DATA PROTECTION ADDENDUM

Addendum ng Proteksyon ng Data

Itong Data Protection Addendum ("adenda") kasabay ng iba pang mga dokumento, kabilang ang, ngunit hindi limitado sa, ang End User Agreement at ang Order ay bumubuo ng isang bahagi ng ("Kasunduan") sa pagitan ng Stellar Cyber Inc., at ng mga Affiliate nito ("Stellar Cyber") at ang Kliyente at ang mga Kaakibat nito ("kliyente"). Sumasang-ayon ang mga partido na itinakda ng Addendum na ito ang kanilang mga obligasyon kaugnay ng pagproseso at seguridad ng Data ng Kliyente kaugnay ng paggamit ng Kliyente sa Mga Naihahatid. Ang mga terminong tinukoy sa Addendum na ito ay magkakaroon ng mga kahulugang itinakda sa Addendum. Ang mga terminong naka-capitalize na hindi tinukoy dito ay magkakaroon ng kahulugang ibinigay sa kanila sa Kasunduan ng End User at/o sa Order. Maliban sa binago sa ibaba, ang mga tuntunin ng Kasunduan ay mananatiling ganap at may bisa. Bilang pagsasaalang-alang sa magkaparehong obligasyon na itinakda dito, ang mga partido ay sumasang-ayon na ang mga tuntunin at kundisyon na itinakda sa ibaba ay dapat idagdag bilang isang addendum sa Kasunduan. Maliban kung saan ang konteksto ay nangangailangan ng iba, ang mga sanggunian sa Addendum na ito sa Kasunduan ay sa Kasunduan bilang susugan ng, at kasama ang, Addendum na ito. Ang Addendum na ito, kasama ang mga Standard Contractual Clauses na makikita sa Exhibit 3, ay paunang nilagdaan ng Stellar Cyber. Sa pagtanggap ng Stellar Cyber ng isang wastong nakumpletong Addendum sa pamamagitan ng email na nakadirekta sa po@stellarcyber.ai, ang Addendum na ito ay magiging legal na may bisa, sa kondisyon na ang paunang nilagdaan na bersyon ng Addendum na ito ay magiging walang bisa kung may anumang mga pagbabagong ginawa dito nang lampas sa pagkumpleto ng Kliyente ng anumang kinakailangang pangunahing impormasyon sa pakikipag-ugnayan sa Mga Karaniwang Contractual Clause at mga signature box.

Kahulugan
1. Sa Addendum na ito, ang mga sumusunod na termino ay magkakaroon ng mga kahulugan na nakalagay sa ibaba at ang mga nauugnay na termino ay ipakahulugan nang naaayon:
  1. "Naaangkop na mga batas" ay nangangahulugang (a) European Data Protection Laws at (b) Non-European Data Protection Laws;
  2. “Kaakibat" ay nangangahulugang isang entity na nagmamay-ari o kumokontrol, ay pagmamay-ari o kinokontrol ng o ay o nasa ilalim ng karaniwang kontrol o pagmamay-ari sa isang partido dito, kung saan ang kontrol ay tinukoy bilang ang pagmamay-ari, direkta o hindi direkta, ng kapangyarihang magdirekta o magdulot ng direksyon ng pamamahala at mga patakaran ng isang entity, sa pamamagitan man ng pagmamay-ari ng mga security securities, sa pamamagitan ng kontrata o kung hindi man;
  3. "Personal na Data ng Kliyente" ay nangangahulugang anumang Personal na Data na Pinoproseso ng isang Kontratang Tagaproseso sa ngalan ng Kliyente alinsunod sa o may kaugnayan sa Kasunduan;
  4. "Kontrata na Processor" ay nangangahulugang Stellar Cyber o isang Stellar Cyber Subprocessor;
  5. "Mga Deliverable" nangangahulugang ang mga serbisyo at iba pang aktibidad na ibibigay o isasagawa ng o sa ngalan ng Stellar Cyber para sa Kliyente alinsunod sa Kasunduan;
  6. "EEA" nangangahulugang ang European Economic Area;
  7. "European Data Protection Laws" ay nangangahulugang, kung naaangkop: (i) ang GDPR; (ii) ang UK GDPR; at/o (iii) ang Swiss FDPA;
  8. "GDPR" ay nangangahulugang EU General Data Protection Regulation 2016/679;
  9. "Mga Batas sa Proteksyon ng Data na Hindi European" nangangahulugang lahat ng batas at regulasyon na nalalapat sa Stellar Cyber processing Client Personal Data sa ilalim ng Kasunduan na ipinapatupad sa labas ng EEA, UK, at Switzerland;
  10. "Restricted Transfer"ibig sabihin:
    1. isang paglilipat ng Personal na Data ng Kliyente mula sa Kliyente patungo sa isang Kontratang Tagaproseso; o
    2. isang pasulong na paglilipat ng Personal na Data ng Kliyente mula sa isang Kontratang Tagaproseso patungo sa isang Kontrata na Tagaproseso, o sa pagitan ng dalawang establisyemento ng isang Kontrata na Tagaproseso, sa bawat kaso, kung saan ang nasabing paglipat ay ipagbabawal ng Mga Naaangkop na Batas (o ng mga tuntunin ng mga kasunduan sa paglilipat ng data na inilagay sa lugar upang tugunan ang mga paghihigpit sa paglilipat ng data ng Mga Naaangkop na Batas) sa kawalan ng mga Standard Contractual Clause na itatatag sa ilalim ng seksyon 11 sa ibaba;
  11. "Mga Karaniwang Kontratwal na Sugnay" nangangahulugang ang mga contractual clause na itinakda sa Exhibit 3 para sa EU Data Subjects na matatagpuan sa EEA at Switzerland; at Exhibit 4 para sa Mga Paksa ng Data na matatagpuan sa United Kingdom;
  12. "Subprocessor" ay nangangahulugang sinumang tao (kabilang ang anumang third party, ngunit hindi kasama ang isang empleyado ng Stellar Cyber o alinman sa mga sub-contractor nito) na itinalaga ng o sa ngalan ng Stellar Cyber na Magproseso ng Personal na Data sa ngalan ng Kliyente kaugnay ng probisyon ng Stellar Cyber ng mga Deliverable sa ilalim ng ang Kasunduan; at
  13. "Swiss FDPA" ay nangangahulugan ng Federal Data Protection Act ng 19 Hunyo 1992 (Switzerland); at
  14. "UK GDPR" nangangahulugang ang EU GDPR bilang inamyenda at isinama sa batas ng UK sa ilalim ng UK European Union (Withdrawal) Act 2018, at naaangkop na pangalawang batas na ginawa sa ilalim nito.
2. Ang mga tuntunin, "Komisyon", "Controller", "Paksa ng Data", "Estado ng Miyembro", "Personal na Data", "Paglabag sa Personal na Data", "Pagproseso" at "Supervisory Authority" ay magkakaroon ng parehong kahulugan tulad ng sa GDPR, at ang kanilang mga kaugnay na termino ay ipakahulugan alinsunod dito.
Pagproseso ng Personal na Data ng Kliyente
1. Kung nalalapat ang European Data Protection Laws sa pagproseso ng Personal Data ng Kliyente:
  1. ang paksa at mga detalye ng pagproseso ay inilarawan sa Exhibit 1;
  2. Ang Stellar Cyber ay isang processor ng Personal na Data ng Kliyente sa ilalim ng European Data Protection Laws;
  3. Ang kliyente ay isang controller o processor ng Personal na Data ng Kliyente sa ilalim ng European Data Protection Laws;
  4. Ang bawat partido ay susunod sa mga obligasyong naaangkop dito sa ilalim ng European Data Protection Laws patungkol sa pagproseso ng Personal na Data ng Kliyente na iyon.
2. Kung ang mga Batas sa Proteksyon ng Data na Hindi European ay nalalapat sa pagpoproseso ng alinmang partido ng Personal na Data ng Kliyente, susunod ang may-katuturang partido sa anumang mga obligasyong naaangkop dito sa ilalim ng batas na iyon kaugnay sa pagproseso ng Personal na Data ng Kliyente na iyon.
3. Ang Stellar Cyber ay dapat:
  1. hindi nagpoproseso ng Personal na Data ng Kliyente maliban sa pagbibigay ng Mga Deliverable alinsunod sa Kasunduan (kabilang ang itinakda sa Addendum na ito at tulad ng inilarawan sa Exhibit 1 sa Addendum na ito), maliban kung ang pagproseso ay kinakailangan ng naaangkop na batas kung saan napapailalim ang nauugnay na Contracted Processor (ang "Pinapahintulutang Layunin"), kung saan ang Stellar Cyber ay dapat ipaalam sa Kliyente hanggang sa pinahihintulutan ng naaangkop na batas ang legal na kinakailangan na iyon bago ang nauugnay na pagproseso ng Personal na Data ng Kliyente; at
  2. agad na abisuhan ang Kliyente kung, sa opinyon ng Stellar Cyber, ang European Data Protection Laws ay nagbabawal sa Stellar Cyber na sumunod sa Pinahihintulutang Layunin o ang Stellar Cyber ay hindi makasunod sa Pinahihintulutang Layunin. Hindi binabawasan ng Seksyon na ito ang mga karapatan o obligasyon ng alinmang partido sa ibang lugar sa Kasunduan.
4. Client sa pamamagitan nito:
  1. nagtuturo sa Stellar Cyber (at pinahihintulutan ang Stellar Cyber na turuan ang bawat Subprocessor) na iproseso ang Personal na Data ng Kliyente para sa Pinahihintulutang Layunin; at
  2. ginagarantiyahan at kinakatawan na ito ay at sa lahat ng nauugnay na oras ay mananatiling nararapat at epektibong awtorisado na ibigay ang tagubiling itinakda dito sa ngalan ng bawat may-katuturang Kliyente o Kliyente na Kaakibat:
Stellar Cyber Personnel
Ang Stellar Cyber ay gagawa ng mga makatwirang hakbang upang matiyak ang pagiging maaasahan ng sinumang empleyado, ahente o kontratista ng alinmang Kontrata na Processor na maaaring may access sa Personal na Data ng Kliyente, na tinitiyak sa bawat kaso na ang pag-access ay mahigpit na limitado sa mga indibidwal na kailangang malaman/mag-access ng may-katuturang Personal na Data ng Kliyente, bilang mahigpit na kinakailangan para sa mga layunin ng Kasunduan, at upang sumunod sa Mga Naaangkop na Batas sa konteksto ng mga tungkulin ng indibidwal na iyon sa Kontratang Tagaproseso, na tinitiyak na ang lahat ng naturang mga indibidwal ay napapailalim sa mga gawain sa pagiging kumpidensyal o propesyonal o ayon sa batas na mga obligasyon ng pagiging kumpidensyal .
Katiwasayan
1. Ipapatupad at pananatilihin ng Stellar Cyber ang mga teknikal at pang-organisasyong hakbang na itinakda sa Exhibit 1 (ang "Mga Panukala sa Seguridad"). Maaaring i-update ng Stellar Cyber ang Mga Panukala sa Seguridad paminsan-minsan sa kondisyon na ang mga naturang pag-update ay hindi magreresulta sa pagbawas sa seguridad ng Mga Deliverable.
2. Sa pagtatasa ng naaangkop na antas ng seguridad, dapat isaalang-alang ng Stellar Cyber ang mga panganib na ipinakita ng Pagproseso, lalo na mula sa isang Personal na Paglabag sa Data.
Subproseso
1. Pinahihintulutan ng kliyente ang Stellar Cyber na magtalaga (at pahintulutan ang bawat Subprocessor na itinalaga alinsunod sa seksyong 5 na ito na humirang) Mga Subprocessor alinsunod sa seksyong 5 na ito at anumang mga paghihigpit sa Kasunduan. Ibibigay ng Stellar Cyber sa Kliyente ang kasalukuyang listahan ng mga Subprocessor na nagpoproseso ng Personal na Data ng Kliyente, na nakalakip bilang Annex III sa Exhibit 3. Ang Stellar Cyber ay dapat magbigay sa Kliyente ng paunang nakasulat na paunawa ng appointment ng anumang bagong Subprocessor, kabilang ang mga detalye ng Pagproseso na gagawin. isinagawa ng Subprocessor. Kung, sa loob ng tatlumpung (30) araw pagkatapos matanggap ang pabatid na iyon, aabisuhan ng Kliyente ang Stellar Cyber sa pamamagitan ng pagsulat ng anumang mga pagtutol sa iminungkahing appointment, at higit pang nagbibigay ng mga makatwirang katwiran sa komersyo sa mga naturang pagtutol batay sa wastong mga alalahanin tungkol sa naturang iminungkahing mga kasanayan sa negosyo ng Subprocessor na may kaugnayan sa data proteksyon, pagkatapos ay (i) ang Stellar Cyber ay makikipagtulungan sa Kliyente nang may mabuting loob upang tugunan ang mga pagtutol ng Kliyente tungkol sa bagong Subprocessor; at (ii) kung saan ang mga alalahanin ng Kliyente ay hindi malulutas sa loob ng tatlumpung (30) araw mula sa pagtanggap ng Stellar Cyber ng abiso ng Kliyente, sa kabila ng anuman sa Kasunduan, ang Kliyente ay maaaring, sa pamamagitan ng pagbibigay sa Stellar Cyber ng isang nakasulat na paunawa na may agarang epekto, wakasan ang Kasunduan at Ire-refund ng Stellar Cyber sa Kliyente ang lahat ng prepaid na Bayarin para sa Mga Deliverable na maiuugnay sa Deliverable Term (tulad ng nakabalangkas sa naaangkop na Order) kasunod ng pagwawakas ng Kasunduan.
2. Kaugnay ng bawat Subprocessor, ang Stellar Cyber ay dapat:
  1. bago ang Subprocessor ay magproseso muna ng Personal na Data ng Kliyente, magsagawa ng sapat na angkop na pagsusumikap upang matiyak na ang Subprocessor ay may kakayahang magbigay ng antas ng proteksyon para sa Personal na Data ng Kliyente na kinakailangan ng Kasunduan;
  2. tiyakin na ang pag-aayos sa pagitan sa isang banda (a) Stellar Cyber, o (b) ang nauugnay na intermediate Subprocessor; at sa kabilang banda, ang Subprocessor, ay pinamamahalaan ng isang nakasulat na kontrata kasama ang mga tuntunin na nag-aalok ng hindi bababa sa parehong antas ng proteksyon para sa Personal na Data ng Kliyente tulad ng mga itinakda sa Addendum na ito at nakakatugon sa mga kinakailangan ng Artikulo 28(3) ng GDPR ;
  3. kung ang pagsasaayos na iyon ay nagsasangkot ng Restricted Transfer, tiyakin na ang mga Standard Contractual Clause ay nasa lahat ng nauugnay na oras sa kasunduan sa pagitan ng sa isang banda (a) Stellar Cyber, o (b) ang nauugnay na intermediate Subprocessor; at sa kabilang banda, ang Subprocessor, o bago ang Subprocessor ay unang nagproseso ng Personal na Data ng Kliyente na kumuha na ito ay pumasok sa isang kasunduan na nagsasama ng Mga Karaniwang Sugnay sa Kontrata sa Kliyente. at
  4. ibigay sa Kliyente para sa pagsusuri ng mga naturang kopya ng mga kasunduan ng Mga Contracted Processor sa Mga Subprocessor (na maaaring i-redact upang maalis ang kumpidensyal na komersyal na impormasyon na hindi nauugnay sa mga kinakailangan ng Addendum na ito) na maaaring hilingin ng Kliyente sa pana-panahon.
3. Sisiguraduhin ng Stellar Cyber na ang bawat Subprocessor ay gumaganap ng mga obligasyon nito sa ilalim ng mga seksyon 2.1, 3, 4, 6.1, 7.2, 8 at 10.1, habang inilalapat ang mga ito sa Pagproseso ng Personal na Data ng Kliyente na isinagawa ng Subprocessor na iyon, na para bang ito ay partido sa Addendum na ito sa lugar ng Stellar Cyber.
Mga Karapatan sa Paksa ng Data
1. Isinasaalang-alang ang likas na katangian ng Pagproseso, ang Stellar Cyber ay tutulong sa Kliyente sa pamamagitan ng pagpapatupad ng naaangkop na teknikal at pang-organisasyon na mga hakbang, hangga't posible ito, para sa katuparan ng mga obligasyon ng Mga Kliyente, ayon sa makatwirang pagkaunawa ng Kliyente, na tumugon sa mga kahilingan na gamitin ang Paksa ng Data mga karapatan sa ilalim ng Mga Naaangkop na Batas.
2. Ang Stellar Cyber ay dapat:
  1. agad na abisuhan ang Kliyente kung ang sinumang Kontrata na Tagaproseso ay nakatanggap ng kahilingan mula sa isang Paksa ng Data sa ilalim ng anumang Batas sa Proteksyon ng Data kaugnay ng Personal na Data ng Kliyente; at
  2. tiyaking hindi tutugon ang Kontrata na Tagaproseso sa kahilingang iyon maliban sa mga nakadokumentong tagubilin ng Kliyente o ng nauugnay na Kliyente Affiliate o ayon sa hinihingi ng Mga Naaangkop na Batas kung saan napapailalim ang Kontratang Tagaproseso, kung saan ang Stellar Cyber ay dapat sa lawak na pinahihintulutan ng Mga Naaangkop na Batas. ipaalam sa Kliyente ang legal na pangangailangang iyon bago tumugon ang Contracted Processor sa kahilingan.
Paglabag sa Personal na Data
1. Aabisuhan ng Stellar Cyber ang Kliyente nang walang labis na pagkaantala kapag nalaman ng Stellar Cyber o anumang Subprocessor ang isang Paglabag sa Personal na Data na nakakaapekto sa Personal na Data ng Kliyente, na nagbibigay sa Kliyente ng sapat na impormasyon upang payagan ang Kliyente na matugunan ang anumang mga obligasyon na iulat o ipaalam sa Mga Paksa ng Data ng Paglabag sa Personal na Data sa ilalim ng Naaangkop na mga batas. Ang nasabing abiso ay dapat magsama ng hindi bababa sa sumusunod na impormasyon: (i) ang likas na katangian ng Paglabag sa Personal na Data, ang mga kategorya at bilang ng mga nauukol na Paksa ng Data, at ang mga kategorya at bilang ng mga tala ng Personal na Data na nauugnay; (ii) ang pangalan at mga detalye ng contact ng Data Protection Officer ng Stellar Cyber o iba pang nauugnay na contact kung saan maaaring makakuha ng karagdagang impormasyon; (iii) ang mga posibleng kahihinatnan ng Paglabag sa Personal na Data; at (iv) ang mga hakbang na ginawa o iminungkahi na gawin upang matugunan ang Paglabag sa Personal na Data.
2. Makikipagtulungan ang Stellar Cyber sa Kliyente at gagawa ng mga makatwirang hakbang na pangkomersiyo gaya ng itinuro ng Kliyente upang tumulong sa pagsisiyasat, pagpapagaan at pagsasaayos ng bawat naturang Paglabag sa Personal na Data.
Pagtatasa sa Epekto ng Proteksyon ng Data at Paunang Konsultasyon
Sa pagpapalawig na hinihingi ng Mga Naaangkop na Batas, ang Stellar Cyber ay magbibigay ng makatwirang tulong sa Kliyente sa anumang pagtatasa ng epekto sa proteksyon ng data, at mga naunang konsultasyon sa Mga Awtoridad ng Nangangasiwa o iba pang karampatang awtoridad sa privacy ng data, na makatuwirang isinasaalang-alang ng Kliyente na kinakailangan ng Kliyente ayon sa Mga Naaangkop na Batas, sa bawat kaso na may kaugnayan lamang sa Pagproseso ng Personal na Data ng Kliyente sa pamamagitan ng, at isinasaalang-alang ang likas na katangian ng Pagproseso at impormasyong magagamit sa, Mga Kontratang Tagaproseso.
Pagtanggal o pagbabalik ng Personal na Data ng Kliyente
1. Alinsunod sa mga seksyon 9.2 at 9.3 pagkatapos ng petsa ng paghinto ng pagbibigay ng anumang Mga Deliverable na kinasasangkutan ng Pagproseso ng Personal na Data ng Kliyente (ang "Petsa ng Paghinto"), tatanggalin at kukunin ng Stellar Cyber ang pagtanggal ng lahat ng mga kopya ng Personal na Data ng Kliyente na iyon nang walang labis na pagkaantala.
2. Ang bawat Kontratadong Tagaproseso ay maaaring magpanatili ng Personal na Data ng Kliyente sa lawak na kinakailangan ng Mga Naaangkop na Batas at hanggang sa lawak lamang at para sa naturang panahon na kinakailangan ng Mga Naaangkop na Batas at palaging ibinigay na ang Stellar Cyber at bawat Stellar Cyber Affiliate ay dapat tiyakin ang pagiging kumpidensyal ng lahat ng naturang Personal na Data ng Kliyente at dapat tiyakin na ang naturang Personal na Data ng Kliyente ay Pinoproseso lamang kung kinakailangan para sa (mga) layuning tinukoy sa Mga Naaangkop na Batas na nangangailangan ng pag-imbak nito at para sa walang ibang layunin.
3. Ang Stellar Cyber ay dapat magbigay ng nakasulat na sertipikasyon sa Kliyente na ito ay ganap na sumunod sa seksyong 9 na ito sa loob ng sampung (10) araw pagkatapos matanggap ang nakasulat na kahilingan ng Kliyente na makatanggap ng naturang sertipikasyon.
Pag-audit at Mga Tala
1. Ang Stellar Cyber ay dapat, alinsunod sa Mga Naaangkop na Batas, na gawing available sa Kliyente ang naturang impormasyon sa pagmamay-ari o kontrol ng Stellar Cyber na maaaring makatwirang hilingin ng Kliyente na may layuning ipakita ang pagsunod ng Stellar Cyber sa Mga Naaangkop na Batas kaugnay sa pagproseso nito ng Personal na Data ng Kliyente.
2. Maaaring gamitin ng kliyente ang karapatan nito sa pag-audit sa ilalim ng European Data Protection Laws kaugnay ng Personal Data ng Kliyente, sa pamamagitan ng pagbibigay ng Stellar Cyber ng:
  1. impormasyong kinakailangan upang ipakita ang pagsunod sa European Data Protection Laws at payagan at mag-ambag sa mga pag-audit, kabilang ang mga inspeksyon, na isinasagawa ng controller o ng isa pang auditor na ipinag-uutos ng controller
  2. karagdagang impormasyon sa pagmamay-ari o kontrol ng Stellar Cyber sa isang awtoridad sa pangangasiwa ng EU kapag humiling o nangangailangan ito ng karagdagang impormasyon kaugnay sa Pagproseso ng Personal na Data ng Kliyente na isinagawa ng Stellar Cyber sa ilalim ng Addendum na ito.
Mga Restricted Transfers
1. Napapailalim sa Seksyon 11.2 at 11.3, Kliyente (bilang "taga-export ng data") at bawat Contracted Processor, kung naaangkop, (bilang "taga-import ng data") sa pamamagitan nito ay pumapasok sa Standard Contractual Clauses tungkol sa anumang Restricted Transfer mula sa Kliyente na iyon patungo sa Contracted Processor.
2. Ang mga Standard Contractual Clause ay magkakabisa sa ilalim ng seksyon 11.1 sa huli ng:
  1. ang data exporter ay nagiging isang partido sa kanila;
  2. ang data importer ay nagiging isang partido sa kanila; at
  3. pagsisimula ng nauugnay na Restricted Transfer.
3. Ang Seksyon 11.1 ay hindi dapat ilapat sa isang Restricted Transfer maliban kung ang epekto nito, kasama ng iba pang makatwirang praktikal na hakbang sa pagsunod (na, para sa pag-iwas sa pagdududa, ay hindi kasama ang pagkuha ng mga pahintulot mula sa Data Subjects), ay upang payagan ang nauugnay na Restricted Transfer na maganap nang walang paglabag sa naaangkop na Batas sa Proteksyon ng Data.
Pangkalahatang Mga Tuntunin
1. Nang walang pagkiling sa sugnay 18 ng Standard Contractual Clauses, (i) ang mga partido sa Addendum na ito ay sumasailalim sa pagpili ng hurisdiksyon na itinakda sa Kasunduan na may kinalaman sa anumang mga hindi pagkakaunawaan o paghahabol anuman ang lumitaw sa ilalim ng Addendum na ito, kabilang ang mga hindi pagkakaunawaan tungkol sa pagkakaroon nito, bisa o pagwawakas o ang mga kahihinatnan ng pagiging walang bisa nito; at (ii) ang Addendum na ito at lahat ng hindi kontraktwal o iba pang mga obligasyon na nagmumula sa o may kaugnayan dito ay pinamamahalaan ng mga batas ng bansa o teritoryo na itinakda para sa layuning ito sa Kasunduan.
2. Walang anuman sa Addendum na ito ang nagbabawas sa mga obligasyon ng Stellar Cyber sa ilalim ng Kasunduan kaugnay ng proteksyon ng Personal na Data o nagpapahintulot sa Stellar Cyber na Magproseso (o pahintulutan ang Pagproseso ng) Personal na Data sa paraang ipinagbabawal ng Kasunduan. Kung sakaling magkaroon ng anumang salungatan o hindi pagkakapare-pareho sa pagitan ng Addendum na ito at ng Standard Contractual Clauses, ang Standard Contractual Clauses ay mananaig.
3. Alinsunod sa seksyon 12.2, patungkol sa paksa ng Addendum na ito, kung sakaling magkaroon ng hindi pagkakapare-pareho sa pagitan ng mga probisyon ng Addendum na ito at anumang iba pang mga kasunduan sa pagitan ng mga partido, kabilang ang Kasunduan at kabilang ang (maliban kung tahasang napagkasunduan sa pagsulat, na nilagdaan sa sa ngalan ng mga partido) mga kasunduang pinasok o ipinapalagay na papasok pagkatapos ng petsa ng Addendum na ito, ang mga probisyon ng Addendum na ito ay mananaig.
4. Ang anumang pananagutan na nauugnay sa kabiguang sumunod sa Addendum na ito ay sasailalim sa mga limitasyon ng mga probisyon ng pananagutan na nakasaad sa Kasunduan.
5. Ang kliyente ay maaaring, sa pamamagitan ng hindi bababa sa tatlumpung (30) araw ng kalendaryo na nakasulat na abiso sa Stellar Cyber, pana-panahong gumawa ng anumang mga pagkakaiba-iba sa mga Standard Contractual Clause na ipinasok sa ilalim ng seksyon 11.1, dahil ang mga naturang variation ay nalalapat sa Restricted Transfers na napapailalim sa isang partikular na Data Batas sa Proteksyon, ngunit kung kinakailangan lamang ang mga naturang pagkakaiba-iba bilang resulta ng anumang pagbabago sa, o desisyon ng isang karampatang awtoridad sa ilalim ng, Batas sa Proteksyon ng Data na iyon, na payagan ang Mga Restricted Transfer na iyon na gawin (o patuloy na gagawin) nang walang paglabag doon. Batas sa Proteksyon ng Data.
6. Kung ang Kliyente ay magbibigay ng abiso sa ilalim ng seksyon 12.5, kung gayon (i) ang Stellar Cyber ay dapat na agad na makikipagtulungan (at tiyakin na anumang mga apektadong Subprocessor ay agad na makikipagtulungan) upang matiyak na ang mga katumbas na pagkakaiba-iba ay ginawa sa anumang kasunduan na inilagay sa ilalim ng seksyon 5.3.3; at (ii) Ang Kliyente ay hindi dapat hindi makatwirang pigilin o ipagpaliban ang kasunduan sa anumang kahihinatnan ng mga pagkakaiba-iba sa Addendum na ito na iminungkahi ng Stellar Cyber upang protektahan ang mga Contracted Processor laban sa mga karagdagang panganib na nauugnay sa mga variation na ginawa sa ilalim ng seksyon 12.5.
7. Kung magbibigay ng abiso ang Kliyente sa ilalim ng seksyon 12.5, dapat agad na talakayin ng mga partido ang mga iminungkahing pagkakaiba-iba at makipag-ayos nang may mabuting loob na may layuning sumang-ayon at ipatupad ang mga iyon o mga alternatibong pagkakaiba-iba na idinisenyo upang matugunan ang mga kinakailangan na tinukoy sa paunawa ng Kliyente sa lalong madaling makatuwirang magagawa.
8. Kinakailangan ng kliyente ang pahintulot o pag-apruba ng Client Affiliate na amyendahan ang Addendum na ito alinsunod sa seksyong 12.8 na ito o kung hindi man.
9. Kung ang anumang probisyon ng Addendum na ito ay hindi wasto o hindi maipatupad, kung gayon ang natitirang Addendum na ito ay mananatiling wasto at may bisa. Ang hindi wasto o hindi maipapatupad na probisyon ay dapat na (i) susugan kung kinakailangan upang matiyak ang pagiging wasto at pagpapatupad nito, habang pinapanatili ang mga hangarin ng mga partido nang mas malapit hangga't maaari o, kung hindi posible, (ii) binibigyang kahulugan sa isang paraang parang hindi wasto o hindi maipapatupad na bahagi ay hindi pa nakapaloob dito.

EXHIBIT 1 SA DATA PROTECTION ADDENDUM

MGA DETALYE NG PAGPROSESO NG KLIENTE PERSONAL DATA

Kasama sa Exhibit 1 na ito ang ilang partikular na detalye ng Pagproseso ng Personal na Data ng Kumpanya ayon sa hinihingi ng GDPR Article 28(3). Paksa at tagal ng Pagproseso ng Personal na Data ng Kliyente Ipoproseso ng Stellar Cyber ang Personal na Data ng Kliyente kung kinakailangan upang maisagawa ang Mga Deliverable alinsunod sa Kasunduan. Ang tagal ng pagpoproseso ay: hanggang sa pag-expire/pagwawakas ng Kasunduan kung kailan tatanggalin o sisirain ng Stellar Cyber ang Personal na Data ng Kliyente nang walang labis na pagkaantala, o 30 araw mula sa pagtanggap ng kahilingan sa pagtanggal para sa ilan o lahat ng Personal na Data. Ang katangian at layunin ng Pagproseso ng Personal na Data ng Kliyente Ang Stellar Cyber ay nakikibahagi sa pagbibigay ng Mga Deliverable sa Kliyente na may kinalaman sa pagproseso ng Personal na Data. Ang saklaw ng mga Deliverable ay itinakda sa Kasunduan, at ang Personal na Data ay Ipoproseso ng Stellar Cyber kung kinakailangan upang maihatid ang mga Deliverable na iyon at upang sumunod sa mga tuntunin ng Kasunduan at ng Addendum na ito. Ang mga uri ng Personal na Data ng Kliyente na Ipoproseso Ang Personal na Data na nakolekta ng Stellar Cyber ay binubuo ng Mga Kategorya ng Data na nakadetalye sa Annex 1 ng Appendix sa Mga Karaniwang Sugnay sa Kontratwal.

EXHIBIT 2 SA DATA PROTECTION ADDENDUM

MGA PANUKALA SA TEKNIKAL AT ORGANISASYON KASAMA ANG MGA PANUKALA SA TEKNIKAL AT ORGANISASYON UPANG TIYAKIN ANG SEGURIDAD NG DATA

Sumusunod ang Stellar Cyber sa mga teknikal at pang-organisasyong hakbang na nakabalangkas sa ibaba. Para sa isang detalyadong paglalarawan ng mga hakbang sa seguridad na pinagtibay ng Stellar Cyber mangyaring magsumite ng kahilingan sa privacy@stellarcyber.ai Kasama sa mga teknikal at organisasyonal na hakbang, ngunit hindi limitado sa, ang mga sumusunod na hakbang para sa pagtiyak ng patuloy na pagiging kumpidensyal, integridad, at pagkakaroon ng data upang maiwasan ang hindi awtorisadong pag-access, paggamit, pagbabago o pagsisiwalat ng data:

Pagganap ng mga pagsusuri sa background sa lahat ng mga tauhan na may access sa pagpoproseso ng data, pati na rin ang lagda ng mga pangakong hindi pagsisiwalat at etika sa negosyo bago ang trabaho.
Pagsasanay sa kaalaman sa seguridad at privacy, kasama ang pagkilala at kasunduan na sumunod sa mga patakaran sa seguridad ng organisasyon, para sa lahat ng tauhan sa pag-hire at taun-taon pagkatapos noon.
Pagpapanatili ng isang komprehensibong hanay ng mga patakaran sa seguridad at privacy, mga pamamaraan at mga plano na sinusuri nang hindi bababa sa isang taunang batayan at nagbibigay ng gabay sa organisasyon tungkol sa mga kasanayan sa seguridad at privacy; mga proseso para sa pagsusuri ng mga prospective at kasalukuyang Sub-processor upang matiyak na sila ay may kakayahan at nangangako sa naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang patuloy na pagiging kumpidensyal, integridad at pagkakaroon ng data.
Isang proseso para sa regular na pagsubok, pagtatasa at pagsusuri sa pagiging epektibo ng administratibo, teknikal, at pisikal na mga pananggalang para sa pagtiyak ng seguridad ng pagproseso, paghahatid o pag-imbak ng data sa pamamagitan ng panlabas at panloob na pag-audit.
Pag-iwas sa pag-access, paggamit, pagbabago o pagsisiwalat ng data maliban sa mga awtorisadong tauhan ng Stellar Cyber (1) upang ibigay ang Mga Deliverable at maiwasan o matugunan ang mga serbisyo o teknikal na mga problema, (2) bilang pinilit ng batas, o (3) bilang hayagang pinahihintulutan ng Kliyente sa pagsulat .
Pagtatala at pagsubaybay sa mga log ng seguridad sa pamamagitan ng Pamamahala ng Pangyayari sa Insidente sa Seguridad (“SIEM"") na sistema at pag-aalerto sa pagtuklas ng mga kahina-hinalang pag-uugali ng sistema at/o gumagamit; mga proseso at kagamitan para sa regular na pagtukoy, pagtatasa, at pagsusuri ng mga kahinaan batay sa mga alituntuning pamantayan ng industriya.
Pseudonymization o pag-encrypt ng data sa pagpapadala at sa natitirang paggamit ng mga mekanismong pamantayan sa industriya para sa ilang Deliverable.
Ang MFA at malalakas na password ay mahigpit na ipinapatupad upang ma-access ang data processing unit.
Ang kakayahang ibalik ang kakayahang magamit at pag-access sa Data ng Kliyente sa isang napapanahong paraan sa kaganapan ng isang insidente na makakaapekto sa pagkakaroon ng Data ng Kliyente sa pamamagitan ng pagpapanatili ng isang backup na solusyon para sa mga layunin ng pagbawi sa sakuna.

EXHIBIT 3 SA DATA PROTECTION ADDENDUM

MGA PAMANTAYANG CONTRACTUAL CLAUSES

SEKSYON I

Sugnay 1

Layunin at saklaw

Ang layunin ng mga karaniwang contractual clause na ito ay upang matiyak ang pagsunod sa mga kinakailangan ng Regulation (EU) 2016/679 ng European Parliament at ng Council of 27 April 2016 sa proteksyon ng mga natural na tao patungkol sa pagproseso ng personal na data at sa ang libreng paggalaw ng naturang data (General Data Protection Regulation) para sa paglipat ng personal na data sa isang ikatlong bansa.
Ang mga Partido:
1. ang (mga) natural o legal na tao, pampublikong awtoridad, ahensya o iba pang katawan (pagkatapos dito ay “entity/ies”) na naglilipat ng personal na data, tulad ng nakalista sa Annex IA (simula dito sa bawat “data exporter”), at
2. ang mga entity sa isang ikatlong bansa na tumatanggap ng personal na data mula sa data exporter, direkta o hindi direkta sa pamamagitan ng isa pang entity na Partido din sa Mga Clause na ito, tulad ng nakalista sa Annex IA (simula dito sa bawat "importer ng data")
ay sumang-ayon sa mga karaniwang kontraktwal na sugnay na ito (pagkatapos dito: "Mga Sugnay").
Nalalapat ang Mga Clause na ito patungkol sa paglilipat ng personal na data tulad ng tinukoy sa Annex IB
Ang Appendix sa mga Clause na ito na naglalaman ng mga Annex na tinutukoy doon ay bumubuo ng isang mahalagang bahagi ng mga Clause na ito.

Sugnay 2

Epekto at kawalan ng pagbabago ng mga Sugnay

Ang mga Clause na ito ay nagtatakda ng mga naaangkop na pag-iingat, kabilang ang mga maipapatupad na karapatan sa paksa ng data at epektibong mga legal na remedyo, alinsunod sa Artikulo 46(1) at Artikulo 46 (2)(c) ng Regulasyon (EU) 2016/679 at, patungkol sa mga paglilipat ng data mula sa mga controllers sa mga processor at/o mga processor sa mga processor, mga karaniwang contractual clause alinsunod sa Artikulo 28(7) ng Regulasyon (EU) 2016/679, basta't hindi binago ang mga ito, maliban sa piliin ang naaangkop na (mga) Module o magdagdag o mag-update ng impormasyon sa ang Appendix. Hindi nito pinipigilan ang mga Partido na isama ang mga karaniwang kontraktwal na mga sugnay na inilatag sa mga Sugnay na ito sa isang mas malawak na kontrata at/o upang magdagdag ng iba pang mga sugnay o karagdagang mga pananggalang, sa kondisyon na sila ay hindi sumasalungat, direkta o hindi direktang, ang mga Sugnay na ito o pinipili ang mga pangunahing karapatan. o mga kalayaan ng mga paksa ng datos.
Ang Mga Clause na ito ay walang pagkiling sa mga obligasyon kung saan napapailalim ang nag-export ng data sa bisa ng Regulasyon (EU) 2016/679.

Kung ang nag-export ng data ay isang processor na napapailalim sa Regulasyon (EU) 2016/679 na kumikilos sa ngalan ng isang institusyon o katawan ng Unyon bilang controller, ang pag-asa sa Mga Clause na ito kapag nakikipag-ugnayan sa isa pang processor (sub-processing) na hindi napapailalim sa Regulasyon (EU) 2016/ Tinitiyak din ng 679 ang pagsunod sa Artikulo 29(4) ng Regulasyon (EU) 2018/1725 ng European Parliament at ng Konseho ng 23 Oktubre 2018 sa proteksyon ng mga natural na tao patungkol sa pagproseso ng personal na data ng mga institusyon, katawan ng Union , mga opisina at ahensya at sa malayang paggalaw ng naturang data, at pagpapawalang-bisa sa Regulasyon (EC) No 45/2001 at Desisyon No 1247/2002/EC (OJ L 295 ng 21.11.2018, p. 39), hanggang sa ang mga Clause na ito at ang mga obligasyon sa proteksyon ng data na itinakda sa kontrata o iba pang legal na aksyon sa pagitan ng controller at ng processor alinsunod sa Artikulo 29(3) ng Regulasyon (EU) 2018/1725 ay nakahanay. Ito ang partikular na magiging kaso kung saan umaasa ang controller at processor sa mga karaniwang contractual clause na kasama sa Desisyon […].

Sugnay 3

Mga benepisyaryo ng third-party

Maaaring gamitin at ipatupad ng mga paksa ng data ang Mga Clause na ito, bilang mga benepisyaryo ng third-party, laban sa nag-export ng data at/o nag-import ng data, kasama ang mga sumusunod na pagbubukod:
1. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
2. Clause 8 - Unang Modyul: Clause 8.5 (e) at Clause 8.9(b); Ikalawang Modyul: Sugnay 8.1(b), 8.9(a), (c), (d) at (e); Ikatlong Modyul: Sugnay 8.1(a), (c) at (d) at Sugnay 8.9(a), (c), (d), (e), (f) at (g); Ikaapat na Modyul: Sugnay 8.1 (b) at Sugnay 8.3(b);
3. Clause 9 - Ikalawang Module: Clause 9(a), (c), (d) at (e); Ikatlong Modyul: Sugnay 9(a), (c), (d) at (e);
4. Clause 12 - Unang Modyul: Clause 12(a) at (d); Dalawa at Ikatlong Module: Clause 12(a), (d) at (f);
5. Sugnay 13;
6. Clause 15.1(c), (d) at (e);
7. Clause 16(e);
8. Clause 18 - Mga Module Una, Dalawa at Ikatlo: Clause 18(a) at (b); Ikaapat na Modyul: Sugnay 18.
Ang talata (a) ay walang pagkiling sa mga karapatan ng mga paksa ng data sa ilalim ng Regulasyon (EU) 2016/679.

Sugnay 4

Interpretasyon

Kung ang Mga Clause na ito ay gumagamit ng mga termino na tinukoy sa Regulasyon (EU) 2016/679, ang mga terminong iyon ay magkakaroon ng parehong kahulugan tulad ng sa Regulasyon na iyon.
Ang mga Clause na ito ay dapat basahin at bigyang-kahulugan sa liwanag ng mga probisyon ng Regulasyon (EU) 2016/679.
Ang Mga Clause na ito ay hindi dapat bigyang-kahulugan sa paraang sumasalungat sa mga karapatan at obligasyong itinakda sa Regulasyon (EU) 2016/679.

Sugnay 5

Hierarchy

Kung sakaling magkaroon ng kontradiksyon sa pagitan ng mga Sugnay na ito at sa mga probisyon ng mga kaugnay na kasunduan sa pagitan ng Mga Partido, na umiiral sa oras na ang mga Sugnay na ito ay napagkasunduan o pinasok pagkatapos noon, ang mga Sugnay na ito ay mananaig.

Sugnay 6

Paglalarawan ng (mga) paglipat

Ang mga detalye ng (mga) paglilipat, at lalo na ang mga kategorya ng personal na data na inilipat at ang (mga) layunin kung saan sila inilipat, ay tinukoy sa Annex IB

Clause 7 - Opsyonal

Sugnay sa pag-dock

Ang isang entity na hindi Partido sa Mga Clause na ito ay maaaring, sa kasunduan ng Mga Partido, na sumang-ayon sa Mga Clause na ito anumang oras, alinman bilang isang taga-exporter ng data o bilang isang importer ng data, sa pamamagitan ng pagkumpleto sa Appendix at paglagda sa Annex IA
Kapag nakumpleto na nito ang Appendix at nilagdaan ang Annex IA, ang acceding entity ay magiging Party sa Mga Clause na ito at magkakaroon ng mga karapatan at obligasyon ng isang data exporter o data importer alinsunod sa pagtatalaga nito sa Annex IA
Ang acceding entity ay hindi magkakaroon ng mga karapatan o obligasyon na magmumula sa ilalim ng mga Clause na ito mula sa panahon bago maging isang Partido.

SEKSYON II – OBLIGASYON NG MGA PARTIDO

Sugnay 8

Mga proteksyon sa proteksyon ng data

Ang data exporter ay ginagarantiyahan na ito ay gumamit ng mga makatwirang pagsisikap upang matukoy na ang data importer ay magagawa, sa pamamagitan ng pagpapatupad ng naaangkop na teknikal at organisasyonal na mga hakbang, upang matugunan ang mga obligasyon nito sa ilalim ng Mga Clause na ito.

UNANG MODULE: Ilipat ang controller sa controller

Limitasyon ng layunin
Ang data importer ay dapat magproseso ng personal na data para lamang sa partikular na (mga) layunin ng paglilipat, tulad ng itinakda sa Annex IB Maaari lamang nitong iproseso ang personal na data para sa ibang layunin:
1. kung saan nakuha nito ang paunang pahintulot ng paksa ng data;
2. kung saan kinakailangan para sa pagtatatag, pagsasakatuparan o pagtatanggol ng mga legal na paghahabol sa konteksto ng mga partikular na administratibo, regulasyon o hudisyal na paglilitis; o
3. kung saan kinakailangan upang maprotektahan ang mahahalagang interes ng paksa ng data o ng ibang natural na tao.
Aninaw
a. Upang paganahin ang mga paksa ng data na epektibong gamitin ang kanilang mga karapatan alinsunod sa Clause 10, dapat ipaalam sa kanila ng nag-aangkat ng data, direkta man o sa pamamagitan ng taga-export ng data:
1. ng pagkakakilanlan nito at mga detalye ng contact;
2. ng mga kategorya ng personal na data na naproseso;
3. ng karapatang makakuha ng kopya ng Mga Sugnay na ito;
4. kung saan nilalayon nitong pasulong na ilipat ang personal na data sa alinmang ikatlong partido, ng tatanggap o mga kategorya ng mga tatanggap (kung naaangkop sa layunin ng pagbibigay ng makabuluhang impormasyon), ang layunin ng naturang pasulong na paglipat at ang batayan samakatuwid alinsunod sa Clause 8.7.
1. Ang talata (a) ay hindi dapat ilapat kung saan ang paksa ng data ay mayroon nang impormasyon, kabilang ang kapag ang naturang impormasyon ay naibigay na ng data exporter, o ang pagbibigay ng impormasyon ay nagpapatunay na imposible o may kinalaman sa isang hindi katimbang na pagsisikap para sa data importer. Sa huling kaso, ang data importer ay dapat, hangga't maaari, gawin ang impormasyon na magagamit sa publiko.
2. Kapag hiniling, ang Mga Partido ay dapat gumawa ng kopya ng Mga Sugnay na ito, kasama ang Apendise na kinumpleto ng mga ito, na magagamit sa paksa ng data nang walang bayad. Sa lawak na kinakailangan upang maprotektahan ang mga lihim ng negosyo o iba pang kumpidensyal na impormasyon, kabilang ang personal na data, maaaring i-redact ng Mga Partido ang bahagi ng teksto ng Appendix bago magbahagi ng kopya, ngunit dapat magbigay ng makabuluhang buod kung saan ang paksa ng data ay hindi magagawang maunawaan ang nilalaman nito o gamitin ang kanyang mga karapatan. Sa kahilingan, ang Mga Partido ay dapat magbigay sa paksa ng data ng mga dahilan para sa mga redaction, hangga't maaari nang hindi inilalantad ang na-redact na impormasyon.
3. Ang mga talata (a) hanggang (c) ay walang pagkiling sa mga obligasyon ng nag-export ng data sa ilalim ng Artikulo 13 at 14 ng Regulasyon (EU) 2016/679.
Katumpakan at pagliit ng data
1. Dapat tiyakin ng bawat Partido na ang personal na data ay tumpak at, kung kinakailangan, pinananatiling napapanahon. Dapat gawin ng nag-aangkat ng data ang bawat makatwirang hakbang upang matiyak na ang personal na data na hindi tumpak, na isinasaalang-alang ang (mga) layunin ng pagproseso, ay mabubura o maiwawasto nang walang pagkaantala.
2. Kung nalaman ng isa sa mga Partido na ang personal na data na inilipat o natanggap nito ay hindi tumpak, o luma na, dapat itong ipaalam sa kabilang Partido nang walang labis na pagkaantala.
3. Dapat tiyakin ng nag-aangkat ng data na ang personal na data ay sapat, may kaugnayan at limitado sa kung ano ang kinakailangan kaugnay sa (mga) layunin ng pagproseso.
Limitasyon sa imbakan
Dapat panatilihin ng taga-import ng data ang personal na data nang hindi hihigit sa kinakailangan para sa (mga) layunin kung saan ito pinoproseso. Dapat itong maglagay ng naaangkop na teknikal o organisasyonal na mga hakbang upang matiyak ang pagsunod sa obligasyong ito, kabilang ang pagbura o hindi nagpapakilala sa data at lahat ng mga back-up sa pagtatapos ng panahon ng pagpapanatili.
Seguridad sa pagproseso
1. Ang data importer at, sa panahon ng paghahatid, gayundin ang data exporter ay dapat magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng personal na data, kabilang ang proteksyon laban sa paglabag sa seguridad na humahantong sa hindi sinasadya o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access (pagkatapos dito ay "paglabag sa personal na data"). Sa pagtatasa ng naaangkop na antas ng seguridad, dapat nilang isaalang-alang ang kalagayan ng sining, ang mga gastos sa pagpapatupad, ang kalikasan, saklaw, konteksto at (mga) layunin ng pagproseso at ang mga panganib na kasangkot sa pagproseso para sa paksa ng data. Dapat isaalang-alang ng mga Partido ang pagkakaroon ng recourse sa encryption o pseudonymisation, kabilang ang panahon ng paghahatid, kung saan ang layunin ng pagproseso ay maaaring matupad sa ganoong paraan.
2. Ang mga Partido ay sumang-ayon sa mga teknikal at organisasyonal na hakbang na itinakda sa Annex II. Ang data importer ay dapat magsagawa ng mga regular na pagsusuri upang matiyak na ang mga hakbang na ito ay patuloy na nagbibigay ng naaangkop na antas ng seguridad.
3. Dapat tiyakin ng nag-aangkat ng data na ang mga taong awtorisadong magproseso ng personal na data ay nakatuon sa kanilang sarili sa pagiging kumpidensyal o nasa ilalim ng naaangkop na obligasyon ng batas ng pagiging kumpidensyal.
4. Kung sakaling magkaroon ng paglabag sa personal na data hinggil sa personal na data na naproseso ng nag-import ng data sa ilalim ng Mga Clause na ito, ang nag-aangkat ng data ay magsasagawa ng naaangkop na mga hakbang upang matugunan ang paglabag sa personal na data, kabilang ang mga hakbang upang mabawasan ang mga posibleng masamang epekto nito.
5. Sa kaso ng paglabag sa personal na data na malamang na magresulta sa isang panganib sa mga karapatan at kalayaan ng mga natural na tao, ang nag-import ng data ay dapat na walang hindi nararapat na pagkaantala na abisuhan ang parehong tagaluwas ng data at ang karampatang awtoridad sa pangangasiwa alinsunod sa Clause 13. Ang nasabing abiso ay dapat maglaman i) isang paglalarawan ng uri ng paglabag (kabilang, kung posible, ang mga kategorya at tinatayang bilang ng mga paksa ng data at mga rekord ng personal na data na nababahala), ii) ang mga posibleng kahihinatnan nito, iii) ang mga hakbang na ginawa o iminungkahi upang matugunan ang paglabag, at iv ) ang mga detalye ng isang contact point kung saan maaaring makakuha ng karagdagang impormasyon. Sa lawak na hindi posible para sa data importer na ibigay ang lahat ng impormasyon nang sabay-sabay, maaari itong gawin sa mga yugto nang walang labis na pagkaantala.
6. Sa kaso ng paglabag sa personal na data na malamang na magresulta sa isang mataas na panganib sa mga karapatan at kalayaan ng mga natural na tao, ang nag-import ng data ay dapat ding abisuhan nang walang labis na pagkaantala ang mga paksa ng data na may kinalaman sa paglabag sa personal na data at ang kalikasan nito, kung kinakailangan sa pakikipagtulungan sa nag-export ng data, kasama ang impormasyong tinutukoy sa talata (e), mga punto ii) hanggang iv), maliban kung ang nag-import ng data ay nagpatupad ng mga hakbang upang makabuluhang bawasan ang panganib sa mga karapatan o kalayaan ng mga natural na tao, o ang abiso ay kasangkot hindi katimbang na pagsisikap. Sa huling kaso, ang nag-aangkat ng data ay sa halip ay maglalabas ng pampublikong komunikasyon o gagawa ng katulad na hakbang upang ipaalam sa publiko ang personal na paglabag sa data.
7. Dapat idokumento ng nag-aangkat ng data ang lahat ng may-katuturang katotohanan na may kaugnayan sa paglabag sa personal na data, kabilang ang mga epekto nito at anumang aksyong remedial na ginawa, at mag-iingat ng rekord nito.
8. Nangangailangan ito na gawing anonymous ang data sa paraang hindi na makikilala ng sinuman ang indibidwal, alinsunod sa recital 26 ng Regulasyon (EU) 2016/679, at ang prosesong ito ay hindi na mababawi.
Sensitibong data
Kung saan ang paglipat ay nagsasangkot ng personal na data na naghahayag ng lahi o etnikong pinagmulan, mga opinyong pampulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, genetic data, o biometric na data para sa layunin ng natatanging pagkilala sa isang natural na tao, data tungkol sa kalusugan o buhay sex ng isang tao o oryentasyong sekswal, o data na nauugnay sa mga kriminal na paghatol o mga pagkakasala (pagkatapos dito ay "sensitibong data"), ang nag-aangkat ng data ay dapat maglapat ng mga partikular na paghihigpit at/o karagdagang mga pananggalang na inangkop sa partikular na katangian ng data at ang mga panganib na kasangkot. Maaaring kabilang dito ang paghihigpit sa mga tauhan na pinahihintulutan na ma-access ang personal na data, karagdagang mga hakbang sa seguridad (tulad ng pseudonymisation) at/o karagdagang mga paghihigpit na may kinalaman sa karagdagang pagsisiwalat.
Pasulong na mga paglilipat
Ang data importer ay hindi dapat ibunyag ang personal na data sa isang third party na matatagpuan sa labas ng European Union (sa parehong bansa bilang ang data importer o sa isa pang ikatlong bansa, pagkatapos nito ay "patuloy na paglilipat") maliban kung ang ikatlong partido ay o sumang-ayon na matali sa ang mga Clause na ito, sa ilalim ng naaangkop na Module. Kung hindi man, ang isang pasulong na paglipat ng nag-import ng data ay maaari lamang maganap kung:
1. ito ay sa isang bansang nakikinabang mula sa isang kasapatan na desisyon alinsunod sa Artikulo 45 ng Regulasyon (EU) 2016/679 na sumasaklaw sa pasulong na paglipat;
2. kung hindi man ay tinitiyak ng ikatlong partido ang mga naaangkop na pag-iingat alinsunod sa Mga Artikulo 46 o 47 ng Regulasyon (EU) 2016/679 na may kinalaman sa pagproseso na pinag-uusapan;
3. ang ikatlong partido ay pumasok sa isang umiiral na instrumento sa data importer na tinitiyak ang parehong antas ng proteksyon ng data tulad ng sa ilalim ng Mga Clause na ito, at ang data importer ay nagbibigay ng kopya ng mga pananggalang na ito sa data exporter;
4. ito ay kinakailangan para sa pagtatatag, pagsasakatuparan o pagtatanggol ng mga legal na paghahabol sa konteksto ng mga partikular na administratibo, regulasyon o hudisyal na paglilitis;
5. ito ay kinakailangan upang maprotektahan ang mahahalagang interes ng paksa ng data o ng ibang natural na tao; o
6. kung saan wala sa iba pang mga kundisyon ang nalalapat, ang data importer ay nakakuha ng tahasang pahintulot ng data subject para sa isang pasulong na paglipat sa isang partikular na sitwasyon, pagkatapos na ipaalam sa kanya ang (mga) layunin nito, ang pagkakakilanlan ng tatanggap at ang posibleng mga panganib ng naturang paglipat sa kanya dahil sa kakulangan ng naaangkop na mga pananggalang sa proteksyon ng data. Sa kasong ito, ang data importer ay dapat ipaalam sa data exporter at, sa kahilingan ng huli, ay dapat magpadala dito ng isang kopya ng impormasyon na ibinigay sa data subject.
Ang anumang pasulong na paglipat ay napapailalim sa pagsunod ng nag-aangkat ng data sa lahat ng iba pang mga pananggalang sa ilalim ng Mga Clause na ito, sa partikular na limitasyon sa layunin.
Pagproseso sa ilalim ng awtoridad ng nag-import ng data
Ang data importer ay dapat tiyakin na ang sinumang tao na kumikilos sa ilalim ng awtoridad nito, kabilang ang isang processor, ay nagpoproseso ng data lamang sa mga tagubilin nito.
Dokumentasyon at pagsunod
(a) Ang bawat Partido ay dapat magpakita ng pagsunod sa mga obligasyon nito sa ilalim ng Mga Sugnay na ito. Sa partikular, dapat panatilihin ng nag-aangkat ng data ang naaangkop na dokumentasyon ng mga aktibidad sa pagproseso na isinasagawa sa ilalim ng responsibilidad nito. (s) Ang data importer ay dapat gawing available ang naturang dokumentasyon sa karampatang supervisory authority kapag hiniling.

IKALAWANG MODULE: Ilipat ang controller sa processor

tagubilin
1. Ang data importer ay dapat magproseso ng personal na data lamang sa mga nakadokumentong tagubilin mula sa data exporter. Ang data exporter ay maaaring magbigay ng ganoong mga tagubilin sa buong panahon ng kontrata.
2. Ang data importer ay dapat na agad na ipaalam sa data exporter kung hindi nito magawang sundin ang mga tagubiling iyon.
Limitasyon ng layunin
Ang data importer ay dapat magproseso ng personal na data para lamang sa partikular na (mga) layunin ng paglilipat, tulad ng itinakda sa Annex IB, maliban kung sa karagdagang mga tagubilin mula sa data exporter.
Aninaw
Sa kahilingan, ang data exporter ay dapat gumawa ng isang kopya ng mga Clause na ito, kasama ang Appendix na kinumpleto ng Mga Partido, na magagamit sa paksa ng data nang walang bayad. Sa lawak na kinakailangan upang maprotektahan ang mga lihim ng negosyo o iba pang kumpidensyal na impormasyon, kabilang ang mga hakbang na inilarawan sa Annex II at personal na data, maaaring i-redact ng taga-export ng data ang bahagi ng teksto ng Appendix sa Mga Clause na ito bago magbahagi ng kopya, ngunit dapat magbigay ng makabuluhang buod kung saan hindi mauunawaan ng paksa ng data ang nilalaman nito o gamitin ang kanyang mga karapatan. Sa kahilingan, ang Mga Partido ay dapat magbigay sa paksa ng data ng mga dahilan para sa mga redaction, hangga't maaari nang hindi inilalantad ang na-redact na impormasyon. Ang Clause na ito ay walang pagkiling sa mga obligasyon ng data exporter sa ilalim ng Artikulo 13 at 14 ng Regulasyon (EU) 2016/679.
Ganap na kawastuan
Kung nalaman ng nag-aangkat ng data na ang personal na data na natanggap nito ay hindi tumpak, o naging luma na, dapat itong ipaalam sa nag-export ng data nang walang labis na pagkaantala. Sa kasong ito, ang data importer ay dapat makipagtulungan sa data exporter upang burahin o itama ang data. Kung ang data importer ay nalaman na ang personal na data na natanggap nito ay hindi tumpak, o naging luma na, ito ay dapat ipaalam sa data exporter nang walang labis na pagkaantala . Sa kasong ito, ang data importer ay dapat makipagtulungan sa data exporter upang burahin o itama ang data.
Tagal ng pagproseso at pagbura o pagbabalik ng data
Ang pagpoproseso ng data importer ay magaganap lamang sa tagal na tinukoy sa Annex IB Pagkatapos ng pagtatapos ng probisyon ng mga serbisyo sa pagproseso, ang data importer ay dapat, sa pagpili ng data exporter, tanggalin ang lahat ng personal na data na naproseso sa ngalan ng data exporter at patunayan sa data exporter na nagawa na nito, o ibalik sa data exporter ang lahat ng personal na data na naproseso sa ngalan nito at tanggalin ang mga kasalukuyang kopya. Hanggang sa matanggal o maibalik ang data, ang data importer ay dapat patuloy na tiyakin ang pagsunod sa mga Clause na ito. Sa kaso ng mga lokal na batas na naaangkop sa importer ng data na nagbabawal sa pagbabalik o pagtanggal ng personal na data, ginagarantiyahan ng nag-import ng data na patuloy nitong titiyakin ang pagsunod sa Mga Clause na ito at ipoproseso lamang ito hanggang sa lawak at hangga't kinakailangan sa ilalim nito. lokal na batas. Ito ay walang pagkiling sa Clause 14, lalo na ang pangangailangan para sa nag-i-import ng data sa ilalim ng Clause 14(e) na abisuhan ang nag-export ng data sa buong panahon ng kontrata kung ito ay may dahilan upang maniwala na ito ay napapailalim o napapailalim sa mga batas o kasanayan. hindi naaayon sa mga kinakailangan sa ilalim ng Clause 14(a).
Seguridad sa pagproseso
1. Ang data importer at, sa panahon ng paghahatid, gayundin ang data exporter ay dapat magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng data, kabilang ang proteksyon laban sa paglabag sa seguridad na humahantong sa hindi sinasadya o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag o pag-access sa data na iyon (pagkatapos dito ay "paglabag sa personal na data"). Sa pagtatasa ng naaangkop na antas ng seguridad, ang Mga Partido ay dapat isaalang-alang ang estado ng sining, ang mga gastos sa pagpapatupad, ang kalikasan, saklaw, konteksto at (mga) layunin ng pagproseso at ang mga panganib na kasangkot sa pagproseso para sa mga paksa ng data. . Dapat isaalang-alang ng mga Partido ang pagkakaroon ng recourse sa encryption o pseudonymisation, kabilang ang panahon ng paghahatid, kung saan ang layunin ng pagproseso ay maaaring matupad sa ganoong paraan. Sa kaso ng pseudonymisation, ang karagdagang impormasyon para sa pag-uugnay ng personal na data sa isang partikular na paksa ng data ay dapat, kung posible, ay mananatili sa ilalim ng eksklusibong kontrol ng data exporter. Sa pagsunod sa mga obligasyon nito sa ilalim ng talatang ito, ang nag-aangkat ng data ay dapat man lang magpatupad ng mga teknikal at organisasyonal na hakbang na tinukoy sa Annex II. Ang data importer ay dapat magsagawa ng mga regular na pagsusuri upang matiyak na ang mga hakbang na ito ay patuloy na nagbibigay ng naaangkop na antas ng seguridad.
2. Ang data importer ay dapat magbigay ng access sa personal na data sa mga miyembro ng mga tauhan nito lamang sa lawak na mahigpit na kinakailangan para sa pagpapatupad, pamamahala at pagsubaybay ng kontrata. Dapat nitong tiyakin na ang mga taong awtorisadong magproseso ng personal na data ay nakatuon sa kanilang sarili sa pagiging kumpidensyal o nasa ilalim ng isang naaangkop na obligasyon ng batas ng pagiging kumpidensyal.
3. Kung sakaling magkaroon ng paglabag sa personal na data patungkol sa personal na data na naproseso ng nag-import ng data sa ilalim ng Mga Clause na ito, ang nag-aangkat ng data ay magsasagawa ng naaangkop na mga hakbang upang matugunan ang paglabag, kabilang ang mga hakbang upang mabawasan ang mga masamang epekto nito. Ang data importer ay dapat ding abisuhan ang data exporter nang walang labis na pagkaantala pagkatapos na malaman ang paglabag. Ang nasabing abiso ay dapat maglaman ng mga detalye ng isang contact point kung saan mas maraming impormasyon ang maaaring makuha, isang paglalarawan ng likas na katangian ng paglabag (kabilang ang, kung posible, mga kategorya at tinatayang bilang ng mga paksa ng data at mga personal na talaan ng personal na data na nababahala), ang mga posibleng kahihinatnan nito at ang mga hakbang na ginawa o iminungkahi upang matugunan ang paglabag kasama, kung naaangkop, mga hakbang upang pagaanin ang mga posibleng masamang epekto nito. Kung saan, at hangga't, hindi posible na ibigay ang lahat ng impormasyon nang sabay-sabay, ang paunang abiso ay dapat maglaman ng impormasyong magagamit noon at ang karagdagang impormasyon ay dapat, kapag ito ay magagamit, pagkatapos ay ibibigay nang walang labis na pagkaantala.
4. Ang data importer ay dapat makipagtulungan at tumulong sa data exporter upang bigyang-daan ang data exporter na makasunod sa mga obligasyon nito sa ilalim ng Regulasyon (EU) 2016/679, partikular na ipaalam sa karampatang awtoridad sa pangangasiwa at sa mga apektadong paksa ng data, na isinasaalang-alang ang likas na katangian ng pagpoproseso at ang impormasyong magagamit sa nag-aangkat ng data.
Sensitibong data
Kung saan ang paglipat ay nagsasangkot ng personal na data na naghahayag ng lahi o etnikong pinagmulan, mga opinyong pampulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, genetic data, o biometric na data para sa layunin ng natatanging pagkilala sa isang natural na tao, data tungkol sa kalusugan o buhay sex ng isang tao o oryentasyong sekswal, o data na may kaugnayan sa mga kriminal na paghatol at pagkakasala (pagkatapos dito ay "sensitibong data"), dapat ilapat ng nag-import ng data ang mga partikular na paghihigpit at/o karagdagang mga pananggalang na inilarawan sa Annex IB
Pasulong na mga paglilipat
Ang data importer ay dapat lamang magbunyag ng personal na data sa isang third party sa mga nakadokumentong tagubilin mula sa data exporter. Bilang karagdagan, ang data ay maaari lamang ibunyag sa isang third party na matatagpuan sa labas ng European Union (sa parehong bansa bilang ang data importer o sa isa pang ikatlong bansa, pagkatapos nito ay "patuloy na paglilipat") kung ang ikatlong partido ay o sumasang-ayon na matali ng ang mga Clause na ito, sa ilalim ng naaangkop na Module, o kung:
1. ang pasulong na paglipat ay sa isang bansang nakikinabang mula sa isang kasapatan na desisyon alinsunod sa Artikulo 45 ng Regulasyon (EU) 2016/679 na sumasaklaw sa pasulong na paglipat;
2. kung hindi man ay tinitiyak ng ikatlong partido ang mga naaangkop na pag-iingat alinsunod sa Mga Artikulo 46 o 47 Regulasyon ng (EU) 2016/679 na may kinalaman sa pagpoproseso na pinag-uusapan;
3. ang pasulong na paglipat ay kinakailangan para sa pagtatatag, pagsasakatuparan o pagtatanggol ng mga legal na paghahabol sa konteksto ng mga partikular na administratibo, regulasyon o hudisyal na paglilitis; o
4. ang pasulong na paglipat ay kinakailangan upang maprotektahan ang mahahalagang interes ng paksa ng data o ng ibang natural na tao.
Ang anumang pasulong na paglipat ay napapailalim sa pagsunod ng nag-aangkat ng data sa lahat ng iba pang mga pananggalang sa ilalim ng Mga Clause na ito, sa partikular na limitasyon sa layunin.
Dokumentasyon at pagsunod
1. Ang data importer ay dapat kaagad at sapat na haharap sa mga katanungan mula sa data exporter na nauugnay sa pagproseso sa ilalim ng Mga Clause na ito.
2. Ang mga Partido ay dapat magpakita ng pagsunod sa mga Sugnay na ito. Sa partikular, ang data importer ay dapat magtago ng naaangkop na dokumentasyon sa mga aktibidad sa pagproseso na isinasagawa sa ngalan ng data exporter.
3. Ibibigay ng data importer sa data exporter ang lahat ng impormasyong kinakailangan upang ipakita ang pagsunod sa mga obligasyong itinakda sa Mga Clause na ito at sa kahilingan ng data exporter, payagan at mag-ambag sa mga pag-audit ng mga aktibidad sa pagproseso na sakop ng Mga Clause na ito, sa makatwirang mga pagitan o kung may mga indikasyon ng hindi pagsunod. Sa pagpapasya sa isang pagsusuri o pag-audit, maaaring isaalang-alang ng nag-export ng data ang mga nauugnay na certification na hawak ng nag-import ng data.
4. Maaaring piliin ng nag-export ng data na magsagawa ng pag-audit nang mag-isa o mag-utos ng isang independiyenteng auditor. Maaaring kabilang sa mga pag-audit ang mga inspeksyon sa lugar o pisikal na pasilidad ng nag-aangkat ng data at dapat, kung naaangkop, ay isasagawa nang may makatwirang paunawa.
5. Dapat gawin ng mga Partido ang impormasyong tinutukoy sa mga talata (b) at (c), kasama ang mga resulta ng anumang pag-audit, na magagamit sa karampatang awtoridad sa pangangasiwa kapag hiniling.
Ang Kasunduan sa European Economic Area (EEA Agreement) ay nagbibigay para sa pagpapalawig ng panloob na merkado ng European Union sa tatlong EEA States Iceland, Liechtenstein at Norway. Ang batas sa proteksyon ng data ng Unyon, kabilang ang Regulasyon (EU) 2016/679, ay saklaw ng EEA Agreement at isinama sa Annex XI dito. Samakatuwid, ang anumang pagsisiwalat ng data importer sa isang third party na matatagpuan sa EEA ay hindi kwalipikado bilang isang pasulong na paglipat para sa layunin ng Mga Clause na ito.

IKATLONG MODULE: Ilipat ang processor sa processor

tagubilin
1. Ipinaalam ng data exporter ang data importer na ito ay gumaganap bilang processor sa ilalim ng mga tagubilin ng (mga) controller nito, na dapat gawin ng data exporter na available sa data importer bago ang pagproseso.
2. Ang data importer ay dapat magproseso ng personal na data lamang sa mga nakadokumentong tagubilin mula sa controller, gaya ng ipinaalam sa data importer ng data exporter, at anumang karagdagang mga nakadokumentong tagubilin mula sa data exporter. Ang nasabing karagdagang mga tagubilin ay hindi dapat sumalungat sa mga tagubilin mula sa controller. Ang controller o data exporter ay maaaring magbigay ng karagdagang dokumentado na mga tagubilin tungkol sa pagproseso ng data sa buong panahon ng kontrata.
3. Ang data importer ay dapat na agad na ipaalam sa data exporter kung hindi nito magawang sundin ang mga tagubiling iyon. Kung ang data importer ay hindi makasunod sa mga tagubilin mula sa controller, ang data exporter ay dapat agad na abisuhan ang controller.
4. Ang data exporter ay ginagarantiyahan na ito ay nagpataw ng parehong mga obligasyon sa proteksyon ng data sa data importer na itinakda sa kontrata o iba pang legal na aksyon sa ilalim ng batas ng Union o Member State sa pagitan ng controller at ng data exporter.
Limitasyon ng layunin
Ang data importer ay dapat magproseso ng personal na data para lamang sa partikular na (mga) layunin ng paglilipat, tulad ng itinakda sa Annex IB, maliban kung sa karagdagang mga tagubilin mula sa controller, gaya ng ipinaalam sa data importer ng data exporter, o mula sa data tagaluwas.
Aninaw
Sa kahilingan, ang data exporter ay dapat gumawa ng isang kopya ng mga Clause na ito, kasama ang Appendix na kinumpleto ng Mga Partido, na magagamit sa paksa ng data nang walang bayad. Sa lawak na kinakailangan upang maprotektahan ang mga lihim ng negosyo o iba pang kumpidensyal na impormasyon, kabilang ang personal na data, maaaring i-redact ng taga-export ng data ang bahagi ng teksto ng Appendix bago magbahagi ng kopya, ngunit dapat magbigay ng makabuluhang buod kung saan hindi magagawa ng paksa ng data. upang maunawaan ang nilalaman nito o gamitin ang kanyang mga karapatan. Sa kahilingan, ang Mga Partido ay dapat magbigay sa paksa ng data ng mga dahilan para sa mga redaction, hangga't maaari nang hindi inilalantad ang na-redact na impormasyon.
Ganap na kawastuan
Kung nalaman ng nag-aangkat ng data na ang personal na data na natanggap nito ay hindi tumpak, o naging luma na, dapat itong ipaalam sa nag-export ng data nang walang labis na pagkaantala. Sa kasong ito, ang data importer ay dapat makipagtulungan sa data exporter upang itama o burahin ang data. Tingnan ang Artikulo 28(4) ng Regulasyon (EU) 2016/679 at, kung saan ang controller ay isang institusyon o katawan ng EU, Artikulo 29(4) ng Regulasyon (EU) 2018/1725.
Tagal ng pagproseso at pagbura o pagbabalik ng data
Ang pagpoproseso ng data importer ay magaganap lamang sa tagal na tinukoy sa Annex IB Pagkatapos ng pagtatapos ng probisyon ng mga serbisyo sa pagproseso, ang data importer ay dapat, sa pagpili ng data exporter, tanggalin ang lahat ng personal na data na naproseso sa ngalan ng controller at i-certify sa data exporter na nagawa na nito, o ibalik sa data exporter ang lahat ng personal na data na naproseso sa ngalan nito at tanggalin ang mga kasalukuyang kopya. Hanggang sa matanggal o maibalik ang data, ang data importer ay dapat patuloy na tiyakin ang pagsunod sa mga Clause na ito. Sa kaso ng mga lokal na batas na naaangkop sa importer ng data na nagbabawal sa pagbabalik o pagtanggal ng personal na data, ginagarantiyahan ng nag-import ng data na patuloy nitong titiyakin ang pagsunod sa Mga Clause na ito at ipoproseso lamang ito hanggang sa lawak at hangga't kinakailangan sa ilalim nito. lokal na batas. Ito ay walang pagkiling sa Clause 14, lalo na ang pangangailangan para sa nag-i-import ng data sa ilalim ng Clause 14(e) na abisuhan ang nag-export ng data sa buong panahon ng kontrata kung ito ay may dahilan upang maniwala na ito ay napapailalim o napapailalim sa mga batas o kasanayan. hindi naaayon sa mga kinakailangan sa ilalim ng Clause 14(a).
Seguridad sa pagproseso
1. Ang data importer at, sa panahon ng paghahatid, gayundin ang data exporter ay dapat magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng data, kabilang ang proteksyon laban sa paglabag sa seguridad na humahantong sa hindi sinasadya o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagbubunyag o pag-access sa ang data na iyon (pagkatapos dito ay "paglabag sa personal na data"). Sa pagtatasa ng naaangkop na antas ng seguridad, dapat nilang isaalang-alang ang kalagayan ng sining, ang mga gastos sa pagpapatupad, ang kalikasan, saklaw, konteksto at (mga) layunin ng pagproseso at ang mga panganib na kasangkot sa pagproseso para sa paksa ng data. Dapat isaalang-alang ng mga Partido ang pagkakaroon ng recourse sa encryption o pseudonymation, kabilang ang panahon ng paghahatid, kung saan ang layunin ng pagproseso ay maaaring matupad sa ganoong paraan. Sa kaso ng pseudonymisation, ang karagdagang impormasyon para sa pag-uugnay ng personal na data sa isang partikular na paksa ng data ay dapat, kung posible, ay mananatili sa ilalim ng eksklusibong kontrol ng data exporter o ng controller. Sa pagsunod sa mga obligasyon nito sa ilalim ng talatang ito, ang nag-aangkat ng data ay dapat man lang magpatupad ng mga teknikal at organisasyonal na hakbang na tinukoy sa Annex II. Ang data importer ay dapat magsagawa ng mga regular na pagsusuri upang matiyak na ang mga hakbang na ito ay patuloy na nagbibigay ng naaangkop na antas ng seguridad.
2. Ang data importer ay dapat magbigay ng access sa data sa mga miyembro ng mga tauhan nito lamang sa lawak na mahigpit na kinakailangan para sa pagpapatupad, pamamahala at pagsubaybay ng kontrata. Dapat nitong tiyakin na ang mga taong awtorisadong magproseso ng personal na data ay nakatuon sa kanilang sarili sa pagiging kumpidensyal o nasa ilalim ng isang naaangkop na obligasyon ng batas ng pagiging kumpidensyal.
3. Kung sakaling magkaroon ng paglabag sa personal na data hinggil sa personal na data na naproseso ng nag-import ng data sa ilalim ng Mga Clause na ito, ang nag-aangkat ng data ay magsasagawa ng naaangkop na mga hakbang upang matugunan ang paglabag, kabilang ang mga hakbang upang mabawasan ang mga masamang epekto nito. Ang data importer ay dapat ding abisuhan, nang walang labis na pagkaantala, ang data exporter at, kung naaangkop at magagawa, ang controller pagkatapos malaman ang paglabag. Ang nasabing abiso ay dapat maglaman ng mga detalye ng isang contact point kung saan mas maraming impormasyon ang maaaring makuha, isang paglalarawan ng uri ng paglabag (kabilang ang, kung posible, mga kategorya at tinatayang bilang ng mga paksa ng data at mga personal na talaan ng personal na data na nababahala), ang mga posibleng kahihinatnan nito at ang mga hakbang na ginawa o iminungkahi upang matugunan ang paglabag sa data, kabilang ang mga hakbang upang pagaanin ang mga posibleng masamang epekto nito. Kung saan, at hangga't, hindi posible na ibigay ang lahat ng impormasyon nang sabay-sabay, ang paunang abiso ay dapat maglaman ng impormasyong magagamit noon at ang karagdagang impormasyon ay dapat, kapag ito ay magagamit, pagkatapos ay ibibigay nang walang labis na pagkaantala.
4. Ang data importer ay dapat makipagtulungan at tulungan ang data exporter upang bigyang-daan ang data exporter na sumunod sa mga obligasyon nito sa ilalim ng Regulasyon (EU) 2016/679, partikular na ipaalam sa controller nito upang ang huli ay maabisuhan naman ang karampatang supervisory authority at ang mga apektadong paksa ng data, na isinasaalang-alang ang kalikasan ng pagpoproseso at ang impormasyong magagamit sa nag-import ng data.
Sensitibong data
Kung saan ang paglipat ay nagsasangkot ng personal na data na naghahayag ng lahi o etnikong pinagmulan, mga opinyong pampulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, genetic data, o biometric na data para sa layunin ng natatanging pagkilala sa isang natural na tao, data tungkol sa kalusugan o buhay sex ng isang tao o oryentasyong sekswal, o data na may kaugnayan sa mga kriminal na paghatol at mga pagkakasala (pagkatapos dito ay "sensitibong data"), dapat ilapat ng nag-import ng data ang mga partikular na paghihigpit at/o karagdagang mga pananggalang na itinakda sa Annex IB
Pasulong na mga paglilipat
Ang data importer ay dapat lamang magbunyag ng personal na data sa isang third party sa mga nakadokumentong tagubilin mula sa controller, gaya ng ipinaalam sa data importer ng data exporter. Bilang karagdagan, ang data ay maaari lamang ibunyag sa isang third party na matatagpuan sa labas ng European Union (sa parehong bansa bilang ang data importer o sa isa pang ikatlong bansa, pagkatapos nito ay "patuloy na paglilipat") kung ang ikatlong partido ay o sumasang-ayon na matali ng ang mga Clause na ito, sa ilalim ng naaangkop na Module, o kung:
1. ang pasulong na paglipat ay sa isang bansang nakikinabang mula sa isang kasapatan na desisyon alinsunod sa Artikulo 45 ng Regulasyon (EU) 2016/679 na sumasaklaw sa pasulong na paglipat;
2. kung hindi man ay tinitiyak ng ikatlong partido ang mga naaangkop na pananggalang alinsunod sa Mga Artikulo 46 o 47 ng Regulasyon (EU) 2016/679;
3. ang pasulong na paglipat ay kinakailangan para sa pagtatatag, pagsasakatuparan o pagtatanggol ng mga legal na paghahabol sa konteksto ng mga partikular na administratibo, regulasyon o hudisyal na paglilitis; o
4. ang pasulong na paglipat ay kinakailangan upang maprotektahan ang mahahalagang interes ng paksa ng data o ng ibang natural na tao.
Ang anumang pasulong na paglipat ay napapailalim sa pagsunod ng nag-aangkat ng data sa lahat ng iba pang mga pananggalang sa ilalim ng Mga Clause na ito, sa partikular na limitasyon sa layunin.
Dokumentasyon at pagsunod
1. Ang data importer ay dapat kaagad at sapat na haharap sa mga katanungan mula sa data exporter o ang controller na nauugnay sa pagproseso sa ilalim ng Mga Clause na ito.
2. Ang mga Partido ay dapat magpakita ng pagsunod sa mga Sugnay na ito. Sa partikular, ang data importer ay dapat magtago ng naaangkop na dokumentasyon sa mga aktibidad sa pagpoproseso na isinasagawa sa ngalan ng controller.
3. Ang data importer ay dapat gumawa ng lahat ng impormasyon na kinakailangan upang ipakita ang pagsunod sa mga obligasyong itinakda sa mga Clause na ito na magagamit sa data exporter, na dapat magbigay nito sa controller.
4. Ang data importer ay dapat magpapahintulot at mag-ambag sa mga pag-audit ng data exporter ng mga aktibidad sa pagpoproseso na sakop ng Mga Clause na ito, sa mga makatwirang pagitan o kung may mga indikasyon ng hindi pagsunod. Ang parehong ay dapat ilapat kung ang data exporter ay humiling ng isang pag-audit sa mga tagubilin ng controller. Sa pagpapasya sa isang pag-audit, maaaring isaalang-alang ng nag-export ng data ang mga nauugnay na certification na hawak ng nag-import ng data.
5. Kung saan ang pag-audit ay isinasagawa sa mga tagubilin ng controller, ang data exporter ay dapat gawin ang mga resulta na magagamit sa controller.
6. Maaaring piliin ng nag-export ng data na magsagawa ng pag-audit nang mag-isa o mag-utos ng isang independiyenteng auditor. Maaaring kabilang sa mga pag-audit ang mga inspeksyon sa lugar o pisikal na pasilidad ng nag-aangkat ng data at dapat, kung naaangkop, ay isasagawa nang may makatwirang paunawa.
7. Dapat gawin ng mga Partido ang impormasyong tinutukoy sa mga talata (b) at (c), kasama ang mga resulta ng anumang pag-audit, na magagamit sa karampatang awtoridad sa pangangasiwa kapag hiniling.

IKAAPAT NA MODULE: Ilipat ang processor sa controller

tagubilin
1. Ang data exporter ay dapat magproseso ng personal na data lamang sa mga nakadokumentong tagubilin mula sa data importer na kumikilos bilang controller nito.
2. Ang data exporter ay dapat agad na ipaalam sa data importer kung hindi nito magawang sundin ang mga tagubiling iyon, kabilang ang kung ang naturang mga tagubilin ay lumalabag sa Regulasyon (EU) 2016/679 o iba pang batas sa proteksyon ng data ng Union o Member State.
3. Ang data importer ay dapat umiwas sa anumang aksyon na hahadlang sa data exporter na tuparin ang mga obligasyon nito sa ilalim ng Regulasyon (EU) 2016/679, kasama ang konteksto ng sub-processing o patungkol sa pakikipagtulungan sa karampatang mga awtoridad sa pangangasiwa.
4. Pagkatapos ng pagtatapos ng probisyon ng mga serbisyo sa pagpoproseso, ang data exporter ay dapat, sa pagpili ng data importer, tanggalin ang lahat ng personal na data na naproseso sa ngalan ng data importer at patunayan sa data importer na ito ay nagawa na, o bumalik sa ang data importer ng lahat ng personal na data na naproseso sa ngalan nito at nagtanggal ng mga umiiral nang kopya.
Seguridad sa pagproseso
1. Ang Mga Partido ay dapat magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang seguridad ng data, kabilang ang panahon ng paghahatid, at proteksyon laban sa paglabag sa seguridad na humahantong sa aksidente o labag sa batas na pagkasira, pagkawala, pagbabago, hindi awtorisadong pagsisiwalat o pag-access (mula dito ay "paglabag sa personal na data" ). Sa pagtatasa ng naaangkop na antas ng seguridad, dapat nilang isaalang-alang ang kalagayan ng sining, ang mga gastos sa pagpapatupad, ang katangian ng personal na data, ang kalikasan, saklaw, konteksto at (mga) layunin ng pagproseso at ang mga panganib na kasangkot sa ang pagpoproseso para sa mga paksa ng data, at sa partikular na isaalang-alang ang pagkakaroon ng recourse sa encryption o pseudonymisation, kasama ang panahon ng paghahatid, kung saan ang layunin ng pagproseso ay maaaring matupad sa ganoong paraan.
2. Ang data exporter ay dapat tumulong sa data importer sa pagtiyak ng naaangkop na seguridad ng data alinsunod sa talata (a). Sa kaso ng paglabag sa personal na data patungkol sa personal na data na naproseso ng data exporter sa ilalim ng Mga Clause na ito, aabisuhan ng data exporter ang data importer nang walang labis na pagkaantala pagkatapos malaman ito at tulungan ang data importer sa pagtugon sa paglabag.
3. Dapat tiyakin ng taga-export ng data na ang mga taong pinahintulutan na magproseso ng personal na data ay nakatuon sa kanilang sarili sa pagiging kumpidensyal o nasa ilalim ng naaangkop na obligasyon ng batas ng pagiging kumpidensyal.
Dokumentasyon at pagsunod
1. Ang mga Partido ay dapat magpakita ng pagsunod sa mga Sugnay na ito.
2. Ibibigay ng data exporter sa importer ng data ang lahat ng impormasyong kinakailangan upang ipakita ang pagsunod sa mga obligasyon nito sa ilalim ng Mga Clause na ito at payagan at mag-ambag sa mga pag-audit.
Kabilang dito kung ang paglilipat at karagdagang pagproseso ay nagsasangkot ng personal na data na nagpapakita ng lahi o etnikong pinagmulan, mga opinyong pampulitika, relihiyon o pilosopikal na paniniwala, o membership sa unyon ng manggagawa, genetic data o biometric data para sa layunin ng natatanging pagkilala sa isang natural na tao, data tungkol sa kalusugan o isang buhay sa kasarian o oryentasyong seksuwal ng isang tao, o data na nauugnay sa mga paghatol na kriminal o pagkakasala.

Sugnay 9

Paggamit ng mga sub-processor

IKALAWANG MODULE: Ilipat ang controller sa processor
1. OPTION 1: TIYAK NA NAUANG PAHINTULOT Ang data importer ay hindi dapat mag-sub-contract ng alinman sa mga aktibidad sa pagpoproseso nito na ginawa sa ngalan ng data exporter sa ilalim ng Mga Clause na ito sa isang sub-processor nang walang paunang partikular na nakasulat na awtorisasyon ng data exporter. Ang data importer ay dapat magsumite ng kahilingan para sa partikular na awtorisasyon kahit man lang [Tukuyin ang tagal ng panahon] bago ang pakikipag-ugnayan ng sub-processor, kasama ang impormasyong kinakailangan upang bigyang-daan ang data exporter na magpasya sa awtorisasyon. Ang listahan ng mga sub-processor na pinahintulutan na ng data exporter ay makikita sa Annex III. Ang mga Partido ay dapat panatilihing napapanahon ang Annex III. OPTION 2: PANGKALAHATANG NAKASULAT NA PAHINTULOT Ang data importer ay may pangkalahatang awtorisasyon ng data exporter para sa pakikipag-ugnayan ng (mga) sub-processor mula sa isang napagkasunduang listahan. Ang data importer ay dapat na partikular na ipaalam sa data exporter sa pamamagitan ng pagsulat ng anumang nilalayong pagbabago sa listahang iyon sa pamamagitan ng pagdaragdag o pagpapalit ng mga sub-processor nang hindi bababa sa [Tukuyin ang tagal ng panahon] nang maaga, sa gayon ay nagbibigay sa data exporter ng sapat na oras upang magawang tumutol sa naturang mga pagbabago bago ang pakikipag-ugnayan ng (mga) sub-processor. Ang data importer ay dapat magbigay sa data exporter ng impormasyong kinakailangan upang bigyang-daan ang data exporter na gamitin ang karapatan nitong tumutol.
2. Kung ang data importer ay nakipag-ugnayan sa isang sub-processor upang magsagawa ng mga partikular na aktibidad sa pagpoproseso (sa ngalan ng data exporter), ito ay dapat gawin ito sa pamamagitan ng isang nakasulat na kontrata na nagbibigay, sa katunayan, ang parehong mga obligasyon sa proteksyon ng data tulad ng mga nagbubuklod sa taga-import ng data sa ilalim ng Mga Clause na ito, kasama ang mga tuntunin ng mga karapatan ng benepisyaryo ng third-party para sa mga paksa ng data. Sumasang-ayon ang Mga Partido na, sa pamamagitan ng pagsunod sa Clause na ito, tinutupad ng taga-import ng data ang mga obligasyon nito sa ilalim ng Clause 8.8. Ang data importer ay dapat tiyakin na ang sub-processor ay sumusunod sa mga obligasyon kung saan ang data importer ay napapailalim alinsunod sa mga Clause na ito.
3. Ang data importer ay dapat magbigay, sa kahilingan ng data exporter, ng kopya ng naturang sub-processor na kasunduan at anumang kasunod na mga pagbabago sa data exporter. Sa lawak na kinakailangan upang maprotektahan ang mga lihim ng negosyo o iba pang kumpidensyal na impormasyon, kabilang ang personal na data, maaaring i-redact ng nag-import ng data ang teksto ng kasunduan bago magbahagi ng kopya.
4. Ang data importer ay mananatiling ganap na responsable sa data exporter para sa pagganap ng mga obligasyon ng sub-processor sa ilalim ng kontrata nito sa data importer. Aabisuhan ng data importer ang data exporter ng anumang pagkabigo ng sub-processor na tuparin ang mga obligasyon nito sa ilalim ng kontratang iyon.
5. Ang data importer ay dapat sumang-ayon sa isang third-party na benepisyaryo na sugnay sa sub-processor kung saan - kung sakaling ang data importer ay aktwal na nawala, hindi na umiral sa batas o naging insolvent - ang data exporter ay may karapatan na wakasan ang sub- kontrata ng processor at upang turuan ang sub-processor na burahin o ibalik ang personal na data.
Ang pangangailangang ito ay maaaring matugunan ng sub-processor sa pag-access sa Mga Clause na ito sa ilalim ng naaangkop na Module, alinsunod sa Clause 7.

IKATLONG MODULE: Ilipat ang processor sa processor

OPTION 1: SPECIFIC PRIOR AUTHORIZATION Ang data importer ay hindi dapat mag-sub-contract ng alinman sa mga aktibidad sa pagpoproseso nito na isinagawa sa ngalan ng data exporter sa ilalim ng Mga Clause na ito sa isang sub-processor nang walang paunang partikular na nakasulat na awtorisasyon ng controller. Ang data importer ay dapat magsumite ng kahilingan para sa partikular na awtorisasyon kahit man lang [Tukuyin ang tagal ng panahon] bago ang pakikipag-ugnayan ng sub-processor, kasama ang impormasyong kinakailangan upang bigyang-daan ang controller na magpasya sa awtorisasyon. Dapat itong ipaalam sa nagluluwas ng data ng naturang pakikipag-ugnayan. Ang listahan ng mga sub-processor na pinahintulutan na ng controller ay makikita sa Annex III. Ang mga Partido ay dapat panatilihing napapanahon ang Annex III. OPTION 2: PANGKALAHATANG NAKASULAT NA PAHINTULOT Ang data importer ay may pangkalahatang awtorisasyon ng controller para sa pakikipag-ugnayan ng (mga) sub-processor mula sa isang napagkasunduang listahan. Ang data importer ay dapat na partikular na ipaalam sa controller sa pagsulat ng anumang nilalayong pagbabago sa listahang iyon sa pamamagitan ng pagdaragdag o pagpapalit ng mga sub-processor nang hindi bababa sa [Tukuyin ang tagal ng panahon] nang maaga, sa gayon ay nagbibigay sa controller ng sapat na oras upang magawang tumutol sa mga naturang pagbabago bago ang pakikipag-ugnayan ng (mga) sub-processor. Ang data importer ay dapat magbigay sa controller ng impormasyong kailangan para magamit ng controller ang karapatan nitong tumutol. Dapat ipaalam ng data importer sa data exporter ang pakikipag-ugnayan ng (mga) sub-processor.
Kung ang data importer ay nakipag-ugnayan sa isang sub-processor upang magsagawa ng mga partikular na aktibidad sa pagpoproseso (sa ngalan ng controller), dapat itong gawin sa pamamagitan ng isang nakasulat na kontrata na nagbibigay para sa, sa katunayan, ng parehong mga obligasyon sa proteksyon ng data tulad ng mga nagbubuklod sa data. importer sa ilalim ng Mga Clause na ito, kasama ang mga tuntunin ng mga karapatan ng benepisyaryo ng third-party para sa mga paksa ng data. Sumasang-ayon ang Mga Partido na, sa pamamagitan ng pagsunod sa Clause na ito, tinutupad ng taga-import ng data ang mga obligasyon nito sa ilalim ng Clause 8.8. Ang data importer ay dapat tiyakin na ang sub-processor ay sumusunod sa mga obligasyon kung saan ang data importer ay napapailalim alinsunod sa mga Clause na ito.
Ang data importer ay dapat magbigay, sa kahilingan ng data exporter o controller, ng kopya ng naturang sub-processor na kasunduan at anumang kasunod na mga pagbabago. Sa lawak na kinakailangan upang maprotektahan ang mga lihim ng negosyo o iba pang kumpidensyal na impormasyon, kabilang ang personal na data, maaaring i-redact ng nag-import ng data ang teksto ng kasunduan bago magbahagi ng kopya.
Ang data importer ay mananatiling ganap na responsable sa data exporter para sa pagganap ng mga obligasyon ng sub-processor sa ilalim ng kontrata nito sa data importer. Aabisuhan ng data importer ang data exporter ng anumang pagkabigo ng sub-processor na tuparin ang mga obligasyon nito sa ilalim ng kontratang iyon.
Ang data importer ay dapat sumang-ayon sa isang third-party na benepisyaryo na sugnay sa sub-processor kung saan - kung sakaling ang data importer ay aktwal na nawala, hindi na umiral sa batas o naging insolvent - ang data exporter ay may karapatan na wakasan ang sub- kontrata ng processor at upang turuan ang sub-processor na burahin o ibalik ang personal na data.

Ang pangangailangang ito ay maaaring matugunan ng sub-processor sa pag-access sa Mga Clause na ito sa ilalim ng naaangkop na Module, alinsunod sa Clause 7.

Sugnay 10

Mga karapatan sa paksa ng data

UNANG MODULE: Ilipat ang controller sa controller

Ang data importer, kung saan may kaugnayan sa tulong ng data exporter, ay haharap sa anumang mga pagtatanong at mga kahilingang natatanggap nito mula sa isang paksa ng data na may kaugnayan sa pagproseso ng kanyang personal na data at ang paggamit ng kanyang mga karapatan sa ilalim ng Mga Clause na ito nang walang hindi nararapat. pagkaantala at sa pinakahuli sa loob ng isang buwan ng pagtanggap ng pagtatanong o kahilingan. Ang nag-aangkat ng data ay dapat magsagawa ng naaangkop na mga hakbang upang mapadali ang mga naturang pagtatanong, mga kahilingan at paggamit ng mga karapatan sa paksa ng data. Ang anumang impormasyong ibibigay sa paksa ng data ay dapat nasa isang madaling maunawaan at madaling ma-access na anyo, gamit ang malinaw at payak na pananalita.
Sa partikular, kapag hiniling ng paksa ng data, ang taga-import ng data ay dapat, nang walang bayad:
1. magbigay ng kumpirmasyon sa paksa ng data kung pinoproseso ang personal na data tungkol sa kanya at, kung saan ito ang kaso, isang kopya ng data na nauugnay sa kanya at ang impormasyon sa Annex I; kung ang personal na data ay nailipat na o ililipat pa, magbigay ng impormasyon sa mga tatanggap o kategorya ng mga tatanggap (kung naaangkop sa layunin ng pagbibigay ng makabuluhang impormasyon) kung saan ang personal na data ay nailipat na o ililipat pa, ang layunin ng mga pasulong na paglilipat at kanilang batayan alinsunod sa Clause 8.7; at magbigay ng impormasyon sa karapatang magsampa ng reklamo sa isang awtoridad sa pangangasiwa alinsunod sa Clause 12(c)(i);
2. iwasto ang hindi tumpak o hindi kumpletong data tungkol sa paksa ng data;
3. burahin ang personal na data hinggil sa paksa ng data kung ang naturang data ay ginagawa o pinoproseso nang lumalabag sa alinman sa mga Clause na ito na tinitiyak ang mga karapatan ng benepisyaryo ng third-party, o kung ang paksa ng data ay bawiin ang pahintulot kung saan nakabatay ang pagproseso.
Kung saan pinoproseso ng nag-aangkat ng data ang personal na data para sa mga layunin ng direktang marketing, ito ay titigil sa pagproseso para sa mga naturang layunin kung ang paksa ng data ay tutol dito.
Ang data importer ay hindi gagawa ng desisyon batay lamang sa awtomatikong pagpoproseso ng personal na data na inilipat (simula dito ay "awtomatikong desisyon"), na magbubunga ng mga legal na epekto hinggil sa paksa ng data o kaparehong makakaapekto sa kanya, maliban kung may tahasang pahintulot ng ang paksa ng data o kung pinahintulutan na gawin ito sa ilalim ng mga batas ng bansang patutunguhan, sa kondisyon na ang mga naturang batas ay naglalatag ng mga angkop na hakbang upang pangalagaan ang mga karapatan at lehitimong interes ng paksa ng data. Sa kasong ito, ang data importer ay dapat, kung kinakailangan sa pakikipagtulungan sa data exporter:
1. ipaalam sa paksa ng data ang tungkol sa inaasahang awtomatikong desisyon, ang inaasahang kahihinatnan at lohika na kasangkot; at
2. magpatupad ng mga angkop na pag-iingat, kahit man lang sa pamamagitan ng pagpapagana sa paksa ng data na labanan ang desisyon, ipahayag ang kanyang pananaw at makakuha ng pagsusuri ng isang tao.
Kung ang mga kahilingan mula sa isang paksa ng data ay sobra-sobra, lalo na dahil sa paulit-ulit na katangian ng mga ito, ang data importer ay maaaring maningil ng isang makatwirang bayad na isinasaalang-alang ang mga gastos sa pangangasiwa sa pagbibigay ng kahilingan o tumanggi na kumilos sa kahilingan.
Maaaring tanggihan ng taga-import ng data ang kahilingan ng isang paksa ng data kung ang naturang pagtanggi ay pinahihintulutan sa ilalim ng mga batas ng bansang patutunguhan at kinakailangan at proporsyonal sa isang demokratikong lipunan upang maprotektahan ang isa sa mga layuning nakalista sa Artikulo 23(1) ng Regulasyon (EU) 2016 /679.
Kung ang nag-aangkat ng data ay nagnanais na tanggihan ang kahilingan ng isang paksa ng data, dapat nitong ipaalam sa paksa ng data ang mga dahilan ng pagtanggi at ang posibilidad na magsampa ng reklamo sa karampatang awtoridad sa pangangasiwa at/o paghingi ng hudisyal na pagbawi.

IKALAWANG MODULE: Ilipat ang controller sa processor

Ang data importer ay dapat agad na abisuhan ang data exporter ng anumang kahilingan na natanggap nito mula sa isang paksa ng data. Hindi ito tutugon sa mismong kahilingang iyon maliban kung ito ay pinahintulutan na gawin ito ng taga-export ng data.
Ang data importer ay dapat tumulong sa data exporter sa pagtupad sa mga obligasyon nito na tumugon sa mga kahilingan ng mga paksa ng data para sa paggamit ng kanilang mga karapatan sa ilalim ng Regulasyon (EU) 2016/679. Kaugnay nito, ang mga Partido ay dapat maglagay sa Annex II ng naaangkop na teknikal at organisasyonal na mga hakbang, na isinasaalang-alang ang likas na katangian ng pagproseso, kung saan ang tulong ay ibibigay, gayundin ang saklaw at ang lawak ng tulong na kinakailangan.
Sa pagtupad sa mga obligasyon nito sa ilalim ng mga talata (a) at (b), ang data importer ay dapat sumunod sa mga tagubilin mula sa data exporter.

IKATLONG MODULE: Ilipat ang processor sa processor

Ang data importer ay dapat na agad na aabisuhan ang data exporter at, kung naaangkop, ang controller ng anumang kahilingan na natanggap nito mula sa isang data subject, nang hindi tumutugon sa kahilingang iyon maliban kung ito ay pinahintulutan na gawin ito ng controller.
Ang data importer ay dapat tumulong, kung naaangkop sa pakikipagtulungan sa data exporter, ang controller sa pagtupad sa mga obligasyon nito na tumugon sa mga kahilingan ng data subject para sa paggamit ng kanilang mga karapatan sa ilalim ng Regulasyon (EU) 2016/679 o Regulasyon (EU) 2018/1725 , kung naaangkop. Kaugnay nito, ang mga Partido ay dapat maglagay sa Annex II ng naaangkop na teknikal at organisasyonal na mga hakbang, na isinasaalang-alang ang likas na katangian ng pagproseso, kung saan ang tulong ay ibibigay, gayundin ang saklaw at ang lawak ng tulong na kinakailangan.
Sa pagtupad sa mga obligasyon nito sa ilalim ng mga talata (a) at (b), ang data importer ay dapat sumunod sa mga tagubilin mula sa controller, gaya ng ipinaalam ng data exporter.

IKAAPAT NA MODULE: Ilipat ang processor sa controller

Ang Mga Partido ay dapat tumulong sa isa't isa sa pagtugon sa mga pagtatanong at kahilingan na ginawa ng mga paksa ng data sa ilalim ng lokal na batas na naaangkop sa nag-aangkat ng data o, para sa pagproseso ng data ng nag-export ng data sa EU, sa ilalim ng Regulasyon (EU) 2016/679.

Sugnay 11

Redress

Ang data importer ay dapat ipaalam sa mga paksa ng data sa isang transparent at madaling ma-access na format, sa pamamagitan ng indibidwal na paunawa o sa website nito, ng isang contact point na awtorisadong humawak ng mga reklamo. Haharapin nito kaagad ang anumang mga reklamo na natatanggap nito mula sa isang paksa ng data. [OPTION: Sumasang-ayon ang data importer na ang mga data subject ay maaari ding magsampa ng reklamo sa isang independent dispute resolution body nang walang bayad sa data subject. Dapat itong ipaalam sa mga paksa ng datos, sa paraang itinakda sa talata (a), ng naturang mekanismo ng pagtugon at na hindi nila kailangang gamitin ito, o sundin ang isang partikular na pagkakasunud-sunod sa paghingi ng kabayaran.]

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

Sa kaso ng hindi pagkakaunawaan sa pagitan ng isang paksa ng data at isa sa mga Partido patungkol sa pagsunod sa Mga Sugnay na ito, dapat gamitin ng Partido na iyon ang pinakamahusay na pagsisikap upang malutas ang isyu nang maayos sa isang napapanahong paraan. Ang mga Partido ay dapat panatilihing alam ang isa't isa tungkol sa mga naturang hindi pagkakaunawaan at, kung naaangkop, makipagtulungan sa paglutas ng mga ito.
Kung ang paksa ng data ay humihingi ng isang third-party na karapatan ng benepisyaryo alinsunod sa Clause 3, ang data importer ay dapat tanggapin ang desisyon ng data na napapailalim sa:
1. magsampa ng reklamo sa awtoridad sa pangangasiwa sa Estado ng Miyembro ng kanyang nakagawiang paninirahan o lugar ng trabaho, o sa karampatang awtoridad sa pangangasiwa alinsunod sa Clause 13;
2. i-refer ang hindi pagkakaunawaan sa mga karampatang hukuman sa loob ng kahulugan ng Clause 18.
Tinatanggap ng Mga Partido na ang paksa ng data ay maaaring katawanin ng isang hindi-para sa kita na katawan, organisasyon o asosasyon sa ilalim ng mga kundisyong itinakda sa Artikulo 80(1) ng Regulasyon (EU) 2016/679.
Ang data importer ay dapat sumunod sa isang desisyon na may bisa sa ilalim ng naaangkop na batas ng EU o Member State.
Sumasang-ayon ang nag-i-import ng data na ang pagpili na ginawa ng paksa ng data ay hindi makakasama sa kanyang mga karapatan at pamamaraang pamamaraan upang humingi ng mga remedyo alinsunod sa mga naaangkop na batas.

Sugnay 12

Sagutin

UNANG MODULE: Ilipat ang controller sa controller

IKAAPAT NA MODULE: Ilipat ang processor sa controller

Ang bawat Partido ay mananagot sa ibang Partido para sa anumang pinsalang idinudulot nito sa ibang Partido sa pamamagitan ng anumang paglabag sa Mga Sugnay na ito.
Ang bawat Partido ay mananagot sa paksa ng data, at ang paksa ng data ay may karapatan na makatanggap ng kabayaran, para sa anumang materyal o hindi materyal na pinsala na sanhi ng Partido sa paksa ng data sa pamamagitan ng paglabag sa mga karapatan ng benepisyaryo ng ikatlong partido sa ilalim ng Mga Sugnay na ito. Ito ay walang pagkiling sa pananagutan ng data exporter sa ilalim ng Regulasyon (EU) 2016/679.
Kung higit sa isang Partido ang mananagot para sa anumang pinsalang idinulot sa paksa ng data bilang resulta ng paglabag sa Mga Sugnay na ito, lahat ng responsableng Partido ay magkakasama at magkakahiwalay na mananagot at ang paksa ng data ay may karapatang magsampa ng aksyon sa korte laban sa alinman sa mga ito. Mga partido.
Ang mga Partido ay sumasang-ayon na kung ang isang Partido ay may pananagutan sa ilalim ng talata (c), ito ay may karapatan na bawiin mula sa ibang mga Partido ang bahagi ng kabayarang naaayon sa kanilang responsibilidad para sa pinsala.
Ang data importer ay hindi maaaring magsagawa ng pag-uugali ng isang processor o sub-processor upang maiwasan ang sarili nitong pananagutan.

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

Ang bawat Partido ay mananagot sa ibang Partido para sa anumang pinsalang idinudulot nito sa ibang Partido sa pamamagitan ng anumang paglabag sa Mga Sugnay na ito.
Ang data importer ay mananagot sa data subject, at ang data subject ay may karapatan na makatanggap ng kabayaran, para sa anumang materyal o hindi materyal na pinsala na sanhi ng data importer o sub-processor nito sa paksa ng data sa pamamagitan ng paglabag sa mga karapatan ng benepisyaryo ng third-party sa ilalim ng mga Clause na ito.
Sa kabila ng talata (b), ang data exporter ay mananagot sa data subject, at ang data subject ay may karapatan na makatanggap ng kabayaran, para sa anumang materyal o hindi materyal na pinsala ang data exporter o ang data importer (o ang sub-processor nito) nagiging sanhi ng paksa ng data sa pamamagitan ng paglabag sa mga karapatan ng benepisyaryo ng third-party sa ilalim ng Mga Clause na ito. Ito ay walang pagkiling sa pananagutan ng data exporter at, kung saan ang data exporter ay isang processor na kumikilos sa ngalan ng isang controller, sa pananagutan ng controller sa ilalim ng Regulation (EU) 2016/679 o Regulation (EU) 2018/1725, ayon sa naaangkop.
Ang mga Partido ay sumang-ayon na kung ang data exporter ay may pananagutan sa ilalim ng talata (c) para sa mga pinsalang dulot ng data importer (o ang sub-processor nito), ito ay may karapatan na i-claim pabalik mula sa data importer ang bahagi ng kabayarang naaayon sa responsibilidad ng data importer para sa pinsala.
Kung higit sa isang Partido ang mananagot para sa anumang pinsalang idinulot sa paksa ng data bilang resulta ng paglabag sa Mga Sugnay na ito, lahat ng responsableng Partido ay magkakasama at magkakahiwalay na mananagot at ang paksa ng data ay may karapatang magsampa ng aksyon sa korte laban sa alinman sa mga ito. Mga partido.
Ang mga Partido ay sumasang-ayon na kung ang isang Partido ay may pananagutan sa ilalim ng talata (e), ito ay may karapatan na bawiin mula sa ibang mga Partido ang bahagi ng kabayarang naaayon sa kanilang responsibilidad para sa pinsala.
Ang data importer ay hindi maaaring magsagawa ng pag-uugali ng isang sub-processor upang maiwasan ang sarili nitong pananagutan.

Sugnay 13

Pangangasiwa

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

[Kung saan ang data exporter ay itinatag sa isang EU Member State:] Ang nangangasiwa na awtoridad na may pananagutan sa pagtiyak ng pagsunod ng data exporter sa Regulasyon (EU) 2016/679 hinggil sa paglilipat ng data, gaya ng nakasaad sa Annex IC, ay dapat kumilos bilang karampatang awtoridad sa pangangasiwa. [Kung ang data exporter ay hindi itinatag sa isang EU Member State, ngunit nasa loob ng teritoryong saklaw ng aplikasyon ng Regulasyon (EU) 2016/679 alinsunod sa Artikulo 3(2) nito at nagtalaga ng isang kinatawan alinsunod sa Artikulo 27(1 ) ng Regulasyon (EU) 2016/679:] Ang awtoridad sa pangangasiwa ng Estado ng Miyembro kung saan ang kinatawan sa loob ng kahulugan ng Artikulo 27(1) ng Regulasyon (EU) 2016/679 ay itinatag, gaya ng nakasaad sa Annex IC, ay dapat kumilos bilang karampatang awtoridad sa pangangasiwa. [Kung ang data exporter ay hindi itinatag sa isang EU Member State, ngunit nasa loob ng teritoryong saklaw ng aplikasyon ng Regulasyon (EU) 2016/679 alinsunod sa Artikulo 3(2) nito nang hindi kinakailangang humirang ng isang kinatawan alinsunod sa Artikulo 27 (2) ng Regulasyon (EU) 2016/679:] Ang awtoridad sa pangangasiwa ng isa sa mga Estado ng Miyembro kung saan ang mga paksa ng data na ang personal na data ay inilipat sa ilalim ng Mga Clause na ito kaugnay sa pag-aalok ng mga kalakal o serbisyo sa kanila, o kung saan ang pag-uugali ay sinusubaybayan, matatagpuan, tulad ng ipinahiwatig sa Annex IC, ay dapat kumilos bilang karampatang awtoridad sa pangangasiwa.
Sumasang-ayon ang importer ng data na isumite ang sarili sa hurisdiksyon ng at makipagtulungan sa karampatang awtoridad sa pangangasiwa sa anumang mga pamamaraan na naglalayong tiyakin ang pagsunod sa Mga Clause na ito. Sa partikular, ang nag-aangkat ng data ay sumasang-ayon na tumugon sa mga katanungan, magsumite sa mga pag-audit at sumunod sa mga hakbang na pinagtibay ng awtoridad ng pangangasiwa, kabilang ang mga hakbang sa remedial at compensatory. Dapat itong magbigay sa awtoridad ng pangangasiwa ng nakasulat na kumpirmasyon na ang mga kinakailangang aksyon ay ginawa.

SEKSYON III – MGA LOKAL NA BATAS AT OBLIGASYON SA KASO NG ACCESS NG MGA AWTORIDAD NG PUBLIC

Sugnay 14

Mga lokal na batas at kasanayan na nakakaapekto sa pagsunod sa Mga Clause

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

IKAAPAT NA MODULE: Ilipat ang processor sa controller

(kung saan pinagsama ng processor ng EU ang personal na data na natanggap mula sa ikatlong country-controller sa personal na data na nakolekta ng processor sa EU)

Ginagarantiyahan ng Mga Partido na wala silang dahilan upang maniwala na ang mga batas at kasanayan sa ikatlong bansang patutunguhan na naaangkop sa pagproseso ng personal na data ng nag-aangkat ng data, kabilang ang anumang mga kinakailangan upang ibunyag ang personal na data o mga hakbang na nagpapahintulot sa pag-access ng mga pampublikong awtoridad, ay pumipigil sa ang data importer mula sa pagtupad sa mga obligasyon nito sa ilalim ng Mga Clause na ito. Ito ay batay sa pag-unawa na ang mga batas at gawi na gumagalang sa esensya ng mga pangunahing karapatan at kalayaan at hindi lalampas sa kung ano ang kinakailangan at proporsyonal sa isang demokratikong lipunan upang mapangalagaan ang isa sa mga layunin na nakalista sa Artikulo 23(1) ng Regulasyon (EU). ) 2016/679, ay hindi salungat sa mga Clause na ito.
Ipinapahayag ng Mga Partido na sa pagbibigay ng warranty sa talata (a), isinasaalang-alang nila ang nararapat na partikular sa mga sumusunod na elemento:
1. ang mga tiyak na kalagayan ng paglilipat, kabilang ang haba ng processing chain, ang bilang ng mga aktor na kasangkot at ang mga channel ng paghahatid na ginamit; nilalayong pasulong na paglipat; ang uri ng tatanggap; ang layunin ng pagproseso; ang mga kategorya at format ng inilipat na personal na data; ang sektor ng ekonomiya kung saan nagaganap ang paglilipat; ang lokasyon ng imbakan ng data na inilipat;
2. ang mga batas at gawi ng ikatlong bansang patutunguhan– kabilang ang mga nangangailangan ng pagsisiwalat ng data sa mga pampublikong awtoridad o nagpapahintulot sa pag-access ng naturang mga awtoridad – na may kaugnayan sa mga partikular na kalagayan ng paglilipat, at ang mga naaangkop na limitasyon at pananggalang;
3. anumang nauugnay na mga pananggalang sa kontraktwal, teknikal o organisasyon na inilagay upang madagdagan ang mga pananggalang sa ilalim ng Mga Clause na ito, kabilang ang mga hakbang na inilapat sa panahon ng paghahatid at sa pagproseso ng personal na data sa bansang patutunguhan.
Ang data importer ay ginagarantiyahan na, sa pagsasakatuparan ng pagtatasa sa ilalim ng talata (b), ito ay ginawa ang kanyang pinakamahusay na pagsisikap na magbigay sa data exporter ng may-katuturang impormasyon at sumasang-ayon na ito ay patuloy na makipagtulungan sa data exporter sa pagtiyak ng pagsunod sa mga Clause na ito.
Sumasang-ayon ang Mga Partido na idokumento ang pagtatasa sa ilalim ng talata (b) at gawin itong magagamit sa karampatang awtoridad sa pangangasiwa kapag hiniling.
Sumasang-ayon ang data importer na abisuhan kaagad ang data exporter kung, pagkatapos sumang-ayon sa Mga Clause na ito at para sa tagal ng kontrata, may dahilan itong maniwala na ito ay napapailalim o naging napapailalim sa mga batas o kasanayan na hindi naaayon sa mga kinakailangan sa ilalim ng talata (a), kabilang ang pagsunod sa isang pagbabago sa mga batas ng ikatlong bansa o isang panukala (tulad ng kahilingan sa pagsisiwalat) na nagsasaad ng aplikasyon ng mga naturang batas sa pagsasagawa na hindi naaayon sa mga kinakailangan sa talata (a). [Para sa Ikatlong Module: Ipapasa ng data exporter ang notification sa controller.]
Kasunod ng isang abiso alinsunod sa talata (e), o kung ang data exporter ay may dahilan upang maniwala na ang data importer ay hindi na magampanan ang mga obligasyon nito sa ilalim ng Mga Clause na ito, ang data exporter ay dapat agad na tukuyin ang mga naaangkop na hakbang (hal. teknikal o organisasyonal na mga hakbang upang matiyak seguridad at pagiging kumpidensyal) na dapat gamitin ng data exporter at/o data importer para matugunan ang sitwasyon [para sa Ikatlong Module: , kung naaangkop sa konsultasyon sa controller]. Dapat suspindihin ng data exporter ang paglilipat ng data kung isasaalang-alang nito na walang naaangkop na mga pag-iingat para sa naturang paglilipat ang matitiyak, o kung inutusan ng [para sa Ikatlong Module: ang controller o] ang karampatang awtoridad sa pangangasiwa na gawin ito. Sa kasong ito, ang data exporter ay may karapatan na wakasan ang kontrata, hangga't ito ay may kinalaman sa pagproseso ng personal na data sa ilalim ng Mga Clause na ito. Kung ang kontrata ay nagsasangkot ng higit sa dalawang Partido, maaaring gamitin ng taga-export ng data ang karapatang ito sa pagwawakas nang may paggalang sa nauugnay na Partido, maliban kung ang mga Partido ay sumang-ayon kung hindi man. Kung ang kontrata ay winakasan alinsunod sa Clause na ito, ang Clause 16(d) at (e) ay dapat ilapat.

Sugnay 15

Mga obligasyon ng nag-import ng data sa kaso ng pag-access ng mga pampublikong awtoridad

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

IKAAPAT NA MODULE: Ilipat ang processor sa controller

(kung saan pinagsama ng processor ng EU ang personal na data na natanggap mula sa ikatlong country-controller sa personal na data na nakolekta ng processor sa EU)

Abiso
1. 1. Sumasang-ayon ang data importer na abisuhan ang data exporter at, kung posible, ang data subject kaagad (kung kinakailangan sa tulong ng data exporter) kung ito ay:
    1. tumatanggap ng legal na may bisang kahilingan mula sa isang pampublikong awtoridad, kabilang ang mga awtoridad ng hudisyal, sa ilalim ng mga batas ng bansang patutunguhan para sa pagsisiwalat ng personal na data na inilipat alinsunod sa Mga Sugnay na ito; ang naturang abiso ay dapat magsama ng impormasyon tungkol sa personal na data na hiniling, ang humihiling na awtoridad, ang legal na batayan para sa kahilingan at ang ibinigay na tugon; o
    2. nakakaalam ng anumang direktang pag-access ng mga pampublikong awtoridad sa personal na data na inilipat alinsunod sa Mga Clause na ito alinsunod sa mga batas ng bansang patutunguhan; ang naturang abiso ay dapat isama ang lahat ng impormasyong magagamit ng importer.
[Para sa Ikatlong Module: Ipapasa ng data exporter ang notification sa controller.]
1. Kung ang data importer ay ipinagbabawal na abisuhan ang data exporter at/o ang data subject sa ilalim ng mga batas ng bansang patutunguhan, ang data importer ay sumasang-ayon na gamitin ang lahat ng kanyang makakaya upang makakuha ng waiver ng pagbabawal, na may layunin na makipag-ugnayan ng mas maraming impormasyon hangga't maaari, sa lalong madaling panahon. Sumasang-ayon ang nag-import ng data na idokumento ang pinakamahusay na pagsisikap nito upang maipakita ang mga ito sa kahilingan ng taga-export ng data.
2. Kung pinahihintulutan sa ilalim ng mga batas ng bansang patutunguhan, sumasang-ayon ang importer ng data na ibigay ang data exporter, sa mga regular na pagitan para sa tagal ng kontrata, na may pinakamaraming nauugnay na impormasyon hangga't maaari sa mga kahilingang natanggap (sa partikular, bilang ng mga kahilingan, uri ng data na hiniling, humihiling ng awtoridad, kung ang mga kahilingan ay hinamon at ang kinalabasan ng mga naturang hamon, atbp.). [Para sa Ikatlong Module: Ipapasa ng data exporter ang impormasyon sa controller.]
3. Sumasang-ayon ang nag-import ng data na panatilihin ang impormasyon alinsunod sa mga talata (a) hanggang (c) para sa tagal ng kontrata at gawin itong available sa karampatang awtoridad sa pangangasiwa kapag hiniling.
4. Ang mga talata (a) hanggang (c) ay walang pagkiling sa obligasyon ng importer ng data alinsunod sa Clause 14(e) at Clause 16 na ipaalam kaagad ang data exporter kung saan hindi nito magawang sumunod sa Mga Clause na ito.
Pagsusuri ng legalidad at pagliit ng data
1. Sumasang-ayon ang nag-aangkat ng data na suriin ang legalidad ng kahilingan para sa pagsisiwalat, lalo na kung nananatili ito sa loob ng mga kapangyarihang ipinagkaloob sa humihiling na pampublikong awtoridad, at hamunin ang kahilingan kung, pagkatapos ng maingat na pagtatasa, napagpasyahan nito na may mga makatwirang batayan upang isaalang-alang na ang kahilingan ay labag sa batas sa ilalim ng mga batas ng bansang patutunguhan, mga naaangkop na obligasyon sa ilalim ng internasyonal na batas at mga prinsipyo ng internasyonal na comity. Ang data importer ay dapat, sa ilalim ng parehong mga kundisyon, ituloy ang mga posibilidad ng apela. Kapag hinahamon ang isang kahilingan, ang nag-aangkat ng data ay dapat humingi ng pansamantalang mga hakbang na may layuning suspindihin ang mga epekto ng kahilingan hanggang sa mapagpasyahan ng karampatang awtoridad ng hudisyal ang mga merito nito. Hindi nito dapat ibunyag ang personal na data na hiniling hanggang sa kinakailangan na gawin ito sa ilalim ng naaangkop na mga tuntunin sa pamamaraan. Ang mga kinakailangang ito ay walang pagkiling sa mga obligasyon ng nag-aangkat ng data sa ilalim ng Clause 14(e).
2. Sumasang-ayon ang nag-aangkat ng data na idokumento ang legal na pagtatasa nito at anumang hamon sa kahilingan para sa pagsisiwalat at, hangga't pinahihintulutan sa ilalim ng mga batas ng bansang patutunguhan, gawing available ang dokumentasyon sa nag-export ng data. Dapat din itong gawing available sa karampatang awtoridad sa pangangasiwa kapag hiniling. [Para sa Ikatlong Module: Ang data exporter ay dapat gawing available ang assessment sa controller.]
3. Ang data importer ay sumasang-ayon na magbigay ng pinakamababang halaga ng impormasyong pinapayagan kapag tumutugon sa isang kahilingan para sa pagsisiwalat, batay sa isang makatwirang interpretasyon ng kahilingan.

SEKSYON IV - PANGHULING PROBISYON

Sugnay 16

Hindi pagsunod sa mga Sugnay at pagwawakas

Ang data importer ay dapat na agad na ipaalam sa data exporter kung ito ay hindi makasunod sa mga Clause na ito, sa anumang dahilan.
Kung sakaling ang data importer ay lumalabag sa mga Clause na ito o hindi makasunod sa mga Clause na ito, ang data exporter ay dapat suspindihin ang paglilipat ng personal na data sa data importer hanggang sa muling matiyak ang pagsunod o ang kontrata ay winakasan. Ito ay walang pagkiling sa Clause 14(f).
Ang data exporter ay may karapatan na wakasan ang kontrata, hangga't ito ay may kinalaman sa pagproseso ng personal na data sa ilalim ng Mga Clause na ito, kung saan:
1. sinuspinde ng data exporter ang paglilipat ng personal na data sa data importer alinsunod sa talata (b) at ang pagsunod sa Mga Clause na ito ay hindi naibabalik sa loob ng makatwirang panahon at sa anumang pangyayari sa loob ng isang buwan ng pagsususpinde;
2. ang data importer ay nasa malaki o patuloy na paglabag sa Mga Clause na ito; o
3. nabigo ang importer ng data na sumunod sa isang may-bisang desisyon ng isang karampatang hukuman o awtoridad sa pangangasiwa tungkol sa mga obligasyon nito sa ilalim ng Mga Clause na ito.
Sa mga kasong ito, dapat nitong ipaalam sa karampatang awtoridad sa pangangasiwa [para sa Ikatlong Module: at ang controller] ng naturang hindi pagsunod. Kung ang kontrata ay nagsasangkot ng higit sa dalawang Partido, maaaring gamitin ng taga-export ng data ang karapatang ito sa pagwawakas nang may paggalang sa nauugnay na Partido, maliban kung ang mga Partido ay sumang-ayon kung hindi man.
[Para sa Mga Module Una, Dalawa at Tatlo: Ang personal na data na inilipat bago ang pagwawakas ng kontrata alinsunod sa talata (c) ay dapat na sa pagpili ng data exporter ay agad na ibabalik sa data exporter o tatanggalin sa kabuuan nito. Ang parehong ay malalapat sa anumang mga kopya ng data.] [Para sa Ikaapat na Module: Ang personal na data na nakolekta ng data exporter sa EU na nailipat bago ang pagwawakas ng kontrata alinsunod sa talata (c) ay dapat na agad na tatanggalin sa kabuuan, kabilang ang anumang kopya nito.] Ang data importer ay dapat patunayan ang pagtanggal ng data sa data exporter. Hanggang sa matanggal o maibalik ang data, ang data importer ay dapat patuloy na tiyakin ang pagsunod sa mga Clause na ito. Sa kaso ng mga lokal na batas na naaangkop sa data importer na nagbabawal sa pagbabalik o pagtanggal ng inilipat na personal na data, ang data importer ay ginagarantiyahan na ito ay patuloy na titiyakin ang pagsunod sa mga Clause na ito at ipoproseso lamang ang data sa lawak at hangga't kinakailangan sa ilalim ng lokal na batas na iyon.
Maaaring bawiin ng alinmang Partido ang kasunduan nito na sumailalim sa Mga Clause na ito kung saan (i) ang European Commission ay nagpatibay ng isang desisyon alinsunod sa Artikulo 45(3) ng Regulasyon (EU) 2016/679 na sumasaklaw sa paglilipat ng personal na data kung saan nalalapat ang Mga Clause na ito; o (ii) Ang Regulasyon (EU) 2016/679 ay naging bahagi ng legal na balangkas ng bansa kung saan inililipat ang personal na data. Ito ay walang pagkiling sa iba pang mga obligasyong nalalapat sa pagpoproseso na pinag-uusapan sa ilalim ng Regulasyon (EU) 2016/679.

Sugnay 17

Namamahalang batas

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

[OPTION 1: Ang mga Clause na ito ay dapat na pinamamahalaan ng batas ng isa sa mga Estado ng Miyembro ng EU, kung pinapayagan ng naturang batas ang mga karapatan ng benepisyaryo ng third-party. Sumasang-ayon ang Mga Partido na ito ang magiging batas ng Netherlands. [OPTION 2 (para sa Mga Module Dalawa at Tatlo): Ang mga Clause na ito ay pamamahalaan ng batas ng EU Member State kung saan itinatag ang data exporter. Kung hindi pinapayagan ng naturang batas ang mga karapatan ng benepisyaryo ng third-party, pamamahalaan sila ng batas ng isa pang Estado ng Miyembro ng EU na nagpapahintulot sa mga karapatan ng benepisyaryo ng third-party. Sumasang-ayon ang Mga Partido na ito ang magiging batas ng Netherlands.

IKAAPAT NA MODULE: Ilipat ang processor sa controller

Ang mga Sugnay na ito ay dapat na pamamahalaan ng batas ng isang bansang nagbibigay-daan para sa mga karapatan ng benepisyaryo ng ikatlong partido. Sumasang-ayon ang Mga Partido na ito ang magiging batas ng Netherlands.

Sugnay 18

Pagpili ng forum at hurisdiksyon

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

Ang anumang hindi pagkakaunawaan na magmumula sa Mga Sugnay na ito ay dapat lutasin ng mga hukuman ng isang Estado ng Miyembro ng EU.
Ang mga Partido ay sumang-ayon na ang mga iyon ay ang mga korte ng Netherlands.
Ang isang paksa ng data ay maaari ding magdala ng mga legal na paglilitis laban sa nag-export ng data at/o nag-aangkat ng data sa harap ng mga korte ng Estado ng Miyembro kung saan siya ay nakagawian na tirahan.
Sumasang-ayon ang mga Partido na isumite ang kanilang mga sarili sa hurisdiksyon ng naturang mga korte.

IKAAPAT NA MODULE: Ilipat ang processor sa controller

Ang anumang hindi pagkakaunawaan na magmumula sa mga Sugnay na ito ay dapat lutasin ng mga korte ng Netherlands.

APENDIKS SA MGA PAMANTAYANG KONTRAKTUWAL NA CLAUES

ANNEX I SA MGA STANDARD CONTRACTUAL CLAUSES

A. PAGLALARAWAN NG PAGLIPAT

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

IKAAPAT NA MODULE: Ilipat ang processor sa controller

Mga kategorya ng mga paksa ng data na ang personal na data ay inilipat Lahat ng empleyado ng data exporter, ahente, tagapayo, subcontractor o contact person ng channel ng Kliyente, mga kasosyo, mga customer, mga prospect, mga kasosyo sa negosyo at mga vendor, at sinumang iba pang mga gumagamit ng Mga Endpoint ng Kliyente kung saan naka-install ang Mga Deliverable, o iba pang mga awtorisadong gumagamit ng Mga Deliverable. Mga kategorya ng personal na data na inilipat Ang personal na data na inilipat ay may kinalaman sa mga sumusunod na kategorya ng data

Mga detalye ng kumpanya ng kliyente; mga pamagat, email, numero ng telepono, at pangalan ng mga kinatawan ng Kliyente; impormasyon sa pagsingil; impormasyon ng negosyo; at iba pang Data o impormasyon na nagpasya ang Kliyente na ibigay sa Stellar Cyber sa pamamagitan ng o sa pamamagitan ng Mga Deliverable o anumang iba pang paraan o mekanismo.
Data ng User at Endpoint: ID ng ahente, pangalan ng Endpoint, user ID ng aktibong direktoryo ng customer, pangalan ng user, mga naka-install na application - oras ng pag-install, laki, publisher at bersyon, pangalan ng user ng SMTP, data ng configuration na nauugnay sa aktibong pagsasama ng direktoryo.
Buong path ng file: isasama lang ang personal na data kung ang pangalan ng file na pinangalanan ng Client ay may kasamang Data.
Data ng network (internal network IP address, pampublikong IP address, MAC address).
Mga na-reconstruct na file: mga file na na-reconstruct sa network.
Natanggap ang Mga Setting ng System mula sa Management Console (mga user name, email at numero ng telepono).
Impormasyon sa pagbabanta (file path, intrusion detection signature, (na maaaring kasama ang mga user name, IP address, file name).
Live na pagsubaybay sa network (mga URL, header ng URL, mga time stamp).
Kung saan pinalitaw ng Kliyente ang tampok na Pagkuha ng File ng Stellar Cyber: anumang Data na nilalaman sa mga file na kinukuha ng mga admin ng Kliyente.

Inilipat ang sensitibong data (kung naaangkop) at inilapat ang mga paghihigpit o pag-iingat na ganap na isinasaalang-alang ang likas na katangian ng data at ang mga panganib na kasangkot, tulad halimbawa ng mahigpit na limitasyon sa layunin, mga paghihigpit sa pag-access (kabilang ang pag-access lamang para sa mga kawani na sumunod sa espesyal na pagsasanay), pagpapanatili isang talaan ng pag-access sa data, mga paghihigpit para sa mga pasulong na paglilipat o karagdagang mga hakbang sa seguridad. Hindi maaari. Ang dalas ng paglilipat (hal. kung ang data ay inililipat sa one-off o tuloy-tuloy na batayan). Tuloy-tuloy ang paglilipat ng data sa panahon ng Kasunduan (mga) layunin ng paglilipat ng data at karagdagang pagproseso Ang Stellar Cyber ay nakikibahagi sa pagbibigay ng Mga Deliverable sa Kliyente na may kinalaman sa pagproseso ng Personal na Data. Ang saklaw ng mga Deliverable ay itinakda sa Kasunduan, at ang Personal na Data ay Ipoproseso ng Stellar Cyber kung kinakailangan upang maihatid ang mga Deliverable na iyon at upang sumunod sa mga tuntunin ng Kasunduan at ng Addendum na ito. Ang panahon kung saan pananatilihin ang personal na data, o, kung hindi iyon posible, ang pamantayang ginamit upang matukoy ang panahong iyon Ang tagal ng pagpoproseso ay: hanggang sa pag-expire/pagwawakas ng Kasunduan, o (ii) 30 araw mula sa pagtanggap ng kahilingan sa pagtanggal para sa ilan o lahat ng Personal na Data ng Kliyente. Para sa mga paglilipat sa (sub-) na mga processor, tukuyin din ang paksa, kalikasan at tagal ng pagproseso Gumagamit ang Stellar Cyber ng mga sub-processor upang suportahan ang kapaligiran ng imprastraktura nito, mga lokal at internasyonal na provider ng mga serbisyo ng telekomunikasyon at networking, mga entity na nakikibahagi sa pag-iimbak ng data at materyal sa paghahatid ng nilalaman. Ang Personal na Data na naproseso ng mga sub-processor ay pinoproseso para sa mga layunin at tagal ng nauugnay na kasunduan sa mga serbisyo ng Stellar Cyber o dokumento sa pag-order. Para sa karagdagang impormasyon, tingnan ang Listahan ng mga Subprocessor ng Stellar Cyber sa Annex III ng mga SCC.

B. KOMPETENTANG AWTORIDAD SA SUPERBISORY

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

Kilalanin ang karampatang awtoridad sa pangangasiwa alinsunod sa Clause 13 Para sa mga bagay na nauugnay sa paglilipat ng data alinsunod sa Regulasyon (EU) 2016/679: Autoriteit Persoongegevens ng Netherlands: https://www.autoriteitpersoonsgegevens.nl/en

ANNEX II SA MGA STANDARD CONTRACTUAL CLAUSES - TECHNICAL AND ORGANIZATIONAL NA PANUKALA KASAMA ANG TECHNICAL AT ORGANIZATIONAL NA MGA PANUKALA UPANG TIYAGUIN ANG SEGURIDAD NG DATA SA

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

Paglalarawan ng mga teknikal at pang-organisasyong hakbang na ipinatupad ng (mga) importer ng data (kabilang ang anumang nauugnay na sertipikasyon) upang matiyak ang naaangkop na antas ng seguridad, na isinasaalang-alang ang kalikasan, saklaw, konteksto at layunin ng pagproseso, at ang mga panganib para sa mga karapatan at kalayaan ng mga likas na tao.

Kasama sa mga teknikal at organisasyonal na hakbang, ngunit hindi limitado sa, ang mga sumusunod na hakbang para sa pagtiyak ng patuloy na pagiging kumpidensyal, integridad, at pagkakaroon ng data upang maiwasan ang hindi awtorisadong pag-access, paggamit, pagbabago o pagsisiwalat ng data:

Pagganap ng mga pagsusuri sa background sa lahat ng mga tauhan na may access sa pagpoproseso ng data, pati na rin ang lagda ng mga pangakong hindi pagsisiwalat at etika sa negosyo bago ang trabaho.
Pagsasanay sa kaalaman sa seguridad at privacy, kasama ang pagkilala at kasunduan na sumunod sa mga patakaran sa seguridad ng organisasyon, para sa lahat ng tauhan sa pag-hire at taun-taon pagkatapos noon.
Pagpapanatili ng isang komprehensibong hanay ng mga patakaran sa seguridad at privacy, mga pamamaraan at mga plano na sinusuri nang hindi bababa sa isang taunang batayan at nagbibigay ng gabay sa organisasyon tungkol sa mga kasanayan sa seguridad at privacy; mga proseso para sa pagsusuri ng mga prospective at kasalukuyang Sub-processor upang matiyak na sila ay may kakayahan at nangangako sa naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang patuloy na pagiging kumpidensyal, integridad at pagkakaroon ng data.
Isang proseso para sa regular na pagsubok, pagtatasa at pagsusuri sa pagiging epektibo ng administratibo, teknikal, at pisikal na mga pananggalang para sa pagtiyak ng seguridad ng pagproseso, paghahatid o pag-imbak ng data sa pamamagitan ng panlabas at panloob na pag-audit.
Pag-iwas sa pag-access, paggamit, pagbabago o pagsisiwalat ng data maliban sa mga awtorisadong tauhan ng Stellar Cyber (1) upang ibigay ang Mga Deliverable at maiwasan o matugunan ang mga serbisyo o teknikal na mga problema, (2) bilang pinilit ng batas, o (3) bilang hayagang pinahihintulutan ng Kliyente sa pagsulat .
Pagtatala at pagsubaybay sa mga log ng seguridad sa pamamagitan ng Pamamahala ng Pangyayari sa Insidente sa Seguridad (“SIEM"") na sistema at pag-aalerto sa pagtuklas ng mga kahina-hinalang pag-uugali ng sistema at/o gumagamit; mga proseso at kagamitan para sa regular na pagtukoy, pagtatasa, at pagsusuri ng mga kahinaan batay sa mga alituntuning pamantayan ng industriya.
Pseudonymization o pag-encrypt ng data sa pagpapadala at sa natitirang paggamit ng mga mekanismong pamantayan sa industriya para sa ilang Deliverable.
Ang MFA at malalakas na password ay mahigpit na ipinapatupad upang ma-access ang data processing unit.
Ang kakayahang ibalik ang pagkakaroon at pag-access sa Data ng Kliyente sa isang napapanahong paraan kung sakaling magkaroon ng isang insidente na makakaapekto sa pagkakaroon ng Data ng Kliyente sa pamamagitan ng pagpapanatili ng isang backup na solusyon para sa mga layunin ng pagbawi ng sakuna;

Para sa mga paglilipat sa (sub-) na mga processor, ilarawan din ang mga partikular na teknikal at organisasyonal na mga hakbang na gagawin ng (sub-) na processor upang makapagbigay ng tulong sa controller at, para sa mga paglilipat mula sa isang processor patungo sa isang sub-processor, upang ang data exporter

Inaatasan ng Stellar Cyber ang mga subprocessor nito na sumunod sa katumbas na materyal na panukalang teknikal at organisasyon gaya ng mga pinagtibay ng Stellar Cyber.

ANNEX III SA MGA STANDARD CONTRACTUAL CLAUSES – LISTAHAN NG MGA SUB-PROCESSORS

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

Pinahintulutan ng controller ang paggamit ng mga sumusunod na sub-processor:

Entity	Uri ng Serbisyo	Bansa ng Entity
Oracle, Inc.	Infrastructure-Bilang-A-Serbisyo	Estados Unidos. Rehiyon ng Data Center na matatagpuan sa rehiyong pinili ng Customer.
Zendesk, Inc.	Customer Support	Estados Unidos
Slack Technologies, Inc.	Customer Support	Estados Unidos
Atlassian	Customer Support	Estados Unidos
Hex Technologies	Negosyo katalinuhan	Estados Unidos
Makintal	Customer Support	Estados Unidos
Mixpanel	Analytics ng Produkto	Estados Unidos

Pinahintulutan ng controller ang paggamit ng mga sumusunod na sub-processor:

Ang mga sumusunod na tuntunin ay nagdaragdag lamang sa mga Standard Contractual Clause kung at sa lawak na ang mga Standard Contractual Clause ay nalalapat patungkol sa mga paglilipat ng data na napapailalim sa Federal Data Protection Act ng 19 Hunyo 1992 (Switzerland):

Ang terminong 'Estado ng Miyembro' ay bibigyang-kahulugan sa paraang nagbibigay-daan sa isang paksa ng data sa Switzerland na gamitin ang kanilang mga karapatan sa ilalim ng Mga Clause sa kanilang lugar ng karaniwang paninirahan (Switzerland) alinsunod sa Clause 18(c) ng Mga Clause na ito.

EXHIBIT 4 SA DATA PRODUCTION ADDEMDUM

INTERNATIONAL DATA TRANSFER ADDENDUM SA EU COMMISSION STANDARD CONTRACTUAL CLAUS

Ang Addendum na ito ay inisyu ng Information Commissioner para sa mga Partido na gumagawa ng Mga Restricted Transfers. Isinasaalang-alang ng Komisyoner ng Impormasyon na nagbibigay ito ng Mga Naaangkop na Pagbantay para sa Mga Pinaghihigpitang Paglilipat kapag ito ay pinasok bilang isang legal na may bisang kontrata.

Bahagi 1: Mga talahanayan

Talahanayan 1: Mga Partido

Petsa ng Pagsisimula
Ang Mga Partido	Exporter (na nagpapadala ng Restricted Transfer)	Importer (na tumatanggap ng Restricted Transfer)
Mga detalye ng mga partido	Gaya ng tinukoy sa Kasunduan.	Gaya ng tinukoy sa Kasunduan.

Talahanayan 2: Mga Piniling SCC, Module at Piniling Clause

Addendum EU SCCs	Ang bersyon ng Mga Naaprubahang EU SCC kung saan nakadugtong ang Exhibit 4 na ito, na nakadetalye sa ibaba, kasama ang Impormasyon ng Appendix:

Talahanayan 3: Impormasyon sa Apendise

"Impormasyon ng Appendix" nangangahulugang ang impormasyong dapat ibigay para sa mga napiling module na itinakda sa Appendix ng Mga Naaprubahang EU SCC (maliban sa Mga Partido), at kung saan para sa Addendum na ito ay itinakda sa: sentinelone.com/legal/sccs/eu-c2p .

Talahanayan 4: Tinatapos ang Addendum na ito kapag Nagbago ang Naaprubahang Addendum

Tinatapos ang Addendum na ito kapag nagbago ang Naaprubahang Addendum	Aling mga Partido ang maaaring tapusin ang Addendum na ito gaya ng itinakda sa Seksyon 19: angkat Tagaluwas

Bahagi 2: Mga Mandatoryong Sugnay

Ang bawat Partido ay sumasang-ayon na sumailalim sa mga tuntunin at kundisyon na itinakda sa Addendum na ito, kapalit ng kabilang Partido na sumasang-ayon din na sumailalim sa Addendum na ito.
Bagama't ang Annex 1A at Clause 7 ng Mga Naaprubahang EU SCC ay nangangailangan ng lagda ng Mga Partido, para sa layunin ng paggawa ng Mga Restricted Transfers, ang Mga Partido ay maaaring pumasok sa Addendum na ito sa anumang paraan na ginagawa silang legal na may bisa sa Mga Partido at nagpapahintulot sa mga paksa ng data na ipatupad ang kanilang mga karapatan gaya ng itinakda sa Addendum na ito. Ang pagpasok sa Addendum na ito ay magkakaroon ng parehong epekto gaya ng paglagda sa Mga Naaprubahang EU SCC at anumang bahagi ng Mga Naaprubahang EU SCC.

Interpretasyon ng Addendum na ito

Kapag ang Addendum na ito ay gumagamit ng mga termino na tinukoy sa Mga Naaprubahang EU SCC ang mga terminong iyon ay magkakaroon ng parehong kahulugan tulad ng sa Mga Naaprubahang EU SCC. Bilang karagdagan, ang mga sumusunod na termino ay may mga sumusunod na kahulugan: Addendum: Itong International Data Transfer Addendum na binubuo ng Addendum na ito na kinabibilangan ng Addendum EU SCCs. Addendum EU SCCs: Ang (mga) bersyon ng Mga Naaprubahang EU SCC kung saan idinagdag ang Addendum na ito, gaya ng itinakda sa Talahanayan 2, kasama ang Impormasyon ng Appendix. Impormasyon sa Appendix: Gaya ng itinakda sa Talahanayan 3. Mga Naaangkop na Pag-iingat: Ang pamantayan ng proteksyon sa personal na data at ng mga karapatan ng mga paksa ng data, na kinakailangan ng UK Data Protection Laws kapag gumagawa ka ng Restricted Transfer na umaasa sa mga standard na sugnay sa proteksyon ng data sa ilalim ng Artikulo 46(2)(d) UK GDPR. Naaprubahan na Addendum: Ang template na Addendum na inilabas ng ICO at inilatag sa Parliament alinsunod sa s119A ng Data Protection Act 2018 noong 2 Pebrero 2022, dahil ito ay binago sa ilalim ng Seksyon 18. Mga naaprubahang EU SCC: Ang mga Standard Contractual Clause na itinakda sa Annex of Commission Implementing Decision (EU) 2021/914 ng 4 June 2021. Mga ICO:Ang Komisyoner ng Impormasyon. Restricted Transfer: Isang paglipat na saklaw ng Kabanata V ng UK GDPR. United Kingdom: Ang United Kingdom ng Great Britain at Northern Ireland. Mga Batas sa Proteksyon ng Data ng UK:Lahat ng batas na nauugnay sa proteksyon ng data, pagpoproseso ng personal na data, privacy at/o mga elektronikong komunikasyon na may bisa sa pana-panahon sa UK, kabilang ang UK GDPR at ang Data Protection Act 2018. UK GDPR: Gaya ng tinukoy sa seksyon 3 ng Data Protection Act 2018.

Ang Addendum na ito ay dapat palaging bigyang-kahulugan sa paraang naaayon sa Mga Batas sa Proteksyon ng Data ng UK at upang matupad nito ang mga obligasyon ng Mga Partido na magbigay ng Mga Naaangkop na Safeguard.
Kung ang mga probisyong kasama sa Addendum EU SCCs ay mag-amyenda sa Approved SCCs sa anumang paraan na hindi pinahihintulutan sa ilalim ng Approved EU SCCs o Approved Addendum, ang naturang amendment (s) ay hindi isasama sa Addendum na ito at ang katumbas na probisyon ng Approved EU Ang mga SCC ang hahalili sa kanila.
Kung mayroong anumang hindi pagkakapare-pareho o salungatan sa pagitan ng UK Data Protection Laws at ng Addendum na ito, ang UK Data Protection Laws ay nalalapat.
Kung ang kahulugan ng Addendum na ito ay hindi malinaw o mayroong higit sa isang kahulugan, ang kahulugan na pinaka malapit na naaayon sa Mga Batas sa Proteksyon ng Data ng UK ay nalalapat.
Anumang pagtukoy sa batas (o mga partikular na probisyon ng batas) ay nangangahulugan na ang batas (o partikular na probisyon) na maaaring magbago sa paglipas ng panahon. Kabilang dito ang kung saan ang batas (o partikular na probisyon) ay pinagsama-sama, muling pinagtibay at/o pinalitan pagkatapos na maipasok ang Addendum na ito.

Interpretasyon ng Addendum na ito

Bagama't itinakda ng Clause 5 ng Mga Naaprubahang EU SCC na ang mga Naaprubahang EU SCC ay nananaig sa lahat ng nauugnay na kasunduan sa pagitan ng mga partido, sumasang-ayon ang mga partido na, para sa Mga Restricted Transfers, ang hierarchy sa Seksyon 10 ang mananaig.
Kung mayroong anumang hindi pagkakapare-pareho o salungatan sa pagitan ng Approved Addendum at ng Addendum EU SCCs (bilang naaangkop), ang Approved Addendum ay override ang Addendum EU SCCs, maliban kung saan (at hanggang sa) ang hindi pare-pareho o magkasalungat na tuntunin ng Addendum EU SCCs ay nagbibigay higit na proteksyon para sa mga paksa ng data, kung saan ang mga tuntuning iyon ay magpapawalang-bisa sa Naaprubahang Addendum.
Kung saan isinasama ng Addendum na ito ang mga Addendum EU SCC na pinasok upang protektahan ang mga paglilipat na napapailalim sa General Data Protection Regulation (EU) 2016/679, tinatanggap ng Mga Partido na wala sa Addendum na ito ang nakakaapekto sa mga Addendum EU SCC na iyon.

Pagsasama ng at mga pagbabago sa EU SCCs

Isinasama ng Addendum na ito ang mga Addendum EU SCC na inaamyenda sa lawak na kinakailangan upang:

sama-sama silang nagpapatakbo para sa mga paglilipat ng data na ginawa ng data exporter sa data importer, hanggang sa ang UK Data Protection Laws ay nalalapat sa pagproseso ng data exporter kapag ginagawa ang paglilipat ng data na iyon, at nagbibigay sila ng Mga Naaangkop na Safeguard para sa mga paglilipat ng data na iyon;
In-override ng Seksyon 9 hanggang 11 ang Clause 5 (Hierarchy) ng Addendum EU SCCs; at
ang Addendum na ito (kabilang ang Addendum EU SCCs na kasama dito) ay (1) pinamamahalaan ng mga batas ng England at Wales at (2) anumang hindi pagkakaunawaan na magmumula dito ay naresolba ng mga korte ng England at Wales, sa bawat kaso maliban kung ang mga batas at /o mga korte ng Scotland o Northern Ireland ay hayagang pinili ng Mga Partido.

Maliban kung ang Mga Partido ay sumang-ayon sa mga alternatibong susog na nakakatugon sa mga kinakailangan ng Seksyon 12, ang mga probisyon ng Seksyon 15 ay ilalapat. Walang mga pagbabago sa mga Inaprubahang EU SCC maliban sa matugunan ang mga kinakailangan ng Seksyon 12 na maaaring gawin. Ang mga sumusunod na pagbabago sa Addendum EU SCCs (para sa layunin ng Seksyon 12) ay ginawa:

Ang mga sanggunian sa "Mga Sugnay" ay nangangahulugan ng Addendum na ito, na kinabibilangan ng mga Addendum EU SCC;

Sa Clause 2, tanggalin ang mga salita:

“at, patungkol sa paglilipat ng data mula sa mga controllers patungo sa mga processor at/o mga processor sa mga processor, mga karaniwang contractual clause alinsunod sa Artikulo 28(7) ng Regulasyon (EU) 2016/679”;

Ang Clause 6 (Paglalarawan ng (mga) paglilipat) ay pinalitan ng:

“Ang mga detalye ng (mga) paglilipat at partikular na ang mga kategorya ng personal na data na inilipat at ang (mga) layunin kung saan sila inilipat) ay ang mga tinukoy sa Annex IB kung saan ang UK Data Protection Laws ay nalalapat sa pagproseso ng data exporter kapag paggawa ng paglipat na iyon.”;

Ang Clause 8.7(i) ng Module 1 ay pinalitan ng:

"ito ay sa isang bansang nakikinabang mula sa mga regulasyon sa kasapatan alinsunod sa Seksyon 17A ng UK GDPR na sumasaklaw sa pasulong na paglipat";

Ang Clause 8.8(i) ng Modules 2 at 3 ay pinalitan ng:

"ang pasulong na paglipat ay sa isang bansang nakikinabang mula sa mga regulasyon sa kasapatan alinsunod sa Seksyon 17A ng UK GDPR na sumasaklaw sa pasulong na paglipat;"

Mga sanggunian sa "Regulation (EU) 2016/679", "Regulation (EU) 2016/679 ng European Parliament at ng Council of 27 April 2016 sa proteksyon ng mga natural na tao patungkol sa pagproseso ng personal na data at sa malayang paggalaw ng naturang data (Pangkalahatang Regulasyon sa Proteksyon ng Data)” at “Ang Regulasyon na iyon” ay papalitan lahat ng “Mga Batas sa Proteksyon ng Data sa UK”. Ang mga sanggunian sa partikular na (mga) Artikulo ng “Regulation (EU) 2016/679” ay pinalitan ng katumbas na Artikulo o Seksyon ng UK Data Protection Laws; Ang mga sanggunian sa Regulasyon (EU) 2018/1725 ay inalis; Ang mga sanggunian sa "European Union", "Union", "EU", "EU Member State", "Member State" at "EU o Member State" ay pinalitan lahat ng "UK"; Ang pagtukoy sa "Clause 12(c)(i)" sa Clause 10(b)(i) ng Module one, ay pinalitan ng "Clause 11(c)(i)"; Clause 13(a) at Part C ng Annex I ay hindi ginagamit; Parehong pinapalitan ang "competent supervisory authority" at "supervisory authority" ng "Information Commissioner"; Sa Clause 16€, ang subsection (i) ay pinalitan ng:

“Gumagawa ang Kalihim ng Estado ng mga regulasyon alinsunod sa Seksyon 17A ng Data Protection Act 2018 na sumasaklaw sa paglilipat ng personal na data kung saan nalalapat ang mga sugnay na ito;”

Ang sugnay 17 ay pinalitan ng:

"Ang mga Clause na ito ay pinamamahalaan ng mga batas ng England at Wales.";

Ang sugnay 18 ay pinalitan ng:

“Anumang hindi pagkakaunawaan na magmumula sa Mga Clause na ito ay dapat lutasin ng mga korte ng England at Wales. Ang isang paksa ng data ay maaari ring magdala ng mga legal na paglilitis laban sa nag-export ng data at/o nag-import ng data sa harap ng mga korte ng anumang bansa sa UK. Sumasang-ayon ang mga Partido na isumite ang kanilang mga sarili sa hurisdiksyon ng naturang mga korte.”; at

Ang mga footnote sa Approved EU SCCs ay hindi bahagi ng Addendum, maliban sa mga footnote 8, 9, 10 at 11.

Mga pagbabago sa Addendum na ito

Maaaring sumang-ayon ang Mga Partido na baguhin ang Clause 17 at/o 18 ng Addendum EU SCCs upang sumangguni sa mga batas at/o mga korte ng Scotland o Northern Ireland.
Kung nais ng Mga Partido na baguhin ang format ng impormasyong kasama sa Bahagi 1: Mga Talahanayan ng Naaprubahang Addendum, maaari nilang gawin ito sa pamamagitan ng pagsang-ayon sa pagbabago sa pamamagitan ng pagsulat, sa kondisyon na ang pagbabago ay hindi magbabawas sa Mga Naaangkop na Pangalagaan.

Paminsan-minsan, maaaring mag-isyu ang ICO ng binagong Naaprubahang Addendum na:

gumagawa ng makatwiran at proporsyonal na mga pagbabago sa Naaprubahang Addendum, kabilang ang pagwawasto ng mga pagkakamali sa Naaprubahang Addendum; at/o
sumasalamin sa mga pagbabago sa UK Data Protection Laws;

Ang binagong Naaprubahang Addendum ay tutukuyin ang petsa ng pagsisimula kung saan ang mga pagbabago sa Naaprubahang Addendum ay magiging epektibo at kung ang Mga Partido ay kailangang suriin ang Addendum na ito kasama ang Impormasyon ng Appendix. Ang Addendum na ito ay awtomatikong susugan gaya ng itinakda sa binagong Naaprubahang Addendum mula sa tinukoy na petsa ng pagsisimula. Kung mag-isyu ang ICO ng binagong Naaprubahang Addendum sa ilalim ng Seksyon 18, kung ang alinmang Partido na pinili sa Talahanayan 4 na "Pagtatapos sa Addendum kapag nagbago ang Naaprubahang Addendum", ay direktang resulta ng mga pagbabago sa Naaprubahang Addendum ay magkakaroon ng malaki, hindi katimbang at maipapakitang pagtaas sa:

ang mga direktang gastos nito sa pagsasagawa ng mga obligasyon nito sa ilalim ng Addendum; at/o
ang panganib nito sa ilalim ng Addendum, at sa alinmang kaso ay gumawa muna ito ng mga makatwirang hakbang upang bawasan ang mga gastos o panganib na iyon upang hindi ito malaki at hindi katimbang, pagkatapos ay maaaring tapusin ng Partidong iyon ang Addendum na ito sa pagtatapos ng isang makatwirang panahon ng paunawa, sa pamamagitan ng pagbibigay ng nakasulat na paunawa para sa panahong iyon sa kabilang Partido bago ang petsa ng pagsisimula ng binagong Naaprubahang Addendum.

Hindi kailangan ng Mga Partido ang pahintulot ng sinumang ikatlong partido upang gumawa ng mga pagbabago sa Addendum na ito, ngunit ang anumang mga pagbabago ay dapat gawin alinsunod sa mga tuntunin nito.

Mga Kakayahang Pangseguridad

Mga patayo

Ikumpara sa Stellar Cyber

paghahambing

Gumamit ng mga Kaso

Mga Differentiator

Pag-iisip ng Pamumuno

Mga Programa at Mapagkukunan

Magsimula

Tampok na Mga Mapagkukunan

SOC Mga Gabay sa Awtomasyon

Mga Gabay sa SecOps

AI-hinimok SIEM Gabay

Piliin ang Wika

Addendum ng Proteksyon ng Data

Kahulugan

Pagproseso ng Personal na Data ng Kliyente

Stellar Cyber ​​Personnel

Katiwasayan

Subproseso

Mga Karapatan sa Paksa ng Data

Paglabag sa Personal na Data

Pagtatasa sa Epekto ng Proteksyon ng Data at Paunang Konsultasyon

Pagtanggal o pagbabalik ng Personal na Data ng Kliyente

Pag-audit at Mga Tala

Mga Restricted Transfers

Pangkalahatang Mga Tuntunin

EXHIBIT 1 SA DATA PROTECTION ADDENDUM

MGA DETALYE NG PAGPROSESO NG KLIENTE PERSONAL DATA

EXHIBIT 2 SA DATA PROTECTION ADDENDUM

MGA PANUKALA SA TEKNIKAL AT ORGANISASYON KASAMA ANG MGA PANUKALA SA TEKNIKAL AT ORGANISASYON UPANG TIYAKIN ANG SEGURIDAD NG DATA

EXHIBIT 3 SA DATA PROTECTION ADDENDUM

MGA PAMANTAYANG CONTRACTUAL CLAUSES

SEKSYON I

SEKSYON II – OBLIGASYON NG MGA PARTIDO

UNANG MODULE: Ilipat ang controller sa controller

Limitasyon ng layunin

Aninaw

Katumpakan at pagliit ng data

Limitasyon sa imbakan

Seguridad sa pagproseso

Sensitibong data

Pasulong na mga paglilipat

Pagproseso sa ilalim ng awtoridad ng nag-import ng data

Dokumentasyon at pagsunod

IKALAWANG MODULE: Ilipat ang controller sa processor

tagubilin

Limitasyon ng layunin

Aninaw

Ganap na kawastuan

Tagal ng pagproseso at pagbura o pagbabalik ng data

Seguridad sa pagproseso

Sensitibong data

Pasulong na mga paglilipat

Dokumentasyon at pagsunod

IKATLONG MODULE: Ilipat ang processor sa processor

tagubilin

Limitasyon ng layunin

Aninaw

Ganap na kawastuan

Tagal ng pagproseso at pagbura o pagbabalik ng data

Seguridad sa pagproseso

Sensitibong data

Pasulong na mga paglilipat

Dokumentasyon at pagsunod

IKAAPAT NA MODULE: Ilipat ang processor sa controller

tagubilin

Seguridad sa pagproseso

Dokumentasyon at pagsunod

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

IKAAPAT NA MODULE: Ilipat ang processor sa controller

UNANG MODULE: Ilipat ang controller sa controller

IKALAWANG MODULE: Ilipat ang controller sa processor

IKATLONG MODULE: Ilipat ang processor sa processor

UNANG MODULE: Ilipat ang controller sa controller

IKAAPAT NA MODULE: Ilipat ang processor sa controller

Stellar Cyber Personnel