Dodatek o varstvu podatkov partnerjev

Ta dodatek o varstvu podatkov partnerjev («DPA») je del sporazuma o partnerskem programu («Sporazum») in določa dodatne pogoje v zvezi z obdelavo osebnih podatkov. Izrazi z veliko začetnico imajo pomen, opredeljen v naslednjem oddelku tega dokumenta ali drugje v Sporazumu. Če pride do navzkrižja med pogoji tega DPA in drugimi pogoji Sporazuma, prevladuje ta DPA. Za namene tega DPA »Ponudnik« pomeni Partnerja.

• (a) »veljavna zakonodaja o varstvu podatkov« pomeni vsa veljavna zakonodaja, ki se nanaša na obdelavo osebnih podatkov v skladu s Sporazumom, vključno (vendar ne omejeno na, (i) za osebne podatke, ki izvirajo od pooblaščenega subjekta s sedežem v EGP, Splošno uredbo o varstvu podatkov (EU) 2016/679 («GDPR») in (ii) za osebne podatke, ki izvirajo od pooblaščenega subjekta, ki se nahaja v Združenem kraljestvu, GDPR Združenega kraljestva in Zakon o varstvu podatkov Združenega kraljestva iz leta 2018.
• (b) »Pooblaščeni subjekt« pomeni vsak subjekt (vključno s podjetji Siemens in njegovimi družbami v skupini), ki deluje kot upravljavec in je po Sporazumu upravičen do neposrednega ali posrednega dostopa do Storitev ali uporabe storitev.
• (c) »Controller« pomeni fizično ali pravno osebo, ki sama ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov.
• (d) »Država z odločitvijo o ustreznosti« pomeni vsako državo, za katero se je Komisija EU odločila, da taka država zagotavlja ustrezno raven varstva podatkov, in za osebne podatke, ki izvirajo iz Združenega kraljestva, vsako državo, za katero so bili sprejeti predpisi o ustreznosti Združenega kraljestva v skladu s oddelki 17A ali 74A Zakona o varstvu podatkov iz leta 2018.
• (e) »Kršitev podatkov»pomeni vsako kršitev varnosti (i), ki vodi do nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, posredovanih, shranjenih ali kako drugače obdelanih, ali (ii) bi zahtevala obvestilo o takem dogodku kateri koli tretji osebi v skladu z veljavno zakonodajo.
• (f) »EGP« pomeni Evropski gospodarski prostor.
• (g) »Standardne pogodbene klavzule EU« pomeni standardne pogodbene klavzule (EU) 2021/914.
• (h) »Območje nastanka« pomeni EGP, Združeno kraljestvo, Švico in vsako državo s podobnimi zahtevami glede ustreznosti, kot so določene v členih 45 in naslednjih. GDPR.
• (i) »Osebni podatki« pomeni vse informacije, ki se nanašajo na identificirano ali določljivo fizično osebo; določljiva fizična oseba je tista, ki jo je mogoče neposredno ali posredno identificirati, zlasti s sklicevanjem na identifikator, kot so ime, identifikacijska številka, podatki o lokaciji, spletni identifikator ali enega ali več dejavnikov, značilnih za fizično, fiziološko, genetsko, duševno, ekonomsko, kulturno ali družbeno identiteto te fizične osebe.
• (j) »Obdelava« (in njegove druge oblike, kot so postopek, obdelava, obdelava) pomeni vsako operacijo ali niz operacij, ki se izvaja z osebnimi podatki ali nabori osebnih podatkov, ne glede na to, ali avtomatizirano ali ne, kot so zbiranje, beleženje, organizacija, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, iskanje, posvetovanje, uporaba, razkritje s prenosom, razširjanjem ali drugačnim dajanjem na voljo, uskladitev ali združevanje, omejevanje, brisanje ali uničenje.
• (k) »Procesor« pomeni fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki obdeluje osebne podatke v imenu Controller.
• (l) »Obdelovalca zavezujoča poslovna Rules« pomeni zavezujoča korporativna pravila za predelovalce, ki jih odobri pristojni nadzorni organ.
• (m) »Omejeni osebni podatki« pomeni vse osebne podatke, ki izvirajo od pooblaščenega subjekta, ki se nahaja na območju izvora.
• (n) »Omejeni prenosi« pomeni vsako obdelavo (vključno s prenosom, mednarodnim dostopom in nadaljnjim prenosom) omejenih osebnih podatkov s strani Ponudnika ali katerega koli njegovega podobdelovalca zunaj ustreznega območja izvora.
• (o) »Storitve« pomeni storitve v skladu s pogodbo, ki jih ponuja Ponudnik, ki deluje v vlogi obdelovalca v smislu te uredbe o varstvu podatkov.
• (p) »Standardne pogodbene klavzule« pomeni standardne pogodbene klavzule EU in standardne pogodbene klavzule Združenega kraljestva.
• (q) »Podprocesorji« pomeni vsakega nadaljnjega obdelovalca, ki se ukvarja z izvajanjem storitev.
• (r) »Zaščita (-e) za prenos« pomeni ustrezne zaščitne ukrepe za omejene prenose, kot jih zahteva veljavna zakonodaja o varstvu podatkov, vključno z vsemi ustreznimi zaščitnimi ukrepi, ki jih zahteva člen 46 GDPR.
• (s) »GDPR Združenega kraljestva« pomeni GDPR, kakor je vključen v pravo Združenega kraljestva na podlagi člena 3 Zakona o Evropski uniji (izstop) Združenega kraljestva iz leta 2018.
• (t) »Standardne pogodbene klavzule Združenega kraljestva« pomeni standardne klavzule o varstvu podatkov, ki jih občasno sprejme Urad informacijskih komisarjev Združenega kraljestva (ICO) v skladu s členom 46 (2) GDPR Združenega kraljestva, vključno z mednarodnim sporazumom o prenosu podatkov (UK IDTA) in standardnimi pogodbenimi klavzulami EU, kakor so bile spremenjene z mednarodnim dodatkom ICO k standardnim pogodbenim klavzulam Komisije EU (Dodatek Združenega kraljestva»). [1]

1 Glej https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Stranke spoštujejo veljavno zakonodajo o varstvu podatkov, kakor veljajo zanje in kakor je to določeno v tej uredbi. Ponudnik pri opravljanju storitev upošteva zlasti določbe veljavne zakonodaje o varstvu podatkov v zvezi z obdelavo osebnih podatkov kot obdelovalca.

Ponudnik obdeluje osebne podatke samo (a) v skladu s pogoji tega DPA in Sporazuma; ali (b) na podlagi drugih dokumentiranih navodil družbe Siemens. Ponudnik osebnih podatkov ne bo obdeloval za lastne namene ali jih posredoval tretjim osebam, razen če to dovoljuje ta DPA. Ponudnik nemudoma obvesti Siemens, če po njegovem mnenju navodilo družbe Siemens krši veljavno zakonodajo o varstvu podatkov.

Podrobnosti o postopkih obdelave, ki jih zagotavlja Ponudnik - zlasti predmet obdelave, narava in namen obdelave, vrste obdelanih osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, so določene v Priloga I k temu DPA.

Ob upoštevanju najsodobnejšega stanja, stroškov izvajanja ter narave, obsega, konteksta in namena obdelave ter tveganja različne verjetnosti in resnosti za pravice in svoboščine fizičnih oseb, Ponudnik izvaja ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ki ustrezajo tveganju, vključno s: (a) psevdonimizacijo in šifriranjem osebnih podatkov; (b) sposobnost zagotavljanja zaupnost, integriteta, razpoložljivost in odpornost Sistemi in storitve obdelave; (c) zmožnost pravočasne obnovitve razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta; (d) postopek za redno testiranje, ocenjevanje in ocenjevanje učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave. Brez poseganja v splošnost prejšnjega stavka mora ponudnik ves čas izvajati vsaj tehnične in organizacijske ukrepe, opisane v Priloga IIk temu DPA.

1 Glej https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Ponudnik omeji dostop svojega osebja do osebnih podatkov na podlagi potrebe po potrebi. Ponudnik mora svoje osebje podrobno obvestiti o veljavnih zakonskih in pogodbenih določbah v zvezi z varstvom podatkov. Ponudnik zavezuje svoje osebje, da upošteva takšne določbe in zlasti skriva osebne podatke in ne obdeluje osebnih podatkov drugače kot v skladu z navodili družbe Siemens. Obveznost varovanja tajnosti velja tudi po prenehanju veljavnosti te pogodbe in pogodbenem razmerju osebja s Ponudnikom. Ponudnik bo na zahtevo predložil dokazilo o takšni obveznosti.

• (a) Ponudnik ima podjetje Siemens splošno dovoljenje za sodelovanje podpredelovalcev. Trenutni seznam podprocesorjev, ki jih naroči ponudnik, je vsebovan v Priloga III k temu DPA.
• (b) Ponudnik mora Siemens pisno obvestiti o vseh načrtovanih spremembah tega seznama z dodajanjem ali zamenjavo podprocesorjev vsaj 30 dni vnaprej. Ponudnik podjetju Siemens zagotovi informacije, potrebne za to, da Siemens lahko uveljavlja pravico do ugovora. Če Siemens v tem 30-dnevnem roku ne ugovarja, se to šteje kot odobritev novega podobdelovalca. Če Siemens ugovarja, bo Ponudnik - preden poobdelovalcu dovoli dostop do osebnih podatkov - razumno prizadeval odpraviti pomisleke in pridržke, ki jih je izrazil Siemens in (i) vzdržal uporabe podobdelovalca; ali (ii) Siemensu predlagal razumno spremembo konfiguracije ali uporabe Storitev, da se izogne obdelavi osebnih podatkov s strani novega podobdelovalca. Če ponudnik ne more odpraviti razlogov za ugovor družbe Siemens, ima družba Siemens pravico preklicati zadevne storitve brez kakršne koli škode ali kazni. V primeru odpovedi s strani družbe Siemens Ponudnik sorazmerno povrne vse predplačane zneske za zadevno storitev.
• (c) Kadar Ponudnik za izvajanje posebnih dejavnosti obdelave (v imenu Siemensa in/ali pooblaščenih subjektov) angažira podobdelovalca, to stori s pisno pogodbo, ki v bistvu določa enake obveznosti varstva podatkov kot tiste, ki zavezujejo ponudnika na podlagi tega DPA.
• (d) Ponudnik na zahtevo družbe Siemens predloži kopijo takšne pogodbe o podobdelovalcu in morebitnih poznejših sprememb podjetju Siemens. V obsegu, ki je potreben za zaščito poslovnih skrivnosti ali drugih zaupnih informacij, vključno z osebnimi podatki, lahko Ponudnik uredi besedilo pogodbe pred izmenjavo kopije.
• (e) Ponudnik ustrezno in redno revidira podobdelovalca glede skladnosti s temi zahtevami in dokumentira rezultate takih revizij.
• (f) Ponudnik ostaja v celoti odgovoren Siemensu za izpolnjevanje obveznosti podobdelovalca iz njegove pogodbe s Ponudnikom. Ponudnik obvesti Siemens o vsakem neizpolnitvi svojih obveznosti iz navedene pogodbe s strani podobdelovalca.

V primeru omejenih prenosov na Ponudnika mora ponudnik zagotoviti, da je tak omejen prenos zajet z ustreznimi zaščitnimi ukrepi za prenos, kot so določeni v tem dokumentu. Oddelek 9 in Priloga III k temu DPA.

• (a) Standardne pogodbene klavzule. Če zaščita za prenos temelji na standardnih pogodbenih klavzulah, se uporablja naslednje:
  • EGP-Ponudniki. Če se Ponudnik nahaja znotraj EGP, mora ponudnik s svojim podobdelovalcem skleniti standardne pogodbene klavzule (modul 3). Oddelki 9 (a) (vii) (»Veljavno pravo«), 9 (a) (viii) (»Izbira foruma in pristojnosti«), 9 (a) (ix) (b) (»1. del dodatka Združenega kraljestva«) in drugi stavek oddelka 9 (a) (x) (»Pooblaščeni subjekti v drugih državah«) tega DPA se ne uporablja, če se Ponudnik nahaja v EGP.
  • Ponudniki zunaj EGP. Če se ponudnik nahaja zunaj EGP, omejen prenos urejata modula 2 in 3 standardnih pogodbenih klavzul. Ustrezne določbe iz standardnih pogodbenih klavzul so vključene s sklicevanjem in so sestavni del tega DPA. Informacije, potrebne za namene prilog k standardnim pogodbenim klavzulam, so določene v Priloge I do IIIk temu DPA.
  • Priklopna klavzula. Možnost iz 7. klavzule standardnih pogodbenih klavzul se ne uporablja.
  • Nadaljnji prenosi. Vsak nadaljnji prenos mora biti v skladu s klavzuli 8 in 9 veljavnega modula standardnih pogodbenih klavzul. V primeru, da se Siemens nahaja zunaj EGP in deluje kot uvoznik podatkov v skladu s standardnimi pogodbenimi klavzulami s pooblaščenim subjektom, je klavzula o upravičencih tretjih oseb, določena v klavzuli 9 (e) standardnih pogodbenih klavzul, v korist takšnega pooblaščenega subjekta.
  • Uporaba podprocesorjev.Uporablja se možnost 2 v skladu s klavzulo 9 standardnih pogodbenih klavzul. Za namene klavzule 9 (a) Standardnih pogodbenih klavzul ima Ponudnik podjetje Siemens splošno pooblastilo za vključevanje podobdelovalcev v skladu z Oddelek 8 tega DPA.
  • Odškodninsko sredstvo. Če ponudnik posameznikom, na katerega se nanašajo osebni podatki, ponudi možnost vložitve pritožbe pri neodvisnem organu za reševanje sporov (glej možnost v klavzuli 11 standardnih pogodbenih klavzul), Ponudnik pisno obvesti Siemens o pristojnem arbitražnem organu in izpolni veljavne zahteve iz klavzule 11 standardnih pogodbenih klavzul in veljavnih arbitražnih pravil.
  • Veljavno pravo. Za namene klavzule 17 Standardnih pogodbenih klavzul velja pravo, ki je določeno v oddelku o veljavnem pravu Sporazuma. Če Sporazuma ne ureja pravo države članice EU, standardne pogodbene klavzule EU ureja nemška zakonodaja.
  • Izbira foruma in pristojnosti. Sodišča v skladu s klavzulo 18 Standardnih pogodbenih klavzul so tista, ki so določena v razdelku kraja pogodbe. Če Sporazum ne določa sodišča držav članic EU kot izključno pristojno za reševanje sporov ali tožb, ki izhajajo iz Sporazuma ali v zvezi z njim, se stranki strinjata, da so sodišča Nemčije izključno pristojna za reševanje sporov, ki izhajajo iz standardnih pogodbenih klavzul EU.
  • Pooblaščeni subjekti v Združenem kraljestvu. Če omejeni prenosi izvirajo od pooblaščenih subjektov s sedežem v Združenem kraljestvu, velja naslednje:
    • Dodatek Združenega kraljestva. Uporabi se dodatek Združenega kraljestva, razen če Siemens pisno ne dogovori drugače.
    • 1. del Dodatka Združenega kraljestva. Del 1 Dodatka Združenega kraljestva se uporablja na naslednji način:
      1. Tabela 1: Podatki strank in ključne kontaktne informacije so vsebovani v Priloga I k temu DPA.
      2. Tabela 2: Različica odobrenih SCC EU (kakor je opredeljena v Dodatku Združenega kraljestva), ki ji je priložen dodatek Združenega kraljestva, so standardne pogodbene klavzule EU z zgoraj izbranimi moduli in klavzulami v Oddelek 9 (a) tega DPA. Nobeni osebni podatki, prejeti od uvoznika, se ne združujejo z osebnimi podatki, ki jih zbira izvoznik.
      3. Tabela 3: Informacije o dodatku, kot jih zahteva tabela 3 dodatka Združenega kraljestva, so vsebovane v Priloge I do III k temu DPA.
      4. Tabela 4: Nobena stranka ne sme preklicati dodatka v Združenem kraljestvu, ko se spremeni odobreni dodatek (kot je opredeljen v Dodatku Združenega kraljestva).
  • Pooblaščeni subjekti v drugih državah. Če standardne pogodbene klavzule ščitijo omejene prenose pooblaščenih subjektov zunaj EGP in Združenega kraljestva (npr. Švice), imajo (1) splošna in posebna sklicevanja v standardnih pogodbenih klavzulah na GDPR ali pravo EU ali države članice enak pomen kot enakovredno sklicevanje v veljavnih zakonih o varstvu podatkov države, v kateri je pooblaščeni subjekt; (2) sklicevanja na »pristojni nadzorni organ« razlagajo kot sklicevanja na pristojni organ. varstvo podatkov avtoritete v takšni državi. Veljavno pravo, izbiro foruma in pristojnost urejajo Oddelki 9 (a) (vii) in (viii) tega DPA, razen če zakonodaja, ki se uporablja za zadevni pooblaščeni subjekt, ne določa drugače, v tem primeru standardne pogodbene klavzule ureja zakonodaja države, v kateri se nahaja pooblaščeni subjekt, in kakršna koli sklicevanja na pristojna »sodišča« se razlagajo kot sklicevanja na pristojna sodišča v tej državi.
• Obdelovalca zavezujoča poslovna Rules. Če zaščita za prenos temelji na poslovnih pravilih, ki zavezujejo obdelovalca, velja naslednje: Ponudnik pogodbeno zavezuje takega podobdelovalca, da upošteva zavezujoča poslovna Rules obdelovalca glede osebnih podatkov, ki se obdelujejo v skladu s tem DPA.
• Dodatni zaščitni ukrepi za prenos. Če zaščitni ukrepi za prenos ne temeljijo na standardnih pogodbenih klavzulah, se določba 14 in 15 standardnih pogodbenih klavzul smiselno uporabljata za omejene prenose v okviru takšne druge zaščite za prenos, razen če ustrezna zaščita za prenos vsebinsko vsebuje iste pravice in obveznosti glede (i) lokalnih zakonov in praks, ki vplivajo na skladnost z zaščitnimi ukrepi za prenos, in (ii) obveznosti v primeru dostopa javnih organov iz 14 in 15 standardnih pogodbenih klavzul.
• Drugo. Ponudnik se strinja in razume, da lahko lokalni veljavni zakon o varstvu podatkov vsebuje podobne ali dodatne omejitve prenosa, kot jih vsebuje ta Oddelek 9. V tem primeru se ponudnik strinja, da bo s podjetjem Siemens v dobri veri sodeloval pri izpolnjevanju teh zahtev.

Ponudnik mora podjetju Siemens razumno pomagati pri zagotavljanju skladnosti z veljavno zakonodajo o varstvu podatkov, zlasti s tem, da Siemens pomaga na naslednji način:

• (a) Popravek, brisanje ali omejitev obdelave. Ponudnik bo (i) omogočil, da popravi, izbriše ali omeji obdelavo osebnih podatkov prek funkcionalnosti Storitev ali (ii) popravi, izbriše ali omeji obdelavo osebnih podatkov po navodilih družbe Siemens.
• (b) Dostop do osebnih podatkov. Če informacije, ki se nanašajo na posameznika, na katerega se nanašajo osebni podatki, niso dostopne prek storitve, bo Ponudnik, če je to potrebno, da Siemens in pooblaščenim subjektom omogoči izpolnjevanje svojih obveznosti iz veljavnih zakonov o varstvu podatkov, zagotovil pomoč pri zagotavljanju takšnih informacij Siemensu in/ali pooblaščenim subjektom.
• (c) Zahteve posameznika, na katere se nanašajo osebni. Ponudnik nemudoma obvesti Siemens o: (i) vseh prejetih zahtevah ali pritožbah ali kakršnih koli obvestilih o preiskavi s strani kazenskega pregona, vladnega ali regulativnega organa ali agencije; in (ii) vsako zahtevo, ki jo prejme neposredno od katerega koli posameznika, na katerega se nanašajo osebni podatki. V zvezi z zgoraj navedenimi točkami (i) in (ii) Ponudnik ne sme odgovoriti brez navodil družbe Siemens. Če je tako navedeno, mora ponudnik razumno podpreti Siemens pri odgovarjanju na takšne zahteve.
• (d) Prenosnost podatkov. Ponudnik bo na zahtevo podjetja Siemens in če to zahteva veljavna zakonodaja o varstvu podatkov, bodisi (i) omogočil pridobivanje osebnih podatkov s sklicevanjem na določenega posameznika, na katerega se nanašajo osebni podatki, v skladu s funkcijami storitve ali (ii) da ustrezen nabor podatkov na voljo podjetju Siemens in/ali zadevnemu pooblaščenemu subjektu, v vsakem primeru v strukturirani, pogosto uporabljeni in strojno berljivi obliki.
• (e) Ocene učinka na varstvo podatkov. Na zahtevo podjetja Siemens ponudnik zagotovi vse informacije in ustrezno podporo za izvajanje ocen učinka na varstvo podatkov v skladu z veljavnimi zakoni o varstvu podatkov.

Po prenehanju razmerja v zvezi z obdelavo podatkov, razen če Siemens ni določeno drugače ali v tem dokumentu določeno, Ponudnik vrne podjetju Siemens vse Osebne podatke, ki so bili na voljo Ponudniku ali jih je pridobil ali ustvaril v povezavi s pogodbeno dogovorjenimi storitvami, in nepreklicno izbriše ali uniči vse preostale podatke. Izbris ali uničenje Ponudnik na zahtevo pisno potrdi.

• (a) Ponudnik mora nemudoma obvestiti Siemens, vendar v vsakem primeru v 48 urah, če Ponudnik odkrije ali utemeljeno sumi na kakršno koli kršitev podatkov.
• (b) Ponudnik v obvestilu Siemensu zagotovi naslednje informacije: (i) podatke o kontaktni točki, kjer je (ali od koga) mogoče dobiti več informacij, (ii) opis narave kršitve (vključno z imeni, kategorijami in približnim številom zadevnih posameznikov, na katere se nanašajo osebni podatki), (iii) verjetne posledice in ukrepe, sprejete ali predlagane za odpravo kršitve, vključno z možnimi ukrepi za njeno ublažitev, kadar je to primerno škodljivi učinki. Če in kolikor ni mogoče zagotoviti vseh informacij hkrati, mora prvotno obvestilo vsebovati informacije, ki so takrat dostopne, nadaljnje informacije pa se, ko postanejo na voljo, naknadno zagotovijo brez nepotrebnega odlašanja.
• (c) Vsa obvestila v skladu s tem Oddelek 12 se pošlje (i) na ustrezno kontaktno točko, opredeljeno v Sporazumu, in (ii) dataprotection@siemens.com.
• (d) Ponudnik na stroške in stroške Ponudnika (i) v celoti sodeluje s Siemensom pri preiskavi kršitve podatkov; (ii) pomaga in sodeluje s podjetjem Siemens glede vseh zakonsko zahtevanih obvestil ali razkritja prizadetim osebam (s posameznimi komunikacijami, javnimi komunikacijami prek medijev ali podobnimi ukrepi) organom pregona, regulatorjem in/ali drugim tretjim osebam ter (iii) sprejme kakršne koli druge ukrepe, ki jih Siemens meni za potrebne glede take kršitve podatkov in morebitnih sporov, poizvedb ali zahtevkov ki se nanaša na kršitev podatkov.
• (e) Razen če veljavna zakonodaja ali odredba pristojnega regulatorja ne zahteva drugače, Siemens po lastni presoji dokončno ugotovi (i) ali je za kršitev podatkov potrebno obvestilo in (ii) o načinu priglasitve. V primeru, da ponudnik posreduje takšna obvestila o kršitvi podatkov, mora Siemens vnaprej odobriti vsa takšna obvestila.
• (f) Ponudnik na svojo ceno sprejme ustrezne ukrepe za odpravo kršitve podatkov, vključno z ukrepi za ublažitev njenih škodljivih učinkov (vključno z ukrepi za zaščito delovnega okolja). Ponudnik prav tako sprejme takojšnje ukrepe, namenjene preprečevanju ponovitve kakršne koli kršitve podatkov, vključno z vsemi ukrepi, ki jih zahteva veljavna zakonodaja o varstvu podatkov.
• (g) Ponudnik podjetju Siemens povrne vse stroške in stroške, nastale zaradi kršitve podatkov, ki jih je povzročil Ponudnik, vključno, vendar ne omejeno na stroške zagotavljanja kreditnega spremljanja posameznikov, katerih osebne podatke je kršitev podatkov prizadela. V zvezi s tem ne veljajo omejitve odgovornosti v korist Ponudnika na podlagi Pogodbe.

• (a) Ponudnik mora (i) z ustreznimi sredstvi spremljati svojo skladnost z obveznostmi glede varstva podatkov iz tega DPA in veljavnega zakona o varstvu podatkov; (ii) ustvarja sorodna periodična (vsaj letna) in priložnostna poročila (vsaka a«Poročilo»); in (iii) da Poročila na zahtevo dostopna Siemensu in pooblaščenim subjektom. Kadar kontrolni standard in okvir, ki ga izvaja ponudnik, predvideva nadzor, se taki nadzor izvaja v skladu s standardi in pravili regulativnega ali akreditacijskega organa za vsak veljavni kontrolni standard ali okvir.
• (b) Če mora ustrezno obravnavati revizijske pravice in obveznosti iz veljavnega zakona o varstvu podatkov, veljavnih zaščitnih ukrepov za prenos ali če zahteva pristojni organ za varstvo podatkov ali drug pristojni državni organ ali agencija, ponudnik Siemensu in pooblaščenim subjektom poleg poročil omogoči in prispeva k revizijam, vključno z inšpekcijami, ki jih izvajajo Siemens ali pooblaščeni subjekti. V ta namen imajo Siemens, pooblaščeni subjekti ali drug revizor, ki ga pooblasti Siemens ali pooblaščeni subjekti, prav tako pravico izvajati inšpekcijske preglede na kraju samem v rednem delovnem času, ne da bi pri tem motili poslovanje ponudnika in po razumnem predhodnem obvestilu.

Če storitev uporablja piškotke ali podobne tehnologije, velja naslednje: Ponudnik, razen če Siemens izrecno ne dogovori drugače glede na to Oddelek 14, shranjujejo informacije (npr. s pisanjem piškotka) ali pridobijo dostop do informacij, ki so že shranjene v terminalni opremi uporabnika storitve (npr. prek piškotka) izključno za namen izvajanja prenosa komunikacije prek elektronskega komunikacijskega omrežja, ali če je to nujno potrebno za zagotavljanje osnovnih funkcionalnosti Storitev.

Ponudnik razume in se strinja, da so zahteve iz tega DPA sestavni del Sporazuma in da se bistvena kršitev katere koli od teh zahtev šteje za bistveno kršitev s strani Ponudnika Sporazuma, kar Siemens daje pravico do bistvenih pravnih sredstev, povezanih s kršitvami iz Sporazuma.

Če in v obsegu, v katerem Ponudnik dostopa do osebnih podatkov, prejetih od podjetja skupine Siemens s sedežem v Združenih državah Amerike (Siemens ameriško podjetje») ali posameznika, na katerega se nanašajo osebni podatki, ki je rezident Združenih držav Amerike, potem Ponudnik poleg zgoraj navedenega: (i) upošteva zvezne, državne in lokalne zakone ZDA glede osebnih podatkov, ki veljajo za Ponudnika, take osebne podatke ter lastnike ali upravljavce takih osebnih podatkov; kadar je zgoraj navedeno, izraz »veljavna zakonodaja o varstvu podatkov«, kot je tu uporabljena, vključuje zgoraj navedene zakone; (ii) razen v primerih, ko je posebej določeno tukaj. v Sporazumu ali Sporazumu ne sme prodajati, deliti, dajati v najem, izdajati, razkriti, razširjati ali dati na voljo Osebnih podatkov tretjim osebam; in ne združuje osebnih podatkov z drugimi informacijami; (iii) obvesti Siemens, če Ponudnik ugotovi, da Ponudnik ne more več izpolnjevati svojih obveznosti; (iv) zagotovi, da je vsaka oseba, ki obdeluje osebne podatke, predmet zaupnosti glede osebnih podatkov; (v) se šteje in deluje kot »ponudnik storitev« v skladu z veljavnim zakonom o varstvu podatkov (vključno s Kalifornijskim zakonom o zasebnosti potrošnikov, njegove izvedbene uredbe in vse njihove spremembe); in (vii) s tem potrjuje, da razume omejitve, ki jih vsebuje, in jih bo spoštoval.

Priloga I k DPA (in, kjer je ustrezno, standardne pogodbene klavzule)

A.SEZNAM STRANK

Prejemnik storitev/izvoznik podatkov:

Ponudnik/uvoznik podatkov:

B. OPIS POSTOPKOV PRENOSA/OBDELAVE

C.PRISTOJNI NADZORNI ORGAN

Kadar ima Siemens sedež v državi članici EU, nadzorni organ, ki je odgovoren za zagotavljanje skladnosti z GDPR v zvezi s prenosom podatkov, deluje kot pristojni nadzorni organ. Za Siemens Aktiengesellschaft, Nemčija, je nadzorni organ:

Bayerski državni sklad za zaupanje podatkov (BayLDA)

Promenada 18

91522 Ansbach

Nemčija

Kadar Siemens nima sedeža v državi članici EU, vendar spada v ozemeljsko področje uporabe GDPR v skladu s členom 3 (2), nadzorni organ države članice, v kateri ima zastopnik v smislu člena 27 (1) GDPR sedež, deluje kot pristojni nadzorni organ; in sicer:

Bayerski državni sklad za zaupanje podatkov (BayLDA)

Promenada 18

91522 Ansbach

Nemčija

Priloga II k DPA (in, kjer je ustrezno, standardne pogodbene klavzule)

Tehnični in organizacijski ukrepi (vključno s tehničnimi in organizacijskimi ukrepi za zagotavljanje varnosti podatkov)

Naslednji ukrepi se uporabljajo samo za Ponudnika, če so za osnovne informacijske sisteme, omrežja in aplikacije odgovorni in/ali pod skrbništvom ali nadzorom ponudnika. Opis tehničnih in organizacijskih varnostnih ukrepov, ki jih izvajajo Ponudnik in njegovi podobdelovalci:

Priloga III k DPA (in, kjer je ustrezno, standardne pogodbene klavzule)

SEZNAM PODPROCESORJEV IN LOKACIJ PODATKOVNIH CENTROV

»Obrazec za avtorizacijo partnerja« določa:

subjekti (vključno s partnerji in podobdelovalci), ki se ukvarjajo s shranjevanje/gostovanjem osebnih podatkov,

Veljavne lokacije podatkovnih centrov,

Podobdelovalci, ki se ukvarjajo z obdelavo osebnih podatkov za namene neshranjevanja/gostovanja,

ki so vključeni v to sklicevanje.

Ponudnik ne sme prenašati osebnih podatkov z ustrezne lokacije podatkovnega centra brez soglasja podjetja Siemens. Mehanizem obveščanja in ugovarjanja, vsebovan v Oddelek 8 se v zvezi s tem ne uporablja.