Skip to main content
Ova se stranica prikazuje pomoću automatiziranog prijevoda. Umjesto toga, pogledaj na engleskom?

Dodatak o zaštiti podataka partnera

Sljedeći Dodatak o zaštiti podataka partnera dio je Ugovora o partnerskom programu i utvrđuje uvjete u vezi s obradom osobnih podataka.

1. OPĆENITO

Ovaj dodatak o zaštiti podataka partnera ("DPA") dio je Ugovora o partnerskom programu ("Sporazum") i utvrđuje dodatne uvjete u vezi s obradom osobnih podataka. Izrazi s velikim slovima imaju značenje definirano u sljedećem odjeljku ovog dokumenta ili drugdje u Ugovoru. Ako postoji sukob između uvjeta ovog DPA-e i bilo kojeg drugog uvjeta Ugovora, ovaj DPA će prevladati. Za potrebe ovog DPA-e, "Pružatelj usluga" znači Partner.

2. DEFINICIJE

  • (a) "Primjenjivi zakon o zaštiti podataka" znači sav primjenjiv zakon koji se odnosi na obradu osobnih podataka u skladu s Ugovorom, uključujući, ali ne ograničavajući se na, (i) za osobne podatke koji potječu od ovlaštenog subjekta koji se nalazi unutar EGP-a, Opću uredbu o zaštiti podataka (EU) 2016/679 ("GDPR"), i (ii) za osobne podatke koji potječu od ovlaštenog subjekta koji se nalazi u Velikoj Britaniji, GDPR Ujedinjenog Kraljevstva i Zakona o zaštiti podataka Ujedinjenog Kraljevstva iz 2018. godine.
  • (b) "Ovlašteni subjekt" znači svaki subjekt (uključujući Siemens i društva iz njegove grupe) koji djeluje kao Voditelj obrade i koji prema Ugovoru ima pravo izravno ili neizravno pristupiti Uslugama ili koristiti.
  • (c) "Controller" znači fizička ili pravna osoba koja sama ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka.
  • (d) "Zemlja s odlukom o primjerenosti" znači svaka zemlja za koju je Komisija EU-a odlučila da ta zemlja osigurava odgovarajuću razinu zaštite podataka, a za osobne podatke koji potječu iz Ujedinjenog Kraljevstva, svaka zemlja za koju su doneseni propisi o primjerenosti Ujedinjenog Kraljevstva u skladu s člancima 17.A ili 74A Zakona o zaštiti podataka iz 2018.
  • (e) "Povreda podataka" znači svako kršenje sigurnosti (i) koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju, ili (ii) zahtijevalo obavijest o takvom događaju bilo kojoj trećoj strani u skladu s primjenjivim zakonom.
  • (f) "EGP" znači Europski gospodarski prostor.
  • (g) "Standardne ugovorne klauzule EU-a" znači Standardne ugovorne klauzule (EU) 2021/914.
  • (h) "Područje podrijetla" znači EGP, Ujedinjeno Kraljevstvo, Švicarsku i svaku zemlju sa sličnim zahtjevima primjerenosti kao što je navedeno u člancima 45. i sljedećim. GDPR.
  • (i) "Osobni podaci" znači sve informacije koje se odnose na identificiranu ili identificiranu fizičku osobu; fizička osoba koja se može identificirati, izravno ili neizravno, posebno upućivanjem na identifikator kao što su ime, identifikacijski broj, podaci o lokaciji, internetski identifikator ili jedan ili više čimbenika specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te fizičke osobe.
  • (j) "Obrada" (i drugi oblici kao što su Obrada, Obrada, Obrada) znači bilo koja operacija ili skup operacija koja se obavlja na osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim sredstvima, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, savjetovanje, korištenje, otkrivanje prijenosom, širenjem ili na drugi način stavljanje na raspolaganje, usklađivanje ili kombiniranje, ograničenje, brisanje ili uništavanje.
  • (k) "Procesor" znači fizičku ili pravnu osobu, javno tijelo, agenciju ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
  • (l) "Korporativna pravila koja obvezuju procesore" znači obvezujuća korporativna pravila za izvršitelje obrade koja odobrava nadležno nadzorno tijelo.
  • (m) "Ograničeni osobni podaci" znači bilo koji osobni podaci koji potječu od ovlaštenog subjekta koji se nalazi unutar područja izvornosti.
  • (n) "Ograničeni prijenosi" znači bilo kakvu obradu (uključujući prijenose, međunarodni pristup i daljnje prijenose) ograničenih osobnih podataka od strane Pružatelja usluga ili bilo kojeg od njegovih podobrađivača izvan relevantnog područja podrijetla.
  • (o) "Usluge" znači Usluge u skladu s Ugovorom koje pruža Pružatelj usluga koji djeluje u svojoj ulozi izvršitelja obrade u smislu ovog DPA-e.
  • (p) "Standardne ugovorne klauzule" znači Standardne ugovorne klauzule EU-a i Standardne ugovorne klauzule Ujedinjenog Kraljevstva.
  • (q) "Podprocesori" znači svaki daljnji izvršitelj obrade koji je uključen u obavljanje Usluga.
  • (r) "Zaštita (e) prijenosa" znači odgovarajuće zaštitne mjere za ograničene prijenose kako se zahtijeva primjenjivim zakonom o zaštiti podataka, uključujući bez ograničenja sve odgovarajuće zaštitne mjere propisane člankom 46. GDPR-a.
  • (s) "UK GDPR" znači GDPR kako je ugrađen u pravo Ujedinjenog Kraljevstva na temelju članka 3. Zakona o Europskoj uniji (povlačenje) Ujedinjene Kraljevine iz 2018.
  • (t) "Standardne ugovorne klauzule u Velikoj Britaniji" znači standardne klauzule o zaštiti podataka koje povremeno usvaja Ured britanskih povjerenika za informacije (ICO) u skladu s člankom 46. stavkom 2. Ujedinjenog Kraljevstva o zaštiti podataka, uključujući, ali ne ograničavajući se na, međunarodni ugovor o prijenosu podataka (UK IDTA) i Standardne ugovorne klauzule EU-a kako su izmijenjene ICO-ovim međunarodnim dodatkom za prijenos podataka standardnim ugovornim klauzulama Komisije EU (Dodatak u Velikoj Britaniji"). [1]

1 Pogledaj https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

3. USKLAĐENOST S VAŽEĆIM ZAKONOM O ZAŠTITI PODATAKA

Stranke će se pridržavati važećeg Zakona o zaštiti podataka kako se primjenjuju na njih i kako je ovdje propisano. Prilikom pružanja Usluga, Pružatelj će se posebno pridržavati odredbi važećeg Zakona o zaštiti podataka koje se odnose na obradu osobnih podataka kao izvršitelj obrade.

4. OPSEG OBRADE

Pružatelj usluga obrađuje osobne podatke samo (a) u skladu s uvjetima ovog DPA-e i Ugovora; ili (b) prema drugim dokumentiranim uputama tvrtke Siemens. Pružatelj usluga neće obrađivati osobne podatke u vlastite svrhe niti ih prenositi trećim stranama, osim ako to dopušta ovaj DPA. Pružatelj će odmah obavijestiti Siemens ako, prema njegovom mišljenju, uputa tvrtke Siemens krši primjenjivi zakon o zaštiti podataka.

5. POJEDINOSTI O PRUŽENIM POSTUPCIMA OBRADE

Pojedinosti o postupcima obrade koje pruža Pružatelj usluga - posebno predmet obrade, priroda i svrha obrade, vrste Osobnih podataka koje se obrađuju i kategorije ispitanika na koje se odnose - navedeni su u Prilog I. na ovaj DPA.

6. TEHNIČKE I ORGANIZACIJSKE MJERE

Uzimajući u obzir stanje tehnike, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba, pružatelj usluga provodi odgovarajuće tehničke i organizacijske mjere kako bi se osigurala razina sigurnosti koja odgovara riziku, uključujući, ali ne ograničavajući se na, prema potrebi: (a) pseudonimizaciju i šifriranje osobnih podataka; (b) sposobnost osiguranja povjerljivost, integritet, dostupnost i otpornost Sustavi i usluge obrade; (c) mogućnost pravodobnog vraćanja dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta; (d) postupak redovitog testiranja, procjene i ocjenjivanja učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. Ne dovodeći u pitanje općenitost prethodne rečenice, Pružatelj će u svakom trenutku provoditi barem tehničke i organizacijske mjere opisane u Prilog IIna ovaj DPA.

1 Vidi https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

7. PREDANOST POVJERLJIVOSTI

Pružatelj usluga ograničava pristup osobnim podacima svog osoblja na temelju potrebe za poznavanjem. Pružatelj dužan je detaljno obavijestiti svoje osoblje o primjenjivim zakonskim i ugovornim odredbama o zaštiti podataka. Pružatelj usluga obvezuje svoje osoblje poštivati takve odredbe, a posebno držati osobne podatke u tajnosti i ne obrađivati osobne podatke osim u skladu s uputama tvrtke Siemens. Obveza čuvanja tajnosti nastavlja se primjenjivati i nakon isteka ovog Ugovora i ugovornog odnosa osoblja s Pružateljem usluga. Pružatelj će dostaviti dokaz o takvoj obvezi na zahtjev.

8. PODPROCESORI

  • (a) Pružatelj usluga ima opće odobrenje tvrtke Siemens za angažiranje podprocesora. Trenutni popis podprocesora koje je naručio Pružatelj usluga nalazi se u Prilog III. na ovaj DPA.
  • (b) Pružatelj će posebno pismeno obavijestiti Siemens o svim namjeravanim promjenama tog popisa dodavanjem ili zamjenom Podprocesora najmanje 30 dana unaprijed. Pružatelj usluga Siemensu dostavlja informacije potrebne kako bi Siemensu omogućio ostvarivanje prava na prigovor. Ako Siemens ne pokaže nikakve prigovore u tom razdoblju od 30 dana, to će se uzeti kao odobrenje novog podprocesora. Ako Siemens pokaže prigovore, Pružatelj će - prije ovlaštenja Podobrade za pristup osobnim podacima - poduzeti razumne napore kako bi riješio zabrinutosti i zadržke koje je izrazio Siemens i (i) suzdržati se od korištenja Podprocesora; ili (ii) predložiti Siemensu razumnu promjenu Usluga ili Siemensove konfiguracije ili korištenja Usluga kako bi se izbjegla obrada osobnih podataka od strane novog podprocesora. Ako pružatelj usluga nije u mogućnosti otkloniti razloge za prigovor tvrtke Siemens, Siemens ima pravo prekinuti pogođene Usluge bez ikakve štete ili kazne. U slučaju raskida od strane tvrtke Siemens, Pružatelj će proporcionalno vratiti sve unaprijed plaćene iznose za primjenjivu Uslugu.
  • (c) Ako Pružatelj angažira Podizvršitelja obrade za obavljanje određenih aktivnosti obrade (u ime Siemensa i/ili ovlaštenih subjekata), on će to učiniti pisanim ugovorom koji u osnovi predviđa iste obveze zaštite podataka kao i one koje obvezuju Pružatelja prema ovom DPA-u.
  • (d) Pružatelj usluga na zahtjev tvrtke Siemens dostavlja kopiju takvog ugovora o podprocesoru i svih naknadnih izmjena. U mjeri potrebnoj za zaštitu poslovnih tajni ili drugih povjerljivih podataka, uključujući osobne podatke, Pružatelj usluga može urediti tekst ugovora prije dijeljenja kopije.
  • (e) Pružatelj usluga na odgovarajući način i redovito provjerava podprocesora u pogledu usklađenosti s tim zahtjevima i dokumentira rezultate takvih revizija.
  • (f) Pružatelj usluga ostaje u potpunosti odgovoran Siemensu za izvršavanje obveza podprocesora u skladu s njegovim ugovorom s Pružateljem usluga. Pružatelj usluga obavješćuje Siemens o svakom neuspjehu od strane Podprocesora da ispuni svoje obveze iz tog ugovora.

9. MEĐUNARODNA OBRADA PODATAKA

U slučaju ograničenih prijenosa pružatelju usluga, Pružatelj će osigurati da je takav ograničeni prijenos pokriven odgovarajućim zaštitnim mjerama prijenosa kako je navedeno u ovom Odjeljak 9 i Prilog III na ovaj DPA.

  • (a) Standardne ugovorne klauzule. Ako se zaštita prijenosa temelji na standardnim ugovornim klauzulama primjenjuje se sljedeće:

    • EEA-Pružatelji. Ako se Pružatelj nalazi unutar EGP-a, pružatelj će sa svojim podprocesorom sklopiti Standardne ugovorne klauzule (Modul 3). Odjeljci 9 (a) (vii) ("Upravno pravo"), 9 (a) (viii) ("Izbor foruma i nadležnosti"), 9 (a) (ix) (b) ("1. dio dodatka u Velikoj Britaniji"), i druga rečenica odjeljka 9 (a) (x) ("Ovlašteni subjekti u drugim zemljama") ovog DPA-e neće se primjenjivati ako se Pružatelj usluga nalazi u EGP-u.
    • Pružatelji usluga izvan EEA. Ako se Pružatelj nalazi izvan EGP-a, ograničeni prijenos reguliran je modulima 2 i 3 Standardnih ugovornih klauzula. Relevantne odredbe sadržane u Standardnim ugovornim klauzulama ugrađene su referencom i sastavni su dio ovog DPA-e. Informacije potrebne za potrebe Priloga Standardnim ugovornim klauzulama navedene su u Prilozi od I. do IIIna ovaj DPA.
    • Klauzula o pristajanju. Opcija iz klauzule 7 Standardnih ugovornih klauzula neće se primjenjivati.
    • Dalji transferi. Svaki daljnji prijenos mora biti u skladu s klauzulama 8 i 9 primjenjivog modula standardnih ugovornih klauzula. U slučaju da se Siemens nalazi izvan EGP-a i djeluje kao uvoznik podataka prema Standardnim ugovornim klauzulama s ovlaštenim subjektima, klauzula o korisniku treće strane propisana klauzulom 9 (e) Standardnih ugovornih klauzula bit će u korist takvog ovlaštenog subjekta.
    • Korištenje podprocesora.Primjenjuje se opcija 2 prema klauzuli 9 Standardnih ugovornih klauzula. Za potrebe klauzule 9 (a) Standardnih ugovornih klauzula, Pružatelj usluga ima Siemens opće ovlaštenje za angažiranje podprocesora u skladu s Odjeljak 8 ovog DPA.
    • Nadoknada. U slučaju da Pružatelj subjektima podataka nudi mogućnost podnošenja pritužbe neovisnom tijelu za rješavanje sporova (vidi opciju u klauzuli 11 Standardnih ugovornih klauzula), Pružatelj će pismeno obavijestiti Siemens nadležno arbitražno tijelo i poštivati primjenjive zahtjeve sadržane u klauzuli 11 Standardnih ugovornih klauzula i primjenjivim arbitražnim pravilima.
    • Upravljačko pravo. Upravno pravo za potrebe klauzule 17 Standardnih ugovornih klauzula bit će zakon koji je određen u odjeljku o upravljačkom pravu Ugovora. Ako Sporazum nije uređen pravom države članice EU-a, standardne ugovorne klauzule EU-a uređuju se zakonodavstvom Njemačke.
    • Izbor foruma i nadležnosti. Sudovi prema klauzuli 18 Standardnih ugovornih klauzula bit će oni koji su određeni u dijelu mjesta održavanja Ugovora. Ako se Sporazumom ne određuje sud države članice EU-a kao isključivu nadležnost za rješavanje bilo kojeg spora ili tužbe koji proizlaze iz ili u vezi s Sporazumom, stranke se slažu da su sudovi Njemačke isključivu nadležnost za rješavanje svih sporova koji proizlaze iz Standardnih ugovornih klauzula EU-a.
    • Ovlašteni subjekti u Ujedinjenom Kraljevstvu. U slučaju da ograničeni prijenosi potječu od ovlaštenih subjekata koji se nalaze u Ujedinjenom Kraljevstvu, primjenjuje se sljedeće:

      • Dodatak u Velikoj Britaniji. Koristit će se Dodatak Ujedinjenog Kraljevstva, osim ako Siemens nije drukčije pismeno dogovoren.
      • Dio 1 Dodatka u Velikoj Britaniji. Dio 1. dodatka Ujedinjenog Kraljevstva primjenjuje se na sljedeći način:

        1. Tablica 1: Podaci stranaka i ključne kontakt informacije sadržani su u Prilog I. na ovaj DPA.
        2. Tablica 2: Verzija odobrenih EU SCC-ova (kako je definirano u Dodatku Ujedinjenog Kraljevstva) kojima je priložen Dodatak u Velikoj Britaniji, su standardne ugovorne klauzule EU-a s modulima i klauzulama odabranim gore u Odjeljak 9 (a) ovog DPA. Nijedan osobni podatak primljen od Uvoznika ne kombinira se s osobnim podacima koje prikuplja Izvoznik.
        3. Tablica 3: Informacije o Dodatku prema zahtjevu Tablice 3 Dodatka u Velikoj Britaniji sadržane su u Prilozi od I. do III na ovaj DPA.
        4. Tablica 4Nijedna strana ne smije ukinuti Dodatak u Velikoj Britaniji kada se promijeni Odobreni dodatak (kako je definirano u Dodatku u Velikoj Britaniji).
    • Ovlašteni subjekti u drugim zemljama. U slučaju da standardne ugovorne klauzule štite ograničene prijenose od ovlaštenih subjekata koji se nalaze izvan EGP-a i Ujedinjene Kraljevine (npr. Švicarska), (1) opće i posebne reference u standardnim ugovornim klauzulama na GDPR ili pravo EU-a ili države članice imaju isto značenje kao ekvivalentna referenca u primjenjivim zakonima o zaštiti podataka zemlje u kojoj se nalazi ovlašteni subjekt; i (2) upućivanje na "nadležno nadzorno tijelo" tumači se kao upućivanje na nadležno nadzorno tijelo zaštita podataka autoritet u takvoj zemlji. Upravno pravo, izbor foruma i nadležnost uređuju se Odjeljci 9 (a) (vii) i (viii) ovog DPA-e, osim ako zakonima primjenjivim na dotični ovlašteni subjekt nije drugačije propisano, u tom slučaju Standardne ugovorne klauzule uređuju se zakonima zemlje u kojoj se nalazi ovlašteni subjekt, a svako upućivanje na nadležne "sudove" tumačit će se kao upućivanje na nadležne sudove u toj zemlji.
  • Korporativna Rules koja obvezuju procesore. Sljedeće se primjenjuje ako se zaštita prijenosa temelji na korporativnim pravilima obvezujućih za obradu obrade: Pružatelj usluga ugovorno obvezuje takvog podizvršitelja obrade da se pridržava korporativnih Rules koja se obvezuju za obradu obrade u vezi s osobnim podacima koji se obrađuju u skladu s ovim DPA-om.
  • Dodatne zaštitne mjere prijenosa. U slučaju da se zaštitne mjere prijenosa ne temelje na standardnim ugovornim klauzulama, odredbe 14 i 15 Standardnih ugovornih klauzula primjenjuju se mutatis-mutandis na ograničene prijenose u okviru takve druge zaštite prijenosa, osim ako odgovarajuća zaštita prijenosa sadržava ista prava i obveze koje se odnose na (i) lokalne zakone i prakse koje utječu na poštivanje zaštitnih mjera prijenosa i (ii) obveze u slučaju pristupa javnih tijela kao što je navedeno u klauzulama 14 i 15.
  • Ostalo. Pružatelj usluga slaže se i razumije da lokalni primjenjivi zakon o zaštiti podataka može sadržavati slična ili dodatna ograničenja prijenosa kao što je navedeno u ovom Odjeljak 9. U tom slučaju Pružatelj pristaje uložiti razumne napore i surađivati sa Siemens u dobroj vjeri kako bi se riješili tih zahtjeva.

10. POMOĆ PRUŽATELJA USLUGA

Pružatelj usluga će razumno pomoći Siemensu u osiguravanju usklađenosti s primjenjivim zakonom o zaštiti podataka, posebno pružanjem pomoći Siemensu kako slijedi:

  • (a) Ispravljanje, brisanje ili ograničenje obrade. Pružatelj usluga će ili (i) pružiti mogućnost ispravljanja, brisanja ili ograničavanja obrade osobnih podataka putem funkcionalnosti Usluga ili (ii) ispraviti, izbrisati ili ograničiti obradu osobnih podataka prema uputama tvrtke Siemens.
  • (b) Pristup osobnim podacima. U mjeri u kojoj informacije koje se odnose na ispitanika nisu dostupne putem Usluge, pružatelj će, prema potrebi kako bi Siemensu i ovlaštenim subjektima omogućio ispunjavanje svojih obveza prema važećim zakonima o zaštiti podataka, pružiti pomoć da takve informacije budu dostupne Siemensu i/ili ovlaštenim subjektima.
  • (c) Zahtjevi ispitanika i tijela. Pružatelj usluga će odmah obavijestiti Siemens o: (i) svim primljenim zahtjevima ili pritužbama ili obavijestima o istrazi od strane provođenja zakona, vladinog ili regulatornog tijela ili agencije; i (ii) o svakom zahtjevu zaprimljenom izravno od bilo kojeg ispitanika o njihovim osobnim podacima. S obzirom na gore navedene točke (i) i (ii), Pružatelj usluga neće odgovoriti bez uputa tvrtke Siemens. Ako je to upućeno, Pružatelj će razumno podržati Siemens u odgovoru na takve zahtjeve.
  • (d) Prenosivost podataka. Na zahtjev kompanije Siemens i ako to zahtijeva primjenjivi Zakon o zaštiti podataka, pružatelj će ili (i) pružiti mogućnost izvlačenja osobnih podataka upućivanjem na određenog ispitanika u skladu s funkcionalnostima Usluge ili (ii) učiniti relevantni skup podataka dostupnim Siemensu i/ili odgovarajućem ovlaštenom subjektu, u svakom slučaju u strukturiranom, uobičajenom i strojno čitljivom formatu.
  • (e) Procjene utjecaja na zaštitu podataka. Ako Siemens zatraži, pružatelj usluga će pružiti sve informacije i razumnu podršku za provođenje procjena učinka na zaštitu podataka u skladu s primjenjivim zakonima o zaštiti podataka.

11. PRESTANAK ODNOSA OBRADE PODATAKA

Nakon prestanka odnosa obrade podataka, osim ako Siemens nije drugačije uputio ili nije ovdje navedeno, Davatelj će Siemensu vratiti sve Osobne podatke koji su stavljeni na raspolaganje Pružatelju usluga ili koje je Pružatelj pribavio ili generira u vezi s ugovorno dogovorenim Uslugama i neopozivo će izbrisati ili uništiti sve preostale podatke. Brisanje ili uništenje Pružatelj na zahtjev potvrđuje pismeno.

12. OBVEZE OBAVJEŠĆIVANJA

  • (a) Pružatelj usluga obavještava Siemens odmah, ali u svakom slučaju u roku od 48 sati u slučaju da Pružatelj otkrije ili opravdano posumnja na bilo kakvo kršenje podataka.
  • (b) U obavijesti Siemensu pružatelj usluga dostavlja Siemensu sljedeće informacije: (i) podatke o kontaktnoj točki gdje se (ili od koga) može dobiti više informacija, (ii) opis prirode povrede (uključujući, ako je moguće, imena, kategorije i približan broj predmetnih ispitanika i evidencije osobnih podataka), (iii) vjerojatne posljedice i mjere poduzete ili predložene za rješavanje kršenja, uključujući, prema potrebi, mjere za njegovo moguće ublažavanje štetni učinci. Ako i u mjeri u kojoj nije moguće pružiti sve informacije u isto vrijeme, početna obavijest sadržava informacije koje su tada dostupne, a daljnje informacije, kako postanu dostupne, naknadno se dostavljaju bez nepotrebnog odgađanja.
  • (c) Sve obavijesti u skladu s ovim Odjeljak 12 upućuje se (i) na odgovarajuću kontaktnu točku navedenu u Sporazumu i (ii) dataprotection@siemens.com.
  • (d) Pružatelj će, na trošak i trošak Pružatelja, (i) u potpunosti surađivati sa Siemensom u istrazi kršenja podataka; (ii) pomagati i surađivati sa Siemensom u vezi sa svim zakonski potrebnim obavijestima ili objavama pogođenim osobama (individualnom komunikacijom, javnom komunikacijom putem medija ili sličnim mjerama), policiji, regulatorima i/ili drugim trećim stranama; i (iii) poduzeti sve druge radnje koje Siemens smatra potrebnim u vezi s takvim kršenjem podataka i bilo kojim sporom, istragom ili zahtjevom To se odnosi na kršenje podataka.
  • (e) Osim ako primjenjivo pravo ili nalog nadležnog regulatora ne zahtijeva drugačije, Siemens će donijeti konačnu odluku, prema vlastitom nahođenju, (i) zahtijeva li Kršenje podataka obavijest i (ii) o načinu obavijesti. U slučaju da Pružatelj dostavi takve obavijesti u vezi s kršenjem podataka, Siemens mora unaprijed odobriti takve obavijesti.
  • (f) Pružatelj usluga na svoju cijenu poduzima odgovarajuće mjere za rješavanje povrede podataka, uključujući mjere za ublažavanje njegovih štetnih učinaka (uključujući korake za zaštitu operativnog okruženja). Pružatelj usluga također poduzima brze korake kako bi se spriječilo ponavljanje bilo kakvog kršenja podataka, uključujući sve radnje koje zahtijeva primjenjivi zakon o zaštiti podataka.
  • (g) Pružatelj usluga nadoknađuje Siemensu sve troškove i troškove nastale za takvo kršenje podataka uzrokovano Pružateljem usluga, uključujući, ali ne ograničavajući se na troškove pružanja nadzora kredita pojedincima na čije je osobne podatke utjecalo kršenje podataka. Ograničenja odgovornosti u korist Pružatelja prema Ugovoru neće se primjenjivati u tom pogledu.

13. DOKUMENTACIJA I REVIZIJE

  • (a) Pružatelj usluga će (i) odgovarajućim sredstvima nadzirati vlastitu poštivanje svojih obveza zaštite podataka u skladu s ovim DPA-om i primjenjivim Zakonom o zaštiti podataka; (ii) izraditi povezana periodična (barem godišnja) izvješća koja se temelje na prilikama (svaka a"Izvještaj"); i (iii) učiniti Izvješća dostupnima Siemensu i ovlaštenim subjektima na zahtjev. Ako kontrolni standard i okvir koji provodi Pružatelj usluga predviđaju kontrole, takve će se kontrole provoditi u skladu sa standardima i pravilima regulatornog ili akreditacijskog tijela za svaki primjenjivi kontrolni standard ili okvir.
  • (b) Ako je potrebno adekvatno odgovoriti na svoja prava i obveze revizije prema važećem Zakonu o zaštiti podataka, primjenjivim zaštitnim mjerama prijenosa ili ako to zatraži nadležno tijelo za zaštitu podataka ili drugo nadležno vladino tijelo ili agencija, pružatelj će Siemensu i ovlaštenim subjektima - osim izvješća - staviti na raspolaganje sve dodatne informacije koje su razumno zatražili i doprinijeti revizijama, uključujući inspekcije koje provode Siemens ili ovlašteni subjekti. U tu svrhu, Siemens, ovlašteni subjekti ili drugi revizor kojeg je ovlaštio Siemens ili ovlašteni subjekti također imaju pravo provoditi inspekcije na licu mjesta tijekom redovnog radnog vremena, bez ometanja poslovanja Pružatelja usluga i nakon razumne prethodne obavijesti.

14. KORIŠTENJE KOLAČIĆA

Ako Usluga koristi cookies ili slične tehnologije, primjenjuje se sljedeće: Pružatelj će, osim ako Siemens izričito ne dogovori drugačije u odnosu na ovo Odjeljak 14, samo pohranjuju informacije (npr. pisanjem cookie) ili dobivaju pristup informacijama koje su već pohranjene u terminalnoj opremi korisnika Usluge (npr. putem cookie) isključivo u svrhu obavljanja prijenosa komunikacije putem elektroničke komunikacijske mreže, ili kako je to nužno potrebno kako bi Pružatelj pružio osnovne funkcionalnosti Usluga.

15. RAZNO

Pružatelj usluga razumije i slaže se da su zahtjevi u ovom DPA-u sastavni dio Ugovora i da će se značajno kršenje bilo kojeg od tih zahtjeva smatrati značajnim kršenjem Ugovora od strane Pružatelja Ugovora, čime se Siemens daje pravo na materijalne pravne lijekove povezane s kršenjem sadržane u Ugovoru.

16. DODATNI ZAHTJEVI U VEZI SA PODACIMA SIEMENSA

Ako i u mjeri u kojoj Pružatelj pristupa osobnim podacima dobivenim od tvrtke Siemens grupe sa sjedištem u Sjedinjenim Američkim Državama ("Siemensova američka tvrtka") ili ispitanika koji je rezident Sjedinjenih Američkih Država, tada će, osim gore navedenog, pružatelj: (i) pridržavati se američkih saveznih, državnih i lokalnih zakona o osobnim podacima koji se primjenjuju na Pružatelja, takve osobne podatke i vlasnike ili voditelje obrade takvih osobnih podataka; kada je gore navedeno primjenjivo, pojam "Primjenjivi zakon o zaštiti podataka" koji se ovdje koristi uključuje gore navedene zakone; (ii) osim ako je ovdje posebno navedeno u Sporazumu, neće prodavati, dijeliti, iznajmljivati, objavljivati, objavljivati, širiti ili stavljati na raspolaganje Osobne podatke trećim stranama; i neće kombinirati osobne podatke s drugim informacijama; (iii) obavijestiti Siemens ako Pružatelj usluga utvrdi da Pružatelj više ne može ispunjavati svoje obveze iz ovoga; (iv) osigurat će da svaka osoba koja obrađuje osobne podatke podliježe dužnosti povjerljivosti u pogledu osobnih podataka; (v) će se smatrati i djelovati kao "pružatelj usluga" prema važećem Zakonu o zaštiti podataka (uključujući Kalifornijski Zakon o privatnosti potrošača, njegove provedbene propise i sve njihove izmjene); i (vii) ovim potvrđuje da razumije ovdje sadržana ograničenja i da će ih se pridržavati.

Prilog I. DPA (i, prema potrebi, standardne ugovorne klauzule)

A.POPIS STRANAKA

Primatelj usluga/izvoznik podataka:

Naziv:

Siemens entitet naveden na obrascu za izvršenje

Adresa:

Kao što je navedeno u obrascu za izvršenje

Ime kontakta, položaj i podaci za kontakt

Ured Siemensovog službenika za zaštitu podataka

Werner-von-Siemens-Straße 1, 80333 Minhen, Njemačka

E-pošta: datapotection@siemens.com

Aktivnosti relevantne za prenesene/obrađene podatke

Partner će pružati usluge uspjeha korisnika i/ili održavanje i podršku klijentima kako je navedeno u Obrazcu za autorizaciju partnera u skladu s Ugovorom. U obavljanju tih usluga Partner također može imati pristup Siemensovim sustavima i mrežama krajnjih kupaca te pristup osobnim podacima ne može biti isključen.

Uloga (kontroler/procesor)

Siemens djeluje kao voditelj obrade za aktivnosti obrade koje Pružatelj usluga pruža prema Siemensu i kao izvršitelj obrade prema uputama svojih ovlaštenih subjekata za aktivnosti obrade koje pruža Pružatelj u odnosu na ovlaštene subjekte.

Dobavljač/uvoznik podataka:

Naziv:

Subjekt pružatelja naveden na obrascu za izvršenje

Adresa:

Kao što je navedeno u obrascu za izvršenje

Ime kontakta, položaj i podaci za kontakt

Kao što je navedeno na obrascu za autorizaciju partnera

Aktivnosti relevantne za prenesene/obrađene podatke

Pogledajte gornju tablicu

Uloga (kontroler/procesor)

Pružatelj usluga djeluje kao izvršitelj obrade osobnih podataka u ime Siemensa i, ovisno o slučaju, ovlaštenih subjekata.

B.OPIS OPERACIJA PRIJENOSA/OBRADE

Kategorije ispitanika čiji se osobni podaci prenosi/obrađuju:

☒ Zaposlenici i osoblje (uključujući podnositelje zahtjeva, redovne, privremene, skraćeno radno vrijeme, pripravnike, izvođače radova i agente)

☒ Kontakt osobe kod poslovnih partnera, dobavljača, dobavljača i drugih partnera za suradnju

☒ Kupci i/ili njihovi zaposlenici i osoblje (uključujući podnositelje zahtjeva, redovne, privremene, skraćeno radno vrijeme, pripravnike, izvođače i agente)

☒ Korisnici Siemensovih softverskih proizvoda/usluga

☐ Ostalo, navedite:

Daljnji pogođeni ispitanici čiji su osobni podaci sadržani u aplikaciji ili IT sustavu koji je u opsegu pruženih Usluga.

Kategorije prijenosnih/obrađenih osobnih podataka

☒ Podaci za kontakt (kao što su ime, adresa, broj telefona ili faksa, adresa e-pošte itd.)

☒ Organizacijska organizacija (kao što je radno mjesto, odjel itd.)

☒ Podaci o lokaciji (poput GPS-a itd.)

☐ Vladini i osobni identifikatori (kao što su broj socijalnog osiguranja, broj vozačke dozvole, broj socijalnog osiguranja itd.)

☐ Financijski podaci (kao što su prihodi, dosje o zajmovima, transakcije, kreditne informacije, navike kupnje i potrošnje, status nesolventnosti itd.)

☐ Podaci o zapošljavanju (kao što su podaci o zapošljavanju i kvalifikacija, podaci o naknadama i platnim spiskovima, podaci o identifikaciji zaposlenika, status zaposlenika, podaci o posjećenosti, podaci o povijesti rada itd.)

☒ Podaci o korisničkom računu (kao što su korisničko ime/ID i lozinka itd.)

☒ Informacije vezane uz korištenje IT sredstava od strane ispitanika (kao što su IP adresa, podaci za prijavu, vjerodajnice itd.)

☐ Podaci o financijskom računu (kao što su podaci o bankarstvu/kreditnoj kartici, brojevi računa, brojevi kreditnih kartica itd.)

☐ Ostalo; molimo navedite:

Svi daljnji osobni podaci sadržani u aplikaciji ili IT sustavu koji su u opsegu pruženih Usluga.

Posebne kategorije osobnih podataka kojima se treba pristupiti ili obrađivati

☐ Informacije o rasnom ili etničkom podrijetlu

☐ Informacije o političkim mišljenjima

☐ Informacije o vjerskim ili filozofskim uvjerenjima

☐ Informacije o članstvu u sindikatima

☐ Informacije o seksualnom životu ili seksualnoj orijentaciji

☐ Biometrijski podaci

☐ Genetski podaci

☐ Zdravstveni podaci (kao što su mentalni ili tjelesni invaliditet, obiteljska anamneza, osobna povijest bolesti, medicinska dokumentacija, recepti itd.)

☐ Ostalo; molimo navedite:

Ograničenja ili zaštitne mjere koje se primjenjuju na takve osjetljive osobne podatke opisane su u Prilog II ovom DPA

Učestalost prijenosa (pristup/obrada)

☐ Pružatelj usluga ugošćuje osobne podatke u ime Siemensa i, ovisno o slučaju, ovlaštenih subjekata

☒ Pružatelj usluga daljinski pristupa osobnim podacima prilikom pružanja usluga

☒ na jednokratnoj osnovi

☒ kontinuirano

☐ Pružatelj na drugi način obrađuje osobne podatke prilikom pružanja usluga

☐ na jednokratnoj osnovi

☐ kontinuirano

Priroda obrade

☐ Kolekcija

☒ Snimanje

☒ Organizacija

☒ Strukturiranje

☐ Skladištenje

☒ Prilagodba ili izmjena

☐ Preuzimanje

☒ Savjetovanje

☒ Koristite

☐ Objavljivanje prijenosom

☐ Diseminacija

☐ Inače stavljanje na raspolaganje

☐ Poravnanje ili kombinacija

☐ Ograničenje

☐ Brisanje ili uništavanje podataka

☒ Daljinski pristup

☐ Ostalo:

Svrha/aktivnosti relevantne za prenesene/obrađene podatke

☒ Pružatelj usluga pruža usluge održavanja i podrške i mogu imati pristup, uključujući daljinski pristup osobnim podacima.

☐ Pružatelj usluga pruža profesionalne usluge obavljanjem usluga u vezi s aplikacijom/sustavom ili mrežom kao što su: instalacija, konfiguracija ili migracija podataka ili druge povezane IT usluge i mogu imati pristup, uključujući daljinski pristup Osobnim podacima.

☐ Pružatelj usluga pruža Upravljane usluge, uključujući upravljanje podatkovnim centrom i infrastrukturom, upravljanje sigurnosnim kopijama i oporavkom te mogu imati pristup, uključujući daljinski pristup osobnim podacima.

☐ Pružatelj usluga pruža XaaS (Software, platforma ili infrastruktura kao usluga) pružanjem usluga hostinga, rada, upravljanja i održavanja i podrške.

☒ Ostalo: Pružatelj usluga pruža usluge uspjeha kupaca i može imati pristup, uključujući daljinski pristup, osobnim podacima.

Trajanje

☐ Osobni podaci čuvat će se tijekom razdoblja trajanja Ugovora.

☐ Osobni podaci čuvat će se tijekom razdoblja od:

☒ Ostalo: Osobni podaci čuvat će se tijekom razdoblja narudžbe, osim ako nije drugačije navedeno.

Za prijenose podprocesorima navedite i predmet, prirodu i trajanje obrade

Predmet, priroda i trajanje obrade navedeni su po podprocesoru u Prilog III na ovaj DPA.

C.NADLEŽNO NADZORNO TIJELO

Ako Siemens ima poslovni nastan u državi članici EU-a, nadzorno tijelo koje je odgovorno za osiguravanje usklađenosti tvrtke Siemens s GDPR-om u pogledu prijenosa podataka djeluje kao nadležno nadzorno tijelo. Za Siemens Aktiengesellschaft, Njemačka, nadzorno tijelo je:

Bayerski državni odbor za provjeru podataka (BayLDA)

Šetalište 18

91522 Ansbach

Njemačka

Ako Siemens nema poslovni nastan u državi članici EU-a, ali spada u teritorijalno područje primjene GDPR-a u skladu s njezinim člankom 3. stavkom 2., nadzorno tijelo države članice u kojoj ima poslovni nastan zastupnik u smislu članka 27. stavka 1. GDPR-a djeluje kao nadležno nadzorno tijelo; naime:

Bayerski državni odbor za provjeru podataka (BayLDA)

Šetalište 18

91522 Ansbach

Njemačka

Prilog II. DPA (i, prema potrebi, standardne ugovorne klauzule)

Tehničke i organizacijske mjere (uključujući tehničke i organizacijske mjere za osiguravanje Security podataka)

Sljedeće mjere primjenjuju se samo na Pružatelja usluga u mjeri u kojoj su temeljni IT sustavi, mreže i aplikacije odgovorni i/ili pod skrbništvom ili kontrolom Pružatelja usluga. Opis tehničkih i organizacijskih sigurnosnih mjera koje provodi Pružatelj usluga i njegovi podprocesori:

#

Mjere

Sfera

ID pravila

Fizička i ekološka Security

Pružatelj usluga provodi odgovarajuće mjere kako bi se spriječilo da neovlaštene osobe dobiju pristup opremi za obradu podataka (naime poslužiteljima baze podataka i aplikacija te povezanom hardveru). To se postiže:

uspostavljanje sigurnosnih područja;

zaštita i ograničavanje pristupnih putova;

osiguravanje decentralizirane opreme za obradu podataka i osobnih računala;

utvrđivanje odobrenja za pristup zaposlenima i trećim stranama, uključujući odgovarajuću dokumentaciju;

propisi o pristupnim karticama;

ograničenja pristupnih kartica;

sav pristup podatkovnom centru u kojem se nalaze osobni podaci bit će evidentiran, praćen i praćen;

podatkovni centar u kojem se nalaze osobni podaci zaštićen je kontrolom ograničenog pristupa i drugim odgovarajućim sigurnosnim mjerama; i

održavanje i pregled prateće opreme u IT područjima i podatkovnim centrima obavlja samo ovlašteno osoblje.

11.1.1-02

Kontrola pristupa (IT-sustavi i/ili IT-aplikacija)

Pružatelj usluga implementira koncept uloga i odgovornosti.

06.1.1-01

Pružatelj usluga implementira okvir za autorizaciju i provjeru autentičnosti koji uključuje, ali ne ograničavajući se na, sljedeće elemente:

provedene kontrole pristupa temeljene na ulogama;

postupak stvaranja, izmjene i brisanja implementiranih računa;

pristup IT sustavima i aplikacijama zaštićen je mehanizmima provjere autentičnosti;

primjenjuju se odgovarajuće metode provjere autentičnosti na temelju karakteristika i tehničkih mogućnosti informacijskog sustava ili aplikacije;

pristup informacijskim sustavima i aplikacijama zahtijeva barem dvofaktorsku provjeru autentičnosti za povlaštene račune;

sav pristup osobnim podacima bilježi se, prati i prati;

provedene mjere autorizacije i evidentiranja za ulazne mrežne veze s IT sustavima i aplikacijama (uključujući vatrozidove za dopuštanje ili uskraćivanje ulaznih mrežnih veza);

privilegirana prava pristupa IT sustavima, aplikacijama i mrežnim uslugama odobravaju se samo pojedincima kojima je to potrebno za obavljanje svojih zadataka (načelo najmanje privilegije);

povlaštena prava pristupa IT sustavima i aplikacijama dokumentiraju se i ažuriraju;

prava pristupa IT sustavima i aplikacijama redovito se pregledavaju i ažuriraju;

implementirana pravila lozinke, uključujući zahtjeve u pogledu složenosti lozinke, minimalne duljine i isteka nakon odgovarajućeg vremenskog razdoblja, bez ponovne uporabe nedavno korištenih lozinki;

IT sustavi i aplikacije tehnički provode politiku lozinki;

prava pristupa zaposlenika i vanjskog osoblja informacijskim sustavima i aplikacijama uklanjaju se odmah nakon prestanka radnog odnosa ili ugovora;

osigurano korištenje najsuvremenijih sigurnih potvrda za provjeru autentičnosti.

09.1.1-02

09.1.1-03

09.2.3-01

09.4.2-02

IT sustavi i aplikacije automatski se zaključavaju ili prekidaju sesiju nakon prekoračenja razumno definiranog roka mirovanja.

11.2.9-03

11.2.9-04

Pružatelj usluga ograničava privilegirani pristup resursima u oblaku na pojedinačne ili određene raspone IP adresa.

ST002-0008

Privilegirani pristup imovini u oblaku vrši se putem bastionskog hosta.

ST002-0009

Pružatelj usluga održava postupke prijave na IT sustave sa zaštitnim mjerama protiv sumnjivih aktivnosti prijave (npr. protiv napada grube sile i nagađanja lozinki).

09.4.2-02

Kontrola dostupnosti

Provajder štiti sustave i aplikacije od zlonamjernog softvera primjenom odgovarajućih i najsuvremenijih rješenja protiv zlonamjernog softvera.

12.2.1-01

Davatelj definira, dokumentira i implementira koncept sigurnosne kopije za IT sustave, uključujući sljedeće tehničke i organizacijske elemente:

medij za pohranu sigurnosnih kopija zaštićen je od neovlaštenog pristupa i prijetnji okolišu (npr. Toplina, vlaga, požar);

definirani intervali rezervnih kopija; i

obnavljanje podataka iz sigurnosnih kopija redovito se testira na temelju kritičnosti IT sustava ili aplikacije.

12.3.1-01

Davatelj pohranjuje sigurnosne kopije na fizičkoj lokaciji koja se razlikuje od lokacije na kojoj se nalazi produktivni sustav.

ST002-0013

IT sustavi i aplikacije u neproizvodnim okruženjima logički su ili fizički odvojeni od IT sustava i aplikacija u proizvodnim okruženjima.

12.1.4-01

Podatkovni centri u kojima se pohranjuju ili obrađuju osobni podaci zaštićeni su od prirodnih katastrofa, fizičkih napada ili nesreća.

11.1.4-02

Pomoćna oprema u IT područjima i podatkovnim centrima, kao što su kablovi, struja, telekomunikacijski objekti, vodoopskrbni ili klimatizacijski sustavi zaštićeni su od poremećaja i neovlaštenih manipulacija.

11.1.4-02

Operativna Security

Pružatelj usluga održava i implementira Okvir informacijske sigurnosti koji odražava ovdje opisane mjere, koji se redovito pregledava i ažurira.

05.1.1-01

Provajder bilježi događaje relevantne za sigurnost, kao što su aktivnosti upravljanja korisnicima (npr. stvaranje, brisanje), neuspjele prijave, promjene sigurnosne konfiguracije sustava na IT sustavima i aplikacijama.

12.4.1-01

Pružatelj usluga kontinuirano analizira podatke dnevnika odgovarajućih IT sustava i aplikacija za anomalije, nepravilnosti, pokazatelje kompromisa i druge sumnjive aktivnosti.

12.4.1-03

Pružatelj usluga redovito pregledava i testira IT sustave i aplikacije na sigurnosne ranjivosti.

12.6.1-01

Pružatelj usluga implementira i održava proces upravljanja promjenama za IT sustave i aplikacije.

12.1.2-01

Pružatelj usluga održava postupak ažuriranja i implementacije sigurnosnih ispravki i ažuriranja dobavljača na odgovarajućim IT sustavima i aplikacijama.

12.6.1-03

Pružatelj usluga nepovratno briše podatke ili fizički uništava medij za pohranu podataka prije odlaganja ili ponovne uporabe IT sustava.

11.2.7-01

Kontrole prijenosa

Pružatelj usluga redovito dokumentira i ažurira mrežne topologije i svoje sigurnosne zahtjeve.

13.1.1-02

Pružatelj usluga kontinuirano i sustavno prati IT sustave, aplikacije i relevantne mrežne zone radi otkrivanja zlonamjernih i abnormalnih mrežnih aktivnosti

Zaštitni zidovi (npr. zaštitni zidovi sa stanjem, zaštitni zidovi aplikacija);

Proxy poslužitelji;

Sustavi za otkrivanje upada (IDS) i/ili sustavi za sprječavanje upada (IPS);

filtriranje URL-a; i

Sustavi sigurnosnih informacija i upravljanja događajima (SIEM).

13.1.1-06

Pružatelj usluga upravlja IT sustavima i aplikacijama koristeći najsuvremenije šifrirane veze.

13.1.3-09

Pružatelj usluga štiti integritet sadržaja tijekom prijenosa pomoću najsuvremenijih mrežnih protokola, kao što je TLS.

13.2.3-05

Pružatelj usluga šifrira ili omogućuje svojim pružateljima usluga šifriranje podataka pružatelja usluga koji se prenose putem javnih mreža.

ST002-0017

Pružatelj usluga koristi sigurne sustave za upravljanje ključevima (KMS) za pohranu tajnih ključeva u oblak.

ST002-0018

Security incidenti

Pružatelj usluga održava i provodi postupak rješavanja incidenata, uključujući, ali ne ograničavajući se na:

evidencije o kršenjima sigurnosti;

postupke obavijesti davatelja usluga; i

shema odgovora na incidente za rješavanje sljedećih pitanja u trenutku incidenta: (i) uloge, odgovornosti te komunikacijske i kontaktne strategije u slučaju kompromisa (ii) posebni postupci odgovora na incidente i (iii) pokrivenost i odgovori svih kritičnih komponenti sustava.

06.1.3-01

Upravljanje imovinom, nabava sustava, razvoj i održavanje

Davatelj identificira i dokumentira zahtjeve informacijske sigurnosti prije razvoja i nabave novih IT sustava i aplikacija, kao i prije poboljšanja postojećih IT sustava i aplikacija.

14.1.1-01

Pružatelj usluga uspostavlja formalni postupak za kontrolu i provođenje promjena razvijenih aplikacija.

14.2.2-01

Pružatelj usluga planira i uključuje sigurnosne testove u životni ciklus razvoja sustava IT sustava i aplikacija.

14.2.8-01

Pružatelj usluga implementira odgovarajući postupak sigurnosnog zakrpanja koji uključuje:

praćenje komponenata zbog potencijalnih slabosti (CVE);

prioritetna ocjena fiksa;

pravovremena provedba popravka; i

preuzimanje zakrpa iz pouzdanih izvora.

08.1.1-01

PR001-0001

Security ljudskih resursa

Pružatelj usluga provodi sljedeće mjere u području sigurnosti ljudskih resursa:

zaposlenici s pristupom osobnim podacima vezani su obvezama povjerljivosti; i

zaposlenici s pristupom osobnim podacima redovito se obučavaju o važećim zakonima i propisima o zaštiti podataka.

07.1.1-01

Pružatelj usluga provodi postupak odbacivanja za zaposlenike pružatelja usluga i vanjske dobavljače.

07.3.1-02

08.1.4-01

Kriptografija (relevantna za DP u kontekstu mrežnih usluga)

Pružatelj usluga koristi najsuvremenije sigurne certifikate i implementira sljedeće:

digitalni certifikati prihvaćaju se i vjeruju samo ako je digitalni certifikat izdalo pouzdano tijelo za certificiranje;

certifikati se koriste i dodjeljuju namjenskim IT-sustavima i aplikacijama; i

provjerava se valjanost digitalnih certifikata.

07.1.1-01

Pružatelj usluga implementira postupak upravljanja i implementacije kriptografskih ključeva, uključujući pravila i zahtjeve za generiranje, pohranu, sigurnosno kopiranje, distribuciju i opozivanje kriptografskih ključeva.

07.3.1-02

08.1.4-01

Prilog III. DPA (i, prema potrebi, standardne ugovorne klauzule)

POPIS PODPROCESORA I LOKACIJA PODATKOVNIH CENTARA

"Obrazac za autorizaciju partnera" navodi

subjekti (uključujući Partnere i podprocesore) koji se bave pohranju/hostingom osobnih podataka,

Primjenjive lokacije podatkovnog centra,

Podobrađivači koji se bave obradom osobnih podataka u svrhe nepohranjivanja/hostinga,

koji su ovdje uključeni ovom referencom.

Pružatelj usluga neće prenositi osobne podatke s odgovarajuće lokacije podatkovnog centra bez pristanka tvrtke Siemens. Mehanizam obavijesti i prigovora sadržan u Odjeljak 8 neće se primjenjivati u tom pogledu.