ब्रिस्क डेटा प्रोसेसिंग परिशिष्ट

यह पैराग्राफ 2 (यूके परिशिष्ट) ग्राहक (डेटा निर्यातक के रूप में) से ब्रिस्क (डेटा आयातक के रूप में) को कवर किए गए डेटा के किसी भी हस्तांतरण पर इस हद तक लागू होगा कि:

1. यूके डेटा सुरक्षा कानून उस हस्तांतरण को करते समय ग्राहक पर लागू होते हैं; या
2. हस्तांतरण एक “आगे का स्थानांतरण” है जैसा कि स्वीकृत परिशिष्ट में परिभाषित किया गया है।

स्वीकृत परिशिष्ट को इस प्रकार पूरा माना जाएगा: कुछ पाठ

1. “परिशिष्ट EU SCCs” SCC को संदर्भित करेगा क्योंकि वे खंड 13 और इस अनुसूची 3 के अनुसार इस समझौते में शामिल हैं;
2. स्वीकृत परिशिष्ट की तालिका 1 को अनुसूची 1 के पैराग्राफ ए में विवरण के साथ पूरा किया जाएगा;
3. “परिशिष्ट जानकारी” अनुसूची 1 और अनुसूची 2 में निर्धारित जानकारी को संदर्भित करेगी
4. स्वीकृत परिशिष्ट की तालिका 4 के प्रयोजनों के लिए, ब्रिस्क (डेटा आयातक के रूप में) इस डीपीए को समाप्त कर सकता है, जिस हद तक स्वीकृत परिशिष्ट लागू होता है, स्वीकृत परिशिष्ट की धारा‎19 के अनुसार; और
5. स्वीकृत परिशिष्ट की धारा 16 लागू नहीं होती है।

इस परिशिष्ट की व्याख्या

1. जहां यह परिशिष्ट मानक संविदात्मक खंडों में परिभाषित शब्दों का उपयोग करता है, उन शब्दों का वही अर्थ होगा जो मानक संविदात्मक खंडों में है। इसके अतिरिक्त, निम्नलिखित शब्दों के निम्नलिखित अर्थ हैं:
   ‍
   “परिशिष्ट“इसका अर्थ है खंड के लिए यह परिशिष्ट;
   “क्लॉज“का अर्थ है मानक संविदात्मक खंड जो इस डीपीए में अनुच्छेद 13 के अनुसार शामिल हैं और जैसा कि इस अनुसूची 3 में आगे निर्दिष्ट किया गया है; और
   “FDPIC“का अर्थ है संघीय डेटा संरक्षण और सूचना आयुक्त।

2. इस परिशिष्ट को स्विस डेटा सुरक्षा कानूनों के अनुरूप तरीके से पढ़ा और व्याख्या किया जाएगा, और ताकि यह FADP के अनुच्छेद 16 (2) (d) के तहत पार्टियों के दायित्वों को पूरा करे।
3. इस परिशिष्ट की व्याख्या इस तरह से नहीं की जाएगी जो स्विस डेटा सुरक्षा कानूनों में प्रदान किए गए अधिकारों और दायित्वों के विपरीत हो।
4. कानून के किसी भी संदर्भ (या कानून के विशिष्ट प्रावधान) का अर्थ है कि कानून (या विशिष्ट प्रावधान) क्योंकि यह समय के साथ बदल सकता है। इसमें वह जगह शामिल है जहां उस कानून (या विशिष्ट प्रावधान) को समेकित किया गया है, फिर से अधिनियमित किया गया है और/या इस स्विस परिशिष्ट में प्रवेश करने के बाद इसे बदल दिया गया है।
5. स्विस डेटा सुरक्षा कानूनों के अधीन व्यक्तिगत डेटा के किसी भी प्रसंस्करण के संबंध में, यह परिशिष्ट आवश्यक सीमा तक खंडों में संशोधन और पूरक करता है ताकि वे काम कर सकें: कुछ पाठ
   1. डेटा निर्यातक द्वारा डेटा आयातक को किए गए स्थानान्तरण के लिए, जिस हद तक स्विस डेटा सुरक्षा कानून उस हस्तांतरण को करते समय डेटा निर्यातक के प्रसंस्करण पर लागू होते हैं; और
   2. FADP के अनुच्छेद 16 (2) (d) के प्रयोजनों के लिए FDPIC द्वारा अनुमोदित, जारी या मान्यता प्राप्त मानक डेटा सुरक्षा खंड के रूप में।

‍

पदानुक्रम

इस परिशिष्ट और पार्टियों के बीच खंड या अन्य संबंधित समझौतों के प्रावधानों के बीच संघर्ष या असंगति की स्थिति में, इस परिशिष्ट पर सहमति या उसके बाद इसे दर्ज किए जाने के समय मौजूद है, ऐसे प्रावधान लागू होंगे जो डेटा विषयों को सबसे अधिक सुरक्षा प्रदान करते हैं।

क्लॉज में बदलाव

1. इस हद तक कि डेटा निर्यातक का व्यक्तिगत डेटा का प्रसंस्करण विशेष रूप से स्विस डेटा सुरक्षा कानूनों के अधीन है, या क्लॉज़ के तहत डेटा निर्यातक से डेटा आयातक को व्यक्तिगत डेटा का हस्तांतरण एक “आगे का स्थानांतरण” है (जैसा कि क्लॉज़ में परिभाषित किया गया है, जैसा कि इस पैराग्राफ 3.3 (ए) के शेष भाग द्वारा संशोधित किया गया है) क्लॉज़ में निम्नलिखित संशोधन किए गए हैं:
   1. “क्लॉज़” या “SCCs” के संदर्भों का अर्थ यह स्विस परिशिष्ट है क्योंकि यह SCC में संशोधन करता है।
   2. खंड 6 स्थानांतरण (ओं) के विवरण को इसके साथ बदल दिया गया है:
   3. “हस्तांतरण (ओं) का विवरण, और विशेष रूप से व्यक्तिगत डेटा की श्रेणियां जो स्थानांतरित की जाती हैं और जिस उद्देश्य के लिए उन्हें स्थानांतरित किया जाता है, वे इस डीपीए की अनुसूची 1 में निर्दिष्ट हैं जहां स्विस डेटा सुरक्षा कानून उस हस्तांतरण को करते समय डेटा निर्यातक के प्रसंस्करण पर लागू होते हैं.”
   4. “विनियमन (EU) 2016/679" या “उस विनियमन” या “GDPR” के संदर्भों को “स्विस डेटा सुरक्षा कानून” द्वारा प्रतिस्थापित किया जाता है और “विनियमन (EU) 2016/679" या “GDPR” के विशिष्ट लेख (ओं) के संदर्भों को लागू स्विस डेटा सुरक्षा कानून सीमा के समतुल्य लेख या अनुभाग से बदल दिया जाता है।
   5. विनियमन (EU) 2018/1725 के संदर्भ हटा दिए गए हैं।
   6. “यूरोपीय संघ”, “संघ”, “यूरोपीय संघ” और “यूरोपीय संघ के सदस्य राज्य” के संदर्भों को “स्विट्जरलैंड” से बदल दिया गया है।
   7. अनुलग्नक I के खंड 13 (ए) और भाग सी का उपयोग नहीं किया गया है; “सक्षम पर्यवेक्षी प्राधिकरण” FDPIC है;
   8. खंड 17 को यह बताने के लिए प्रतिस्थापित किया गया है: “ये खंड स्विट्जरलैंड के कानूनों द्वारा शासित होते हैं"।
   9. खंड 18 को यह बताने के लिए प्रतिस्थापित किया गया है: “स्विस डेटा सुरक्षा कानूनों से संबंधित इन खंडों से उत्पन्न होने वाले किसी भी विवाद को स्विट्जरलैंड की अदालतों द्वारा हल किया जाएगा। डेटा विषय स्विट्जरलैंड की अदालतों के समक्ष डेटा निर्यातक और/या डेटा आयातक के खिलाफ कानूनी कार्यवाही भी ला सकता है, जिसमें उसका अभ्यस्त निवास है। पार्टियां ऐसी अदालतों के अधिकार क्षेत्र में खुद को प्रस्तुत करने के लिए सहमत हैं.”

1. Where this Addendum applies, the following terms shall have the following meanings:
   
   1. “APP Entity” means an APP Entity as defined in the Privacy Act 1988 (Cth);
   2. “Australian Data Protection Law” means: (a) the Privacy Act 1988 (Cth) (including the Australian Privacy Principles); (b) any binding code or determination made under or pursuant to that Act; or (c) any other Australian law relating to privacy or data protection that  applies to the Processing of the Covered Data in each case, as amended or superseded from time to time; and
   3. “Australian Privacy Principles” or “APPs” means the Australian Privacy Principles set out in the clauses of Schedule 1 of the Privacy Act 1988 (Cth).
2. In connection with this DPA, this Australian Addendum will not be interpreted in a way that conflicts with rights and obligations provided for in the Australian Data Protection Laws.
3. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. 
4. Brisk must comply with the Australian Privacy Principles (other than APP 1) in its Processing of Covered Data, whether or not it is an organisation bound by the Australian Data Protection Laws.
5. In addition to the Controller Purpose and any rights under the DPA, the Processor may use or disclose Personal Data as permitted by Australian Data Protection Law.
6. For the purposes of clause 11, if Brisk has reasonable grounds to suspect there may have been a Security Incident, it shall inform the Customer and carry out a reasonable and expeditious assessment of whether there are reasonable grounds to believe that the relevant circumstances amount to a Security Incident. Brisk will take all reasonable steps to ensure that the assessment is completed within 30 days after they becomes aware of the suspected or actual Security Incident. If Brisk determines through that assessment of the suspected Security Incident that there is a likelihood of serious harm to an individual whose Personal Data is involved, then the incident will be treated as a Security Incident for the purposes of clause 11.  Nothing in clause 11 prohibits Brisk from making its own notification to relevant authorities or affected individuals if required by Australian Data Protection Law.
7. For the purposes of clause 13, the Standard Contractual Clauses do not apply, and instead, Brisk will ensure that any overseas recipients of Personal Data will handle that data in accordance with the Australian Privacy Principles (other than APP 1). Brisk is responsible for the acts and omissions of any overseas recipients of Personal Data as if they were its own acts and omissions.  
8. Where the Personal Data includes Australian government-related identifiers. Brisk will not:
   
   1. adopt the Australian government-related identifier as its own identifier for the Data Subject; or
   2. use or disclose the Australian government-related identifier except where it is reasonably necessary to verify the Data Subject’s identity (or otherwise where directed to do so by the Customer).