Този ДОД се прилага, когато TD SYNNEX, действаща в качеството си на обработващ лични данни, обработва лични данни от името на и в съответствие с инструкциите на Купувача, действащ от свое име или от името на своите клиенти или крайните им потребители...
ДОГОВОР ЗА ОБРАБОТВАНЕ НА ДАННИ („ДОД“)
I) Общи условия
1. Обхват
ДОД е включен чрез препратка в и представлява неразделна част от Договора (както е определено в Общите условия), освен ако страните не сключат отделен договор за обработване на данни като част от специфични договори. В случай на несъответствие между ДОД и други условия на Договора, XXX има предимство.
Този ДОД се прилага, когато TD SYNNEX, действаща в качеството си на обработващ лични данни, обработва лични данни от името на и в съответствие с инструкциите на Купувача, действащ от свое име или от името на своите клиенти или крайните им потребители („Клиенти“) в
качеството си на администратор. Той се прилага също, ако Купувачът, действайки в качеството си на обработващ лични данни, трябва да обработва лични данни от името на и в съответствие с инструкциите на TD SYNNEX, действащ [от свое име или от името на трета страна] в качеството си на администратор.
Този ДОД не се отнася за TD SYNNEX и Купувача, когато споделят лични данни помежду си като отделни или съвместни администратори.
TD SYNNEX обикновено действа като отделен администратор на данни, ако:
(a) събира лични данни във връзка с дейностите на Купувача (като лични данни, свързани със служителите на Купувача);
(б) TD SYNNEX обработва лични данни на крайния потребител, предоставени от клиент на Купувача за:
(i) извършване на проверки за измама, пране на пари, санкции и други проверки, включително проверка на списъци на отхвърлени страни, както и разследване и преследване на нарушения на измами, пране на пари или санкции във връзка с установяването и поддържането на взаимоотношения с клиенти и предоставяне на услуги;
(ii) спазване на правни и регулаторни задължения;
(iii) анонимизиране и/или анализ на данни; и
(iv) изпълнението на Договора, включително прякодоставяне на пратки и, ако е необходимо за изпълнението на Договора, предаването на такива лични данни на трети лица, които действат като администратор, като превозвачи, производители или трети лица - доставчици на услуги.
2. Определения
Всеки термин, който не е дефиниран в настоящия ДОД или в други части на Договора, има значението, което е определено за него съгласно Общия регламент относно защитата на данните (ЕС 2016/679) („GDPR“). Позовавания на членове от GDPR в настоящото [чл. GDPR] се прилагат
само до степента, в която обработването е предмет на
GDPR – за всички други съответни юрисдикции се прилагат съответните приложими закони за защита на данните.
„Трета държава“ означава всяка държава, която не е държава членка на Европейския съюз („ЕС“) или на
Европейското икономическо пространство („ЕИП“), нито е потвърдено от Европейската комисия, че осигурява адекватна защита на личните данни съгласно член 45, параграф 3 от GDPR.
„Обработване на лични данни в ЕИП“ за целите на този ДОД означава обработване на лични данни, което попада в обхвата на GDPR или законите за поверителност на данните на Обединеното кралство или Швейцария.
„Стандартни договорни клаузи“ или „СДК“ означава стандартните договорни клаузи за прехвърляне на лични данни на трети страни съгласно Решение за изпълнение (ЕС) 2021/914 на Комисията от 4 юни 2021 г. или всяко ново или допълнително решение;
„Закон за защита на личните данни“ означава всички приложими закони и нормативни изисквания, свързани с обработването на лични данни и поверителността, които може да има в съответните юрисдикции, за държавите — членки на ЕС или ЕИП, това включва GDPR;
„TOM“ означава техническите и организационните мерки по смисъла на Законите за защита на личните данни;
„Подобработващ“ или „Под-(под)обработващ“ означава трети страни, упълномощени по силата на настоящия ДОД да имат логичен достъп до и да обработват лични данни в съответствие с Договора;
„Прехвърляне на данни“ означава всяка страна да предава или предоставя достъп до лични данни.
„Износител“ означава всяка страна по Прехвърляне на данни, която се намира в ЕИП, Обединеното кралство или Швейцария.
II) Специални условия за TD SYNNEX като Обработващ данни
Този раздел II се прилага, когато TD SYNNEX, действайки в качеството на обработващ лични данни, обработва лични данни от името на и според инструкциите на Купувача, действащ от свое име или от името на Xxxxxxx в качеството си на администратор. Той се прилага в допълнение към раздел III по-долу. В случай на несъответствие между раздели II и III, този раздел II има предимство.
1. Електронна комуникация. TD SYNNEX може да предостави на Купувача информация и известия в контекста на този ДОД по електронен път, включително по имейл, чрез стандартния уебсайт на TD SYNNEX или чрез уебсайт, посочен от TD SYNNEX.
2. Подробности за обработването. Чрез използването на Услугите, Купувачът се съгласява с подробностите на обработването, включително естеството, целта и предмета на обработването, категориите субекти на
данни, видовете лични данни, специалните категории лични данни, ТОМ и други лица, обработващи данни
– когато е уместно – както е определено в Договора (включително този ДОД) и както по друг начин е предоставено и съобщено от TD SYNNEX по електронен път, включително чрез имейл, чрез стандартния уебсайт на Data Tech или чрез уебсайт, посочен от TD SYNNEX.
3. Стандартни договорни клаузи. СДК, ако са приложими между TD SYNNEX и Купувача, може да бъдат намерени на стандартния уебсайт на TD SYNNEX или чрез уебсайт, посочен от TD SYNNEX.
4. Задължения на TD SYNNEX и Купувача.
4.1. TD SYNNEX ще спазва всички Закони за поверителност, приложими за нея в ролята на обработващ лични данни. TD SYNNEX не носи отговорност за спазването на закони или нормативни изисквания, приложими за индустрията на Купувача или неговите Клиенти, които не са общоприложими за доставчиците на съответните Продукти. TD SYNNEX не определя дали данните на Купувача или неговите Клиенти включват информация, която е предмет на определен закон или нормативно изискване.
4.2. Купувачът трябва да оцени и определи пригодността, удачността и съответствието на използването от страна на Купувача или неговите Клиенти на Продуктите със законите и нормативните изисквания, включително Законите за поверителност, особено по отношение на ТОМ, други участващи лица, обработващи лични данни, местоположение на центъра за данни и съответното прехвърляне на данни, както е описано в Договора, включително ДОД и данните за обработване.
4.3. Ако самият Xxxxxxx не е администратор на личните данни, но обработва лични данни от името на Xxxxxxx, Купувачът гарантира, че има всички действащи договори и всички необходими разрешения и упълномощавания на Клиент(и):
- да действа във взаимоотношението с TD SYNNEX като администратор на данни според настоящия ДОД и да упражнява всички права като администратор на данни по отношение на TD SYNNEX и другите обработващи лични данни по отношение на ДОД;
- да използва TD SYNNEX като обработващ лични данни за обработване на лични данни, както е посочено в Договора, включително настоящия ДОД и подробностите за обработването;
- да бъде единствената точка за контакт с TD SYNNEX за всички инструкции, известия, информация и комуникация във връзка с този ДОД и да предава съответната комуникация между Клиенти и TD SYNNEX, когато това се изисква от закона. TD SYNNEX се освобождава от всякакво задължение да информира или уведомява Xxxxxx, когато TD SYNNEX е предоставила такава информация или уведомление на Купувача. TD SYNNEX ще действа като единствена точка за контакт с оглед на други лица, свързани с TD SYNNEX и обработващи лични данни.
- да упражнява права на Износители съгласно Стандартните договорни xxxxxx – когато е приложимо
– по отношение на: (i) TD SYNNEX и/или (ii) нейните други обработващи лични данни чрез TD SYNNEX от името на Износителя.
III) Общи условия за обработване
Този раздел III се прилага в допълнение към раздел II, където TD SYNNEX, действащ в качеството на обработващ лични данни, обработва лични данни от името на и според инструкциите на Купувача, действащ от свое име или от името на Xxxxxxx в качеството на администратор. Той се прилага също, когато Купувачът, действащ в качеството си на обработващ лични данни, трябва да обработва лични данни от името на и в съответствие с инструкциите на TD
SYNNEX, действащ [от свое име или от името на трето лице] в качеството си на администратор.
1. Задължения на Администратора
1.1. Администраторът носи самостоятелна отговорност за спазването на всички законови задължения на
администратора във връзка с обработването съгласно Законите за поверителност. При прекратяване
или изтичане на срока на действие на Договора и при издаване на инструкция, Администраторът определя мерките за връщане на носителите на
данни, включително лични данни, или за изтриване на съхранени лични данни, и трябва да уведоми
Обработващия лични данни, без ненужно забавяне, за всякакви грешки или нередности, за които получава информация във връзка с обработването на лични данни от страна на обработващия лични данни.
1.2. Администраторът няма да използва Продуктите заедно с личните данни, ако това би нарушило Законите за поверителност и трябва да задължи съобразно това своите Клиенти.
2. Задължения на Обработващия лични данни
2.1. Спазване на задълженията на Обработващия лични данни. Лицето, обработващо лични данни, трябва да спазва всички задължения, приложими за обработващите лични данни съгласно Закона за
защита на личните данни на ЕИП. Лицето, обработващо лични данни, не носи отговорност за определяне на изискванията на законите, приложими за бизнеса или индустрията на Администратора или на Клиентите, или че осигуряването на Продуктите от страна на лицето, обработващо лични данни, отговаря на изискванията на тези закони.
2.2. Инструкции. Лицето, обработващо лични данни, ще обработва лични данни единствено в съответствие с писмените инструкции на администратора, които са дефинирани в Договора, включително настоящия ДОД и неговите приложения, ако е приложимо – оторизирана употреба и конфигурация на Продуктите от страна
на администратора или по друг начин, определен в писмена форма. Лицето, обработващо лични данни, трябва да информира незабавно администратора, ако обработващият лични данни счита, че инструкцията
на администратора е в нарушение на приложимото законодателство за защита на данните и/или на договорни задължения по Договора, включително настоящия ДОД. Лицето, обработващо лични данни, има право да преустанови изпълнението на тези инструкции, докато бъдат прегледани от администратора и потвърдени или променени в резултат на това. Лицето, обработващо лични данни има право да обработва лични данни без инструкция на администратора,
ако това се изисква от законодателството на ЕС или неговите държави членки, на което е субект обработващият лични данни; в такъв случай обработващият лични данни трябва да информира администратора за това законно изискване преди
обработването, освен ако законът не забранява такова информиране поради важни основания от обществен интерес.
2.3. Разкриване/Достъп. Лицето, обработващо лични данни, няма да разкрива лични данни на трети лица, освен ако не е разрешено от администратора или изисквано от законодателството на ЕС или неговите държави членки. Ако съответното законодателство изисква да се предостави достъп до лични данни
на трета страна, правителство, съд или надзорен орган, обработващият лични данни трябва да уведоми администратора преди разкриването, освен ако не
е забранено от закона поради важни основания от обществен интерес. Освен ако не е задължен да направи това според законодателството на ЕС или на неговите държави членки, обработващият лични данни няма да разкрива или да предоставя лични
xxxxx в отговор отправено към него искане, без да се консултира първо с администратора. Когато личните данни на администратора са предмет на обиск и изземване, конфискация по време на производство по несъстоятелност или неплатежоспособност, или подобни събития или мерки от трети страни, докато се обработват, обработващият лични данни трябва да уведоми администратора без ненужно забавяне.
2.4. Задължение за неразгласяване на поверителна информация. Лицето, обработващо лични данни, изисква от целия си персонал и лицата, на които
е възложено обработването на лични данни, да се ангажират с поверителност – освен ако не се прилага съответно законово задължение за поверителност – и да не обработват такива лични данни за други цели, освен по указания от администратора или по друг начин според изискванията на законодателството на ЕС или на неговите държави членки.
2.5. Права на субекта на данни. Лицето, обработващо данни, трябва да съдейства разумно на администратора при поискване от негова страна и според законовите изисквания, за осигуряване на достъп на субекта на данни и за отговаряне на всякакви искания, оплаквания или други съобщения от субект на данни, включително искания от субекти на данни, които искат да упражнят правата си съгласно Законите за поверителност. Ако такова искане, жалба или съобщение е получено от
или по друг начин направено пред обработващия лични данни, обработващият лични данни трябва да
информира незабавно администратора, ако може да свърже субекта на данни с администратора.
2.6. Нарушение на сигурността на данните. Лицето, обработващо лични данни, трябва да уведоми незабавно администратора, след като узнае за нарушаване
на сигурността на личните данни („Нарушение на сигурността на данните“) относно личните данни на администратора. Лицето, обработващо лични данни, трябва да предприеме такива мерки и действия, доколкото е разумно, за да коригира или смекчи ефектите от Нарушението на сигурността на данните и да съдейства на администратора за осигуряване на спазването на неговите задължения съгласно
приложимото Законодателство за защита на данните за уведомяване на надзорните органи и субектите
на данни за нарушението на сигурността на данните, като вземе предвид естеството на обработването
и информацията, налична за обработващия лични данни. По-конкретно, обработващите лични данни трябва да съдействат на администратора, като предоставят редовни актуализации и друга основателно поискана информация. Всяко съобщение за пресата, уведомление, публично или регулаторно оповестяване или съобщение относно Нарушение на сигурността на данните трябва да бъде направено от администратора по негова самостоятелна преценка, освен ако не се изисква друго от приложимите закони.
2.7. Съдействие относно задълженията на Администратора. Лицето, обработващо лични данни, трябва да съдейства разумно на администратора
при поискване от негова страна, във връзка със задълженията на администратора по отношение на сигурността на обработването, оценките на
въздействието върху защитата на данните и предишни консултации, като вземе предвид информацията, налична за TD SYNNEX, и естеството на обработването. Лицето, обработващо лични данни, трябва да предостави съдействие във връзка с одити на всеки компетентен надзорен орган, доколкото този одит се отнася до обработването на лични данни от лицето, обработващо данни, съгласно настоящия Договор и както е поискано основателно от администратора.
Съдействието от страна на лицето, обработващо лични данни, може да бъде предмет на подходяща такса, освен ако вече не е уредено надлежно в Договора.
2.8. Край на Договора. Лицето, обработващо лични данни, по избор на администратора, трябва да изтрие или върне на администратора всички лични данни при прекратяване или изтичане на срока на Договора, както и да изтрие съществуващите копия, освен ако законодателството на ЕС или на държава членка не изисква съхранението на личните данни от страна на обработващия лични данни.
3. Технически и организационни мерки за сигурност
3.1. Обработващият лични данни и администраторът трябва да въведат и да поддържат ТОМ, както се изисква от приложимото Законодателство за защита на личните данни. Това включва въвеждане и поддържане на ТОМ, за да се гарантира ниво на сигурност, подходящо за
рисковете относно или нарушаването на сигурността на личните данни, подходящи за щетите, които биха
могли да произтекат от неупълномощено или незаконно обработване, случайна загуба, унищожаване или увреждане, както и естеството на данните, които трябва да бъдат защитени, като се има предвид нивото на технологичното развитие и разходите за прилагане
на всички мерки (тези мерки могат да включват, където е уместно, псевдонимизиране и криптиране на лични данни, гарантиране на поверителност, цялост, наличност и устойчивост на съответните системи и услуги).
3.2. ТОМ подлежат на промяна според техническия напредък и бъдещото развитие. Лицето, обработващо лични данни, си запазва правото да променя приложените мерки и средства за сигурност, при условие обаче, че не е нарушена функционалността и сигурността на Продуктите. Администраторът трябва да бъде уведомен за всички съществени решения, свързани със сигурността на организацията на обработването на данни и приложените процедури.
3.3. Чрез използването на даден Продукт, администраторът потвърждава ТОМ, както е посочено в Договора и/
или предоставено от Обработващия лични данни, и потвърждава, че XXX осигуряват подходящо ниво на защита по отношение на рисковете, свързани с обработването на лични данни.
4. Задължения за документиране и одит
4.1. При поискване от страна на администратора, обработващият лични данни трябва да предостави на администратора или на упълномощена трета страна, действаща от името на администратора, информация, необходима на администратора или Клиентите, за спазване на техните задължения за одит съгласно приложимите закони за защита на данните или искането на надзорен орган, и трябва да разреши и да съдейства за прегледи и одити, включително проверки, както е предвидено по-долу.
4.2. Администраторът може да поиска от обработващия лични данни да предостави съответна информация за ТОМ, включително – когато е възможно – сертификати на одитора, доклади или извлечения от доклади, предоставени от независими органи (напр. одитор, длъжностно лице за защита на данните, отдел за ИТ сигурност, одитор на поверителността на данните, одитор на качеството).
4.3. Ако не е възможно да се изпълни по друг начин задължение за одит, изисквано от приложимия Закон за защита на личните данни, администраторът или неговият упълномощен одитор може да провежда лични одити на място за сметка на администратора на индивидуална основа, обикновено не по-често
от веднъж годишно, в обичайно работно време, с основателна намеса в операциите на обработващия лични данни и след достатъчно предизвестие. Лицето, обработващо лични данни, може да определи, че такива одити и инспекции са в съответствие с изпълнение на ангажимент за поверителност, който защитава данните
на други клиенти и на поверителността на въведените TOM и предпазни мерки.
4.4. Администраторът трябва да информира незабавно обработващия лични данни за всякакви грешки или нередности, установени по време на одита.
5. Под-обработващ данни
5.1. С настоящото администраторът упълномощава обработващия лични данни да прехвърля лични данни или да предоставя достъп до лични данни на други обработващи лица, ангажирани от него (и да разрешава на други обработващи лични данни да правят това в съответствие с тази Xxxxxx 5) за целите на предоставяне на Продукти, подлежащи на задължения на администратора според тази
Клауза 5. Горепосоченото разрешение представлява предварително писмено съгласие на администратора за участието на други обработващи лични данни от обработващия лични данни, ако такова съгласие се изисква съгласно Стандартните договорни клаузи или Закона за защита на личните данни. Лицето, обработващо лични данни, носи отговорност за спазването на задълженията по настоящия ДОД
от страна на други обработващи лични данни. Обработващият лични данни предоставя на администратора актуален списък с други обработващи лични данни, например на уебсайт на обработващ лични данни.
5.2 Администраторът има право да възрази срещу ангажирането на нов обработващ лични данни в рамките на 10 дни от уведомяването. В противен случай се счита, че администраторът е одобрил такова ново възлагане или промяна. Когато има съществено важна причина за възражение и ако страните не успеят да разрешат проблема по взаимно съгласие, администраторът има право да прекрати Договора по отношение на съответния Продукт.
5.3 Лицето, обработващо лични данни, сключва писмени споразумения с всяко друго ангажирано от него лице, обработващо лични данни, които предвиждат същите или по-засилени мерки за защита на поверителността като в този ДОД. Този договор предоставя конкретно достатъчно гаранции за изпълнение на подходящи ТОМ.
6. Международно прехвърляне на данни
6.1. С настоящото администраторът упълномощава обработващия лични данни да прехвърля или дава достъп до личните данни в контекста на услугите, както е посочено в Договора, данните за обработване и/
или Стандартните договорни клаузи (СДК), когато е приложимо.
6.2. Всяко обработване на лични данни извън страната или региона, където се намира администраторът, е предмет на подходящ механизъм за прехвърляне на данни, ако и както се изисква от Закона за поверителност.
6.3. За международни трансфери на данни в контекста на Обработването на Лични данни в ЕИП, СДК трябва да се изпълняват между TD SYNNEX и Купувача, когато
страната, предаваща или предоставяща достъп до лични данни, се намира в ЕИП, Обединеното кралство или Швейцария, а другата страна, получаваща или разполагаща с достъп до такива данни, се намира в Трета държава. Условията на настоящия ДОД нямат за цел да изменят или променят СДК, а да предоставят яснота по отношение на процесите и процедурите за спазване на СДК. В случай на противоречие между условията на настоящия ДОД и СДК, СДК имат предимство.
6.4. За Прехвърляния на данни във връзка с ангажиране на други обработващи лични данни, обработващият лични данни сключва приложимите Стандартни договорни клаузи (Обработващ лични данни към Обработващ лични данни) с другите лица, обработващи лични данни, и ги задължава съобразно тях по отношение на всеки последващ трансфер.
7. Поверителност
Страните няма да разкриват поверителна информация, споделена във връзка с настоящия ДОД, освен: (i) както се изисква в настоящия ДОД или инструкция на страните, (ii) когато се изисква от закона, (iii) в отговор на компетентен орган или регулаторна или правителствена агенция и (iv) за разкриване на информация на своите служители, агенти
и изпълнители, които са обвързани със задължения за поверителност на база „необходимост да се знае“.