيذ ، فإن بقية هذا الملحق تظل سارية المفعول والتأثير الكامل. سيتم تعديل الحكم غير الصالح أو غير القابل للتنفيذ (1) لضمان صلاحيته وقابليته للتنفيذ ، مع الحفاظ قدر الإمكان على نية الأطراف ، أو - إذا لم يكن ذلك ممكنًا - (2) يتم تفسيره كما لو كان الجزء غير الصالح أو غير القابل للتنفيذ لم يكن جزءًا من العقد. ينطبق ما سبق أيضًا إذا كان هناك إغفال في هذا الملحق.

5.5 بالقدر اللازم ، يجوز للأطراف طلب تعديلات على الجزء 1 ، البند 3 (الامتثال للقانون المحلي) أو أجزاء أخرى من الملحق من أجل الامتثال للتفسيرات أو التوجيهات أو الأوامر الصادرة عن السلطات المختصة في الاتحاد أو الدول الأعضاء أو أحكام الإنفاذ الوطنية أو أي تطورات قانونية أخرى تتعلق باللائحة العامة لحماية البيانات أو غيرها من شروط التفويض إلى أي كيانات معنية بمعالجة البيانات وعلى وجه التحديد فيما يتعلق باستخدام البنود التعاقدية القياسية في القانون العام لحماية البيانات. لا يجوز تعديل أو استبدال شروط البنود التعاقدية القياسية ما لم توافق عليها المفوضية الأوروبية صراحة (على سبيل المثال ، من خلال البنود الملائمة الجديدة ومعايير حماية البيانات).

5.6 أي إشارة في هذا الملحق إلى "البنود" يجب أن تُفهم على أنها تشير إلى جميع أحكام هذا الملحق ما لم ينص على خلاف ذلك.

5.7 اختيار القانون في الجزء 2 ، البند 9 ينطبق على العقد بأكمله.

6.  البيانات الشخصية التي يتم إرسالها ومعالجتها من قبل الأطراف للأغراض الشخصية (النقل من مراقب البيانات إلى مراقب البيانات)

6.1 يعلم الطرفان تمامًا أنه سيتم نقل بيانات شخصية معينة من جهة تصدير البيانات إلى جهة استيراد البيانات والعكس صحيح ، وأن هذه البيانات تتم معالجتها من قبل كل طرف لأغراضه الخاصة. فيما يتعلق بهذه البيانات الشخصية ، فإنها لا تؤثر على الأحكام الأخرى لهذا الملحق (باستثناء هذه الفقرة 6).

6.2 يجوز لجهة تصدير البيانات نقل البيانات الشخصية المتعلقة بموظفي جهة استيراد البيانات إلى جهة استيراد البيانات ، بما في ذلك المعلومات المتعلقة بالحوادث الأمنية أو أي مستندات أو ملفات أخرى تم إنشاؤها أو إنشائها بواسطة جهة تصدير البيانات فيما يتعلق بالخدمات المقدمة من قبل موظفي مستورد البيانات. يجوز لجهة استيراد البيانات معالجة هذه البيانات الشخصية لأغراضها الخاصة ، ولا سيما في علاقاتها المهنية مع موظفي مستورد البيانات ، أو لمراقبة الجودة والتدريب ، أو لأغراض العمل.

6.3 يجوز لجهة استيراد البيانات نقل البيانات الشخصية إلى جهة تصدير البيانات ، بما في ذلك الاسم وتفاصيل الاتصال لموظفي جهة استيراد البيانات. يجوز لجهة تصدير البيانات معالجة هذه البيانات الشخصية لأغراضها الخاصة.

6.4 يجب على كلا الطرفين الامتثال لأية قوانين حماية البيانات المعمول بها ، بما في ذلك القانون العام لحماية البيانات ، في جمع ومعالجة واستخدام هذه البيانات الشخصية المستلمة من الطرف الآخر بموجب الفقرة 1 من الجزء 1. وعلى وجه الخصوص ، يجب على كلا الطرفين اتخاذ تدابير أمنية كافية ، بشرط مستوى مماثل من الحماية للتدابير الأمنية المنصوص عليها في الملحق 2 من الجزء 2. أي وصول إلى هذه البيانات الشخصية يجب أن يقتصر على الحاجة إلى معرفتها.

6.5 يجب على كلا الطرفين حذف هذه البيانات الشخصية في أقرب وقت ممكن بعد تحقيق الأهداف.

الجزء 2

قرار لجنة

في الخامس من فبراير 2010

بشأن البنود التعاقدية القياسية لنقل البيانات الشخصية إلى معالجات البيانات المنشأة في بلدان الطرف الثالث بموجب توجيه 95/46 / EC الصادر عن البرلمان الأوروبي والمجلس

البند 1

تعريفات

بالمعنى المقصود في البنود:

أ) "البيانات الشخصية" و "الفئات الخاصة من البيانات" و "المعالجة / المعالجة" و "المتحكم" و "المعالج" و "موضوع البيانات" و "السلطة الإشرافية" يجب أن يكون لها نفس المعنى كما في 95/46 / EC التوجيه الصادر عن البرلمان الأوروبي والمجلس بتاريخ 24 أكتوبر 1995 بشأن حماية الأفراد فيما يتعلق بمعالجة البيانات الشخصية وحرية نقل هذه البيانات (1) ؛

ب) "جهة تصدير البيانات" هي المتحكم في البيانات الذي يقوم بنقل البيانات الشخصية ؛

ج) "جهة استيراد البيانات" هي معالج البيانات الذي يوافق على استلام البيانات الشخصية من جهة تصدير البيانات التي يُراد معالجتها نيابةً عن جهة تصدير البيانات بعد النقل وفقًا لتعليماتها ووفقًا لشروط هذه البنود ومن لا يوافق عليها تخضع لآلية دولة ثالثة تضمن الحماية الكافية بالمعنى المقصود في المادة 25 (1) من التوجيه 95/46 / EC ؛ (د) يُقصد بـ "معالج البيانات" معالج البيانات المُشترك بواسطة جهة استيراد البيانات أو أي معالج بيانات آخر تابع لمورد البيانات الذي يوافق على استلام البيانات الشخصية من جهة استيراد البيانات أو أي معالج بيانات آخر خاص بجهة استيراد البيانات حصريًا لأنشطة المعالجة إلى يتم تنفيذها نيابةً عن جهة تصدير البيانات بعد النقل وفقًا لتعليمات جهة تصدير البيانات ،بموجب الشروط المنصوص عليها في هذه البنود وبموجب شروط التعاقد من الباطن المكتوب ، عقد معالجة البيانات ؛

هـ) "قانون حماية البيانات المعمول به" يعني التشريع الذي يحمي الحقوق والحريات الأساسية للأفراد ، بما في ذلك الحق في الخصوصية فيما يتعلق بمعالجة البيانات الشخصية ، والتطبيق على مراقب في الدولة العضو حيث تم إنشاء جهة تصدير البيانات ؛

و) "الإجراءات الفنية والتنظيمية المتعلقة بالأمن" يُقصد بها التدابير التي تهدف إلى حماية البيانات الشخصية من التلف العرضي أو غير القانوني أو الفقد أو التغيير العرضي أو الكشف أو الوصول غير المصرح به ، لا سيما عندما تتضمن المعالجة نقل البيانات عبر الشبكات وضد جميع أشكال المعالجة غير القانونية الأخرى.

البند 2

تفاصيل التحويل

يتم تحديد تفاصيل النقل ، بما في ذلك ، عند الاقتضاء ، الفئات الخاصة من البيانات الشخصية ، في الملحق 1 ، والذي يشكل جزءًا لا يتجزأ من هذه البنود.

البند 3

شرط الطرف الثالث المستفيد

1. يجوز لصاحب البيانات أن يفرض هذه المادة على جهة تصدير البيانات ، البنود 4 (ب) إلى (1) ، والبند 5 (أ) إلى (هـ) و (ز) إلى (ي) ، والمادة 6 (1) و (2) ) والمادة 7 والمادة 8 (2) والبنود من 9 إلى 12 بصفتك طرفًا ثالثًا مستفيدًا

2. يجوز لصاحب البيانات أن يفرض هذه الفقرة ، والبند 5 (أ) إلى (هـ) و (ز) ، والمادة 6 ، والمادة 7 ، والمادة 8 (2) والبنود من 9 إلى 12 ضد جهة استيراد البيانات حيث قام مصدر البيانات فعليًا اختفى أو لم يعد له وجود في القانون ، ما لم يتم نقل جميع التزاماته القانونية ، بموجب عقد أو بموجب القانون ، إلى الكيان اللاحق ، وبالتالي تعود إليه حقوق والتزامات جهة تصدير البيانات ، والتي تستند إليها البيانات وبالتالي يمكن للموضوع أن يفرض البنود المذكورة.

قد يفرض موضوع البيانات هذا البند ، البند 5 (أ) إلى (هـ) و (ز) ، والبند 6 ، والبند 7 ، والبند 8 (2) والبنود من 9 إلى 12 ضد معالج البيانات ، ولكن فقط في الحالات التي تكون فيها البيانات اختفى المُصدِّر ومستورد البيانات جسديًا أو لم يعد لهما وجود في القانون أو أصبحا معسرين ، ما لم يتم نقل جميع الالتزامات القانونية الخاصة بجهة تصدير البيانات ، بموجب عقد أو بموجب القانون ، إلى الوريث القانوني الذي له الحقوق و وبالتالي ، فإن التزامات جهة تصدير البيانات تؤول إلى الجهة التي يجوز لصاحب البيانات فرض هذه البنود ضدها. يجب أن تقتصر مسؤولية معالج البيانات على أنشطة المعالجة الخاصة به بموجب هذه البنود.

4. لا تعترض الأطراف على تمثيل موضوع البيانات من قبل جمعية أو هيئة أخرى إذا رغب في ذلك وإذا كان القانون الوطني يسمح بذلك.

البند 4

التزامات جهة تصدير البيانات

تقبل جهة تصدير البيانات وتضمن ما يلي:

أ) المعالجة ، بما في ذلك النقل الفعلي للبيانات الشخصية ، كانت وستستمر وفقًا للأحكام ذات الصلة من قانون حماية البيانات المعمول به (وعند الاقتضاء ، تم إخطار السلطات المختصة في الدولة العضو التي يوجد بها جهة تصدير البيانات) ولا تنتهك الأحكام ذات الصلة لتلك الدولة ؛

ب) قد أصدروا تعليمات ، وسيصدرون تعليمات خلال مدة خدمات معالجة البيانات الشخصية ، إلى جهة استيراد البيانات لمعالجة البيانات الشخصية المنقولة نيابة عن جهة تصدير البيانات ووفقًا لقانون حماية البيانات المعمول به وهذه البنود ؛

ج) ستوفر جهة استيراد البيانات ضمانات كافية فيما يتعلق بإجراءات الأمان الفنية والتنظيمية المحددة في الملحق 2 من العقد الحالي ؛

د) بعد تقييم متطلبات قانون حماية البيانات المعمول به ، تكون الإجراءات الأمنية كافية لحماية البيانات الشخصية من التدمير العرضي أو غير القانوني أو الفقد أو التغيير العرضي أو الكشف غير المصرح به أو الوصول ، لا سيما عندما تتضمن المعالجة نقل البيانات عبر الشبكة وضد جميع أشكال المعالجة غير القانونية الأخرى وضمان مستوى من الأمان مناسب للمخاطر التي تمثلها المعالجة وطبيعة البيانات المطلوب حمايتها ، مع مراعاة مستوى التكنولوجيا وتكلفة التنفيذ ؛

هـ) سيضمنون الامتثال للتدابير الأمنية ؛

و) إذا كان النقل يتعلق بفئات خاصة من البيانات ، فقد تم إبلاغ صاحب البيانات أو سيتم إبلاغه قبل النقل ، أو في أقرب وقت ممكن بعد النقل ، يمكن نقل بياناته إلى دولة ثالثة لا تقدم مستوى كافٍ من الحماية بالمعنى المقصود في التوجيه 95/46 / EC ؛

ز) سيقومون بإعادة توجيه أي إشعار تم استلامه من جهة استيراد البيانات أو أي معالج بيانات بموجب البندين 5 (ب) و 8 (3) إلى السلطة الإشرافية لحماية البيانات إذا قررت مواصلة النقل أو رفع تعليقها ؛

ح) يجب أن يوفروا لأصحاب البيانات ، إذا طلبوا ذلك ، نسخة من هذه البنود ، باستثناء الملحق 2 ، ووصفًا موجزًا ​​للتدابير الأمنية ، ونسخة من أي اتفاقية تعاقد من الباطن أخرى ، تم إبرامها بموجب هذه البنود ما لم يكن تحتوي البنود أو الاتفاقية على معلومات تجارية ، وفي هذه الحالة يجوز له سحب هذه المعلومات ؛

1) في حالة التعاقد من الباطن على عملية معالجة البيانات ، يتم تنفيذ نشاط المعالجة وفقًا للمادة 11 بواسطة معالج بيانات يوفر على الأقل نفس مستوى حماية البيانات الشخصية وحقوق موضوع البيانات مثل جهة استيراد البيانات بموجب هذه البنود ؛ و

ي) سيضمن الامتثال للبند 4 (أ) إلى (ط).

البند 5

التزامات جهة استيراد البيانات

يقبل برنامج استيراد البيانات ويضمن ما يلي:

أ) سيقومون بمعالجة البيانات الشخصية فقط نيابة عن جهة تصدير البيانات وبموجب تعليمات جهة تصدير البيانات وهذه البنود ؛ إذا لم يتمكن من الامتثال لأي سبب من الأسباب ، فإنهم يوافقون على إبلاغ جهة تصدير البيانات بعدم قدرتها في أقرب وقت ممكن ، وفي هذه الحالة يجوز لمصدر البيانات تعليق نقل البيانات و / أو إنهاء العقد ؛

ب) ليس لديهم سبب للاعتقاد بأن القانون الساري عليهم يمنعه من الوفاء بالتعليمات المقدمة من جهة تصدير البيانات والالتزامات التي تقع على عاتقه بموجب العقد ، وإذا كان هذا القانون خاضعًا لتغيير قد يكون له عكسية جوهرية تأثير على الضمانات والالتزامات بموجب البنود ، يجب عليه إخطار جهة تصدير البيانات بالتغيير دون تأخير بعد علمه بذلك ، وفي هذه الحالة يجوز لمصدر البيانات تعليق نقل البيانات و / أو إنهاء العقد ؛ (ج) قاموا بتنفيذ تدابير الأمان الفنية والتنظيمية المحددة في الملحق 2 قبل معالجة البيانات الشخصية المنقولة ؛

د) سيقومون بإخطار جهة تصدير البيانات دون تأخير:

ط) أي طلب ملزم للإفصاح عن البيانات الشخصية من سلطة إنفاذ القانون ، ما لم ينص على خلاف ذلك ، مثل الحظر الجنائي الذي يهدف إلى الحفاظ على سرية تحقيق الشرطة ؛

2) أي وصول عرضي أو غير مصرح به ؛ و

ج) أي طلب يتم تلقيه مباشرة من الأشخاص المعنيين دون الرد عليه ما لم يكن مفوضًا بذلك ؛ المسؤولين

هـ) سوف يتعاملون على الفور وبشكل صحيح مع جميع الاستفسارات من جهة تصدير البيانات فيما يتعلق بمعالجتها للبيانات الشخصية التي يتم نقلها وسوف يتصرفون بموجب رأي السلطة الإشرافية فيما يتعلق بمعالجة البيانات المنقولة ؛

و) بناءً على طلب جهة تصدير البيانات ، ستخضع مرافق معالجة البيانات الخاصة بها لمراجعة أنشطة المعالجة التي تغطيها هذه البنود التي يتعين تنفيذها بواسطة جهة تصدير البيانات أو هيئة إشرافية مكونة من أعضاء مستقلين يتمتعون بالمؤهلات المهنية المطلوبة ، تخضع لالتزام بالسرية ويختارها مصدر البيانات ، عند الاقتضاء بموافقة السلطة الإشرافية ؛

ز) سيوفرون لصاحب البيانات ، إذا طلب ذلك ، نسخة من هذه البنود ، أو أي تعاقد من الباطن قائم على عقد معالجة البيانات ، ما لم تحتوي البنود أو العقد على معلومات تجارية ، وفي هذه الحالة يجوز له إزالة هذا المعلومات ، باستثناء الملحق 2 ، والتي سيتم استبدالها بوصف موجز للتدابير الأمنية ، حيث لا يمكن لصاحب البيانات الحصول على نسخة من مصدر البيانات ؛

ح) في حالة التعاقد من الباطن على مزيد من السرية مع معالجة البيانات ، فسوف يتأكد من أنه يبلغ مصدر البيانات مقدمًا ويحصل على موافقة كتابية من جهة تصدير البيانات ؛

1) يجب أن تتوافق خدمات المعالجة التي يقدمها معالج البيانات مع البند 11 ؛

ي) سيرسلون على الفور نسخة من أي تعاقد من الباطن لاتفاقية معالجة البيانات التي أبرمتها بموجب هذه البنود إلى جهة تصدير البيانات.

البند 6

المسئولية

1. يتفق الطرفان على أن أي موضوع بيانات عانى من ضرر بسبب خرق الالتزامات المشار إليها في البند 3 أو البند 11 من قبل طرف واحد أو من قبل معالج البيانات قد يحصل على تعويض من جهة تصدير البيانات عن الضرر الذي لحق به.

2. إذا تم منع صاحب البيانات من رفع دعوى تعويضات على النحو المشار إليه في الفقرة 1 ضد جهة تصدير البيانات بسبب إخفاق جهة استيراد البيانات أو معالج البيانات لديها في الامتثال لأي من التزاماتها بموجب البند 3 أو البند 11 لأن البيانات إذا اختفى المُصدِّر فعليًا أو لم يعد له وجود في القانون أو أصبح معسراً ، يوافق مستورد البيانات على أنه يجوز لصاحب البيانات تقديم شكوى ضده كما لو كان مصدر البيانات ما لم يتم نقل جميع الالتزامات القانونية الخاصة بجهة تصدير البيانات ، بموجب عقد أو بموجب القانون ، إلى الكيان الذي يخلفه ، والذي يمكن لصاحب البيانات أن يفرض حقوقه ضده. لا يجوز لجهة استيراد البيانات الاعتماد على أي خرق لالتزاماتها من قبل معالج البيانات لتجنب مسؤوليتها الخاصة.

3. إذا تم منع صاحب البيانات من اتخاذ الإجراء المشار إليه في الفقرتين 1 و 2 ضد جهة تصدير البيانات أو جهة استيراد البيانات لخرق معالج البيانات لالتزاماته بموجب البند 3 أو البند 11 لأن جهة تصدير البيانات ومستورد البيانات اختفت جسديًا أو لم تعد موجودة في القانون أو أصبحت معسرة ، يوافق معالج البيانات على أنه يجوز لصاحب البيانات تقديم شكوى ضده فيما يتعلق بأنشطة المعالجة الخاصة به وفقًا لهذه البنود كما لو كان مصدر البيانات أو مستورد البيانات ما لم يكن كل شيء تم نقل الالتزامات القانونية لجهة تصدير البيانات أو مستورد البيانات ، بموجب عقد أو بموجب القانون ، إلى الخلف القانوني ، والذي قد يؤكد صاحب البيانات حقوقه في مواجهة ذلك.يجب أن تقتصر مسؤولية معالج البيانات على أنشطة المعالجة الخاصة به وفقًا لهذه البنود.

البند 7

الوساطة والاختصاص

1. يوافق مستورد البيانات على أنه في حالة قيام صاحب البيانات ، بموجب البنود ، بالاستدعاء ضده بحق الطرف الثالث المستفيد و / أو المطالبة بالتعويض عن الضرر الذي لحق به ، فإنه سيقبل قرار صاحب البيانات:

أ) تقديم النزاع للوساطة من قبل شخص مستقل أو ، عند الاقتضاء ، السلطة الإشرافية ؛

ب) عرض النزاع أمام محاكم الدولة العضو التي يقع مقر "مُصدِّر البيانات" فيها.

2. يتفق الطرفان على أن الاختيار الذي قام به صاحب البيانات لن يؤثر على الحق الإجرائي أو الموضوعي للبيانات الخاضعة للحصول على تعويض وفقًا لأحكام أخرى من القانون الوطني أو الدولي.

البند 8

التعاون مع الجهات الرقابية

1. يوافق مُصدِّر البيانات على إيداع نسخة من العقد الحالي لدى السلطة الإشرافية إذا كانت الأخيرة تتطلب ذلك أو إذا كان هذا الإيداع منصوصًا عليه بموجب قانون حماية البيانات المعمول به.

2. يتفق الطرفان على أنه يجوز للسلطة الإشرافية إجراء فحوصات في جهة استيراد البيانات وأي معالج بيانات بنفس القدر وبنفس الشروط كما هو الحال مع عمليات الفحص التي يتم إجراؤها في جهة تصدير البيانات وفقًا لقانون حماية البيانات المعمول به.

3. يجب على جهة استيراد البيانات إبلاغ جهة تصدير البيانات في أقرب وقت ممكن بوجود تشريع يتعلق بجهة استيراد البيانات أو أي معالج بيانات يمنع التحقق من جهة استيراد البيانات أو أي معالج بيانات وفقًا للفقرة 2. وفي هذه الحالة ، يجوز لجهة تصدير البيانات اتخاذ الإجراءات المنصوص عليها في البند 5 (ب).

البند 9

القانون الواجب التطبيق

تنطبق البنود وتخضع لقانون الدولة العضو التي يقع مقر جهة تصدير البيانات فيها.

البند 10

تعديل العقد

يتعهد الطرفان بعدم تعديل هذه البنود. يبقى للأطراف الحرية في تضمين البنود التجارية الأخرى التي يرونها ضرورية ، بشرط ألا تتعارض مع هذه البنود.

البند 11

التعاقد من الباطن اللاحق

1. لا يجوز لجهة استيراد البيانات أن تتعاقد من الباطن مع أي من أنشطة المعالجة الخاصة بها نيابة عن جهة تصدير البيانات بموجب هذه البنود دون الحصول على موافقة كتابية مسبقة من جهة تصدير البيانات. يجب على جهة استيراد البيانات التعاقد من الباطن مع التزاماتها بموجب هذه البنود فقط ، بموافقة جهة تصدير البيانات ، من خلال اتفاقية مكتوبة مع معالج البيانات تفرض على معالج البيانات نفس الالتزامات المفروضة على جهة استيراد البيانات بموجب هذه البنود. إذا لم يتمكن معالج البيانات من الامتثال لالتزامات حماية البيانات بموجب تلك الاتفاقية المكتوبة ، فستظل جهة استيراد البيانات مسؤولة بالكامل أمام جهة تصدير البيانات عن الوفاء بهذه الالتزامات.

2. يجب أن تشتمل الاتفاقية المكتوبة المسبقة بين جهة استيراد البيانات ومعالج البيانات أيضًا على شرط الطرف الثالث المستفيد على النحو المنصوص عليه في البند 3 للحالات التي يُمنع فيها صاحب البيانات من رفع دعوى التعويض المشار إليها في البند 6 (1) ) ، ضد جهة تصدير البيانات أو جهة استيراد البيانات لأن جهة تصدير البيانات أو جهة استيراد البيانات قد اختفت فعليًا أو لم تعد موجودة بموجب القانون أو أصبحت معسرة ولم يتم نقل جميع الالتزامات القانونية الخاصة بجهة تصدير البيانات أو جهة استيراد البيانات ، بموجب عقد أو عملية من القانون إلى كيان خلف آخر. يجب أن تقتصر مسؤولية معالج البيانات على أنشطة المعالجة الخاصة به وفقًا لهذه البنود.

3. تخضع الأحكام المتعلقة بجوانب حماية البيانات للتعاقد من الباطن لمعالجة بيانات العقد المشار إليه في الفقرة 1 لقانون الدولة العضو التي تم إنشاء جهة تصدير البيانات فيها.

4. يجب على جهة تصدير البيانات الاحتفاظ بقائمة التعاقد من الباطن لاتفاقيات معالجة البيانات المبرمة بموجب هذه البنود وإخطارها من قبل جهة استيراد البيانات وفقًا للبند 5 (ي) ، والتي يجب تحديثها مرة واحدة على الأقل في السنة. يجب أن تكون هذه القائمة متاحة للسلطة الإشرافية على حماية البيانات في جهة تصدير البيانات.

البند 12

الالتزام بعد إنهاء خدمات معالجة البيانات الشخصية

1. يتفق الطرفان على أنه عند الانتهاء من خدمات معالجة البيانات ، سيقوم مستورد البيانات ومعالج البيانات ، حسب ما يناسبه مصدر البيانات ، بإعادة جميع البيانات الشخصية المنقولة ونسخ منها إلى جهة تصدير البيانات ، أو إتلاف كل هذه البيانات وتقديم دليل إتلاف جهة تصدير البيانات ، ما لم تمنعه ​​التشريعات المفروضة على جهة استيراد البيانات من إعادة أو إتلاف كل أو جزء من البيانات الشخصية المنقولة. في هذه الحالة ، يضمن برنامج استيراد البيانات أنه سيضمن سرية البيانات الشخصية المنقولة وأنه لن يقوم بمعالجة البيانات بشكل نشط بعد الآن.

2. يجب على جهة استيراد البيانات ومعالج البيانات التأكد من أنهما ، إذا طلب ذلك من جهة تصدير البيانات و / أو السلطة الإشرافية ، سيخضعان وسائل معالجة البيانات الخاصة بهما للتحقق من الإجراءات المشار إليها في الفقرة 1.

الملحق 1.1 بالجزء 2

تفاصيل التحويل

مصدر البيانات

جهة تصدير البيانات هي العميل المحدد في الاتفاقية التعاقدية.

برنامج استيراد البيانات

برنامج استيراد البيانات هو POSTCODEZIP ويتم تعيينه لمعالجة البيانات ، وتوفير الخدمات لجهة تصدير البيانات.

مواضيع البيانات

تتعلق البيانات الشخصية المنقولة بالفئات التالية لموضوعات البيانات:

أ؟؟ مشتركي الهاتف المدرجين في الدليل العالمي

- غيرها ومنها:

فئات البيانات

تتعلق البيانات الشخصية المنقولة بفئات البيانات التالية:

فئات البيانات الشخصية لموضوعات بيانات جهة تصدير البيانات على وجه الخصوص ،

أ؟؟ الاسم بالكامل

â~ " عنوان البريد

أ؟؟ تفاصيل الاتصال (البريد الإلكتروني ، الهاتف ، عنوان IP ، إلخ.)

أ؟؟ تفاصيل الأنشطة التسويقية المتعلقة بمشترك الهاتف

- أخرى ، بما في ذلك نوع السكن ، والدخل ، ومتوسط ​​الأعمار حسب المدينة ، يتم إجراؤها بشكل مجهول

فئات خاصة من البيانات (إن وجدت)

تتعلق البيانات الشخصية المنقولة بالفئات الخاصة التالية من البيانات:

• نقل فئات خاصة من البيانات غير متوقع

أ؟؟ العرق أو الأصل العرقي

أ؟؟ المعتقدات الدينية أو الفلسفية

أ؟؟ عضوية النقابات العمالية

أ؟؟ اراء سياسية

أ؟؟ المعلومات الجينية

أ؟؟ المعلومات البيومترية

أ؟؟ معلومات عن الميول الجنسية أو الحياة الجنسية

أ؟؟ البيانات الصحية

أنشطة المعالجة

ستخضع البيانات الشخصية المنقولة لأنشطة المعالجة الأساسية التالية:

•  
  • •  الغرض من المعالجة

تعتمد المعالجة التي تتم نيابة عن جهة تصدير البيانات على الموضوعات التالية ، على وجه الخصوص:

- تولي مسؤولية المنتجات أو الخدمات التي تقدمها جهة تصدير البيانات

â~ " العرض لمنتج أو خدمة أن شخصا يدعى أن تطلب

- أوامر مأخوذة من الأشخاص الذين تم استدعاؤهم ومعالجة هذه الأوامر

- دراسة الاستبيانات والتحليلات

• التسويق عبر الهاتف

أ؟؟ آخرون ، بما في ذلك:

•  
  • •  طبيعة المعالجة والغرض منها

تقوم جهة استيراد البيانات بمعالجة البيانات الشخصية لأصحاب البيانات نيابة عن جهة تصدير البيانات ، من أجل تقديم الخدمات التالية ، وعلى الأخص:

• - إكمال النموذج تلقائيًا
• ˜ استمارة التحقق من العناوين

• المبيعات والتسويق

• أخرى ، بما في ذلك تحديث قواعد البيانات الخاصة بقاعات البلديات والأحزاب السياسية

•  
  • •  تقديم الخدمات وتوظيف مقدمي الخدمات

يجمع POSTCODEZIP بشكل أساسي ويمركز ويوفر الخدمات لمصدر البيانات. يمكن تنظيم الخدمات التي يقدمها مزود الخدمة المحدد (من بين أمور أخرى حسب الاقتضاء) حول الخدمات المساعدة التالية: (1) توفير التطبيقات والأدوات والأنظمة والبنية التحتية لتكنولوجيا المعلومات فيما يتعلق بمراكز معالجة البيانات المستخدمة ، من أجل توفير ودعم الخدمات ، بما في ذلك معالجة البيانات الشخصية لموضوعات البيانات كما هو موضح أعلاه ، عبر هذه التطبيقات والأدوات والأنظمة ، (2) توفير دعم تكنولوجيا المعلومات والصيانة والخدمات الأخرى المتعلقة بهذه التطبيقات والأدوات والأنظمة والبنية التحتية لتكنولوجيا المعلومات ، بما في ذلك الوصول المحتمل إلى البيانات الشخصية المخزنة في مثل هذه التطبيقات والأدوات والأنظمة ، و (3) توفير خدمات حماية البيانات ومراقبة الحماية وخدمات الاستجابة للحوادث ،بما في ذلك الوصول المحتمل إلى البيانات الشخصية عند تقديم خدمات الحماية هذه. قد تقوم POSTCODEZIP بإشراك معالجي البيانات على النحو المحدد أدناه لتقديم الخدمات ، بما في ذلك الخدمات الإضافية.

•  
  • • مقدمو الخدمات الخارجيون ككيانات فرعية مخصصة لمعالجة البيانات

تقوم POSTCODEZIP بإشراك موفري الخدمات الخارجيين والجهات الخارجية ، والتي ليست شركات تابعة لـ POSTCODEZIP ، لدعم توفير الخدمات لمصدر البيانات. يوافق مُصدِّر البيانات على موفري الخدمات الخارجيين مثل الكيانات الفرعية المعينة لمعالجة البيانات.

إذا كان الكيان الفرعي المعني بمعالجة البيانات موجودًا خارج الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية ، في بلد لا يتمتع بمستوى كافٍ من حماية البيانات بموجب قرار من المفوضية الأوروبية ، فإن جهة استيراد البيانات ستتخذ خطوات للحصول على مستوى مناسب من حماية البيانات وفقًا للائحة العامة لحماية البيانات (GDPR) والقسم 3.4 (4) من الجزء الأول.

الملحق 2 ، الجزء 2

إجراءات الحماية الفنية والتنظيمية

يجب على جهة استيراد البيانات اتخاذ إجراءات الحماية الفنية والتنظيمية التالية التي أكدها مصدر البيانات ، من أجل ضمان مستوى مناسب من الأمان لحقوق وحريات الأفراد ، اعتمادًا على المخاطر. عند تقييم مستوى الحماية المعني ، أخذ مصدر البيانات في الاعتبار ، على وجه الخصوص ، المخاطر التي تنطوي عليها المعالجة ، بما في ذلك التدمير العرضي أو غير القانوني أو التغيير أو الكشف غير المصرح به أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى. للتوضيح: لا تنطبق إجراءات الحماية الفنية والتنظيمية هذه على التطبيقات ، والأدوات ، والأنظمة ، و / أو البنية التحتية لتكنولوجيا المعلومات التي توفرها جهة تصدير البيانات.

الجزء 3

توقيعات الأطراف وقائمة مستوردي البيانات

عندما تقوم بملء نموذج الطلب عبر الإنترنت والتحقق من صحته عن طريق تحديد المربع قبول الشروط والأحكام العامة للاستخدام ، يتم إنشاء العقد الذي يحكم العلاقة بين العميل و POSTCODEZIP.

سيؤدي إرسال الدفعة إلى POSTCODEZIP إلى النظر في العقد المتفق عليه والذي تم إنشاؤه.

خذ ملاحظة: تمت ترجمة هذا النص من الفرنسية. النسخة الفرنسية الأصلية ، الصالحة والمقيدة من الناحية القانونية ، متوفرة  هنا .