Donnéeën Veraarbechtung Appendix

 

Dësen Appendix ass en integralen Deel vum Kontrakt a gëtt vun:

 

  1. (i) De Client (" Datenexporteur ")
  2. (ii) IQUALIF (" Datenimporteur ")

 

Jiddereen ass eng " Partei " an allgemeng " Parteien ".

 

Préambel

WOU den Dateimporter professionnell Softwareservicer, Computer a verbonne Servicer ubitt (wéi Browser mat fortgeschratt Sichfunktiounen);

WOU laut dem Kontrakt, huet den Dateimporteur zougestëmmt dem Dateexporteur d'Servicer ze liwweren, déi am Kontrakt spezifizéiert sinn (" Servicer ");

WOU, andeems d'Servicer ubidden, den Dateimporter kritt oder profitéiert vum Zougang zu den Informatioune vum Dateexporteur oder d'Informatioun vun anere Persounen, déi eng (potenziell) Relatioun mam Dateexporteur hunn, kënnen esou Informatioun als perséinlech Donnéeën am Sënn vun der Regulatioun qualifizéiert ginn. (EU) 2016/679 vum Europäesche Parlament a vum Conseil vum 27. Abrëll 2016 iwwer de Schutz vun Individuen iwwer d'Veraarbechtung vu perséinlechen Donnéeën an iwwer de fräie Verkéier vun esou Donnéeën ("GDPR") an aner applicabel Dateschutzgesetzer .

WOU dësen Appendix enthält d'Konditioune fir d'Sammlung, d'Veraarbechtung an d'Benotzung vun esou perséinlechen Donnéeën vum Dateimporteur a senger Kapazitéit als autoriséierten Dateveraarbechtungsagent vum Dateexporteur, fir sécherzestellen datt d'Parteien dem applicabelen Dateschutzgesetz respektéieren. .

 

DÉI, a fir de Parteien hir Relatioun gesetzlech weiderzeféieren, hunn d'Parteien dësen Appendix wéi follegt ofgeschloss:

Deel 1

 

1. Struktur vum Dokument an Definitiounen

1.1 Struktur

Dësen Appendix enthält verschidden Deeler wéi follegt:

 

Deel 1: 

enthält allgemeng Bestëmmungen, zB iwwer d'Definitiounen, déi an dësem Appendix benotzt ginn, d'Konformitéit mat de lokale Gesetzer, den Timing an d'Kënnegung

 

Deel 2:

enthält de Kierper vum onamendéierte Standard Kontraktklausel Dokument

 

Anhang 1.1 vum Deel 2:

enthält d'Detailer vun den Veraarbechtungsoperatiounen, déi vum Dateimporter dem Dateexporteur als autoriséierten Dateveraarbechtungsagent geliwwert ginn (inklusiv d'Veraarbechtung, d'Natur an den Zweck vun der Veraarbechtung, d'Aart vu perséinlechen Donnéeën an d'Kategorien vun den Datesubjekter) ënner dësem Anhang

 

Anhang 2 vum Deel 2:

enthält eng Beschreiwung vun den techneschen an organisatoresche Sécherheetsmoossnamen vum Dateimporter, déi am Zesummenhang mat all Veraarbechtungsaktivitéiten ugewannt ginn, déi am Appendix 1.1 vum Deel 2 beschriwwe ginn.

 

Deel 3:

enthält d'Ënnerschrëfte vun de Parteien, déi vun dësem Appendix gebonnen sinn, an identifizéiert all Datenimporter

 

 

1.2 Terminologie an Definitiounen

Fir Zwecker vun dësem Appendix sinn d'Terminologie an d'Definitioune benotzt vum GDPR applicabel (Am Kierper vum Standard Kontraktklausel Dokument am Deel 2, wou definéiert Begrëffer net kapitaliséiert sinn). 

 

"Memberstaat"

heescht e Land dat zu der Europäescher Unioun oder dem Europäesche Wirtschaftsraum gehéiert

 

"Besonnesch Kategorien vun (perséinlechen) Donnéeën"

bezitt sech op perséinlech Donnéeën déi rassistesch oder ethnesch Hierkonft opzeweisen, politesch Meenungen, reliéis oder philosophesch Iwwerzeegungen, oder Gewerkschaftsmemberschaft, a genetesch Donnéeën, biometresch Donnéeën, wa se veraarbecht ginn fir den Zweck eng Persoun eenzegaarteg z'identifizéieren, Daten betreffend Gesondheet, Donnéeën betreffend d'Geschlecht vun enger Persoun Liewen oder sexuell Orientéierung

 

"Standard Vertragsklauselen"

heescht d'Standard Vertragsklauselen fir d'Iwwerdroung vu perséinlechen Donnéeën vun Veraarbechtungsagenten, déi an Drëttlänner etabléiert sinn, ënner der Kommissiounsdecisioun 2010/87/EU de 5. Februar 2010, déi vun der Kommissiouns-Ëmsetzungsdecisioun (EU) 2016/2297 am 16. Dezember 2016

 

œDatenprozessor

heescht all Veraarbechtungsagent, bannent oder ausserhalb vun der EU / EEA, deen averstanen ass, vum Dateimporter oder all anere Veraarbechter vum Dateimporter perséinlech Donnéeën ze kréien fir den exklusiven Zweck vun der Veraarbechtungsaktivitéiten, déi vum Dateexporteur no der Ausféierung vum Dateexporteur ausgefouert ginn. Transfert am Aklang mat den Instruktioune vum Dateexporteur, de Bedéngungen vun dësem Anhang an dem Kontrakt mam Dateimporter

 

 

 

2. Obligatiounen vun der Daten Exportateur

2.1 Den Dateexporteur huet eng Verpflichtung fir d'Konformitéit mat all applicabel Verpflichtungen ënner dem GDPR an all aner applicabel Dateschutzgesetz ze garantéieren, dat fir den Dateexporteur gëlt, an esou Konformitéit ze weisen wéi den Artikel 5 (2) vum GDPR verlaangt. Den Dateexporteur garantéiert datt den Dateimporter d'virdrun Zoustëmmung vun den Datesubjekter am Aklang mam Artikel 6 (a) vum GDPR kritt huet an seng Verpflichtung erfëllt huet fir d'Datensujeten am Aklang mat den Artikelen 13 an 14 vum GDPR z'informéieren.

2.2 Den Dateexporteur muss dem Dateimporter déi jeweileg Dateie vun den Veraarbechtungsaktivitéiten am Aklang mat den Artikel 30 (1) vum GDPR am Zesummenhang mat de Servicer ënner dësem Appendix ubidden, an deem Ausmooss néideg fir den Dateimporter der Verpflichtung ënner Artikel 30 (2) vum GDPR.

2.3 Den Dateexporteur muss en Dateschutzbeamten oder Vertrieder ernennen an deem Ausmooss erfuerdert vum applicabelen Dateschutzgesetz. Den Dateexporteur ass verflicht d'Kontaktdetailer vum Dateschutzagent oder Vertrieder, wann iwwerhaapt, dem Dateimporter ze ginn.

2.4. Den Dateexporteur bestätegt virum Ofschloss vun der Veraarbechtung, duerch Akzeptanz vun dësem Appendix, datt d'technesch an organisatoresch Sécherheetsmoossnamen vum Dateimporter, wéi am Appendix 2 zum Deel 2 festgeluegt sinn, passend a genuch sinn fir d'Rechter vum Dateschutz ze schützen. a bestätegt datt den Dateimporter genuch Sécherheetsmoossnamen an dësem Respekt ubitt.

 

3. Konformitéit mat lokal Gesetz

Fir den Ufuerderunge vun der Ëmsetzung vun den Veraarbechtungsagenten no Artikel 28 vum GDPR z'erreechen, sinn déi folgend Ännerungen applicabel:

 

3.1 Uweisungen

  1. (i) Den Dateexporteur instruéiert den Dateimporter fir perséinlech Donnéeën nëmmen am Numm vum Dateexporteur ze veraarbecht. D'Instruktioune vum Dateexporteur ginn an dësem Appendix an am Kontrakt geliwwert. Den Dateexporteur huet d'Verpflichtung fir sécherzestellen datt all Instruktiounen dem Dateimporter ginn entspriechend Dateschutzgesetzer respektéieren. Den Dateimporteur muss perséinlech Donnéeën nëmmen am Aklang mat den Instruktioune vum Dateexporteur veraarbecht ginn, ausser wann et net anescht vun der Europäescher Unioun oder dem Gesetz vum Memberstaat verlaangt gëtt (am leschte Fall gëlt Deel 1 Klausel 3.2 (iv) (c)) .
  2. (ii) All aner Instruktiounen, déi iwwer d'Instruktiounen an dësem Appendix oder am Kontrakt goen, mussen am Thema vun dësem Appendix an dem Kontrakt abegraff sinn. Wann d'Ëmsetze vun dëser zousätzlecher Instruktioun Käschten fir den Dateimporter involvéiert, soll den Dateimporter den Dateexporteur vun esou Käschten informéieren an eng Erklärung ubidden ier d'Instruktioun ëmgesat gëtt. Eréischt nodeems den Dateexporteur d'Akzeptanz vun dëse Käschten fir d'Ëmsetzung vun der Instruktioun bestätegt huet, wäert den Dateimporter dës zousätzlech Instruktioun ëmsetzen. Den Dateexporteur muss zousätzlech Instruktioune schrëftlech ginn, ausser Dréngend oder aner spezifesch Ëmstänn erfuerderen eng aner Form (zB mëndlech, elektronesch). Instruktiounen an enger anerer Form wéi schrëftlech musse schrëftlech an ouni Verspéidung vum Dateexporteur bestätegt ginn.
  3. 1. Ausser den Dateexporteur kann d'Rectifizéierung, d'Läschen oder d'Restriktioun vu perséinlechen Donnéeën eleng net ausféieren, kënnen d'Instruktioune och op d'Rectifizéierung, d'Läschen an / oder d'Restriktioun vu perséinlechen Donnéeën bezéien wéi am Part 1 Klausel 3.3.
  4. 2. Den Dateimporteur muss den Dateexporteur direkt informéieren, wann seng Meenung no eng Instruktioun géint den GDPR oder aner applicabel Dateschutzbestëmmunge vun der Europäescher Unioun oder engem Memberstaat verletzt (" Streitend Instruktioun"Wann d'Iwwerwaachungsautoritéit déi erausgefuerdert Instruktioun als legal deklaréiert, wäert den Dateimporter déi erausgefuerdert Instruktioun ëmsetzen. Deel 1 Klausel 3.1 (ii) bleift applicabel.

 

3.2 Obligatiounen vum Dateimporter

  1. (i) Den Dateimporteur muss dofir suergen, datt Persounen, déi vum Dateimporter autoriséiert sinn, perséinlech Donnéeën am Numm vum Dateexporteur ze veraarbechten, besonnesch Mataarbechter vum Dateimporter a Mataarbechter vun engem Ënnerkontrakter, sech ënnerholl hunn d'Vertraulechkeet ze beobachten oder ënnerleien eng entspriechend gesetzlech Vertraulechkeetspflicht, an datt esou Persounen, déi Zougang zu perséinlechen Donnéeën hunn, se am Aklang mat den Instruktioune vum Dateexporteur veraarbechten.
  2. (ii) Den Dateimporteur muss d'technesch an organisatoresch Sécherheetsmoossnamen ëmsetzen, wéi am Appendix 2 zum Deel 2 virgesinn, ier d'perséinlech Donnéeën am Numm vum Dateexporteur veraarbecht ginn. Den Dateimporteur kann déi technesch an organisatoresch Sécherheetsmoossname vun Zäit zu Zäit änneren, wa se net manner Schutz ubidden wéi déi am Appendix 2 zum Deel 2 festgeluecht.
  3. (iii) Den Dateimporteur stellt dem Dateexporteur, op Ufro vum Dateexporteur, Informatioun zur Verfügung fir d'Konformitéit mat den Datenimporter seng Verpflichtungen ënner dësem Appendix ze weisen. D'Parteien stëmmen datt dës Informatiounsverpflichtung erfëllt gëtt andeems de Dateexporteur en Auditbericht gëtt (deckt d'Sécherheet vu Prinzipien, Systemverfügbarkeet a Vertraulechkeet) ("Auditbericht"). Wann zousätzlech Auditaktivitéite gesetzlech erfuerderlech sinn, kann den Dateexporteur ufroen datt Inspektiounen vum Dateexporteur oder engem aneren Auditeur ernannt vum Dateexporteur ausgefouert ginn, ënnerleien der Ausféierung vun engem Auditeur vun engem Vertraulechkeetsofkommes mam Dateimporter un den Dateimportateur. raisonnabel Zefriddenheet ("Audit"). Dësen Audit ass ënnerleien zu de folgende Konditiounen: (i) déi virdru formell schrëftlech Akzeptanz vum Dateimporter; an (ii) den Dateexporteur droen all Käschten am Zesummenhang mam On-Site Audit fir den Dateexporteur an den Dateimporter. Den Dateexporteur muss en Auditbericht erstellen deen d'Resultater an Observatioune vum On-Site Audit ("On-Site Audit Report") zesummegefaasst huet. D'On-Site Audit Berichter, an d'Audit Berichter, sinn vertraulech Informatioun vum Dateimporter a däerfen net un Drëtte verroden ginn, ausser wann et duerch applicabel Dateschutzgesetz oder am Aklang mat der Zoustëmmung vum Dateimporter verlaangt ass.
  4. (iv) Den Dateimporteur huet eng Verpflichtung den Dateexporteur ouni onnéideg Verspéidung z'informéieren:
    1. a. betreffend all gesetzlech verbindlech Ufro fir Verëffentlechung vu perséinlechen Donnéeën vun enger Gesetzesvollzuchsautoritéit, ausser wann et net anescht verbueden ass, wéi zum Beispill e Verbuet ënner Strafgesetz fir d'Vertraulechkeet vun enger Enquête ze schützen
    2. b. betreffend all Plainte an Ufro, déi direkt vun engem Datesubjekt kritt gëtt (zB iwwer Zougang, Rectifikatioun, Läschen, Restriktioun vun der Veraarbechtung, Dateportabilitéit, Contestatioun géint Dateveraarbechtung, automatiséiert Entscheedungsprozess) ouni op dës Ufro ze äntweren, ausser den Dateimporter ass autoriséiert ginn maachen esou
    3. c. wann den Dateimporter oder den Dateverwerker verpflicht ass, ënner dem Gesetz vun der Europäescher Unioun oder vum Memberstaat, un deem den Dateimporter oder den Dateveraarbechter ënnerworf ass, déi perséinlech Donnéeën iwwer d'Instruktioune vum Dateexporteur ze veraarbechten, ier dës Veraarbechtung doriwwer eraus duerchgefouert gëtt. d'Instruktiounen, ausser d'Gesetzer vun der Europäescher Unioun oder vum Memberstaat verbidden esou Veraarbechtung op vitalen ëffentlechen Interessegrënn, an deem Fall d'Notifikatioun un den Dateexporteur déi gesetzlech Fuerderung ënner deem Gesetz vun der Europäescher Unioun oder vum Memberstaat spezifizéieren; oder
    4. d. wann den Dateimporter eng Verletzung vu perséinlechen Donnéeën realiséiere kann, eleng wéinst sech selwer oder sengem Ënnerkontrakter, wat dem Dateexporteur seng perséinlech Donnéeën beaflosst, déi vun dësem Kontrakt ofgedeckt sinn, an deem Fall den Dateimporter den Dateexporteur bei senger Verpflichtung hëlleft, vis-à -vis dat applicabel Dateschutzgesetz, fir d'Datensujeten z'informéieren an, wa relevant, d'Iwwerwaachungsautoritéiten ze informéieren andeems se d'Informatioun zur Verfügung stellen, am Aklang mam Artikel 33 (3) vum GDPR.
    5. (v) Op Ufro vum Dateexporteur gëtt den Dateimporter gezwongen den Dateexporteur bei senger Verpflichtung ze hëllefen eng Dateschutz Impakt Bewäertung auszeféieren, déi vum Artikel 35 vum GDPR erfuerderlech ka sinn an eng vireg Konsultatioun déi kann sinn erfuerderlech vum Artikel 36 vum GDPR betreffend d'Servicer vum Dateimporter un den Dateexporteur ënner dësem Appendix geliwwert, déi néideg an Informatioun un den Dateexporteur liwweren. Den Dateimporteur wäert nëmme verflicht sinn esou Hëllef ze bidden, wann den Dateexporteur seng Verpflichtung net mat anere Mëttelen erfëllen kann. Den Dateimporteur beréit den Dateexporteur iwwer d'Käschte vun esou Hëllef. Soubal den Dateexporteur bestätegt huet datt hien dës Käschte kann droen, gëtt den Dateimporter dem Dateexporteur dës Hëllef.
    6. (vi) Um Enn vun der Versuergung vun de Servicer kann den Dateexporteur de Retour vun de perséinlechen Donnéeën, déi vum Dateimporter ënner dësem Appendix veraarbecht ginn, bannent engem Mount no de Servicer ufroen. Ausser d'Gesetzgebung vum Memberstaat oder vun der Europäescher Unioun verlaangt datt den Dateimporter esou perséinlech Donnéeën späichert oder behalen, läscht den Dateimporter all esou perséinlech oder net-perséinlech Donnéeën no der Period vun engem Mount, egal ob se zréckginn an den Dateexporteur op seng Ufro oder net.

 

3.3 Rechter vun de betraffene Persounen

  1.  
    1. (i) Den Dateexporteur geréiert a reagéiert op Ufroe vun den Datesubjekter. Den Dateimporter ass net verpflicht direkt op d'Datensujeten ze reagéieren.
    2. (ii) Wann den Dateexporteur d'Hëllef vum Dateimporter bei der Veraarbechtung an der Äntwert op d'Ufroe vum Datebetreff erfuerdert, gëtt den Dateexporteur eng weider Instruktioun am Aklang mat der Klausel 3.1 (ii) vum Deel 1. Den Dateimporter hëlleft dem Dateexporteur. mat de folgende passenden an techneschen organisatoresche Moossnamen fir op d'Ufroe fir d'Ausübe vun de Rechter vun den Datesubjekte z'äntwerten, déi am Kapitel III vum GDPR festgeluegt sinn, wéi follegt:
    3. a. Wat d'Ufroe fir Informatioun ugeet, gëtt den Dateimporter den Dateexporteur nëmmen déi Informatioun, déi vum Artikel 13 a 14 vum PGRD erfuerderlech ass, déi hien zur Verfügung kann hunn, wann den Dateexporteur se net eleng fënnt.
    4. b. Wat Ufroe fir Zougang ugeet (Artikel 15 vum GDPR), liwwert den Dateimporter dem Dateexporteur nëmmen d'Informatioun, déi soll en Datesubjekt zur Verfügung stellen fir déi genannte Ufro fir Zougang, déi hien zur Verfügung kann hunn wann de Déi lescht kann et net eleng fannen.
    5. c. Betreffend Ufroe fir Rectifikatioun (Artikel 16 vum GDPR), Demande fir Läsch (Artikel 17 vum GDPR), Restriktioun vun Ufroe fir Veraarbechtung (Artikel 18 vum GDPR), oder Ufroe fir Portabilitéit (Artikel 20 vum GDPR), an nëmmen wann den Dateexporteur net selwer kann d'perséinlech Donnéeën un eng aner Drëtt Partei korrigéieren oder läschen, limitéieren oder iwwerdroen, bitt den Dateimporter dem Dateexporteur d'Méiglechkeet fir déi betraffe perséinlech Donnéeën un déi aner Drëtt Partei ze korrigéieren oder ze läschen, ze limitéieren oder ze vermëttelen, oder wann dat net méiglech ass, gëtt et d'Hëllef fir déi betraffe perséinlech Donnéeën ze korrigéieren oder ze läschen, ze limitéieren oder un déi aner Drëttpersoun ze iwwerdroen.
    6. d. Wat d'Notifikatioun betreffend d'Rectifizéierung, d'Läschen oder d'Restriktioun vun der Veraarbechtung ugeet (Artikel 19 vum GDPR), hëlleft den Dateimporter den Dateexporteur andeems hien all Empfänger vu perséinlechen Donnéeën, déi vum Dateimporter als Veraarbechter engagéiert sinn, informéiert, wann den Dateexporteur dat freet an wann den Dateexporteur d'Situatioun net eleng kann léisen.
    7. e. Wat d'Recht op Oppositioun ugeet, dat vun engem Datesujet ausgeübt gëtt (Artikel 21 an 22 vum GDPR) wäert den Dateexporteur bestëmmen ob d'Oppositioun legitim ass a wéi een domat ëmgeet.
    8. (iii) D'Hëllefsverpflichtungen vum Dateimporter si limitéiert op perséinlech Donnéeën, déi a senger Infrastruktur veraarbecht ginn (zB Datenbanken, Systemer, Uwendungen, déi vum Dateimportateur gehéiert oder zur Verfügung gestallt ginn).
    9. (iv) Den Dateexporteur bestëmmt ob en Datesubjekt d'Rechter vun den Datesujeten ausübe kann, déi an der Klausel 3.1 vun dësem Deel 1 festgeluegt sinn a beréit den Dateimporter iwwer d'Ausmooss wéi d'Hëllef, déi an de Klauselen 3.3 (ii), (ii) spezifizéiert ass, ( iii) vum Deel 1 ass néideg.
    10. (v) Wann den Dateexporteur zousätzlech oder modifizéiert technesch an organisatoresch Moossnamen freet fir d'Rechter vun den Datesujeten z'erhalen, déi iwwer d'Hëllef vum Dateimporter ënner Sub-Klausel 3.3 (ii), (iii) vum Deel 1 geliwwert ginn, d'Daten Den Importer informéiert den Dateexporteur iwwer d'Käschte fir sou zousätzlech oder modifizéiert technesch an organisatoresch Moossnamen ëmzesetzen. Soubal den Dateexporteur bestätegt huet datt hien dës Käschten erreeche kann, wäert den Dateimporter esou zousätzlech oder modifizéiert technesch an organisatoresch Moossnamen ëmsetzen fir den Dateexporteur ze hëllefen op d'Ufroe vun den Datesubjekter ze reagéieren.
    11. (vi) Ouni den Ëmfang vun der Klausel 3.3 (v) vum Deel 1 ze limitéieren, ass den Dateexporteur verpflicht den Dateimporteur fir seng raisonnabel Ausgaben ze rembourséieren, déi entstinn fir op d'Ufroe vun den Datesubjekter ze reagéieren.

 

3.4 Ënnerveraarbechtung

  1.  
    1. (i) Den Dateexporteur autoriséiert den Dateimportateur d'Benotzung vun Ënnerkontrakter fir d'Bereetstellung vu Servicer ënner dësem Appendix. Den Dateimporteur wäert esou Dateprozessor(en) suergfälteg auswielen. Den Dateexporteur stëmmt den Dateprozessor(en) déi am Appendix 1.1 um Enn vum Deel 2 opgezielt sinn.
    2. (ii) Den Dateimporteur iwwerdroe seng Verpflichtungen ënner dësem Appendix un den Dateveraarbechter (en) an d'Ausmooss applicabel fir d'Ënnerkontrakter Servicer.
    3. (iii) Den Dateimporteur kann entloossen, ersetzen oder en anere passenden an zouverléissege Dateprozessor (en) no senger Diskretioun ernennen. Wann dat schrëftlech vum Dateexporteur gefrot gëtt, muss den Dateimporter d'Prozedur hei ënnen verfollegen:
  2.  
    1. a. Den Dateimporteur informéiert den Dateexporteur virun all Ännerunge vun der Lëscht vun den Dateprozessoren, déi ënner Klausel 3.4 (i) vum Deel 1 referenzéiert sinn. (b) vum Deel 1 drësseg Deeg no der Notifikatioun vum Dateimporter, ginn déi zousätzlech Dateveraarbechter als akzeptéiert ugesinn.
    2. b. Wann den Dateexporteur e legitime Grond huet géint en zousätzlechen Dateprozessor ze protestéieren, gëtt et dem Dateimporter schrëftlech viraus bannent drësseg Deeg no der Empfang vun der Notifikatioun vum Dateimporter a ier de Service vum Datimportateur a Betrib geholl gëtt. Wann den Dateexporteur géint d'Benotzung vun engem zousätzlechen Dateprozessor protestéiert, kann den Dateimporter d'Obligatioun duerch eng vun de folgenden Optiounen ausléisen (no senger Diskretioun gewielt): (A) den Dateimporter annuléiert seng Pläng fir en zousätzleche Prozessor ze benotzen. perséinlech Donnéeën vum Dateexporter; (B) den Dateimporteur wäert d'Korrekturmoossnamen huelen, déi vum Dateexporteur a senger Bewerbung ugefrot ginn (d'Ofschafung vun der Anwendung) a benotzt den zousätzleche Prozessor iwwer d'perséinlech Donnéeën vum Dateexporteur;
  3.  
    1. (iv) wann den Dateprozessor ausserhalb vun der EU-EWA an engem Land baséiert dat net unerkannt gëtt als en adäquate Dateschutzniveau no enger Entscheedung vun der Europäescher Kommissioun ze bidden, wäert den Dateimporteur d'Mesuren huelen fir en adäquate Niveau ze respektéieren vum Dateschutz am Aklang mam GDPR (sou Moossname kënnen ënner anerem enthalen an - d'Benotzung vun Dateveraarbechtungskontrakter baséiert op de Klauselen vum EU Modell, Transfert un selbstzertifizéiert Dateveraarbechter am Kader vum EU-US Protection Shield , oder en ähnleche Programm).

 

3.5 Verfall

D'Verfall vun dësem Appendix ass identesch mam Verfallsdatum vum entspriechende Kontrakt. Ausser wéi anescht an dësem Anhang virgesinn, sinn d'Rechter an d'Flichte betreffend d'Kënnegung déiselwecht wéi déi am Kontrakt enthale sinn.

 

4. Limitatioun vun Haftung

4.1 All Partei behandelt seng Verpflichtungen ënner dësem Appendix an der applicabel Dateschutzgesetzgebung.

4.2 All Haftung am Zesummenhang mat enger Verstouss géint d'Verpflichtungen ënner dësem Appendix oder applicabel Dateschutzgesetzgebung ass ënnerleien a regéiert vun den Haftungsbestëmmungen, déi am Kontrakt festgeluecht oder applicabel sinn, ausser wéi anescht an dësem Appendix virgesinn. Wann d'Haftung duerch d'Haftungsbestëmmunge regéiert gëtt, déi am Kontrakt festgeluecht oder applicabel ass, fir d'Berechnung vun der Haftungsgrenzen oder d'Bestëmmung vun der Uwendung vun anere Haftungsbeschränkungen, gëtt all Haftung, déi ënner dësem Appendix entstinn, ugesinn ënner dem Kontrakt entstinn.

 

5. Allgemeng Bestëmmungen

5.1 Wann et Inkonsistenzen oder Diskrepanzen tëscht Deeler 1 an 2 vun dësem Appendix sinn, wäert den Deel 2 virrangen. Speziell, och an esou engem Fall, bleift den Deel 1, deen einfach iwwer den Deel 2 geet (dh d'Konditioune vun de Standardklauselen) ouni widderspréchlech gëlteg bleiwen.

5.2 Wann eng Diskrepanz entsteet tëscht de Bestëmmunge vun dësem Anhang an deenen vun anere Verträg, déi d'Parteien verbindlech sinn, herrscht dësen Anhang iwwer d'Dateschutzverpflichtungen vun de Parteien. Am Zweifelsfall ob d'Klauselen an anere Kontrakter d'Dateschutzverpflichtungen vun de Parteien betreffen, wäert dësen Appendix virrangen.

5.3 Wann eng Bestëmmung vun dësem Appendix ongëlteg oder net erzwéngen ass, bleift de Rescht vun dësem Appendix a voller Kraaft an Effekt. Déi ongëlteg oder net erzwéngbar Bestëmmung gëtt (i) geännert fir hir Gültegkeet an Duerchféierung ze garantéieren, wärend sou wäit wéi méiglech d'Intent vun de Parteien behalen, oder - wann dëst net méiglech ass - (ii) interpretéiert wéi wann den ongëlteg oder net erzwéngen Deel hätt war ni Deel vum Kontrakt. D'virdrun gëlt och wann et an dësem Appendix en Auswee ass.

5.5 Am néidege Mooss kënnen d'Parteien Ännerunge vum Deel 1, Klausel 3 (Konformitéit mam lokalen Gesetz) oder aner Deeler vum Appendix ufroen fir Interpretatiounen, Direktiven oder Uerder ze respektéieren, déi vun den zoustännegen Autoritéite vun der Unioun oder der Unioun ausgestallt goufen. Memberstaaten, national Duerchféierungsbestëmmungen, oder all aner gesetzlech Entwécklungen betreffend den GDPR oder aner Konditioune vun der Delegatioun un all Entitéiten, déi an der Dateveraarbechtung involvéiert sinn a speziell iwwer d'Benotzung vun de Standard Kontraktklauselen am GDPR. D'Konditioune vun de Standard Kontraktklauselen däerfen net geännert oder ersat ginn, ausser d'Europäesch Kommissioun et ausdrécklech zoustëmmt (zB duerch nei adäquat Klauselen an Dateschutznormen).

5.6 All Referenz an dësem Appendix op d'"Klauselen" soll verstane ginn fir op all Bestëmmunge vun dësem Appendix ze referenzéieren, wann net anescht uginn.

5.7 D'Wiel vum Gesetz am Deel 2, Klausel 9 gëllt fir de ganze Kontrakt.

 

6. Perséinlech Daten, déi vun de Parteien fir perséinlech Zwecker iwwerdroen a veraarbecht ginn (Iwwerweisung vum Datekontroller an den Datekontroller)

6.1 D'Parteie wëssen ganz datt verschidde perséinlech Donnéeë vum Dateexporteur un den Dateimporter transferéiert ginn a vice versa, an datt dës Donnéeë vun all Partei fir seng eegen Zwecker veraarbecht ginn. Wat esou perséinlech Donnéeën ugeet, beaflosst se net déi aner Bestëmmunge vun dësem Appendix (ausser dës Klausel 6).

6.2 Den Dateexporteur kann perséinlech Donnéeë betreffend d'Personal vum Dateimporter un den Dateimporter transferéieren, inklusiv Informatioun iwwer Sécherheetsvirfäll, oder all aner Dokumenter oder Dateien, déi vum Dateexporteur erstallt oder etabléiert sinn a Verbindung mat de Servicer, déi vum Personal vun den Datenimporter. Den Dateimporteur kann esou perséinlech Donnéeën fir seng eegen Zwecker veraarbechten, besonnesch a senge beruffleche Relatioune mam Personal vum Dateimporter, fir Qualitéitskontroll an Training, oder fir Geschäftszwecker.

6.3. Den Dateimporteur kann perséinlech Donnéeën un den Dateexporteur transferéieren, inklusiv den Numm a Kontaktdetailer vum Personal vum Datimportateur. Den Dateexporteur kann esou perséinlech Donnéeën fir seng eegen Zwecker veraarbechten.

6.4 Béid Parteie sollen all applicabel Dateschutzgesetzer respektéieren, dorënner de GDPR, beim Sammelen, Veraarbechtung a Gebrauch vun esou perséinlechen Donnéeën, déi vun der anerer Partei ënner Klausel 1 vum Deel 1 kréien. en ähnleche Schutzniveau wéi d'Sécherheetsmoossnamen, déi am Appendix 2 vum Deel 2. All Zougang zu esou perséinlechen Donnéeën limitéiert sinn, fir se ze kennen.

6.5 Béid Parteien mussen esou perséinlech Donnéeën sou séier wéi méiglech läschen nodeems d'Ziler erreecht goufen.

Deel 2

 

Entscheedung vun der KOMMISSION

den 5. Februar 2010

iwwer Standardvertragsklauselen fir den Transfer vu perséinlechen Donnéeën un Dateveraarbechter, déi an Drëttlänner etabléiert sinn ënner der 95/46/EC Direktiv vum Europäesche Parlament a vum Conseil

 

 

 

Klausel 1

Definitiounen

Am Sënn vun de Klauselen:

a) 'perséinlech Donnéeën', 'speziell Kategorien vun Donnéeën', 'Veraarbechtung/Veraarbechtung', 'Kontroller', 'Veraarbechter', 'Datensubject' an 'Iwwerwaachungsautoritéit' hunn déiselwecht Bedeitung wéi am 95/46/EC Direktiv vum Europäesche Parlament a vum Conseil vum 24. Oktober 1995 iwwer de Schutz vun Individuen iwwer d'Veraarbechtung vu perséinlechen Donnéeën an iwwer de fräie Verkéier vun esou Donnéeën (1);

b) den 'Datenexporteur' ass den Datekontroller deen déi perséinlech Donnéeën iwwerdroen;

c) den "Datenimporteur" ass den Dateprozessor deen averstanen ass, vum Dateexporteur perséinlech Donnéeën ze kréien, déi geduecht sinn am Numm vum Dateexporteur no der Iwwerweisung am Aklang mat sengen Instruktiounen an ënner de Bedéngungen vun dëse Klauselen veraarbecht ze ginn an deen net ënnerleien dem Mechanismus vun engem Drëttland deen adäquate Schutz am Sënn vum Artikel 25(1) vun der Direktiv 95/46/EC garantéiert; (d) 'Datenveraarbechter' heescht den Dateprozessor, deen vum Dateimporter engagéiert gëtt oder vun engem aneren Dateprozessor vum Dateimporter, deen averstan ass, vum Dateimporter oder all aneren Dateprozessor vum Dateimporter perséinlech Donnéeën ausschliesslech fir d'Veraarbechtungsaktivitéiten ze kréien. am Numm vum Datenexporteur nom Transfert am Aklang mat den Instruktioune vum Dateexporteur duerchgefouert ginn,

e) "applicabel Dateschutzgesetz" heescht d'Gesetzgebung déi d'fundamental Rechter a Fräiheete vun Individuen schützt, inklusiv d'Recht op Privatsphär iwwer d'Veraarbechtung vu perséinlechen Donnéeën, a gëllt fir e Controller am Memberstaat wou den Dateexporteur etabléiert ass;

f) "technesch an organisatoresch Moossnamen am Zesummenhang mat der Sécherheet" heescht Moossname fir perséinlech Donnéeën ze schützen géint zoufälleg oder illegal Zerstéierung oder zoufälleg Verloscht, Ännerung, onerlaabten Offenbarung oder Zougang, besonnesch wann d'Veraarbechtung d'Iwwerdroung vun Daten iwwer Netzwierker implizéiert, a géint all aner illegal Formen vun Veraarbechtung.

Klausel 2

Detailer vum Transfert

D'Detailer vum Transfert, dorënner, wa passend, speziell Kategorien vu perséinlechen Donnéeën, ginn am Appendix 1 spezifizéiert, deen en integralen Deel vun dëse Klauselen ass.

Klausel 3

Drëtt Partei Beneficiaire Klausel

1. Den Datesubjekt kann géint den Dateexporteur dës Klausel, Klausel 4 (b) bis (i), Klausel 5 (a) bis (e) an (g) bis (j), Klausel 6 (1) an (2) duerchsetzen ), Klausel 7, Klausel 8(2) a Klausel 9 bis 12 als Drëtt Partei Beneficiaire

2. Den Datesubjekt kann dës Klausel, Klausel 5 (a) bis (e) an (g), Klausel 6, Klausel 7, Klausel 8 (2) a Klauselen 9 bis 12 géint den Dateimporter ëmsetzen, wou den Dateexporteur kierperlech huet verschwonnen oder am Gesetz opgehalen huet ze existéieren, ausser all seng gesetzlech Verpflichtungen goufen, duerch Kontrakt oder duerch Gesetzgebung, un d'Nofolgerentitéit transferéiert, op déi d'Rechter an d'Obligatiounen vum Dateexporteur dofir zréckkommen, a géint déi d'Donnéeën Sujet kann also déi genannte Klauselen duerchsetzen.

Den Datesubjekt kann dës Klausel, Klausel 5 (a) bis (e) an (g), Klausel 6, Klausel 7, Klausel 8 (2) a Klauselen 9 bis 12 géint den Dateprozessor duerchsetzen, awer nëmmen a Fäll wou d'Daten Den Exporteur an den Dateimporteur sinn kierperlech verschwonnen, opgehalen am Gesetz ze existéieren oder sinn insolvent ginn, ausser all gesetzlech Verpflichtungen vum Dateexporteur goufen duerch Kontrakt oder duerch Gesetzgebung un de legale Nofolger transferéiert, un deem d'Rechter a Verpflichtungen vum Dateexporteur sinn also festgeluegt, a géint deen den Datesubjekt dofir esou Klauselen duerchsetze kann. Esou Verantwortung vum Dateprozessor muss op seng eege Veraarbechtungsaktivitéite ënner dëse Klauselen limitéiert sinn.

4. D'Parteie maachen net dogéint, datt den Datesujet vun enger Associatioun oder engem anere Kierper vertruede gëtt, wann hien oder si dat wëllt a wann dat nationalt Gesetz dat erlaabt.

Klausel 4

Obligatiounen vum Dateexporteur

Den Dateexporteur akzeptéiert a garantéiert déi folgend:

a) d'Veraarbechtung, inklusiv den aktuellen Transfert vu perséinlechen Donnéeën, ass a wäert weider am Aklang mat den zoustännege Bestëmmunge vum applicabelen Dateschutzgesetz duerchgefouert ginn (an, wa relevant, un déi zoustänneg Autoritéite vum Memberstaat informéiert ginn) an deem den Datenexporteur baséiert) a verletzt net déi relevant Bestëmmunge vun deem Staat;

b) si hunn den Dateimporteur instruéiert, a wäerte fir d'Dauer vun de perséinlechen Dateveraarbechtungsservicer instruéieren, déi perséinlech Donnéeën ze veraarbecht, déi am eenzegen Numm vum Dateexporteur transferéiert ginn an am Aklang mat applicabel Dateschutzgesetz an dëse Klauselen;

c) den Dateimporteur gëtt genuch Sécherheetsmoossnamen iwwer déi technesch an organisatoresch Sécherheetsmoossnamen, déi am Appendix 2 zu dësem Kontrakt spezifizéiert sinn;

d) no der Evaluatioun vun den Ufuerderunge vum applicabelen Dateschutzgesetz sinn d'Sécherheetsmoossnamen adäquat fir perséinlech Donnéeën géint zoufälleg oder onerlaabt Zerstéierung oder versehentlech Verloscht, Ännerung, onerlaabt Verëffentlechung oder Zougang ze schützen, besonnesch wann d'Veraarbechtung d'Transmissioun vun Daten implizéiert iwwer engem Netz, a géint all aner illegal Forme vun der Veraarbechtung a garantéieren e Sécherheetsniveau passend fir d'Risiken, déi duerch d'Veraarbechtung representéiert sinn an d'Natur vun den Donnéeën ze schützen, ënner Beuechtung vum Niveau vun der Technologie an de Käschte vun der Ëmsetzung;

e) Si garantéieren d'Konformitéit mat Sécherheetsmoossnamen;

f) wann d'Iwwerweisung op spezielle Kategorien vun Donnéeën bezunn ass, ass den Datesubjekt informéiert ginn oder gëtt virum Transfert oder sou séier wéi méiglech no der Iwwerweisung informéiert datt seng oder hir Donnéeën an en Drëttland transferéiert kënne ginn, dat net ubitt en adäquate Schutzniveau am Sënn vun der Direktiv 95/46/EC;

g) Si wäerten all Notifikatioun, déi vum Dateimporter oder engem Dateveraarbechter ënner de Klauselen 5 (b) an 8 (3) kritt gëtt, un d'Dateschutzkontrollautoritéit weiderginn, wann se decidéiert weider ze transferéieren oder hir Suspensioun opzehiewen;

h) si stellen den Datesubjekter zur Verfügung, wa se dat froen, eng Kopie vun dëse Klauselen, ausser den Appendix 2, an eng Zesummefaassung vun de Sécherheetsmoossnamen, an eng Kopie vun all weideren Ënnerkontrakterofkommes, ofgeschloss ënner dëse Klauselen, ausser de Klauselen oder den Accord enthalen kommerziell Informatioun, an deem Fall kann hien dës Informatioun zréckzéien;

i) am Fall vun Ënnerkontrakterung vum Dateveraarbechtungsprozess, gëtt d'Veraarbechtungsaktivitéit am Aklang mat der Klausel 11 vun engem Dateprozessor duerchgefouert, deen op d'mannst dee selwechte Schutzniveau vu perséinlechen Donnéeën an de Rechter vun den Datesubjekt ubitt wéi den Dateimporter ënner dëse Klauselen ; an

j) et wäert d'Konformitéit mat Klausel 4 (a) bis (i) garantéieren.

Klausel 5

Obligatiounen vum Dateimporter

Den Dateimporter akzeptéiert a garantéiert déi folgend:

a) Si veraarbechten déi perséinlech Donnéeën nëmmen am Numm vum Dateexporteur an ënner den Instruktioune vum Dateexporteur an dëse Klauselen; wann et aus irgend engem Grond net erhale kann, si si averstanen den Dateexporteur iwwer seng Onméiglechkeet sou séier wéi méiglech z'informéieren, an deem Fall kann den Dateexporteur den Datenübertragung suspendéieren an/oder de Kontrakt ofschléissen;

b) si hu kee Grond ze gleewen datt d'Gesetz, dat fir si applicabel ass, him verhënnert d'Instruktioune vum Dateexporteur ze erfëllen an d'Verpflichtungen, déi him ënner dem Kontrakt zoustänneg sinn, a wann esou Gesetz eng Ännerung ënnerleien, déi e wesentleche negativen Effekt huet. Effekt op d'Garantien an d'Verpflichtungen ënner de Klauselen, wäert hien den Dateexporteur vun der Ännerung ouni Verspéidung informéieren nodeems hien se bewosst gouf, an deem Fall kann den Dateexporteur den Datenübertragung suspendéieren an/oder de Kontrakt ofschléissen; (c) si hunn déi technesch an organisatoresch Sécherheetsmoossnamen, déi am Appendix 2 spezifizéiert sinn, ëmgesat ier d'Veraarbechtung vun de perséinlechen Donnéeën iwwerdroe gëtt;

d) Si informéieren den Dateexporteur ouni Retard:

i) all verbindlech Ufro fir Verëffentlechung vu perséinlechen Donnéeën vun enger Affekot Autoritéit, wann net anescht uginn, sou wéi e kriminellen Verbuet fir d'Geheimnis vun enger Police-Enquête ze erhaalen;

ii) all zoufälleg oder onerlaabten Zougang; an

iii) all Ufro, déi direkt vun de betraffenen Persoune kritt gëtt, ouni drop ze äntweren, ausser hien huet dozou autoriséiert; Administrateuren

e) si wäerte prompt a richteg mat all Ufroe vum Dateexporteur iwwer seng Veraarbechtung vun de perséinlechen Donnéeën, déi transferéiert ginn, handelen a wäerten ënner der Meenung vun der Iwwerwaachungsautoritéit iwwer d'Veraarbechtung vun den iwwerdroenen Donnéeën handelen;

f) op Ufro vum Dateexporteur ënnerleien se seng Dateveraarbechtungsanlagen un engem Audit vun de Veraarbechtungsaktivitéiten, déi vun dëse Klauselen ofgedeckt sinn, déi vum Dateexporteur oder engem Iwwerwaachungsorgan aus onofhängege Memberen mat den erfuerderleche beruffleche Qualifikatiounen ausgefouert ginn, ënnerleien zu enger Verpflichtung vu Geheimnis a gewielt vum Dateexporteur, wa passend mam Accord vun der Iwwerwaachungsautoritéit;

g) Si stellen dem Dateberäich zur Verfügung, wann hien dat freet, eng Kopie vun dëse Klauselen, oder all existent Ënnerkontrakter vum Dateveraarbechtungskontrakt, ausser wann d'Klauselen oder de Kontrakt kommerziell Informatioun enthalen, an deem Fall kann et esou ewechhuelen. Informatioun, ausser den Appendix 2, deen duerch eng Resumébeschreiwung vun de Sécherheetsmoossname ersat gëtt, wou den Datesubjekt keng Kopie vum Dateexporteur kritt;

h) am Fall vu vertrauleche weideren Ënnerkontrakter vun der Dateveraarbechtung, wäert hien dofir suergen datt hien den Dateexporteur am Viraus informéiert an d'schrëftlech Zoustëmmung vum Dateexporter kritt;

i) d'Veraarbechtungsdéngschter, déi vum Dateprozessor geliwwert ginn, entspriechen d'Klausel 11;

j) si schécken direkt eng Kopie vun all Ënnerkontrakter vum Dateveraarbechtungsvertrag, deen et ënner dëse Klauselen agefouert gouf, un den Dateexporteur.

Klausel 6

Responsabilitéit

1. D'Parteien sinn averstanen datt all Dateschutz, deen duerch eng Verletzung vun de Verpflichtungen, déi an der Klausel 3 oder 11 bezeechent gëtt, vun enger Partei oder vun engem Dateprozessor Schued gelidden huet, d'Entschiedegung vum Dateexporteur fir de Schued kritt.

2. Wann en Datesubjekt verhënnert gëtt eng Aktioun fir Schuedenersaz wéi am Paragraph 1 bezeechent géint den Dateexporteur ze bréngen, well den Dateimporter oder säin Dateveraarbechter net mat enger vun sengen Obligatiounen ënner Klausel 3 oder Klausel 11 respektéiert well d'Daten Exporter kierperlech verschwonnen ass, opgehalen am Gesetz ze existéieren oder insolvent ginn ass, ass den Dateimporter averstanen datt den Datesubjekt eng Plainte géint hie ka maachen, wéi wann et den Dateexporteur wier, ausser all gesetzlech Verpflichtungen vum Dateexporteur goufen per Kontrakt transferéiert. oder duerch Fonctionnement vum Gesetz, op seng Nofolger Entitéit, géint déi den Dateberäich dann seng Rechter duerchzesetzen kann. Den Dateimporter däerf sech net op e Verstouss vu senge Verflichtunge vun engem Dateprozessor vertrauen fir seng eege Verantwortung ze vermeiden.

3. Wann en Datesubjekt verhënnert gëtt, d'Aktioun, déi an de Paragrafen 1 an 2 bezeechent gëtt, géint den Dateexporteur oder den Dateimporter ze bréngen wéinst Verstouss vum Dateprozessor vu sengen Obligatiounen ënner Klausel 3 oder Klausel 11, well den Dateexporteur an den Dateimporter physesch verschwonnen, gesetzlech opgehalen ze existéieren oder insolvent ginn ass, ass den Dateveraarbechter averstanen datt den Datesubjekt eng Plainte géint hien iwwer seng eege Veraarbechtungsaktivitéiten am Aklang mat dëse Klauselen ka maachen, wéi wann et den Dateexporteur oder den Dateimporter wier, ausser all gesetzlech Verpflichtungen vum Dateexporteur oder Dateimporter goufen, duerch Kontrakt oder duerch Operatioun vum Gesetz, un de juristeschen Nofolger iwwerginn, géint deen den Datesujet dann seng Rechter behaapte kann.D'Haftung vum Dateprozessor muss op seng eege Veraarbechtungsaktivitéiten am Aklang mat dëse Klauselen limitéiert sinn.

 

Klausel 7

Mediatioun a Juridictioun

1. Den Dateimporter ass averstanen datt wann ënner de Klauselen den Dateberäich géint hien d'Recht vum Drëtte-Beneficiaire oprufft an/oder d'Entschiedegung fir de erliddene Viruerteeler fuerdert, akzeptéiert hien d'Entscheedung vum Datesubjekt:

a) de Sträit der Mediatioun vun enger onofhängeger Persoun oder, wa passend, der Opsiichtsautoritéit ze maachen;

b) de Sträit virun de Geriichter vum Memberstaat ze bréngen, wou den Dateexporteur baséiert.

2. D'Parteien stëmmen datt d'Wiel vum Datesubjekt net d'prozedural oder materiell Recht vum Datebetreffend beaflosst fir Erhuelung am Aklang mat anere Bestëmmunge vum nationalen oder internationale Recht ze kréien.

Klausel 8

Zesummenaarbecht mat Opsiicht Autoritéiten

1. Den Dateexporteur ass averstanen eng Kopie vum haitege Kontrakt bei der Iwwerwaachungsautoritéit ze deposéieren, wann déi lescht dat verlaangt oder wann esou Depot vum applicabelen Dateschutzgesetz virgesinn ass.

2. D'Parteien stëmmen datt d'Iwwerwaachungsautoritéit d'Kontrollen beim Dateimporter an all Dateveraarbechter am selwechte Mooss an ënner de selwechte Konditioune kann ausféieren, wéi bei de Kontrollen, déi am Dateexporteur am Aklang mat applicabel Dateschutzgesetz gemaach ginn.

3. Den Dateimporteur informéiert den Dateexporteur sou séier wéi méiglech iwwer d'Existenz vu Gesetzgebung betreffend den Dateimporter oder all Dateprozessor, déi d'Verifizéierung beim Dateimporter oder all Dateprozessor am Aklang mam Paragraph 2 verhënnert. Dateexporteur kann d'Mesuren huelen, déi am Klausel 5 (b) virgesinn ass.

Klausel 9

Applicabel Gesetz

D'Klauselen gëllen a gi vum Gesetz vum Memberstaat regéiert wou den Dateexporteur baséiert.

Klausel 10

Ännerung vum Kontrakt

D'Parteien verpflichte déi aktuell Klauselen net ze änneren. D'Parteie bleiwe fräi fir aner kommerziell Klauselen opzehuelen, déi se néideg fannen, virausgesat datt se déi aktuell Klauselen net widderspriechen.

Klausel 11

Spéider Ënnerkontrakter

1. Den Dateimporter wäert keng vun sengen Veraarbechtungsaktivitéite subcontractéieren, déi am Numm vum Dateexporteur ënner dëse Klauselen duerchgefouert ginn ouni d'virdrun schrëftlech Erlaabnes vum Dateexporteur. Den Dateimporteur soll seng Verpflichtungen ënner dëse Klauselen nëmme subcontractéieren, mat der Zoustëmmung vum Dateexporteur, duerch e schrëftlechen Ofkommes mam Dateverwerker, deen dem Dateprozessor déiselwecht Verpflichtungen opleet wéi déi, déi dem Dateimporter ënner dëse Klauselen opgezwong sinn. Wann den Dateprozessor seng Dateschutzverpflichtungen ënner deem schrëftlechen Ofkommes net erhalen kann, bleift den Dateimporter voll verantwortlech fir den Dateexporteur fir d'Erfëllung vun dësen Obligatiounen.

2. De viraus schrëftlechen Ofkommes tëscht dem Dateimporter an dem Dateverwerker enthält och eng Drëtt-Partei Beneficiaire Klausel wéi an der Klausel 3 festgeluecht fir Fäll wou den Datesubjekt verhënnert ass d'Fuerderung fir Schuedenersaz ze bréngen, déi am Klausel 6 (1) bezeechent gëtt. ), géint den Dateexporteur oder den Dateimporteur well den Dateexporteur oder den Dateimporteur kierperlech verschwonnen ass, gesetzlech opgehalen ze existéieren oder insolvent ginn ass an all gesetzlech Verpflichtungen vum Dateexporteur oder Datenimporter net iwwer Kontrakt oder duerch Operatioun transferéiert goufen. vum Gesetz, op eng aner Nofolger Entitéit. D'Haftung vum Dateprozessor muss op seng eege Veraarbechtungsaktivitéiten am Aklang mat dëse Klauselen limitéiert sinn.

3. D'Bestëmmunge betreffend d'Dateschutzaspekter vum Ënnerkontrakter vun der Dateveraarbechtung vum Kontrakt, deen am Paragraph 1 bezeechent gëtt, ginn duerch d'Gesetz vum Memberstaat regéiert an deem den Dateexporteur etabléiert ass.

4. Den Dateexporteur hält eng Lëscht vun den Ënnerkontrakter vun den Dateveraarbechtungsverträg, déi ënner dëse Klauselen ofgeschloss sinn a vum Dateimporteur am Aklang mat der Klausel 5 (j) matgedeelt ginn, déi op d'mannst eemol am Joer aktualiséiert ginn. Dës Lëscht soll zur Verfügung gestallt ginn fir d'Dateschutziwwerwaachungsautoritéit vum Dateexporteur.

Klausel 12

Obligatioun no der Kënnegung vu perséinlechen Dateveraarbechtungsservicer

1. D'Parteien stëmmen datt nom Ofschloss vun den Dateveraarbechtungsservicer den Dateimporter an den Dateprozessor, op der Bequemlechkeet vum Dateexporteur, all iwwerdroe perséinlech Donnéeën a Kopien dovun un den Dateexporteur zréckginn, oder all esou Donnéeën zerstéieren a Beweis ubidden. d'Zerstéierung vum Dateexporteur, ausser d'Gesetzgebung, déi dem Dateimporter opgezwong gëtt, verhënnert datt hien all oder en Deel vun de perséinlechen Donnéeën iwwerdroe gëtt zréck oder zerstéiert. An deem Fall garantéiert den Dateimporter datt hien d'Vertraulechkeet vun de perséinlechen Donnéeën iwwerdroe wäert garantéieren an datt hien d'Donnéeën net méi aktiv veraarbecht.

2. Den Dateimporter an den Dateprozessor suergen dofir, datt, wann dat vum Dateexporteur an/oder der Opsiichtsautoritéit gefrot gëtt, se hir Moyene vun der Dateveraarbechtung der Verifizéierung vun de Moossnamen, déi am Paragraph 1 bezeechent ginn, ënnerleien.

 

 

 

 

Anhang 1.1 zum Deel 2

Detailer vum Transfert

 

 

Daten Exporter

Den Dateexporteur ass de Client deen am Vertragsvertrag definéiert ass.

 

Datenimporter

Den Dateimporter ass IQUALIF an ass zougewisen d'Daten ze veraarbechten, Servicer un den Dateexporteur ze liwweren.

 

Sujeten vun den Donnéeën

Déi transferéiert perséinlech Donnéeë betreffen déi folgend Kategorien vun Datesubjekter:

˜' Telefon Abonnente, déi am universellen Verzeichnis opgezielt sinn

˜ Aner, dorënner:

 

Kategorien vun Donnéeën

Déi transferéiert perséinlech Daten betreffen déi folgend Kategorien vun Daten:

 

Kategorien vu perséinlechen Donnéeën vun den Datesubjekter vum Dateexporteur besonnesch,

˜' Vollen Numm

˜' Postadress

˜' Kontaktdetailer (E-Mail, Telefon, IP Adress, etc.)

˜' Detailer vu Marketingaktivitéite betreffend den Telefonabonnent

˜' Aner, dorënner d'Aart vu Wunnengen, Akommes, an Duerchschnëttsalter vun der Stad anonym gemaach

 

Spezialkategorien vun Daten (wann zoutreffend)

Déi transferéiert perséinlech Daten betreffen déi folgend speziell Kategorien vun Daten:

˜' Den Transfert vu speziellen Datekategorien ass net virgesinn

˜ Rass oder ethneschen Hierkonft

˜ Reliéis oder philosophesch Iwwerzeegungen

˜ Gewerkschaftsmemberschaft

˜ Politesch Meenung

˜ Genetesch Informatioun

˜ Biometresch Informatioun

˜ Informatiounen iwwer sexuell Orientéierung oder sexuell Liewen

˜ Gesondheetsdaten

 

Veraarbechtung Aktivitéiten

Déi transferéiert perséinlech Donnéeën ënnerleien déi folgend Basisveraarbechtungsaktivitéiten:

 

  •  
    • ¢ Zweck vun der Veraarbechtung

D'Veraarbechtung am Numm vum Dateexporteur baséiert op de folgenden Themen, besonnesch:

˜' Iwwerhuelen vun de Produkter oder Servicer, déi vum Dateexporteur ugebuede ginn

˜' D'Offer vun engem Produkt oder Service deen déi genannte Persoun ufroe kann

˜' Bestellungen geholl vun de genannte Persounen a weider Veraarbechtung vun dësen Bestellungen

˜' Studéiert Questionnaire an Analysen

˜' Telemarketing

˜ Aner, dorënner:

 

  •  
    • ¢ Natur an Zweck vun der Veraarbechtung

Den Dateimporter veraarbecht d'perséinlech Donnéeë vun den Datesubjekter am Numm vum Dateexporteur, fir déi folgend Servicer ze bidden, a virun allem:

˜' Verkaf a Marketing

˜' Aner, dorënner d'Aktualiséierung vun Datenbanken vu Gemengen a politesche Parteien

 

  •  
    • ¢ Déngschtleeschtungen a Beschäftegung vun Déngschtleeschter

 

IQUALIF kombinéiert haaptsächlech, zentraliséiert a liwwert Servicer un den Datenexporter. D'Servicer, déi vum genannten Déngschtleeschter geliwwert ginn, kënne strukturéiert sinn (ënner anerem wéi passend) ronderëm déi folgend Nieweservicer: (i) Dispositioun vun Uwendungen, Tools, Systemer an IT-Infrastruktur a Relatioun mat den Dateveraarbechtungszentren, déi benotzt ginn, fir ze liwweren an ënnerstëtzen d'Servicer, inklusiv d'Veraarbechtung vun de perséinlechen Donnéeën vun den Datesubjekte wéi uewen beschriwwen, iwwer sou Uwendungen, Tools a Systemer, (ii) d'Bereetstellung vun IT-Ënnerstëtzung, Ënnerhalt an aner Servicer betreffend esou Uwendungen, Tools, Systemer an IT Infrastruktur, inklusiv potenziellen Zougang zu perséinlechen Donnéeën, déi an esou Uwendungen, Tools a Systemer gespäichert sinn, an (iii) d'Bereetstellung vun Dateschutzservicer, Schutziwwerwaachung, an Tëschefallreaktiounsservicer, inklusiv potenziellen Zougang zu perséinlechen Donnéeën wann Dir esou Schutzservicer ubitt. IQUALIF kann Dateprozessoren engagéieren wéi hei ënnendrënner fir d'Servicer ze bidden, inklusiv Nieweservicer.

 

  •  
    • ¢ Extern Drëtt-Partei Déngschtleeschter als Ënnerentitéite fir d'Dateveraarbechtung zougewisen

 

IQUALIF engagéiert externen an Drëtt-Partei Déngschtleeschter, déi net Filialen vun IQUALIF sinn, fir d'Bereetstellung vu Servicer un den Dateexporteur z'ënnerstëtzen. Den Dateexporteur stëmmt sou extern Drëtt-Partei-Déngschtleeschter als Ënner-Entitéiten, déi un d'Dateveraarbechtung zougewisen sinn.

 

Wann eng Ënnerentitéit, déi an der Dateveraarbechtung involvéiert ass, ausserhalb vun der EU/EWO lokaliséiert ass, an engem Land, dat ënner enger Decisioun vun der Europäescher Kommissioun als net en adäquate Dateschutzniveau ugesi gëtt, wäert den Dateimporteur Schrëtt huelen fir en adäquate Niveau vun Dateschutz am Aklang mat dem GDPR an dem Sektioun 3.4 (iv) vum Deel 1.

 

 

Anhang 2, Deel 2

Technesch an organisatoresch Schutzmoossnamen

 

Den Dateimporteur wäert déi folgend technesch an organisatoresch Schutzmoossnamen huelen, déi vum Dateexporteur bestätegt ginn, fir e passenden Niveau vu Sécherheet fir d'Rechter a Fräiheeten vun Individuen ze garantéieren, ofhängeg vun de Risiken. Bei der Bewäertung vum betreffend Schutzniveau huet den Dateexporteur besonnesch d'Risiken, déi an der Veraarbechtung involvéiert sinn, berécksiichtegt, dorënner zoufälleg oder onerlaabt Zerstéierung, Ännerung, onerlaabt Offenbarung oder Zougang zu perséinlechen Donnéeën, déi iwwerdroen, gespäichert oder soss veraarbecht ginn. Duerch Klärung: Dës technesch an organisatoresch Schutzmoossnamen gëllen net fir d'Applikatiounen, Tools, Systemer an/oder IT-Infrastrukture vum Dateexporteur.

1 Allgemeng technesch an organisatoresch Schutzmoossnamen
1.1 Allgemeng Informatioun an Dateschutzstrategien
Déi folgend Schrëtt solle geholl ginn fir allgemeng Date- an Informatiounsschutzstrategien ze verfollegen:
  • a) Moossnamen huelen fir déi geholl ze bewäerten wat den techneschen an organisatoresche Schutz ugeet;
  • b) Ausbildung ubidden fir d'Sensibiliséierung bei de Mataarbechter ze erhéijen;
  • c) eng Beschreiwung vun de betreffend Systemer hunn an Zougang zu Mataarbechter ginn;
  • d) e formellen Dokumentatiounsprozess etabléieren wann ëmmer Systemer implementéiert oder geännert ginn;
  • e) Dokumentatioun vun der organisatorescher Struktur, Prozesser, Verantwortung, a jeeweileg Evaluatioune;
 
1.2 Organisatioun vun Informatiounen Schutz
Déi folgend Moossname solle getraff ginn fir Daten- an Informatiounsschutzaktivitéiten ze koordinéieren:
  • a) definéiert Verantwortung fir den Informatiouns- an Dateschutz (zB duerch d'Dateschutzmanagement Politik);
  • b) déi néideg Expertise fir d'Informatioun an d'Verfügbar Donnéeën ze schützen;
  • c) all Mataarbechter verpflichte sech dofir ze suergen, datt perséinlech Donnéeën vertraulech gehale ginn, an iwwer déi potenziell Konsequenze vun der Verletzung vun dësem Engagement informéiert ginn.
 
1.3 Zougang Kontroll zu Veraarbechtung Beräicher
Déi folgend Moossname musse geholl ginn fir ze verhënneren datt net autoriséiert Persounen Zougang zu Dateveraarbechtungssystemer (besonnesch Software an Hardware) kréien wann perséinlech Donnéeën veraarbecht, gespäichert oder iwwerdroe ginn:
  • a) séchere Beräicher opbauen;
  • b) Schutz a beschränken Zougang zu Datenveraarbechtungssystemer;
  • c) Accès Autorisatioune fir Mataarbechter an Drëttpersounen opzebauen, dorënner déi jeweileg Dokumenter;
  • d) all Zougang zu Datenveraarbechtungszentren, an deenen perséinlech Donnéeën gespäichert sinn, protokolléiert ginn.
 
1.4 Zougang Kontroll zu Daten Veraarbechtung Systemer
Déi folgend Moossname musse getraff ginn fir onerlaabten Zougang zu Datenveraarbechtungssystemer ze vermeiden:
  • a) Benotzer Authentifikatioun Politiken a Prozeduren;
  • b) d'Benotzung vu Passwierder op all Computersystemer;
  • c) Fernzougang zum Netz erfuerdert Multi-Faktor Authentifikatioun a gëtt der betraffener Persoun no hirer Verantwortung an no der Autorisatioun accordéiert;
  • d) Zougang zu spezifesche Funktiounen baséiert op Aarbechtsfunktiounen an/oder Attributer individuell op de Benotzerkont zougewisen;
  • e) Zougangsrechter am Zesummenhang mat perséinlechen Donnéeën ginn regelméisseg iwwerpréift;
  • f) Opzeechnunge vun Ännerunge fir Zougangsrechter ginn aktuell gehal.
 
1.5 Kontrollen Zougang zu bestëmmte Beräicher vun Benotzung vun Daten Veraarbechtung Systemer
Déi folgend Moossname musse getraff ginn, fir sécherzestellen, datt autoriséiert Persounen, déi d’Recht hunn den Dateveraarbechtungssystem ze benotzen, nëmmen op Donnéeën bannent hirer jeeweileger Verantwortung an Zougangsautorisatiounen zougräifen an datt perséinlech Donnéeën net ouni Autorisatioun gelies, kopéiert, geännert oder geläscht kënne ginn:
  1.  
    1. a) Politiken, Instruktiounen an Ausbildung vu Mataarbechter, betreffend d'Verpflichtungen vun jidderee vun hinnen iwwer d'Vertraulechkeet, d'Rechter vum Zougang zu perséinlechen Donnéeën an den Ëmfang vun der Veraarbechtung vu perséinlechen Donnéeën;
  • b) Disziplinarmoossname géint Persounen déi op perséinlech Donnéeën ouni Autorisatioun zougräifen;
  • c) Zougang zu perséinlechen Donnéeën gëtt nëmmen un autoriséiert Persounen zouginn, op enger Noutwendegkeet Basis;
  • d) eng Lëscht vun System Administrateuren erhalen an passenden Moossname huelen System Administrateuren ze kontrolléieren;
  • e) keng perséinlech Donnéeën op all Späichersystem ze kopéieren oder ze reproduzéieren fir onerlaabten Persounen z'erméiglechen d'Informatioun vum Originator ze läschen;
  • f) kontrolléiert an dokumentéiert Läschen oder Zerstéierung vun Donnéeën;
  • g) fir sécher all perséinlech Donnéeën ze späicheren, déi aus gesetzlechen oder reglementaresche Grënn musse gespäichert ginn (z.B. Verpflichtungen fir Daten z'erhalen), an nëmme soulaang wéi d'Gesetz verlaangt.
 
1.6 Transmissiounen Kontroll
Déi folgend Moossname musse getraff ginn fir ze verhënneren datt perséinlech Donnéeën vun onerlaabten Drëttpersounen gelies, kopéiert, geännert oder geläscht ginn wärend der Iwwerdroung oder Transport vun Datespäichergeräter (ofhängeg vun der Veraarbechtung vu perséinlechen Donnéeën ënnerholl):
  1.  
    1. a) Notzung vu Firewalls;
  • b) d'Späichere vu perséinlechen Donnéeën op mobilen Späichergeräter fir Transportzwecker vermeiden oder d'Apparater verschlësselen;
  • c) benotzt op Laptops an aner mobilen Apparater nëmmen nodeems de Verschlësselungsschutz aktivéiert gouf;
  • d) Logbuch vu perséinlechen Datetransmissiounen.
 
1.7 Donnéeën Entrée Kontroll
Déi folgend Moossname musse getraff ginn fir sécherzestellen datt et méiglech ass ze verifizéieren an ze bestëmmen ob perséinlech Donnéeën aginn oder aus Datenveraarbechtungssystemer geläscht goufen a vu wiem:
  1.  
    1. a) eng Politik fir d'Liesen, d'Ännerung an d'Läsche vu gespäicherten Donnéeën ze autoriséieren;
  • b) Schutzmoossname betreffend d'Liesen, d'Ännerung an d'Läschen vun gespäicherten Donnéeën.
 
1.8 Aarbecht Kontroll
Am Fall vun der delegéierter Veraarbechtung vu perséinlechen Donnéeën, mussen déi folgend Moossname getraff ginn fir sécherzestellen datt dës Donnéeën am Aklang mat den Instruktioune vum Supervisor veraarbecht ginn:
  1.  
    1. a) Entitéiten oder Ënnerentitéiten, déi der Dateveraarbechtung zougewisen sinn, mat Suergfalt gewielt (Serviceprovider déi perséinlech Donnéeën am Numm vum Controller veraarbecht);
  • b) Instruktioune betreffend den Ëmfang vun all Veraarbechtung vu perséinlechen Donnéeën un d'Mataarbechter, Entitéiten oder Ënnerentitéiten, déi der Dateveraarbechtung zougewisen sinn;
  • c) Auditrechter ausgemaach mat den Entitéiten oder Ënnerentitéiten, déi der Dateveraarbechtung zougewisen sinn;
  • d) Ofkommes mat den Entitéiten oder Ënnerentitéiten, déi zougewisen sinn fir d'Donnéeën ze veraarbecht.
 
1.9 Trennung vun der Veraarbechtung fir aner Zwecker
Déi folgend Moossname musse getraff ginn fir sécherzestellen datt Daten, déi fir aner Zwecker gesammelt ginn, getrennt veraarbecht kënne ginn:
  1.  
    1. a) getrennten Zougang zu perséinlechen Donnéeën am Aklang mat de existente Rechter vun de Benotzer;
  • b) Schnëttplazen, Batchveraarbechtung a Berichterstattung si fir aner Zwecker a Funktiounen, sou datt Daten, déi fir aner Zwecker gesammelt ginn, separat veraarbecht kënne ginn.
 
1.10 Pseudonymiséierung
Déi folgend Moossname musse getraff ginn iwwer d'Pseudonymiséierung vu perséinlechen Donnéeën:
  1.  
    1. a) Wann den Dateexporteur eng spezifesch Veraarbechtungsoperatioun bestellt oder wann dëst vum Dateimporter als passend ugesi gëtt am Aklang mat den Dateschutzgesetzer, déi a Kraaft sinn betreffend bestëmmte Veraarbechtungsaktivitéiten, gëtt d'Veraarbechtung vu perséinlechen Donnéeën esou duerchgefouert datt daten kënnen net méi un eng spezifesch Persoun zougeschriwwen ginn ouni d'Benotzung vun zousätzlech Informatiounen. Dës zousätzlech Informatioun gëtt getrennt gehale ginn;
  • b) Benotzung vu Pseudonymiséierungstechniken, dorënner Zousatzlëscht Randomiséierung; Schafung vu Wäerter a Form vu Schärft.
 
1.11 Verschlësselung

Déi folgend Schrëtt solle geholl ginn fir perséinlech Donnéeën an Uwendungen an Iwwerdroungen ze verschlësselen déi Verschlësselung ënnerstëtzen:

  1.  
    1. a) Notzung vun Verschlësselungstechniken;
  • b) Etablissement vun Verschlësselungsmanagement fir d'Verschlësselungstechniken z'ënnerstëtzen, déi autoriséiert sinn ze benotzen;
  • c) d'Ënnerstëtzung vun der Benotzung vu Kryptografie duerch Prozeduren a Protokoller fir d'Generatioun, d'Modifikatioun, d'Revokatioun, d'Zerstéierung, d'Verdeelung, d'Zertifizéierung, d'Späicheren, d'Erfaassung, d'Benotzung an d'Archivéiere vun kryptographesche Schlësselen fir géint onerlaabt Modifikatioun an Offenbarung ze schützen.
 
1.12 Vollständegkeet vun Datenveraarbechtungssystemer a Servicer
Déi folgend Moossname musse geholl ginn fir d'Vollständegkeet vun den Dateveraarbechtungssystemer a Servicer ze garantéieren:
  1. a) Schutz vun Dateveraarbechtungssystemer géint Manipulatioun oder Zerstéierung duerch entspriechend Mëttelen (zB Anti-Virus Software, Dateverloscht Präventioun Software a Software géint Malware, Software Patches, Firewalls, a geréiert Desktop Schutz);
  • b) d'Installatioun vun all Service oder Software verbidden, déi schiedlech ass fir Datenveraarbechtungssystemer, Servicer oder d'Manipulatioun vu perséinlechen Donnéeën;
  • c) Notzung vun engem Netzintrusiounserkennung a Präventiounssystem an der Struktur vum Netz selwer.
 
1.13 Disponibilitéit vun Dateveraarbechtungssystemer a Servicer an d'Méiglechkeet den Zougang zu a Gebrauch vu perséinlechen Donnéeën am Fall vun engem materiellen oder techneschen Tëschefall ze restauréieren
Déi folgend Moossname musse getraff ginn fir d'Disponibilitéit vun den Dateveraarbechtungssystemer ze garantéieren, souwéi fir séier d'Disponibilitéit vun an den Zougang zu perséinlechen Donnéeën ze restauréieren, am Fall vun engem materiellen oder techneschen Tëschefall (besonnesch doduerch datt perséinlech Donnéeën si géint zoufälleg Zerstéierung oder Verloscht geschützt):
  • a) Kontrollmëttel hunn fir Backupkopien ze halen a verluer oder geläscht Donnéeën ze restauréieren;
  • b) infrastrukturell Redundanz a Performance Tester;
  • c) kierperleche Schutz vun Computer Ressourcen;
  • d) Notzung vun Tools fir de Status an d'Disponibilitéit vum internen Netzwierk ze iwwerwaachen;
  • e) Tëschefall Berichterstattung an Äntwert Politiken der Tëschefall Gestioun Prozedur regéieren, an Widderhuelung vun Anhale vun dëse Politiken als Deel vun regelméisseg Training;
  • f) Backups (heiansdo off-site) fir de System ze restauréieren fir et z'erméiglechen seng Funktiounen erëm auszeféieren;
  • g) Affär Kontinuitéit / Katastroph Erhuelung Pläng
 
1.14 Widderstandsfäegkeet vun Daten Veraarbechtung Systemer a Servicer
Déi folgend Moossname musse geholl ginn fir d'Widderstandsfäegkeet vun den Dateveraarbechtungssystemer a Servicer ze garantéieren:
  • a) Systemer a harmonesch konfiguréiert, mat approuvéierte Sécherheetsparameter;
  • b) Reseau Redundanz;
  • c) Befestigungsschutz vu kriteschen Systemer.
 
1.15 Prozedur fir d'Effizienz vun techneschen an organisatoresche Moossname regelméisseg ze testen, evaluéieren an ze bewäerten fir d'Sécherheet vun der Dateveraarbechtung ze garantéieren
Prozedur fir d'Effizienz vun techneschen an organisatoresche Moossnamen regelméisseg ze testen, evaluéieren an ze bewäerten fir d'Dateveraarbechtung ze schützen.
  • a) déi néideg Schrëtt huelen fir Risiken a Reduzéierungsstrategien ze bewäerten;
  • b) Service Analyse Reuniounen vum IT Departement fir aktuell Themen unzegoen;
  • c) Geschäftskontinuitéit / Katastrophen Erhuelungspläng gi regelméisseg aktualiséiert.

 

Deel 3

Ënnerschrëfte vun de Parteien a Lëscht vun Datenimporter

 

Wann Dir den Online Bestellungsformular ausfëllt a validéiert andeems Dir d'Këscht markéiert fir déi allgemeng Benotzungsbedingunge akzeptéieren, gëtt de Kontrakt deen d'Relatioun tëscht dem Client an IQUALIF regéiert etabléiert.

D'Bezuelung un d'IQUALIF ze schécken wäert de Kontrakt berücksichtegen, deen ausgemaach an etabléiert ass.


Notéiert: Dësen Text gouf aus Franséisch iwwersat. Déi originell franséisch Versioun, déi valabel a gesetzlech restriktiv ass, ass hei verfügbar .