top of page

Data processing appendix

Ang Appendix na ito ay bumubuo ng mahalagang bahagi ng Kontrata at pinasok ng:

 

  1. (i) Ang Kliyente (" Data Exporter ")

  2. (ii) POSTCODEZIP (" Data Importer ")

 

Ang bawat isa ay isang " Partido " at karaniwang "Mga Partido ".

Preamble

WHERE the Data Importer provides professional software services, computer, and related services (such as browsers with advanced search functions);

WHERE pursuant to the Contract, the Data Importer has agreed to provide to the Data Exporter the services specified in the Contract (the "Services");

WHERE, by providing the Services, the Data Importer receives or benefits from access to the Data Exporter's information or the information of other persons having a (potential) relationship with the Data Exporter, such information may be qualified as personal data within the meaning of Regulation (EU) 2016/679 of the European Parliament and of the Council of the 27th of April 2016 on protecting individuals regarding the processing of personal data and on the free movement of such data ("GDPR") and other applicable data protection laws.

WHERE this Appendix contains the terms and conditions applicable to the collection, processing, and use of such personal data by the Data Importer in its capacity as the authorized data processing agent of the Data Exporter, to ensure that the Parties comply with applicable data protection law.

 

THEREFORE, and to enable the Parties to continue their relationship lawfully, the Parties have concluded this Appendix as follows:

Bahagi 1

1. Istraktura ng dokumento at mga kahulugan

1.1 Istruktura

Ang Apendise na ito ay binubuo ng iba't ibang bahagi tulad ng sumusunod:

Bahagi 1:

naglalaman ng mga pangkalahatang probisyon, hal. tungkol sa mga kahulugang ginamit sa Appendix na ito, pagsunod sa mga lokal na batas, tiyempo, at pagwawakas.

Bahagi 2:

naglalaman ng katawan ng hindi binagong dokumento ng Standard Contractual Clauses

Appendix 1.1 of Part 2:

naglalaman ng mga detalye ng mga operasyon sa pagpoproseso na ibinigay ng Data Importer sa Data Exporter bilang ang awtorisadong ahente sa pagpoproseso ng data (kabilang ang pagproseso, kalikasan, at layunin ng pagproseso, ang uri ng personal na data, at ang mga kategorya ng mga paksa ng data) sa ilalim nito Apendise

Appendix 2 ng Part 2:

naglalaman ng paglalarawan ng mga teknikal at pang-organisasyong hakbang sa seguridad ng Data Importer, na inilalapat kaugnay ng lahat ng aktibidad sa pagproseso na inilalarawan sa Appendix 1.1 ng Bahagi 2

Part 3:

naglalaman ng mga lagda ng Mga Partido na mapapatali sa Appendix na ito at kinikilala ang bawat Data Importer

1.2 Terminolohiya at mga kahulugan

For the purposes of this Appendix, the terminology and definitions used by the GDPR are applicable (In the body of the Standard Contractual Clause document in Part 2, where defined terms are not capitalized). 

"Miyembrong estado"

means a country belonging to the European Union or the European Economic Area

"Mga espesyal na kategorya ng (personal) na data"

tumutukoy sa personal na data na naghahayag ng lahi o etnikong pinagmulan, mga opinyon sa pulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, at genetic data, biometric data, kung naproseso para sa layunin ng natatanging pagkilala sa isang tao, data tungkol sa kalusugan, data tungkol sa kasarian ng isang tao buhay o oryentasyong sekswal

"Mga Karaniwang Kontratwal na Sugnay"

nangangahulugang ang Standard Contractual Clauses para sa paglilipat ng personal na data ng mga ahente sa pagpoproseso na itinatag sa mga ikatlong bansa, sa ilalim ng Commission Decision 2010/87/EU noong ika-5 ng Pebrero 2010, na binago ng Commission Implementing Decision (EU) 2016/2297 noong ika-16 ng Disyembre 2016

"Data processor"

nangangahulugang anumang ahente sa pagproseso, na matatagpuan sa loob o labas ng EU/EEA, na sumasang-ayon na tumanggap mula sa Data Importer o anumang iba pang processor ng Data Importer, personal na data para sa eksklusibong layunin ng pagproseso ng mga aktibidad na isasagawa ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin ng Data Exporter, sa mga tuntunin ng Appendix na ito at sa Kontrata sa Data Importer

2. Mga Obligasyon ng Data Exporter

2.1 Ang Data Exporter ay may obligasyon na tiyakin ang pagsunod sa lahat ng naaangkop na obligasyon sa ilalim ng GDPR at anumang iba pang naaangkop na batas sa proteksyon ng data na nalalapat sa Data Exporter at upang ipakita ang naturang pagsunod gaya ng iniaatas ng Artikulo 5 (2) ng GDPR. Ginagarantiyahan ng Data Exporter na nakuha ng Data Importer ang paunang pahintulot ng mga paksa ng data alinsunod sa Artikulo 6 (a) ng GDPR at nakasunod sa obligasyon nitong ipaalam sa mga paksa ng data alinsunod sa Artikulo 13 at 14 ng GDPR.

2.2 Ang Data Exporter ay dapat magbigay sa Data Importer ng kani-kanilang mga file ng mga aktibidad sa pagpoproseso alinsunod sa Artikulo 30 (1) ng GDPR na nauugnay sa Mga Serbisyo sa ilalim ng Appendix na ito, sa lawak na kinakailangan para sa Data Importer na sumunod sa obligasyon sa ilalim ng Artikulo 30 (2) ng GDPR.

2.3 Ang Data Exporter ay dapat magtalaga ng isang opisyal ng proteksyon ng data o kinatawan sa lawak na kinakailangan ng naaangkop na batas sa proteksyon ng data. Obligado ang Data Exporter na ibigay ang mga detalye sa pakikipag-ugnayan ng ahente o kinatawan ng proteksyon ng data, kung mayroon man, sa Data Importer.

2.4. Kinukumpirma ng Data Exporter bago ang pagkumpleto ng pagproseso, sa pamamagitan ng pagtanggap sa Appendix na ito, na ang mga teknikal at organisasyonal na hakbang sa seguridad ng Data Importer, tulad ng itinakda sa Appendix 2 hanggang Part 2, ay angkop at sapat upang protektahan ang mga karapatan ng paksa ng data. at kinukumpirma na ang Data Importer ay nagbibigay ng sapat na mga pananggalang sa bagay na ito.

3. Pagsunod sa lokal na batas

Upang matugunan ang mga kinakailangan ng pagpapatupad ng mga ahente sa pagproseso kasunod ng Artikulo 28 ng GDPR, naaangkop ang mga sumusunod na pagbabago:

3.1 Mga Tagubilin

  1. (i) The Data Exporter instructs the Data Importer to process personal data only on behalf of the Data Exporter. The Data Exporter's instructions are provided in this Appendix and in the Contract. The Data Exporter has the obligation to ensure that all instructions were given to the Data Importer comply with applicable data protection laws. The Data Importer must process personal data only in accordance with the instructions provided by the Data Exporter unless otherwise required by the European Union or the law of the Member State (in the latter case, Part 1 Clause 3.2 (iv) (c) applies).

  2. (ii) All other instructions going beyond the instructions in this Appendix or in the Contract must be included in the subject of this Appendix and the Contract. If implementing this additional instruction involves costs for the Data Importer, the Data Importer shall inform the Data Exporter of such costs and provide an explanation before implementing the instruction. Only after the Data Exporter has confirmed acceptance of these costs for implementing the instruction, the Data Importer shall implement this additional instruction. The Data Exporter must give additional instructions in writing unless urgency or other specific circumstances require another form (e.g. oral, electronic). Instructions in a form other than in writing must be confirmed in writing and without delay by the Data Exporter.

  3. 1. Unless the Data Exporter cannot carry out the rectification, erasure, or restriction of personal data by itself, the instructions may also relate to the rectification, erasure, and/or restriction of personal data as set out in Part 1 Clause 3.3.

  4. 2. The Data Importer must immediately inform the Data Exporter if, in its opinion, an Instruction violates the GDPR or other applicable data protection provisions of the European Union or a Member State ("Disputed Instruction"). If the Data Importer believes that an Instruction infringes the GDPR or other applicable data protection provisions of the European Union or a Member State, the Data Importer is not obliged to follow the Disputed Instruction. If the Data Exporter confirms the Contested Instruction upon receipt of information from the Data Importer and acknowledges its responsibility for the Contested Instruction, the Data Importer shall implement the Contested Instruction, unless the Contested Instruction relates to (i) the implementation of technical and organizational measures, (ii) the rights of the Data Subjects or (iii) the engagement of Data processors. In cases (i) to (iii), the Data Importer may contact a competent supervisory authority to have the contested Instruction legally evaluated by such authority. If the supervisory authority declares the challenged Instruction to be legal, the Data Importer shall implement the challenged Instruction. Part 1 Clause 3.1 (ii) shall remain applicable.

3.2 Mga Obligasyon ng Data Importer

  1. (i) Dapat tiyakin ng Data Importer na ang mga taong pinahintulutan ng Data Importer na magproseso ng personal na data sa ngalan ng Data Exporter, sa partikular na mga empleyado ng Data Importer at mga empleyado ng alinmang Sub-Contractor, ay nagsagawa ng pagsunod sa pagiging kumpidensyal o napapailalim sa isang naaangkop na tungkulin sa batas ng pagiging kumpidensyal, at na ang mga taong iyon na may access sa personal na data ay nagpoproseso nito alinsunod sa mga tagubilin ng Data Exporter.

  2. (ii) Dapat ipatupad ng Data Importer ang teknikal at pang-organisasyong mga hakbang sa seguridad tulad ng itinakda sa Appendix 2 hanggang Part 2 bago iproseso ang personal na data sa ngalan ng Data Exporter. Maaaring baguhin ng Data Importer ang teknikal at organisasyonal na mga hakbang sa seguridad paminsan-minsan kung hindi sila nagbibigay ng mas kaunting proteksyon kaysa sa mga itinakda sa Appendix 2 hanggang Part 2.

  3. (iii) Ang Data Importer ay dapat gawing available sa Data Exporter, kapag hiniling ng Data Exporter, ang impormasyon upang ipakita ang pagsunod sa mga obligasyon ng Data Importer sa ilalim ng Appendix na ito. Sumasang-ayon ang Mga Partido na ang obligasyong ito ng impormasyon ay natutugunan sa pamamagitan ng pagbibigay sa Data Exporter ng ulat ng pag-audit (na sumasaklaw sa seguridad ng mga prinsipyo, pagkakaroon ng system, at pagiging kumpidensyal) ("Ulat sa Pag-audit"). Kung legal na kinakailangan ang mga karagdagang aktibidad sa pag-audit, maaaring hilingin ng Data Exporter na magsagawa ng mga inspeksyon ng Data Exporter o ng isa pang auditor na hinirang ng Data Exporter, na napapailalim sa pagpapatupad ng naturang auditor ng isang kasunduan sa pagiging kumpidensyal kasama ang Data Importer sa Data Importer's makatwirang kasiyahan ("Audit"). Ang Audit na ito ay napapailalim sa mga sumusunod na kundisyon:(i) ang paunang pormal na nakasulat na pagtanggap ng Data Importer; at (ii) sasagutin ng Data Exporter ang lahat ng gastos na nauugnay sa On-Site Audit para sa Data Exporter at Data Importer. Ang Data Exporter ay dapat gumawa ng audit report na nagbubuod sa mga resulta at obserbasyon ng On-Site Audit ("On-Site Audit Report"). Ang On-Site Audit Reports, at ang Audit Reports, ay kumpidensyal na impormasyon ng Data Importer at hindi dapat ibunyag sa mga third party maliban kung kinakailangan ng naaangkop na batas sa proteksyon ng data o alinsunod sa pahintulot ng Data Importer.Ang On-Site Audit Reports, at ang Audit Reports, ay kumpidensyal na impormasyon ng Data Importer at hindi dapat ibunyag sa mga third party maliban kung kinakailangan ng naaangkop na batas sa proteksyon ng data o alinsunod sa pahintulot ng Data Importer.Ang On-Site Audit Reports, at ang Audit Reports, ay kumpidensyal na impormasyon ng Data Importer at hindi dapat ibunyag sa mga third party maliban kung kinakailangan ng naaangkop na batas sa proteksyon ng data o alinsunod sa pahintulot ng Data Importer.

  4. (iv) Ang Data Importer ay may obligasyon na abisuhan ang Data Exporter nang walang labis na pagkaantala:

  5. a. hinggil sa anumang legal na may bisang kahilingan para sa pagbubunyag ng personal na data ng isang awtoridad na nagpapatupad ng batas, maliban kung ipinagbabawal, gaya ng pagbabawal sa ilalim ng batas kriminal na protektahan ang pagiging kompidensiyal ng isang pagsisiyasat sa pagpapatupad ng batas

  6. b. patungkol sa anumang reklamo at kahilingang direktang natanggap mula sa isang paksa ng data (hal. patungkol sa pag-access, pagwawasto, pagtanggal, paghihigpit sa pagproseso, pagdadala ng data, pagtutol sa pagproseso ng data, awtomatikong paggawa ng desisyon) nang hindi tumutugon sa kahilingang iyon, maliban kung ang Data Importer ay pinahintulutan na gawin mo

  7. c. kung obligado ang Data Importer o Data processor, sa ilalim ng batas ng European Union o ng Member State kung saan napapailalim ang Data Importer o Data processor, na iproseso ang personal na data na lampas sa mga tagubilin ng Data Exporter, bago isagawa ang naturang pagproseso nang higit pa ang mga tagubilin, maliban kung ang mga batas ng European Union o ng Estado ng Miyembro ay nagbabawal sa ganoong pagproseso sa mahahalagang batayan ng pampublikong interes, kung saan ang abiso sa Data Exporter ay dapat tukuyin ang legal na kinakailangan sa ilalim ng batas na iyon ng European Union o ng Estado ng Miyembro; o

  8. d. kung napagtanto ng Data Importer ang isang paglabag sa personal na data, dahil lamang sa sarili nito o sa sub-contractor nito, na makakaapekto sa personal na data ng Data Exporter na sakop ng kasalukuyang kontrata, kung saan tutulungan ng Data Importer ang Data Exporter sa obligasyon nito, vis-Ã -vis sa naaangkop na batas sa proteksyon ng data, upang ipaalam sa mga paksa ng data at, kung naaangkop, ang mga awtoridad sa pangangasiwa sa pamamagitan ng pagbibigay ng impormasyong magagamit nito, alinsunod sa Artikulo 33 (3) ng GDPR.

  9. (v) Sa kahilingan ng Data Exporter, ang Data Importer ay mapipilitang tulungan ang Data Exporter sa obligasyon nitong magsagawa ng data protection impact assessment na maaaring kailanganin ng Artikulo 35 ng GDPR at isang paunang konsultasyon na maaaring kinakailangan ng Artikulo 36 ng GDPR tungkol sa mga serbisyong ibinigay ng Data Importer sa Data Exporter sa ilalim ng Appendix na ito, na nagbibigay ng kinakailangan at impormasyon sa Data Exporter. Obligado lamang ang Data Importer na magbigay ng naturang tulong kung hindi matupad ng Data Exporter ang obligasyon nito sa ibang paraan. Ang Data Importer ay magpapayo sa Data Exporter ng halaga ng naturang tulong. Sa sandaling makumpirma ng Data Exporter na kaya nitong pasanin ang halagang ito, ibibigay ng Data Importer ang Data Exporter ng tulong na ito.

  10. (vi) Sa pagtatapos ng probisyon ng mga serbisyo, maaaring humiling ang Data Exporter na ibalik ang personal na data na naproseso ng Data Importer sa ilalim ng Appendix na ito sa loob ng isang buwan pagkatapos ng mga serbisyo. Maliban kung ang batas ng Estado ng Miyembro o ng European Union ay nag-aatas sa Data Importer na mag-imbak o magpanatili ng naturang personal na data, tatanggalin ng Data Importer ang lahat ng naturang personal o hindi personal na data pagkatapos ng isang buwan, ibinalik man ang mga ito sa ang Data Exporter sa kahilingan nito o hindi.

3.3 Rights of persons concerned

  1. (i) Ang Data Exporter ay namamahala at tumutugon sa mga kahilingang ginawa ng mga paksa ng data. Hindi obligado ang Data Importer na direktang tumugon sa mga paksa ng data.

  2. (ii) Kung kailangan ng Data Exporter ng tulong ng Data Importer sa pagproseso at pagtugon sa mga kahilingan ng Data Subject, ang Data Exporter ay maglalabas ng karagdagang tagubilin alinsunod sa Clause 3.1 (ii) ng Part 1. Tutulungan ng Data Importer ang Data Exporter na may sumusunod na naaangkop at teknikal na mga hakbang sa organisasyon upang tumugon sa mga kahilingan para sa paggamit ng mga karapatan ng mga paksa ng data na itinakda sa Kabanata III ng GDPR gaya ng sumusunod:

  3. a. Tungkol sa mga kahilingan para sa impormasyon, ang Data Importer ay magbibigay lamang sa Data Exporter ng impormasyong kinakailangan ng Artikulo 13 at 14 ng PGRD na maaaring mayroon ito sa pagtatapon nito kung hindi ito mahanap ng Data Exporter nang mag-isa.

  4. b. Tungkol sa mga kahilingan para sa pag-access (Artikulo 15 ng GDPR), ang Data Importer ay magbibigay lamang sa Data Exporter ng impormasyon na dapat ibigay sa isang paksa ng data para sa nasabing kahilingan para sa pag-access, na maaaring mayroon ito kung ang hindi ito mahahanap ng huli nang mag-isa.

  5. c. Tungkol sa mga kahilingan para sa pagwawasto (Artikulo 16 ng GDPR), mga kahilingan para sa pagbura (Artikulo 17 ng GDPR), paghihigpit sa mga kahilingan para sa pagproseso (Artikulo 18 ng GDPR), o mga kahilingan para sa portability (Artikulo 20 ng GDPR), at tanging kung ang Data Exporter ay hindi maaaring magtama o magbura, limitahan o ipadala ang personal na data sa isa pang third party, ang Data Importer ay mag-aalok sa Data Exporter ng posibilidad na itama o burahin, limitahan, o ipadala ang personal na data na may kinalaman sa ibang third party, o kung hindi ito posible, magbibigay ito ng tulong upang itama o burahin, limitahan, o ipadala sa ibang third party ang personal na data na may kinalaman.

  6. d. Tungkol sa abiso na nauugnay sa pagwawasto, pagbura, o paghihigpit sa pagproseso (Artikulo 19 ng GDPR), tutulungan ng Data Importer ang Data Exporter sa pamamagitan ng pag-abiso sa lahat ng tatanggap ng personal na data na nakipag-ugnayan ng Data Importer bilang mga processor kung ang Data Exporter ay humiling at kung hindi mareresolba ng Data Exporter ang sitwasyon nang mag-isa.

  7. e. Tungkol sa karapatan ng pagsalungat na ginamit ng isang paksa ng data (Artikulo 21 at 22 ng GDPR) tutukuyin ng Data Exporter kung lehitimo ang pagsalungat at kung paano haharapin ito.

  8. (iii) Ang mga obligasyon sa tulong ng Data Importer ay limitado sa personal na data na naproseso sa loob ng imprastraktura nito (hal. mga database, system, application na pagmamay-ari o ibinigay ng Data Importer).

  9. (iv) Dapat tukuyin ng Data Exporter kung maaaring gamitin ng isang Data Subject ang mga karapatan ng Data Subjects na itinakda sa Clause 3.1 ng Part 1 na ito at dapat payuhan ang Data Importer kung hanggang saan ang tulong na tinukoy sa Clauses 3.3 (ii), ( iii) ng Bahagi 1 ay kinakailangan.

  10. (v) Kung humiling ang Data Exporter ng karagdagang o binagong mga teknikal at pang-organisasyong hakbang upang matugunan ang mga karapatan ng mga paksa ng data na higit pa sa tulong na ibinigay ng Data Importer sa ilalim ng Sub-Clause 3.3 (ii), (iii) ng Part 1, ang Data Dapat ipaalam ng importer sa Data Exporter ang mga gastos sa pagpapatupad ng mga karagdagang o binagong teknikal at pang-organisasyong hakbang. Sa sandaling makumpirma ng Data Exporter na maaari nitong matugunan ang mga gastos na ito, ang Data Importer ay magpapatupad ng mga karagdagang o binagong teknikal at organisasyonal na mga hakbang upang tulungan ang Data Exporter sa pagtugon sa mga kahilingan ng Mga Paksa ng Data.

  11. (vi) Nang hindi nililimitahan ang saklaw ng Clause 3.3 (v) ng Bahagi 1, obligado ang Data Exporter na bayaran ang Data Importer para sa mga makatwirang gastos na natamo sa pagtugon sa mga kahilingan ng Mga Paksa ng Data.

3.4 Sub-processing

1.

  1. (i) Pinahihintulutan ng Data Exporter ang paggamit ng Data Importer ng mga sub-contractor para sa pagbibigay ng mga serbisyo sa ilalim ng Appendix na ito. Dapat piliin ng Data Importer ang naturang (mga) processor ng Data nang maingat. Inaprubahan ng Data Exporter ang (mga) processor ng Data na nakalista sa Appendix 1.1 sa dulo ng Part 2.

  2. (ii) Dapat ilipat ng Data Importer ang mga obligasyon nito sa ilalim ng Appendix na ito sa (mga) processor ng Data sa lawak na naaangkop sa mga subcontracted na serbisyo.

  3. (iii) Maaaring tanggalin, palitan, o humirang ng Data Importer ang isa pang naaangkop at maaasahang (mga) processor ng Data ayon sa pagpapasya nito. Kung hiniling ito nang nakasulat ng Data Exporter, dapat sundin ng Data Importer ang pamamaraang itinakda sa ibaba:

2.

  1. a. The Data Importer shall inform the Data Exporter before any changes to the list of Data processors referenced under Clause 3.4 (i) of Part 1. If the Data Exporter does not object under Clause 3.4. (b) of Part 1 thirty days after receiving notification from the Data Importer, the additional Data processors shall be deemed to be accepted.

  2. b. If the Data Exporter has a legitimate reason to object to an additional Data processor, it will give prior written notice to the Data Importer within thirty days of receipt of the Data Importer's notification and before the Data Importer's service is put into operation. If the Data Exporter objects to the use of an additional Data processor, the Data Importer may purge the objection by one of the following options (chosen at its discretion): (A) the Data Importer will cancel its plans to use an additional processor regarding the Data Exporter's personal data; (B) the Data Importer will take the corrective measures requested by the Data Exporter in its objection (canceling the objection) and use the additional processor regarding the Data Exporter's personal data; (C) the Data Importer may cease to provide or the Data Exporter may agree not to use (temporarily or permanently) a particular aspect of the service which would involve the use of the Data Exporter's further processor of the Data Exporter's personal data.

  1. (iv) kung ang Data processor ay nakabase sa labas ng EU-EEA sa isang bansang hindi kinikilala bilang nag-aalok ng sapat na antas ng proteksyon ng data kasunod ng desisyon ng European Commission, ang Data Importer ay gagawa ng mga hakbang upang sumunod sa isang sapat na antas ng proteksyon ng data alinsunod sa GDPR (maaaring kabilang sa mga naturang hakbang - bukod sa iba pa at - ang paggamit ng mga kontrata sa pagpoproseso ng data batay sa mga sugnay ng Modelo ng EU, paglipat sa mga self-certified na Data processor sa balangkas ng EU-US Protection Shield , o katulad na programa).

3.5 Pag-expire

  1. Ang expiration ng Appendix na ito ay kapareho ng expiration date ng kaukulang Kontrata. Maliban sa iba pang itinatadhana sa Apendise na ito, ang mga karapatan at tungkulin na may kaugnayan sa pagwawakas ay magiging pareho sa mga nilalaman ng Kontrata.

4. Limitasyon ng Pananagutan

4.1 Each party handles its obligations under this Appendix and the applicable data protection legislation.

4.2 Any liability relating to a breach of the obligations under this Appendix or applicable data protection legislation shall be subject to and governed by the liability provisions set out in, or applicable to, the Contract, except as otherwise provided in this Appendix. If liability is governed by the liability provisions set out in or applicable to the Contract, for calculating liability limits or determining the application of other limitations of liability, any liability arising under this Appendix shall be deemed to arise under the Contract.

5. General provisions

5.1 If there are any inconsistencies or discrepancies between Parts 1 and 2 of this Appendix, Part 2 shall prevail. Specifically, even in such a case, Part 1 which simply goes beyond Part 2 (i.e. the terms of Standard clauses) without contradicting it shall remain valid.

5.2 If any discrepancy arises between the provisions of this Appendix and those of other contracts binding the parties, this Appendix shall prevail regarding the parties' data protection obligations. In case of doubt as to whether clauses in other contracts concern the parties' data protection obligations, this Appendix shall prevail.

5.3 If any provision of this Appendix is invalid or unenforceable, the remainder of this Appendix shall remain in full force and effect. The invalid or unenforceable provision will be (i) amended to ensure its validity and enforceability, while preserving as far as possible the intention of the parties, or - if this is not possible - (ii) interpreted as if the invalid or unenforceable part had never been part of the contract. The foregoing shall also apply if there is an omission in this Appendix.

5.5 To the extent necessary, the Parties may request amendments to Part 1, Clause 3 (Compliance with local law) or other parts of the Appendix in order to comply with interpretations, directives, or orders issued by the competent authorities of the Union or the Member States, national enforcement provisions, or any other legal developments concerning the GDPR or other conditions of delegation to any entities involved in data processing and specifically regarding the use of the Standard Contractual Clauses in the GDPR. The terms of the Standard Contractual Clauses may not be modified or replaced unless the European Commission expressly approves it (e.g. by new adequate clauses and data protection standards).

5.6 Any reference in this Appendix to the " Clauses " shall be understood to refer to all the provisions of this Appendix unless otherwise stated.

5.7 The choice of law in Part 2, Clause 9 applies to the entire Contract.

6.  Personal na data na ipinadala at pinoproseso ng mga partido para sa mga personal na layunin (ilipat mula sa data controller patungo sa data controller)

6.1 Ang mga Partido ay lubos na nakakaalam na ang ilang partikular na personal na data ay ililipat mula sa Data Exporter patungo sa Data Importer at sa kabaligtaran, at ang naturang data ay pinoproseso ng bawat Partido para sa sarili nitong mga layunin. Tungkol sa naturang personal na data, hindi nito naaapektuhan ang iba pang mga probisyon ng Appendix na ito (maliban sa sugnay 6 na ito).

6.2 Ang Data Exporter ay maaaring maglipat ng personal na data na nauugnay sa mga tauhan ng Data Importer sa Data Importer, kabilang ang impormasyon sa mga insidente ng seguridad, o anumang iba pang mga dokumento o file na ginawa o itinatag ng Data Exporter kaugnay ng Mga Serbisyong ibinigay ng kawani ng ang Data Importer. Maaaring iproseso ng Data Importer ang naturang personal na data para sa sarili nitong mga layunin, lalo na sa mga propesyonal na relasyon nito sa mga tauhan ng Data Importer, para sa kontrol sa kalidad at pagsasanay, o para sa mga layunin ng negosyo.

6.3. Ang Data Importer ay maaaring maglipat ng personal na data sa Data Exporter, kasama ang pangalan at mga detalye ng contact ng mga tauhan ng Data Importer. Maaaring iproseso ng Data Exporter ang naturang personal na data para sa sarili nitong mga layunin.

6.4 Ang parehong partido ay dapat sumunod sa anumang naaangkop na mga batas sa proteksyon ng data, kabilang ang GDPR, sa pagkolekta, pagproseso, at paggamit ng naturang personal na data na natanggap mula sa kabilang partido sa ilalim ng sugnay 1 ng Bahagi 1. Sa partikular, ang parehong Mga Partido ay magsasagawa ng sapat na mga hakbang sa seguridad, na nagbibigay ng isang katulad na antas ng proteksyon sa mga hakbang sa seguridad na itinakda sa Appendix 2 ng Bahagi 2. Ang anumang pag-access sa naturang personal na data ay dapat na limitado sa pangangailangang malaman ang mga ito.

6.5 Dapat tanggalin ng parehong Partido ang naturang personal na data sa lalong madaling panahon pagkatapos na makamit ang mga layunin.

Part 2

DESISYON NG KOMISYON

noong ika-5 ng Pebrero 2010

sa mga karaniwang contractual clause para sa paglipat ng personal na data sa mga tagaproseso ng data na itinatag sa mga bansang third-party sa ilalim ng 95/46/EC Directive ng European Parliament at ng Konseho

Sugnay 1

Mga Kahulugan

a) 'personal na data', 'espesyal na kategorya ng data', 'pagproseso/pagproseso', 'controller', 'processor', 'data subject' at 'supervisory authority' ay magkakaroon ng parehong kahulugan tulad ng sa 95/46/EC Direktiba ng European Parliament at ng Konseho ng ika-24 ng Oktubre 1995 sa pagprotekta sa mga indibidwal hinggil sa pagproseso ng personal na data at sa malayang paggalaw ng naturang data (1);

b) ang 'Data Exporter' ay ang Data controller na naglilipat ng personal na data;

c) ang 'Data Importer' ay ang Data processor na sumasang-ayon na tumanggap mula sa Data Exporter ng personal na data na nilalayong iproseso sa ngalan ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin nito at sa ilalim ng mga tuntunin ng mga clause na ito at kung sino ang hindi napapailalim sa mekanismo ng ikatlong bansa na nagtitiyak ng sapat na proteksyon sa loob ng kahulugan ng Artikulo 25(1) ng Direktiba 95/46/EC; (d) Ang ibig sabihin ng 'Data processor' ay ang Data processor na nakikipag-ugnayan ng Data Importer o ng anumang iba pang Data processor ng Data Importer na sumasang-ayon na tumanggap mula sa Data Importer o anumang iba pang Data processor ng Data Importer na personal na data para lamang sa pagproseso ng mga aktibidad sa isagawa sa ngalan ng Data Exporter pagkatapos ng paglipat alinsunod sa mga tagubilin ng Data Exporter,sa ilalim ng mga kundisyong itinakda sa Mga Sugnay na ito at sa ilalim ng mga tuntunin ng nakasulat na sub-contracting ang kontrata sa pagproseso ng data;

e) "naaangkop na batas sa proteksyon ng data" ay nangangahulugang ang batas na nagpoprotekta sa mga pangunahing karapatan at kalayaan ng mga indibidwal, kabilang ang karapatan sa privacy tungkol sa pagproseso ng personal na data, at pag-aaplay sa isang controller sa Member State kung saan itinatag ang Data Exporter;

f) "mga teknikal at organisasyonal na hakbang na may kaugnayan sa seguridad" ay nangangahulugan ng mga hakbang na nilayon upang protektahan ang personal na data laban sa hindi sinasadya o labag sa batas na pagkasira o hindi sinasadyang pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access, lalo na kung saan ang pagproseso ay nagsasangkot ng pagpapadala ng data sa mga network, at laban sa lahat ng iba pang labag sa batas na paraan ng pagproseso.

Sugnay 2

Mga detalye ng paglilipat

The details of the transfer, including, where appropriate, special categories of personal data, are specified in Appendix 1, which forms an integral part of these clauses.

Clause 3

Clause ng third-party na benepisyaryo

1. Maaaring ipatupad ng paksa ng data laban sa Data Exporter ang Clause na ito, Clause 4(b) hanggang (i), Clause 5(a) hanggang (e) at (g) hanggang (j), Clause 6 (1) at (2 ), Clause 7, Clause 8(2) at Clause 9 hanggang 12 bilang isang third party na benepisyaryo

2. Maaaring ipatupad ng paksa ng data ang Clause na ito, Clause 5 (a) hanggang (e) at (g), Clause 6, Clause 7, Clause 8 (2) at Clause 9 hanggang 12 laban sa Data Importer kung saan pisikal na mayroon ang Data Exporter nawala o hindi na umiral sa batas, maliban kung ang lahat ng kanyang legal na obligasyon ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa kahalili na entity, kung saan ang mga karapatan at obligasyon ng Data Exporter ay ibinalik, at laban sa kung saan ang data maaaring ipatupad ng paksa ang nasabing mga sugnay.

Maaaring ipatupad ng paksa ng data ang Clause na ito, Clause 5 (a) hanggang (e) at (g), Clause 6, Clause 7, Clause 8 (2) at Clauses 9 hanggang 12 laban sa Data processor, ngunit sa mga kaso lamang kung saan ang Data Ang Exporter at ang Data Importer ay pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent, maliban kung ang lahat ng mga legal na obligasyon ng Data Exporter ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa legal na kahalili, kung saan ang mga karapatan at ang mga obligasyon ng Data Exporter ay samakatuwid ay binigay, at laban sa kung kanino ang paksa ng data ay maaaring magpatupad ng mga naturang sugnay. Ang nasabing pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagproseso sa ilalim ng mga sugnay na ito.

4. Ang mga partido ay hindi tumututol sa data subject na kinakatawan ng isang asosasyon o iba pang katawan kung nais niya at kung pinapayagan ng pambansang batas.

Sugnay 4

Mga Obligasyon ng Data Exporter

Tinatanggap at ginagarantiyahan ng Data Exporter ang sumusunod:

a) ang pagproseso, kabilang ang aktwal na paglilipat ng personal na data, ay at patuloy na isasagawa alinsunod sa mga nauugnay na probisyon ng naaangkop na batas sa proteksyon ng data (at, kung naaangkop, ay naabisuhan sa mga karampatang awtoridad ng Estado ng Miyembro. kung saan nakabatay ang Data Exporter) at hindi nilalabag ang mga nauugnay na probisyon ng Estadong iyon;

b) sila ay nag-utos, at magtuturo para sa tagal ng mga serbisyo sa pagpoproseso ng personal na data, ang Data Importer na iproseso ang personal na data na inilipat sa ngalan ng Data Exporter at alinsunod sa naaangkop na batas sa proteksyon ng data at mga sugnay na ito;

c) ang Data Importer ay magbibigay ng sapat na mga pananggalang patungkol sa teknikal at organisasyonal na mga hakbang sa seguridad na tinukoy sa Appendix 2 sa kasalukuyang kontrata;

d) pagkatapos ng pagsusuri ng mga kinakailangan ng naaangkop na batas sa proteksyon ng data, ang mga hakbang sa seguridad ay sapat upang maprotektahan ang personal na data laban sa aksidente o labag sa batas na pagkasira o aksidenteng pagkawala, pagbabago, hindi awtorisadong pagsisiwalat, o pag-access, lalo na kung saan ang pagproseso ay nagsasangkot ng paghahatid ng data sa isang network, at laban sa lahat ng iba pang labag sa batas na paraan ng pagproseso at pagtiyak ng antas ng seguridad na naaangkop sa mga panganib na kinakatawan ng pagproseso at likas na katangian ng data na protektahan, na isinasaalang-alang ang antas ng teknolohiya at ang halaga ng pagpapatupad;

e) titiyakin nila ang pagsunod sa mga hakbang sa seguridad;

f) kung ang paglilipat ay nauugnay sa mga espesyal na kategorya ng data, ang paksa ng data ay ipinaalam o ipapaalam bago ang paglipat, o sa lalong madaling panahon pagkatapos ng paglipat na ang kanyang data ay maaaring ilipat sa isang ikatlong bansa na hindi nag-aalok isang sapat na antas ng proteksyon sa loob ng kahulugan ng Directive 95/46/EC;

g) ipapasa nila ang anumang notification na natanggap mula sa Data Importer o anumang Data processor sa ilalim ng Clauses 5 (b) at 8 (3) sa data protection supervisory authority kung magpasya itong ipagpatuloy ang paglilipat o alisin ang pagkakasuspinde nito;

h) ibibigay nila sa mga paksa ng data, kung humiling sila, ng kopya ng Mga Clause na ito, maliban sa Appendix 2, at isang buod na paglalarawan ng mga hakbang sa seguridad, at isang kopya ng anumang karagdagang kasunduan sa subcontracting, na natapos sa ilalim ng Mga Clause na ito maliban kung ang Ang mga sugnay o ang kasunduan ay naglalaman ng komersyal na impormasyon, kung saan maaari niyang bawiin ang naturang impormasyon;

i) sa kaso ng sub-contracting ang proseso ng pagproseso ng data, ang aktibidad sa pagproseso ay isinasagawa alinsunod sa Clause 11 ng isang Data processor na nagbibigay ng hindi bababa sa parehong antas ng proteksyon ng personal na data at mga karapatan ng subject ng data bilang ang Data Importer sa ilalim ng Mga Clause na ito ; at

j) titiyakin nito ang pagsunod sa Clause 4 (a) hanggang (i).

Clause 5

Mga Obligasyon ng Data Importer

Tinatanggap at ginagarantiyahan ng Data Importer ang sumusunod:

a) ipoproseso lamang nila ang personal na data sa ngalan ng Data Exporter at sa ilalim ng mga tagubilin ng Data Exporter at ang mga clause na ito; kung hindi ito makasunod sa anumang dahilan, sumasang-ayon sila na ipaalam sa Data Exporter ang kawalan nito ng kakayahan sa lalong madaling panahon, kung saan maaaring suspindihin ng Data Exporter ang paglilipat ng data at/o tapusin ang kontrata;

b) wala silang dahilan upang maniwala na ang batas na naaangkop sa kanila ay pumipigil sa kanya na tuparin ang mga tagubiling ibinigay ng Data Exporter at ang mga obligasyong nauukol sa kanya sa ilalim ng kontrata, at kung ang naturang batas ay napapailalim sa pagbabago na maaaring magkaroon ng materyal na masamang epekto. epekto sa mga warranty at obligasyon sa ilalim ng Mga Clause, aabisuhan niya ang Data Exporter ng pagbabago nang walang pagkaantala pagkatapos na malaman ito, kung saan maaaring suspindihin ng Data Exporter ang paglilipat ng data at/o tapusin ang kontrata; (c) ipinatupad nila ang teknikal at organisasyonal na mga hakbang sa seguridad na tinukoy sa Appendix 2 bago iproseso ang inilipat na personal na data;

d) aabisuhan nila ang Data Exporter nang walang pagkaantala:

i) anumang may-bisang kahilingan para sa pagbubunyag ng personal na data mula sa isang awtoridad na nagpapatupad ng batas, maliban kung tinukoy, tulad ng isang pagbabawal sa krimen na naglalayong panatilihin ang lihim ng isang imbestigasyon ng pulisya;

ii) anumang hindi sinasadya o hindi awtorisadong pag-access; at

iii) anumang kahilingang natanggap nang direkta mula sa mga taong kinauukulan nang hindi tumutugon dito maliban kung siya ay pinahintulutan na gawin ito; mga tagapangasiwa

e) haharapin nila kaagad at maayos ang lahat ng mga katanungan mula sa Data Exporter tungkol sa pagproseso nito ng inililipat na personal na data at kikilos sa ilalim ng opinyon ng awtoridad na nangangasiwa tungkol sa pagproseso ng inilipat na data;

f) sa kahilingan ng Data Exporter, isasailalim nila ang mga pasilidad sa pagpoproseso ng data nito sa isang pag-audit ng mga aktibidad sa pagproseso na saklaw ng mga clause na ito na isasagawa ng Data Exporter o isang supervisory body na binubuo ng mga independiyenteng miyembro na may mga kinakailangang propesyonal na kwalipikasyon, napapailalim sa isang obligasyon ng lihim at pinili ng Data Exporter, kung saan naaangkop sa kasunduan ng awtoridad sa pangangasiwa;

g) gagawin nilang available sa paksa ng data, kung humiling siya, ng kopya ng Mga Clause na ito, o anumang umiiral nang sub-contracting sa kontrata sa pagpoproseso ng data, maliban kung naglalaman ang Mga Clause o ang kontrata ng komersyal na impormasyon, kung saan maaari nitong alisin ang naturang kontrata. impormasyon, maliban sa Appendix 2, na papalitan ng isang buod na paglalarawan ng mga hakbang sa seguridad, kung saan ang paksa ng data ay hindi makakakuha ng kopya mula sa Data Exporter;

h) sa kaso ng kumpidensyal na karagdagang sub-contracting sa pagpoproseso ng data, titiyakin niyang ipapaalam niya ang Data Exporter nang maaga at kukuha ng nakasulat na pahintulot ng Data Exporter;

i) ang mga serbisyo sa pagproseso na ibinigay ng Data processor ay dapat sumunod sa Clause 11;

j) kaagad silang magpapadala ng kopya ng anumang sub-contracting ng kasunduan sa pagproseso ng data na pinasok nito sa ilalim ng Mga Clause na ito sa Data Exporter.

Sugnay 6

Responsibility

1. Sumasang-ayon ang mga partido na ang sinumang paksa ng data na nakaranas ng pinsala dahil sa paglabag sa mga obligasyong tinukoy sa Clause 3 o Clause 11 ng isang partido o ng isang Data processor ay maaaring makakuha ng kabayaran mula sa Data Exporter para sa pinsalang natamo.

2. Kung ang isang paksa ng data ay pinigilan na magsagawa ng aksyon para sa mga pinsala gaya ng tinutukoy sa talata 1 laban sa Data Exporter dahil sa pagkabigo ng Data Importer o ng Data processor nito na sumunod sa alinman sa mga obligasyon nito sa ilalim ng Clause 3 o Clause 11 dahil ang Data Ang Exporter ay pisikal na nawala, hindi na umiral sa batas o naging insolvent, ang Data Importer ay sumasang-ayon na ang data subject ay maaaring magsampa ng reklamo laban dito na parang ito ang Data Exporter maliban kung ang lahat ng legal na obligasyon ng Data Exporter ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa kahalili nitong entity, kung saan maaaring ipatupad ng paksa ng data ang kanyang mga karapatan. Maaaring hindi umasa ang Data Importer sa isang paglabag sa mga obligasyon nito ng isang Data processor upang maiwasan ang sarili nitong pananagutan.

3. Kung ang isang paksa ng data ay pinigilan na magsagawa ng pagkilos na tinutukoy sa mga talata 1 at 2 laban sa Data Exporter o sa Data Importer dahil sa paglabag ng Data processor sa mga obligasyon nito sa ilalim ng Clause 3 o Clause 11 dahil ang Data Exporter at ang Data Importer pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent, sumasang-ayon ang Data processor na ang data subject ay maaaring magsampa ng reklamo laban dito tungkol sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga clause na ito na parang ito ang Data Exporter o Data Importer maliban kung lahat ang mga legal na obligasyon ng Data Exporter o Data Importer ay nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng pagpapatakbo ng batas, sa legal na kahalili, kung saan maaaring igiit ng paksa ng data ang kanyang mga karapatan.Ang pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga sugnay na ito.

 

Sugnay 7

Mediation and jurisdiction

1. The Data Importer agrees that if under the clauses, the data subject invokes against him the right of the third party beneficiary and/or claims compensation for the prejudice suffered, he will accept the decision of the data subject:

a) to submit the dispute to mediation by an independent person or, where appropriate, the supervisory authority;

b) to bring the dispute before the courts of the Member State where the Data Exporter is based.

2. The parties agree that the choice made by the data subject shall not affect the procedural or substantive right of the data subject to obtain redress in accordance with other provisions of national or international law.

Clause 8

Cooperation with supervisory authorities

1. Sumasang-ayon ang Data Exporter na magdeposito ng kopya ng kasalukuyang kontrata sa awtoridad ng pangangasiwa kung kinakailangan ng huli o kung ang naturang deposito ay ibinigay ng naaangkop na batas sa proteksyon ng data.

2. Sumasang-ayon ang mga partido na ang awtoridad sa pangangasiwa ay maaaring magsagawa ng mga pagsusuri sa Data Importer at anumang Data processor sa parehong lawak at sa ilalim ng parehong mga kundisyon tulad ng mga pagsusuri na isinasagawa sa Data Exporter alinsunod sa naaangkop na batas sa proteksyon ng data.

3. Dapat ipaalam ng Data Importer sa Data Exporter sa lalong madaling panahon ang pagkakaroon ng batas tungkol sa Data Importer o anumang Data processor na pumipigil sa pag-verify sa Data Importer o anumang Data processor alinsunod sa talata 2. Sa ganoong kaso, ang Maaaring gawin ng Data Exporter ang mga hakbang na ibinigay para sa Clause 5 (b).

Sugnay 9

Naaangkop na batas

Nalalapat ang mga sugnay at pinamamahalaan ng batas ng Estado ng Miyembro kung saan nakabatay ang Data Exporter.

Sugnay 10

Pagbabago ng kontrata

The parties undertake not to modify the present clauses. The parties remain free to include other commercial clauses that they deem necessary, provided that they do not contradict the present clauses.

Clause 11

Kasunod na subcontracting

1. Hindi dapat i-subcontract ng Data Importer ang alinman sa mga aktibidad sa pagproseso nito na isinasagawa sa ngalan ng Data Exporter sa ilalim ng mga clause na ito nang walang paunang nakasulat na pahintulot ng Data Exporter. Dapat lamang i-subcontract ng Data Importer ang mga obligasyon nito sa ilalim ng Mga Clause na ito, nang may pahintulot ng Data Exporter, sa pamamagitan ng isang nakasulat na kasunduan sa Data processor na nagpapataw sa Data processor ng parehong mga obligasyon tulad ng ipinataw sa Data Importer sa ilalim ng Mga Clause na ito. Kung hindi makasunod ang Data processor sa mga obligasyon nito sa proteksyon ng data sa ilalim ng nakasulat na kasunduan, ang Data Importer ay mananatiling ganap na responsable sa Data Exporter para sa pagtupad ng mga obligasyong iyon.

2. Ang naunang nakasulat na kasunduan sa pagitan ng Data Importer at ng Data processor ay dapat ding magsama ng isang third-party na sugnay na benepisyaryo tulad ng itinakda sa Clause 3 para sa mga kaso kung saan ang paksa ng data ay pinipigilan na dalhin ang claim para sa mga pinsalang tinutukoy sa Clause 6 (1 ), laban sa Data Exporter o Data Importer dahil ang Data Exporter o Data Importer ay pisikal na nawala, tumigil sa pag-iral sa batas o naging insolvent at lahat ng legal na obligasyon ng Data Exporter o Data Importer ay hindi nailipat, sa pamamagitan ng kontrata o sa pamamagitan ng operasyon ng batas, sa isa pang kahalili na entity. Ang pananagutan ng Data processor ay dapat na limitado sa sarili nitong mga aktibidad sa pagpoproseso alinsunod sa mga sugnay na ito.

3. Ang mga probisyon na nauugnay sa mga aspeto ng proteksyon ng data ng sub-contracting sa pagproseso ng data ng kontrata na tinutukoy sa talata 1 ay dapat na pamamahalaan ng batas ng Estado ng Miyembro kung saan itinatag ang Data Exporter.

4. Ang Data Exporter ay dapat magtago ng isang listahan ng sub-contracting ang mga kasunduan sa pagpoproseso ng data na natapos sa ilalim ng Mga Clause na ito at aabisuhan ng Data Importer alinsunod sa Clause 5 (j), na dapat i-update nang hindi bababa sa isang beses sa isang taon. Ang listahang ito ay dapat gawing available sa awtoridad ng pangangasiwa sa proteksyon ng data ng Data Exporter.

Sugnay 12

Obligasyon pagkatapos ng pagwawakas ng mga serbisyo sa pagpoproseso ng personal na data

1. Sumasang-ayon ang mga partido na sa pagkumpleto ng mga serbisyo sa pagpoproseso ng data, ang Data Importer at ang Data processor ay, sa kaginhawahan ng Data Exporter, ibabalik ang lahat ng personal na data na inilipat at mga kopya nito sa Data Exporter, o sisirain ang lahat ng naturang data at magbibigay ng patunay ang pagkasira sa Data Exporter, maliban kung ang batas na ipinataw sa Data Importer ay humahadlang dito na ibalik o sirain ang lahat o bahagi ng personal na data na inilipat. Sa kasong iyon, ginagarantiyahan ng Data Importer na titiyakin nito ang pagiging kumpidensyal ng inilipat na personal na data at hindi na nito aktibong ipoproseso ang data.

2. Ang Data Importer at ang Data processor ay dapat tiyakin na, kung ito ay hihilingin ng Data Exporter at/o ang nangangasiwa na awtoridad, isasailalim nila ang kanilang paraan ng pagproseso ng data sa pag-verify ng mga hakbang na tinutukoy sa talata 1.

Appendix 1.1 hanggang Part 2

Mga detalye ng paglilipat

Data Exporter

The Data Exporter is the Customer defined in the Contractual agreement.

Data Importer

Ang Data Importer ay POSTCODEZIP at itinalaga upang iproseso ang data, na nagbibigay ng mga serbisyo sa Data Exporter.

Mga paksa ng datos

Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng mga paksa ng data:

â˜?? mga subscriber ng telepono na nakalista sa pangkalahatang direktoryo

â˜' Iba pa, kabilang ang:

Mga kategorya ng data

Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng data:

 

Mga kategorya ng personal na data ng mga paksa ng data ng Data Exporter sa partikular,

â˜?? Buong pangalan

â˜' Postal address

â˜?? Mga detalye ng contact (e-mail, telepono, IP address, atbp.)

â˜?? Mga detalye ng mga aktibidad sa marketing tungkol sa subscriber ng telepono

â˜' Iba pa, kabilang ang uri ng pabahay, kita, at karaniwang edad ng lungsod na ginawa nang hindi nagpapakilala

Mga espesyal na kategorya ng data (kung naaangkop)

Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na espesyal na kategorya ng data:

â˜' Ang paglipat ng mga espesyal na kategorya ng data ay hindi inaasahan

â˜?? Lahi o etnikong pinagmulan

â˜?? Relihiyoso o pilosopikal na paniniwala

â˜?? Membership sa unyon ng manggagawa

â˜?? Mga pananaw sa politika

â˜?? Genetic na impormasyon

â˜?? Biometric na impormasyon

â˜?? Impormasyon tungkol sa oryentasyong sekswal o buhay sekswal

â˜?? Data ng kalusugan

Mga aktibidad sa pagproseso

Ang personal na data na inilipat ay sasailalim sa mga sumusunod na pangunahing aktibidad sa pagproseso:

  •  

    • • Purpose of the processing

Ang pagproseso na isinagawa sa ngalan ng Data Exporter ay batay sa mga sumusunod na paksa, sa partikular:

â˜' Pangangasiwa sa mga produkto o serbisyong inaalok ng Data Exporter

â˜' Ang alok ng isang produkto o serbisyo na maaaring hilingin ng tinatawag na tao

â˜' Mga order na kinuha mula sa mga taong tinawag at karagdagang pagproseso ng mga order na ito

â˜' Pag-aralan ang mga questionnaire at pagsusuri

â˜' Telemarketing

â˜?? Iba pa, kabilang ang:

  •  

    • • Nature and purpose of the processing

Pinoproseso ng Data Importer ang personal na data ng mga paksa ng data sa ngalan ng Data Exporter, upang maibigay ang mga sumusunod na serbisyo, at higit sa lahat:

  • â˜' Awtomatikong pagkumpleto ng form

  • â˜' Tinutugunan ang form ng pagpapatunay

â˜' Sales at Marketing

â˜' Iba pa, kabilang ang pag-update ng mga database ng mga bulwagan ng bayan at mga partidong pampulitika

    • • Provision of services and employment of service providers

POSTCODEZIP mainly combines, centralizes, and provides services to the Data Exporter. The services provided by the named service provider may be structured (among others as appropriate) around the following ancillary services: (i) provision of applications, tools, systems, and IT infrastructure in relation to the data processing centers used, in order to provide and support the services, including the processing of the personal data of the data subjects as described above, via such applications, tools, and systems, (ii) the provision of IT support, maintenance and other services relating to such applications, tools, systems and IT infrastructure, including potential access to personal data stored in such applications, tools, and systems, and (iii) the provision of data protection services, protection monitoring, and incident response services, including potential access to personal data when providing such protection services. POSTCODEZIP may engage Data processors as set below to provide the services, including ancillary services.

    • • External third-party service providers as sub-entities assigned to data processing

Ang POSTCODEZIP ay nakikipag-ugnayan sa mga external at third-party na service provider, na hindi mga subsidiary ng POSTCODEZIP, upang suportahan ang pagbibigay ng mga serbisyo sa Data Exporter. Inaprubahan ng Data Exporter ang mga panlabas na third-party na service provider bilang mga sub-entity na nakatalaga sa pagproseso ng data.

 

Kung ang isang sub-entity na kasangkot sa pagproseso ng data ay matatagpuan sa labas ng EU/EEA, sa isang bansang itinuring na walang sapat na antas ng proteksyon ng data sa ilalim ng desisyon ng European Commission, ang Data Importer ay gagawa ng mga hakbang upang makakuha ng sapat na antas ng proteksyon ng data alinsunod sa GDPR at seksyon 3.4 (iv) ng Bahagi 1.

Appendix 2, Part 2

Technical and organizational protective measures

Dapat gawin ng Data Importer ang mga sumusunod na teknikal at organisasyonal na mga hakbang sa proteksyon na kinumpirma ng Data Exporter, upang magarantiya ang naaangkop na antas ng seguridad para sa mga karapatan at kalayaan ng mga indibidwal, depende sa mga panganib. Sa pagtatasa sa antas ng proteksyong nababahala, ang Data Exporter ay isinasaalang-alang, sa partikular, ang mga panganib na kasangkot sa pagproseso, kabilang ang hindi sinasadya o labag sa batas na pagkasira, pagbabago, hindi awtorisadong pagbubunyag, o pag-access sa personal na data na ipinadala, nakaimbak, o kung hindi man naproseso. Sa pamamagitan ng paglilinaw: Hindi nalalapat ang mga teknikal at organisasyonal na hakbang na ito sa proteksyon sa mga application, tool, system, at/o imprastraktura ng IT na ibinigay ng Data Exporter.

1 Pangkalahatang teknikal at organisasyonal na mga hakbang sa proteksyon

1.1 General information and data protection strategies

The following steps should be taken to follow general data and information protection strategies:

  • a) take measures to evaluate those taken regarding technical and organizational protection;

  • b) magbigay ng pagsasanay upang itaas ang kamalayan sa mga empleyado;

  • c) magkaroon ng isang paglalarawan ng mga system na nababahala at magbigay ng access sa mga empleyado;

  • d) magtatag ng isang pormal na proseso ng dokumentasyon sa tuwing ang mga sistema ay ipinatupad o binago;

  • e) documenting the organizational structure, processes, responsibilities, and respective evaluations;

1.2 Organisasyon ng proteksyon ng impormasyon

Ang mga sumusunod na hakbang ay dapat gawin upang i-coordinate ang mga aktibidad sa proteksyon ng data at impormasyon:

  • a) tinukoy na mga responsibilidad para sa proteksyon ng impormasyon at data (hal sa pamamagitan ng patakaran sa pamamahala ng proteksyon ng data);

  • b) ang kinakailangang kadalubhasaan sa pagprotekta sa impormasyon at data na natitirang magagamit;

  • c) ang lahat ng empleyado ay nakatuon sa pagtiyak na ang personal na data ay pinananatiling kumpidensyal, at naabisuhan ng mga potensyal na kahihinatnan ng paglabag sa pangakong ito.

1.3 Access control to processing areas

Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang mga hindi awtorisadong tao na magkaroon ng access sa mga sistema ng pagpoproseso ng data (sa partikular na software at hardware) kapag ang personal na data ay naproseso, iniimbak, o ipinadala:

  • a) magtatag ng mga ligtas na lugar;

  • b) protektahan at higpitan ang pag-access sa mga sistema ng pagproseso ng data;

  • c) establish access authorizations for employees and third parties, including the respective documents;

  • d) any access to data processing centers in which personal data are stored shall be logged.

1.4 I-access ang kontrol sa mga sistema ng pagproseso ng data

Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang hindi awtorisadong pag-access sa mga sistema ng pagproseso ng data:

  • a) user authentication policies and procedures;

  • b) ang paggamit ng mga password sa lahat ng mga computer system;

  • c) ang malayuang pag-access sa network ay nangangailangan ng multi-factor authentication at ibinibigay sa taong kinauukulan ayon sa kanilang mga responsibilidad at kapag may pahintulot;

  • d) ang pag-access sa mga partikular na function ay batay sa mga function ng trabaho at/o mga katangian na indibidwal na itinalaga sa account ng isang user;

  • e) ang mga karapatan sa pag-access na nauugnay sa personal na data ay regular na sinusuri;

  • f) ang mga talaan ng mga pagbabago sa mga karapatan sa pag-access ay pinananatiling napapanahon.

1.5 Pagkontrol sa pag-access sa mga partikular na lugar ng paggamit ng mga sistema ng pagpoproseso ng data

Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang mga awtorisadong tao na may karapatang gumamit ng sistema ng pagpoproseso ng data ay maaari lamang mag-access ng data sa loob ng kani-kanilang mga responsibilidad at ma-access ang mga pahintulot at ang personal na data ay hindi maaaring basahin, kopyahin, baguhin, o tanggalin nang walang pahintulot:

  • a) mga patakaran, tagubilin, at pagsasanay ng mga empleyado, tungkol sa mga obligasyon ng bawat isa sa kanila tungkol sa pagiging kumpidensyal, mga karapatan ng pag-access sa personal na data, at ang saklaw ng pagproseso ng personal na data;

  • b) mga hakbang sa pagdidisiplina laban sa mga taong uma-access ng personal na data nang walang pahintulot;

  • c) ang pag-access sa personal na data ay ipagkakaloob lamang sa mga awtorisadong tao, sa batayan na kailangang malaman;

  • d) magpanatili ng isang listahan ng mga tagapangasiwa ng system at gumawa ng naaangkop na mga hakbang upang masubaybayan ang mga tagapangasiwa ng system;

  • e) not to copy or reproduce personal data on any storage system to enable unauthorized persons to remove the information of the originator;

  • f) controlled and documented deletion or destruction of data;

  • g) upang ligtas na iimbak ang lahat ng personal na data na dapat panatilihin para sa legal o pangregulasyon na mga kadahilanan (hal. mga obligasyon na panatilihin ang data), at hangga't kinakailangan ng batas.

1.6 Transmissions control

Ang mga sumusunod na hakbang ay dapat gawin upang maiwasan ang personal na data na mabasa, makopya, mabago, o matanggal ng hindi awtorisadong mga third party sa panahon ng paghahatid o transportasyon ng mga data storage device (depende sa pagproseso ng personal na data na ginawa):

  • a) paggamit ng mga firewall;

  • b) pag-iwas sa pag-imbak ng personal na data sa mga mobile storage device para sa mga layunin ng transportasyon, o pag-encrypt ng mga device;

  • c) gamitin sa mga laptop at iba pang mga mobile device pagkatapos lamang ma-activate ang proteksyon sa pag-encrypt;

  • d) pag-log ng mga pagpapadala ng personal na data.

1.7 Kontrol sa pagpasok ng data

Ang mga sumusunod na hakbang ay dapat gawin upang matiyak na posibleng ma-verify at matukoy kung ang personal na data ay naipasok o tinanggal mula sa mga sistema ng pagproseso ng data at kung kanino:

  • a) isang patakaran para sa pagpapahintulot sa pagbabasa, pagbabago, at pagtanggal ng nakaimbak na data;

  • b) mga hakbang sa proteksyon hinggil sa pagbabasa, pagbabago, at pagtanggal ng nakaimbak na data.

1.8 Kontrol sa trabaho

Sa kaso ng itinalagang pagproseso ng personal na data, ang mga sumusunod na hakbang ay dapat gawin upang matiyak na ang naturang data ay naproseso alinsunod sa mga tagubilin ng Supervisor:

  • a) mga entity o sub-entity na nakatalaga sa pagproseso ng data, pinili nang may pag-iingat (mga service provider na nagpoproseso ng personal na data sa ngalan ng controller);

  • b) instructions concerning the scope of any processing of personal data to the employees, entities, or sub-entities assigned to the data processing;

  • c) mga karapatan sa pag-audit na napagkasunduan sa mga entity o sub-entity na itinalaga sa pagproseso ng data;

  • d) mga kasunduan sa lugar sa mga entity o sub-entity na itinalaga upang iproseso ang data.

1.10 Pseudonymization

Ang mga sumusunod na hakbang ay dapat gawin tungkol sa pseudonymization ng personal na data:

  • a) If the Data Exporter orders a specific processing operation or if this is considered appropriate by the Data Importer in accordance with the data protection laws in force concerning certain processing activities, the processing of personal data will be carried out in such a way that the data can no longer be attributed to a specific person without the use of additional information. This additional information will be kept separately;

  • b) paggamit ng mga pamamaraan ng pseudonymization, kabilang ang randomization ng listahan ng alokasyon; paglikha ng mga halaga sa anyo ng mga matutulis.

1.11 Pag-encrypt

Ang mga sumusunod na hakbang ay dapat gawin upang i-encrypt ang personal na data sa mga application at pagpapadala na sumusuporta sa pag-encrypt:

  • a) paggamit ng mga diskarte sa pag-encrypt;

  • b) pagtatatag ng pamamahala sa pag-encrypt upang suportahan ang mga pamamaraan ng pag-encrypt na awtorisadong gamitin;

  • c) pagsuporta sa paggamit ng cryptography sa pamamagitan ng mga pamamaraan at protocol para sa pagbuo, pagbabago, pagbawi, pagsira, pamamahagi, pagpapatunay, pag-iimbak, pagkuha, paggamit, at pag-archive ng mga cryptographic key upang maprotektahan laban sa hindi awtorisadong pagbabago at pagsisiwalat.

1.12 Pagkumpleto ng mga sistema at serbisyo sa pagproseso ng data

Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang pagkakumpleto ng mga sistema at serbisyo sa pagproseso ng data:

  • 1. a) proteksyon ng mga system sa pagpoproseso ng data laban sa pagmamanipula o pagkasira sa pamamagitan ng naaangkop na mga paraan (hal. anti-virus software, data loss prevention software at software laban sa malware, software patch, firewall, at pinamamahalaang proteksyon sa desktop);

  • b) ipagbawal ang pag-install ng anumang serbisyo o software na nakakapinsala sa mga sistema ng pagproseso ng data, mga serbisyo, o pagmamanipula ng personal na data;

  • c) paggamit ng isang network intrusion detection at prevention system sa istruktura ng network mismo.

1.13 Availability ng mga system at serbisyo sa pagpoproseso ng data at ang posibilidad ng pagpapanumbalik ng access sa at paggamit ng personal na data sa kaganapan ng isang materyal o teknikal na insidente

Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang pagkakaroon ng mga sistema sa pagpoproseso ng data, gayundin upang mabilis na maibalik ang kakayahang magamit at pag-access sa personal na data, sa kaganapan ng isang materyal o teknikal na insidente (lalo na sa pamamagitan ng pagtiyak na ang personal na data ay protektado laban sa hindi sinasadyang pagkasira o pagkawala):

  • a) may paraan ng kontrol para sa pagpapanatili ng mga backup na kopya at pagpapanumbalik ng nawala o tinanggal na data;

  • b) kalabisan sa imprastraktura at pagsubok sa pagganap;

  • c) pisikal na proteksyon ng mga mapagkukunan ng computer;

  • d) use of tools to monitor the status and availability of the internal network;

  • e) incident reporting and response policies governing the incident management procedure, and reiteration of adherence to these policies as part of regular training;

  • f) mga backup (kung minsan ay nasa labas ng site) upang ibalik ang system upang paganahin itong maisagawa muli ang mga function nito;

  • g) pagpapatuloy ng negosyo/mga plano sa pagbawi ng kalamidad

1.14 Katatagan ng mga sistema at serbisyo sa pagpoproseso ng data

Ang mga sumusunod na hakbang ay dapat gawin upang matiyak ang katatagan ng mga sistema at serbisyo sa pagproseso ng data:

  • a) mga system at na-configure nang maayos, gamit ang mga naaprubahang parameter ng seguridad;

  • b) kalabisan sa network;

  • c) proteksyon sa pagpigil ng mga kritikal na sistema.

1.15 Pamamaraan para sa regular na pagsubok, pagsusuri, at pagtatasa ng pagiging epektibo ng teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng pagproseso ng data

Pamamaraan para sa regular na pagsubok, pagsusuri, at pagtatasa ng pagiging epektibo ng mga teknikal at organisasyonal na hakbang upang maprotektahan ang pagproseso ng data.

  • a) gawin ang mga kinakailangang hakbang upang masuri ang mga panganib at mga diskarte sa pagpapagaan;

  • b) mga pagpupulong sa pagsusuri ng serbisyo ng departamento ng IT upang matugunan ang mga kasalukuyang isyu;

  • c) ang mga plano sa pagpapatuloy ng negosyo/pagbawi ng sakuna ay regular na ina-update.

Bahagi 3

Mga lagda ng mga partido at listahan ng mga Data Importer

Kapag pinunan mo ang online na form ng pag-order at napatunayan ito sa pamamagitan ng pag-tick sa kahon na tinatanggap ang pangkalahatang mga tuntunin at kundisyon ng paggamit, ang kontrata na namamahala sa relasyon sa pagitan ng Customer at POSTCODEZIP ay itinatag.

Ang pagpapadala ng bayad sa POSTCODEZIP ay isasaalang-alang ang kontratang napagkasunduan at itinatag.

Tandaan: Ang tekstong ito ay isinalin mula sa Pranses. Ang orihinal na bersyon ng Pranses, na wasto at legal na naghihigpit, ay magagamit  dito .

bottom of page