Partnerių duomenų apsaugos priedas
Toliau pateiktas Partnerio duomenų apsaugos priedas yra Partnerių programos sutarties dalis ir nustato asmens duomenų tvarkymo sąlygas.
1. BENDRASIS
Šis partnerių duomenų apsaugos priedas (”DPA“) yra Partnerių programos sutarties dalis (”Susitarimas“) ir nustato papildomas sąlygas, susijusias su asmens duomenų tvarkymu. Sąvokos didžiosiomis raidėmis turi prasmę, apibrėžtą kitame šio dokumento skyriuje arba kitoje Sutarties dalyje. Jei kyla konfliktas tarp šios DPA sąlygų ir bet kurių kitų Sutarties sąlygų, ši DPA bus viršenybė. Šioje DPA prasme “Teikėjas” reiškia partnerį.
2. APIBRĖŽIMAI
- a) “Taikomi duomenų apsaugos įstatymai” reiškia visus taikytinus teisės aktus, susijusius su Asmens duomenų tvarkymu pagal Susitarimą, įskaitant, bet neapsiribojant, (i) Asmens duomenims, kilusiems iš įgaliotojo subjekto, esančio EEE, Bendrąjį duomenų apsaugos reglamentą (ES) 2016/679 (”GDPR“), ir (ii) Asmens duomenims, kilusiems iš JK esančio įgaliotojo subjekto, JK BDAR ir JK duomenų apsaugos įstatymo 2018 m.
- b) “Įgaliotas subjektas” tai bet kuris subjektas (įskaitant “Siemens” ir jo grupės įmones), veikiantis Controller ir pagal Sutartį turintis teisę tiesiogiai ar netiesiogiai naudotis Paslaugomis ar jomis naudotis.
- c) “Controller” reiškia fizinį ar juridinį asmenį, kuris vienas ar kartu su kitais nustato Asmens duomenų tvarkymo tikslus ir priemones.
- d) “Šalis, gavusi sprendimą dėl tinkamumo” tai bet kuri šalis, kuriai ES Komisija nusprendė, kad tokia šalis užtikrina tinkamą duomenų apsaugos lygį, o asmens duomenims, kilusiems iš JK, bet kuri šalis, kuriai pagal 2018 m. Duomenų apsaugos įstatymo 17A arba 74A skirsnius buvo priimti JK tinkamumo reglamentai.
- (e) “Duomenų pažeidimas“reiškia bet kokį saugumo pažeidimą (i), dėl kurio perduodami, saugomi ar kitaip tvarkomi Asmens duomenys atsitiktinai ar neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami arba prieiga prie jų, arba (ii) reikėtų pranešti apie tokį įvykį bet kuriai trečiajai šaliai pagal galiojančius įstatymus.
- f) “EEE” reiškia Europos ekonominę erdvę.
- g) “ES standartinės sutarčių sąlygos” reiškia standartines sutarčių sąlygas (ES) 2021/914.
- h) “Kilmės sritis” reiškia EEE, JK, Šveicariją ir kiekvieną šalį, kuriai taikomi panašūs pakankamumo reikalavimai, kaip nurodyta 45 ir paskesniuose straipsniuose. GDPR.
- (i) “Asmens duomenys” reiškia bet kokią informaciją, susijusią su identifikuotu ar identifikuojamu fiziniu asmeniu; identifikuojamas fizinis asmuo yra tas, kurį galima tiesiogiai ar netiesiogiai identifikuoti, visų pirma nurodant identifikatorių, pvz., vardą, identifikavimo numerį, buvimo vietos duomenis, internetinį identifikatorių arba vieną ar kelis veiksnius, būdingus to fizinio asmens fizinei, fiziologinei, genetinei, psichinei, ekonominei, kultūrinei ar socialinei tapatybei.
- j) “Apdorojimas” (ir kitos jos formos, pvz., Procesai, Tvarkomi) — tai bet kokia operacija arba operacijų rinkinys, atliekamas su Asmens duomenimis arba Asmens duomenų rinkiniais, automatizuotomis priemonėmis, pvz., rinkimu, įrašymu, organizavimu, struktūrizavimu, saugojimu, pritaikymu ar keitimu, gavimu, naudojimu, atskleidimu perduodant, platinant ar kitokiu būdu sudarant prieinamumą, derinimą ar derinimą, apribojimą, ištrynimą ar sunaikinimą.
- k) “Procesorius” tai fizinis ar juridinis asmuo, valdžios institucija, agentūra ar bet kuri kita įstaiga, kuri Valdytojo vardu tvarko Asmens Controller.
- l) “Procesorių privalomos įmonės Rules” reiškia privalomas įmonių taisykles perdirbėjams, kurias patvirtina kompetentinga priežiūros institucija.
- (m) “Apriboti asmens duomenys” tai bet kokie Asmens duomenys, gaunami iš įgaliotojo subjekto, esančio kilmės zonoje.
- (n) “Ribotas (-ai) perdavimas (-ai)” reiškia bet kokį Ribotų Asmens duomenų tvarkymą (įskaitant perdavimą, tarptautinę prieigą ir tolesnį perdavimą), kurį atlieka Teikėjas arba bet kuris jo Subtvarkytojas už atitinkamos kilmės vietos ribų.
- (o) “Paslaugos” tai Paslaugos pagal Sutartį teikiamos Teikėjo, atliekančio savo kaip Tvarkytojo vaidmenį, kaip apibrėžta šioje DPA.
- p) “Standartinės sutarties sąlygos” reiškia ES standartines sutarčių sąlygas ir JK standartines sutarčių sąlygas.
- q) “Subprocesorius (-ai)” tai bet kuris kitas Tvarkytojas, užsiimantis Paslaugų teikimu.
- r) “Perdavimo apsauga (-os)” reiškia atitinkamas riboto perdavimo apsaugos priemones, kaip reikalaujama pagal taikomus duomenų apsaugos įstatymus, įskaitant, be apribojimų, bet kokias atitinkamas apsaugos priemones, kurių reikalaujama pagal BDAR 46 straipsnį.
- (s) “JK GDPR” reiškia BDAR, įtrauktą į Jungtinės Karalystės teisę pagal 2018 m. Jungtinės Karalystės Europos Sąjungos (pasitraukimo) įstatymo 3 skirsnį.
- (t) “Jungtinės Karalystės standartinės sutarčių sąlygos” reiškia tokias standartines duomenų apsaugos sąlygas, kurias retkarčiais priima Jungtinės Karalystės informacijos komisarų biuras (ICO) pagal JK BDAR 46 straipsnio 2 dalį, įskaitant, bet neapsiribojant, tarptautinę duomenų perdavimo sutartį (JK IDTA) ir ES standartines sutarčių sąlygas su pakeitimais, padarytais ICO Tarptautinio duomenų perdavimo priedu prie ES Komisijos standartinių sutarčių sąlygų (JK priedas“). [1]
3. TAIKOMŲ DUOMENŲ APSAUGOS TEISĖS AKTŲ LAIKYMASIS
Šalys laikosi galiojančių duomenų apsaugos įstatymų, kaip jie joms taikomi ir kaip reikalaujama čia. Teikdamas Paslaugas, Teikėjas visų pirma laikosi Taikomų duomenų apsaugos įstatymo nuostatų dėl Asmens duomenų tvarkymo, kaip Tvarkytojo.
4. TVARKYMO APIMTIS
Teikėjas tvarko Asmens duomenis tik (a) laikydamasis šios DPA ir Sutarties sąlygų; arba (b) kitais dokumentais pagrįstais Siemens nurodymais. Teikėjas netvarko Asmens duomenų savo tikslais ir neperduoda jų tretiesiems asmenims, išskyrus atvejus, kai tai leidžia ši DPA. Teikėjas nedelsdamas informuoja Siemens, jei, jo nuomone, Siemens nurodymas pažeidžia Taikomus duomenų apsaugos įstatymus.
5. IŠSAMI INFORMACIJA APIE PATEIKTAS APDOROJIMO OPERACIJAS
Išsami informacija apie Teikėjo pateiktas Tvarkymo operacijas - visų pirma Tvarkymo objektas, Tvarkymo pobūdis ir tikslas, tvarkomų Asmens duomenų rūšys ir paveiktų duomenų subjektų kategorijos - yra nurodyta I priedas į šį DPA.
6. TECHNINĖS IR ORGANIZACINĖS PRIEMONĖS
Atsižvelgdamas į technikos pažangumą, įgyvendinimo išlaidas ir Tvarkymo pobūdį, apimtį, kontekstą ir tikslus, taip pat į įvairaus pavojingumo ir sunkumo riziką fizinių asmenų teisėms ir laisvėms, Teikėjas įgyvendina tinkamas technines ir organizacines priemones, užtikrinančias riziką atitinkantį saugumo lygį, įskaitant, bet neapsiribojant, atitinkamai: a) asmens duomenų pseudonizavimą ir šifravimą; b) galimybę užtikrinti konfidencialumas, vientisumas, prieinamumas ir atsparumas Tvarkymo sistemos ir paslaugos; c) galimybė laiku atkurti asmens duomenų prieinamumą ir prieigą prie jų fizinio ar techninio incidento atveju; d) procesas, skirtas reguliariai tikrinti, vertinti ir įvertinti techninių ir organizacinių priemonių, skirtų Tvarkymo saugumui užtikrinti, veiksmingumą. Nepažeisdamas ankstesnio sakinio bendrumo, Teikėjas visada įgyvendina bent technines ir organizacines priemones, aprašytas II priedasį šį DPA.
7. ĮSIPAREIGOJIMAS LAIKYTIS KONFIDENCIALUMO
Teikėjas riboja savo personalo prieigą prie Asmens duomenų pagal poreikį žinoti. Teikėjas pateikia išsamų pranešimą savo darbuotojams apie galiojančias įstatymų ir sutarčių nuostatas dėl duomenų apsaugos. Teikėjas įpareigoja savo darbuotojus laikytis tokių nuostatų ir visų pirma laikyti Asmens duomenis paslaptyje ir netvarkyti Asmens duomenų kitaip nei pagal “Siemens” nurodymus. Prievolė saugoti paslaptį toliau galioja pasibaigus šios Sutarties galiojimui ir personalo sutartiniams santykiams su Teikėju. Teikėjas pateiks tokio įsipareigojimo įrodymą gavęs prašymą.
8. SUBPROCESORIAI
- a) Teikėjas turi “Siemens” bendrąjį įgaliojimą įtraukti subtvarkytojus. Dabartinis tiekėjo užsakytų antrinių duomenų tvarkytojų sąrašas pateikiamas III priedas į šį DPA.
- b) Teikėjas bent prieš 30 dienų raštu informuoja Siemens apie visus numatomus to sąrašo pakeitimus papildant ar pakeičiant Subprocesorius. Teikėjas pateikia Siemens informaciją, reikalingą, kad Siemens galėtų pasinaudoti teise prieštarauti. Jei per šį 30 dienų laikotarpį Siemens nepareiškia prieštaravimų, tai laikoma naujojo subprocesoriaus patvirtinimu. Jei Siemens pareikš prieštaravimų, Teikėjas, prieš suteikdamas įgaliojimą Subtvarkytojui susipažinti su Asmens duomenimis, dės pagrįstas pastangas, kad pašalintų “Siemens” išreikštus rūpesčius ir išlygas ir (i) nesinaudoja Subtvarkytoju; arba (ii) pasiūlys “Siemens” pagrįstą Paslaugų ar “Siemens” konfigūracijos ar naudojimosi Paslaugomis pakeisti, kad būtų išvengta Asmens duomenų tvarkymo naujo Subtvarkytojo. Jei Teikėjas negali pašalinti Siemens prieštaravimo pagrindų, Siemens turi teisę nutraukti paveiktas Paslaugas be jokių nuostolių ar baudų. Jei Siemens nutraukimą nutraukia, Teikėjas proporcingai grąžins visas iš anksto sumokėtas sumas už taikomą Paslaugą.
- c) Kai Teikėjas įtraukia Subtvarkytoją konkrečios duomenų tvarkymo veiklos vykdymui (Siemens ir (arba) įgaliotų subjektų vardu), jis tai daro sudarydamas rašytinę sutartį, kurioje iš esmės numatyti tie patys duomenų apsaugos įsipareigojimai, kaip ir privalomi Teikėjui pagal šią DPA.
- d) Teikėjas Siemens prašymu pateikia tokios Subprocesoriaus sutarties kopiją ir visus vėlesnius pakeitimus Siemens. Tiek, kiek tai būtina verslo paslaptims ar kitai konfidencialiai informacijai, įskaitant asmens duomenis, apsaugoti, Teikėjas gali redaguoti sutarties tekstą prieš dalijantis kopija.
- e) Teikėjas tinkamai ir reguliariai atlieka Subduomenų tvarkytojo auditą, ar laikomasi šių reikalavimų, ir dokumentuoja tokių auditų rezultatus.
- f) Teikėjas lieka visiškai atsakingas Siemens už Subtvarkytojo įsipareigojimų pagal jo sutartį su Teikėju vykdymą. Teikėjas informuoja Siemens apie bet kokį Subtvarkytojo nevykdymą savo įsipareigojimų pagal tą sutartį.
9. TARPTAUTINIS DUOMENŲ APDOROJIMAS
Ribotų pervedimų teikėjui atveju Teikėjas užtikrina, kad tokiam ribotam perdavimui būtų taikomos tinkamos Perdavimo apsaugos priemonės, nustatytos šiame 9 skirsnis ir III priedas į šį DPA.
- a) Standartinės sutarties sąlygos. Jei perdavimo apsaugos priemonė grindžiama standartinėmis sutarties sąlygomis, taikomos šios nuostatos:
- EEE-Teikėjai. Jei Teikėjas yra EEE teritorijoje, Teikėjas su savo Subtvarkytoju sudaro Standartines sutarčių sąlygas (3 modulis). 9 skirsnio a punkto vii papunktis (“Valdančioji teisė”), 9 a punkto viii papunktis (“Forumo ir jurisdikcijos pasirinkimas”), 9 punkto a papunkčio ix punkto b papunktis (JK priedo 1 dalis) ir 9 skirsnio a punkto x papunkčio antrasis sakinys (“Įgalioti subjektai kitose šalyse”) šios DPA netaikomos, jei Teikėjas yra EEE.
- NE EEE teikėjai. Jei Teikėjas yra už EEE ribų, Ribotą perdavimą reglamentuoja Standartinių sutarčių sąlygų 2 ir 3 moduliai. Atitinkamos nuostatos, pateiktos standartinėse sutarčių sąlygose, yra įtrauktos nuorodomis ir yra neatskiriama šios DPA dalis. Informacija, reikalinga standartinių sutarčių sąlygų prieduose, yra pateikta I—III priedaiį šį DPA.
- Prijungimo sąlyga. Standartinių sutarčių sąlygų 7 punkte numatyta galimybė netaikoma.
- Tolesni pervedimai. Bet koks tolesnis perdavimas turi atitikti taikomo standartinių sutarčių sąlygų modulio 8 ir 9 punktus. Jei “Siemens” yra už EEE ribų ir pati veikia kaip duomenų importuotojas pagal standartines sutarčių sąlygas su įgaliotais subjektais, trečiosios šalies naudos gavėjo sąlyga, numatyta Standartinių sutarčių sąlygų 9 punkto e papunktyje, yra tokio įgaliotojo subjekto naudai.
- Subprocesorių naudojimas.Taikoma 2 galimybė pagal Standartinių sutarčių sąlygų 9 punktą. Taikant Standartinių sutarčių sąlygų 9 punkto a papunktį, teikėjas turi bendrą “Siemens” įgaliojimą įtraukti Subtvarkytojus pagal 8 skirsnis iš šios DPA.
- Žalos gynimas. Jei Teikėjas suteikia duomenų subjektams galimybę pateikti skundą nepriklausomai ginčų sprendimo institucijai (žr. Standartinių sutarčių sąlygų 11 punkte pateiktą variantą), Teikėjas raštu informuoja atsakingą arbitražo įstaigą Siemens ir laikosi standartinių sutarčių sąlygų 11 punkte nurodytų taikomų reikalavimų ir taikomų arbitražo taisyklių.
- Reguliuojanti teisė. Standartinių sutarčių sąlygų 17 punkte reglamentuojanti teisė yra teisė, nurodyta Sutarties reguliavimo teisės skyriuje. Jei Susitarimui nereglamentuoja ES valstybės narės teisė, ES standartines sutarčių sąlygas reglamentuoja Vokietijos įstatymai.
- Forumo ir jurisdikcijos pasirinkimas. Pagal Standartinių sutarties sąlygų 18 punktą teismai yra tie, kurie nurodyti Sutarties vietos skyriuje. Jei Susitarime nėra paskirtas ES valstybės narės teismas, turintis išimtinę jurisdikciją spręsti bet kokį ginčą ar ieškinį, kilusį iš Susitarimo ar su ja susijusią, šalys susitaria, kad Vokietijos teismai turi išimtinę jurisdikciją spręsti visus ginčus, kylančius iš ES standartinių sutarčių sąlygų.
- Įgalioti subjektai Jungtinėje Karalystėje. Jei ribotus pervedimus vykdo Jungtinėje Karalystėje esantys įgalioti subjektai, taikomi šie reikalavimai:
- JK priedas. Naudojamas JK priedas, išskyrus atvejus, kai Siemens raštu susitaria kitaip.
- JK priedo 1 dalis. JK priedo 1 dalis taikoma taip:
- 1 lentelė: Šalių duomenys ir pagrindinė kontaktinė informacija yra pateikta I priedas į šį DPA.
- 2 lentelė: Patvirtintų ES SCC versija (kaip apibrėžta JK priedu), prie kurios pridedamas JK priedas, yra ES standartinės sutarčių sąlygos su moduliais ir sąlygomis, pasirinktais aukščiau 9 skirsnio a punktas iš šios DPA. Jokie iš Importuotojo gauti asmens duomenys nėra derinami su Eksportuotojo surinktais asmens duomenimis.
- 3 lentelė: Priedėlio informacija, kaip reikalaujama JK priedo 3 lentelėje, pateikiama I—III priedai į šį DPA.
- 4 lentelė: Nė viena šalis negali nutraukti JK priedo, kai pasikeičia Patvirtintas priedas (kaip apibrėžta JK priede).
- Įgalioti subjektai kitose šalyse. Jei standartinės sutarties sąlygos apsaugo ribotus pervedimus iš įgaliotų subjektų, esančių už EEE ir Jungtinės Karalystės (pvz., Šveicarijoje), 1) bendrosios ir specifinės nuorodos standartinėse sutarčių sąlygose į BDAR arba ES ar valstybės narės teisę turi tokią pačią reikšmę kaip ir atitinkamos šalies, kurioje yra įgaliotas subjektas, taikomuose duomenų apsaugos įstatymuose, ir 2) nuorodos į “kompetentingą priežiūros instituciją” aiškinamos kaip nuorodos į kompetentingą duomenų apsauga autoritetas tokioje šalyje. Teisę reglamentuojančią teisę, forumo pasirinkimą ir jurisdikciją reglamentuoja 9 skirsnio a punkto vii papunktis ir (viii) šios DPA, išskyrus atvejus, kai atitinkamam Įgaliotajam subjektui taikomi įstatymai reikalauja kitaip, tokiu atveju Standartines sutarčių sąlygas reglamentuoja šalies, kurioje yra Įgaliotasis subjektas, įstatymai, o bet kokios nuorodos į kompetentingus “teismus” aiškinamos kaip nuorodos į kompetentingus teismus tokioje šalyje.
- Procesorių privalomos įmonės Rules. Jei perdavimo apsauga grindžiama Tvarkytojams privalančiomis Bendrovių taisyklėmis, taikomos šios nuostatos: Teikėjas sutartimi įpareigoja tokį Subtvarkytoją laikytis duomenų tvarkytojui privalomų įmonių Rules, susijusių su Asmens duomenimis, tvarkomais pagal šią DPA.
- Papildomos perdavimo apsaugos priemonės. Jei perdavimo apsaugos priemonės nėra grindžiamos standartinėmis sutarties sąlygomis, ribotiems perdavimams pagal tokią kitą perdavimo apsaugos priemonę mutatis-mutandis taikomi standartinių sutarčių sąlygų 14 ir 15 punktai, išskyrus atvejus, kai atitinkamoje perdavimo apsaugos priemonėje iš esmės yra tos pačios teisės ir pareigos, susijusios su (i) vietos įstatymais ir praktika, turinčia įtakos perdavimo apsaugos priemonių laikymuisi, ir ii) įsipareigojimai valdžios institucijų prieigos atveju, kaip nurodyta standartinių sutarties sąlygų 14 ir 15 punktuose.
- Kita. Teikėjas sutinka ir supranta, kad vietinis Taikomasis duomenų apsaugos įstatymas, gali būti panašių arba papildomų perdavimo apribojimų, kaip nurodyta šiame 9 skirsnis. Tokiu atveju Teikėjas sutinka dėti pagrįstas pastangas ir sąžiningai bendradarbiauti su “Siemens”, kad būtų sprendžiami šie reikalavimai.
10. TEIKĖJO PAGALBA
Teikėjas pagrįstai padeda “Siemens” užtikrinti, kad būtų laikomasi taikomų duomenų apsaugos įstatymų, visų pirma padedant “Siemens” taip:
- a) Tvarkymo taisymas, ištrynimas ar apribojimas. Teikėjas (i) suteikia galimybę ištaisyti, ištrinti ar apriboti Asmens duomenų tvarkymą naudodamasis Paslaugų funkcijomis, arba (ii) ištaisyti, ištrinti ar apriboti Asmens duomenų tvarkymą, kaip nurodė Siemens.
- b) Prieiga prie asmens duomenų. Tiek, kiek su duomenų subjektu susijusi informacija nėra prieinama per Paslaugą, Teikėjas prireikus, kad “Siemens” ir įgaliotieji subjektai galėtų įvykdyti savo įsipareigojimus pagal galiojančius Duomenų apsaugos įstatymus, teiks pagalbą, kad tokia informacija būtų prieinama “Siemens” ir (arba) įgaliotiems subjektams.
- c) Duomenų subjektų ir institucijų prašymai. Teikėjas nedelsdamas praneša Siemens apie: i) bet kokius gautus prašymus ar skundus arba bet kokius teisėsaugos, vyriausybinės ar reguliavimo institucijos ar agentūros pranešimus apie tyrimą; ir ii) bet kokį prašymą, gautą tiesiogiai iš bet kurio duomenų subjekto dėl jų Asmens duomenų. Atsižvelgiant į pirmiau nurodytus i ir ii punktus, Teikėjas neatsako be “Siemens” nurodymų. Jei taip nurodyta, Teikėjas pagrįstai palaiko Siemens atsakymą į tokius prašymus.
- d) Duomenų perkeliamumas. “Siemens” prašymu ir jei to reikalaujama pagal taikomus duomenų apsaugos įstatymus, Teikėjas (i) suteiks galimybę išgauti Asmens duomenis pagal konkretų duomenų subjektą pagal Paslaugos funkcijas arba ii) suteiks atitinkamą duomenų rinkinį prieinamą Siemens ir (arba) atitinkamam įgaliotam subjektui, kiekvienu atveju struktūrizuotu, įprastai naudojamu ir mašininiu būdu nuskaitomu formatu.
- e) Poveikio duomenų apsaugai vertinimas. Jei Siemens to prašo, Teikėjas teikia visą informaciją ir pagrįstą paramą, kad būtų galima atlikti poveikio duomenų apsaugai vertinimus pagal taikomus duomenų apsaugos įstatymus.
11. DUOMENŲ TVARKYMO SANTYKIŲ NUTRAUKIMAS
Nutraukus duomenų tvarkymo santykius, jei Siemens nenurodė kitaip arba čia nenustatyta, Teikėjas grąžina Siemens visus Asmens duomenis, kuriuos teikėjas pateikė arba gavo ar generuoja Teikėjas, susijusius su sutartimi sutartomis Paslaugomis, ir neatšaukiamai ištrina arba sunaikina visus likusius duomenis. Ištrynimą ar sunaikinimą Teikėjas, gavęs prašymą, patvirtina raštu.
12. PRANEŠIMO ĮPAREIGOJIMAI
- a) Teikėjas nedelsdamas praneša Siemens, bet bet kuriuo atveju per 48 valandas, jei Teikėjas nustato ar pagrįstai įtaria bet kokį duomenų pažeidimą.
- b) Pranešime Siemens teikėjas pateikia Siemens šią informaciją: i) informaciją apie kontaktinį centrą, kuriame (ar iš ko) galima gauti daugiau informacijos, ii) pažeidimo pobūdžio aprašymą (įskaitant, jei įmanoma, atitinkamų duomenų subjektų ir asmens duomenų įrašų pavadinimus, kategorijas ir apytikslį skaičių), iii) tikėtinas pasekmes ir priemones, kurių imtasi ar siūlomos pažeidimui pašalinti, įskaitant, jei reikia, priemones galimoms jo sušvelninimui neigiamas poveikis. Jei ir tiek, kiek neįmanoma pateikti visos informacijos vienu metu, pradiniame pranešime nurodoma tuometinė informacija, o papildoma informacija, kai ji tampa prieinama, vėliau pateikiama be nepagrįsto delsimo.
- c) Visi pranešimai pagal šį 12 skirsnis kreipiamasi i) į atitinkamą Susitarime nurodytą kontaktinį centrą ir ii) dataprotection@siemens.com.
- d) Teikėjas Teikėjo sąskaita ir sąskaita (i) visapusiškai bendradarbiauja su “Siemens” tiriant duomenų pažeidimą; ii) padeda ir bendradarbiauja su “Siemens” dėl bet kokių teisėtai reikalaujamų pranešimų ar atskleidimo nukentėjusiems asmenims (individualiu pranešimu, viešuoju pranešimu žiniasklaidoje ar panašiomis priemonėmis), teisėsaugai, reguliavimo institucijoms ir (arba) kitoms trečiosioms šalims; ir (iii) imtis bet kokių kitų veiksmų, kuriuos Siemens laiko būtinais dėl tokio duomenų pažeidimo ir bet kokio ginčo, tyrimo ar pretenzijos Tai susiję su duomenų pažeidimu.
- e) Išskyrus atvejus, kai taikytini įstatymai ar kompetentingo reguliavimo institucijos nurodymas reikalauja kitaip, Siemens savo nuožiūra galutinį sprendimą priima i) ar reikia pranešti apie Duomenų pažeidimą, ir ii) apie pranešimo būdą. Jei Teikėjas pateikia tokius pranešimus dėl duomenų pažeidimo, visus tokius pranešimus turi iš anksto patvirtinti “Siemens”.
- f) Teikėjas savo sąskaita imasi atitinkamų priemonių duomenų pažeidimui šalinti, įskaitant priemones neigiamam jo poveikiui sušvelninti (įskaitant veiklos aplinkos apsaugos veiksmus). Teikėjas taip pat imasi skubių veiksmų, skirtų užkirsti kelią bet kokio duomenų pažeidimo pasikartojimui, įskaitant bet kokius veiksmus, kurių reikalaujama pagal taikomus duomenų apsaugos įstatymus.
- g) Teikėjas kompensuoja Siemens visas išlaidas ir išlaidas, patirtas dėl tokio Teikėjo padaryto Duomenų pažeidimo, įskaitant, bet neapsiribojant, kredito stebėjimo teikimo asmenims, kurių Asmens duomenims buvo paveiktas Duomenų pažeidimo, išlaidas. Atsakomybės apribojimai Teikėjo naudai pagal Sutartį šiuo atžvilgiu netaikomi.
13. DOKUMENTACIJA IR AUDITAI
- a) Teikėjas (i) tinkamomis priemonėmis stebi, kaip pats laikosi savo duomenų apsaugos įsipareigojimų pagal šį DPA ir taikomą duomenų apsaugos įstatymą; ii) kuria susijusias periodines (bent metines) ir progomis pagrįstas ataskaitas (kiekviena a”Pranešti“); ir (iii) pateikti Ataskaitas prieinamas Siemens ir įgaliotiems subjektams paprašius. Kai Teikėjo įdiegtame kontrolės standarte ir sistemoje numatyta kontrolė, tokia kontrolė bus atliekama pagal reguliavimo ar akreditavimo įstaigos standartus ir taisykles kiekvienam taikomam kontrolės standartui ar sistemai.
- b) Jei reikalaujama tinkamai išspręsti savo audito teises ir pareigas pagal taikomus duomenų apsaugos įstatymus, taikomas perdavimo apsaugos priemones arba jei to prašo kompetentinga duomenų apsaugos institucija ar kita kompetentinga vyriausybinė institucija ar agentūra, teikėjas pateikia Siemens ir įgaliotiems subjektams, be Ataskaitų, visą pagrįstą prašomą informaciją, leidžiančią ir prisidėti prie audito, įskaitant patikrinimus, kuriuos atlieka Siemens ar įgalioti subjektai arba kitas “Siemens” įgaliotas auditorius. Šiuo tikslu Siemens, Įgaliotieji subjektai ar kitas Siemens įgaliotas auditorius arba įgalioti subjektai taip pat turi teisę atlikti patikrinimus vietoje įprastomis darbo valandomis, netrukdydami Teikėjo verslo operacijoms, ir po pagrįsto išankstinio įspėjimo.
14. SLAPUKŲ NAUDOJIMAS
Jei Paslauga naudoja cookies ar panašias technologijas, taikomos šios nuostatos: Teikėjas, nebent Siemens konkrečiai susitarė kitaip. 14 skirsnis, saugo tik informaciją (pvz., rašydami slapuką) arba gauti prieigą prie informacijos, kuri jau yra saugoma Paslaugos naudotojo galinėje įrangoje (pvz., per slapuką), kad būtų galima perduoti ryšį elektroninių ryšių tinklu, arba jei tai būtina, kad Teikėjas galėtų teikti pagrindines Paslaugų funkcijas.
15. ĮVAIRŪS
Teikėjas supranta ir sutinka, kad šioje DPA reikalavimai yra neatskiriama Sutarties dalis ir esminis bet kurio iš šių reikalavimų pažeidimas laikomas esminiu Sutarties Teikėjo pažeidimu, suteikiančiu Siemens teisę į Sutartyje pateiktus esminius su pažeidimais susijusius teisių gynimo būdus.
16. PAPILDOMI REIKALAVIMAI, SUSIJĘ SU SIEMENS DUOMENIMIS
Jei ir kiek Teikėjas pasiekia Asmens duomenis, gautus iš Jungtinėse Amerikos Valstijose įsteigtos “Siemens” grupės įmonės (”)“Siemens” JAV įmonė“) arba duomenų subjekto, kuris yra Jungtinių Amerikos Valstijų gyventojas, tada, be to, kas išdėstyta pirmiau, Teikėjas: (i) laikosi JAV federalinių, valstijų ir vietinių įstatymų dėl Asmens duomenų, kurie taikomi Teikėjui, tokiems Asmens duomenims ir tokių Asmens duomenų savininkams ar valdytojams; kai taikoma tai, kas išdėstyta pirmiau, čia naudojamas terminas “Taikomas duomenų apsaugos įstatymas” apima pirmiau nurodytus įstatymus; (ii) išskyrus čia konkrečiai numatytus atvejus į ar Susitarimą, neparduoda, nedalija, neišnuomoja, neišleidžia, neatskleidžia, neplatina ir nesudaro prieinamų Asmens duomenis trečiosioms šalims; ir nejungia Asmens duomenų su kita informacija; iii) praneša Siemens, jei Teikėjas nusprendžia, kad Teikėjas nebegali vykdyti savo įsipareigojimų pagal jį; iv) užtikrina, kad kiekvienam Asmens duomenis tvarkančiam asmeniui būtų taikoma konfidencialumo pareiga Asmens duomenų atžvilgiu; (v) jis laikomas ir veikia kaip “paslaugų teikėjas” pagal galiojančius duomenų apsaugos įstatymus (įskaitant Kalifornijos vartotojų privatumo įstatymą, jos įgyvendinimo reglamentai ir visi jų pakeitimai); ir vii) patvirtina, kad supranta čia nurodytus apribojimus ir jų laikysis.
DPA I priedas (ir, jei taikoma, standartinės sutarties sąlygos)
A. PARTIJŲ SĄRAŠAS
Paslaugų gavėjas/duomenų eksportuotojas:
Pavadinimas: | Vykdymo formoje nurodytas “Siemens” subjektas |
Adresas: | Kaip nurodyta vykdymo formoje |
Kontaktinis vardas, pavardė, pareigos ir kontaktiniai duomenys | “Siemens” duomenų apsaugos pareigūno tarnyba Werner-von-Siemens-Straße 1, 80333 Miunchenas, Vokietija El. paštas: datapotection@siemens.com |
Veikla, susijusi su perduodamais/tvarkomais duomenimis | Partneris teiks klientų sėkmės paslaugas ir/ar techninę priežiūrą ir palaikymą Klientams, kaip nurodyta Partnerio autorizacijos formoje pagal Sutartį. Atlikdamas šias paslaugas, Partneris taip pat gali turėti prieigą prie “Siemens” galutinių klientų sistemų ir tinklų, todėl prieiga prie asmens duomenų negali būti atmesta. |
Vaidmuo (valdiklis/procesorius) | Siemens veikia kaip Teikėjo teikiamos duomenų tvarkymo veiklos “Siemens” atžvilgiu Valdytojas ir kaip Duomenų tvarkytojas pagal savo Įgaliotų subjektų nurodymus Teikėjo teikiamai tvarkymo veiklai įgaliotųjų subjektų atžvilgiu. |
Teikėjas/duomenų importuotojas:
Pavadinimas: | Vykdymo formoje nurodytas teikėjo subjektas |
Adresas: | Kaip nurodyta vykdymo formoje |
Kontaktinis vardas, pavardė, pareigos ir kontaktiniai duomenys | Kaip nurodyta partnerio leidimo formoje |
Veikla, susijusi su perduodamais/tvarkomais duomenimis | Žr. aukščiau esančią lentelę |
Vaidmuo (valdiklis/procesorius) | Teikėjas veikia kaip Tvarkytojas, tvarkantis Asmens duomenis Siemens ir, atsižvelgiant į atvejus, Įgaliotų subjektų vardu. |
B. PERDAVIMO/APDOROJIMO OPERACIJŲ APRAŠYMAS
Duomenų subjektų, kurių Asmens duomenys perduodami/tvarkomi, kategorijos: | ☒ Darbuotojai ir darbuotojai (įskaitant pareiškėjus, nuolatinius, laikinus, ne visą darbo dieną, stažuotojus, rangovus ir agentus) ☒ Kontaktiniai asmenys prie verslo partnerių, tiekėjų, pardavėjų ir kitų bendradarbiavimo partnerių ☒ Klientas (-ai) ir (arba) jų darbuotojai ir darbuotojai (įskaitant pareiškėjus, nuolatinius, laikinus, ne visą darbo dieną, stažuotojus, rangovus ir agentus) ☒ “Siemens” programinės įrangos produktų/paslaugų vartotojai ☐ Kita, nurodykite: Toliau paveikti duomenų subjektai, kurių asmens duomenys yra taikomojoje programoje ar IT sistemoje, kuri yra teikiamų Paslaugų apimtyje. |
Perduodamų/tvarkomų asmens duomenų kategorijos | ☒ Kontaktinė informacija (pvz., Vardas, adresas, telefono ar fakso numeris, el. pašto adresas ir kt.) ☒ Organizacinė organizacija (pvz., Darbo pozicija, skyrius ir kt.) ☒ Vietos duomenys (pvz., GPS ir kt.) ☐ Vyriausybiniai ir asmens identifikatoriai (pvz., socialinio draudimo numeris, vairuotojo pažymėjimo numeris, socialinio draudimo numeris ir kt.) ☐ Finansiniai duomenys (pvz., pajamos, paskolų bylos, sandoriai, kredito informacija, pirkimo ir vartojimo įpročiai, nemokumo būklė ir kt.) ☐ Įdarbinimo duomenys (tokie kaip įdarbinimo duomenys ir kvalifikacija, kompensacijų ir darbo užmokesčio duomenys, darbuotojų identifikavimo duomenys, darbuotojo statusas, lankomumo duomenys, darbo istorijos duomenys ir kt.) ☒ Vartotojo paskyros duomenys (pvz., Vartotojo vardas/ID ir slaptažodis ir kt.) ☒ Informacija, susijusi su duomenų subjekto naudojimu IT turtu (pvz., IP adresas, prisijungimo informacija, kredencialai ir kt.) ☐ Finansinės sąskaitos informacija (pvz., Bankų/kreditinių kortelių duomenys, sąskaitų numeriai, kreditinių kortelių numeriai ir kt.) ☐ Kita; nurodykite: Visi kiti asmens duomenys, esantys programėlėje ar IT sistemoje, kuri yra teikiamų Paslaugų apimtyje. |
Specialios Asmens duomenų kategorijos, su kuriais galima susipažinti ar tvarkomi | ☐ Informacija apie rasinę ar etninę kilmę ☐ Informacija apie politines nuomones ☐ Informacija apie religinius ar filosofinius įsitikinimus ☐ Informacija apie narystę profesinėse sąjungose ☐ Informacija apie lytinį gyvenimą ar seksualinę orientaciją ☐ Biometriniai duomenys ☐ Genetiniai duomenys ☐ Sveikatos duomenys (tokie kaip psichinė ar fizinė negalia, šeimos ligos istorija, asmens ligos istorija, medicininiai įrašai, receptai ir kt.) ☐ Kita; nurodykite: Tokiems jautriems Asmens duomenims taikomi apribojimai ar apsaugos priemonės aprašyti II priedas į šį DPA |
Perdavimo dažnumas (prieiga/apdorojimas) | ☐ Teikėjas talpina Asmens duomenis “Siemens” ir, priklausomai nuo atvejo, Įgaliotų subjektų vardu ☒ Teikėjas nuotoliniu būdu pasiekia Asmens duomenis teikdamas paslaugas ☒ vienkartinis ☒ nuolat ☐ Teikėjas kitaip tvarko Asmens duomenis teikdamas paslaugas ☐ vienkartinis ☐ nuolat |
Apdorojimo pobūdis | ☐ Kolekcija ☒ Įrašymas ☒ Organizacija ☒ Struktūrizavimas ☐ Sandėliavimas ☒ Pritaikymas ar pakeitimas ☐ Gavimas ☒ Konsultacijos ☒ Naudokite ☐ Atskleidimas perduodant ☐ Sklaida ☐ Priešingu atveju sudarymas prieinamas ☐ Išlyginimas arba derinys ☐ Apribojimas ☐ Duomenų ištrynimas arba sunaikinimas ☒ Nuotolinė prieiga ☐ Kita: |
Tikslas/veikla, susijusi su perduodamais/tvarkomais duomenimis | ☒ Teikėjas teikia techninės priežiūros ir palaikymo paslaugos ir gali turėti prieigą, įskaitant nuotolinę prieigą prie Asmens duomenų. ☐ Teikėjas teikia profesionalios paslaugos atlikdamas su programa/sistema ar tinklu susijusias paslaugas, tokias kaip: diegimas, konfigūravimas ar duomenų perkėlimas ar kitos susijusios IT paslaugos ir gali turėti prieigą, įskaitant nuotolinę prieigą prie Asmens duomenų. ☐ Teikėjas teikia valdomos paslaugos, įskaitant duomenų centro ir infrastruktūros valdymą, atsarginių kopijų ir atkūrimo valdymą ir gali turėti prieigą, įskaitant nuotolinę prieigą prie Asmens duomenų. ☐ Teikėjas teikia XaaS (Software, platforma arba infrastruktūra kaip paslauga) teikiant prieglobos, eksploatavimo, valdymo ir priežiūros bei palaikymo paslaugas. ☒ Kita: Teikėjas teikia klientų sėkmės paslaugas ir gali turėti prieigą, įskaitant nuotolinę prieigą, prie Asmens duomenų. |
Trukmė | ☐ Asmens duomenys bus saugomi Sutarties galiojimo laikotarpiu. ☐ Asmens duomenys bus saugomi: ☒ Kita: Asmens duomenys bus saugomi Užsakymo laikotarpį, jei nenurodyta kitaip. |
Perduodami subtvarkytojui (-ams), taip pat nurodykite Duomenų tvarkymo dalyką, pobūdį ir trukmę | Duomenų tvarkymo dalykas, pobūdis ir trukmė nurodomi kiekvienam Subtvarkytojui III priedas į šį DPA. |
C.KOMPETENTINGA PRIEŽIŪROS INSTITUCIJA
Jei Siemens yra įsisteigusi ES valstybėje narėje, priežiūros institucija, atsakinga už tai, kad Siemens laikytųsi duomenų perdavimo BDAR, veikia kaip kompetentinga priežiūros institucija. Siemens Aktiengesellschaft (Vokietija) priežiūros institucija yra:
Bayerisches Landesamt for Datenschutficht (BayLDA)
Promenada 18
91522 Ansbachas
Vokietija
Kai Siemens nėra įsisteigusi ES valstybėje narėje, tačiau patenka į teritorinę BDAR taikymo sritį pagal jos 3 straipsnio 2 dalį, valstybės narės, kurioje yra įsisteigęs atstovas, kaip apibrėžta BDAR 27 straipsnio 1 dalyje, priežiūros institucija veikia kaip kompetentinga priežiūros institucija; būtent:
Bayerisches Landesamt for Datenschutficht (BayLDA)
Promenada 18
91522 Ansbachas
Vokietija
DPA II priedas (ir, jei taikoma, standartinės sutarties sąlygos)
Techninės ir organizacinės priemonės (įskaitant technines ir organizacines priemones duomenų saugumui užtikrinti)
Toliau nurodytos priemonės taikomos Teikėjui tik tiek, kiek už pagrindines IT sistemas, tinklus ir programas atsako Teikėjas ir (arba) juos globoja ar kontroliuoja. Teikėjo ir jo Subtvarkytojo (-ų) įgyvendinamų techninių ir organizacinių saugumo priemonių aprašymas:
# | Priemonės | “Sfera” Taisyklės ID |
Fizinis ir aplinkos Security | ||
Teikėjas įgyvendina tinkamas priemones, kad pašaliniai asmenys negalėtų gauti prieigos prie duomenų apdorojimo įrangos (būtent duomenų bazių ir programų serverių bei susijusios aparatinės įrangos). Tai atliekama: saugumo zonų nustatymas; prieigos takų apsauga ir ribojimas; decentralizuotos duomenų apdorojimo įrangos ir asmeninių kompiuterių užtikrinimas; darbuotojų ir trečiųjų šalių prieigos leidimų nustatymas, įskaitant atitinkamus dokumentus; taisyklės dėl prieigos kortelių; prieigos kortelių apribojimai; visa prieiga prie duomenų centro, kuriame talpinami Asmens duomenys, bus registruojama, stebima ir stebima; duomenų centras, kuriame talpinami Asmens duomenys, yra apsaugotas ribotos prieigos kontrolės priemonėmis ir kitomis tinkamomis saugumo priemonėmis; ir pagalbinės įrangos techninę priežiūrą ir tikrinimą IT srityse ir duomenų centruose atlieka tik įgaliotas personalas. | 11.1.1-02 | |
Prieigos kontrolė (IT sistemos ir (arba) IT programos) | ||
Teikėjas įgyvendina vaidmenų ir atsakomybės koncepciją. | 06.1.1-01 | |
Teikėjas įgyvendina autorizacijos ir autentifikavimo sistemą, apimančią, bet neapsiribojant, šiuos elementus: įdiegta vaidmenimis pagrįsta prieigos kontrolė; įdiegtų paskyrų kūrimo, keitimo ir naikinimo procesas; prieiga prie IT sistemų ir taikomųjų programų yra apsaugota autentifikavimo mechanizmais; naudojami tinkami autentifikavimo metodai, pagrįsti IT sistemos ar taikomosios programos charakteristikomis ir techninėmis galimybėmis; prieiga prie IT sistemų ir taikomųjų programų reikalauja bent dviejų veiksnių autentifikavimo privilegijuotoms paskyroms; visa prieiga prie Asmens duomenų yra registruojama, stebima ir stebima; įgyvendintos atvykstamojo tinklo jungčių prie IT sistemų ir taikomųjų programų autorizavimo ir registravimo priemonės (įskaitant užkardas leidžiančias arba neleidžiančias atvykstamojo tinklo jungtis); privilegijuotos prieigos prie IT sistemų, taikomųjų programų ir tinklo paslaugų teisės suteikiamos tik asmenims, kuriems jos reikalingos užduotims atlikti (mažiausios privilegijos principas); privilegijuotos prieigos prie IT sistemų ir programų teisės yra dokumentuojamos ir nuolat atnaujinamos; prieigos prie IT sistemų ir taikomųjų programų teisės reguliariai peržiūrimos ir atnaujinamos; įgyvendinta slaptažodžių politika, įskaitant reikalavimus dėl slaptažodžio sudėtingumo, minimalaus ilgio ir galiojimo pabaigos praėjus tinkamam laikotarpiui, nesenai naudotų slaptažodžių pakartotino naudojimo; IT sistemos ir programos techniškai įgyvendina slaptažodžių politiką; darbuotojų ir išorės personalo prieigos teisės prie IT sistemų ir taikomųjų programų pašalinamos nedelsiant nutraukus darbo sutartį ir užtikrintas saugių naujausių autentifikavimo sertifikatų naudojimas. | 09.1.1-02 09.1.1-03 09.2.3-01 09.4.2-02 | |
IT sistemos ir programos automatiškai užsiblokuoja arba nutraukia sesiją viršijus pagrįstą apibrėžtą tuščiosios eigos laiką. | 11.2.9-03 11.2.9-04 | |
Teikėjas riboja privilegijuotą prieigą prie debesų išteklių iki vieno ar konkretaus IP adresų diapazonų. | ST002-0008 | |
Privilegijuota prieiga prie debesų išteklių atliekama per bastiono pagrindinį kompiuterį. | ST002-0009 | |
Teikėjas palaiko prisijungimo prie IT sistemų procedūras su apsaugos priemonėmis nuo įtartinos prisijungimo veiklos (pvz., nuo brute-force ir slaptažodžių atspėjimo atakų). | 09.4.2-02 | |
Prieinamumo kontrolė | ||
Teikėjas apsaugo sistemas ir programas nuo kenkėjiškos programinės įrangos, įgyvendindamas tinkamus ir moderniausius kovos su kenkėjiškomis programomis sprendimus. | 12.2.1-01 | |
Teikėjas apibrėžia, dokumentuoja ir įgyvendina atsarginę IT sistemų koncepciją, įskaitant šiuos techninius ir organizacinius elementus: atsarginės kopijos saugojimo laikmena yra apsaugota nuo neteisėtos prieigos ir aplinkos grėsmių (pvz, šilumos, drėgmės, gaisro); apibrėžti atsarginių kopijų intervalai; ir duomenų atkūrimas iš atsarginių kopijų reguliariai testuojamas atsižvelgiant į IT sistemos ar programos kritiškumą. | 12.3.1-01 | |
Teikėjas atsargines kopijas saugo fizinėje vietoje, kuri skiriasi nuo vietos, kurioje talpinama produktyvi sistema. | ST002-0013 | |
IT sistemos ir programos ne gamybos aplinkose logiškai arba fiziškai atskirtos nuo IT sistemų ir taikomųjų programų gamybos aplinkose. | 12.1.4-01 | |
Duomenų centrai, kuriuose saugomi ar tvarkomi Asmens duomenys, yra apsaugoti nuo stichinių nelaimių, fizinių išpuolių ar nelaimingų atsitikimų. | 11.1.4-02 | |
Pagalbinė įranga IT srityse ir duomenų centruose, pavyzdžiui, kabeliai, elektros energija, telekomunikacijų įrenginiai, vandens tiekimas, ar oro kondicionavimo sistemos yra apsaugota nuo sutrikimų ir neteisėto manipuliavimo. | 11.1.4-02 | |
Operacijų Security | ||
Teikėjas tvarko ir įgyvendina informacijos Security sistemą, atspindinčią čia aprašytas priemones, kuri yra reguliariai peržiūrima ir atnaujinama. | 05.1.1-01 | |
Teikėjas registruoja su saugumu susijusius įvykius, tokius kaip vartotojų valdymo veikla (pvz., kūrimas, ištrynimas), nepavykusius prisijungimus, sistemos saugos konfigūracijos pakeitimus IT sistemose ir programose. | 12.4.1-01 | |
Teikėjas nuolat analizuoja atitinkamų IT sistemų ir programų žurnalo duomenis dėl anomalijų, pažeidimų, kompromisų rodiklių ir kitos įtartinos veiklos. | 12.4.1-03 | |
Teikėjas reguliariai nuskaito ir testuoja IT sistemas ir programas dėl saugumo spragų. | 12.6.1-01 | |
Teikėjas įgyvendina ir prižiūri IT sistemų ir programų pokyčių valdymo procesą. | 12.1.2-01 | |
Teikėjas palaiko atitinkamų IT sistemų ir programų tiekėjo saugos pataisų ir atnaujinimų atnaujinimo ir įgyvendinimo procesą. | 12.6.1-03 | |
Teikėjas negrįžtamai ištrina duomenis arba fiziškai sunaikina duomenų saugojimo laikmeną prieš šalindamas ar pakartotinai panaudodamas IT sistemą. | 11.2.7-01 | |
Transmisijos valdikliai | ||
Teikėjas reguliariai dokumentuoja ir atnaujina tinklo topologijas ir jo saugumo reikalavimus. | 13.1.1-02 | |
Teikėjas nuolat ir sistemingai stebi IT sistemas, programas ir atitinkamas tinklo zonas, siekdamas aptikti kenkėjišką ir nenormalią tinklo veiklą pagal Ugniasienės (pvz., būstinės ugniasienės, programų ugniasienės); Tarpiniai serveriai; Įsibrovimo aptikimo sistemos (IDS) ir (arba) įsibrovimo prevencijos sistemos (IPS); URL filtravimas; ir Saugumo informacijos ir įvykių valdymo (SIEM) sistemos. | 13.1.1-06 | |
Teikėjas administruoja IT sistemas ir programas naudodamas moderniausius šifruotus ryšius. | 13.1.3-09 | |
Teikėjas saugo turinio vientisumą perdavimo metu moderniausiais tinklo protokolais, tokiais kaip TLS. | 13.2.3-05 | |
Teikėjas užšifruoja arba leidžia savo Teikėjams užšifruoti Teikėjo duomenis, kurie perduodami viešaisiais tinklais. | ST002-0017 | |
Teikėjas naudoja saugias raktų valdymo sistemas (KMS) slaptiems raktams saugoti debesyje. | ST002-0018 | |
Security incidentai | ||
Teikėjas prižiūri ir įgyvendina incidentų tvarkymo procesą, įskaitant, bet neapsiribojant: saugumo pažeidimų įrašai; teikėjo pranešimo procesai; ir reagavimo į incidentus schema, skirta spręsti šiuos klausimus incidento metu: i) vaidmenys, atsakomybė ir komunikacijos bei kontaktų strategijos kompromiso atveju (ii) konkrečios reagavimo į incidentus procedūros ir iii) visų svarbių sistemos komponentų aprėptis ir atsakymai. | 06.1.3-01 | |
Turto valdymas, sistemų įsigijimas, kūrimas ir priežiūra | ||
Teikėjas nustato ir dokumentuoja informacijos saugumo reikalavimus prieš kuriant ir įsigyjant naujas IT sistemas ir programas, taip pat prieš tobulinant esamas IT sistemas ir programas. | 14.1.1-01 | |
Teikėjas nustato formalų procesą, skirtą kontroliuoti ir atlikti sukurtų programų pakeitimus. | 14.2.2-01 | |
Teikėjas planuoja ir įtraukia saugumo testus į IT sistemų ir programų sistemos kūrimo gyvavimo ciklą. | 14.2.8-01 | |
Teikėjas įgyvendina tinkamą saugumo pataisymo procesą, kuris apima: komponentų stebėsena dėl galimų trūkumų (CVE); fiksavimo prioritetinis įvertinimas; laiku įgyvendinti pataisą; ir pataisų atsisiuntimas iš patikimų šaltinių. | 08.1.1-01 PR001-0001 | |
Žmogiškųjų išteklių Security | ||
Teikėjas įgyvendina šias priemones žmogiškųjų išteklių saugumo srityje: darbuotojai, turintys prieigą prie Asmens duomenų, yra saistomi konfidencialumo įsipareigojimų; ir darbuotojai, turintys prieigą prie Asmens duomenų, reguliariai mokomi dėl galiojančių duomenų apsaugos įstatymų ir kitų teisės aktų. | 07.1.1-01 | |
Teikėjas įgyvendina paslaugų teikėjo darbuotojams ir išoriniams pardavėjams taikomą kompensavimo procesą. | 07.3.1-02 08.1.4-01 | |
Kriptografija (aktuali DP tinklo paslaugų kontekste) | ||
Teikėjas naudoja saugius pažangiausius sertifikatus ir įgyvendina šiuos veiksmus: skaitmeniniai sertifikatai priimami ir patikimi tik tuo atveju, jei skaitmeninį sertifikatą išdavė patikima sertifikavimo institucija; sertifikatai naudojami ir skiriami tam skirtoms IT sistemoms ir taikomosioms programoms; ir tikrinamas skaitmeninių sertifikatų galiojimas. | 07.1.1-01 | |
Teikėjas įgyvendina kriptografinių raktų valdymo ir įgyvendinimo procesą, įskaitant taisykles ir reikalavimus kriptografiniams raktams generuoti, saugoti, atsarginę kopiją, platinti ir atšaukti. | 07.3.1-02 08.1.4-01 |
DPA III priedas (ir, jei taikoma, standartinės sutarties sąlygos)
SUBPROCESORIŲ IR DUOMENŲ CENTRŲ VIETŲ SĄRAŠAS
“Partnerio leidimo forma” nustato
Subjektai (įskaitant Partnerį ir subtvarkytojus), užsiimantys asmens duomenų saugojimu ir (arba) talpinimu,
Taikomos duomenų centro vietos,
Subtvarkytojai, užsiimantys asmens duomenų tvarkymu ne saugojimo/prieglobos tikslais,
kurie yra įtraukti į šią nuorodą.
Teikėjas neperduoda Asmens duomenų iš atitinkamos duomenų centro vietos be Siemens sutikimo. Pranešimo ir prieštaravimo mechanizmas, pateiktas 8 skirsnis šiuo atžvilgiu netaikoma.