Addendum sa Paglipat ng Data

Pagpapakilala

Ang Data Transfer Addendum (ito "DTA") sa pagitan ng ORGiD (ang "Service Provider") at ang Customer ay nalalapat sa anumang paglilipat ng Personal na Data na napapailalim sa Batas sa Proteksyon ng Data sa Service Provider sa labas ng EEA, Switzerland o UK. Sa pagitan ng Service Provider at ng Customer, ang DTA na ito ay dapat isama sa Kasunduan at Data Processing Addendum ("DPA") kung naaangkop. Ang mga terminong "personal na data", "paksa ng data", "pagproseso", "controller", "processor", "kinatawan" at "awtoridad ng pangangasiwa" ay dapat magkaroon ng mga kahulugan na ibinigay sa GDPR o UK GDPR, kung naaangkop, sa bawat kaso anuman kung ang Batas sa Proteksyon ng Data ay nalalapat. Bilang karagdagan, ang iba pang mga termino na ginamit sa DTA na ito ay maaaring tinukoy sa mga kasunduan na iyon.

1. Mga Kahulugan

Ang "International Data Transfer" ay nangangahulugan ng isang aktibidad sa pagproseso kung saan ang Personal na Data na kung saan ay naproseso alinsunod sa Batas sa Proteksyon ng Data ay inilipat sa Service Provider (o sa aming lugar) sa isang ikatlong bansa maliban sa EEA, UK, Switzerland o isang bansa na napapailalim sa isang sapat na desisyon na ginawa ng European Commission o UK Secretary of State (kung naaangkop) alinsunod sa mga kaugnay na probisyon ng naaangkop na Batas sa Proteksyon ng Data.

"SCCs" ay nangangahulugan na ang mga pamantayan ng kontrata clauses inaprubahan ng European Commission sa Commission Desisyon 2021/914 na may petsang 4 Hunyo 2021, para sa mga paglilipat ng personal na data sa mga bansa na hindi kung hindi man kinikilala bilang nag aalok ng isang sapat na antas ng proteksyon para sa personal na data sa pamamagitan ng European Commission (bilang susugan at na update mula sa oras oras).

Ang ibig sabihin ng "UK IDTA Addendum" ay ang Mandatory Clauses of Addendum B.1.0 na inisyu ng ICO at inilatag sa harap ng Parlamento alinsunod sa s119A ng Data Protection Act 2018 noong 2 Pebrero 2022, dahil ito ay binago sa ilalim ng Section 18 ng mga Mandatory Clauses na iyon.

2. Controller sa Controller Data Transfers

EEA / Swiss Data:

Kung saan ang isang International Data Transfer ay nangyayari kung saan higit sa isang partido ay kumikilos bilang isang Controller at isang partido ay nagbabahagi ng Personal na Data ng EEA o Swiss data subjects sa Service Provider din bilang isang Controller sa ilalim ng Data Sharing Addendum, pagkatapos: (i) anumang International Data Transfers na nangyayari ng naturang data ay dapat pamahalaan ng Standard Contractual Clauses para sa Controller to Controller Transfers ng Personal na Data mula sa European Union ("EEA C2C SCCs") o ang Standard Contractual Clauses para sa Controller to Controller Transfers ng Personal na Data mula sa Switzerland ("Swiss C2C SCCs"), na isinama sa Data Transfer Addendum na ito; at (ii) Ang mga Annex I at II ng mga SCC na iyon ay makukumpleto sa impormasyong nakasaad sa Mga Iskedyul 1 at 2 ng Data Processing Addendum at Data Sharing Addendum, ayon sa pagkakabanggit.

Data ng UK: 

Kung saan ang isang International Data Transfer ay nangyayari para sa kung saan higit sa isang partido ay kumikilos bilang isang Controller at isang partido ay nagbabahagi ng Personal na Data ng UK data paksa sa Service Provider din bilang isang Controller sa ilalim ng Data Sharing Agreement, pagkatapos ay anumang Data Transfers na nangyayari ng naturang data ay dapat na pinamamahalaan ng EEA C2C SCCs pagsasama ng mga Iskedyul 1 at 2 ng Data Sharing Processing Addendum at ang UK International Data Transfer Kasunduan ("UK IDTA Addendum"), na kung saan ay isinama sa Data Transfer Addendum na ito.

Bilang karagdagan, ang mga probisyon na ito ay nilayon upang sumunod sa General Data Protection Regulation (GDPR), ang Swiss Federal Data Protection Act (FADP), at ang UK Data Protection Act 2018, na nagsasaayos ng paglilipat ng personal na data sa labas ng European Economic Area (EEA), Switzerland, at United Kingdom (UK), ayon sa pagkakabanggit.

3. Controller sa Processor Data Transfers

EEA / Swiss Data: 

Kung saan ang Controller ay naglilipat ng Personal na Data ng EEA o Swiss data na napapailalim sa Service Provider na kumikilos bilang isang Processor sa ilalim ng Data Processing Addendum, ang anumang International Data Transfers ng naturang data ay dapat sumunod sa EEA controller sa processor SCCs, na isinama sa DTA na ito na may mga sumusunod na susog: (i) ang Processor ay dapat ipaalam sa Controller ang anumang nilalayong pagbabago sa listahan ng mga sub processor sa pamamagitan ng pag update nito online; at (ii) Annexes I at II ng EEA controller sa processor SCCs ay dapat na nakumpleto sa impormasyon na tinukoy sa Appendix 1 at 2 ng Data Processing Addendum, ayon sa pagkakabanggit.

Data ng UK: 

Kung saan ang Controller ay naglilipat ng Personal na Data ng mga paksa ng data ng UK sa Service Provider na kumikilos bilang isang Processor sa ilalim ng Data Processing Addendum, ang anumang International Data Transfers ng naturang data ay dapat sumunod sa EEA controller sa processor SCCs na nagsasama ng Appendix 1 at 2 ng Data Processing Addendum, at ang UK IDTA Addendum.

Kabilang sa mga kaugnay na batas na namamahala sa mga internasyonal na paglilipat ng data

Ang EU General Data Protection Regulation (GDPR) at ang UK Data Protection Act 2018.

4. Mga Pandagdag na Panukala 

Sa paggalang sa anumang International Data Transfers, ang mga sumusunod na pandagdag na hakbang ay dapat mag aplay:

(a) Ang processor ay kumakatawan at warranty na, sa oras ng paglipat, hindi ito nakatanggap ng anumang pormal na legal na kahilingan mula sa anumang katalinuhan ng pamahalaan o serbisyo sa seguridad / ahensya sa bansa kung saan iniluluwas ang kaugnay na Personal na Data, para sa access sa (o para sa mga kopya ng) Personal na Data na nailipat sa Processor alinsunod sa Kasunduang ito ("Mga Kahilingan ng Ahensya ng Gobyerno"); at

(b) kung, sa panahon ng termino ng DTA na ito, ang Processor ay tumatanggap ng anumang mga Kahilingan ng Ahensya ng Pamahalaan, ito ay (maliban kung ipinagbabawal ng Naaangkop na Batas mula sa paggawa nito) ipaalam sa Controller sa lalong madaling panahon na makatwirang praktikal at ang mga partido ay (sa lalong madaling makatwirang pagsasagawa) talakayin at matukoy kung ang lahat o anumang paglilipat ng Personal na Data alinsunod sa Kasunduang ito ay dapat na suspendido sa liwanag ng naturang mga Kahilingan ng Ahensya ng Pamahalaan.

5. Karagdagang Katiyakan

(a) Kung ang Batas sa Proteksyon ng Data ay nangangailangan ng pagpapatupad ng SCCs o UK IDTA Addendum para sa isang tiyak na paglilipat ng Personal na Data sa Processor bilang isang hiwalay na kasunduan, ang Processor ay dapat agad na isagawa ang naturang SCCs o UK IDTA Addendum kapag hiniling, na may anumang kinakailangang mga susog upang sumalamin sa naaangkop na mga kinakailangan ng kaugnay na Batas sa Proteksyon ng Data.

(b) Sa kaganapan na ang alinman sa mga paraan ng pag lehitimo ng mga paglilipat ng personal na data sa labas ng mga bansa ng EEEA, Switzerland, o ang UK na tinutukoy sa DTA na ito ay tumigil sa pagiging wasto, o anumang awtoridad ng superbisor ay nangangailangan ng suspensyon ng mga paglilipat ng Personal na Data alinsunod sa mga paraan na iyon, ang Processor ay maaaring baguhin o ipatupad ang mga alternatibong kaayusan para sa naturang paglilipat ayon sa kinakailangan ng kaukulang Batas sa Proteksyon ng Data. Ang Processor ay magbibigay ng abiso sa kabilang partido ng epektibong petsa ng naturang mga pagbabago.

6. mga salungatan

Kung mayroong anumang salungatan o hindi pagkakapareho sa pagitan ng anumang probisyon ng DTA na ito at anumang iba pang naaangkop na kasunduan, ang pagkakasunud sunod ng nauna ay dapat na sumusunod: ang UK IDTA Addendum at ang mga kaugnay na SCC (kung naaangkop), ang DTA na ito, ang Data Processing Addendum (kung naaangkop), at ang Kasunduan.

7. mga pagbabago

Maaaring i update ng Service Provider ang anumang bahagi o lahat ng mga tuntunin ng Addendum kung kinakailangan upang sumunod sa Batas sa Proteksyon ng Data at magiging epektibo at nagbubuklod sa petsa ng pag renew ng susunod na Subscription ng Produkto o sa nakasulat na kasunduan ng Customer, alinman ang mas maaga. Kung ang Addendum na ito ay isinama sa pamamagitan ng sanggunian bilang isang URL ng web page, ang na update na bersyon ng Addendum ay mai post sa parehong URL at ang Customer ay aabisuhan sa sulat. Kung ang Addendum na ito ay isinama bilang bahagi ng isang komersyal na kasunduan na isinagawa ng mga Partido, ang na update na bersyon ng Addendum ay ibabahagi sa Customer para sa pag apruba sa sulat. Kung ang Customer ay hindi sumasang ayon sa isang update, ang Customer ay dapat ipaalam sa Service Provider sa pamamagitan ng sulat at ang naunang Addendum ay mananatiling may bisa habang ang mga Partido ay nagtutulungan sa mabuting pananampalataya upang bumuo ng isang bagong katanggap tanggap na Data Transfer Addendum.