Ang Kasunduang ito sa Pagproseso ng Data (“Kasunduan“) ay bahagi ng Kontrata para sa Mga Serbisyo (“Pangunahin na Kasunduan“) sa pagitan ng TeleRetro (ang “Kumpanya”) at ang customer ng TeleRetro na nakasaad sa naaangkop na dokumento ng pag-order ng TeleRetro para sa mga serbisyo ng TeleRetro (ang “Data Processor”) (sama-sama bilang ang “Mga Partes”).
SAMANTALANG
(A) Ang Kumpanya ay kumikilos bilang isang Data Controller.
(B) Nais ng Kumpanya na i-subcontract ang ilang Mga Serbisyo, na nagpapahiwatig ng pagproseso ng personal na data, sa Data Processor.
(C) Nais ng Mga Partes na magpatupad ng isang kasunduan sa pagproseso ng data na sumusunod sa mga kinakailangan ng kasalukuyang legal na balangkas kaugnay sa pagproseso ng data at sa Regulasyon (EU) 2016/679 ng European Parliament at ng Konseho ng Abril 27, 2016 tungkol sa proteksyon ng mga natural na tao kaugnay sa pagproseso ng personal na data at sa malayang paggalaw ng nasabing data, at pagpapawalang-bisa ng Directive 95/46/EC (General Data Protection Regulation).
(D) Nais ng Mga Partes na itala ang kanilang mga karapatan at obligasyon.
NAPAGKASUNDUAN NG MGA PARTES ANG SUMUSUNOD:
1. Mga Depinisyon at Interpretasyon
1.1 Maliban kung may ibang kahulugan dito, ang mga term at pagpapahayag na may kapitalisadong letra na ginagamit sa Kasunduang ito ay magkakaroon ng sumusunod na kahulugan:
1.1.1 “Kasunduan” ay nangangahulugang ang Kasunduang ito sa Pagproseso ng Data at lahat ng Mga Iskedyul;
1.1.2 “Company Personal Data” ay nangangahulugang anumang Personal na Data na Naproseso ng isang Kontraktadong Processor sa ngalan ng Kumpanya alinsunod sa o kaugnay sa Pangunahing Kasunduan;
1.1.3 “Kontraktadong Processor” ay nangangahulugang isang Subprocessor;
1.1.4 “Mga Batas sa Proteksyon ng Data” ay nangangahulugang Mga Batas sa Proteksyon ng Data ng EU at, sa lawak na naaangkop, ang mga batas sa proteksyon ng data o pagkapribado ng anumang ibang bansa;
1.1.5 “EEA” ay nangangahulugang ang European Economic Area;
1.1.6 “Mga Batas sa Proteksyon ng Data ng EU” ay nangangahulugang Direktiba ng EU 95/46/EC, na na-transpose sa domestic na batas ng bawat Member State at na-amend, napalitan o napalitan mula sa oras-oras, kasama na ang GDPR at mga batas na nagpapatupad o nagdadagdag sa GDPR;
1.1.7 “GDPR” ay nangangahulugang EU General Data Protection Regulation 2016/679;
1.1.8 “Paglipat ng Data” ay nangangahulugang:
1.1.8.1 isang paglilipat ng Company Personal Data mula sa Kumpanya sa isang Kontraktadong Processor; o
1.1.8.2 isang pasulong na paglilipat ng Company Personal Data mula sa isang Kontraktadong Processor sa isang Subcontracted Processor, o sa pagitan ng dalawang establisimiyento ng isang Kontraktadong Processor, sa bawat kaso, kung saan ang ganitong paglilipat ay ipinagbabawal ng Mga Batas sa Proteksyon ng Data (o ng mga termino ng kasunduan sa paglilipat ng data na inilagay upang tugunan ang mga paghihigpit sa paglilipat ng data ng Mga Batas sa Proteksyon ng Data);
1.1.9 “Mga Serbisyo” ay nangangahulugang ang mga serbisyo ng online agile retrospective na ibinibigay ng Kumpanya.
1.1.10 “Subprocessor” ay nangangahulugang sinumang tao na hinirang ng o sa ngalan ng Processor upang iproseso ang Personal na Data sa ngalan ng Kumpanya kaugnay sa Kasunduan.
1.2 Ang mga termino, “Komisyon”, “Controller”, “Data Subject”, “Member State”, “Personal na Data”, “Personal na Paglabag sa Data”, “Pagproseso” at “Supervisory Authority” ay magkakaroon ng parehong kahulugan tulad ng sa GDPR, at ang kanilang magkakaugnay na mga termino ay ipapakilala nang naaayon.
2. Pagproseso ng Company Personal Data
2.1 Ang Processor ay dapat:
2.1.1 sumunod sa lahat ng naaangkop na Mga Batas sa Proteksyon ng Data sa Pagproseso ng Company Personal Data; at
2.1.2 hindi Magproseso ng Company Personal Data maliban sa mga dokumentadong tagubilin ng kaugnay na Kumpanya.
2.2 Ang Kumpanya ay nagtuturo sa Processor na iproseso ang Company Personal Data.
3. Personnel ng Processor
Ang Processor ay dapat gumawa ng makatuwirang hakbang upang matiyak ang pagiging maaasahan ng sinumang empleyado, ahente o kontratista ng anumang Kontraktadong Processor na maaaring magkaroon ng access sa Company Personal Data, tinitiyak na sa bawat kaso ang access ay mahigpit na limitado sa mga indibidwal na kailangang alam / mag-access sa kaugnay na Company Personal Data, bilang mahigpit na kinakailangan para sa mga layunin ng Pangunahing Kasunduan, at upang sumunod sa Mga Naaangkop na Batas sa konteksto ng mga tungkulin ng indibidwal na iyon sa Kontraktadong Processor, tinitiyak na ang lahat ng gayong mga indibidwal ay napasailalim sa mga undertakings ng pagiging kompidensiyal o propesyonal o mga obligasyon ayon sa batas ng pagiging kompidensiyal.
4. Seguridad
4.1 Sa pag-iintindi sa estado ng sining, ang mga gastos ng pagpapatupad at ang kalikasan, saklaw, konteksto at layunin ng Pagproseso pati na rin ang panganib ng iba't ibang posibilidad at kalubhaan para sa mga karapatan at kalayaan ng mga natural na tao, ang Processor ay dapat kaugnay ng Company Personal Data magpatupad ng naaangkop na teknikal at organisasyonal na mga hakbang upang matiyak ang isang antas ng seguridad na naaangkop sa panganib na iyon, kabilang ang, kung naaangkop, ang mga hakbang na tinukoy sa Artikulo 32(1) ng GDPR.
4.2 Sa pagtatasa ng naaangkop na antas ng seguridad, ang Processor ay dapat isaalang-alang partikular ang mga panganib na ipinakita ng Pagproseso, partikular mula sa Personal na Paglabag sa Data.
5. Subprocessing
5.1 Ang Processor ay hindi dapat humirang (o maghayag ng anumang Company Personal Data sa) anumang Subprocessor maliban kung kinakailangan o pinahintulutan ng Kumpanya.
6. Mga Karapatan ng Data Subject
6.1 Pagkilala sa likas na katangian ng Pagproseso, ang Processor ay magpapatulong sa Kumpanya sa pamamagitan ng pagpapatupad ng naaangkop na teknikal at organisasyonal na mga hakbang, sa lawak na ito ay posible, para sa pagtupad ng mga obligasyon ng Kumpanya, na makatwirang nauunawaan ng Kumpanya, upang tumugon sa mga kahilingan na gamitin ang mga karapatan ng Data Subject sa ilalim ng Mga Batas sa Proteksyon ng Data.
6.2 Ang Processor ay dapat:
6.2.1 agarang abisuhan ang Kumpanya kung makatanggap ito ng kahilingan mula sa isang Data Subject sa ilalim ng anumang Batas sa Proteksyon ng Data kaugnay ng Company Personal Data; at
6.2.2 tiyakin na hindi ito tutugon sa kahilingang iyon maliban sa mga dokumentadong tagubilin ng Kumpanya o kung kinakailangan ng Mga Naaangkop na Batas na sinusunod ng Processor, kung saan ang Processor ay sa lawak na pinahihintulutan ng Mga Naaangkop na Batas ay ipapaalam sa Kumpanya ang legal na kahilingan bago tumugon ang Kontraktadong Processor sa kahilingan.
7. Personal na Paglabag sa Data
7.1 Ang Processor ay dapat abisuhan ang Kumpanya nang walang hindi nararapat na pagkaantala kapag naging aware ang Processor ng isang Personal na Paglabag sa Data na nakakaapekto sa Company Personal Data, nagbibigay ng sapat na impormasyon sa Kumpanya upang payagan ang Kumpanya na matugunan ang anumang mga obligasyon na mag-ulat o magpaalam sa Data Subjects ng Personal na Paglabag sa Data sa ilalim ng Mga Batas sa Proteksyon ng Data.
7.2 Ang Processor ay dapat makipagtulungan sa Kumpanya at gumawa ng makatuwirang mga komersyal na hakbang na itinuro ng Kumpanya upang tumulong sa pagsisiyasat, pagbawas at pagremedyo ng bawat ganoong Personal na Paglabag sa Data.
8. Pagtatasa ng Impact ng Proteksyon ng Data at Paunang Konsultasyon
8.1 Ang Processor ay dapat magbigay ng makatwirang tulong sa Kumpanya sa anumang pagtatasa ng impact sa proteksyon ng data, at paunang konsultasyon sa Mga Supervising Authorities o iba pang mga awtoridad sa pagkontrol ng data privacy, na makatwirang itinuturing ng Kumpanya na kinakailangan sa ilalim ng artikulo 35 o 36 ng GDPR o katumbas na mga probisyon ng anumang iba pang Batas sa Proteksyon ng Data, sa bawat kaso na kaugnay lamang sa Pagproseso ng Company Personal Data ng, at pag-isipan ang likas na katangian ng Pagproseso at impormasyon na magagamit sa, mga Kontraktadong Processor.
9. Pagbura o pagbabalik ng Company Personal Data
9.1 Sumusunod sa seksyong ito 9, ang Processor ay dapat na agarang at sa anumang kaganapan sa loob ng 10 araw ng negosyo ng petsa ng pagwawakas ng anumang Mga Serbisyo na kinasasangkutan ng Pagproseso ng Company Personal Data (ang “Petsa ng Pagwawakas”), burahin at siguruhing maburahan ang lahat ng mga kopya ng nasabing Company Personal Data.
10. Mga Karapatan sa Audit
10.1 Sumusunod sa seksyong ito 10, ang Processor ay dapat magbigay ng lahat ng kinakailangang impormasyon sa Kumpanya sa kahilingan upang ipakita ang pagsunod sa Kasunduang ito, at dapat payagan at mag-ambag sa mga audit, kabilang ang mga inspeksyon, ng Kumpanya o isang auditor na itinagubilin ng Kumpanya kaugnay sa Pagproseso ng Company Personal Data ng mga Kontraktadong Processor.
10.2 Ang mga karapatan sa impormasyon at audit ng Kumpanya ay tutubo lamang sa ilalim ng seksyon 10.1 sa lawak na ang Kasunduan ay hindi kung hindi man nagbibigay sa kanila ng mga karapatan sa impormasyon at audit na nakakatugon sa mga kaugnay na kinakailangan ng Batas sa Proteksyon ng Data.
11. Paglipat ng Data
11.1 Ang Processor ay maaaring hindi ilipat o awtorisahan ang paglipat ng Data sa mga bansa sa labas ng EU at/o European Economic Area (EEA) nang walang nakasulat na pahintulot ng Kumpanya. Kung ang personal data na naproseso sa ilalim ng Kasunduang ito ay inililipat mula sa isang bansa sa loob ng European Economic Area papunta sa isang bansa sa labas ng European Economic Area, dapat tiyakin ng mga Partes na ang personal na data ay sapat na protektado. Upang makamit ito, ang Mga Partes ay, maliban na lamang kung may ibang napagkasunduan, umasa sa mga pamantayang kontraktwal na sugnay na aprobado ng EU para sa paglipat ng personal na data.
12. Mga Pangkalahatang Termino
12.1 Pagiging Kompidensiyal. Ang bawat Partido ay dapat panatilihing tahimik ang Kasunduang ito at impormasyong natanggap tungkol sa ibang Partido at sa negosyo nito kaugnay sa Kasunduang ito (“Kompidensiyal na Impormasyon”) at hindi dapat gamitin o ibunyag ang nasabing Kompidensiyal na Impormasyon na walang paunang nakasulat na pahintulot ng kabilang Partido maliban sa lawak na: (a) ang pagbubunyag ay kinakailangan ng batas; (b) ang kaugnay na impormasyon ay nasa pampublikong kaalaman na.
12.2 Mga Paunawa. Lahat ng paunawa at pakikipag-usap na ibinibigay sa ilalim ng Kasunduang ito ay dapat nakasulat at maihatid nang personal, ipinadala sa pamamagitan ng koreo o ipinadala sa pamamagitan ng email sa address o email address na nakasaad sa heading ng Kasunduang ito sa gayong iba pang address na binago mula sa oras-oras ng Mga Partes pagpapalit ng address.
13. Naaangkop na Batas at Hurisdiksyon
13.1 Ang Kasunduang ito sa Pagproseso ng Data ay pinamamahalaan at binibigyang-kahulugan alinsunod sa mga batas at hurisdiksyon na nakalista sa ibaba:
Bansa o rehiyon | Pagpili ng batas | Hurisdiksyon |
---|---|---|
Lahat ng iba pang mga bansa at rehiyon kung saan available ang TeleRetro | Mga Batas ng England at Wales | Eksklusibo |
Estados Unidos | Estado ng California, Estados Unidos | Eksklusibo; Mga Estado at Pederal na Hukuman ng Hilagang California, California |
13.2 Anumang hidwaan na lumitaw kaugnay ng Kasunduang ito sa Pagproseso ng Data, na hindi malulutas ng Mga Partes nang magkaayong pagkakasunod, ay isumite sa eksklusibong hurisdiksyon ng mga hukuman na nakasaad sa talahanayan sa itaas, depende sa bansa o rehiyon ng Customer.