Tillegg om databeskyttelse for partnere
Følgende vedlegg om databeskyttelse for partnere er en del av partnerprogramavtalen og fastsetter vilkårene for behandling av personopplysninger.
1. GENERELT
Dette vedlegget om databeskyttelse for partnere (»DPA») er en del av partnerprogramavtalen (»Avtale») og angir tilleggsvilkårene for behandling av personopplysninger. Termer med store bokstaver har betydningen definert i neste avsnitt av dette dokumentet eller andre steder i avtalen. Hvis det er en konflikt mellom vilkårene i denne DPA og andre vilkår i avtalen, vil denne DPA ha forrang. For formålene med denne DPA betyr «leverandør» partner.
2. DEFINISJONER
- (a) «Gjeldende databeskyttelseslov» betyr all gjeldende lov knyttet til behandling av personopplysninger i henhold til avtalen, inkludert, men ikke begrenset til, (i) for personopplysninger som stammer fra en autorisert enhet lokalisert i EØS, den generelle databeskyttelsesforordningen (EU) 2016/679 (»GDPR»), og (ii) for personopplysninger som stammer fra en autorisert enhet lokalisert i Storbritannia, Storbritannias GDPR og UK Data Protection Act 2018.
- (b) «Autorisert enhet» skal bety enhver enhet (inkludert Siemens og dets konsernselskaper) som opptrer som Controller og som i henhold til avtalen har rett til direkte eller indirekte å få tilgang til eller bruke tjenestene.
- (c) «Controller» betyr den fysiske eller juridiske personen som, alene eller sammen med andre, bestemmer formålene og midlene for behandlingen av personopplysninger.
- (d) «Land med en beslutning om tilstrekkelighet» betyr ethvert land som EU-kommisjonen har bestemt at et slikt land sikrer et tilstrekkelig nivå av databeskyttelse og for personopplysninger som stammer fra Storbritannia, ethvert land som det er laget britiske tilstrekkelighetsregler for i henhold til avsnitt 17A eller 74A i databeskyttelsesloven 2018.
- (e) «Datainnbrudd» betyr ethvert sikkerhetsbrudd (i) som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personopplysninger som overføres, lagres eller på annen måte behandles, eller (ii) vil kreve melding om en slik hendelse til en tredjepart i henhold til gjeldende lov.
- (f) «EØS» Det betyr Det europeiske økonomiske samarbeidsområdet.
- (g) «EUs standardkontraktsklausuler» betyr standardkontraktsklausulene (EU) 2021/914.
- (h) «Opprinnelsesområde» betyr EØS, Storbritannia, Sveits og hvert land med lignende tilstrekkelighetskrav som i artikkel 45 ff. GDPR.
- (i) «Personopplysninger» enhver informasjon knyttet til en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er en person som kan identifiseres, direkte eller indirekte, særlig ved henvisning til en identifikator som et navn, et identifikasjonsnummer, stedsdata, en elektronisk identifikator eller til en eller flere faktorer som er spesifikke for den fysiske personens fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identitet.
- (j) «Behandling» (og dets andre former som prosess, prosesser, behandlet) betyr enhver operasjon eller sett med operasjoner som utføres på personopplysninger eller på sett med personopplysninger, enten ved automatiserte midler eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, utlevering ved overføring, formidling eller på annen måte tilgjengeliggjøring, justering eller kombinasjon, begrensning, sletting eller ødeleggelse.
- (k) «Prosessor» betyr en fysisk eller juridisk person, offentlig myndighet, byrå eller annet organ som behandler personopplysninger på vegne av en Controller.
- (l) «Processor Binding Corporate Rules» betyr bindende bedriftsregler for databehandlere som er godkjent av vedkommende tilsynsmyndighet.
- (m) «Begrensede personopplysninger» betyr alle personopplysninger som stammer fra en autorisert enhet lokalisert innenfor et opprinnelsesområde.
- (n) «Begrenset overføring (er)» betyr enhver behandling (inkludert overføring, internasjonal tilgang og videreoverføring) av begrensede personopplysninger av leverandøren eller noen av dennes underbehandlere utenfor det aktuelle opprinnelsesområdet.
- (o) «Tjenester» skal bety tjenestene i henhold til avtalen levert av leverandøren som opptrer i sin rolle som databehandler i betydningen av denne DPA.
- (p) «Standardkontraktsklausuler» betyr EUs standardkontraktsklausuler og britiske standardkontraktsklausuler.
- (q) «Underprosessor (er)» skal bety enhver ytterligere databehandler som er involvert i utførelsen av tjenestene.
- (r) «Overføringsbeskyttelse (er)» skal bety passende sikkerhetstiltak for begrensede overføringer som kreves av gjeldende databeskyttelseslov, inkludert, uten begrensning, eventuelle passende garantier som kreves av artikkel 46 GDPR.
- (s) «UK GDPR» betyr GDPR slik den er innlemmet i britisk lov i kraft av seksjon 3 i Storbritannias lov om uttak av EU 2018.
- (t) «Storbritannias standardkontraktsklausuler» betyr slike standard databeskyttelsesklausuler som blir vedtatt fra tid til annen av UK Information Commissioners Office (ICO) i samsvar med artikkel 46 (2) i UK GDPR inkludert, men ikke begrenset til, den internasjonale dataoverføringsavtalen (UK IDTA), og EUs standard kontraktsklausuler som endret av ICOs internasjonale dataoverføringstillegg til EU-kommisjonens standard kontraktsklausuler (»Storbritannias tillegg»). [1]
3. OVERHOLDELSE AV GJELDENDE DATABESKYTTELSESLOV
Partene skal overholde gjeldende databeskyttelseslov slik de gjelder for dem og som påkrevd her. Ved levering av tjenester skal leverandøren spesielt overholde bestemmelsene i gjeldende databeskyttelseslov om behandling av personopplysninger som databehandler.
4. OMFANGET AV BEHANDLINGEN
Leverandøren skal kun behandle personopplysninger (a) i samsvar med vilkårene i denne DPA og Avtalen; eller (b) etter andre dokumenterte instruksjoner fra Siemens. Leverandøren skal ikke behandle personopplysninger for egne formål eller overføre dem til tredjeparter, med mindre det er tillatt av denne DPA. Leverandøren skal umiddelbart informere Siemens dersom en instruksjon fra Siemens, etter dennes mening, bryter med gjeldende databeskyttelseslov.
5. DETALJER OM BEHANDLINGSOPERASJONENE SOM TILBYS
Detaljer om behandlingsoperasjonene levert av leverandøren - spesielt gjenstanden for behandlingen, arten og formålet med behandlingen, typer personopplysninger som behandles og kategoriene berørte registrerte - er spesifisert i Vedlegg I til denne DPA.
6. TEKNISKE OG ORGANISATORISKE TILTAK
Med tanke på den nyeste teknologien, kostnadene ved implementering og arten, omfanget, konteksten og formålene med behandlingen, samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal leverandøren iverksette passende tekniske og organisatoriske tiltak for å sikre et sikkerhetsnivå som er passende for risikoen, inkludert, men ikke begrenset til, etter behov: (a) pseudonymisering og kryptering av personopplysninger; (b) muligheten til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft Behandlingssystemer og tjenester; (c) muligheten til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i tide i tilfelle en fysisk eller teknisk hendelse; (d) en prosess for regelmessig testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen. Uten at det berører det generelle i forrige setning, skal leverandøren til enhver tid iverksette i det minste de tekniske og organisatoriske tiltakene som er beskrevet i Vedlegg IItil denne DPA.
7. FORPLIKTELSE TIL KONFIDENSIALITET
Leverandøren skal begrense personellets tilgang til personopplysninger på grunnlag av behov for å vite. Leverandøren skal gi detaljert varsel til sine ansatte om gjeldende lovbestemmelser og kontraktsbestemmelser om databeskyttelse. Leverandøren skal pålegge sitt personell en forpliktelse til å overholde slike bestemmelser og spesielt å holde personopplysninger hemmelige og ikke behandle personopplysninger annet enn i henhold til Siemens instruksjoner. Taushetsplikten skal fortsette å gjelde etter utløpet av denne avtalen og personalets kontraktsforhold til leverandøren. Leverandøren vil fremlegge bevis på slik forpliktelse på forespørsel.
8. UNDERBEHANDLERE
- (a) Leverandøren har Siemens generelle autorisasjon for engasjement av underdatabehandlere. En gjeldende liste over underbehandlere bestilt av leverandøren finnes i Vedlegg III til denne DPA.
- (b) Leverandøren skal spesifikt informere Siemens skriftlig om eventuelle planlagte endringer i listen gjennom tillegg eller erstatning av underbehandlere minst 30 dager i forveien. Leverandøren skal gi Siemens den informasjonen som er nødvendig for at Siemens kan utøve retten til å protestere. Hvis Siemens ikke gjør innvendinger innen denne 30-dagersperioden, skal dette betraktes som en godkjenning fra den nye underprosessoren. Hvis Siemens reiser innvendinger, vil Leverandøren — før Underdatabehandleren gir tillatelse til å få tilgang til personopplysninger — gjøre rimelige anstrengelser for å løse bekymringene og forbeholdene som er uttrykt av Siemens og (i) avstå fra å bruke Underdatabehandleren; eller (ii) foreslå Siemens en rimelig endring i tjenestene eller Siemens' konfigurasjon eller bruk av tjenestene for å unngå behandling av personopplysninger av den nye underbehandleren som er innvendt mot. Hvis leverandøren ikke er i stand til å eliminere begrunnelsen for Siemens innsigelse, har Siemens rett til å avslutte de berørte tjenestene uten skader eller straffer. I tilfelle Siemens oppsiges, vil leverandøren refundere eventuelle forhåndsbetalte beløp for den aktuelle tjenesten på pro-rata basis.
- (c) Når leverandøren engasjerer en underbehandler for å utføre spesifikke behandlingsaktiviteter (på vegne av Siemens og/eller autoriserte enheter), skal leverandøren gjøre det gjennom en skriftlig kontrakt som i hovedsak fastsetter de samme databeskyttelsesforpliktelsene som de som binder leverandøren i henhold til denne DPA.
- (d) Leverandøren skal, på anmodning fra Siemens, gi en kopi av en slik underprosessorkontrakt og eventuelle senere endringer til Siemens. I den grad det er nødvendig for å beskytte forretningshemmeligheter eller annen konfidensiell informasjon, inkludert personopplysninger, kan leverandøren redigere teksten i kontrakten før du deler en kopi.
- (e) Leverandøren skal tilstrekkelig og regelmessig revidere underdatabehandleren med hensyn til overholdelse av disse kravene og dokumentere resultatene av slike revisjoner.
- (f) Leverandøren skal fortsatt være fullt ansvarlig overfor Siemens for utførelsen av Underdatabehandlerens forpliktelser i henhold til kontrakten med Leverandøren. Leverandøren skal informere Siemens om enhver underdatabehandlerens unnlatelse av å oppfylle sine forpliktelser i henhold til kontrakten.
9. INTERNASJONAL DATABEHANDLING
Ved begrensede overføringer til leverandøren skal leverandøren sørge for at slik begrenset overføring dekkes av tilstrekkelige overføringsgarantier som angitt i denne Seksjon 9 og Vedlegg III til denne DPA.
- (a) Standard kontraktsklausuler. Følgende skal gjelde hvis en overføringsbeskyttelse er basert på standardkontraktsklausulene:
- EEEA-Leverandører. Hvis leverandøren befinner seg innenfor EØS, skal leverandøren inngå standardkontraktsklausulene (modul 3) med sin underbehandler. Avsnitt 9 (a) (vii) («Gjeldende lov»), 9 (a) (viii) («Valg av forum og jurisdiksjon») 9 (a) (ix) (b) («Del 1 av UK Addendum»), og andre setning i avsnitt 9 (a) (x) («Autoriserte enheter i andre land») i denne DPA gjelder ikke hvis leverandøren er lokalisert i EØS.
- Leverandører utenfor EØS. Hvis leverandøren befinner seg utenfor EØS, skal den begrensede overføringen styres av modul 2 og 3 i standardkontraktsklausulene. De relevante bestemmelsene i standardkontraktsklausulene er innlemmet som referanse og er en integrert del av denne DPA. Informasjonen som kreves for formålene i vedleggene til standardkontraktsklausulene er angitt i Vedlegg I til IIItil denne DPA.
- Dokkingsklausul. Alternativet i henhold til klausul 7 i standardkontraktsklausulene skal ikke gjelde.
- Videreoverføringer. Enhver videre overføring må være i samsvar med klausulene 8 og 9 i den gjeldende modulen i standardkontraktsklausulene. Hvis Siemens er lokalisert utenfor EØS og opptrer som dataimportør i henhold til standardkontraktsklausuler med autoriserte enheter, skal tredjepartsmottakerklausulen fastsatt i klausul 9 (e) i standardkontraktsklausulene være til fordel for en slik autorisert enhet.
- Bruk av underbehandlereAlternativ 2 i henhold til klausul 9 i standardkontraktsklausulene skal gjelde. For formålene med punkt 9 (a) i standardkontraktsklausulene har leverandøren Siemens generelle autorisasjon til å engasjere underbehandlere i samsvar med Seksjon 8 av denne DPA.
- Redresjon. I tilfelle leverandøren tilbyr registrerte muligheten til å sende inn en klage til et uavhengig tvisteløsningsorgan (se alternativ i klausul 11 i standardkontraktsklausulene), skal Leverandøren informere Siemens om det ansvarlige voldgiftsorganet skriftlig og overholde gjeldende krav i klausul 11 i standardkontraktsklausulene og gjeldende voldgiftsregler.
- Gjeldende lov. Den gjeldende loven for formålene med klausul 17 i standardkontraktsklausulene skal være loven som er angitt i den gjeldende lovdelen av avtalen. Hvis avtalen ikke er underlagt en EU-medlemsstats lovgivning, skal EUs standardkontraktsklausuler være underlagt lovene i Tyskland.
- Valg av forum og jurisdiksjon. Domstolene i henhold til klausul 18 i standardkontraktsklausulene skal være de som er utpekt i steddelen av avtalen. Hvis avtalen ikke utpeker en EU-medlemsstats domstol som har eksklusiv jurisdiksjon til å løse enhver tvist eller søksmål som oppstår som følge av eller i forbindelse med avtalen, er partene enige om at domstolene i Tyskland, skal ha eksklusiv jurisdiksjon til å løse enhver tvist som oppstår som følge av EUs standardkontraktsklausuler.
- Autoriserte enheter i Storbritannia. Hvis begrensede overføringer kommer fra autoriserte enheter lokalisert i Storbritannia, skal følgende gjelde:
- Storbritannias tillegg. Det britiske tillegget skal brukes, med mindre annet er skriftlig avtalt av Siemens.
- Del 1 av UK Addendum. Del 1 i UK Addendum skal anvendes som følger:
- Tabell 1: Partenes detaljer og nøkkelkontaktinformasjon finnes i Vedlegg I til denne DPA.
- Tabell 2: Versjonen av de godkjente EU-SCC-ene (som definert av UK Addendum) som UK Addendum er vedlagt, er EUs standardkontraktsklausuler med modulene og klausulene valgt ovenfor i Seksjon 9 (a) av denne DPA. Ingen personopplysninger mottatt fra importøren kombineres med personopplysninger samlet inn av eksportøren.
- Tabell 3: Vedleggsinformasjonen som kreves i tabell 3 i UK Addendum er inneholdt i Vedlegg I til III til denne DPA.
- Tabell 4Ingen av partene kan si opp UK Addendum når det godkjente tillegget (som definert i UK Addendum) endres.
- Autoriserte enheter i andre land. I tilfelle standardkontraktsklausulene beskytter begrensede overføringer fra autoriserte enheter utenfor EØS og Storbritannia (f.eks. Sveits), skal (1) generelle og spesifikke referanser i standardkontraktsklausulene til GDPR eller EU- eller medlemsstatslovgivningen ha samme betydning som den tilsvarende referansen i gjeldende databeskyttelseslover i landet der den autoriserte enheten befinner seg, etter hva som er aktuelt; og (2) henvisninger til «kompetent tilsynsmyndighet» skal tolkes som referanser til kompetent tilsynsmyndighet databeskyttelse myndighet i et slikt land. Gjeldende lov, valg av forum og jurisdiksjon skal styres av Avsnitt 9 (a) (vii) og (viii) av denne DPA, med mindre annet kreves av lovene som gjelder for den respektive autoriserte enheten, i så fall skal standardkontraktsklausulene være underlagt lovene i landet der den autoriserte enheten er lokalisert, og eventuelle henvisninger til de kompetente «domstolene» skal tolkes som henvisninger til kompetente domstoler i et slikt land.
- Prosessor Binding Corporate Rules. Følgende skal gjelde hvis en overføringsbeskyttelse er basert på Processor Binding Corporate Rules: Leverandøren skal kontraktsmessig binde slik underbehandler til å overholde Processor Binding Corporate Rules med hensyn til personopplysningene som behandles under denne DPA.
- Ytterligere overføringssikkerhetstiltak. Hvis en overføringsgaranti ikke er basert på standardkontraktsklausuler, skal klausul 14 og 15 i standardkontraktsklausulene gjelde mutatis-mutandis for begrensede overføringer under slik annen overføringsbeskyttelse, med mindre den respektive overføringsbeskyttelsen i hovedsak inneholder de samme rettighetene og forpliktelsene angående (i) lokale lover og praksis som påvirker overholdelse av overføringssikkerhetene, og (ii) forpliktelser ved tilgang fra offentlige myndigheter som angitt i klausulene 14 og 15 i standardkontraktsklausulene.
- Annet. Leverandøren godtar og forstår at lokal gjeldende databeskyttelseslov kan inneholde lignende eller ytterligere overføringsbegrensninger som beskrevet i denne Seksjon 9. I slike tilfeller samtykker leverandøren til å gjøre rimelige anstrengelser og å samarbeide med Siemens i god tro for å imøtekomme disse kravene.
10. LEVERANDØRENS HJELP
Leverandøren skal med rimelighet bistå Siemens med å sikre overholdelse av gjeldende personvernlovgivning, særlig ved å bistå Siemens på følgende måte:
- (a) Korrigering, sletting eller begrensning av behandling. Leverandøren skal enten (i) gi mulighet til å rette opp, slette eller begrense behandlingen av personopplysninger via funksjonaliteten til tjenestene, eller (ii) rette, slette eller begrense behandlingen av personopplysninger som instruert av Siemens.
- (b) Tilgang til personopplysninger. I den grad informasjon knyttet til en registrert ikke er tilgjengelig via tjenesten, vil leverandøren, etter behov for å gjøre det mulig for Siemens og autoriserte enheter å oppfylle sine forpliktelser i henhold til gjeldende databeskyttelseslover, bistå med å gjøre slik informasjon tilgjengelig for Siemens og/eller autoriserte enheter.
- (c) Datasubjekter og myndighetsforespørsler. Leverandøren skal umiddelbart varsle Siemens om: (i) enhver forespørsel eller klager mottatt eller eventuelle meldinger om etterforskning fra en rettshåndhevende, statlig eller regulerende myndighet eller byrå; og (ii) enhver forespørsel mottatt direkte fra enhver registrert om deres personopplysninger. Med hensyn til (i) og (ii) ovenfor, skal Leverandøren ikke svare uten instruksjoner fra Siemens. Hvis det blir instruert, skal leverandøren med rimelighet støtte Siemens i å svare på slike forespørsler.
- (d) Dataportabilitet. På forespørsel fra Siemens og hvis det kreves i henhold til gjeldende databeskyttelseslov, vil leverandøren enten (i) gi muligheten til å trekke ut personopplysninger ved referanse til en bestemt registrert i samsvar med funksjonaliteten til tjenesten eller (ii) gjøre det relevante datasettet tilgjengelig for Siemens og/eller den respektive autoriserte enheten, i hvert tilfelle i et strukturert, vanlig og maskinlesbart format.
- (e) Konsekvensvurderinger om databeskyttelse. Hvis Siemens ber om det, skal leverandøren gi all informasjon og rimelig støtte for å utføre konsekvensvurderinger om databeskyttelse i henhold til gjeldende databeskyttelseslover.
11. OPPHØR AV DATABEHANDLINGSFORHOLDET
Ved opphør av databehandlingsforholdet, med mindre annet er instruert av Siemens eller angitt her, skal Leverandøren returnere til Siemens alle personopplysninger som er gjort tilgjengelig for Leverandøren eller innhentet eller generert av Leverandøren i forbindelse med de kontraktsmessig avtalte tjenestene, og skal ugjenkallelig slette eller ødelegge gjenværende data. Slettingen eller ødeleggelsen skal bekreftes skriftlig av Leverandøren på forespørsel.
12. VARSLINGSFORPLIKTELSER
- (a) Leverandøren skal varsle Siemens umiddelbart, men under alle omstendigheter innen 48 timer i tilfelle Leverandøren oppdager eller med rimelighet mistenker noe datainnbrudd.
- (b) I meldingen til Siemens skal leverandøren gi Siemens følgende informasjon: (i) detaljer om et kontaktpunkt hvor (eller fra hvem) mer informasjon kan fås, (ii) en beskrivelse av bruddets art (inkludert, der det er mulig, navn, kategorier og omtrentlig antall berørte registrerte og personopplysninger), (iii) de sannsynlige konsekvensene og tiltakene som er truffet eller foreslått for å håndtere bruddet, inkludert, der det er hensiktsmessig, tiltak for å redusere bruddet dens mulige bivirkninger. Hvis og i den utstrekning det ikke er mulig å gi alle opplysninger samtidig, skal den første meldingen inneholde de opplysninger som da er tilgjengelige, og ytterligere opplysninger skal, etter hvert som de blir tilgjengelige, gis senere uten unødig forsinkelse.
- (c) Eventuelle varsler under dette Seksjon 12 skal sendes til (i) det respektive kontaktpunktet som er angitt i avtalen og (ii) til dataprotection@siemens.com.
- (d) Leverandøren skal, for Leverandørens regning og bekostning, (i) samarbeide fullt ut med Siemens i etterforskningen av et datainnbrudd; (ii) bistå og samarbeide med Siemens angående eventuelle lovpålagte varsler eller avsløringer til berørte personer (ved individuell kommunikasjon, offentlig kommunikasjon via media eller ved lignende tiltak), rettshåndhevelse, regulatorer og/eller andre tredjeparter; og (iii) iverksette andre tiltak Siemens anser nødvendige angående slike databrudd, og eventuelle tvister, henvendelse eller påstand som gjelder datainnbruddet.
- (e) Med mindre gjeldende lov eller pålegg fra en kompetent tilsynsmyndighet krever noe annet, skal Siemens etter eget skjønn ta den endelige avgjørelsen (i) om et datainnbrudd krever varsling og (ii) måten varslingen skal gjøres på. I tilfelle Leverandøren gir slike varsler om et datainnbrudd, må slike varsler på forhånd godkjennes av Siemens.
- (f) Leverandøren skal på egen bekostning treffe hensiktsmessige tiltak for å håndtere datainnbruddet, inkludert tiltak for å redusere skadevirkningene (inkludert tiltak for å beskytte driftsmiljøet). Leverandøren skal også iverksette umiddelbare tiltak som er utformet for å forhindre gjentakelse av datainnbrudd, inkludert alle tiltak som kreves av gjeldende databeskyttelseslov.
- (g) Leverandøren skal refundere Siemens alle kostnader og utgifter som påløper for slikt datainnbrudd forårsaket av Leverandøren, inkludert, men ikke begrenset til, kostnadene ved å tilby kredittovervåking til enkeltpersoner hvis personopplysninger ble berørt av datainnbruddet. Ansvarsbegrensninger til fordel for leverandøren i henhold til avtalen skal ikke gjelde i denne forbindelse.
13. DOKUMENTASJON OG REVISJONER
- (a) Leverandøren skal (i) overvåke, på passende måte, sin egen overholdelse av sine databeskyttelsesforpliktelser i henhold til denne DPA og gjeldende databeskyttelseslov; (ii) lage relaterte periodiske (minst årlige) og anledningsbaserte rapporter (hver a»Rapportere»); og (iii) gjøre rapportene tilgjengelige for Siemens og autoriserte enheter på forespørsel. Når en kontrollstandard og et rammeverk implementert av leverandøren sørger for kontroller, vil slike kontroller utføres i henhold til standardene og reglene til regulerings- eller akkrediteringsorganet for hver gjeldende kontrollstandard eller rammeverk.
- (b) Hvis det kreves for å ivareta revisjonsrettighetene og forpliktelsene i henhold til gjeldende databeskyttelseslov, gjeldende overføringsgarantier, eller hvis det kreves av en kompetent databeskyttelsesmyndighet eller annen kompetent myndighet eller byrå, skal leverandøren gjøre tilgjengelig for Siemens og autoriserte enheter - i tillegg til rapportene - all ytterligere informasjon som med rimelighet etterspørres, og tillate og bidra til revisjoner, inkludert inspeksjoner, utført av Siemens eller autoriserte enheter eller en annen revisor som er pålagt av Siemens eller autoriserte enheter. For slike formål skal Siemens, autoriserte enheter eller en annen revisor bemyndiget av Siemens eller autoriserte enheter også ha rett til å utføre inspeksjoner på stedet i vanlig arbeidstid, uten å forstyrre leverandørens forretningsdrift, og etter rimelig forhåndsvarsel.
14. BRUK AV INFORMASJONSKAPSLER
Hvis tjenesten bruker informasjonskapsler eller lignende teknologier, gjelder følgende: Leverandøren skal, med mindre annet er spesifikt avtalt av Siemens med henvisning til dette Seksjon 14, kun lagre informasjon (f.eks. ved å skrive en informasjonskapsel), eller få tilgang til informasjon som allerede er lagret i terminalutstyret til en bruker av tjenesten (f.eks. via en informasjonskapsel) med det eneste formål å utføre overføring av en kommunikasjon over et elektronisk kommunikasjonsnettverk, eller som strengt nødvendig for at leverandøren skal kunne tilby kjernefunksjonene til tjenestene.
15. DIVERSE
Leverandøren forstår og samtykker i at kravene i denne DPA er en integrert del av avtalen, og at et vesentlig brudd på noen av disse kravene skal betraktes som et vesentlig brudd fra Leverandørens side av Avtalen, noe som gir Siemens rett til vesentlige bruddsrelaterte rettsmidler som finnes i Avtalen.
16. TILLEGGSKRAV TIL DATA FRA SIEMENS
Hvis og i den grad leverandøren får tilgang til personopplysninger mottatt fra et selskap i Siemens-konsernet som er etablert i USA (»Siemens amerikanske selskap») eller av en registrert som er bosatt i USA, så i tillegg til det ovennevnte, skal leverandøren: (i) overholde amerikanske føderale, statlige og lokale lover angående personopplysninger som gjelder for leverandør, slike personopplysninger og eiere eller behandlingsansvarlige av slike personopplysninger; når det foregående gjelder, skal begrepet «Gjeldende databeskyttelseslov» som brukt her omfatte de foregående lovene; (ii) unntatt som spesifikt angitt her eller Avtalen skal ikke selge, dele, leie ut, offentliggjøre, formidle eller gjøre tilgjengelig Personopplysninger til tredjeparter; og skal ikke kombinere personopplysningene med annen informasjon; (iii) skal varsle Siemens hvis leverandøren bestemmer at leverandøren ikke lenger kan oppfylle sine forpliktelser i henhold til dette; (iv) skal sikre at hver person som behandler personopplysninger er underlagt taushetsplikt med hensyn til personopplysningene; (v) skal anses som, og skal opptre som, en «tjenesteleverandør» i henhold til gjeldende personvernlov (inkludert California Consumer Act), dets gjennomføringsforskrifter og eventuelle endringer derav); og (vii) bekrefter herved at den forstår begrensningene heri og vil overholde dem.
Vedlegg I til DPA (og, der det er aktuelt, standardkontraktsklausulene)
A.LISTE OVER PARTIER
Tjenestemottaker/dataeksportør:
Navn: | Siemens enhet spesifisert på utførelsesskjema |
Adresse: | Som angitt på utførelsesskjema |
Kontaktnavn, stilling og kontaktinformasjon | Kontoret til Siemens databeskyttelsesansvarlig Werner-von-siemens-Straße 1, 80333 München, Tyskland E-post: datapotection@siemens.com |
Aktiviteter som er relevante for dataene som overføres eller behandles | Partneren vil tilby kundesuksesstjenester og/eller vedlikehold og støtte til kunder som angitt i partnerautorisasjonsskjemaet i samsvar med avtalen. Ved utførelsen av disse tjenestene kan Partner også ha tilgang til Siemens sluttkundes systemer og nettverk, og tilgang til personopplysninger kan ikke utelukkes. |
Rolle (kontroller/prosessor) | Siemens fungerer som Controller for behandlingsaktivitetene levert av Leverandøren overfor Siemens og som databehandler under instruksjoner fra sine autoriserte enheter for behandlingsaktiviteter levert av Leverandøren overfor autoriserte enheter. |
Leverandør/dataimportør:
Navn: | Leverandørenhet angitt i Utførelsesskjema |
Adresse: | Som angitt på utførelsesskjema |
Kontaktnavn, stilling og kontaktinformasjon | Som angitt på partnerautorisasjonsskjema |
Aktiviteter som er relevante for dataene som overføres eller behandles | Se tabellen ovenfor |
Rolle (kontroller/prosessor) | Leverandøren fungerer som databehandler som behandler personopplysninger på vegne av Siemens og, etter behov, autoriserte enheter. |
B.BESKRIVELSE AV OVERFØRINGS-/BEHANDLINGSOPERASJONER
Kategorier av registrerte hvis personopplysninger overføres/behandles: | ☒ Ansatte og ansatte (inkludert søkere, faste, midlertidige, deltidsansatte, praktikanter, entreprenører og agenter) ☒ Kontaktpersoner hos forretningspartnere, leverandører, leverandører og andre samarbeidspartnere ☒ Kunde (er) og/eller deres ansatte og ansatte (inkludert søkere, faste, midlertidige, deltidsansatte, praktikanter, entreprenører og agenter) ☒ Brukere av Siemens programvareprodukter/tjenester ☐ Annet, vennligst oppgi: Videre berørte registrerte hvis personopplysninger er inneholdt i en applikasjon eller et IT-system som er innenfor omfanget av tjenestene som tilbys. |
Kategorier av personopplysninger overført/behandlet | ☒ Kontaktinformasjon (for eksempel navn, adresse, telefon- eller faksnummer, e-postadresse osv.) ☒ Organisasjonsorganisasjon (for eksempel stilling, avdeling osv.) ☒ Posisjonsdata (for eksempel GPS, etc.) ☐ Offentlige og personlige identifikatorer (for eksempel personnummer, førerkortnummer, personnummer osv.) ☐ Finansielle data (for eksempel inntekt, lånefiler, transaksjoner, kredittinformasjon, kjøps- og forbruksvaner, insolvensstatus osv.) ☐ Sysselsettingsdata (for eksempel rekrutteringsdata og kvalifikasjoner, kompensasjons- og lønnsdata, ansattes identifikasjonsdata, ansattes status, fremmøtedata, arbeidshistorikkdata osv.) ☒ Brukerkontodata (for eksempel brukernavn/ID og passord, etc.) ☒ Informasjon relatert til den registrertes bruk av IT-ressurser (for eksempel IP-adresse, påloggingsinformasjon, legitimasjon osv.) ☐ Finansiell kontoinformasjon (for eksempel bank-/kredittkortdata, kontonummer, kredittkortnumre osv.) ☐ Annet; vennligst oppgi: Eventuelle ytterligere personopplysninger som finnes i en applikasjon eller et IT-system som er innenfor omfanget av tjenestene som tilbys. |
Spesielle kategorier av personopplysninger som skal hentes til eller behandles | ☐ Informasjon om rase eller etnisk opprinnelse ☐ Informasjon om politiske meninger ☐ Informasjon om religiøs eller filosofisk tro ☐ Informasjon om fagforeningsmedlemskap ☐ Informasjon om sexliv eller seksuell legning ☐ Biometriske data ☐ Genetiske data ☐ Helsedata (for eksempel psykiske eller fysiske funksjonshemninger, familiens sykehistorie, personlig sykehistorie, medisinske journaler, resepter osv.) ☐ Annet; vennligst oppgi: Begrensningene eller sikkerhetstiltakene som gjelder for slike sensitive personopplysninger er beskrevet i Vedlegg II til denne DPA |
Frekvensen av overføringen (tilgang/behandling) | ☐ Leverandøren verter personopplysninger på vegne av Siemens og, etter behov, autoriserte enheter ☒ Leverandøren får ekstern tilgang til personopplysninger når han leverer tjenestene ☒ på engangsbasis ☒ på kontinuerlig basis ☐ Leverandøren behandler ellers personopplysninger når de leverer tjenestene ☐ på engangsbasis ☐ på kontinuerlig basis |
Behandlingens art | ☐ Samling ☒ Opptak ☒ Organisering ☒ Strukturering ☐ Lagring ☒ Tilpasning eller endring ☐ Henting ☒ Konsultasjon ☒ Bruk ☐ Offentliggjøring ved overføring ☐ Formidling ☐ Ellers tilgjengeliggjøring ☐ Justering eller kombinasjon ☐ Begrensning ☐ Sletting eller ødeleggelse av data ☒ Fjerntilgang ☐ Annet: |
Formål/aktiviteter som er relevante for dataene som overføres eller behandles | ☒ Leverandøren gir vedlikehold og støttetjenester og kan ha tilgang, inkludert ekstern tilgang til personopplysninger. ☐ Leverandøren gir profesjonelle tjenester ved å utføre tjenester i forbindelse med en applikasjon/system eller nettverk som: installasjon, konfigurasjon eller datamigrering eller andre relaterte IT-tjenester og kan ha tilgang, inkludert ekstern tilgang til personopplysninger. ☐ Leverandøren gir administrerte tjenester, inkludert administrasjon av datasenter og infrastruktur, administrasjon av sikkerhetskopiering og gjenoppretting og kan ha tilgang, inkludert ekstern tilgang til personopplysninger. ☐ Leverandøren gir XaaS (Software-, plattform- eller infrastruktur-som-en-tjeneste) ved å tilby hosting, drift, administrasjon og vedlikehold og støttetjenester. ☒ Annet: Leverandøren leverer kundesuksesstjenester og kan ha tilgang, inkludert ekstern tilgang, til personopplysninger. |
Varighet | ☐ Personopplysningene vil bli beholdt i perioden for avtalen. ☐ Personopplysningene vil bli oppbevart i en periode på: ☒ Annet: Personopplysningene vil bli beholdt i bestillingsperioden, med mindre annet er instruert. |
For overføringer til underdatabehandler (er), spesifiser også gjenstand, art og varighet av behandlingen | Behandlingens gjenstand, art og varighet er spesifisert per underbehandler i Vedlegg III til denne DPA. |
C.KOMPETENT TILSYNSMYNDIGHET
Når Siemens er etablert i et EU-land, skal tilsynsmyndigheten med ansvar for å sikre at Siemens overholder GDPR når det gjelder dataoverføring, fungere som kompetent tilsynsmyndighet. For Siemens Aktiengesellschaft, Tyskland, er tilsynsmyndigheten:
Bayerische Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Tyskland
Når Siemens ikke er etablert i et EU-land, men faller innenfor det territoriale anvendelsesområdet for GDPR i samsvar med artikkel 3 nr. 2, skal tilsynsmyndigheten i medlemsstaten der representanten i henhold til artikkel 27 nr. 1 i GDPR er etablert, fungere som kompetent tilsynsmyndighet, nemlig:
Bayerische Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Tyskland
Vedlegg II til DPA (og, der det er aktuelt, standardkontraktsklausulene)
Tekniske og organisatoriske tiltak (inkludert tekniske og organisatoriske tiltak for å sikre datasikkerheten)
Følgende tiltak gjelder kun for Leverandøren, i den grad de underliggende IT-systemene, nettverkene og applikasjonene er leverandørens ansvar og/eller under forvaring eller kontroll av Leverandøren. Beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er implementert av leverandøren og dennes underbehandler (er):
# | Tiltak | SferA Regel-ID |
Fysisk og miljømessig Security | ||
Leverandøren iverksetter egnede tiltak for å hindre uautoriserte personer i å få tilgang til databehandlingsutstyret (nemlig database- og applikasjonsservere og relatert maskinvare). Dette skal oppnås ved: etablering av sikkerhetsområder; beskytte og begrense tilgangsstier; sikring av desentralisert databehandlingsutstyr og personlige datamaskiner; etablering av tilgangstillatelser for ansatte og tredjeparter, inkludert den respektive dokumentasjonen; forskrifter om adgangskort; begrensninger på tilgangskort; all tilgang til datasenteret der personopplysninger er vert vil bli logget, overvåket og sporet; datasenteret der personopplysninger er lagret, er sikret med begrensede tilgangskontroller og andre passende sikkerhetstiltak; og Vedlikehold og inspeksjon av støtteutstyr i IT-områder og datasentre skal kun utføres av autorisert personell. | 11.1.1-02 | |
Adgangskontroll (IT-systemer og/eller IT-applikasjon) | ||
Leverandøren implementerer et roller- og ansvarskonsept. | 06.1.1-01 | |
Leverandøren implementerer et autorisasjons- og autentiseringsrammeverk som inkluderer, men ikke begrenset til, følgende elementer: rollebaserte tilgangskontroller implementert; prosess for å opprette, endre og slette kontoer implementert; tilgang til IT-systemer og applikasjoner er beskyttet av autentiseringsmekanismer; passende autentiseringsmetoder brukes basert på egenskapene og tekniske alternativene til IT-systemet eller applikasjonen; Tilgang til IT-systemer og -applikasjoner skal minst kreve tofaktorautentisering for privilegerte kontoer. all tilgang til personopplysninger logges, overvåkes og spores; autorisasjons- og loggingstiltak for innkommende nettverkstilkoblinger til IT-systemer og -applikasjoner (inkludert brannmurer for å tillate eller nekte inngående nettverkstilkoblinger) implementert privilegerte tilgangsrettigheter til IT-systemer, applikasjoner og nettverkstjenester gis bare til enkeltpersoner som trenger det for å utføre sine oppgaver (prinsippet om minst privilegium); privilegerte tilgangsrettigheter til IT-systemer og applikasjoner dokumenteres og holdes oppdatert tilgangsrettigheter til IT-systemer og -applikasjoner blir gjennomgått og oppdatert med jevne mellomrom; Passordpolicy implementert, inkludert krav til passordkompleksitet, minimumslengde og utløp etter tilstrekkelig tidsperiode, ingen gjenbruk av nylig brukte passord IT-systemer og applikasjoner håndhever teknisk passordpolicy; tilgangsrettigheter for ansatte og eksternt personell til IT-systemer og applikasjoner fjernes umiddelbart ved oppsigelse av ansettelses- eller kontraktsoppsigelse; og bruk av sikre toppmoderne autentiseringssertifikater sikret. | 09.1.1-02 09.1.1-03 09.2.3-01 09.4.2-02 | |
IT-systemer og applikasjoner låses automatisk ned eller avslutter økten etter overskridelse av en rimelig definert tomgangstid. | 11.2.9—03 11.2.9—04 | |
Leverandøren begrenser privilegert tilgang til skyressurser til enkeltstående eller bestemte IP-adresser. | ST002-0008 | |
Privilegert tilgang til skyressurser gjøres gjennom en bastionvert. | ST002-0009 | |
Leverandøren opprettholder påloggingsprosedyrer på IT-systemer med sikkerhetstiltak mot mistenkelig påloggingsaktivitet (f.eks. mot brute-force og passordgjettingsangrep). | 09.4.2-02 | |
Tilgjengelighetskontroll | ||
Leverandøren beskytter systemer og applikasjoner mot skadelig programvare ved å implementere passende og toppmoderne anti-malware-løsninger. | 12.2.1-01 | |
Leverandøren definerer, dokumenterer og implementerer et sikkerhetskopieringskonsept for IT-systemer, inkludert følgende tekniske og organisatoriske elementer: sikkerhetskopieringsmedier er beskyttet mot uautorisert tilgang og miljøtrusler (f.eks. varme, fuktighet, brann); definerte sikkerhetskopieringsintervaller; og gjenoppretting av data fra sikkerhetskopier testes regelmessig basert på kritikken til IT-systemet eller applikasjonen. | 12.3.1-01 | |
Leverandøren lagrer sikkerhetskopier på et fysisk sted som er forskjellig fra stedet der det produktive systemet er vert. | ST002-0013 | |
IT-systemer og applikasjoner i ikke-produksjonsmiljøer skilles logisk eller fysisk fra IT-systemer og applikasjoner i produksjonsmiljøer. | 12.1.4-01 | |
Datasentre der personopplysninger lagres eller behandles er beskyttet mot naturkatastrofer, fysiske angrep eller ulykker. | 11.1.4-02 | |
Støtteutstyr i IT-områder og datasentre, for eksempel kabler, elektrisitet, telekommunikasjonsanlegg, vannforsyning eller klimaanlegg, er beskyttet mot forstyrrelser og uautorisert manipulasjon. | 11.1.4-02 | |
Operasjonssikkerhet | ||
Leverandøren opprettholder og implementerer et Information Security Framework som gjenspeiler tiltakene beskrevet her, som regelmessig gjennomgås og oppdateres. | 05.1.1-01 | |
Leverandøren logger sikkerhetsrelevante hendelser, for eksempel brukeradministrasjonsaktiviteter (f.eks. oppretting, sletting), mislykkede pålogginger, endringer i sikkerhetskonfigurasjonen til systemet på IT-systemer og applikasjoner. | 12.4.1-01 | |
Leverandøren analyserer kontinuerlig de respektive IT-systemene og applikasjonsloggdataene for avvik, uregelmessigheter, indikatorer på kompromisser og andre mistenkelige aktiviteter. | 12.4.1-03 | |
Leverandøren skanner og tester IT-systemer og applikasjoner for sikkerhetsproblemer med jevne mellomrom. | 12.6.1-01 | |
Leverandøren implementerer og vedlikeholder en endringshåndteringsprosess for IT-systemer og applikasjoner. | 12.1.2-01 | |
Leverandøren opprettholder en prosess for å oppdatere og implementere leverandørsikkerhetsrettelser og oppdateringer på de respektive IT-systemene og applikasjonene. | 12.6.1-03 | |
Leverandøren sletter data uopprettelig eller ødelegger fysisk datalagringsmediet før avhending eller gjenbruk av et IT-system. | 11.2.7-01 | |
Overføringskontroller | ||
Leverandøren dokumenterer og oppdaterer nettverkstopologier og sikkerhetskrav med jevne mellomrom. | 13.1.1-02 | |
Leverandøren overvåker kontinuerlig og systematisk IT-systemer, applikasjoner og relevante nettverkssoner for å oppdage skadelig og unormal nettverksaktivitet ved å Brannmurer (f.eks. tilstandsdyktige brannmurer, applikasjonsbrannmurer); Proxy-servere; Inntrengingsdeteksjonssystemer (IDS) og/eller inntrengningsforebyggende systemer (IPS); URL-filtrering; og Security Information and Event Management (SIEM) systemer. | 13.1.1-06 | |
Leverandøren administrerer IT-systemer og applikasjoner ved å bruke toppmoderne krypterte tilkoblinger. | 13.1.3-09 | |
Leverandøren beskytter integriteten til innholdet under overføring med toppmoderne nettverksprotokoller, for eksempel TLS. | 13.2.3-05 | |
Leverandøren krypterer, eller gjør det mulig for leverandørene å kryptere, leverandørdata som overføres over offentlige nettverk. | ST002-0017 | |
Leverandøren bruker sikre nøkkelstyringssystemer (KMS) for å lagre hemmelige nøkler i skyen. | ST002-0018 | |
Sikkerhetshendelser | ||
Leverandøren opprettholder og implementerer en hendelseshåndteringsprosess, inkludert, men ikke begrenset til: registreringer av sikkerhetsbrudd; Leverandørvarslingsprosesser; og en hendelsesresponsordning for å håndtere følgende på tidspunktet for hendelsen: (i) roller, ansvar og kommunikasjons- og kontaktstrategier i tilfelle et kompromiss (ii) spesifikke prosedyrer for hendelsesrespons og (iii) dekning og respons av alle kritiske systemkomponenter. | 06.1.3-01 | |
Kapitalforvaltning, Systemanskaffelse, Utvikling og vedlikehold | ||
Leverandøren identifiserer og dokumenterer krav til informasjonssikkerhet før utvikling og anskaffelse av nye IT-systemer og applikasjoner, samt før forbedringer av eksisterende IT-systemer og applikasjoner. | 14.1.1-01 | |
Leverandøren etablerer en formell prosess for å kontrollere og utføre endringer i utviklede applikasjoner. | 14.2.2-01 | |
Leverandøren planlegger og inkorporerer sikkerhetstester i systemutviklingslivssyklusen til IT-systemer og applikasjoner. | 14.2.8—01 | |
Leverandøren implementerer en tilstrekkelig sikkerhetsoppdateringsprosess som inkluderer: overvåking av komponenter for potensielle svakheter (CVE); prioritetsvurdering av fix; rettidig implementering av løsningen; og nedlasting av oppdateringer fra pålitelige kilder. | 88.1.1-01 PR001-0001 | |
Human Resource Security | ||
Leverandøren implementerer følgende tiltak innen personalsikkerhet: ansatte med tilgang til personopplysninger er bundet av taushetsplikter; og ansatte med tilgang til personopplysninger får regelmessig opplæring i gjeldende lover og forskrifter om databeskyttelse. | 07.1.1-01 | |
Leverandøren implementerer en offboarding-prosess for leverandøransatte og eksterne leverandører. | 07.3.1-02 08.1.4-01 | |
Kryptografi (relevant for DP i sammenheng med nettverkstjenester) | ||
Leverandøren bruker sikre toppmoderne sertifikater og implementerer følgende: Digitale sertifikater godtas og klareres bare hvis det digitale sertifikatet ble utstedt av en pålitelig sertifiseringsmyndighet. sertifikater brukes og tildeles dedikerte IT-systemer og applikasjoner; og gyldigheten av digitale sertifikater er verifisert. | 07.1.1-01 | |
Leverandøren implementerer en prosess for administrasjon og implementering av kryptografiske nøkler, inkludert regler og krav for å generere, lagre, sikkerhetskopiere, distribuere og tilbakekalle kryptografiske nøkler. | 07.3.1-02 08.1.4-01 |
Vedlegg III til DPA (og, der det er aktuelt, standardkontraktsklausulene)
LISTE OVER UNDERBEHANDLERE OG DATASENTERLOKASJONER
«Partnerautorisasjonsskjemaet» angir
Enheter (inkludert partnere og underdatabehandlere) som er engasjert i lagring/hosting av personopplysninger,
Gjeldende datasenterlokasjoner,
Underdatabehandlere engasjert i behandling av personopplysninger for ikke-lagrings-/vertsformål,
som er innlemmet heri ved denne referansen.
Leverandøren skal ikke overføre personopplysninger fra det respektive datasenterstedet uten Siemens samtykke. Meldings- og innsigelsesmekanismen inneholdt i Seksjon 8 skal ikke gjelde i denne forbindelse.