घर पर लौटें / सामान्य नियम और शर्तें/ डाटा प्रोसेसिंग परिशिष्ट

डाटा प्रोसेसिंग परिशिष्ट

 

यह परिशिष्ट अनुबंध का एक अभिन्न अंग है और इसमें निम्नलिखित शामिल हैं:

 

  1. (i) क्लाइंट (" डेटा एक्सपोर्टर ")
  2. (ii) POSTCODEZIP (" डेटा आयातक ")

 

प्रत्येक एक " पार्टी " और आमतौर पर " पार्टियाँ " होता है।

 

प्रस्तावना

जहां डेटा आयातक पेशेवर सॉफ्टवेयर सेवाएं, कंप्यूटर और संबंधित सेवाएं प्रदान करता है;

जहां अनुबंध के अनुसार, डेटा आयातक डेटा निर्यातक को अनुबंध में निर्दिष्ट सेवाएं (" सेवाएं ") प्रदान करने के लिए सहमत हो गया है;

जहां, सेवाएं प्रदान करके, डेटा आयातक डेटा निर्यातक की जानकारी या डेटा निर्यातक के साथ (संभावित) संबंध रखने वाले अन्य व्यक्तियों की जानकारी तक पहुंच से लाभ प्राप्त करता है या लाभ प्राप्त करता है, ऐसी जानकारी विनियमन के अर्थ के भीतर व्यक्तिगत डेटा के रूप में योग्य हो सकती है। (ईयू) 2016/679 की यूरोपीय संसद और 27 अप्रैल 2016 की परिषद व्यक्तिगत डेटा के प्रसंस्करण के संबंध में व्यक्तियों की रक्षा करने और ऐसे डेटा (" जीडीपीआर ") और अन्य लागू डेटा सुरक्षा कानूनों के मुक्त आंदोलन पर।

जहां इस परिशिष्ट में डेटा आयातक के अधिकृत डेटा प्रोसेसिंग एजेंट के रूप में डेटा आयातक द्वारा इस तरह के व्यक्तिगत डेटा के संग्रह, प्रसंस्करण और उपयोग के लिए लागू नियम और शर्तें शामिल हैं, यह सुनिश्चित करने के लिए कि पक्ष लागू डेटा सुरक्षा कानून का अनुपालन करते हैं। .

 

इसलिए, और पार्टियों को अपने संबंधों को कानूनी रूप से जारी रखने में सक्षम बनाने के लिए, पार्टियों ने इस परिशिष्ट को निम्नानुसार समाप्त किया है:

भाग 1

 

1. दस्तावेज़ की संरचना और परिभाषाएँ

1.1 संरचना

इस परिशिष्ट में विभिन्न भाग शामिल हैं जो इस प्रकार हैं:

 

भाग 1:

इसमें सामान्य प्रावधान शामिल हैं, उदाहरण के लिए इस परिशिष्ट में प्रयुक्त परिभाषाओं से संबंधित, स्थानीय कानूनों का अनुपालन, समय और समाप्ति

भाग 2:

असंशोधित मानक संविदात्मक खंड दस्तावेज़ का मुख्य भाग शामिल है

भाग 2 का परिशिष्ट 1.1:

इसके तहत डेटा आयातक द्वारा अधिकृत डेटा प्रोसेसिंग एजेंट (प्रसंस्करण, प्रकृति और प्रसंस्करण के उद्देश्य, व्यक्तिगत डेटा के प्रकार और डेटा विषयों की श्रेणियों सहित) के रूप में डेटा निर्यातक को डेटा आयातक द्वारा प्रदान किए गए प्रसंस्करण कार्यों का विवरण शामिल है। अनुबंध

भाग 2 का परिशिष्ट 2 :

डेटा आयातक के तकनीकी और संगठनात्मक सुरक्षा उपायों का विवरण शामिल है, जो भाग 2 के परिशिष्ट 1.1 में वर्णित सभी प्रसंस्करण गतिविधियों के संबंध में लागू होते हैं।

भाग 3:

इस परिशिष्ट से बाध्य होने वाले पक्षों के हस्ताक्षर शामिल हैं और प्रत्येक डेटा आयातक की पहचान करता है

 

1.2 शब्दावली और परिभाषाएं

इस परिशिष्ट के प्रयोजनों के लिए, GDPR द्वारा उपयोग की जाने वाली शब्दावली और परिभाषाएँ लागू हैं (भाग 2 में मानक संविदात्मक खंड दस्तावेज़ के मुख्य भाग में, जहाँ परिभाषित शब्द बड़े अक्षरों में नहीं हैं)। 

 

"सदस्य राज्य"

का अर्थ यूरोपीय संघ या यूरोपीय आर्थिक क्षेत्र से संबंधित देश है

"(व्यक्तिगत) डेटा की विशेष श्रेणियां"

व्यक्तिगत डेटा को संदर्भित करता है जो नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक मान्यताओं, या ट्रेड यूनियन सदस्यता, और आनुवंशिक डेटा, बायोमेट्रिक डेटा को प्रकट करता है, यदि किसी व्यक्ति की विशिष्ट पहचान के उद्देश्य से संसाधित किया जाता है, स्वास्थ्य से संबंधित डेटा, किसी व्यक्ति के लिंग से संबंधित डेटा जीवन या यौन अभिविन्यास

"मानक संविदात्मक खंड"

का अर्थ है 5 फरवरी 2010 को आयोग के निर्णय 2010/87/ईयू के तहत तीसरे देशों में स्थापित प्रसंस्करण एजेंटों के व्यक्तिगत डेटा को स्थानांतरित करने के लिए मानक संविदात्मक खंड, जिसे आयोग द्वारा निर्णय लागू करने (ईयू) 2016/2297 द्वारा 16 तारीख को संशोधित किया गया था। दिसंबर 2016

एक € œडेटा प्रोसेसरâ € ??

इसका मतलब ईयू/ईईए के अंदर या बाहर स्थित कोई भी प्रोसेसिंग एजेंट है, जो डेटा आयातक या डेटा आयातक के किसी अन्य प्रोसेसर से डेटा एक्सपोर्टर द्वारा की जाने वाली प्रोसेसिंग गतिविधियों के अनन्य उद्देश्य के लिए व्यक्तिगत डेटा प्राप्त करने के लिए सहमत होता है। डेटा निर्यातक के निर्देशों के अनुसार स्थानांतरण, इस परिशिष्ट की शर्तों और डेटा आयातक के साथ अनुबंध

 

 

2. डेटा निर्यातक के दायित्व

2.1 डेटा निर्यातक का दायित्व है कि वह जीडीपीआर के तहत सभी लागू दायित्वों और डेटा निर्यातक पर लागू होने वाले किसी भी अन्य लागू डेटा सुरक्षा कानून का अनुपालन सुनिश्चित करे और जीडीपीआर के अनुच्छेद 5 (2) के अनुसार आवश्यक अनुपालन प्रदर्शित करे। डेटा निर्यातक वारंट करता है कि डेटा आयातक ने जीडीपीआर के अनुच्छेद 6 (ए) के अनुसार डेटा विषयों की पूर्व सहमति प्राप्त की है और जीडीपीआर के अनुच्छेद 13 और 14 के अनुसार डेटा विषयों को सूचित करने के अपने दायित्व का अनुपालन किया है।

2.2 डेटा निर्यातक को इस परिशिष्ट के तहत सेवाओं से संबंधित जीडीपीआर के अनुच्छेद 30 (1) के अनुसार प्रसंस्करण गतिविधियों की संबंधित फाइलों के साथ डेटा आयातक को डेटा आयातक के लिए दायित्व का पालन करने के लिए आवश्यक सीमा तक प्रदान करना होगा। जीडीपीआर का अनुच्छेद 30 (2)।

2.3 डेटा एक्सपोर्टर को डेटा सुरक्षा अधिकारी या प्रतिनिधि को लागू डेटा सुरक्षा कानून द्वारा आवश्यक सीमा तक नियुक्त करना चाहिए। डेटा निर्यातक डेटा आयातक को डेटा सुरक्षा एजेंट या प्रतिनिधि, यदि कोई हो, का संपर्क विवरण प्रदान करने के लिए बाध्य है।

2.4. डेटा निर्यातक इस परिशिष्ट की स्वीकृति के द्वारा प्रसंस्करण के पूरा होने से पहले पुष्टि करता है कि डेटा आयातक के तकनीकी और संगठनात्मक सुरक्षा उपाय, जैसा कि परिशिष्ट 2 से भाग 2 में निर्धारित किया गया है, डेटा विषय के अधिकारों की रक्षा के लिए उपयुक्त और पर्याप्त हैं। और पुष्टि करता है कि डेटा आयातक इस संबंध में पर्याप्त सुरक्षा उपाय प्रदान करता है।

 

3. स्थानीय कानून का अनुपालन

GDPR के अनुच्छेद 28 के बाद प्रसंस्करण एजेंटों के कार्यान्वयन की आवश्यकताओं को पूरा करने के लिए, निम्नलिखित संशोधन लागू होते हैं:

 

3.1 निर्देश

  1. (i) डेटा निर्यातक डेटा आयातक को केवल डेटा निर्यातक की ओर से व्यक्तिगत डेटा संसाधित करने का निर्देश देता है। डेटा निर्यातक के निर्देश इस परिशिष्ट और अनुबंध में दिए गए हैं। डेटा निर्यातक का दायित्व है कि वह यह सुनिश्चित करे कि डेटा आयातक को दिए गए सभी निर्देश लागू डेटा सुरक्षा कानूनों का अनुपालन करते हैं। डेटा आयातक को व्यक्तिगत डेटा को केवल डेटा निर्यातक द्वारा प्रदान किए गए निर्देशों के अनुसार संसाधित करना चाहिए, जब तक कि यूरोपीय संघ या सदस्य राज्य के कानून द्वारा अन्यथा आवश्यक न हो (बाद के मामले में, भाग 1 खंड 3.2 (iv) (सी) लागू होता है) .
  2. (ii) इस परिशिष्ट या अनुबंध में दिए गए निर्देशों से परे जाने वाले अन्य सभी निर्देशों को इस परिशिष्ट और अनुबंध के विषय में शामिल किया जाना चाहिए। यदि इस अतिरिक्त निर्देश को लागू करने में डेटा आयातक के लिए लागत शामिल है, तो डेटा आयातक डेटा निर्यातक को ऐसी लागतों के बारे में सूचित करेगा और निर्देश को लागू करने से पहले एक स्पष्टीकरण प्रदान करेगा। डेटा निर्यातक द्वारा निर्देश को लागू करने के लिए इन लागतों की स्वीकृति की पुष्टि के बाद ही, डेटा आयातक इस अतिरिक्त निर्देश को लागू करेगा। डेटा एक्सपोर्टर को अतिरिक्त निर्देश लिखित रूप में देने होंगे जब तक कि तात्कालिकता या अन्य विशिष्ट परिस्थितियों के लिए किसी अन्य फॉर्म (जैसे मौखिक, इलेक्ट्रॉनिक) की आवश्यकता न हो। लिखित के अलावा किसी अन्य रूप में निर्देशों की पुष्टि लिखित रूप में और डेटा निर्यातक द्वारा बिना किसी देरी के की जानी चाहिए।
  3. 1. जब तक डेटा एक्सपोर्टर व्यक्तिगत डेटा का सुधार, मिटाना या प्रतिबंध स्वयं नहीं कर सकता, निर्देश भाग 1 क्लॉज 3.3 में निर्धारित व्यक्तिगत डेटा के सुधार, मिटाने और/या प्रतिबंध से भी संबंधित हो सकते हैं।
  4. 2. डेटा आयातक को तुरंत डेटा निर्यातक को सूचित करना चाहिए, यदि उसकी राय में, कोई निर्देश जीडीपीआर या यूरोपीय संघ या किसी सदस्य राज्य के अन्य लागू डेटा सुरक्षा प्रावधानों का उल्लंघन करता है (" विवादित निर्देश "". अगर डेटा आयातक का मानना ​​है कि एक निर्देश जीडीपीआर या यूरोपीय संघ या किसी सदस्य राज्य के अन्य लागू डेटा सुरक्षा प्रावधानों का उल्लंघन करता है, तो डेटा आयातक विवादित निर्देश का पालन करने के लिए बाध्य नहीं है। अगर डेटा निर्यातक विवादित निर्देश की पुष्टि करता है डेटा आयातक से जानकारी प्राप्त करना और विवादित निर्देश के लिए अपनी ज़िम्मेदारी स्वीकार करता है, डेटा आयातक विवादित निर्देश को लागू करेगा, जब तक कि विवादित निर्देश (i) तकनीकी और संगठनात्मक उपायों के कार्यान्वयन, (ii) डेटा के अधिकारों से संबंधित न हो। विषय या (iii) डेटा प्रोसेसर की सगाई। (i) से (iii) के मामलों में, डेटा आयातक एक सक्षम पर्यवेक्षी प्राधिकारी से संपर्क कर सकता है ताकि ऐसे प्राधिकरण द्वारा कानूनी रूप से विवादित निर्देश का मूल्यांकन किया जा सके।यदि पर्यवेक्षी प्राधिकरण चुनौती दिए गए निर्देश को कानूनी घोषित करता है, तो डेटा आयातक चुनौती दिए गए निर्देश को लागू करेगा। भाग 1 खंड 3.1 (ii) लागू रहेगा।

 

3.2 डेटा आयातक के दायित्व

  1. (i) डेटा आयातक को यह सुनिश्चित करना चाहिए कि डेटा आयातक द्वारा डेटा निर्यातक की ओर से व्यक्तिगत डेटा को संसाधित करने के लिए अधिकृत व्यक्तियों, विशेष रूप से डेटा आयातक के कर्मचारियों और किसी उप-ठेकेदार के कर्मचारियों ने गोपनीयता का पालन करने का वचन दिया है या इसके अधीन हैं गोपनीयता का एक उपयुक्त वैधानिक कर्तव्य, और ऐसे व्यक्ति जिनके पास व्यक्तिगत डेटा तक पहुंच है, डेटा निर्यातक के निर्देशों के अनुसार इसे संसाधित करते हैं।
  2. (ii) डेटा निर्यातक की ओर से व्यक्तिगत डेटा को संसाधित करने से पहले डेटा आयातक को परिशिष्ट 2 से भाग 2 में निर्धारित तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करना चाहिए। डेटा आयातक समय-समय पर तकनीकी और संगठनात्मक सुरक्षा उपायों को बदल सकता है यदि वे परिशिष्ट 2 से भाग 2 में निर्धारित सुरक्षा उपायों से कम सुरक्षा प्रदान नहीं करते हैं।
  3. (iii) डेटा आयातक इस परिशिष्ट के तहत डेटा आयातक के दायित्वों के अनुपालन को दर्शाने के लिए डेटा निर्यातक के अनुरोध पर डेटा निर्यातक को जानकारी उपलब्ध कराएगा। पक्ष सहमत हैं कि डेटा निर्यातक को एक ऑडिट रिपोर्ट (सिद्धांतों की सुरक्षा, सिस्टम की उपलब्धता और गोपनीयता को कवर करते हुए) ("ऑडिट रिपोर्ट") प्रदान करके इस सूचना दायित्व को पूरा किया जाता है। यदि अतिरिक्त ऑडिट गतिविधियों की कानूनी रूप से आवश्यकता है, तो डेटा निर्यातक अनुरोध कर सकता है कि डेटा निर्यातक या डेटा निर्यातक द्वारा नियुक्त किसी अन्य ऑडिटर द्वारा निरीक्षण किया जाए, जो डेटा आयातक के साथ डेटा आयातक के साथ गोपनीयता समझौते के ऐसे ऑडिटर द्वारा निष्पादन के अधीन है। उचित संतुष्टि ("लेखापरीक्षा")। यह लेखापरीक्षा निम्नलिखित शर्तों के अधीन है:(i) डेटा आयातक की पूर्व औपचारिक लिखित स्वीकृति; और (ii) डेटा निर्यातक डेटा निर्यातक और डेटा आयातक के लिए ऑन-साइट ऑडिट से संबंधित सभी लागतों को वहन करेगा। डेटा एक्सपोर्टर को ऑन-साइट ऑडिट ("ऑन-साइट ऑडिट रिपोर्ट") के परिणामों और टिप्पणियों को सारांशित करते हुए एक ऑडिट रिपोर्ट बनानी चाहिए। ऑन-साइट ऑडिट रिपोर्ट, और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी है और जब तक लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक इसे तीसरे पक्ष को प्रकट नहीं किया जाना चाहिए।ऑन-साइट ऑडिट रिपोर्ट, और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी है और जब तक लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक इसे तीसरे पक्ष को प्रकट नहीं किया जाना चाहिए।ऑन-साइट ऑडिट रिपोर्ट, और ऑडिट रिपोर्ट, डेटा आयातक की गोपनीय जानकारी है और जब तक लागू डेटा सुरक्षा कानून या डेटा आयातक की सहमति के अनुसार आवश्यक न हो, तब तक इसे तीसरे पक्ष को प्रकट नहीं किया जाना चाहिए।
  4. (iv) डेटा आयातक का दायित्व है कि वह बिना किसी देरी के डेटा निर्यातक को सूचित करे:
    1. ए। कानून प्रवर्तन प्राधिकरण द्वारा व्यक्तिगत डेटा के प्रकटीकरण के लिए कानूनी रूप से बाध्यकारी अनुरोध के संबंध में, जब तक कि अन्यथा निषिद्ध न हो, जैसे कि कानून प्रवर्तन जांच की गोपनीयता की रक्षा के लिए आपराधिक कानून के तहत निषेध
    2. बी। किसी डेटा विषय से सीधे प्राप्त किसी शिकायत और अनुरोध के संबंध में (उदाहरण के लिए एक्सेस, सुधार, विलोपन, प्रसंस्करण पर प्रतिबंध, डेटा पोर्टेबिलिटी, डेटा प्रोसेसिंग पर आपत्ति, स्वचालित निर्णय लेने के संबंध में) उस अनुरोध का जवाब दिए बिना, जब तक कि डेटा आयातक को अधिकृत नहीं किया गया हो ऐसा करो
    3. सी। यदि डेटा आयातक या डेटा प्रोसेसर यूरोपीय संघ या सदस्य राज्य के कानून के तहत बाध्य है, जिसके लिए डेटा आयातक या डेटा प्रोसेसर विषय है, तो व्यक्तिगत डेटा को डेटा निर्यातक के निर्देशों से परे संसाधित करने के लिए, इस तरह के प्रसंस्करण को आगे बढ़ाने से पहले निर्देश, जब तक कि यूरोपीय संघ या सदस्य राज्य के कानून महत्वपूर्ण सार्वजनिक हित के आधार पर इस तरह के प्रसंस्करण को प्रतिबंधित नहीं करते हैं, उस स्थिति में डेटा निर्यातक को अधिसूचना यूरोपीय संघ या सदस्य राज्य के उस कानून के तहत कानूनी आवश्यकता को निर्दिष्ट करेगी; या
    4. डी। यदि डेटा आयातक को व्यक्तिगत डेटा के उल्लंघन का एहसास होता है, केवल अपने या उसके उप-ठेकेदार के कारण, जो वर्तमान अनुबंध द्वारा कवर किए गए डेटा निर्यातक के व्यक्तिगत डेटा को प्रभावित करेगा, उस स्थिति में डेटा आयातक डेटा निर्यातक को उसके दायित्व में सहायता करेगा, जीडीपीआर के अनुच्छेद 33 (3) के अनुसार, डेटा विषयों को सूचित करने के लिए और जहां लागू हो, पर्यवेक्षी अधिकारियों को इसके निपटान में जानकारी प्रदान करके लागू डेटा सुरक्षा कानून के साथ-साथ।
    5. (v) डेटा निर्यातक के अनुरोध पर, डेटा आयातक को डेटा सुरक्षा प्रभाव मूल्यांकन करने के लिए डेटा निर्यातक की सहायता करने के लिए बाध्य किया जाएगा जो कि GDPR के अनुच्छेद 35 द्वारा आवश्यक हो सकता है और एक पूर्व परामर्श जो हो सकता है इस परिशिष्ट के तहत डेटा आयातक द्वारा डेटा निर्यातक को प्रदान की जाने वाली सेवाओं से संबंधित GDPR के अनुच्छेद 36 द्वारा आवश्यक, डेटा निर्यातक को आवश्यक और जानकारी प्रदान करना। डेटा आयातक केवल ऐसी सहायता प्रदान करने के लिए बाध्य होगा यदि डेटा निर्यातक अन्य माध्यमों से अपने दायित्व को पूरा नहीं कर सकता है। डेटा आयातक डेटा निर्यातक को ऐसी सहायता की लागत की सलाह देगा। जैसे ही डेटा निर्यातक ने पुष्टि की है कि वह इस लागत को वहन कर सकता है, डेटा आयातक डेटा निर्यातक को यह सहायता प्रदान करेगा।
    6. (vi) सेवाओं के प्रावधान के अंत में, डेटा निर्यातक सेवाओं के बाद एक महीने के भीतर इस परिशिष्ट के तहत डेटा आयातक द्वारा संसाधित व्यक्तिगत डेटा की वापसी का अनुरोध कर सकता है। जब तक सदस्य राज्य या यूरोपीय संघ के कानून के लिए डेटा आयातक को ऐसे व्यक्तिगत डेटा को संग्रहीत या बनाए रखने की आवश्यकता नहीं होती है, तब तक डेटा आयातक एक महीने की अवधि के बाद ऐसे सभी व्यक्तिगत या गैर-व्यक्तिगत डेटा को हटा देगा, चाहे उन्हें वापस कर दिया गया हो डेटा निर्यातक उसके अनुरोध पर या नहीं।

 

3.3 संबंधित व्यक्तियों के अधिकार

  1.  
    1. (i) डेटा निर्यातक डेटा विषयों द्वारा किए गए अनुरोधों का प्रबंधन और प्रतिक्रिया करता है। डेटा आयातक डेटा विषयों पर सीधे प्रतिक्रिया देने के लिए बाध्य नहीं है।
    2. (ii) यदि डेटा निर्यातक को डेटा विषय के अनुरोधों को संसाधित करने और उनका जवाब देने में डेटा आयातक की सहायता की आवश्यकता होती है, तो डेटा निर्यातक भाग 1 के खंड 3.1 (ii) के अनुसार एक और निर्देश जारी करेगा। डेटा आयातक डेटा निर्यातक की सहायता करेगा। जीडीपीआर के अध्याय III में निर्धारित डेटा विषयों के अधिकारों के प्रयोग के अनुरोधों का जवाब देने के लिए निम्नलिखित उपयुक्त और तकनीकी संगठनात्मक उपायों के साथ निम्नानुसार है:
    3. ए। जानकारी के अनुरोधों के संबंध में, डेटा आयातक केवल डेटा निर्यातक को PGRD के अनुच्छेद 13 और 14 के लिए आवश्यक जानकारी प्रदान करेगा जो कि उसके पास हो सकती है यदि डेटा निर्यातक इसे स्वयं नहीं ढूंढ पाता है।
    4. बी। एक्सेस के लिए अनुरोध (जीडीपीआर के अनुच्छेद 15) के संबंध में, डेटा आयातक केवल डेटा एक्सपोर्टर को वह जानकारी प्रदान करेगा जो डेटा विषय को एक्सेस के लिए उक्त अनुरोध के लिए प्रदान की जानी चाहिए, जो उसके पास हो सकती है यदि बाद वाला इसे अकेला नहीं ढूंढ सकता।
    5. सी। सुधार के लिए अनुरोध (जीडीपीआर का अनुच्छेद 16), मिटाने के अनुरोध (जीडीपीआर का अनुच्छेद 17), प्रसंस्करण के लिए अनुरोधों पर प्रतिबंध (जीडीपीआर का अनुच्छेद 18), या पोर्टेबिलिटी के लिए अनुरोध (जीडीपीआर के अनुच्छेद 20), और केवल यदि डेटा निर्यातक स्वयं किसी अन्य तृतीय पक्ष को व्यक्तिगत डेटा को सुधार या मिटा, सीमित या संचारित नहीं कर सकता है, तो डेटा आयातक डेटा निर्यातक को संबंधित व्यक्तिगत डेटा को अन्य तृतीय पक्ष को सुधारने या मिटाने, सीमित करने या संचारित करने की संभावना प्रदान करेगा, या यदि यह संभव नहीं है, तो यह संबंधित व्यक्तिगत डेटा को अन्य तृतीय पक्ष को सुधारने या मिटाने, सीमित करने या संचारित करने में सहायता प्रदान करेगा।
    6. डी। सुधार, मिटाने, या प्रसंस्करण के प्रतिबंध (जीडीपीआर के अनुच्छेद 19) से संबंधित अधिसूचना के संबंध में, डेटा आयातक डेटा निर्यातक द्वारा अनुरोध किए जाने पर डेटा आयातक द्वारा लगाए गए व्यक्तिगत डेटा के सभी प्राप्तकर्ताओं को प्रोसेसर के रूप में सूचित करके डेटा निर्यातक की सहायता करेगा। यदि डेटा निर्यातक स्वयं स्थिति का समाधान नहीं कर सकता है।
    7. इ। डेटा विषय (जीडीपीआर के अनुच्छेद 21 और 22) द्वारा प्रयोग किए जाने वाले विरोध के अधिकार के संबंध में डेटा निर्यातक यह निर्धारित करेगा कि विरोध वैध है या नहीं और इससे कैसे निपटा जाए।
    8. (iii) डेटा आयातक के सहायता दायित्व उसके बुनियादी ढांचे के भीतर संसाधित व्यक्तिगत डेटा तक सीमित हैं (जैसे डेटाबेस, सिस्टम, डेटा आयातक के स्वामित्व वाले या प्रदान किए गए एप्लिकेशन)।
    9. (iv) डेटा निर्यातक यह निर्धारित करेगा कि क्या डेटा विषय इस भाग 1 के खंड 3.1 में निर्धारित डेटा विषयों के अधिकारों का प्रयोग कर सकता है और डेटा आयातक को खंड 3.3 (ii) में निर्दिष्ट सहायता की सीमा तक डेटा आयातक को सलाह देगा, ( iii) भाग 1 का आवश्यक है।
    10. (v) यदि डेटा निर्यातक डेटा विषयों के अधिकारों को पूरा करने के लिए अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों का अनुरोध करता है जो भाग 1 के उप-खंड 3.3 (ii), (iii) के तहत डेटा आयातक द्वारा प्रदान की गई सहायता से परे हैं, तो डेटा आयातक ऐसे अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों को लागू करने की लागत के बारे में डेटा निर्यातक को सूचित करेगा। जैसे ही डेटा निर्यातक ने पुष्टि की है कि वह इन लागतों को पूरा कर सकता है, डेटा आयातक डेटा विषय के अनुरोधों का जवाब देने में डेटा निर्यातक की सहायता करने के लिए ऐसे अतिरिक्त या संशोधित तकनीकी और संगठनात्मक उपायों को लागू करेगा।
    11. (vi) भाग 1 के खंड 3.3 (v) के दायरे को सीमित किए बिना, डेटा निर्यातक डेटा विषय के अनुरोधों का जवाब देने में किए गए उसके उचित खर्चों के लिए डेटा आयातक की प्रतिपूर्ति करने के लिए बाध्य होगा।

 

3.4 उप-प्रसंस्करण

  1.  
    1. (i) डेटा निर्यातक इस परिशिष्ट के तहत सेवाओं के प्रावधान के लिए डेटा आयातक के उप-ठेकेदारों के उपयोग को अधिकृत करता है। डेटा आयातक ऐसे डेटा प्रोसेसर का चयन सावधानी से करेगा। डेटा निर्यातक भाग 2 के अंत में परिशिष्ट 1.1 में सूचीबद्ध डेटा प्रोसेसर को अनुमोदित करता है।
    2. (ii) डेटा आयातक इस परिशिष्ट के तहत अपने दायित्वों को डेटा प्रोसेसर (एस) को उप-अनुबंधित सेवाओं पर लागू सीमा तक स्थानांतरित करेगा।
    3. (iii) डेटा आयातक अपने विवेक पर किसी अन्य उपयुक्त और विश्वसनीय डेटा प्रोसेसर को खारिज, प्रतिस्थापित या नियुक्त कर सकता है। यदि डेटा निर्यातक द्वारा लिखित में ऐसा अनुरोध किया जाता है, तो डेटा आयातक को नीचे दी गई प्रक्रिया का पालन करना चाहिए:
  1.  
    1. ए। डेटा आयातक भाग 1 के खंड 3.4 (i) के तहत संदर्भित डेटा प्रोसेसर की सूची में किसी भी परिवर्तन से पहले डेटा निर्यातक को सूचित करेगा। यदि डेटा निर्यातक खंड 3.4 के तहत आपत्ति नहीं करता है। (बी) भाग 1 के डेटा आयातक से अधिसूचना प्राप्त करने के तीस दिनों के बाद, अतिरिक्त डेटा प्रोसेसर को स्वीकार किया जाना माना जाएगा।
    2. बी। यदि डेटा निर्यातक के पास किसी अतिरिक्त डेटा प्रोसेसर पर आपत्ति करने का वैध कारण है, तो वह डेटा आयातक की अधिसूचना प्राप्त होने के तीस दिनों के भीतर और डेटा आयातक की सेवा के संचालन में आने से पहले डेटा आयातक को पूर्व लिखित सूचना देगा। यदि डेटा निर्यातक एक अतिरिक्त डेटा प्रोसेसर के उपयोग पर आपत्ति जताता है, तो डेटा आयातक निम्नलिखित विकल्पों में से एक द्वारा आपत्ति को दूर कर सकता है (अपने विवेक पर चुना गया): (ए) डेटा आयातक एक अतिरिक्त प्रोसेसर का उपयोग करने के संबंध में अपनी योजनाओं को रद्द कर देगा। डेटा निर्यातक का व्यक्तिगत डेटा; (बी) डेटा आयातक अपनी आपत्ति (आपत्ति को रद्द करने) में डेटा निर्यातक द्वारा अनुरोधित सुधारात्मक उपाय करेगा और डेटा निर्यातक के व्यक्तिगत डेटा के संबंध में अतिरिक्त प्रोसेसर का उपयोग करेगा;(सी) डेटा आयातक प्रदान करना बंद कर सकता है या डेटा निर्यातक सेवा के किसी विशेष पहलू (अस्थायी या स्थायी रूप से) का उपयोग नहीं करने के लिए सहमत हो सकता है जिसमें डेटा निर्यातक के डेटा निर्यातक के व्यक्तिगत डेटा के आगे प्रोसेसर का उपयोग शामिल होगा।
  2.  
    1. (iv) यदि डेटा प्रोसेसर यूरोपीय संघ-ईईए के बाहर किसी ऐसे देश में स्थित है जिसे यूरोपीय आयोग के निर्णय के बाद डेटा सुरक्षा के पर्याप्त स्तर की पेशकश के रूप में मान्यता प्राप्त नहीं है, तो डेटा आयातक पर्याप्त स्तर का अनुपालन करने के उपाय करेगा। GDPR के अनुसार डेटा सुरक्षा का (इस तरह के उपायों में शामिल हो सकते हैं - दूसरों के बीच में और - EU मॉडल की धाराओं के आधार पर डेटा प्रोसेसिंग अनुबंधों का उपयोग, EU-US सुरक्षा शील्ड के ढांचे में स्व-प्रमाणित डेटा प्रोसेसर में स्थानांतरण , या एक समान कार्यक्रम)।

 

3.5 समाप्ति

इस परिशिष्ट की समाप्ति संबंधित अनुबंध की समाप्ति तिथि के समान है। इस परिशिष्ट में अन्यथा प्रदान किए जाने के अलावा, समाप्ति से संबंधित अधिकार और कर्तव्य वही होंगे जो अनुबंध में निहित हैं।

 

4. दायित्व की सीमा

4.1 प्रत्येक पक्ष इस परिशिष्ट और लागू डेटा संरक्षण कानून के तहत अपने दायित्वों को संभालता है।

4.2 इस परिशिष्ट या लागू डेटा संरक्षण कानून के तहत दायित्वों के उल्लंघन से संबंधित कोई भी दायित्व अनुबंध में निर्धारित या लागू होने वाले दायित्व प्रावधानों के अधीन और शासित होगा, सिवाय इसके कि इस परिशिष्ट में अन्यथा प्रदान किया गया है। यदि दायित्व दायित्व सीमाओं की गणना या दायित्व की अन्य सीमाओं के आवेदन का निर्धारण करने के लिए अनुबंध में निर्धारित या लागू दायित्व प्रावधानों द्वारा शासित होता है, तो इस परिशिष्ट के तहत उत्पन्न होने वाली किसी भी देयता को अनुबंध के तहत उत्पन्न माना जाएगा।

 

5. सामान्य प्रावधान

5.1 यदि इस परिशिष्ट के भाग 1 और 2 के बीच कोई विसंगतियां या विसंगतियां हैं, तो भाग 2 मान्य होगा। विशेष रूप से, ऐसे मामले में भी, भाग 1 जो बिना खंडन किए केवल भाग 2 (अर्थात मानक खंड की शर्तें) से आगे निकल जाता है, वैध रहेगा।

5.2 यदि इस परिशिष्ट के प्रावधानों और पार्टियों को बाध्य करने वाले अन्य अनुबंधों के बीच कोई विसंगति उत्पन्न होती है, तो यह परिशिष्ट पार्टियों के डेटा संरक्षण दायित्वों के संबंध में प्रबल होगा। संदेह के मामले में कि क्या अन्य अनुबंधों के खंड पार्टियों के डेटा संरक्षण दायित्वों से संबंधित हैं, यह परिशिष्ट मान्य होगा।

5.3 यदि इस परिशिष्ट का कोई प्रावधान अमान्य या अप्रवर्तनीय है, तो इस परिशिष्ट का शेष भाग पूरी तरह से लागू और प्रभावी रहेगा। अमान्य या अप्रवर्तनीय प्रावधान (i) पार्टियों के इरादे को यथासंभव संरक्षित करते हुए, इसकी वैधता और प्रवर्तनीयता सुनिश्चित करने के लिए संशोधित किया जाएगा, या - यदि यह संभव नहीं है - (ii) व्याख्या की गई जैसे कि अमान्य या अप्रवर्तनीय भाग था अनुबंध का हिस्सा कभी नहीं रहा। यदि इस परिशिष्ट में कोई चूक है तो पूर्वगामी भी लागू होगा।

5.5 आवश्यक सीमा तक, पक्षकार संघ के सक्षम प्राधिकारियों द्वारा जारी किए गए व्याख्याओं, निर्देशों, या आदेशों का अनुपालन करने के लिए भाग 1, खंड 3 (स्थानीय कानून का अनुपालन) या परिशिष्ट के अन्य भागों में संशोधन का अनुरोध कर सकते हैं। सदस्य राज्य, राष्ट्रीय प्रवर्तन प्रावधान, या GDPR से संबंधित कोई अन्य कानूनी विकास या डेटा प्रोसेसिंग में शामिल किसी भी संस्था को प्रतिनिधिमंडल की अन्य शर्तें और विशेष रूप से GDPR में मानक संविदात्मक खंड के उपयोग के संबंध में। जब तक यूरोपीय आयोग स्पष्ट रूप से इसे मंजूरी नहीं देता (उदाहरण के लिए नए पर्याप्त खंड और डेटा सुरक्षा मानकों द्वारा) मानक संविदात्मक खंड की शर्तों को संशोधित या प्रतिस्थापित नहीं किया जा सकता है।

5.6 इस परिशिष्ट में "खंड" के किसी भी संदर्भ को इस परिशिष्ट के सभी प्रावधानों को संदर्भित करने के लिए समझा जाएगा जब तक कि अन्यथा न कहा गया हो।

5.7 भाग 2, खण्ड 9 में कानून का चुनाव पूरे अनुबंध पर लागू होता है।

 

6.  व्यक्तिगत उद्देश्यों के लिए पार्टियों द्वारा प्रेषित और संसाधित व्यक्तिगत डेटा (डेटा नियंत्रक से डेटा नियंत्रक में स्थानांतरण)

6.1 पक्ष पूरी तरह से जानते हैं कि कुछ व्यक्तिगत डेटा डेटा निर्यातक से डेटा आयातक को स्थानांतरित किया जाएगा और इसके विपरीत, और इस तरह के डेटा को प्रत्येक पार्टी द्वारा अपने उद्देश्यों के लिए संसाधित किया जाता है। ऐसे व्यक्तिगत डेटा के संबंध में, यह इस परिशिष्ट के अन्य प्रावधानों (इस खंड 6 को छोड़कर) को प्रभावित नहीं करता है।

6.2 डेटा निर्यातक डेटा आयातक के कर्मचारियों से संबंधित व्यक्तिगत डेटा को डेटा आयातक को स्थानांतरित कर सकता है, जिसमें सुरक्षा घटनाओं की जानकारी, या डेटा निर्यातक द्वारा बनाए गए या स्थापित किए गए किसी भी अन्य दस्तावेज़ या फ़ाइलें शामिल हैं, जो कर्मचारियों द्वारा प्रदान की गई सेवाओं के संबंध में हैं। डेटा आयातक। डेटा आयातक ऐसे व्यक्तिगत डेटा को अपने स्वयं के उद्देश्यों के लिए संसाधित कर सकता है, विशेष रूप से डेटा आयातक के कर्मियों के साथ अपने व्यावसायिक संबंधों में, गुणवत्ता नियंत्रण और प्रशिक्षण के लिए, या व्यावसायिक उद्देश्यों के लिए।

6.3. डेटा आयातक व्यक्तिगत डेटा को डेटा निर्यातक को स्थानांतरित कर सकता है, जिसमें डेटा आयातक के कर्मियों के नाम और संपर्क विवरण शामिल हैं। डेटा निर्यातक ऐसे व्यक्तिगत डेटा को अपने उद्देश्यों के लिए संसाधित कर सकता है।

6.4 दोनों पक्ष भाग 1 के खंड 1 के तहत दूसरे पक्ष से प्राप्त ऐसे व्यक्तिगत डेटा को एकत्र करने, संसाधित करने और उपयोग करने में जीडीपीआर सहित किसी भी लागू डेटा सुरक्षा कानूनों का पालन करेंगे। विशेष रूप से, दोनों पक्ष पर्याप्त सुरक्षा उपाय करेंगे, बशर्ते कि भाग 2 के परिशिष्ट 2 में निर्धारित सुरक्षा उपायों के लिए समान स्तर की सुरक्षा। ऐसे व्यक्तिगत डेटा तक कोई भी पहुंच उन्हें जानने की आवश्यकता तक सीमित होगी।

6.5 उद्देश्य प्राप्त होने के बाद दोनों पक्षों को ऐसे व्यक्तिगत डेटा को जल्द से जल्द हटाना चाहिए।

भाग 2

 

आयोग का निर्णय

5 फरवरी 2010 को

यूरोपीय संसद और परिषद के 95/46/EC निर्देश के तहत तीसरे पक्ष के देशों में स्थापित डेटा प्रोसेसर को व्यक्तिगत डेटा के हस्तांतरण के लिए मानक संविदात्मक खंड पर

 

 

 

खंड 1

परिभाषाएं

खंडों के अर्थ के भीतर:

ए) 'व्यक्तिगत डेटा', 'डेटा की विशेष श्रेणियां', 'प्रसंस्करण/प्रसंस्करण', 'नियंत्रक', 'प्रोसेसर', 'डेटा विषय' और 'पर्यवेक्षी प्राधिकरण' का वही अर्थ होगा जो 95/46/ईसी में है। व्यक्तिगत डेटा के प्रसंस्करण और इस तरह के डेटा के मुक्त संचलन के संबंध में व्यक्तियों की सुरक्षा पर यूरोपीय संसद और 24 अक्टूबर 1995 की परिषद का निर्देश (1);

बी) 'डेटा एक्सपोर्टर' व्यक्तिगत डेटा को स्थानांतरित करने वाला डेटा नियंत्रक है;

सी) 'डेटा आयातक' डेटा प्रोसेसर है जो डेटा निर्यातक से प्राप्त करने के लिए सहमत होता है जो डेटा निर्यातक की ओर से डेटा निर्यातक की ओर से संसाधित होने के लिए उसके निर्देशों के अनुसार और इन खंडों की शर्तों के तहत प्राप्त करने के लिए सहमत होता है और जो नहीं है निर्देश 95/46/EC के अनुच्छेद 25(1) के अर्थ के अंतर्गत पर्याप्त सुरक्षा सुनिश्चित करने वाले किसी तीसरे देश के तंत्र के अधीन; (डी) 'डेटा प्रोसेसर' का मतलब डेटा आयातक या डेटा आयातक के किसी अन्य डेटा प्रोसेसर द्वारा लगाया गया डेटा प्रोसेसर है जो डेटा आयातक या डेटा आयातक के किसी अन्य डेटा प्रोसेसर से विशेष रूप से प्रसंस्करण गतिविधियों के लिए डेटा आयातक से प्राप्त करने के लिए सहमत है। डेटा निर्यातक के निर्देशों के अनुसार स्थानांतरण के बाद डेटा निर्यातक की ओर से किया जाएगा,इन क्लॉज में निर्धारित शर्तों के तहत और डेटा प्रोसेसिंग अनुबंध के लिखित उप-अनुबंध की शर्तों के तहत;

ई) "लागू डेटा संरक्षण कानून" का अर्थ है व्यक्तिगत डेटा के प्रसंस्करण के संबंध में गोपनीयता के अधिकार सहित मौलिक अधिकारों और व्यक्तियों की स्वतंत्रता की रक्षा करने वाला कानून, और सदस्य राज्य में एक नियंत्रक के लिए आवेदन करना जहां डेटा निर्यातक स्थापित है;

च) "सुरक्षा से संबंधित तकनीकी और संगठनात्मक उपाय" ?? इसका मतलब व्यक्तिगत डेटा को आकस्मिक या गैरकानूनी विनाश या आकस्मिक हानि, परिवर्तन, अनधिकृत प्रकटीकरण या पहुंच से बचाने के लिए है, विशेष रूप से जहां प्रसंस्करण में नेटवर्क पर डेटा का संचरण शामिल है, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ है।

खंड 2

स्थानांतरण का विवरण

स्थानांतरण का विवरण, जहां उपयुक्त हो, व्यक्तिगत डेटा की विशेष श्रेणियां, परिशिष्ट 1 में निर्दिष्ट हैं, जो इन खंडों का एक अभिन्न अंग है।

खंड 3

तृतीय-पक्ष लाभार्थी खंड

1. डेटा विषय डेटा एक्सपोर्टर के खिलाफ इस क्लॉज, क्लॉज 4(बी) से (i), क्लॉज 5(ए) से (ई) और (जी) से (जे), क्लॉज 6(1) और (2 ), क्लॉज 7, क्लॉज 8(2) और क्लॉज 9 से 12 तक तीसरे पक्ष के लाभार्थी के रूप में

2. डेटा विषय इस क्लॉज, क्लॉज 5 (ए) से (ई) और (जी), क्लॉज 6, क्लॉज 7, क्लॉज 8 (2) और क्लॉज 9 से 12 को डेटा आयातक के खिलाफ लागू कर सकता है, जहां डेटा एक्सपोर्टर ने भौतिक रूप से गायब हो गया है या कानून में अस्तित्व समाप्त हो गया है, जब तक कि उसके सभी कानूनी दायित्वों को अनुबंध द्वारा या कानून के संचालन द्वारा उत्तराधिकारी इकाई को स्थानांतरित नहीं किया गया है, जिसके लिए डेटा निर्यातक के अधिकार और दायित्व वापस आ जाते हैं, और जिसके खिलाफ डेटा विषय इसलिए उक्त खंडों को लागू कर सकता है।

डेटा विषय डेटा प्रोसेसर के खिलाफ इस क्लॉज, क्लॉज 5 (ए) से (ई) और (जी), क्लॉज 6, क्लॉज 7, क्लॉज 8 (2) और क्लॉज 9 से 12 को लागू कर सकता है, लेकिन केवल उन मामलों में जहां डेटा निर्यातक और डेटा आयातक शारीरिक रूप से गायब हो गए हैं, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है, जब तक कि डेटा निर्यातक के सभी कानूनी दायित्वों को कानूनी उत्तराधिकारी को, अनुबंध द्वारा या कानून के संचालन द्वारा स्थानांतरित नहीं किया गया है, जिसे अधिकार और इसलिए डेटा निर्यातक के दायित्व निहित हैं, और जिसके खिलाफ डेटा विषय इस तरह के खंड लागू कर सकता है। डेटा प्रोसेसर का ऐसा दायित्व इन क्लॉज के तहत अपनी प्रोसेसिंग गतिविधियों तक सीमित होना चाहिए।

4. पार्टियां किसी संघ या अन्य निकाय द्वारा प्रतिनिधित्व किए जा रहे डेटा विषय पर आपत्ति नहीं करती हैं यदि वह चाहें और यदि राष्ट्रीय कानून इसकी अनुमति देता है।

खंड 4

डेटा निर्यातक के दायित्व

डेटा निर्यातक निम्नलिखित को स्वीकार करता है और गारंटी देता है:

ए) व्यक्तिगत डेटा के वास्तविक हस्तांतरण सहित प्रसंस्करण, लागू डेटा सुरक्षा कानून के प्रासंगिक प्रावधानों के अनुसार किया गया है और जारी रहेगा (और, जहां लागू हो, सदस्य राज्य के सक्षम अधिकारियों को अधिसूचित किया गया है) जिसमें डेटा निर्यातक आधारित है) और उस राज्य के प्रासंगिक प्रावधानों का उल्लंघन नहीं करता है;

बी) उन्होंने निर्देश दिया है, और व्यक्तिगत डेटा प्रोसेसिंग सेवाओं की अवधि के लिए, डेटा आयातक को डेटा निर्यातक की ओर से स्थानांतरित किए गए व्यक्तिगत डेटा को संसाधित करने और लागू डेटा सुरक्षा कानून और इन खंडों के अनुसार निर्देश देंगे;

ग) डेटा आयातक वर्तमान अनुबंध के परिशिष्ट 2 में निर्दिष्ट तकनीकी और संगठनात्मक सुरक्षा उपायों के संबंध में पर्याप्त सुरक्षा उपाय प्रदान करेगा;

डी) लागू डेटा सुरक्षा कानून की आवश्यकताओं के मूल्यांकन के बाद, सुरक्षा उपाय व्यक्तिगत डेटा को आकस्मिक या गैरकानूनी विनाश या आकस्मिक हानि, परिवर्तन, अनधिकृत प्रकटीकरण, या पहुंच से बचाने के लिए पर्याप्त हैं, विशेष रूप से जहां प्रसंस्करण में डेटा का संचरण शामिल है एक नेटवर्क पर, और प्रसंस्करण के अन्य सभी गैरकानूनी रूपों के खिलाफ और प्रौद्योगिकी के स्तर और कार्यान्वयन की लागत के संबंध में प्रसंस्करण और डेटा की प्रकृति द्वारा संरक्षित जोखिमों के लिए उपयुक्त सुरक्षा का स्तर सुनिश्चित करना;

ई) वे सुरक्षा उपायों का अनुपालन सुनिश्चित करेंगे;

च) यदि स्थानांतरण डेटा की विशेष श्रेणियों से संबंधित है, तो डेटा विषय को सूचित किया गया है या हस्तांतरण से पहले सूचित किया जाएगा, या हस्तांतरण के बाद जितनी जल्दी हो सके कि उसका डेटा किसी तीसरे देश में स्थानांतरित किया जा सकता है जो पेशकश नहीं करता है निर्देश 95/46/EC के अर्थ में पर्याप्त स्तर की सुरक्षा;

छ) वे डेटा आयातक या खंड 5 (बी) और 8 (3) के तहत किसी भी डेटा प्रोसेसर से प्राप्त किसी भी अधिसूचना को डेटा सुरक्षा पर्यवेक्षी प्राधिकरण को अग्रेषित करेंगे यदि वह स्थानांतरण जारी रखने या इसके निलंबन को उठाने का निर्णय लेता है;

एच) वे डेटा विषयों को उपलब्ध कराएंगे, यदि वे ऐसा अनुरोध करते हैं, तो इन क्लॉज की एक प्रति, परिशिष्ट 2 को छोड़कर, और सुरक्षा उपायों का एक सारांश विवरण, और इन क्लॉज के तहत समाप्त किसी भी उप-अनुबंध समझौते की एक प्रति, जब तक कि खंड या समझौते में व्यावसायिक जानकारी होती है, जिस स्थिति में वह ऐसी जानकारी वापस ले सकता है;

i) डेटा प्रोसेसिंग प्रक्रिया के उप-अनुबंध के मामले में, प्रोसेसिंग गतिविधि एक डेटा प्रोसेसर द्वारा क्लॉज 11 के अनुसार की जाती है, जो इन क्लॉज के तहत डेटा आयातक के रूप में व्यक्तिगत डेटा और डेटा विषय के अधिकारों की सुरक्षा का कम से कम समान स्तर प्रदान करता है। ; तथा

जे) यह खंड 4 (ए) से (i) के अनुपालन को सुनिश्चित करेगा।

खंड 5

डेटा आयातक के दायित्व

डेटा आयातक निम्नलिखित को स्वीकार करता है और इसकी गारंटी देता है:

ए) वे केवल डेटा निर्यातक की ओर से और डेटा निर्यातक के निर्देशों और इन खंडों के तहत व्यक्तिगत डेटा को संसाधित करेंगे; यदि यह किसी भी कारण से अनुपालन नहीं कर सकता है, तो वे डेटा निर्यातक को इसकी अक्षमता के बारे में जल्द से जल्द सूचित करने के लिए सहमत होते हैं, जिस स्थिति में डेटा निर्यातक डेटा स्थानांतरण को निलंबित कर सकता है और/या अनुबंध समाप्त कर सकता है;

बी) उनके पास यह मानने का कोई कारण नहीं है कि उन पर लागू कानून उन्हें डेटा निर्यातक द्वारा दिए गए निर्देशों और अनुबंध के तहत उन पर दायित्वों को पूरा करने से रोकता है, और यदि ऐसा कानून परिवर्तन के अधीन है जो सामग्री के प्रतिकूल हो सकता है क्लॉज के तहत वारंटियों और दायित्वों पर प्रभाव, वह डेटा निर्यातक को इसके बारे में जागरूक होने के बाद बिना किसी देरी के परिवर्तन के बारे में सूचित करेगा, इस मामले में डेटा निर्यातक डेटा स्थानांतरण को निलंबित कर सकता है और/या अनुबंध समाप्त कर सकता है; (सी) उन्होंने हस्तांतरित व्यक्तिगत डेटा को संसाधित करने से पहले परिशिष्ट 2 में निर्दिष्ट तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू किया है;

d) वे बिना किसी देरी के डेटा निर्यातक को सूचित करेंगे:

i) कानून प्रवर्तन प्राधिकरण से व्यक्तिगत डेटा के प्रकटीकरण के लिए कोई बाध्यकारी अनुरोध, जब तक कि अन्यथा निर्दिष्ट न हो, जैसे कि पुलिस जांच की गोपनीयता बनाए रखने के उद्देश्य से आपराधिक निषेध;

ii) कोई आकस्मिक या अनधिकृत पहुंच; तथा

iii) जब तक कि उसे ऐसा करने के लिए अधिकृत नहीं किया गया हो, बिना किसी उत्तर के संबंधित व्यक्तियों से सीधे प्राप्त कोई अनुरोध; प्रशासकों

ई) वे स्थानांतरित किए जा रहे व्यक्तिगत डेटा के प्रसंस्करण के संबंध में डेटा निर्यातक से सभी पूछताछों को तुरंत और ठीक से निपटेंगे और स्थानांतरित किए गए डेटा के प्रसंस्करण के संबंध में पर्यवेक्षी प्राधिकरण की राय के तहत कार्य करेंगे;

च) डेटा एक्सपोर्टर के अनुरोध पर, वे डेटा एक्सपोर्टर या अपेक्षित व्यावसायिक योग्यताओं वाले स्वतंत्र सदस्यों से बने एक पर्यवेक्षी निकाय द्वारा किए जाने वाले इन क्लॉज द्वारा कवर की जाने वाली प्रोसेसिंग गतिविधियों के ऑडिट के लिए इसकी डेटा प्रोसेसिंग सुविधाओं के अधीन होंगे, गोपनीयता के दायित्व के अधीन और डेटा निर्यातक द्वारा चुना गया, जहां पर्यवेक्षी प्राधिकरण के समझौते के साथ उपयुक्त हो;

छ) वे डेटा विषय को उपलब्ध कराएंगे, यदि वह ऐसा अनुरोध करता है, तो इन क्लॉज की एक प्रति, या डेटा प्रोसेसिंग अनुबंध का कोई मौजूदा उप-अनुबंध, जब तक कि क्लॉज या अनुबंध में वाणिज्यिक जानकारी न हो, जिस स्थिति में यह ऐसे को हटा सकता है जानकारी, परिशिष्ट 2 को छोड़कर, जिसे सुरक्षा उपायों के सारांश विवरण द्वारा प्रतिस्थापित किया जाएगा, जहां डेटा विषय डेटा निर्यातक से एक प्रति प्राप्त नहीं कर सकता है;

ज) डेटा प्रोसेसिंग के गोपनीय और उप-अनुबंध के मामले में, वह यह सुनिश्चित करेगा कि वह डेटा निर्यातक को अग्रिम रूप से सूचित करता है और डेटा निर्यातक की लिखित सहमति प्राप्त करता है;

i) डेटा प्रोसेसर द्वारा प्रदान की जाने वाली प्रोसेसिंग सेवाएं क्लॉज 11 का अनुपालन करेंगी;

j) वे डेटा एक्सपोर्टर को इन क्लॉज के तहत उसके द्वारा किए गए डेटा प्रोसेसिंग समझौते के किसी भी उप-अनुबंध की एक प्रति तुरंत भेजेंगे।

खंड 6

ज़िम्मेदारी

1. पार्टियां इस बात से सहमत हैं कि कोई भी डेटा विषय जिसे क्लॉज 3 या क्लॉज 11 में निर्दिष्ट दायित्वों के उल्लंघन के कारण एक पार्टी या डेटा प्रोसेसर द्वारा नुकसान हुआ है, वह डेटा एक्सपोर्टर से हुए नुकसान के लिए मुआवजा प्राप्त कर सकता है।

2. यदि किसी डेटा विषय को डेटा आयातक या उसके डेटा प्रोसेसर द्वारा क्लॉज़ 3 या क्लॉज़ 11 के तहत अपने किसी भी दायित्व का अनुपालन करने में विफलता के लिए डेटा निर्यातक के खिलाफ पैरा 1 में संदर्भित नुकसान के लिए कार्रवाई करने से रोका जाता है क्योंकि डेटा निर्यातक शारीरिक रूप से गायब हो गया है, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है, डेटा आयातक सहमत है कि डेटा विषय इसके खिलाफ शिकायत दर्ज कर सकता है जैसे कि यह डेटा निर्यातक था जब तक कि डेटा निर्यातक के सभी कानूनी दायित्वों को अनुबंध द्वारा स्थानांतरित नहीं किया गया हो। या कानून के संचालन द्वारा, उसके उत्तराधिकारी इकाई को, जिसके विरुद्ध डेटा विषय उसके अधिकारों को लागू कर सकता है। डेटा आयातक अपने स्वयं के दायित्व से बचने के लिए डेटा प्रोसेसर द्वारा अपने दायित्वों के उल्लंघन पर भरोसा नहीं कर सकता है।

3. यदि किसी डेटा विषय को डेटा निर्यातक या डेटा आयातक के खिलाफ पैराग्राफ 1 और 2 में निर्दिष्ट कार्रवाई करने से रोका जाता है, तो डेटा प्रोसेसर द्वारा क्लॉज़ 3 या क्लॉज़ 11 के तहत अपने दायित्वों का उल्लंघन किया जाता है क्योंकि डेटा निर्यातक और डेटा आयातक भौतिक रूप से गायब हो गए हैं, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है, डेटा प्रोसेसर इस बात से सहमत है कि डेटा विषय इन खंडों के अनुसार अपनी स्वयं की प्रसंस्करण गतिविधियों के बारे में इसके खिलाफ शिकायत दर्ज कर सकता है जैसे कि यह डेटा निर्यातक या डेटा आयातक था जब तक कि सभी डेटा निर्यातक या डेटा आयातक के कानूनी दायित्वों को अनुबंध द्वारा या कानून के संचालन द्वारा कानूनी उत्तराधिकारी को स्थानांतरित कर दिया गया है, जिसके खिलाफ डेटा विषय अपने अधिकारों का दावा कर सकता है।डेटा प्रोसेसर का दायित्व इन क्लॉज के अनुसार अपनी स्वयं की प्रोसेसिंग गतिविधियों तक सीमित होना चाहिए।

 

खंड 7

मध्यस्थता और अधिकार क्षेत्र

1. डेटा आयातक इस बात से सहमत है कि यदि क्लॉज के तहत, डेटा विषय उसके खिलाफ तीसरे पक्ष के लाभार्थी के अधिकार का आह्वान करता है और/या पूर्वाग्रह के लिए मुआवजे का दावा करता है, तो वह डेटा विषय के निर्णय को स्वीकार करेगा:

ए) एक स्वतंत्र व्यक्ति या जहां उपयुक्त हो, पर्यवेक्षी प्राधिकरण द्वारा विवाद को मध्यस्थता के लिए प्रस्तुत करना;

बी) विवाद को सदस्य राज्य की अदालतों के समक्ष लाने के लिए जहां डेटा निर्यातक आधारित है।

2. पक्ष सहमत हैं कि डेटा विषय द्वारा किया गया चुनाव राष्ट्रीय या अंतर्राष्ट्रीय कानून के अन्य प्रावधानों के अनुसार निवारण प्राप्त करने के लिए डेटा के प्रक्रियात्मक या वास्तविक अधिकार को प्रभावित नहीं करेगा।

खंड 8

पर्यवेक्षी अधिकारियों के साथ सहयोग

1. डेटा निर्यातक पर्यवेक्षी प्राधिकरण के पास वर्तमान अनुबंध की एक प्रति जमा करने के लिए सहमत होता है यदि बाद वाले को इसकी आवश्यकता होती है या यदि ऐसी जमा राशि लागू डेटा सुरक्षा कानून द्वारा प्रदान की जाती है।

2. पार्टियां सहमत हैं कि पर्यवेक्षी प्राधिकरण डेटा आयातक और किसी भी डेटा प्रोसेसर पर उसी सीमा तक और उसी शर्तों के तहत जांच कर सकता है, जैसा कि लागू डेटा सुरक्षा कानून के अनुसार डेटा निर्यातक पर किए गए चेक के साथ होता है।

3. डेटा आयातक डेटा आयातक या किसी डेटा प्रोसेसर से संबंधित कानून के अस्तित्व के बारे में जितनी जल्दी हो सके डेटा निर्यातक को सूचित करेगा जो डेटा आयातक या किसी डेटा प्रोसेसर पर पैराग्राफ 2 के अनुसार सत्यापन को रोकता है। ऐसे मामले में, डेटा निर्यातक खंड 5 (बी) में दिए गए उपायों को अपना सकता है।

खंड 9

लागू कानून

खंड लागू होते हैं और उस सदस्य राज्य के कानून द्वारा शासित होते हैं जहां डेटा निर्यातक आधारित है।

खंड 10

अनुबंध का संशोधन

पार्टियां वर्तमान खंडों को संशोधित नहीं करने का वचन देती हैं। पार्टियां अन्य वाणिज्यिक खंडों को शामिल करने के लिए स्वतंत्र हैं जो वे आवश्यक समझते हैं, बशर्ते कि वे वर्तमान खंडों का खंडन न करें।

खंड 11

बाद के उपठेके

1. डेटा आयातक डेटा एक्सपोर्टर की पूर्व लिखित सहमति के बिना डेटा एक्सपोर्टर की ओर से इन क्लॉज़ के तहत किए गए प्रोसेसिंग गतिविधियों में से कोई भी उप-अनुबंध नहीं करेगा। डेटा आयातक डेटा प्रोसेसर के साथ एक लिखित समझौते के माध्यम से डेटा निर्यातक की सहमति से, इन क्लॉज़ के तहत अपने दायित्वों को केवल उप-अनुबंध करेगा, डेटा प्रोसेसर पर वही दायित्व लगाएगा जो इन क्लॉज़ के तहत डेटा आयातक पर लगाए गए हैं। यदि डेटा प्रोसेसर उस लिखित समझौते के तहत अपने डेटा सुरक्षा दायित्वों का पालन नहीं कर सकता है, तो डेटा आयातक उन दायित्वों की पूर्ति के लिए डेटा निर्यातक के लिए पूरी तरह से जिम्मेदार होगा।

2. डेटा आयातक और डेटा प्रोसेसर के बीच पूर्व लिखित समझौते में एक तृतीय-पक्ष लाभार्थी खंड भी शामिल होगा जैसा कि खंड 3 में निर्धारित किया गया है, जहां डेटा विषय को खंड 6 (1 में संदर्भित नुकसान के लिए दावा लाने से रोका जाता है) ), डेटा निर्यातक या डेटा आयातक के खिलाफ क्योंकि डेटा निर्यातक या डेटा आयातक भौतिक रूप से गायब हो गया है, कानून में अस्तित्व समाप्त हो गया है या दिवालिया हो गया है और डेटा निर्यातक या डेटा आयातक के सभी कानूनी दायित्वों को अनुबंध या संचालन द्वारा स्थानांतरित नहीं किया गया है। कानून का, किसी अन्य उत्तराधिकारी इकाई को। डेटा प्रोसेसर का दायित्व इन क्लॉज के अनुसार अपनी प्रोसेसिंग गतिविधियों तक सीमित होना चाहिए।

3. पैराग्राफ 1 में निर्दिष्ट अनुबंध के डेटा प्रोसेसिंग के उप-अनुबंध के डेटा संरक्षण पहलुओं से संबंधित प्रावधान उस सदस्य राज्य के कानून द्वारा शासित होंगे जिसमें डेटा निर्यातक स्थापित है।

4. डेटा एक्सपोर्टर इन क्लॉज के तहत संपन्न और डेटा इंपोर्टर द्वारा क्लॉज 5 (जे) के अनुसार अधिसूचित किए गए सब-कॉन्ट्रैक्टिंग डेटा प्रोसेसिंग एग्रीमेंट की एक सूची रखेगा, जिसे साल में कम से कम एक बार अपडेट किया जाएगा। यह सूची डेटा निर्यातक के डेटा सुरक्षा पर्यवेक्षी प्राधिकरण को उपलब्ध कराई जाएगी।

खंड 12

व्यक्तिगत डेटा प्रोसेसिंग सेवाओं की समाप्ति के बाद दायित्व

1. पक्ष सहमत हैं कि डेटा प्रोसेसिंग सेवाओं के पूरा होने पर, डेटा आयातक और डेटा प्रोसेसर, डेटा निर्यातक की सुविधा पर, स्थानांतरित किए गए सभी व्यक्तिगत डेटा और उसकी प्रतियां डेटा निर्यातक को वापस कर देंगे, या ऐसे सभी डेटा को नष्ट कर देंगे और सबूत प्रदान करेंगे। डेटा निर्यातक को नष्ट करना, जब तक कि डेटा आयातक पर लगाया गया कानून इसे स्थानांतरित किए गए व्यक्तिगत डेटा के सभी या हिस्से को वापस करने या नष्ट करने से रोकता है। उस स्थिति में, डेटा आयातक गारंटी देता है कि वह हस्तांतरित किए गए व्यक्तिगत डेटा की गोपनीयता सुनिश्चित करेगा और यह कि वह अब डेटा को सक्रिय रूप से संसाधित नहीं करेगा।

2. डेटा आयातक और डेटा प्रोसेसर यह सुनिश्चित करेंगे कि, यदि डेटा निर्यातक और/या पर्यवेक्षी प्राधिकरण द्वारा ऐसा अनुरोध किया जाता है, तो वे पैरा 1 में निर्दिष्ट उपायों के सत्यापन के लिए डेटा प्रोसेसिंग के अपने साधनों के अधीन होंगे।

 

 

 

 

परिशिष्ट 1.1 से भाग 2

स्थानांतरण का विवरण

 

 

डेटा निर्यातक

डेटा निर्यातक अनुबंध अनुबंध में परिभाषित ग्राहक है।

 

डेटा आयातक

डेटा आयातक POSTCODEZIP है और डेटा निर्यातक को सेवाएं प्रदान करते हुए डेटा को संसाधित करने के लिए असाइन किया गया है।

 

डेटा के विषय

व्यक्तिगत डेटा स्थानांतरित डेटा विषयों की निम्नलिखित श्रेणियों से संबंधित है:

ए?? सार्वभौमिक निर्देशिका में सूचीबद्ध टेलीफोन ग्राहक

अन्य, जिनमें शामिल हैं:

 

डेटा की श्रेणियां

स्थानांतरित किया गया व्यक्तिगत डेटा डेटा की निम्नलिखित श्रेणियों से संबंधित है:

 

विशेष रूप से डेटा निर्यातक के डेटा विषयों के व्यक्तिगत डेटा की श्रेणियां,

ए?? पूरा नाम

डाक का पता

ए?? संपर्क विवरण (ई-मेल, टेलीफोन, आईपी पता, आदि)

ए?? टेलीफोन ग्राहक से संबंधित विपणन गतिविधियों का विवरण

˜ अन्य, जिसमें आवास का प्रकार, आय, और शहर द्वारा गुमनाम रूप से बनाए गए औसत आयु शामिल हैं

 

डेटा की विशेष श्रेणियां (यदि लागू हो)

स्थानांतरित किया गया व्यक्तिगत डेटा डेटा की निम्नलिखित विशेष श्रेणियों से संबंधित है:

डेटा की विशेष श्रेणियों के हस्तांतरण की उम्मीद नहीं है

ए?? जाति या जातीय मूल

ए?? धार्मिक या दार्शनिक विश्वास

ए?? ट्रेड यूनियन सदस्यता

ए?? राजनीतिक दृष्टिकोण

ए?? आनुवंशिक जानकारी

ए?? बायोमेट्रिक जानकारी

ए?? यौन अभिविन्यास या यौन जीवन पर जानकारी

ए?? स्वास्थ्य डेटा

 

प्रसंस्करण गतिविधियाँ

हस्तांतरित व्यक्तिगत डेटा निम्नलिखित बुनियादी प्रसंस्करण गतिविधियों के अधीन होगा:

 

  •  
    • प्रसंस्करण का उद्देश्य "

डेटा निर्यातक की ओर से किया गया प्रसंस्करण निम्नलिखित विषयों पर आधारित है, विशेष रूप से:

â˜' डेटा निर्यातक द्वारा पेश किए जाने वाले उत्पादों या सेवाओं का प्रभार लेना

एक उत्पाद या सेवा की पेशकश जिसे बुलाया गया व्यक्ति अनुरोध कर सकता है

बुलाए गए व्यक्तियों से लिए गए आदेश और इन आदेशों की आगे की कार्यवाही

अध्ययन प्रश्नावली और विश्लेषण

टेलीमार्केटिंग _

ए?? अन्य, जिनमें शामिल हैं:

 

  •  
    • प्रसंस्करण  की प्रकृति और उद्देश्य

डेटा आयातक डेटा निर्यातक की ओर से डेटा विषयों के व्यक्तिगत डेटा को संसाधित करता है, ताकि निम्नलिखित सेवाएं प्रदान की जा सकें, और विशेष रूप से:

  • ˜'स्वचालित फ़ॉर्म पूर्णता
  • ˜'सत्यापन फॉर्म को संबोधित करता है

' बिक्री और विपणन

टाउन हॉल और राजनीतिक दलों के डेटाबेस को अपडेट करने सहित अन्य

 

  •  
    • â  सेवा प्रदाताओं की सेवाओं और रोजगार का प्रावधान

 

POSTCODEZIP मुख्य रूप से डेटा निर्यातक को जोड़ता है, केंद्रीकृत करता है और सेवाएं प्रदान करता है। नामित सेवा प्रदाता द्वारा प्रदान की जाने वाली सेवाओं को निम्नलिखित सहायक सेवाओं के आसपास (अन्य के रूप में उपयुक्त के रूप में) संरचित किया जा सकता है: (i) प्रदान करने के लिए उपयोग किए गए डेटा प्रोसेसिंग केंद्रों के संबंध में अनुप्रयोगों, उपकरणों, प्रणालियों और आईटी बुनियादी ढांचे का प्रावधान। और इस तरह के अनुप्रयोगों, उपकरणों और प्रणालियों के माध्यम से ऊपर वर्णित डेटा विषयों के व्यक्तिगत डेटा के प्रसंस्करण सहित सेवाओं का समर्थन करते हैं, (ii) ऐसे अनुप्रयोगों, उपकरणों, प्रणालियों से संबंधित आईटी समर्थन, रखरखाव और अन्य सेवाओं का प्रावधान और आईटी अवसंरचना, जिसमें ऐसे अनुप्रयोगों, उपकरणों और प्रणालियों में संग्रहीत व्यक्तिगत डेटा तक संभावित पहुंच शामिल है, और (iii) डेटा सुरक्षा सेवाओं, सुरक्षा निगरानी और घटना प्रतिक्रिया सेवाओं का प्रावधान,ऐसी सुरक्षा सेवाएं प्रदान करते समय व्यक्तिगत डेटा तक संभावित पहुंच सहित। POSTCODEZIP सहायक सेवाओं सहित सेवाएं प्रदान करने के लिए नीचे दिए गए डेटा प्रोसेसर को संलग्न कर सकता है।

 

  •  
    • â डेटा प्रोसेसिंग के लिए सौंपे गए उप-इकाइयों के रूप में बाहरी तृतीय-पक्ष सेवा प्रदाता

 

POSTCODEZIP बाहरी और तृतीय-पक्ष सेवा प्रदाताओं को संलग्न करता है, जो डेटा निर्यातक को सेवाओं के प्रावधान का समर्थन करने के लिए POSTCODEZIP की सहायक कंपनियां नहीं हैं। डेटा एक्सपोर्टर ऐसे बाहरी तृतीय-पक्ष सेवा प्रदाताओं को डेटा प्रोसेसिंग के लिए निर्दिष्ट उप-इकाइयाँ के रूप में अनुमोदित करता है।

 

यदि डेटा प्रोसेसिंग में शामिल एक उप-इकाई यूरोपीय संघ/ईईए के बाहर स्थित है, तो ऐसे देश में जिसे यूरोपीय आयोग के निर्णय के तहत डेटा सुरक्षा का पर्याप्त स्तर नहीं माना जाता है, डेटा आयातक पर्याप्त स्तर प्राप्त करने के लिए कदम उठाएगा। GDPR और भाग 1 की धारा 3.4 (iv) के अनुसार डेटा सुरक्षा।

 

 

परिशिष्ट 2, भाग 2

तकनीकी और संगठनात्मक सुरक्षात्मक उपाय

 

डेटा आयातक, जोखिम के आधार पर, व्यक्तियों के अधिकारों और स्वतंत्रता के लिए एक उपयुक्त स्तर की सुरक्षा की गारंटी देने के लिए, डेटा निर्यातक द्वारा पुष्टि किए गए निम्नलिखित तकनीकी और संगठनात्मक सुरक्षा उपाय करेगा। संबंधित सुरक्षा के स्तर का आकलन करने में, डेटा निर्यातक ने, विशेष रूप से, प्रसंस्करण में शामिल जोखिमों पर विचार किया है, जिसमें आकस्मिक या गैरकानूनी विनाश, परिवर्तन, अनधिकृत प्रकटीकरण, या प्रेषित, संग्रहीत, या अन्यथा संसाधित व्यक्तिगत डेटा तक पहुंच शामिल है। स्पष्टीकरण द्वारा: ये तकनीकी और संगठनात्मक सुरक्षा उपाय डेटा एक्सपोर्टर द्वारा प्रदान किए गए एप्लिकेशन, टूल, सिस्टम और/या आईटी इन्फ्रास्ट्रक्चर पर लागू नहीं होते हैं।

1 सामान्य तकनीकी और संगठनात्मक सुरक्षा उपाय

1.1 सामान्य जानकारी और डेटा सुरक्षा रणनीतियाँ

सामान्य डेटा और सूचना सुरक्षा रणनीतियों का पालन करने के लिए निम्नलिखित कदम उठाए जाने चाहिए:

  • क) तकनीकी और संगठनात्मक सुरक्षा के संबंध में किए गए उपायों का मूल्यांकन करने के लिए उपाय करना;
  • बी) कर्मचारियों के बीच जागरूकता बढ़ाने के लिए प्रशिक्षण प्रदान करना;
  • सी) संबंधित प्रणालियों का विवरण है और कर्मचारियों को पहुंच प्रदान करता है;
  • d) जब भी सिस्टम लागू या संशोधित किया जाता है तो औपचारिक दस्तावेज़ीकरण प्रक्रिया स्थापित करें;
  • ई) संगठनात्मक संरचना, प्रक्रियाओं, जिम्मेदारियों और संबंधित मूल्यांकन का दस्तावेजीकरण;

1.2 सूचना सुरक्षा का संगठन

डेटा और सूचना सुरक्षा गतिविधियों के समन्वय के लिए निम्नलिखित उपाय किए जाने चाहिए:

  • ए) सूचना और डेटा की सुरक्षा के लिए परिभाषित जिम्मेदारियां (उदाहरण के लिए डेटा सुरक्षा प्रबंधन नीति के माध्यम से);
  • बी) उपलब्ध शेष जानकारी और डेटा की सुरक्षा पर आवश्यक विशेषज्ञता;
  • c) सभी कर्मचारी यह सुनिश्चित करने के लिए प्रतिबद्ध हैं कि व्यक्तिगत डेटा को गोपनीय रखा जाए, और उन्हें इस प्रतिबद्धता के उल्लंघन के संभावित परिणामों के बारे में सूचित किया गया है।

1.3 प्रसंस्करण क्षेत्रों तक पहुंच नियंत्रण

जब व्यक्तिगत डेटा संसाधित, संग्रहीत या प्रसारित किया जाता है, तो अनधिकृत व्यक्तियों को डेटा प्रोसेसिंग सिस्टम (विशेष रूप से सॉफ़्टवेयर और हार्डवेयर) तक पहुंच प्राप्त करने से रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए:

  • ए) सुरक्षित क्षेत्रों की स्थापना;
  • बी) डेटा प्रोसेसिंग सिस्टम तक पहुंच को सुरक्षित और प्रतिबंधित करना;
  • c) संबंधित दस्तावेजों सहित कर्मचारियों और तृतीय पक्षों के लिए एक्सेस प्राधिकरण स्थापित करना;
  • डी) डेटा प्रोसेसिंग केंद्रों तक किसी भी पहुंच को लॉग किया जाएगा जिसमें व्यक्तिगत डेटा संग्रहीत किया जाता है।

1.4 डाटा प्रोसेसिंग सिस्टम तक पहुंच नियंत्रण

डेटा प्रोसेसिंग सिस्टम तक अनधिकृत पहुंच को रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए:

  • ए) उपयोगकर्ता प्रमाणीकरण नीतियां और प्रक्रियाएं;
  • बी) सभी कंप्यूटर सिस्टम पर पासवर्ड का उपयोग;
  • ग) नेटवर्क तक दूरस्थ पहुंच के लिए बहु-कारक प्रमाणीकरण की आवश्यकता होती है और संबंधित व्यक्ति को उनकी जिम्मेदारियों के अनुसार और प्राधिकरण पर प्रदान की जाती है;
  • डी) विशिष्ट कार्यों तक पहुंच नौकरी के कार्यों और/या व्यक्तिगत रूप से उपयोगकर्ता के खाते में निर्दिष्ट विशेषताओं पर आधारित होती है;
  • ई) व्यक्तिगत डेटा से संबंधित एक्सेस अधिकारों की नियमित रूप से समीक्षा की जाती है;
  • च) एक्सेस राइट्स में बदलाव के रिकॉर्ड को अप टू डेट रखा जाता है।

1.5 डाटा प्रोसेसिंग सिस्टम के उपयोग के विशेष क्षेत्रों तक पहुंच को नियंत्रित करना

यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि डेटा प्रोसेसिंग सिस्टम का उपयोग करने के अधिकार वाले अधिकृत व्यक्ति केवल अपनी संबंधित जिम्मेदारियों और एक्सेस प्राधिकरणों के भीतर डेटा तक पहुंच सकते हैं और व्यक्तिगत डेटा को प्राधिकरण के बिना पढ़ा, कॉपी, संशोधित या हटाया नहीं जा सकता है:

  1. 1. 
    1. a) कर्मचारियों की नीतियां, निर्देश और प्रशिक्षण, गोपनीयता, व्यक्तिगत डेटा तक पहुंच के अधिकार और व्यक्तिगत डेटा के प्रसंस्करण के दायरे के बारे में उनमें से प्रत्येक के दायित्वों से संबंधित;
  • बी) प्राधिकरण के बिना व्यक्तिगत डेटा तक पहुंचने वाले व्यक्तियों के खिलाफ अनुशासनात्मक उपाय;
  • सी) व्यक्तिगत डेटा तक पहुंच केवल अधिकृत व्यक्तियों को ही जानने की आवश्यकता के आधार पर दी जाएगी;
  • d) सिस्टम प्रशासकों की सूची बनाए रखना और सिस्टम प्रशासकों की निगरानी के लिए उचित उपाय करना;
  • ई) अनधिकृत व्यक्तियों को प्रवर्तक की जानकारी को हटाने के लिए सक्षम करने के लिए किसी भी भंडारण प्रणाली पर व्यक्तिगत डेटा की प्रतिलिपि या पुनरुत्पादन नहीं करना;
  • च) डेटा को हटाने या नष्ट करने के लिए नियंत्रित और प्रलेखित;
  • छ) सभी व्यक्तिगत डेटा को सुरक्षित रूप से संग्रहीत करने के लिए जिसे कानूनी या नियामक कारणों (जैसे डेटा को बनाए रखने के लिए दायित्व) के लिए बनाए रखा जाना चाहिए, और केवल तब तक जब तक कानून द्वारा आवश्यक हो।

1.6 प्रसारण नियंत्रण

डेटा भंडारण उपकरणों के प्रसारण या परिवहन के दौरान अनधिकृत तृतीय पक्षों द्वारा व्यक्तिगत डेटा को पढ़ने, कॉपी करने, संशोधित करने या हटाने से रोकने के लिए निम्नलिखित उपाय किए जाने चाहिए (व्यक्तिगत डेटा के प्रसंस्करण के आधार पर):

  1. 1. 
    1. ए) फायरवॉल का उपयोग;
  • बी) परिवहन उद्देश्यों के लिए मोबाइल भंडारण उपकरणों पर व्यक्तिगत डेटा के भंडारण से बचना, या उपकरणों को एन्क्रिप्ट करना;
  • ग) एन्क्रिप्शन सुरक्षा सक्रिय होने के बाद ही लैपटॉप और अन्य मोबाइल उपकरणों पर उपयोग करें;
  • डी) व्यक्तिगत डेटा प्रसारण की लॉगिंग।

1.7 डेटा प्रविष्टि नियंत्रण

यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि यह सत्यापित करना और निर्धारित करना संभव है कि डेटा प्रोसेसिंग सिस्टम से व्यक्तिगत डेटा दर्ज किया गया है या हटा दिया गया है और किसके द्वारा:

  1. 1. 
    1. a) संग्रहीत डेटा को पढ़ने, बदलने और हटाने को अधिकृत करने के लिए एक नीति;
  • बी) संग्रहीत डेटा को पढ़ने, बदलने और हटाने से संबंधित सुरक्षा उपाय।

1.8 कार्य नियंत्रण

व्यक्तिगत डेटा के प्रत्यायोजित प्रसंस्करण के मामले में, यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि ऐसे डेटा को पर्यवेक्षक के निर्देशों के अनुसार संसाधित किया जाए:

  1. 1. 
    1. ए) डेटा प्रोसेसिंग के लिए सौंपी गई संस्थाएं या उप-इकाइयां, जिन्हें सावधानी से चुना गया है (नियंत्रक की ओर से व्यक्तिगत डेटा संसाधित करने वाले सेवा प्रदाता);
  • बी) डेटा प्रोसेसिंग के लिए सौंपे गए कर्मचारियों, संस्थाओं या उप-संस्थाओं को व्यक्तिगत डेटा के किसी भी प्रसंस्करण के दायरे से संबंधित निर्देश;
  • c) डेटा प्रोसेसिंग के लिए सौंपे गए निकायों या उप-संस्थाओं के साथ सहमत ऑडिट अधिकार;
  • डी) डेटा को संसाधित करने के लिए निर्दिष्ट संस्थाओं या उप-संस्थाओं के साथ समझौते।

1.9 अन्य उद्देश्यों के लिए प्रसंस्करण से अलग करना

यह सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए कि अन्य उद्देश्यों के लिए एकत्र किए गए डेटा को अलग से संसाधित किया जा सके:

  1. 1. 
    1. ए) उपयोगकर्ताओं के मौजूदा अधिकारों के अनुसार व्यक्तिगत डेटा तक अलग पहुंच;
  • बी) इंटरफेस, बैच प्रोसेसिंग और रिपोर्टिंग अन्य उद्देश्यों और कार्यों के लिए हैं, ताकि अन्य उद्देश्यों के लिए एकत्र किए गए डेटा को अलग से संसाधित किया जा सके।

1.10 छद्मनामीकरण

व्यक्तिगत डेटा के छद्म नाम के संबंध में निम्नलिखित उपाय किए जाने चाहिए:

  1. 1. 
    1. a) यदि डेटा निर्यातक एक विशिष्ट प्रसंस्करण संचालन का आदेश देता है या यदि डेटा आयातक द्वारा कुछ प्रसंस्करण गतिविधियों से संबंधित डेटा सुरक्षा कानूनों के अनुसार इसे उपयुक्त माना जाता है, तो व्यक्तिगत डेटा का प्रसंस्करण इस तरह से किया जाएगा कि अतिरिक्त जानकारी के उपयोग के बिना डेटा को अब किसी विशिष्ट व्यक्ति के लिए जिम्मेदार नहीं ठहराया जा सकता है। यह अतिरिक्त जानकारी अलग से रखी जाएगी;
  • बी) आवंटन सूची यादृच्छिकरण सहित छद्म नामकरण तकनीकों का उपयोग; शार्प के रूप में मूल्यों का निर्माण।

1.11 एन्क्रिप्शन

एन्क्रिप्शन का समर्थन करने वाले एप्लिकेशन और ट्रांसमिशन में व्यक्तिगत डेटा को एन्क्रिप्ट करने के लिए निम्नलिखित कदम उठाए जाने चाहिए:

  1.  
    1. क) एन्क्रिप्शन तकनीकों का उपयोग;
  • बी) उपयोग के लिए अधिकृत एन्क्रिप्शन तकनीकों का समर्थन करने के लिए एन्क्रिप्शन प्रबंधन की स्थापना;
  • c) अनधिकृत संशोधन और प्रकटीकरण से बचाने के लिए क्रिप्टोग्राफ़िक कुंजियों को बनाने, संशोधित करने, रद्द करने, नष्ट करने, वितरित करने, प्रमाणित करने, संग्रहीत करने, कैप्चर करने, उपयोग करने और संग्रहीत करने के लिए प्रक्रियाओं और प्रोटोकॉल के माध्यम से क्रिप्टोग्राफी के उपयोग का समर्थन करना।

1.12 डाटा प्रोसेसिंग सिस्टम और सेवाओं की पूर्णता

डेटा प्रोसेसिंग सिस्टम और सेवाओं की पूर्णता सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए:

  1. 1. ए) डेटा प्रोसेसिंग सिस्टम को उचित तरीकों से हेरफेर या विनाश के खिलाफ सुरक्षा (उदाहरण के लिए एंटी-वायरस सॉफ़्टवेयर, डेटा हानि निवारण सॉफ़्टवेयर और मैलवेयर, सॉफ़्टवेयर पैच, फ़ायरवॉल और प्रबंधित डेस्कटॉप सुरक्षा के विरुद्ध सॉफ़्टवेयर);
  • बी) डेटा प्रोसेसिंग सिस्टम, सेवाओं, या व्यक्तिगत डेटा के हेरफेर के लिए हानिकारक किसी भी सेवा या सॉफ़्टवेयर की स्थापना को प्रतिबंधित करें;
  • सी) नेटवर्क की संरचना में ही नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली का उपयोग।

1.13 डेटा प्रोसेसिंग सिस्टम और सेवाओं की उपलब्धता और सामग्री या तकनीकी घटना की स्थिति में व्यक्तिगत डेटा तक पहुंच और उपयोग को बहाल करने की संभावना

डेटा प्रोसेसिंग सिस्टम की उपलब्धता सुनिश्चित करने के साथ-साथ सामग्री या तकनीकी घटना की स्थिति में (विशेष रूप से यह सुनिश्चित करके कि व्यक्तिगत डेटा की उपलब्धता और पहुंच को जल्दी से बहाल करने में सक्षम होने के लिए निम्नलिखित उपाय किए जाने चाहिए। व्यक्तिगत डेटा आकस्मिक विनाश या हानि से सुरक्षित हैं):

  • ए) बैकअप प्रतियां रखने और खोए या हटाए गए डेटा को पुनर्स्थापित करने के लिए नियंत्रण के साधन हैं;
  • बी) अवसंरचनात्मक अतिरेक और प्रदर्शन परीक्षण;
  • ग) कंप्यूटर संसाधनों की भौतिक सुरक्षा;
  • डी) आंतरिक नेटवर्क की स्थिति और उपलब्धता की निगरानी के लिए उपकरणों का उपयोग;
  • ई) घटना प्रबंधन प्रक्रिया को नियंत्रित करने वाली घटना रिपोर्टिंग और प्रतिक्रिया नीतियां, और नियमित प्रशिक्षण के हिस्से के रूप में इन नीतियों के पालन की पुनरावृत्ति;
  • च) सिस्टम को पुनर्स्थापित करने के लिए बैकअप (कभी-कभी ऑफ-साइट) अपने कार्यों को फिर से करने के लिए सक्षम करने के लिए;
  • छ) व्यापार निरंतरता/आपदा वसूली योजनाएं

1.14 डाटा प्रोसेसिंग सिस्टम और सेवाओं का लचीलापन

डेटा प्रोसेसिंग सिस्टम और सेवाओं के लचीलेपन को सुनिश्चित करने के लिए निम्नलिखित उपाय किए जाने चाहिए:

  • ए) अनुमोदित सुरक्षा मानकों का उपयोग करते हुए सिस्टम और सामंजस्यपूर्ण रूप से कॉन्फ़िगर किया गया;
  • बी) नेटवर्क अतिरेक;
  • ग) महत्वपूर्ण प्रणालियों की रोकथाम संरक्षण।

1.15 डेटा प्रोसेसिंग की सुरक्षा सुनिश्चित करने के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन के लिए प्रक्रिया

डेटा प्रोसेसिंग की सुरक्षा के लिए तकनीकी और संगठनात्मक उपायों की प्रभावशीलता के नियमित परीक्षण, मूल्यांकन और मूल्यांकन की प्रक्रिया।

  • क) जोखिम और शमन रणनीतियों का आकलन करने के लिए आवश्यक कदम उठाना;
  • बी) मौजूदा मुद्दों के समाधान के लिए आईटी विभाग की सेवा विश्लेषण बैठकें;
  • ग) व्यापार निरंतरता/आपदा वसूली योजनाओं को नियमित रूप से अद्यतन किया जाता है।

 

भाग 3

पार्टियों के हस्ताक्षर और डेटा आयातकों की सूची

 

जब आप ऑनलाइन ऑर्डर फॉर्म भरते हैं और उपयोग के सामान्य नियमों और शर्तों को स्वीकार करने वाले बॉक्स को चेक करके इसे मान्य करते हैं, तो ग्राहक और POSTCODEZIP के बीच संबंध को नियंत्रित करने वाला अनुबंध स्थापित हो जाता है।

POSTCODEZIP को भुगतान भेजना सहमत और स्थापित अनुबंध पर विचार करेगा।

ध्यान दें: इस पाठ का फ्रेंच से अनुवाद किया गया है। मूल फ्रेंच संस्करण, जो वैध और कानूनी रूप से प्रतिबंधित है, यहां उपलब्ध  है