Dodatak o zaštiti podataka partnera

Ovaj dodatak o zaštiti podataka partnera (“DPA„) je deo Ugovora o partnerskom programu (“Sporazum„) i utvrđuje dodatne uslove u vezi sa obradom ličnih podataka. Izrazi sa velikim slovima imaju značenje definisano u sledećem odeljku ovog dokumenta ili negde drugde u Sporazumu. Ako postoji sukob između uslova ovog DPA i bilo kojih drugih uslova Sporazuma, ovaj DPA će prevladati. Za potrebe ovog DPA, „Provajder“ znači Partner.

• (a) „Važeći zakon o zaštiti podataka“ znači sav važeći zakon koji se odnosi na obradu ličnih podataka u skladu sa Sporazumom, uključujući, ali ne ograničavajući se na, (i) za lične podatke koji potiču od ovlašćenog entiteta koji se nalazi u okviru EEA, Opštu uredbu o zaštiti podataka (EU) 2016/679 (“GDPR„), i (ii) za lične podatke koji potiču od ovlašćenog entiteta koji se nalazi u Velikoj Britaniji, GDPR UK i Zakon o zaštiti podataka u Velikoj Britaniji 2018.
• (b) „Ovlašćeni entitet“ podrazumeva bilo koji entitet (uključujući Siemens i kompanije iz njegove grupe) koji deluje kao Kontrolor i koji prema Sporazumu ima pravo da direktno ili indirektno pristupa ili koristi Usluge.
• (c) „Controller“ znači fizičko ili pravno lice koje samostalno ili zajedno sa drugima određuje svrhe i sredstva obrade ličnih podataka.
• (d) „Zemlja sa odlukom o adekvatnosti“ znači bilo koju zemlju za koju je Komisija EU odlučila da takva zemlja obezbedi adekvatan nivo zaštite podataka, a za lične podatke koji potiču iz Velike Britanije, bilo koju zemlju za koju su doneti propisi o adekvatnosti Ujedinjenog Kraljevstva prema članovima 17A ili 74A Zakona o zaštiti podataka iz 2018.
• (e) „Kršenje podataka„znači svako kršenje bezbednosti (i) koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa ličnim podacima koji se prenose, čuvaju ili na drugi način obrađuju, ili (ii) zahtevalo obaveštavanje o takvom događaju bilo kojoj trećoj strani u skladu sa važećim zakonom.
• (f) „EEA“ znači Evropski ekonomski prostor.
• (g) „Standardne ugovorne klauzule EU“ znači Standardne ugovorne klauzule (EU) 2021/914.
• (h) „Područje nastanka“ znači EEA, Veliku Britaniju, Švajcarsku i svaku zemlju sa sličnim zahtevima adekvatnosti kao što je sadržano u čl. 45 i sledeći. GDPR.
• (i) „Lični podaci“ znači sve informacije koje se odnose na identifikovano ili identifikovano fizičko lice; fizičko lice koje se može identifikovati je ono koje se može identifikovati, direktno ili indirektno, posebno pozivanjem na identifikator kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili jedan ili više faktora specifičnih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te fizičke osobe.
• (j) „Obrada“ (i drugi oblici kao što su Proces, Obrada, Obrada) označava bilo koju operaciju ili skup operacija koje se obavljaju na ličnim podacima ili skupovima ličnih podataka, bilo automatizovanim sredstvima, kao što su prikupljanje, evidentiranje, organizacija, strukturiranje, skladištenje, prilagođavanje ili izmena, pronalaženje, konsultacija, upotreba, otkrivanje prenosom, širenjem ili na drugi način stavljanje na raspolaganje, usklađivanje ili kombinacija, ograničenje, brisanje ili uništavanje.
• (k) „Procesor“ znači fizičko ili pravno lice, javni organ, agenciju ili bilo koje drugo telo koje obrađuje lične podatke u ime Controller.
• (l) „Korporativna Rules koja obavezuju procesora“ znači obavezujuća korporativna pravila za prerađivače koja odobrava nadležni nadzorni organ.
• (m) „Ograničeni lični podaci“ znači bilo koji lični podaci koji potiču od ovlašćenog entiteta koji se nalazi u području nastanka.
• (n) „Ograničeni prenos (i)“ znači bilo kakvu obradu (uključujući prenose, međunarodni pristup i dalji prenos) ograničenih ličnih podataka od strane dobavljača ili bilo kog od njegovih podprocesora izvan relevantnog područja izvornosti.
• (o) „Usluge“ podrazumeva Usluge prema Ugovoru koje pruža Pružatelj usluga koji deluje u svojoj ulozi obrade u smislu ovog DPA.
• (p) „Standardne ugovorne klauzule“ znači Standardne ugovorne klauzule EU i Standardne ugovorne klauzule Velike Britanije.
• (k) „Podprocesor (i)“ podrazumeva bilo koji dodatni izvršitelj obrade koji je angažovan u obavljanju Usluga.
• (r) „Zaštita (e) transfera“ podrazumeva odgovarajuće zaštitne mere za ograničene prenose kako se zahteva važećim Zakonom o zaštiti podataka, uključujući bez ograničenja sve odgovarajuće zaštitne mere koje zahteva član 46 GDPR-a.
• (s) „UK GDPR“ znači GDPR kako je ugrađen u zakon Ujedinjenog Kraljevstva na osnovu člana 3 Zakona o Evropskoj uniji (povlačenje) Ujedinjenog Kraljevstva 2018.
• (t) „Standardne ugovorne klauzule u Velikoj Britaniji“ znači standardne klauzule o zaštiti podataka koje povremeno usvaja Kancelarija komesara za informacije Velike Britanije (ICO) u skladu sa članom 46 (2) GDPR-a u Velikoj Britaniji, uključujući, ali ne ograničavajući se na, međunarodni sporazum o prenosu podataka (UK IDTA) i Standardne ugovorne klauzule EU kako su izmenjene ICO-ovim međunarodnim dodavanjem za prenos podataka standardnim ugovornim klauzulama Komisije EU (Dodatak u Velikoj Britaniji„). [1]

1 Pogledaj https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Strane će poštovati važeći zakon o zaštiti podataka onako kako se primenjuje na njih i kako se ovde zahteva. Prilikom pružanja Usluga, Pružatelj će se posebno pridržavati odredbi važećeg Zakona o zaštiti podataka u vezi sa obradom ličnih podataka kao izvršitelj obrade.

Provajder će obrađivati lične podatke samo (a) u skladu sa uslovima ovog DPA i Ugovora; ili (b) na osnovu drugih dokumentovanih uputstava kompanije Siemens. Provajder neće obrađivati lične podatke u sopstvene svrhe niti ih prenositi trećim licima, osim ako to dozvoli ovaj DPA. Provajder će odmah obavestiti Siemens ako, prema njegovom mišljenju, uputstvo kompanije Siemens krši važeći zakon o zaštiti podataka.

Detalji o operacijama obrade koje pruža Pružatelj usluga - posebno predmet obrade, priroda i svrha obrade, vrste obrađenih ličnih podataka i kategorije pogođenih subjekata podataka - navedeni su u Aneks I ovom DPA.

Uzimajući u obzir stanje tehnike, troškove implementacije i prirodu, obim, kontekst i svrhe obrade, kao i rizik različite verovatnoće i ozbiljnosti za prava i slobode fizičkih lica, Provajder će primeniti odgovarajuće tehničke i organizacione mere kako bi se osigurao nivo bezbednosti koji odgovara riziku, uključujući, ali ne ograničavajući se na, prema potrebi: (a) pseudonimizaciju i šifrovanje ličnih podataka; b) sposobnost da se obezbedi poverljivost, integritet, dostupnost i otpornost Sistemi i usluge obrade; (c) mogućnost pravovremenog vraćanja dostupnosti i pristupa ličnim podacima u slučaju fizičkog ili tehničkog incidenta; (d) postupak redovnog testiranja, procene i procene efikasnosti tehničkih i organizacionih mera za obezbeđivanje bezbednosti obrade. Ne dovodeći u pitanje opštost prethodne rečenice, Provajder će u svakom trenutku sprovoditi barem tehničke i organizacione mere opisane u Aneks IIovom DPA.

1 Pogledaj https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Provajder će ograničiti pristup ličnim podacima svog osoblja na osnovu potrebe za poznavanjem. Provajder će detaljno obavestiti svoje osoblje o važećim zakonskim i ugovornim odredbama u vezi sa zaštitom podataka. Provajder će staviti svoje osoblje pod obavezu da se pridržava takvih odredbi, a posebno da čuva lične podatke u tajnosti i da ne obrađuje lične podatke osim u skladu sa Siemensovim uputstvima. Obaveza čuvanja tajnosti će se nastaviti primenjivati i nakon isteka ovog Ugovora i ugovornog odnosa osoblja sa Pružateljem usluga. Provajder će dostaviti dokaz o takvoj obavezi na zahtev.

• (a) Provajder ima opšte odobrenje kompanije Siemens za angažovanje podprocesora. Trenutna lista podprocesora koje je naručio Provajder sadržana je u Aneks III ovom DPA.
• (b) Provajder će posebno pismeno obavestiti Siemens o svim planiranim promenama na toj listi dodavanjem ili zamenom Podprocesora najmanje 30 dana unapred. Provajder će Siemensu dostaviti informacije neophodne da bi Siemensu omogućio da ostvari pravo na prigovor. Ako Siemens ne pokaže primedbe u ovom periodu od 30 dana, to će se uzeti kao odobrenje novog podprocesora. Ako Siemens pokaže primedbe, Provajder će - pre nego što ovlašćuje Podprocesora za pristup ličnim podacima - uložiti razumne napore da odgovori na zabrinutosti i rezerve koje je izneo Siemens i (i) suzdržati se od korišćenja podprocesora; ili (ii) predložiti Siemensu razumnu promenu Usluga ili Siemensovoj konfiguraciji ili korišćenju Usluga kako bi se izbegla obrada ličnih podataka od strane novog podprocesora. Ako Provajder nije u mogućnosti da otkloni razloge za prigovor kompanije Siemens, Siemens ima pravo da prekine pogođene Usluge bez ikakve štete ili kazne. U slučaju raskida od strane kompanije Siemens, Provajder će proporcionalno vratiti sve unapred plaćene iznose za važeću Uslugu.
• (c) Kada Provajder angažuje Podprocesora za obavljanje određenih aktivnosti obrade (u ime Siemens-a i/ili ovlašćenih entiteta), on će to učiniti pismenim ugovorom koji u suštini predviđa iste obaveze zaštite podataka kao one koje obavezuju dobavljača prema ovom DPA.
• (d) Provajder će, na zahtev kompanije Siemens, dostaviti kopiju takvog ugovora o podprocesoru i sve naknadne izmjene kompanije Siemens. U meri koja je neophodna za zaštitu poslovnih tajni ili drugih poverljivih informacija, uključujući lične podatke, Dobavljač može da redigira tekst ugovora pre nego što podeli kopiju.
• (e) Provajder će adekvatno i redovno revidirati Podprocesora u pogledu usklađenosti sa ovim zahtevima i dokumentovati rezultate takvih revizija.
• (f) Provajder će ostati u potpunosti odgovoran Siemensu za izvršavanje obaveza Podprocesora iz njegovog ugovora sa Provajderom. Provajder će obavestiti Siemens o svakom neuspehu od strane Podprocesora da ispuni svoje obaveze iz tog ugovora.

U slučaju ograničenih transfera dobavljaču, Provajder će osigurati da takav ograničeni prenos bude pokriven odgovarajućim zaštitnim merama prenosa kako je navedeno u ovom Odeljak 9 i Aneks III ovom DPA.

• (a) Standardne ugovorne klauzule. Sledeće će se primenjivati ako se zaštita od prenosa zasniva na standardnim ugovornim klauzulama:
  • EEA-Provajderi. Ako se dobavljač nalazi u okviru EEA, provajder će sa svojim podprocesorom sklopiti Standardne ugovorne klauzule (Modul 3). Odeljci 9 (a) (vii) („Upravljački zakon“), 9 (a) (viii) („Izbor foruma i nadležnosti“), 9 (a) (ik) (b) („Prvi deo dodatka u Velikoj Britaniji“), i druga rečenica odeljka 9 (a) (k) („Ovlašćeni entiteti u drugim zemljama“) ovog DPA neće se primenjivati ako se Dobavljač nalazi u EGP-u.
  • Provajderi koji nisu EEA. Ako se dobavljač nalazi izvan EEA, ograničeni prenos će biti regulisan modulima 2 i 3 standardnih ugovornih klauzula. Relevantne odredbe sadržane u Standardnim ugovornim klauzulama ugrađene su referencom i sastavni su deo ovog DPA. Informacije potrebne za potrebe Aneksa Standardnih ugovornih klauzula navedene su u Aneksi I do IIIovom DPA.
  • Klauzula o pristajanju. Opcija iz klauzule 7 Standardnih ugovornih klauzula neće se primenjivati.
  • Dalji transferi. Svaki dalji prenos mora biti u skladu sa klauzulama 8 i 9 važećeg modula standardnih ugovornih klauzula. U slučaju da se Siemens nalazi izvan EGP-a i deluje kao uvoznik podataka prema Standardnim ugovornim klauzulama sa ovlašćenim entitetima, klauzula korisnika treće strane propisana klauzulom 9 (e) Standardnih ugovornih klauzula biće u korist takvog ovlašćenog entiteta.
  • Upotreba podprocesoraPrimenjuje se opcija 2 prema klauzuli 9 Standardnih ugovornih klauzula. Za potrebe klauzule 9 (a) Standardnih ugovornih klauzula, dobavljač ima opšte ovlašćenje kompanije Siemens da angažuje podprocesore u skladu sa Odeljak 8 ovog DPA.
  • Nadoknada. U slučaju da Provajder ponudi subjektima podataka mogućnost podnošenja žalbe nezavisnom organu za rešavanje sporova (vidi opciju u klauzuli 11 Standardnih ugovornih klauzula), Provajder će pismeno obavestiti Siemens o nadležnom arbitražnom telu i ispuniti važeće zahteve sadržane u klauzuli 11 Standardnih ugovornih klauzula i važećim arbitražnim pravilima.
  • Upravljački zakon. Regulirajući zakon za potrebe klauzule 17 Standardnih ugovornih klauzula biće zakon koji je određen u odeljku o upravljačkom pravu Sporazuma. Ako Sporazum nije regulisan zakonom države članice EU, standardne ugovorne klauzule EU regulišu se zakonima Nemačke.
  • Izbor foruma i nadležnosti. Sudovi prema klauzuli 18 Standardnih ugovornih klauzula biće oni koji su određeni u odeljku o mestu održavanja Sporazuma. Ako Sporazum ne određuje sud države članice EU kao isključivu nadležnost za rešavanje bilo kojeg spora ili tužbe koji proizilazi iz ili u vezi sa Sporazumom, stranke se slažu da će sudovi Nemačke imati isključivu nadležnost da rešavaju bilo koji spor koji proizilazi iz Standardnih ugovornih klauzula EU.
  • Ovlašćeni entiteti u Ujedinjenom Kraljevstvu. U slučaju da ograničeni transferi potiču od ovlašćenih entiteta koji se nalaze u Ujedinjenom Kraljevstvu, primenjuje se sledeće:
    • Dodatak u Velikoj Britaniji. Upotrebljavaće se dodatak u Velikoj Britaniji, osim ako Siemens nije drugačije pismeno dogovoren.
    • Deo 1 Dodatka u Velikoj Britaniji. Deo 1 Dodatka Ujedinjenog Kraljevstva primenjuje se na sledeći način:
      1. Tabela 1: Detalji strana i ključne kontakt informacije sadržani su u Aneks I ovom DPA.
      2. Tabela 2: Verzija odobrenih SCC-ova EU (kako je definisano Dodatkom u Velikoj Britaniji) kojoj je dodatak u Velikoj Britaniji priložen su standardne ugovorne klauzule EU sa modulima i klauzulama odabranim gore u Odeljak 9 (a) ovog DPA. Nijedan lični podatak primljen od Uvoznika nije kombinovan sa ličnim podacima koje prikuplja Izvoznik.
      3. Tabela 3: Informacije o Dodatku kako zahteva Tabela 3 Dodatka u Velikoj Britaniji sadržane su u Aneksi I do III ovom DPA.
      4. Tabela 4Nijedna strana ne može prekinuti Dodatak u Velikoj Britaniji kada se odobreni dodatak (kako je definisano u Dodatku u Velikoj Britaniji) promeni.
  • Ovlašćeni subjekti u drugim zemljama. U slučaju da standardne ugovorne klauzule štite ograničene transfere od ovlašćenih subjekata koji se nalaze izvan EGP i Ujedinjenog Kraljevstva (npr. Švajcarska), (1) opšte i specifične reference u standardnim ugovornim klauzulama na GDPR ili pravo EU ili države članice imaju isto značenje kao ekvivalentna referenca u važećim zakonima o zaštiti podataka zemlje u kojoj se nalazi ovlašćeni entitet; i (2) reference na „nadležni nadzorni organ“ tumače se kao reference na nadležno zaštita podataka autoritet u takvoj zemlji. Upravno pravo, izbor foruma i nadležnost regulišu se Odeljci 9 (a) (vii) i (viii) ovog DPA, osim ako zakonima koji se primenjuju na odgovarajući ovlašćeni entitet nije drugačije propisano, u tom slučaju Standardne ugovorne klauzule će biti regulisane zakonima zemlje u kojoj se nalazi ovlašćeni entitet, a svako upućivanje na nadležne „sudove“ će se tumačiti kao upućivanje na nadležne sudove u toj zemlji.
• Korporativna Rules koja obavezuju procesor. Sledeće će se primenjivati ako se zaštita od prenosa zasniva na korporativnim pravilima obavezujućih procesora: Provajder će ugovorno obavezati takvog podprocesora da se pridržava korporativnih Rules obavezujućih procesora u vezi sa ličnim podacima koji se obrađuju prema ovom DPA.
• Dodatne mere zaštite od transfera. U slučaju da zaštitne mere prenosa nisu zasnovane na standardnim ugovornim klauzulama, klauzula 14 i 15 Standardnih ugovornih klauzula primjenjuju se mutatis-mutandis na ograničene transfere u okviru takve druge zaštite od transfera, osim ako odgovarajuća zaštita od prenosa sadrži ista prava i obaveze koje se odnose na (i) lokalne zakone i prakse koje utiču na poštovanje zaštitnih mera prenosa i (ii) obaveze u slučaju pristupa javnih organa kao što su sadržane u klauzulama 14 i 15 Standardnih ugovornih klauzula.
• Ostalo. Provajder se slaže i razume da lokalni važeći zakon o zaštiti podataka može sadržati slična ili dodatna ograničenja prenosa koja su sadržana u ovom Odeljak 9. U tom slučaju Dobavljač pristaje da uloži razumne napore i da sarađuje sa Siemens u dobroj veri kako bi se pozabavio tim zahtevima.

Provajder će razumno pomoći Siemensu u obezbeđivanju usklađenosti sa važećim Zakonom o zaštiti podataka, posebno pomažući Siemensu na sledeći način:

• (a) Ispravljanje, brisanje ili ograničenje obrade. Provajder će ili (i) pružiti mogućnost ispravljanja, brisanja ili ograničavanja obrade ličnih podataka putem funkcionalnosti Usluga, ili (ii) ispraviti, izbrisati ili ograničiti obradu ličnih podataka prema uputstvima kompanije Siemens.
• (b) Pristup ličnim podacima. U meri u kojoj informacije koje se odnose na subjekta podataka nisu dostupne putem Usluge, Dobavljač će, po potrebi da omogući Siemensu i ovlašćenim subjektima da ispune svoje obaveze prema važećim zakonima o zaštiti podataka, pružiti pomoć da takve informacije učine dostupnim Siemensu i/ili ovlašćenim entitetima.
• (c) Zahtevi subjekta podataka i autoriteta. Provajder će odmah obavestiti Siemens o: (i) bilo kom primljenom zahtevu ili žalbi ili bilo kojim obaveštenjima o istrazi od strane sprovođenja zakona, vladinog ili regulatornog organa ili agencije; i (ii) svakom zahtevu primljenom direktno od bilo kog subjekta podataka o njihovim ličnim podacima. Što se tiče gore navedenih (i) i (ii), Provajder neće odgovoriti bez uputstava kompanije Siemens. Ako je tako upućeno, Provajder će razumno podržati Siemens u odgovoru na takve zahteve.
• (d) Prenosivost podataka. Na zahtev kompanije Siemens i ako je to potrebno prema važećem Zakonu o zaštiti podataka, dobavljač će ili (i) pružiti mogućnost izvlačenja ličnih podataka pozivanjem na određenog subjekta podataka u skladu sa funkcionalnostima Usluge ili (ii) učiniti relevantni skup podataka dostupnim Siemensu i/ili odgovarajućem ovlašćenom entitetu, u svakom slučaju u strukturiranom, uobičajenom i mašinski čitljivom formatu.
• (e) Procene uticaja na zaštitu podataka. Ako to zatraži Siemens, Provajder će pružiti sve informacije i razumnu podršku za sprovođenje procena uticaja na zaštitu podataka u skladu sa važećim zakonima o zaštiti podataka.

Nakon prestanka odnosa obrade podataka, osim ako Siemens nije drugačije naložio ili nije ovde navedeno, Provajder će Siemensu vratiti sve lične podatke koji su stavljeni na raspolaganje Dobavljaču usluga ili koje je Dobavljač dobio ili generisao u vezi sa ugovorno dogovorenim Uslugama i neopozivo će izbrisati ili uništiti sve preostale podatke. Brisanje ili uništavanje će biti potvrđeno od strane Pružatelja pismenim putem na zahtev.

• (a) Provajder će odmah obavestiti Siemens, ali u svakom slučaju u roku od 48 sati u slučaju da Provajder otkrije ili opravdano posumnja na bilo kakvo kršenje podataka.
• (b) U obaveštenju Siemensu, Provajder će Siemensu dostaviti sledeće informacije: (i) detalje o kontakt tački gde se (ili od koga) može dobiti više informacija, (ii) opis prirode povrede (uključujući, gde je to moguće, imena, kategorije i približan broj predmetnih subjekata podataka i evidencije o ličnim podacima), (iii) moguće posledice i mere preduzete ili predložene za rešavanje povrede, uključujući, kada je to prikladno, mere za njegovo moguće ublažavanje štetni efekti. Ako i u meri u kojoj nije moguće istovremeno pružiti sve informacije, početno obaveštenje sadrži informacije koje su tada dostupne, a dodatne informacije će se, kako postanu dostupne, naknadno dostavljati bez nepotrebnog odlaganja.
• (c) Sva obaveštenja pod ovim Odeljak 12 biće upućen (i) na odgovarajuću kontaktnu tačku utvrđenu u Sporazumu i (ii) da dataprotection@siemens.com.
• (d) Provajder će, po trošku i trošak Provajdera, (i) u potpunosti sarađivati sa Siemensom u istrazi kršenja podataka; (ii) pomoći i sarađivati sa Siemensom u vezi sa svim zakonski potrebnim obaveštenjima ili otkrivanjima pogođenim osobama (individualnom komunikacijom, javnom komunikacijom putem medija ili sličnim merama), organima zakona, regulatorima i/ili drugim trećim licima; i (iii) preduzeti bilo koju drugu radnju koju Siemens smatra neophodnim u vezi sa takvim kršenjem podataka i bilo kojim sporom, istragom ili zahtevom koji se odnosi na kršenje podataka.
• (e) Osim ako važeći zakon ili nalog nadležnog regulatora ne nalaže drugačije, Siemens će doneti konačnu odluku, po sopstvenom nahođenju, (i) da li je za kršenje podataka potrebno obaveštenje i (ii) o načinu obaveštenja. U slučaju da Provajder pruži takva obaveštenja u vezi sa kršenjem podataka, sva takva obaveštenja mora unapred odobriti Siemens.
• (f) Provajder će na svoju cenu preduzeti odgovarajuće mere za rešavanje povrede podataka, uključujući mere za ublažavanje njegovih štetnih efekata (uključujući korake za zaštitu operativnog okruženja). Provajder će takođe preduzeti brze korake osmišljene da spreči ponavljanje bilo kakvog kršenja podataka, uključujući sve radnje koje zahteva važeći zakon o zaštiti podataka.
• (g) Provajder će nadoknaditi Siemensu sve troškove i troškove nastale za takvo kršenje podataka prouzrokovano od strane provajdera, uključujući, ali ne ograničavajući se na troškove pružanja kreditnog nadzora pojedincima na čije lične podatke utiče povreda podataka. Ograničenja odgovornosti u korist dobavljača prema Ugovoru neće se primenjivati u ovom pogledu.

• (a) Dobavljač će (i) nadgledati, odgovarajućim sredstvima, sopstveno poštovanje svojih obaveza zaštite podataka u skladu sa ovim DPA i važećim Zakonom o zaštiti podataka; (ii) kreira povezane periodične (najmanje godišnje) i izveštaje zasnovane na prilikama (svaki a“Izveštaj„); i (iii) učiniti Izveštaje dostupnim Siemensu i ovlašćenim entitetima na zahtev. Tamo gde kontrolni standard i okvir koji sprovodi Provajder predviđaju kontrole, takve kontrole će se vršiti u skladu sa standardima i pravilima regulatornog ili akreditacionog tela za svaki primenljivi kontrolni standard ili okvir.
• (b) Ako je potrebno adekvatno rešiti svoja prava i obaveze revizije prema važećem Zakonu o zaštiti podataka, važećim zaštitnim merama prenosa ili ako to zatraži nadležni organ za zaštitu podataka ili drugi nadležni državni organ ili agencija, dobavljač će Siemensu i ovlašćenim subjektima - pored Izveštaja - staviti na raspolaganje sve dodatne informacije koje razumno traži i doprinosi revizijama, uključujući inspekcije koje sprovode Siemens ili ovlašćeni subjekti. U tu svrhu, Siemens, ovlašćeni subjekti ili drugi revizor koji je naložio Siemens ili ovlašćeni entiteti takođe imaju pravo da izvrše inspekcije na licu mesta tokom redovnog radnog vremena, bez ometanja poslovanja dobavljača i nakon razumnog prethodnog obaveštenja.

Ako Usluga koristi cookies ili slične tehnologije, primenjuje se sledeće: Provajder će, osim ako Siemens posebno ne dogovori drugačije u odnosu na ovo Odeljak 14, samo čuvaju informacije (npr. pisanjem cookie) ili dobijaju pristup informacijama koje su već sačuvane u terminalnoj opremi korisnika Usluge (npr. putem cookie) isključivo u svrhu obavljanja prenosa komunikacije preko elektronske komunikacione mreže, ili kako je to neophodno da bi Pružatelj pružio osnovne funkcionalnosti Usluga.

Provajder razume i slaže se da su zahtevi u ovom DPA sastavni deo Sporazuma i da će se materijalno kršenje bilo kog od ovih zahteva smatrati materijalnim kršenjem od strane Dobavljača Sporazuma, dajući Siemens pravo na materijalne pravne lekove povezane sa kršenjem sadržane u Sporazumu.

Ako i u meri u kojoj Provajder pristupa ličnim podacima dobijenim od kompanije Siemens grupe sa sjedištem u Sjedinjenim Američkim Državama (“Siemensova američka kompanija„) ili subjekta podataka koji je rezident Sjedinjenih Američkih Država, onda pored gore navedenog, Provajder: (i) će se pridržavati američkih saveznih, državnih i lokalnih zakona u vezi sa ličnim podacima koji su primenljivi na dobavljača, takve lične podatke i vlasnike ili kontrolore takvih ličnih podataka; kada je gore navedeno primenljivo, termin „Primenljivi zakon o zaštiti podataka“ koji se ovde koristi uključuje gore navedene zakone; (ii) osim ako je ovde posebno predviđeno u Sporazumu, neće prodavati, deliti, iznajmljivati, objavljivati, objavljivati, širiti ili stavljati na raspolaganje Lične podatke trećim licima; i neće kombinovati lične podatke sa drugim informacijama; (iii) obavestiće Siemens ako Provajder odluči da dobavljač više ne može da ispunjava svoje obaveze iz ovoga; (iv) će osigurati da svako lice koje obrađuje lične podatke podleže dužnosti poverljivosti u pogledu ličnih podataka; (v) će se smatrati i delovati kao „dobavljač usluga“ prema važećem Zakonu o zaštiti podataka (uključujući Kalifornijski Zakon o privatnosti potrošača, njegove propise o sprovođenju i sve njihove izmene); i (vii) ovim potvrđuje da razume ograničenja sadržana ovde i da će ih se pridržavati.

Aneks I DPA (i, gde je primenljivo, Standardne ugovorne klauzule)

A.SPISAK STRANAKA

Primalac usluga/izvoznik podataka:

Provajder/uvoznik podataka:

B.OPIS OPERACIJA PRENOSA/OBRADE

C.NADLEŽNI NADZORNI ORGAN

Ako je Siemens osnovan u državi članici EU, nadzorni organ koji je odgovoran za obezbeđivanje poštovanja GDPR-a od strane Siemensa u pogledu prenosa podataka deluje kao nadležni nadzorni organ. Za Siemens Aktiengesellschaft, Nemačka, nadzorni organ je:

Bajerski teritorij za pouzdanje podataka (BaiLDA)

Šetalište 18

91522 Ansbah

Nemačka

Ako Siemens nema poslovni nastan u državi članici EU, ali spada u teritorijalni opseg primene GDPR-a u skladu sa članom 3 (2), nadzorni organ države članice u kojoj je predstavnik u smislu člana 27 (1) GDPR-a deluje kao nadležni nadzorni organ; i to:

Bajerski teritorij za pouzdanje podataka (BaiLDA)

Šetalište 18

91522 Ansbah

Nemačka

Aneks II DPA (i, gde je primenljivo, Standardne ugovorne klauzule)

Tehničke i organizacione mere (uključujući tehničke i organizacione mere za obezbeđivanje sigurnosti podataka)

Sledeće mere će se primenjivati samo na Dobavljača, ukoliko su osnovni IT sistemi, mreže i aplikacije odgovorni i/ili pod skrbništvom ili kontrolom Dobavljača. Opis tehničkih i organizacionih mera bezbednosti koje sprovodi Provajder i njegovi podprocesori:

Aneks III DPA (i, gde je primenljivo, Standardne ugovorne klauzule)

SPISAK PODPROCESORA I LOKACIJA DATA CENTRA

„Obrazac za autorizaciju partnera“ navodi

Entiteti (uključujući Partnera i podprocesore) koji se bave skladištenjem/hostingom ličnih podataka,

Primenljive lokacije centra podataka,

Podprocesori koji se bave obradom ličnih podataka u svrhe neskladištenja/hostinga,

koji su ovde uključeni ovom referencom.

Provajder neće prenositi lične podatke sa odgovarajuće lokacije Data Centra bez Simensovog pristanka. Mehanizam obaveštavanja i prigovora sadržan u Odeljak 8 neće se primenjivati u tom pogledu.