Phụ lục bảo vệ dữ liệu đối tác

Phụ lục bảo vệ dữ liệu đối tác này (”DPA”) là một phần của Thỏa thuận Chương trình Đối tác (”Thỏa thuận”) và đưa ra các điều khoản bổ sung liên quan đến việc xử lý dữ liệu cá nhân. Các thuật ngữ viết hoa có ý nghĩa được xác định trong Phần tiếp theo của tài liệu này hoặc các nơi khác trong Thỏa thuận. Nếu có mâu thuẫn giữa các điều khoản của DPA này và bất kỳ điều khoản nào khác của Thỏa thuận, DPA này sẽ được áp dụng. Đối với mục đích của DPA này, “Nhà cung cấp” có nghĩa là Đối tác.

• (a) “Luật bảo vệ dữ liệu áp dụng” có nghĩa là tất cả các luật hiện hành liên quan đến Xử lý Dữ liệu Cá nhân theo Thỏa thuận, bao gồm, nhưng không giới hạn, (i) đối với Dữ liệu Cá nhân có nguồn gốc từ một Thực thể được ủy quyền nằm trong EEA, Quy định bảo vệ dữ liệu chung (EU) 2016/679 (”GDPR”), và (ii) đối với Dữ liệu Cá nhân có nguồn gốc từ một Tổ chức được ủy quyền ở Vương quốc Anh, GDPR của Vương quốc Anh và Đạo luật Bảo vệ Dữ liệu Vương quốc Anh 2018.
• (b) “Tổ chức được ủy quyền” nghĩa là bất kỳ thực thể nào (bao gồm Siemens và các công ty thuộc tập đoàn) hoạt động với tư cách là Controller và được Thỏa thuận quyền truy cập hoặc sử dụng Dịch vụ trực tiếp hoặc gián tiếp.
• (c) “Controller” nghĩa là thể nhân hoặc pháp nhân, một mình hoặc cùng với người khác, xác định mục đích và phương tiện xử lý dữ liệu cá nhân.
• (d) “Quốc gia có Quyết định về sự phù hợp” nghĩa là bất kỳ quốc gia nào mà Ủy ban EU đã quyết định rằng quốc gia đó đảm bảo mức độ bảo vệ dữ liệu đầy đủ và đối với dữ liệu cá nhân có nguồn gốc từ Vương quốc Anh, bất kỳ quốc gia nào mà các quy định về tính đầy đủ của Vương quốc Anh đã được đưa ra theo mục 17A hoặc 74A của Đạo luật Bảo vệ Dữ liệu 2018.
• (e) “Vi phạm dữ liệu” có nghĩa là bất kỳ vi phạm an ninh nào (i) dẫn đến việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu Cá nhân được truyền, lưu trữ hoặc xử lý bằng cách khác hoặc (ii) sẽ yêu cầu thông báo về sự kiện đó cho bất kỳ bên thứ ba nào theo luật hiện hành.
• (f) “EEA” nghĩa là Khu vực kinh tế châu Âu.
• (g) “Điều khoản hợp đồng tiêu chuẩn của EU” có nghĩa là Điều khoản Hợp đồng Tiêu chuẩn (EU) 2021/914.
• (h) “Khu vực xuất xứ” nghĩa là EEA, Vương quốc Anh, Thụy Sĩ và mỗi quốc gia có các yêu cầu đầy đủ tương tự như trong Điều 45 và tiếp theo. GDPR.
• (i) “Dữ liệu cá nhân” nghĩa là bất kỳ thông tin nào liên quan đến một thể nhân được xác định hoặc nhận dạng; một thể nhân có thể nhận dạng được là người có thể được xác định, trực tiếp hoặc gián tiếp, đặc biệt bằng cách tham chiếu đến một số nhận dạng như tên, số nhận dạng, dữ liệu vị trí, định danh trực tuyến hoặc một hoặc nhiều yếu tố cụ thể về bản sắc thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của thể nhân đó.
• (j) “Xử lý” (và các hình thức khác của nó như Quy trình, Quy trình, Xử lý) có nghĩa là bất kỳ hoạt động hoặc tập hợp hoạt động nào được thực hiện trên Dữ liệu Cá nhân hoặc trên các tập dữ liệu cá nhân, cho dù bằng phương tiện tự động hay không, chẳng hạn như thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, điều chỉnh hoặc thay đổi, truy xuất, tham khảo, sử dụng, tiết lộ bằng cách truyền, phổ biến hoặc cung cấp theo cách khác, sắp xếp hoặc kết hợp, hạn chế, xóa hoặc hủy bỏ.
• (k) “Bộ xử lý” nghĩa là một thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hoặc bất kỳ cơ quan nào khác xử lý dữ liệu cá nhân thay mặt cho Controller.
• (l) “Bộ xử lý Binding Corporate Rules” nghĩa là các quy tắc ràng buộc của công ty đối với các nhà xử lý được phê duyệt bởi cơ quan giám sát có thẩm quyền.
• (m) “Dữ liệu cá nhân bị hạn chế” nghĩa là bất kỳ Dữ liệu Cá nhân nào có nguồn gốc từ một Tổ chức được ủy quyền nằm trong Khu vực Nguồn gốc.
• (n) “(Các) Chuyển khoản bị hạn chế” nghĩa là bất kỳ Xử lý nào (bao gồm chuyển giao, truy cập quốc tế và chuyển tiếp) Dữ liệu Cá nhân bị Hạn chế của Nhà cung cấp hoặc bất kỳ Bộ xử lý phụ nào của Nhà cung cấp bên ngoài Khu vực Nguồn gốc có liên quan.
• (o) “Dịch vụ” nghĩa là các Dịch vụ theo Thỏa thuận được cung cấp bởi Nhà cung cấp đóng vai trò là Bộ xử lý theo nghĩa của DPA này.
• (p) “Điều khoản hợp đồng tiêu chuẩn” có nghĩa là Điều khoản Hợp đồng Tiêu chuẩn của EU và Điều khoản Hợp đồng Tiêu chuẩn của Vương quốc Anh.
• (q) “(Các) Bộ xử lý phụ” nghĩa là bất kỳ Bộ xử lý nào khác tham gia vào việc thực hiện Dịch vụ.
• (r) “(Các) biện pháp bảo vệ chuyển nhượng” có nghĩa là các biện pháp bảo vệ thích hợp cho việc chuyển giao bị hạn chế theo yêu cầu của Luật Bảo vệ Dữ liệu Áp dụng, bao gồm nhưng không giới hạn bất kỳ biện pháp bảo vệ thích hợp nào được yêu cầu bởi Điều 46 GDPR.
• (s) “GDPR của Vương quốc Anh” có nghĩa là GDPR được đưa vào luật Vương quốc Anh theo Mục 3 của Đạo luật Liên minh Châu Âu (Rút bỏ) 2018 của Vương quốc Anh.
• (t) “Điều khoản hợp đồng tiêu chuẩn của Vương quốc Anh” có nghĩa là các điều khoản bảo vệ dữ liệu tiêu chuẩn được thông qua theo thời gian bởi Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) theo Điều 46 (2) của GDPR Vương quốc Anh bao gồm, nhưng không giới hạn, thỏa thuận chuyển dữ liệu quốc tế (UK IDTA) và Điều khoản hợp đồng tiêu chuẩn của EU được sửa đổi bởi Phụ lục chuyển dữ liệu quốc tế của ICO cho các Điều khoản hợp đồng tiêu chuẩn của Ủy ban EU (”Phụ lục của Vương quốc Anh”). [1]

1 Xem https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Các bên phải tuân thủ Luật Bảo vệ Dữ liệu Áp dụng khi họ áp dụng cho họ và theo yêu cầu trong tài liệu này. Trong việc cung cấp Dịch vụ, Nhà cung cấp đặc biệt phải tuân thủ các quy định của Luật Bảo vệ Dữ liệu Áp dụng liên quan đến việc Xử lý Dữ liệu Cá nhân với tư cách là Người xử lý.

Nhà cung cấp sẽ chỉ xử lý Dữ liệu Cá nhân (a) theo các điều khoản của DPA này và Thỏa thuận; hoặc (b) theo các hướng dẫn bằng tài liệu khác từ Siemens. Nhà cung cấp sẽ không Xử lý Dữ liệu Cá nhân cho mục đích riêng của mình hoặc chuyển dữ liệu đó cho bên thứ ba, trừ khi được DPA này cho phép. Nhà cung cấp phải thông báo ngay cho Siemens nếu theo ý kiến của họ, một hướng dẫn từ Siemens vi phạm Luật Bảo vệ Dữ liệu Áp dụng.

Các chi tiết về các hoạt động Xử lý do Nhà cung cấp cung cấp - đặc biệt là đối tượng của Xử lý, bản chất và mục đích của việc Xử lý, loại Dữ liệu Cá nhân được Xử lý và các loại đối tượng dữ liệu bị ảnh hưởng - được quy định trong Phụ lục I Đối với DPA này.

Có tính đến hiện đại, chi phí thực hiện và tính chất, phạm vi, bối cảnh và mục đích của Xử lý cũng như rủi ro về khả năng và mức độ nghiêm trọng khác nhau đối với các quyền và tự do của thể nhân, Nhà cung cấp phải thực hiện các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro, bao gồm, nhưng không giới hạn, nếu thích hợp: (a) bút danh và mã hóa Dữ liệu Cá nhân; (b) khả năng đảm bảo tính bảo mật liên tục, tính toàn vẹn, tính sẵn có và khả năng phục hồi của Hệ thống và dịch vụ xử lý; (c) khả năng khôi phục tính khả dụng và truy cập vào Dữ liệu Cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật; (d) một quy trình thường xuyên kiểm tra, đánh giá và đánh giá hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo an ninh của việc Xử lý. Không ảnh hưởng đến tính tổng quát của câu trước, Nhà cung cấp phải luôn thực hiện ít nhất các biện pháp kỹ thuật và tổ chức được mô tả trong Phụ lục IIĐối với DPA này.

1 Xem https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Nhà cung cấp sẽ hạn chế quyền truy cập của nhân viên vào Dữ liệu Cá nhân trên cơ sở cần biết. Nhà cung cấp sẽ cung cấp thông báo chi tiết cho nhân viên của mình về các quy định theo luật định và hợp đồng hiện hành liên quan đến bảo vệ dữ liệu. Nhà cung cấp phải đặt nhân viên của mình vào nghĩa vụ tuân thủ các quy định đó và đặc biệt là giữ bí mật Dữ liệu Cá nhân và không Xử lý Dữ liệu Cá nhân ngoài theo hướng dẫn của Siemens. Nghĩa vụ bảo mật sẽ tiếp tục được áp dụng sau khi hết hạn Thỏa thuận này và mối quan hệ hợp đồng của nhân viên với Nhà cung cấp. Nhà cung cấp sẽ cung cấp bằng chứng về nghĩa vụ đó theo yêu cầu.

• (a) Nhà cung cấp có sự ủy quyền chung của Siemens đối với việc tham gia các Bộ xử lý phụ. Danh sách hiện tại các Bộ xử lý phụ do Nhà cung cấp ủy quyền được chứa trong Phụ lục III với DPA này.
• (b) Nhà cung cấp sẽ thông báo cụ thể cho Siemens bằng văn bản về bất kỳ thay đổi dự định nào đối với danh sách đó thông qua việc bổ sung hoặc thay thế Bộ xử lý phụ trước ít nhất 30 ngày. Nhà cung cấp sẽ cung cấp cho Siemens thông tin cần thiết để cho phép Siemens thực hiện quyền phản đối. Nếu Siemens không phản đối trong khoảng thời gian 30 ngày này, thì đây sẽ được coi là sự chấp thuận của Bộ xử lý phụ mới. Nếu Siemens phản đối, Nhà cung cấp sẽ - trước khi ủy quyền cho Bên xử lý phụ truy cập Dữ liệu Cá nhân - sử dụng các nỗ lực hợp lý để giải quyết các mối quan tâm và dè dặt của Siemens và (i) không sử dụng Bộ xử lý phụ; hoặc (ii) đề nghị Siemens thay đổi hợp lý Dịch vụ hoặc cấu hình hoặc sử dụng Dịch vụ của Siemens để tránh Xử lý Dữ liệu Cá nhân của Bộ xử lý phụ mới bị phản đối. Nếu Nhà cung cấp không thể loại bỏ căn cứ cho sự phản đối của Siemens, Siemens có quyền chấm dứt Dịch vụ bị ảnh hưởng mà không có bất kỳ thiệt hại hoặc hình phạt nào. Trong trường hợp Siemens chấm dứt, Nhà cung cấp sẽ hoàn trả bất kỳ khoản tiền trả trước nào cho Dịch vụ hiện hành trên cơ sở tỷ lệ.
• (c) Trong trường hợp Nhà cung cấp thuê một Bên xử lý phụ thực hiện các hoạt động xử lý cụ thể (thay mặt cho Siemens và/hoặc các Tổ chức được ủy quyền), họ sẽ thực hiện như vậy bằng một hợp đồng bằng văn bản quy định, về cơ bản, các nghĩa vụ bảo vệ dữ liệu giống như các nghĩa vụ ràng buộc Nhà cung cấp theo DPA này.
• (d) Nhà cung cấp sẽ cung cấp, theo yêu cầu của Siemens, một bản sao của hợp đồng xử lý phụ đó và bất kỳ sửa đổi nào tiếp theo cho Siemens. Trong phạm vi cần thiết để bảo vệ bí mật kinh doanh hoặc thông tin bí mật khác, bao gồm dữ liệu cá nhân, Nhà cung cấp có thể chỉnh sửa văn bản hợp đồng trước khi chia sẻ một bản sao.
• (e) Nhà cung cấp phải kiểm toán đầy đủ và thường xuyên cho Bên xử lý phụ về việc tuân thủ các yêu cầu này và ghi lại kết quả của các cuộc kiểm toán đó.
• (f) Nhà cung cấp sẽ chịu trách nhiệm hoàn toàn với Siemens về việc thực hiện nghĩa vụ của Bên xử lý phụ theo hợp đồng với Nhà cung cấp. Nhà cung cấp phải thông báo cho Siemens về bất kỳ sự thất bại nào của Bên xử lý phụ trong việc thực hiện nghĩa vụ của mình theo hợp đồng đó.

Trong trường hợp chuyển nhượng bị hạn chế cho Nhà cung cấp, Nhà cung cấp phải đảm bảo rằng việc chuyển nhượng bị hạn chế đó được bao phủ bởi các biện pháp bảo vệ chuyển giao đầy đủ như được quy định trong điều này. Mục 9 và Phụ lục III với DPA này.

• (a) Điều khoản hợp đồng tiêu chuẩn. Những điều sau đây sẽ được áp dụng nếu biện pháp bảo vệ chuyển nhượng dựa trên các Điều khoản hợp đồng tiêu chuẩn:
  • EEA-Nhà cung cấp. Nếu Nhà cung cấp nằm trong EEA, Nhà cung cấp sẽ ký kết các Điều khoản Hợp đồng Tiêu chuẩn (Mô-đun 3) với Bộ xử lý phụ của mình. Mục 9 (a) (vii) (“Luật điều chỉnh”), 9 (a) (viii) (“Lựa chọn Diễn đàn và Thẩm quyền”), 9 (a) (ix) (b) (“Phần 1 của Phụ lục Vương quốc Anh”), và câu thứ hai của Mục 9 (a) (x) (“Các tổ chức được ủy quyền ở các quốc gia khác”) của DPA này sẽ không áp dụng nếu Nhà cung cấp đặt tại EEA.
  • Nhà cung cấp NGOÀI EEA. Nếu Nhà cung cấp nằm bên ngoài EEA, việc chuyển nhượng bị hạn chế sẽ được điều chỉnh bởi Mô-đun 2 và 3 của Điều khoản Hợp đồng Tiêu chuẩn. Các điều khoản liên quan có trong Điều khoản Hợp đồng Tiêu chuẩn được kết hợp bằng cách tham khảo và là một phần không thể thiếu của DPA này. Các thông tin cần thiết cho các mục đích của Phụ lục của các Điều khoản Hợp đồng Tiêu chuẩn được nêu trong Phụ lục I đến IIIvới DPA này.
  • Điều khoản lắp ghép. Tùy chọn theo Khoản 7 của Điều khoản Hợp đồng Tiêu chuẩn sẽ không được áp dụng.
  • Chuyển tiếp. Bất kỳ chuyển tiếp nào tiếp theo phải tuân thủ các Điều khoản 8 và 9 của Mô-đun hiện hành của Điều khoản Hợp đồng Tiêu chuẩn. Trong trường hợp Siemens đặt trụ sở bên ngoài EEA và tự đóng vai trò là nhà nhập dữ liệu theo Điều khoản hợp đồng tiêu chuẩn với các thực thể được ủy quyền, điều khoản thụ hưởng bên thứ ba được quy định tại Khoản 9 (e) của Điều khoản Hợp đồng Tiêu chuẩn sẽ có lợi cho Tổ chức được ủy quyền đó.
  • Sử dụng bộ xử lý phụTùy chọn 2 theo Khoản 9 của Điều khoản Hợp đồng Tiêu chuẩn sẽ được áp dụng. Đối với mục đích của Khoản 9 (a) của Điều khoản Hợp đồng Tiêu chuẩn, Nhà cung cấp có sự ủy quyền chung của Siemens để thuê Bộ xử lý phụ theo Mục 8 của DPA này.
  • Bồi thường. Trong trường hợp Nhà cung cấp cung cấp cho chủ thể dữ liệu tùy chọn nộp đơn khiếu nại với cơ quan giải quyết tranh chấp độc lập (xem Tùy chọn trong Khoản 11 của Điều khoản Hợp đồng Tiêu chuẩn), Nhà cung cấp phải thông báo cho Siemens về cơ quan trọng tài có trách nhiệm bằng văn bản và tuân thủ các yêu cầu hiện hành có trong Khoản 11 của Điều khoản Hợp đồng Tiêu chuẩn và các quy tắc trọng tài hiện hành.
  • Luật điều chỉnh. Luật điều chỉnh cho mục đích của Khoản 17 của Điều khoản Hợp đồng Tiêu chuẩn sẽ là luật được chỉ định trong phần luật điều chỉnh của Thỏa thuận. Nếu Thỏa thuận không được điều chỉnh bởi luật của một Quốc gia Thành viên EU, các Điều khoản Hợp đồng Tiêu chuẩn của EU sẽ được điều chỉnh bởi luật pháp của Đức.
  • Lựa chọn Diễn đàn và Thẩm quyền. Các tòa án theo Khoản 18 của Điều khoản Hợp đồng Tiêu chuẩn sẽ là những tòa án được chỉ định trong phần địa điểm của Thỏa thuận. Nếu Thỏa thuận không chỉ định một tòa án Quốc gia Thành viên EU có thẩm quyền độc quyền giải quyết bất kỳ tranh chấp hoặc vụ kiện nào phát sinh từ hoặc liên quan đến Thỏa thuận, các bên đồng ý rằng các tòa án của Đức, sẽ có thẩm quyền độc quyền giải quyết bất kỳ tranh chấp nào phát sinh từ Điều khoản hợp đồng tiêu chuẩn của EU.
  • Các tổ chức được ủy quyền ở Vương quốc Anh. Trong trường hợp Chuyển khoản Hạn chế bắt nguồn từ các Tổ chức được ủy quyền đặt tại Vương quốc Anh, những điều sau đây sẽ được áp dụng:
    • Phụ lục Vương quốc Anh. Phụ lục của Vương quốc Anh sẽ được sử dụng, trừ khi có thỏa thuận khác bằng văn bản của Siemens.
    • Phần 1 của Phụ lục Vương quốc Anh. Phần 1 của Phụ lục Vương quốc Anh sẽ được áp dụng như sau:
      1. Bảng 1: Chi tiết của các bên và thông tin liên hệ chính được bao gồm trong Phụ lục I với DPA này.
      2. Bảng 2: Phiên bản của SCC được phê duyệt của EU (như được định nghĩa bởi Phụ lục của Vương quốc Anh) mà Phụ lục của Vương quốc Anh được đính kèm, là các Điều khoản Hợp đồng Tiêu chuẩn của EU với các Mô-đun và Điều khoản được chọn ở trên trong Mục 9 (a) của DPA này. Không có dữ liệu cá nhân nào nhận được từ Nhà nhập khẩu được kết hợp với dữ liệu cá nhân do Nhà xuất khẩu thu thập.
      3. Bảng 3: Thông tin Phụ lục theo yêu cầu của Bảng 3 của Phụ lục Vương quốc Anh được chứa trong Phụ lục I đến III với DPA này.
      4. Bảng 4: Không bên nào có thể chấm dứt Phụ lục của Vương quốc Anh khi Phụ lục được phê duyệt (như được định nghĩa trong Phụ lục Vương quốc Anh) thay đổi.
  • Các tổ chức được ủy quyền ở các quốc gia khác. Trong trường hợp các Điều khoản hợp đồng tiêu chuẩn bảo vệ việc chuyển nhượng bị hạn chế từ các thực thể được ủy quyền nằm bên ngoài EEA và Vương quốc Anh (ví dụ: Thụy Sĩ), (1) các tham chiếu chung và cụ thể trong Điều khoản hợp đồng tiêu chuẩn đối với GDPR hoặc luật pháp của Liên minh Châu Âu hoặc Quốc gia Thành viên sẽ có ý nghĩa tương tự như tham chiếu tương đương trong Luật Bảo vệ Dữ liệu Áp dụng của quốc gia nơi Tổ chức được ủy quyền đặt trụ sở, nếu có; và (2) tham chiếu đến “cơ quan giám sát có thẩm quyền” sẽ được hiểu là tham chiếu đến bảo vệ dữ liệu thẩm quyền ở đất nước này. Luật pháp điều chỉnh, sự lựa chọn diễn đàn và thẩm quyền sẽ được điều chỉnh bởi Mục 9 (a) (vii) và (viii) của DPA này, trừ khi luật áp dụng cho Tổ chức được ủy quyền tương ứng yêu cầu khác, trong trường hợp đó, Điều khoản Hợp đồng Tiêu chuẩn sẽ được điều chỉnh bởi luật pháp của quốc gia nơi Tổ chức được ủy quyền đặt trụ sở và bất kỳ tham chiếu nào đến “tòa án” có thẩm quyền sẽ được hiểu là tham chiếu đến các tòa án có thẩm quyền ở quốc gia đó.
• Bộ xử lý Binding Corporate Rules. Những điều sau đây sẽ được áp dụng nếu Bảo vệ Chuyển giao dựa trên Quy tắc Công ty Binding của Bộ xử lý: Nhà cung cấp sẽ ràng buộc theo hợp đồng Bộ xử lý phụ đó tuân thủ Quy tắc Công ty Binding của Bộ xử lý liên quan đến Dữ liệu Cá nhân được Xử lý theo DPA này.
• Các biện pháp bảo vệ chuyển giao bổ sung. Trong trường hợp biện pháp bảo vệ chuyển nhượng không dựa trên các Điều khoản hợp đồng tiêu chuẩn, Khoản 14 và 15 của Điều khoản Hợp đồng Tiêu chuẩn sẽ áp dụng mutatis-mutandis đối với việc chuyển nhượng bị hạn chế theo biện pháp bảo vệ chuyển giao khác, trừ khi biện pháp bảo vệ chuyển giao tương ứng có cùng các quyền và nghĩa vụ liên quan đến (i) luật và thực tiễn địa phương ảnh hưởng đến việc tuân thủ các biện pháp bảo vệ chuyển nhượng và (ii) nghĩa vụ trong trường hợp cơ quan công quyền truy cập theo quy định tại Khoản 14 và 15 của Điều khoản hợp đồng tiêu chuẩn.
• Khác. Nhà cung cấp đồng ý và hiểu rằng Luật Bảo vệ Dữ liệu Áp dụng tại địa phương, có thể chứa các hạn chế chuyển giao tương tự hoặc bổ sung như được nêu trong điều này Mục 9. Trong trường hợp đó, Nhà cung cấp đồng ý sử dụng những nỗ lực hợp lý và hợp tác với Siemens một cách thiện chí để giải quyết các yêu cầu đó.

Nhà cung cấp sẽ hỗ trợ một cách hợp lý Siemens trong việc đảm bảo tuân thủ Luật Bảo vệ Dữ liệu Áp dụng, đặc biệt bằng cách hỗ trợ Siemens như sau:

• (a) Chỉnh sửa, xóa hoặc hạn chế xử lý. Nhà cung cấp sẽ (i) cung cấp khả năng chỉnh sửa, xóa hoặc hạn chế Xử lý Dữ liệu Cá nhân thông qua các chức năng của Dịch vụ hoặc (ii) chỉnh sửa, xóa hoặc hạn chế Xử lý Dữ liệu Cá nhân theo hướng dẫn của Siemens.
• (b) Truy cập dữ liệu cá nhân. Trong phạm vi thông tin liên quan đến chủ thể dữ liệu không thể truy cập thông qua Dịch vụ, Nhà cung cấp sẽ cung cấp hỗ trợ cung cấp thông tin đó cho Siemens và/hoặc các đơn vị được ủy quyền, nếu cần thiết để cho phép Siemens và các đơn vị được ủy quyền thực hiện các nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu hiện hành.
• (c) Yêu cầu của chủ thể dữ liệu và cơ quan. Nhà cung cấp phải thông báo kịp thời cho Siemens về: (i) bất kỳ yêu cầu hoặc khiếu nại nào nhận được hoặc bất kỳ thông báo điều tra nào của cơ quan thực thi pháp luật, cơ quan hoặc cơ quan quản lý; và (ii) bất kỳ yêu cầu nào nhận được trực tiếp từ bất kỳ chủ thể dữ liệu nào về Dữ liệu Cá nhân của họ. Đối với các điều khoản (i) và (ii) trên, Nhà cung cấp sẽ không trả lời nếu không có hướng dẫn từ Siemens. Nếu được hướng dẫn như vậy, Nhà cung cấp sẽ hỗ trợ hợp lý cho Siemens trong việc trả lời các yêu cầu đó.
• (d) Khả năng di chuyển dữ liệu. Theo yêu cầu của Siemens và nếu được yêu cầu theo Luật Bảo vệ Dữ liệu Áp dụng, Nhà cung cấp sẽ (i) cung cấp khả năng trích xuất Dữ liệu Cá nhân bằng cách tham chiếu đến một chủ thể dữ liệu cụ thể phù hợp với các chức năng của Dịch vụ hoặc (ii) cung cấp bộ dữ liệu liên quan cho Siemens và/hoặc Đơn vị được ủy quyền tương ứng, trong mỗi trường hợp ở định dạng có cấu trúc, thường được sử dụng và có thể đọc được bằng máy.
• (e) Đánh giá tác động bảo vệ dữ liệu. Nếu được Siemens yêu cầu, Nhà cung cấp sẽ cung cấp tất cả thông tin và hỗ trợ hợp lý để thực hiện đánh giá tác động bảo vệ dữ liệu theo Luật Bảo vệ Dữ liệu Áp dụng.

Sau khi chấm dứt mối quan hệ Xử lý dữ liệu, trừ khi có hướng dẫn khác của Siemens hoặc quy định trong tài liệu này, Nhà cung cấp sẽ trả lại cho Siemens tất cả Dữ liệu Cá nhân được cung cấp cho Nhà cung cấp hoặc do Nhà cung cấp thu thập hoặc tạo ra liên quan đến Dịch vụ được thỏa thuận theo hợp đồng và sẽ xóa hoặc hủy bỏ bất kỳ dữ liệu còn lại không thể thu hồi. Việc xóa hoặc hủy sẽ được Nhà cung cấp xác nhận bằng văn bản theo yêu cầu.

• (a) Nhà cung cấp phải thông báo cho Siemens ngay lập tức nhưng trong mọi trường hợp trong vòng 48 giờ trong trường hợp Nhà cung cấp phát hiện hoặc nghi ngờ hợp lý bất kỳ vi phạm dữ liệu nào.
• (b) Trong thông báo gửi Siemens, Nhà cung cấp sẽ cung cấp cho Siemens các thông tin sau: (i) chi tiết về điểm liên lạc nơi (hoặc từ ai) có thể lấy thêm thông tin, (ii) mô tả về bản chất của vi phạm (bao gồm, nếu có thể, tên, danh mục và số lượng gần đúng đối tượng dữ liệu và hồ sơ dữ liệu cá nhân liên quan), (iii) hậu quả có thể xảy ra và các biện pháp được thực hiện hoặc đề xuất để giải quyết vi phạm, bao gồm nếu thích hợp, các biện pháp để giảm thiểu vi phạm tác dụng phụ có thể xảy ra. Nếu và trong phạm vi không thể cung cấp tất cả thông tin cùng một lúc, thông báo ban đầu sẽ bao gồm thông tin có sẵn khi đó và thông tin bổ sung sẽ được cung cấp sau đó, khi có sẵn, mà không chậm trễ quá mức.
• (c) Bất kỳ thông báo nào theo điều này Mục 12 sẽ được đưa ra (i) đến điểm liên lạc tương ứng được xác định trong Thỏa thuận và (ii) dataprotection@siemens.com.
• (d) Nhà cung cấp sẽ, với chi phí và chi phí của Nhà cung cấp, (i) hợp tác đầy đủ với Siemens trong việc điều tra vi phạm dữ liệu; (ii) hỗ trợ và hợp tác với Siemens liên quan đến bất kỳ thông báo hoặc tiết lộ nào theo yêu cầu pháp lý cho những người bị ảnh hưởng (thông qua giao tiếp cá nhân, giao tiếp công khai qua phương tiện truyền thông hoặc bằng các biện pháp tương tự), cơ quan thực thi pháp luật, cơ quan quản lý và/hoặc bên thứ ba khác; và (iii) thực hiện bất kỳ hành động nào khác mà Siemens cho là cần thiết liên quan đến vi phạm dữ liệu đó và bất kỳ tranh chấp nào, điều tra hoặc khiếu nại liên quan đến vi phạm dữ liệu.
• (e) Trừ khi luật hiện hành hoặc lệnh của cơ quan quản lý có thẩm quyền yêu cầu khác, Siemens sẽ đưa ra quyết định cuối cùng, theo quyết định riêng của mình, (i) liệu vi phạm dữ liệu có yêu cầu thông báo hay không và (ii) về cách thức thông báo. Trong trường hợp Nhà cung cấp cung cấp các thông báo như vậy liên quan đến vi phạm dữ liệu, bất kỳ thông báo nào như vậy phải được Siemens phê duyệt trước.
• (f) Nhà cung cấp phải trả chi phí thực hiện các biện pháp thích hợp để giải quyết vi phạm dữ liệu, bao gồm các biện pháp giảm thiểu tác động bất lợi của nó (bao gồm các biện pháp bảo vệ môi trường hoạt động). Nhà cung cấp cũng sẽ nhanh chóng thực hiện các bước được thiết kế để ngăn chặn sự tái diễn của bất kỳ vi phạm dữ liệu nào, bao gồm bất kỳ hành động nào được yêu cầu bởi Luật Bảo vệ Dữ liệu Áp dụng.
• (g) Nhà cung cấp sẽ hoàn trả cho Siemens tất cả các chi phí và chi phí phát sinh cho vi phạm dữ liệu đó do Nhà cung cấp gây ra, bao gồm nhưng không giới hạn ở chi phí cung cấp giám sát tín dụng cho các cá nhân có Dữ liệu Cá nhân bị ảnh hưởng bởi Vi phạm Dữ liệu Dữ liệu. Giới hạn trách nhiệm pháp lý có lợi cho Nhà cung cấp theo Thỏa thuận sẽ không áp dụng trong vấn đề này.

• (a) Nhà cung cấp phải (i) theo dõi, bằng các phương tiện thích hợp, việc tuân thủ các nghĩa vụ bảo vệ dữ liệu của mình theo DPA này và Luật Bảo vệ Dữ liệu Áp dụng; (ii) tạo các báo cáo định kỳ liên quan (ít nhất là hàng năm) và dựa trên cơ sở dịp (mỗi báo cáo a”Báo cáo”); và (iii) cung cấp Báo cáo cho Siemens và các đơn vị được ủy quyền theo yêu cầu. Trong trường hợp tiêu chuẩn và khung kiểm soát do Nhà cung cấp thực hiện quy định về kiểm soát, các kiểm soát đó sẽ được thực hiện theo các tiêu chuẩn và quy tắc của cơ quan quản lý hoặc công nhận đối với từng tiêu chuẩn hoặc khung kiểm soát áp dụng.
• (b) Nếu được yêu cầu giải quyết đầy đủ các quyền và nghĩa vụ kiểm toán của mình theo Luật bảo vệ dữ liệu hiện hành, các biện pháp bảo vệ chuyển giao hiện hành hoặc nếu được yêu cầu bởi cơ quan bảo vệ dữ liệu có thẩm quyền hoặc cơ quan chính phủ có thẩm quyền khác, Nhà cung cấp phải cung cấp cho Siemens và các đơn vị được ủy quyền - ngoài Báo cáo - tất cả các thông tin khác được yêu cầu hợp lý và cho phép và đóng góp cho các cuộc kiểm toán, bao gồm kiểm tra, được thực hiện bởi Siemens hoặc các đơn vị được ủy quyền hoặc kiểm toán viên khác do Siemens hoặc các tổ chức được ủy quyền ủy quyền thực hiện. Với mục đích đó, Siemens, các đơn vị được ủy quyền hoặc kiểm toán viên khác do Siemens hoặc các Tổ chức được ủy quyền ủy quyền cũng có quyền thực hiện kiểm tra tại chỗ trong giờ làm việc thông thường mà không làm gián đoạn hoạt động kinh doanh của Nhà cung cấp và sau khi có thông báo trước hợp lý.

Nếu Dịch vụ sử dụng cookie hoặc các công nghệ tương tự, các điều sau đây sẽ được áp dụng: Nhà cung cấp sẽ, trừ khi có sự đồng ý cụ thể của Siemens liên quan đến điều này Mục 14, chỉ lưu trữ thông tin (ví dụ: bằng cách viết cookie) hoặc truy cập vào thông tin đã được lưu trữ trong thiết bị đầu cuối của người dùng Dịch vụ (ví dụ: thông qua cookie) với mục đích duy nhất là thực hiện việc truyền thông qua mạng truyền thông điện tử, hoặc khi thực sự cần thiết để Nhà cung cấp cung cấp các chức năng cốt lõi của Dịch vụ.

Nhà cung cấp hiểu và đồng ý rằng các yêu cầu trong DPA này là một phần không thể thiếu của Thỏa thuận và, vi phạm nghiêm trọng bất kỳ yêu cầu nào trong số này sẽ được coi là vi phạm nghiêm trọng của Nhà cung cấp Thỏa thuận, cho phép Siemens có các biện pháp khắc phục liên quan đến vi phạm nghiêm trọng có trong Thỏa thuận.

Nếu và trong phạm vi Nhà cung cấp truy cập Dữ liệu Cá nhân nhận được từ một công ty thuộc tập đoàn Siemens được thành lập tại Hoa Kỳ (”Công ty Siemens Hoa Kỳ”) hoặc của chủ thể dữ liệu là cư dân của Hoa Kỳ, sau đó, ngoài những điều trên, Nhà cung cấp: (i) sẽ tuân thủ luật liên bang, tiểu bang và địa phương của Hoa Kỳ liên quan đến Dữ liệu Cá nhân áp dụng cho Nhà cung cấp, Dữ liệu Cá nhân đó và chủ sở hữu hoặc người kiểm soát Dữ liệu Cá nhân đó; khi áp dụng ở trên, thuật ngữ “Luật Bảo vệ Dữ liệu Áp dụng” như được sử dụng trong tài liệu này sẽ bao gồm các luật nói trên; (ii) trừ khi được quy định cụ thể trong tài liệu này hoặc Thỏa thuận, sẽ không bán, chia sẻ, cho thuê, phát hành, tiết lộ, phổ biến hoặc cung cấp Dữ liệu cá nhân cho bên thứ ba; và sẽ không kết hợp Dữ liệu Cá nhân với các thông tin khác; (iii) sẽ thông báo cho Siemens nếu Nhà cung cấp xác định rằng Nhà cung cấp không còn có thể đáp ứng nghĩa vụ của mình theo quy định này; (iv) sẽ đảm bảo rằng mỗi người xử lý Dữ liệu Cá nhân phải tuân theo nghĩa vụ bảo mật đối với Dữ liệu Cá nhân; (v) sẽ được coi là và sẽ hoạt động như một “nhà cung cấp dịch vụ” theo Luật Bảo vệ Dữ liệu Cá nhân áp dụng (bao gồm Luật Bảo vệ Dữ liệu Cá nhân California), các quy định thực hiện của nó và bất kỳ sửa đổi nào trong đó); và (vii) bằng cách này xác nhận rằng họ hiểu các hạn chế có trong tài liệu này và sẽ tuân thủ chúng.

Phụ lục I của DPA (và, nếu có, các Điều khoản hợp đồng tiêu chuẩn)

A.DANH SÁCH CÁC BÊN

Người nhận dịch vụ/xuất dữ liệu:

Nhà cung cấp/nhập dữ liệu:

B. MÔ TẢ CÁC HOẠT ĐỘNG CHUYỂN NHẬN/XỬ LÝ

C. CƠ QUAN GIÁM SÁT CÓ THẨM QUYỀN

Trường hợp Siemens được thành lập tại một quốc gia thành viên EU, cơ quan giám sát chịu trách nhiệm đảm bảo Siemens tuân thủ GDPR liên quan đến việc truyền dữ liệu sẽ đóng vai trò là cơ quan giám sát có thẩm quyền. Đối với Siemens Aktiengesellschaft, Đức, cơ quan giám sát là:

Thị trấn bảo vệ dữ liệu Bayerische Landesamt (BayLDA)

Lối đi dạo 18

91522 Ansbach

nước Đức

Trong trường hợp Siemens không được thành lập tại một Quốc gia thành viên EU, nhưng nằm trong phạm vi áp dụng lãnh thổ của GDPR theo Điều 3 (2), cơ quan giám sát của Quốc gia Thành viên nơi người đại diện theo nghĩa của Điều 27 (1) GDPR được thành lập sẽ đóng vai trò là cơ quan giám sát có thẩm quyền; cụ thể là:

Thị trấn bảo vệ dữ liệu Bayerische Landesamt (BayLDA)

Lối đi dạo 18

91522 Ansbach

nước Đức

Phụ lục II của DPA (và, nếu có, các Điều khoản hợp đồng tiêu chuẩn)

Các biện pháp kỹ thuật và tổ chức (bao gồm các biện pháp kỹ thuật và tổ chức để đảm bảo tính bảo mật của dữ liệu)

Các biện pháp sau đây sẽ chỉ áp dụng cho Nhà cung cấp, trong chừng mực các hệ thống CNTT, mạng và ứng dụng cơ bản thuộc trách nhiệm của và/hoặc dưới sự giám sát hoặc kiểm soát của Nhà cung cấp. Mô tả các biện pháp bảo mật kỹ thuật và tổ chức do Nhà cung cấp và (các) Bộ xử lý phụ của Nhà cung cấp thực hiện:

Phụ lục III của DPA (và, nếu có, các Điều khoản hợp đồng tiêu chuẩn)

DANH SÁCH CÁC BỘ XỬ LÝ CON VÀ VỊ TRÍ TRUNG TÂM DỮ LIỆU

“Biểu mẫu ủy quyền đối tác” quy định

Các tổ chức (bao gồm Đối tác và các đơn vị xử lý phụ) tham gia vào việc lưu trữ/lưu trữ dữ liệu cá nhân,

Vị trí trung tâm dữ liệu áp dụng,

Các đơn vị xử lý phụ tham gia vào việc xử lý dữ liệu cá nhân cho các mục đích không lưu trữ/lưu trữ,

được kết hợp ở đây bằng tài liệu tham khảo này.

Nhà cung cấp sẽ không chuyển Dữ liệu Cá nhân từ Địa điểm Trung tâm Dữ liệu tương ứng mà không có sự đồng ý của Siemens. Cơ chế thông báo và phản đối có trong Mục 8 sẽ không áp dụng trong vấn đề này.