Partneri andmekaitse lisa

Käesolev partneri andmekaitse lisa (”DPA”) on osa partnerprogrammi lepingust (”Kokkulepe”) ja sätestab isikuandmete töötlemise täiendavad tingimused. Suurtähtedega terminitel on tähendus, mis on määratletud käesoleva dokumendi järgmises osas või mujal lepingus. Kui käesoleva DPA tingimuste ja muude lepingu tingimuste vahel on vastuolu, valitseb see DPA. Käesoleva DPA tähenduses tähendab „Pakkuja” Partnerit.

• (a) „Kohaldatav andmekaitseseadus” tähendab kõiki kohaldatavaid õigusakte, mis käsitlevad isikuandmete töötlemist lepingu alusel, sealhulgas (i) EMP-s asuvast volitatud isikust pärinevate isikuandmete puhul, isikuandmete kaitse üldmäärust (EL) 2016/679 (GDPR”) ja (ii) Ühendkuningriigis asuvast volitatud üksusest pärinevate isikuandmete puhul, Ühendkuningriigi GDPR ja Ühendkuningriigi andmekaitse seadus 2018.
• b) „volitatud üksus” — mis tahes üksus (sh Siemens ja tema kontserni äriühingud), kes tegutseb vastutava töötlejana ja kellel on lepinguga õigus otseselt või kaudselt teenustele juurde pääseda või kasutada.
• c) „Controller” — füüsiline või juriidiline isik, kes üksi või koos teistega määrab isikuandmete töötlemise eesmärgid ja vahendid.
• d) „piisavuse otsusega riik” — mis tahes riik, mille jaoks Euroopa Komisjon on otsustanud, et selline riik tagab piisava andmekaitse taseme, ja Ühendkuningriigist pärinevate isikuandmete puhul riik, mille kohta on Ühendkuningriigi 2018. aasta andmekaitseseaduse paragrahvide 17A või 74A alusel kehtestatud piisavuse eeskirjad.
• (e) „Andmete rikkumine” tähendab igasugust turvalisuse rikkumist (i) mis põhjustab edastatud, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotamise, muutmise, volitamata avalikustamise või neile juurdepääsu, või (ii) nõuab sellisest sündmusest teatamist mis tahes kolmandatele isikutele vastavalt kohaldatavatele seadustele.
• f) „EMP” tähendab Euroopa Majanduspiirkonda.
• g) „ELi lepingulised tüüpklauslid” tähendab lepingu tüüpklausleid (EL) 2021/914.
• h) „päritoluala” tähendab EMP, Ühendkuningriiki, Šveitsi ja iga riiki, kelle piisavusnõuded on sarnased artiklites 45 jj. GDPR.
• (i) „Isikuandmed” — mis tahes teave, mis on seotud tuvastatud või tuvastatava füüsilise isikuga; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada eelkõige sellise identifikaatori abil nagu nimi, identifitseerimisnumber, asukohaandmed, veebipõhine tunnus või ühele või mitmele asjaomase füüsilise isiku füüsilisele, füsioloogilisele, geneetilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identiteedile omane tegur.
• j) „Töötlemine” (ja selle muud vormid, nagu töötlemine, töötlemine, töötlemine) — mis tahes toiming või toimingute kogum, mida tehakse isikuandmete või isikuandmete kogumite puhul automatiseeritud vahenditega, nagu kogumine, salvestamine, korraldamine, struktureerimine, säilitamine, kohandamine või muutmine, otsimine, kasutamine, avalikustamine edastamise, levitamise või muul viisil kättesaadavaks tegemine, ühtlustamine või kombineerimine, piiramine, kustutamine või hävitamine.
• k) „Protsessor” — füüsiline või juriidiline isik, riigiasutus, asutus või mõni muu asutus, kes töötleb isikuandmeid vastutava töötleja nimel.
• (l) „Töötleja siduvad ettevõtte Rules” — pädeva järelevalveasutuse poolt heaks kiidetud volitatud töötlejate jaoks siduvad ärieeskirjad.
• (m) „Piiratud isikuandmed” tähendab mis tahes isikuandmeid, mis pärinevad volitatud üksuselt, mis asub päritoluvas piirkonnas.
• (n) „Piiratud ülekanne (ed)” — Piiratud isikuandmete töötlemine (sh edastamine, rahvusvaheline juurdepääs ja edasine edastamine) teenusepakkuja või tema alltöötlejate poolt väljaspool asjakohast päritoluvat piirkonda.
• (o) „Teenused” — Lepingu alusel osutatud teenused, mida osutab teenusepakkuja, kes tegutseb oma volitatud töötlejana käesoleva DPA tähenduses.
• (p) „Lepingu tüüpklauslid” tähendab ELi standardseid lepinguklausleid ja Ühendkuningriigi standardseid lepinguklausleid.
• q) „Alamprotsessor (id)” — mis tahes täiendavat töötlejat, kes tegeleb teenuste osutamisega.
• (r) „Ülekande kaitse (d)” tähendab asjakohaseid kaitsemeetmeid piiratud edastamiseks vastavalt kohaldatavale andmekaitseseadusele, sealhulgas piiranguteta kõik asjakohased kaitsemeetmed, mida nõutakse isikuandmete kaitse üldmääruse artiklis 46.
• (s) „Ühendkuningriigi GDPR” tähendab GDPR, mis on Ühendkuningriigi õigusesse lisatud Ühendkuningriigi 2018. aasta Euroopa Liidu (lahkumise) seaduse paragrahvi 3 alusel.
• (t) „Ühendkuningriigi standardsed lepinguklauslid” tähendab selliseid standardseid andmekaitseklausleid, mille Ühendkuningriigi teabekomissaride büroo (ICO) aeg-ajalt vastu võtab vastavalt Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 46 lõikele 2, sealhulgas, kuid mitte ainult, rahvusvaheline andmeedastusleping (UK IDTA) ja ELi standardsed lepinguklauslid, mida on muudetud ICO rahvusvahelise andmeedastuse lisandiga ELi komisjoni lepinguklauslite rahvusvahelise andmeedastuse lisandiga (Ühendkuningriigi lisa”). [1]

1 Vaata https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Pooled järgivad kohaldatavaid andmekaitseseadusi vastavalt nende suhtes kohaldatavale ja siin nõutavale andmekaitseseadusele. Teenuste osutamisel peab teenusepakkuja järgima eelkõige kohaldatava andmekaitseseaduse sätteid isikuandmete töötlemise kohta volitatud töötlejana.

Pakkuja töötleb isikuandmeid ainult (a) kooskõlas käesoleva DPA ja Lepingu tingimustega; või (b) muude Siemensi dokumenteeritud juhiste alusel. Pakkuja ei töötle isikuandmeid oma eesmärkidel ega edasta neid kolmandatele isikutele, välja arvatud juhul, kui käesolev DPA seda lubab. Pakkuja teavitab sellest viivitamata Siemensit, kui tema arvates rikub Siemens juhend kehtivat andmekaitseseadust.

Pakkuja poolt esitatud töötlemistoimingute üksikasjad - eelkõige töötlemise objekt, töötlemise laad ja eesmärk, töödeldavate isikuandmete liigid ja mõjutatud andmesubjektide kategooriad - on täpsustatud I lisa sellele DPA-le.

Võttes arvesse tehnika taset, rakenduskulusid ning töötlemise laadi, ulatust, konteksti ja eesmärke ning erineva tõenäosuse ja raskusastme ohtu füüsiliste isikute õigustele ja vabadustele, rakendab teenusepakkuja asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada riskile vastav turvalisuse tase, sealhulgas, kuid mitte ainult, vajaduse korral: a) isikuandmete pseudonüümimist ja krüpteerimist; b) võimalust tagada konfidentsiaalsus, terviklikkus, kättesaadavus ja vastupidavus Töötlemissüsteemid ja teenused; c) võime taastada isikuandmete kättesaadavus ja juurdepääs õigeaegselt füüsilise või tehnilise vahejuhtumi korral; d) töötlemise turvalisuse tagamiseks vajalike tehniliste ja korralduslike meetmete korrapäraseks testimiseks, hindamiseks ja tõhususe hindamiseks. Ilma et see piiraks eelmise lause üldisust, rakendab teenusepakkuja alati vähemalt tehnilisi ja korralduslikke meetmeid, mida on kirjeldatud punktis II lisasellele DPA-le.

1 Vaata https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Pakkuja piirab oma töötajate juurdepääsu Isikuandmetele teadmisvajaduse alusel. Pakkuja teavitab oma töötajaid üksikasjalikult andmekaitset käsitlevate seaduse- ja lepingusätete kohta. Pakkuja paneb oma töötajatele kohustuse neid sätteid järgida ja eelkõige hoida Isikuandmeid saladuses ning mitte töödelda isikuandmeid muul viisil kui Siemensi juhiste kohaselt. Saladuse hoidmise kohustus kehtib ka pärast käesoleva Lepingu kehtivuse lõppemist ja personali lepingulisi suhteid Pakkujaga. Pakkuja esitab taotluse korral sellise kohustuse kohta tõendi.

• a) Pakkujal on Siemensi üldine luba alltöötlejate kaasamiseks. Pakkuja tellitud alltöötlejate praegune nimekiri on esitatud III lisa sellele DPA-le.
• b) Pakkuja teavitab Siemensit kirjalikult kõigist kavandatavatest muudatustest kõnealuses nimekirjas, lisades või asendades alltöötlejaid vähemalt 30 päeva ette. Pakkuja esitab Siemensile teabe, mis on vajalik selleks, et Siemens saaks kasutada vastuväidete esitamise õigust. Kui Siemens ei esita selle 30-päevase ajavahemiku jooksul vastuväiteid, käsitatakse seda uue alamtöötleja heakskiiduks. Kui Siemens esitab vastuväiteid, teeb teenusepakkuja enne alltöötleja isikuandmetele juurdepääsu volitamist mõistlikke jõupingutusi, et lahendada Siemensi väljendatud muresid ja reservatsioonid ning (i) hoiduda alamtöötleja kasutamisest; või (ii) teeb Siemensile ettepaneku Teenuste või Siemensi konfiguratsiooni või teenuste kasutamisest mõistlikult muuta, et vältida isikuandmete töötlemist uue alltöötleja poolt. Kui Pakkuja ei suuda Siemensi vastuväite põhjuseid kõrvaldada, on Siemensil õigus lõpetada mõjutatud teenused ilma kahju või karistusteta. Kui Siemens lõpetab selle, tagastab teenusepakkuja kõik ettemakstud summad vastava Teenuse eest proportsionaalselt.
• c) Kui teenusepakkuja kaasab alltöötlejat konkreetsete töötlemistoimingute tegemiseks (Siemensi ja/või volitatud üksuste nimel), teeb ta seda kirjaliku lepingu alusel, mis näeb sisuliselt ette samad andmekaitsekohustused nagu need, mis on teenusepakkujat siduvad käesoleva DPA alusel.
• d) Pakkuja esitab Siemensi taotlusel sellise alltöötleja lepingu koopia ja kõigist hilisematest muudatustest Siemensile. Kui see on vajalik ärisaladuste või muu konfidentsiaalse teabe, sealhulgas isikuandmete kaitsmiseks, võib Pakkuja enne koopia jagamist lepingu teksti redigeerida.
• (e) Pakkuja kontrollib alltöötlejat nõuetekohaselt ja korrapäraselt nende nõuete täitmise osas ning dokumenteerib selliste auditite tulemused.
• f) Pakkuja vastutab Siemensi ees täielikult alltöötleja kohustuste täitmise eest, mis tulenevad tema lepingust teenusepakkujaga. Pakkuja teavitab Siemensit sellest, et alltöötleja ei täida oma lepingust tulenevaid kohustusi.

Piiratud ülekandmise korral teenusepakkujale tagab teenusepakkuja, et selline piiratud ülekandmine on hõlmatud käesolevas dokumendis sätestatud piisavate üleandmise kaitsemeetmetega 9. jagu ja III lisa sellele DPA-le.

• (a) Lepingu tüüpklauslid. Kui üleandmise kaitse põhineb lepingu tüüptingimustel, kohaldatakse järgmist:
  • EEA-Pakkujad. Kui teenusepakkuja asub EMPs, sõlmib teenusepakkuja oma alamtöötlejaga lepingu tüüpklauslid (moodul 3). Jaotise 9 punkti a alapunkt vii („Kehtiv õigus”), 9 punkti a alapunkt viii) („Foorumi ja jurisdiktsiooni valik”), 9 punkti a alapunkti ix alapunkt b („Ühendkuningriigi lisa 1. osa”) ja § 9 punkti a alapunkti x teine lause Käesoleva DPA („volitatud üksused muudes riikides”) ei kohaldata, kui teenusepakkuja asub EMPs.
  • EMP-välised pakkujad. Kui teenuseosutaja asub väljaspool EMP-d, reguleeritakse piiratud üleandmist lepingu tüüpklauslite moodulid 2 ja 3. Lepingu tüüptingimustes sisalduvad asjakohased sätted on lisatud viitena ja on käesoleva DPA lahutamatu osa. Lepingu tüüpklauslite lisades nõutav teave on esitatud I—III lisasellele DPA-le.
  • Dokkimisklausel. Lepingu tüüpklauslite punktis 7 sätestatud võimalust ei kohaldata.
  • Edaspidevad ülekanded. Iga edasine edasine üleandmine peab vastama lepingu tüüpklauslite kohaldatava mooduli punktidele 8 ja 9. Juhul kui Siemens asub väljaspool EMP-d ja tegutseb volitatud isikutega sõlmitud lepinguliste tüüpklauslite alusel andmeimportijana, on lepingu tüüpklauslite punkti 9 alapunktis e sätestatud kolmanda osapoole toetusesaaja klausel sellise volitatud üksuse kasuks.
  • Alamprotsessorite kasutamine.Kohaldatakse lepingu tüüpklauslite punkti 9 kohast võimalust 2. Lepingu tüüpklauslite punkti 9 alapunkti a tähenduses on teenusepakkujal Siemensi üldine volitus kaasata alltöötlejaid vastavalt 8. jagu sellest DPA-st.
  • Kaitsevahend. Juhul, kui Pakkuja pakub andmesubjektidele võimalust esitada kaebus sõltumatule vaidluste lahendamisasutusele (vt lepingu tüüpklauslite punktis 11), teavitab teenusepakkuja Siemensit kirjalikult vastutavast vahekohtu organist ning vastama lepingu tüüpklauslite punktis 11 sätestatud kohaldatavatele nõuetele ja kohaldatavatele vahekohtu eeskirjadele.
  • Reguleeriv õigus. Lepingu tüüpklauslite punkti 17 kohaldamisel on seadus, mis on määratud lepingu reguleeriva õiguse osas. Kui lepingut ei reguleeri ühegi liikmesriigi õigus, reguleeritakse ELi lepingu tüüpklausleid Saksamaa õigusaktidega.
  • Foorumi ja jurisdiktsiooni valik. Lepingu tüüpklauslite punkti 18 alusel on kohtud, mis on määratud lepingu toimumiskoha osas. Kui lepinguga ei ole määratud ELi liikmesriigi kohtud, kellel on ainupädevus lepingust või sellega seotud vaidluse või kohtuasjade lahendamiseks, lepivad pooled kokku, et Saksamaa kohtute ainupädevus on ELi lepingu tüüpklauslitest tulenevate vaidluste lahendamiseks ainupädevus.
  • Ühendkuningriigi volitatud üksused. Juhul kui piiratud ülekanded pärinevad Ühendkuningriigis asuvatelt volitatud üksustelt, kohaldatakse järgmist:
    • Ühendkuningriigi lisa. Kasutatakse Ühendkuningriigi lisandit, kui Siemens ei ole kirjalikult kokku leppinud teisiti.
    • Ühendkuningriigi lisa 1. osa. Ühendkuningriigi lisa 1. osa kohaldatakse järgmiselt:
      1. Tabel 1: Poolte andmed ja peamised kontaktandmed sisalduvad I lisa sellele DPA-le.
      2. Tabel 2: Heakskiidetud ELi SCC-de versioon (nagu on määratletud Ühendkuningriigi lisades), millele Ühendkuningriigi lisa on lisatud, on ELi standardsed lepinguklauslid koos eespool valitud moodulite ja klauslitega Jaotise 9 punkt a sellest DPA-st. Ühtegi importijalt saadud isikuandmeid ei ühendata Eksportija kogutud isikuandmetega.
      3. Tabel 3: Ühendkuningriigi lisa tabelis 3 nõutav lisandusteave on sisalduv I—III lisa sellele DPA-le.
      4. Tabel 4Kumbki pool ei tohi Ühendkuningriigi täiendit lõpetada, kui heakskiidetud lisa (nagu on määratletud Ühendkuningriigi lisanduses) muutub.
  • Volitatud üksused muudes riikides. Kui lepingu tüüpklauslid kaitsevad piiratud ülekandmist väljaspool EMP ja Ühendkuningriiki (nt Šveits) asuvate volitatud üksuste poolt, (1) lepingu tüüpklauslides sisalduvad üldised ja konkreetsed viited GDPR-ile või ELi või liikmesriigi õigusele sama tähendus kui vastav viide volitatud üksuse asukohariigis kehtivates andmekaitseseadustes; 2) viiteid pädevale järelevalveasutusele tõlgendatakse viidetena pädevale järelevalveasutusele andmekaitse autoriteet sellises riigis. Kehtivat õigust, koosseisu valikut ja kohtualluvust reguleerivad Jaotise 9 punkti a alapunkt vii ja (viii) käesoleva DPA, välja arvatud juhul, kui vastava volitatud üksuse suhtes kohaldatavad seadused ei nõua teisiti, sel juhul reguleeritakse lepingu tüüpklausleid selle riigi seadustega, kus volitatud üksus asub, ja viiteid pädevatele kohtutele tõlgendatakse viidetena selle riigi pädevatele kohtutele.
• Töötleja siduvad ettevõtte Rules. Kui edastamise kaitse põhineb volitatud töötleja siduvatel ärireeglitel, kohaldatakse järgmist: Pakkuja kohustub sellist alamtöötlejat lepinguliselt järgima volitatud töötleja siduvaid ettevõtte eeskirju seoses käesoleva DPA alusel töödeldavate isikuandmete suhtes.
• Täiendavad ülekande kaitsemeetmed. Kui üleandmise kaitsemeetmed ei põhine lepingu tüüptingimustel, kohaldatakse lepingu tüüpklauslite punkte 14 ja 15 mutatis-mutandis sellise muu üleandmise tagatise alusel, välja arvatud juhul, kui vastav üleandmiskaitse sisaldab sisuliselt samu õigusi ja kohustusi (i) kohalike õigusaktide ja tavade suhtes, mis mõjutavad üleandmise kaitsemeetmeid, ning ii) kohustusi riigiasutuste juurdepääsu korral, nagu on sätestatud standardtingimustes 14 ja 15.
• Muud. Pakkuja nõustub ja mõistab, et kohalikud kohaldatavad andmekaitseseadused võivad sisaldada samasuguseid või täiendavaid edastamispiiranguid, mis sisalduvad käesolevas dokumendis 9. jagu. Sellisel juhul nõustub teenusepakkuja tegema mõistlikke jõupingutusi ja tegema Siemensiga heas usus koostööd nende nõuete täitmiseks.

Pakkuja abistab Siemensit mõistlikult kohaldatava andmekaitseseaduse järgimisel, eelkõige abistades Siemensi järgmisel viisil:

• (a) Töötlemise parandamine, kustutamine või piiramine. Pakkuja peab kas (i) tagama võimaluse parandada, kustutada või piirata Isikuandmete Töötlemist Teenuste funktsioonide kaudu või (ii) parandada, kustutada või piirata Isikuandmete Töötlemist vastavalt Siemensi juhistele.
• b) Juurdepääs isikuandmetele. Kui andmesubjektiga seotud teave ei ole Teenuse kaudu kättesaadav, pakub teenusepakkuja vajaduse korral abi, et võimaldada Siemensil ja volitatud üksustel täita kohaldatavatest andmekaitseseadustest tulenevaid kohustusi, et teha selline teave kättesaadavaks Siemensile ja/või volitatud üksustele.
• c) Andmesubjekti ja asutuste taotlused. Pakkuja teatab Siemensile viivitamata: (i) õiguskaitse-, valitsuse või reguleeriva asutuse poolt saadud taotlustest või kaebustest või uurimisteadetest ning (ii) mis tahes taotlusest, mis on saadud otse andmesubjektilt tema isikuandmete kohta. Seoses ülaltoodud punktidega i ja ii ei tohi teenusepakkuja vastata ilma Siemensi juhisteta. Kui seda on juhendatud, toetab teenusepakkuja mõistlikult Siemens sellistele taotlustele vastamisel.
• (d) Andmete kaasaskantavus. Siemensi taotlusel ja kui seda nõuab kohaldatav andmekaitseseadus, annab teenusepakkuja kas (i) võimaluse eraldada isikuandmeid konkreetsele andmesubjektile vastavalt Teenuse funktsioonidele või (ii) teeb asjakohased andmekogumid Siemensile ja/või vastavale volitatud üksusele kättesaadavaks igal juhul struktureeritud, üldkasutatavas ja masinloetavas vormingus.
• (e) Andmekaitse mõjuhinnangud. Siemensi taotluse korral annab teenusepakkuja kogu teavet ja mõistlikku tuge andmekaitsemõjuhinnangute tegemiseks vastavalt kehtivatele andmekaitseseadustele.

Andmetöötlussuhte lõppemisel, kui Siemens ei ole juhendanud teisiti või ei ole siin sätestatud, tagastab teenusepakkuja Siemensile kõik Isikuandmed, mis on Teenusepakkujale kättesaadavaks tehtud või hankinud või loodud seoses lepinguliselt kokkulepitud teenustega, ning kustutab või hävitab ülejäänud andmed pöördumatult. Kustutamise või hävitamise kinnitab teenusepakkuja taotluse korral kirjalikult.

• (a) Pakkuja teavitab Siemensit viivitamata, kuid igal juhul 48 tunni jooksul, kui teenusepakkuja avastab või kahtlustab mõnda andmerikkumist.
• b) Siemensile esitatud teates esitab teenusepakkuja Siemensile järgmise teabe: i) kontaktpunkti andmed, kust (või kellelt) saab lisateavet, ii) rikkumise laadi kirjeldus (sealhulgas võimaluse korral asjaomaste andmesubjektide nimed, kategooriad ja ligikaudne arv ja isikuandmete andmed), iii) tõenäolised tagajärjed ja rikkumise kõrvaldamiseks võetud või kavandatud meetmed, sealhulgas vajaduse korral meetmed selle võimalike leevendamiseks kahjulikke mõjusid. Kui ja ulatuses ei ole võimalik kogu teavet üheaegselt esitada, peab esialgne teatis sisaldama seejärel kättesaadavat teavet ning täiendav teave edastatakse pärast kättesaadavaks muutumist põhjendamatu viivituseta.
• c) Kõik selle all olevad teated 12. jagu viiakse (i) lepingus kindlaksmääratud vastavasse kontaktpunkti ja ii) dataprotection@siemens.com.
• d) Pakkuja teeb teenusepakkuja kulul ja kulul (i) andmerikkumise uurimisel täielikku koostööd Siemensiga; ii) abistab ja teeb koostööd Siemensiga õiguslikult nõutavate teatiste või avalikustamise osas mõjutatud isikutele (individuaalse suhtluse, avaliku teabevahetuse teel või muude meetmete abil), õiguskaitseorganite, reguleerivate asutuste ja/või muude kolmandate isikute kohta; iii) võtma muid meetmeid, mida Siemens peab vajalikuks seoses sellise andmerikkuse ja mis tahes vaidluste, päringute või nõuete osas See puudutab andmete rikkumist.
• (e) Kui kohaldatavad seadused või pädeva reguleeriva asutuse korraldus ei nõua teisiti, teeb Siemens oma äranägemisel lõpliku otsuse (i) kas andmerikkumine nõuab teavitamist ja ii) teavitamise viisi. Juhul, kui Pakkuja esitab selliseid teatisi andmete rikkumise kohta, peab Siemens kõik sellised teated eelnevalt heaks kiitma.
• f) Pakkuja võtab oma kulul asjakohaseid meetmeid andmete rikkumise kõrvaldamiseks, sealhulgas meetmeid selle kahjulike mõjude leevendamiseks (sh meetmed tegevuskeskkonna kaitsmiseks). Samuti võtab teenusepakkuja viivitamatuid meetmeid, et vältida mis tahes andmekaitserikkumise kordumist, sealhulgas kohaldatava andmekaitseseadusega nõutavaid meetmeid.
• (g) Pakkuja hüvitab Siemensile kõik kulud ja kulud, mis on tekkinud sellise teenusepakkuja poolt põhjustatud andmerikkumisega, sealhulgas, kuid mitte ainult, krediidijälgimise kulud isikutele, kelle isikuandmeid andmerikkumine mõjutas. Lepingust tulenevaid vastutuse piiranguid teenusepakkuja kasuks selles suhtes ei kehti.

• (a) (i) teenuseosutaja kontrollib asjakohaste vahenditega oma isiklikku andmekaitsekohustusi, mis tulenevad käesoleva andmekaitseseadusest ja kohaldatavast andmekaitseseadusest; ii) koostab sellega seotud perioodilisi (vähemalt iga-aastaseid) ja juhtumipõhiseid aruandeid (igaüks a”Aruanne”); ja (iii) teha aruanded nõudmisel kättesaadavaks Siemens ja volitatud üksustele. Kui teenusepakkuja rakendatud kontrollistandard ja raamistik näeb ette kontrolli, tehakse sellised kontrollid vastavalt reguleeriva või akrediteerimisasutuse standarditele ja eeskirjadele iga kohaldatava kontrollistandardi või raamistiku kohta.
• b) Kui teenusepakkuja nõuab oma auditiõigusi ja kohustusi vastavalt kohaldatavale andmekaitseseadusele, kohaldatavatest edastamiskaitsemeetmetest või pädeva andmekaitseasutuse või muu valitsusasutuse taotluse korral teeb Siemensile ja volitatud üksustele lisaks aruannetele kättesaadavaks kogu põhjendatult nõutud teabe ning aitab kaasa Siemensi või volitatud üksuste poolt läbi viidud auditidele, sh kontrollidele. Sel eesmärgil on Siemensil, volitatud üksustel või muul Siemensi volitatud audiitor või volitatud üksuste poolt samuti õigus teha kohapealseid ülevaatusi tavapärasel tööajal, ilma et see häiriks teenusepakkuja äritegevust ja pärast mõistlikku etteteatamist.

Kui Teenus kasutab küpsiseid või sarnaseid tehnoloogiaid, kehtib järgmine: Pakkuja peab, välja arvatud juhul, kui Siemens on sellele viidates konkreetselt kokku leppinud teisiti 14. jagu, salvestab teavet (nt küpsise kirjutamise teel) või pääseb juurde Teenuse kasutaja lõppseadmetesse juba salvestatud teabele (nt küpsise kaudu) ainult selleks, et teostada side edastamist elektroonilise sidevõrgu kaudu või kui see on tingimata vajalik selleks, et Pakkuja saaks pakkuda Teenuste põhifunktsioone.

Pakkuja mõistab ja nõustub, et käesolevas DPA nõuded on Lepingu lahutamatu osa ning nende nõuete olulist rikkumist loetakse Lepingu pakkuja oluliseks rikkumiseks, mis annab Siemensile õiguse lepingus sisalduvatele olulisele rikkumisega seotud õiguskaitsevahenditele.

Kui ja ulatuses, mil teenusepakkuja pääseb juurde Ameerika Ühendriikides asutatud Siemensi kontserni ettevõttelt saadud isikuandmetele (Siemensi USA ettevõte”) või andmesubjekti, kes on Ameerika Ühendriikide resident, siis lisaks ülaltoodule: (i) järgib USA föderaalseid, osariigi ja kohalikke isikuandmeid käsitlevaid seadusi, mis kehtivad Pakkuja, selliste Isikuandmete ja selliste Isikuandmete omanike või vastutavate töötlejate suhtes; kui eelpool on kohaldatav, hõlmab siin kasutatav mõiste „kohaldatav andmekaitseseadus” eespool nimetatud seadusi; ii) välja arvatud juhul, kui see on konkreetselt sätestatud Lepingus või lepingus ei tohi müüa, jagada, rentida, vabastada, avaldada, levitada ega teha kättesaadavaks Isikuandmeid kolmandatele isikutele; ega ühenda isikuandmeid muu teabega; iii) teavitab Siemensit, kui teenusepakkuja otsustab, et teenusepakkuja ei saa enam täita oma käesolevaid kohustusi; (iv) tagab, et iga isikuandmeid töötleva isiku suhtes kehtib konfidentsiaalsuse kohustus; (v) loetakse ja tegutseb kohaldatava andmekaitseseaduse (sh California tarbijaeraelu puutumatuse seaduse alusel) rakenduseeskirjad ja nende muudatused); ja vii) kinnitab käesolevaga, et ta mõistab siin sisalduvaid piiranguid ja järgib neid.

DPA I lisa (ja vajaduse korral lepingu tüüpklauslid)

A. OSAPOOLTE NIMEKIRI

Teenuste saaja/andmeeksportija:

Pakkuja/andmete importija:

B.ÜLEKANDE- JA TÖÖTLEMISTOIMINGUTE KIRJELDUS

C.PÄDEV JÄRELEVALVEASUTUS

Kui Siemens asub ELi liikmesriigis, tegutseb pädeva järelevalveasutusena järelevalveasutus, kes vastutab selle eest, et Siemens vastab isikuandmete kaitse üldmääruse andmeedastusele. Saksamaa Siemens Aktiengesellschaft puhul on järelevalveasutus:

Bayeri andmekaitse kinnipidamise maakond (BayLDA)

Promenaad 18

91522 Ansbach

Saksamaa

Kui Siemens ei ole asutatud ELi liikmesriigis, kuid kuulub isikuandmete kaitse üldmääruse territoriaalse kohaldamisalasse vastavalt selle artikli 3 lõikele 2, tegutseb pädeva järelevalveasutusena selle liikmesriigi järelevalveasutus, kus isikuandmete kaitse üldmääruse artikli 27 lõike 1 tähenduses esindaja asukoht on; nimelt:

Bayeri andmekaitse kinnipidamise maakond (BayLDA)

Promenaad 18

91522 Ansbach

Saksamaa

DPA II lisa (ja vajaduse korral lepingu tüüpklauslid)

Tehnilised ja organisatsioonilised meetmed (sealhulgas tehnilised ja organisatsioonilised meetmed andmete turvalisuse tagamiseks)

Järgmisi meetmeid kohaldatakse teenusepakkuja suhtes üksnes juhul, kui aluseks olevate IT-süsteemide, võrkude ja rakenduste eest vastutab ja/või on teenusepakkuja hooldamisel või kontrolli all. Pakkuja ja tema alltöötleja (te) poolt rakendatud tehniliste ja organisatsiooniliste turvameetmete kirjeldus:

DPA III lisa (ja vajaduse korral lepingu tüüpklauslid)

ALAMTÖÖTLEJATE JA ANDMEKESKUSTE ASUKOHTADE LOEND

Partneri autoriseerimisvorm sätestab

isikuandmete säilitamise/majutamisega tegelevad üksused (sh Partner ja alltöötlejad),

Kohaldatavad andmekeskuse asukohad,

Alamtöötlejad, kes tegelevad isikuandmete töötlemisega mittesalvestamise/majutamise eesmärgil,

mis on käesoleva viitega siia lisatud.

Pakkuja ei tohi edastada Isikuandmeid vastavast andmekeskuse asukohast ilma Siemensi nõusolekuta. Teavitamis- ja vastuväidete mehhanism, mis sisaldub 8. jagu ei kohaldata selles suhtes.