Настоящото Допълнение относно обработването на данни („ДОД“) и приложимите Приложения се прилагат, когато HP действа като обработващ лични данни и обработва лични данни на Клиента от името на Клиента, за да предостави Услугите, договорени в...
ДОПЪЛНЕНИЕ ОТНОСНО ОБРАБОТВАНЕТО НА ДАННИ НА КЛИЕНТИТЕ
Настоящото Допълнение относно обработването на данни („ДОД“) и приложимите Приложения се прилагат, когато HP действа като обработващ лични данни и обработва лични данни на Клиента от името на Клиента, за да предостави Услугите, договорени в приложимите споразумения между HP и Клиента („Споразумение за услуги“). Това ДОД не се прилага, когато HP и Клиентът следва да се считат за администратори на данни сами по себе си. Термини с главни букви, които не са конкретно описани тук, имат значението, посочено в Споразумението за услуги. В случай на конфликт между условията на Споразумението за услуги, които се отнасят до обработването на лични данни, и това ДОД, ДОД има предимство.
1 ОПРЕДЕЛЕНИЯ
1.1 „Клиент“ означава клиент на крайния потребител на Услугите на HP;
1.2 „Лични данни на Клиента“ означава личните данни, по отношение на които Клиентът е администратор на данни и които се обработват от HP като обработващ лични данни или неговите Подизпълнители в хода на предоставяне на Услугите;
1.3 „Администратор на данни“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, който самостоятелно или съвместно с други определя целите и средствата за обработване на лични данни; когато целите и средствата за обработване се определят от приложимия Закон за защита на личните данни и правото на неприкосновеност на личния живот, Администраторът на данни или критериите за определяне на Администратора на данни ще бъдат определени от приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот;
1.4 „Обработващ лични данни“ означава всяко физическо или юридическо лице, публичен орган, агенция или друг орган, който обработва лични данни от името на администратор на данни или по разпореждане на друг обработващ лични данни, който действа от името на администратор на данни;
1.5 „Закон за защита на личните данни и правото на неприкосновеност на личния живот“ означава всички настоящи и бъдещи приложими закони и разпоредби, отнасящи се до обработването, сигурността, защитата и запазването на лични данни и правото на неприкосновеност на личния живот, които могат да съществуват в съответните юрисдикции, включително, но не само Директива 95/46/ЕО за защита на физическите лица при обработването на лични данни и за свободното движение на такива данни, Директива 2002/58/ЕО относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации, всички национални закони или подзаконови актове, които прилагат горепосочените директиви, Общия регламент за защитата на лични данни (ОРЗД) (когато е приложимо) и всички закони за защита на личните данни на Норвегия, Исландия, Лихтенщайн, Швейцария или Обединеното кралство (след като Обединеното кралство прекрати членството си в ЕС) и всякакви изменения или допълнения на такива закони и разпоредби;
1.6 „Субект на данни“ има значението, определено за термина „субект на данни“ съгласно приложимите закони за защита на личните данни и за правото на неприкосновеност на личния живот, и включва най‐малко всички и всякакви идентифицирани физически лица или такива, които може да бъдат идентифицирани, за които се отнасят личните данни;
1.7 „ЕС“ означава Европейският съюз и държавите, които са членове на този съюз колективно;
1.8 „Европейска държава“ означава държава членка на ЕС, Норвегия, Исландия, Лихтенщайн, Швейцария и Обединеното кралство, след като Обединеното кралство престане да бъде държава членка на ЕС;
1.9 „Стандартни договорни клаузи на ЕС“ означава стандартните договорни клаузи на ЕС за прехвърляне на лични данни към обработващите лични данни съгласно Решение на Комисията 2010/87/ЕС или заместващ го регламент;
1.10 „Щит за личните данни в отношенията между ЕС и САЩ“ означава Рамката за правото на неприкосновеност на личния живот между ЕС‐САЩ (U.S. Privacy Shield), договорена между Министерството на търговията на САЩ и Европейската комисия, със съответните изменения или допълнения периодично;
1.11 „ОРЗД“ означава Общ регламент относно защитата на данните (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни;
1.12 „Група на HP“ означава HP Inc (1501 Xxxx Xxxx Xxxx, Xxxx Xxxx, XX 00000) и всички негови дъщерни дружества с мажоритарно участие, притежавани и контролирани, независимо от юрисдикцията на учредяването или управлението им;
1.13 „Лични данни“ означава всякаква информация, свързана с идентифицирано или подлежащо на идентифициране лице, жив индивид или по някакъв друг начин определено от приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот. Лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по‐специално чрез посочване на идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или един или повече признаци, специфични за неговата физическа, физиологична, генетична, психическа, умствена, икономическа, културна или социална идентичност;
1.14 „Инцидент с лични данни“ има значението, определено от приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот на термините
„инцидент със сигурността“, „нарушение на сигурността“ или „нарушение на сигурността на личните данни“, но включва всяка ситуация, при която HP узнае, че личните данни на Клиента са станали или е възможно да станат достъпни, разкрити, променени, изгубени, унищожени или използвани от неоторизирани лица по неразрешен начин;
1.15 “обработвам“, „обработва“, „обработване“ или „обработен“ означава всяка операция или набор от операции, които се извършват с лични данни, независимо дали чрез автоматични средства, включително, без ограничение, достъп до, събиране, записване, организиране, структуриране, запазване, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, блокиране, ограничаване, изтриване и унищожаване на лични данни и всички еквивалентни определения в приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот, доколкото такива определения надхвърлят това определение;
1.16 „Съответна страна“ означава всички държави, различни от тези европейски държави и други държави, по отношение на които е установена достатъчността съгласно Член 25, параграф 6 от европейската Директива за защита на личните данни или Член 45 от ОРЗД;
1.17 „Услуги“ означава услуги, включително продукти и поддръжка, предоставени от HP съгласно Споразумението за услуги;
1.18 „Споразумение за услуги“ означава споразумението между HP и Клиента за закупуване на Услуги от HP; и
1.19 „Подизпълнител“ означава всяка организация, ангажирана от HP или от всеки друг Подизпълнител на HP, който получава от лични данни на Клиента за дейностите по обработване, които ще се извършват от името на Клиента.
2 ОБХВАТ И СЪОТВЕТСТВИЕ СЪС ЗАКОНА
2.1 Това ДОД се отнася само до обработването на лични данни на Xxxxxxx от HP във връзка с предоставянето на Услугите на HP и когато HP действа като обработващ лични данни от името на Клиента като администратор на данни. Това ДОД не се прилага, когато HP и Клиентът следва да се считат за администратори на данни сами по себе си.
2.2 Категориите субекти на данни, видовете обработени лични данни на Клиента и целите на обработването са представени в Приложение 1 на настоящото ДОД. HP обработва лични данни на Клиента за срока на Споразумението за услуги (или за по‐дълго, доколкото се изисква от приложимото законодателство).
2.3 При използването на Услугите на HP, Клиентът носи пълна отговорност за спазването на всички приложими Закони за защита на личните данни и за правото на неприкосновеност на личния живот по отношение на точността, качеството и законността на личните данни на Клиента, които ще бъдат обработвани от HP във връзка с Услугите. Освен това Клиентът следва да гарантира, че инструкциите, които предоставя на HP във връзка с обработването на лични данни на Клиента, ще бъдат в съответствие с всички приложими Закони за защита на личните данни и правото на неприкосновеност на личния живот и няма да нарушава задълженията на HP по силата на приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот.
2.4 Ако Клиентът използва Услугите за обработване на категориите лични данни, които не са изрично обхванати от настоящото ДОД, Клиентът действа на своя отговорност и HP не носи отговорност за евентуални дефицити на съответствие, свързани с такова използване.
2.5 Когато HP разкрива каквито и да е лични данни на служител на HP пред Клиента или служител на HP предоставя лични данни пряко на Xxxxxxx, който Клиентът обработва, за да управлява използването на Услугите, Клиентът обработва тези лични данни в съответствие с техните декларации за поверителност и приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот. Такива оповестявания се правят от HP само когато това е законосъобразно за целите на управлението на договори, управлението на Услугите или след разумна обща проверка от страна на Xxxxxxx или за целите на сигурността.
3 ЗАДЪЛЖЕНИЯ НА ОБРАБОТВАЩИЯ ЛИЧНИ ДАННИ
3.1 Независимо от каквото и да е в друг смисъл в Споразумението за услуги, във връзка с личните данни на Клиента, HP:
3.1.1 само обработва лични данни на Xxxxxxx в съответствие с документираните от Клиента указания (които могат да бъдат специфични или общи по своя характер, както са изложени в Споразумението за Услуги или по друг начин, известен от Клиента). Независимо от горепосоченото, HP може да обработва лични данни на
Клиента, съгласно изискванията на приложимото законодателство. В тази ситуация HP ще предприеме разумни стъпки, за да информира Клиента за подобно изискване, преди HP да обработва данните, освен ако законът не забранява това;
3.1.2 да гарантира, че само оторизиран персонал, който е преминал подходящо обучение относно защита и обработване на лични данни, и е длъжен да спазва правото на поверителност на лични данни на Клиента, трябва да има достъп до тях;
3.1.3 да прилага подходящи технически и организационни мерки за защита срещу неразрешено или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до личните данни на Клиента. Тези мерки са подходящи съобразно вредите, които биха могли да възникнат вследствие на всяко неразрешено или незаконно обработване, случайна загуба, унищожаване, повреда или кражба на лични данни на Клиента и като се има предвид естеството на личните данни на Клиента, които трябва да бъдат защитени.
3.1.4 без неоснователно забавяне и доколкото е разрешено от закона, да уведомява Xxxxxxx за всяко искане от страна на субектите на данни, които искат да упражнят правата си съгласно приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот, и при писмено искане и за сметка на Клиента, като се вземе предвид естеството на обработването, подпомага Xxxxxxx чрез прилагане на подходящи технически и организационни мерки, доколкото това е възможно, за подпомагане на Клиента относно задължението да отговори на такива искания. Доколкото личните данни на Xxxxxxx не са достъпни за Клиента чрез предоставените Услуги съгласно Споразумението за услуги, HP, когато е разрешено от закона и по искане на Клиента, да полага разумни търговски усилия, за да помогне на Xxxxxxx да отговори на тези искания, ако отговорите на такива искания са изисквани от приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот;
3.1.5 при писмено искане и за сметка на Xxxxxxx, като се вземат предвид естеството на обработването и наличната информация на HP, да помага на Xxxxxxx относно неговите задължения съгласно членове 32‐36 от ОРЗД или еквивалентни разпоредби съгласно приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот. HP си запазва правото да начислява административна такса за съдействие, предоставена съгласно настоящата клауза
3.1.5 и клаузи 3.1.3 и 3.1.4; и
3.1.6 при писмено искане от страна на Xxxxxxx, да изтрие или да върне на Клиента такива лични данни на Xxxxxxx след приключване на предоставянето на Услугите, освен ако приложимото законодателство изисква съхранение на личните данни на Клиента.
4 ПОДИЗПЪЛНИТЕЛИ
4.1 Клиентът упълномощава HP да прехвърля лични данни на Клиента или да предоставя достъп до лични данни на Клиента на членове на Групата на HP и на трети страни в качеството на Подизпълнители (и да разрешава на Подизпълнители да назначават в съответствие с клауза 4.1) за целите на предоставянето Услугите или за други цели, посочени в раздела „Дейности по обработване“ в Приложение 1. HP остава отговорен за спазването от страна на Подизпълнителите на задълженията по това ДОД. HP гарантира, че всички Подизпълнители, на които HP предава лични данни на Клиента, сключват писмени споразумения с HP, изискващи Подизпълнителите да спазват условия, които осигуряват не по‐малка защита от тези, посочени в настоящото ДОД. HP предоставя на
Клиента актуален списък на Подизпълнители за Услугите, обхванати от Споразумението за услуги.
4.2 HP може по всяко време и без основания да назначи нов Подизпълнител, при условие че Клиентът е получил 10‐дневно предизвестие, и Клиентът няма право да възрази на такива промени в рамките на този срок. Законови възражения трябва да съдържат разумни и документирани основания, свързани с неспазването от страна на Подизпълнителия на приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот. Ако, по разумно мнение на HP, такива възражения са легитимни, HP се въздържа от използването на такъв Подизпълнител в контекста на обработването на личните данни на Клиента. В такива случаи HP полага разумни усилия (i) да предостави на Xxxxxxx промяна в Услугите на HP или (ii) да препоръча промяна в конфигурацията или използването на Услугите от Клиента, за да се избегне обработването на лични данни на Клиента от страна на Подизпълнителия, срещу когото има възражение. Ако HP не може да предостави такава промяна в разумен срок, който не надвишава деветдесет (90) дни, Клиентът може, след като изпрати писмено уведомление до HP, да прекрати Услугата, която не може да бъде предоставена от HP без използването на Подизпълнителия, срещу когото има възражение, като изпрати писмено уведомление до HP.
5 ИНЦИДЕНТИ С ЛИЧНИ ДАННИ
5.1 HP уведомява Xxxxxxx без неоправдано забавяне, ако HP узнае за всякакъв инцидент с лични данни, включващ лични данни на Клиента, и предприема такива стъпки, които Клиентът може разумно да изиска, в сроковете, разумно изисквани от Клиента, за отстраняване на Инцидента с лични данни и да предостави такава допълнителна информация, която Клиентът може разумно да изиска. HP си запазва правото да начислява административна такса за съдействие, предоставено съгласно тази клауза 5.1, доколкото и ако Клиентът покаже, че такова съдействие е необходимо поради неизпълнение от страна на HP на това ДОД.
6 МЕЖДУНАРОДНИ ПРЕХВЪРЛЯНИЯ НА ЛИЧНИ ДАННИ НА КЛИЕНТА
6.1 HP може да прехвърли лични данни на Xxxxxxx извън страната, от която те първоначално са събрани, при условие че такова прехвърляне е необходимо във връзка със Услугите, и такива трансфери се извършват в съответствие с приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот.
6.2 Специфични европейски разпоредби
6.2.1 Доколкото личните данни на Клиента се прехвърлят от европейска държава в съответна страна, HP предоставя достъп до изброените по‐долу механизми за прехвърляне, които се прилагат по реда на предимство, посочен в клауза 6.2.2, на такива прехвърляния в съответствие с приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот:
6.2.1.1 Щит за личните данни в отношенията между ЕС и САЩ: HP е сертифицирана по Щит за личните данни в отношенията между ЕС и САЩ (EU‐U.S. Privacy Shield) за личните данни на Клиента и гарантира, че HP ще остане сертифициран, и ще уведоми незабавно Клиента, ако HP не поднови или загуби сертификатите или не измени сертификатите, така че обработването на лични данни на Xxxxxxx вече не попада в обхвата на сертифицирането.
6.2.1.2 Стандартни договорни клаузи на ЕС: Стандартните договорни клаузи на ЕС се включват изцяло в това ДОД и, доколкото е приложимо, HP гарантира, че
неговите Подизпълнители спазват задълженията на вносителя на данни (както е определено в стандартните договорни клаузи на ЕС). Доколкото има противоречие между това ДОД и Стандартните договорни клаузи на ЕС, преобладават условията на Стандартните договорни клаузи на ЕС.
6.2.2 В случай че Услугите са обхванати от повече от един механизъм за прехвърляне, прехвърлянето на лични данни на Xxxxxxx ще бъде предмет само на един механизъм за прехвърляне в съответствие със следния ред на предимство: 1) Сертифициране на HP по Щита за личните данни в отношенията между ЕС и САЩ; и
2) Стандартните договорни клаузи на ЕС.
7 ОДИТИ
7.1 По писмено искане на Клиента, HP предоставя на Клиента цялата информация, необходима за доказване на спазването на задълженията, предвидени в приложимите закони за защита на личните данни и правото на неприкосновеност на личния живот, при условие че HP няма задължение да предоставя търговска поверителна информация. След срок от не повече от една година и за сметка на Клиента, HP допълнително разрешава и допринася за провеждането на одити и проверки от страна на Xxxxxxx или неговия упълномощен одитор ‐ трета страна, която не е конкурент на HP. Обхватът на тези одити, включително условията за поверителност, се договарят взаимно от страните преди започването им.
8 ОТГОВОРНОСТ
8.1 Отговорността на HP, произтичаща от или свързана с обработването на лични данни на Xxxxxxx в съответствие с това ДОД (независимо дали е по договор, като правонарушение или при друга хипотеза на наказателна отговорност), е предмет на всякакви ограничения на разпоредбата(ите) за наказателна отговорност, както е предвидено в Споразумението за услуги.
Приложение 1
Подробности за обработването
HP може периодично да актуализира това Приложение 1, за да отрази промените в дейностите по обработване.
Категории на субектите на данни
• Служители на Клиента, агенти на клиенти и подизпълнители.
Видове лични данни
Личните данни на Клиента, обработвани от HP във връзка с предоставянето на Услугите на HP, се определят и контролират от Клиента в качеството на администратор на данни и в съответствие с действащите указания за работа и/или поръчки за покупка/промяна, но могат да включват например:
• Данни за контакт ‐ като име, служебен телефонен номер, служебен имейл адрес и служебен офис адрес;
• Идентификационни данни за сигурност ‐ например идентификационен номер на служителя или номер на значка;
• Данни за употреба на продукта ‐ като разпечатани страници, режим на печат, използван носител, марка мастило или тонер, тип отпечатан файл (.pdf, .jpg и др.), използвано приложение за печат (Word, Excel, Adobe Photoshop и т.н.), размер на файла, времеви печат и използване и състояние на други принтери;
• Данни за ефективността – Събития на печат, функции и предупреждения, например предупреждения „ниско съдържание на мастило“, използване на фотокарти, факс, сканиране, вграден уеб сървър и допълнителна техническа информация, която може да варира според продукта;
• Данни за устройството ‐ Информация за компютри, принтери и/или устройства като операционна система, обем на паметта, регион, език, часова зона, номер на модела, дата на първо пускане, възраст на устройството, дата на производство на устройството, версия на браузъра, производител на компютъра, порт за свързване, статус на гаранция, уникални идентификатори на устройството, рекламни идентификатори и допълнителна техническа информация, която може да варира според продукта;
• Данни за приложения ‐ информация, свързана с приложения на HP, като местоположение, език, версии на софтуер, избор на данни за споделяне и подробности за актуализацията; и
• Други лични данни, предоставени от Субект на данни, когато тя/той взаимодейства лично, онлайн или по телефона от лицето, или изпраща по пощата чрез центрове за сервизно обслужване, бюра за помощ на клиента или други канали за поддръжка на клиенти, за да улеснят доставката на Услугите на HP и да отговорят на Клиента и/или на запитвания на Субекти на данни.
Дейности по обработване
личните данни на Клиента, обработвани във връзка със Споразумението за услуги, ще бъдат използвани от HP за управление на отношенията и за предоставяне на Услугите на Клиента. HP може да обработва лични данни на Клиента с цел:
• да предоставя услуги за управление на набора от устройства, като Управлявани услуги за печат и устройството като отделна Услуга;
• да поддържа точни данни за контакти и регистрация, за да предоставяне на изчерпателни услуги за подкрепа и поддръжка, включително пакет за поддръжка и разширена гаранционна поддръжка и за улесняване на дейности по ремонтиране и връщане;
• да улеснява достъпа до портали за поръчване и изпълнение на поръчки за продукти или услуги за целите на администриране на профили и организиране на пратки и доставки;
• да подобрява ефективността и функционирането на продуктите, решенията, Услугите и поддръжката, включително гаранционна поддръжка и актуални актуализации на фърмуера и софтуера и предупреждения за осигуряване на непрекъснато функциониране на устройството или услугата;
• да предоставя административни съобщения на клиентите относно Услугите. Примери за административни съобщения могат да включват отговори на заявки или запитвания от клиенти, завършване на услугата или съобщения, свързани с гаранции, уведомления за оттегляне във връзка с безопасността или приложими корпоративни актуализации, свързани със сливания, придобивания или изтегляне на инвестиции;
• да поддържа целостта и сигурността на уебсайтовете, продуктите, функциите и Услугите на HP и предотвратяват и разкриват заплахи за сигурността, измами или друга престъпна или злонамерена дейност, която може да компрометира информацията на Клиента;
• да потвърди самоличността на Клиента, включително да поиска името на обаждащия се и идентификация на служителя или номера на значката за доставяне на Услугите за дистанционен монтаж на HP;
• да спазва приложимите закони, регламенти, съдебни разпореждания, правителствени и правоприлагащи искания и да защитава служители и други клиенти, както и да разрешава спорове; и
• да предоставя персонализирани услуги и комуникации и да създава препоръки.
СТАНДАРТНИ ДОГОВОРНИ КЛАУЗИ (ЛИЦА, ОБРАБОТВАЩИ ДАННИТЕ)
Тези Стандартни договорни клаузи (обработващи лични данни) са приложени към и представляват част от Споразумението за защита на данните („СЗД“) между HP и Клиента.
За целите на член 26, параграф 2 от Директива 95/46/ЕО при предаването на лични данни на лица, обработващи данните, установени в трети страни, които не осигуряват подходяща степен на защита на данните
Име на организацията износител на данни: Ви жт е Допълнение 1
Адрес: ...................................................................................................................................................................................................................
Тел: .......................................................; факс: .......................................................;. електронна поща: .......................................................
Друга информация, необходима за идентифициране на организацията:
................................................................................................................................................................................................................................
(наричана по‐нататък „износител на данни“)
и
Име на организацията вносител на данни: Ви жт е Допълнение 1
Адрес: ...................................................................................................................................................................................................................
Тел: .......................................................; факс: .......................................................;. електронна поща: .......................................................
Друга информация, необходима за идентифициране на организацията:
................................................................................................................................................................................................................................
(наричана по‐нататък „вносител на данни“)
наричани по‐нататък поотделно „страна“ и заедно „страни“,
СЕ СПОРАЗУМЯХА за следните договорни клаузи (наричани по‐нататък „Клаузите“) с цел да бъдат предоставени достатъчни гаранции по отношение на защитата на личния живот и основните права и свободи на физическите лица при предаването от износителя на данни на вносителя на данни на личните данни, посочени в Допълнение 1.
По смисъла на Клаузите:
Клауза 1
Определения
а) „лични данни“, „специални категории от данни“, „обработване“, „администратор“, „лице, обработващо данни“,
„физическо лице“ и „надзорен орган“ имат същото значение като в Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни1;
б) „износител на данни“ означава администраторът, който предава личните данни;
в) „вносител на данни“ означава лицето, обработващо данните, което приема да получава от износителя на данни лични данни, предназначени за обработване от името на износителя на данни след предаване съгласно неговите инструкции и при условията на Клаузите, и което не е част от системата на трета страна, осигуряваща достатъчна степен на защита по смисъла на член 25, параграф 1 от Директива 95/46/ЕО;
г) „подизпълнител“ означава всяко лице, обработващо данни, наето от вносителя на данни или от всеки друг подизпълнител на вносителя на данни, което приема да получава от вносителя на данни или от всеки друг подизпълнител на вносителя на данни лични данни, предназначени за извършване на дейности по обработване изключително от името на износителя на данни след предаване съгласно неговите инструкции, при условията на Клаузите и условията на писмения договор за предаване за подизпълнение;
д) „приложимо право за защита на данните“ означава законодателството, защитаващо основните права и свободи на лицата, и по‐специално правото на личен живот при обработването на лични данни, приложимо към администратор на данни в държавата‐членка, в която е установен износителят на данни;
1 Страните могат да възпроизведат в настоящата клауза определенията и значенията, съдържащи се в Директива 95/46/ЕО, ако пред‐ почитат договорът да бъде разглеждан самостоятелно.
е) „технически и организационни мерки за сигурност“ означава мерките, предназначени да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване.
Клауза 2
Подробности за предаването
Подробностите за предаването и особено специалните категории от лични данни, ако е приложимо, са посочени в Допълнение 1, което съставлява неразделна част от Клаузите.
Клауза 3
Клауза в полза на трето лице
1. Субектът на данниможе да иска прилагането спрямо износителя на данни на настоящата клауза, клауза 4, букви б)—и), клауза 5, букви а)—д) и букви ж)—й), клауза 6, параграфи 1 и 2, клауза 7, клауза 8, параграф 2 и клаузи 9—12, като трето лице бенефициер.
2. Субектът на данни може да иска прилагането спрямо вносителя на данни на настоящата клауза, клауза 5, букви а)—д) и буква ж), клауза 6, клауза 7, клауза 8, параграф 2 и клаузи 9—12, в случай че износителят на данни е изчезнал фактически или е престанал да съществува юридически, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в резултат на което правата и задълженията на износителя на данни преминават върху правоприемника, в който случай физическото лице може да иска прилагането им спрямо правоприемника.
3. Субектът на данни може да иска прилагането спрямо вносителя на данни на настоящата клауза, клауза 5, букви а)—д) и буква ж), клауза 6, клауза 7, клауза 8, параграф 2 и клаузи 9—12, в случай че износителят на данни е изчезнал фактически или е престанал да съществува юридически, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в резултат на което правата и задълженията на износителя на данни преминават върху правоприемника, в който случай физическото лице може да иска прилагането им спрямо правоприемника. Такава гражданска отговорност на подизпълнителя е ограничена до собствените му операции по обра‐ ботване съгласно Клаузите.
4. Страните не възразяват срещу това Субекта на данни да бъде представляван от асоциация или друга организация, ако то изрично пожелае това и ако националното право го позволява.
Клауза 4
Задължения на износителя на данни
Износителят на данни приема и гарантира, че:
а) обработването, включително самото предаване, на лични данни се извършва и ще продължава да се извършва съгласно съответните разпоредби на приложимото право за защита на данните (и ако е приложимо, съответните компетентни органи на държавата‐членка, в която е установен износителят на данни, са били уведомени за обработването) и не нарушава съответните разпоредби на тази държава;
б) е инструктирал и по време на периода на услугите по обработване на личните данни ще инструктира вносителя на данни да обработва предаваните лични данни единствено от името на износителя на данни и в съответствие с прило‐ жимото право за защита на данните и Клаузите;
в) вносителят на данни осигурява достатъчни гаранции по отношение на техническите и организационните мерки за сигурност, посочени в Допълнение 2 към настоящия договор;
г) след оценка на изискванията на приложимото право за защита на данните мерките за сигурност са годни да защитават личните данни срещу неволно или незаконно унищожаване или неволно загубване, промяна, неразрешено разкриване или достъп, особено когато обработването предполага предаването на данни по мрежа, и срещу всяка друга незаконна форма на обработване и че тези мерки гарантират равнище на сигурност, адаптирано към рисковете, свързани с обработването и характера на данните, подлежащи на защита, като се имат предвид равнището на технологично развитие и разходите за тяхното изпълнение;
д) ще осигури спазването на мерките за сигурност;
е) ако предаването включва специални категории от данни, Xxxxxxx на данни е бил информиран или ще бъде информиран преди или непосредствено след предаването, че неговите данни могат да бъдат предадени на трета страна, която не осигурява достатъчна степен на защита по смисъла на Директива 95/46/ЕО;
ж)ще изпрати всяко уведомление, получено от вносителя на данни или от подизпълнител съгласно клауза 5, буква б) и клауза 8, параграф 3, на надзорния орган за защита на данните, ако износителят на данни реши да продължи пре‐ даването или да отмени спирането;
з) при поискване ще предостави на Субекта на данни копие от Клаузите, с изключение на Допълнение 2 и кратко описание на мерките за сигурност, както и копие от всеки договор за предаване за подизпълнение, който следва да бъде сключен в съответствие с Клаузите, освен ако Клаузите или договорът съдържат търговска
информация, като в такъв случай тази търговска информация може да бъде премахната;
и) в случай на предаване за подизпълнение, дейността по подизпълнение се извършва съгласно клауза 11 от подиз‐ пълнител, който предоставя поне същата степен на защита на личните данни и правата на Субекта на данни като вносителя на данни съгласно Клаузите; и
й) ще осигури спазването на клауза 4, букви а)—и).
Клауза 5
Задължения на вносителя на данни2
Вносителят на данни приема и гарантира, че:
а) ще обработва личните данни единствено от името на износителя на данни и в съответствие с неговите инструкции и Клаузите; ако не може да осигури такова съответствие по каквито и да е причини, той приема да информира свое‐ временно износителя на данни за невъзможността да осигури съответствие, като в такъв случай износителят на данни може да спре предаването на данни и/или да прекрати договора;
б) няма причини да се смята, че приложимото за него законодателство го възпрепятства да изпълнява инструкциите, получени от износителя на данни, и задълженията си по договора и че в случай на промяна на това законодателство, която може да има съществени неблагоприятни последици върху гаранциите и задълженията, предвидени от клаузите, той своевременно ще уведоми износителя на данни за промяната без забавяне, като в такъв случай износителят на данни може да спре предаването на данни и/или да прекрати договора;
в) прилага техническите и организационните мерки за сигурност, посочени в Допълнение 2, преди обработването на предаваните лични данни;
г) своевременно ще уведомява износителя на данни за:
i) всяко правнообвързващо искане за разкриване на личните данни от правоприлагащ орган, освен ако в закона не е предвидено друго, като например наказателноправна забрана за разкриване на информация с цел запазване на тайната на разследване от страна на правоприлагащ орган,
ii) всеки случай на неволен или неразрешен достъп, и
iii) всяко искане, получено пряко от заинтересованите физически лица, без да отговаря на такова искане, освен ако не му е било разрешено;
д) ще обработва своевременно и по необходимия начин всички запитвания от страна на износителя на данни, свързани с начина му на обработване на личните данни, подлежащи на предаване, и ще се съобразява с насоките на надзорния орган по отношение на обработването на предаваните данни;
е) по искане на износителя на данни ще предостави оборудването и средствата си за обработване на данни за проверка на обхванатите от Клаузите дейности по обработване, която проверка се извършва от износителя на данни или от контролен орган, съставен от независими членове с необходимата професионална квалификация, който е длъжен да пази служебна тайна, избран от износителя на данни, ако е приложимо, със съгласието на надзорния орган;
ж) при поискване ще предостави на Субекта на данни копие от Клаузите или всеки наличен договор за предаване за подизпълнение, освен ако Клаузите или договорът съдържат търговска информация, като в такъв случай тази търговска информация може да бъде премахната, с изключение на Допълнение 2, което ще бъде заменено от кратко описание на мерките за сигурност в случаите, в които Субектът на данни не може да получи копие от износителя на данни;
з) в случай на предаване за подизпълнение той предварително е информирал износителя на данни и е получил пред‐ варителното му писмено съгласие;
и) услугите по обработване от страна на подизпълнителя ще се извършват в съответствие с клауза 11;
й) ще изпрати своевременно на износителя на данни копие от всяко споразумение за предаване за подизпълнение, което сключи съгласно Клаузите.
Клауза 6
Отговорност
1. Страните се споразумяват, че всяко физическо лице, което претърпи вреда в резултат на нарушаване на
2 Императивните изисквания на националното законодателство, прилагащи се за вносителя на данни, които не се простират извън необходимото в едно демократично общество, въз основа на един от интересите, изброени в член 13, параграф 1 от Директива 95/46/ЕО, т.е. ако те представляват необходима мярка за гарантиране на националната сигурност, отбраната, обществената сигурност, предотвратяването, разследването, разкриването и преследването на престъпления или на нарушения на етичните кодекси при регла‐ ментираните професии, важни икономически и финансови интереси на държавата или защитата на Субекта на данни или на правата и свободите на други лица, не са в противоречие със стандартните договорни клаузи. Няколко примера за такива императивни изисквания, които не се простират извън необходимото в едно демократично общество, са inter alia международно признатите санкции, изискванията за данъчно деклариране или изискванията за деклариране на мерки срещу изпирането на пари.
задълженията, посочени в клауза 3 или в клауза 11 от страна на една от Страните или на подизпълнител, има право да получи обезщетение от износителя на данни за претърпяната вреда.
2. Ако Субектът на данни не може да подаде иск за обезщетение в съответствие с параграф 1, произтичащ от нарушение от страна на вносителя на данни или негов подизпълнител на техните задължения, посочени в клауза 3 или в клауза 11, поради това, че износителят на данни е изчезнал фактически или е престанал да съществува юридически или е изпаднал в несъстоятелност, вносителят на данни приема, че Субектът на данни може да подаде иск срещу него, както ако той би бил износителя на данни, освен ако правоприемник не е поел всички правни задължения на износителя на данни чрез договор или по закон, в който случай физическото лице може да иска прилагането на правата си спрямо правоприемника.
Вносителят на данни не може да се позовава на нарушение от страна на подизпълнител на неговите задължения, за да избегне собствената си отговорност.
3. Ако Субектът на данни не може да подаде срещу износителя на данни или срещу вносителя на данни, иска посочен в параграфи 1 и 2, произтичащ от нарушение от страна на подизпълнителя на неговите задължения, посочени в клауза 3 или в клауза 11, поради това, че износителят на данни и вносителят на данни са изчезнали фактически или са престанали да съществуват юридически или са изпаднали в несъстоятелност, подизпълнителят приема, че Xxxxxxx на данни може да подаде иск срещу него във връзка със собствените му операции по обработване съгласно клаузите, както ако той би бил износителят на данни или вносителят на данни, освен ако правоприемник не е поел всички правни задължения на износителя на данни или на вносителя на данни чрез договор или по закон, в който случай физическото лице може да иска прилагането на правата си спрямо правоприемника. Отговорността на подизпълнителя е ограничена до собствените му операции по обработване съгласно клаузите.
Клауза 7
Медиация и съд
1. Вносителят на данни приема, че ако Субектът на данни се позове спрямо него на права като трето лице бенефициер и/или търси обезщетение за вреди съгласно настоящите клаузи, вносителят на данни ще приеме решението на Субекта на данни:
а) да предаде спора за медиация от страна на независимо лице или, ако е приложимо, от страна на надзорния орган; б) да предаде спора на съдилищата в държавата‐членка, в която е установен износителят на данни.
2. Страните се споразумяват, че изборът на Субекта на данни не засяга неговите материални или процесуални права да търси обезщетение в съответствие с други разпоредби на националното или международното право.
Клауза 8
Сътрудничество с надзорните органи
1. Износителят на данни приема да депозира копие от настоящия договор при надзорния орган, ако той го поиска или ако такова депозиране се изисква съгласно приложимото право за защита на данните.
2. Страните се споразумяват, че надзорният орган има право да извършва проверка на вносителя на данни и на всеки подизпълнител със същия обхват и при същите условия, които биха се прилагали за проверка на износителя на данни съгласно приложимото право за защита на данните.
3. Вносителят на данни своевременно информира износителя на данни за наличието на законодателство, приложимо спрямо него или негов подизпълнител, което възпрепятства извършването на проверка на вносителя на данни или на негов подизпълнител съгласно параграф 2. В такъв случай износителят на данни има право да предприеме мерките, предвидени в клауза 5, буква б).
Клауза 9
Приложимо право
Клаузите трябва да бъдат съобразени с правото на държавата‐членка, в която е установен износителят на данни.
Клауза 10
Изменение на договора
Страните се ангажират да не изменят, нито да променят клаузите. Ако е необходимо, страните могат да прибавят клаузи по търговски въпроси, при условие че те не противоречат на клаузата.
Клауза 11
Предаване за подизпълнение
1. Вносителят на данни няма да предава за подизпълнение операциите по обработване, извършвани от името на износителя на данни съгласно клаузите, без предварителното писмено съгласие на износителя на данни. Вносителят на данни предава за подизпълнение задълженията си съгласно клаузите със съгласието
на износителя на данни само посредством писмено споразумение с подизпълнителя, което налага на подизпълнителя същите задължения като тези, наложени на вносителя на данни съгласно клаузите3 (1). Ако подизпълнителят не изпълни задълженията си за защита на данните по такова писмено споразумение, вносителят на данни носи пълна отговорност спрямо износителя на данни за изпълнението на задълженията на подизпълнителя по споразумението.
2. Предварителният писмен договор между вносителя на данни и подизпълнителя предвижда също така клауза в полза на трето лице, като тази от клауза 3, за случаи, в които Субектът на данни не може да подаде иска за обезщетение, посочен в клауза 6, параграф 1, срещу износителя на данни или срещу вносителя на данни поради това, че те са изчезнали фактически или са престанали да съществуват юридически или са изпаднали в несъстоятелност, и няма правоприемник, който да е поел всички правни задължения на износителя на данни или на вносителя на данни чрез договор или по закон. Такава гражданска отговорност на подизпълнителя е ограничена до собствените му операции по обработване съгласно клаузите.
3. Разпоредбите, свързани със защитата на данните при предаване за подизпълнение на договора, посочени в параграф 1, трябва да бъдат съобразени с правото на държавата‐членка, в която е установен износителят на данни.
4. Износителят на данни поддържа списък със споразумения за предаване за подизпълнение, сключени съгласно клаузите и за които е изпратено уведомление от страна на вносителя на данни съгласно клауза 5, буква й), който списък се актуализира поне веднъж годишно. Надзорният орган за защита на данните на износителя на данни има достъп до списъка.
Клауза 12
Задължение след приключване на услугите по обработване на лични данни
1. Страните се споразумяват, че при приключване на предоставянето на услуги по обработване на лични данни вносителят на данни и подизпълнителят, по избор на износителя на данни, връщат всички предадени лични данни и направените копия на износителя на данни или унищожават всички лични данни и удостоверяват този факт на износителя на данни, освен ако приложимото спрямо вносителя на данни законодателство го възпрепятства да върне или да унищожи всички или част от предадените лични данни. В такъв случай вносителят на данни гарантира, че той ще осигури поверителността на предадените лични данни и повече няма да ги обработва активно.
2. Вносителят на данни и подизпълнителят гарантират, че при поискване от износителя на данни и/или от надзорния орган те ще предоставят оборудването и средствата си за обработване на данни за проверка на мерките, посочени в параграф 1.
3 Това изискване може да бъде изпълнено, като подизпълнителят също подпише договора, сключен между износителя и вносителя на данни съгласно настоящото решение.
Допълнение 1
Към стандартните договорни Клаузи
Тези Стандартни договорни клаузи (обработващи лични данни) са приложени към и представляват част от Споразумението за защита на данните („СЗД“) между HP и Клиента. Това Допълнение е част от Клаузите. Държавите‐членки могат да допълнят или да уточнят в съответствие с националния си процесуален ред всяка допълнителна информация, която трябва да се съдържа в настоящото Допълнение
Износител на данни
Износителят на данни е (моля, посочете накратко дейностите, свързани с предаването):
Износителят на данни е юридическото лице, което е сключило Споразумението за услуги, и всички подразделения на Клиента, установени в европейска страна, които са закупили Услугите в съответствие със Споразумението за услуги.
Вносител на данни
Вносителят на данни е (моля, посочете накратко дейностите, свързани с предаването):
HP Inc. (1500 Xxxx Xxxx Xxxx, Xxxx Xxxx, XX 00000), заедно с всички свои мажоритарно притежавани и контролирани дъщерни дружества, независимо от юрисдикцията на учредяването или управлението им („Групата на HP“), в качеството на доставчици на Услугите, както е описано в приложимото Споразумение за услуги.
Субект на данни
Предаваните лични данни засягат следните категории субекти на данни (моля, посочете): Вижте Приложение 1 ‐ ДОД.
Категории данни
Предаваните лични данни засягат следните категории данни (моля, посочете):
Вижте Приложение 1 ‐ ДОД.
Специални категории данни (ако е необходимо)
Предаваните лични данни засягат следните специални категории данни (моля, посочете): Вижте Приложение 1 ‐ ДОД.
Операции по преработване
Предаваните лични данни ще бъдат подложени на следните основни дейности по обработване (моля, посочете): Вижте Приложение 1 ‐ ДОД.
Допълнение 2
Към стандартните договорни Клаузи
Тези Стандартни договорни клаузи (обработващи лични данни) са приложени към и представляват част от Споразумението за защита на данните („СЗД“) между HP и Клиента. Това Допълнение е част от Клаузите.
Описание на техническите и организационните мерки за сигурност, прилагани от вносителя на данни в съответствие с клауза 4, буква г) и клауза 5, буква в) (или приложен документ/законодателство):
Вносителят на данни поддържа административни, физически и технически предпазни мерки за защита, сигурност и поверителност на личните данни, обработвани във връзка с предоставянето на Услугите, предоставени съгласно приложимото Споразумение за услуги. Специфичните предпазни мерки могат да варират в зависимост от естеството на Услугите, предоставяни съгласно Споразумението за услуги.