Tillägg till dataskydd för partners

Detta tillägg till dataskydd för partners (”DPA”) är en del av Partnerprogramavtalet (”Avtal”) och anger ytterligare villkor för behandling av personuppgifter. Termer med stora bokstäver har den betydelse som definieras i nästa avsnitt i detta dokument eller någon annanstans i avtalet. Om det finns en konflikt mellan villkoren i denna DPA och andra villkor i avtalet, kommer denna DPA att ha företräde. I denna DPA avses med ”Leverantör” Partner.

• (a) ”Tillämplig dataskyddslagstiftning” betyder all tillämplig lag som rör behandling av personuppgifter enligt avtalet, inklusive, men inte begränsat till, (i) för personuppgifter som härrör från en auktoriserad enhet belägen inom EES, den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”), och (ii) för personuppgifter som härrör från en auktoriserad enhet i Storbritannien, Storbritanniens GDPR och UK Data Protection Act 2018.
• (b) ”Auktoriserad enhet” avser varje enhet (inklusive Siemens och dess koncernföretag) som agerar som Controller och som enligt avtalet har rätt att direkt eller indirekt få tillgång till eller använda Tjänsterna.
• (c) ”Controller” avser den fysiska eller juridiska person som, ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter.
• d) ”Land med ett beslut om adekvat skyddsnivå” betyder alla länder för vilka EU-kommissionen har beslutat att ett sådant land säkerställer en adekvat nivå av dataskydd och för personuppgifter som härrör från Storbritannien, alla länder för vilka brittiska adekvat skyddsregler har fastställts enligt avsnitt 17A eller 74A i dataskyddslagen 2018.
• (e) ”Dataintrång” avser varje brott mot säkerheten (i) som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas, eller (ii) skulle kräva anmälan om en sådan händelse till någon tredje part enligt tillämplig lag.
• f) ”EES” Det betyder Europeiska ekonomiska samarbetsområdet.
• (g) ”EU:s standardavtalsklausuler” innebär standardavtalsklausulerna (EU) 2021/914.
• (h) ”Ursprungsområde” avser EES, Storbritannien, Schweiz och varje land med liknande adekvatetskrav som i artikel 45 och följande artiklar. GDPR.
• (i) ”Personuppgifter” : all information som rör en identifierad eller identifierbar fysisk person; en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.
• (j) ”Bearbetning” (och dess andra former såsom process, processer, bearbetade) avser varje operation eller uppsättning operationer som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om det sker på automatiserade sätt, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, avslöjande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse.
• (k) ”Processor” avser en fysisk eller juridisk person, offentlig myndighet, byrå eller något annat organ som behandlar personuppgifter på uppdrag av en Controller.
• (l) ”Processor Binding Corporate Rules” innebär bindande företagsregler för personuppgiftsbiträden som godkänts av den behöriga tillsynsmyndigheten.
• (m) ”Begränsade personuppgifter” innebär alla personuppgifter som härrör från en auktoriserad enhet belägen inom ett ursprungsområde.
• (n) ”Begränsad överföring (er)” avser all behandling (inklusive överföringar, internationell åtkomst och vidare överföringar) av Begränsade personuppgifter av Leverantören eller någon av dess underbehandlare utanför det relevanta ursprungsområdet.
• (o) ”Tjänster” avser Tjänsterna enligt Avtalet som tillhandahålls av Leverantören som agerar i sin roll som personuppgiftsbiträde i den mening som avses i denna DPA.
• (p) ”Standardavtalsklausuler” innebär EU:s standardavtalsklausuler och Storbritanniens standardavtalsklausuler.
• (q) ”Underprocessor (er)” avser varje ytterligare personuppgiftsbiträde som är engagerad i utförandet av tjänsterna.
• (r) ”Överföringsskydd” ska innebära lämpliga skyddsåtgärder för begränsade överföringar som krävs enligt tillämplig dataskyddslagstiftning, inklusive utan begränsning alla lämpliga skyddsåtgärder som krävs enligt artikel 46 GDPR.
• (s) ”Storbritanniens GDPR” innebär GDPR som införlivad i Storbritanniens lag i kraft av avsnitt 3 i Storbritanniens lag om Europeiska unionen (utträde) 2018.
• (t) ”Storbritanniens standardavtalsklausuler” betyder sådana standardklausuler för dataskydd som antagits från tid till annan av UK Information Commissioners Office (ICO) i enlighet med artikel 46 (2) i Storbritanniens GDPR inklusive, men inte begränsat till, det internationella dataöverföringsavtalet (UK IDTA), och EU: s standardavtalsklausuler som ändrats genom ICO:s internationella dataöverföringstillägg till EU-kommissionens standardavtalsklausuler (”UK Addendum”). [1]

1 Se https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Parterna ska följa tillämplig dataskyddslagstiftning som de gäller för dem och som krävs häri. Vid tillhandahållandet av Tjänster ska Leverantören särskilt följa bestämmelserna i Tillämplig Dataskyddslagstiftning om behandling av personuppgifter som personuppgiftsbiträde.

Leverantören ska endast behandla personuppgifter (a) i enlighet med villkoren i denna DPA och Avtalet; eller (b) på andra dokumenterade instruktioner från Siemens. Leverantören får inte behandla personuppgifter för egna ändamål eller överföra dem till tredje part, såvida det inte tillåts av denna DPA. Leverantören ska omedelbart informera Siemens om en instruktion från Siemens anser att en instruktion bryter mot tillämplig dataskyddslagstiftning.

Detaljerna om de bearbetningsåtgärder som tillhandahålls av leverantören - särskilt föremålet för behandlingen, arten och syftet med behandlingen, typer av personuppgifter som behandlas och kategorierna av berörda registrerade - specificeras i Bilaga I till denna DPA.

Med hänsyn till den senaste tekniken, kostnaderna för genomförandet och arten, omfattningen, sammanhanget och syftena med behandlingen samt risken med varierande sannolikhet och allvar för fysiska personers rättigheter och friheter, ska Leverantören vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken, inklusive, men inte begränsat till, i förekommande fall: (a) pseudonymisering och kryptering av personuppgifter; (b) förmågan att säkerställa löpande konfidentialitet, integritet, tillgänglighet och motståndskraft för Behandlingssystem och tjänster; (c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rätt tid i händelse av en fysisk eller teknisk incident; (d) en process för regelbunden testning, bedömning och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten för behandlingen. Utan att det påverkar generaliteten i föregående mening ska leverantören alltid genomföra åtminstone de tekniska och organisatoriska åtgärder som beskrivs i Bilaga IItill denna DPA.

1 Se https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Leverantören ska begränsa personalens tillgång till personuppgifter på en behovsbaserad basis. Leverantören ska informera sin personal i detalj om tillämpliga lagstadgade och avtalsbestämmelser om dataskydd. Leverantören ska ålägga sin personal en skyldighet att följa sådana bestämmelser och i synnerhet att hålla personuppgifter hemliga och att inte behandla personuppgifter annat än enligt Siemens instruktioner. Sekretessskyldigheten fortsätter att gälla efter utgången av detta avtal och personalens avtalsförhållande med leverantören. Leverantören kommer att tillhandahålla bevis på sådan skyldighet på begäran.

• (a) Leverantören har Siemens allmänna auktorisation för anställning av underbiträden. En aktuell lista över underprocessorer som beställts av leverantören finns i Bilaga III till denna DPA.
• (b) Leverantören ska uttryckligen skriftligen informera Siemens om eventuella planerade ändringar av denna lista genom tillägg eller utbyte av underleverantörer minst 30 dagar i förväg. Leverantören ska förse Siemens med den information som krävs för att Siemens ska kunna utöva sin rätt att göra invändningar. Om Siemens inte gör några invändningar inom denna 30-dagarsperiod ska detta betraktas som ett godkännande av den nya underleverantören. Om Siemens gör invändningar kommer Leverantören - innan den ger Underbiträdet tillstånd att få tillgång till Personuppgifter - vidta rimliga ansträngningar för att ta itu med de farhågor och reservationer som uttryckts av Siemens och (i) avstå från att använda Underbiträdet; eller (ii) föreslå Siemens en rimlig ändring av tjänsterna eller Siemens konfiguration eller användning av tjänsterna för att undvika behandling av personuppgifter av den nya underbiträdet som invänts mot. Om Leverantören inte kan undanröja grunderna för Siemens invändning har Siemens rätt att säga upp de berörda tjänsterna utan några skador eller påföljder. Vid uppsägning av Siemens kommer Leverantören att återbetala eventuella förbetalda belopp för den tillämpliga Tjänsten på proportionell basis.
• (c) Om leverantören anlitar ett underbiträde för att utföra specifika behandlingsaktiviteter (på uppdrag av Siemens och/eller auktoriserade enheter), ska leverantören göra det genom ett skriftligt avtal som i huvudsak föreskriver samma dataskyddsskyldigheter som de som är bindande för leverantören enligt denna dataskyddspolicy.
• (d) Leverantören ska, på Siemens begäran, tillhandahålla en kopia av ett sådant underleverantörsavtal och eventuella senare ändringar till Siemens. I den utsträckning det är nödvändigt för att skydda affärshemligheter eller annan konfidentiell information, inklusive personuppgifter, kan leverantören redigera avtalstexten innan en kopia delas.
• (e) Leverantören ska på ett adekvat och regelbundet sätt granska underbiträdet med avseende på efterlevnaden av dessa krav och dokumentera resultaten av sådana revisioner.
• (f) Leverantören förblir fullt ansvarig gentemot Siemens för fullgörandet av Underprocessorns skyldigheter enligt avtalet med Leverantören. Leverantören ska informera Siemens om underbiträdets underlåtenhet att uppfylla sina skyldigheter enligt avtalet.

Vid Begränsade Överföringar till Leverantören ska Leverantören säkerställa att sådan Begränsad Överföring täcks av adekvata Överföringsskyddsåtgärder som anges i denna Avsnitt 9 och Bilaga III till denna DPA.

• (a) Standardavtalsklausuler. Följande gäller om ett överföringsskydd baseras på standardavtalsklausulerna:
  • EEA-Leverantörer. Om leverantören är belägen inom EES ska leverantören ingå standardavtalsklausulerna (modul 3) med sin underbiträde. Avsnitt 9 a vii (”Gällande lag”), 9a (viii) (”Val av forum och jurisdiktion”) 9 (a) (ix) (b) (”Del 1 i Förenade kungarikets tillägg”), och Andra meningen i avsnitt 9 a x (”Auktoriserade enheter i andra länder”) i denna DPA gäller inte om leverantören är belägen i EES.
  • Leverantörer utanför EES. Om leverantören är belägen utanför EES ska den begränsade överföringen regleras av modulerna 2 och 3 i standardavtalsklausulerna. De relevanta bestämmelserna i standardavtalsklausulerna införlivas genom hänvisning och utgör en integrerad del av denna dataskyddspolicy. Den information som krävs för tillämpningen av bilagorna till standardavtalsklausulerna anges i Bilagorna I—IIItill denna DPA.
  • Dockningsklausul. Alternativet enligt klausul 7 i standardavtalsklausulerna gäller inte.
  • Vidareöverföringar. All vidare överföring måste följa klausulerna 8 och 9 i tillämplig modul i standardavtalsklausulerna. Om Siemens är beläget utanför EES och agerar som dataimportör enligt standardavtalsklausuler med auktoriserade enheter, ska tredjepartsmottagarklausulen som anges i klausul 9 (e) i standardavtalsklausulerna vara till förmån för sådan auktoriserad enhet.
  • Användning av underprocessorerAlternativ 2 enligt klausul 9 i standardavtalsklausulerna ska tillämpas. I enlighet med klausul 9 (a) i standardavtalsklausulerna har leverantören Siemens allmänna tillstånd att anlita underbiträden i enlighet med Sektion 8 av denna DPA.
  • Upprättande. Om Leverantören erbjuder registrerade möjlighet att lämna in ett klagomål till ett oberoende tvistlösningsorgan (se alternativet i klausul 11 i standardavtalsklausulerna), ska Leverantören skriftligen informera Siemens om det ansvariga skiljeorganet och följa de tillämpliga kraven i klausul 11 i standardavtalsklausulerna och tillämpliga skiljedomsregler.
  • Gällande lag. Den tillämpliga lagen för tillämpningen av klausul 17 i standardavtalsklausulerna ska vara den lag som anges i avsnittet om tillämplig lag i avtalet. Om avtalet inte regleras av en EU-medlemsstats lagstiftning ska EU:s standardavtalsklausuler regleras av lagarna i Tyskland.
  • Val av forum och jurisdiktion. Domstolarna enligt klausul 18 i standardavtalsklausulerna ska vara de som anges i avsnittet om plats i avtalet. Om avtalet inte utser en EU-medlemsstats domstol som har exklusiv behörighet att lösa tvister eller rättegångar som uppstår till följd av eller i samband med avtalet, är parterna överens om att domstolarna i Tyskland ska ha exklusiv behörighet att lösa eventuella tvister som härrör från EU:s standardavtalsklausuler.
  • Auktoriserade enheter i Storbritannien. Om Begränsade överföringar härrör från auktoriserade enheter belägna i Förenade kungariket ska följande gälla:
    • UK Addendum. Det brittiska tillägget ska användas, om inte annat skriftligen avtalats av Siemens.
    • Del 1 i UK Addendum. Del 1 i Förenade kungarikets tillägg ska tillämpas på följande sätt:
      1. Tabell 1: Parternas uppgifter och viktiga kontaktuppgifter finns i Bilaga I till denna DPA.
      2. Tabell 2: Den version av de godkända EU SCC: erna (enligt definitionen i UK Addendum) som UK Addendum bifogas, är EU:s standardavtalsklausuler med de moduler och klausuler som valts ovan i Avsnitt 9 a av denna DPA. Inga personuppgifter som erhållits från Importören kombineras med personuppgifter som samlats in av exportören.
      3. Tabell 3: Tilläggsinformation enligt tabell 3 i Förenade kungarikets tillägg finns i Bilagorna I—III till denna DPA.
      4. Tabell 4Ingen av parterna får säga upp det brittiska tillägget när det godkända tillägget (enligt definitionen i det brittiska tillägget) ändras.
  • Auktoriserade enheter i andra länder. Om standardavtalsklausulerna skyddar begränsade överföringar från auktoriserade enheter belägna utanför EES och Storbritannien (t.ex. Schweiz) ska (1) allmänna och specifika hänvisningar i standardavtalsklausulerna till GDPR eller EU- eller medlemsstatslagstiftningen ha samma betydelse som motsvarande hänvisning i tillämpliga dataskyddslagar i det land där den auktoriserade enheten är belägen, beroende på vad som är tillämpligt; och (2) hänvisningar till ”behörig tillsynsmyndighet” ska tolkas som hänvisningar till behörig tillsynsmyndighet dataskydd myndighet i ett sådant land. Gällande lag, val av forum och jurisdiktion ska regleras av Avsnitt 9 a vii och (viii) av denna DPA, såvida inte annat krävs enligt de lagar som är tillämpliga på respektive auktoriserade enhet, i vilket fall standardavtalsklausulerna ska regleras av lagarna i det land där den auktoriserade enheten är belägen och alla hänvisningar till behöriga ”domstolar” ska tolkas som hänvisningar till behöriga domstolar i det landet.
• Processor Binding Corporate Rules. Följande ska gälla om ett överföringsskydd baseras på Processor Binding Corporate Rules: Leverantören ska avtalsenligt binda sådan underbiträde att följa Processor Binding Corporate Rules med avseende på de personuppgifter som behandlas enligt denna DPA.
• Ytterligare skyddsåtgärder för överföring. Om en skyddsåtgärd för överföring inte baseras på standardavtalsklausuler ska klausulerna 14 och 15 i standardavtalsklausulerna gälla mutatis-mutandis för begränsade överföringar enligt sådana andra överföringsskydd, såvida inte respektive överföringsskydd i sak innehåller samma rättigheter och skyldigheter avseende (i) lokala lagar och praxis som påverkar efterlevnaden av skyddsåtgärderna för överföring och (ii) skyldigheter vid åtkomst av offentliga myndigheter som anges i klausulerna 14 och 15 i standardavtalsklausulerna.
• Övrigt. Leverantören samtycker till och förstår att lokal tillämplig dataskyddslagstiftning kan innehålla liknande eller ytterligare överföringsbegränsningar som anges i denna Avsnitt 9. I sådana fall samtycker leverantören till att vidta rimliga ansträngningar och att samarbeta med Siemens i god tro för att uppfylla dessa krav.

Leverantören ska på ett rimligt sätt hjälpa Siemens att säkerställa efterlevnad av tillämplig dataskyddslagstiftning, särskilt genom att bistå Siemens enligt följande:

• (a) Korrigering, radering eller begränsning av behandling. Leverantören ska antingen (i) ge möjlighet att korrigera, radera eller begränsa behandlingen av personuppgifter via funktionerna i tjänsterna, eller (ii) korrigera, radera eller begränsa behandlingen av personuppgifter enligt instruktioner från Siemens.
• (b) Tillgång till personuppgifter. I den utsträckning information om en registrerad inte är tillgänglig via Tjänsten, kommer Leverantören, i den mån det är nödvändigt för att Siemens och Auktoriserade Enheter ska kunna uppfylla sina skyldigheter enligt gällande dataskyddslagar, bistå med att göra sådan information tillgänglig för Siemens och/eller auktoriserade enheter.
• (c) Registrerade och myndighetsförfrågningar. Leverantören ska omedelbart underrätta Siemens om: (i) varje begäran eller klagomål som mottagits eller meddelanden om utredning av en brottsbekämpande, statlig eller tillsynsmyndighet eller myndighet; och (ii) varje begäran som mottagits direkt från en registrerad om deras personuppgifter. Med avseende på (i) och (ii) ovan ska Leverantören inte svara utan instruktioner från Siemens. Om så instrueras ska Leverantören rimligen stödja Siemens i att besvara sådana förfrågningar.
• (d) Dataportabilitet. På Siemens begäran och om det krävs enligt tillämplig dataskyddslagstiftning kommer Leverantören antingen (i) att tillhandahålla möjligheten att extrahera personuppgifter med hänvisning till en specifik registrerad i enlighet med Tjänstens funktioner eller (ii) göra relevant uppsättning data tillgänglig för Siemens och/eller respektive auktoriserade enhet, i varje fall i ett strukturerat, allmänt använt och maskinläsbart format.
• (e) Konsekvensbedömningar av dataskydd. På begäran av Siemens ska leverantören tillhandahålla all information och rimligt stöd för att utföra konsekvensbedömningar av dataskydd enligt tillämplig dataskyddslagstiftning.

Vid uppsägning av databehandlingsförhållandet, såvida inte annat anges av Siemens eller anges häri, ska Leverantören återlämna alla personuppgifter som gjorts tillgängliga för Leverantören eller erhållits eller genererats av Leverantören i samband med de avtalsenliga tjänsterna till Siemens och ska oåterkalleligt radera eller förstöra återstående data. Raderingen eller förstörelsen ska bekräftas skriftligen av Leverantören på begäran.

• (a) Leverantören ska meddela Siemens omedelbart men under alla omständigheter inom 48 timmar om leverantören upptäcker eller rimligen misstänker något dataintrång.
• (b) I anmälan till Siemens ska Leverantören förse Siemens med följande information: (i) uppgifter om en kontaktpunkt där (eller från vem) mer information kan erhållas, (ii) en beskrivning av överträdelsens art (inklusive, om möjligt, namn, kategorier och ungefärligt antal berörda registrerade och personuppgifter), (iii) de sannolika konsekvenserna och de åtgärder som vidtagits eller föreslagits för att åtgärda överträdelsen, inklusive i förekommande fall åtgärder för att minska överträdelsen dess möjliga negativa effekter. Om och i den mån det inte är möjligt att tillhandahålla all information samtidigt, ska den första anmälan innehålla den information som då var tillgänglig och ytterligare information ska, när den blir tillgänglig, lämnas därefter utan onödigt dröjsmål.
• (c) Eventuella anmälningar enligt detta Avsnitt 12 ska skickas i) till respektive kontaktpunkt som anges i avtalet och ii) dataprotection@siemens.com.
• (d) Leverantören ska, på Leverantörens bekostnad och bekostnad, (i) samarbeta fullt ut med Siemens i utredningen av ett dataintrång; (ii) bistå och samarbeta med Siemens i samband med eventuella lagstadgade meddelanden eller avslöjanden till berörda personer (genom individuell kommunikation, offentlig kommunikation via media eller liknande åtgärder), brottsbekämpande myndigheter, tillsynsmyndigheter och/eller andra tredje parter; och (iii) vidta andra åtgärder som Siemens anser nödvändiga i samband med sådant dataintrång och eventuella tvister, utredning eller anspråk som rör dataintrånget.
• (e) Om inte tillämplig lag eller ett beslut från en behörig tillsynsmyndighet kräver något annat, ska Siemens efter eget gottfinnande fatta det slutgiltiga beslutet (i) om ett dataintrång kräver anmälan och (ii) hur anmälan görs. I händelse av att Leverantören lämnar sådana meddelanden om ett dataintrång måste alla sådana meddelanden godkännas i förväg av Siemens.
• (f) Leverantören ska på egen bekostnad vidta lämpliga åtgärder för att hantera dataintrånget, inklusive åtgärder för att mildra dess negativa effekter (inklusive åtgärder för att skydda driftsmiljön). Leverantören ska också vidta snabba åtgärder för att förhindra återkommande dataintrång, inklusive alla åtgärder som krävs enligt tillämplig dataskyddslagstiftning.
• (g) Leverantören ska ersätta Siemens alla kostnader och utgifter som uppkommit för sådant dataintrång orsakat av Leverantören, inklusive men inte begränsat till kostnaderna för att tillhandahålla kreditövervakning till de personer vars personuppgifter påverkades av dataintrånget. Begränsningar av ansvar till förmån för Leverantören enligt Avtalet gäller inte i detta avseende.

• (a) Leverantören ska (i) med lämpliga medel övervaka sin egen efterlevnad av sina dataskyddsskyldigheter enligt denna dataskyddslagstiftning och tillämplig dataskyddslagstiftning; (ii) upprätta relaterade periodiska (åtminstone årliga) och tillfälliga rapporter (var och en a”Rapportera”); och (iii) göra rapporterna tillgängliga för Siemens och auktoriserade enheter på begäran. Om en kontrollstandard och ett kontrollramverk som implementerats av leverantören föreskriver kontroller, kommer sådana kontroller att utföras i enlighet med standarder och regler för reglerings- eller ackrediteringsorganet för varje tillämplig kontrollstandard eller kontrollram.
• (b) Om det krävs för att på ett adekvat sätt tillgodose sina revisionsrättigheter och skyldigheter enligt tillämplig dataskyddslagstiftning, tillämpliga skyddsåtgärder för överföring eller om så begärs av en behörig dataskyddsmyndighet eller annan behörig myndighet eller myndighet, ska leverantören tillhandahålla Siemens och auktoriserade enheter - utöver rapporterna - all ytterligare information som rimligen begärs och möjliggöra och bidra till revisioner, inklusive inspektioner, utförda av Siemens eller auktoriserade enheter eller annan revisor bemyndigad av Siemens eller auktoriserade enheter. För detta ändamål ska Siemens, auktoriserade enheter eller annan revisor bemyndigad av Siemens eller auktoriserade enheter också ha rätt att utföra inspektioner på plats under ordinarie öppettider, utan att störa leverantörens affärsverksamhet, och efter ett rimligt förhandsmeddelande.

Om Tjänsten använder cookies eller liknande teknik gäller följande: Leverantören ska, såvida inte Siemens uttryckligen kommit överens om något annat med hänvisning till detta Avsnitt 14, endast lagra information (t.ex. genom att skriva en cookie) eller få tillgång till information som redan är lagrad i terminalutrustningen hos en användare av Tjänsten (t.ex. via en cookie) för det enda syftet att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät, eller som absolut nödvändigt för att leverantören ska kunna tillhandahålla kärnfunktionerna i tjänsterna.

Leverantören förstår och samtycker till att kraven i denna DPA är en integrerad del av Avtalet och att ett väsentligt brott mot något av dessa krav ska betraktas som en väsentlig överträdelse av Leverantören av Avtalet, vilket ger Siemens rätt till väsentliga överträdelserelaterade åtgärder som ingår i avtalet.

Om och i den utsträckning Leverantören får tillgång till Personuppgifter som erhållits från ett företag i Siemens-koncernen som är etablerat i USA (Siemens amerikanska företag”) eller av en registrerad som är bosatt i USA, då utöver ovanstående ska Leverantören: (i) följa amerikanska federala, statliga och lokala lagar om personuppgifter som är tillämpliga på Leverantören, sådana Personuppgifter och ägare eller personuppgiftsansvariga för sådana personuppgifter; när det föregående är tillämpligt ska termen ”Tillämplig dataskyddslagstiftning” som används häri inkludera föregående lagar; (ii) förutom vad som uttryckligen anges häri eller Avtalet, får inte sälja, dela, hyra ut, offentliggöra, sprida eller göra tillgängligt Personuppgifter till tredje part; och ska inte kombinera Personuppgifterna med annan information; (iii) ska meddela Siemens om Leverantören fastställer att Leverantören inte längre kan uppfylla sina skyldigheter enligt detta; (iv) ska säkerställa att varje person som behandlar personuppgifter omfattas av en sekretessplikt med avseende på personuppgifterna; (v) ska betraktas som och ska agera som en ”tjänsteleverantör” enligt tillämplig dataskyddslagstiftning (inklusive California Consumer Privacy Act) dess tillämpningsföreskrifter och eventuella ändringar av dessa), och vii) intygar härmed att den förstår begränsningarna häri och kommer att följa dem.

Bilaga I till DPA (och, i tillämpliga fall, standardavtalsklausulerna)

A.FÖRTECKNING ÖVER PARTER

Tjänstemottagare/dataexportör:

Leverantör/dataimportör:

B.BESKRIVNING AV ÖVERFÖRINGS-/BEARBETNINGSÅTGÄRDER

C.BEHÖRIG TILLSYNSMYNDIGHET

Om Siemens är etablerat i en EU-medlemsstat ska den tillsynsmyndighet som ansvarar för att Siemens följer GDPR när det gäller dataöverföringen fungera som behörig tillsynsmyndighet. För Siemens Aktiengesellschaft, Tyskland, är tillsynsmyndigheten:

Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Promenad 18

91522 Ansbach

Tyskland

Om Siemens inte är etablerat i en EU-medlemsstat, men omfattas av det territoriella tillämpningsområdet för GDPR i enlighet med artikel 3.2, ska tillsynsmyndigheten i den medlemsstat där företrädaren i den mening som avses i artikel 27.1 i GDPR är etablerad fungera som behörig tillsynsmyndighet, nämligen:

Bayerische Landesamt für Datenschutzaufsicht (BayLDA)

Promenad 18

91522 Ansbach

Tyskland

Bilaga II till DPA (och, i tillämpliga fall, standardavtalsklausulerna)

Tekniska och organisatoriska åtgärder (inklusive tekniska och organisatoriska åtgärder för att säkerställa datasäkerheten)

Följande åtgärder gäller endast Leverantören, i den mån de underliggande IT-systemen, nätverken och applikationerna är leverantörens ansvar och/eller är under leverantörens förvar eller kontroll. Beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som implementeras av leverantören och dess underbiträden (er):