הסכם עיבוד נתונים

מסמך זה הוא נגזרת של Common Paper DPA Standard Terms (גרסה 1.0) והשינויים הבאים בוצעו:

1. החוק החל ובתי המשפט הנבחרים נכלל כסעיף להלן עם Governing State מזוהה לעיל.
2. קשר עם ספק שירות נכלל כסעיף להלן.

1. ספק כמעבד

במצבים שבהם צרכן הוא אחראי על הנתונים האישיים של הלקוח, ספק ייחשב כמעבד המעבד מידע אישי מטעמו צרכן.

2. ספק כמעבד משנה

במצבים שבהם צרכן הוא מעבד של הנתונים האישיים של הלקוח, ספק ייחשב כמעבד משנה של הנתונים האישיים של הלקוח.

1. פרטי עיבוד

נספח I(B) בדף השער מתאר את הנושא, האופי, המטרה ומשך העיבוד הזה, כמו גם את קטגוריות של נתונים אישיים נאסף ו קטגוריות של נושאי נתונים.

2. הוראות עיבוד

צרכן מורה ספק לעבד נתונים אישיים של הלקוח: (א) לספק ולתחזק את השירות; (ב) כפי שניתן יהיה לפרט יותר באמצעות של הלקוח שימוש בשירות; (ג) כפי שמתועד ב הֶסכֵּם; וכן (ד) כפי שמתועד בכל הנחיות כתובות אחרות שניתנו על ידי צרכן ומאושר על ידי ספק על עיבוד נתונים אישיים של לקוחות במסגרת DPA זה. ספק יציית להוראות אלה אלא אם נאסר לעשות זאת על פי החוקים החלים. ספק יודיע מיד צרכן אם הוא אינו מסוגל לבצע את הוראות העיבוד. צרכן נתנה ותיתן רק הוראות התואמות את החוקים החלים.

3. עיבוד על ידי ספק

ספק תעבד רק את הנתונים האישיים של הלקוח בהתאם ל-DPA זה, לרבות הפרטים בדף השער. אם ספק מעדכן את השירות כדי לעדכן או לכלול מוצרים, תכונות או פונקציונליות חדשים, ספק עשוי לשנות את קטגוריות של נושאי נתונים, קטגוריות של נתונים אישיים, נתוני קטגוריות מיוחדות, הגבלות או אמצעי הגנה על נתונים בקטגוריה מיוחדת, תדירות ההעברה, אופי ומטרת העיבוד, ו משך העיבוד לפי הצורך כדי לשקף את העדכונים על ידי הודעה צרכן של העדכונים והשינויים.

4. עיבוד לקוחות

איפה צרכן הוא מעבד ו ספק הוא מעבד משנה, צרכן יעמוד בכל החוקים החלים החלים על של הלקוח עיבוד נתונים אישיים של הלקוח. של הלקוח הסכם עם הבקר שלו ידרוש באופן דומה צרכן לציית לכל החוקים החלים החלים על צרכן בתור מעבד. בנוסף, צרכן יעמוד בדרישות מעבד המשנה ב של הלקוח הסכם עם המנהל שלה.

5. הסכמה לעיבוד

צרכן צייתה ותמשיך לציית לכל חוקי הגנת המידע החלים הנוגעים למתן מידע אישי של לקוחות ל ספק ו/או השירות, לרבות מתן כל הגילויים, השגת כל ההסכמות, מתן בחירה נאותה ויישום אמצעי הגנה רלוונטיים הנדרשים על פי חוקי הגנת המידע החלים.

6. מעבדי משנה

א. ספק לא יספק, יעביר או ימסור כל מידע אישי של הלקוח למעבד משנה אלא אם כן צרכן אישר את מעבד המשנה. הרשימה הנוכחית של מעבדי משנה מאושרים כולל את זהותם של מעבדי המשנה, מדינת מיקומם ומשימות העיבוד הצפויות שלהם. ספק יודיע צרכן לפחות 10 ימי עסקים מראש ובכתב על כל שינוי מתוכנן ב מעבדי משנה מאושרים אם בתוספת או החלפה של מעבד משנה, המאפשר צרכן שיהיה מספיק זמן להתנגד לשינויים לפני ה ספק מתחיל להשתמש במעבד/ים החדשים. ספק יתן צרכן המידע הדרוש כדי לאפשר צרכן לממש את זכותה להתנגד לשינוי מעבדי משנה מאושרים. צרכן יש 30 יום לאחר הודעה על שינוי ב מעבדי משנה מאושרים להתנגד, אחרת צרכן ייחשב לקבל את השינויים. אם צרכן מתנגד לשינוי תוך 30 יום מההודעה, צרכן ו ספק ישתף פעולה בתום לב כדי לפתור של הלקוח התנגדות או דאגה.

ב. בעת הפעלת מעבד משנה, ספק יהיה הסכם כתוב עם מעבד המשנה המבטיח שמעבד המשנה יגש ומשתמש רק בנתונים האישיים של הלקוח (i) במידה הנדרשת לביצוע ההתחייבויות שנמסרו לו בקבלנות משנה, ו-(ii) בהתאם לתנאי הֶסכֵּם.

ג. אם ה-GDPR חל על עיבוד הנתונים האישיים של הלקוח, (i) חובות הגנת הנתונים המתוארות ב-DPA זה (כפי שמצוין בסעיף 28(3) של ה-GDPR, אם רלוונטי) מוטלות גם על מעבד המשנה, ו-(ii ) של הספק הסכם עם מעבד המשנה יכלול התחייבויות אלו, לרבות פירוט כיצד ספק ומעבד המשנה שלו יתאם להגיב לפניות או בקשות לגבי עיבוד הנתונים האישיים של הלקוח. בנוסף, ספק ישתף, ב של הלקוח לבקש, עותק מההסכמים שלה (כולל תיקונים כלשהם) עם מעבדי המשנה שלה. במידה הדרושה כדי להגן על סודות עסקיים או מידע סודי אחר, לרבות נתונים אישיים, ספק רשאית לבטל את נוסח ההסכם עם מעבד המשנה שלו לפני שיתוף עותק.

ד. ספק נשארת באחריות מלאה לכל ההתחייבויות שנמסרו בקבלנות משנה למעבדי המשנה שלה, לרבות המעשים והמחדלים של מעבדי המשנה שלו בעיבוד נתוני הלקוח האישיים. ספק יודיע ללקוח על כל כשל של מעבדי המשנה שלו במילוי התחייבות מהותית בנוגע לנתונים אישיים של הלקוח על פי ההסכם בין ספק ומעבד המשנה.

1. הרשאה

צרכן מסכים לכך ספק רשאי להעביר נתונים אישיים של הלקוח מחוץ לאזור ה-EEA, בריטניה או טריטוריה גיאוגרפית רלוונטית אחרת לפי הצורך כדי לספק את השירות. אם ספק מעבירה נתונים אישיים של לקוחות לטריטוריה שעבורה הנציבות האירופית או רשות פיקוח רלוונטית אחרת לא פרסמה החלטת הלימה, ספק יישם אמצעי הגנה מתאימים להעברת מידע אישי של לקוחות לאותו טריטוריה בהתאם לחוקי הגנת המידע החלים.

2. העברות לשעבר ב-EEA

צרכן ו ספק מסכים שאם ה-GDPR מגן על העברת הנתונים האישיים של הלקוח, ההעברה היא מאת צרכן מתוך ה-EEA ל ספק מחוץ ל-EEA, וההעברה אינה כפופה להחלטת הלימה שהתקבלה על ידי הנציבות האירופית, ולאחר מכן על ידי כניסה ל-DPA זה, צרכן ו ספק נחשבים כחתומים על ה-EEA SCCs והנספחים שלהם, המשולבים בהפניה. כל העברה כזו מתבצעת בהתאם ל-EEA SCCs, אשר מושלמים באופן הבא:

א. מודול שני (מבקר למעבד) של SCCs EEA חל כאשר צרכן הוא בקר ו ספק מעבד מידע אישי של לקוחות עבור צרכן בתור מעבד.

ב. מודול שלישי (מעבד למעבד משנה) של SCCs EEA חל כאשר צרכן הוא מעבד ו ספק מעבד נתונים אישיים של לקוחות מטעם צרכן בתור מעבד משנה.

ג. עבור כל מודול, חלים הדברים הבאים (כאשר רלוונטי):

1. סעיף העגינה האופציונלי בסעיף 7 אינו חל;

2. בסעיף 9 חלה אפשרות 2 (הרשאה כללית בכתב), ותקופת הזמן המינימלית להודעה מוקדמת על שינויים במעבד המשנה היא 10 ימי עסקים;

3. בסעיף 11, השפה האופציונלית אינה חלה;

4. כל הסוגריים המרובעים בסעיף 13 מוסרים;

5. בסעיף 17 (אפשרות 1), ה-EEA SCCs יהיו כפופים לחוקים של מדינה חברה שולטת;

6. בסעיף 18(ב), מחלוקות יוכרעו בבתי המשפט של ה מדינה חברה שולטת; ו

7. דף השער ל-DPA זה מכיל את המידע הנדרש בנספח I, נספח II ובנספח III ל-EEA SCCs.

3. העברות לשעבר בבריטניה

צרכן ו ספק מסכים שאם ה-GDPR בבריטניה מגן על העברת הנתונים האישיים של הלקוח, ההעברה היא מאת צרכן מתוך בריטניה ועד ספק מחוץ לממלכה המאוחדת, וההעברה אינה כפופה להחלטת הלימה שהתקבלה על ידי שר החוץ של בריטניה, ולאחר מכן על ידי כניסה ל-DPA זה, צרכן ו ספק נחשבים כחתומים על הנספח הבריטי והנספחים שלהם, המשולבים בהפניה. כל העברה כזו מתבצעת בהתאם לנספח בריטניה, המושלם באופן הבא:

א. סעיף 3.2 ל-DPA זה מכיל את המידע הנדרש בטבלה 2 של הנספח הבריטי.

ב. טבלה 4 של הנספח של בריטניה שונה כדלקמן: אף אחד מהצדדים אינו רשאי לסיים את הנספח של בריטניה כמפורט בסעיף 19 של הנספח של בריטניה; ככל ש-ICO תוציא נספח מאושר מתוקן לפי סעיף 18 של הנספח הבריטי, הצדדים יפעלו בתום לב כדי לשנות את ה-DPA הזה בהתאם.

ג. דף השער מכיל את המידע הנדרש על פי נספח 1A, נספח 1B, נספח II ונספח III לנספח בריטניה.

4. העברות בינלאומיות אחרות

לגבי העברות של נתונים אישיים שבהם החוק השוויצרי (ולא החוק בכל מדינה חברה ב-EEA או בבריטניה) חל על האופי הבינלאומי של ההעברה, הפניות ל-GDPR בסעיף 4 של ה-EEA SCCs הן, במידה הנדרשת על פי חוק, תוקן כדי להתייחס לחוק הגנת המידע הפדרלי של שוויץ או ליורשו במקום זאת, והמושג של סמכות פיקוח יכלול את הממונה על הגנת המידע והמידע הפדרלי של שוויץ.

1. עם היוודע אירוע אבטחה כלשהו, ספק יודיע: (א) יודיע צרכן ללא עיכוב מיותר כאשר הדבר אפשרי, אך לא יאוחר מ-72 שעות לאחר שנודע לאירוע האבטחה; (ב) לספק מידע בזמן על אירוע האבטחה כפי שהוא נודע או כפי שמתבקש באופן סביר על ידי צרכן; וכן (ג) לנקוט בצעדים סבירים מיידית כדי להכיל ולחקור את אירוע האבטחה. של הספק הודעה על אירוע אבטחה או תגובה לאירוע אבטחה כנדרש ב-DPA זה לא יתפרשו כהודאה של ספק של כל תקלה או חבות בגין אירוע הביטחון.

1. זכויות ביקורת

ספק יתן צרכן כל המידע הדרוש באופן סביר כדי להוכיח את תאימותו ל-DPA זה וכן ספק יאפשר ותתרום לביקורות, לרבות בדיקות על ידי צרכן, להעריך של הספק עמידה ב-DPA זה. למרות זאת, ספק עשוי להגביל את הגישה לנתונים או מידע אם של הלקוח גישה למידע תשפיע לרעה של הספק זכויות קניין רוחני, חובות סודיות או חובות אחרות על פי החוקים החלים. צרכן מאשרת ומסכימה שהיא תממש רק את זכויות הביקורת שלה במסגרת DPA זה וכל זכויות ביקורת שניתנו על ידי חוקי הגנת המידע החלים על ידי הוראה ספק כדי לעמוד בדרישות הדיווח ובדיקת הנאותות שלהלן. ספק ישמור תיעוד של עמידתו ב-DPA זה למשך 3 שנים לאחר סיום ה-DPA.

2. דוחות אבטחה

צרכן מודה בכך ספק מבוקרת באופן קבוע על פי התקנים המוגדרים ב מדיניות אבטחה על ידי מבקרי צד שלישי בלתי תלויים. על פי בקשה בכתב, ספק יתן צרכן, על בסיס סודי, עותק מסכם של הדוח הנוכחי שלה, כך צרכן יכול לאמת של הספק עמידה בתקנים המוגדרים ב מדיניות אבטחה.

3. בדיקת נאותות אבטחה

בנוסף לדוח, ספק יענה לבקשות סבירות למידע שנעשו על ידי צרכן כדי לאשר של הספק ציות ל-DPA זה, לרבות תשובות לאבטחת מידע, בדיקת נאותות ושאלוני ביקורת, או על ידי מתן מידע נוסף על תוכנית אבטחת המידע שלו. כל הבקשות הללו חייבות להיות בכתב ולהימסר ל- איש קשר לאבטחת הספק ואפשר לעשות רק פעם בשנה.

1. מענה לפניות

אם ספק מקבל כל פניה או בקשה מכל אדם אחר לגבי עיבוד הנתונים האישיים של הלקוח, ספק יודיע צרכן לגבי הבקשה ו ספק לא יענה לבקשה בלי של הלקוח הסכמה מראש. דוגמאות לסוגים אלה של פניות ובקשות כוללות צו שיפוטי או מנהלי או סוכנות רגולטורית לגבי נתונים אישיים של לקוחות כאשר מודיעים צרכן אינו אסור על פי החוק החל, או בקשה מאת נושא מידע. אם מותר על פי החוק החל, ספק יעקוב של הלקוח הנחיות סבירות לגבי בקשות אלה, לרבות מתן עדכוני סטטוס ומידע אחר המתבקש באופן סביר על ידי צרכן. אם נושא מידע מגיש בקשה תקפה על פי חוקי הגנת המידע החלים למחוק או לבטל את הסכמתו של הלקוח מסירת מידע אישי ללקוח ספק, ספק יסייע צרכן במילוי הבקשה לפי חוק הגנת המידע החל. ספק ישתף פעולה ויספק סיוע סביר צרכן, ב של הלקוח הוצאה, בכל תגובה משפטית או פעולה פרוצדורלית אחרת שננקטה על ידי צרכן בתגובה לבקשת צד שלישי על של הספק עיבוד נתונים אישיים של לקוחות במסגרת DPA זה.

2. DPIAs ו-DTIAs

אם נדרש על פי חוקי הגנת המידע החלים, ספק יסייע באופן סביר צרכן בביצוע הערכות ההשפעה המחייבות להגנה על נתונים או הערכות השפעה והתייעצות עם רשויות הגנת מידע רלוונטיות, תוך התחשבות באופי העיבוד והנתונים האישיים של הלקוח.

1. מחיקה על ידי הלקוח

ספק יאפשר צרכן למחוק נתונים אישיים של הלקוח באופן התואם את הפונקציונליות של השירותים. ספק ימלאו להוראה זו בהקדם האפשרי, למעט כאשר אחסון נוסף של מידע אישי של הלקוח נדרש על פי החוק החל.

2. מחיקה בתום DPA Expiration

א. לאחר שה-DPA יפוג, ספק יחזיר או ימחק את הנתונים האישיים של הלקוח ב- של הלקוח הוראה אלא אם אחסון נוסף של מידע אישי של הלקוח נדרש או מורשה על פי החוק החל. אם החזרה או השמדה בלתי מעשיים או אסורים על פי החוקים החלים, ספק תעשה מאמצים סבירים למנוע עיבוד נוסף של נתוני הלקוח האישיים ותמשיך להגן על הנתונים האישיים של הלקוח שנותרו ברשותו, במשמורתו או בשליטתו. לדוגמה, חוקים ישימים עשויים לדרוש ספק כדי להמשיך לארח או לעבד את הנתונים האישיים של הלקוח.

ב. אם צרכן ו ספק נכנסו ל-EEA SCCs או לנספח בריטניה כחלק מ-DPA זה, ספק רק ייתן צרכן האישור למחיקת נתונים אישיים המתוארים בסעיף 8.1(ד) ובסעיף 8.5 של ה-EEA SCCs אם צרכן מבקש אחד.

1. תקרות אחריות ווויתור על נזקים

במידה המקסימלית המותרת על פי חוקי הגנת המידע החלים, החבות המצטברת הכוללת של כל צד כלפי הצד השני הנובעת או קשורה ל-DPA זה תהיה כפופה לוויתור, להחרגות ולמגבלות האחריות המפורטות ב- הֶסכֵּם.

2. תביעות של צדדים קשורים

כל תביעה שהועלתה נגד ספק או השותפים העצמאיים שלו הנובעים או קשורים ל-DPA זה יכולים להיות מובאים רק על ידי צרכן ישות שהיא צד ל הֶסכֵּם.

3. חריגים

1. DPA זה אינו מגביל כל אחריות כלפי אדם לגבי זכויות הגנת המידע של הפרט על פי חוקי הגנת המידע החלים. בנוסף, DPA זה אינו מגביל כל אחריות בין הצדדים להפרות של EEA SCCs או נספח בריטניה.

1. DPA זה מהווה חלק מההסכם ומשלים אותו. אם יש חוסר עקביות בין DPA זה, ה הֶסכֵּם, או כל אחד מהחלקים שלהם, החלק הרשום קודם לכן ישלוט על החלק הרשום מאוחר יותר בשל חוסר עקביות זה: (1) ה-EEA SCCs או התוספת של בריטניה, (2) DPA זה, ולאחר מכן (3) הֶסכֵּם.

DPA זה יתחיל מתי ספק ו צרכן להסכים לדף שער עבור ה-DPA ולחתום או לקבל באופן אלקטרוני את הֶסכֵּם וימשיך עד ה הֶסכֵּם יפוג או מסתיים. למרות זאת, ספק ו צרכן כל אחד מהם יישאר כפוף לחובות ב-DPA זה ובחוקי הגנת מידע החלים עד צרכן מפסיקה להעביר את הנתונים האישיים של הלקוח אל ספק ו ספק מפסיק את עיבוד הנתונים האישיים של הלקוח.

על אף החוק החל או סעיפים דומים של הֶסכֵּם, כל הפרשנויות והמחלוקות לגבי DPA זה יהיו כפופים לחוקי ה- המדינה השלטת ללא התחשבות בהוראות ניגוד החוקים שלו. בנוסף, ולמרות בחירת הפורום, סמכות השיפוט או סעיפים דומים של הפורום הֶסכֵּם, הצדדים מסכימים להגיש כל תביעה, תביעה או הליך משפטי בנוגע ל-DPA זה, וכל צד נכנע באופן בלתי הפיך לסמכות השיפוט הבלעדית של בתי המשפט של המדינה השלטת.

עד כמה California Consumer Privacy Act, Cal. Civ. קוד § 1798.100 ואילך ("CCPA") חל, הצדדים מאשרים ומסכימים כי ספק הוא ספק שירות ומקבל נתונים אישיים מ צרכן לספק את השירות כפי שהוסכם ב הֶסכֵּם, המהווה מטרה עסקית. ספק לא תמכור נתונים אישיים כלשהם שסופקו על ידי צרכן תחת הֶסכֵּם. בנוסף, ספק לא ישמור, ישתמש או יחשוף נתונים אישיים כלשהם שסופקו על ידי צרכן תחת הֶסכֵּם למעט הדרוש למתן השירות עבור צרכן, כאמור ב הֶסכֵּם, או כפי שמותר על פי חוקי הגנת מידע החלים. ספק מאשרת כי היא מבינה את ההגבלות של פסקה זו.

1. "חוקים ישימים" פירושו החוקים, הכללים, התקנות, צווי בית המשפט ודרישות מחייבות אחרות של רשות ממשלתית רלוונטית שחלות על צד או שולטות בו.

2. "חוקי הגנת מידע החלים" פירושו החוקים החלים המסדירים את האופן שבו השירות עשוי לעבד או להשתמש במידע אישי של אדם, נתונים אישיים, מידע אישי מזהה או מונח דומה אחר.

3. "בקר" יהיו המשמעויות שניתנו בחוקי הגנת המידע החלים על החברה הקובעת את המטרה וההיקף של עיבוד נתונים אישיים.

4. "עמוד שער" פירושו מסמך חתום או מקובל אלקטרונית על ידי הצדדים המשלב את תנאי התקן של DPA ומזהה ספק, צרכן, והנושא והפרטים של עיבוד הנתונים.

5. "נתונים אישיים של לקוח" פירושו נתונים אישיים ש צרכן מעלה או מספק ל ספק כחלק מהשירות וזה כפוף ל-DPA זה.

6. "DPA" פירושו התנאים הסטנדרטיים של DPA, דף השער ביניהם ספק ו צרכן, והמדיניות והמסמכים המוזכרים בדף השער או מצורפים לו.

7. "EEA SCCs" פירושו הסעיפים החוזיים הסטנדרטיים המצורפים להחלטת היישום 2021/914 של הנציבות האירופית מ-4 ביוני 2021 בדבר סעיפים חוזיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות בהתאם לתקנה (EU) 2016/679 של הפרלמנט האירופי ושל המועצה האירופית .

8. "האזור הכלכלי האירופי" אוֹ "EEA" פירושו המדינות החברות באיחוד האירופי, נורבגיה, איסלנד וליכטנשטיין.

9. "GDPR" פירושו תקנה 2016/679 של האיחוד האירופי כפי שיושם על ידי החוק המקומי במדינה הרלוונטית של האיחוד האירופי.

10. "מידע אישי" יהיו המשמעויות שניתנו בחוקי הגנת המידע החלים על מידע אישי, נתונים אישיים או מונח דומה אחר.

11. "מעבד" אוֹ "תהליך" יהיו המשמעויות שניתנו בחוקי הגנת המידע החלים על כל שימוש או ביצוע פעולת מחשב בנתונים אישיים, לרבות בשיטות אוטומטיות.

12. "מעבד" יהיו המשמעויות שניתנו בחוקי הגנת המידע החלים על החברה המעבדת נתונים אישיים מטעם המבקר.

13. "להגיש תלונה" פירושו דוחות ביקורת שהוכנו על ידי חברה אחרת על פי הסטנדרטים המוגדרים במדיניות האבטחה מטעם הספק.

14. "העברה מוגבלת" פירושו (א) כאשר ה-GDPR חל, העברה של נתונים אישיים מה-EEA למדינה מחוץ ל-EEA שאינה כפופה לקביעת הלימות של הנציבות האירופית; וכן (ב) כאשר ה-GDPR של בריטניה חל, העברה של נתונים אישיים מבריטניה לכל מדינה אחרת שאינה כפופה לתקנות הלימה שאומצו בהתאם לסעיף 17A של חוק הגנת הנתונים של בריטניה 2018.

15. "אירוע ביטחוני" פירושה הפרת נתונים אישיים כהגדרתה בסעיף 4 של ה-GDPR.

16. "שֵׁרוּת" פירושו המוצר ו/או השירותים המתוארים ב הֶסכֵּם.

17. "נתוני קטגוריה מיוחדת" תהיה המשמעות הניתנת בסעיף 9 ל-GDPR.

18. "מעבד משנה" יהיו המשמעויות שניתנו בחוקי הגנת המידע החלים על חברה אשר, באישור וקבלת המבקר, מסייעת למעבד בעיבוד נתונים אישיים מטעם המבקר.

19. "UK GDPR" פירושו תקנה 2016/679 של האיחוד האירופי כפי שיושם על ידי סעיף 3 של חוק האיחוד האירופי (נסיגה) של בריטניה משנת 2018 בבריטניה.

20. "נספח בריטניה" פירושו תוספת העברת הנתונים הבינלאומית ל-EEA SCCs שהונפקו על ידי נציב המידע עבור צדדים המבצעים העברות מוגבלות לפי S119A(1) Data Protection Act 2018.

מסמך זה הוא נגזרת של Common Paper DPA Standard Terms (גרסה 1.0) והוא מורשה תחת CC BY 4.0.