Adendum privind protecția datelor partenerilor

Acest Adendum de Protecție a Datelor Partenerilor (”DPA”) face parte din Acordul privind programul de parteneriat (”Acord”) și stabilește termenii suplimentari privind prelucrarea datelor cu caracter personal. Termenii cu majuscule au sensul definit în secțiunea următoare a acestui document sau în altă parte a Acordului. Dacă există un conflict între termenii prezentei DPA și orice alți termeni ai Acordului, prezentul DPA va prevala. În sensul prezentului DPA, „Furnizor” înseamnă Partener.

• (a) „Legea aplicabilă privind protecția datelor” înseamnă toată legislația aplicabilă referitoare la prelucrarea datelor cu caracter personal în temeiul Acordului, inclusiv, dar fără a se limita la, (i) pentru datele cu caracter personal provenite de la o entitate autorizată situată în SEE, Regulamentul general privind protecția datelor (UE) 2016/679 (”GDPR”) și (ii) pentru datele cu caracter personal care provin de la o entitate autorizată situată în Marea Britanie, GDPR din Marea Britanie și Legea privind protecția datelor din Marea Britanie 2018.
• (b) „Entitate autorizată” înseamnă orice entitate (inclusiv Siemens și companiile din grupul său) care acționează în calitate de Controller și care are dreptul prin acord să acceseze sau să utilizeze direct sau indirect Serviciile.
• (c) „Controller” înseamnă persoana fizică sau juridică care, singură sau împreună cu alții, determină scopurile și mijloacele prelucrării datelor cu caracter personal.
• (d) „țară cu o decizie privind caracterul adecvat” înseamnă orice țară pentru care Comisia UE a decis că o astfel de țară asigură un nivel adecvat de protecție a datelor și pentru datele cu caracter personal provenite din Regatul Unit, orice țară pentru care au fost adoptate reglementări privind adecvarea Regatului Unit în temeiul secțiunilor 17A sau 74A din Legea privind protecția datelor din 2018.
• (e) „Încălcarea datelor” înseamnă orice încălcare a securității (i) care duce la distrugerea accidentală sau ilegală, pierderea, modificarea, divulgarea neautorizată sau accesul la Datele cu caracter personal transmise, stocate sau prelucrate în alt mod sau (ii) ar necesita notificarea unui astfel de eveniment către orice terță parte în conformitate cu legislația aplicabilă.
• (f) „SEE” înseamnă Spațiul Economic European.
• (g) „Clauzele contractuale standard ale UE” înseamnă Clauzele contractuale standard (UE) 2021/914.
• (h) „Zona de origine” înseamnă SEE, Regatul Unit, Elveția și fiecare țară cu cerințe de adecvare similare prevăzute la art. 45 și următoarele. RGPD.
• (i) „Date cu caracter personal” înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin trimitere la un identificator, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online sau la unul sau mai mulți factori specifici identității fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a persoanei fizice respective.
• (j) „Prelucrare” (și celelalte forme ale sale, cum ar fi Proces, Procese, Procesate) înseamnă orice operațiune sau set de operațiuni care se efectuează asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, fie prin mijloace automate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, regăsirea, consultarea, utilizarea, divulgarea prin transmitere, difuzare sau punere la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.
• (k) „Procesor” înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau orice alt organism care prelucrează date cu caracter personal în numele unui Controller.
• (l) „Regulile corporative obligatorii ale procesatorului” înseamnă norme corporative obligatorii pentru persoanele împuternicite de operator care sunt aprobate de autoritatea de supraveghere competentă.
• (m) „Date cu caracter personal restricționate” înseamnă orice date cu caracter personal care provin de la o entitate autorizată situată într-o zonă de origine.
• (n) „Transfer restricționat (e)” înseamnă orice prelucrare (inclusiv transferuri, acces internațional și transferuri ulterioare) de date cu caracter personal restricționate de către Furnizor sau oricare dintre subprocesatorii săi în afara Zonei de Origine relevante.
• (o) „Servicii” înseamnă Serviciile în temeiul Acordului furnizate de Furnizor care acționează în rolul său de Procesator în sensul prezentei DPA.
• (p) „Clauzele contractuale standard” înseamnă Clauzele contractuale standard ale UE și clauzele contractuale standard din Regatul Unit.
• (q) „Subprocesor (subprocesatori)” înseamnă orice alt Procesor angajat în prestarea Serviciilor.
• (r) „Garanție (garanții) de transfer” înseamnă garanții adecvate pentru transferurile restricționate, așa cum este cerut de Legea aplicabilă privind protecția datelor, inclusiv, fără limitare, orice garanții adecvate impuse de articolul 46 din GDPR.
• (s) „GDPR UK” înseamnă GDPR astfel cum este încorporat în legislația Regatului Unit în virtutea secțiunii 3 din Legea Uniunii Europene (retragere) a Regatului Unit 2018.
• (t) „Clauzele contractuale standard din Marea Britanie” înseamnă clauzele standard de protecție a datelor care sunt adoptate din când în când de Oficiul Comisarilor de Informații din Marea Britanie (ICO) în conformitate cu articolul 46 alineatul (2) din GDPR din Marea Britanie, inclusiv, dar fără a se limita la, acordul internațional de transfer de date (UK IDTA) și Clauzele contractuale standard ale UE, astfel cum au fost modificate prin Addendumul ICO privind transferul internațional de date la clauzele contractuale standard ale Comisiei UE (”Addendum din Marea Britanie”). [1]

1 Vezi https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Părțile vor respecta Legea aplicabilă privind protecția datelor, așa cum li se aplică și conform cerințelor din prezentul document. În furnizarea Serviciilor, Furnizorul trebuie să respecte în special prevederile Legii aplicabile privind protecția datelor cu privire la prelucrarea datelor cu caracter personal în calitate de operator.

Furnizorul va prelucra datele cu caracter personal numai (a) în conformitate cu termenii prezentului DPA și Contract; sau (b) pe baza altor instrucțiuni documentate de la Siemens. Furnizorul nu va prelucra datele cu caracter personal în scopuri proprii sau nu le va transfera către terți, cu excepția cazului în care acest acord este permis de prezentul DPA. Furnizorul va informa imediat Siemens în cazul în care, în opinia sa, o instrucțiune din partea Siemens încalcă Legea aplicabilă privind protecția datelor.

Detaliile operațiunilor de prelucrare furnizate de Furnizor - în special obiectul prelucrării, natura și scopul prelucrării, tipurile de date cu caracter personal prelucrate și categoriile de persoane vizate afectate - sunt specificate în Anexa I la acest DPA.

Luând în considerare stadiul tehnologic, costurile de implementare și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul variat de probabilitate și severitate pentru drepturile și libertățile persoanelor fizice, Furnizorul va implementa măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului, inclusiv, dar fără a se limita la, după caz: (a) pseudonimizarea și criptarea datelor cu caracter personal; (b) capacitatea de a asigura confidențialitatea continuă, integritatea, disponibilitatea și reziliența Sisteme și servicii de prelucrare; (c) capacitatea de a restabili disponibilitatea și accesul la Datele cu caracter personal în timp util în cazul unui incident fizic sau tehnic; (d) un proces de testare, evaluare și evaluare periodică a eficacității măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării. Fără a aduce atingere caracterului general al propoziției precedente, Furnizorul trebuie să pună în aplicare în orice moment cel puțin măsurile tehnice și organizatorice descrise în Anexa IIla acest DPA.

1 Vezi https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Furnizorul va limita accesul personalului său la datele cu caracter personal pe baza necesității de a cunoaște. Furnizorul va furniza informații detaliate personalului său cu privire la dispozițiile legale și contractuale aplicabile privind protecția datelor. Furnizorul va impune personalului său obligația de a respecta aceste prevederi și, în special, de a păstra datele cu caracter personal secrete și de a nu prelucra datele cu caracter personal altfel decât conform instrucțiunilor Siemens. Obligația de păstrare a secretului va continua să se aplice după expirarea prezentului Contract și a relației contractuale a personalului cu Furnizorul. Furnizorul va furniza dovada unei astfel de obligații la cerere.

• (a) Furnizorul are autorizația generală Siemens pentru angajarea subprocesatorilor. O listă curentă a subprocesatorilor comandați de Furnizor este conținută în Anexa III la acest DPA.
• (b) Furnizorul va informa în mod specific Siemens în scris cu privire la orice modificare intenționată a listei respective prin adăugarea sau înlocuirea Subprocesatorilor cu cel puțin 30 de zile înainte. Furnizorul trebuie să furnizeze Siemens informațiile necesare pentru a permite Siemens să își exercite dreptul de opoziție. În cazul în care Siemens nu ridică obiecții în acest termen de 30 de zile, atunci aceasta va fi considerată ca o aprobare a noului Subprocesor. În cazul în care Siemens ridică obiecții, Furnizorul - înainte de a autoriza Subprocesatorul să acceseze Datele cu Caracter Personal - va depune eforturi rezonabile pentru a răspunde preocupărilor și rezervelor exprimate de Siemens și (i) se va abține de la utilizarea Subprocesorului; sau (ii) va propune Siemens o modificare rezonabilă a Serviciilor sau a configurației sau utilizării Serviciilor de către Siemens pentru a evita Prelucrarea Datelor cu caracter personal de către noul Subprocesor vizat. În cazul în care Furnizorul nu poate elimina motivele obiecției din partea Siemens, Siemens are dreptul să rezilieze Serviciile afectate fără daune sau penalități. În cazul rezilierii de către Siemens, Furnizorul va rambursa sumele preplătite pentru Serviciul aplicabil în mod proporțional.
• (c) În cazul în care Furnizorul angajează un Subprocesor pentru a desfășura activități specifice de prelucrare (în numele Siemens și/sau al Entităților Autorizate), acesta va face acest lucru prin intermediul unui contract scris care prevede, în esență, aceleași obligații de protecție a datelor ca cele obligatorii Furnizorului în temeiul prezentului DPA.
• (d) Furnizorul va furniza, la cererea Siemens, o copie a acestui contract de Subprocesor și orice modificări ulterioare aduse Siemens. În măsura în care este necesar pentru a proteja secretele de afaceri sau alte informații confidențiale, inclusiv datele cu caracter personal, Furnizorul poate redacta textul contractului înainte de a partaja o copie.
• (e) Furnizorul auditează în mod adecvat și periodic subprocesatorul în ceea ce privește respectarea acestor cerințe și documentează rezultatele acestor audituri.
• (f) Furnizorul va rămâne pe deplin responsabil față de Siemens pentru îndeplinirea obligațiilor Subprocesorului în temeiul contractului său cu Furnizorul. Furnizorul va informa Siemens cu privire la orice neîndeplinire de către Subprocesor a obligațiilor care îi revin în temeiul contractului respectiv.

În cazul Transferurilor Restricționate către Furnizor, Furnizorul se va asigura că un astfel de Transfer Restricționat este acoperit de garanții adecvate de transfer, astfel cum sunt prevăzute în prezentul document. Secţiunea 9 și Anexa III la acest DPA.

• (a) Clauzele contractuale standard. În cazul în care garanția privind transferul se bazează pe clauzele contractuale standard se aplică următoarele:
  • SEE-Furnizori. În cazul în care Furnizorul este situat în SEE, Furnizorul va încheia Clauzele Contractuale Standard (Modulul 3) cu Subprocesatorul său. Secțiunea 9 litera (a) punctul (vii) („Legea aplicabilă”), 9 (a) (viii) („Alegerea forumului și a jurisdicției”), 9 litera (a) (ix) (b) („Partea 1 din Addendum al Regatului Unit”) și Secțiunea 9 litera (a) punctul (x) a doua teză („Entitățile autorizate din alte țări”) din prezentul DPA nu se aplică dacă Furnizorul este situat în SEE.
  • Furnizori din afara SEE. În cazul în care Furnizorul este situat în afara SEE, Transferul restricționat va fi guvernat de Modulele 2 și 3 din Clauzele Contractuale Standard. Dispozițiile relevante conținute în Clauzele Contractuale Standard sunt încorporate prin referință și fac parte integrantă din prezentul DPA. Informațiile necesare în sensul anexelor la clauzele contractuale standard sunt prezentate în Anexele I-IIIla acest DPA.
  • Clauza de andocare. Opțiunea prevăzută în clauza 7 din clauzele contractuale standard nu se aplică.
  • Transferuri ulterioare. Orice transfer ulterior trebuie să respecte clauzele 8 și 9 din modulul aplicabil al clauzelor contractuale standard. În cazul în care Siemens se află în afara SEE și acționează ca importator de date în conformitate cu Clauzele Contractuale Standard cu Entități Autorizate, clauza beneficiarului terț prevăzută de Clauza 9 (e) din Clauzele Contractuale Standard va fi în favoarea entității autorizate respective.
  • Utilizarea subprocesatorilorSe aplică opțiunea 2 prevăzută la clauza 9 din clauzele contractuale standard. În sensul Clauzei 9 (a) din Clauzele Contractuale Standard, Furnizorul are autorizația generală a Siemens de a angaja Subprocesatori în conformitate cu Secţiunea 8 din acest DPA.
  • Despăgubire. În cazul în care Furnizorul oferă persoanelor vizate opțiunea de a depune o plângere la un organism independent de soluționare a litigiilor (a se vedea Opțiunea din Clauza 11 din Clauzele Contractuale Standard), Furnizorul va informa în scris Siemens despre organismul de arbitraj responsabil și va respecta cerințele aplicabile cuprinse în Clauza 11 din Clauzele Contractuale Standard și regulile de arbitraj aplicabile.
  • Legea aplicabilă. Legea aplicabilă în sensul Clauzei 17 din Clauzele Contractuale Standard este legea desemnată în secțiunea privind legea aplicabilă a Acordului. În cazul în care Acordul nu este reglementat de legislația unui stat membru al UE, clauzele contractuale standard ale UE vor fi guvernate de legislația Germaniei.
  • Alegerea forumului și a jurisdicției. Instanțele judecătorești prevăzute la Clauza 18 din Clauzele Contractuale Standard vor fi cele desemnate în secțiunea de desfășurare a Acordului. În cazul în care Acordul nu desemnează o instanță din statul membru UE ca având competența exclusivă de a soluționa orice litigiu sau proces care decurge din sau în legătură cu Acordul, părțile convin că instanțele din Germania vor avea competența exclusivă de a soluționa orice litigiu care decurge din Clauzele Contractuale Standard ale UE.
  • Entități autorizate în Regatul Unit. În cazul în care Transferurile Restricționate provin de la entități autorizate situate în Regatul Unit, se aplică următoarele:
    • Addendum din Marea Britanie. Se va utiliza Adendumul Regatului Unit, cu excepția cazului în care Siemens a convenit altfel în scris.
    • Partea 1 din Addendum UK. Partea 1 din Addendumul Regatului Unit se aplică după cum urmează:
      1. Tabelul 1: Detaliile părților și informațiile cheie de contact sunt conținute în Anexa I la acest DPA.
      2. Tabelul 2: Versiunea SCC-urilor UE aprobate (așa cum sunt definite în Addendumul Regatului Unit) la care este anexat Addendumul Regatului Unit sunt clauzele contractuale standard ale UE cu modulele și clauzele selectate mai sus în Secțiunea 9 litera (a) din acest DPA. Niciun fel de date personale primite de la Importator nu este combinată cu datele personale colectate de Exportator.
      3. Tabelul 3: Informațiile din apendice, astfel cum sunt cerute în tabelul 3 din Addendumul Regatului Unit, sunt cuprinse în Anexele I-III la acest DPA.
      4. Tabelul 4: Niciuna dintre părți nu poate rezilia Addendumul din Regatul Unit atunci când se modifică Addendumul aprobat (așa cum este definit în Addendumul din Regatul Unit).
  • Entități autorizate în alte țări. În cazul în care clauzele contractuale standard protejează transferurile restricționate de la entități autorizate situate în afara SEE și Regatului Unit (de exemplu, Elveția), (1) referințele generale și specifice din clauzele contractuale standard la GDPR sau la legislația UE sau a statelor membre vor avea același înțeles ca referința echivalentă din Legile aplicabile privind protecția datelor din țara în care se află Entitatea Autorizată, după caz; și (2) trimiterile la „autoritatea de supraveghere competentă” vor fi interpretate ca referințe la protecția datelor autoritate în această ţară. Legea aplicabilă, alegerea forumului și jurisdicția sunt guvernate de Secțiunea 9 litera (a) punctul (vii) și (viii) a prezentului DPA, cu excepția cazului în care legislația aplicabilă entității autorizate respective prevede altfel, caz în care clauzele contractuale standard vor fi guvernate de legile țării în care se află Entitatea Autorizată și orice trimitere la „instanțele” competente vor fi interpretate ca trimiteri la instanțele competente din țara respectivă.
• Procesor Binding Corporate Rules. Următoarele se aplică în cazul în care Garanția privind Transferul se bazează pe Regulile corporative obligatorii ale procesatorului: Furnizorul va obliga contractual respectivul Subprocesor să respecte Regulile corporative obligatorii ale procesatorului în ceea ce privește datele cu caracter personal prelucrate în temeiul prezentului DPA.
• Măsuri de siguranță suplimentare pentru transfer. În cazul în care garanțiile privind transferul nu se bazează pe clauzele contractuale standard, clauzele 14 și 15 din clauzele contractuale standard se aplică mutatis-mutandis transferurilor restricționate în cadrul unei astfel de măsuri de protecție a transferului, cu excepția cazului în care respectiva garanție a transferului conține în esență aceleași drepturi și obligații privind (i) legile și practicile locale care afectează respectarea garanțiilor de transfer și (ii) obligații în cazul accesului autorităților publice prevăzute în clauzele 14 și 15 din clauzele contractuale standard.
• Altele. Furnizorul este de acord și înțelege că Legea locală aplicabilă privind protecția datelor poate conține restricții similare sau suplimentare de transfer, așa cum sunt cuprinse în acest document. Secţiunea 9. În acest caz, Furnizorul este de acord să depună eforturi rezonabile și să coopereze cu Siemens cu bună-credință pentru a răspunde acestor cerințe.

Furnizorul va asista în mod rezonabil Siemens în asigurarea conformității cu legislația aplicabilă privind protecția datelor, în special asistând Siemens după cum urmează:

• (a) Corectarea, ștergerea sau restricționarea prelucrării. Furnizorul trebuie fie (i) să ofere posibilitatea de a rectifica, șterge sau restricționa Prelucrarea Datelor cu Caracter Personal prin intermediul funcționalităților Serviciilor sau (ii) rectificarea, ștergerea sau restricționarea Prelucrării Datelor cu Caracter Personal conform instrucțiunilor Siemens.
• (b) Accesul la datele cu caracter personal. În măsura în care informațiile referitoare la o persoană vizată nu sunt accesibile prin intermediul Serviciului, Furnizorul, în măsura în care este necesar pentru a permite Siemens și Entităților Autorizate să își îndeplinească obligațiile în temeiul Legilor aplicabile privind protecția datelor, va oferi asistență pentru a pune astfel de informații la dispoziția Siemens și/sau Entităților Autorizate.
• (c) Persoana vizată și solicitările autorității. Furnizorul va notifica imediat Siemens cu privire la: (i) orice solicitare sau reclamații primite sau orice notificări de investigare de către o autoritate sau agenție de aplicare a legii, guvernamentală sau de reglementare; și (ii) orice solicitare primită direct de la orice persoană vizată cu privire la Datele sale cu caracter personal. În ceea ce privește punctele (i) și (ii) de mai sus, Furnizorul nu va răspunde fără instrucțiuni din partea Siemens. Dacă este instruit astfel, Furnizorul va sprijini în mod rezonabil Siemens în răspunsul la astfel de solicitări.
• (d) Portabilitatea datelor. La cererea Siemens și dacă acest lucru este cerut de Legea aplicabilă privind protecția datelor, Furnizorul va (i) oferi posibilitatea de a extrage Date cu caracter personal prin referire la o anumită persoană vizată în conformitate cu funcționalitățile Serviciului sau (ii) va pune setul relevant de date la dispoziția Siemens și/sau entității autorizate respective, în fiecare caz într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat.
• (e) Evaluarea impactului asupra protecției datelor. La cererea Siemens, Furnizorul va furniza toate informațiile și sprijinul rezonabil pentru a efectua evaluări ale impactului asupra protecției datelor în conformitate cu Legile aplicabile privind protecția datelor.

La încetarea relației de prelucrare a datelor, cu excepția cazului în care Siemens prevede altfel sau prevăzut în prezentul document, Furnizorul va returna Siemens toate Datele cu caracter personal puse la dispoziția Furnizorului sau obținute sau generate de Furnizor în legătură cu Serviciile convenite contractual și va șterge sau distruge irevocabil orice date rămase. Ștergerea sau distrugerea va fi confirmată în scris de către Furnizor, la cerere.

• (a) Furnizorul va notifica Siemens imediat, dar în orice caz în termen de 48 de ore, în cazul în care Furnizorul descoperă sau suspectează în mod rezonabil orice încălcare a datelor.
• (b) În notificarea către Siemens, Furnizorul va furniza Siemens următoarele informații: (i) detalii despre un punct de contact de unde (sau de la cine) pot fi obținute mai multe informații, (ii) o descriere a naturii încălcării (inclusiv, dacă este posibil, numele, categoriile și numărul aproximativ al persoanelor vizate și al înregistrărilor de date cu caracter personal vizate), (iii) consecințele probabile și măsurile luate sau propuse pentru remedierea încălcării, inclusiv, dacă este cazul, măsuri de atenuare a încălcării posibilele sale efecte adverse. În cazul în care și în măsura în care nu este posibil să se furnizeze toate informațiile în același timp, notificarea inițială conține informațiile disponibile la momentul respectiv, iar informațiile suplimentare sunt furnizate ulterior, pe măsură ce devin disponibile, fără întârzieri nejustificate.
• (c) Orice notificări în cadrul acestui Secţiunea 12 se adresează (i) punctului de contact respectiv identificat în acord și (ii) dataprotection@siemens.com.
• (d) Furnizorul trebuie, pe cheltuiala Furnizorului, (i) să coopereze pe deplin cu Siemens în investigarea unei încălcări a datelor; (ii) să asiste și să coopereze cu Siemens în ceea ce privește orice notificări sau dezvăluiri legale către persoanele afectate (prin comunicare individuală, comunicare publică prin mass-media sau prin măsuri similare), forțele de ordine, autoritățile de reglementare și/sau alte terțe părți; și (iii) întreprinde orice alte acțiuni pe care Siemens le consideră necesare cu privire la o astfel de încălcare a datelor și orice litigiu, anchetă sau reclamație care se referă la încălcarea datelor.
• (e) Cu excepția cazului în care legea aplicabilă sau un ordin al unei autorități de reglementare competente impune altfel, Siemens va lua decizia finală, la discreția sa exclusivă, (i) dacă o încălcare a datelor necesită notificare și (ii) cu privire la modul de notificare. În cazul în care Furnizorul furnizează astfel de notificări cu privire la o încălcare a datelor, orice astfel de notificări trebuie aprobate, în prealabil, de Siemens.
• (f) Furnizorul va lua, pe cheltuiala sa, măsurile adecvate pentru a aborda încălcarea datelor, inclusiv măsuri de atenuare a efectelor sale adverse (inclusiv măsuri pentru protejarea mediului de operare). Furnizorul va lua, de asemenea, măsuri prompte menite să prevină reapariția oricărei încălcări a datelor, inclusiv orice acțiune impusă de Legea aplicabilă privind protecția datelor.
• (g) Furnizorul va rambursa Siemens toate costurile și cheltuielile suportate pentru o astfel de încălcare a datelor cauzată de Furnizor, inclusiv, dar fără a se limita la, costurile de monitorizare a creditului persoanelor ale căror date cu caracter personal au fost afectate de încălcarea datelor. Limitările răspunderii în favoarea Furnizorului în temeiul Contractului nu se aplică în acest sens.

• (a) Furnizorul va (i) monitoriza, prin mijloace adecvate, respectarea obligațiilor sale de protecție a datelor în temeiul prezentului DPA și al Legii aplicabile privind protecția datelor; (ii) va crea rapoarte periodice (cel puțin anuale) și ocazionale aferente (fiecare a”Raport”); și (iii) pune rapoartele la dispoziția Siemens și Entităților Autorizate la cerere. În cazul în care un standard de control și un cadru implementat de Furnizor prevede controale, aceste controale vor fi efectuate în conformitate cu standardele și regulile organismului de reglementare sau de acreditare pentru fiecare standard sau cadru de control aplicabil.
• (b) Dacă este necesar să își abordeze în mod adecvat drepturile și obligațiile de audit în temeiul Legii aplicabile privind protecția datelor, garanțiile aplicabile privind transferul sau dacă este solicitat de o autoritate competentă pentru protecția datelor sau altă autoritate sau agenție guvernamentală competentă, Furnizorul va pune la dispoziția Siemens și Entităților Autorizate - în plus față de rapoarte - toate informațiile suplimentare solicitate în mod rezonabil și permite și contribuie la audituri, inclusiv inspecții, efectuate de Siemens sau entități autorizate sau de un alt auditor mandatat de Siemens sau de entități autorizate. În acest scop, Siemens, Entitățile Autorizate sau un alt auditor mandatat de Siemens sau de Entitățile Autorizate vor avea, de asemenea, dreptul de a efectua inspecții la fața locului în timpul programului de lucru obișnuit, fără a perturba operațiunile comerciale ale Furnizorului și după o notificare prealabilă rezonabilă.

În cazul în care Serviciul utilizează cookie-uri sau tehnologii similare, se aplică următoarele: Furnizorul, cu excepția cazului în care Siemens a convenit altfel în legătură cu acest lucru Secţiunea 14, să stocheze informații (de exemplu, prin scrierea unui cookie) sau să obțină acces la informațiile deja stocate în echipamentul terminal al unui utilizator al Serviciului (de exemplu, prin intermediul unui cookie) numai în scopul de a efectua transmiterea unei comunicații printr-o rețea de comunicații electronice sau în măsura strict necesară pentru ca Furnizorul să furnizeze funcționalitățile de bază ale Serviciilor.

Furnizorul înțelege și este de acord că cerințele din prezentul DPA fac parte integrantă din Contract și, o încălcare semnificativă a oricăreia dintre aceste cerințe va fi considerată o încălcare semnificativă de către Furnizor a Acordului, îndreptățind Siemens la remedii semnificative legate de încălcări conținute în Contract.

Dacă și în măsura în care Furnizorul accesează Datele cu caracter personal primite de la o companie din grupul Siemens cu sediul în Statele Unite ale Americii (”)Compania Siemens SUA”) sau a unei persoane vizate care este rezidentă în Statele Unite ale Americii, atunci în plus față de cele de mai sus, Furnizorul: (i) va respecta legile federale, de stat și locale din SUA cu privire la Datele cu caracter personal aplicabile Furnizorului, respectivelor Date cu caracter personal și proprietarilor sau operatorilor acestor Date cu caracter personal; atunci când cele de mai sus sunt aplicabile, termenul „Legea aplicabilă privind protecția datelor”, așa cum este utilizat aici, va include legile de mai sus; (ii) cu excepția cazurilor prevăzute în mod specific sau Contractul nu va vinde, distribui, închiria, nu divulga, divulga, disemina sau pune la dispoziție Date cu caracter personal către terți; și nu vor combina Datele cu caracter personal cu alte informații; (iii) va notifica Siemens dacă Furnizorul decide că Furnizorul nu își mai poate îndeplini obligațiile prevăzute în prezentul document; (iv) se va asigura că fiecare persoană care prelucrează Date cu caracter personal este supusă unei obligații de confidențialitate cu privire la Datele cu caracter personal; (v) va fi considerat și va acționa ca un „furnizor de servicii” în conformitate cu Legea aplicabilă privind protecția datelor cu caracter personal (inclusiv Legea privind confidențialitatea consumatorilor din California), regulamentele sale de aplicare și orice modificări ale acestora); și (vii) certifică prin prezenta că înțelege restricțiile conținute aici și le va respecta.

Anexa I la DPA (și, după caz, clauzele contractuale standard)

A.LISTA PARTIDELOR

Destinatar de servicii/exportator de date:

Furnizor/importator de date:

B. DESCRIEREA OPERAȚIUNILOR DE TRANSFER/PRELUCRARE

C.AUTORITATEA DE SUPRAVEGHERE COMPETENTĂ

În cazul în care Siemens este stabilită într-un stat membru al UE, autoritatea de supraveghere responsabilă de asigurarea conformității de către Siemens a GDPR în ceea ce privește transferul de date acționează în calitate de autoritate de supraveghere competentă. Pentru Siemens Aktiengesellschaft, Germania, autoritatea de supraveghere este:

Regiunea Bayerisches Landesamt for Datenschutzaufsicht (BayLDA)

Promenada 18

91522 Ansbach

Germania

În cazul în care Siemens nu este stabilit într-un stat membru al UE, dar se încadrează în domeniul de aplicare teritorial al GDPR în conformitate cu articolul 3 alineatul (2), autoritatea de supraveghere a statului membru în care este stabilit reprezentantul în sensul articolului 27 alineatul (1) din RGPD acționează în calitate de autoritate de supraveghere competentă; și anume:

Regiunea Bayerisches Landesamt for Datenschutzaufsicht (BayLDA)

Promenada 18

91522 Ansbach

Germania

Anexa II la DPA (și, după caz, clauzele contractuale standard)

Măsuri tehnice și organizatorice (inclusiv măsuri tehnice și organizatorice pentru asigurarea securității datelor)

Următoarele măsuri se aplică numai Furnizorului, în măsura în care sistemele informatice, rețelele și aplicațiile subiacente sunt responsabilitatea și/sau sub custodia sau controlul Furnizorului. Descrierea măsurilor tehnice și organizatorice de securitate implementate de Furnizor și Subprocesorul (subprocesatorii) acestuia:

Anexa III la DPA (și, după caz, clauzele contractuale standard)

LISTA SUBPROCESOARELOR ȘI LOCAȚIILOR CENTRELOR DE DATE

„Formularul de autorizare a partenerului” stabilește

Entitățile (inclusiv partenerii și subprocesatorii) angajate în stocarea/găzduirea datelor cu caracter personal,

Locații aplicabile ale centrelor de date,

Subprocesatori implicați în prelucrarea datelor cu caracter personal în scopuri care nu sunt stocare/găzduite,

care sunt încorporate aici prin această referință.

Furnizorul nu va transfera Date cu caracter personal din locația respectivă a Centrului de date fără consimțământul Siemens. Mecanismul de notificare și de opoziție prevăzut în Secţiunea 8 nu se aplică în această privință.