Tillæg til databehandling

Dette tillæg skaber en integreret del af kontrakten og deltages i af:

(i) Kunden ("Dataeksportør")
(ii) IQUALIF ("Dataimportør")

Hver er en "Part" og typisk "Parter".

Indledning

HVOR dataimportøren udbyder profesionelle softwaretjenester, computer og relaterede tjenester (som f.eks. browsere med avanceret søgefunktioner);

HVOR i følge kontrakten, dataimportøren har indgået en aftale om en levere til dataeksportøren de tjenester specificeret i kontrakten ("Tjenester");

HVOR, ved levering af tjenesterne, Dataimportøren modtager eller drager fordel af adgangen til Dataeksportørens information eller informationen af andre personer der har et (potentielt) forhold med Dataeksportøren, som information der er kvalificeret som personlig data med den betydning af regulation (EU) 2016/679 af det Europæiske Parlament og af Rådet fra den 27. April 2016 for beskyttelse af individer i henhold til behandlingen af personlige data og den frie bevægelse af sådan data ("GDPR") og andre databeskyttelses love.

HVOR dette tillæg indeholder de regler og forhold gældende til indsamlingen, behandlingen, og brug af sådan personlig data af Dataimportøren i sin kapacitet som den autoriseret databehandlingsagent af Dataeksportøren, for at sikre at parterne følger gældende data beskyttelse lov.

DERFOR, og for at gøre det muligt for paterne at fortsætte deres forhold lovligt, skal Parterne have konkluderet dette tillæg som følgende:

Part 1

1. Struktur af dokumentet og definitioner

1.1 Struktur

Dette tillæg indholder forskellige dele som følgende:

Part 1:	indeholder generelle retningslinjer, f.eks. i forhold til definitionerne brugt i dette tillæg, i følge med lokale love, tidspunkt og afslutning.
Part 2:	indeholder hoveddelen af den uændrende standard kontraktuelle klausulsdokument
Tillæg 1.1 af Part 2:	indeholder detaljer om behandelnde operationer leveret af dataimportøren til dataeksportøren som den autoriseret databehandlingsagent (inkluderne behandlingen, naturen og formål af behandlingen, typen af personlig data, og kategorierne af dataemnerne) under dette tillæg
Tillæg 2 af Part 2:	inderholder en beskrivelse af dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger, hvilke er gældende i forbindelse med alle behandlingsaktiviteter beskrevet i tillæg 1.1 af part 2
Part 3:	Indeholder underskrifter af parterne til at være bundet af dette tillæg og identificere hver dataimportør

1.2 Terminologi and definitioner

For formålene af dette tillæg, terminologien og definitionerne brugt af GDPR er gældende (I hoveddelen af standard kontraktuelle klausulsdokument i part 2, hvor defineret termer ikke er kapitaliseret).

"Medlemsstat"	betyder en land tilhørende den europæiske union eller det europæiske økonomiske område
"Specielle kategorier af (personlig) data"	referer til personlig data der viser race eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske tro, eller handelsunion medlemskab, og genetisk data, biometrisk data, hvis behandlet med det formål at unikt identificere en person, data vedrørende sundhed, data vedrørende en persons sex liv eller seksuelle orientering.
"Standard kontraktuelle klausuler"	betyder den standard kontraktuelle klausuler til overføring af personlig ata af behandlingsagenter etableret i tredjeparts lande, under kommisionens beslutning 2010/87/EU d. 5. Februar 2010, som blev sat i kræft af kommisionens implementerende beslutning (EU) 2016/22097 d. 16. December 2016
“Data behandler”	betyder enhver behandlende agent, lokaliseret indenfor eller udenfor EU/EEA, som er enig med at modtage fra dataimportøren eller hvilken som helst anden behandler af dataimportøren, personlig data med det eksklusive formål at behandle aktiviteter som skal udføres af dataeksportøren efter overførslen i henhold med dataeksportørens instruktioner, de vilkår af dette tillæg og kontrakten med dataimpo

2. Forpligtelser af dataskportøren

2.1 Dataeksportøren har en forpligtelse til at forsikre at følge alle gældende obligationer under GDPR og hvilken som helst anden gældende databeskyttelseslov der gælder til Dataeksportøren og for at vise sådanna overholdelser som krævet af Artikel 5 (2) af GDPR. Dataeksportøren garanterer at Dataimportøren har fået samtykke før af dataemnerne i henhold til Artikel 6 (a) af GDPR og har fulgt dens obligationer om at informere dataemnerne i henhold med artikel 13 of 14 af GDPR.

2.2 Dataeksportøren skal give Dataimportøren de respektive filer af behandlingen af aktiviteter i følge Artikel 30 (1) af GDPR relateret tjenester uner dette tillæg, til den længde der er nødvendig for at Dataimporøtren kan følge obligationen under Artikel 30 (2) af GDPR.

2.3 Dataeksportøren skal give en databeskyttelses officer eller repræsentativ til den længde nødvendig af den gældende databeskyttelseslov. Dataeksportøren er obligeret til at give de kontaktdetaljer af databeskyttelsesagenten eller repræsentativ, hvis nogen, til dataimportøren.

2.4. Dataeksportøren bekræfter før færdiggørelsen af behandlingen, ved at acceptere dette tilløg at Dataimportørens tekniske og organisatoriske sikkerhedsforanstaltninger som beskrevet i tillæg 2 til part 2 er passende og rigelige til at beskytte rettighederne af dataemnet og bekræfter at dataimportøren giver rigeligt beskyttelse med hensyn til dette.

3. Overensstemmelse med lokal lov

For at møde kravene til implementeringen af behandlingsagenter efter Artikel 28 af GDPR, er de følgende krav gældende:

3.1 Instruktioner

(i) Dataeksportøren instruktere Dataimportøren til at behandle data kun på vegne af Dataeksportøren. Dataeksportørens instruktioner givet i dette tillæg og kontrakten. Dataeksportøren har obligationen til at sikre at alle instruktioner var givet til dataimportøren der følger med gældende databeskyttelseslove. Dataimportøren skal behandle personlig data kun i henhold med instruktionerne givet af Dataeksportøren med mindre andet er krævet af den Europæiske Union eller loven af en medlemsstat. (i det sidste tilfælde, Part 1 klausul 3.2 (iv) (c) gælder).
(ii) Alle andre instruktioner der får udover instruktionerne i dette tillæg eller i kontrakten skal inkluderes i emnet af dette tillæg og kontrakten. Hvis implementeringen af denne ekstra instruktion involvere omkostninger for Dataimporøtren Dataimportøren skal give sådan informere Dataeksportøren om sådanne udgifter og give en forklaring før implementeringen af denne instruktion. Selv efter Dataeksportøren har bekræftet godtagelsen af disse omkostninger for implementeringen af instruktionen, Dataimportøren skal implementere denne ekstra instruktion. Dataeksportøren skal give ekstra instruktioner i skrift medmindre hurtighed eller ander specifikke omstændigheder kræver en anden form (f.eks. mundtlig, elektronisk). Instruktionerne er på en måde godtaget i skrift for at være bekræftet i skrift og uden forsinkelser af Dataeksportøren.
1. Medmindre Dataeksportøren ikke kan bære ud vedligeholdelse, glemt, eller restriktionen af personlig data selv, instruktionerne kan også relatere til rectification, slettelse, og/eller restriktionen af personlig data som beskrevet i PArt 1 Klausul 3.3
2. Dataimportøren skal med det samme informere dataeksportøren om at det bare en en holdning, en instruktion der bryder GDPR eller andre gældende databskyttelse i fordele af den Europæiske union eller en medlemsstat (bestridende instruktioner). Hvis dataimportøren tror at en instruktion gør krav på GDPR eller andre gældende databeskyttelses provisioner af den europæiske union eller en medlemsstat. Dataimportøren er ikke obligeret til at følge den bestridende instruktion. Hvis dataeksportøren ikke er obligeret til at følge den bestriende instruktion. Hvis dataeksportøren tror på at en instruktion ikke gør krav på gældende databeskyttelse. provisioner af den europæiske instruktion eller en medlemsstat. Dataimportøren er ikke krævet at du følger den bestriende instruktion. Hvis dataeksportøren bekræfter instruktionerne fået gennem et brever dette ikke længere vigtigt fra dataimportøren og godkender dens ansvarlighed til den anfægtende instruktioner.Hvis dataeksportøren bekræfter at den ufordrede instruktioner ved betaling af information fra Dataimportøren og godkender dens ansvarlighed. Dataimportøren bekræfter de forgitede instruktioner medmindre de udførte instruktioner er relateret til (i) implementeringen af tekniske og organisatoriske foranstaltninger, (ii) rettighederne af dataemner eller (iii) deltagelsen af databehandlere. I tilfælde (i) til (iii) dataimportøren har kontakt med en kompetent spuervisors autoritet til at have udførte instruktioner lovligt evalueret af såan autoritet. Hvis supervisor kalder udfordringen instruktion til at være lovlig, dataimportøren skal implementeres den følgende instruktion. PArt 1 Klausul 3.1 (ii) skal forblive gældende.

3.2 Obligationer af dataimportøren

(i) Dataimportøren skal sikre at perseroner autoriseret af Dataimportøren til behandling af personlige data på vegne af dataeksporteren, specielt ansatte af Dataimportøren og ansatte af hvilken som helst under-kontrakt, har undertaget at observere fortroligt eller er emne til en passende krav af fortrolighed, og at sådanne personer som har adgang til personlig data behandling i henhed med Dataeksportørens instruktioner.
(ii) Dataimportøren skal implementere de tekniske og organisatoriske sikkerhedsforanstaltninger som beskrevet i tillæg 2 til part 2 før bhandling af personlig data på vegne af Data eksport. Dataimportøren må ændre de tekniske og organisatoriske sikkerhedsforanstaltninger fra tid til tid hvis de ikke giver mindre beskyttelse end dem beskrevet i tillæg 2 til part 2.
(iii) Dataimportøren skal gøre det tilgeængeligt til dataeksportøren, ved forespørgsel af Dataeksportøren, informartion for at vise overensstemmele med Dataimportørens obligationer under dette tillæg. Paterne er enige om at denne informations obligation er mødt ved at give Dataeksportøren med en reviderings rapport (der dækker sikkerhed af principper, system tilgængelighed og konfidentalitet) ("Reviderings rapport"). Hvis en ekstra reviderings rapport aktiviteter er lovligt krævet, Dataeksportøren må forespørge at inspektioner skal lavet af Dataeksportøren eller ander konfidential aftale med Dataimportøren til Dataimportørens ordenlige tilfredshed ("Revidering"). Denne revidering er lavet i henhold til fælde tilstande: (i) før formel skrevet accept af Dataimportøren, og (ii) Dataimportøren. Dataeksportøren skal lave en reviderings rapport der summere resultater og observationer af PÅ-siden revidering ("På siden Reviderings Rapport"). På-siden Revderings Rapporter, og Reviderings Rappporter, er konfidentielle information af Dataimportøren og må ikke vises til tredjeparter medmindre det er krævet af gældende databeskytteleses love eller i følge med samtykke af Dataimportøren.
(iv) Dataimportøren har en obligation til at notificere Dataeksportøren uden for sen forsinkelse:
1. a. vedrørende hvilken som helst lovligt bindende forespørgsel til at vise personlig data af en lov håndhævende autoritet, medmindre andre forehindrende, så som et forbud under kiminel lov for at beskytte fortroligheden af en lov håndhævende undersøgelse
2. b. vedrøreende en klage eller forespørgsel modtaget direkte fra et dataemne (f.eks. vedrørende adgang, berigtigelse, slettelse, begrænsing af behandling, data forflyttelse, indvending til databenhandling, automatiseret beslutningstagen) uden tilsvar til denne forespørgsel, medmindre Dataimportøren er blevet autoriseret til at gøre det
3. c. Hvis Dataimportøren eller Databehandleren er obligeret, under loven af den Europæiske Union eller Medlemsstat til hvilken Dataimportøren eller Databehandlere er emne, to at behande personlig data udover Dataeksportørens instruktioner, før udførelse af sådan bhandling uder instruktionerne, medmindre love af den Europæiske Union eller Medlemstat forhindre sådan behandling på grund af agørende offentlig interesse formål, i hvilket tilfælde notifikationer til Dataeksportøren skal specificere de lovlige krav under loven af den Europæiske Union eller medlemstat, eller
4. d. hvis Dataimporøtren realisere en overtrædelse af personlig ata, bare fordi den selv eller dens underkontrakt, som vil have en effekt på Dataeksportørens personlige data dækket af den nuværende kontrakt, i hvilket tilfælde Dataimportøren skal hjælpe Dataeksportørens med dens obligationer, via den gældende databeskyttelseslov, for at informere dataemner og, hvor gældende, tilsynsførende autoriteter ved at give informationen når mulig, i henhold med artikel 33 (3) af GDPR.
5. (v) Ved forespørgsel af Dataeksportøren, Dataimportøren skal hjælpe Dataeksportøren med sine obligationer for at foretage databeskyttelse der har en impakt vurdering der kan blive krævet af Artikel 35 af GDPR og en førhenværende konsultation der kan blive krævet af Artikel 36 af GDPR verørende tjenester givet af Dataimportøren til Dataeksportøren under dette tillæg, hvis nødvendig og information til Dataeksportøren. Dataimportøren vil ikke kunne blive påkrævet til at levere sådan hjælp hvis Dataeksportøren ikke kan udfylde sine obligationer på andre måder. Dataimportøren vil rådgive Dataeskporøtren ved pris af sådan hjælp. Så snart af Dataeksportøren har bekræftet at den kan overkomme den pris, Dataimportøren vil give Dataeksportøren denne hjælp.
6. (vi) I slutningen af provisionen af disse tjenester, Dataeksportøren kan forespørge tilbagegivelsen af personlige data behandlet af Dataimportøren under dette tillæg indenfor en måned efter tjenesterne. Medmindre lovgivning af medlemstaten eller af den Europæiske Union kræver at Dataomportøren gemmer eller beholder sådan personlig data, Dataimportøren vil slette alt sådan personlig data eller ikke-personlig data efter den ene måned periode, uanset om det er givet tilbage til Dataeksportørens forespørgsel eller ikke.

3.3 Rettigheder for personer det vedrører

1. (i) Dataeksportøren håndtere og svare til forespørgsler lavet af dataemner. Dataimportøren er ikke bundet til at svare på nogle direkte dataemner.
2. (ii) Hvis dataeksportøren har brug for dataimportørens hjælp til at behandle og svare på den registreredes anmodninger, skal dataeksportøren udstede en yderligere instruktion i overensstemmelse med afsnit 3.1 (ii) i del 1. Dataimportøren vil hjælpe dataeksportøren med følgende passende og tekniske organisatoriske foranstaltninger til at svare på anmodningerne om udøvelse af de registreredes rettigheder som beskrevet i kapitel III i GDPR som følger:
3. a. Med hensyn til anmodninger om information vil dataimportøren kun give dataeksportøren de oplysninger, der kræves i artikel 13 og 14 i PGRD, som den måtte have til rådighed, hvis dataeksportøren ikke kan finde dem alene.
4. b. Med hensyn til anmodninger om adgang (artikel 15 i GDPR) vil dataimportøren kun give dataeksportøren de oplysninger, der formodes at blive leveret til en registreret til den nævnte anmodning om adgang, som den måtte have til rådighed, hvis sidstnævnte kan ikke finde det alene.
5. c. Med hensyn til anmodninger om berigtigelse (artikel 16 i GDPR), anmodninger om sletning (artikel 17 i GDPR), begrænsning af anmodninger om behandling (artikel 18 i GDPR) eller anmodninger om bærbarhed (artikel 20 i GDPR) og kun hvis dataeksportøren ikke selv kan rette eller slette, begrænse eller videregive personoplysningerne til en anden tredjepart, vil dataimportøren give dataeksportøren mulighed for at rette eller slette, begrænse eller videregive de pågældende personoplysninger til den anden tredjepart, eller hvis dette ikke er muligt, vil det yde hjælp til at rette eller slette, begrænse eller videregive de pågældende personoplysninger til den anden tredjepart.
6. d. Med hensyn til underretning om berigtigelse, sletning eller begrænsning af behandling (artikel 19 i GDPR) vil dataimportøren bistå dataeksportøren ved at underrette alle modtagere af personoplysninger, der er involveret af dataimportøren som behandlere, hvis dataeksportøren anmoder om det og hvis dataeksportøren ikke kan afhjælpe situationen alene.
7. e. Med hensyn til retten til indsigelse, der udøves af en registreret (artikel 21 og 22 i GDPR), vil dataeksportøren afgøre, om oppositionen er legitim, og hvordan den skal håndteres.
8. (iii) Dataimportørens bistandsforpligtelser er begrænset til personoplysninger, der behandles inden for dens infrastruktur (f.eks. databaser, systemer, applikationer, der ejes eller leveres af dataimportøren).
9. (iv) Dataeksportøren skal afgøre, om en registreret kan udøve de registreredes rettigheder som beskrevet i afsnit 3.1 i denne del 1 og skal informere dataimportøren om, i hvilket omfang den assistance, der er specificeret i paragraf 3.3 (ii), ( iii) i del 1 er nødvendig.
10. (v) Hvis dataeksportøren anmoder om supplerende eller ændrede tekniske og organisatoriske foranstaltninger for at imødekomme de registreredes rettigheder, der går ud over den bistand, der ydes af dataimportøren i henhold til afsnit 3.3 (ii), (iii) i del 1, er dataene Importøren skal informere dataeksportøren om omkostningerne ved at gennemføre sådanne yderligere eller ændrede tekniske og organisatoriske foranstaltninger. Så snart dataeksportøren har bekræftet, at den kan afholde disse omkostninger, skal dataimportøren gennemføre sådanne yderligere eller modificerede tekniske og organisatoriske foranstaltninger for at hjælpe dataeksportøren med at svare på dataindsamlingens anmodninger.
11. (vi) Uden at begrænse anvendelsesområdet for afsnit 3.3 (v) i del 1 er dataeksportøren forpligtet til at godtgøre dataimportøren for sine rimelige udgifter, der er afholdt i forbindelse med at reagere på de registreredes anmodninger.

3.4 Underbehandling

1. (i) Dataeksportøren godkender dataimportørens brug af underentreprenører til levering af tjenester i henhold til dette tillæg. Dataimportøren skal omhyggeligt vælge en sådan databehandler. Dataeksportøren godkender den eller de databehandlere, der er anført i tillæg 1.1 i slutningen af del 2.
2. (ii) Dataimportøren overfører sine forpligtelser i henhold til dette tillæg til databehandleren (e) i det omfang, det gælder for underentrepriserede tjenester.
3. (iii) Dataimportøren kan efter eget skøn afskedige, udskifte eller udpege en anden passende og pålidelig databehandler. Hvis dette kræves skriftligt af dataeksportøren, skal dataimportøren følge nedenstående procedure:
1. da. Dataimportøren skal informere dataeksportøren inden ændringer i listen over databehandlere, der henvises til i afsnit 3.4 (i) i del 1. Hvis dataeksportøren ikke gør indsigelse i henhold til punkt 3.4. (b) i del 1 tredive dage efter modtagelse af underretning fra dataimportøren, betragtes de yderligere databehandlere som accepteret.
2. b. Hvis at dataksporøten har en god grund til at indvende sog til en ekstra data slutningstager, det vil gør førhenværende emnet til en enhed addtional Databhandler svær at læse inden for 30 dage af modtagelse af Dataimportørens notifikation og før Dataimportøren tjenester er lige sat i værk. Hvis dataeksportøren indvender sig med bruget af en ekstra databahandler, Dataimorøtren vil måske undgår ojektionen følgende muligheder: (valgt som det beskrivelse): (A) Dataimportøren annullerer sine planer om at bruge en ekstra processor angående Dataeksportørens personlige data (B) Dataimportøren træffer de korrigerende foranstaltninger, som Dataeksportøren anmoder om i sin indsigelse (annullerer indsigelsen) og bruger den ekstra processor vedrørende Dataeksportørens personlige data; (C) Dataimportøren kan ophøre med at levere, eller Dataeksportøren kan blive enige om ikke at bruge (midlertidigt eller permanent) et bestemt aspekt af tjenesten, der vil involvere brugen af Dataeksportørens yderligere behandler af Dataeksportørens personlige data.
1. (iv) hvis databehandleren er baseret uden for EU-EØS i et land, der ikke er anerkendt som et passende databeskyttelsesniveau efter en beslutning truffet af Europa-Kommissionen, vil dataimportøren træffe foranstaltninger til at overholde et passende niveau af databeskyttelse i overensstemmelse med GDPR (sådanne foranstaltninger kan omfatte - blandt andre og - brug af databehandlingsaftaler baseret på klausulerne i EU-modellen, overførsel til selvcertificerede databehandlere inden for rammerne af EU-US Protection Shield eller et lignende program).

3.5 Udløbsdato

Udløbsdatoen af dette tillæg er ens med udløbsdatoen for den tilsvarende kontrakt. Medmindre andet er bestemt i dette tillæg, skal rettigheder og pligter i forbindelse med opsigelse være magen som indeholdt i kontrakten.

4. Begrænsning af ansvar

4.1 Hver part håndtere sine obligationer under dette tillæg og den gældende databeskyttelses lovgivning.

4.2 Ethvert erstatningsansvar i forbindelse med overtrædelse af obligationerne i dette tillæg eller gældende databeskyttelseslovgivning er underlagt og bestemt af ansvarsbestemmelserne i eller finder anvendelse på kontrakten, medmindre andet er angivet i dette tillæg. Hvis ansvar styres af ansvarsbestemmelserne i eller finder anvendelse på kontrakten, til beregning af ansvarsgrænser eller bestemmelse af anvendelsen af andre ansvarsbegrænsninger, anses ethvert ansvar, der opstår i henhold til dette tillæg, for at opstå under kontrakten.

5. Generelle bestemmelser

5.1 Hvis der er nogen uoverensstemmelser mellem Parter 1 og 2 af dette tillæg, part 2 vinder. Specifikt, selv i sådan et tilffælde, Part 1 hvilket simpelthen går udover Part 2. (f.eks. vilkårene for standard kalusuler) uden at modsige skal det forblive valid.

5.2 Hvis der opstår uoverensstemmelse mellem bestemmelserne i dette tillæg og bestemmelserne i andre kontrakter, der binder parterne, har dette tillæg forrang vedrørende parternes databeskyttelsesforpligtelser. I tvivl om, hvorvidt klausuler i andre kontrakter vedrører parternes databeskyttelsesforpligtelser, har dette tillæg forrang.

5.3 Hvis noget udlæg fra dette tillæg er ugyldigt eller ikke kan håndhæves, skal det tilbagestående fra dette tillæg forblive ved fuld kraft og effekt. Det ugyldige og det der ikke kan håbdhæves vil blive (i) ændret til at sikre dets gyldighed og at det kan håndhæves, mens man gemmer så meget som muligt af intentionerne fra parterne, eller, hvis ikke muligt (ii) forstået som ugyldigt eller ikke kan håndhæves part der aldrig er blevet en del af kontrakten. Det forgåene skal også gælde hvis der har været en udeladelse i dette tillæg.

5.5 I det omfang, det er nødvendigt, kan parterne anmode om ændringer til del 1, punkt 3 (overholdelse af lokal lovgivning) eller andre dele af tillægget for at overholde fortolkninger, direktiver eller ordrer udstedt af de kompetente myndigheder i Unionen eller Medlemsstater, nationale håndhævelsesbestemmelser eller enhver anden juridisk udvikling vedrørende GDPR eller andre delegationsbetingelser til enheder, der er involveret i databehandling og specifikt vedrørende brugen af standardkontraktbestemmelserne i GDPR. Vilkårene i standardkontraktbestemmelserne kan ikke ændres eller erstattes, medmindre Europa-Kommissionen udtrykkeligt godkender det (f.eks. Ved nye passende klausuler og databeskyttelsesstandarder).

5.6 Enhver reference i dette tillæg til "Klusulerne" skal forstås som reference til alle bestemmelser af dette tillæg medmindre andet er skrevet.

5.7 Valg af lov i Part 2, Klausul 9 gælder til hele kontrakten.

6. Personlig data overført og behandlet af parterne til personlige formål (overførsel fra deta kontrol til data kontrol)

6.1 Parterne ved fuldt ud at nogle personlige data vil blive overført fra dataeksportøren til dataimportøren og omvendt, og at sådanne data behandles af hver part til sine egne formål. Med hensyn til sådanne personoplysninger påvirker det ikke de øvrige bestemmelser i dette tillæg (undtagen denne paragraf 6).

6.2 Dataeksportøren må overføre personlig data relateret til ansatte af dataimportøren til dataimportøre, inklusiv information om sikkerheds tilfælde, eller hvilke som helst andre dokumenter eller filer skabt eller etableret af Dataeksportøren i forbindelse med de tjenester leveret af ansatte fra Dataimportøren. Dataimport'ren kan behandle sådanna personlig data til eget formål, specielt i dets proffesionelle forhold med Dataimportørens ansatte, til kvalitetskontrol og træning, eller til forretningsformål.

6.3. Dataimportøren kan overføre personlig data til Dataeksportøren, inkluderende navn og kontaktdetaljer af Dataimporøtrens ansatte. Dataeksportøren må behandle sådanne personlig data til eget formål.

6.4 Begge parter skal overholde gældende databeskyttelseslove, herunder GDPR, ved indsamling, behandling og brug af sådanne personoplysninger, der er modtaget fra den anden part i henhold til afsnit 1 i del 1. Især skal begge parter træffe passende sikkerhedsforanstaltninger, der giver et lignende beskyttelsesniveau som de sikkerhedsforanstaltninger, der er anført i tillæg 2 til del 2. Enhver adgang til sådanne personoplysninger skal være begrænset til behovet for at kende dem.

6.5 Begge parter skal slette sådanne personlige data så hurtigt som muligt efter at målene er opnået.

Part 2

Beslutningen af kommisionen

På d. 5. Februar 2010

Ved standard kontraktuelle klausuler til overførsel af personlig data til data behandlere etableret i tredjeparts lande under 95/46/EC Direktivet af det Europæiske Parlament og Rådet

Klausul 1

Definitioner

Indenfor for betydningen af klausulerne:

a) 'personoplysninger', 'særlige kategorier af data', 'behandling / behandling', 'registeransvarlig', 'behandler', 'registreret' og 'tilsynsmyndighed' har samme betydning som i 95/46 / EF Europa-Parlamentets og Rådets direktiv af 24. oktober 1995 om beskyttelse af enkeltpersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne data (1)

b) Dataeksportøren er Datakontrolløren der overfører den personlige data;

c) 'Dataimportøren' er den databehandler, der godtager at modtage personlige data fra Dataeksportøren, der er beregnet til at blive behandlet af Dataeksportøren efter overførslen i overensstemmelse med de instruktioner og i henhold til betingelserne i disse klausuler, og som ikke er underlagt mekanismen i et tredjeland, der sikrer tilstrækkelig beskyttelse i henhold til artikel 25, stk. 1, i direktiv 95/46 / EF (d) 'databehandler': den databehandler, der er engageret af dataimportøren eller af enhver anden databehandler af dataimportøren, der accepterer at modtage fra dataimportøren eller enhver anden databehandler af dataimportøren personoplysninger udelukkende til behandlingsaktiviteter til udføres på vegne af dataeksportøren efter overførslen i overensstemmelse med dataeksportørens instruktioner under de betingelser, der er beskrevet i disse klausuler og under betingelserne for den skriftlige underkontrakt til databehandlingsaftalen;

e) "gældende databeskyttelseslov" betyder den lov beskytter de fundamentale rettigheder og frihed af individer, inklusiv retten til privatliv vedrørende behandlingen af personlig data, og gældende til en kontrollør i medlemstaten hvor dataeksportøren er etableret;

f) "tekniske og organisatoriske foranstaltninger vedrørende sikkerhed": foranstaltninger beregnet til at beskytte personoplysninger mod utilsigtet eller ulovlig ødelæggelse eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, specielt når behandlingen indebærer transmission af data over netværk og mod alle andre ulovlige former for behandling.

Klausul 2

Detaljer om overførslen

Detaljerne om overførslen, inklusiv, hvor passende, special kateogirer af personlig data er specificeret i tillæg 1, hvilket former en integreret del af disse klausuler.

Klausul 3

Tredjeparts fordels klausul

1. Dataemnet må håndhæve imod dataeksportørens dette klausul, Klusul 4(b) til (i), Klausul 5(a) til (e) og (g) til (j), Klausul 6 (1) og (2), Klausul 7, Klausul 8(2) og Klausuler 9 til 12 som tredjeparts fordelstager

2. Den registrerede må håndhæve denne klausul, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 imod dataimportøren, hvor dataeksportøren fysisk er forsvundet eller er ophørt med at eksistere i loven, medmindre alle hans juridiske forpligtelser ved kontrakt eller ved lov er overført til den efterfølgende enhed, hvor dataeksportørens rettigheder og forpligtelser derfor kommer tilbage, og som dataene mod emnet kan derfor håndhæve de nævnte klausuler.

Den registrerede må håndhæve denne klausul, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8 (2) og klausul 9 til 12 imod databehandleren, men kun i specielle tilfælde, hvor dataeksportør og dataimportør er fysisk forsvundet, stoppet med at eksistere i lov eller er blevet insolvent, medmindre alle de juridiske forpligtelser, som dataeksportøren har fået, ved kontrakt eller ved lov, er overført til den juridiske efterfølger, til som rettighederne og Dataeksportørens forpligtelser påhviler derfor, og mod hvem den registrerede derfor kan håndhæve sådanne klausuler. Et sådant ansvar for databehandleren skal være begrænset til dens egne behandlingsaktiviteter i henhold til disse klausuler.

4. Parterne går ikke imod til dataemnet er repræsenteret af en afdeling eller anden krop hvis han eller hun ønsker og hvis national lov tillader det.

Klausul 4

Obligationer af dataeksportøren

Dataeksportøren acceptere og garantere følgende:

a) behandlingen, inklusive den faktiske overførsel af personoplysninger, er og vil stadig blive udført i overensstemmelse med de relevante bestemmelser i gældende databeskyttelseslov (og, hvor det er relevant, er meddelt de kompetente myndigheder i medlemsstaten hvor dataeksportøren er baseret) og ikke overtræder de relevante bestemmelser i denne stat;

b) de har instrueret og vil stadig instruere dataimportøren i databehandlingsservices varighed at behandle personoplysninger, der overføres på dataeksportørens eneste grundlag og i overensstemmelse med gældende databeskyttelseslov og disse klausuler;

c) Dataimportøren vil give rigeligt med sikkerhedsforanstaltninger vedrørende den tekniske og organisatoriske sikkerhedsforanstaltninger specificeret i Tillæg 2 til den nuværende kontrakt;

d) efter evaluering af kravene i den gældende databeskyttelseslov er sikkerhedsforanstaltningerne tilstrækkelige til at beskytte personoplysninger mod utilsigtet eller ulovlig destruktion eller utilsigtet tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen indebærer transmission af data over et netværk og mod alle andre ulovlige former for behandling og sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med behandlingen og arten af de data, der skal beskyttes under hensyntagen til teknologiniveauet og omkostningerne ved implementering

e) de vil forsikre overensstemmelse med sikkerhedsforanstaltninger;

f) hvis overførslen vedrører særlige kategorier af data, er den registrerede blevet underrettet eller vil blive informeret inden overførslen eller hurtigst muligt efter overførslen, at hans eller hendes data kan overføres til et tredjeland, der ikke tilbyder et passende beskyttelsesniveau som defineret i direktiv 95/46 / EF

g) de vil fremkalde hvilken som helst notifikation modtaget fra dataimporøtren eller nogen databehandler under klausul 5 (b) og 8 (3) til databeskyttelses overvågnings autoritet hvis den beslutter sig for at fortsætte overførslen eller at løfte suspension;

h) de stiller til rådighed for registrerede, hvis de anmoder herom, en kopi af disse klausuler, undtagen bilag 2, og en sammenfattende beskrivelse af sikkerhedsforanstaltningerne og en kopi af enhver yderligere underentrepriseaftale, der er indgået i henhold til disse klausuler, medmindre Klausuler eller aftalen indeholder kommerciel information, i hvilket tilfælde han kan trække sådanne oplysninger tilbage;

i) i tilfælde af underentreprise til databehandlingsprocessen udføres behandlingsaktiviteten i henhold til paragraf 11 af en databehandler, der giver mindst det samme niveau for beskyttelse af personoplysninger og registreredes rettigheder som dataimportøren i henhold til disse klausuler ; og

j) Det vil forsikre overensstemmelse med Klausul 4 (a) til (i).

Klausul 5

Obligationer af Dataimportøren

Dataimportøren acceptere og garantere det følgende:

a) de behandler kun personoplysningerne på vegne af dataeksportøren og under dataeksportørens instruktioner og disse klausuler; hvis det af en eller anden grund ikke kan overholde det, accepterer de at informere dataeksportøren om dets manglende evne hurtigst muligt, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og / eller afslutte kontrakten;

b) de ikke har nogen grund til at tro, at den gældende lovgivning for dem forhindrer ham i at opfylde instruktionerne fra dataeksportøren og de forpligtelser, der påhviler ham i henhold til kontrakten, og hvis sådan lov er underlagt en ændring, der kan have en væsentlig negativ indvirkning på garantier og forpligtelser i henhold til klausulerne, skal han straks underrette dataeksportøren om ændringen efter at have fået kendskab til den, i hvilket tilfælde dataeksportøren kan suspendere dataoverførslen og / eller afslutte kontrakten; (c) de har implementeret de tekniske og organisatoriske sikkerhedsforanstaltninger, der er specificeret i tillæg 2, inden de behandler de overførte personoplysninger

d) de vil gøre opmærksom på dette for dataeksportøren uden forsinkelse:

i) enhver bindende forespørgsel til visning af personlig data fra en lov håndhævende autoritet, medmindre andet er specificeret, såsom et kriminelt forbud målrettet at vedligeholde hemmeligheden af en politi efterforskning.

ii) enhver uheldig eller uautoriseret adgang, og

iii) enhver forespørgsel modtaget direkte fra de involverede personer uden svar til medmindre han er blevet autoriseret til at gøre således, administratorer

e) de vil behandle hurtigt og korrekt alle henvendelser fra dataeksportøren vedrørende dens behandling af de personoplysninger, der overføres, og vil handle under tilsynsmyndighedens mening om behandlingen af de overførte data;

f) på anmodning fra dataeksportøren vil de underkaste sine databehandlingsfaciliteter en revision af de behandlingsaktiviteter, der er omfattet af disse klausuler, der skal udføres af dataeksportøren eller et tilsynsorgan bestående af uafhængige medlemmer med de nødvendige faglige kvalifikationer underlagt tavshedspligt og valgt af dataeksportøren, hvor det er relevant med tilsynsmyndighedens samtykke;

g) de stiller til rådighed for den registrerede, hvis han anmoder herom, en kopi af disse klausuler eller enhver eksisterende underentreprise til databehandlingsaftalen, medmindre klausulerne eller kontrakten indeholder kommercielle oplysninger, i hvilket tilfælde den kan fjerne sådan information undtagen tillæg 2, som erstattes af en sammenfattende beskrivelse af sikkerhedsforanstaltningerne, hvor den registrerede ikke kan få en kopi fra dataeksportøren

h) i det tilfælde at hemmeligt videre underkontakter databehandlingen, han vil forsikre at han informere dataeksportøren forud og opnår dataeksportørens skrevne samtykke

i) behandlingstjenesterne givet af databehandleren skal være overevs med klausul 11;

j) de vil hurtigt sende en kopi af hvilken som helst underkontrakt af databehandlerens aftale som er gået ind i under disse klausuler til dataeksportøren.

Klausul 6

Ansvar

1. Parterne er enige om, at enhver registreret, de har lidt skade på grund af en parts eller en databehandlers misligholdelse af de forpligtelser, der er nævnt i punkt 3 eller § 11, kan få erstatning fra dataeksportøren for denne skade.

2. Hvis en registreret forhindres i at anlægge erstatningssøgsmål som nævnt i stk. 1 mod dataeksportøren for manglende overholdelse af dataimportøren eller dennes databehandler af nogen af sine forpligtelser i henhold til pkt. 3 eller pkt. 11, fordi dataene Eksportør er fysisk forsvundet, holdt op med at eksistere i loven eller er blevet insolvent, Dataimportøren accepterer, at den registrerede kan indgive en klage over den, som om den var Dataeksportøren, medmindre alle juridiske forpligtelser fra Dataeksportøren er overført, efter kontrakt eller ved lov, til dens efterfølgende enhed, mod hvilken den registrerede derefter kan håndhæve sine rettigheder. Dataimportøren kan ikke stole på, at en databehandler overtræder sine forpligtelser for at undgå sit eget ansvar.

3. Hvis et dataemne ikke kan bringe den aktion som er referret i paragraf 1 og 2 imod dataeksportøren eller dataimportøen for brud af databehandleren af dens obligationer under klausul 3 eller klausul 11 fordi dataeksportøren og dataimportøren har fysisk forsvundet, stoppet me at eksisteret i loven eller er gpet konkurs, så databehandleren aktiviteter ifølge med disse klausuler som hvis det var dataeksportøren eller dataimportøren medmindre alle lovlige obligationer af dateksportøren eller dataimportøren er blevet overflyttet, ved kontakt eller af loven, den lovlige eftergænger, imod hvem dataemnet må rette sine rettigheder. Databehandlerens ansvar skal være begrænset til dets egne behandlingsaktiviteter i overensstemmelse med disse klausuler.

Klausul 7

Mægling og jurisdiktion

1. Dataimportøren accepterer, at den registrerede i henhold til klausulerne kan påberåbe sig tredjemandsmodtagerens ret og kræve erstatning for den lidte skade, accepterer han den registreredes beslutning:

a) at underkaste tvisten mægling af en uafhængig person eller i givet fald tilsynsmyndigheden

b) at indbringe tvisten for domstolene i den medlemsstat, hvor dataeksportøren er baseret.

2. Parterne er enige om, at den registreredes valg ikke berører den registreredes proceduremæssige eller materielle ret til at opnå erstatning i overensstemmelse med andre bestemmelser i national eller international ret.

Klausul 8

Samarbejde med tilsynsmyndigheder

1. Dataeksportøren accepterer at lave en kopi af den nuværende kontrakt hos tilsynsmyndigheden, hvis de kræver det, eller hvis en sådan depositum er fastsat i den gældende databeskyttelseslov.

2. Parterne er enige om, at tilsynsmyndigheden kan udføre kontrol hos dataimportøren og enhver databehandler i samme omfang og på samme betingelser som med kontrol, der udføres hos dataeksportøren i overensstemmelse med gældende databeskyttelseslovgivning.

3. Dataimportøren skal med det samme informere dataeksportøren om, at der findes lovgivning vedrørende dataimportøren eller enhver databehandler, som forhindrer verifikation hos dataimportøren eller enhver databehandler i overensstemmelse med stk. 2. I et dette tilfælde er Dataeksportør kan træffe de foranstaltninger, der er omhandlet i paragraf 5 (b).

Klausul 9

Gældende lov

Dette klausul gælder og er regeret af loven af medlemsstaten hvor dataeksportøren er baseret.

Klausul 10

Modificering af kontrakten

Parterne undertager ikke at modificere de nuværende klausuler. Parterner forbliver frie til at inkluderer kommercielle klausuler som de mener er nødvendige, givet at de ikke modsider de nuværende kalusuler.

Klausul 11

Efterfølgende underkontrakt

1. Dataimportøren skal underkontraktere ingen af sine behandlingsaktiviteter udført på vegne af dataeksportøren under disse klusuler uden tidligere skrevet samtykke af dataeksportøren. Dataimportøren må kun udlicitere sine forpligtelser i henhold til disse klausuler med dataeksportørens samtykke gennem en skriftlig aftale med databehandleren, der pålægger databehandleren de samme forpligtelser som dem, der pålægges dataimportøren i henhold til disse klausuler.) Hvis Databehandler kan ikke overholde sine databeskyttelsesforpligtelser i henhold til den skriftlige aftale, Dataimportøren skal forblive fuldt ansvarlig over for Dataeksportøren for opfyldelsen af disse forpligtelser.

2. Den tidligere skrevne aftale mellem dataimporøtren og databehandleren skal også inkludere en tredjeparts fordelstager klausul som beskrevet i klausul 3 for tilfælde hvor dataemenet er forebygget fra at bringe den påstand af skader referret til i klausul 6 (1), imod dataeksportøren eller dataimportøren fordi dataeksportøren eller dataimportøren har fysisk forsvundet, stoppet med at eksistere i loven, eler er gået konkurs og alle lovlige obligationer af dataeksportøren eller dataimportøren ikke er blevet overført af kontrakt ekker loven, til eftergængerens enhed. Ansvaret for databehandleren skal være begrænset til dens egne behandlingsaktiviteter i overensstemmelse med disse klausuler.

3. Bestemmelserne vedrørende databeskyttelsesaspekter ved underentreprise med databehandling af den i stk. 1 omhandlede kontrakt er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

4. Dataeksportøren fører en liste over underentreprise af de databehandlingsaftaler, der er indgået i henhold til disse klausuler og meddelt af dataimportøren i overensstemmelse med klausul 5 (j), som skal opdateres mindst en gang om året. Denne liste skal gøres tilgængelig for dataeksportørens tilsynsmyndighed for databeskyttelse.

Klausul 12

Forpligtelse efter ophør af behandling af personoplysninger

1. Parterne er enige om, at dataimportøren og databehandleren af afslutningen af databehandlingstjenesterne, når dataeksportøren har det hensigtsmæssigt, returnerer alle overførte personoplysninger og kopiere deraf til dataeksportøren eller ødelægger alle sådanne data og fremlægger bevis ødelæggelsen til dataeksportøren, medmindre lovgivning, der gives dataimportøren, stopper den i at returnere eller ødelægge hele eller dele af de overførte personoplysninger. I så fald garanterer dataimportøren, at den vil sikre fortroligheden af de overførte personoplysninger, og at den ikke længere aktivt behandler dataene.

2. Dataimportøren og databehandleren skal være sikre på, at de, hvis dataeksportøren eller tilsynsmyndigheden forespørger herom, vil underkaste deres midler til databehandling kontrol af de i stk. 1 nævnte foranstaltninger.

Tillæg 1.1 til Part 2

Detaljer af overførsel

Dataeksportør

Dataeksportøren er brugerderfineret i den kontraktuelle aftale.

Dataimportør

Dataimportøren er IQUALIF og er delegeret til at behandle dataen, levere tjenester til dataeksportøren.

Dataemner

Den personlige data overfør vedrørende de følgende kategorier af dataemner:

☒ telefon abonnenter listet i den universelle bog

☐ Andre, inklusiv:

Kategorier af data

Den personlige data overført vedrørende de følgende kategorier af data:

Kategorier af personlig data af dataeksportørens dataemner specielt,

☒ Fulde navn

☒ Postadresse

☒ Kontaktdetaljer (e-mail, telefon, IP addresse, osv.)

☒ Detaljer af markedsføringsaktiviter vedrørende telefon abonnenten

☒ Andre, inklusiv typen af bolig, indkomst, og gennemsnitlig aldre af byen lavet anonymt

Specielle kategorier af data (Hvis muligt)

Den personlige data overført gælder de følgende specielle kategorier af data:

☒ Overførslen af special kategorier af data er ikke forudsagt

☐ Race eller etnisk oprindelse

☐ Religiøse eller filosofiske tro

☐ Handelsunion medlemskab

☐ Politiske tro

☐ Genetisk information

☐ Biometrisk information

☐ Information om seksuel orientation eller seksuelt liv

☐ Sundhedsdata

Behandlingsaktiviteter

De overførte personoplysninger vil være underlagt følgende grundlæggende behandlingsaktiviteter:

- • Formålet med behandlingen

Behandlingen foretaget på vegne af dataeksportøren er baseret på følgende emner, især:

☒ Tage ledelse af produkter eller tjenester givet af dataeksportøren

☒ Tilbuddet af et produkt eller tjenste som en ringet person kan forespørge

☒ Ordre taget fra personer der har ringet og videre behandling af disse ordre

☒ studie spørgeskemaer og analyser

☒ Telemarketing

☐ Andre, inklusiv:

- • Behandlingens art og formål

Dataimportøren behandler de registreredes personoplysninger på vegne af dataeksportøren for at levere følgende tjenester og især:

☒ Salg og markedsføring

☒ Andre, inklusiv opdateringer databaser af rådhuse og politiske partier

- • Levering af tjenester og ansættelse af tjenesteudbydere

IQUALIF kombinerer hovedsageligt, centraliserer og leverer tjenester til dataeksportøren. Tjenesterne, der leveres af den navngivne tjenesteudbyder, kan være struktureret (blandt andet efter behov) omkring følgende supplerende tjenester: (i) levering af applikationer, værktøjer, systemer og IT-infrastruktur i forhold til de anvendte databehandlingscentre for at levere og understøtter tjenesterne, herunder behandling af de registreredes personlige data som beskrevet ovenfor, via sådanne applikationer, værktøjer og systemer, (ii) levering af IT-support, vedligeholdelse og andre tjenester relateret til sådanne applikationer, værktøjer, systemer og IT-infrastruktur, herunder potentiel adgang til personlige data, der er gemt i sådanne applikationer, værktøjer og systemer, og (iii) levering af databeskyttelsestjenester, beskyttelsesovervågning og hændelseshåndteringstjenester, herunder potentiel adgang til personlige data, når de yder sådanne beskyttelsestjenester . IQUALIF kan engagere databehandlere som angivet nedenfor for at levere tjenesterne, herunder supplerende tjenester.

- • Eksterne tredjepartsudbydere som underenheder tildelt databehandling

IQUALIF engagere eksterne og tredjeparts tjenesteudbydere, hvilke ikke er datteselskaber af IQUALIF, til at hjælpe leveringen af tjenester til dataeksportøren. Dataeksportøren godkender såddane tredjeparts tjenester udbydere so under-enheder tildelt til databehandling.

Hvis en underenhed, der er involveret i databehandling, er placeret uden for EU / EØS, i et land, der ikke anses for at have et tilstrækkeligt databeskyttelsesniveau i henhold til en beslutning truffet af Europa-Kommissionen, vil dataimportøren tage skridt til at opnå et passende niveau af databeskyttelse i overensstemmelse med GDPR og afsnit 3.4 (iv) i Part 1.

Tillæg 2, Part 2

Tekniske og organisatoriske sikkerhedsforanstaltninger

Dataimportøren skal træffe følgende tekniske og organisatoriske beskyttelsesforanstaltninger, der er bekræftet af dataeksportøren, for at garantere et passende sikkerhedsniveau for enkeltpersoners rettigheder og friheder afhængigt af risiciene. Ved vurderingen af det pågældende beskyttelsesniveau har dataeksportøren især overvejet de risici, der er involveret i behandlingen, herunder utilsigtet eller ulovlig destruktion, ændring, uautoriseret videregivelse eller adgang til personoplysninger, der overføres, lagres eller på anden måde behandles. Afklaring: Disse tekniske og organisatoriske beskyttelsesforanstaltninger gælder ikke for applikationer, værktøjer, systemer og / eller IT-infrastruktur, der leveres af dataeksportøren.

1 Generelle tekniske og organisatoriske sikkerhedsforanstaltninger

1.1 Generel information og databeskyttelses strategier

De følgende skridt bør tages for at følge genreal data og information beskyttelsesstrategier.

a) træffe foranstaltninger til at evaluere dem, der er truffet vedrørende teknisk og organisatorisk beskyttelse;

b) give træning til at øge opmærksomhed mellem ansatte;

c) have en beskrivelse af de berørte systemer og give ansatte adgang;

d) etablere en formel dokumentationsproces, når systemer implementeres eller ændres;

e) dokumentation af organisationsstruktur, processer, ansvar og respektive evalueringer;

1.2 Organisation af informationsbeskyttelse

De følgende foranstaltninger bør tages for at sikre koordination af data og informations beskyttelse aktiviter:

a) defineret ansvar for beskyttelse af information og data (f.eks. gennem databeskyttelsespolitikken);

b) den nødvendige ekspertise med hensyn til beskyttelse af oplysninger og resterende tilgængelige data;

c) alle medarbejdere er skal sikre, at personlige data holdes fortrolige, og er blevet informeret om de potentielle konsekvenser af overtrædelse af denne forpligtelse.

1.3 Adgangskontrol til behandlingsområder

Følgende foranstaltninger skal træffes for at forhindre uautoriserede personer i at få adgang til databehandlingssystemer (især software og hardware), når personoplysninger behandles, lagres eller transmitteres:

a) etablere sikre områder;

b) beskytte og begrænse adgang til databehandlingssystemer;

c) etablere adgang autoriteter for ansatte og tredjeparter, inklusiv de respektive dokumenter;

d) hvilken som helst adgang til databehandlingscentre hvor ansattes data er gemt skal logges.

1.4 Adgangskontrol til databehandlingssystemer

Følgende foranstaltninger skal træffes for at forhindre uautoriseret adgang til databehandlingssystemer:

a) bruger godkendelsespolitikker og procedurer;

b) brugen af kodeord på alle computersystemer;

c) fjern adgang til netværket kræver multifaktor godkendelses og er givet til personen vedrørende og ifølge deres ansvar og ved godkendelse;

d) adgang til specifikke funktioner er baaseret på jobfunktioner og eller evner individuelt givet til en brugers konto;

e) adgangsrettigheder releateret til personlige data er gennemgået ofte;

f) fortegnelser over ændringer af adgangsrettigheder er opdateret ofte.

1.5 Kontrol af adgang til bestemte anvendelsesområder for databehandlingssystemer

Følgende foranstaltninger skal træffes for at sikre, at autoriserede personer med ret til at bruge databehandlingssystemet kun kan få adgang til data inden for deres respektive ansvarsområder og adgangstilladelser, og at personlige data ikke kan læses, kopieres, ændres eller slettes uden tilladelse:

1. a) politikker, instruktioner og uddannelse af medarbejdere vedrørende hver enkeltes forpligtelser med hensyn til fortrolighed, ret til adgang til personoplysninger og omfanget af behandlingen af personoplysninger;

b) disciplinere foranstaltninger imod personer der tager adgang til personlig data uden godkendelse;

c) adgang til personlige data skal gives kun til autoriseret personer, på en skal-vide basis;

d) vedligeholde en liste af systemadministratorer og tage nødvendige anstaltninger for at overvåge systemadministratorer;

e) ikke kopiere eller reproducere personlige data på noget opbevaringssytem for at give ikke-godkendt personer muligheden for at fjerne information;

f) kontrolleret og dokumeneter slettelse eller ødelæggelse af data;

g) at gemme sikkert alt personlig data der skal gemmes for lovpligtige eller regulationsårsager (f.eks. obligation til at gemme data), og kun hvis krævet af loven.

1.6 Transmissionskontrol

Følgende foranstaltninger skal træffes for at forhindre, at personoplysninger læses, kopieres, ændres eller slettes af uautoriserede tredjeparter under transmission eller transport af datalagringsenheder (afhængigt af behandlingen af de udførte personoplysninger):

1. a) brug af firewalls;

b) undgå lagring af personlige data på mobile lagerenheder til transportformål eller kryptering af enhederne;
c) brug kun på bærbare computere og andre mobile enheder, efter at krypteringsbeskyttelsen er aktiveret;

d) logning af transmissioner af personoplysninger.

1.7 Kontrol af dataindtastning

Følgende foranstaltninger skal træffes for at sikre, at det er muligt at kontrollere og afgøre, om personoplysninger er blevet indtastet eller slettet fra databehandlingssystemer, og af hvem:

1. a) en politik til godkendelse af læsningen, ændringen eller slettelse af gemte data;

b) beskyttelses foranstaltninger vedrørende læsningen, ændringen og slettelsen af gemte data.

1.8 Arbejdskontrol

I tilfælde af delegeret behandling af personoplysninger skal der træffes følgende foranstaltninger for at sikre, at sådanne data behandles i overensstemmelse med vejledningen fra tilsynsføreren:

1. a) enheder eller underenheder, der er tildelt databehandling, valgt med omhu (tjenesteudbydere behandler personoplysninger på vegne af den dataansvarlige);

b) instruktioner om omfanget af enhver behandling af personoplysninger til de ansatte, enheder eller underenheder, der er tildelt databehandlingen;

c) revisions rettigheder eaftalt med enheder eller under-enhederne givet til databehandleren;

d) aftale i sted med enheder eller under-enheder givet til databehandling.

1.9 Adskillelse fra behandling til andre formål

Følgende foranstaltninger skal træffes for at sikre, at data indsamlet til andre formål kan behandles separat:

1. a) separat adgang til personoplysninger i overensstemmelse med brugernes eksisterende rettigheder;

b) interfaces, gruppebehandling og rapportering er til andre formål og funktioner, så data indsamlet for andre formål kan behandles separat.

1.10 Pseudoanonymisering

Følgende foranstaltninger skal træffes med hensyn til pseudonymisering af personoplysninger:

1. a) Hvis dataeksportøren bestiller en bestemt behandlingsoperation, eller hvis dette anses for passende af dataimportøren i overensstemmelse med gældende databeskyttelseslovgivning vedrørende visse behandlingsaktiviteter, vil behandlingen af personoplysninger udføres på en sådan måde, at data kan ikke længere tilskrives en bestemt person uden brug af yderligere oplysninger. Disse yderligere oplysninger opbevares separat;

b) brug af pseudonymiseringsteknikker, herunder randomisering af allokeringslister skabelse af værdier i form af skarpe farver.

1.11 Enkryptering

Følgende trin skal tages for at kryptere personlige data i applikationer og transmissioner, der understøtter kryptering:

1. a) brug af enkrypteringsteknikker;

b) etablering af krypteringsstyring til understøttelse af de krypteringsteknikker, der er godkendt til brug

c) støtte brugen af kryptografi gennem procedurer og protokoller til generering, ændring, tilbagekaldelse, destruktion, distribution, certificering, lagring, registrering, brug og arkivering af kryptografiske nøgler for at beskytte mod uautoriseret ændring og afsløring.

1.12 Gennemførelse af databehandlingssystemer og tjenster

Følgende foranstaltninger skal træffes for at sikre fuldstændigheden af databehandlingssystemer og -tjenester:

a) beskyttelse af databehandlingssystemer mod manipulation eller destruktion på passende måde (f.eks. antivirus-software, software til forebyggelse af datatab og software mod malware, softwarepatches, firewalls og administreret desktop-beskyttelse)

b) forebyggelse af installeringen af nogen tjeneste eller software der er skatedelig til databehandlingen systemer, tjenester, eller manipuleringen af personlig data;

c) anvendelse af et netværksindtrængningsdetekterings- og forebyggelsessystem i selve netværksstrukturen.

1.13 Tilgængelighed af databehandlingssystemer og -tjenester og muligheden for at gendanne adgang til og brug af personoplysninger i tilfælde af en væsentlig eller teknisk hændelse

Følgende foranstaltninger skal træffes for at sikre tilgængeligheden af databehandlingssystemer samt for hurtigt at kunne gendanne tilgængeligheden af og adgangen til personoplysninger i tilfælde af en væsentlig eller teknisk hændelse (især ved at sikre, at personlige data er beskyttet mod utilsigtet destruktion eller tab):

a) have kontrolmuligheder for at have back-ups af kopier og fremskaffe mistet eller slettet data;

b) infrastruktur mangel og performance tests;

c) fysisk beskyttelse af computer ressourcer;

d) brug af værktøjer til at overvåge status og tilgængelighed af interne netværk;

e) rapportering af hændelser og reaktionspolitikker, der regulerer hændelsesstyringsproceduren, og gentagelse af overholdelse af disse politikker som led i regelmæssig træning

f) sikkerhedskopier (undertiden off-site) for at gendanne systemet, så det kan udføre dets funktioner igen;

g) planer for forretningskontinuitet / katastrofegendannelse

1.14 Modstandsdygtighed i databehandlingssystemer og -tjenester

Følgende foranstaltninger skal træffes for at sikre modstandsdygtigheden i databehandlingssystemer og -tjenester:

a) systmer og konfigurationer harmont, brug af godkendte sikkerhedsforanstaltninger

b) netværksredundans;

c) indehold af beskyttelse af kritiske systemer.

1.15 Procedure til regelmæssig afprøvning, evaluering og vurdering af effektiviteten af tekniske og organisatoriske foranstaltninger for at sikre sikkerheden ved databehandling

Fremgangsmåde til regelmæssig test, evaluering og vurdering af effektiviteten af tekniske og organisatoriske foranstaltninger til beskyttelse af databehandling.

a) tage de nødvendige skridt for at se risiko og afbødningsstrategier;

b) serviceanalyser møder IT-afdelingen der løser nuværende problemer;

c) forretningsfortsættelse/katestrofe planer er hele tiden opdateret.

Part 3

Parternes underskrifter og listen over dataimportører

Når du udfylder onlinebestillingsformularen og validerer den ved at markere afkrydsningsfeltet, der accepterer de generelle vilkår og betingelser for brug, oprettes kontrakten, der regulerer forholdet mellem Kunden og IQUALIF.

Afsendelse af betalingen til IQUALIF overvejer den aftale, der er aftalt og etableret.

Tag en note: Denne tekst er blevet oversat fra Fransk. Den originale Franske version, som er gyldig og lovligt begrænsende, er tilgængelig her.