Tillæg til databeskyttelse for partnere

Dette tillæg til databeskyttelse for partnere (“DPA“) er en del af partnerprogramaftalen (“Aftale“) og angiver de yderligere vilkår vedrørende behandling af personoplysninger. Termer med store bogstaver har den betydning, der er defineret i næste afsnit i dette dokument eller andetsteds i aftalen. Hvis der er en konflikt mellem vilkårene i denne DPA og eventuelle andre vilkår i aftalen, har denne DPA forrang. I forbindelse med denne DPA betyder „udbyder“ Partner.

• (a) „Gældende databeskyttelseslov“ betyder al gældende lovgivning vedrørende behandling af personoplysninger i henhold til aftalen, herunder, men ikke begrænset til, (i) for personoplysninger, der stammer fra en autoriseret enhed beliggende inden for EØS, den generelle databeskyttelsesforordning (EU) 2016/679 (“GDPR“) og (ii) for personoplysninger, der stammer fra en autoriseret enhed beliggende i Storbritannien, den britiske GDPR og UK Data Protection Act 2018.
• (b) „Autoriseret enhed“ betyder enhver enhed (herunder Siemens og koncernselskaber), der optræder som Controller og i henhold til aftalen har ret til direkte eller indirekte at få adgang til eller bruge tjenester.
• (c) „Controller“ betyder den fysiske eller juridiske person, der alene eller sammen med andre bestemmer formålene og midlerne til behandlingen af personoplysninger.
• d) „Land med en afgørelse om tilstrækkeligheden af tilstrækkeligheden“ betyder ethvert land, for hvilket EU-Kommissionen har besluttet, at et sådant land sikrer et tilstrækkeligt databeskyttelsesniveau, og for personoplysninger, der stammer fra Storbritannien, ethvert land, for hvilket der er vedtaget britiske tilstrækkelighedsregler i henhold til afsnit 17A eller 74A i databeskyttelsesloven 2018.
• (e) „Databrud“ betyder ethvert brud på sikkerheden (i) der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der overføres, opbevares eller på anden måde behandles, eller (ii) vil kræve meddelelse om en sådan begivenhed til en tredjepart i henhold til gældende lovgivning.
• f) „EØS“ Det betyder Det Europæiske Økonomiske Samarbejdsområde.
• g) „EU's standardkontraktbestemmelser“ betyder standardkontraktklausulerne (EU) 2021/914.
• (h) „Oprindelsesområde“ betyder EØS, Det Forenede Kongerige, Schweiz og hvert land med tilsvarende tilstrækkelighedskrav som i artikel 45 ff. GDPR.
• (i) „Personoplysninger“ : enhver information vedrørende en identificeret eller identificerbar fysisk person; en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.
• (j) „Behandling“ (og dets andre former såsom behandling, processer, behandlet) betyder enhver operation eller sæt operationer, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker ved hjælp af automatiserede midler, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, søgning, brug, videregivelse ved transmission, formidling eller på anden måde tilgængeliggørelse, tilpasning eller kombination, begrænsning, sletning eller destruktion.
• (k) „Processor“ betyder en fysisk eller juridisk person, offentlig myndighed, agentur eller ethvert andet organ, der behandler personoplysninger på vegne af en Controller.
• (l) „Processor Binding Corporate Rules“ betyder bindende virksomhedsregler for databehandlere, der er godkendt af den kompetente tilsynsmyndighed.
• (m) „Begrænsede personoplysninger“ betyder alle personoplysninger, der stammer fra en autoriseret enhed beliggende inden for et oprindelsesområde.
• (n) „Begrænset overførsel (er)“ betyder enhver behandling (herunder overførsler, international adgang og videreoverførsel) af begrænsede personoplysninger foretaget af udbyderen eller nogen af dennes underdatabehandlere uden for det relevante oprindelsesområde.
• (o) „Tjenester“ betyder de tjenester i henhold til aftalen, der leveres af udbyderen, der handler i sin rolle som databehandler i henhold til denne DPA.
• (p) „Standardkontraktbestemmelser“ betyder EU's standardkontraktklausuler og de britiske standardkontraktklausuler.
• (q) „Underdatabehandler (er)“ betyder enhver yderligere databehandler, der er involveret i udførelsen af tjenesterne.
• r) „Overførselsbeskyttelse (er)“ skal betyde passende sikkerhedsforanstaltninger for begrænsede overførsler som krævet i gældende databeskyttelseslov, herunder uden begrænsning alle passende sikkerhedsforanstaltninger, der kræves i henhold til artikel 46 i GDPR.
• (s) „UK GDPR“ betyder GDPR som indarbejdet i Storbritanniens lovgivning i henhold til afsnit 3 i Storbritanniens EU-lov (udtrædelse) 2018.
• (t) „UK's standardkontraktbestemmelser“ betyder sådanne standarddatabeskyttelsesklausuler, som fra tid til anden vedtages af UK Information Commissioners Office (ICO) i overensstemmelse med artikel 46, stk. 2, i den britiske GDPR, herunder, men ikke begrænset til, den internationale dataoverførselsaftale (UK IDTA) og EU's standardkontraktklausuler som ændret ved ICO's internationale dataoverførselstillæg til EU-Kommissionens standardkontraktklausuler (“UK Addendum“). [1]

1 Se https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Parterne skal overholde gældende databeskyttelseslovgivning, som de gælder for dem og som krævet heri. Ved levering af tjenester skal udbyderen især overholde bestemmelserne i gældende databeskyttelseslov vedrørende behandling af personoplysninger som databehandler.

Udbyderen skal kun behandle personoplysninger (a) i overensstemmelse med vilkårene i denne DPA og Aftalen; eller (b) efter andre dokumenterede instruktioner fra Siemens. Udbyderen må ikke behandle personoplysninger til egne formål eller overføre dem til tredjepart, medmindre dette DPA tillader det. Udbyderen skal straks underrette Siemens, hvis en instruktion fra Siemens efter dennes opfattelse er i strid med gældende databeskyttelseslovgivning.

Nærmere oplysninger om de behandlingsoperationer, der leveres af udbyderen - især genstanden for behandlingen, arten og formålet med behandlingen, typer af behandlede personoplysninger og kategorierne af berørte registrerede - er specificeret i Bilag I til denne DPA.

Under hensyntagen til den nyeste teknologi, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, skal udbyderen gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen, herunder, men ikke begrænset til, hvor det er relevant: (a) pseudonymisering og kryptering af personoplysninger; (b) evnen til at sikre løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed Behandlingssystemer og -tjenester; (c) evnen til rettidigt at genoprette tilgængeligheden og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse; (d) en proces til regelmæssig test, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingens sikkerhed. Uden at det berører det generelle i det foregående punktum, skal udbyderen til enhver tid gennemføre som minimum de tekniske og organisatoriske foranstaltninger, der er beskrevet i Bilag IItil denne DPA.

1 Se https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Udbyderen skal begrænse sit medarbejders adgang til personoplysninger på et behovsbaseret grundlag. Udbyderen skal give sit personale detaljeret meddelelse om de gældende love og kontraktlige bestemmelser vedrørende databeskyttelse. Udbyderen skal pålægge sit personale en forpligtelse til at overholde sådanne bestemmelser og især til at holde personoplysninger hemmelige og ikke behandle personoplysninger på anden måde end i henhold til Siemens' instruktioner. Forpligtelsen til tavshedspligt gælder fortsat efter udløbet af denne aftale og personalets kontraktlige forhold til udbyderen. Udbyderen vil fremlægge bevis for en sådan forpligtelse efter anmodning.

• (a) Leverandøren har Siemens generelle tilladelse til inddragelse af underdatabehandlere. En aktuel liste over underdatabehandlere bestilt af udbyderen findes i Bilag III til denne DPA.
• (b) Udbyderen skal udtrykkeligt skriftligt informere Siemens om eventuelle påtænkte ændringer af denne liste gennem tilføjelse eller udskiftning af Underdatabehandlere mindst 30 dage i forvejen. Udbyderen skal give Siemens de oplysninger, der er nødvendige for, at Siemens kan udøve sin ret til at gøre indsigelse. Hvis Siemens ikke gør indsigelse inden for denne frist på 30 dage, betragtes dette som en godkendelse fra den nye underprocessor. Hvis Siemens gør indsigelse, vil Udbyderen - inden den giver Underdatabehandleren tilladelse til at få adgang til Personoplysninger - gøre rimelige bestræbelser på at imødekomme de bekymringer og forbehold, som Siemens har givet udtryk for, og (i) afstå fra at bruge Underdatabehandleren; eller (ii) foreslå Siemens en rimelig ændring i Tjenesterne eller Siemens' konfiguration eller brug af Tjenesterne for at undgå behandling af personoplysninger af den indsigtede nye underdatabehandler. Hvis Udbyderen ikke er i stand til at fjerne begrundelsen for Siemens indsigelse, er Siemens berettiget til at opsige de berørte tjenester uden nogen form for erstatning eller sanktioner. I tilfælde af opsigelse fra Siemens, refunderer udbyderen eventuelle forudbetalte beløb for den gældende Tjeneste på pro rata-basis.
• (c) Hvis Leverandøren ansætter en Underdatabehandler til at udføre specifikke behandlingsaktiviteter (på vegne af Siemens og/eller autoriserede enheder), skal den gøre dette ved hjælp af en skriftlig kontrakt, der i det væsentlige indeholder de samme databeskyttelsesforpligtelser som dem, der binder udbyderen i henhold til denne DPA.
• (d) Udbyderen skal efter anmodning fra Siemens fremlægge en kopi af en sådan underdatabehandlerkontrakt og eventuelle efterfølgende ændringer til Siemens. I det omfang, det er nødvendigt for at beskytte forretningshemmeligheder eller andre fortrolige oplysninger, herunder personoplysninger, kan udbyderen redigere kontraktteksten, inden han deler en kopi.
• (e) Udbyderen skal foretage en passende og regelmæssig revision af underdatabehandleren med hensyn til overholdelsen af disse krav og dokumentere resultaterne af sådanne revisioner.
• (f) Udbyderen forbliver fuldt ansvarlig over for Siemens for opfyldelsen af Underdatabehandlerens forpligtelser i henhold til kontrakten med Udbyderen. Leverandøren skal underrette Siemens om underdatabehandlerens eventuelle manglende opfyldelse af sine forpligtelser i henhold til denne kontrakt.

I tilfælde af begrænsede overførsler til udbyderen skal udbyderen sikre, at en sådan begrænset overførsel er dækket af passende overførselssikkerhedsforanstaltninger som beskrevet i denne Sektion 9 og Bilag III til denne DPA.

• (a) Standardkontraktbestemmelser. Følgende gælder, hvis en overførselsbeskyttelse er baseret på standardkontraktklausulerne:
  • EØS-Udbydere. Hvis Udbyderen befinder sig inden for EØS, indgår udbyderen standardkontraktbestemmelserne (modul 3) med sin underdatabehandler. Afsnit 9, litra a), nr. vii) („Gældende lov“), 9 (a) (viii) („Valg af forum og jurisdiktion“), 9 (a) (ix) (b) („Del 1 i Det Forenede Kongeriges tillæg“), og Afdeling 9, litra a), nr. x), andet punktum („Autoriserede enheder i andre lande“) i denne DPA gælder ikke, hvis udbyderen er beliggende i EØS.
  • Udbydere uden for EØS. Hvis udbyderen befinder sig uden for EØS, er den begrænsede overførsel underlagt modul 2 og 3 i standardkontraktklausulerne. De relevante bestemmelser i standardkontraktklausulerne er indarbejdet som reference og er en integreret del af denne DPA. De oplysninger, der kræves i forbindelse med bilagene til standardkontraktklausulerne, er angivet i Bilag I-IIItil denne DPA.
  • Docking-klausul. Muligheden i henhold til klausul 7 i standardkontraktklausulerne finder ikke anvendelse.
  • Videreoverførsler. Enhver yderligere videregivelse skal overholde klausuler 8 og 9 i det gældende modul i standardkontraktklausulerne. Hvis Siemens er beliggende uden for EØS og selv fungerer som dataimportør i henhold til standardkontraktbestemmelser med autoriserede enheder, skal tredjepartsklausulen om modtagere, der er fastsat i klausul 9 (e) i standardkontraktklausulerne, være til fordel for en sådan autoriseret enhed.
  • Brug af underdatabehandlere.Valgmulighed 2 i henhold til klausul 9 i standardkontraktklausulerne finder anvendelse. Med henblik på punkt 9 (a) i standardkontraktklausulerne har udbyderen Siemens generelle tilladelse til at ansætte underdatabehandlere i overensstemmelse med Sektion 8 af denne DPA.
  • Krigsbehandling. Hvis udbyderen tilbyder registrerede mulighed for at indgive en klage til et uafhængigt tvistbilæggelsesorgan (se mulighed i klausul 11 i standardkontraktbestemmelserne), skal udbyderen skriftligt informere Siemens om det ansvarlige voldgiftsorgan og overholde de gældende krav i klausul 11 i standardkontraktklausulerne og de gældende voldgiftsregler.
  • Gældende lov. Den gældende lov med henblik på klausul 17 i standardkontraktklausulerne er den lov, der er angivet i aftalens afdeling om gældende lov. Hvis aftalen ikke er underlagt lovgivningen i en EU-medlemsstat, er EU's standardkontraktbestemmelser underlagt lovgivningen i Tyskland.
  • Valg af forum og jurisdiktion. Domstolene i henhold til klausul 18 i standardkontraktklausulerne er dem, der er udpeget i aftalens spillestedsafsnit. Hvis aftalen ikke udpeger en EU-medlemsstats domstol til at have enekompetence til at løse enhver tvist eller retssag, der opstår som følge af eller i forbindelse med aftalen, er parterne enige om, at domstolene i Tyskland har enekompetence til at løse enhver tvist, der opstår som følge af EU's standardkontraktbestemmelser.
  • Autoriserede enheder i Det Forenede Kongerige. Hvis begrænsede overførsler stammer fra autoriserede enheder beliggende i Det Forenede Kongerige, gælder følgende:
    • UK Addendum. Det britiske tillæg anvendes, medmindre andet er skriftligt aftalt af Siemens.
    • Del 1 af UK Addendum. Del 1 i Det Forenede Kongeriges tillæg anvendes som følger:
      1. Tabel 1: Parternes oplysninger og centrale kontaktoplysninger findes i Bilag I til denne DPA.
      2. Tabel 2: Den version af de godkendte EU-SCC'er (som defineret i det britiske tillæg), som det britiske tillæg er vedlagt, er EU's standardkontraktbestemmelser med de moduler og klausuler, der er valgt ovenfor i Afdeling 9, litra a) af denne DPA. Ingen personoplysninger modtaget fra importøren kombineres med personoplysninger indsamlet af eksportøren.
      3. Tabel 3: Tillægsoplysningerne som krævet i tabel 3 i Det Forenede Kongeriges tillæg er indeholdt i Bilag I-III til denne DPA.
      4. Tabel 4Ingen af parterne kan opsige det britiske tillæg, når det godkendte tillæg (som defineret i det britiske tillæg) ændres.
  • Autoriserede enheder i andre lande. Hvis standardkontraktklausulerne beskytter begrænsede overførsler fra autoriserede enheder uden for EØS og Storbritannien (f.eks. Schweiz), skal (1) generelle og specifikke henvisninger i standardkontraktklausulerne til GDPR eller EU- eller medlemsstatslovgivningen have samme betydning som den tilsvarende henvisning i de gældende databeskyttelseslove i det land, hvor den autoriserede enhed er beliggende, alt efter hvad der er relevant; og (2) henvisninger til den „kompetente tilsynsmyndighed“ skal fortolkes som henvisninger til den kompetente tilsynsmyndighed databeskyttelse myndighed i et sådant land. Den gældende lov, valg af forum og jurisdiktion reguleres af Afsnit 9, litra a), nr. vii) og (viii) af denne DPA, medmindre andet kræves i henhold til de love, der gælder for den respektive autoriserede enhed, i hvilket tilfælde standardkontraktklausulerne er underlagt lovgivningen i det land, hvor den autoriserede enhed er beliggende, og eventuelle henvisninger til de kompetente „domstole“ skal fortolkes som henvisninger til kompetente domstole i et sådant land.
• Processor Binding Corporate Rules. Følgende gælder, hvis en Transfer Safeguard er baseret på Processor Binding Corporate Rules: Udbyderen forpligter kontraktmæssigt en sådan Underdatabehandler til at overholde Processor Binding Corporate Rules med hensyn til de personoplysninger, der behandles i henhold til denne DPA.
• Yderligere overførselssikkerhedsforanstaltninger. Hvis en overførselssikkerhedsforanstaltning ikke er baseret på standardkontraktbestemmelser, gælder klausul 14 og 15 i standardkontraktbestemmelserne mutatis-mutandis for begrænsede overførsler under en sådan anden overførselsbeskyttelse, medmindre den respektive overførselsbeskyttelse i det væsentlige indeholder de samme rettigheder og forpligtelser vedrørende (i) lokale love og praksis, der påvirker overholdelsen af overførselssikkerhedsforanstaltningerne, og (ii) forpligtelser i tilfælde af adgang for offentlige myndigheder som indeholdt i klausuler 14 og 15 i standardkontraktklausulerne.
• Andet. Udbyderen accepterer og forstår, at lokal gældende databeskyttelseslov kan indeholde lignende eller yderligere overførselsbegrænsninger som beskrevet i denne Sektion 9. I sådanne tilfælde accepterer Leverandøren at gøre en rimelig indsats og samarbejde med Siemens i god tro for at imødekomme disse krav.

Udbyderen skal med rimelighed bistå Siemens med at sikre overholdelse af gældende databeskyttelseslovgivning, navnlig ved at bistå Siemens på følgende måde:

• (a) Korrektion, sletning eller begrænsning af behandling. Udbyderen skal enten (i) give mulighed for at rette, slette eller begrænse behandlingen af personoplysninger via funktionerne i tjenesterne eller (ii) rette, slette eller begrænse behandlingen af personoplysninger som instrueret af Siemens.
• (b) Adgang til personoplysninger. I det omfang oplysninger vedrørende en registreret ikke er tilgængelige via Tjenesten, vil Udbyderen, i det omfang det er nødvendigt for at gøre det muligt for Siemens og autoriserede enheder at opfylde sine forpligtelser i henhold til gældende databeskyttelseslove, yde bistand til at stille sådanne oplysninger til rådighed for Siemens og/eller autoriserede enheder.
• (c) Datasubjekter og myndighedsanmodninger. Udbyderen skal straks underrette Siemens om: (i) enhver anmodning eller klager modtaget eller meddelelser om efterforskning fra en retshåndhævende, statslig eller regulerende myndighed eller agentur; og (ii) enhver anmodning modtaget direkte fra en registreret om deres personoplysninger. Med hensyn til (i) og (ii) ovenfor skal Leverandøren ikke svare uden instruktioner fra Siemens. Hvis det er instrueret herom, skal udbyderen med rimelighed støtte Siemens i besvarelsen af sådanne anmodninger.
• (d) Dataportabilitet. Efter anmodning fra Siemens, og hvis det kræves i henhold til gældende databeskyttelseslovgivning, vil udbyderen enten (i) give mulighed for at udtrække personoplysninger ved henvisning til en bestemt registreret i overensstemmelse med tjenestens funktionaliteter eller (ii) stille det relevante datasæt til rådighed for Siemens og/eller den respektive autoriserede enhed, i hvert tilfælde i et struktureret, almindeligt anvendt og maskinlæsbart format.
• (e) Konsekvensvurderinger om databeskyttelse. Hvis Siemens anmoder om det, skal udbyderen give alle oplysninger og rimelig støtte til at udføre konsekvensanalyser vedrørende databeskyttelse i henhold til gældende databeskyttelseslove.

Ved ophør af databehandlingsforholdet, medmindre andet er instrueret af Siemens eller angivet heri, skal Leverandøren returnere alle personoplysninger, der stilles til rådighed for Udbyderen eller indhentet eller genereret af Udbyderen i forbindelse med de kontraktmæssigt aftalte tjenester, til Siemens og skal uigenkaldeligt slette eller destruere eventuelle resterende data. Sletningen eller ødelæggelsen bekræftes skriftligt af udbyderen efter anmodning.

• (a) Udbyderen skal straks underrette Siemens, men under alle omstændigheder inden for 48 timer, hvis udbyderen opdager eller med rimelighed har mistanke om databrud.
• (b) I meddelelsen til Siemens skal udbyderen give Siemens følgende oplysninger: (i) oplysninger om et kontaktpunkt, hvor (eller fra hvem) flere oplysninger kan fås, (ii) en beskrivelse af overtrædelsens art (herunder, hvor det er muligt, navne, kategorier og omtrentlige antal berørte registrerede og personoplysninger), (iii) de sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslået for at afhjælpe bruddet, herunder, hvor det er relevant, foranstaltninger til at afhjælpe bruddet. dens mulige negative virkninger. Hvis og i det omfang det ikke er muligt at give alle oplysninger på samme tid, skal den oprindelige anmeldelse indeholde de oplysninger, der på det tidspunkt er tilgængelige, og yderligere oplysninger skal, når de bliver tilgængelige, gives efterfølgende uden unødig forsinkelse.
• (c) Eventuelle meddelelser under dette Sektion 12 sendes i) til det respektive kontaktpunkt, der er angivet i aftalen, og ii) til dataprotection@siemens.com.
• (d) Udbyderen skal for Leverandørens regning (i) samarbejde fuldt ud med Siemens i efterforskningen af et databrud; (ii) bistå og samarbejde med Siemens om eventuelle retligt krævede meddelelser eller videregivelser til berørte personer (ved individuel kommunikation, offentlig kommunikation via medierne eller ved lignende foranstaltninger), retshåndhævelse, tilsynsmyndigheder og/eller andre tredjeparter; og (iii) træffe enhver anden handling, som Siemens finder nødvendige vedrørende et sådant databrud og enhver tvist, forespørgsel eller påstand, der vedrører databrud.
• (e) Medmindre gældende lov eller en ordre fra en kompetent tilsynsmyndighed kræver andet, træffer Siemens efter eget skøn den endelige afgørelse, (i) om et databrud kræver anmeldelse, og (ii) om meddelelsesmåden. I tilfælde af at udbyderen sender sådanne meddelelser om et databrud, skal sådanne meddelelser på forhånd godkendes af Siemens.
• (f) Udbyderen skal for egen regning træffe passende foranstaltninger til at imødegå databrud, herunder foranstaltninger til at afbøde dets negative virkninger (herunder foranstaltninger til beskyttelse af driftsmiljøet). Udbyderen skal også tage øjeblikkelige skridt, der er designet til at forhindre gentagelse af ethvert databrud, herunder enhver handling, der kræves i henhold til gældende databeskyttelseslov.
• (g) Udbyderen skal refundere Siemens alle omkostninger og udgifter i forbindelse med et sådant databrud forårsaget af udbyderen, herunder, men ikke begrænset til, omkostningerne ved at yde kreditovervågning til de personer, hvis personoplysninger blev berørt af databrudet. Ansvarsbegrænsninger til fordel for udbyderen i henhold til aftalen gælder ikke i denne henseende.

• (a) Udbyderen skal (i) på passende måde overvåge sin egen overholdelse af sine databeskyttelsesforpligtelser i henhold til denne databeskyttelseslovgivning og gældende databeskyttelseslov; (ii) udarbejde relaterede periodiske (mindst årlige) og lejlighedsbaserede rapporter (hver a“Rapport“); og (iii) gøre rapporterne tilgængelige for Siemens og autoriserede enheder efter anmodning. Hvis en kontrolstandard og en kontrolramme implementeret af udbyderen indeholder bestemmelser om kontrol, udføres sådanne kontroller i overensstemmelse med regulerings- eller akkrediteringsorganets standarder og regler for hver gældende kontrolstandard eller -ramme.
• (b) Hvis det kræves for at opfylde sine revisionsrettigheder og forpligtelser i henhold til gældende databeskyttelseslovgivning, de gældende overførselssikkerhedsforanstaltninger, eller hvis en kompetent databeskyttelsesmyndighed eller anden kompetent statslig myndighed eller agentur anmoder om det, skal udbyderen stille alle yderligere oplysninger til rådighed for Siemens og autoriserede enheder - ud over rapporterne - alle yderligere oplysninger, der med rimelighed kræves, og muliggøre og bidrage til revisioner, herunder inspektioner, udført af Siemens eller autoriserede enheder eller en anden revisor bemyndiget af Siemens eller autoriserede enheder. Til dette formål har Siemens, autoriserede enheder eller en anden revisor bemyndiget af Siemens eller autoriserede enheder også ret til at foretage inspektioner på stedet i den normale åbningstid uden at forstyrre udbyderens forretningsdrift og efter rimelig forudgående varsel.

Hvis Tjenesten gør brug af cookies eller lignende teknologier, gælder følgende: Udbyderen skal, medmindre Siemens specifikt har aftalt andet med henvisning til dette Afdeling 14, kun gemme oplysninger (f.eks. ved at skrive en cookie) eller få adgang til oplysninger, der allerede er gemt i terminaludstyret hos en bruger af tjenesten (f.eks. via en cookie) med det ene formål at udføre transmission af en kommunikation via et elektronisk kommunikationsnetværk, eller som strengt nødvendigt for, at udbyderen kan levere kernefunktionaliteter i tjenesterne.

Udbyderen forstår og accepterer, at kravene i denne DPA er en integreret del af aftalen, og at en væsentlig overtrædelse af et af disse krav betragtes som en væsentlig overtrædelse af Leverandøren af Aftalen, hvilket giver Siemens ret til væsentlige overtrædelsesrelaterede retsmidler indeholdt i Aftalen.

Hvis og i det omfang Udbyderen får adgang til personoplysninger modtaget fra et selskab i Siemens-koncernen, der er etableret i USA (“Siemens amerikanske selskab“) eller af en registreret, der er bosiddende i USA, skal udbyderen ud over ovenstående: (i) overholde amerikanske føderale, statslige og lokale love vedrørende personoplysninger, der gælder for udbyderen, sådanne personoplysninger og ejere eller dataansvarlige af sådanne personoplysninger; når ovenstående er gældende, skal udtrykket „Gældende databeskyttelseslov“ som anvendt heri omfatte ovenstående love; (ii) medmindre det specifikt er angivet heri eller Aftalen må ikke sælge, dele, leje, frigive, offentliggøre, formidle eller stille til rådighed Personoplysninger til tredjeparter; og må ikke kombinere Personoplysningerne med andre oplysninger; (iii) skal underrette Siemens, hvis Udbyderen beslutter, at Udbyderen ikke længere kan opfylde sine forpligtelser i henhold til dette; (iv) skal sikre, at hver person, der behandler personoplysninger, er underlagt tavshedspligt med hensyn til personoplysningerne; (v) skal betragtes som og skal fungere som en „tjenesteudbyder“ i henhold til gældende databeskyttelseslov (herunder Californiens forbrugerprivatlivslov), dens gennemførelsesbestemmelser og eventuelle ændringer heraf), og (vii) bekræfter hermed, at det forstår begrænsningerne indeholdt heri og vil overholde dem.

Bilag I til DPA (og, hvor det er relevant, standardkontraktbestemmelserne)

A.LISTE OVER PARTER

Tjenestemodtager/dataeksportør:

Udbyder/dataimportør: