Addendum sa Pagproseso ng Data

Epektibo: Enero 7, 2025

Pangkalahatang ideya

Ang Data Processing Addendum na ito (ito "Addendum") ay bahagi ng Kasunduan sa pagitan ng ORGiD at ng Customer o anumang iba pang nilagdaang kasunduan sa pagitan ng mga Partido na nagsasama ng Addendum na ito sa pamamagitan ng sanggunian at namamahala sa pagproseso ng ORGiD ng Personal na Data sa kapasidad nito bilang isang Processor kaugnay ng pagbibigay ng ORGiD ng Produkto. Ang Addendum na ito ay dapat lamang mag aplay kung ang ORGiD at Customer ay hindi pumasok sa isang hiwalay na kasunduan sa pagproseso ng data o katulad na kasunduan sa kontrata na may paggalang sa pagproseso ng Personal na Data. Ang lahat ng mga katagang may malaking titik na ginamit ngunit hindi tinukoy sa Addendum na ito ay may mga kahulugang ibinigay sa kanila sa Kasunduan. Ang mga terminong "personal na data", "paksa ng data", "pagproseso", "controller", "processor", "kinatawan" at "awtoridad ng pangangasiwa" ay dapat magkaroon ng mga kahulugan na ibinigay sa GDPR o UK GDPR, kung naaangkop, sa bawat kaso anuman kung ang Batas sa Proteksyon ng Data ay nalalapat.

1. Appointment bilang Data Processor

Ang Controller

Ang Controller ay nagtatalaga ng ORGiD bilang Processor upang makatanggap at maproseso ang Personal na Data sa ngalan ng Controller lamang kung kinakailangan upang maibigay ang Cloud Service at bilang maaaring kasunod na sumang ayon sa mga partido sa pagsulat. Ang mga tagubilin ng Controller para sa Pagproseso ng Personal na Data sa ilalim o may kaugnayan sa Addendum na ito ay dapat sumunod sa Mga Batas sa Proteksyon ng Data, kung naaangkop.  Ang Controller ay responsable para sa pagtiyak ng isang wastong legal na batayan para sa pagproseso ng Personal na Data. Ang legal na entity na sumasang ayon sa Addendum na ito bilang Controller ay kumakatawan na ito ay pinahihintulutan na sumang ayon at pumasok sa Addendum na ito para sa, at sumasang ayon sa Addendum na ito lamang sa ngalan ng, ang Controller.

Ang Processor

Ang Tagapagproseso, ay dapat mangolekta, tumanggap, magproseso at gumamit ng Personal na Data sa ngalan ng at ayon sa tagubilin ng Customer bilang Controller, alinsunod sa Batas ng Proteksyon ng Data, kung naaangkop at hindi gagamitin o iproseso ang Personal na Data ng Customer para sa anumang layunin maliban sa kapasidad nito bilang Processor na hinirang ng Controller. Ang paksa at mga detalye ng pagproseso ay inilarawan sa "Apendiks 1" ng Addendum na ito.

2. Mga International Data Transfer

Paglipat ng Data sa Internasyonal

Bago ilipat ng Controller ang Personal na Data sa Processor, o pahintulutan ang Processor na ma access ang Personal na Data na matatagpuan sa isang hurisdiksyon na nangangailangan ng isang International Data Transfer Mechanism, ang Controller ay dapat i verify kung ang mga kaugnay na kinakailangan ay natutugunan. Kung hindi sila natutugunan, ang mga partido ay dapat magtulungan sa mabuting pananampalataya upang matupad ang mga kinakailangan ng International Data Transfer Mechanism na iyon. Ang mga partido ay dapat magsimula at sumunod sa anumang International Data Transfer Mechanism na maaaring kailanganin ng naaangkop na Batas sa Proteksyon ng Data.

Mekanismo ng International Data Transfer

Kung ang Controller ay itinatag sa European Economic Area ("EEA"), Switzerland o United Kingdom ("UK") at inilipat ang Personal na Data sa Processor, pagkatapos ay ang Data Transfer Addendum ay dapat: (i) ilapat sa naturang mga paglilipat; (ii) maunahan ang lahat ng iba pang mga tuntunin, kabilang ang mga tuntunin ng Kasunduang ito, hinggil sa gayong mga paglilipat; (iii) bumuo ng isang legal na nagbubuklod na kontrata sa pagitan ng data exporter at Processor bilang o sa ngalan ng data importer; at (iv) sa pamamagitan nito ay isinama sa Kasunduan.

Tungkol sa Personal na Data ng EEA, Switzerland at UK data subjects, ang mga Partido ay sumasang ayon na ang Processor ay maaaring magproseso ng Personal na Data sa labas ng EEA, Switzerland, at UK lamang kung saan ang mga kinakailangan sa Batas sa Proteksyon ng Data (kabilang ang, kung saan naaangkop, Artikulo 44 hanggang 47 GDPR) ay natupad, o isang pagbubukod (kabilang ang, kung saan naaangkop, ang mga nakalista sa Artikulo 49 GDPR) ay nalalapat. Sa paggalang sa personal na data ng mga paksa ng data ng Brazil, ang Data Controller ay sumasang ayon na ang ORGiD ay maaaring magproseso ng Personal na Data ng Customer sa labas ng Brazil, at kumakatawan at warranty na ang naturang paglilipat ng Personal na Data ng Customer ay sumusunod sa batas sa proteksyon ng data ng Brazil (LGPD).

3. Proteksyon ng Data

3.1. Pagsunod

Ang mga partido ay susunod sa kani kanilang mga obligasyon sa ilalim ng Data Protection Law at ang kani kanilang mga abiso sa privacy.

3.2. Pagiging kompidensyal

Hihigpitan ng Processor ang pag access sa Personal na Data sa mga awtorisadong tao na nangangailangan ng naturang impormasyon upang maibigay ang Mga Serbisyo. Ang mga naturang awtorisadong tao ay may obligasyon na mapanatili ang pagiging kompidensyal ng anumang Personal na Data. Ang Processor ay hindi ilalathala, ibubunyag, o ibubunyag (at titiyakin na ang mga tauhan nito ay hindi mag publish, magbunyag, o magbunyag) ng Personal na Data sa isang third party maliban kung ang Controller ay nagbigay ng paunang nakasulat na pahintulot.

3.3. Seguridad

Ang Processor ay magpapatupad ng angkop na mga teknikal, administratibo at organisayunal na mga panukala, kung naaangkop, at tulad ng inilarawan sa "Appendix 2" ng Addendum na ito, na kinakailangan upang: (i) matiyak ang isang antas ng pagiging kompidensyal at seguridad na angkop sa mga panganib na kinakatawan ng pagproseso at ang likas na katangian ng Personal na Data; at (ii) maiwasan ang hindi awtorisadong o labag sa batas na pagproseso ng Personal na Data, aksidenteng pagkawala, pagsisiwalat o pagkasira ng, o pinsala sa, Personal na Data na ibinigay ng Controller at naproseso ng Processor. Ang gayong mga hakbang sa seguridad ay magiging proteksyon man lamang tulad ng mga kinakailangan sa seguridad na nakasaad sa Kasunduan. Kapag pumipili ng mga kontrol sa seguridad, isasaalang alang ng Processor ang estado ng sining, ang gastos ng pagpapatupad, ang kalikasan, saklaw, konteksto, at mga layunin ng pagproseso ng Personal na Data, at ang panganib sa mga paksa ng data ng isang insidente sa seguridad o Personal na Paglabag sa Data na nakakaapekto sa Personal na Data.

3.4. Pagpapanatili

Ang Personal na Data na natanggap mula sa Customer ay mananatili lamang sa loob ng mahabang panahon na maaaring makatwirang kinakailangan kaugnay ng pagganap ng Processor ng Kasunduan o kung hindi man kinakailangan sa ilalim ng Batas sa Proteksyon ng Data. Ang mga obligasyon ng Processor na may kaugnayan sa pagbabalik o pagtanggal ng Personal na Data ay makakaligtas sa pagwawakas hanggang sa ang lahat ng Personal na Data ay naibalik o natanggal alinsunod sa Addendum na ito.

3.5. Pakikipagtulungan

Ang Processor ay makikipagtulungan sa lawak na makatwirang kinakailangan kaugnay ng mga kahilingan ng Controller na may kaugnayan sa seguridad ng data, mga abiso sa paglabag sa data, mga pagtatasa ng epekto sa proteksyon ng data at konsultasyon sa mga awtoridad ng pangangasiwa at para sa katuparan ng obligasyon ng Controller na tumugon sa mga kahilingan para sa pagsasagawa ng mga karapatan ng isang paksa ng data sa ilalim ng Batas sa Proteksyon ng Data. Inilalaan ng Processor ang karapatang singilin ang Controller para sa makatwirang oras nito para sa naturang kooperasyon at para sa mga gastos na natamo para sa anumang espesyal na pag aayos na hiniling.

3.6. Mga Kahilingan ng Third Party

Kung ang Processor ay nakatanggap ng isang kahilingan mula sa isang paksa ng data o isang third party na may kaugnayan sa anumang pagsisiyasat ng pamahalaan o paglilitis sa korte na pinaniniwalaan ng Processor na kakailanganin ito upang makabuo ng anumang Personal na Data, ang Processor ay agad na ipaalam sa Controller sa pagsulat ng naturang pagtatanong, kahilingan o reklamo at makipagtulungan sa Controller kung nais nitong limitahan, hamunin o protektahan laban sa naturang pagsisiwalat, sa lawak na pinapayagan ng naaangkop na Batas. Ang Processor ay tutulong sa Controller, sa lawak na ito ay komersyal na makatwirang, upang matupad ang obligasyon ng Controller na tumugon sa mga kahilingan mula sa Mga Paksa ng Data at mga awtoridad ng superbisor ayon sa kinakailangan ng Batas sa Proteksyon ng Data. Ang Controller ay dapat na tanging responsable para sa pagtugon sa anumang mga kahilingan ng Mga Paksa ng Data at kung ang naturang kahilingan ay ginawa nang direkta sa Processor, ang Processor ay agad na ipaalam sa Controller at magpapayo sa mga Paksa ng Data na isumite ang kanilang kahilingan sa Controller.

3.7. Mga tagubilin mula sa Customer

Sa kabila ng anumang bagay sa Kasunduan sa kabaligtaran, ang Processor ay ipoproseso lamang ang Personal na Data upang maibigay ang mga Serbisyo sa Controller, alinsunod sa nakasulat na mga tagubilin ng Controller, ayon sa pinapayagan ng huling pangungusap ng Seksyon 3.8 sa ibaba, o ayon sa hinihingi ng naaangkop na Batas. Ang Processor ay agad na ipaalam sa Controller kung ang pagsunod sa isang tagubilin ay magreresulta sa isang paglabag sa Batas sa Proteksyon ng Data o kung saan ang Processor ay dapat ibunyag ang Personal na Data bilang tugon sa isang legal na obligasyon (maliban kung ang legal na obligasyon ay nagbabawal sa Processor mula sa paggawa ng naturang pagsisiwalat).

3.8. Saklaw ng Pagproseso

Ang Processor ay ipinagbabawal mula sa: (a) Pagbebenta ng Personal na Data, (b) pagpapanatili, paggamit, o pagsisiwalat ng Personal na Data para sa anumang layunin maliban sa partikular na layunin ng negosyo ng pagsasagawa ng mga dokumentadong tagubilin ng Controller para sa mga layunin ng negosyo na tinukoy sa Addendum na ito, kabilang ang pagpapanatili, paggamit, o pagsisiwalat ng Personal na Data para sa isang komersyal na layunin maliban sa pagsasagawa ng mga tagubilin ng Controller, o (c) pagpapanatili, paggamit, o pagsisiwalat ng Personal na Data sa labas ng direktang relasyon sa negosyo sa pagitan ng mga partido ayon sa kahulugan sa Kasunduang ito. Pinatutunayan ng Processor na nauunawaan nito ang mga paghihigpit na ito. Sa kabila ng nabanggit, maaaring iproseso ng Processor ang Personal na Data upang mapanatili o magamit ang ibang tao bilang sub Processor alinsunod sa Addendum na ito, para sa panloob na paggamit ng Processor upang mapabuti ang kalidad ng mga serbisyo nito (sa kondisyon na hindi ginagamit ng Processor ang Personal na Data upang magsagawa ng mga serbisyo sa ngalan ng ibang tao), o upang matukoy ang mga insidente ng seguridad ng data o protektahan laban sa malisyosong, mapanlinlang, mapanlinlang o iligal na aktibidad.

3.9. Sensitibong Impormasyon

Ang Controller ay magpapaalam sa Processor kung ang Personal na Data ay Sensitive Data at ang Controller ay dapat makakuha ng malinaw na pahintulot mula sa mga Paksa ng Data para sa paglipat ng Sensitive Data para sa pagproseso sa lawak na kinakailangan ang naturang pahintulot sa ilalim ng Batas sa Proteksyon ng Data.

3.10. Mga sub-processor

Ipinagkakaloob ng Controller ang pangkalahatang awtorisasyon ng Processor, bilang isang processor, upang makisali sa iba pang mga processor ("Sub processors") upang tumulong sa pagbibigay ng mga Serbisyo na naaayon sa Kasunduan. Sisiguraduhin ng Processor na ang bawat Subprocessor ay nag access lamang at gumagamit ng Personal na Data sa lawak na kinakailangan upang maisagawa ang mga obligasyon subcontracted sa mga ito at alinsunod sa Addendum na ito. Alinsunod sa Mga Batas sa Proteksyon ng Data, ang Processor ay gagawa ng listahan ng naturang mga Subprocessor na naa access ng Controller sa Appendix 3 bago ilipat ang anumang Personal na Data sa naturang mga Subprocessor. Ang Controller ay maaaring mag opt in upang ipaalam sa pamamagitan ng email sa sulat ng Processor ng anumang mga pagbabago sa listahan ng mga Sub processor sa pamamagitan ng pag update ng naturang listahan paminsan minsan upang bigyan ang Controller ng isang pagkakataon na tumutol sa naturang mga pagbabago sa loob ng 30 araw pagkatapos na maabisuhan. Kung ang Controller at ang Processor ay hindi kayang lutasin ang mga naturang pagtutol, maaaring wakasan ng alinmang Partido ang Kasunduan sa pamamagitan ng pagbibigay ng nakasulat na abiso sa kabilang partido. Ang Controller ay may karapatang suriin ang lahat ng mga aktibidad ng sub Processor alinsunod sa Batas sa Proteksyon ng Data, kabilang ang karapatang makakuha ng impormasyon mula sa Processor, sa nakasulat na kahilingan, sa pagpapatupad ng mga obligasyon sa proteksyon ng data sa ilalim ng bawat kontrata sa Sub Processing.

3.11. Pananagutan sa Sub-processor

Kung saan ang Processor ay nakikibahagi sa isang Sub-processor para sa pagsasagawa ng mga partikular na aktibidad sa pagproseso sa ngalan ng Controller, ang mga obligasyong proteksyon ng data na katulad nito na itinakda sa Addendum na ito ay ipapataw sa Sub-processor na iyon sa pamamagitan ng isang kontrata, lalo na ang pagbibigay ng sapat na garantiya upang ipatupad ang naaangkop na mga teknikal at organisational na hakbang sa paraang ang pagproseso ay makakatugon sa mga kinakailangan ng Batas sa Proteksyon ng Data. Ang Processor ay mananagot para sa mga gawa o pagkukulang ng mga Subprocessor nito sa lawak na magiging pananagutan ng Processor kung direktang isasagawa ang mga serbisyo ng Subprocessor.

3.12. Pag-iingat ng talaan

Sa isang kahilingan na inisyu ng isang awtoridad ng pangangasiwa para sa mga talaan tungkol sa Personal na Data, ang Processor ay makikipagtulungan upang ibigay ang awtoridad ng superbisor na may mga talaan na may kaugnayan sa mga aktibidad sa pagproseso na isinasagawa sa ngalan ng Controller, kabilang ang impormasyon sa mga kategorya ng Personal na Data na naproseso at ang mga layunin ng pagproseso, ang paggamit ng mga tagapagbigay ng serbisyo na may paggalang sa naturang pagproseso, anumang pagsisiwalat ng data o paglilipat sa mga third party at isang pangkalahatang paglalarawan ng mga teknikal at organisational na hakbang upang maprotektahan ang seguridad ng naturang data.

3.13. Paglipat ng Personal na Data

Ang Controller ay nagpapahintulot sa Processor na ilipat, mag imbak o magproseso ng Personal na Data sa Estados Unidos o anumang iba pang bansa kung saan ang Processor o ang mga Subprocessor nito ay nagpapanatili ng mga pasilidad. Ang Controller ay nagtatalaga ng Processor upang magsagawa ng anumang naturang paglilipat ng Personal na Data sa anumang naturang bansa at mag imbak at magproseso ng Personal na Data upang maibigay ang mga Serbisyo. Ang Processor ay magsasagawa ng lahat ng naturang aktibidad bilang pagsunod sa Kasunduan, ang Addendum na ito, Batas sa Proteksyon ng Data, anumang naaangkop na International Data Transfer Mechanism at Controller na mga tagubilin.

3.14. Pagtanggal o Pagbalik

Sa pagkumpleto ng mga obligasyon ng mga Processor na may kaugnayan sa pagproseso ng Personal na Data sa ilalim ng Kasunduang ito o kapag itinuro ng Controller, ang Processor ay magtatanggal ng anumang Personal na Data o ibabalik ito sa Controller sa isang ligtas na paraan at tanggalin ang lahat ng natitirang mga kopya ng Personal na Data pagkatapos ng naturang pagbabalik maliban kung saan kung hindi man kinakailangan sa ilalim ng naaangkop na Batas. Ang proseso ay mag render ng anumang Personal na Data na hindi maaaring tanggalin o ibalik ay magiging hindi nagpapakilala sa paraang ang data ay hindi na bumubuo ng Personal na Data. Ang Processor ay magrerelay ng mga tagubilin ng Controller sa lahat ng mga Sub-processor. Ang Controller ay maaaring, bago ang pagwawakas o pag expire at sa pamamagitan ng paraan ng pag isyu ng isang Tagubilin, ay nagtatakda ng makatwirang ligtas na paraan at format upang maibalik ang anumang Personal na Data bago ito matanggal. Ang Controller ay mananagot para sa anumang karagdagang gastos na lumilitaw kaugnay ng ligtas na pamamaraan na itinuro para sa pagbabalik ng Personal na Data.

3.15. Abiso sa Paglabag

Alinsunod sa Seksyon 7.8.1 ng Kasunduan, matapos malaman ang isang Personal na Paglabag sa Data, ipapaalam ng Processor sa Controller nang walang hindi nararapat na pagkaantala ng: (a) ang likas na katangian ng Personal na Paglabag sa Data; (b) ang bilang at mga kategorya ng mga paksa ng data at mga talaan ng data na apektado; at (c) ang pangalan at mga detalye ng contact para sa may katuturang contact person sa Processor. Ang Processor ay dapat agad na siyasatin ang Personal na Data Breach, upang matukoy, maiwasan, at mapagaan ang mga epekto ng anumang naturang Personal na Data Breach, at isagawa ang anumang pagbawi o iba pang pagkilos na kinakailangan upang lunasan ang Personal na Data Breach. Sa kahilingan ng Controller, agad naming ibibigay ang lahat ng makatwirang tulong na kinakailangan upang paganahin ang mga awtoridad na may kakayahang magbigay ng abiso at / o mga apektadong Paksa ng Data ng kaugnay na Insidente ng Seguridad, kung ang Controller ay kinakailangang gawin ito sa ilalim ng Batas sa Proteksyon ng Data.

3.16. Mga Audit

Sa kahilingan at sa gastos ng Controller, ang Processor ay gagawing magagamit sa Controller ang lahat ng impormasyon na kinakailangan, at payagan at mag ambag sa mga pag audit, kabilang ang makatwirang mga inspeksyon, na isinasagawa ng Controller o isa pang auditor na ipinag uutos ng Controller, upang ipakita ang pagsunod sa Batas sa Proteksyon ng Data. Para sa kalinawan, ang naturang mga audit o inspeksyon ay limitado sa pagproseso ng Processor ng Personal na Data para sa Customer lamang, hindi anumang iba pang aspeto ng negosyo o mga sistema ng impormasyon ng Processor. Kung ang Controller ay nangangailangan ng Processor na mag ambag sa mga audit o inspeksyon na kinakailangan upang ipakita ang pagsunod, ang Controller ay magbibigay sa Processor ng nakasulat na abiso nang hindi bababa sa 60 araw bago ang naturang audit o inspeksyon. Ang naturang nakasulat na abiso ay tukuyin ang mga bagay, tao, lugar o dokumentong ilalaan. Ang ganitong nakasulat na abiso, at anumang ginawa bilang tugon dito, ay ituturing na Kumpidensyal na Impormasyon at, sa kabila ng anumang bagay sa salungat sa Kasunduan, mananatiling Kumpidensyal na Impormasyon sa perpettuity o ang pinakamahabang oras na pinapayagan ng naaangkop na Batas pagkatapos ng pagwawakas ng Kasunduan. Ang naturang mga materyales at produkto ng derivative work na ginawa bilang tugon sa kahilingan ng Controller ay hindi isiwalat sa sinuman nang walang paunang nakasulat na pahintulot ng ORGiD maliban kung ang naturang pagsisiwalat ay kinakailangan ng naaangkop na Batas. Kung ang pagsisiwalat ay kinakailangan ng naaangkop na Batas, ang Controller ay magbibigay sa Processor ng prompt written notice ng kinakailangang iyon at ng pagkakataon na makakuha ng isang proteksiyon na order upang ipagbawal o paghigpitan ang naturang pagsisiwalat maliban sa lawak na ang naturang abiso ay ipinagbabawal ng naaangkop na Batas o utos ng isang hukuman o ahensya ng pamahalaan. Ang Controller ay gagawa ng lahat ng pagsisikap upang makipagtulungan sa Processor upang mag iskedyul ng mga audit o inspeksyon sa mga oras na maginhawa sa Processor. Ang Processor ay maaaring singilin ang isang makatwirang bayad para sa naturang mga kahilingan maliban kung saan ang naturang pagsisiyasat ay nagmumula sa isang paglabag sa mga obligasyon nito dito, sa lawak na pinapayagan ng naaangkop na batas. Kung, pagkatapos suriin ang tugon ng Processor sa kahilingan sa audit o inspeksyon ng Customer, ang Controller ay nangangailangan ng karagdagang mga audit o inspeksyon, kinikilala at sumasang ayon ang Controller na ito ay tanging mananagot para sa makatwirang mga bayarin at lahat ng mga gastos na natamo kaugnay ng naturang karagdagang mga audit o inspeksyon.

3.17. Mga Salungatan

Kung mayroong isang salungatan o hindi pagkakapareho sa pagitan ng Data Processing Addendum na ito, ang Data Transfer Addendum, at ang Kasunduan, ang pagkakasunud sunod ng prayoridad ay magiging: ang Data Transfer Addendum (ngunit sa lawak lamang na nalalapat ito sa ilalim ng seksyon 3.6.a sa itaas), ito Data Processing Addendum, ang Kasunduan. Kung ang mga indibidwal na probisyon ng Addendum na ito ay walang bisa o hindi maipapatupad, ang bisa at pagpapatupad ng iba pang mga probisyon ng Addendum na ito ay hindi maaapektuhan.

3.18. mga pagbabago

Maaaring i update ng ORGiD ang anumang bahagi o lahat ng mga tuntunin ng Addendum kung kinakailangan upang sumunod sa Batas sa Proteksyon ng Data at magiging epektibo at nagbubuklod sa petsa ng pag renew ng susunod na Subscription ng Produkto ng Customer o sa nakasulat na kasunduan ng Service Provider, alinman sa mas maaga. Kung ang Addendum na ito ay isinama sa pamamagitan ng sanggunian bilang isang URL ng web page, ang na update na bersyon ng Addendum ay mai post sa parehong URL at ang Controller ay ibabahagi sa Controller para sa pag apruba sa pagsulat. Kung ang Addendum na ito ay isinama bilang bahagi ng isang komersyal na kasunduan na isinagawa ng mga Partido, ang na update na bersyon ng Addendum ay ibabahagi sa Controller para sa pag apruba sa sulat. Kung ang Controller ay hindi sumasang ayon sa isang pagbabago sa pagsulat, ang Controller ay dapat ipaalam sa Processor sa pamamagitan ng sulat at ang mga Partido ay magtutulungan sa mabuting pananampalataya upang bumuo ng isang bagong katanggap tanggap na Data Processing Addendum.

Apendiks 1: Mga Detalye ng Pagproseso ng Data

a1.1. Listahan ng mga Partido

(Mga) Tagaluwas ng Data

Ang tagaluwas ng data ay ang Disclosing Party at dapat maging isang Controller, tulad ng tinukoy sa Kasunduang ito, na may pangalan, address, at mga detalye ng contact tulad ng ibinigay sa ORGiD. Ang mga aktibidad na may kaugnayan sa data na inilipat sa ilalim ng mga Standard Contractual Clauses na ito ay kinabibilangan ng paggamit ng mga kaugnay na Serbisyo alinsunod sa Kasunduan. Ang tagaluwas ng data ay dapat nasa papel ng Controller.

(Mga) Importer ng Data

Ang data importer ay ang Receiving Party at dapat ORGiD, tulad ng tinukoy sa Kasunduang ito, na may pangalan, address at mga detalye ng contact tulad ng sumusunod:

  • Vspry Australia Pty Limited T / As ORGiD, na may address nito sa L38, 71 Eagle St Brisbane Queensland Australia

Ang data importer ay dapat nasa papel ng Processor kapag ang mga aktibidad na may kaugnayan sa data na inilipat sa ilalim ng mga Standard Contractual Clauses na ito ay kinabibilangan ng pagbibigay ng mga kaugnay na Serbisyo sa Customer alinsunod sa Kasunduan.

Ang importer ng data ay dapat nasa papel ng Controller kung saan ang parehong tagaluwas at importer ay bawat isa ay isang independiyenteng data controller ng Personal na data at malayang matukoy ang layunin at paraan ng pagproseso ng Personal na Data sa ilalim ng Batas sa Proteksyon ng Data kapag ang mga aktibidad na may kaugnayan sa data na inilipat sa ilalim ng mga Standard Contractual Clauses na ito ay kinabibilangan ng suporta ng mga kaugnay na Serbisyo sa Customer alinsunod sa Kasunduan.

A1.2. Paglalarawan ng Paglilipat

Ang mga aktibidad sa pagproseso ng data na isinasagawa ng Pagtanggap ng Partido sa ilalim ng Addendum na ito ay ang mga sumusunod:

Paksa

Service Provider pagkakaloob at suporta ng mga Serbisyo sa ilalim ng Kasunduan.

Tagal ng pagproseso at pagpapanatili

Para sa termino ng Kasunduang ito plus ang panahon mula sa pag expire hanggang sa anonymisation, pagbabalik, o pagtanggal ng data alinsunod sa Kasunduang ito.

Kalikasan at Layunin

Ipoproseso ng Receiving Party ang Personal na Data para sa mga layunin ng pagbibigay ng mga Serbisyo alinsunod sa at tulad ng inilarawan sa Kasunduan.

Mga Kategorya ng Data

Personal na Data na may kaugnayan sa mga indibidwal na ibinigay sa Pagtanggap ng Partido bilang Processor sa pagganap at pagbibigay ng mga Serbisyo sa Customer, sa pamamagitan ng (o sa direksyon ng) Pagsisiwalat ng Partido, na maaaring kabilang ang:

  • Ang Contact Information ay pinoproseso upang ma authenticate at makipag usap sa mga Data Subjects. Kasama sa Contact Information ang email address, numero ng telepono at mailing address.

  • Ang Personal na Impormasyon ay pinoproseso upang paganahin ang Controller at ang mga end user nito na gamitin ang Serbisyo. Ang personal na impormasyon ay pinoproseso upang paganahin ang Data Subject na ipakita, ilipat, patunayan o ibahagi ang lahat o bahagi ng kanilang Personal na Impormasyon sa Controller o isang third party kapag ginagamit ang kanilang ID Card. Kabilang sa Personal na Impormasyon ang pangalan, kasarian, edad, petsa ng kapanganakan, impormasyon sa pagbabayad, lokasyon, impormasyon sa edukasyon, impormasyon sa pagiging miyembro, impormasyon sa trabaho, relasyon sa pamilya, mga alagang hayop, sertipikasyon, lisensya, kredensyal, karapatan, dokumento ng pagkakakilanlan, patunay ng pagkakakilanlan, mga larawan ng mukha, at lagda,

  • Ang Impormasyon sa Paggamit ay naproseso upang suportahan ang mga Paksa ng Data at Paggamit ng Controllers ng Serbisyo. Kasama sa Impormasyon sa Paggamit ang impormasyon ng aparato, impormasyon sa network, mga aksyon at mga kaganapan na kinuha kasama ang app o website tulad ng, pagbubukas ng app, pagbubukas ng mensahe, pagbili, paghahanap, pag scan ng barcode, mga kaganapan sa pag check in/check out, mga pag verify, pagbabayad, pag install, pag uninstall, pagbabahagi, at mga pamamaraan ng pagpaparehistro, impormasyon sa paggamit ng website at app, data ng email, data ng paggamit ng system, data ng pagsasama ng aplikasyon, at iba pang elektronikong data o komunikasyon na isinumite, naka imbak, ipinadala sa, o natanggap ng mga end user.

Personal na Data na may kaugnayan sa mga indibidwal na ibinigay sa Pagtanggap ng Partido bilang isang Controller sa isang Controller to Controller transfer para sa layunin ng pagbebenta ng mga Serbisyo sa Customer o suporta ng Mga Serbisyo para sa Customer, sa pamamagitan ng (o sa direksyon ng) Pagsisiwalat Party, na maaaring kabilang ang:

  • Contact Information ng mga kinatawan ng Customer, ahente, referral o kasosyo na kung saan ay naproseso upang mapatunayan at makipag usap sa Data Subjects upang ibenta ang Serbisyo sa Customer o suportahan ang Serbisyo para sa Customer. Kasama sa Contact Information ang email address, numero ng telepono.

  • Ang Personal na Impormasyon ng mga kinatawan ng Customer, ahente, referral o kasosyo ay naproseso upang paganahin ang Controller na ibenta ang Serbisyo sa Customer o suportahan ang Serbisyo para sa Customer. Kasama sa Personal na Impormasyon ang pangalan ng mga kinatawan na ito, impormasyon sa trabaho, mga sertipikasyon, lisensya, kredensyal, karapatan, dokumento ng pagkakakilanlan, patunay ng pagkakakilanlan, at mga larawan ng mukha.

Ang Sensitive Data na maaaring ilipat sa Processor Service Provider bilang Processor sa pamamagitan ng mga Serbisyo, sa pamamagitan o sa direksyon ng Data Controller, ay maaaring isama ang mga sumusunod na kategorya:

  • Lahi o etnikong pinagmulan, para sa layuning mag-isyu ng mga membership card sa ngalan ng mga organisasyong nagtataguyod para sa mga karapatan ng mga miyembro o di-miyembro ng partikular na lahi o etniko. 

  • Mga opinyon sa pulitika, para sa layuning mag-isyu ng mga kard ng pagiging miyembro ng pulitika para sa iba't ibang organisasyong pampulitika o organisasyong kasapi na nagtataguyod ng ilang patakaran.

  • Mga paniniwala sa relihiyon o pilosopiya, para sa layunin ng pag isyu ng mga kard ng pagiging miyembro ng relihiyon sa ngalan ng mga organisadong grupo ng relihiyon.

  • Pagiging miyembro ng unyon, para sa layuning mag-isyu ng mga kard ng pagiging miyembro ng unyon sa ngalan ng mga unyon.

  • Biometric data, na may malinaw na pahintulot ng mga paksa ng data, o upang isagawa ang mga obligasyon ng trabaho o para sa malaking interes ng publiko upang maiwasan ang pandaraya sa pagkakakilanlan.

  • Gender identity o sexual orientation, para sa layuning mag-isyu ng mga membership card sa ngalan ng mga membership organization na nagtataguyod ng mga karapatan sa kasarian o seksuwal na pagkakakilanlan, o sa malinaw na pahintulot ng paksa ng data upang maibahagi nila ang kanilang pagkakakilanlan o panghalip sa ibang mga gumagamit o institusyon.

  • Data ng kalusugan, para sa layunin ng preventative o occupational medicine bilang isang pasyente sa kalusugan, propesyonal o service ID card para magamit upang matukoy ang isang kapansanan, pasyente, o tagapag alaga. Maaari ring iproseso ang data ng kalusugan para sa mga kadahilanan ng interes ng publiko sa lugar ng kalusugan ng publiko kung saan maaaring kailanganin ang mga kredensyal sa kalusugan sa kurso ng trabaho o para sa internasyonal na paglalakbay.

  • Kung ang pseudonymisation ng data ay hindi mailapat, ang Processor ay magpoproseso lamang ng Sensitive Data na napapailalim sa Controller na tumatanggap ng malinaw na pahintulot mula sa Paksa ng Data at ang pagproseso ay napapailalim sa paglihis ng batas.

  • Ang Sensitibong Data na may kaugnayan sa mga indibidwal na ibinigay sa Service Provider bilang Controller sa isang paglipat ng Controller to Controller para sa layuning ibenta ang Serbisyo sa Customer o suporta ng Serbisyo para sa Customer, sa pamamagitan o sa direksyon ng Controller, ay hindi dapat iproseso.

Dalas ng Paglilipat 

Patuloy na

Mga Paksa ng Data

Kabilang sa mga paksa ng data ang mga indibidwal na EEA, Switzerland, UK, at Brazilian tungkol sa kung kanino ang personal na data ay ibinigay sa Processor sa pamamagitan ng Mga Serbisyo sa pamamagitan ng (o sa direksyon ng) ang Controller. Ang Mga Paksa ng Data ay maaaring maging sinumang indibidwal na may isang negosyo, personal, kaakibat o institusyonal na relasyon sa Controller o customer ng Controller kabilang ang kanilang mga customer, end user, miyembro, supplier, collaborator, boluntaryo, lisensyado, vendor, prospect, empleyado, subcontractor, bisita, kamag anak, tagapag alaga, pasyente, tagapagturo, constituents, kaibigan, kinatawan.

A1.3. May kakayahang Awtoridad sa Pangangasiwa

Ang karampatang awtoridad ng superbisor ay ang Dutch Data Protection Authority (Autoriteit Persoonsgegevens, AP).

Apendiks 2: Mga Panukala sa Seguridad

  1. Ang Processor ay dapat magpatupad at sumunod sa isang nakasulat na programa ng seguridad ng impormasyon na naaayon sa mga itinatag na pamantayan ng industriya at angkop sa likas na katangian ng Personal na Data. Ang programang ito ay dapat magsama ng mga administratibo, teknikal, at pisikal na pangangalaga na idinisenyo upang maprotektahan ang naturang impormasyon mula sa hindi awtorisadong pag access, pagkawasak, paggamit, pagbabago, o pagsisiwalat, pati na rin ang anumang inaasahang mga banta o panganib sa seguridad o integridad ng naturang impormasyon. Ang programa ay dapat ding magsama ng mga safeguard laban sa hindi awtorisadong pag access o paggamit na maaaring magresulta sa malaking pinsala o kakulangan sa kaginhawahan sa Controller, mga customer ng Controller, o mga empleyado ng Controller.

  2. Ang Processor ay dapat magpatibay at magpatupad ng makatwirang mga patakaran at pamantayan na may kaugnayan sa seguridad.

  3. Ang Processor ay dapat magtalaga ng responsibilidad para sa pamamahala ng seguridad ng impormasyon.

  4. Ang Processor ay dapat maglaan ng sapat na mapagkukunan ng tauhan sa seguridad ng impormasyon.

  5. Ang Processor ay magsasagawa ng mga tseke sa pag verify sa mga permanenteng kawani na magkakaroon ng access sa Personal na Data.

  6. Ang Processor ay dapat magsagawa ng naaangkop na mga tseke sa background at nangangailangan ng mga empleyado, vendor, at iba pa na may access sa Personal na Data na pumasok sa nakasulat na mga kasunduan sa pagiging kompidensyal.

  7. Ang Processor ay dapat magsagawa ng pagsasanay upang gawing kamalayan ng mga empleyado at iba pa na may access sa Personal na Data ang mga panganib sa seguridad ng impormasyon at upang mapahusay ang pagsunod sa mga patakaran at pamantayan ng Processor na may kaugnayan sa proteksyon ng data.

  8. Dapat pigilan ng Processor ang hindi awtorisadong pag access sa Personal na Data sa pamamagitan ng paggamit, kung naaangkop, ng mga pisikal at lohikal na kontrol sa pagpasok, mga ligtas na lugar para sa pagproseso ng data, mga pamamaraan para sa pagsubaybay sa paggamit ng mga pasilidad sa pagproseso ng data, built in na mga trail ng audit ng system, paggamit ng mga secure na password, teknolohiya sa pagtuklas ng panghihimasok sa network, teknolohiya sa pag encrypt at pagpapatunay, ligtas na mga pamamaraan sa pag log on, at proteksyon sa virus, pagsubaybay sa pagsunod sa mga patakaran at pamantayan ng Processor na may kaugnayan sa proteksyon ng data sa isang patuloy na batayan. Sa partikular, Processor ay dapat ipatupad at sumunod sa:

    1. Mga hakbang sa kontrol ng pisikal na pag access upang maiwasan ang hindi awtorisadong pag access sa mga sistema ng pagproseso ng data

    2. Mga hakbang sa pagkontrol ng pagtanggi upang maiwasan ang hindi awtorisadong paggamit ng mga sistema ng proteksyon ng data
      authorisation scheme at access rights upang matiyak na ang mga taong may karapatang gumamit ng isang data processing system ay may access lamang sa data kung saan sila ay may karapatang ma access, at ang Personal na Data ay hindi maaaring basahin, kopyahin, baguhin, o alisin nang walang pahintulot

    3. Mga hakbang sa kontrol ng paghahatid ng data upang matiyak na ang Personal na Data ay hindi maaaring basahin, kopyahin, baguhin, o alisin nang walang pahintulot sa panahon ng electronic transmission, transportasyon, o imbakan sa data media, at paglipat at pagtanggap ng mga talaan

    4. Ang pag encrypt sa imbakan ng anumang mga hanay ng data sa pag aari ng Processor, kabilang ang sensitibong personal na data, gamit ang naaangkop na mga antas ng pag encrypt batay sa mga pamantayan sa pag encrypt na nangunguna sa industriya

    5. Ang pagtiyak na ang anumang sensitibong personal na data na ipinadala sa elektronikong paraan (maliban sa pamamagitan ng facsimile) sa isang tao sa labas ng sistema ng IT ng Processor o ipinadala sa isang pampublikong network ay naka encrypt gamit ang pinakabagong suportado na mga bersyon ng TLS 1.2 protocol upang maprotektahan ang seguridad ng paghahatid

    6. Mga hakbang sa kontrol ng entry ng data upang matiyak na maaaring suriin at maitatag ng Processor kung at sa pamamagitan ng kung kanino ang Personal na Data ng Customer ay na input sa mga sistema ng pagproseso ng data, binago, o inalis

    7. Ang patuloy na mga hakbang sa pagsubok sa seguridad upang matiyak na ang mga kasanayan sa seguridad ng impormasyon ay mananatiling may kaugnayan, epektibo, at napapanahon, kabilang ang taunang pagsubok sa pagtagos, paggamit ng mga tool sa pag scan ng system, mga pagsubok sa pagpapanumbalik ng backup, mga failover ng pre production, at pagsasagawa ng mga post mortem sa anumang aktwal na mga insidente upang i update ang mga kaugnay na plano sa pagbawi ng kalamidad

    8. Mga hakbang sa pangangasiwa ng sub processor upang matiyak na, kung ang Processor ay pinahihintulutan na gumamit ng mga sub processor, ang Personal na Data ay pinoproseso nang mahigpit alinsunod sa mga tagubilin ng Data Controller

  9. Ang Processor ay dapat gumawa ng tulad ng iba pang mga hakbang na maaaring angkop sa ilalim ng mga pangyayari.

Apendiks 3: Mga Sub-Processor

Para maihatid ng Service Provider ang Subscription, ang mga Sub-Processor ay tumutulong sa ilang kinakailangang aktibidad sa pagpoproseso ng data. Ang isang listahan ng mga Sub-Processor na ginamit at ang layunin para sa pagsali sa mga ito ay matatagpuan sa pahina ng Sub-Processors na magagamit sa https://www.orgid.app/subprocessors/, na isinama sa Addendum na ito at maaaring i-update paminsan-minsan ayon sa mga tuntunin dito.