Partneru datu aizsardzības papildinājums

Šis partneru datu aizsardzības papildinājums (”DPA”) ir daļa no Partnerprogrammas līguma (”Vienošanās”) un nosaka papildu noteikumus attiecībā uz personas datu apstrādi. Lielajiem burtiem vārdiem ir nozīme, kas noteikta šā dokumenta nākamajā sadaļā vai citur Līgumā. Ja pastāv pretrunas starp šī DPA noteikumiem un citiem Līguma noteikumiem, šis DPA būs noteicošais. Šajā DPA nolūkā “pakalpojumu sniedzējs” nozīmē Partneri.

• (a) “Piemērojamie datu aizsardzības likumi” nozīmē visus piemērojamos tiesību aktus, kas attiecas uz Personas datu apstrādi saskaņā ar Līgumu, tostarp, bet ne tikai, (i) attiecībā uz personas datiem, kas iegūti no pilnvarotas iestādes, kas atrodas EEZ, Vispārējo datu aizsardzības regulu (ES) 2016/679 (”)GDPR“) un (ii) personas datiem, kas iegūti no pilnvarotas vienības, kas atrodas Apvienotajā Karalistē, Apvienotās Karalistes GDPR un Apvienotās Karalistes datu aizsardzības likums 2018.
• b) “pilnvarota vienība” ir jebkura vienība (ieskaitot Siemens un tās grupas uzņēmumus), kas darbojas kā Pārzinis Controller kam saskaņā ar Līgumu ir tiesības tieši vai netieši piekļūt Pakalpojumiem vai izmantot Pakalpojumus.
• c) “Controller” ir fiziska vai juridiska persona, kas viena vai kopā ar citiem nosaka personas datu apstrādes mērķus un līdzekļus.
• d) “Valsts, kurai ir pieņemts lēmums par atbilstību” ir jebkura valsts, kurai ES Komisija ir nolēmusi, ka šāda valsts nodrošina pietiekamu datu aizsardzības līmeni, un personas datiem, kuru izcelsme ir no Apvienotās Karalistes, jebkura valsts, kurai saskaņā ar 2018. gada Datu aizsardzības likuma 17.A vai 74.A iedaļu ir pieņemti Apvienotās Karalistes atbilstības noteikumi.
• (e) “Datu pārkāpums“ir jebkurš drošības pārkāpums (i), kas izraisa nejaušu vai nelikumīgu pārsūtīto, glabājamo vai citādi apstrādāto Personas datu iznīcināšanu, zaudēšanu, pārveidošanu, neatļautu izpaušanu vai piekļuvi tiem, vai (ii) būtu jāpaziņo par šādu notikumu jebkurai trešajai personai saskaņā ar piemērojamiem tiesību aktiem.
• f) “EEZ” nozīmē Eiropas Ekonomikas zonu.
• g) “ES līguma standarta klauzulas” nozīmē Līguma standarta klauzulas (ES) 2021/914.
• h) “Izcelsmes apgabals” ir EEZ, Apvienotā Karaliste, Šveice un katra valsts ar līdzīgām atbilstības prasībām, kā noteikts 45. pantā un nākamajos pantos. GDPR.
• (i) “Personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu; identificējama fiziska persona ir tā, kuru var tieši vai netieši identificēt, jo īpaši atsaucoties uz identifikatoru, piemēram, vārdu, identifikācijas numuru, atrašanās vietas datiem, tiešsaistes identifikatoru vai vienu vai vairākiem faktoriem, kas raksturīgi šīs fiziskās personas fiziskajai, fizioloģiskajai, ģenētiskajai, garīgajai, ekonomiskajai, kultūras vai sociālajai identitātei.
• j) “Apstrāde” (un citas tās formas, piemēram, apstrāde, apstrāde) ir jebkura darbība vai darbību kopums, kas tiek veikts ar Personas datiem vai personas datu kopām neatkarīgi no tā, vai tie tiek izmantoti automatizēti, piemēram, vākšana, reģistrēšana, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, iegūšana, konsultēšana, izmantošana, izpaušana, izplatīšana vai citādi padarīšana pieejama, saskaņošana vai apvienošana, ierobežošana, dzēšana vai iznīcināšana.
• k) “Procesors” ir fiziska vai juridiska persona, valsts iestāde, aģentūra vai jebkura cita struktūra, kas apstrādā personas datus Pārzinātāja vārdā.
• (l) “Apstrādātājam saistošie korporatīvie Rules” nozīmē saistošus korporatīvos noteikumus pārstrādātājiem, kurus apstiprinājusi kompetentā uzraudzības iestāde.
• (m) “Ierobežoti personas dati” ir jebkuri personas dati, kas iegūti no pilnvarotas iestādes, kas atrodas izcelsmes zonā.
• (n) “Ierobežota pārsūtīšana (-i)” ir jebkura Ierobežotu Personas datu apstrāde (ieskaitot pārsūtīšanu, starptautisku piekļuvi un turpmāku pārsūtīšanu), ko veic pakalpojumu sniedzējs vai kāds no tā apakšapstrādātājiem ārpus attiecīgās izcelsmes zonas.
• o) “Pakalpojumi” nozīmē Pakalpojumus saskaņā ar Līgumu, ko sniedz Pakalpojums, kas darbojas kā Apstrādātājs šīs DPA nozīmē.
• (p) “Līguma standarta klauzulas” nozīmē ES standarta līguma klauzulas un Apvienotās Karalistes standarta līguma klauzulas.
• q) “Apakšprocesors (-i)” ir jebkurš cits Apstrādātājs, kas iesaistīts Pakalpojumu sniegšanā.
• r) “Pārsūtīšanas aizsardzības līdzeklis (-i)” nozīmē atbilstošus aizsardzības pasākumus ierobežotai pārsūtīšanai, kā to pieprasa piemērojamie datu aizsardzības likumi, tostarp, bez ierobežojumiem, jebkādus atbilstošus aizsardzības pasākumus, kas paredzēti VDAR 46. pantā.
• (s) “Apvienotās Karalistes GDPR” nozīmē GDPR, kas iekļauts Apvienotās Karalistes tiesību aktos saskaņā ar Apvienotās Karalistes 2018. gada Eiropas Savienības (izstāšanās) likuma 3. iedaļu.
• (t) “Apvienotās Karalistes standarta līguma klauzulas” ir tādas standarta datu aizsardzības klauzulas, kuras laiku pa laikam pieņem Apvienotās Karalistes Informācijas komisāru birojs (ICO) saskaņā ar Apvienotās Karalistes GDPR 46. panta 2. punktu, tostarp, bet ne tikai, starptautisko datu pārsūtīšanas līgumu (UK IDTA) un ES standarta līguma klauzulas, kas grozītas ar ICO starptautisko datu pārsūtīšanas papildinājumu ES Komisijas Standarta līguma klauzulām (”)Lielbritānijas papildinājums”). [1]

1 Skatīt https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Puses ievēro piemērojamos Datu aizsardzības likumus, kā tie attiecas uz tām un saskaņā ar šeit noteikto prasību. Sniedzot Pakalpojumus, Sniedzējs jo īpaši ievēro piemērojamo Datu aizsardzības likuma noteikumus attiecībā uz Personas datu apstrādi kā Apstrādātājam.

Pakalpojuma sniedzējs apstrādā personas datus tikai (a) saskaņā ar šī DPA un Līguma noteikumiem; vai (b) pēc citiem dokumentētiem Siemens norādījumiem. Pakalpojuma sniedzējs neapstrādā Personas datus saviem mērķiem vai nenodod tos trešajām personām, ja vien to atļauj šī DPA. Pakalpojuma sniedzējs nekavējoties informē Siemens, ja, pēc viņa domām, Siemens norādījumi pārkāpj piemērojamos datu aizsardzības likumus.

Sīkāka informācija par Pakalpojuma sniedzēja sniegtajām apstrādes darbībām - jo īpaši Apstrādes priekšmets, Apstrādes veids un mērķis, Apstrādāto Personas datu veidi un ietekmēto datu subjektu kategorijas - ir norādītas I pielikums uz šo DPA.

Ņemot vērā jaunāko tehnoloģiju, ieviešanas izmaksas un apstrādes veidu, apjomu, kontekstu un mērķus, kā arī dažādas iespējamības un smaguma risku fizisko personu tiesībām un brīvībām, pakalpojumu sniedzējs īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu riskam atbilstošu drošības līmeni, tostarp, bet ne tikai: a) pastāvīgu personas datu pseidonimizāciju un šifrēšanu; b) spēju nodrošināt konfidencialitāte, integritāte, pieejamība un noturība Apstrādes sistēmas un pakalpojumi; c) spēja savlaicīgi atjaunot Personas datu pieejamību un piekļuvi tiem fiziska vai tehniska negadījuma gadījumā; d) process, kurā regulāri pārbauda, novērtē un novērtē tehnisko un organizatorisko pasākumu efektivitāti, lai nodrošinātu apstrādes drošību. Neskarot iepriekšējā teikuma vispārīgumu, pakalpojumu sniedzējs vienmēr īsteno vismaz tehniskos un organizatoriskos pasākumus, kas aprakstīti II pielikumsuz šo DPA.

1 Skatīt https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Pakalpojuma sniedzējs ierobežo sava personāla piekļuvi Personas datiem, pamatojoties uz nepieciešamību zināt. Pakalpojuma sniedzējs sniedz detalizētu paziņojumu saviem darbiniekiem par piemērojamiem normatīvajiem un līguma noteikumiem attiecībā uz datu aizsardzību. Pakalpojuma sniedzējs uzliek saviem darbiniekiem pienākumu ievērot šādus noteikumus un jo īpaši turēt personas datus noslēpumā un neapstrādāt Personas datus citādi, izņemot Siemensa norādījumus. Pienākums ievērot slepenību turpinās spēkā arī pēc šī Līguma termiņa beigām un personāla līgumattiecībām ar pakalpojumu sniedzēju. Pakalpojuma sniedzējs pēc pieprasījuma iesniedz pierādījumu par šādu pienākumu.

• (a) Pakalpojuma sniedzējam ir Siemens vispārējā atļauja apakšapstrādātāju iesaistīšanai. Pašreizējais pakalpojumu sniedzēja pasūtīto apakšapstrādātāju saraksts ir iekļauts vietnē III pielikums uz šo DPA.
• b) Pakalpojuma sniedzējs rakstiski informē Siemens par visām paredzētajām izmaiņām minētajā sarakstā, pievienojot vai nomainot apakšapstrādātājus vismaz 30 dienas iepriekš. Pakalpojuma sniedzējs sniedz Siemens informāciju, kas nepieciešama, lai Siemens varētu izmantot tiesības iebilst. Ja Siemens šajā 30 dienu laikā neiebilst, tad to uzskata par jaunā apakšapstrādātāja apstiprinājumu. Ja Siemens izvirza iebildumus, Pakalpojuma sniedzējs pirms apakšapstrādātāja pilnvarošanas piekļūt Personas datiem pieliek pamatotas pūles, lai risinātu Siemens izteiktās bažas un atrunas un (i) atturēsies izmantot apakšapstrādātāju; vai (ii) ierosinās Siemens saprātīgas izmaiņas Pakalpojumu vai Siemens konfigurācijā vai Pakalpojumu izmantošanā, lai izvairītos no personas datu apstrādes, ko veic jaunais apakšapstrādātājs. Ja Sniedzējs nespēj novērst Siemens iebildumu pamatojumu, Siemens ir tiesīgs pārtraukt attiecīgos Pakalpojumus bez jebkādiem zaudējumiem vai sankcijām. Gadījumā, ja Siemens to pārtrauc, Pakalpojuma sniedzējs proporcionāli atmaksā visas priekšapmaksātās summas par attiecīgo Pakalpojumu.
• c) Ja pakalpojumu sniedzējs iesaista apakšapstrādātāju konkrētu apstrādes darbību veikšanai (Siemens un/vai pilnvaroto iestāžu vārdā), tas to dara, noslēdzot rakstisku līgumu, kas pēc būtības paredz tādus pašus datu aizsardzības pienākumus kā tie, kas ir saistoši pakalpojumu sniedzējam saskaņā ar šo DPA.
• d) Pakalpojuma sniedzējs pēc Siemens pieprasījuma iesniedz Siemens šāda apakšapstrādātāja līguma kopiju un visus turpmākus grozījumus. Ciktāl tas nepieciešams, lai aizsargātu uzņēmējdarbības noslēpumus vai citu konfidenciālu informāciju, tostarp personas datus, pakalpojumu sniedzējs var rediģēt līguma tekstu pirms kopijas kopīgošanas.
• e) Pakalpojuma sniedzējs pienācīgi un regulāri veic apakšapstrādātāja revīziju attiecībā uz atbilstību šīm prasībām un dokumentē šādu revīziju rezultātus.
• (f) Pakalpojuma sniedzējs paliek pilnībā atbildīgs Siemens priekšā par apakšapstrādātāja saistību izpildi saskaņā ar līgumu ar pakalpojumu sniedzēju. Pakalpojuma sniedzējs informē Siemens par jebkādu apakšapstrādātāja nespēju izpildīt savas saistības saskaņā ar minēto līgumu.

Ierobežotu pārsūtījumu gadījumā Pakalpojuma sniedzējam nodrošina, ka uz šādu ierobežotu pārsūtīšanu attiecas atbilstoši pārsūtīšanas aizsardzības pasākumi, kā noteikts šajā punktā. 9. iedaļa un III pielikums uz šo DPA.

• (a) Standarta līguma klauzulas. Ja pārsūtīšanas aizsardzības līdzeklis ir balstīts uz Līguma standarta klauzulām, piemēro šādus noteikumus:
  • EEZ-Pakalpotāji. Ja pakalpojumu sniedzējs atrodas EEZ teritorijā, pakalpojumu sniedzējs noslēdz Līguma standarta klauzulas (3. modulis) ar savu apakšapstrādātāju. 9. iedaļas a) punkta vii) apakšpunkts (“Reglamentējošie tiesību akti”), 9. punkta a) apakšpunkts (viii) (“Foruma un jurisdikcijas izvēle”), 9. punkta a) apakšpunkta ix) apakšpunkta b) apakšpunkts (“Apvienotās Karalistes papildinājuma 1. daļa”) un 9. panta a) punkta x) apakšpunkta otrais teikums Šī DPA (“pilnvarotas iestādes citās valstīs”) nepiemēro, ja pakalpojumu sniedzējs atrodas EEZ.
  • Non-EEZ pakalpojumu sniedzēji. Ja pakalpojumu sniedzējs atrodas ārpus EEZ, ierobežoto pārsūtīšanu reglamentē Līguma standarta klauzulas 2. un 3. modulis. Attiecīgie noteikumi, kas ietverti Līguma standarta klauzulās, ir iekļauti ar atsauci un ir šīs DPA neatņemama sastāvdaļa. Informācija, kas vajadzīga Līguma standarta klauzulu pielikumu vajadzībām, ir izklāstīta I līdz III pielikumsuz šo DPA.
  • Dokstēšanas klauzula. Līguma standarta klauzulu 7. punktā paredzētā iespēja nav piemērojama.
  • Turpmākie pārskaitījumi. Jebkurai turpmākai pārsūtīšanai jāatbilst piemērojamā Līguma standarta klauzulu moduļa 8. un 9. punktam. Gadījumā, ja Siemens atrodas ārpus EEZ un darbojas kā datu importētājs saskaņā ar Līguma standarta klauzulām ar pilnvarotām iestādēm, trešās puses saņēmēja klauzula, kas noteikta Standarta līguma klauzulu 9. punkta e) apakšpunktā, ir par labu šādai pilnvarotai iestādei.
  • Apakšprocesoru izmantošana.Piemēro 2. risinājumu saskaņā ar Līguma standarta klauzulu 9. punktu. Līguma standarta klauzulu 9.a) punkta izpratnē pakalpojumu sniedzējam ir Siemens vispārējā pilnvara iesaistīt apakšapstrādātājus saskaņā ar 8. iedaļa no šī DPA.
  • Aizsardzība. Gadījumā, ja pakalpojumu sniedzējs piedāvā datu subjektiem iespēju iesniegt sūdzību neatkarīgai strīdu izšķiršanas iestādei (sk. Līguma standarta klauzulu 11. punktā), pakalpojumu sniedzējs rakstiski informē atbildīgo šķīrējtiesas iestādi Siemens un ievēro Līguma standarta klauzulu 11. punktā ietvertās piemērojamās prasības un piemērojamos šķīrējtiesas noteikumus.
  • Regulējošie tiesību akti. Līguma standarta klauzulu 17. punkta izpratnē regulējošais likums ir likums, kas noteikts Līguma regulējošo tiesību sadaļā. Ja Nolīgumu nereglamentē ES dalībvalsts tiesību akti, ES Līguma standarta klauzulas reglamentē Vācijas tiesību akti.
  • Foruma un jurisdikcijas izvēle. Tiesas saskaņā ar Līguma standarta klauzulu 18. punktu ir tās, kuras izraudzītas Līguma norises vietas sadaļā. Ja Līgumā nav noteikta ES dalībvalsts tiesa, kurai ir ekskluzīva jurisdikcija, lai atrisinātu jebkuru strīdu vai tiesas prāvu, kas izriet no Līguma vai saistībā ar to, puses vienojas, ka Vācijas tiesām ir ekskluzīva jurisdikcija atrisināt visus strīdus, kas izriet no ES Līguma standarta klauzulām.
  • Pilnvarotās iestādes Apvienotajā Karalistē. Gadījumā, ja ierobežoti pārsūtījumi notiek no pilnvarotām iestādēm, kas atrodas Apvienotajā Karalistē, piemēro šādus nosacījumus:
    • Apvienotās Karalistes papildinājums. Izmanto Apvienotās Karalistes papildinājumu, ja vien Siemens nav rakstiski vienojusies citādi.
    • Apvienotās Karalistes papildinājuma 1. daļa. Apvienotās Karalistes papildinājuma 1. daļu piemēro šādi:
      1. 1. tabula: Pušu informācija un galvenā kontaktinformācija ir ietverta I pielikums uz šo DPA.
      2. 2. tabula: Apstiprināto ES SCC versija (kā noteikts Apvienotās Karalistes papildinājumā), kurai pievienots Apvienotās Karalistes papildinājums, ir ES standarta līguma klauzulas ar iepriekš atlasītajiem moduļiem un klauzulām 9. iedaļas a) apakšpunkts no šī DPA. Nekādi personas dati, kas saņemti no importētāja, netiek apvienoti ar personas datiem, ko savācis Eksportētājs.
      3. 3. tabula: Papildinājuma informācija, kā prasīts Apvienotās Karalistes papildinājuma 3. tabulā, ir ietverta I līdz III pielikums uz šo DPA.
      4. 4. tabula: Neviena no pusēm nevar izbeigt Apvienotās Karalistes papildinājumu, ja mainās Apstiprinātais papildinājums (kā noteikts Apvienotās Karalistes papildinājumā).
  • Pilnvarotas iestādes citās valstīs. Ja standarta līguma klauzulas aizsargā ierobežotu pārsūtīšanu no pilnvarotām iestādēm, kas atrodas ārpus EEZ un Apvienotās Karalistes (piemēram, Šveices), (1) vispārējām un īpašām atsaucēm Līguma standarta klauzulās uz VDAR vai ES vai dalībvalsts tiesību aktiem ir tāda pati nozīme kā līdzvērtīgajai atsaucei tās valsts datu aizsardzības likumos, kā arī 2) atsauces uz kompetento uzraudzības iestādi interpretē kā atsauces uz kompetento datu aizsardzība autoritāte šādā valstī. Regulējošos tiesību aktus, foruma izvēli un jurisdikciju reglamentē 9. iedaļas a) punkta vii) apakšpunkts un (viii) šīs DPA, ja vien tiesību akti, kas piemērojami attiecīgajai pilnvarotajai iestādei, neparedz citādi, tādā gadījumā Līguma standarta klauzulas reglamentē tās valsts tiesību akti, kurā atrodas pilnvarotā iestāde, un visas atsauces uz kompetentajām “tiesām” interpretē kā atsauces uz kompetentajām tiesām šajā valstī.
• Procesora saistošie korporatīvie Rules. Ja pārsūtīšanas nodrošinājums ir balstīts uz Apstrādātāju saistošiem korporatīvajiem noteikumiem, piemēro šādus nosacījumus: Pakalpojuma sniedzējs līgumā saista šādu apakšapstrādātāju ievērot Apstrādātāja saistošos korporatīvos noteikumus attiecībā uz personas datiem, kas apstrādāti saskaņā ar šo DPA.
• Papildu pārsūtīšanas aizsardzības pasākumi. Ja pārsūtīšanas drošības pasākumi nav balstīti uz Līguma standarta klauzulām, Līguma standarta klauzulu 14. un 15. punktu mutatis-mutandis piemēro ierobežojumiem saskaņā ar šādu citu pārsūtīšanas aizsardzības līdzekli, izņemot gadījumus, kad attiecīgais nodošanas aizsardzības līdzeklis pēc būtības neietver tādas pašas tiesības un pienākumus attiecībā uz vietējiem likumiem un praksi, kas attiecas uz nodošanas drošības pasākumiem, un ii) pienākumus valsts iestāžu piekļuves gadījumā kā standarta līguma 14. un 15. punktā.
• Cits. Pakalpojuma sniedzējs piekrīt un saprot, ka vietējie piemērojamie datu aizsardzības likumi var ietvert līdzīgus vai papildu pārsūtīšanas ierobežojumus, kas ietverti šajā 9. iedaļa. Šādā gadījumā Pakalpojuma sniedzējs piekrīt pielietot saprātīgus centienus un godticīgi sadarboties ar Siemens, lai risinātu šīs prasības.

Pakalpojuma sniedzējs pamatoti palīdz Siemens nodrošināt atbilstību piemērojamajiem datu aizsardzības likumiem, jo īpaši palīdzot Siemens šādi:

• (a) Apstrādes labošana, dzēšana vai ierobežošana. Sniedzējs vai nu (i) nodrošina iespēju labot, dzēst vai ierobežot Personas datu apstrādi, izmantojot Pakalpojumu funkcijas, vai (ii) labot, dzēst vai ierobežot Personas datu apstrādi, kā norādījis Siemens.
• b) Piekļuve personas datiem. Ciktāl informācija, kas attiecas uz datu subjektu, izmantojot Pakalpojumu, nav pieejama, pakalpojumu sniedzējs, ja nepieciešams, lai Siemens un pilnvarotās iestādes varētu izpildīt savas saistības saskaņā ar piemērojamiem Datu aizsardzības likumiem, sniegs palīdzību, lai šāda informācija būtu pieejama Siemens un/vai pilnvarotām iestādēm.
• c) Datu subjekts un iestādes pieprasījumi. Pakalpojuma sniedzējs nekavējoties paziņo Siemens par: (i) visiem saņemtajiem pieprasījumiem vai sūdzībām vai tiesībaizsardzības iestādes, valsts vai pārvaldes iestādes vai aģentūras paziņojumiem par izmeklēšanu; un (ii) jebkuru pieprasījumu, kas saņemts tieši no jebkura datu subjekta par viņu personas datiem. Attiecībā uz iepriekš minētajiem (i) un ii) punktiem Pakalpojuma sniedzējs neatbild bez Siemens norādījumiem. Ja tas ir norādīts, pakalpojumu sniedzējs pamatoti atbalsta Siemens atbildēšanu uz šādiem pieprasījumiem.
• d) Datu pārnesamība. Pēc Siemens pieprasījuma un, ja to prasa piemērojamie datu aizsardzības likumi, pakalpojumu sniedzējs vai nu (i) nodrošinās iespēju iegūt Personas datus, atsaucoties uz konkrētu datu subjektu atbilstoši Pakalpojuma funkcijām, vai (ii) padarīs attiecīgo datu kopu pieejamu Siemens un/vai attiecīgajai pilnvarotajai iestādei, katrā gadījumā strukturētā, plaši izmantotā un mašīnlasāmā formātā.
• e) Ietekmes novērtējumi par datu aizsardzību. Ja Siemens to pieprasa, pakalpojumu sniedzējs sniedz visu informāciju un saprātīgu atbalstu, lai veiktu ietekmes uz datu aizsardzību novērtējumus saskaņā ar piemērojamiem datu aizsardzības likumiem.

Pēc datu apstrādes attiecību izbeigšanas, ja vien Siemens nav norādījis citādi vai šeit nav noteikts, Pakalpojuma sniedzējs atgriež Siemens visus Personas datus, kas sniedzējam darīti pieejami vai kurus Sniedzējs ir ieguvis vai radījis saistībā ar līgumā vienotajiem Pakalpojumiem, un neatgriezeniski dzēš vai iznīcina visus atlikušos datus. Izdzēšanu vai iznīcināšanu Pakalpojuma sniedzējs pēc pieprasījuma apstiprina rakstiski.

• (a) Pakalpojuma sniedzējs nekavējoties paziņo Siemens, bet jebkurā gadījumā 48 stundu laikā, ja pakalpojumu sniedzējs atklāj vai pamatotas aizdomas par jebkuru datu pārkāpumu.
• b) Paziņojumā Siemens pakalpojumu sniedzējs sniedz Siemens šādu informāciju: i) informāciju par kontaktpunktu, kurā (vai no kura) var iegūt vairāk informācijas, ii) pārkāpuma rakstura aprakstu (tostarp, ja iespējams, attiecīgo datu subjektu nosaukumus, kategorijas un aptuveno skaitu un personas datu ierakstus), iii) iespējamās sekas un veiktie vai ierosinātie pasākumi, lai novērstu pārkāpumu, tostarp vajadzības gadījumā pasākumus tā iespējamiem nelabvēlīgas sekas. Ja un ciktāl nav iespējams sniegt visu informāciju vienlaicīgi, sākotnējā paziņojumā iekļauj toreiz pieejamo informāciju, un papildu informāciju pēc tam, kad tā kļūst pieejama, sniedz bez liekas kavēšanās.
• c) Visi paziņojumi saskaņā ar šo 12. iedaļa nosūta (i) attiecīgajam kontaktpunktam, kas norādīts Līgumā, un ii) dataprotection@siemens.com.
• d) Pakalpojuma sniedzējs uz pakalpojumu sniedzēja izmaksu un rēķina (i) pilnībā sadarbojas ar Siemens datu pārkāpuma izmeklēšanā; ii) palīdz un sadarbojas ar Siemens saistībā ar jebkādiem likumīgi nepieciešamiem paziņojumiem vai atklāšanu skartajām personām (ar individuālu saziņu, publisku saziņu ar plašsaziņas līdzekļiem vai līdzīgiem pasākumiem), tiesībaizsardzības iestādēm un/vai citām trešām personām; iii) veic citas darbības, ko Siemens uzskata par nepieciešamu saistībā ar šādu datu pārkāpumu un jebkuru strīdu vai prasību kas attiecas uz datu pārkāpumu.
• e) Ja vien piemērojamie tiesību akti vai kompetentā regulatora rīkojums neparedz citādi, Siemens pēc saviem ieskatiem izdara galīgo lēmumu (i) vai datu pārkāpums prasa paziņot, un ii) par paziņojuma veidu. Gadījumā, ja Pakalpojuma sniedzējs sniedz šādus paziņojumus par datu pārkāpumu, visi šādi paziņojumi ir iepriekš jāapstiprina Siemens.
• (f) Pakalpojuma sniedzējs uz savas rēķina veic attiecīgus pasākumus, lai novērstu datu pārkāpumu, tostarp pasākumus, lai mazinātu tā nelabvēlīgo ietekmi (tostarp darbības vides aizsardzības pasākumus). Pakalpojuma sniedzējs arī veic tūlītējus pasākumus, lai novērstu jebkādu datu pārkāpumu atkārtošanos, tostarp jebkādas darbības, kas prasītas piemērojamajā Datu aizsardzības likumā.
• (g) Pakalpojuma sniedzējs atlīdzina Siemens visas izmaksas un izdevumus, kas radušies saistībā ar šādu pakalpojumu sniedzēja radīto datu pārkāpumu, tostarp, bet ne tikai, izmaksas, kas saistītas ar kredīta uzraudzības nodrošināšanu personām, kuru Personas datus ietekmēja Datu pārkāpums. Šajā ziņā nepiemēro atbildības ierobežojumus par labu pakalpojumu sniedzējam saskaņā ar Līgumu.

• (a) Pakalpojuma sniedzējs (i) ar atbilstošiem līdzekļiem uzrauga savu datu aizsardzības pienākumu ievērošanu saskaņā ar šo DPA un piemērojamo datu aizsardzības likumu; ii) izveido attiecīgus periodiskus (vismaz ikgadējus) un gadījumiem balstītus ziņojumus (katrs a”Ziņojums”); un (iii) pēc pieprasījuma padarīt pārskatus pieejamus Siemens un pilnvarotām iestādēm. Ja Pakalpojuma sniedzēja ieviestais kontroles standarts un sistēma paredz kontroli, šādas kontroles veic saskaņā ar regulatīvās vai akreditācijas iestādes standartiem un noteikumiem katram piemērojamajam kontroles standartam vai sistēmai.
• b) Ja nepieciešams pienācīgi risināt savas revīzijas tiesības un pienākumus saskaņā ar piemērojamajiem datu aizsardzības likumiem, piemērojamiem pārsūtīšanas nodrošinājumiem vai ja to pieprasa kompetentā datu aizsardzības iestāde vai cita valsts iestāde vai aģentūra, pakalpojumu sniedzējs papildus ziņojumiem dara pieejamu Siemens un pilnvaroto iestāžu pilnvaroto revidentu visu pamatoti pieprasīto informāciju un veicina Siemens vai pilnvaroto revidentu veiktās revīzijas, tostarp pārbaudēs. Šim nolūkam Siemens, pilnvarotām iestādēm vai citam Siemens pilnvarotajam revidentam vai pilnvarotām iestādēm ir tiesības veikt pārbaudes uz vietas regulārā darba laikā, netraucējot Pakalpojuma sniedzēja uzņēmējdarbību un pēc saprātīga iepriekšēja paziņojuma.

Ja Pakalpojums izmanto cookies vai līdzīgas tehnoloģijas, piemēro sekojošo: Pakalpojuma sniedzējs, ja vien Siemens nav īpaši vienojies citādi, atsaucoties uz šo 14. iedaļa, tikai uzglabā informāciju (piemēram, rakstot sīkdatni) vai piekļūt informācijai, kas jau ir saglabāta Pakalpojuma lietotāja galaiekārtās (piemēram, izmantojot sīkdatni) vienīgi nolūkā veikt saziņas pārraidi elektronisko sakaru tīklā vai, ja tas ir absolūti nepieciešams, lai Pakalpojuma sniedzējs varētu nodrošināt Pakalpojumu pamatfunkcijas.

Pakalpojuma sniedzējs saprot un piekrīt, ka šajā DPA prasības ir neatņemama Līguma sastāvdaļa un jebkuras no šīm prasībām būtisks pārkāpums tiek uzskatīts par būtisku Līguma pakalpojumu sniedzēja pārkāpumu, dodot Siemens tiesības uz būtiskiem pārkāpumiem saistītus aizsardzības līdzekļus, kas ietverti Līgumā.

Ja un ciktāl Pakalpojuma sniedzējs piekļūst Personas datiem, kas saņemti no Amerikas Savienotajās Valstīs reģistrēta Siemens grupas uzņēmuma (”)Siemens ASV uzņēmums”) vai datu subjektam, kas ir Amerikas Savienoto Valstu rezidents, tad papildus iepriekš minētajam Pakalpojuma sniedzējs: (i) ievēro ASV federālos, štatu un vietējos likumus attiecībā uz Personas datiem, kas attiecas uz pakalpojumu sniedzēju, šādiem Personas datiem un šādu Personas datu īpašniekiem vai pārzinim; ja ir piemērojams iepriekš minētais termins “Piemērojamais datu aizsardzības likums” ietver iepriekš minētos likumus; (ii) izņemot gadījumus, kas īpaši paredzēti šeit Līgumā vai Līgumā nepārdod, nedalās, neizīrē, neizdod, neizpauž, neizplata vai nedara pieejamu Personas datus trešajām personām; un neapvieno Personas datus ar citu informāciju; (iii) paziņo Siemens, ja Sniedzējs pieņem lēmumu, ka Pakalpojuma sniedzējs vairs nevar pildīt savas saistības; (iv) nodrošina, ka katrai personai, kas apstrādā Personas datus, ir pakļauts konfidencialitātes pienākumam attiecībā uz Personas datiem; (v) tiek uzskatīts un darbojas kā “pakalpojumu sniedzējs” saskaņā ar piemērojamo datu aizsardzības likumu (tostarp Kalifornijas Patērētāju privātuma likumu, tās īstenošanas regulas un jebkādi to grozījumi); un vii) ar šo apliecina, ka tā saprot šeit ietvertos ierobežojumus un tos ievēros.

DPA I pielikums (un attiecīgā gadījumā Līguma standarta klauzulas)

A. PUŠU SARAKSTS

Pakalpojumu saņēmējs/datu eksportētājs:

Sniedzējs/datu importētājs:

B. PĀRSŪTĪŠANAS/APSTRĀDES DARBĪBU APRAKSTS

C. KOMPETENTĀ UZRAUDZĪBAS IESTĀDE

Ja Siemens veic uzņēmējdarbību ES dalībvalstī, uzraudzības iestāde, kas ir atbildīga par to, lai Siemens atbilstu VDAR noteikumiem attiecībā uz datu pārsūtīšanu, darbojas kā kompetentā uzraudzības iestāde. Siemens Aktiengesellschaft (Vācija) uzraudzības iestāde ir:

Bayeras datu aizsardzības pārbaudes lauku apgabals (BayLDA)

Promenāde 18

91522 Ansbaha

Vācija

Ja Siemens nav reģistrēts ES dalībvalstī, bet ietilpst VDAR teritoriālajā piemērošanas jomā saskaņā ar tās 3. panta 2. punktu, tās dalībvalsts uzraudzības iestāde, kurā ir reģistrēts pārstāvis VDAR 27. panta 1. punkta nozīmē, darbojas kā kompetentā uzraudzības iestāde; proti:

Bayeras datu aizsardzības pārbaudes lauku apgabals (BayLDA)

Promenāde 18

91522 Ansbaha

Vācija

DPA II pielikums (un, attiecīgā gadījumā, Līguma standarta klauzulas)

Tehniskie un organizatoriskie pasākumi (tostarp tehniskie un organizatoriskie pasākumi datu Security nodrošināšanai)

Turpmāk minētos pasākumus piemēro tikai Pakalpojuma sniedzējam, ciktāl par pamatā esošajām IT sistēmām, tīkliem un lietojumprogrammām ir atbildīgs un/vai Pakalpotājs ir atbildīgs un/vai pakļauts Pakalpojuma sniedzēja uzraudzībai vai kontrolei. Pakalpojuma sniedzēja un tā apakšapstrādātāja (-u) īstenoto tehnisko un organizatorisko drošības pasākumu apraksts:

DPA III pielikums (un attiecīgā gadījumā Līguma standarta klauzulas)

APAKŠPROCESORU UN DATU CENTRU ATRAŠANĀS VIETU SARAKSTS

Partnera autorizācijas veidlapā ir norādīts:

Uzņēmumi (tostarp partneri un apakšapstrādātāji), kas nodarbojas ar personas datu glabāšanu/mitināšanu,

Piemērojamās datu centra atrašanās vietas,

Apakšapstrādātāji, kas iesaistīti personas datu apstrādē neuzglabāšanas/mitināšanas nolūkos,

kas šeit ir iekļautas ar šo atsauci.

Pakalpojuma sniedzējs nepārsūta Personas datus no attiecīgās datu centra atrašanās vietas bez Siemens piekrišanas. Paziņošanas un iebildumu mehānisms, kas ietverts 8. iedaļa šajā sakarā nepiemēro.