Dodatok o ochrane osobných údajov pre partnerov

Tento dodatok o ochrane údajov pre partnerov (“DPA„) je súčasťou dohody o partnerskom programe (“Dohoda„) a stanovuje dodatočné podmienky týkajúce sa spracovania osobných údajov. Výrazy s veľkými písmenami majú význam definovaný v nasledujúcej časti tohto dokumentu alebo inde v zmluve. Ak dôjde k rozporu medzi podmienkami tohto DPA a akýmikoľvek inými podmienkami dohody, táto DPA bude mať prednosť. Na účely tohto DPA znamená „Poskytovateľ“ partnera.

• (a) „Uplatniteľné právo o ochrane údajov“ znamená všetky platné právne predpisy týkajúce sa spracúvania osobných údajov podľa dohody vrátane, ale nie výlučne, (i) pre osobné údaje pochádzajúce od oprávneného subjektu so sídlom v EHP, všeobecného nariadenia o ochrane údajov (EÚ) 2016/679 (“GDPR„) a (ii) pre osobné údaje pochádzajúce od autorizovaného subjektu so sídlom v Spojenom kráľovstve, GDPR Spojeného kráľovstva a zákon o ochrane údajov Spojeného kráľovstva z roku 2018.
• b) „Autorizovaný subjekt“ znamená akýkoľvek subjekt (vrátane spoločnosti Siemens a spoločností zo skupiny), ktorý koná ako Prevádzkovateľ a je podľa Zmluvy oprávnený priamy alebo nepriamy prístup k Službám alebo ich využívať.
• c) „Prevádzkovateľ“ znamená fyzickú alebo právnickú osobu, ktorá sama alebo spoločne s ostatnými určuje účely a prostriedky spracúvania osobných údajov.
• d) „Krajina s rozhodnutím o primeranosti“ znamená každú krajinu, pre ktorú Komisia EÚ rozhodla, že takáto krajina zabezpečuje primeranú úroveň ochrany údajov, a pre osobné údaje pochádzajúce zo Spojeného kráľovstva každú krajinu, pre ktorú boli prijaté nariadenia o primeranosti Spojeného kráľovstva podľa oddielov 17A alebo 74A zákona o ochrane údajov z roku 2018.
• e) „Porušenie údajov„znamená akékoľvek porušenie bezpečnosti (i) vedúce k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému sprístupneniu alebo prístupu k osobným údajom prenášaným, uloženým alebo inak spracovávaným, alebo (ii) by vyžadovalo oznámenie o takejto udalosti akejkoľvek tretej strane podľa platných právnych predpisov.
• f) „EHP“ znamená Európsky hospodársky priestor.
• g) „Štandardné zmluvné doložky EÚ“ znamená štandardné zmluvné doložky (EÚ) 2021/914.
• h) „Oblasť pôvodu“ znamená EHP, Spojené kráľovstvo, Švajčiarsko a každú krajinu s podobnými požiadavkami primeranosti, ako sú uvedené v článku 45 a nasl. GDPR.
• (i) „Osobné údaje“ znamená akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby; identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viac faktorov špecifických pre fyzickú, fyziologickú, genetickú, duševnú, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
• j) „Spracovanie“ (a jej iné formy, ako je spracovanie, spracovanie, spracúvanie) znamená akúkoľvek operáciu alebo súbor operácií vykonávaných s osobnými údajmi alebo súbormi osobných údajov, či už automatizovanými prostriedkami, ako je zhromažďovanie, zaznamenávanie, organizácia, štruktúrovanie, uchovávanie, úprava alebo zmena, vyhľadávanie, používanie, zverejnenie prenosom, šírením alebo iným sprístupnením, zosúladenie alebo kombinácia, obmedzenie, vymazanie alebo zničenie.
• k) „Procesor“ znamená fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo akýkoľvek iný orgán, ktorý spracúva osobné údaje v mene prevádzkovateľa.
• (l) „Záväzné firemné pravidlá pre spracovateľov“ znamená záväzné firemné pravidlá pre sprostredkovateľov, ktoré schváli príslušný dozorný orgán.
• (m) „Obmedzené osobné údaje“ znamená akékoľvek osobné údaje pochádzajúce od autorizovaného subjektu nachádzajúceho sa v oblasti pôvodu.
• (n) „Obmedzený prenos (y)“ znamená akékoľvek spracovanie (vrátane prenosov, medzinárodného prístupu a ďalšieho prenosu) Obmedzených Osobných údajov poskytovateľom alebo ktorýmkoľvek z jeho Subspracovateľov mimo príslušnej oblasti pôvodu.
• o) „Služby“ znamená Služby podľa Zmluvy poskytované Poskytovateľom konajúcim vo svojej úlohe Sprostredkovateľa v zmysle tohto DPA.
• p) „Štandardné zmluvné doložky“ znamená štandardné zmluvné doložky EÚ a štandardné zmluvné doložky Spojeného kráľovstva.
• q) „Subprocesor (-y)“ znamená akýkoľvek ďalší sprostredkovateľ zapojený do výkonu Služieb.
• r) „Zabezpečenie (-y) na prenos“ znamená primerané záruky pre obmedzený prenos podľa platného zákona o ochrane údajov vrátane, bez obmedzenia, akýchkoľvek vhodných záruk požadovaných článkom 46 GDPR.
• (s) „UK GDPR“ znamená GDPR začlenený do práva Spojeného kráľovstva na základe oddielu 3 zákona Spojeného kráľovstva o Európskej únii (vystúpenie) z roku 2018.
• (t) „Štandardné zmluvné doložky Spojeného kráľovstva“ znamená štandardné doložky o ochrane údajov, ktoré z času na čas prijíma Úrad UK Information Commissioners Office (ICO) v súlade s článkom 46 ods. 2 GDPR Spojeného kráľovstva vrátane, ale nie výlučne, medzinárodnej dohody o prenose údajov (UK IDTA) a štandardných zmluvných doložok EÚ zmenených a doplnením Medzinárodného prenosu údajov ICO k štandardným zmluvným doložkám Komisie EÚ (Dodatok Spojeného kráľovstva„). [1]

1 Pozri https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Zmluvné strany budú dodržiavať platné zákony o ochrane údajov tak, ako sa na ne vzťahujú a podľa toho, ako sa tu vyžaduje. Poskytovateľ pri poskytovaní služieb dodržiava najmä ustanovenia platného zákona o ochrane údajov týkajúce sa spracúvania osobných údajov ako sprostredkovateľa.

Poskytovateľ spracováva osobné údaje len (a) v súlade s podmienkami tohto DPA a Zmluvy; alebo (b) na základe iných zdokumentovaných pokynov spoločnosti Siemens. Poskytovateľ nesmie spracovávať osobné údaje na vlastné účely ani ich prenášať tretím stranám, pokiaľ to toto DPA neumožňuje. Poskytovateľ bezodkladne informuje spoločnosť Siemens, ak podľa jeho názoru pokyn spoločnosti Siemens porušuje platný zákon o ochrane údajov.

Podrobnosti o operáciách spracúvania poskytovaných Poskytovateľom - najmä predmet spracúvania, povaha a účel spracúvania, typy spracúvaných osobných údajov a kategórie dotknutých dotknutých osôb - sú uvedené v Príloha I k tomuto DPA.

Vzhľadom na stav techniky, náklady na implementáciu a povahu, rozsah, kontext a účely spracúvania, ako aj riziko rôznej pravdepodobnosti a závažnosti pre práva a slobody fyzických osôb, Poskytovateľ zavedie vhodné technické a organizačné opatrenia na zabezpečenie úrovne bezpečnosti zodpovedajúcej riziku vrátane, ale nie výlučne: a) pseudonymizácie a šifrovania osobných údajov; b) schopnosť zabezpečiť dôvernosť, integrita, dostupnosť a odolnosť spracovateľské systémy a služby; c) schopnosť včas obnoviť dostupnosť a prístup k osobným údajom v prípade fyzického alebo technického incidentu; d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zabezpečenie bezpečnosti spracúvania. Bez toho, aby bola dotknutá všeobecnosť predchádzajúcej vety, Poskytovateľ vždy vykoná aspoň technické a organizačné opatrenia opísané v Príloha IIk tomuto DPA.

1 Pozri https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Poskytovateľ obmedzí prístup svojich zamestnancov k osobným údajom na základe potreby informácií. Poskytovateľ poskytne svojim zamestnancom podrobné oznámenie o platných zákonných a zmluvných ustanoveniach týkajúcich sa ochrany údajov. Poskytovateľ zaväzuje svojich zamestnancov dodržiavať tieto ustanovenia a najmä uchovávať osobné údaje v tajnosti a nespracúvať osobné údaje inak ako podľa pokynov spoločnosti Siemens. Povinnosť zachovávať utajenie platí aj po uplynutí platnosti tejto Zmluvy a zmluvného vzťahu zamestnancov s Poskytovateľom. Poskytovateľ poskytne na požiadanie dôkaz o takejto povinnosti.

• a) Poskytovateľ má všeobecné povolenie spoločnosti Siemens na zapojenie podspracovateľov. Aktuálny zoznam subprocesorov zadaných poskytovateľom je uvedený v Príloha III k tomuto DPA.
• b) Poskytovateľ písomne informuje spoločnosť Siemens o všetkých zamýšľaných zmenách uvedeného zoznamu prostredníctvom doplnenia alebo výmeny Subspracovateľov najmenej 30 dní vopred. Poskytovateľ poskytne spoločnosti Siemens informácie potrebné na to, aby spoločnosť Siemens mohla uplatniť právo namietať. Ak spoločnosť Siemens v tejto 30-dňovej lehote nevznesie žiadne námietky, považuje sa to za schválenie nového subspracovateľa. Ak spoločnosť Siemens vznesie námietky, Poskytovateľ pred oprávnením Subspracovateľa na prístup k osobným údajom vynaloží primerané úsilie na riešenie obáv a výhrad vyjadrených spoločnosťou Siemens a (i) zdrží sa používania Subspracovateľa alebo (ii) navrhuje spoločnosti Siemens primeranú zmenu konfigurácie alebo používania Služieb, aby sa zabránilo spracovaniu osobných údajov novým subspracovateľom. Ak Poskytovateľ nemôže odstrániť dôvody námietky zo strany spoločnosti Siemens, spoločnosť Siemens je oprávnená ukončiť dotknuté Služby bez akýchkoľvek náhrad alebo sankcií. V prípade ukončenia zmluvy zo strany spoločnosti Siemens Poskytovateľ vráti všetky predplatené sumy za príslušnú Službu proporcionálne.
• c) Ak Poskytovateľ zapojí Subspracovateľa na vykonávanie konkrétnych spracovateľských činností (v mene spoločnosti Siemens a/alebo oprávnených subjektov), urobí tak písomnou zmluvou, ktorá v podstate stanovuje rovnaké povinnosti ochrany údajov ako tie, ktoré Poskytovateľa zaväzujú podľa tohto DPA.
• d) Poskytovateľ poskytne na žiadosť spoločnosti Siemens kópiu takejto zmluvy o subspracovateľovi a všetky následné zmeny a doplnenia spoločnosti Siemens. V rozsahu potrebnom na ochranu obchodného tajomstva alebo iných dôverných informácií vrátane osobných údajov môže Poskytovateľ pred zdieľaním kópie upraviť text zmluvy.
• e) Poskytovateľ primerane a pravidelne kontroluje subspracovateľa s ohľadom na dodržiavanie týchto požiadaviek a dokumentuje výsledky takýchto auditov.
• f) Poskytovateľ zostáva plne zodpovedný voči spoločnosti Siemens za plnenie povinností Subspracovateľa vyplývajúcich zo zmluvy s Poskytovateľom. Poskytovateľ informuje spoločnosť Siemens o akomkoľvek nesplnení povinností vyplývajúcich z tejto zmluvy zo strany Subspracovateľa.

V prípade obmedzených prenosov poskytovateľovi poskytovateľ zabezpečí, aby bol takýto obmedzený prenos pokrytý primeranými ochrannými opatreniami na prevod, ako sú stanovené v tomto Oddiel 9 a Príloha III k tomuto DPA.

• a) Štandardné zmluvné ustanovenia. Ak je ochranná ochrana prevodu založená na štandardných zmluvných doložkách, uplatňuje sa toto:
  • EEA-Poskytovatelia. Ak sa Poskytovateľ nachádza v rámci EHP, Poskytovateľ uzavrie so svojím subsprostredkovateľom štandardné zmluvné doložky (modul 3). Oddiel 9 písm. a) bod vii) („Riadiace právo“), 9 písm. a) (viii) („Voľba fóra a jurisdikcie“), 9 písm. a) bod ix) písm. b) („Časť 1 dodatku Spojeného kráľovstva“) a druhá veta oddielu 9 písm. a) bodu x) („Oprávnené subjekty v iných krajinách“) tohto DPA sa neuplatňujú, ak sa Poskytovateľ nachádza v EHP.
  • Poskytovatelia mimo EHP. Ak sa Poskytovateľ nachádza mimo EHP, obmedzený prenos sa riadi modulmi 2 a 3 štandardných zmluvných doložiek. Príslušné ustanovenia obsiahnuté v štandardných zmluvných doložkách sú začlenené odkazom a sú neoddeliteľnou súčasťou tohto DPA. Informácie požadované na účely príloh k štandardným zmluvným doložkám sú uvedené v Prílohy I až IIIk tomuto DPA.
  • Dokovacia doložka. Možnosť podľa ustanovenia 7 štandardných zmluvných doložiek sa neuplatňuje.
  • Ďalšie transfery. Akýkoľvek ďalší prevod musí byť v súlade s ustanoveniami 8 a 9 príslušného modulu štandardných zmluvných doložiek. V prípade, že spoločnosť Siemens sídli mimo EHP a koná ako dovozca údajov podľa štandardných zmluvných doložiek s oprávnenými subjektmi, doložka o príjemcovi tretej strany stanovená v ustanovení 9 písm. e) štandardných zmluvných doložiek bude v prospech takéhoto oprávneného subjektu.
  • Použitie subprocesorov.Uplatňuje sa možnosť 2 podľa ustanovenia 9 štandardných zmluvných doložiek. Na účely ustanovenia 9 písm. a) štandardných zmluvných doložiek má Poskytovateľ všeobecné oprávnenie spoločnosti Siemens zapojiť Subspracovateľov v súlade s Oddiel 8 z tohto DPA.
  • Náprava. V prípade, že Poskytovateľ ponúka dotknutej osobe možnosť podať sťažnosť nezávislému orgánu na riešenie sporov (pozri možnosť v časti 11 štandardných zmluvných doložiek), Poskytovateľ písomne informuje zodpovedný rozhodcovský orgán spoločnosti Siemens a splní príslušné požiadavky uvedené v ustanovení 11 Štandardných zmluvných doložok a platných rozhodcovských predpisov.
  • Riadiace právo. Riadiacim právom na účely ustanovenia 17 Štandardných zmluvných doložiek je zákon, ktorý je určený v časti upravujúceho práva Zmluvy. Ak sa dohoda neriadi právom členského štátu EÚ, štandardné zmluvné doložky EÚ sa riadia právnymi predpismi Nemecka.
  • Výber fóra a jurisdikcie. Súdy podľa ustanovenia 18 štandardných zmluvných doložiek sú tie, ktoré sú určené v časti miesta konania zmluvy. Ak dohoda neurčí súd členských štátov EÚ, ktorý má výlučnú právomoc na riešenie akéhokoľvek sporu alebo súdneho konania vyplývajúceho z dohody alebo v súvislosti s ňou, zmluvné strany sa dohodnú, že súdy Nemecka majú výlučnú právomoc na riešenie akýchkoľvek sporov vyplývajúcich zo štandardných zmluvných doložiek EÚ.
  • Autorizované subjekty vo Veľkej Británii. V prípade, že obmedzené prevody pochádzajú od oprávnených subjektov so sídlom v Spojenom kráľovstve, uplatňuje sa toto:
    • Dodatok Spojeného kráľovstva. Použije sa dodatok Spojeného kráľovstva, pokiaľ spoločnosť Siemens písomne nedohodne inak.
    • Časť 1 dodatku Spojeného kráľovstva. Časť 1 dodatku Spojeného kráľovstva sa uplatňuje takto:
      1. Tabuľka 1: Údaje strán a kľúčové kontaktné informácie sú obsiahnuté v Príloha I k tomuto DPA.
      2. Tabuľka 2: Verzia schválených SCC EÚ (definovaná v dodatku Spojeného kráľovstva), ku ktorej je doplnok Spojeného kráľovstva pripojený, sú štandardné zmluvné doložky EÚ s modulmi a doložkami vybranými vyššie Oddiel 9 písm. a) z tohto DPA. Žiadne osobné údaje získané od dovozcu nie sú kombinované s osobnými údajmi zhromaždenými Vývozcom.
      3. Tabuľka 3: Informácie o dodatku požadované v tabuľke 3 dodatku Spojeného kráľovstva sú obsiahnuté v Prílohy I až III k tomuto DPA.
      4. Tabuľka 4: Žiadna zo strán nesmie ukončiť dodatok Spojeného kráľovstva, ak sa schválený dodatok (ako je definovaný v dodatku Spojeného kráľovstva) zmení.
  • Autorizované subjekty v iných krajinách. V prípade, že štandardné zmluvné doložky chránia obmedzené prevody oprávnených subjektov nachádzajúcich sa mimo EHP a Spojeného kráľovstva (napr. Švajčiarsko), (1) všeobecné a špecifické odkazy v štandardných zmluvných doložkách na GDPR alebo právo EÚ alebo členského štátu majú rovnaký význam ako ekvivalentný odkaz v príslušných zákonoch o ochrane údajov krajiny, v ktorej sa oprávnený subjekt nachádza, a (2) odkazy na „príslušný dozorný orgán“ sa vykladajú ako odkazy na príslušný orgán. ochrana údajov autoritu v takejto krajine. Riadiace právo, výber fóra a jurisdikcia sa riadia Oddiel 9 písm. a) bod vii) a (viii) Túto DPA, pokiaľ právne predpisy platné pre príslušný oprávnený subjekt nevyžadujú inak, v takom prípade sa štandardné zmluvné doložky riadia právnymi predpismi krajiny, v ktorej sa oprávnený subjekt nachádza, a akékoľvek odkazy na príslušné „súdy“ sa budú vykladať ako odkazy na príslušné súdy v tejto krajine.
• Záväzné firemné pravidlá spracovateľa. Ak je ochranná ochrana prenosu založená na záväzných firemných pravidlách sprostredkovateľa, platí nasledovné: Poskytovateľ zmluvne zaväzuje takého subspracovateľa, aby dodržiaval záväzné firemné Rules sprostredkovateľa, pokiaľ ide o osobné údaje spracovávané podľa tohto DPA.
• Dodatočné ochranné opatrenia na prenos. V prípade, že záruky prevodu nie sú založené na štandardných zmluvných doložkách, ustanovenia 14 a 15 štandardných zmluvných doložiek sa mutatis-mutandis uplatňujú na obmedzené prevody v rámci takejto inej ochrany transferu, pokiaľ príslušná ochrana prenosu v podstate neobsahuje rovnaké práva a povinnosti týkajúce sa i) miestnych zákonov a postupov ovplyvňujúcich dodržiavanie záruk prenosu a ii) povinnosti v prípade prístupu orgánov verejnej moci uvedené v ustanoveniach 14 a 15 štandardných zmluvných doložiek.
• Ostatné. Poskytovateľ súhlasí a chápe, že miestne platné zákony o ochrane údajov môžu obsahovať podobné alebo dodatočné obmedzenia prenosu, ako sú uvedené v tomto Oddiel 9. V takom prípade Poskytovateľ súhlasí s tým, že vynaloží primerané úsilie a bude spolupracovať so spoločnosťou Siemens v dobrej viere pri riešení týchto požiadaviek.

Poskytovateľ primerane pomáha spoločnosti Siemens pri zabezpečovaní súladu s platnými právnymi predpismi o ochrane údajov, najmä tým, že pomáha spoločnosti Siemens nasledovne:

• a) Oprava, vymazanie alebo obmedzenie spracovania. Poskytovateľ buď (i) poskytne možnosť opravovať, vymazať alebo obmedziť spracúvanie osobných údajov prostredníctvom funkcií Služieb, alebo (ii) opraviť, vymazať alebo obmedziť spracúvanie osobných údajov podľa pokynov spoločnosti Siemens.
• b) Prístup k osobným údajom. V rozsahu, v akom informácie týkajúce sa dotknutej osoby nie sú prístupné prostredníctvom Služby, poskytovateľ poskytne, ak je to potrebné na to, aby spoločnosť Siemens a oprávnené subjekty mohli splniť svoje povinnosti vyplývajúce z platných zákonov o ochrane údajov, poskytnúť pomoc pri sprístupnení týchto informácií spoločnosti Siemens a/alebo Autorizovaným subjektom.
• c) Žiadosti dotknutej osoby a orgány. Poskytovateľ bezodkladne oznámi spoločnosti Siemens: (i) akékoľvek prijaté žiadosti alebo sťažnosti alebo akékoľvek oznámenia o vyšetrovaní orgánom činným v trestnom konaní, vládnym alebo regulačným orgánom alebo agentúrou; a ii) akúkoľvek žiadosť prijatú priamo od ktorejkoľvek dotknutej osoby týkajúcej sa ich osobných údajov. Pokiaľ ide o vyššie uvedené body (i) a (ii), Poskytovateľ nebude odpovedať bez pokynov spoločnosti Siemens. Ak je to uvedené, Poskytovateľ primerane podporí spoločnosť Siemens pri odpovedaní na takéto požiadavky.
• d) Prenosnosť dát. Na žiadosť spoločnosti Siemens a ak to vyžaduje platný zákon o ochrane údajov, Poskytovateľ buď (i) poskytne možnosť extrahovať osobné údaje odkazom na konkrétnu dotknutú osobu v súlade s funkciami služby alebo ii) sprístupní príslušný súbor údajov spoločnosti Siemens a/alebo príslušnému oprávnenému subjektu v každom prípade v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte.
• e) Posúdenia vplyvu na ochranu údajov. Na požiadanie spoločnosti Siemens poskytovateľ poskytne všetky informácie a primeranú podporu pri vykonávaní posúdenia vplyvu na ochranu údajov podľa platných zákonov o ochrane údajov.

Po ukončení vzťahu k spracovaniu údajov, pokiaľ spoločnosť Siemens nepoučí inak alebo nie je tu stanovené, Poskytovateľ vráti spoločnosti Siemens všetky Osobné údaje poskytnuté Poskytovateľovi alebo získané alebo generované Poskytovateľom v súvislosti so zmluvne dohodnutými službami a neodvolateľne vymaže alebo zničí všetky zostávajúce údaje. Vymazanie alebo zničenie potvrdí Poskytovateľ písomne na požiadanie.

• a) Poskytovateľ informuje spoločnosť Siemens ihneď, ale v každom prípade do 48 hodín v prípade, že Poskytovateľ zistí alebo má dôvodné podozrenie na akékoľvek porušenie údajov.
• b) V oznámení spoločnosti Siemens poskytovateľ poskytne spoločnosti Siemens tieto informácie: i) podrobnosti o kontaktnom mieste, kde (alebo od koho) možno získať ďalšie informácie, ii) opis povahy porušenia (vrátane, ak je to možné, mien, kategórií a približného počtu dotknutých osôb a záznamov o osobných údajoch), iii) pravdepodobné dôsledky a opatrenia prijaté alebo navrhnuté na riešenie porušenia vrátane prípadných opatrení na zmiernenie jeho možných opatrení nepriaznivé účinky. Ak a v rozsahu, v akom nie je možné poskytnúť všetky informácie súčasne, počiatočné oznámenie musí obsahovať informácie, ktoré sú potom dostupné, a ďalšie informácie sa následne poskytnú bez zbytočného odkladu.
• c) Akékoľvek oznámenia podľa tohto Oddiel 12 sa odovzdajú (i) príslušnému kontaktnému miestu uvedenému v dohode a ii) dataprotection@siemens.com.
• d) Poskytovateľ bude na náklady a náklady Poskytovateľa plne spolupracovať so spoločnosťou Siemens pri vyšetrovaní porušenia údajov; ii) pomáhať a spolupracovať so spoločnosťou Siemens v súvislosti so zákonom požadovanými oznámeniami alebo zverejňovaním dotknutých osôb (individuálnou komunikáciou, verejnou komunikáciou prostredníctvom médií alebo podobnými opatreniami), orgánom činným v trestnom konaní a/alebo iným tretím stranám; iii) podnikne akékoľvek iné kroky, ktoré Siemens považuje za potrebné v súvislosti s takýmto porušením údajov a akýmkoľvek sporom, vyšetrovaním alebo nárokom Týka sa porušenia údajov.
• e) Pokiaľ platné právne predpisy alebo príkaz príslušného regulačného orgánu nevyžadujú inak, spoločnosť Siemens konečne rozhodne podľa vlastného uváženia (i) či porušenie údajov vyžaduje oznámenie a ii) spôsob oznámenia. V prípade, že Poskytovateľ poskytne takéto oznámenia týkajúce sa Porušenia údajov, všetky takéto oznámenia musia byť vopred schválené spoločnosťou Siemens.
• f) Poskytovateľ prijme na svoje náklady vhodné opatrenia na riešenie porušenia údajov vrátane opatrení na zmiernenie jeho nepriaznivých účinkov (vrátane opatrení na ochranu prevádzkového prostredia). Poskytovateľ tiež prijme okamžité kroky zamerané na zabránenie opakovaniu akéhokoľvek porušenia údajov vrátane akýchkoľvek opatrení požadovaných platnými zákonmi o ochrane údajov.
• g) Poskytovateľ uhradí spoločnosti Siemens všetky náklady a výdavky vzniknuté v súvislosti s takýmto porušením údajov spôsobeným Poskytovateľom, vrátane, ale nie výlučne, nákladov na zabezpečenie monitorovania kreditov jednotlivcom, ktorých Osobné údaje boli dotknuté porušením údajov. Obmedzenia zodpovednosti v prospech Poskytovateľa podľa Zmluvy sa v tomto ohľade neuplatňujú.

• a) Poskytovateľ (i) primeranými prostriedkami monitoruje svoje vlastné dodržiavanie svojich povinností v oblasti ochrany údajov podľa tohto DPA a platného zákona o ochrane údajov; ii) vytvára súvisiace pravidelné (aspoň ročné) správy založené na príležitostiach (každá a“Hlásiť„); a (iii) sprístupniť správy spoločnosti Siemens a oprávneným subjektom na požiadanie. Ak kontrolný štandard a rámec implementovaný Poskytovateľom stanovujú kontroly, takéto kontroly sa vykonávajú v súlade s normami a pravidlami regulačného alebo akreditačného orgánu pre každú príslušnú kontrolnú normu alebo rámec.
• b) Ak sa vyžaduje primerane riešiť svoje audítorské práva a povinnosti podľa platného zákona o ochrane údajov, platných záruk prenosu alebo na požiadanie príslušného orgánu na ochranu údajov alebo iný príslušný vládny orgán alebo agentúra, poskytovateľ poskytne spoločnosti Siemens a autorizovaným subjektom okrem správ všetky ďalšie informácie, ktoré umožní a prispieva k auditom vrátane inšpekcií, ktoré vykonáva Siemens alebo autorizované subjekty. Na tento účel majú Siemens, autorizované subjekty alebo iný audítor poverený spoločnosťou Siemens alebo autorizované subjekty tiež právo vykonávať kontroly na mieste počas bežných pracovných hodín bez narušenia obchodnej činnosti Poskytovateľa a po primeranom predchádzajúcom oznámení.

Ak služba využíva cookies alebo podobné technológie, platí nasledovné: Poskytovateľ, pokiaľ spoločnosť Siemens výslovne nedohodne inak v súvislosti s týmto Oddiel 14, uchovávať informácie (napr. napísaním súboru cookie), alebo získať prístup k informáciám už uloženým v koncovom zariadení používateľa Služby (napr. prostredníctvom súboru cookie) výhradne za účelom vykonávania prenosu komunikácie cez elektronickú komunikačnú sieť, alebo ak je to nevyhnutné na to, aby Poskytovateľ mohol poskytovať základné funkcie Služieb.

Poskytovateľ chápe a súhlasí s tým, že požiadavky uvedené v tomto DPA sú neoddeliteľnou súčasťou Dohody a podstatné porušenie ktorejkoľvek z týchto požiadaviek sa považuje za podstatné porušenie zmluvy zo strany Poskytovateľa, čo oprávňuje spoločnosť Siemens na opravné prostriedky súvisiace s podstatným porušením obsiahnuté v Zmluve.

Ak a v rozsahu, v akom Poskytovateľ pristupuje k osobným údajom prijatým od spoločnosti skupiny Siemens so sídlom v Spojených štátoch amerických (“)Americká spoločnosť Siemens„) alebo dotknutej osoby, ktorá je rezidentom Spojených štátov amerických, potom okrem vyššie uvedeného Poskytovateľ: (i) dodržiava federálne, štátne a miestne zákony USA týkajúce sa osobných údajov, ktoré sa vzťahujú na Poskytovateľa, takéto osobné údaje a vlastníkov alebo prevádzkovateľov takýchto osobných údajov; ak je uvedené vyššie uvedené, výraz „platný zákon o ochrane údajov“, ako je tu použitý, zahŕňa vyššie uvedené zákony; (ii) s výnimkou prípadov, v zmluve alebo dohode nesmie predávať, zdieľať, prenajímať, uvoľňovať, zverejňovať, šíriť ani sprístupňovať Osobné údaje tretím stranám; a nespojí osobné údaje s inými informáciami; (iii) informuje spoločnosť Siemens, ak Poskytovateľ rozhodne, že Poskytovateľ už nemôže plniť svoje povinnosti vyplývajúce z tejto zmluvy; (iv) zabezpečí, že každá osoba spracúvajúca osobné údaje podlieha povinnosti zachovávať dôvernosť v súvislosti s osobnými údajmi; (v) sa považuje za „poskytovateľa služieb“ podľa platného zákona o ochrane údajov (vrátane Kalifornského zákona o ochrane spotrebiteľov, jeho vykonávacie nariadenia a všetky ich zmeny a doplnenia); a vii) týmto potvrdzuje, že rozumie obmedzeniam tu obsiahnutým a bude ich dodržiavať.

Príloha I k DPA (a prípadne štandardné zmluvné doložky)

A.ZOZNAM STRÁN

Príjemca služby/vývozca údajov:

Poskytovateľ/dovozca údajov:

B.OPIS OPERÁCIÍ PRENOSU/SPRACOVANIA

C. PRÍSLUŠNÝ DOZORNÝ ORGÁN

Ak má spoločnosť Siemens usadená v členskom štáte EÚ, dozorný orgán zodpovedný za zabezpečenie dodržiavania GDPR zo strany spoločnosti Siemens, pokiaľ ide o prenos údajov, koná ako príslušný dozorný orgán. V prípade spoločnosti Siemens Aktiengesellschaft v Nemecku je dozorným orgánom:

Bayerská krajinná oblasť pre kontrolu údajov (BayLDA)

Promenáda 18

91522 Ansbach

Nemecko

Ak spoločnosť Siemens nie je usadená v členskom štáte EÚ, ale spadá do územného rozsahu pôsobnosti GDPR v súlade s jeho článkom 3 ods. 2, dozorný orgán členského štátu, v ktorom má zástupca v zmysle článku 27 ods. 1 GDPR usadený, koná ako príslušný dozorný orgán; a to:

Bayerská krajinná oblasť pre kontrolu údajov (BayLDA)

Promenáda 18

91522 Ansbach

Nemecko

Príloha II k DPA (a prípadne štandardné zmluvné doložky)

Technické a organizačné opatrenia (vrátane technických a organizačných opatrení na zabezpečenie bezpečnosti údajov)

Nasledujúce opatrenia sa vzťahujú len na Poskytovateľa, pokiaľ sú príslušné IT systémy, siete a aplikácie zodpovednosťou a/alebo pod úschovou alebo kontrolou Poskytovateľa. Opis technických a organizačných bezpečnostných opatrení vykonávaných Poskytovateľom a jeho Subspracovateľom (-mi):

Príloha III k DPA (a prípadne štandardné zmluvné doložky)

ZOZNAM SUBPROCESOROV A UMIESTNENÍ DÁTOVÝCH CENTIER

„Formulár autorizácie partnera“ stanovuje

Subjekty (vrátane Partnerov a subspracovateľov), ktoré sa zaoberajú ukladaniem/hosťovaním osobných údajov,

Použiteľné umiestnenia dátových centier,

Podsprostredkovatelia, ktorí sa zaoberajú spracúvaním osobných údajov na účely neukladania/hostingu,

ktoré sú tu zahrnuté týmto odkazom.

Poskytovateľ nesmie prenášať osobné údaje z príslušnej lokality dátového centra bez súhlasu spoločnosti Siemens. Mechanizmus oznamovania a námietok obsiahnutý v Oddiel 8 sa v tomto ohľade neuplatňuje.