Tietojenkäsittelyliite

 

Tämä liite on erottamaton osa sopimusta ja sen ovat allekirjoittaneet:

 

  1. (i) Asiakas (" Tietojen viejä ")
  2. (ii) POSTCODEZIP (" Data Importer ")

 

Kukin on " Party " ja yhteisesti " osapuolet ".

 

Johdanto

MISSÄ tietojen tuoja tarjoaa ammattimaisia ​​ohjelmistopalveluita, tietokoneita ja niihin liittyviä palveluja;

MILLOIN Tietojen tuoja on Sopimuksen mukaisesti suostunut tarjoamaan Tietojen Viejälle Sopimuksessa määritellyt palvelut (" Palvelut ");

MISSÄ Palveluja tarjoamalla tietojen tuoja saa tai hyötyy pääsystä tietojen viejän tietoihin tai muiden tietojen viejään (mahdollisissa) suhteissa olevien henkilöiden tietoihin, tällaiset tiedot voidaan pitää asetuksen mukaisina henkilötiedoina. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta (" GDPR ") ja muista sovellettavista tietosuojalaeista.

MISSÄ tämä liite sisältää ehdot, joita sovelletaan tietojen tuojan tällaisten henkilötietojen keräämiseen, käsittelyyn ja käyttöön tietojen viejän valtuutettuna tietojenkäsittelyagenttina varmistaakseen, että osapuolet noudattavat sovellettavaa tietosuojalainsäädäntöä. .

 

TÄMÄN vuoksi osapuolet ovat tehneet tämän liitteen seuraavasti, jotta osapuolet voisivat jatkaa suhteitaan laillisesti:

Osa 1

 

1. Asiakirjan rakenne ja määritelmät

1.1 Rakenne

Tämä liite koostuu seuraavista eri osista:

 

Osa 1:

sisältää yleisiä säännöksiä, jotka koskevat esimerkiksi tässä liitteessä käytettyjä määritelmiä, paikallisten lakien noudattamista, ajoitusta ja irtisanomista

Osa 2:

sisältää muuttamattoman vakiosopimuslausekkeita koskevan asiakirjan rungon

Osan 2 lisäys 1.1:

sisältää tiedot käsittelytoimista, jotka tietojen tuoja on toimittanut tietojen viejälle valtuutettuna tietojenkäsittelyagenttina (mukaan lukien käsittely, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen luokat) tämän mukaisesti. Liite

Osan 2 lisäys 2:

sisältää kuvauksen Tietojen maahantuojan teknisistä ja organisatorisista turvatoimenpiteistä, joita sovelletaan kaikkien osan 2 liitteessä 1.1 kuvattujen käsittelytoimintojen yhteydessä.

Osa 3:

sisältää tämän liitteen sitovien osapuolten allekirjoitukset ja yksilöi jokaisen tiedon tuojan

 

1.2 Terminologia ja määritelmät

Tämän liitteen tarkoituksiin sovelletaan GDPR:n käyttämää terminologiaa ja määritelmiä (osan 2 vakiosopimuslausekkeen tekstiosassa, jossa määriteltyjä termejä ei kirjoiteta isoilla kirjaimilla). 

 

"Jäsenvaltio"

tarkoittaa Euroopan unioniin tai Euroopan talousalueeseen kuuluvaa maata

"(henkilö)tietojen erityisluokat"

viittaa henkilötietoihin, jotka paljastavat rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistysjäsenyyden sekä geneettiset tiedot, biometriset tiedot, jos niitä käsitellään henkilön yksiselitteistä tunnistamista varten, terveyttä koskevat tiedot, henkilön sukupuoleen liittyvät tiedot elämä tai seksuaalinen suuntautuminen

"Vakiosopimuslausekkeet"

tarkoittaa 5. helmikuuta 2010 tehdyn komission päätöksen 2010/87/EU, jota muutettiin komission täytäntöönpanopäätöksellä (EU) 2016/2297, 16. päivänä joulukuuta 2016

"Data processor"

tarkoittaa mitä tahansa EU:n/ETA:n sisällä tai sen ulkopuolella sijaitsevaa käsittelyagenttia, joka suostuu vastaanottamaan tietojen tuojalta tai muulta tietojen tuojan käsittelijältä henkilötietoja yksinomaan tietojen viejän suorittamaa käsittelyä varten. siirto tietojen viejän ohjeiden, tämän liitteen ehtojen ja tietojen tuojan kanssa tehdyn sopimuksen mukaisesti

 

 

2. Tietojen viejän velvollisuudet

2.1 Tietojen viejällä on velvollisuus varmistaa kaikkien sovellettavien GDPR:n ja minkä tahansa muun soveltuvan tietosuojalainsäädännön, joka koskee tietojen viejää, mukaisia ​​velvoitteita ja osoitettava noudattaminen GDPR:n artiklan 5(2) mukaisesti. Tietojen viejä takaa, että tietojen tuoja on saanut rekisteröityjen ennakkosuostumuksen GDPR:n artiklan 6(a) mukaisesti ja on noudattanut velvollisuuttaan ilmoittaa rekisteröidyille GDPR:n artiklan 13 ja 14 mukaisesti.

2.2 Tietojen viejän on toimitettava tietojen tuojalle vastaavat tiedostot käsittelytoimista GDPR:n artiklan 30 (1) mukaisesti, jotka liittyvät tämän liitteen mukaisiin palveluihin siinä määrin kuin se on tarpeen tietojen tuojan noudattamiseksi GDPR:n 30 artiklan 2 kohta.

2.3 Tietojen viejän on nimettävä tietosuojavastaava tai edustaja sovellettavan tietosuojalain edellyttämässä laajuudessa. Tietojen viejä on velvollinen antamaan tietosuojavaltuutetun tai mahdollisen edustajan yhteystiedot tietojen tuojalle.

2.4. Tietojen viejä vahvistaa ennen käsittelyn loppuunsaattamista hyväksymällä tämän liitteen, että tietojen tuojan tekniset ja organisatoriset turvatoimenpiteet, sellaisina kuin ne on esitetty osan 2 liitteessä 2, ovat asianmukaisia ​​ja riittäviä rekisteröidyn oikeuksien suojaamiseksi. ja vahvistaa, että tietojen tuoja tarjoaa riittävät suojatoimet tässä suhteessa.

 

3. Paikallisten lakien noudattaminen

Jotta voidaan täyttää GDPR:n artiklan 28 mukaiset käsittelyagenttien käyttöönottovaatimukset, sovelletaan seuraavia muutoksia:

 

3.1 Ohjeet

  1. (i) Tietojen viejä kehottaa tietojen tuojaa käsittelemään henkilötietoja vain tietojen viejän puolesta. Tietojen viejän ohjeet ovat tässä liitteessä ja sopimuksessa. Tietojen viejällä on velvollisuus varmistaa, että kaikki tiedon tuojalle annetut ohjeet noudattavat soveltuvia tietosuojalakeja. Tietojen tuoja saa käsitellä henkilötietoja vain tietojen viejän antamien ohjeiden mukaisesti, ellei Euroopan unioni tai jäsenvaltion lainsäädäntö toisin edellytä (jälkimmäisessä tapauksessa sovelletaan osan 1 kohdan 3.2 (iv) (c) alakohtaa) .
  2. (ii) Kaikki muut ohjeet, jotka ylittävät tämän liitteen tai sopimuksen ohjeet, tulee sisällyttää tämän liitteen ja sopimuksen aiheeseen. Jos tämän lisäohjeen toteuttamisesta aiheutuu tietojen tuojalle kustannuksia, tietojen tuoja ilmoittaa niistä tietojen viejälle ja antaa selvityksen ennen ohjeen toteuttamista. Vasta sen jälkeen, kun tietojen viejä on vahvistanut hyväksyvänsä nämä kustannukset ohjeen toteuttamisesta, tietojen tuoja toteuttaa tämän lisäohjeen. Tietojen viejän tulee antaa lisäohjeita kirjallisesti, ellei kiireellisyys tai muut erityiset olosuhteet vaadi muuta muotoa (esim. suullinen, sähköinen). Muussa kuin kirjallisessa muodossa olevat ohjeet tulee vahvistaa kirjallisesti ja viipymättä tietojen viejän toimesta.
  3. 1. Ellei tietojen viejä voi itse suorittaa henkilötietojen oikaisemista, poistamista tai rajoittamista, ohjeet voivat koskea myös osan 1 kohdan 3.3 mukaista henkilötietojen oikaisemista, poistamista ja/tai rajoittamista.
  4. 2. Tietojen tuojan on välittömästi ilmoitettava tietojen viejälle, jos Ohje rikkoo hänen mielestään GDPR:ää tai muita soveltuvia Euroopan unionin tai jäsenvaltion tietosuojamääräyksiä (" Kiistanalainen ohje"). Jos tietojen tuoja uskoo, että Ohje rikkoo GDPR:ää tai muita sovellettavia Euroopan unionin tai jäsenvaltion tietosuojamääräyksiä, tietojen tuoja ei ole velvollinen noudattamaan kiistanalaista ohjetta. Jos tietojen viejä vahvistaa kiistanalaisen ohjeen tiedon tuojalta saatuaan tiedon ja tunnustaa vastuunsa kiistanalaisesta ohjeesta, tietojen tuoja toteuttaa kiistanalaisen ohjeen, ellei kiistanalainen ohje koske (i) teknisten ja organisatoristen toimenpiteiden toteuttamista, (ii) tietojen oikeuksia. Kohteet tai (iii) tietojen käsittelijöiden toimeksianto Tapauksissa (i) - (iii) Tietojen tuoja voi ottaa yhteyttä toimivaltaiseen valvontaviranomaiseen, jotta kyseinen viranomainen arvioi kiistanalaisen Ohjeen laillisesti.Mikäli valvontaviranomainen toteaa riitautetun Ohjeen lailliseksi, tietojen tuoja panee riidanalaisen Ohjeen täytäntöön. Osan 1 kohta 3.1 (ii) on edelleen voimassa.

 

3.2 Tietojen maahantuojan velvollisuudet

  1. (i) Tietojen maahantuojan on varmistettava, että henkilöt, jotka tietojen tuoja on valtuuttanut käsittelemään henkilötietoja tietojen viejän puolesta, erityisesti tietojen tuojan työntekijät ja minkä tahansa alihankkijan työntekijät, ovat sitoutuneet noudattamaan luottamuksellisuutta tai heitä koskevat asianmukainen lakisääteinen salassapitovelvollisuus ja että sellaiset henkilöt, joilla on pääsy henkilötietoihin, käsittelevät niitä tietojen viejän ohjeiden mukaisesti.
  2. (ii) Tietojen tuojan on toteutettava osan 2 liitteessä 2 esitetyt tekniset ja organisatoriset turvatoimenpiteet ennen henkilötietojen käsittelyä tietojen viejän puolesta. Tietojen tuoja voi ajoittain muuttaa teknisiä ja organisatorisia turvatoimenpiteitä, jos ne eivät tarjoa heikompaa suojaa kuin osan 2 liitteessä 2 esitetyt.
  3. (iii) Tietojen tuojan on asetettava tietojen viejän saataville tietojen viejän pyynnöstä tiedot, jotka osoittavat tietojen tuojan tämän liitteen mukaisten velvoitteiden noudattamisen. Osapuolet sopivat, että tämä tiedonantovelvollisuus täytetään toimittamalla tietojen viejälle tarkastusraportti (joka kattaa periaatteiden turvallisuuden, järjestelmän saatavuuden ja luottamuksellisuuden) ("Audit Report"). Jos lain mukaan vaaditaan lisätarkastustoimia, tietojen viejä voi pyytää tietojen viejää tai muuta tietojen viejän nimeämää tarkastajaa suorittamaan tarkastukset edellyttäen, että kyseinen tarkastaja on solminut tietojen tuojan kanssa tietojen tuojan kanssa tekemän luottamuksellisuussopimuksen. kohtuullinen tyytyväisyys ("tarkastus"). Tätä tarkastusta koskevat seuraavat ehdot:(i) tietojen tuojan etukäteen antama virallinen kirjallinen hyväksyntä; ja (ii) tietojen viejä vastaa kaikista kustannuksista, jotka liittyvät tietojen viejän ja tietojen tuojan paikan päällä suoritettavaan tarkastukseen. Tietojen viejän on luotava tarkastusraportti, jossa on yhteenveto paikan päällä tehdyn tarkastuksen tuloksista ja havainnoista ("Paikantarkastusraportti"). Paikalla tehdyt tarkastusraportit ja tarkastusraportit ovat tietojen tuojan luottamuksellisia tietoja, eikä niitä saa paljastaa kolmansille osapuolille, ellei sovellettava tietosuojalaki sitä vaadi tai tietojen tuojan suostumuksella.Paikalla tehdyt tarkastusraportit ja tarkastusraportit ovat tietojen tuojan luottamuksellisia tietoja, eikä niitä saa paljastaa kolmansille osapuolille, ellei sovellettava tietosuojalaki sitä vaadi tai tietojen tuojan suostumuksella.Paikalla tehdyt tarkastusraportit ja tarkastusraportit ovat tietojen tuojan luottamuksellisia tietoja, eikä niitä saa paljastaa kolmansille osapuolille, ellei sovellettava tietosuojalaki sitä vaadi tai tietojen tuojan suostumuksella.
  4. (iv) Tietojen tuojalla on velvollisuus ilmoittaa tietojen viejälle ilman aiheetonta viivytystä:
    1. a. mitä tahansa lainvalvontaviranomaisen oikeudellisesti sitovaa henkilötietojen luovuttamista koskevaa pyyntöä, ellei toisin ole kielletty, kuten rikosoikeudellinen kielto suojella lainvalvontatutkinnan luottamuksellisuutta
    2. b. mitä tahansa suoraan rekisteröidyltä saatua valitusta ja pyyntöä (esim. pääsyä, oikaisua, poistamista, käsittelyn rajoittamista, tietojen siirrettävyyttä, tietojenkäsittelyn vastustamista, automatisoitua päätöksentekoa) koskevaan pyyntöön vastaamatta, ellei tietojen tuoja ole valtuutettu tee niin
    3. c. jos tietojen tuoja tai tietojen käsittelijä on Euroopan unionin tai sen jäsenvaltion lainsäädännön mukaan, johon tietojen tuoja tai käsittelijä kuuluu, käsittelemään henkilötietoja tietojen viejän ohjeiden ulkopuolella, ennen kuin se suorittaa tällaisen käsittelyn. ohjeet, elleivät Euroopan unionin tai jäsenvaltion lait kiellä tällaista käsittelyä elintärkeistä yleisen edun vuoksi, jolloin tietojen viejälle tehtävässä ilmoituksessa on mainittava kyseisen Euroopan unionin tai jäsenvaltion lain mukainen vaatimus; tai
    4. d. jos tietojen tuoja huomaa yksinomaan itsensä tai alihankkijansa vuoksi henkilötietoloukkauksen, joka vaikuttaisi tämän sopimuksen kattamiin tietojen viejän henkilötietoihin, jolloin tietojen tuoja avustaa tietojen viejää tämän velvoitteen täyttämisessä, sovellettavan tietosuojalain suhteen tiedottaa rekisteröidyille ja soveltuvin osin valvontaviranomaisille antamalla käytettävissään olevat tiedot GDPR:n artiklan 33 (3) mukaisesti.
    5. (v) Tietojen viejän pyynnöstä tietojen tuoja on pakotettu auttamaan tietojen viejää sen velvollisuudessa suorittaa tietosuoja-vaikutusten arviointi, joka saattaa olla tarpeen GDPR:n artiklan 35 nojalla, ja ennakkoneuvottelu, joka saattaa olla tarpeen. GDPR:n artiklan 36 edellyttämä tietojen tuojan tämän liitteen mukaisesti tietojen viejälle tarjoamien palvelujen tarjoaminen tietojen viejälle. Tietojen tuoja on velvollinen antamaan tällaista apua vain, jos tietojen viejä ei voi täyttää velvollisuuttaan muilla keinoin. Tietojen tuoja ilmoittaa tietojen viejälle tällaisen avun kustannuksista. Heti kun tietojen viejä on vahvistanut pystyvänsä vastaamaan näistä kustannuksista, tietojen tuoja antaa tietojen viejälle tämän avun.
    6. (vi) Palvelujen toimittamisen päätyttyä tietojen viejä voi pyytää tietojen tuojan tämän liitteen mukaisesti käsittelemien henkilötietojen palauttamista kuukauden kuluessa palveluista. Ellei jäsenvaltion tai Euroopan unionin lainsäädäntö edellytä tietojen tuojaa säilyttämään tai säilyttämään tällaisia ​​henkilötietoja, tietojen tuoja poistaa kaikki tällaiset henkilötiedot tai ei-henkilötiedot kuukauden kuluttua siitä, onko ne palautettu tietojen viejä sen pyynnöstä tai ei.

 

3.3 Asianomaisten henkilöiden oikeudet

  1.  
    1. (i) Tietojen viejä hallinnoi rekisteröityjen pyyntöjä ja vastaa niihin. Tietojen maahantuojalla ei ole velvollisuutta vastata suoraan rekisteröidyille.
    2. (ii) Jos tietojen viejä tarvitsee tietojen tuojan apua rekisteröidyn pyyntöjen käsittelyssä ja vastaamisessa, tietojen viejä antaa lisäohjeita osan 1 kohdan 3.1 (ii) mukaisesti. Tietojen tuoja avustaa tietojen viejää seuraavilla asianmukaisilla ja teknisillä organisatorisilla toimenpiteillä vastatakseen tietosuoja-asetuksen III luvussa esitettyihin rekisteröityjen oikeuksien käyttöä koskeviin pyyntöihin seuraavasti:
    3. a. Tietopyyntöjen osalta tietojen tuoja toimittaa tietojen viejälle vain ne PGRD:n 13 ja 14 artiklan edellyttämät tiedot, jotka sillä voi olla käytettävissään, jos tietojen viejä ei löydä niitä itse.
    4. b. Tietojen tuoja toimittaa tietojen viejälle pääsypyyntöjen (GDPR:n artikla 15) osalta vain ne tiedot, jotka on tarkoitus antaa rekisteröidylle mainittua pääsypyyntöä varten ja jotka sillä voi olla käytettävissään, jos jälkimmäinen ei löydä sitä yksin.
    5. c. Mitä tulee oikaisupyyntöihin (GDPR:n artikla 16), poistopyyntöihin (GDPR:n artikla 17), käsittelypyyntöjen rajoittamiseen (GDPR:n artikla 18) tai siirrettävyyspyyntöihin (GDPR:n artikla 20) ja vain jos tietojen viejä ei voi itse oikaista tai poistaa, rajoittaa tai välittää henkilötietoja toiselle kolmannelle osapuolelle, tietojen tuoja tarjoaa tietojen viejälle mahdollisuuden oikaista tai poistaa, rajoittaa tai siirtää kyseiset henkilötiedot toiselle kolmannelle osapuolelle, tai jos tämä ei ole mahdollista, se avustaa asianomaisten henkilötietojen korjaamisessa tai poistamisessa, rajoittamisessa tai siirtämisessä toiselle kolmannelle osapuolelle.
    6. d. Oikaisua, poistamista tai käsittelyn rajoittamista koskevassa ilmoituksessa (GDPR:n 19 artikla) ​​tietojen tuoja avustaa tietojen viejää ilmoittamalla kaikille tietojen tuojan käsittelijöiksi käyttämille henkilötietojen vastaanottajille, jos tietojen viejä niin pyytää ja jos tietojen viejä ei voi korjata tilannetta itse.
    7. e. Mitä tulee rekisteröidyn käyttämään vastustusoikeuteen (GDPR:n 21 ja 22 artikla), tietojen viejä määrittää, onko vastustus laillinen ja miten siihen tulee suhtautua.
    8. (iii) Tietojen maahantuojan avustusvelvoitteet rajoittuvat sen infrastruktuurissa käsiteltyihin henkilötietoihin (esim. tietokannat, järjestelmät, tietojen tuojan omistamat tai toimittamat sovellukset).
    9. (iv) Tietojen viejä määrittää, voiko rekisteröity käyttää rekisteröityjen oikeuksia, jotka on määritelty tämän osan 1 kohdassa 3.1, ja ilmoittaa tietojen tuojalle, missä määrin kohdassa 3.3 (ii), ( iii) osan 1 mukainen.
    10. (v) Jos tietojen viejä pyytää lisä- tai muutettuja teknisiä ja organisatorisia toimenpiteitä täyttääkseen rekisteröityjen oikeudet, jotka ylittävät tietojen tuojan osan 1 alakohdan 3.3 (ii), (iii) mukaisen avun, tiedot Tuoja ilmoittaa tietojen viejälle tällaisten lisä- tai muutettujen teknisten ja organisatoristen toimenpiteiden toteuttamisesta aiheutuvista kustannuksista. Heti kun tietojen viejä on vahvistanut pystyvänsä vastaamaan näistä kustannuksista, tietojen tuoja toteuttaa tällaiset lisä- tai muutetut tekniset ja organisatoriset toimenpiteet auttaakseen tietojen viejää vastaamaan rekisteröityjen pyyntöihin.
    11. (vi) Rajoittamatta osan 1 lausekkeen 3.3 (v) soveltamisalaa, tietojen viejä on velvollinen korvaamaan tietojen tuojalle kohtuulliset kulut, jotka ovat aiheutuneet rekisteröityjen pyyntöihin vastaamisesta.

 

3.4 Alikäsittely

  1.  
    1. (i) Tietojen viejä valtuuttaa tietojen tuojan käyttämään alihankkijoita tämän liitteen mukaisten palvelujen tarjoamiseen. Tietojen tuojan on valittava tällaiset tietojen käsittelijät huolellisesti. Tietojen viejä hyväksyy osan 2 lopussa olevassa liitteessä 1.1 luetellut tietojen käsittelijät.
    2. (ii) Tietojen tuoja siirtää tämän liitteen mukaiset velvoitteensa tietojen käsittelijälle (käsittelijöille) siltä osin kuin se on sovellettavissa alihankintapalveluihin.
    3. (iii) Tietojen tuoja voi harkintansa mukaan irtisanoa, vaihtaa tai nimittää toisen sopivan ja luotettavan tietojen käsittelijän. Tietojen viejän kirjallisesta pyynnöstä tietojen tuojan on noudatettava alla kuvattua menettelyä:
  1.  
    1. a. Tietojen tuoja ilmoittaa tietojen viejälle, ennen kuin osan 1 kohdassa 3.4 (i) mainittuun tietojen käsittelijöiden luetteloon tehdään muutoksia. Jos tietojen viejä ei vastusta lauseketta 3.4. (b) osan 1 mukaisesti kolmenkymmenen päivän kuluttua tietojen tuojan ilmoituksen vastaanottamisesta, lisätietojen käsittelijät katsotaan hyväksytyiksi.
    2. b. Jos tietojen viejällä on oikeutettu syy vastustaa lisätietojen käsittelijää, se ilmoittaa siitä etukäteen kirjallisesti tietojen tuojalle kolmenkymmenen päivän kuluessa tietojen tuojan ilmoituksen vastaanottamisesta ja ennen tietojen tuojan palvelun käyttöönottoa. Jos tietojen viejä vastustaa lisätietojen käsittelijän käyttöä, tietojen tuoja voi poistaa vastalauseen jollakin seuraavista vaihtoehdoista (valinnan mukaan): (A) Tietojen tuoja peruuttaa suunnitelmansa käyttää lisäkäsittelijää tietojen viejän henkilötiedot; (B) tietojen tuoja toteuttaa tietojen viejän vastalauseessaan pyytämät korjaavat toimenpiteet (vastalauseen peruuttaminen) ja käyttää lisäkäsittelijää tietojen viejän henkilötietojen osalta;(C) Tietojen tuoja voi lopettaa tarjoamisen tai tietojen viejä voi suostua olemaan käyttämättä (tilapäisesti tai pysyvästi) tiettyä palvelun osaa, joka edellyttäisi tietojen viejän henkilötietojen muun käsittelijän käyttöä.
  1.  
    1. (iv) jos tietojen käsittelijä sijaitsee EU-ETA-alueen ulkopuolella maassa, jonka ei ole tunnustettu tarjoavan riittävää tietosuojan tasoa Euroopan komission päätöksen perusteella, tietojen tuoja ryhtyy toimenpiteisiin riittävän tason noudattamiseksi. GDPR:n mukaisesta tietosuojasta (tällaisia ​​toimenpiteitä voivat olla mm. ja - EU-mallin lausekkeisiin perustuvien tietojenkäsittelysopimusten käyttö, siirto itsesertifioiduille tietojen käsittelijöille EU-US Protection Shieldin puitteissa , tai vastaava ohjelma).

 

3.5 Vanheneminen

Tämän liitteen voimassaoloaika on sama kuin vastaavan sopimuksen päättymispäivä. Ellei tässä liitteessä toisin määrätä, irtisanomiseen liittyvät oikeudet ja velvollisuudet ovat samat kuin Sopimukseen sisältyvät.

 

4. Vastuun rajoitus

4.1 Kumpikin osapuoli hoitaa tämän liitteen ja sovellettavan tietosuojalainsäädännön mukaiset velvoitteensa.

4.2 Kaikki tämän liitteen tai sovellettavan tietosuojalainsäädännön mukaisten velvoitteiden rikkomiseen liittyvät vastuut ovat sopimuksessa määrättyjen tai siihen sovellettavien vastuumääräysten alaisia, ellei tässä liitteessä toisin määrätä. Jos vastuuta säätelevät Sopimuksessa esitetyt tai siihen soveltuvat vastuumääräykset, vastuurajojen laskennassa tai muiden vastuurajoitusten soveltamisen määrittämisessä, tämän liitteen perusteella syntyvän vastuun katsotaan syntyvän Sopimuksesta.

 

5. Yleiset määräykset

5.1 Jos tämän liitteen osien 1 ja 2 välillä on epäjohdonmukaisuuksia tai ristiriitaisuuksia, osa 2 on ensisijainen. Erityisesti myös tällaisessa tapauksessa osa 1, joka yksinkertaisesti ylittää osan 2 (eli vakiolausekkeiden ehdot) sen kanssa ristiriidassa, pysyy voimassa.

5.2 Jos tämän liitteen ja muiden osapuolia sitovien sopimusten välillä ilmenee ristiriitaisuuksia, tämä liite on ensisijainen osapuolten tietosuojavelvoitteiden osalta. Jos on epäselvyyttä siitä, koskevatko muiden sopimusten lausekkeet osapuolten tietosuojavelvoitteita, tämä liite on ensisijainen.

5.3 Jos jokin tämän liitteen säännöksistä on pätemätön tai täytäntöönpanokelvoton, tämän liitteen loppuosa pysyy täysin voimassa. Mitätöntä tai täytäntöönpanokelvotonta säännöstä (i) muutetaan sen pätevyyden ja täytäntöönpanokelpoisuuden varmistamiseksi säilyttäen mahdollisimman pitkälle osapuolten aikomus, tai - jos tämä ei ole mahdollista - (ii) tulkitaan ikään kuin pätemätön tai täytäntöönpanokelvoton osa olisi ei ole koskaan ollut osa sopimusta. Edellä olevaa sovelletaan myös, jos tässä liitteessä on puutteita.

5.5 Tarvittaessa osapuolet voivat pyytää muutoksia osan 1 lausekkeeseen 3 (paikallisen lain noudattaminen) tai liitteen muihin osiin unionin toimivaltaisten viranomaisten antamien tulkintojen, ohjeiden tai määräysten noudattamiseksi. jäsenvaltiot, kansalliset täytäntöönpanosäännökset tai mikä tahansa muu oikeudellinen kehitys, joka liittyy GDPR:ään tai muihin tietojenkäsittelyyn osallistuville tahoille delegoinnin ehtoihin ja erityisesti GDPR:n vakiosopimusehtojen käyttöön. Mallisopimusehtojen ehtoja ei saa muuttaa tai korvata, ellei Euroopan komissio sitä nimenomaisesti hyväksy (esim. uusilla asianmukaisilla lausekkeilla ja tietosuojastandardeilla).

5.6 Kaikki tämän liitteen viittaukset "lausekkeisiin" katsotaan viittaavan kaikkiin tämän liitteen määräyksiin, ellei toisin mainita.

5.7 Osan 2 kohdan 9 lainvalinta koskee koko sopimusta.

 

6.  Osapuolten henkilökohtaisiin tarkoituksiin siirtämät ja käsittelemät henkilötiedot (siirto rekisterinpitäjältä rekisterinpitäjälle)

6.1 Osapuolet tietävät täysin, että tiettyjä henkilötietoja siirretään tietojen viejältä tietojen tuojalle ja päinvastoin ja että kukin osapuoli käsittelee näitä tietoja omiin tarkoituksiinsa. Tällaisten henkilötietojen osalta se ei vaikuta tämän liitteen muihin säännöksiin (lukuun ottamatta tätä kohtaa 6).

6.2 Tietojen viejä voi siirtää Tietojen tuojalle Tietojen tuojan henkilöstöön liittyviä henkilötietoja, mukaan lukien tiedot tietoturvaloukkauksista, tai mitä tahansa muita asiakirjoja tai tiedostoja, jotka tietojen viejä on luonut tai perustanut henkilökunnan tarjoamien palvelujen yhteydessä. Tietojen tuoja. Tietojen tuoja voi käsitellä tällaisia ​​henkilötietoja omiin tarkoituksiinsa, erityisesti ammatillisissa suhteissaan Tietojen maahantuojan henkilöstöön, laadunvalvontaa ja koulutusta varten tai liiketoiminnallisiin tarkoituksiin.

6.3. Tiedontuoja voi siirtää tietojen viejälle henkilötietoja, mukaan lukien tietojen tuojan henkilökunnan nimet ja yhteystiedot. Tietojen viejä voi käsitellä tällaisia ​​henkilötietoja omiin tarkoituksiinsa.

6.4 Molempien osapuolten on noudatettava kaikkia soveltuvia tietosuojalakeja, mukaan lukien GDPR, kerätessään, käsitellessään ja käyttäessään toiselta osapuolelta osan 1 kohdan 1 mukaisesti saatuja henkilötietoja. Erityisesti molempien osapuolten on ryhdyttävä riittäviin turvatoimiin samantasoinen suoja kuin osan 2 lisäyksessä 2 esitetyt turvatoimenpiteet. Kaikki pääsy tällaisiin henkilötietoihin on rajoitettava niiden tuntemiseen.

6.5 Molempien osapuolten on poistettava tällaiset henkilötiedot mahdollisimman pian tavoitteiden saavuttamisen jälkeen.

Osa 2

 

KOMISSION PÄÄTÖS

5 päivänä helmikuuta 2010

vakiosopimuslausekkeista henkilötietojen siirtämiseksi kolmansiin maihin sijoittautuneille tietojenkäsittelijöille Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti

 

 

 

Lauseke 1

Määritelmät

Lausekkeiden merkityksessä:

a) 'henkilötiedoilla', 'erityisillä tietoryhmillä', 'käsittelyllä', 'rekisterinpitäjällä', 'käsittelijällä', 'rekisteröity' ja 'valvontaviranomaisella' on sama merkitys kuin direktiivissä 95/46/EY. Euroopan parlamentin ja neuvoston direktiivi, annettu 24 päivänä lokakuuta 1995, yksilöiden suojelusta henkilötietojen käsittelyssä ja tällaisten tietojen vapaasta liikkuvuudesta (1);

b) ”Tietojen viejä” on rekisterinpitäjä, joka siirtää henkilötiedot;

c) the 'Data Importer' is the Data processor who agrees to receive from the Data Exporter personal data intended to be processed on behalf of the Data Exporter after the transfer in accordance with its instructions and under the terms of these clauses and who is not subject to the mechanism of a third country ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC; (d) 'Data processor' means the Data processor engaged by the Data Importer or by any other Data processor of the Data Importer who agrees to receive from the Data Importer or any other Data processor of the Data Importer personal data exclusively for processing activities to be carried out on behalf of the Data Exporter after the transfer in accordance with the instructions of the Data Exporter, under the conditions set out in these Clauses and under the terms of the written sub-contracting the data processing contract;

e) "sovellettavalla tietosuojalainsäädännöllä" lainsäädäntöä, jolla suojellaan yksilöiden perusoikeuksia ja -vapauksia, mukaan lukien oikeus yksityisyyteen henkilötietojen käsittelyn yhteydessä, ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltiossa, johon tietojen viejä on sijoittautunut;

f) "turvallisuuteen liittyvät tekniset ja organisatoriset toimenpiteet" tarkoittaa toimenpiteitä, joiden tarkoituksena on suojata henkilötietoja vahingossa tapahtuvalta tai laittomalta tuhoamiselta tai vahingossa tapahtuvalta katoamiselta, muuttamiselta, luvattomalta paljastamiselta tai pääsyltä erityisesti silloin, kun käsittelyyn liittyy tietojen siirtäminen verkkojen kautta, sekä kaikilta muilta laittomalta käsittelyltä.

Lauseke 2

Siirron tiedot

Siirron yksityiskohdat, mukaan lukien tarvittaessa erityiset henkilötietojen luokat, on määritelty liitteessä 1, joka on olennainen osa näitä lausekkeita.

Lauseke 3

Kolmannen osapuolen edunsaajalauseke

1. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 4(b)–i, lausekkeen 5(a)–(e) ja (g)–j, lausekkeen 6 (1) ja (2) kohdan tietojen viejää vastaan. ), lauseke 7, lauseke 8 (2) ja lausekkeet 9–12 kolmannen osapuolen edunsaajana

2. Rekisteröity voi panna täytäntöön tämän lausekkeen, lausekkeen 5 (a)–e ja (g), lausekkeen 6, lausekkeen 7, lausekkeen 8 (2) ja lausekkeet 9–12 tietojen tuojaa vastaan, jos tietojen viejä on fyysisesti kadonnut tai lakannut olemasta oikeudellisesti, ellei kaikkia hänen oikeudellisia velvoitteitaan ole sopimuksella tai lain nojalla siirretty seuraajalle, jolle tietojen viejän oikeudet ja velvollisuudet näin ollen palautuvat ja jota vastaan ​​tiedot subjekti voi näin ollen panna täytäntöön mainitut lausekkeet.

Rekisteröity voi panna tämän lausekkeen, kohdan 5 (a)–e ja (g), lausekkeen 6, lausekkeen 7, lausekkeen 8 (2) ja lausekkeen 9–12 täytäntöön tietojen käsittelijää vastaan, mutta vain tapauksissa, joissa tiedot Viejä ja Tietojen maahantuoja ovat fyysisesti kadonneet, lakanneet olemasta oikeudellisesti tai tulleet maksukyvyttömiksi, elleivät kaikki tietojen viejän lailliset velvoitteet ole sopimuksella tai lain nojalla siirtyneet lainseuraajalle, jonka oikeudet ja Tietojen viejällä on näin ollen velvollisuudet ja jota vastaan ​​rekisteröity voi näin ollen panna täytäntöön tällaiset lausekkeet. Tietojen käsittelijän vastuu on rajoitettava sen omiin käsittelytoimiin näiden lausekkeiden mukaisesti.

4. Osapuolet eivät vastusta sitä, että rekisteröityä edustaa yhdistys tai muu elin, jos hän niin haluaa ja jos kansallinen lainsäädäntö sen sallii.

Lauseke 4

Tietojen viejän velvollisuudet

Tietojen viejä hyväksyy ja takaa seuraavat:

a) käsittely, mukaan lukien henkilötietojen todellinen siirto, on suoritettu ja suoritetaan jatkossakin sovellettavan tietosuojalainsäädännön asiaa koskevien säännösten mukaisesti (ja tarvittaessa siitä on ilmoitettu jäsenvaltion toimivaltaisille viranomaisille jossa tietojen viejä sijaitsee) eikä se riko kyseisen valtion asiaankuuluvia säännöksiä;

b) he ovat ohjeistaneet ja ohjeistavat tietojen tuojaa henkilötietojen käsittelypalvelujen keston ajan käsittelemään siirrettyjä henkilötietoja yksinomaan tietojen viejän puolesta ja sovellettavan tietosuojalain ja näiden lausekkeiden mukaisesti;

c) Tietojen maahantuoja tarjoaa riittävät takeet tämän sopimuksen liitteessä 2 määriteltyjen teknisten ja organisatoristen turvatoimien osalta;

d) sovellettavan tietosuojalain vaatimusten arvioinnin jälkeen turvatoimenpiteet ovat riittävät suojaamaan henkilötiedot vahingossa tapahtuvalta tai laittomalta tuhoutumiselta tai vahingossa tapahtuvalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä erityisesti silloin, kun käsittelyyn liittyy tietojen siirtäminen verkon kautta ja kaikkea muuta laitonta käsittelyä vastaan ​​ja varmistamaan käsittelyn aiheuttamiin riskeihin ja suojeltavien tietojen luonteeseen sopiva turvallisuustaso ottaen huomioon tekniikan taso ja toteutuskustannukset;

e) he varmistavat turvatoimenpiteiden noudattamisen;

f) jos siirto liittyy erityisiin tietoluokkiin, rekisteröidylle on ilmoitettu tai hänelle ilmoitetaan ennen siirtoa tai mahdollisimman pian siirron jälkeen, että hänen tietojaan voidaan siirtää kolmanteen maahan, joka ei tarjoa direktiivissä 95/46/EY tarkoitettu riittävä suojelun taso;

g) ne välittävät kaikki tietojen tuojalta tai miltä tahansa tietojen käsittelijältä kohdan 5 (b) ja 8 (3) mukaisesti saamansa ilmoitukset tietosuojavalvontaviranomaiselle, jos se päättää jatkaa siirtoa tai peruuttaa keskeytyksen;

h) niiden on annettava rekisteröityjen saataville, jos he niin pyytävät, jäljennös näistä lausekkeista, lukuun ottamatta liitettä 2, sekä yhteenveto turvatoimista sekä jäljennös kaikista muista näiden lausekkeiden nojalla tehdyistä alihankintasopimuksista, ellei Lausekkeet tai sopimus sisältävät kaupallisia tietoja, jolloin hän voi peruuttaa tällaiset tiedot;

i) jos tietojenkäsittely tehdään alihankintana, käsittelyn suorittaa lausekkeen 11 mukainen tietojenkäsittelijä, joka tarjoaa vähintään samantasoisen henkilötietojen ja rekisteröidyn oikeuksien suojan kuin tietojen tuoja näiden lausekkeiden mukaisesti. ; ja

j) se varmistaa lausekkeen 4 (a)–i) noudattamisen.

Lauseke 5

Tietojen maahantuojan velvollisuudet

Tietojen tuoja hyväksyy ja takaa seuraavat:

a) he käsittelevät henkilötietoja vain tietojen viejän puolesta ja tietojen viejän ohjeiden ja näiden lausekkeiden mukaisesti; jos se ei jostain syystä pysty noudattamaan, he sitoutuvat ilmoittamaan tietojen viejälle kyvyttömyydestään mahdollisimman pian, jolloin tietojen viejä voi keskeyttää tiedonsiirron ja/tai irtisanoa sopimuksen;

b) heillä ei ole syytä uskoa, että heihin sovellettava laki estää häntä täyttämästä tietojen viejän antamia ohjeita ja hänelle sopimuksesta johtuvia velvollisuuksia, ja jos laki muuttuu, jolla voi olla olennaisen haitallinen vaikutus. vaikuttaa ehtojen mukaisiin takuisiin ja velvoitteisiin, hänen on ilmoitettava muutoksesta viipymättä tiedon viejälle saatuaan sen tietoonsa, jolloin tietojen viejä voi keskeyttää tiedonsiirron ja/tai irtisanoa sopimuksen; c) he ovat toteuttaneet liitteessä 2 määritellyt tekniset ja organisatoriset turvatoimenpiteet ennen siirrettyjen henkilötietojen käsittelyä;

d) ne ilmoittavat tietojen viejälle viipymättä:

i) lainvalvontaviranomaisen sitova henkilötietojen luovutuspyyntö, ellei toisin mainita, kuten poliisitutkinnan salaisuuden säilyttämiseen tähtäävä rikosoikeudellinen kielto;

ii) satunnainen tai luvaton pääsy; ja

iii) pyynnöt, jotka on saatu suoraan asianomaisilta henkilöiltä vastaamatta niihin, ellei hänellä ole siihen lupaa; ylläpitäjät

e) he käsittelevät nopeasti ja asianmukaisesti kaikki tiedonviejän tiedustelut, jotka koskevat siirrettävien henkilötietojen käsittelyä, ja toimivat siirrettyjen tietojen käsittelyä koskevan valvontaviranomaisen lausunnon mukaisesti;

f) tietojen viejän pyynnöstä ne tarkastavat tietojen viejän tai valvontaelimen, joka koostuu riippumattomista jäsenistä, joilla on vaadittu ammattipätevyys, näiden lausekkeiden kattamat käsittelytoiminnot, salassapitovelvollisuuden alaisena ja tietojen viejän valitsema, tarvittaessa valvontaviranomaisen suostumuksella;

g) he antavat rekisteröidyn saataville tämän pyynnöstä kopion näistä lausekkeista tai olemassa olevasta tietojenkäsittelysopimuksen alihankintasopimuksesta, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin se voi poistaa tällaisen tiedot, lukuun ottamatta liitettä 2, joka korvataan yhteenvetokuvauksella turvatoimista, jos rekisteröity ei voi saada kopiota tietojen viejältä;

h) luottamuksellisessa tietojenkäsittelyn edelleen alihankintana hän varmistaa, että hän ilmoittaa asiasta etukäteen tietojen viejälle ja saa tietojen viejän kirjallisen suostumuksen;

i) Tietojen käsittelijän tarjoamien käsittelypalvelujen on oltava kohdan 11 mukaisia;

j) he lähettävät viipymättä tietojen viejälle jäljennöksen kaikista näiden ehtojen nojalla tekemiensä tietojenkäsittelysopimuksen alihankintasopimuksista.

Lauseke 6

Vastuullisuus

1. Osapuolet sopivat, että jokainen rekisteröity, jolle on aiheutunut vahinkoa jommankumman osapuolen tai tietojen käsittelijän lausekkeessa 3 tai 11 tarkoitettujen velvoitteiden rikkomisesta, voi saada tietojen viejältä korvausta aiheutuneesta vahingosta.

2. Jos rekisteröity on estynyt nostamasta 1 kohdassa tarkoitettua vahingonkorvauskannetta tietojen viejää vastaan, koska tietojen tuoja tai sen tietojen käsittelijä ei ole noudattanut jotakin lausekkeen 3 tai lausekkeen 11 mukaista velvollisuuttaan, koska tiedot Viejä on fyysisesti kadonnut, lakannut olemasta oikeudellisesti tai tullut maksukyvyttömäksi, tietojen tuoja hyväksyy, että rekisteröity voi tehdä siitä valituksen ikään kuin se olisi tietojen viejä, ellei kaikkia tietojen viejän laillisia velvoitteita ole siirretty sopimuksella tai lain mukaan sen seuraajayhteisölle, jota vastaan ​​rekisteröity voi sitten vedota oikeuksiinsa. Tietojen tuoja ei voi luottaa siihen, että tietojen käsittelijä rikkoo velvollisuuksiaan välttääkseen oman vastuunsa.

3. Jos rekisteröity on estynyt nostamasta 1 ja 2 kohdassa tarkoitettua kannetta tietojen viejää tai tietojen tuojaa vastaan, koska tietojen käsittelijä on rikkonut lausekkeen 3 tai lausekkeen 11 mukaisia ​​velvoitteitaan, koska tietojen viejä ja tietojen tuoja ovat fyysisesti kadonneet, lakanneet olemasta lain mukaan tai tulleet maksukyvyttömäksi, tietojen käsittelijä hyväksyy, että rekisteröity voi tehdä valituksen omasta käsittelytoiminnastaan ​​näiden lausekkeiden mukaisesti ikään kuin se olisi tietojen viejä tai tuoja, ellei kaikki Tietojen viejän tai tuojan oikeudelliset velvoitteet on siirretty sopimuksella tai lain nojalla oikeudelliselle seuraajalle, jota vastaan ​​rekisteröity voi sitten vedota oikeuksiinsa.Tietojen käsittelijän vastuu on rajoitettava sen omiin käsittelytoimiin näiden lausekkeiden mukaisesti.

 

Lauseke 7

Sovittelu ja toimivalta

1. Tietojen tuoja suostuu siihen, että jos rekisteröity vetoaa häntä vastaan ​​lausekkeiden mukaisesti kolmannen osapuolen edunsaajan oikeuteen ja/tai vaatii korvausta aiheutuneesta vahingosta, hän hyväksyy rekisteröidyn päätöksen:

a) saattaa riita riippumattoman henkilön tai tarvittaessa valvontaviranomaisen sovitteluun;

b) saattaa riita sen jäsenvaltion tuomioistuimiin, jossa tietojen viejä sijaitsee.

2. Osapuolet sopivat, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn menettelylliseen tai aineelliseen oikeuteen saada oikaisua muiden kansallisen tai kansainvälisen oikeuden määräysten mukaisesti.

Lauseke 8

Yhteistyö valvontaviranomaisten kanssa

1. Tietojen viejä suostuu tallettamaan kopion tästä sopimuksesta valvontaviranomaiselle, jos tämä niin vaatii tai jos soveltuva tietosuojalaki määrää tällaisesta talletuksesta.

2. Osapuolet sopivat, että valvontaviranomainen voi tehdä tarkastuksia Tietojen maahantuojassa ja missä tahansa tietojen käsittelijässä samassa laajuudessa ja samoin edellytyksin kuin tietojen viejällä sovellettavan tietosuojalainsäädännön mukaisesti.

3. Tietojen tuoja ilmoittaa tietojen viejälle mahdollisimman pian tietojen tuojaa tai tietojen käsittelijää koskevasta lainsäädännöstä, joka estää tietojen tuojan tai minkä tahansa tietojen käsittelijän tarkastuksen kohdan 2 mukaisesti. Tällaisessa tapauksessa Tietojen viejä voi toteuttaa kohdan 5 (b) mukaiset toimenpiteet.

Lauseke 9

Sovellettava laki

Lausekkeita sovelletaan ja niihin sovelletaan sen jäsenvaltion lakia, jossa tietojen viejä sijaitsee.

Kohta 10

Sopimuksen muutos

Osapuolet sitoutuvat olemaan muuttamatta näitä ehtoja. Osapuolet voivat vapaasti sisällyttää muita tarpeellisiksi katsomiaan kaupallisia lausekkeita edellyttäen, että ne eivät ole ristiriidassa näiden lausekkeiden kanssa.

Kohta 11

Myöhempi alihankinta

1. Tietojen tuoja ei tee alihankintana mitään tietojen viejän puolesta suorittamistaan ​​käsittelytoimista näiden lausekkeiden mukaisesti ilman tietojen viejän etukäteen antamaa kirjallista suostumusta. Tietojen tuoja tekee näiden lausekkeiden mukaiset velvoitteensa alihankintana vain tietojen viejän suostumuksella tietojen käsittelijän kanssa tehdyllä kirjallisella sopimuksella, jossa tietojen käsittelijälle asetetaan samat velvoitteet kuin tietojen tuojalle näiden lausekkeiden nojalla. Jos tietojenkäsittelijä ei voi noudattaa kirjallisen sopimuksen mukaisia ​​tietosuojavelvoitteitaan, tietojen tuoja on edelleen täysin vastuussa tietojen viejälle näiden velvoitteiden täyttämisestä.

2. Tietojen tuojan ja tietojen käsittelijän välillä tehtyyn kirjalliseen sopimukseen on sisällyttävä myös lausekkeen 3 mukainen kolmannen osapuolen edunsaajaa koskeva lauseke tapauksiin, joissa rekisteröity on estynyt esittämästä lausekkeessa 6 (1) tarkoitettua vahingonkorvausvaatimusta. ), tietojen viejää tai tuojaa vastaan, koska tietojen viejä tai tuoja on fyysisesti kadonnut, lakannut olemasta oikeudellisesti tai tullut maksukyvyttömäksi ja kaikkia tietojen viejän tai tuojan lakisääteisiä velvoitteita ei ole siirretty sopimuksella tai toiminnalla lain mukaan toiselle seuraajalle. Tietojen käsittelijän vastuu on rajoitettava sen omaan käsittelytoimintaan näiden lausekkeiden mukaisesti.

3. Edellä 1 kohdassa tarkoitetun sopimuksen tietojenkäsittelyn alihankintana tehtäviä tietosuojanäkökohtia koskeviin säännöksiin sovelletaan sen jäsenvaltion lainsäädäntöä, johon tietojen viejä on sijoittautunut.

4. Tietojen viejä pitää luetteloa näiden lausekkeiden nojalla tehdyistä ja Tietojen tuojan 5 kohdan j mukaisesti ilmoittamista tietojenkäsittelysopimuksista alihankintana, joka on päivitettävä vähintään kerran vuodessa. Tämä luettelo on asetettava tietojen viejän tietosuojavalvontaviranomaisen saataville.

Kohta 12

Velvollisuus henkilötietojen käsittelypalvelujen päättymisen jälkeen

1. Osapuolet sopivat, että tietojenkäsittelypalveluiden päätyttyä tietojen tuoja ja tietojen käsittelijä palauttavat tietojen viejälle sopivasti kaikki siirretyt henkilötiedot ja niiden kopiot tietojen viejälle tai tuhoavat kaikki tällaiset tiedot ja toimittavat todisteet tuhoamisesta tietojen viejälle, ellei tietojen tuojaa koskeva lainsäädäntö estä sitä palauttamasta tai tuhoamasta siirrettyjä henkilötietoja kokonaan tai osittain. Tällöin Tietojen maahantuoja takaa, että se varmistaa siirrettyjen henkilötietojen luottamuksellisuuden ja ettei se enää käsittele tietoja aktiivisesti.

2. Tietojen tuojan ja tietojen käsittelijän on varmistettava, että tietojen viejän ja/tai valvontaviranomaisen pyynnöstä he alistavat tietojenkäsittelyvälineensä 1 kohdassa tarkoitettujen toimenpiteiden tarkistamiseen.

 

 

 

 

Osan 2 liite 1.1

Siirron tiedot

 

 

Tietojen viejä

Tietojen viejä on Sopimussopimuksessa määritelty asiakas.

 

Tietojen tuoja

Tietojen tuoja on POSTCODEZIP ja se on määrätty käsittelemään tietoja ja tarjoamaan palveluita tietojen viejälle.

 

Tietojen kohteet

Siirretyt henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä:

â˜?? yleisessä luettelossa luetellut puhelinliittymät

â˜' Muut, mukaan lukien:

 

Tietojen luokat

Siirrettävät henkilötiedot koskevat seuraavia tietoluokkia:

 

Tietojen viejän rekisteröityjen henkilötietojen luokat erityisesti,

�? Koko nimi

â˜' Postiosoite

â˜?? Yhteystiedot (sähköposti, puhelin, IP-osoite jne.)

�? Tiedot puhelintilaajaa koskevista markkinointitoimista

â˜' Muut, mukaan lukien asunnon tyyppi, tulot ja kaupungin anonyymisti keski-ikä

 

Erityiset tietoluokat (tarvittaessa)

Siirrettävät henkilötiedot koskevat seuraavia erityisiä tietoluokkia:

â˜' Erityisten tietoluokkien siirtoa ei ole suunniteltu

â˜?? Rotu tai etninen alkuperä

�? Uskonnolliset tai filosofiset uskomukset

â˜?? Ammattiliiton jäsenyys

â˜?? Poliittiset näkemykset

�? Geneettinen tieto

�? Biometriset tiedot

â˜?? Tietoja seksuaalisesta suuntautumisesta tai seksuaalisesta elämästä

�? Terveystiedot

 

Käsittelytoiminnot

Siirrettyihin henkilötietoihin sovelletaan seuraavia peruskäsittelytoimia:

 

  •  
    • •  Käsittelyn tarkoitus

Tietojen viejän puolesta suoritettu käsittely perustuu erityisesti seuraaviin aiheisiin:

â˜' Tietojen viejän tarjoamien tuotteiden tai palveluiden ottaminen hallintaan

â˜' Tuotteen tai palvelun tarjous, jota soitettava voi pyytää

â˜' Soitetuilta henkilöiltä otetut tilaukset ja tilausten jatkokäsittely

â˜' Tutki kyselylomakkeita ja analyyseja

â˜' Puhelinmarkkinointi

�? Muut, mukaan lukien:

 

  •  
    • •  Käsittelyn luonne ja tarkoitus

Tietojen tuoja käsittelee rekisteröityjen henkilötietoja Tietojen viejän puolesta tarjotakseen seuraavia palveluita, ja erityisesti:

  • â˜' Automaattinen lomakkeen täyttö
  • â˜' Osoitteiden vahvistuslomake

â˜' Myynti ja markkinointi

â˜' Muut, mukaan lukien kaupungintalojen ja poliittisten puolueiden tietokantojen päivittäminen

 

  •  
    • •  Palvelujen tuottaminen ja palveluntarjoajien palkkaaminen

 

POSTCODEZIP pääasiassa yhdistää, keskittää ja tarjoaa palveluita Data Exporterille. Nimetyn palveluntarjoajan tarjoamat palvelut voivat olla jäsennelty (muun muassa tarpeen mukaan) seuraavien oheispalvelujen ympärille: (i) sovellusten, työkalujen, järjestelmien ja IT-infrastruktuurin tarjoaminen käytettyihin tietojenkäsittelykeskuksiin liittyen, jotta voidaan tarjota ja tukemaan palveluita, mukaan lukien rekisteröityjen henkilötietojen käsittely edellä kuvatulla tavalla tällaisten sovellusten, työkalujen ja järjestelmien kautta, (ii) IT-tuen, ylläpidon ja muiden tällaisiin sovelluksiin, työkaluihin ja järjestelmiin liittyvien palvelujen tarjoaminen ja IT-infrastruktuuri, mukaan lukien mahdollinen pääsy tällaisiin sovelluksiin, työkaluihin ja järjestelmiin tallennettuihin henkilötietoihin, ja (iii) tietosuojapalvelujen tarjoaminen, suojauksen seuranta ja tapauksiin reagointipalvelut,mukaan lukien mahdollinen pääsy henkilötietoihin tällaisia ​​suojapalveluja tarjottaessa. POSTCODEZIP voi käyttää tietojen käsittelijöitä alla määritetyllä tavalla tarjoamaan palveluja, mukaan lukien oheispalvelut.

 

  •  
    • • Ulkopuoliset kolmannen osapuolen palveluntarjoajat tietojenkäsittelyn alikokonaisuuksina

 

POSTCODEZIP ottaa käyttöön ulkoisia ja kolmansia osapuolia palvelevia palveluntarjoajia, jotka eivät ole POSTCODEZIP:n tytäryhtiöitä, tukemaan palvelujen tarjoamista tietojen viejälle. Tietojen viejä hyväksyy tällaiset ulkopuoliset kolmannen osapuolen palveluntarjoajat tietojenkäsittelyyn määrätyiksi alikokonaisuuksiksi.

 

Jos tietojenkäsittelyyn osallistuva alayksikkö sijaitsee EU:n/ETA:n ulkopuolella, maassa, jonka tietosuojan ei katsota olevan Euroopan komission päätöksen mukaan riittävää, tietojen tuoja ryhtyy toimenpiteisiin riittävän tietosuojan tason saavuttamiseksi. tietosuoja GDPR:n ja osan 1 kohdan 3.4 (iv) mukaisesti.

 

 

Liite 2, osa 2

Tekniset ja organisatoriset suojatoimenpiteet

 

Tietojen tuoja toteuttaa seuraavat tietojen viejän vahvistamat tekniset ja organisatoriset suojatoimenpiteet varmistaakseen yksilöiden oikeuksien ja vapauksien asianmukaisen turvallisuustason riskeistä riippuen. Asianomaisen suojan tasoa arvioidessaan Tietojen viejä on huomioinut erityisesti käsittelyyn liittyvät riskit, mukaan lukien vahingossa tapahtuva tai laiton tuhoutuminen, muuttaminen, luvaton luovuttaminen tai pääsy siirrettyihin, tallennettuihin tai muuten käsiteltyihin henkilötietoihin. Selvennyksenä: Nämä tekniset ja organisatoriset suojatoimenpiteet eivät koske tietojen viejän tarjoamia sovelluksia, työkaluja, järjestelmiä ja/tai IT-infrastruktuuria.

1 Yleiset tekniset ja organisatoriset suojatoimenpiteet

1.1 Yleiset tiedot ja tietosuojastrategiat

Yleisten tietosuojastrategioiden noudattamiseksi on suoritettava seuraavat vaiheet:

  • a) toteuttaa toimenpiteitä teknistä ja organisatorista suojaa koskevien toimien arvioimiseksi;
  • b) tarjota koulutusta työntekijöiden tietoisuuden lisäämiseksi;
  • c) oltava kuvaus kyseisistä järjestelmistä ja antaa työntekijöille pääsy;
  • d) luomaan muodollisen dokumentointiprosessin aina, kun järjestelmiä otetaan käyttöön tai muutetaan;
  • e) organisaatiorakenteen, prosessien, vastuiden ja vastaavien arvioiden dokumentointi;

1.2 Tietosuojan järjestäminen

Seuraaviin toimenpiteisiin tulisi ryhtyä tietosuojatoimien koordinoimiseksi:

  • a) määritellyt vastuut tietojen ja tietojen suojaamisesta (esim. tietosuojakäytäntöjen kautta);
  • b) tarvittava asiantuntemus saatavilla olevien tietojen ja tietojen suojaamiseksi;
  • c) kaikki työntekijät ovat sitoutuneet varmistamaan, että henkilötiedot pidetään luottamuksellisina, ja heille on kerrottu tämän sitoumuksen rikkomisen mahdollisista seurauksista.

1.3 Kulunvalvonta käsittelyalueille

Seuraaviin toimenpiteisiin on ryhdyttävä, jotta asiattomat henkilöt eivät pääse käsiksi tietojenkäsittelyjärjestelmiin (erityisesti ohjelmistoihin ja laitteistoihin), kun henkilötietoja käsitellään, tallennetaan tai siirretään:

  • a) perustaa suojattuja alueita;
  • b) suojata ja rajoittaa pääsyä tietojenkäsittelyjärjestelmiin;
  • c) vahvistaa työntekijöille ja kolmansille osapuolille pääsyluvat, mukaan lukien vastaavat asiakirjat;
  • d) kaikki pääsy tietojenkäsittelykeskuksiin, joissa henkilötietoja säilytetään, on kirjattava.

1.4 Tietojenkäsittelyjärjestelmien kulunvalvonta

Seuraavat toimenpiteet on toteutettava, jotta estetään luvaton pääsy tietojenkäsittelyjärjestelmiin:

  • a) käyttäjien todennuskäytännöt ja -menettelyt;
  • b) salasanojen käyttö kaikissa tietokonejärjestelmissä;
  • c) verkkoon pääsy edellyttää monitekijätodennusta, ja se myönnetään asianomaiselle henkilölle hänen velvollisuuksiensa mukaisesti ja luvalla;
  • d) pääsy tiettyihin toimintoihin perustuu työtoimintoihin ja/tai attribuutteihin, jotka on yksilöllisesti määritetty käyttäjätilille;
  • e) henkilötietoihin liittyvät käyttöoikeudet tarkistetaan säännöllisesti;
  • f) käyttöoikeuksien muutokset pidetään ajan tasalla.

1.5 Tiettyjen tietojenkäsittelyjärjestelmien käyttöalueiden pääsyn valvonta

Seuraavilla toimenpiteillä on ryhdyttävä varmistamaan, että tietojenkäsittelyjärjestelmään oikeutetut henkilöt pääsevät käsiksi vain omien tehtäviensä ja käyttöoikeuksiensa puitteissa ja että henkilötietoja ei voida lukea, kopioida, muuttaa tai poistaa ilman lupaa:

  1. 1. 
    1. a) politiikkaa, ohjeita ja työntekijöiden koulutusta, jotka koskevat heidän jokaisen velvollisuuksia luottamuksellisuuden suhteen, oikeuksia tutustua henkilötietoihin ja henkilötietojen käsittelyn laajuutta;
  • b) kurinpidolliset toimenpiteet henkilöitä vastaan, jotka pääsevät käsiksi henkilötietoihin ilman lupaa;
  • c) pääsy henkilötietoihin myönnetään vain valtuutetuille henkilöille tietotarpeen perusteella;
  • d) ylläpitää luetteloa järjestelmänvalvojista ja toteuttaa tarvittavat toimenpiteet järjestelmänvalvojien valvomiseksi;
  • e) olemaan kopioimatta tai jäljentämättä henkilötietoja missään tallennusjärjestelmässä, jotta asiattomat henkilöt voivat poistaa tietojen luovuttajan tiedot;
  • f) valvottu ja dokumentoitu tietojen poistaminen tai tuhoaminen;
  • g) tallentaa turvallisesti kaikki henkilötiedot, jotka on säilytettävä oikeudellisista tai lainsäädännöllisistä syistä (esim. tietojen säilytysvelvollisuus), ja vain niin kauan kuin laki vaatii.

1.6 Vaihteiston ohjaus

Seuraaviin toimenpiteisiin on ryhdyttävä, jotta estetään henkilötietojen lukeminen, kopioiminen, muuttaminen tai poistaminen luvattomien kolmansien osapuolten toimesta tiedontallennuslaitteiden siirron tai kuljetuksen aikana (riippuen suoritetusta henkilötietojen käsittelystä):

  1. 1. 
    1. a) palomuurien käyttö;
  • b) välttää henkilötietojen tallentamista mobiililaitteille kuljetustarkoituksiin tai laitteiden salaamista;
  • c) käyttää kannettavissa tietokoneissa ja muissa mobiililaitteissa vasta, kun salaussuojaus on aktivoitu;
  • d) henkilötietojen siirtojen kirjaaminen.

1.7 Tietojen syöttämisen valvonta

Seuraavilla toimenpiteillä on ryhdyttävä varmistamaan, että voidaan tarkistaa ja määrittää, onko henkilötietoja syötetty tai poistettu tietojenkäsittelyjärjestelmistä ja kuka on suorittanut:

  1. 1. 
    1. a) käytäntö tallennettujen tietojen lukemiseen, muuttamiseen ja poistamiseen;
  • b) suojaustoimenpiteet, jotka koskevat tallennettujen tietojen lukemista, muuttamista ja poistamista.

1.8 Työnohjaus

Kun kyseessä on henkilötietojen delegoitu käsittely, on ryhdyttävä seuraaviin toimenpiteisiin sen varmistamiseksi, että näitä tietoja käsitellään tietosuojavaltuutetun ohjeiden mukaisesti:

  1. 1. 
    1. a) tietojenkäsittelyyn määrätyt yhteisöt tai alayksiköt, jotka on valittu huolellisesti (rekisterinpitäjän puolesta henkilötietoja käsittelevät palveluntarjoajat);
  • b) henkilötietojen käsittelyn laajuutta koskevat ohjeet tietojenkäsittelyyn määrätyille työntekijöille, yhteisöille tai aliyhteisöille;
  • c) tietojenkäsittelyyn osoitettujen yksiköiden tai alayksiköiden kanssa sovitut tilintarkastusoikeudet;
  • d) voimassa olevat sopimukset henkilöiden tai alayksiköiden kanssa, jotka on määrätty käsittelemään tietoja.

1.9 Erottaminen käsittelystä muihin tarkoituksiin

Seuraavilla toimenpiteillä on varmistettava, että muihin tarkoituksiin kerätyt tiedot voidaan käsitellä erikseen:

  1. 1. 
    1. a) erillinen pääsy henkilötietoihin käyttäjien olemassa olevien oikeuksien mukaisesti;
  • b) rajapinnat, eräkäsittely ja raportointi ovat muita tarkoituksia ja toimintoja varten, jotta muihin tarkoituksiin kerätyt tiedot voidaan käsitellä erikseen.

1.10 Pseudonymisointi

Henkilötietojen pseudonyymisoinnissa on ryhdyttävä seuraaviin toimenpiteisiin:

  1. 1. 
    1. a) Jos tietojen viejä tilaa tietyn käsittelytoimenpiteen tai jos Tietojen tuoja katsoo sen tarpeelliseksi tiettyjä käsittelytoimia koskevien voimassa olevien tietosuojalakien mukaisesti, henkilötietojen käsittely suoritetaan siten, että tietoja ei voida enää liittää tiettyyn henkilöön ilman lisätietojen käyttöä. Nämä lisätiedot säilytetään erikseen;
  • b) pseudonimisointitekniikoiden käyttö, mukaan lukien jakoluetteloiden satunnaistaminen; arvojen luominen terävien muotojen muodossa.

1.11 Salaus

Seuraavat vaiheet tulee suorittaa henkilötietojen salaamiseksi salausta tukevissa sovelluksissa ja lähetyksissä:

  1.  
    1. a) salaustekniikoiden käyttö;
  • b) salauksenhallinnan perustaminen valtuutettujen salaustekniikoiden tukemiseksi;
  • c) kryptografian käytön tukeminen salausavainten luomiseen, muokkaamiseen, kumoamiseen, tuhoamiseen, jakeluun, varmentamiseen, tallentamiseen, kaappaamiseen, käyttämiseen ja arkistointiin liittyvien menettelyjen ja protokollien avulla suojatakseen niitä luvattomalta muuttamiselta ja paljastamiselta.

1.12 Tietojenkäsittelyjärjestelmien ja -palvelujen täydellisyys

Tietojenkäsittelyjärjestelmien ja -palvelujen täydellisyyden varmistamiseksi on toteutettava seuraavat toimenpiteet:

  1. 1. a) tietojenkäsittelyjärjestelmien suojaaminen manipulaatiota tai tuhoamista vastaan ​​asianmukaisin keinoin (esim. virustorjuntaohjelmistot, tietojen katoamisen estoohjelmistot ja ohjelmistot haittaohjelmia vastaan, ohjelmistokorjaukset, palomuurit ja hallitun työpöydän suojaus);
  • b) kieltää tietojenkäsittelyjärjestelmille tai -palveluille haitallisten palvelujen tai ohjelmistojen asentaminen tai henkilötietojen käsittely;
  • c) verkon tunkeutumisen havaitsemis- ja estojärjestelmän käyttö itse verkon rakenteessa.

1.13 Tietojenkäsittelyjärjestelmien ja -palvelujen saatavuus sekä mahdollisuus palauttaa henkilötietojen käyttöoikeus ja käyttö materiaalien tai teknisen tapahtuman sattuessa

Seuraaviin toimenpiteisiin on ryhdyttävä, jotta varmistetaan tietojenkäsittelyjärjestelmien saatavuus sekä voidaan nopeasti palauttaa henkilötietojen saatavuus ja pääsy aineellisen tai teknisen vaaratilanteen sattuessa (erityisesti varmistamalla, että henkilötiedot on suojattu vahingossa tapahtuvalta tuhoutumiselta tai katoamiselta):

  • a) hallita varmuuskopioiden säilyttämistä ja kadonneiden tai poistettujen tietojen palauttamista;
  • b) infrastruktuurin redundanssin ja suorituskyvyn testaus;
  • c) tietokoneresurssien fyysinen suojaus;
  • d) työkalujen käyttö sisäisen verkon tilan ja saatavuuden seuraamiseksi;
  • e) vaaratilanteiden hallintamenettelyä ohjaavat vaaratilanteiden raportointi- ja reagointikäytännöt sekä näiden käytäntöjen noudattamisen toistaminen osana säännöllistä koulutusta;
  • f) varmuuskopiot (joskus ulkopuolelta) järjestelmän palauttamiseksi, jotta se voi jälleen suorittaa toimintojaan;
  • g) toiminnan jatkuvuus/katastrofien palautussuunnitelmat

1.14 Tietojenkäsittelyjärjestelmien ja -palvelujen joustavuus

Tietojenkäsittelyjärjestelmien ja -palvelujen kestävyyden varmistamiseksi on toteutettava seuraavat toimenpiteet:

  • a) järjestelmät ja konfiguroitu harmonisesti hyväksyttyjä turvaparametreja käyttäen;
  • b) verkon redundanssi;
  • c) kriittisten järjestelmien suojaus.

1.15 Menettely teknisten ja organisatoristen toimenpiteiden säännölliseen testaamiseen, arvioimiseen ja tehokkuuden arvioimiseksi tietojenkäsittelyn turvallisuuden varmistamiseksi

Menettely tietojenkäsittelyn suojaamiseen liittyvien teknisten ja organisatoristen toimenpiteiden säännölliseen testaamiseen, arviointiin ja tehokkuuden arvioimiseen.

  • a) toteutettava tarvittavat toimenpiteet riskien ja lieventämisstrategioiden arvioimiseksi;
  • b) IT-osaston palveluanalyysikokoukset ajankohtaisten asioiden käsittelemiseksi;
  • c) toiminnan jatkuvuuden/katastrofien palautumissuunnitelmat päivitetään säännöllisesti.

 

Osa 3

Osapuolten allekirjoitukset ja luettelo tietojen tuojista

 

Kun täytät online-tilauslomakkeen ja vahvistat sen rastittamalla yleiset käyttöehdot hyväksyvän ruudun, syntyy asiakkaan ja POSTCODEZIP:n välistä suhdetta koskeva sopimus.

Maksun lähettäminen POSTCODEZIP:lle katsotaan, että sopimus on sovittu ja tehty.

Huomaa: Tämä teksti on käännetty ranskasta. Alkuperäinen ranskankielinen versio, joka on voimassa ja oikeudellisesti rajoittava, on saatavilla  täältä .