डेटा सुरक्षा परिशिष्ट

यह डेटा सुरक्षा परिशिष्ट ("परिशिष्ट") अन्य दस्तावेज़ों के साथ संयोजन में, जिसमें अंतिम उपयोगकर्ता अनुबंध और ऑर्डर शामिल है, लेकिन यहीं तक सीमित नहीं है, ("समझौता") स्टेलर साइबर इंक और उसके सहयोगियों के बीच ("तारकीय साइबर") और ग्राहक और उसके सहयोगी ("ग्राहक") पार्टियां इस बात से सहमत हैं कि यह परिशिष्ट क्लाइंट के डिलिवरेबल्स के उपयोग के संबंध में क्लाइंट डेटा के प्रसंस्करण और सुरक्षा के संबंध में उनके दायित्वों को निर्धारित करता है। इस परिशिष्ट में परिभाषित शर्तों का अर्थ परिशिष्ट में निर्धारित किया जाएगा। यहां अन्यथा परिभाषित नहीं की गई पूंजीकृत शर्तों का अर्थ अंतिम उपयोगकर्ता अनुबंध और/या आदेश में दिया गया अर्थ होगा। नीचे दिए गए संशोधन को छोड़कर, समझौते की शर्तें पूरी तरह से लागू और प्रभावी रहेंगी। यहां निर्धारित पारस्परिक दायित्वों को ध्यान में रखते हुए, पार्टियां इस बात से सहमत हैं कि नीचे निर्धारित नियमों और शर्तों को अनुबंध के परिशिष्ट के रूप में जोड़ा जाएगा। सिवाय जहां संदर्भ के लिए अन्यथा आवश्यक है, अनुबंध के इस परिशिष्ट में संदर्भ इस अनुबंध द्वारा संशोधित और इस परिशिष्ट को शामिल करते हुए हैं। एक्ज़िबिट 3 में पाए जाने वाले मानक संविदात्मक खण्डों सहित इस परिशिष्ट पर स्टेलर साइबर द्वारा पूर्व-हस्ताक्षरित किया गया है। तारकीय साइबर को निर्देशित ईमेल द्वारा वैध रूप से पूर्ण परिशिष्ट की प्राप्ति पर po@stellarcyber.ai, यह परिशिष्ट कानूनी रूप से बाध्यकारी हो जाएगा, बशर्ते कि इस परिशिष्ट का पूर्व-हस्ताक्षरित संस्करण शून्य और शून्य हो जाएगा यदि ग्राहक द्वारा मानक संविदात्मक खंड और हस्ताक्षर बॉक्स में किसी भी आवश्यक बुनियादी संपर्क जानकारी को पूरा करने से परे इसमें कोई परिवर्तन किया जाता है।

  1. परिभाषाएँ

    1. इस परिशिष्ट में, निम्नलिखित शब्दों के वही अर्थ होंगे जो नीचे दिए गए हैं और सजातीय शब्दों का अर्थ तदनुसार लगाया जाएगा:
      1. "लगने लायक नियम" का अर्थ है (ए) यूरोपीय डेटा संरक्षण कानून और (बी) गैर-यूरोपीय डेटा संरक्षण कानून;
      2. "संबद्ध""इसका मतलब एक ऐसी इकाई है जो यहां किसी पार्टी के स्वामित्व या नियंत्रण, स्वामित्व या नियंत्रण में है या उसके साथ सामान्य नियंत्रण या स्वामित्व में है, जहां नियंत्रण को प्रत्यक्ष या अप्रत्यक्ष रूप से, दिशा निर्देशित करने या प्रेरित करने की शक्ति के कब्जे के रूप में परिभाषित किया गया है। किसी इकाई का प्रबंधन और नीतियां, चाहे वोटिंग प्रतिभूतियों के स्वामित्व के माध्यम से, अनुबंध द्वारा या अन्यथा;
      3. "ग्राहक व्यक्तिगत डेटा" का अर्थ है अनुबंध के अनुसार या उसके संबंध में ग्राहक की ओर से अनुबंधित प्रोसेसर द्वारा संसाधित कोई भी व्यक्तिगत डेटा;
      4. "अनुबंधित प्रोसेसर" का अर्थ है स्टेलर साइबर या स्टेलर साइबर सबप्रोसेसर;
      5. "सुपुर्दगी" का अर्थ अनुबंध के अनुसार ग्राहक के लिए स्टेलर साइबर द्वारा या उसकी ओर से प्रदान की जाने वाली या की जाने वाली सेवाओं और अन्य गतिविधियों से है;
      6. "ईईए" का अर्थ है यूरोपीय आर्थिक क्षेत्र;
      7. "यूरोपीय डेटा सुरक्षा कानून" का अर्थ है, जैसा लागू हो: (i) जीडीपीआर; (ii) यूके जीडीपीआर; और/या (iii) स्विस एफडीपीए;
      8. "GDPR"मतलब ईयू जनरल डेटा प्रोटेक्शन रेगुलेशन 2016/679;
      9. "गैर-यूरोपीय डेटा संरक्षण कानून" का अर्थ है समझौते के तहत स्टेलर साइबर प्रोसेसिंग क्लाइंट के व्यक्तिगत डेटा पर लागू होने वाले सभी कानून और नियम जो ईईए, यूके और स्विट्जरलैंड के बाहर लागू हैं;
      10. "प्रतिबंधित स्थानांतरण" साधन:
        1. क्लाइंट से अनुबंधित प्रोसेसर में क्लाइंट के व्यक्तिगत डेटा का स्थानांतरण; या
        2. एक अनुबंधित प्रोसेसर से एक अनुबंधित प्रोसेसर के लिए, या एक अनुबंधित प्रोसेसर के दो प्रतिष्ठानों के बीच ग्राहक के व्यक्तिगत डेटा का आगे स्थानांतरण, प्रत्येक मामले में, जहां इस तरह के हस्तांतरण को लागू कानूनों द्वारा प्रतिबंधित किया जाएगा (या डेटा हस्तांतरण समझौते की शर्तों के अनुसार जगह बनाई गई है) नीचे धारा 11 के तहत स्थापित किए जाने वाले मानक संविदात्मक खण्डों के अभाव में लागू कानूनों के डेटा हस्तांतरण प्रतिबंधों को संबोधित करने के लिए;
      11. "मानक संविदात्मक धाराएँ" अर्थात ईईए और स्विट्ज़रलैंड में स्थित ईयू डेटा विषयों के लिए प्रदर्शनी 3 में निर्धारित संविदात्मक खंड; और यूनाइटेड किंगडम में स्थित डेटा विषयों के लिए एक्ज़िबिट 4;
      12. "सबप्रोसेसर" का अर्थ किसी भी व्यक्ति (किसी भी तीसरे पक्ष सहित, लेकिन स्टेलर साइबर या उसके किसी उप-ठेकेदार के कर्मचारी को छोड़कर) को स्टेलर साइबर द्वारा या उसकी ओर से स्टेलर साइबर के तहत डिलिवरेबल्स के प्रावधान के संबंध में क्लाइंट की ओर से व्यक्तिगत डेटा को संसाधित करने के लिए नियुक्त किया गया है। की सुलह; तथा
      13. "स्विस एफडीपीए" 19 जून 1992 (स्विट्जरलैंड) के संघीय डेटा संरक्षण अधिनियम का अर्थ है; तथा
      14. "यूके जीडीपीआर" इसका मतलब है कि यूके यूरोपीय संघ (निकासी) अधिनियम 2018 के तहत यूके कानून में संशोधित और शामिल ईयू जीडीपीआर, और उसी के तहत लागू माध्यमिक कानून।
    2. शर्तें, "आयोग", "नियंत्रक", "डेटा विषय", "सदस्य राज्य", "व्यक्तिगत डेटा", "व्यक्तिगत डेटा उल्लंघन", "प्रसंस्करण" और "पर्यवेक्षी प्राधिकरण" जीडीपीआर के समान ही अर्थ होगा, और उनके सजातीय शब्दों को तदनुसार समझा जाएगा।

  2. क्लाइंट व्यक्तिगत डेटा का प्रसंस्करण

    1. यदि यूरोपीय डेटा सुरक्षा कानून क्लाइंट के व्यक्तिगत डेटा के प्रसंस्करण पर लागू होते हैं:
      1. विषय वस्तु और प्रसंस्करण का विवरण प्रदर्शनी 1 में वर्णित है;
      2. स्टेलर साइबर यूरोपीय डेटा सुरक्षा कानूनों के तहत उस ग्राहक के व्यक्तिगत डेटा का एक प्रोसेसर है;
      3. क्लाइंट यूरोपीय डेटा सुरक्षा कानूनों के तहत उस क्लाइंट के व्यक्तिगत डेटा का नियंत्रक या प्रोसेसर है;
      4. प्रत्येक पक्ष उस ग्राहक के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में यूरोपीय डेटा संरक्षण कानूनों के तहत उस पर लागू दायित्वों का पालन करेगा।
    2. यदि गैर-यूरोपीय डेटा संरक्षण कानून क्लाइंट व्यक्तिगत डेटा के किसी भी पक्ष के प्रसंस्करण पर लागू होते हैं, तो संबंधित पक्ष उस ग्राहक के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में उस कानून के तहत लागू किसी भी दायित्व का पालन करेगा।
    3. तारकीय साइबर करेगा:
      1. अनुबंध के अनुसार डिलिवरेबल्स प्रदान करने के अलावा क्लाइंट के व्यक्तिगत डेटा को संसाधित नहीं करता है (इस परिशिष्ट में निर्धारित और इस परिशिष्ट में प्रदर्शनी 1 में वर्णित अनुसार), जब तक कि लागू कानून द्वारा प्रसंस्करण की आवश्यकता नहीं होती है जिसके लिए संबंधित अनुबंधित प्रोसेसर विषय है ("अनुमत उद्देश्य"), जिस स्थिति में स्टेलर साइबर लागू कानून द्वारा अनुमत सीमा तक क्लाइंट को उस क्लाइंट के व्यक्तिगत डेटा के प्रासंगिक प्रसंस्करण से पहले उस कानूनी आवश्यकता के बारे में सूचित करेगा; तथा
      2. यदि स्टेलर साइबर की राय में, यूरोपीय डेटा संरक्षण कानून स्टेलर साइबर को अनुमत उद्देश्य का अनुपालन करने से रोकते हैं या स्टेलर साइबर अन्यथा अनुमत उद्देश्य का पालन करने में असमर्थ है, तो तुरंत क्लाइंट को सूचित करें। यह अनुभाग किसी भी पक्ष के अधिकारों या दायित्वों को अनुबंध में कहीं और कम नहीं करता है।
    4. ग्राहक इसके द्वारा:
      1. स्टेलर साइबर को निर्देश देता है (और स्टेलर साइबर को प्रत्येक सबप्रोसेसर को निर्देश देने के लिए अधिकृत करता है) अनुमति प्राप्त उद्देश्य के लिए क्लाइंट व्यक्तिगत डेटा को संसाधित करने के लिए; तथा
      2. वारंट और प्रतिनिधित्व करता है कि यह प्रत्येक प्रासंगिक ग्राहक या ग्राहक संबद्धता की ओर से यहां निर्धारित निर्देश देने के लिए सभी प्रासंगिक समय पर विधिवत और प्रभावी रूप से अधिकृत है और रहेगा:

  3. तारकीय साइबर कार्मिक

    स्टेलर साइबर किसी भी अनुबंधित प्रोसेसर के किसी भी कर्मचारी, एजेंट या ठेकेदार की विश्वसनीयता सुनिश्चित करने के लिए उचित कदम उठाएगा, जिनके पास ग्राहक के व्यक्तिगत डेटा तक पहुंच हो सकती है, यह सुनिश्चित करते हुए कि प्रत्येक मामले में पहुंच केवल उन व्यक्तियों तक ही सीमित है, जिन्हें जानने/पहुंच की आवश्यकता है। प्रासंगिक ग्राहक व्यक्तिगत डेटा, अनुबंध के प्रयोजनों के लिए और अनुबंधित प्रोसेसर के प्रति उस व्यक्ति के कर्तव्यों के संदर्भ में लागू कानूनों का अनुपालन करने के लिए सख्ती से आवश्यक है, यह सुनिश्चित करते हुए कि ऐसे सभी व्यक्ति गोपनीयता उपक्रमों या गोपनीयता के पेशेवर या वैधानिक दायित्वों के अधीन हैं। .

  4. सुरक्षा

    1. स्टेलर साइबर एक्ज़िबिट 1 ("सुरक्षा उपाय") में निर्धारित तकनीकी और संगठनात्मक उपायों को लागू और बनाए रखेगा। स्टेलर साइबर समय-समय पर सुरक्षा उपायों को अपडेट कर सकता है बशर्ते कि इस तरह के अपडेट से डिलिवरेबल्स की सुरक्षा में कमी न हो।
    2. सुरक्षा के उचित स्तर का आकलन करने में, स्टेलर साइबर विशेष रूप से एक व्यक्तिगत डेटा उल्लंघन से प्रसंस्करण द्वारा प्रस्तुत जोखिमों को ध्यान में रखेगा।

  5. उपप्रसंस्करण

    1. ग्राहक स्टेलर साइबर को इस धारा 5 और अनुबंध में किसी भी प्रतिबंध के अनुसार उपप्रोसेसरों को नियुक्त करने (और इस धारा 5 के अनुसार नियुक्त प्रत्येक उपप्रोसेसर को नियुक्त करने की अनुमति देने) के लिए अधिकृत करता है। स्टेलर साइबर क्लाइंट को उन सबप्रोसेसरों की वर्तमान सूची उपलब्ध कराएगा जो क्लाइंट के व्यक्तिगत डेटा को संसाधित कर रहे हैं, जो प्रदर्शनी 3 के अनुबंध III के रूप में संलग्न है। स्टेलर साइबर क्लाइंट को किसी भी नए सबप्रोसेसर की नियुक्ति की पूर्व लिखित सूचना प्रदान करेगा, जिसमें होने वाली प्रोसेसिंग का विवरण भी शामिल होगा। सबप्रोसेसर द्वारा किया गया। यदि, उस नोटिस की प्राप्ति के तीस (30) दिनों के भीतर, ग्राहक प्रस्तावित नियुक्ति पर किसी भी आपत्ति के बारे में लिखित रूप में स्टेलर साइबर को सूचित करता है, और डेटा से संबंधित ऐसे प्रस्तावित सबप्रोसेसर की व्यावसायिक प्रथाओं के बारे में वैध चिंताओं के आधार पर ऐसी आपत्तियों के लिए व्यावसायिक रूप से उचित औचित्य प्रदान करता है। सुरक्षा, तो (i) स्टेलर साइबर नए सबप्रोसेसर के संबंध में ग्राहक की आपत्तियों का समाधान करने के लिए अच्छे विश्वास के साथ ग्राहक के साथ काम करेगा; और (ii) जहां अनुबंध में किसी भी बात के बावजूद, स्टेलर साइबर द्वारा ग्राहक का नोटिस प्राप्त होने के तीस (30) दिनों के भीतर ग्राहक की चिंताओं का समाधान नहीं किया जा सकता है, ग्राहक, स्टेलर साइबर को एक लिखित नोटिस प्रदान करके, तत्काल प्रभाव से समझौते को समाप्त कर सकता है और समझौते की समाप्ति के बाद स्टेलर साइबर ग्राहक को डिलिवरेबल अवधि (जैसा कि लागू आदेश में उल्लिखित है) के कारण डिलिवरेबल्स के लिए सभी प्रीपेड शुल्क वापस कर देगा।
    2. प्रत्येक सबप्रोसेसर के संबंध में, स्टेलर साइबर:
      1. इससे पहले कि सबप्रोसेसर पहले क्लाइंट के व्यक्तिगत डेटा को प्रोसेस करे, यह सुनिश्चित करने के लिए पर्याप्त उचित परिश्रम करें कि सबप्रोसेसर अनुबंध द्वारा आवश्यक क्लाइंट व्यक्तिगत डेटा के लिए सुरक्षा का स्तर प्रदान करने में सक्षम है;
      2. सुनिश्चित करें कि एक तरफ (ए) तारकीय साइबर, या (बी) प्रासंगिक मध्यवर्ती उपप्रोसेसर के बीच व्यवस्था; और दूसरी ओर, सबप्रोसेसर, एक लिखित अनुबंध द्वारा शासित होता है, जिसमें ऐसी शर्तें शामिल हैं जो क्लाइंट के व्यक्तिगत डेटा के लिए कम से कम उसी स्तर की सुरक्षा प्रदान करती हैं जो इस परिशिष्ट में निर्धारित की गई हैं और जीडीपीआर के अनुच्छेद 28(3) की आवश्यकताओं को पूरा करती हैं। ;
      3. यदि उस व्यवस्था में प्रतिबंधित स्थानांतरण शामिल है, तो सुनिश्चित करें कि मानक संविदात्मक खंड एक ओर (ए) तारकीय साइबर, या (बी) प्रासंगिक मध्यवर्ती उपप्रोसेसर के बीच समझौते में शामिल सभी प्रासंगिक समय पर हैं; और दूसरी ओर सबप्रोसेसर, या सबप्रोसेसर से पहले क्लाइंट के व्यक्तिगत डेटा को पहले प्रोसेस करता है कि वह क्लाइंट के साथ मानक संविदात्मक क्लॉज़ को शामिल करते हुए एक समझौता करता है। तथा
      4. उपप्रोसेसरों के साथ अनुबंधित प्रोसेसरों के समझौतों की ऐसी प्रतियों की समीक्षा के लिए ग्राहक को प्रदान करें (जिन्हें इस परिशिष्ट की आवश्यकताओं से प्रासंगिक नहीं होने वाली गोपनीय वाणिज्यिक जानकारी को हटाने के लिए संशोधित किया जा सकता है) जैसा कि ग्राहक समय-समय पर अनुरोध कर सकता है।
    3. स्टेलर साइबर यह सुनिश्चित करेगा कि प्रत्येक सबप्रोसेसर धारा 2.1, 3, 4, 6.1, 7.2, 8 और 10.1 के तहत अपने दायित्वों का पालन करता है, क्योंकि वे उस सबप्रोसेसर द्वारा किए गए क्लाइंट के व्यक्तिगत डेटा के प्रसंस्करण पर लागू होते हैं, जैसे कि वह इस परिशिष्ट के पक्ष में थे। तारकीय साइबर की जगह।

  6. विषय के डेटा का अधिकार

    1. प्रसंस्करण की प्रकृति को ध्यान में रखते हुए, स्टेलर साइबर डेटा विषय का उपयोग करने के अनुरोधों का जवाब देने के लिए, ग्राहकों के दायित्वों की पूर्ति के लिए, जैसा कि ग्राहक द्वारा उचित रूप से समझा जाता है, उचित तकनीकी और संगठनात्मक उपायों को लागू करके ग्राहक की सहायता करेगा, जहां तक ​​​​यह संभव है। लागू कानूनों के तहत अधिकार.
    2. तारकीय साइबर करेगा:
      1. यदि किसी अनुबंधित प्रोसेसर को ग्राहक के व्यक्तिगत डेटा के संबंध में किसी डेटा सुरक्षा कानून के तहत डेटा विषय से अनुरोध प्राप्त होता है, तो तुरंत ग्राहक को सूचित करें; तथा
      2. सुनिश्चित करें कि अनुबंधित प्रोसेसर उस अनुरोध का जवाब नहीं देता है सिवाय क्लाइंट या संबंधित क्लाइंट संबद्धता के प्रलेखित निर्देशों के या लागू कानूनों के अनुसार आवश्यक है, जिसके लिए अनुबंधित प्रोसेसर विषय है, इस मामले में स्टेलर साइबर लागू कानूनों द्वारा अनुमत सीमा तक होगा। अनुबंधित प्रोसेसर द्वारा अनुरोध का जवाब देने से पहले क्लाइंट को उस कानूनी आवश्यकता के बारे में सूचित करें।

  7. व्यक्तिगत डेटा का उल्लंघन

    1. जब स्टेलर साइबर या किसी सबप्रोसेसर को ग्राहक के व्यक्तिगत डेटा को प्रभावित करने वाले व्यक्तिगत डेटा उल्लंघन के बारे में पता चलता है, तो स्टेलर साइबर बिना किसी देरी के ग्राहक को सूचित करेगा, जिससे ग्राहक को व्यक्तिगत डेटा उल्लंघन के डेटा विषयों की रिपोर्ट करने या सूचित करने के लिए किसी भी दायित्व को पूरा करने की अनुमति देने के लिए पर्याप्त जानकारी प्रदान की जा सके। लगने लायक नियम। ऐसी अधिसूचना में कम से कम निम्नलिखित जानकारी शामिल होगी: (i) व्यक्तिगत डेटा उल्लंघन की प्रकृति, संबंधित डेटा विषयों की श्रेणियां और संख्याएं, और संबंधित व्यक्तिगत डेटा रिकॉर्ड की श्रेणियां और संख्याएं; (ii) स्टेलर साइबर के डेटा सुरक्षा अधिकारी या अन्य प्रासंगिक संपर्क का नाम और संपर्क विवरण, जिनसे अधिक जानकारी प्राप्त की जा सकती है; (iii) व्यक्तिगत डेटा उल्लंघन के संभावित परिणाम; और (iv) व्यक्तिगत डेटा उल्लंघन को संबोधित करने के लिए उठाए गए या प्रस्तावित उपाय।
    2. स्टेलर साइबर क्लाइंट के साथ सहयोग करेगा और ऐसे प्रत्येक व्यक्तिगत डेटा उल्लंघन की जांच, शमन और उपचार में सहायता करने के लिए क्लाइंट द्वारा निर्देशित ऐसे उचित वाणिज्यिक कदम उठाएगा।

  8. डेटा संरक्षण प्रभाव आकलन और पूर्व परामर्श

    लागू कानूनों द्वारा आवश्यक विस्तार के लिए, स्टेलर साइबर किसी भी डेटा सुरक्षा प्रभाव आकलन के साथ क्लाइंट को उचित सहायता प्रदान करेगा, और पर्यवेक्षण अधिकारियों या अन्य सक्षम डेटा गोपनीयता प्राधिकरणों के साथ पूर्व परामर्श, जिसे क्लाइंट यथोचित रूप से लागू कानूनों द्वारा क्लाइंट के लिए आवश्यक मानता है। प्रत्येक मामला पूरी तरह से क्लाइंट के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में, और अनुबंधित प्रोसेसर के लिए उपलब्ध प्रसंस्करण की प्रकृति और जानकारी को ध्यान में रखते हुए।

  9. क्लाइंट के व्यक्तिगत डेटा को हटाना या वापस करना

    1. ग्राहक के व्यक्तिगत डेटा के प्रसंस्करण ("समाप्ति तिथि") से संबंधित किसी भी डिलिवरेबल्स प्रदान करने की समाप्ति की तारीख के बाद धारा 9.2 और 9.3 के अधीन, स्टेलर साइबर बिना किसी देरी के उन ग्राहक व्यक्तिगत डेटा की सभी प्रतियों को हटा देगा और हटा देगा।
    2. प्रत्येक अनुबंधित प्रोसेसर क्लाइंट के व्यक्तिगत डेटा को लागू कानूनों द्वारा आवश्यक सीमा तक और केवल उस सीमा तक और ऐसी अवधि के लिए जो लागू कानूनों द्वारा आवश्यक हो और हमेशा प्रदान किया जाता है कि स्टेलर साइबर और प्रत्येक स्टेलर साइबर संबद्ध ऐसे सभी क्लाइंट व्यक्तिगत डेटा की गोपनीयता सुनिश्चित करेंगे। और यह सुनिश्चित करेगा कि इस तरह के ग्राहक व्यक्तिगत डेटा को केवल उस उद्देश्य के लिए संसाधित किया जाता है जो लागू कानूनों में निर्दिष्ट उद्देश्यों के लिए आवश्यक है और इसके भंडारण की आवश्यकता नहीं है।
    3. स्टेलर साइबर क्लाइंट को लिखित प्रमाणन प्रदान करेगा कि उसने इस तरह के प्रमाणन को प्राप्त करने के लिए क्लाइंट के लिखित अनुरोध को प्राप्त करने के दस (9) दिनों के भीतर इस खंड 10 का पूरी तरह से अनुपालन किया है।

  10. लेखा परीक्षा और अभिलेख

    1. स्टेलर साइबर, लागू कानूनों के अनुसार, क्लाइंट को स्टेलर साइबर के कब्जे या नियंत्रण में ऐसी जानकारी उपलब्ध कराएगा, क्योंकि क्लाइंट क्लाइंट के व्यक्तिगत डेटा के प्रसंस्करण के संबंध में लागू कानूनों के साथ स्टेलर साइबर के अनुपालन को प्रदर्शित करने की दृष्टि से उचित रूप से अनुरोध कर सकता है।
    2. स्टेलर साइबर प्रदान करके क्लाइंट व्यक्तिगत डेटा के संबंध में यूरोपीय डेटा सुरक्षा कानूनों के तहत ऑडिट के अपने अधिकार का प्रयोग कर सकता है:
      1. यूरोपीय डेटा सुरक्षा कानूनों के अनुपालन को प्रदर्शित करने के लिए आवश्यक जानकारी और नियंत्रक द्वारा अनिवार्य निरीक्षण या अन्य ऑडिटर द्वारा किए गए निरीक्षणों सहित ऑडिट के लिए अनुमति देना और योगदान देना।
      2. स्टेलर साइबर के कब्जे या नियंत्रण में अतिरिक्त जानकारी यूरोपीय संघ के पर्यवेक्षी प्राधिकरण को जब वह अनुरोध करता है या इस परिशिष्ट के तहत स्टेलर साइबर द्वारा किए गए क्लाइंट व्यक्तिगत डेटा के प्रसंस्करण के संबंध में अतिरिक्त जानकारी की आवश्यकता होती है।

  11. प्रतिबंधित स्थानान्तरण

    1. धारा 11.2 और 11.3 के अधीन, ग्राहक (जैसे "डेटा निर्यातक") और प्रत्येक अनुबंधित प्रोसेसर, जैसा उपयुक्त हो, (as .) "डेटा आयातक") एतद्द्वारा उस ग्राहक से उस अनुबंधित प्रोसेसर को किसी भी प्रतिबंधित स्थानांतरण के संबंध में मानक संविदात्मक खंड दर्ज करें।
    2. मानक संविदात्मक खंड धारा 11.1 के तहत बाद में लागू होंगे:
      1. डेटा निर्यातक उनका एक पक्ष बन रहा है;
      2. डेटा आयातक उनके लिए एक पक्ष बन रहा है; तथा
      3. प्रासंगिक प्रतिबंधित स्थानांतरण की शुरुआत।
    3. धारा 11.1 प्रतिबंधित स्थानांतरण पर तब तक लागू नहीं होगी जब तक कि इसका प्रभाव, अन्य उचित व्यावहारिक अनुपालन चरणों (जिसमें संदेह से बचने के लिए, डेटा विषयों से सहमति प्राप्त करना शामिल नहीं है) के साथ, प्रासंगिक प्रतिबंधित स्थानांतरण को बिना किसी स्थान के होने की अनुमति देना है। लागू डेटा सुरक्षा कानून का उल्लंघन।

  12. सामान्य नियम

    1. मानक संविदात्मक खंड के खंड 18 के पूर्वाग्रह के बिना, (i) इस परिशिष्ट के पक्ष एतद्द्वारा इस परिशिष्ट के तहत उत्पन्न होने वाले किसी भी विवाद या दावों के संबंध में समझौते में निर्धारित क्षेत्राधिकार की पसंद को प्रस्तुत करते हैं, जिसमें इसके अस्तित्व, वैधता के बारे में विवाद शामिल हैं। या समाप्ति या इसकी अशक्तता के परिणाम; और (ii) यह परिशिष्ट और इससे उत्पन्न होने वाले या इसके संबंध में सभी गैर-संविदात्मक या अन्य दायित्व समझौते में इस उद्देश्य के लिए निर्धारित देश या क्षेत्र के कानूनों द्वारा शासित होते हैं।
    2. इस परिशिष्ट में कुछ भी व्यक्तिगत डेटा की सुरक्षा के संबंध में समझौते के तहत स्टेलर साइबर के दायित्वों को कम नहीं करता है या स्टेलर साइबर को व्यक्तिगत डेटा को इस तरह से संसाधित करने (या प्रसंस्करण की अनुमति देने) की अनुमति नहीं देता है जो समझौते द्वारा निषिद्ध है। इस परिशिष्ट और मानक संविदात्मक खंडों के बीच किसी भी टकराव या असंगतता की स्थिति में, मानक संविदात्मक खंड मान्य होंगे।
    3. धारा 12.2 के अधीन, इस परिशिष्ट की विषय-वस्तु के संबंध में, इस परिशिष्ट के प्रावधानों और पार्टियों के बीच किसी भी अन्य समझौते के बीच विसंगतियों की स्थिति में, समझौते सहित और (जहां स्पष्ट रूप से लिखित रूप में अन्यथा स्पष्ट रूप से सहमत होने पर हस्ताक्षर किए गए को छोड़कर) इस परिशिष्ट की तिथि के बाद किए गए या किए जाने वाले करार, इस परिशिष्ट के प्रावधान प्रबल होंगे।
    4. इस परिशिष्ट का अनुपालन करने में विफलता से जुड़ी कोई भी देयता अनुबंध में उल्लिखित देयता प्रावधानों की सीमाओं के अधीन होगी।
    5. ग्राहक, स्टेलर साइबर को कम से कम तीस (30) कैलेंडर दिनों की लिखित सूचना द्वारा, समय-समय पर धारा 11.1 के तहत दर्ज किए गए मानक संविदात्मक खंडों में कोई बदलाव कर सकता है, क्योंकि इस तरह के बदलाव प्रतिबंधित स्थानान्तरण पर लागू होते हैं जो एक विशेष डेटा के अधीन होते हैं। संरक्षण कानून, लेकिन केवल उस डेटा सुरक्षा कानून के तहत किसी सक्षम प्राधिकारी के किसी भी बदलाव या निर्णय के परिणामस्वरूप इस तरह के बदलाव की आवश्यकता होती है, ताकि उन प्रतिबंधित स्थानांतरणों को बिना किसी उल्लंघन के किया जा सके (या जारी रखा जा सके)। डेटा संरक्षण कानून।
    6. यदि क्लाइंट धारा 12.5 के तहत नोटिस देता है, तो (i) स्टेलर साइबर तुरंत सहयोग करेगा (और यह सुनिश्चित करेगा कि कोई भी प्रभावित सबप्रोसेसर तुरंत सहयोग करे) यह सुनिश्चित करने के लिए कि धारा 5.3.3 के तहत किए गए किसी भी समझौते में समकक्ष बदलाव किए गए हैं; और (ii) ग्राहक अनुबंधित प्रोसेसर को धारा 12.5 के तहत किए गए बदलावों से जुड़े अतिरिक्त जोखिमों से बचाने के लिए स्टेलर साइबर द्वारा प्रस्तावित इस परिशिष्ट में किसी भी परिणामी बदलाव के लिए अनुचित रूप से रोक या देरी नहीं करेगा।
    7. यदि ग्राहक धारा 12.5 के तहत नोटिस देता है, तो पार्टियां प्रस्तावित बदलावों पर तुरंत चर्चा करेंगी और ग्राहक के नोटिस में पहचानी गई आवश्यकताओं को संबोधित करने के लिए डिज़ाइन किए गए वैकल्पिक बदलावों पर सहमत होने और लागू करने की दृष्टि से अच्छे विश्वास के साथ बातचीत करेंगी, जैसे ही उचित व्यावहारिक हो।
    8. क्लाइंट को इस परिशिष्ट में इस धारा 12.8 या अन्यथा के अनुसार संशोधन करने के लिए क्लाइंट संबद्धता की सहमति या अनुमोदन की आवश्यकता होगी।
    9. यदि इस परिशिष्ट का कोई भी प्रावधान अमान्य या अप्रवर्तनीय हो, तो इस परिशिष्ट का शेष भाग वैध और लागू रहेगा। अमान्य या अप्रवर्तनीय प्रावधान को या तो (i) इसकी वैधता और प्रवर्तनीयता सुनिश्चित करने के लिए आवश्यकतानुसार संशोधित किया जाएगा, जबकि पार्टियों के इरादों को यथासंभव संरक्षित किया जाएगा या, यदि यह संभव नहीं है, (ii) इस तरह से समझा जाएगा जैसे कि यह अमान्य है या अप्रवर्तनीय भाग उसमें कभी शामिल नहीं किया गया था।

डेटा संरक्षण परिशिष्ट के लिए प्रदर्शनी 1

ग्राहक के व्यक्तिगत डेटा के प्रसंस्करण का विवरण

इस प्रदर्शनी 1 में GDPR अनुच्छेद 28(3) द्वारा अपेक्षित कंपनी के व्यक्तिगत डेटा के प्रसंस्करण के कुछ विवरण शामिल हैं। ग्राहक के व्यक्तिगत डेटा के प्रसंस्करण की विषय वस्तु और अवधि स्टेलर साइबर अनुबंध के अनुसार डिलिवरेबल्स को निष्पादित करने के लिए क्लाइंट के व्यक्तिगत डेटा को आवश्यक रूप से संसाधित करेगा। प्रसंस्करण की अवधि होगी: समझौते की समाप्ति/समाप्ति तक जब स्टेलर साइबर बिना किसी देरी के क्लाइंट के व्यक्तिगत डेटा को हटा देगा या नष्ट कर देगा, या कुछ या सभी व्यक्तिगत डेटा के लिए हटाने का अनुरोध प्राप्त करने से 30 दिन। क्लाइंट व्यक्तिगत डेटा के प्रसंस्करण की प्रकृति और उद्देश्य स्टेलर साइबर क्लाइंट को डिलिवरेबल्स प्रदान करने के लिए लगा हुआ है जिसमें व्यक्तिगत डेटा का प्रसंस्करण शामिल है। डिलिवरेबल्स का दायरा अनुबंध में निर्धारित किया गया है, और व्यक्तिगत डेटा को स्टेलर साइबर द्वारा संसाधित किया जाएगा, ताकि उन डिलिवरेबल्स को वितरित किया जा सके और समझौते और इस परिशिष्ट की शर्तों का पालन किया जा सके। संसाधित किए जाने वाले क्लाइंट व्यक्तिगत डेटा के प्रकार स्टेलर साइबर द्वारा एकत्र किए गए व्यक्तिगत डेटा में मानक संविदात्मक खंड के परिशिष्ट के अनुबंध 1 में विस्तृत डेटा की श्रेणियां शामिल हैं।

डेटा संरक्षण परिशिष्ट के लिए प्रदर्शनी 2

डेटा की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों सहित तकनीकी और संगठनात्मक उपाय

स्टेलर साइबर नीचे उल्लिखित तकनीकी और संगठनात्मक उपायों का अनुपालन करता है। स्टेलर साइबर द्वारा अपनाए गए सुरक्षा उपायों के विस्तृत विवरण के लिए कृपया एक अनुरोध सबमिट करें privacy@stellarcyber.ai तकनीकी और संगठनात्मक उपायों में शामिल हैं, लेकिन डेटा की अनधिकृत पहुंच, उपयोग, संशोधन या प्रकटीकरण को रोकने के लिए चल रही गोपनीयता, अखंडता और डेटा की उपलब्धता सुनिश्चित करने के लिए निम्नलिखित उपायों तक सीमित नहीं होंगे:
  • डेटा प्रोसेसिंग तक पहुंच रखने वाले सभी कर्मियों पर पृष्ठभूमि जांच का प्रदर्शन, साथ ही रोजगार से पहले गैर-प्रकटीकरण प्रतिबद्धताओं और व्यावसायिक नैतिकता के हस्ताक्षर।
  • सुरक्षा और गोपनीयता जागरूकता प्रशिक्षण, सांगठनिक सुरक्षा नीतियों का पालन करने के लिए पावती और समझौते सहित, किराए पर सभी कर्मियों के लिए और उसके बाद सालाना।
  • सुरक्षा और गोपनीयता नीतियों, प्रक्रियाओं और योजनाओं के व्यापक सेट का रखरखाव, जिनकी कम से कम वार्षिक आधार पर समीक्षा की जाती है और सुरक्षा और गोपनीयता प्रथाओं के संबंध में संगठन को मार्गदर्शन प्रदान करते हैं; संभावित और मौजूदा सब-प्रोसेसर के मूल्यांकन के लिए प्रक्रियाएं यह सुनिश्चित करने के लिए कि उनके पास डेटा की चल रही गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों की क्षमता और प्रतिबद्धता है।
  • बाहरी और आंतरिक लेखा परीक्षा के माध्यम से डेटा के प्रसंस्करण, संचरण या भंडारण की सुरक्षा सुनिश्चित करने के लिए प्रशासनिक, तकनीकी और भौतिक सुरक्षा उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन के लिए एक प्रक्रिया।
  • अधिकृत तारकीय साइबर कर्मियों के अलावा डेटा की पहुंच, उपयोग, संशोधन या प्रकटीकरण को रोकना (1) डिलिवरेबल्स प्रदान करने और सेवा या तकनीकी समस्याओं को रोकने या संबोधित करने के लिए, (2) कानून द्वारा मजबूर, या (3) क्लाइंट स्पष्ट रूप से लिखित रूप में अनुमति देता है .
  • सुरक्षा घटना प्रबंधन ("सिक्योरिटी इंसिडेंट इवेंट मैनेजमेंट") के माध्यम से सुरक्षा लॉग की लॉगिंग और निगरानी।SIEMसंदिग्ध सिस्टम और/या उपयोगकर्ता व्यवहारों का पता चलने पर अलर्ट जारी करना; उद्योग-मानक दिशानिर्देशों के आधार पर नियमित रूप से कमजोरियों की पहचान, मूल्यांकन और वर्गीकरण के लिए प्रक्रियाएं और उपकरण।
  • पारगमन में डेटा का छद्म नाम या एन्क्रिप्शन और कुछ डिलिवरेबल्स के लिए उद्योग-मानक तंत्र का उपयोग करना।
  • डाटा प्रोसेसिंग यूनिट तक पहुंचने के लिए एमएफए और मजबूत पासवर्ड को सख्ती से लागू किया जाता है।
  • आपदा पुनर्प्राप्ति उद्देश्यों के लिए एक बैकअप समाधान बनाए रखते हुए क्लाइंट डेटा की उपलब्धता को प्रभावित करने वाली घटना की स्थिति में समय पर ढंग से ग्राहक डेटा की उपलब्धता और पहुंच को बहाल करने की क्षमता।

डेटा संरक्षण परिशिष्ट के लिए प्रदर्शनी 3

मानक अनुबंध खंड

खंड I

खंड 1

उद्देश्य और गुंजाइश

  1. इन मानक संविदात्मक खंडों का उद्देश्य व्यक्तिगत डेटा के प्रसंस्करण के संबंध में प्राकृतिक व्यक्तियों की सुरक्षा पर यूरोपीय संसद और 2016 अप्रैल 679 की परिषद के विनियमन (ईयू) 27/2016 की आवश्यकताओं का अनुपालन सुनिश्चित करना है। किसी तीसरे देश में व्यक्तिगत डेटा के हस्तांतरण के लिए ऐसे डेटा (सामान्य डेटा संरक्षण विनियमन) की मुक्त आवाजाही।
  2. द पार्टीज़:
    1. प्राकृतिक या कानूनी व्यक्ति (व्यक्तियों), सार्वजनिक प्राधिकरण / संस्थाओं, एजेंसी / संस्थाओं या अन्य निकायों / संस्थाओं (बाद में "इकाई / संस्थाओं") व्यक्तिगत डेटा को स्थानांतरित कर रहे हैं, जैसा कि अनुबंध IA (इसके बाद प्रत्येक "डेटा निर्यातक") में सूचीबद्ध है, और
    2. किसी तीसरे देश में इकाई/संस्थाएं, जो प्रत्यक्ष या अप्रत्यक्ष रूप से किसी अन्य संस्था के माध्यम से डेटा निर्यातक से व्यक्तिगत डेटा प्राप्त करती हैं, अनुबंध IA (इसके बाद प्रत्येक "डेटा आयातक") में सूचीबद्ध इन क्लाजों के पक्षकार हैं।
    इन मानक संविदात्मक खंडों (इसके बाद: "खंड") से सहमत हैं।
  3. ये खंड अनुबंध आईबी में निर्दिष्ट व्यक्तिगत डेटा के हस्तांतरण के संबंध में लागू होते हैं
  4. इन क्लाजों का परिशिष्ट जिसमें संदर्भित अनुबंध शामिल हैं, इन क्लाजों का एक अभिन्न अंग है।

खंड 2

खण्डों का प्रभाव और अपरिवर्तनीयता

  1. इन खण्डों में उपयुक्त सुरक्षा उपाय निर्धारित किए गए हैं, जिनमें लागू करने योग्य डेटा विषय अधिकार और प्रभावी कानूनी उपाय शामिल हैं, जो कि विनियमन (ईयू) 46/1 के अनुच्छेद 46(2) और अनुच्छेद 2016 (679)(सी) के अनुसार और नियंत्रकों से डेटा हस्तांतरण के संबंध में हैं। प्रोसेसर और/या प्रोसेसर से प्रोसेसरों के लिए, विनियमन (ईयू) 28/7 के अनुच्छेद 2016(679) के अनुसार मानक संविदात्मक खंड, बशर्ते वे संशोधित नहीं हैं, केवल उपयुक्त मॉड्यूल का चयन करने या जानकारी जोड़ने या अद्यतन करने के अलावा परिशिष्ट। यह पार्टियों को एक व्यापक अनुबंध में इन खंडों में निर्धारित मानक संविदात्मक खंडों को शामिल करने और/या अन्य खंड या अतिरिक्त सुरक्षा उपायों को जोड़ने से नहीं रोकता है, बशर्ते कि वे प्रत्यक्ष या अप्रत्यक्ष रूप से, इन खंडों का खंडन न करें या मौलिक अधिकारों पर प्रतिकूल प्रभाव न डालें। या डेटा विषयों की स्वतंत्रता।
  2. ये क्लॉज उन दायित्वों के प्रति पूर्वाग्रह के बिना हैं जिनके लिए डेटा निर्यातक विनियमन (ईयू) 2016/679 के आधार पर है।
जहां डेटा निर्यातक एक संसाधक है जो विनियम (ईयू) 2016/679 के अधीन एक संघ संस्था या निकाय की ओर से नियंत्रक के रूप में कार्य कर रहा है, तो किसी अन्य प्रोसेसर (उप-प्रसंस्करण) को शामिल करते समय इन खंडों पर निर्भरता विनियमन (ईयू) 2016/ के अधीन नहीं है। 679 संघ संस्थानों, निकायों द्वारा व्यक्तिगत डेटा के प्रसंस्करण के संबंध में प्राकृतिक व्यक्तियों की सुरक्षा पर यूरोपीय संसद और 29 अक्टूबर 4 की परिषद के विनियमन (ईयू) 2018/1725 के अनुच्छेद 23 (2018) का अनुपालन सुनिश्चित करता है। , कार्यालयों और एजेंसियों और इस तरह के डेटा की मुक्त आवाजाही पर, और निरसन विनियमन (ईसी) संख्या 45/2001 और निर्णय संख्या 1247/2002/ईसी (295 का ओजे एल 21.11.2018, पी। 39), इन खंडों की सीमा तक और विनियमन (ईयू) 29/3 के अनुच्छेद 2018(1725) के अनुसार नियंत्रक और प्रोसेसर के बीच अनुबंध या अन्य कानूनी अधिनियम में निर्धारित डेटा सुरक्षा दायित्वों को संरेखित किया गया है। यह विशेष रूप से ऐसा मामला होगा जहां नियंत्रक और प्रोसेसर निर्णय में शामिल मानक संविदात्मक खंडों पर भरोसा करते हैं [...]

खंड 3

तीसरे पक्ष के लाभार्थी

  1. डेटा विषय निम्नलिखित अपवादों के साथ, डेटा निर्यातक और/या डेटा आयातक के विरुद्ध, तृतीय-पक्ष लाभार्थियों के रूप में इन क्लॉज़ को लागू कर सकते हैं और लागू कर सकते हैं:
    1. खंड 1, खंड 2, खंड 3, खंड 6, खंड 7;
    2. खंड 8 - मॉड्यूल एक: खंड 8.5 (ई) और खंड 8.9 (बी); मॉड्यूल दो: खंड 8.1(बी), 8.9(ए), (सी), (डी) और (ई); मॉड्यूल तीन: खंड 8.1(ए), (सी) और (डी) और खंड 8.9(ए), (सी), (डी), (ई), (एफ) और (जी); मॉड्यूल चार: खंड 8.1 (बी) और खंड 8.3 (बी);
    3. खंड 9 - मॉड्यूल दो: खंड 9(ए), (सी), (डी) और (ई); मॉड्यूल तीन: खंड 9(ए), (सी), (डी) और (ई);
    4. खंड 12 - मॉड्यूल एक: खंड 12(ए) और (डी); मॉड्यूल दो और तीन: खंड 12(ए), (डी) और (एफ);
    5. खंड 13;
    6. खंड 15.1 (सी), (डी) और (ई);
    7. खंड 16 (ई);
    8. खंड 18 - मॉड्यूल एक, दो और तीन: खंड 18(ए) और (बी); मॉड्यूल चार: खंड 18.
  2. पैराग्राफ (ए) विनियमन (ईयू) 2016/679 के तहत डेटा विषयों के अधिकारों के पूर्वाग्रह के बिना है।

खंड 4

व्याख्या

  1. जहां ये खंड विनियम (ईयू) 2016/679 में परिभाषित शर्तों का उपयोग करते हैं, वहां उन शर्तों का वही अर्थ होगा जो उस विनियम में है।
  2. इन खण्डों को विनियम (ईयू) 2016/679 के प्रावधानों के आलोक में पढ़ा और व्याख्यायित किया जाएगा।
  3. इन क्लाजों की व्याख्या इस तरह से नहीं की जाएगी जो विनियमन (ईयू) 2016/679 में प्रदान किए गए अधिकारों और दायित्वों के साथ संघर्ष करती हो।

खंड 5

अनुक्रम

इन खण्डों और पार्टियों के बीच संबंधित समझौतों के प्रावधानों के बीच एक विरोधाभास की स्थिति में, जब इन क्लाजों पर सहमति हुई या उसके बाद में प्रवेश किया गया, तो ये क्लॉज प्रबल होंगे।

खंड 6

स्थानांतरण का विवरण

हस्तांतरण का विवरण, और विशेष रूप से स्थानांतरित किए गए व्यक्तिगत डेटा की श्रेणियां और जिस उद्देश्य के लिए उन्हें स्थानांतरित किया गया है, अनुबंध आईबी में निर्दिष्ट हैं।

खण्ड 7 - वैकल्पिक

डॉकिंग क्लॉज

  1. एक प्रतिष्ठान जो इन क्लाजों का पक्षकार नहीं है, पार्टियों के समझौते के साथ, परिशिष्ट को पूरा करके और अनुबंध IA पर हस्ताक्षर करके, किसी भी समय डेटा निर्यातक के रूप में या डेटा आयातक के रूप में इन क्लॉज़ को स्वीकार कर सकता है।
  2. एक बार जब यह परिशिष्ट पूरा कर लेता है और अनुबंध IA पर हस्ताक्षर कर देता है, तो शामिल होने वाली संस्था इन क्लाजों का एक पक्ष बन जाएगी और अनुबंध IA में इसके पदनाम के अनुसार डेटा निर्यातक या डेटा आयातक के अधिकार और दायित्व होंगे।
  3. एक पार्टी बनने से पहले की अवधि से इन क्लॉज के तहत उत्पन्न होने वाली इकाई के पास कोई अधिकार या दायित्व नहीं होगा।

खंड II - पार्टियों के दायित्व

खंड 8

डेटा सुरक्षा सुरक्षा उपाय

डेटा निर्यातक वारंट करता है कि उसने यह निर्धारित करने के लिए उचित प्रयासों का उपयोग किया है कि डेटा आयातक इन क्लॉज के तहत अपने दायित्वों को पूरा करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों के कार्यान्वयन के माध्यम से सक्षम है।

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

  1. उद्देश्य सीमा

    डेटा आयातक व्यक्तिगत डेटा को केवल हस्तांतरण के विशिष्ट उद्देश्य (उद्देश्यों) के लिए संसाधित करेगा, जैसा कि अनुबंध आईबी में निर्धारित किया गया है, यह केवल किसी अन्य उद्देश्य के लिए व्यक्तिगत डेटा को संसाधित कर सकता है:
    1. जहां उसने डेटा विषय की पूर्व सहमति प्राप्त की हो;
    2. जहां विशिष्ट प्रशासनिक, नियामक या न्यायिक कार्यवाही के संदर्भ में कानूनी दावों की स्थापना, अभ्यास या बचाव के लिए आवश्यक हो; या
    3. डेटा विषय या किसी अन्य प्राकृतिक व्यक्ति के महत्वपूर्ण हितों की रक्षा के लिए जहां आवश्यक हो।

  2. ट्रांसपेरेंसी

    a. खंड 10 के अनुसार डेटा विषयों को प्रभावी ढंग से अपने अधिकारों का प्रयोग करने में सक्षम बनाने के लिए, डेटा आयातक उन्हें सीधे या डेटा निर्यातक के माध्यम से सूचित करेगा:
    1. इसकी पहचान और संपर्क विवरण;
    2. संसाधित व्यक्तिगत डेटा की श्रेणियों में से;
    3. इन खण्डों की एक प्रति प्राप्त करने के अधिकार का;
    4. जहां यह व्यक्तिगत डेटा को प्राप्तकर्ता या प्राप्तकर्ताओं की श्रेणियों (सार्थक जानकारी प्रदान करने की दृष्टि से उपयुक्त) के किसी तीसरे पक्ष/यों को आगे स्थानांतरित करने का इरादा रखता है, इस तरह के आगे के हस्तांतरण का उद्देश्य और आधार इसलिए खंड 8.7 के अनुसार।
    1. पैराग्राफ (ए) लागू नहीं होगा जहां डेटा विषय में पहले से ही जानकारी है, जिसमें डेटा निर्यातक द्वारा ऐसी जानकारी पहले ही प्रदान की जा चुकी है, या जानकारी प्रदान करना असंभव साबित होता है या डेटा आयातक के लिए अनुपातहीन प्रयास शामिल होगा। बाद के मामले में, डेटा आयातक, जहां तक ​​संभव हो, जानकारी को सार्वजनिक रूप से उपलब्ध कराएगा।
    2. अनुरोध पर, पक्ष डेटा विषय के लिए अपने द्वारा पूर्ण किए गए परिशिष्ट सहित इन खण्डों की एक प्रति निःशुल्क उपलब्ध कराएंगे। व्यक्तिगत डेटा सहित व्यावसायिक रहस्यों या अन्य गोपनीय जानकारी की सुरक्षा के लिए आवश्यक सीमा तक, पक्ष एक प्रतिलिपि साझा करने से पहले परिशिष्ट के पाठ का हिस्सा बदल सकते हैं, लेकिन एक सार्थक सारांश प्रदान करेंगे जहां डेटा विषय अन्यथा सक्षम नहीं होगा इसकी सामग्री को समझें या अपने अधिकारों का प्रयोग करें। अनुरोध पर, पक्षकार डेटा विषय को संशोधन के कारणों के साथ, जहां तक ​​संभव हो, संशोधित जानकारी को प्रकट किए बिना प्रदान करेंगे।
    3. पैराग्राफ (ए) से (सी) विनियम (ईयू) 13/14 के अनुच्छेद 2016 और 679 के तहत डेटा निर्यातक के दायित्वों पर प्रतिकूल प्रभाव डाले बिना हैं।

  4. सटीकता और डेटा न्यूनीकरण

    1. प्रत्येक पक्ष यह सुनिश्चित करेगा कि व्यक्तिगत डेटा सटीक है और जहां आवश्यक हो, अद्यतित रखा जाए। डेटा आयातक यह सुनिश्चित करने के लिए हर उचित कदम उठाएगा कि व्यक्तिगत डेटा जो गलत है, प्रसंस्करण के उद्देश्य (ओं) के संबंध में, बिना किसी देरी के मिटा दिया या सुधारा गया है।
    2. यदि किसी एक पक्ष को पता चलता है कि उसके द्वारा हस्तांतरित या प्राप्त किया गया व्यक्तिगत डेटा गलत है, या पुराना हो गया है, तो वह बिना किसी देरी के दूसरे पक्ष को सूचित करेगा।
    3. डेटा आयातक यह सुनिश्चित करेगा कि व्यक्तिगत डेटा पर्याप्त, प्रासंगिक और प्रसंस्करण के उद्देश्य (उद्देश्यों) के संबंध में आवश्यक चीज़ों तक सीमित है।

  5. भंडारण सीमा

    डेटा आयातक व्यक्तिगत डेटा को उस उद्देश्य (उद्देश्यों) के लिए आवश्यक से अधिक समय तक बनाए रखेगा जिसके लिए इसे संसाधित किया जाता है। यह इस दायित्व के अनुपालन को सुनिश्चित करने के लिए उपयुक्त तकनीकी या संगठनात्मक उपाय करेगा, जिसमें डेटा को मिटाना या गुमनाम करना और प्रतिधारण अवधि के अंत में सभी बैकअप शामिल हैं।

  6. प्रसंस्करण की सुरक्षा

    1. डेटा आयातक और, ट्रांसमिशन के दौरान, डेटा निर्यातक भी व्यक्तिगत डेटा की सुरक्षा सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करेगा, जिसमें आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच के लिए सुरक्षा के उल्लंघन के खिलाफ सुरक्षा शामिल है। (इसके बाद "व्यक्तिगत डेटा उल्लंघन")। सुरक्षा के उपयुक्त स्तर का आकलन करने में, वे अत्याधुनिक स्थिति, कार्यान्वयन की लागत, प्रसंस्करण की प्रकृति, कार्यक्षेत्र, संदर्भ और उद्देश्य (ओं) और डेटा विषय के लिए प्रसंस्करण में शामिल जोखिमों को ध्यान में रखेंगे। पार्टियां विशेष रूप से एन्क्रिप्शन या छद्म नाम का सहारा लेने पर विचार करेंगी, जिसमें ट्रांसमिशन के दौरान भी शामिल है, जहां प्रसंस्करण के उद्देश्य को उस तरीके से पूरा किया जा सकता है।
    2. पार्टियों ने अनुबंध II में निर्धारित तकनीकी और संगठनात्मक उपायों पर सहमति व्यक्त की है। डेटा आयातक यह सुनिश्चित करने के लिए नियमित जांच करेगा कि ये उपाय उचित स्तर की सुरक्षा प्रदान करते रहें।
    3. डेटा आयातक यह सुनिश्चित करेगा कि व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों ने खुद को गोपनीयता के लिए प्रतिबद्ध किया है या गोपनीयता के उचित वैधानिक दायित्व के तहत हैं।
    4. इन क्लॉज के तहत डेटा आयातक द्वारा संसाधित व्यक्तिगत डेटा से संबंधित व्यक्तिगत डेटा उल्लंघन की स्थिति में, डेटा आयातक व्यक्तिगत डेटा उल्लंघन को संबोधित करने के लिए उचित उपाय करेगा, जिसमें इसके संभावित प्रतिकूल प्रभावों को कम करने के उपाय भी शामिल होंगे।
    5. एक व्यक्तिगत डेटा उल्लंघन के मामले में जिसके परिणामस्वरूप प्राकृतिक व्यक्तियों के अधिकारों और स्वतंत्रता के लिए जोखिम होने की संभावना है, डेटा आयातक बिना किसी देरी के डेटा निर्यातक और सक्षम पर्यवेक्षी प्राधिकारी दोनों को खंड 13 के अनुसार सूचित करेगा। ऐसी अधिसूचना में शामिल होगा i) उल्लंघन की प्रकृति का विवरण (सहित, जहां संभव हो, श्रेणियां और डेटा विषयों की अनुमानित संख्या और संबंधित व्यक्तिगत डेटा रिकॉर्ड), ii) इसके संभावित परिणाम, iii) उल्लंघन को संबोधित करने के लिए किए गए या प्रस्तावित उपाय, और iv ) एक संपर्क बिंदु का विवरण जिससे अधिक जानकारी प्राप्त की जा सकती है। जिस हद तक डेटा आयातक के लिए एक ही समय में सभी जानकारी प्रदान करना संभव नहीं है, वह बिना किसी और देरी के चरणों में ऐसा कर सकता है।
    6. एक व्यक्तिगत डेटा उल्लंघन के मामले में, जिसके परिणामस्वरूप प्राकृतिक व्यक्तियों के अधिकारों और स्वतंत्रता के लिए एक उच्च जोखिम होने की संभावना है, डेटा आयातक व्यक्तिगत डेटा उल्लंघन और इसकी प्रकृति से संबंधित डेटा विषयों को बिना किसी देरी के सूचित करेगा, यदि आवश्यक हो तो डेटा निर्यातक के साथ सहयोग, पैराग्राफ (ई), अंक ii) से iv में संदर्भित जानकारी के साथ), जब तक कि डेटा आयातक ने प्राकृतिक व्यक्तियों के अधिकारों या स्वतंत्रता के जोखिम को कम करने के उपायों को लागू नहीं किया है, या अधिसूचना में शामिल होगा अनुपातहीन प्रयास। बाद के मामले में, डेटा आयातक इसके बजाय एक सार्वजनिक संचार जारी करेगा या व्यक्तिगत डेटा उल्लंघन के बारे में जनता को सूचित करने के लिए एक समान उपाय करेगा।
    7. डेटा आयातक व्यक्तिगत डेटा उल्लंघन से संबंधित सभी प्रासंगिक तथ्यों का दस्तावेजीकरण करेगा, जिसमें इसके प्रभाव और की गई कोई भी उपचारात्मक कार्रवाई शामिल है, और उसका रिकॉर्ड रखेगा।
    8. इसके लिए डेटा को इस तरह से गुमनाम करने की आवश्यकता है कि वह व्यक्ति अब किसी के द्वारा पहचाने जाने योग्य नहीं है, जो कि विनियमन (ईयू) 26/2016 के 679 वें पाठ के अनुरूप है, और यह प्रक्रिया अपरिवर्तनीय है।

  7. संवेदनशील जानकारी

    जहां स्थानांतरण में व्यक्तिगत डेटा शामिल है जो नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, या ट्रेड यूनियन सदस्यता, आनुवंशिक डेटा, या बायोमेट्रिक डेटा को विशिष्ट रूप से किसी प्राकृतिक व्यक्ति की पहचान करने के उद्देश्य से, स्वास्थ्य या किसी व्यक्ति के यौन जीवन से संबंधित डेटा का खुलासा करता है या यौन अभिविन्यास, या आपराधिक दोषियों या अपराधों से संबंधित डेटा (इसके बाद "संवेदनशील डेटा"), डेटा आयातक विशिष्ट प्रतिबंध और/या अतिरिक्त सुरक्षा उपायों को लागू करेगा जो डेटा की विशिष्ट प्रकृति और इसमें शामिल जोखिमों के अनुकूल हैं। इसमें व्यक्तिगत डेटा तक पहुंचने की अनुमति वाले कर्मियों को प्रतिबंधित करना, अतिरिक्त सुरक्षा उपाय (जैसे छद्म नाम) और/या आगे प्रकटीकरण के संबंध में अतिरिक्त प्रतिबंध शामिल हो सकते हैं।

  8. आगे स्थानान्तरण

    डेटा आयातक व्यक्तिगत डेटा का खुलासा यूरोपीय संघ के बाहर स्थित किसी तीसरे पक्ष को नहीं करेगा (उसी देश में डेटा आयातक के रूप में या किसी अन्य तीसरे देश में, इसके बाद "आगे स्थानांतरण") जब तक कि तीसरा पक्ष बाध्य नहीं है या इसके लिए सहमत नहीं है उपयुक्त मॉड्यूल के तहत ये खंड। अन्यथा, डेटा आयातक द्वारा आगे स्थानांतरण केवल तभी हो सकता है जब:
    1. यह विनियमन (ईयू) 45/2016 के अनुच्छेद 679 के अनुसार पर्याप्तता निर्णय से लाभान्वित होने वाले देश के लिए है जो आगे के हस्तांतरण को कवर करता है;
    2. तीसरा पक्ष अन्यथा विचाराधीन प्रसंस्करण के संबंध में विनियमन (ईयू) 46/47 के अनुच्छेद 2016 या 679 के अनुसार उचित सुरक्षा उपायों को सुनिश्चित करता है;
    3. तीसरा पक्ष डेटा आयातक के साथ एक बाध्यकारी साधन में प्रवेश करता है, जो इन क्लॉज के तहत डेटा सुरक्षा के समान स्तर को सुनिश्चित करता है, और डेटा आयातक डेटा निर्यातक को इन सुरक्षा उपायों की एक प्रति प्रदान करता है;
    4. विशिष्ट प्रशासनिक, नियामक या न्यायिक कार्यवाही के संदर्भ में कानूनी दावों की स्थापना, अभ्यास या बचाव के लिए यह आवश्यक है;
    5. डेटा विषय या किसी अन्य प्राकृतिक व्यक्ति के महत्वपूर्ण हितों की रक्षा के लिए यह आवश्यक है; या
    6. जहां अन्य शर्तों में से कोई भी लागू नहीं होता है, डेटा आयातक ने एक विशिष्ट स्थिति में आगे के हस्तांतरण के लिए डेटा विषय की स्पष्ट सहमति प्राप्त की है, उसे इसके उद्देश्य (ओं), प्राप्तकर्ता की पहचान और संभावित के बारे में सूचित करने के बाद उचित डेटा सुरक्षा सुरक्षा उपायों की कमी के कारण उसे इस तरह के हस्तांतरण के जोखिम। इस मामले में, डेटा आयातक डेटा निर्यातक को सूचित करेगा और, बाद वाले के अनुरोध पर, डेटा विषय को प्रदान की गई जानकारी की एक प्रति उसे प्रेषित करेगा।
    कोई भी आगे का स्थानांतरण डेटा आयातक द्वारा इन क्लॉज के तहत अन्य सभी सुरक्षा उपायों के अनुपालन के अधीन है, विशेष उद्देश्य सीमा में।

  9. डेटा आयातक के अधिकार के तहत प्रसंस्करण

    डेटा आयातक यह सुनिश्चित करेगा कि प्रोसेसर सहित उसके अधिकार के तहत काम करने वाला कोई भी व्यक्ति, केवल उसके निर्देशों पर डेटा को संसाधित करता है।

  10. दस्तावेज़ीकरण और अनुपालन

    (ए) प्रत्येक पार्टी इन क्लॉज के तहत अपने दायित्वों के अनुपालन का प्रदर्शन करने में सक्षम होगी। विशेष रूप से, डेटा आयातक अपनी जिम्मेदारी के तहत किए गए प्रसंस्करण गतिविधियों के उपयुक्त दस्तावेज रखेगा। (एस) डेटा आयातक अनुरोध पर सक्षम पर्यवेक्षी प्राधिकारी को ऐसे दस्तावेज उपलब्ध कराएगा।

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

  1. अनुदेश

    1. डेटा आयातक केवल डेटा निर्यातक से प्रलेखित निर्देशों पर व्यक्तिगत डेटा को संसाधित करेगा। डेटा निर्यातक अनुबंध की पूरी अवधि के दौरान ऐसे निर्देश दे सकता है।
    2. डेटा आयातक तुरंत डेटा निर्यातक को सूचित करेगा यदि वह उन निर्देशों का पालन करने में असमर्थ है।

  2. उद्देश्य सीमा

    डेटा आयातक व्यक्तिगत डेटा को केवल हस्तांतरण के विशिष्ट उद्देश्य (उद्देश्यों) के लिए संसाधित करेगा, जैसा कि अनुबंध आईबी में निर्धारित किया गया है, जब तक कि डेटा निर्यातक से आगे के निर्देशों पर नहीं।

  3. ट्रांसपेरेंसी

    अनुरोध पर, डेटा निर्यातक इन क्लाजों की एक प्रति, जिसमें पार्टियों द्वारा पूरा किया गया परिशिष्ट शामिल है, डेटा विषय के लिए निःशुल्क उपलब्ध कराएगा। अनुबंध II और व्यक्तिगत डेटा में वर्णित उपायों सहित व्यावसायिक रहस्यों या अन्य गोपनीय जानकारी की सुरक्षा के लिए आवश्यक सीमा तक, डेटा निर्यातक एक प्रतिलिपि साझा करने से पहले इन खंडों के परिशिष्ट के पाठ के हिस्से को संशोधित कर सकता है, लेकिन एक सार्थक जानकारी प्रदान करेगा। सारांश जहां डेटा विषय अन्यथा इसकी सामग्री को समझने या अपने अधिकारों का प्रयोग करने में सक्षम नहीं होगा। अनुरोध पर, पक्षकार डेटा विषय को संशोधन के कारणों के साथ, जहां तक ​​संभव हो, संशोधित जानकारी को प्रकट किए बिना प्रदान करेंगे। यह खंड विनियम (ईयू) 13/14 के अनुच्छेद 2016 और 679 के तहत डेटा निर्यातक के दायित्वों पर प्रतिकूल प्रभाव डाले बिना है।

  4. शुद्धता

    यदि डेटा आयातक को पता चलता है कि उसे प्राप्त व्यक्तिगत डेटा गलत है, या पुराना हो गया है, तो वह बिना किसी देरी के डेटा निर्यातक को सूचित करेगा। इस मामले में, डेटा आयातक डेटा को मिटाने या सुधारने के लिए डेटा निर्यातक के साथ सहयोग करेगा। यदि डेटा आयातक को पता चलता है कि उसे प्राप्त व्यक्तिगत डेटा गलत है, या पुराना हो गया है, तो वह बिना किसी देरी के डेटा निर्यातक को सूचित करेगा। . इस मामले में, डेटा आयातक डेटा को मिटाने या सुधारने के लिए डेटा निर्यातक के साथ सहयोग करेगा।

  5. प्रसंस्करण और मिटाने या डेटा की वापसी की अवधि

    डेटा आयातक द्वारा प्रसंस्करण केवल अनुबंध आईबी में निर्दिष्ट अवधि के लिए होगा प्रसंस्करण सेवाओं के प्रावधान के अंत के बाद, डेटा आयातक डेटा निर्यातक की पसंद पर डेटा की ओर से संसाधित सभी व्यक्तिगत डेटा को हटा देगा। निर्यातक और डेटा निर्यातक को प्रमाणित करें कि उसने ऐसा किया है, या डेटा निर्यातक को उसकी ओर से संसाधित सभी व्यक्तिगत डेटा वापस कर दें और मौजूदा प्रतियों को हटा दें। जब तक डेटा हटाया या लौटाया नहीं जाता, तब तक डेटा आयातक इन शर्तों का अनुपालन सुनिश्चित करना जारी रखेगा। डेटा आयातक पर लागू स्थानीय कानूनों के मामले में, जो व्यक्तिगत डेटा की वापसी या विलोपन को प्रतिबंधित करता है, डेटा आयातक वारंट करता है कि वह इन क्लाजों का अनुपालन सुनिश्चित करना जारी रखेगा और केवल उस सीमा तक और जब तक इसके तहत आवश्यक होगा, तब तक इसे संसाधित करेगा। स्थानीय कानून। यह खंड 14 पर प्रतिकूल प्रभाव डाले बिना है, विशेष रूप से खंड 14 (ई) के तहत डेटा आयातक के लिए अनुबंध की अवधि के दौरान डेटा निर्यातक को सूचित करने की आवश्यकता है यदि उसके पास यह मानने का कारण है कि यह कानूनों या प्रथाओं के अधीन है या बन गया है खंड 14 (ए) के तहत आवश्यकताओं के अनुरूप नहीं है।

  6. प्रसंस्करण की सुरक्षा

    1. डेटा आयातक और, ट्रांसमिशन के दौरान, डेटा निर्यातक भी डेटा की सुरक्षा सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करेगा, जिसमें आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच के लिए सुरक्षा के उल्लंघन के खिलाफ सुरक्षा शामिल है। वह डेटा (इसके बाद "व्यक्तिगत डेटा उल्लंघन")। सुरक्षा के उचित स्तर का आकलन करने में, पक्ष कला की स्थिति, कार्यान्वयन की लागत, प्रसंस्करण की प्रकृति, कार्यक्षेत्र, संदर्भ और उद्देश्य (ओं) और डेटा विषयों के लिए प्रसंस्करण में शामिल जोखिमों को ध्यान में रखेंगे। . पार्टियां विशेष रूप से एन्क्रिप्शन या छद्म नाम का सहारा लेने पर विचार करेंगी, जिसमें ट्रांसमिशन के दौरान भी शामिल है, जहां प्रसंस्करण के उद्देश्य को उस तरीके से पूरा किया जा सकता है। छद्म नाम के मामले में, एक विशिष्ट डेटा विषय के लिए व्यक्तिगत डेटा को जिम्मेदार ठहराने के लिए अतिरिक्त जानकारी, जहां संभव हो, डेटा निर्यातक के अनन्य नियंत्रण में रहेगी। इस पैराग्राफ के तहत अपने दायित्वों के अनुपालन में, डेटा आयातक कम से कम अनुबंध II में निर्दिष्ट तकनीकी और संगठनात्मक उपायों को लागू करेगा। डेटा आयातक यह सुनिश्चित करने के लिए नियमित जांच करेगा कि ये उपाय उचित स्तर की सुरक्षा प्रदान करते रहें।
    2. डेटा आयातक अनुबंध के कार्यान्वयन, प्रबंधन और निगरानी के लिए कड़ाई से आवश्यक सीमा तक ही अपने कर्मियों के सदस्यों को व्यक्तिगत डेटा तक पहुंच प्रदान करेगा। यह सुनिश्चित करेगा कि व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों ने खुद को गोपनीयता के लिए प्रतिबद्ध किया है या गोपनीयता के उचित वैधानिक दायित्व के तहत हैं।
    3. इन क्लॉज के तहत डेटा आयातक द्वारा संसाधित व्यक्तिगत डेटा से संबंधित व्यक्तिगत डेटा उल्लंघन की स्थिति में, डेटा आयातक उल्लंघन को संबोधित करने के लिए उचित उपाय करेगा, जिसमें इसके प्रतिकूल प्रभावों को कम करने के उपाय भी शामिल होंगे। डेटा आयातक उल्लंघन के बारे में जागरूक होने के बाद बिना किसी देरी के डेटा निर्यातक को सूचित करेगा। इस तरह की अधिसूचना में एक संपर्क बिंदु का विवरण होगा जहां अधिक जानकारी प्राप्त की जा सकती है, उल्लंघन की प्रकृति का विवरण (जहां संभव हो, श्रेणियों और डेटा विषयों की अनुमानित संख्या और संबंधित व्यक्तिगत डेटा रिकॉर्ड सहित), इसके संभावित परिणाम और उल्लंघन को संबोधित करने के लिए किए गए या प्रस्तावित उपाय, जहां उपयुक्त हो, इसके संभावित प्रतिकूल प्रभावों को कम करने के उपाय शामिल हैं। जहां, और जहां तक, एक ही समय में सभी जानकारी प्रदान करना संभव नहीं है, प्रारंभिक अधिसूचना में तब उपलब्ध जानकारी होगी और आगे की जानकारी, जैसे ही यह उपलब्ध हो, बाद में बिना किसी देरी के प्रदान की जाएगी।
    4. डेटा आयातक डेटा निर्यातक के साथ सहयोग और सहायता करेगा ताकि डेटा निर्यातक को विनियमन (ईयू) 2016/679 के तहत अपने दायित्वों का पालन करने में सक्षम बनाया जा सके, विशेष रूप से सक्षम पर्यवेक्षी प्राधिकारी और प्रभावित डेटा विषयों को सूचित करने के लिए, की प्रकृति को ध्यान में रखते हुए। प्रसंस्करण और डेटा आयातक के लिए उपलब्ध जानकारी।

  7. संवेदनशील जानकारी

    जहां स्थानांतरण में व्यक्तिगत डेटा शामिल है जो नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, या ट्रेड यूनियन सदस्यता, आनुवंशिक डेटा, या बायोमेट्रिक डेटा को विशिष्ट रूप से किसी प्राकृतिक व्यक्ति की पहचान करने के उद्देश्य से, स्वास्थ्य या किसी व्यक्ति के यौन जीवन से संबंधित डेटा का खुलासा करता है या यौन अभिविन्यास, या आपराधिक दोषियों और अपराधों से संबंधित डेटा (इसके बाद "संवेदनशील डेटा"), डेटा आयातक अनुलग्नक आईबी में वर्णित विशिष्ट प्रतिबंधों और/या अतिरिक्त सुरक्षा उपायों को लागू करेगा।

  8. आगे स्थानान्तरण

    डेटा आयातक केवल डेटा निर्यातक से प्रलेखित निर्देशों पर किसी तीसरे पक्ष को व्यक्तिगत डेटा का खुलासा करेगा। इसके अलावा, डेटा का खुलासा केवल यूरोपीय संघ के बाहर स्थित किसी तीसरे पक्ष के लिए किया जा सकता है (उसी देश में जहां डेटा आयातक या किसी अन्य तीसरे देश में, इसके बाद "आगे स्थानांतरण") यदि तीसरा पक्ष बाध्य है या इसके लिए सहमत है ये खंड, उपयुक्त मॉड्यूल के तहत, या यदि:
    1. आगे स्थानांतरण उस देश के लिए है जो विनियमन (ईयू) 45/2016 के अनुच्छेद 679 के अनुसार पर्याप्तता निर्णय से लाभान्वित होता है जो आगे के हस्तांतरण को कवर करता है;
    2. तीसरा पक्ष अन्यथा विचाराधीन प्रसंस्करण के संबंध में (ईयू) 46/47 के अनुच्छेद 2016 या 679 विनियमन के अनुसार उचित सुरक्षा उपायों को सुनिश्चित करता है;
    3. विशिष्ट प्रशासनिक, नियामक या न्यायिक कार्यवाही के संदर्भ में कानूनी दावों की स्थापना, अभ्यास या बचाव के लिए आगे स्थानांतरण आवश्यक है; या
    4. डेटा विषय या किसी अन्य प्राकृतिक व्यक्ति के महत्वपूर्ण हितों की रक्षा के लिए आगे स्थानांतरण आवश्यक है।
    कोई भी आगे का स्थानांतरण डेटा आयातक द्वारा इन क्लॉज के तहत अन्य सभी सुरक्षा उपायों के अनुपालन के अधीन है, विशेष उद्देश्य सीमा में।

  9. दस्तावेज़ीकरण और अनुपालन

    1. डेटा आयातक तुरंत और पर्याप्त रूप से डेटा निर्यातक से पूछताछ करेगा जो इन क्लॉज के तहत प्रसंस्करण से संबंधित है।
    2. पार्टियां इन क्लाजों के अनुपालन को प्रदर्शित करने में सक्षम होंगी। विशेष रूप से, डेटा आयातक डेटा निर्यातक की ओर से की जाने वाली प्रसंस्करण गतिविधियों पर उचित दस्तावेज़ीकरण रखेगा।
    3. डेटा आयातक डेटा निर्यातक को इन क्लॉज़ में निर्धारित दायित्वों के अनुपालन को प्रदर्शित करने के लिए आवश्यक सभी जानकारी उपलब्ध कराएगा और डेटा निर्यातक के अनुरोध पर, उचित अंतराल पर, इन क्लॉज़ द्वारा कवर की गई प्रोसेसिंग गतिविधियों के ऑडिट के लिए अनुमति देगा और योगदान देगा। यदि गैर-अनुपालन के संकेत हैं। समीक्षा या ऑडिट का निर्णय लेने में, डेटा निर्यातक डेटा आयातक द्वारा रखे गए प्रासंगिक प्रमाणपत्रों को ध्यान में रख सकता है।
    4. डेटा निर्यातक स्वयं ऑडिट करना चुन सकता है या एक स्वतंत्र ऑडिटर को अधिदेशित कर सकता है। ऑडिट में डेटा आयातक के परिसर या भौतिक सुविधाओं पर निरीक्षण शामिल हो सकते हैं और जहां उपयुक्त हो, उचित नोटिस के साथ किया जाएगा।
    5. पार्टियों को अनुरोध पर सक्षम पर्यवेक्षी प्राधिकारी को उपलब्ध किसी भी लेखा परीक्षा के परिणामों सहित पैराग्राफ (बी) और (सी) में संदर्भित जानकारी उपलब्ध कराना होगा।
    यूरोपीय आर्थिक क्षेत्र पर समझौता (ईईए समझौता) तीन ईईए राज्यों आइसलैंड, लिकटेंस्टीन और नॉर्वे तक यूरोपीय संघ के आंतरिक बाजार के विस्तार का प्रावधान करता है। विनियमन (ईयू) 2016/679 सहित केंद्रीय डेटा संरक्षण कानून, ईईए समझौते द्वारा कवर किया गया है और इसे अनुबंध XI में शामिल किया गया है। इसलिए, ईईए में स्थित किसी तीसरे पक्ष को डेटा आयातक द्वारा किया गया कोई भी खुलासा इन खंडों के प्रयोजन के लिए आगे के हस्तांतरण के रूप में योग्य नहीं है।

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. अनुदेश

    1. डेटा निर्यातक ने डेटा आयातक को सूचित किया है कि वह अपने नियंत्रकों के निर्देशों के तहत प्रोसेसर के रूप में कार्य करता है, जिसे डेटा निर्यातक प्रसंस्करण से पहले डेटा आयातक को उपलब्ध कराएगा।
    2. डेटा आयातक व्यक्तिगत डेटा को केवल नियंत्रक से प्रलेखित निर्देशों पर संसाधित करेगा, जैसा कि डेटा निर्यातक द्वारा डेटा आयातक को सूचित किया गया है, और डेटा निर्यातक से कोई अतिरिक्त प्रलेखित निर्देश। ऐसे अतिरिक्त निर्देश नियंत्रक के निर्देशों का विरोध नहीं करेंगे। नियंत्रक या डेटा निर्यातक अनुबंध की अवधि के दौरान डेटा प्रोसेसिंग के संबंध में और अधिक प्रलेखित निर्देश दे सकते हैं।
    3. डेटा आयातक तुरंत डेटा निर्यातक को सूचित करेगा यदि वह उन निर्देशों का पालन करने में असमर्थ है। जहां डेटा आयातक नियंत्रक के निर्देशों का पालन करने में असमर्थ है, डेटा निर्यातक तुरंत नियंत्रक को सूचित करेगा।
    4. डेटा निर्यातक वारंट करता है कि उसने डेटा आयातक पर नियंत्रक और डेटा निर्यातक के बीच संघ या सदस्य राज्य कानून के तहत अनुबंध या अन्य कानूनी अधिनियम में निर्धारित डेटा सुरक्षा दायित्वों को लागू किया है।

  2. उद्देश्य सीमा

    डेटा आयातक व्यक्तिगत डेटा को केवल हस्तांतरण के विशिष्ट उद्देश्य (उद्देश्यों) के लिए संसाधित करेगा, जैसा कि अनुबंध आईबी में निर्धारित किया गया है, जब तक कि नियंत्रक से आगे के निर्देशों पर, जैसा कि डेटा निर्यातक द्वारा डेटा आयातक को सूचित किया जाता है, या डेटा से निर्यातक।

  3. ट्रांसपेरेंसी

    अनुरोध पर, डेटा निर्यातक इन क्लाजों की एक प्रति, जिसमें पार्टियों द्वारा पूरा किया गया परिशिष्ट शामिल है, डेटा विषय के लिए निःशुल्क उपलब्ध कराएगा। व्यक्तिगत डेटा सहित व्यावसायिक रहस्यों या अन्य गोपनीय जानकारी की सुरक्षा के लिए आवश्यक सीमा तक, डेटा निर्यातक एक प्रतिलिपि साझा करने से पहले परिशिष्ट के पाठ का हिस्सा बदल सकता है, लेकिन एक सार्थक सारांश प्रदान करेगा जहां डेटा विषय अन्यथा सक्षम नहीं होगा इसकी सामग्री को समझने या अपने अधिकारों का प्रयोग करने के लिए। अनुरोध पर, पक्षकार डेटा विषय को संशोधन के कारणों के साथ, जहां तक ​​संभव हो, संशोधित जानकारी को प्रकट किए बिना प्रदान करेंगे।

  4. शुद्धता

    यदि डेटा आयातक को पता चलता है कि उसे प्राप्त व्यक्तिगत डेटा गलत है, या पुराना हो गया है, तो वह बिना किसी देरी के डेटा निर्यातक को सूचित करेगा। इस मामले में, डेटा आयातक डेटा को सुधारने या मिटाने के लिए डेटा निर्यातक के साथ सहयोग करेगा। विनियमन (ईयू) 28/4 के अनुच्छेद 2016(679) देखें और, जहां नियंत्रक यूरोपीय संघ की संस्था या निकाय है, विनियमन (ईयू) 29/4 के अनुच्छेद 2018(1725) देखें।

  5. प्रसंस्करण और मिटाने या डेटा की वापसी की अवधि

    डेटा आयातक द्वारा प्रसंस्करण केवल अनुबंध आईबी में निर्दिष्ट अवधि के लिए होगा प्रसंस्करण सेवाओं के प्रावधान के अंत के बाद, डेटा आयातक, डेटा निर्यातक की पसंद पर, नियंत्रक की ओर से संसाधित सभी व्यक्तिगत डेटा को हटा देगा। और डेटा निर्यातक को प्रमाणित करें कि उसने ऐसा किया है, या डेटा निर्यातक को उसकी ओर से संसाधित सभी व्यक्तिगत डेटा वापस कर दें और मौजूदा प्रतियों को हटा दें। जब तक डेटा हटाया या लौटाया नहीं जाता, तब तक डेटा आयातक इन शर्तों का अनुपालन सुनिश्चित करना जारी रखेगा। डेटा आयातक पर लागू स्थानीय कानूनों के मामले में, जो व्यक्तिगत डेटा की वापसी या विलोपन को प्रतिबंधित करता है, डेटा आयातक वारंट करता है कि वह इन क्लाजों का अनुपालन सुनिश्चित करना जारी रखेगा और केवल उस सीमा तक और जब तक इसके तहत आवश्यक होगा, तब तक इसे संसाधित करेगा। स्थानीय कानून। यह खंड 14 पर प्रतिकूल प्रभाव डाले बिना है, विशेष रूप से खंड 14 (ई) के तहत डेटा आयातक के लिए अनुबंध की अवधि के दौरान डेटा निर्यातक को सूचित करने की आवश्यकता है यदि उसके पास यह मानने का कारण है कि यह कानूनों या प्रथाओं के अधीन है या बन गया है खंड 14 (ए) के तहत आवश्यकताओं के अनुरूप नहीं है।

  6. प्रसंस्करण की सुरक्षा

    1. डेटा आयातक और, ट्रांसमिशन के दौरान, डेटा निर्यातक भी डेटा की सुरक्षा सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करेगा, जिसमें आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच के लिए सुरक्षा के उल्लंघन के खिलाफ सुरक्षा शामिल है। वह डेटा (इसके बाद "व्यक्तिगत डेटा उल्लंघन")। सुरक्षा के उपयुक्त स्तर का आकलन करने में, वे अत्याधुनिक स्थिति, कार्यान्वयन की लागत, प्रसंस्करण की प्रकृति, कार्यक्षेत्र, संदर्भ और उद्देश्य (ओं) और डेटा विषय के लिए प्रसंस्करण में शामिल जोखिमों को ध्यान में रखेंगे। पार्टियां विशेष रूप से एन्क्रिप्शन या छद्म नाम का सहारा लेने पर विचार करेंगी, जिसमें ट्रांसमिशन के दौरान भी शामिल है, जहां प्रसंस्करण के उद्देश्य को उस तरीके से पूरा किया जा सकता है। छद्म नाम के मामले में, एक विशिष्ट डेटा विषय के लिए व्यक्तिगत डेटा को जिम्मेदार ठहराने के लिए अतिरिक्त जानकारी, जहां संभव हो, डेटा निर्यातक या नियंत्रक के अनन्य नियंत्रण में रहेगी। इस पैराग्राफ के तहत अपने दायित्वों के अनुपालन में, डेटा आयातक कम से कम अनुबंध II में निर्दिष्ट तकनीकी और संगठनात्मक उपायों को लागू करेगा। डेटा आयातक यह सुनिश्चित करने के लिए नियमित जांच करेगा कि ये उपाय उचित स्तर की सुरक्षा प्रदान करते रहें।
    2. डेटा आयातक अनुबंध के कार्यान्वयन, प्रबंधन और निगरानी के लिए कड़ाई से आवश्यक सीमा तक ही अपने कर्मियों के सदस्यों को डेटा तक पहुंच प्रदान करेगा। यह सुनिश्चित करेगा कि व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों ने खुद को गोपनीयता के लिए प्रतिबद्ध किया है या गोपनीयता के उचित वैधानिक दायित्व के तहत हैं।
    3. इन क्लॉज के तहत डेटा आयातक द्वारा संसाधित व्यक्तिगत डेटा से संबंधित व्यक्तिगत डेटा उल्लंघन की स्थिति में, डेटा आयातक उल्लंघन को संबोधित करने के लिए उचित उपाय करेगा, जिसमें इसके प्रतिकूल प्रभावों को कम करने के उपाय भी शामिल होंगे। डेटा आयातक, बिना किसी देरी के, डेटा निर्यातक और, जहां उचित और व्यवहार्य हो, उल्लंघन के बारे में जागरूक होने के बाद, नियंत्रक को सूचित करेगा। इस तरह की अधिसूचना में एक संपर्क बिंदु का विवरण होगा जहां अधिक जानकारी प्राप्त की जा सकती है, उल्लंघन की प्रकृति का विवरण (जहां संभव हो, श्रेणियों और डेटा विषयों की अनुमानित संख्या और संबंधित व्यक्तिगत डेटा रिकॉर्ड सहित), इसके संभावित परिणाम और इसके संभावित प्रतिकूल प्रभावों को कम करने के उपायों सहित डेटा उल्लंघन को संबोधित करने के लिए किए गए या प्रस्तावित उपाय। जहां, और जहां तक, एक ही समय में सभी जानकारी प्रदान करना संभव नहीं है, प्रारंभिक अधिसूचना में तब उपलब्ध जानकारी होगी और आगे की जानकारी, जैसे ही यह उपलब्ध हो, बाद में बिना किसी देरी के प्रदान की जाएगी।
    4. डेटा आयातक डेटा निर्यातक के साथ सहयोग और सहायता करेगा ताकि डेटा निर्यातक को विनियमन (ईयू) 2016/679 के तहत अपने दायित्वों का पालन करने में सक्षम बनाया जा सके, विशेष रूप से अपने नियंत्रक को सूचित करने के लिए ताकि बाद वाला सक्षम पर्यवेक्षी प्राधिकारी को सूचित कर सके और प्रसंस्करण की प्रकृति और डेटा आयातक के लिए उपलब्ध जानकारी को ध्यान में रखते हुए प्रभावित डेटा विषय।

  7. संवेदनशील जानकारी

    जहां स्थानांतरण में व्यक्तिगत डेटा शामिल है जो नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, या ट्रेड यूनियन सदस्यता, आनुवंशिक डेटा, या बायोमेट्रिक डेटा को विशिष्ट रूप से किसी प्राकृतिक व्यक्ति की पहचान करने के उद्देश्य से, स्वास्थ्य या किसी व्यक्ति के यौन जीवन से संबंधित डेटा का खुलासा करता है या यौन अभिविन्यास, या आपराधिक दोषियों और अपराधों से संबंधित डेटा (इसके बाद "संवेदनशील डेटा"), डेटा आयातक अनुलग्नक आईबी में निर्धारित विशिष्ट प्रतिबंधों और/या अतिरिक्त सुरक्षा उपायों को लागू करेगा।

  8. आगे स्थानान्तरण

    डेटा आयातक केवल नियंत्रक से प्रलेखित निर्देशों पर किसी तीसरे पक्ष को व्यक्तिगत डेटा का खुलासा करेगा, जैसा कि डेटा निर्यातक द्वारा डेटा आयातक को सूचित किया गया है। इसके अलावा, डेटा का खुलासा केवल यूरोपीय संघ के बाहर स्थित किसी तीसरे पक्ष के लिए किया जा सकता है (उसी देश में जहां डेटा आयातक या किसी अन्य तीसरे देश में, इसके बाद "आगे स्थानांतरण") यदि तीसरा पक्ष बाध्य है या इसके लिए सहमत है ये खंड, उपयुक्त मॉड्यूल के तहत, या यदि:
    1. आगे स्थानांतरण उस देश के लिए है जो विनियमन (ईयू) 45/2016 के अनुच्छेद 679 के अनुसार पर्याप्तता निर्णय से लाभान्वित होता है जो आगे के हस्तांतरण को कवर करता है;
    2. तीसरा पक्ष अन्यथा विनियम (ईयू) 46/47 के अनुच्छेद 2016 या 679 के अनुसार उचित सुरक्षा उपाय सुनिश्चित करता है;
    3. विशिष्ट प्रशासनिक, नियामक या न्यायिक कार्यवाही के संदर्भ में कानूनी दावों की स्थापना, अभ्यास या बचाव के लिए आगे स्थानांतरण आवश्यक है; या
    4. डेटा विषय या किसी अन्य प्राकृतिक व्यक्ति के महत्वपूर्ण हितों की रक्षा के लिए आगे स्थानांतरण आवश्यक है।
    कोई भी आगे का स्थानांतरण डेटा आयातक द्वारा इन क्लॉज के तहत अन्य सभी सुरक्षा उपायों के अनुपालन के अधीन है, विशेष उद्देश्य सीमा में।

  9. दस्तावेज़ीकरण और अनुपालन

    1. डेटा आयातक डेटा निर्यातक या नियंत्रक से पूछताछ से तुरंत और पर्याप्त रूप से निपटेगा जो इन क्लॉज के तहत प्रसंस्करण से संबंधित है।
    2. पार्टियां इन क्लाजों के अनुपालन को प्रदर्शित करने में सक्षम होंगी। विशेष रूप से, डेटा आयातक नियंत्रक की ओर से की जाने वाली प्रसंस्करण गतिविधियों पर उपयुक्त दस्तावेज रखेगा।
    3. डेटा आयातक डेटा निर्यातक को उपलब्ध इन क्लॉज़ में निर्धारित दायित्वों के अनुपालन को प्रदर्शित करने के लिए सभी आवश्यक जानकारी देगा, जो इसे नियंत्रक को प्रदान करेगा।
    4. डेटा आयातक उचित अंतराल पर या गैर-अनुपालन के संकेत होने पर, इन क्लॉज द्वारा कवर की गई प्रोसेसिंग गतिविधियों के डेटा निर्यातक द्वारा ऑडिट के लिए अनुमति देगा और इसमें योगदान देगा। वही लागू होगा जहां डेटा निर्यातक नियंत्रक के निर्देशों पर ऑडिट का अनुरोध करता है। एक ऑडिट पर निर्णय लेने में, डेटा निर्यातक डेटा आयातक द्वारा रखे गए प्रासंगिक प्रमाणपत्रों को ध्यान में रख सकता है।
    5. जहां नियंत्रक के निर्देश पर ऑडिट किया जाता है, डेटा निर्यातक नियंत्रक को परिणाम उपलब्ध कराएगा।
    6. डेटा निर्यातक स्वयं ऑडिट करना चुन सकता है या एक स्वतंत्र ऑडिटर को अधिदेशित कर सकता है। ऑडिट में डेटा आयातक के परिसर या भौतिक सुविधाओं पर निरीक्षण शामिल हो सकते हैं और जहां उपयुक्त हो, उचित नोटिस के साथ किया जाएगा।
    7. पार्टियों को अनुरोध पर सक्षम पर्यवेक्षी प्राधिकारी को उपलब्ध किसी भी लेखा परीक्षा के परिणामों सहित पैराग्राफ (बी) और (सी) में संदर्भित जानकारी उपलब्ध कराना होगा।

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

  1. अनुदेश

    1. डेटा निर्यातक व्यक्तिगत डेटा को केवल उसके नियंत्रक के रूप में कार्य करने वाले डेटा आयातक के प्रलेखित निर्देशों पर संसाधित करेगा।
    2. डेटा निर्यातक तुरंत डेटा आयातक को सूचित करेगा यदि वह उन निर्देशों का पालन करने में असमर्थ है, जिसमें यह भी शामिल है कि क्या ऐसे निर्देश विनियमन (ईयू) 2016/679 या अन्य संघ या सदस्य राज्य डेटा संरक्षण कानून का उल्लंघन करते हैं।
    3. डेटा आयातक किसी भी कार्रवाई से बचना चाहिए जो डेटा निर्यातक को उप-प्रसंस्करण के संदर्भ में या सक्षम पर्यवेक्षी अधिकारियों के साथ सहयोग के संबंध में विनियमन (ईयू) 2016/679 के तहत अपने दायित्वों को पूरा करने से रोकता है।
    4. प्रसंस्करण सेवाओं के प्रावधान के अंत के बाद, डेटा निर्यातक, डेटा आयातक की पसंद पर, डेटा आयातक की ओर से संसाधित सभी व्यक्तिगत डेटा को हटा देगा और डेटा आयातक को प्रमाणित करेगा कि उसने ऐसा किया है, या वापस लौटेगा डेटा आयातक सभी व्यक्तिगत डेटा को उसकी ओर से संसाधित करता है और मौजूदा प्रतियों को हटा देता है।

  2. प्रसंस्करण की सुरक्षा

    1. पार्टियों को डेटा की सुरक्षा सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों को लागू करना होगा, जिसमें ट्रांसमिशन के दौरान, और सुरक्षा के उल्लंघन के खिलाफ सुरक्षा के कारण आकस्मिक या गैरकानूनी विनाश, हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच शामिल है (इसके बाद "व्यक्तिगत डेटा उल्लंघन" ) सुरक्षा के उचित स्तर का आकलन करने में, वे अत्याधुनिक स्थिति, कार्यान्वयन की लागत, व्यक्तिगत डेटा की प्रकृति, प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्य और इसमें शामिल जोखिमों का उचित ध्यान रखेंगे। डेटा विषयों के लिए प्रसंस्करण, और विशेष रूप से संचरण के दौरान एन्क्रिप्शन या छद्म नाम का सहारा लेने पर विचार करें, जहां प्रसंस्करण का उद्देश्य उस तरीके से पूरा किया जा सकता है।
    2. डेटा निर्यातक पैराग्राफ (ए) के अनुसार डेटा की उचित सुरक्षा सुनिश्चित करने में डेटा आयातक की सहायता करेगा। इन क्लॉज के तहत डेटा निर्यातक द्वारा संसाधित किए गए व्यक्तिगत डेटा से संबंधित व्यक्तिगत डेटा उल्लंघन के मामले में, डेटा निर्यातक डेटा आयातक को इसके बारे में जागरूक होने के बाद बिना किसी देरी के सूचित करेगा और उल्लंघन को संबोधित करने में डेटा आयातक की सहायता करेगा।
    3. डेटा निर्यातक यह सुनिश्चित करेगा कि व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों ने खुद को गोपनीयता के लिए प्रतिबद्ध किया है या गोपनीयता के उचित वैधानिक दायित्व के तहत हैं।

  3. दस्तावेज़ीकरण और अनुपालन

    1. पार्टियां इन क्लाजों के अनुपालन को प्रदर्शित करने में सक्षम होंगी।
    2. डेटा निर्यातक इन क्लॉज के तहत अपने दायित्वों के अनुपालन को प्रदर्शित करने के लिए डेटा आयातक को सभी आवश्यक जानकारी उपलब्ध कराएगा और ऑडिट के लिए अनुमति देगा और योगदान देगा।
    इसमें शामिल है कि क्या स्थानांतरण और आगे की प्रक्रिया में व्यक्तिगत डेटा शामिल है जो नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक मान्यताओं, या ट्रेड यूनियन सदस्यता, आनुवंशिक डेटा या बायोमेट्रिक डेटा को विशिष्ट रूप से किसी प्राकृतिक व्यक्ति की पहचान करने के उद्देश्य से, स्वास्थ्य से संबंधित डेटा या एक व्यक्ति का यौन जीवन या यौन अभिविन्यास, या आपराधिक दोषसिद्धि या अपराधों से संबंधित डेटा।

खंड 9

सब-प्रोसेसर का उपयोग

  1. मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

    1. विकल्प 1: विशिष्ट पूर्व प्राधिकरण डेटा आयातक डेटा निर्यातक के पूर्व विशिष्ट लिखित प्राधिकरण के बिना इन क्लॉज़ के तहत डेटा निर्यातक की ओर से की गई अपनी किसी भी प्रोसेसिंग गतिविधि को सब-प्रोसेसर को उप-अनुबंधित नहीं करेगा। डेटा आयातक, सब-प्रोसेसर की सगाई से पहले कम से कम [समय अवधि निर्दिष्ट करें] विशिष्ट प्राधिकरण के लिए अनुरोध प्रस्तुत करेगा, साथ ही डेटा निर्यातक को प्राधिकरण पर निर्णय लेने में सक्षम बनाने के लिए आवश्यक जानकारी के साथ। डेटा निर्यातक द्वारा पहले से अधिकृत उप-प्रोसेसरों की सूची अनुबंध III में पाई जा सकती है। पक्ष अनुबंध III को अद्यतित रखेंगे। विकल्प 2: सामान्य लिखित प्राधिकरण डेटा आयातक के पास सहमत सूची से उप-प्रोसेसर (ओं) की सगाई के लिए डेटा निर्यातक का सामान्य प्राधिकरण है। डेटा आयातक विशेष रूप से डेटा निर्यातक को कम से कम [समय अवधि निर्दिष्ट करें] उप-प्रोसेसर के अतिरिक्त या प्रतिस्थापन के माध्यम से उस सूची में किसी भी इच्छित परिवर्तन के बारे में लिखित रूप में सूचित करेगा, जिससे डेटा निर्यातक को आपत्ति करने में सक्षम होने के लिए पर्याप्त समय मिल सके। सब-प्रोसेसर (ओं) की सगाई से पहले इस तरह के बदलाव। डेटा आयातक डेटा निर्यातक को आवश्यक जानकारी प्रदान करेगा ताकि डेटा निर्यातक को आपत्ति करने के अपने अधिकार का प्रयोग करने में सक्षम बनाया जा सके।
    2. जहां डेटा आयातक विशिष्ट प्रसंस्करण गतिविधियों (डेटा निर्यातक की ओर से) को पूरा करने के लिए एक उप-प्रोसेसर को संलग्न करता है, वह एक लिखित अनुबंध के माध्यम से ऐसा करेगा, जो मूल रूप से उसी डेटा सुरक्षा दायित्वों के लिए प्रदान करता है जो बाध्यकारी हैं इन क्लॉज के तहत डेटा आयातक, डेटा विषयों के लिए तृतीय-पक्ष लाभार्थी अधिकारों के संदर्भ में। पार्टियां इस बात से सहमत हैं कि, इस क्लॉज का पालन करके, डेटा आयातक क्लॉज 8.8 के तहत अपने दायित्वों को पूरा करता है। डेटा आयातक यह सुनिश्चित करेगा कि उप-प्रोसेसर उन दायित्वों का अनुपालन करता है जिनके लिए डेटा आयातक इन क्लाजों के अधीन है।
    3. डेटा आयातक, डेटा निर्यातक के अनुरोध पर, ऐसे सब-प्रोसेसर समझौते की एक प्रति और डेटा निर्यातक को किसी भी बाद के संशोधन प्रदान करेगा। व्यक्तिगत डेटा सहित व्यावसायिक रहस्यों या अन्य गोपनीय जानकारी की सुरक्षा के लिए आवश्यक सीमा तक, डेटा आयातक एक प्रतिलिपि साझा करने से पहले समझौते के पाठ को संशोधित कर सकता है।
    4. डेटा आयातक डेटा आयातक के साथ अपने अनुबंध के तहत उप-प्रोसेसर के दायित्वों के प्रदर्शन के लिए डेटा निर्यातक के लिए पूरी तरह से जिम्मेदार होगा। डेटा आयातक उस अनुबंध के तहत अपने दायित्वों को पूरा करने के लिए उप-प्रोसेसर द्वारा किसी भी विफलता के डेटा निर्यातक को सूचित करेगा।
    5. डेटा आयातक उप-प्रोसेसर के साथ एक तृतीय-पक्ष लाभार्थी खंड पर सहमत होगा जिसके तहत - उस स्थिति में जब डेटा आयातक तथ्यात्मक रूप से गायब हो गया है, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है - डेटा निर्यातक को उप-समाप्त करने का अधिकार होगा। प्रोसेसर अनुबंध और उप-प्रोसेसर को व्यक्तिगत डेटा मिटाने या वापस करने का निर्देश देना।
    इस आवश्यकता को उप-प्रोसेसर द्वारा उपयुक्त मॉड्यूल के तहत इन क्लॉज में शामिल होने से संतुष्ट किया जा सकता है, क्लॉज 7 के अनुसार।

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. विकल्प 1: विशिष्ट पूर्व प्राधिकरण डेटा आयातक नियंत्रक के पूर्व विशिष्ट लिखित प्राधिकरण के बिना इन क्लॉज के तहत डेटा निर्यातक की ओर से की गई अपनी किसी भी प्रोसेसिंग गतिविधि को सब-प्रोसेसर को उप-अनुबंधित नहीं करेगा। डेटा आयातक, उप-प्रोसेसर की सगाई से पहले कम से कम [समय अवधि निर्दिष्ट करें] विशिष्ट प्राधिकरण के लिए अनुरोध प्रस्तुत करेगा, साथ ही नियंत्रक को प्राधिकरण पर निर्णय लेने में सक्षम बनाने के लिए आवश्यक जानकारी के साथ। यह इस तरह के जुड़ाव के डेटा निर्यातक को सूचित करेगा। नियंत्रक द्वारा पहले से अधिकृत उप-प्रोसेसरों की सूची अनुबंध III में पाई जा सकती है। पक्ष अनुबंध III को अद्यतित रखेंगे। विकल्प 2: सामान्य लिखित प्राधिकरण डेटा आयातक के पास सहमत सूची से उप-प्रोसेसर (ओं) की सगाई के लिए नियंत्रक का सामान्य प्राधिकरण है। डेटा आयातक विशेष रूप से कम से कम [समय अवधि निर्दिष्ट करें] उप-प्रोसेसर के अतिरिक्त या प्रतिस्थापन के माध्यम से उस सूची में किसी भी इच्छित परिवर्तन के बारे में नियंत्रक को लिखित रूप में सूचित करेगा, जिससे नियंत्रक को ऐसे परिवर्तनों पर आपत्ति करने में सक्षम होने के लिए पर्याप्त समय मिल सके। उप-प्रोसेसर (ओं) की सगाई से पहले। डेटा आयातक नियंत्रक को आवश्यक जानकारी प्रदान करेगा ताकि नियंत्रक को आपत्ति करने के अपने अधिकार का प्रयोग करने में सक्षम बनाया जा सके। डेटा आयातक डेटा निर्यातक को उप-प्रोसेसर (ओं) की सगाई की सूचना देगा।
  2. जहां डेटा आयातक विशिष्ट प्रसंस्करण गतिविधियों (नियंत्रक की ओर से) को पूरा करने के लिए एक उप-प्रोसेसर को संलग्न करता है, वह ऐसा एक लिखित अनुबंध के माध्यम से करेगा जो मूल रूप से डेटा को बाध्य करने वाले समान डेटा सुरक्षा दायित्वों के लिए प्रदान करता है। डेटा विषयों के लिए तीसरे पक्ष के लाभार्थी अधिकारों के संदर्भ में, इन क्लाजों के तहत आयातक। पार्टियां इस बात से सहमत हैं कि, इस क्लॉज का पालन करके, डेटा आयातक क्लॉज 8.8 के तहत अपने दायित्वों को पूरा करता है। डेटा आयातक यह सुनिश्चित करेगा कि उप-प्रोसेसर उन दायित्वों का अनुपालन करता है जिनके लिए डेटा आयातक इन क्लाजों के अधीन है।
  3. डेटा आयातक, डेटा निर्यातक या नियंत्रक के अनुरोध पर, ऐसे उप-प्रोसेसर समझौते की एक प्रति और किसी भी बाद के संशोधन प्रदान करेगा। व्यक्तिगत डेटा सहित व्यावसायिक रहस्यों या अन्य गोपनीय जानकारी की सुरक्षा के लिए आवश्यक सीमा तक, डेटा आयातक एक प्रतिलिपि साझा करने से पहले समझौते के पाठ को संशोधित कर सकता है।
  4. डेटा आयातक डेटा आयातक के साथ अपने अनुबंध के तहत उप-प्रोसेसर के दायित्वों के प्रदर्शन के लिए डेटा निर्यातक के लिए पूरी तरह से जिम्मेदार होगा। डेटा आयातक उस अनुबंध के तहत अपने दायित्वों को पूरा करने के लिए उप-प्रोसेसर द्वारा किसी भी विफलता के डेटा निर्यातक को सूचित करेगा।
  5. डेटा आयातक उप-प्रोसेसर के साथ एक तृतीय-पक्ष लाभार्थी खंड पर सहमत होगा जिसके तहत - उस स्थिति में जब डेटा आयातक तथ्यात्मक रूप से गायब हो गया है, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है - डेटा निर्यातक को उप-समाप्त करने का अधिकार होगा। प्रोसेसर अनुबंध और उप-प्रोसेसर को व्यक्तिगत डेटा मिटाने या वापस करने का निर्देश देना।
इस आवश्यकता को उप-प्रोसेसर द्वारा उपयुक्त मॉड्यूल के तहत इन क्लॉज में शामिल होने से संतुष्ट किया जा सकता है, क्लॉज 7 के अनुसार।

खंड 10

डेटा विषय अधिकार

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

  1. डेटा आयातक, जहां डेटा निर्यातक की सहायता से प्रासंगिक हो, अपने व्यक्तिगत डेटा के प्रसंस्करण और इन क्लाजों के तहत अपने अधिकारों के प्रयोग से संबंधित डेटा विषय से प्राप्त किसी भी पूछताछ और अनुरोधों को बिना किसी अनुचित के निपटाएगा। जांच या अनुरोध प्राप्त होने के एक महीने के भीतर देरी और नवीनतम। डेटा आयातक ऐसी पूछताछ, अनुरोधों और डेटा विषय अधिकारों के प्रयोग को सुविधाजनक बनाने के लिए उचित उपाय करेगा। डेटा विषय को प्रदान की गई कोई भी जानकारी स्पष्ट और सरल भाषा का उपयोग करते हुए एक सुगम और आसानी से सुलभ रूप में होगी।
  2. विशेष रूप से, डेटा विषय के अनुरोध पर डेटा आयातक नि:शुल्क होगा:
    1. डेटा विषय की पुष्टि प्रदान करें कि क्या उससे संबंधित व्यक्तिगत डेटा संसाधित किया जा रहा है और जहां यह मामला है, उससे संबंधित डेटा की एक प्रति और अनुबंध I में जानकारी; यदि व्यक्तिगत डेटा को स्थानांतरित किया गया है या आगे स्थानांतरित किया जाएगा, तो प्राप्तकर्ताओं या प्राप्तकर्ताओं की श्रेणियों (सार्थक जानकारी प्रदान करने की दृष्टि से उपयुक्त) के बारे में जानकारी प्रदान करें, जिसमें व्यक्तिगत डेटा को स्थानांतरित किया गया है या आगे स्थानांतरित किया जाएगा, ऐसे आगे के हस्तांतरण का उद्देश्य और खंड 8.7 के अनुसार उनका आधार; और खंड 12(c)(i) के अनुसार पर्यवेक्षी प्राधिकारी के पास शिकायत दर्ज करने के अधिकार के बारे में जानकारी प्रदान करना;
    2. डेटा विषय से संबंधित गलत या अपूर्ण डेटा को सुधारना;
    3. डेटा विषय से संबंधित व्यक्तिगत डेटा को मिटा दें यदि ऐसा डेटा तीसरे पक्ष के लाभार्थी अधिकारों को सुनिश्चित करने वाले इनमें से किसी भी खंड के उल्लंघन में संसाधित किया जा रहा है या संसाधित किया गया है, या यदि डेटा विषय उस सहमति को वापस ले लेता है जिस पर प्रसंस्करण आधारित है।
  3. जहां डेटा आयातक व्यक्तिगत डेटा को प्रत्यक्ष विपणन उद्देश्यों के लिए संसाधित करता है, वह ऐसे उद्देश्यों के लिए प्रसंस्करण बंद कर देगा यदि डेटा विषय पर आपत्ति करता है।
  4. डेटा आयातक केवल स्थानांतरित किए गए व्यक्तिगत डेटा (इसके बाद "स्वचालित निर्णय") के स्वचालित प्रसंस्करण के आधार पर निर्णय नहीं करेगा, जो डेटा विषय से संबंधित कानूनी प्रभाव पैदा करेगा या इसी तरह उसे / उसे महत्वपूर्ण रूप से प्रभावित करेगा, जब तक कि स्पष्ट सहमति के साथ नहीं डेटा विषय या यदि गंतव्य देश के कानूनों के तहत ऐसा करने के लिए अधिकृत है, बशर्ते कि ऐसे कानून डेटा विषय के अधिकारों और वैध हितों की रक्षा के लिए उपयुक्त उपाय निर्धारित करते हैं। इस मामले में, डेटा आयातक, जहां आवश्यक हो, डेटा निर्यातक के सहयोग से:
    1. परिकल्पित स्वचालित निर्णय, परिकल्पित परिणामों और शामिल तर्क के बारे में डेटा विषय को सूचित करें; तथा
    2. उपयुक्त सुरक्षा उपायों को लागू करें, कम से कम डेटा विषय को निर्णय लेने के लिए सक्षम करके, अपनी बात व्यक्त करें और एक इंसान द्वारा समीक्षा प्राप्त करें।
  5. जहां डेटा विषय से अनुरोध अत्यधिक हैं, विशेष रूप से उनके दोहराव वाले चरित्र के कारण, डेटा आयातक या तो अनुरोध देने की प्रशासनिक लागतों को ध्यान में रखते हुए एक उचित शुल्क ले सकता है या अनुरोध पर कार्रवाई करने से इनकार कर सकता है।
  6. डेटा आयातक डेटा विषय के अनुरोध को अस्वीकार कर सकता है यदि इस तरह के इनकार को गंतव्य देश के कानूनों के तहत अनुमति दी जाती है और एक लोकतांत्रिक समाज में विनियमन (ईयू) 23 के अनुच्छेद 1 (2016) में सूचीबद्ध उद्देश्यों में से एक की रक्षा के लिए आवश्यक और आनुपातिक है। /679.
  7. यदि डेटा आयातक किसी डेटा विषय के अनुरोध को अस्वीकार करने का इरादा रखता है, तो वह डेटा विषय को इनकार करने के कारणों और सक्षम पर्यवेक्षी प्राधिकारी के पास शिकायत दर्ज करने और/या न्यायिक निवारण की मांग करने की संभावना के बारे में सूचित करेगा।

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

  1. डेटा आयातक डेटा विषय से प्राप्त किसी भी अनुरोध के डेटा निर्यातक को तुरंत सूचित करेगा। यह उस अनुरोध का जवाब तब तक नहीं देगा जब तक कि उसे डेटा निर्यातक द्वारा ऐसा करने के लिए अधिकृत नहीं किया गया हो।
  2. डेटा आयातक डेटा निर्यातक को विनियमन (ईयू) 2016/679 के तहत अपने अधिकारों के प्रयोग के लिए डेटा विषयों के अनुरोधों का जवाब देने के लिए अपने दायित्वों को पूरा करने में सहायता करेगा। इस संबंध में, पक्ष अनुलग्नक II में प्रसंस्करण की प्रकृति, जिसके द्वारा सहायता प्रदान की जाएगी, के साथ-साथ आवश्यक सहायता के दायरे और सीमा को ध्यान में रखते हुए, उपयुक्त तकनीकी और संगठनात्मक उपायों को निर्धारित करेंगे।
  3. पैराग्राफ (ए) और (बी) के तहत अपने दायित्वों को पूरा करने में, डेटा आयातक डेटा निर्यातक के निर्देशों का पालन करेगा।

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. डेटा आयातक तुरंत डेटा निर्यातक को सूचित करेगा और, जहां उपयुक्त हो, किसी डेटा विषय से प्राप्त किसी भी अनुरोध के नियंत्रक को उस अनुरोध का जवाब दिए बिना, जब तक कि उसे नियंत्रक द्वारा ऐसा करने के लिए अधिकृत नहीं किया गया हो।
  2. डेटा आयातक, जहां उपयुक्त हो, डेटा निर्यातक के सहयोग से, नियंत्रक को विनियमन (ईयू) 2016/679 या विनियमन (ईयू) 2018/1725 के तहत अपने अधिकारों के प्रयोग के लिए डेटा विषयों के अनुरोधों का जवाब देने के लिए अपने दायित्वों को पूरा करने में सहायता करेगा। , जैसा लागू हो। इस संबंध में, पक्ष अनुलग्नक II में प्रसंस्करण की प्रकृति, जिसके द्वारा सहायता प्रदान की जाएगी, के साथ-साथ आवश्यक सहायता के दायरे और सीमा को ध्यान में रखते हुए, उपयुक्त तकनीकी और संगठनात्मक उपायों को निर्धारित करेंगे।
  3. पैराग्राफ (ए) और (बी) के तहत अपने दायित्वों को पूरा करने में, डेटा आयातक डेटा निर्यातक द्वारा सूचित नियंत्रक के निर्देशों का पालन करेगा।

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

पक्ष डेटा आयातक पर लागू स्थानीय कानून के तहत या यूरोपीय संघ में डेटा निर्यातक द्वारा डेटा प्रोसेसिंग के लिए, विनियमन (ईयू) 2016/679 के तहत डेटा विषयों द्वारा की गई पूछताछ और अनुरोधों के जवाब में एक-दूसरे की सहायता करेंगे।

खंड 11

प्रतिकार

  1. डेटा आयातक व्यक्तिगत नोटिस के माध्यम से या अपनी वेबसाइट पर, शिकायतों को संभालने के लिए अधिकृत संपर्क बिंदु के बारे में एक पारदर्शी और आसानी से सुलभ प्रारूप में डेटा विषयों को सूचित करेगा। यह डेटा विषय से प्राप्त होने वाली किसी भी शिकायत से तुरंत निपटेगा। [विकल्प: डेटा आयातक इस बात से सहमत है कि डेटा विषय किसी स्वतंत्र विवाद समाधान निकाय के पास डेटा विषय पर बिना किसी खर्च के शिकायत दर्ज करा सकते हैं। यह डेटा विषयों को इस तरह के निवारण तंत्र के पैराग्राफ (ए) में निर्धारित तरीके से सूचित करेगा और उन्हें इसका उपयोग करने की आवश्यकता नहीं है, या निवारण की मांग में किसी विशेष अनुक्रम का पालन नहीं करना चाहिए।]

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. डेटा विषय और इन क्लाजों के अनुपालन के संबंध में किसी एक पक्ष के बीच विवाद के मामले में, वह पक्ष समयबद्ध तरीके से इस मुद्दे को सौहार्दपूर्ण ढंग से हल करने के लिए अपने सर्वोत्तम प्रयासों का उपयोग करेगा। पक्षकार एक दूसरे को ऐसे विवादों के बारे में सूचित रखेंगे और जहां उपयुक्त हो, उन्हें सुलझाने में सहयोग करेंगे।
  2. जहां डेटा विषय क्लॉज 3 के अनुसार किसी तीसरे पक्ष के लाभार्थी को आमंत्रित करता है, डेटा आयातक डेटा के निर्णय को स्वीकार करेगा:
    1. सदस्य राज्य में उसके अभ्यस्त निवास या कार्य स्थान के पर्यवेक्षी प्राधिकारी या खंड 13 के अनुसार सक्षम पर्यवेक्षी प्राधिकारी के पास शिकायत दर्ज करें;
    2. खंड 18 के अर्थ के भीतर विवाद को सक्षम न्यायालयों को संदर्भित करें।
  3. पार्टियां स्वीकार करती हैं कि डेटा विषय का प्रतिनिधित्व गैर-लाभकारी निकाय, संगठन या एसोसिएशन द्वारा विनियमन (ईयू) 80/1 के अनुच्छेद 2016(679) में निर्धारित शर्तों के तहत किया जा सकता है।
  4. डेटा आयातक उस निर्णय का पालन करेगा जो लागू यूरोपीय संघ या सदस्य राज्य कानून के तहत बाध्यकारी है।
  5. डेटा आयातक इस बात से सहमत है कि डेटा विषय द्वारा किए गए विकल्प से लागू कानूनों के अनुसार उपचार प्राप्त करने के उसके मूल और प्रक्रियात्मक अधिकारों पर प्रतिकूल प्रभाव नहीं पड़ेगा।

खंड 12

देयता

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

  1. प्रत्येक पार्टी अन्य पार्टी/यों के लिए इन शर्तों के किसी भी उल्लंघन से अन्य पार्टी/यों को होने वाले किसी भी नुकसान के लिए उत्तरदायी होगी।
  2. प्रत्येक पक्ष डेटा विषय के लिए उत्तरदायी होगा, और डेटा विषय किसी भी सामग्री या गैर-भौतिक क्षति के लिए मुआवजा प्राप्त करने का हकदार होगा, जो पार्टी इन क्लॉज के तहत तीसरे पक्ष के लाभार्थी अधिकारों का उल्लंघन करके डेटा विषय का कारण बनती है। यह विनियम (ईयू) 2016/679 के तहत डेटा निर्यातक के दायित्व पर प्रतिकूल प्रभाव डाले बिना है।
  3. जहां इन क्लॉज के उल्लंघन के परिणामस्वरूप डेटा विषय को हुए किसी भी नुकसान के लिए एक से अधिक पक्ष जिम्मेदार हैं, सभी जिम्मेदार पक्ष संयुक्त रूप से और गंभीर रूप से उत्तरदायी होंगे और डेटा विषय इनमें से किसी के खिलाफ अदालत में कार्रवाई करने का हकदार है। दलों।
  4. पार्टियां इस बात से सहमत हैं कि यदि एक पार्टी को पैराग्राफ (सी) के तहत उत्तरदायी ठहराया जाता है, तो वह दूसरे पक्ष/यों से मुआवजे के उस हिस्से का दावा करने का हकदार होगा जो क्षति के लिए उसकी/उनकी जिम्मेदारी के अनुरूप है।
  5. डेटा आयातक अपने स्वयं के दायित्व से बचने के लिए किसी प्रोसेसर या सब-प्रोसेसर के आचरण का आह्वान नहीं कर सकता है।

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. प्रत्येक पार्टी अन्य पार्टी/यों के लिए इन शर्तों के किसी भी उल्लंघन से अन्य पार्टी/यों को होने वाले किसी भी नुकसान के लिए उत्तरदायी होगी।
  2. डेटा आयातक डेटा विषय के लिए उत्तरदायी होगा, और डेटा विषय किसी भी सामग्री या गैर-भौतिक क्षति के लिए क्षतिपूर्ति प्राप्त करने का हकदार होगा, डेटा आयातक या उसके उप-प्रोसेसर तीसरे पक्ष के लाभार्थी अधिकारों का उल्लंघन करके डेटा विषय का कारण बनता है। इन क्लॉज के तहत।
  3. पैराग्राफ (बी) के बावजूद, डेटा निर्यातक डेटा विषय के लिए उत्तरदायी होगा, और डेटा विषय किसी भी सामग्री या गैर-भौतिक क्षति के लिए डेटा निर्यातक या डेटा आयातक (या इसके उप-प्रोसेसर) के लिए क्षतिपूर्ति प्राप्त करने का हकदार होगा। इन क्लॉज के तहत तीसरे पक्ष के लाभार्थी अधिकारों का उल्लंघन करके डेटा विषय का कारण बनता है। यह डेटा निर्यातक की देयता पर प्रतिकूल प्रभाव डाले बिना है और, जहां डेटा निर्यातक नियंत्रक की ओर से कार्य करने वाला एक प्रोसेसर है, विनियमन (ईयू) 2016/679 या विनियमन (ईयू) 2018/1725 के तहत नियंत्रक की देयता के लिए, जैसा लागू हो।
  4. पार्टियां इस बात से सहमत हैं कि यदि डेटा आयातक (या उसके सब-प्रोसेसर) के कारण होने वाले नुकसान के लिए डेटा निर्यातक को पैराग्राफ (सी) के तहत उत्तरदायी ठहराया जाता है, तो वह डेटा आयातक से मुआवजे के उस हिस्से का दावा करने का हकदार होगा जो संबंधित है नुकसान के लिए डेटा आयातक की जिम्मेदारी।
  5. जहां इन क्लॉज के उल्लंघन के परिणामस्वरूप डेटा विषय को हुए किसी भी नुकसान के लिए एक से अधिक पक्ष जिम्मेदार हैं, सभी जिम्मेदार पक्ष संयुक्त रूप से और गंभीर रूप से उत्तरदायी होंगे और डेटा विषय इनमें से किसी के खिलाफ अदालत में कार्रवाई करने का हकदार है। दलों।
  6. पार्टियां इस बात से सहमत हैं कि यदि एक पार्टी को पैराग्राफ (ई) के तहत उत्तरदायी ठहराया जाता है, तो वह दूसरे पक्ष/यों से मुआवजे के उस हिस्से का दावा करने का हकदार होगा जो क्षति के लिए उसकी/उनकी जिम्मेदारी के अनुरूप है।
  7. डेटा आयातक अपने स्वयं के दायित्व से बचने के लिए उप-प्रोसेसर के आचरण का आह्वान नहीं कर सकता है।

खंड 13

पर्यवेक्षण

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. [जहां डेटा निर्यातक यूरोपीय संघ के सदस्य राज्य में स्थापित किया गया है:] पर्यवेक्षी प्राधिकरण डेटा निर्यातक द्वारा विनियमन (ईयू) 2016/679 के साथ अनुपालन सुनिश्चित करने की जिम्मेदारी के साथ, जैसा कि अनुबंध आईसी में दर्शाया गया है, डेटा हस्तांतरण के संबंध में सक्षम के रूप में कार्य करेगा। पर्यवेक्षी प्राधिकरण। [जहां डेटा निर्यातक यूरोपीय संघ के सदस्य राज्य में स्थापित नहीं है, लेकिन इसके अनुच्छेद 2016(679) के अनुसार विनियमन (ईयू) 3/2 के आवेदन के क्षेत्रीय दायरे में आता है और अनुच्छेद 27(1) के अनुसार एक प्रतिनिधि नियुक्त किया है ) विनियम (ईयू) 2016/679:] सदस्य राज्य का पर्यवेक्षी प्राधिकरण जिसमें प्रतिनिधि विनियमन (ईयू) 27/1 के अनुच्छेद 2016(679) के अर्थ में स्थापित है, जैसा कि अनुबंध आईसी में दर्शाया गया है, कार्य करेगा। सक्षम पर्यवेक्षी प्राधिकारी के रूप में। [जहां डेटा निर्यातक यूरोपीय संघ के सदस्य राज्य में स्थापित नहीं है, लेकिन इसके अनुच्छेद 2016(679) के अनुसार विनियमन (ईयू) 3/2 के आवेदन के क्षेत्रीय दायरे में आता है, हालांकि अनुच्छेद 27 के अनुसार एक प्रतिनिधि नियुक्त किए बिना (2) विनियमन (ईयू) 2016/679:] सदस्य राज्यों में से एक का पर्यवेक्षी प्राधिकरण जिसमें डेटा विषय जिसका व्यक्तिगत डेटा इन क्लॉज के तहत उन्हें माल या सेवाओं की पेशकश के संबंध में स्थानांतरित किया जाता है, या जिनके व्यवहार की निगरानी की जाती है, स्थित हैं, जैसा कि अनुलग्नक आईसी में दर्शाया गया है, सक्षम पर्यवेक्षी प्राधिकारी के रूप में कार्य करेगा।
  2. डेटा आयातक इन क्लॉज के अनुपालन को सुनिश्चित करने के उद्देश्य से किसी भी प्रक्रिया में सक्षम पर्यवेक्षी प्राधिकारी के अधिकार क्षेत्र में खुद को प्रस्तुत करने और सहयोग करने के लिए सहमत है। विशेष रूप से, डेटा आयातक जांच का जवाब देने, ऑडिट के लिए प्रस्तुत करने और पर्यवेक्षी प्राधिकरण द्वारा अपनाए गए उपायों का पालन करने के लिए सहमत है, जिसमें उपचारात्मक और प्रतिपूरक उपाय शामिल हैं। यह पर्यवेक्षी प्राधिकारी को लिखित पुष्टि प्रदान करेगा कि आवश्यक कार्रवाई की गई है।

खंड III - सार्वजनिक प्राधिकरणों द्वारा पहुंच के मामले में स्थानीय कानून और दायित्व

खंड 14

क्लाजों के अनुपालन को प्रभावित करने वाले स्थानीय कानून और प्रथाएं

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

(जहां ईयू प्रोसेसर तीसरे देश-नियंत्रक से प्राप्त व्यक्तिगत डेटा को ईयू में प्रोसेसर द्वारा एकत्र किए गए व्यक्तिगत डेटा के साथ जोड़ता है)
  1. पार्टियां वारंट करती हैं कि उनके पास यह मानने का कोई कारण नहीं है कि डेटा आयातक द्वारा व्यक्तिगत डेटा के प्रसंस्करण के लिए लागू गंतव्य के तीसरे देश में कानून और प्रथाएं, व्यक्तिगत डेटा का खुलासा करने के लिए किसी भी आवश्यकता सहित या सार्वजनिक अधिकारियों द्वारा पहुंच को अधिकृत करने वाले उपायों को रोकें। डेटा आयातक को इन क्लॉज के तहत अपने दायित्वों को पूरा करने से रोकता है। यह इस समझ पर आधारित है कि ऐसे कानून और प्रथाएं जो मौलिक अधिकारों और स्वतंत्रता के सार का सम्मान करती हैं और जो एक लोकतांत्रिक समाज में विनियमन (ईयू) के अनुच्छेद 23 (1) में सूचीबद्ध उद्देश्यों में से एक की रक्षा के लिए आवश्यक और आनुपातिक से अधिक नहीं है। ) 2016/679, इन खण्डों के विपरीत नहीं हैं।
  2. पार्टियां घोषणा करती हैं कि पैराग्राफ (ए) में वारंटी प्रदान करने में, उन्होंने निम्नलिखित तत्वों का विशेष रूप से ध्यान रखा है:
    1. हस्तांतरण की विशिष्ट परिस्थितियाँ, प्रसंस्करण श्रृंखला की लंबाई, शामिल अभिनेताओं की संख्या और उपयोग किए गए प्रसारण चैनलों सहित; इरादा आगे स्थानांतरण; प्राप्तकर्ता का प्रकार; प्रसंस्करण का उद्देश्य; हस्तांतरित व्यक्तिगत डेटा की श्रेणियां और प्रारूप; आर्थिक क्षेत्र जिसमें स्थानांतरण होता है; स्थानांतरित डेटा का भंडारण स्थान;
    2. गंतव्य के तीसरे देश के कानून और प्रथाएं- जिनमें सार्वजनिक प्राधिकरणों को डेटा के प्रकटीकरण की आवश्यकता होती है या ऐसे अधिकारियों द्वारा पहुंच को अधिकृत करना शामिल है - स्थानांतरण की विशिष्ट परिस्थितियों और लागू सीमाओं और सुरक्षा उपायों के आलोक में प्रासंगिक;
    3. इन क्लॉज के तहत सुरक्षा उपायों के पूरक के लिए कोई भी प्रासंगिक संविदात्मक, तकनीकी या संगठनात्मक सुरक्षा उपाय किए गए हैं, जिसमें ट्रांसमिशन के दौरान लागू किए गए उपाय और गंतव्य देश में व्यक्तिगत डेटा के प्रसंस्करण शामिल हैं।
  3. डेटा आयातक वारंट करता है कि, पैराग्राफ (बी) के तहत मूल्यांकन करने में, उसने डेटा निर्यातक को प्रासंगिक जानकारी प्रदान करने के लिए अपना सर्वश्रेष्ठ प्रयास किया है और इस बात से सहमत है कि वह इन क्लॉज का अनुपालन सुनिश्चित करने में डेटा निर्यातक के साथ सहयोग करना जारी रखेगा।
  4. पार्टियां पैराग्राफ (बी) के तहत मूल्यांकन का दस्तावेजीकरण करने और अनुरोध पर सक्षम पर्यवेक्षी प्राधिकारी को उपलब्ध कराने के लिए सहमत हैं।
  5. डेटा आयातक डेटा निर्यातक को तुरंत सूचित करने के लिए सहमत होता है, यदि, इन क्लाजों से सहमत होने के बाद और अनुबंध की अवधि के लिए, उसके पास यह मानने का कारण है कि यह कानून या प्रथाओं के अधीन है या हो गया है जो पैराग्राफ के तहत आवश्यकताओं के अनुरूप नहीं है। (ए), तीसरे देश के कानूनों में बदलाव या एक उपाय (जैसे एक प्रकटीकरण अनुरोध) सहित व्यवहार में ऐसे कानूनों के आवेदन को दर्शाता है जो पैराग्राफ (ए) में आवश्यकताओं के अनुरूप नहीं है। [मॉड्यूल तीन के लिए: डेटा निर्यातक नियंत्रक को अधिसूचना अग्रेषित करेगा।]
  6. पैराग्राफ (ई) के अनुसार अधिसूचना के बाद, या यदि डेटा निर्यातक के पास अन्यथा विश्वास करने का कारण है कि डेटा आयातक अब इन क्लॉज के तहत अपने दायित्वों को पूरा नहीं कर सकता है, तो डेटा निर्यातक तुरंत उचित उपायों की पहचान करेगा (उदाहरण के लिए तकनीकी या संगठनात्मक उपाय सुनिश्चित करने के लिए सुरक्षा और गोपनीयता) को स्थिति को संबोधित करने के लिए डेटा निर्यातक और/या डेटा आयातक द्वारा अपनाया जाना चाहिए [मॉड्यूल तीन के लिए:, यदि नियंत्रक के परामर्श से उपयुक्त हो]। डेटा निर्यातक डेटा स्थानांतरण को निलंबित कर देगा यदि उसे लगता है कि इस तरह के हस्तांतरण के लिए कोई उपयुक्त सुरक्षा उपाय सुनिश्चित नहीं किया जा सकता है, या यदि ऐसा करने के लिए सक्षम पर्यवेक्षी प्राधिकारी द्वारा [मॉड्यूल तीन के लिए: नियंत्रक या] निर्देश दिया गया है। इस मामले में, डेटा निर्यातक अनुबंध को समाप्त करने का हकदार होगा, जहां तक ​​यह इन क्लॉज के तहत व्यक्तिगत डेटा के प्रसंस्करण से संबंधित है। यदि अनुबंध में दो से अधिक पक्ष शामिल हैं, तो डेटा निर्यातक केवल संबंधित पार्टी के संबंध में समाप्ति के इस अधिकार का प्रयोग कर सकता है, जब तक कि पार्टियां अन्यथा सहमत न हों। जहां इस खंड के अनुसार अनुबंध समाप्त किया गया है, खंड 16 (डी) और (ई) लागू होंगे।

खंड 15

सार्वजनिक प्राधिकरणों द्वारा उपयोग के मामले में डेटा आयातक की बाध्यता

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

(जहां ईयू प्रोसेसर तीसरे देश-नियंत्रक से प्राप्त व्यक्तिगत डेटा को ईयू में प्रोसेसर द्वारा एकत्र किए गए व्यक्तिगत डेटा के साथ जोड़ता है)

  1. अधिसूचना

      1. डेटा आयातक डेटा निर्यातक को सूचित करने के लिए सहमत होता है और, जहां संभव हो, डेटा विषय तुरंत (यदि आवश्यक हो तो डेटा निर्यातक की मदद से) यदि यह:
        1. इन खण्डों के अनुसार हस्तांतरित व्यक्तिगत डेटा के प्रकटीकरण के लिए गंतव्य देश के कानूनों के तहत न्यायिक अधिकारियों सहित एक सार्वजनिक प्राधिकरण से कानूनी रूप से बाध्यकारी अनुरोध प्राप्त करता है; इस तरह की अधिसूचना में अनुरोधित व्यक्तिगत डेटा, अनुरोध करने वाले प्राधिकारी, अनुरोध के लिए कानूनी आधार और प्रदान की गई प्रतिक्रिया के बारे में जानकारी शामिल होगी; या
        2. गंतव्य देश के कानूनों के अनुसार इन क्लाजों के अनुसार हस्तांतरित व्यक्तिगत डेटा तक सार्वजनिक प्राधिकरणों द्वारा किसी भी सीधी पहुंच के बारे में जागरूक हो जाता है; ऐसी अधिसूचना में आयातक के लिए उपलब्ध सभी सूचनाएं शामिल होंगी।
    [मॉड्यूल तीन के लिए: डेटा निर्यातक नियंत्रक को अधिसूचना अग्रेषित करेगा।]
    1. यदि डेटा आयातक को गंतव्य देश के कानूनों के तहत डेटा निर्यातक और/या डेटा विषय को सूचित करने से प्रतिबंधित किया जाता है, तो डेटा आयातक अधिक से अधिक संचार करने की दृष्टि से निषेध की छूट प्राप्त करने के लिए अपने सर्वोत्तम प्रयासों का उपयोग करने के लिए सहमत होता है। जितनी जल्दी हो सके जानकारी। डेटा आयातक डेटा निर्यातक के अनुरोध पर उन्हें प्रदर्शित करने में सक्षम होने के लिए अपने सर्वोत्तम प्रयासों का दस्तावेजीकरण करने के लिए सहमत होता है।
    2. जहां गंतव्य देश के कानूनों के तहत अनुमति है, डेटा आयातक अनुबंध की अवधि के लिए नियमित अंतराल पर डेटा निर्यातक को प्राप्त अनुरोधों पर यथासंभव प्रासंगिक जानकारी प्रदान करने के लिए सहमत होता है (विशेष रूप से, अनुरोधों की संख्या, अनुरोध किए गए डेटा का प्रकार, अनुरोध करने वाले प्राधिकारी/यों, क्या अनुरोधों को चुनौती दी गई है और ऐसी चुनौतियों का परिणाम, आदि)। [मॉड्यूल तीन के लिए: डेटा निर्यातक नियंत्रक को सूचना अग्रेषित करेगा।]
    3. डेटा आयातक अनुबंध की अवधि के लिए पैराग्राफ (ए) से (सी) के अनुसार जानकारी को संरक्षित करने और अनुरोध पर सक्षम पर्यवेक्षी प्राधिकारी को उपलब्ध कराने के लिए सहमत है।
    4. पैराग्राफ (ए) से (सी) डेटा आयातक के क्लॉज 14 (ई) और क्लॉज 16 के अनुसार डेटा एक्सपोर्टर को तुरंत सूचित करने की बाध्यता के बिना पूर्वाग्रह के बिना हैं, जहां वह इन क्लॉज का पालन करने में असमर्थ है।

  2. वैधता और डेटा न्यूनीकरण की समीक्षा

    1. डेटा आयातक प्रकटीकरण के अनुरोध की वैधता की समीक्षा करने के लिए सहमत है, विशेष रूप से क्या यह अनुरोध करने वाले सार्वजनिक प्राधिकरण को दी गई शक्तियों के भीतर रहता है, और अनुरोध को चुनौती देने के लिए, यदि सावधानीपूर्वक मूल्यांकन के बाद, यह निष्कर्ष निकाला जाता है कि विचार करने के लिए उचित आधार हैं अनुरोध गंतव्य देश के कानूनों, अंतरराष्ट्रीय कानून के तहत लागू दायित्वों और अंतरराष्ट्रीय समुदाय के सिद्धांतों के तहत गैरकानूनी है। डेटा आयातक, उन्हीं शर्तों के तहत, अपील की संभावनाओं का पीछा करेगा। किसी अनुरोध को चुनौती देते समय, डेटा आयातक तब तक अनुरोध के प्रभावों को निलंबित करने की दृष्टि से अंतरिम उपायों की मांग करेगा जब तक कि सक्षम न्यायिक प्राधिकारी ने इसके गुण-दोष पर निर्णय नहीं लिया हो। यह लागू प्रक्रियात्मक नियमों के तहत ऐसा करने के लिए आवश्यक होने तक अनुरोधित व्यक्तिगत डेटा का खुलासा नहीं करेगा। ये अपेक्षाएं क्लॉज 14(ई) के तहत डेटा आयातक के दायित्वों पर प्रतिकूल प्रभाव डाले बिना हैं।
    2. डेटा आयातक अपने कानूनी मूल्यांकन और प्रकटीकरण के अनुरोध के लिए किसी भी चुनौती का दस्तावेजीकरण करने और गंतव्य देश के कानूनों के तहत अनुमत सीमा तक डेटा निर्यातक को दस्तावेज उपलब्ध कराने के लिए सहमत है। यह अनुरोध पर सक्षम पर्यवेक्षी प्राधिकारी को भी उपलब्ध कराएगा। [मॉड्यूल तीन के लिए: डेटा निर्यातक नियंत्रक को निर्धारण उपलब्ध कराएगा।]
    3. डेटा आयातक अनुरोध की उचित व्याख्या के आधार पर प्रकटीकरण के अनुरोध का जवाब देते समय अनुमत न्यूनतम मात्रा में जानकारी प्रदान करने के लिए सहमत होता है।

खंड IV - अंतिम प्रावधान

खंड 16

क्लॉज और टर्मिनेशन का पालन न करना

  1. डेटा आयातक डेटा निर्यातक को तुरंत सूचित करेगा यदि वह किसी भी कारण से इन क्लाजों का पालन करने में असमर्थ है।
  2. इस घटना में कि डेटा आयातक इन क्लॉज़ का उल्लंघन कर रहा है या इन क्लॉज़ का पालन करने में असमर्थ है, डेटा निर्यातक डेटा आयातक को व्यक्तिगत डेटा के हस्तांतरण को तब तक निलंबित कर देगा जब तक कि अनुपालन फिर से सुनिश्चित नहीं हो जाता है या अनुबंध समाप्त नहीं हो जाता है। यह खंड 14 (एफ) के पूर्वाग्रह के बिना है।
  3. डेटा निर्यातक अनुबंध को समाप्त करने का हकदार होगा, जहां तक ​​यह इन क्लॉज के तहत व्यक्तिगत डेटा के प्रसंस्करण से संबंधित है, जहां:
    1. डेटा निर्यातक ने पैराग्राफ (बी) के अनुसार डेटा आयातक को व्यक्तिगत डेटा के हस्तांतरण को निलंबित कर दिया है और इन क्लॉज़ का अनुपालन उचित समय के भीतर और किसी भी स्थिति में निलंबन के एक महीने के भीतर बहाल नहीं किया गया है;
    2. डेटा आयातक इन क्लाजों का पर्याप्त या लगातार उल्लंघन कर रहा है; या
    3. डेटा आयातक इन क्लॉज के तहत अपने दायित्वों के संबंध में एक सक्षम अदालत या पर्यवेक्षी प्राधिकरण के बाध्यकारी निर्णय का पालन करने में विफल रहता है।
    इन मामलों में, यह सक्षम पर्यवेक्षी प्राधिकारी [मॉड्यूल तीन के लिए: और नियंत्रक] को ऐसे गैर-अनुपालन के बारे में सूचित करेगा। जहां अनुबंध में दो से अधिक पक्ष शामिल हैं, डेटा निर्यातक केवल संबंधित पार्टी के संबंध में समाप्ति के इस अधिकार का प्रयोग कर सकता है, जब तक कि पार्टियां अन्यथा सहमत न हों।
  4. [मॉड्यूल एक, दो और तीन के लिए: व्यक्तिगत डेटा जो पैराग्राफ (सी) के अनुसार अनुबंध की समाप्ति से पहले स्थानांतरित किया गया है, डेटा निर्यातक की पसंद पर तुरंत डेटा निर्यातक को वापस कर दिया जाएगा या पूरी तरह से हटा दिया जाएगा। यह डेटा की किसी भी प्रतियों पर लागू होगा।] [मॉड्यूल चार के लिए: यूरोपीय संघ में डेटा निर्यातक द्वारा एकत्र किया गया व्यक्तिगत डेटा जिसे पैराग्राफ (सी) के अनुसार अनुबंध की समाप्ति से पहले स्थानांतरित कर दिया गया है, को तुरंत इसके में हटा दिया जाएगा। संपूर्ण, उसकी किसी भी प्रति सहित।] डेटा आयातक डेटा निर्यातक को डेटा के विलोपन को प्रमाणित करेगा। जब तक डेटा हटाया या लौटाया नहीं जाता, तब तक डेटा आयातक इन शर्तों का अनुपालन सुनिश्चित करना जारी रखेगा। डेटा आयातक पर लागू स्थानीय कानूनों के मामले में, जो स्थानांतरित किए गए व्यक्तिगत डेटा की वापसी या विलोपन को प्रतिबंधित करता है, डेटा आयातक वारंट करता है कि वह इन क्लॉज़ का अनुपालन सुनिश्चित करना जारी रखेगा और केवल उस सीमा तक और जब तक डेटा को संसाधित करेगा उस स्थानीय कानून के तहत आवश्यक है।
  5. कोई भी पक्ष इन क्लॉज से बाध्य होने के लिए अपने समझौते को रद्द कर सकता है जहां (i) यूरोपीय आयोग विनियमन (ईयू) 45/3 के अनुच्छेद 2016(679) के अनुसार एक निर्णय को अपनाता है जिसमें व्यक्तिगत डेटा के हस्तांतरण को शामिल किया गया है, जिस पर ये क्लॉज लागू होते हैं; या (ii) विनियमन (ईयू) 2016/679 उस देश के कानूनी ढांचे का हिस्सा बन जाता है जिसमें व्यक्तिगत डेटा स्थानांतरित किया जाता है। यह विनियमन (ईयू) 2016/679 के तहत विचाराधीन प्रसंस्करण पर लागू होने वाले अन्य दायित्वों पर प्रतिकूल प्रभाव डाले बिना है।

खंड 17

शासकीय कानून

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

[विकल्प 1: ये खंड यूरोपीय संघ के सदस्य राज्यों में से एक के कानून द्वारा शासित होंगे, बशर्ते ऐसा कानून तीसरे पक्ष के लाभार्थी अधिकारों की अनुमति देता हो। पक्ष सहमत हैं कि यह नीदरलैंड का कानून होगा। [विकल्प 2 (मॉड्यूल दो और तीन के लिए): ये खंड यूरोपीय संघ के सदस्य राज्य के कानून द्वारा शासित होंगे जिसमें डेटा निर्यातक स्थापित है। जहां ऐसा कानून तीसरे पक्ष के लाभार्थी अधिकारों की अनुमति नहीं देता है, वे दूसरे यूरोपीय संघ के सदस्य राज्य के कानून द्वारा शासित होंगे जो तीसरे पक्ष के लाभार्थी अधिकारों की अनुमति देता है। पक्ष सहमत हैं कि यह नीदरलैंड का कानून होगा।

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

ये खंड तीसरे पक्ष के लाभार्थी अधिकारों की अनुमति देने वाले देश के कानून द्वारा शासित होंगे। पक्ष सहमत हैं कि यह नीदरलैंड का कानून होगा।

खंड 18

मंच और अधिकार क्षेत्र का चुनाव

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

  1. इन खण्डों से उत्पन्न होने वाले किसी भी विवाद का समाधान यूरोपीय संघ के सदस्य राज्य की अदालतों द्वारा किया जाएगा।
  2. पक्ष सहमत हैं कि वे नीदरलैंड की अदालतें होंगी।
  3. एक डेटा विषय डेटा निर्यातक और/या डेटा आयातक के खिलाफ सदस्य राज्य की अदालतों के समक्ष कानूनी कार्यवाही भी ला सकता है, जिसमें उसका अभ्यस्त निवास है।
  4. पार्टियां ऐसी अदालतों के अधिकार क्षेत्र में खुद को प्रस्तुत करने के लिए सहमत हैं।

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

इन खण्डों से उत्पन्न होने वाले किसी भी विवाद का समाधान नीदरलैंड की अदालतों द्वारा किया जाएगा।

मानक अनुबंध खण्डों का परिशिष्ट

अनुबंध I मानक संविदात्मक खण्डों के लिए

क. स्थानांतरण का विवरण

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

मॉड्यूल चार: प्रोसेसर को नियंत्रक में स्थानांतरित करें

डेटा विषयों की श्रेणियां जिनका व्यक्तिगत डेटा स्थानांतरित किया जाता है सभी डेटा निर्यातक के कर्मचारी, एजेंट, सलाहकार, उप-ठेकेदार या ग्राहक के चैनल के संपर्क व्यक्ति, साझेदार, ग्राहक, संभावनाएं, व्यावसायिक भागीदार और विक्रेता, और ग्राहक के समापन बिंदु के किसी भी अन्य उपयोगकर्ता जिसमें डिलिवरेबल्स स्थापित हैं, या डिलिवरेबल्स के अन्य अधिकृत उपयोगकर्ता। स्थानांतरित किए गए व्यक्तिगत डेटा की श्रेणियां व्यक्तिगत डेटा स्थानांतरित डेटा की निम्नलिखित श्रेणियों से संबंधित है
  1. ग्राहक कंपनी का विवरण; ग्राहक प्रतिनिधियों के शीर्षक, ईमेल, फोन नंबर और नाम; बिलिंग जानकारी; व्यवसाय जानकारी; और अन्य डेटा या जानकारी जो क्लाइंट स्टेलर साइबर को डिलिवरेबल्स या किसी अन्य माध्यम या तंत्र के माध्यम से प्रदान करने का निर्णय लेता है।
  2. उपयोगकर्ता और एंडपॉइंट डेटा: एजेंट आईडी, एंडपॉइंट नाम, ग्राहक सक्रिय निर्देशिका उपयोगकर्ता आईडी, उपयोगकर्ता नाम, इंस्टॉल किए गए एप्लिकेशन - इंस्टॉलेशन समय, आकार, प्रकाशक और संस्करण, एसएमटीपी उपयोगकर्ता नाम, सक्रिय निर्देशिका एकीकरण से संबंधित कॉन्फ़िगरेशन डेटा।
  3. फ़ाइल पूर्ण पथ: केवल व्यक्तिगत डेटा शामिल होगा यदि क्लाइंट द्वारा नामित फ़ाइल नाम में डेटा शामिल है।
  4. नेटवर्क डेटा (आंतरिक नेटवर्क आईपी पता, सार्वजनिक आईपी पता, मैक पता)।
  5. पुनर्निर्मित फ़ाइलें: नेटवर्क पर पुनर्निर्मित फ़ाइलें।
  6. प्रबंधन कंसोल (उपयोगकर्ता नाम, ईमेल और फोन नंबर) से प्राप्त सिस्टम सेटिंग्स।
  7. खतरे की जानकारी (फ़ाइल पथ, घुसपैठ का पता लगाने वाले हस्ताक्षर, (जिसमें उपयोगकर्ता नाम, आईपी पते, फ़ाइल नाम शामिल हो सकते हैं)।
  8. लाइव नेटवर्क मॉनिटरिंग (यूआरएल, यूआरएल हेडर, टाइम स्टैम्प)।
  9. जहां क्लाइंट स्टेलर साइबर की फाइल फ़ेचिंग सुविधा को ट्रिगर करता है: क्लाइंट के व्यवस्थापक द्वारा प्राप्त की गई फ़ाइलों में निहित कोई भी डेटा।
संवेदनशील डेटा स्थानांतरित (यदि लागू हो) और लागू प्रतिबंध या सुरक्षा उपाय जो पूरी तरह से डेटा की प्रकृति और इसमें शामिल जोखिमों को ध्यान में रखते हैं, जैसे कि सख्त उद्देश्य सीमा, पहुंच प्रतिबंध (केवल विशेष प्रशिक्षण का पालन करने वाले कर्मचारियों के लिए पहुंच सहित), रखते हुए डेटा तक पहुंच का रिकॉर्ड, आगे के स्थानान्तरण के लिए प्रतिबंध या अतिरिक्त सुरक्षा उपाय। लागू नहीं। स्थानांतरण की आवृत्ति (उदाहरण के लिए कि क्या डेटा एकबारगी या निरंतर आधार पर स्थानांतरित किया जाता है)। समझौते की अवधि के दौरान डेटा का स्थानांतरण निरंतर होता है डेटा ट्रांसफर और आगे की प्रक्रिया का उद्देश्य स्टेलर साइबर क्लाइंट को डिलिवरेबल्स प्रदान करने के लिए लगा हुआ है जिसमें व्यक्तिगत डेटा का प्रसंस्करण शामिल है। डिलिवरेबल्स का दायरा अनुबंध में निर्धारित किया गया है, और व्यक्तिगत डेटा को स्टेलर साइबर द्वारा संसाधित किया जाएगा, ताकि उन डिलिवरेबल्स को वितरित किया जा सके और समझौते और इस परिशिष्ट की शर्तों का पालन किया जा सके। वह अवधि जिसके लिए व्यक्तिगत डेटा को बनाए रखा जाएगा, या, यदि यह संभव नहीं है, तो उस अवधि को निर्धारित करने के लिए उपयोग किए जाने वाले मानदंड प्रसंस्करण की अवधि होगी: अनुबंध की समाप्ति/समाप्ति तक, या (ii) क्लाइंट द्वारा कुछ या सभी व्यक्तिगत डेटा के लिए हटाने का अनुरोध प्राप्त होने से 30 दिन। (उप-) प्रोसेसर में स्थानान्तरण के लिए, विषय वस्तु, प्रकृति और प्रसंस्करण की अवधि भी निर्दिष्ट करें स्टेलर साइबर अपने बुनियादी ढांचे के माहौल, दूरसंचार और नेटवर्किंग सेवाओं के स्थानीय और अंतरराष्ट्रीय प्रदाताओं, डेटा भंडारण और सामग्री वितरण सामग्री में लगी संस्थाओं का समर्थन करने के लिए उप-प्रोसेसर का उपयोग करता है। उप-प्रोसेसर द्वारा संसाधित व्यक्तिगत डेटा को प्रासंगिक तारकीय साइबर सेवा समझौते या आदेश देने वाले दस्तावेज़ के उद्देश्यों और अवधि के लिए संसाधित किया जाता है। अधिक जानकारी के लिए, SCCs के अनुलग्नक III में स्टेलर साइबर की सबप्रोसेसरों की सूची देखें।

बी सक्षम पर्यवेक्षी प्राधिकरण

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

खंड 13 . के अनुसार सक्षम पर्यवेक्षी प्राधिकरणों की पहचान करें विनियमन (ईयू) 2016/679 के अनुसार डेटा स्थानांतरण से संबंधित मामलों के लिए: नीदरलैंड के ऑटोराइटिट पर्सोन्गेवेन्स: https://www.autoriteitpersoonsgegevens.nl/en

मानक अनुबंध शर्तों का अनुबंध II - डेटा की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपाय सहित

मॉड्यूल एक: नियंत्रक को नियंत्रक में स्थानांतरित करें

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

डेटा आयातकों (किसी भी प्रासंगिक प्रमाणन सहित) द्वारा लागू किए गए तकनीकी और संगठनात्मक उपायों का विवरण, सुरक्षा के उचित स्तर को सुनिश्चित करने के लिए, प्रसंस्करण की प्रकृति, दायरे, संदर्भ और उद्देश्य और अधिकारों के जोखिमों को ध्यान में रखते हुए। और प्राकृतिक व्यक्तियों की स्वतंत्रता।
तकनीकी और संगठनात्मक उपायों में शामिल हैं, लेकिन डेटा की अनधिकृत पहुंच, उपयोग, संशोधन या प्रकटीकरण को रोकने के लिए चल रही गोपनीयता, अखंडता और डेटा की उपलब्धता सुनिश्चित करने के लिए निम्नलिखित उपायों तक सीमित नहीं होंगे:
  • डेटा प्रोसेसिंग तक पहुंच रखने वाले सभी कर्मियों पर पृष्ठभूमि जांच का प्रदर्शन, साथ ही रोजगार से पहले गैर-प्रकटीकरण प्रतिबद्धताओं और व्यावसायिक नैतिकता के हस्ताक्षर।
  • सुरक्षा और गोपनीयता जागरूकता प्रशिक्षण, सांगठनिक सुरक्षा नीतियों का पालन करने के लिए पावती और समझौते सहित, किराए पर सभी कर्मियों के लिए और उसके बाद सालाना।
  • सुरक्षा और गोपनीयता नीतियों, प्रक्रियाओं और योजनाओं के व्यापक सेट का रखरखाव, जिनकी कम से कम वार्षिक आधार पर समीक्षा की जाती है और सुरक्षा और गोपनीयता प्रथाओं के संबंध में संगठन को मार्गदर्शन प्रदान करते हैं; संभावित और मौजूदा सब-प्रोसेसर के मूल्यांकन के लिए प्रक्रियाएं यह सुनिश्चित करने के लिए कि उनके पास डेटा की चल रही गोपनीयता, अखंडता और उपलब्धता सुनिश्चित करने के लिए उपयुक्त तकनीकी और संगठनात्मक उपायों की क्षमता और प्रतिबद्धता है।
  • बाहरी और आंतरिक लेखा परीक्षा के माध्यम से डेटा के प्रसंस्करण, संचरण या भंडारण की सुरक्षा सुनिश्चित करने के लिए प्रशासनिक, तकनीकी और भौतिक सुरक्षा उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन के लिए एक प्रक्रिया।
  • अधिकृत तारकीय साइबर कर्मियों के अलावा डेटा की पहुंच, उपयोग, संशोधन या प्रकटीकरण को रोकना (1) डिलिवरेबल्स प्रदान करने और सेवा या तकनीकी समस्याओं को रोकने या संबोधित करने के लिए, (2) कानून द्वारा मजबूर, या (3) क्लाइंट स्पष्ट रूप से लिखित रूप में अनुमति देता है .
  • सुरक्षा घटना प्रबंधन ("सिक्योरिटी इंसिडेंट इवेंट मैनेजमेंट") के माध्यम से सुरक्षा लॉग की लॉगिंग और निगरानी।SIEMसंदिग्ध सिस्टम और/या उपयोगकर्ता व्यवहारों का पता चलने पर अलर्ट जारी करना; उद्योग-मानक दिशानिर्देशों के आधार पर नियमित रूप से कमजोरियों की पहचान, मूल्यांकन और वर्गीकरण के लिए प्रक्रियाएं और उपकरण।
  • पारगमन में डेटा का छद्म नाम या एन्क्रिप्शन और कुछ डिलिवरेबल्स के लिए उद्योग-मानक तंत्र का उपयोग करना।
  • डाटा प्रोसेसिंग यूनिट तक पहुंचने के लिए एमएफए और मजबूत पासवर्ड को सख्ती से लागू किया जाता है।
  • आपदा पुनर्प्राप्ति उद्देश्यों के लिए एक बैकअप समाधान बनाए रखते हुए क्लाइंट डेटा की उपलब्धता को प्रभावित करने वाली घटना की स्थिति में समय पर ढंग से ग्राहक डेटा की उपलब्धता और पहुंच को बहाल करने की क्षमता;
(उप-) प्रोसेसर में स्थानान्तरण के लिए, नियंत्रक को सहायता प्रदान करने में सक्षम होने के लिए (उप-) प्रोसेसर द्वारा किए जाने वाले विशिष्ट तकनीकी और संगठनात्मक उपायों का भी वर्णन करें, और एक प्रोसेसर से एक उप-प्रोसेसर में स्थानांतरण के लिए, डेटा निर्यातक
स्टेलर साइबर को अपने सबप्रोसेसरों को स्टेलर साइबर द्वारा अपनाए गए भौतिक रूप से समकक्ष तकनीकी और संगठनात्मक उपायों का पालन करने की आवश्यकता होती है।

अनुबंध III मानक अनुबंध खंड - उप-प्रोसेसरों की सूची

मॉड्यूल दो: नियंत्रक को प्रोसेसर में स्थानांतरित करें

मॉड्यूल तीन: प्रोसेसर को प्रोसेसर में स्थानांतरित करें

नियंत्रक ने निम्नलिखित उप-प्रोसेसर के उपयोग को अधिकृत किया है:
सत्ता सेवा का प्रकार इकाई देश
ओरेकल, इंक. इंफ्रास्ट्रक्चर-ए-ए-सर्विस संयुक्त राज्य अमेरिका। ग्राहक द्वारा चयनित क्षेत्र में स्थित डेटा केंद्र क्षेत्र।
ज़ेंडेस्क, इंक। ग्राहक सहयोग संयुक्त राज्य अमेरिका
सुस्त टेक्नोलॉजीज, इंक। ग्राहक सहयोग संयुक्त राज्य अमेरिका
Atlassian ग्राहक सहयोग संयुक्त राज्य अमेरिका
हेक्स टेक्नोलॉजीज व्यवसाय ज्ञान संयुक्त राज्य अमेरिका
Gainsight ग्राहक सहयोग संयुक्त राज्य अमेरिका
Mixpanel उत्पाद विश्लेषिकी संयुक्त राज्य अमेरिका

नियंत्रक ने निम्नलिखित उप-प्रोसेसर के उपयोग को अधिकृत किया है:

निम्नलिखित शर्तें मानक संविदात्मक खण्डों को केवल तभी पूरक करती हैं जब और हद तक मानक संविदात्मक खंड डेटा हस्तांतरण के संबंध में लागू होते हैं जो 19 जून 1992 के संघीय डेटा संरक्षण अधिनियम (स्विट्जरलैंड) के अधीन हैं:
  1. 'सदस्य राज्य' शब्द की व्याख्या इस तरह से की जाएगी कि स्विट्जरलैंड में डेटा विषय को इन क्लॉज के क्लॉज 18 (सी) के अनुसार अपने निवास स्थान (स्विट्जरलैंड) में क्लॉज के तहत अपने अधिकारों का प्रयोग करने की अनुमति मिल सके।

डेटा उत्पादन परिशिष्ट के लिए प्रदर्शनी 4

यूरोपीय संघ आयोग के मानक अनुबंध खंडों के लिए अंतर्राष्ट्रीय डेटा स्थानांतरण परिशिष्ट

यह परिशिष्ट प्रतिबंधित स्थानान्तरण करने वाले दलों के सूचना आयुक्त द्वारा जारी किया गया है। सूचना आयुक्त का मानना ​​है कि जब इसे कानूनी रूप से बाध्यकारी अनुबंध के रूप में दर्ज किया जाता है तो यह प्रतिबंधित स्थानान्तरण के लिए उपयुक्त सुरक्षा उपाय प्रदान करता है।

भाग 1: टेबल्स

तालिका 1: पार्टियां

आरंभ करने की तिथि
पार्टियों निर्यातक (जो प्रतिबंधित स्थानांतरण भेजता है) आयातक (जो प्रतिबंधित स्थानांतरण प्राप्त करता है)
पार्टियों का विवरण जैसा कि समझौते में निर्दिष्ट है। जैसा कि समझौते में निर्दिष्ट है।

तालिका 2: चयनित एससीसी, मॉड्यूल और चयनित खंड

परिशिष्ट EU SCCs स्वीकृत ईयू एससीसी का संस्करण, जिसमें यह प्रदर्शनी 4 संलग्न है, परिशिष्ट जानकारी सहित, नीचे विवरण दिया गया है:

तालिका 3: परिशिष्ट सूचना

"परिशिष्ट सूचना" का अर्थ है कि स्वीकृत ईयू एससीसी (पार्टियों के अलावा) के परिशिष्ट में निर्धारित चयनित मॉड्यूल के लिए प्रदान की जाने वाली जानकारी, और जो इस परिशिष्ट के लिए निर्धारित की गई है: सेंटिनलोन.com/legal/sccs/eu-c2p .

तालिका 4: स्वीकृत परिशिष्ट में परिवर्तन होने पर इस परिशिष्ट को समाप्त करना

स्वीकृत परिशिष्ट में परिवर्तन होने पर इस परिशिष्ट को समाप्त करना धारा 19 में निर्धारित अनुसार कौन से पक्ष इस परिशिष्ट को समाप्त कर सकते हैं:
  • आयात
  • निर्यातक

भाग 2: अनिवार्य खंड

  1. प्रत्येक पक्ष इस परिशिष्ट में निर्धारित नियमों और शर्तों से बाध्य होने के लिए सहमत होता है, बदले में दूसरा पक्ष भी इस परिशिष्ट से बाध्य होने के लिए सहमत होता है।
  2. हालांकि स्वीकृत ईयू एससीसी के अनुबंध 1ए और क्लॉज 7 के लिए पार्टियों द्वारा हस्ताक्षर की आवश्यकता होती है, प्रतिबंधित स्थानान्तरण करने के उद्देश्य से, पार्टियां इस परिशिष्ट में किसी भी तरह से प्रवेश कर सकती हैं जो उन्हें पार्टियों के लिए कानूनी रूप से बाध्यकारी बनाती है और डेटा विषयों को उनके लागू करने की अनुमति देती है। इस परिशिष्ट में निर्धारित अधिकार। इस परिशिष्ट में प्रवेश करने का वही प्रभाव होगा जो स्वीकृत ईयू एससीसी और स्वीकृत ईयू एससीसी के किसी भी हिस्से पर हस्ताक्षर करने के रूप में होगा।

इस परिशिष्ट की व्याख्या

जब यह परिशिष्ट स्वीकृत ईयू एससीसी में परिभाषित शर्तों का उपयोग करता है तो उन शर्तों का वही अर्थ होगा जो स्वीकृत ईयू एससीसी में है। इसके अलावा, निम्नलिखित शब्दों के निम्नलिखित अर्थ हैं: परिशिष्ट: यह अंतर्राष्ट्रीय डेटा स्थानांतरण परिशिष्ट जो इस परिशिष्ट से बना है जिसमें परिशिष्ट EU SCCs शामिल हैं। परिशिष्ट EU SCCs: स्वीकृत ईयू एससीसी का संस्करण, जिसमें यह परिशिष्ट संलग्न है, जैसा कि परिशिष्ट सूचना सहित तालिका 2 में दिया गया है। परिशिष्ट सूचना: जैसा कि तालिका 3 में दिया गया है। उपयुक्त सुरक्षा उपाय: व्यक्तिगत डेटा और डेटा विषयों के अधिकारों पर सुरक्षा का मानक, जो यूके डेटा सुरक्षा कानूनों द्वारा आवश्यक है, जब आप अनुच्छेद 46(2)(डी) यूके जीडीपीआर के तहत मानक डेटा सुरक्षा खंडों पर भरोसा करते हुए प्रतिबंधित स्थानांतरण कर रहे हैं। स्वीकृत परिशिष्ट: ICO द्वारा जारी टेम्प्लेट परिशिष्ट और 119 फरवरी 2018 को डेटा संरक्षण अधिनियम 2 के s2022A के अनुसार संसद के समक्ष रखा गया, क्योंकि इसे धारा 18 के तहत संशोधित किया गया है। स्वीकृत ईयू एससीसी: 2021 जून 914 के आयोग कार्यान्वयन निर्णय (ईयू) 4/2021 के अनुबंध में निर्धारित मानक संविदात्मक खंड। आईसीओ:सूचना आयुक्त। प्रतिबंधित स्थानांतरण: एक स्थानांतरण जो यूके जीडीपीआर के अध्याय V द्वारा कवर किया गया है। ब्रिटेन: ग्रेट ब्रिटेन और उत्तरी आयरलैंड का यूनाइटेड किंगडम। यूके डेटा सुरक्षा कानून:यूके जीडीपीआर और डेटा प्रोटेक्शन एक्ट 2018 सहित यूके में डेटा सुरक्षा, व्यक्तिगत डेटा, गोपनीयता और/या इलेक्ट्रॉनिक संचार के प्रसंस्करण से संबंधित सभी कानून समय-समय पर लागू होते हैं। यूके जीडीपीआर: जैसा कि डेटा प्रोटेक्शन एक्ट 3 की धारा 2018 में परिभाषित किया गया है।
  • इस परिशिष्ट की हमेशा इस तरह से व्याख्या की जानी चाहिए जो यूके डेटा सुरक्षा कानूनों के अनुरूप हो और ताकि यह उपयुक्त सुरक्षा प्रदान करने के लिए पार्टियों के दायित्वों को पूरा करे।
  • यदि परिशिष्ट ईयू एससीसी में शामिल प्रावधान स्वीकृत एससीसी में किसी भी तरह से संशोधन करते हैं जिसकी स्वीकृत ईयू एससीसी या स्वीकृत परिशिष्ट के तहत अनुमति नहीं है, तो इस तरह के संशोधनों को इस परिशिष्ट और स्वीकृत ईयू के समकक्ष प्रावधान में शामिल नहीं किया जाएगा। एससीसी उनकी जगह लेंगे।
  • यदि यूके डेटा सुरक्षा कानूनों और इस परिशिष्ट के बीच कोई असंगति या विरोध है, तो यूके डेटा सुरक्षा कानून लागू होते हैं।
  • यदि इस परिशिष्ट का अर्थ स्पष्ट नहीं है या एक से अधिक अर्थ हैं, तो वह अर्थ जो यूके के डेटा सुरक्षा कानूनों के साथ सबसे अधिक निकटता से मेल खाता है, लागू होता है।
  • कानून (या कानून के विशिष्ट प्रावधान) के किसी भी संदर्भ का मतलब है कि कानून (या विशिष्ट प्रावधान) जैसा कि समय के साथ बदल सकता है। इसमें शामिल है जहां कानून (या विशिष्ट प्रावधान) को समेकित किया गया है, फिर से अधिनियमित किया गया है और/या इस परिशिष्ट में प्रवेश करने के बाद प्रतिस्थापित किया गया है।

इस परिशिष्ट की व्याख्या

  • हालांकि स्वीकृत ईयू एससीसी के क्लॉज 5 में कहा गया है कि स्वीकृत ईयू एससीसी पार्टियों के बीच सभी संबंधित समझौतों पर हावी है, पार्टियां सहमत हैं कि, प्रतिबंधित ट्रांसफर के लिए, सेक्शन 10 में पदानुक्रम प्रबल होगा।
  • जहां स्वीकृत परिशिष्ट और परिशिष्ट EU SCCs (जैसा लागू हो) के बीच कोई असंगति या विरोध है, स्वीकृत परिशिष्ट परिशिष्ट EU SCCs को ओवरराइड करता है, सिवाय इसके कि जहां (और जहां तक) परिशिष्ट EU SCCs की असंगत या परस्पर विरोधी शर्तें प्रदान करती हैं डेटा विषयों के लिए अधिक सुरक्षा, जिस स्थिति में वे शर्तें स्वीकृत परिशिष्ट को ओवरराइड कर देंगी।
  • जहां इस परिशिष्ट में परिशिष्ट EU SCC शामिल हैं जिन्हें सामान्य डेटा संरक्षण विनियमन (EU) 2016/679 के अधीन स्थानान्तरण की सुरक्षा के लिए दर्ज किया गया है, तो पक्ष स्वीकार करते हैं कि इस परिशिष्ट में कुछ भी उन परिशिष्ट EU SCC को प्रभावित नहीं करता है।

EU SCCs का समावेश और परिवर्तन

इस परिशिष्ट में परिशिष्ट EU SCCs शामिल हैं जिन्हें आवश्यक सीमा तक संशोधित किया गया है ताकि:
  • साथ में वे डेटा निर्यातक द्वारा डेटा आयातक को किए गए डेटा ट्रांसफर के लिए काम करते हैं, उस हद तक यूके डेटा प्रोटेक्शन कानून डेटा ट्रांसफर करते समय डेटा निर्यातक के प्रसंस्करण पर लागू होते हैं, और वे उन डेटा ट्रांसफर के लिए उपयुक्त सुरक्षा उपाय प्रदान करते हैं;
  • धारा 9 से 11 परिशिष्ट ईयू एससीसी के खंड 5 (पदानुक्रम) को ओवरराइड करता है; तथा
  • यह परिशिष्ट (इसमें शामिल परिशिष्ट EU SCCs सहित) (1) इंग्लैंड और वेल्स के कानूनों द्वारा शासित है और (2) इससे उत्पन्न होने वाले किसी भी विवाद को इंग्लैंड और वेल्स की अदालतों द्वारा हल किया जाता है, प्रत्येक मामले में जब तक कि कानून और / या स्कॉटलैंड या उत्तरी आयरलैंड की अदालतों को पार्टियों द्वारा स्पष्ट रूप से चुना गया है।
जब तक पार्टियां धारा 12 की आवश्यकताओं को पूरा करने वाले वैकल्पिक संशोधनों पर सहमत नहीं होती हैं, तब तक धारा 15 के प्रावधान लागू होंगे। धारा 12 की आवश्यकताओं को पूरा करने के अलावा स्वीकृत ईयू एससीसी में कोई संशोधन नहीं किया जा सकता है। परिशिष्ट EU SCCs में निम्नलिखित संशोधन (धारा 12 के प्रयोजन के लिए) किए गए हैं:
  • "क्लॉज" के संदर्भ का अर्थ इस परिशिष्ट से है, जिसमें परिशिष्ट EU SCCs शामिल है;
खंड 2 में, शब्दों को हटा दें:
  • "और, नियंत्रकों से प्रोसेसर और/या प्रोसेसर से प्रोसेसर में डेटा स्थानांतरण के संबंध में, विनियमन (ईयू) 28/7 के अनुच्छेद 2016(679) के अनुसार मानक संविदात्मक खंड";
खंड 6 (स्थानांतरण का विवरण) को इसके साथ बदल दिया गया है:
  • "हस्तांतरण का विवरण और विशेष रूप से व्यक्तिगत डेटा की श्रेणियां जो स्थानांतरित की जाती हैं और जिस उद्देश्य के लिए उन्हें स्थानांतरित किया जाता है) वे अनुबंध आईबी में निर्दिष्ट हैं जहां यूके डेटा संरक्षण कानून डेटा निर्यातक के प्रसंस्करण पर लागू होते हैं जब वह स्थानांतरण कर रहा है।";
मॉड्यूल 8.7 के खंड 1(i) को इसके साथ बदल दिया गया है:
  • "यह यूके जीडीपीआर की धारा 17 ए के अनुसार पर्याप्तता नियमों से लाभान्वित होने वाले देश के लिए है जो आगे के हस्तांतरण को कवर करता है";
मॉड्यूल 8.8 और 2 के खंड 3 (i) को इसके साथ बदल दिया गया है:
  • "आगे स्थानांतरण यूके जीडीपीआर की धारा 17 ए के अनुसार पर्याप्तता नियमों से लाभान्वित होने वाले देश के लिए है जो आगे के हस्तांतरण को कवर करता है;"
"विनियमन (ईयू) 2016/679", "विनियमन (ईयू) 2016/679 यूरोपीय संसद और 27 अप्रैल 2016 की परिषद के संदर्भ में व्यक्तिगत डेटा के प्रसंस्करण और मुक्त आंदोलन के संबंध में प्राकृतिक व्यक्तियों की सुरक्षा पर ऐसे डेटा (जनरल डेटा प्रोटेक्शन रेगुलेशन)" और "उस रेगुलेशन" को "यूके डेटा प्रोटेक्शन लॉज़" से बदल दिया गया है। "विनियमन (ईयू) 2016/679" के विशिष्ट अनुच्छेदों के संदर्भों को यूके डेटा संरक्षण कानूनों के समकक्ष अनुच्छेद या धारा से बदल दिया गया है; विनियमन (ईयू) 2018/1725 के संदर्भ हटा दिए गए हैं; "यूरोपीय संघ", "संघ", "ईयू", "ईयू सदस्य राज्य", "सदस्य राज्य" और "ईयू या सदस्य राज्य" के संदर्भ सभी को "यूके" से बदल दिया गया है; मॉड्यूल एक के खंड 12(बी)(i) में "खंड 10(सी)(i)" के संदर्भ को "खंड 11(सी)(i)" से बदल दिया गया है; अनुबंध I के खंड 13 (ए) और भाग सी का उपयोग नहीं किया जाता है; "सक्षम पर्यवेक्षी प्राधिकरण" और "पर्यवेक्षी प्राधिकरण" दोनों को "सूचना आयुक्त" के साथ बदल दिया गया है; CIn खंड 16€, उपखंड (i) को इसके साथ बदल दिया गया है:
  • "राज्य सचिव डेटा संरक्षण अधिनियम 17 की धारा 2018A के अनुसार नियम बनाता है जो व्यक्तिगत डेटा के हस्तांतरण को कवर करता है जिस पर ये खंड लागू होते हैं;"
खंड 17 को इसके साथ बदल दिया गया है:
  • "ये क्लॉज इंग्लैंड और वेल्स के कानूनों द्वारा शासित हैं।";
खंड 18 को इसके साथ बदल दिया गया है:
  • "इन क्लॉज से उत्पन्न होने वाले किसी भी विवाद को इंग्लैंड और वेल्स की अदालतों द्वारा हल किया जाएगा। डेटा विषय यूके में किसी भी देश की अदालतों के समक्ष डेटा निर्यातक और/या डेटा आयातक के खिलाफ कानूनी कार्यवाही भी ला सकता है। पार्टियां ऐसी अदालतों के अधिकार क्षेत्र में खुद को प्रस्तुत करने के लिए सहमत हैं।"; तथा
स्वीकृत ईयू एससीसी के फ़ुटनोट, फ़ुटनोट 8, 9, 10 और 11 को छोड़कर, परिशिष्ट का हिस्सा नहीं हैं।

इस परिशिष्ट में संशोधन

  • पक्ष स्कॉटलैंड या उत्तरी आयरलैंड के कानूनों और/या अदालतों को संदर्भित करने के लिए परिशिष्ट ईयू एससीसी के खंड 17 और/या 18 को बदलने के लिए सहमत हो सकते हैं।
  • यदि पक्ष भाग 1 में शामिल जानकारी के प्रारूप में परिवर्तन चाहते हैं: स्वीकृत परिशिष्ट की तालिकाएँ, वे लिखित रूप में परिवर्तन के लिए सहमति देकर ऐसा कर सकते हैं, बशर्ते कि परिवर्तन उपयुक्त सुरक्षा उपायों को कम नहीं करता है।
समय-समय पर, ICO एक संशोधित स्वीकृत परिशिष्ट जारी कर सकता है जो:
  • स्वीकृत परिशिष्ट में उचित और आनुपातिक परिवर्तन करता है, जिसमें स्वीकृत परिशिष्ट में त्रुटियों को ठीक करना शामिल है; और/या
  • यूके डेटा सुरक्षा कानूनों में परिवर्तन को दर्शाता है;
संशोधित स्वीकृत परिशिष्ट उस प्रारंभ तिथि को निर्दिष्ट करेगा जिससे स्वीकृत परिशिष्ट में परिवर्तन प्रभावी हैं और क्या पार्टियों को परिशिष्ट जानकारी सहित इस परिशिष्ट की समीक्षा करने की आवश्यकता है। यह परिशिष्ट स्वचालित रूप से संशोधित स्वीकृत परिशिष्ट में निर्दिष्ट प्रारंभ तिथि से निर्धारित के रूप में संशोधित किया गया है। यदि ICO धारा 18 के तहत एक संशोधित स्वीकृत परिशिष्ट जारी करता है, यदि तालिका 4 में चयनित कोई भी पार्टी "अनुमोदित परिशिष्ट में परिवर्तन होने पर परिशिष्ट को समाप्त करना", स्वीकृत परिशिष्ट में परिवर्तनों के प्रत्यक्ष परिणाम के रूप में पर्याप्त, अनुपातहीन और प्रदर्शनकारी वृद्धि होगी में:
  • परिशिष्ट के तहत अपने दायित्वों को पूरा करने की इसकी प्रत्यक्ष लागत; और/या
  • परिशिष्ट के तहत इसका जोखिम, और किसी भी मामले में उसने पहले उन लागतों या जोखिमों को कम करने के लिए उचित कदम उठाए हैं ताकि यह पर्याप्त और अनुपातहीन न हो, तो वह पार्टी लिखित रूप में एक उचित नोटिस अवधि के अंत में इस परिशिष्ट को समाप्त कर सकती है। संशोधित स्वीकृत परिशिष्ट की आरंभ तिथि से पहले उस अवधि के लिए दूसरे पक्ष को नोटिस।
इस परिशिष्ट में परिवर्तन करने के लिए पार्टियों को किसी तीसरे पक्ष की सहमति की आवश्यकता नहीं है, लेकिन कोई भी परिवर्तन इसकी शर्तों के अनुसार किया जाना चाहिए।
ऊपर स्क्रॉल करें
न्यूज़लेटर्स के लिए साइन अप करें