Brain Corporation EULA-tietosuojalisäys
Brain Corporation EULA-tietosuojalisäys
Tämä EULA-tietosuojalisäys (”Lisäys”) liittyy loppukäyttäjän lisenssisopimukseen sinun ( ”Loppukäyttäjä”) ja Brain Corporationin (”Brain”) välillä ja on lisenssisopimuksen ehtojen alainen (”EULA” tarkoittaa EULA- sopimusta ja lisäystä yhdessä ja niistä käytetään tässä nimitystä ”Sopimus”).
1. Määritellyt termit. Tässä lisäyksessä käytetyillä isoin alkukirjaimin kirjoitetuilla nimityksillä, joita ei ole muuten tässä yhteydessä määritelty, on sama merkitys kuin EULA-sopimuksessa.
a. ”Sidosyhteisö” tarkoittaa mitä tahansa yhteisön, joka suoraan tai epäsuorasti hallitsee, on määräysvallassa tai yhteisessä määräysvallassa kohteena olevan yhteisön kanssa. ”Määräysvalta” tarkoittaa tässä määritelmässä suoraa tai välillistä omistusta tai määräysvaltaa yli 50 prosentin enemmistöosuudella kohteena olevan yhteisön äänivallasta.
b. ”BrainOS-yhteensopiva robotti” tarkoittaa mitä tahansa robottia, joka sisältää ohjelmiston ja toimitetaan EULA:n mukaisen aktiivisen tilauksen alaisena.
c. ”Loppukäyttäjän henkilötiedot” tarkoittaa henkilötietoja, jotka loppukäyttäjän työntekijät, urakoitsijat tai muut nimetyt edustajat ovat antaneet Brainille, kun he käyttävät BrainOS- yhteensopivien robottien ohjelmistoja.
d. ”Rekisterinpitäjä” tarkoittaa yhteisöä, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
e. ”Tietosuojalait” tarkoittaa tietosuoja- ja yksityisyyslakeja ja -määräyksiä, joita sovelletaan henkilötietojen käsittelyyn kaikilla asiaankuuluvilla lainkäyttöalueilla.
f. ”Rekisteröity henkilö” tarkoittaa tunnistettua tai tunnistettavissa olevaa henkilöä, johon loppu- käyttäjän henkilötiedot liittyvät.
g. ”EEA” tarkoittaa Euroopan talousaluetta.
h. ”Euroopan tietotuojalait” tarkoittaa kaikkia sovellettavia tietosuoja- ja yksityisyydensuojalakeja ja - asetuksia Euroopan lainkäyttöalueilla, mukaan lukien ETA-alueiden osalta yleinen tietosuoja-asetus (EU) 2016/679 ja kaikki sitä seuraavat säädökset ja niihin liittyvät kansalliset täytäntöönpanot (”GDPR”) ja Yhdistyneen kuningaskunnan osalta Yhdistyneen kuningaskunnan tietosuojalaki 2018.
i. ”Muut kuin Euroopan tietosuojalait” tarkoittaa kaikkia sovellettavia tietosuoja- ja yksityisyyslakeja ja -määräyksiä Euroopan lainkäyttöalueiden ulkopuolella, kuten liitteessä IV on kuvattu.
j. ”Henkilötiedot” tarkoittaa sovellettavien tietolakien mukaisia henkilötietoja.
k. ”Käsittely, käsitelty ja käsittelyssä” tarkoittaa mitä tahansa toimenpidettä tai toimintasarjaa, joka suoritetaan loppukäyttäjän henkilötiedoille tai loppukäyttäjän henkilötietojen sarjoille, joko automatisoiduin keinoin, kuten kerääminen, tallentaminen, järjestäminen, jäsentäminen, tallentaminen, mukauttaminen tai muuttaminen, hakeminen, kuuleminen, käyttäminen, paljastaminen, lähettäminen, levittäminen tai muutoin asettaminen saataville, kohdistaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen.
l. ”Tietoturvatapahtuma” tarkoittaa palveluiden yhteydessä seuraavaa: (i) loppukäyttäjän henkilötietojen katoaminen tai väärinkäyttö (millä tahansa tavalla); (ii) loppukäyttäjän henkilötietojen tahaton, luvaton ja/tai laiton paljastaminen, käsittely, muuttaminen, tuhoaminen, myynti, vuokraus tai tuhoaminen tai muu rikkomus, joka liittyy loppukäyttäjän henkilötietoihin; (iii) mikä tahansa palveluissa olevien loppukäyttäjän henkilötietojen haavoittuvuuden vaarantaminen tai hyödyntäminen; tai (iv) mikä tahansa loppukäyttäjän henkilötietojen haavoittuvuuden vahvistettu altistaminen tai hyväksikäyttö (joka voi johtua teosta tai tekemättä jättämisestä), joka voisi johtaa mihin tahansa tässä kohdassa (1.k.i) tai (1.k.iii) kuvattuihin tapahtumiin.
m. ”Palvelut” tarkoittaa palveluja, jotka Brain tarjoaa loppukäyttäjälle EULA:n mukaisesti.
n. ”Vakiosopimuslausekkeet” tai ”SCC” tarkoittaa loppukäyttäjän ja Brainin välistä sopimusta, joka on liitetty tähän liitteeseen V Euroopan komission 4. kesäkuuta 2021 tehdyn vakiosopimus-
lausekkeista annetun täytäntöönpanopäätöksen (EU) 2021/914 mukaisesti tarkoituksena siirtää henkilötietoja sellaisiin kolmansiin maihin sijoittautuneille käsittelijöille, jotka eivät takaa riittävää tietosuojan tasoa Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti.
o. ”Alikäsittelijä” tarkoittaa kolmatta osapuolta, jota Xxxxx käyttää tämän lisäyksen liitteen III mukaisesti käsittelyn suorittamiseksi.
p. ”Sopimuskausi” tarkoittaa EULA:n mukaisen aktiivisen tilauksen kestoaikaa
2. Tietojen käsittely.
a. Osapuolten roolit. Osapuolet tiedostavat, että palvelujen mukaisessa loppukäyttäjän henkilötietojen käsittelyssä loppukäyttäjä on rekisterinpitäjä ja Brain käsittelijä.
b. Brainin henkilötietojen käsittely. Xxxxx ja sen sidosyhtiöt käsittelevät loppukäyttäjän henkilötietoja loppukäyttäjän laatimien kirjallisten ohjeiden mukaisesti. Brain ja loppukäyttäjä sopivat, että Xxxxx ja sen sidosyhtiöt käsittelevät loppukäyttäjän henkilötietoja liitteessä I esitettyjen tarkoitusten, kestoaikojen ja muiden yksityiskohtia mukaisesti.
c. Loppukäyttäjän vaatimustenmukaisuusvelvoitteet. Rajoittamatta tämän osion 2 (Tietojen käsittely) yleispätevyyttä loppukäyttäjä takaa, että:
i. loppukäyttäjä on yksin vastuussa loppukäyttäjän henkilötietojen tarkkuudesta, laadusta ja laillisuudesta sekä tavoista, joilla loppukäyttäjä on hankkinut loppukäyttäjän henkilötietoja;
ii. loppukäyttäjä myöntää nimenomaisesti, että hänen palvelujensa käyttö ei riko sellaisen rekisteröidyn henkilön oikeuksia, joka on kieltäytynyt luovuttamasta loppukäyttäjän henkilötietoja tai muuta julkistamista tietolakien mukaisessa laajuudessa; ja
iii. loppukäyttäjä on ryhtynyt ja sitoutuu edelleen ryhtymään kaikkiin tarvittaviin toimiin koko sopimuskauden ajan (ottaen huomioon loppukäyttäjän henkilötietojen keruun olosuhteet) tarjotakseen asianomaisille rekisteröidyille henkilöille tarkan, ymmärrettävän, ytimekkään, näkyvän ja helposti saatavilla olevan kuvauksen kaikesta loppukäyttäjän henkilötietojen käsittelystä, joka on suoritettu tämän lisäyksen mukaisesti ja sen yhteydessä, ja jotka riittävät täyttämään GDPR:n artiklan 13/14 standardit ja vaatimukset.
3. Tietoturvallisuus.
a. Brainin tietoturvatoimenpiteet. Ottaen huomioon tekniikan taso, täytäntöönpanosta aiheutuvat kustannukset ja käsittelyn luonne, laajuus, konteksti ja tarkoitukset (kuten liitteessä I on esitetty) sekä luonnollisten henkilöiden oikeuksien ja vapauksien vaihtelevan todennäköisyyden ja vakavuuden riski, Brain on toteuttanut ja ylläpitää edelleen teknisiä ja organisatorisia toimenpiteitä, jotka on suunniteltu suojaamaan loppukäyttäjän henkilötietoja vahingossa tapahtuvalta tai laittomalta tuhoamiselta, katoamiselta, muuttamiselta, luvattomalta paljastamiselta tai pääsyltä loppukäyttäjän henkilötietoihin, kuten liitteessä II on kuvattu. Brain voi ajoittain päivittää tai muokata tietoturva- ohjelmaansa edellyttäen, että tällaiset päivitykset ja muutokset eivät olennaisesti heikennä loppu- käyttäjän henkilötietojen yleistä turvallisuutta.
b. Brainin henkilöstön tietoturvan vaatimustenmukaisuus. Brain myöntää pääsyn loppukäyttäjän henkilötietoihin vain työntekijöille, alihankkijoille ja alikäsittelijöille, jotka tarvitsevat pääsyn suorituksensa vuoksi ja joihin sovelletaan asianmukaisia luottamuksellisuusjärjestelyjä.
c. Brainin tietoturvan avustaminen. Ottaen huomioon loppukäyttäjän henkilötietojen käsittelyn luonne ja Xxxxxxx käytettävissä olevat tiedot, Brain tarjoaa loppukäyttäjälle kohtuullista apua, jota loppu- käyttäjä tarvitsee täyttääkseen eurooppalaisten tietosuojalainsäädännön mukaiset velvollisuutensa loppukäyttäjän henkilötietojen osalta, mukaan lukien GDPR:n artiklat 32–34 (sisältyvästi):
i. varmistamalla, että Xxxxxxx alikäsittelijät toteuttavat ja ylläpitävät turvatoimenpiteitä osion 3(a) (Tietoturvatoimenpiteet) mukaisesti;
ii. noudattamalla osion 4 (Tietoturvatapahtumat) ehtoja; ja
iii. toimittamalla loppukäyttäjälle materiaalia osion 5 (Tarkastukset) ja sopimuksen ja tämän lisäyksen mukaisesti.
4. Tietoturvatapahtumat.
a. Brainin velvollisuudet. Xxxxx ilmoittaa loppukäyttäjälle sähköpostitse ja/tai puhelimitse kaikista todellisista tietoturvatapahtumista ilman aiheetonta viivytystä sen jälkeen, kun Xxxxx on saanut tiedon. Brainin on ryhdyttävä kohtuullisiin toimiin tällaisen tietoturvatapahtuman syyn tutkimiseksi, loppukäyttäjälle aiheutuvan vahingon minimoimiseksi ja tällaisen tietoturvatapahtuman toistumisen estämiseksi. Brain tutkii kaikki tällaiset tietoturvatapahtumat ja ryhtyy tarvittaviin toimenpiteisiin poistaakseen tai rajoittaakseen tällaiseen tietoturvatapahtumaan johtaneet altistukset Brainin tietoturvaohjelman ja sovellettavan lain mukaisesti. Osapuolet sopivat koordinoivansa vilpittömästi kaikkien asiaan liittyvien julkisten lausuntojen tai vaadittujen ilmoitusten sisällön kehittämistä asianomaisille rekisteröidyille ja/tai ilmoituksia asianomaisille tietosuojaviranomaisille.
b. Loppukäyttäjän velvoitteet. Muuten kuin asiaan liittyvien julkisten lausuntojen tai vaadittujen ilmoitusten sisällöstä sopiminen, loppukäyttäjä on yksin vastuussa loppukäyttäjään sovellettavien vaaratilanteiden ilmoittamista koskevien lakien noudattamisesta ja kaikkiin tietoturvatapahtumiin liittyvien kolmannen osapuolen ilmoitusvelvollisuuksien täyttämisestä. Brainin ilmoitusta tai vastausta tietoturvatapahtumasta ei tulkita Brain tunnustuksena mistään tietoturvatapahtumaan liittyvästä viasta tai vastuusta.
Loppukäyttäjä hyväksyy, että lieventämättä Brainin osion 4 (Tietoturvatapahtumat) mukaisia velvoitteita loppukäyttäjä on yksin vastuussa palveluiden käytöstä, mukaan lukien:
i. palvelujen asianmukainen käyttö tarkoituksella varmistaa turvallisuustaso, joka vastaa loppukäyttäjän henkilötietoihin liittyvää riskiä;
ii. tilin todentamistietojen, järjestelmien ja laitteiden turvaaminen, joiden avulla loppukäyttäjä pääsee palveluihin;
iii. loppukäyttäjän järjestelmien ja laitteiden turvaaminen, joita Brain käyttää palveluiden tarjoamiseen; ja
iv. loppukäyttäjän henkilötietojen varmuuskopiointi.
5. Tarkastukset. Brain arvioi, testaa ja valvoo Brain-tietoturvaohjelman tehokkuutta ja korjaa ja/tai päivittää Brain-tietoturvaohjelmaa kyseisen arvioinnin, testauksen ja seurannan tulosten perusteella. Brain voi ajoittain suorittaa arvioinnin Brainin loppukäyttäjien henkilötietojen suojausohjelman toteutuksesta ja ylläpidosta sekä siihen liittyvästä tietosuojalakien noudattamisesta (”Tarkastusraportti”). Loppu- käyttäjän kohtuullisesta pyynnöstä Brain toimittaa kulloinkin voimassa olevan tarkastusraporttinsa; edellyttäen kuitenkin, että loppukäyttäjä hyväksyy, että jokainen tällainen tarkastusraportti on Brainin luottamuksellinen tieto.
6. Lain edellyttämät ilmoitukset. Brain voi paljastaa loppukäyttäjän henkilötietoja ja muuta loppukäyttäjää koskevaa tietoa valtionhallinnolle tai lainvalvontaviranomaisille tai yksityiselle osapuolelle, jos Brain uskoo sen olevan tarpeellista tai asianmukaista vastatakseen laillisiin pyyntöihin, vaatimuksiin ja määräyksiin, mukaan lukien toimeenpano- tai hallintoelimen, sääntelyviraston tai muun valtion viranomaisen haaste, oikeudellinen, hallinnollinen tai sääntelevä määräys, tarkoituksenaan Brainin tai minkä tahansa kolmannen osapuolen turvallisuuden, omaisuuden tai oikeuksien suojeleminen, laittoman,
epäeettisen tai laillisesti kanteen kohteena olevaa toiminnan estäminen tai pysäyttäminen tai sovellettavien lakien noudattaminen. Ellei sovellettavassa laissa toisin edellytetä, Xxxxx ilmoittaa loppukäyttäjälle kaikista oikeudellisista pyynnöistä, vaatimuksista ja määräyksistä, jotka Brain saa ja jotka liittyvät loppukäyttäjän henkilötietojen käsittelyyn.
7. Rekisteröidyn oikeudet.
a. Loppukäyttäjän vastuu pyyntöjä koskien. Jos Brain saa rekisteröidyltä pyynnön, joka liittyy loppukäyttäjän henkilötietoihin, Brain neuvoo rekisteröityä lähettämään pyyntönsä loppukäyttäjälle, ja loppukäyttäjä on velvollinen vastaamaan näihin pyyntöihin.
b. Brainin rekisteröidyn henkilön avunpyyntö. Ottaen huomioon loppukäyttäjän henkilötietojen käsittelyn luonteen, Brain vaatii alikäsittelijöitään tarjoamaan loppukäyttäjälle kohtuullista apua, jotta käyttäjä voi täyttää sovellettavan lain mukaisen velvollisuutensa vastata rekisteröityjen pyyntöihin, mukaan lukien soveltuvin osin loppukäyttäjän velvollisuus vastata tietosuoja-asetuksen luvussa III määriteltyihin rekisteröidyn oikeuksien käyttöä koskeviin pyyntöihin. Loppukäyttäjä maksaa Brainille korvauksen kaikesta tällaisesta palveluihin liittyvästä avusta, joka ylittää palveluihin sisältyvien itsepalveluominaisuuksien tason Brainin kulloinkin voimassa olevien asiantuntijapalvelujen hinnoilla, jotka on pyynnöstä annettava loppukäyttäjän saataville.
8. Tiedonsiirrot ETA:n ulkopuolelle. Jos loppukäyttäjän henkilötietojen tallentaminen ja/tai käsittely tapahtuu ETA:n sisällä, siihen liittyy loppukäyttäjän henkilötietojen siirtoja ETA:n tai Sveitsin ulkopuolelle ja näiden tietojen siirtoon sovelletaan Euroopan tietosuojalainsäädäntöä, Brain ja sen alaosa käsittelijät suorittavat tällaiset siirrot SCC:n ehtojen mukaisesti ja antavat pyynnöstä loppukäyttäjän saataville tiedot tällaisista siirroista.
9. Alikäsittelijät. Loppukäyttäjä tiedostaa ja hyväksyy, että Brain voi palkata alikäsittelijöitä käsittelemään loppukäyttäjän henkilötietoja loppukäyttäjän puolesta. Xxxxxxxx hyväksytyistä alikäsittelijöistä on liitteessä
III. Loppukäyttäjä hyväksyy, että kaikki tällaiset hyväksytyt alikäsittelijät saavat käsitellä loppukäyttäjän henkilötietoja tässä esitetyssä ominaisuudessa ja tarkoituksissa. Brain ylläpitää luetteloa aliprosessoreista liitteen III mukaisesti. Brain päivittää verkkosivustonsa uusien alikäsittelijöiden mukaan kymmenen (10) kalenteripäivän kuluessa ennen kuin alikäsittelijä alkaa käsitellä loppukäyttäjän henkilötietoja. Loppukäyttäjällä on kymmenen (10) kalenteripäivää aikaa perustellusti vastustaa minkä tahansa uuden alikäsittelijän lisäämistä.
10. Tietueiden säilyttäminen ja tuhoaminen. Xxxxxxx on säilytettävä loppukäyttäjän puolesta suorittamiinsa käsittelytoimintoihin liittyvät tiedot, jotka liittyvät loppukäyttäjän henkilötietoihin, vähintään sopimuskauden ajan. Tämän sopimuksen päätyttyä Xxxxx poistaa kaikki hallussaan olevat loppukäyttäjän henkilötiedot edellyttäen kuitenkin, että Xxxxx voi säilyttää kopion näistä loppukäyttäjän henkilötiedoista sovellettavan lain edellyttämässä laajuudessa.
11. Ilmoitukset. Tässä yhteydessä vaaditut tai sallitut ilmoitukset loppukäyttäjälle voidaan toimittaa loppukäyttäjän ensisijaiseen yhteysosoitteeseen Xxxxxxx kanssa. Tässä yhteydessä vaaditut tai sallitut ilmoitukset Brainille voidaan toimittaa sähköpostitse osoitteeseen xxxxxxx@xxxxxxxxx.xxx. Loppukäyttäjä on yksin vastuussa siitä, että tällainen sähköpostiosoite on voimassa.
12. Lainkäyttövallan erityisehdot. Siltä osin kuin Xxxxx käsittelee loppukäyttäjän henkilötietoja, jotka ovat peräisin Euroopan ulkopuolelta ja suojatut muilla kuin Euroopan tietosuojalaeilla, liitteessä IV määriteltyjä lainkäyttövaltaa koskevia ehtoja sovelletaan tässä esitettyjen ehtojen lisäksi. Jos tämän lainkäyttövallan mukaisten ehtojen ja tämän lisäyksen välillä on ristiriita, kyseisen lainkäyttövallan ehdot ovat päteviä.
13. Näiden ehtojen voimassaolo. Ellei tässä toisin mainita, tämän lisäyksen ehdot, mukaan lukien liitteet, ovat osa sopimusta ja sisällytetään siihen, ja tämän lisäyksen ehdot muodostavat osapuolten välisen kaikkinaisen ja yksinomaisen sopimuksen tähän aiheeseen liittyen. Mikäli tämän lisäyksen ja EULA:n ehtojen välillä on ristiriitaa tai epäjohdonmukaisuutta, tämä lisäys on voimassa.
Liite I – Käsittelyn yksityiskohdat
Aihe | Loppukäyttäjän toteuttama käyttö tietyissä BrainOS-yhteensopivien robottien tiloissa palvelujen yleisen tarjoamisen yhteydessä loppukäyttäjälle sopimuksen nojalla ja sen mukaisesti. |
Käsittelyn kesto | Kokonaisaika, jonka kuluessa Xxxxx käsittelee loppukäyttäjän henkilötietoja sopimuksen mukaisesti, on sopimuskausi plus ajanjakso sopimuksen päättymisestä siihen asti, kun Brain poistaa kaikki loppukäyttäjän henkilötiedot sopimuksen mukaisesti. |
Käsittelyn taajuus | Jatkuva käsittely |
Käsittelyn luonne ja tarkoitus | Brain käsittelee kaikkia tällaisia loppukäyttäjän henkilötietoja seuraaviin tarkoituksiin: i. Käsittely palvelujen tukemiseksi, mukaan lukien palvelujen tarjoaminen, tuki ja ylläpito, mukaan lukien muu EULA:n mukainen käsittely. ii. Käsittely sopimuksen mukaisten loppukäyttäjän ohjeiden noudattamiseksi, mukaan lukien muun muassa yhteydenpito loppukäyttäjän kanssa, tukitikettien ja -pyyntöjen käsittely sekä Brainin ja loppukäyttäjän välisen liikesuhteen yleinen tukeminen. iii. Käsittely EULA:n mukaisesti ja/tai sen edellyttämällä tavalla. iv. Palvelujen käyttöön liittyvien anonymisoitujen ja/tai koottujen tietojen luonti ja muuttaminen niin, että sen perusteella ei voi tunnistaa loppukäyttäjää tai ketään luonnollista henkilöä, sekä tällaisten tietojen käyttö, julkistus ja jakaminen kolmansien osapuolten kanssa Brainin tuotteiden ja palvelujen parantamiseksi. |
Tietoluokat ja rekisteröidyt | Tietoluokat sisältävät palveluja käyttävien loppukäyttäjän työntekijöiden, urakoitsijoiden tai muiden nimettyjen edustajien yhteystietoja, joita voivat olla etunimi, sukunimi, käyttäjätunnus, salasana ja matkapuhelinnumero. Rekisteröidyt ovat loppukäyttäjien työntekijöitä, urakoitsijoita tai muita nimettyjä edustajia, joilla on pääsy palveluihin. Kyse ei ole mistään arkaluonteisista tiedoista. |
Tietojen säilyttämisen aikajakso | Loppukäyttäjän henkilötietoja säilytetään vain niin kauan kuin on tarpeen tai tarkoituksenmukaista sopimuksen tarkoituksen ja sovellettavien lakien, päätösten ja sääntelyviranomaisten ohjeiden mukaisesti. |
Siirrot alikäsittelijöille | Xxxxx alikäsittelijöille tehtäviä siirtoja koskevat tiedot liitteestä III. |
Liite II – Tietoturvatoimenpiteet
Brainin suojatoimiin kuuluvat asianmukaiset tekniset, fyysiset ja organisatoriset toimenpiteet, standardit, vaatimukset, spesifikaatiot tai velvoitteet, jotka on suunniteltu varmistamaan käsittelyn aiheuttamiin riskeihin ja suojeltavien henkilötietojen luonteeseen sopiva turvallisuuden taso, kun samalla huomioidaan uusin käytettävissä oleva tekniikka, täytäntöönpanokustannukset, käsittelyn luonne, laajuus, konteksti ja tarkoitukset sekä luonnollisten henkilöiden oikeuksien ja vapauksien vaihtelevan todennäköisyyden ja vakavuuden riski. Tiedon toimittajan toteuttamat muut tekniset ja organisatoriset turvatoimenpiteet on kuvattu lisäyksessä.
Liite III – Hyväksytyt alikäsittelijät
Loppukäyttäjä voi löytää luettelon hyväksytyistä Brainin alikäsittelijöistä osoitteessa: xxxxx://xxx.xxxxxxxxx.xxx/xxxxx-xxxx-xxxx-xxx-xxxxxxxxxx/.
Liite IV – Lainkäyttöalueen erityisehdot
Kalifornia:
(1) Seuraavat lisäehdot koskevat Kalifornian asukkaiden henkilötietojen käsittelyä:
a. Kumpikin osapuoli noudattaa Kalifornian kuluttajansuojalakia (”CCPA”) sellaisena kuin se on muutettuna Kalifornian yksityisoikeuslailla (”CPRA”) (yhteisellä nimityksellä ”Kalifornian yksityisyydensuojalaki”)
b. Siltä osin kuin Xxxxx vastaanottaa minkä tahansa ”kuluttajan” (kuten määritelty Kalifornian yksityisyydensuojalaissa) loppukäyttäjän henkilötietoja (tämän liitteen tarkoituksia varten, henkilötiedot kuten määritelty Kalifornian yksityisyydensuojalaissa) käsitelläkseen (kuten määritelty Kalifornian yksityisyydensuojalaissa) niitä loppukäyttäjän puolesta tämän sopimuksen mukaisesti, Brain:
i. on loppukäyttäjälle Kalifornian yksityisyydensuojalain alainen ”Palveluntarjoaja”;
ii. ei säilytä, käytä tai paljasta henkilötietoja mihinkään muuhun tarkoitukseen kuin palveluiden erityiseen tarkoitukseen tai muuhun Kalifornian yksityisyydensuojalain sallimaan tarkoitukseen, mukaan lukien ”liiketoimintatarkoitukset” (kuten määritelty Kalifornian yksityisyydensuojalaissa);
iii. vahvistaa, että kaikki valtuutetut alihankkijat tai kolmannet osapuolet, joille palveluntarjoaja luovuttaa Brainin henkilötietoja tai tarjoaa pääsyn niihin, ovat näiden samojen velvoitteiden alaisia;
iv. ei säilytä, käytä tai paljasta henkilötietoja ”kaupalliseen tarkoitukseen” (kuten määritelty Kalifornian yksityisyydensuojalaissa) muulla tavoin kuin palvelujen tarjoamisen yhteydessä;
v. ei käsittele henkilötietoja omaan tai minkään muun kolmannen osapuolen tarkoitukseen. Epäselvyyksien välttämiseksi palveluntarjoaja ei saa ”myydä” tai ”jakaa” henkilötietoja siten kuin nämä termit on määritelty Kalifornian yksityisyydensuojalaissa. Palveluntarjoaja ei ryhdy toimiin, jotka aiheuttaisivat sen, että palveluntarjoaja ei enää ole Kalifornian yksityisyydensuojalain määritelmän mukainen ”palveluntarjoaja” henkilötietojen osalta ja vakuuttaa ymmärtävänsä sovellettavien sopimusten ja sovellettavien yksityisyydensuojalakien mukaiset rajoitukset. Kaikki palveluntarjoajalta vaadittavat velvoitteet täyttää ja ylläpitää palveluntarjoajan asema Kalifornian yksityisyydensuojalain tai muiden sovellettavien yksityisyydensuojalakien mukaisesti, nyt tai myöhemmin, katsotaan sisältyväksi viittauksin palveluntarjoajan nimenomaisiin velvoitteisiin tässä yhteydessä;
vi. palvelujen päättyessä palveluntarjoaja poistaa sinun pyynnöstäsi kaikki sinun puolestasi käsitellyt henkilötiedot ja vahvistaa tehneensä niin, tai palauttaa sinulle kaikki hänen puolestaan käsitellyt henkilötiedot ja poistaa olemassa olevat kopiot;
vii. tekee yhteistyötä ja auttaa sinua huolehtimaan omasta Kalifornian yksityisyydensuojalain noudattamisestaan sovellettavien sopimusten mukaisesti, mukaan lukien muun muassa pyydettyjen Kalifornian yksityisyydensuojalain mukaisten henkilötietojen toimittaminen vastauksena kuluttajien pyyntöihin sekä henkilötietojen korjaaminen tai poistaminen tai arkaluonteisten tietojen käytön rajoittaminen vastauksena tällaisiin pyyntöihin;
viii. antaa sinulle oikeuden ryhtyä kohtuullisiin ja asianmukaisiin toimenpiteisiin, mukaan lukien kohtuulliset arvioinnit sen varmistamiseksi, että palveluntarjoaja käyttää siirrettyjä henkilötietoja sillä tavoin kuin Kalifornian yksityisyydensuojalaki Brainia velvoittaa. Palveluntarjoajan on ilmoitettava sinulle välittömästi, jos se toteaa, ettei se enää voi noudattaa Kalifornian yksityisyydensuojalain vaatimuksia;
ix. noudattaa ja tarjoaa samantasoinen yksityisyydensuojan kuin Kalifornian yksityisyydensuojalait vaativat siinä laajuudessa kuin se soveltuu palveluntarjoajan suorittamaan sinun henkilötietojesi käsittelyyn. Lisäksi palveluntarjoaja asettaa soveltuvin osin myös Kalifornian yksityisyydensuojalain vaatimukset kaikille henkilötietoja käsitteleville alihankkijoille; ja
x. viipymättä (ja joka tapauksessa seitsemän päivän kuluessa vastaanottamisesta) noudattaa loppukäyttäjän kirjallisia ohjeita, jotka liittyvät henkilön esittämään pyyntöön vastaamiseen, kun pyyntö koskee henkilötietoihin liittyviä yksityisyyden oikeuksia.
(2) Jos Brain valtuuttaa minkä tahansa alihankkijan, palveluntarjoajan tai kolmannen osapuolen käsittelemään loppukäyttäjän henkilötietoja, Brain laatii sellaiset sopimusehdot, että kyseinen alihankkija, palveluntarjoaja tai kolmas osapuoli on CCPA:ssa määritelty ”palveluntarjoaja” eikä ”kolmas osapuoli” siinä ominaisuudessa kuin Kalifornian yksityisyydensuojalaki määrittelee.
Kanada:
(1) Seuraavat lisäehdot koskevat Kanadan asukkaiden henkilötietojen käsittelyä:
a. Siltä osin kuin mikä tahansa alikäsittelijä käsittelee Kanadan asukkaisiin liittyviä loppukäyttäjän henkilötietoja, kyseinen alikäsittelijä on henkilötietojen suojaa ja sähköisiä asiakirjoja koskevan lain mukainen kolmas osapuoli, jonka kanssa Brain on tehnyt kirjallisen sopimuksen, jolla on käytännössä samanlainen suoja kuin tässä lisäyksessä on määritetty. Lisäksi Xxxxx suorittaa asianmukaisen due diligence -tarkastuksen kaikista sellaisista alikäsittelijöistä.
Liite V Vakiosopimuslausekkeet
VAKIOSOPIMUSLAUSEKKEET
Ottaen huomioon Euroopan komission 4. kesäkuuta 2021 tehdyn vakiosopimuslausekkeista annetun täytäntöönpanopäätöksen (EU) 2021/914 mukaisesti tarkoituksena siirtää henkilötietoja sellaisiin kolmansiin maihin sijoittautuneille käsittelijöille, jotka eivät takaa riittävää tietosuojan tasoa Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 mukaisesti.
Loppukäyttäjä (EULA:n määrittelyn mukaisesti)
Yllä olevassa taulukossa yksilöity tietoja vievä organisaatio (”tietojen viejä”)
- ja -
Brain Corporation
(”tietojen tuoja”), jossa kumpikin ”osapuoli” eli ”osapuolet” yhdessä
OVAT HYVÄKSYNEET sopimuslausekkeet siirtäessään kolmansiin maihin henkilötietoja, jotka on aiemmin siirretty Euroopan talousalueella sijaitsevalta rekisterinpitäjältä Yhdysvalloissa sijaitsevalle henkilötietojen käsittelijälle Euroopan komission 4. kesäkuuta 2021 toimeenpaneman henkilötietojen siirtoa koskevan vakiosopimuslausekkeista tehdyn päätöksen mukaisesti. Sopimuslausekkeita sovelletaan Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (lausekkeet) mukaisesti tehtäviin henkilötietojen siirtoihin kolmansissa maissa sijaitseville käsittelijöille, jotta voidaan tarjota riittävät takeet yksityisyyden ja yksilöiden perusoikeuksien ja -vapauksien suojaamiseksi liitteessä I määriteltyjen henkilötietojen siirrossa tietojen viejältä tietojen tuojalle.
Lausekkeet on liitetty tähän viittaamalla erilaisiin vaihtoehtoihin ja valinnaisiin moduuleihin, jotka on valittu seuraavasti:
• Kaikki osiot: Moduuli KAKSI
• Xxxx XX, lauseke 9(a): VAIHTOEHTO 2, Yleinen kirjallinen valtuutus alikäsittelyä varten
• Xxxx XX, lauseke 11(a): EI SISÄLLÄ VAIHTOEHTOA
• Xxxx XX, lauseke 17: VAIHTOEHTO 1, Tiedon viejän sijainti.
• Xxxx XX, lauseke 18: Tietojen viejään liittyvä lainkäyttöalue
Liitteet I, II, III ja IV liitetään näihin lausekkeisiin.
LIITE I ... LIITE V
A. OSAPUOLIEN LUETTELO
Tietojen viejä(t): Loppukäyttäjä, rekisterinpitäjä (EULA:n määrittelyn mukaisesti)
Tietojen tuoja(t): Brain Corporation, henkilötietojen käsittelijä
B. SIIRRON KUVAUS
Osapuolet sopivat, että Xxxxxxx käsittelytoiminnan yksityiskohdat esitetään lisäyksen liitteessä I.
LIITE I ... LIITE V
TEKNISET JA ORGANISATORISET TOIMENPITEET MUKAAN LUKIEN TEKNISET JA ORGANISATORISET TOIMENPITEET TIETOJEN TURVALLISUUDEN VARMISTAMISEKSI.
Osapuolet sopivat, että tekniset ja organisatoriset toimenpiteet esitetään lisäyksen liitteessä II.
LIITE III ... LIITE V
ALIKÄSITTELIJÖIDEN LUETTELO
Osapuolet sopivat, että luettelo hyväksytyistä alikäsittelijöistä on lisäyksen liitteessä III.
LIITE IV ... LIITE V
Osapuolet sopivat, että vakiosopimuslausekkeet antavat asianmukaisen turvan ETA:sta siirrettyjen loppukäyttäjien henkilötietojen riittävän suojaustason varmistamiseksi. Henkilötietojen käsittelijä on dokumentoinut siirtoa koskevan vaikutusarvion, joka tukee tätä määritystä ja on rekisterinpitäjän saatavilla kirjallisesta pyynnöstä.