Додаток про захист даних партнерів

Цей Додаток про захист даних партнера (»ДПА») є частиною Угоди про партнерську програму (»Угода») і визначає додаткові умови щодо обробки персональних даних. Терміни з великої літери мають значення, визначене в наступному розділі цього документа або в іншому місці Угоди. Якщо між умовами цієї DPA та будь-якими іншими умовами Угоди існує конфлікт, ця DPA матиме перевагу. Для цілей цього ДПА «Постачальник» означає Партнера.

• (а) «Застосовне законодавство про захист даних» означає все застосовне законодавство, що стосується обробки персональних даних відповідно до Угоди, включаючи, але не обмежуючись цим, (i) щодо Персональних даних, що походять від Уповноваженого суб'єкта, розташованого в ЄЕЗ, Загальний регламент про захист даних (ЄС) 2016/679 (»GDPR») та (ii) для Персональних даних, що надходять від Уповноваженого суб'єкта, розташованого у Великобританії, GDPR Великобританії та Закон про захист даних Великобританії 2018 року.
• (b) «Уповноважена особа» означає будь-яку організацію (включаючи Siemens та її групи компаній), яка виступає в якості Controller і має право відповідно до цієї Угоди прямо чи опосередковано отримувати доступ до Послуг або використовувати їх.
• (c) «Controller» означає фізичну або юридичну особу, яка самостійно або спільно з іншими визначає цілі та засоби обробки персональних даних.
• (d) «Країна з рішенням про адекватність» означає будь-яку країну, для якої Комісія ЄС вирішила, що така країна забезпечує належний рівень захисту даних, а для персональних даних, що походять з Великобританії, будь-яку країну, для якої були прийняті правила адекватності Великобританії відповідно до розділів 17А або 74А Закону про захист даних 2018 року.
• (e) «Порушення даних» означає будь-яке порушення безпеки (i), що призведе до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до Персональних даних, що передаються, зберігаються або обробляються іншим чином, або (ii) вимагатиме повідомлення про таку подію будь-якій третій стороні відповідно до чинного законодавства.
• (f) «ЄЕЗ» означає Європейський економічний простір.
• (g) «Стандартні договірні положення ЄС» означає Стандартні договірні положення (ЄС) 2021/914.
• (h) «Зона походження» означає ЄЕЗ, Великобританію, Швейцарію та кожну країну з аналогічними вимогами адекватності, що містяться в статті 45 та наступні. GDPR.
• (i) «Персональні дані» означає будь-яку інформацію, що стосується ідентифікованої або ідентифікованої фізичної особи; фізична особа, яка може бути ідентифікована, прямо чи опосередковано, зокрема за посиланням на ідентифікатор, такий як ім'я, ідентифікаційний номер, дані про місцезнаходження, онлайн-ідентифікатор або один або кілька факторів, характерних для фізичної, фізіологічної, генетичної, психічної, економічної, культурної чи соціальної ідентичності цієї фізичної особи.
• (j) «Обробка» (та інші його форми, такі як Процес, Процеси, Обробка) означає будь-яку операцію або комплекс операцій, які виконуються з Персональними даними або наборами Персональних даних, незалежно від того, чи є автоматизованими засобами, такими як збір, запис, організація, структурування, зберігання, адаптація або зміна, пошук, консультація, використання, розкриття шляхом передачі, поширення або надання іншим чином, узгодження або поєднання, обмеження, стирання чи знищення.
• (k) «Процесор» означає фізичну або юридичну особу, державний орган, агентство або будь-який інший орган, який обробляє персональні дані від імені Controller.
• (l) «Обов'язкові корпоративні правила процесора» означає обов'язкові корпоративні правила для переробників, затверджені компетентним наглядовим органом.
• (m) «Обмежені персональні дані» означає будь-які Персональні дані, що походять від Уповноваженого суб'єкта, розташованого в зоні походження.
• (n) «Обмежена передача (и)» означає будь-яку обробку (включаючи передачу, міжнародний доступ та подальші передачі) Обмежених Персональних даних Постачальником або будь-яким його Субпроцесором за межами відповідної зони походження.
• (o) «Послуги» означає Послуги згідно з Угодою, що надаються Постачальником, який виконує свою роль Оператора у значенні цієї Угоди.
• (p) «Стандартні договірні положення» означає Стандартні договірні положення ЄС та Стандартні договірні положення Великобританії.
• (q) «Субпроцесор (и)» означає будь-який подальший Оператор, який бере участь у виконанні Послуг.
• (r) «Захист (и) передачі» означає відповідні гарантії щодо обмежених передач, як це вимагається Застосовним Законом про захист даних, включаючи, без обмежень, будь-які відповідні гарантії, які вимагаються статтею 46 GDPR.
• (s) «GDPR Великобританії» означає GDPR, включений до законодавства Великобританії відповідно до розділу 3 Закону Великобританії про Європейський Союз (вихід) 2018 року.
• (t) «Стандартні договірні положення Великобританії» означає такі стандартні положення про захист даних, які час від часу приймаються Офісом інформаційних комісарів Великобританії (ICO) відповідно до статті 46 (2) GDPR Великобританії, включаючи, але не обмежуючись ними, міжнародну угоду про передачу даних (UK IDTA) та Стандартні договірні положення ЄС із змінами Додатку про міжнародну передачу даних ICO до Стандартних договірних положень Комісії ЄС (Додаток Великобританії»). [1]

1 Див. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Сторони повинні дотримуватися Закону про захист даних, як вони застосовуються до них, і відповідно до вимог цього документа. Надаючи Послуги, Постачальник, зокрема, повинен дотримуватися положень Застосовного Закону про захист даних щодо Обробки Персональних даних як Обробника даних.

Постачальник обробляє Персональні дані лише (а) відповідно до умов цього ДПА та Угоди; або (б) за іншими документованими інструкціями Siemens. Постачальник не повинен обробляти Персональні дані для власних цілей або передавати їх третім особам, якщо це дозволено цим DPA. Постачальник повинен негайно повідомити Siemens, якщо, на його думку, інструкція Siemens порушує Застосовне Законодавство про захист даних.

Деталі операцій Обробки, наданих Постачальником, - зокрема предмет Обробки, характер та мета Обробки, види Оброблених Персональних даних та категорії суб'єктів даних, що стосуються - вказані в Додаток I до цього ДПА.

Беручи до уваги сучасний стан, витрати на реалізацію та характер, обсяг, контекст та цілі обробки, а також ризик різної ймовірності та тяжкості для прав і свобод фізичних осіб, Постачальник повинен застосовувати відповідні технічні та організаційні заходи для забезпечення рівня безпеки, відповідного ризику, включаючи, але не обмежуючись, у разі необхідності: (а) псевдонімізацію та шифрування Персональних даних; (б) можливість забезпечити постійна конфіденційність, цілісність, доступність та стійкість Системи та послуги обробки; (c) можливість своєчасно відновити доступність та доступ до Персональних даних у разі фізичного або технічного інциденту; (г) процес регулярного тестування, оцінки та оцінки ефективності технічних та організаційних заходів для забезпечення безпеки обробки. Без шкоди для загальності попереднього речення, Постачальник завжди повинен виконувати принаймні технічні та організаційні заходи, описані в Додаток IIдо цього ДПА.

1 Див. https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Постачальник обмежує доступ свого персоналу до Персональних даних на основі необхідності знати. Постачальник повинен детально повідомляти свого персоналу про застосовні законодавчі та договірні положення щодо захисту даних. Постачальник зобов'язаний своїм персоналом дотримуватися таких положень і, зокрема, зберігати персональні дані в таємниці та не обробляти персональні дані інакше, ніж відповідно до інструкцій Siemens. Зобов'язання щодо збереження таємниці продовжує діяти після закінчення терміну дії цієї Угоди та договірних відносин персоналу з Постачальником. Постачальник надасть підтвердження такого зобов'язання за запитом.

• а) Постачальник має загальний дозвіл Siemens на залучення Субпроцесорів. Поточний список субпроцесорів, замовлених Провайдером, міститься в Додаток III до цього ДПА.
• (б) Постачальник повинен спеціально письмово повідомити Siemens про будь-які передбачувані зміни до цього списку шляхом додавання або заміни Субпроцесорів щонайменше за 30 днів до цього. Постачальник повинен надати Siemens інформацію, необхідну для того, щоб компанія Siemens могла скористатися правом на заперечення. Якщо Siemens не висловить заперечень протягом цього 30-денного періоду, то це сприймається як схвалення нового Субпроцесора. Якщо Siemens висловить заперечення, Постачальник — перш ніж уповноважити Субобробника на доступ до Персональних даних — докладе розумних зусиль для вирішення проблем і застережень, висловлених Siemens, і (i) утримуватиметься від використання Субобробника; або (ii) запропонує Siemens обґрунтовану зміну Сервісів або конфігурації або використання Сервісів Siemens, щоб уникнути Обробки Персональних даних новим Субпроцесором, який заперечує проти. Якщо Постачальник не може усунути підстави для заперечення з боку Siemens, Siemens має право припинити дію цих Послуг без будь-яких збитків або штрафних санкцій. У разі припинення дії з боку Siemens, Постачальник відшкодовує будь-які передоплачені суми за відповідну Послугу на пропорційній основі.
• (c) Якщо Постачальник залучає Субобробника для здійснення конкретних операцій з обробки даних (від імені Siemens та/або Уповноважених суб'єктів), він повинен робити це шляхом письмового договору, який передбачає, по суті, ті самі зобов'язання щодо захисту даних, що і ті, що зобов'язані Постачальника відповідно до цієї DPA.
• (г) Постачальник повинен надати на запит Siemens копію такого контракту з субпроцесором та будь-які подальші зміни до Siemens. У міру, необхідному для захисту ділової таємниці або іншої конфіденційної інформації, включаючи персональні дані, Постачальник може відредагувати текст договору перед передачею копії.
• (е) Постачальник повинен адекватно і регулярно проводити аудит Субобробника на предмет відповідності цим вимогам і документувати результати таких аудитів.
• (f) Постачальник несе повну відповідальність перед Siemens за виконання зобов'язань Субпроцесора за його договором з Постачальником. Постачальник повідомляє Siemens про будь-яке невиконання Субпроцесором своїх зобов'язань за цим договором.

У разі Обмежених Переказів Постачальнику Постачальник гарантує, що така Обмежена Передача охоплюється відповідними гарантіями передачі, як зазначено в цьому документі Розділ 9 і Додаток III до цього ДПА.

• (а) Стандартні договірні положення. Якщо гарантія передачі ґрунтується на Стандартних договірних положеннях, застосовується наступне:
  • ЄЕП-Провайдери. Якщо Постачальник знаходиться в межах ЄЕЗ, Постачальник укладає Стандартні договірні положення (Модуль 3) зі своїм Субпроцесором. Розділ 9 (а) (vii) («Керуюче право»), 9 (а) (viii) («Вибір форуму та юрисдикції»), 9 (а) (ікс) (б) («Частина 1 Додатка Великобританії»), і друге речення розділу 9 (а) (x) («Уповноважені організації в інших країнах») цього ДПА не застосовується, якщо Постачальник знаходиться в ЄЕЗ.
  • Постачальники, що не належать. Якщо Постачальник знаходиться за межами ЄЕЗ, Обмежена передача регулюється Модулями 2 та 3 Стандартних договірних положень. Відповідні положення, що містяться в Стандартних договірних положеннях, включені за посиланням і є невід'ємною частиною цього ДПА. Інформація, необхідна для цілей Додатків до Стандартних договірних положень, викладена в Додатки I - IIIдо цього ДПА.
  • Застереження про стикування. Варіант, передбачений пунктом 7 Стандартних договірних положень, не застосовується.
  • Подальші перекази. Будь-яка подальша передача повинна відповідати положенням 8 і 9 відповідного Модуля Стандартних договірних положень. У випадку, якщо Siemens знаходиться за межами ЄЕЗ і виступає в якості імпортера даних відповідно до Стандартних договірних положень з Уповноваженими суб'єктами, положення про бенефіціара третьої сторони, передбачене пунктом 9 (e) Стандартних договірних положень, є на користь такого Уповноваженого суб'єкта.
  • Використання субпроцесорівЗастосовується варіант 2 відповідно до пункту 9 Стандартних договірних положень. Для цілей пункту 9 (a) Стандартних договірних положень Постачальник має загальний дозвіл Siemens на залучення Субпроцесорів відповідно до Розділ 8 цього ДПА.
  • Відшкодування. Якщо Постачальник пропонує суб'єктам даних можливість подати скаргу до незалежного органу з вирішення спорів (див. Варіант у пункті 11 Стандартних договірних положень), Постачальник повинен письмово повідомити Siemens про відповідальний арбітражний орган та дотримуватися застосовних вимог, що містяться в пункті 11 Стандартних договірних положень та застосовних арбітражних правил.
  • Право, що регулює. Відповідним законодавством для цілей пункту 17 Стандартних договірних положень є закон, визначений у розділі чинного права Угоди. Якщо Угода не регулюється законодавством держави-члена ЄС, Стандартні договірні положення ЄС регулюються законодавством Німеччини.
  • Вибір форуму та юрисдикції. Судами відповідно до пункту 18 Стандартних договірних положень є ті, які визначені в розділі місця проведення Угоди. Якщо Угода не визначає суд держави-члена ЄС, який має виключну юрисдикцію для вирішення будь-якого спору чи позову, що виникає внаслідок або у зв'язку з Угодою, сторони погоджуються, що суди Німеччини мають виключну юрисдикцію для вирішення будь-яких спорів, що виникають із Стандартних договірних положень ЄС.
  • Уповноважені організації у Сполученому Королівстві. Якщо Обмежені Перекази походять від Уповноважених організацій, розташованих у Сполученому Королівстві, застосовується наступне:
    • Додаток Великобританії. Використовується Додаток Великобританії, якщо інше не узгоджено компанією Siemens в письмовій формі.
    • Частина 1 Додатка Великобританії. Частина 1 Додатку Великобританії застосовується наступним чином:
      1. Таблиця 1: Деталі сторін та ключова контактна інформація містяться в Додаток I до цього ДПА.
      2. Таблиця 2: Версія затверджених SCC ЄС (як визначено Додатком Великобританії), до якої додається Додаток Великобританії, є Стандартними договірними положеннями ЄС з модулями та положеннями, вибраними вище в Розділ 9 (а) цього ДПА. Жодні персональні дані, отримані від Імпортера, не поєднуються з персональними даними, зібраними Експортером.
      3. Таблиця 3: Інформація про додаток, як вимагається таблицею 3 Додатку Великобританії, міститься в Додатки I - III до цього ДПА.
      4. Таблиця 4Жодна зі сторін не може припинити дію Додатку Великобританії, коли затверджений додаток (як визначено у Додатку Великобританії) зміниться.
  • Уповноважені організації в інших країнах. Якщо Стандартні договірні положення захищають обмежені передачі від уповноважених осіб, розташованих за межами ЄЕЗ та Великобританії (наприклад, Швейцарія), (1) загальні та конкретні посилання в Стандартних договірних положеннях на GDPR або законодавство ЄС чи держави-члена мають те саме значення, що й еквівалентне посилання у Застосовуваних законів про захист даних країни, де знаходиться Уповноважений орган, відповідно; і (2) посилання на «компетентний наглядовий орган» трактуються як посилання на компетентний наглядовий орган захист даних влади в такій країні. Відповідне законодавство, вибір форуму та юрисдикція регулюються Розділ 9 (а) (vii) і (viii) цього ДПА, якщо інше не вимагається законами, що застосовуються до відповідної Уповноваженої особи, і в цьому випадку Стандартні договірні положення регулюються законодавством країни, в якій знаходиться Уповноважена особа, і будь-які посилання на компетентні «суди» трактуються як посилання на компетентні суди такої країни.
• Корпоративні правила, що зв'язують процесор. Наступне застосовується, якщо захист передачі ґрунтується на Обов'язкових корпоративних правилах процесора: Постачальник зобов'язаний договірно зобов'язати такого Субпроцесора дотримуватися Обов'язкових корпоративних правил процесора щодо Персональних даних, оброблених відповідно до цієї DPA.
• Додаткові гарантії передачі. Якщо гарантії передачі не ґрунтуються на Стандартних договірних положеннях, пункти 14 та 15 Стандартних договірних положень застосовуються mutatis-mutandis до обмежених передач відповідно до таких інших засобів захисту передачі, якщо відповідний Захист передачі не містить по суті ті самі права та обов'язки щодо (i) місцевого законодавства та практики, що впливають на дотримання гарантій передачі, і (ii) зобов'язань у разі доступу державних органів, що містяться в пунктах 14 та 15 Стандартних договірних положень.
• Інше. Постачальник погоджується і розуміє, що місцевий Закон про захист даних може містити аналогічні або додаткові обмеження передачі даних, що містяться в цьому Розділ 9. У такому випадку Постачальник погоджується докладати розумних зусиль і добросовісно співпрацювати з Siemens для задоволення цих вимог.

Постачальник повинен обґрунтовано допомагати Siemens у забезпеченні дотримання Застосовного Закону про захист даних, зокрема надаючи допомогу Siemens наступним чином:

• а) Виправлення, видалення або обмеження обробки. Постачальник повинен або (i) надавати можливість виправляти, видаляти або обмежувати Обробку Персональних даних за допомогою функціональних можливостей Сервісів, або (ii) виправляти, видаляти або обмежувати Обробку Персональних даних відповідно до вказівок Siemens.
• (б) Доступ до персональних даних. Якщо інформація, що стосується суб'єкта даних, недоступна через Сервіс, Постачальник надасть допомогу для надання такої інформації Siemens та/або Уповноваженим організаціям, якщо це необхідно для того, щоб Siemens та Уповноважені установи могли виконати свої зобов'язання відповідно до чинного Закону про захист даних, надасть допомогу для надання такої інформації Siemens та/або Уповноваженим організаціям.
• (c) Запити суб'єкта даних та повноважень. Постачальник повинен негайно повідомляти Siemens про: (i) будь-який запит або скарги, отримані або будь-які повідомлення про розслідування правоохоронним, урядовим або регуляторним органом або органом; і (ii) будь-який запит, отриманий безпосередньо від будь-якого суб'єкта даних щодо їх Персональних даних. Щодо пунктів (i) і (ii) вище, Постачальник не повинен відповідати без вказівок Siemens. Якщо це доручено, Постачальник повинен обґрунтовано підтримувати Siemens у відповідях на такі запити.
• (г) Переносність даних. На запит Siemens та якщо це вимагається відповідно до Закону про захист даних, Постачальник або (i) надасть можливість отримувати Персональні дані за допомогою посилання на конкретного суб'єкта даних відповідно до функціональних можливостей Сервісу або (ii) надасть відповідний набір даних Siemens та/або відповідному Уповноваженому суб'єкту, у кожному випадку у структурованому, загальновживаному та машиночитаному форматі.
• (е) Оцінка впливу на захист даних. За запитом компанії Siemens, Постачальник повинен надати всю інформацію та обґрунтовану підтримку для проведення оцінки впливу на захист даних відповідно до чинного законодавства про захист даних.

Після припинення відносин з обробкою даних, якщо інше не вказує Siemens або не встановлено в цьому документі, Постачальник повинен повернути Siemens всі Персональні дані, надані Постачальнику або отримані або створені Постачальником у зв'язку з укладеними за договором Послугами, і безповоротно видаляє або знищує будь-які дані, що залишилися. Видалення або знищення підтверджується Постачальником у письмовій формі за запитом.

• а) Постачальник повинен негайно повідомити Siemens, але в будь-якому випадку протягом 48 годин, якщо Постачальник виявить або обґрунтовано підозрює порушення даних.
• (б) У повідомленні Siemens Постачальник повинен надати Siemens наступну інформацію: (i) дані контактного пункту, де (або від кого) можна отримати більше інформації, (ii) опис характеру порушення (включаючи, якщо це можливо, назви, категорії та приблизну кількість суб'єктів даних та записів персональних даних), (iii) ймовірні наслідки та заходи, вжиті чи запропоновані для усунення порушення, включаючи, якщо це доцільно, заходи щодо зменшення порушення його можливі несприятливі наслідки. Якщо і в тій мірі, в якій неможливо надати всю інформацію одночасно, первинне повідомлення містить наявну тоді інформацію, а подальша інформація, коли вона стане доступною, надається згодом без зайвої затримки.
• (c) Будь-які повідомлення за цим Секція 12 здійснюється (i) до відповідного контактного пункту, визначеного в Угоді, і (ii) до dataprotection@siemens.com.
• (г) Постачальник зобов'язаний за рахунок Постачальника (i) повністю співпрацювати з Siemens у розслідуванні порушення даних; (ii) допомагати та співпрацювати з Siemens щодо будь-яких юридично необхідних повідомлень або розкриття інформації постраждалим особам (шляхом індивідуального спілкування, публічного спілкування через засоби масової інформації або аналогічними заходами), правоохоронним органам, регуляторним органам та/або іншим третім особам; і (iii) вживає будь-яких інших заходів, які Siemens вважає необхідними щодо такого Порушення даних та будь-яких спорів, запит або претензія, що стосується порушення даних.
• (е) Якщо чинне законодавство або наказ компетентного регулятора не вимагає іншого, Siemens на власний розсуд приймає остаточне визначення (i) чи вимагає повідомлення про порушення даних та (ii) спосіб повідомлення. У випадку, якщо Постачальник надає такі повідомлення про порушення даних, будь-яке таке повідомлення має бути заздалегідь затверджено компанією Siemens.
• (f) Постачальник повинен за свій рахунок вживати відповідних заходів для усунення порушення даних, включаючи заходи щодо пом'якшення його несприятливих наслідків (включаючи заходи щодо захисту операційного середовища). Постачальник також повинен негайно вжити заходів, спрямованих на запобігання повторному виникненню будь-яких порушень даних, включаючи будь-які дії, необхідні Законом про захист даних.
• (г) Постачальник повинен відшкодувати Siemens всі витрати та витрати, понесені за таке порушення даних, спричинене Постачальником, включаючи, але не обмежуючись, витрати на надання кредитного моніторингу особам, чиї Персональні дані були порушені порушенням даних. Обмеження відповідальності на користь Постачальника за Договором не застосовуються в цьому відношенні.

• (а) Постачальник повинен (i) відстежувати відповідними засобами власне дотримання своїх зобов'язань щодо захисту даних відповідно до цього ДПА та Закону про Закон про захист даних; (ii) створювати відповідні періодичні (принаймні щорічні) та випадкові звіти (кожен «a»Звіт»); і (iii) надавати Звіти Siemens та уповноваженим організаціям за запитом. Якщо стандарт контролю та рамки, впроваджені Постачальником, передбачають контроль, такий контроль буде здійснюватися відповідно до стандартів і правил регуляторного органу або акредитаційного органу для кожного застосовного стандарту або рамки контролю.
• (б) Якщо це потрібно для належного виконання своїх аудиторських прав та обов'язків відповідно до Застосовного Закону про захист даних, застосовних гарантій передачі або на вимогу компетентного органу захисту даних або іншого компетентного державного органу чи агентства, Постачальник повинен надавати Siemens та Уповноваженим організаціям - на додаток до Звітів - всю додаткову інформацію, яку обґрунтовано запитують, а також сприяють аудитам, включаючи перевірки, що проводяться Siemens або уповноваженими організаціями або іншим аудитором, уповноваженим компанією Siemens або уповноваженими особами. З цією метою Siemens, Уповноважені організації або інший аудитор, уповноважений компанією Siemens або Уповноваженими організаціями, також мають право проводити перевірки на місці протягом звичайного робочого часу, не порушуючи ділових операцій Постачальника та після розумного попереднього повідомлення.

Якщо Сервіс використовує файли cookie або подібні технології, застосовуються наступне: Постачальник зобов'язаний, якщо Siemens не погодився інше з посиланням на це Розділ 14зберігати інформацію лише (наприклад, шляхом написання файлу cookie) або отримання доступу до інформації, яка вже зберігається в термінальному обладнанні користувача Сервісу (наприклад, за допомогою файлу cookie) з єдиною метою здійснення передачі зв'язку через мережу електронних комунікацій, або як це суворо необхідно для того, щоб Постачальник надав основні функціональні можливості Сервісів.

Постачальник розуміє та погоджується з тим, що вимоги цього ДПА є невід'ємною частиною Угоди, і істотне порушення будь-якої з цих вимог вважається суттєвим порушенням Постачальником Угоди, що дає Siemens право на істотні засоби захисту, пов'язані з порушеннями, що містяться в Угоді.

Якщо і в тій мірі, в якій Постачальник отримує доступ до Персональних даних, отриманих від компанії групи Siemens, заснованої в Сполучених Штатах Америки (»Американська компанія Siemens») або суб'єкта даних, який є резидентом Сполучених Штатів Америки, тоді, крім вищезазначеного, Постачальник: (i) повинен дотримуватися федеральних, державних та місцевих законів США щодо Персональних даних, які застосовуються до Постачальника, таких Персональних даних та власників або контролерів таких Персональних даних; якщо застосовується вищезазначене, термін «Застосовний закон про захист даних», як використовується в цьому документі, включає вищезазначені закони; (ii) за винятком випадків, коли це застосовується, або Договір не повинен продавати, ділитися, здавати в оренду, випускати, розкривати, поширювати або робити доступним Персональні дані третім особам; і не об'єднує Персональні дані з іншою інформацією; (iii) повідомляє Siemens, якщо Постачальник визнає, що Постачальник більше не може виконувати свої зобов'язання відповідно до цього Договору; (iv) гарантує, що кожна особа, яка обробляє Персональні дані, підлягає обов'язку конфіденційності щодо Персональних даних; (v) вважатиметься і діє як «постачальник послуг» відповідно до Закону про захист прав споживачів Каліфорнії (включаючи Каліфорнійський закон про конфіденційність споживачів), його імплементаційні правила та будь-які зміни до них); і (vii) цим підтверджує, що розуміє обмеження, що містяться в цьому документі, і буде їх дотримуватися.

Додаток I до ДПА (і, де застосовується, Стандартних договірних положень)

А. СПИСОК ПАРТІЙ

Одержувач послуги/експортер даних:

Постачальник/імпортер даних:

Б. ОПИС ОПЕРАЦІЙ З ПЕРЕДАЧІ/ОБРОБКИ

C.КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН

Якщо компанія Siemens заснована в держава-члені ЄС, наглядовий орган, відповідальний за забезпечення дотримання компанією Siemens GDPR щодо передачі даних, виступає компетентним наглядовим органом. Для компанії Siemens Aktiengesellschaft, Німеччина, наглядовим органом є:

Баєрський округ з питань захисту даних (BayLDA)

Набережна 18

91522 Ансбах

Німеччина

Якщо компанія Siemens не заснована в державі-члені ЄС, але підпадає під територіальну сферу застосування GDPR відповідно до його статті 3 (2), наглядовий орган держави-члена, в якій створений представник у значенні статті 27 (1) GDPR, виступає компетентним наглядовим органом, а саме:

Баєрський округ з питань захисту даних (BayLDA)

Набережна 18

91522 Ансбах

Німеччина

Додаток II до ДПА (і, де застосовується, Стандартних договірних положень)

Технічні та організаційні заходи (включаючи технічні та організаційні заходи щодо забезпечення безпеки даних)

Наступні заходи застосовуються лише до Постачальника, якщо основні ІТ-системи, мережі та програми є відповідальністю та/або знаходяться під опікою чи контролем Постачальника. Опис технічних та організаційних заходів безпеки, що впроваджуються Постачальником та його Субпроцесором (-ами):

Додаток III до ДПА (і, де застосовується, Стандартних договірних положень)

СПИСОК СУБПРОЦЕСОРІВ ТА РОЗТАШУВАННЯ ЦЕНТРІВ ОБРОБКИ ДАНИХ

«Форма авторизації партнера» визначає

Суб'єкти (включаючи Партнерів та субобробників), які займаються зберіганням/розміщенням персональних даних,

Застосовувані місця розташування центрів обробки даних,

Субпроцесори, які займаються обробкою персональних даних для цілей, що не стосуються зберігання/хостингу,

які включені до цього посилання.

Постачальник не повинен передавати Персональні дані з відповідного Місцезнаходження Центру обробки даних без згоди Siemens. Механізм повідомлення та заперечення, що міститься в Розділ 8 не застосовуються в цьому відношенні.