Допълнение за защита на данните на партньорите

Това допълнение към партньора за защита на данните (“ДПА„) е част от Споразумението за партньорска програма (“Споразумение„) и определя допълнителните условия по отношение на обработването на лични данни. Термините с главни букви имат значението, определено в следващия раздел на този документ или другаде в Споразумението. Ако има конфликт между условията на настоящата ДПА и други условия на Споразумението, настоящата ДПА ще има предимство. За целите на настоящата ДПА „Доставчик“ означава партньор.

• а) „Приложимо законодателство за защита на данните“ означава всички приложими закони, отнасящи се до обработването на лични данни съгласно Споразумението, включително, но не само, (i) за лични данни, произхождащи от упълномощено лице, намиращо се в ЕИП, Общия регламент за защита на данните (ЕС) 2016/679 (“)GDPR„) и (ii) за лични данни, произхождащи от упълномощено лице, намиращо се в Обединеното кралство, GDPR на Обединеното кралство и Закона за защита на данните на Обединеното кралство от 2018 г.
• б) „Упълномощен субект“ означава всяко образувание (включително Siemens и дружествата от неговата група), действащо като Администратор и имащо право по силата на Споразумението да има пряк или косвен достъп до Услугите или да използва Услугите.
• в) „Controller“ означава физическо или юридическо лице, което самостоятелно или съвместно с други лица определя целите и средствата за обработване на лични данни.
• г) „Страна с решение за адекватност“ означава всяка държава, за която Комисията на ЕС е решила, че такава държава осигурява адекватно ниво на защита на данните, а за личните данни, произхождащи от Обединеното кралство, всяка държава, за която са приети разпоредби за адекватността на Обединеното кралство съгласно раздели 17А или 74А от Закона за защита на данните от 2018 г.
• (д) „Нарушение на данните„означава всяко нарушение на сигурността (i) което води до случайно или незаконно унищожаване, загуба, промяна, неоторизирано разкриване или достъп до личните данни, предавани, съхранявани или обработвани по друг начин, или (ii) би изисквало уведомяване за такова събитие на трета страна съгласно приложимото законодателство.
• е) „ЕИП“ Това означава Европейското икономическо пространство.
• ж) „Стандартни договорни клаузи на ЕС“ означава Стандартните договорни клаузи (ЕС) 2021/914.
• з) „Зона на произход“ означава ЕИП, Обединеното кралство, Швейцария и всяка държава със сходни изисквания за адекватност, както се съдържа в член 45 и сл. GDPR.
• (i) „Лични данни“ означава всяка информация, свързана с идентифицирано или идентифицируемо физическо лице; физическо лице, което може да бъде идентифицирано пряко или косвено, по-специално чрез позоваване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице.
• j) „Обработка“ (и други форми като обработка, обработка, обработка) означава всяка операция или набор от операции, които се извършват върху лични данни или върху набори от лични данни, независимо дали чрез автоматизирани средства, като събиране, записване, организация, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, използване, разкриване чрез предаване, разпространение или по друг начин предоставяне, съгласуване или комбиниране, ограничаване, изтриване или унищожаване.
• (k) „Процесор“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, който обработва лични данни от името на Администратора.
• (л) „Обвързващи корпоративни правила за процесора“ означава обвързващи корпоративни правила за преработвателите, одобрени от компетентния надзорен орган.
• (м) „Ограничени лични данни“ означава всички лични данни, произхождащи от Упълномощено лице, намиращо се в зона за произход.
• (n) „Ограничен трансфер (и)“ означава всяка Обработка (включително трансфери, международен достъп и нататъшни прехвърляния) на ограничени лични данни от Доставчика или някой от неговите подобработващи лица извън съответната зона за произход.
• (о) „Услуги“ означава Услугите по Споразумението, предоставяни от Доставчика, действащ в ролята му на Обработвател по смисъла на настоящия ООП.
• (p) „Стандартни договорни клаузи“ означава Стандартните договорни клаузи на ЕС и Стандартните договорни клаузи на Обединеното кралство.
• (q) „Подпроцесор (и)“ означава всеки друг обработващ лични данни, ангажиран с изпълнението на Услугите.
• r) „Защита (и) за прехвърляне“ означава подходящи предпазни мерки за ограничени трансфери, както се изисква от приложимия закон за защита на данните, включително без ограничение всички подходящи предпазни мерки, изисквани от член 46 от ОРЗД.
• (и) „GDPR на Обединеното кралство“ означава GDPR, включен в законодателството на Обединеното кралство по силата на раздел 3 от Закона за Европейския съюз (оттегляне) на Обединеното кралство от 2018 г.
• (t) „Стандартни договорни клаузи на Обединеното кралство“ означава такива стандартни клаузи за защита на данните, които се приемат от време на време от Службата за информационни комисари на Обединеното кралство (ICO) в съответствие с член 46, параграф 2 от ОРЗД на Обединеното кралство, включително, но не само, международното споразумение за трансфер на данни (UK IDTA) и Стандартните договорни клаузи на ЕС, изменени от Международното допълнение на ICO към Стандартните договорни клаузи на Комисията на ЕС (Допълнение на Обединеното кралство„). [1]

1 Виж https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Страните спазват приложимите закони за защита на данните, както се прилагат към тях и както се изисква тук. При предоставянето на Услугите Доставчикът следва по-специално да спазва разпоредбите на Приложимия Закон за защита на личните данни по отношение на обработването на лични данни като обработващ лични данни.

Доставчикът обработва лични данни само (а) в съответствие с условията на настоящия ООП и Споразумението; или (б) по други документирани инструкции от Siemens. Доставчикът няма право да обработва лични данни за свои цели или да ги прехвърля на трети страни, освен ако това не е разрешено от настоящия ДПП. Доставчикът незабавно уведомява Siemens, ако според него инструкция от Siemens нарушава приложимия закон за защита на данните.

Подробностите за операциите по обработване, предоставени от Доставчика - по-специално предметът на Обработката, естеството и целта на Обработването, видовете обработвани лични данни и категориите засегнати субекти на данни - са посочени в Приложение I към този DPA.

Като се вземат предвид състоянието на техниката, разходите за изпълнение и естеството, обхвата, контекста и целите на обработването, както и риска от различна вероятност и тежест за правата и свободите на физическите лица, Доставчикът прилага подходящи технически и организационни мерки за осигуряване на ниво на сигурност, съответстващо на риска, включително, но не само: а) псевдонимизирането и криптирането на личните данни; б) възможност за осигуряване на постоянна поверителност, почтеност, наличност и устойчивост на Системи и услуги за обработка; в) възможност за своевременно възстановяване на наличността и достъпа до Лични данни в случай на физически или технически инцидент; г) процес за редовно тестване, оценка и оценка на ефективността на техническите и организационните мерки за гарантиране на сигурността на обработването. Без да се засяга общостта на предходното изречение, Доставчикът трябва по всяко време да прилага най-малко техническите и организационните мерки, описани в Приложение IIкъм този DPA.

1 Виж https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Доставчикът ограничава достъпа на своя персонал до Лични данни въз основа на необходимостта да се знае. Доставчикът предоставя подробно уведомление на своя персонал за приложимите законови и договорни разпоредби относно защитата на данните. Доставчикът поставя на служителите си задължение да спазва тези разпоредби и по-специално да държи Личните данни в тайна и да не обработва лични данни, различни от указанията на Сименс. Задължението за поверителност продължава да се прилага след изтичането на настоящото Споразумение и договорните отношения на персонала с Доставчика. Доставчикът ще представи доказателство за такова задължение при поискване.

• а) Доставчикът разполага с общото разрешение на Siemens за ангажиране на подобработващи лица. Текущ списък на подпроцесорите, поръчани от Доставчика, се съдържа в Приложение III към тази ДПА.
• б) Доставчикът информира изрично писмено Siemens за всички планирани промени в този списък чрез добавяне или подмяна на подпроцесори най-малко 30 дни предварително. Доставчикът предоставя на Siemens необходимата информация, за да даде възможност на Siemens да упражнява правото на възражение. Ако Siemens не повдигне възражения в рамките на този 30-дневен срок, това се приема като одобрение на новия подпроцесор. Ако Siemens повдигне възражения, Доставчикът - преди да упълномощи подобработвача достъп до Лични данни - ще положи разумни усилия, за да отговори на опасенията и резервите, изразени от Siemens и (i) да се въздържи от използването на Подобработващия; или (ii) предложи на Siemens разумна промяна в конфигурацията или използването на Услугите, за да избегне обработването на лични данни от възражения за нов подпроцесор. Ако Доставчикът не е в състояние да отстрани основанията за възражението от страна на Siemens, Siemens има право да прекрати засегнатите Услуги без каквито и да било вреди или санкции. В случай на прекратяване от страна на Siemens, Доставчикът ще възстанови всички предплатени суми за приложимата Услуга пропорционално.
• в) Когато Доставчикът ангажира подобработвач за извършване на конкретни дейности по обработване (от името на Siemens и/или упълномощени субекти), той прави това чрез писмен договор, който по същество предвижда същите задължения за защита на данните като тези, които обвързват Доставчика съгласно настоящата ДПП.
• г) Доставчикът предоставя, по искане на Siemens, копие от този договор за подпроцесор и всички последващи изменения на Siemens. До степента, необходима за защита на търговските тайни или друга поверителна информация, включително лични данни, Доставчикът може да редактира текста на договора преди споделяне на копие.
• д) Доставчикът извършва адекватен и редовен одит на подобработващия по отношение на спазването на тези изисквания и документира резултатите от тези одити.
• е) Доставчикът остава пълна отговорност пред Siemens за изпълнението на задълженията на подобработващия по неговия договор с Доставчика. Доставчикът информира Siemens за всяко неизпълнение на задълженията си по този договор от страна на подобработващия.

В случай на ограничени трансфери към Доставчика, Доставчикът гарантира, че този ограничен трансфер е обхванат от адекватни предпазни мерки за прехвърляне, както е посочено в настоящия документ Раздел 9 и Приложение III към тази ДПА.

• а) Стандартни договорни клаузи. Следното се прилага, ако защитата за прехвърляне се основава на Стандартните договорни клаузи:
  • ЕИП-Доставчици. Ако Доставчикът се намира в рамките на ЕИП, Доставчикът сключва Стандартните договорни клаузи (Модул 3) със своя подпроцесор. Раздел 9, буква а), подточка vii) („Управляващо право“), 9, буква а), подточка viii) („Избор на форум и юрисдикция“), 9, буква а), подточка ix), буква б) („Част 1 от допълнението на Обединеното кралство“) и второ изречение от раздел 9, буква а), буква х) („Упълномощени субекти в други държави“) от настоящата ДПА не се прилага, ако Доставчикът се намира в ЕИП.
  • Доставчици извън ЕИП. Ако Доставчикът се намира извън ЕИП, ограниченият трансфер се урежда от Модули 2 и 3 от Стандартните договорни клаузи. Съответните разпоредби, съдържащи се в Стандартните договорни клаузи, са включени чрез позоваване и са неразделна част от настоящата ДПА. Информацията, необходима за целите на приложенията към Стандартните договорни клаузи, е посочена в Приложения I—IIIкъм тази ДПА.
  • Клауза за докинг. Опцията по клауза 7 от Стандартните договорни клаузи не се прилага.
  • Продължителни трансфери. Всяко по-нататъшно прехвърляне трябва да отговаря на клаузи 8 и 9 от приложимия Модул на Стандартните договорни клаузи. В случай, че Siemens се намира извън ЕИП и действа като вносител на данни съгласно Стандартните договорни клаузи с упълномощени лица, клаузата за бенефициери от трета страна, предвидена в клауза 9, буква д) от Стандартните договорни клаузи, е в полза на такова упълномощено лице.
  • Използване на подпроцесориПрилага се вариант 2 съгласно клауза 9 от Стандартните договорни клаузи. За целите на клауза 9, буква а) от Стандартните договорни клаузи Доставчикът има общо разрешение на Siemens да ангажира подобработващи лица в съответствие с Раздел 8 на тази ДПА.
  • обезщетение. В случай, че Доставчикът предлага на субектите на данни възможността да подадат жалба до независим орган за решаване на спорове (вж. опция в клауза 11 от Стандартните договорни клаузи), Доставчикът информира писмено Siemens от отговорния арбитражен орган и да спазва приложимите изисквания, съдържащи се в клауза 11 от Стандартните договорни клаузи и приложимите правила за арбитраж.
  • Управляващо право. Регулиращото право за целите на клауза 17 от Стандартните договорни клаузи е законът, определен в раздела с управляващото право на Споразумението. Ако Споразумението не се урежда от законодателството на държава-членка на ЕС, Стандартните договорни клаузи на ЕС се уреждат от законодателството на Германия.
  • Избор на форум и юрисдикция. Съдилищата съгласно клауза 18 от Стандартните договорни клаузи са тези, определени в раздела за мястото на провеждане на споразумението. Ако Споразумението не определи съд от държава-членка на ЕС като притежаващ изключителна компетентност за разрешаване на спорове или съдебни дела, произтичащи от или във връзка със Споразумението, страните се съгласяват, че съдилищата на Германия имат изключителна юрисдикция да разрешат всеки спор, произтичащ от Стандартните договорни клаузи на ЕС.
  • Упълномощени лица в Обединеното кралство. В случай, че ограничените трансфери произхождат от упълномощени субекти, намиращи се в Обединеното кралство, се прилага следното:
    • Допълнение на Обединеното кралство. Използва се допълнението на Обединеното кралство, освен ако Siemens не е договорено друго писмено.
    • Част 1 от допълнението на Обединеното кралство. Част 1 от допълнението на Обединеното кралство се прилага, както следва:
      1. Таблица 1: Данните за страните и ключовата информация за контакт се съдържат в Приложение I към тази ДПА.
      2. Таблица 2: Версията на одобрените SCC на ЕС (както е дефинирано в Приложението на Обединеното кралство), към която е приложено допълнението на Обединеното кралство, са стандартните договорни клаузи на ЕС с модулите и клаузите, избрани по-горе в Раздел 9, буква а) на тази ДПА. Никакви лични данни, получени от Вносителя, не се комбинират с лични данни, събрани от Износителя.
      3. Таблица 3: Информацията за приложението, както се изисква от таблица 3 към допълнението на Обединеното кралство, се съдържа в Приложения I—III към тази ДПА.
      4. Таблица 4Нито една от страните не може да прекрати допълнението на Обединеното кралство, когато одобреното допълнение (както е определено в Приложението на Обединеното кралство) се промени.
  • Упълномощени лица в други държави. В случай че Стандартните договорни клаузи защитават ограничените трансфери от упълномощени лица, намиращи се извън ЕИП и Обединеното кралство (напр. Швейцария), (1) общите и специфични позовавания в стандартните договорни клаузи към GDPR или правото на ЕС или на държавата членка имат същото значение като еквивалентното позоваване в приложимите закони за защита на данните на страната, в която се намира упълномощеното лице; и (2) позоваванията на „компетентен надзорен орган“ се тълкуват като позовавания на компетентен надзорен орган защита на данните властта в тази държава. Регулиращото право, изборът на форум и юрисдикцията се уреждат от Раздел 9, буква а), подточка vii) и (viii) на настоящата ДПП, освен ако не се изисква друго от законите, приложими към съответното Упълномощено образувание, в този случай Стандартните договорни клаузи се уреждат от законите на страната, в която се намира упълномощеното лице, и всички позовавания към компетентните „съдилища“ се тълкуват като позовавания към компетентни съдилища в тази държава.
• Обвързващи корпоративни Rules за процесора. Следното се прилага, ако защитата за прехвърляне се основава на Обвързващи корпоративни Rules на обработващия лични данни: Доставчикът задължава договорно този подобработващ да спазва обвързващите корпоративни Rules на обработващия лични данни по отношение на личните данни, обработвани съгласно настоящата ДПП.
• Допълнителни предпазни мерки за трансфер. В случай, че гаранциите за прехвърляне не се основават на Стандартни договорни клаузи, клаузи 14 и 15 от Стандартните договорни клаузи се прилагат mutatis-mutandis за ограничени трансфери, освен ако съответната защита за трансфер не съдържа същите права и задължения по отношение на местните закони и практики, засягащи спазването на гаранциите за трансфер и (ii) задължения в случай на достъп от публични органи, както се съдържа в клаузи 14 и 15 от Стандартните договорни клаузи.
• Друго. Доставчикът се съгласява и разбира, че местният приложим закон за защита на данните може да съдържа подобни или допълнителни ограничения за прехвърляне, както се съдържа в настоящия Раздел 9. В този случай Доставчикът се съгласява да положи разумни усилия и да сътрудничи добросъвестно със Siemens за справяне с тези изисквания.

Доставчикът трябва разумно да съдейства на Siemens да гарантира спазването на приложимото законодателство за защита на данните, по-специално като подпомага Siemens, както следва:

• а) Корекция, заличаване или ограничаване на обработването. Доставчикът трябва или (i) да предостави възможност да коригира, изтрива или ограничава Обработката на лични данни чрез функционалностите на Услугите, или (ii) да коригира, изтрива или ограничава Обработката на лични данни съгласно указанията на Siemens.
• б) Достъп до лични данни. Доколкото информацията, свързана със субект на данни, не е достъпна чрез Услугата, Доставчикът ще предостави помощ за предоставяне на такава информация на Siemens и/или упълномощените субекти, ако е необходимо, за да изпълняват задълженията си съгласно приложимите закони за защита на данните, за да предостави такава информация на Siemens и/или упълномощените субекти.
• в) Заявки за субект на данни и орган. Доставчикът незабавно уведомява Siemens относно: (i) всяко получено искане или жалби или всякакви уведомления за разследване от правоприлагащ, правителствен или регулаторен орган или агенция; и (ii) всяко искане, получено директно от субект на данни относно техните Лични данни. По отношение на (i) и (ii) по-горе Доставчикът няма да отговаря без инструкции от Siemens. Ако това е указано, Доставчикът трябва разумно да подкрепя Siemens при отговора на такива искания.
• г) Преносимост на данни. По искане на Siemens и ако се изисква съгласно приложимото законодателство за защита на данните, Доставчикът или (i) предоставя възможност за извличане на лични данни чрез позоваване на конкретен субект на данни в съответствие с функционалностите на Услугата или (ii) предоставя съответния набор от данни на Siemens и/или съответното Упълномощено лице във всеки случай в структуриран, често използван и машинно четим формат.
• д) Оценки на въздействието върху защитата на данните. Ако е поискано от Siemens, Доставчикът предоставя цялата информация и разумна подкрепа за извършване на оценки на въздействието върху защитата на данните съгласно приложимите закони за защита на данните.

При прекратяване на отношенията по Обработване на данни, освен ако не е указано друго от Siemens или е посочено тук, Доставчикът ще върне на Siemens всички Лични данни, предоставени на Доставчика или получени или генерирани от Доставчика във връзка с договорените по договор Услуги и безвъзвратно изтрива или унищожава всички останали данни. Изтриването или унищожаването се потвърждава от Доставчика в писмена форма при поискване.

• а) Доставчикът уведомява Siemens незабавно, но във всеки случай в рамките на 48 часа, в случай че Доставчикът открие или основателно подозира нарушение на данните.
• б) В уведомлението до Siemens Доставчикът предоставя на Siemens следната информация: i) данни за точка за контакт, където (или от кого) може да се получи повече информация, ii) описание на естеството на нарушението (включително, когато е възможно, имена, категории и приблизителен брой съответните субекти на данни и записи на лични данни), iii) вероятните последици и мерките, предприети или предложени за справяне с нарушението, включително, когато е целесъобразно, мерки за неговото възможно намаляване неблагоприятни ефекти. Ако и доколкото не е възможно да се предостави цялата информация едновременно, първоначалното уведомление съдържа наличната тогава информация, а допълнителната информация се предоставя, когато стане достъпна, впоследствие без ненужно забавяне.
• в) Всички уведомления по настоящата Раздел 12 се отправя (i) до съответното звено за контакт, посочено в Споразумението, и ii) до dataprotection@siemens.com.
• г) Доставчикът трябва, за сметка на Доставчика, (i) да си сътрудничи изцяло със Siemens при разследването на нарушение на данните; (ii) съдейства и сътрудничи със Siemens относно всички законово изисквани уведомления или разкривания на засегнати лица (чрез индивидуална комуникация, публична комуникация чрез медиите или чрез подобни мерки), правоприлагащи органи, регулатори и/или други трети страни; и (iii) предприема всякакви други действия, които Siemens счита за необходимо по отношение на такова нарушение на данните и всякакви спорове или искове Това се отнася до нарушението на данните.
• д) Освен ако приложимото законодателство или заповед на компетентен регулатор не изискват друго, Siemens взема окончателното решение, по свое усмотрение, (i) дали нарушение на данните изисква уведомяване и (ii) за начина на уведомяване. В случай, че Доставчикът предоставя такива уведомления относно нарушение на данните, всяко такова уведомление трябва да бъде предварително одобрено от Siemens.
• е) Доставчикът на своя сметка предприема подходящи мерки за справяне с нарушението на данните, включително мерки за смекчаване на неблагоприятните му ефекти (включително мерки за опазване на оперативната среда). Доставчикът също така предприема незабавни стъпки, предназначени да предотврати повтарянето на всяко нарушение на данните, включително всички действия, изисквани от приложимото законодателство за защита на данните.
• г) Доставчикът възстановява на Siemens всички разходи и разходи, направени за такова Нарушение на данните, причинено от Доставчика, включително, но не само, разходите за предоставяне на кредитен мониторинг на лицата, чиито Лични данни са засегнати от Нарушението на данните. Ограниченията на отговорността в полза на Доставчика по Споразумението не се прилагат в това отношение.

• а) Доставчикът следва (i) да следи по подходящ начин собственото си спазване на задълженията си за защита на данните съгласно настоящия ООП и приложимия закон за защита на данните; (ii) създава свързани периодични (най-малко годишни) и случайни отчети (всеки а“Доклад„); и (iii) предоставят отчетите на Siemens и упълномощените субекти при поискване. Когато стандартът и рамката за контрол, въведени от Доставчика, предвиждат контрол, такива проверки се извършват съгласно стандартите и правилата на регулаторния орган или акредитационния орган за всеки приложим стандарт или рамка за контрол.
• б) Ако се изисква адекватно да отговори на одитните си права и задължения съгласно приложимия закон за защита на данните, приложимите гаранции за трансфер или ако е поискано от компетентен орган за защита на данните или друг държавен орган или агенция, Доставчикът предоставя на Siemens и упълномощените субекти в допълнение към докладите допълнителна информация, която позволява и допринася за одити, включително инспекции, проведени от Siemens или други упълномощени одитори. За тази цел Siemens, Упълномощените субекти или друг одитор, упълномощен от Siemens или упълномощени субекти, също имат право да извършват проверки на място в редовното работно време, без да нарушават дейността на Доставчика и след разумно предварително уведомление.

Ако Услугата използва cookies или подобни технологии, се прилага следното: Доставчикът, освен ако не е изрично уговорено друго от Siemens във връзка с това Раздел 14, съхранява само информация (напр. чрез написване на cookie) или получаване на достъп до информация, която вече е съхранявана в крайното оборудване на потребителя на Услугата (напр. чрез cookie) единствено с цел осъществяване на предаване на съобщение през електронна комуникационна мрежа, или когато е строго необходимо, за да може Доставчикът да предостави основните функционалности на Услугите.

Доставчикът разбира и се съгласява, че изискванията в настоящата ДПП са неразделна част от Споразумението и същественото нарушение на някое от тези изисквания се счита за съществено нарушение от страна на Доставчика на Споразумението, което дава право на Siemens на съществени средства за защита, свързани с нарушенията, съдържащи се в Споразумението.

Ако и доколкото Доставчикът има достъп до Лични данни, получени от компания от групата на Siemens, установена в Съединените американски щати (Американска компания Siemens„) или на субект на данни, който е жител на Съединените американски щати, тогава в допълнение към горепосоченото Доставчик: (i) спазва федералните, щатските и местните закони на САЩ относно личните данни, които са приложими за Доставчика, такива Лични данни и собствениците или администраторите на такива лични данни; когато гореизложеното е приложимо, терминът „Приложим закон за защита на данните“, както е използван тук, включва горепосочените закони; (ii) освен ако е конкретно предвидено тук в Споразумението не продава, споделя, отдава под наем, освобождава, разкрива, разпространява или предоставя Лични данни на трети страни; и няма да комбинира Личните данни с друга информация; (iii) уведомява Siemens, ако Доставчикът реши, че Доставчикът вече не може да изпълнява задълженията си по настоящия документ; (iv) гарантира, че всяко лице, обработващо лични данни, е обект на задължение за поверителност по отношение на личните данни; (v) ще се счита и действа като „доставчик на услуги“ съгласно приложимия закон за защита на данните (включително Калифорнийския закон за защита на личните данни. неговите регламенти за прилагане и всякакви изменения към тях); и (vii) с настоящото удостоверява, че разбира съдържащите се тук ограничения и ще ги спазва.

Приложение I към ДПА (и, когато е приложимо, стандартните договорни клаузи)

А. СПИСЪК НА ПАРТИИТЕ

Получател на услуги/износител на данни:

Доставчик/вносител на данни:

Б. ОПИСАНИЕ НА ОПЕРАЦИИТЕ ПО ПРЕХВЪРЛЯНЕ/ОБРАБОТКА

В.КОМПЕТЕНТЕН НАДЗОРЕН ОРГАН

Когато Siemens е установена в държава-членка на ЕС, надзорният орган, който отговаря за спазването от страна на Siemens на GDPR по отношение на прехвърлянето на данни, действа като компетентен надзорен орган. За Siemens Aktiengesellschaft, Германия, надзорният орган е:

Байерски ландшафтен комплекс за проверка на данните (BayLDA)

Крайбрежна улица 18

91522 Ансбах

Германия

Когато Siemens не е установен в държава-членка на ЕС, но попада в териториалния обхват на прилагане на ОРЗД в съответствие с член 3, параграф 2, надзорният орган на държавата-членка, в която е установен представителят по смисъла на член 27, параграф 1 от ОРЗД, действа като компетентен надзорен орган; а именно:

Байерски ландшафтен комплекс за проверка на данните (BayLDA)

Крайбрежна улица 18

91522 Ансбах

Германия

Приложение II към ДПА (и, когато е приложимо, стандартните договорни клаузи)

Технически и организационни мерки (включително технически и организационни мерки за гарантиране на сигурността на данните)

Следните мерки се прилагат само спрямо Доставчика, доколкото свързаните с тях ИТ системи, мрежи и приложения са отговорност и/или под попечителството или контрола на Доставчика. Описание на техническите и организационните мерки за сигурност, прилагани от Доставчика и неговия подпроцесор (и):