UMOWA O OCHRONIE DANYCH SPRZEDAWCA
UMOWA O OCHRONIE DANYCH SPRZEDAWCA
Niniejsza Umowa o ochronie danych („DPA”) zostaje zawarta między firmą Cepheid w imieniu własnym oraz, w zakresie wymaganym przez obowiązujące przepisy i regulacje dotyczące ochrony danych, w imieniu i na rzecz jej upoważnionych podmiotów stowarzyszonych, jeśli i w zakresie, w jakim Sprzedawca przetwarza Dane osobowe, dla których takie upoważnione podmioty stowarzyszone kwalifikują się jako Administrator i Sprzedawcą (zwanym dalej „Sprzedawcą”). Firma Cepheid i Sprzedawca są dalej w niniejszym dokumencie odrębnie zwani „Stroną”, a łącznie „Stronami”.
Niniejsza Umowa jest zawarta w odniesieniu do relacji biznesowych między Cepheid a Sprzedawcą i stanowi ich część („Umowa”) w celu zapewnienia minimalnych standardów ochrony danych i bezpieczeństwa cybernetycznego oraz związanych z nimi wymagań oraz jest zawierana i wchodzi w życie z chwilą rozpoczęcia przekazywania Danych osobowych.
Warunki Umowy o ochronie danych mają zastosowanie, gdy i w zakresie, w jakim wymaga tego Obowiązujące prawo (zdefiniowane poniżej).
NINIEJSZYM, za dobre i wartościowe wynagrodzenie, którego otrzymanie i wystarczalność zostaje niniejszym potwierdzona, Strony uzgadniają, co następuje:
1. Definicje.
(A) „Obowiązujące prawo” oznacza każde prawo (w tym wszystkie obowiązujące na całym świecie przepisy i regulacje dotyczące ochrony danych i prywatności mające zastosowanie do danych osobowych, w tym, w stosownych przypadkach, przepisy UE dotyczące ochrony danych lub POPIA ), zasady lub regulacje mające zastosowanie do Umowy, Usług lub Strony i obowiązujące standardy branżowe dotyczące prywatności, ochrony danych, poufności, bezpieczeństwa informacji, dostępności i integralności, lub obsługi lub przetwarzania (w tym przechowywania i ujawniania) Danych osobowych, które mogą być od czasu do czasu zmieniane, regulowane, przekształcane lub zastępowane.
(B) „Cepheid” oznacza firmę Cepheid i każdą spółkę zależną firmy Cepheid, dla której Sprzedawca świadczy lub jest zaangażowany do świadczenia Usług.
(C) „Informacje objęte Umową” oznaczają, w dowolnej formie, formacie lub na dowolnym nośniku, wszelkie (i) informacje poufne firmy Cepheid i/lub (ii) Dane osobowe, w każdym przypadku wraz z dowolnym kluczem szyfrującym używanym do szyfrowania takich informacji lub danych.
(D) „Incydent związany z bezpieczeństwem danych” oznacza (i) utratę lub niewłaściwe wykorzystanie (w dowolny sposób) Informacji objętych Umową; (ii) niezamierzone, nieupoważnione lub niezgodne z prawem ujawnienie, dostęp, zmianę, uszkodzenie, przekazanie, sprzedaż, wynajem, zniszczenie lub wykorzystanie Informacji objętych Umową; lub (iii) inne działanie lub zaniechanie, które zagraża lub może zagrozić bezpieczeństwu, poufności lub integralności Informacji objętych Umową lub Systemu, lub (iv) jakiekolwiek naruszenie zabezpieczeń.
(E) „Wniosek podmiotu danych” oznacza każdy wniosek osoby fizycznej o dostęp, aktualizację, zmianę, poprawienie, sprzeciw wobec Przetwarzania lub usunięcia Danych osobowych lub jakikolwiek podobny wniosek, niezależnie od tego, czy został złożony zgodnie z Obowiązującym prawem.
(F) „Prawo ochrony danych UE / Wielkiej Brytanii / Szwajcarii” oznacza (i) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych („RODO UE”); (ii)
RODO UE zapisane w prawie Wielkiej Brytanii na mocy punktu 3 brytyjskiej ustawy o Unii Europejskiej (Wycofanie) z 2018 roku („RODO brytyjskie”); (iii) w Szwajcarii ustawa federalna o ochronie danych osobowych z dnia 00 xxxxxxx 0000 xxxx (xxxxxx zmieniona) („FADP”); (iv) dyrektywę o prywatności i łączności elektronicznej UE (dyrektywa 2002/58/WE); oraz (v) wszelkie obowiązujące krajowe przepisy o ochronie danych osobowych ustanowione na mocy postanowień pkt (i), (ii) lub (iii) lub zgodnie z nimi; w każdym przypadku w obowiązującej w danym czasie wersji.
(G) „Dane Osobowe” oznaczają wszelkie dane lub informacje uzyskane przez Sprzedawcę od lub w imieniu firmy Cepheid, w dowolnej formie lub formacie, które identyfikują, odnoszą się, opisują, można je w uzasadniony sposób powiązać lub można je w uzasadniony sposób połączyć, bezpośrednio lub pośrednio ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną. Dla wyjaśnienia, Dane osobowe oznaczają także Informacje osobowe.
(H) „POPIA” oznacza Ustawę o ochronie danych osobowych Republiki Południowej Afryki, ustawę dotyczącą ochrony i regulacji przetwarzania danych osobowych w Republice Południowej Afryki, przyjętą 13 listopada 2013 roku i obowiązującą od 1 lipca 2020 roku.
(I) „Przetwarzanie” (w tym „Przetwarzane” lub „Przetworzone”) oznacza dowolną operację lub zestaw operacji, które są wykonywane na jakichkolwiek Informacjach objętych Umową, niezależnie od tego, czy są to środki automatyczne, w tym między innymi gromadzenie, rejestrowanie, organizowanie, przechowywanie, dostęp, adaptacja, zmiany, odzyskiwanie, konsultacja, wykorzystanie, ujawnienie, rozpowszechnianie, udostępnianie, dopasowywanie, łączenie, blokowanie, usuwanie, kasowanie lub niszczenie.
(J) „Ograniczony transfer” oznacza (i) tam, gdzie ma zastosowanie RODO UE, przekazanie Danych osobowych do kraju spoza Europejskiego Obszaru Gospodarczego, który nie podlega ocenie adekwatności przez Komisję Europejską;
(ii) tam, gdzie ma zastosowanie RODO Wielkiej Brytanii, przekazywanie danych osobowych do dowolnego innego kraju, który nie bazuje na przepisach dotyczących adekwatności zgodnie z artykułem 17A brytyjskiej Ustawy o ochronie danych z 2018 roku; (iii) tam, gdzie ma zastosowanie FADP, ujawnienie transgraniczne w przypadku braku przepisów gwarantujących odpowiednią ochronę zgodnie z artykułem 6 FADP oraz (iv) tam, gdzie ma zastosowanie POPIA, transgraniczne przekazywanie, ujawnianie lub wymiana informacji poza Republiką Południowej Afryki.
(K) „Standardowe klauzule umowne” oznaczają (i) tam, gdzie ma zastosowanie RODO UE, klauzule umowne załączone do decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 roku w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady („SKU UE”); (ii) tam, gdzie zastosowanie ma RODO Wielkiej Brytanii, „Międzynarodowy aneks dotyczący przekazywania danych do standardowych klauzul umownych Komisji UE” wydany przez Komisarza ds. Informacji na mocy art. 119A ust. 1 ustawy o ochronie danych z 2018 roku („Aneks brytyjski”); (iii) tam, gdzie ma zastosowanie FADP, wzory umów i standardowe klauzule umowne uznane przez Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji („FDPIC”) zgodnie z art. 6 ust. 2 lit. a FADP zgodnie z oświadczeniem FDPIC z dnia 27 sierpnia 2021 roku (pierwotnie dostępne pod adresem: xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000000000.xxx.xx wnload.pdf/Paper%20SCC%20def.en%2024082021.pdf) („Aneks szwajcarski”); oraz (iv) tam, gdzie ma zastosowanie POPIA, klauzule umowne związane z ochroną, przetwarzaniem i przekazywaniem danych osobowych zawarte przez dwie strony w odniesieniu do takich informacji.
(L) „Podwykonawca przetwarzania” oznacza każdy podmiot lub osobę, która przetwarza dane osobowe w imieniu Sprzedawcy.
(M) „System” oznacza dowolny system, sieć, platformę, bazę danych, komputer, system telekomunikacyjny lub inny system informacyjny będący własnością, kontrolowany lub obsługiwany przez lub w imieniu którejkolwiek ze Stron lub któregokolwiek z jej Podmiotów stowarzyszonych w celu Przetwarzania Informacji objętych Umową.
Wszelkie terminy i wyrażenia użyte w niniejszej Umowie o ochronie danych, które nie zostały wcześniej zdefiniowane, mają znaczenie przypisane im przez Obowiązujące prawo.
2. Wymagania ogólne. Jeśli Sprzedawca przetwarza Informacje objęte umową w imieniu firmy Cepheid, Sprzedawca:
(A) Przetwarza Informacje objęte umową wyłącznie w zakresie niezbędnym do świadczenia Usług na rzecz firmy Cepheid oraz zgodnie z Obowiązującym prawem i pisemnymi instrukcjami firmy Cepheid. Sprzedawcy wyraźnie zabrania się sprzedawania Informacji objętych Umową oraz zatrzymywania, wykorzystywania lub ujawniania Danych osobowych w celach handlowych innych niż świadczenie Usług lub w jakikolwiek inny sposób niezwiązany z bezpośrednią relacją biznesową między Sprzedawcą a firmą Cepheid;
(B) Zachowa poufność wszystkich Informacji objętych Umową;
(C) Ponosi odpowiedzialność za działania swojego personelu zgodnie z warunkami niniejszej Umowy o ochronie danych;
(D) Nie ujawnia Informacji objętych Umową stronom trzecim (w tym Podwykonawcom przetwarzania):
(1) bez uprzedniej pisemnej zgody firmy Cepheid i z zastrzeżeniem, że Sprzedawca pozostaje w pełni odpowiedzialny wobec firmy Cepheid za taką osobę trzecią i zawrze pisemną, wykonalną umowę z tą osobą trzecią, zawierającą warunki nie mniej restrykcyjne niż zobowiązania mające zastosowanie do Sprzedawcy na mocy niniejszej Umowy o ochronie danych; lub
(2) o ile nie jest to wymagane przez Obowiązujące prawo, w którym to przypadku Sprzedawca, o ile to możliwe:
(a) niezwłocznie powiadomi firmę Cepheid na piśmie przed spełnieniem jakiegokolwiek wymogu ujawnienia,
(b) zastosuje się do wszystkich uzasadnionych wskazówek firmy Cepheid w odniesieniu do takiego ujawnienia oraz (c) niezwłocznie poinformuje firmę Cepheid o wszelkich ujawnionych w ten sposób Informacjach objętych Umową;
(E) Niezwłocznie powiadamia firmę Cepheid o:
(1) wszelkich żądaniach, zapytaniach, skargach, zawiadomieniach lub komunikatach otrzymanych od osób trzecich, w tym podmiotu danych, lub organu nadzorczego, w odniesieniu do dowolnych Informacji objętych Umową i stosuje się do instrukcji firmy Cepheid w odpowiedzi na takie żądania, zapytania, skargi, zawiadomienia lub komunikaty. Nie ograniczając ogólnego charakteru powyższego, Sprzedawca powiadomi firmę Cepheid na piśmie w ciągu pięciu (5) dni roboczych od otrzymania jakiegokolwiek Wniosku Podmiotu danych, dotyczącego Danych osobowych przetwarzanych przez Sprzedawcę zgodnie z niniejszą Umową o ochronie danych i udzieli firmie Cepheid uzasadnionej pomocy w odpowiedzi na wszelkie takie Wnioski Podmiotu danych (niezależnie od tego, czy zostało otrzymane bezpośrednio przez Sprzedawcę);
(2) wszelkich instrukcjach firmy Cepheid, które zdaniem Sprzedawcy naruszają Obowiązujące prawo; oraz
(3) wszelkich istotnych zmianach w zawiadomieniach, zasadach lub procedurach Sprzedawcy, które mogłyby utrudnić Sprzedawcy spełnienie warunków niniejszej Umowy o ochronie danych osobowych;
(F) Na uzasadnione żądanie firmy Cepheid przedłoży urządzenia wykorzystywane do przetwarzania informacji objętych Umową i/lub danych osobowych do audytu, który zostanie przeprowadzony przez przedstawicieli firmy Cepheid lub organ audytowy uzgodniony przez obie Strony;
(G) Xxxxxxxx ewidencję, która wykazuje zgodność ze zobowiązaniami wynikającymi z niniejszej Umowy o ochronie
danych oraz udostępnia ją firmie Cepheid w związku z dowolnym audytem, o którym mowa w pkt (F) powyżej;
(H) Rozsądnie pomaga i współpracuje z firmą Cepheid, w tym poprzez dostarczanie informacji wymaganych przez firmę Cepheid, aby umożliwić firmie Cepheid wywiązanie się z obowiązków wynikających z Obowiązującego prawa;
(I) Przechowuje Informacje objęte Umową tylko tak długo, jak jest to konieczne do świadczenia Usług, a na koniec świadczenia Usług, według wyboru firmy Cepheid, usunie lub zwróci Informacje objęte Umową firmie Cepheid, jak określono w Załączniku 1 poniżej, chyba że Obowiązujące prawo wyraźnie wymaga inaczej. Bez ograniczenia do ogólnego charakteru powyższego i czasu trwania określonego w Załączniku 1 poniżej, Sprzedawca w ciągu pięciu (5) dni roboczych od stosownego wniosku firmy Cepheid usunie lub zniszczy wszystkie kopie Danych osobowych zgodnie z zaleceniami firmy Cepheid i dostarczy kopię takich danych w przenośnym i łatwym do wykorzystania formacie, zgodnie z zaleceniami firmy Cepheid; oraz
(J) Jeśli Sprzedawca podejrzewa lub dowie się o Incydencie związanym z bezpieczeństwem danych:
(1) przekazuje firmie Cepheid pisemne powiadomienie bez zbędnej zwłoki, nie później niż dwadzieścia cztery (24) godziny po uzyskaniu informacji o takim podejrzeniu lub potwierdzeniu Incydentu związanego z bezpieczeństwem danych;
(2) podejmuje dochodzenie w sprawie takiego Incydentu związanego z bezpieczeństwem danych i w uzasadniony sposób współpracuje z firmą Cepheid, organami regulacyjnymi i organami ścigania;
(3) nie ogłasza publicznie żadnych komunikatów dotyczących takiego Incydentu związanego z bezpieczeństwem danych bez uprzedniej pisemnej zgody firmy Cepheid, która nie zostanie bezzasadnie wstrzymana; oraz
(4) podejmie wszelkie uzasadnione działania naprawcze w odpowiednim czasie, na koszt Sprzedawcy, w celu naprawienia i zapobieżenia ponownemu wystąpieniu takiego Incydentu związanego z bezpieczeństwem danych.
3. Bezpieczeństwo cybernetyczne i informacyjne. Sprzedawca oświadcza i gwarantuje, że ustanowi, utrzyma i będzie przestrzegać:
(A) Administracyjnych, technicznych i fizycznych zabezpieczeń mających na celu zapewnienie bezpieczeństwa, poufności, niezawodności i integralności Informacji objętych Umową, jak również wszelkich Systemów, urządzeń lub oprogramowania, do których Sprzedawca ma dostęp lub które obsługuje. Takie zabezpieczenia powinny:
(1) być współmierne do rodzaju i ilości Informacji objętych Umową przetwarzanych przez Sprzedawcę, z uwzględnieniem stanu techniki i standardów przemysłowych, oraz powinny, co najmniej, chronić Informacje objęte Umową oraz Systemy przed racjonalnie przewidywanymi zagrożeniami lub niebezpieczeństwami, w tym przed nieuprawnionym dostępem, utratą, kradzieżą, zniszczeniem, wykorzystaniem, modyfikacją, gromadzeniem, atakiem lub ujawnieniem;
(2) uwzględniać kontrole bezpieczeństwa określone w normach serii ISO 27000 i w dokumencie Center for Internet Security’s Critical Security Controls, wcześniej znanym jako SANS Top 20; oraz
(3) przestrzegać standardów bezpieczeństwa danych branży kart płatniczych, jeśli Sprzedawca przetwarza dane posiadacza karty lub inne dane konta finansowego;
(B) Pisemny program i zasady bezpieczeństwa, które spełniają lub przewyższają wymagania nałożone przez Obowiązujące prawo i są zgodne z ustalonymi praktykami branżowymi. Taki program i polityka bezpieczeństwa powinny obejmować co najmniej następujące elementy:
(1) identyfikację odpowiednio zdefiniowanych ról organizacyjnych związanych z bezpieczeństwem informacji;
(2) kontrole dotyczące zatrudniania i udzielania dostępu do Informacji objętych Umową przez pracowników, agentów i podwykonawców Sprzedawcy, w tym sprawdzanie przeszłości, poświadczenia bezpieczeństwa, które przypisują określone uprawnienia dostępu poszczególnym osobom, oraz szkolenia dotyczące postępowania z Informacjami objętymi Umową;
(3) odpowiedni program bezpieczeństwa sieci, który obejmuje między innymi szyfrowanie oraz partycjonowanie sieci i aplikacji;
(4) identyfikację i uwierzytelnianie dostępu;
(5) konserwacje i utylizację nośników;
(6) audyt i odpowiedzialność;
(7) ochronę fizyczną i środowiskową;
(8) bezpieczeństwo systemu i komunikacji;
(9) reagowanie na incydenty i planowanie; oraz
(10) integralność i niezawodność obiektów, systemów i usług, w tym identyfikację krytycznych zasobów, zarządzanie konfiguracją i zmianami w systemach oprogramowania oraz planowanie awaryjne/redundancję.
4. Prawa osób trzecich. Strony niniejszej Umowy o ochronie danych wyraźnie potwierdzają i uznają, że w przypadku świadczenia przez Sprzedawcę Usług na rzecz lub w imieniu firmy Cepheid, firmie Cepheid przysługują niewyłączne korzyści z praw wynikających z niniejszej Umowy o ochronie danych. W związku z tym firma Cepheid może podjąć wszelkie działania w celu wyegzekwowania praw i obowiązków wynikających z niniejszej Umowy o ochronie danych.
5. Międzynarodowe przesyłanie danych.
(A) Strony uzgadniają, że jeżeli transfer Danych osobowych z firmy Cepheid do Sprzedawcy jest Transferem ograniczonym, będzie on podlegał odpowiednim Standardowym klauzulom umownym określonym w Załączniku 3.
(B) Sprzedawca nie będzie uczestniczyć (ani zezwalać Podwykonawcy przetwarzania na uczestnictwo) w żadnym innym Transferze ograniczonym danych osobowych (czy to jako podmiot przekazujący, czy podmiot odbierający Dane osobowe), chyba że: (i) wcześniej uzyskał uprzednią pisemną zgodę firmy Cepheid które, jeśli firma Cepheid jest podmiotem przetwarzającym w imieniu zewnętrznego administratora, odzwierciedlają instrukcje administratora; oraz
(ii) Transfer ograniczony odbywa się w pełnej zgodności z Obowiązującym prawem i zgodnie ze Standardowymi klauzulami umownymi wdrożonymi między odpowiednim podmiotem przekazującym a podmiotem odbierającym Dane osobowe.
6. Pozostałe postanowienia. W stosownych przypadkach Standardowe klauzule umowne, w tym Załączniki 1-5, będą regulować i kontrolować w przypadku jakiegokolwiek konfliktu lub niespójności między warunkami niniejszej Umowy o ochronie danych a Standardowymi klauzulami umownymi.
Załącznik 1 do Umowy o ochronie danych Opis systemu przetwarzania danych
Lista Stron Administrator:
1. | Nazwa: | Cepheid |
Adres: | Jak określono w Umowie głównej między Stronami | |
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: | Jak określono w Umowie głównej między Stronami | |
Działania istotne dla danych przekazywanych na podstawie niniejszych klauzul: | Opisane w niniejszym Załączniku 1 | |
Rola | Administrator |
Podmiot przetwarzający dane:
1. | Nazwa: | Sprzedawca |
Adres: | Jak określono w Umowie głównej między Stronami | |
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: | Jak określono w Umowie głównej między Stronami | |
Działania istotne dla danych przekazywanych na podstawie niniejszych klauzul: | Opisane w niniejszym Załączniku 1 | |
Rola | Podmiot przetwarzający dane |
Opis przekazywania danych Przedmiot przetwarzania
Dane osobowe są przetwarzane w następujących celach:
Dane będą wykorzystywane w celu świadczenia Usług oraz wszelkich dodatkowych pisemnych instrukcji firmy Cepheid.
Czas trwania przetwarzania
Dane osobowe będą przetwarzane:
Do zakończenia świadczenia Usług, chyba że uzgodniono inaczej na piśmie. Po zakończeniu Przetwarzania Sprzedawca wykona jedną z następujących czynności:
• Xxxxx Xxxx osobowe firmie Cepheid
• Uniemożliwi identyfikację/zanonimizuje Dane osobowe
• Wyczyści/zniszczy Dane osobowe
Częstotliwość przekazywania danych
Dane osobowe będą przetwarzane jednorazowo lub w sposób ciągły.
Charakter przetwarzania danych:
Operacje przetwarzania danych
Dane osobowe będą podlegać poniższym podstawowym czynnościom przetwarzania:
W zakresie niezbędnym do świadczenia Usług i zgodnie z dalszymi instrukcjami firmy Cepheid, w tym zapisywania, przechowywania, przeglądania, wykorzystywania, ujawniania poprzez transmisję, łączenia, ograniczania, usuwania lub niszczenia, anonimizacji, analiz, raportów.
Kategorie podmiotów danych
Przetwarzane dane osobowe dotyczą dowolnych z następujących kategorii podmiotów danych:
Pracownicy lub osoby kontaktowe którejkolwiek ze Stron, niezależni kontrahenci, klienci, pacjenci, inne osoby trzecie
Kategorie danych osobowych
Przetwarzane Dane osobowe dotyczą następujących kategorii danych:
Dane kontaktowe, informacje o zatrudnieniu, identyfikacja osobista, dane dotyczące opieki zdrowotnej, dane pacjenta i dane demograficzne, usposobienie pacjenta
Specjalne kategorie danych (jeśli dotyczy)
Przetwarzane Dane osobowe dotyczą następujących Specjalnych kategorii danych:
Dane biometryczne, numer ubezpieczenia społecznego, informacje o stanie zdrowia
Właściwe władze
Będzie to organ nadzorczy w kraju członkowskim UE, w którym podmiot przekazujący dane ma siedzibę lub komisja informacyjna, jeśli podmiot przekazujący dane ma siedzibę w Wielkiej Brytanii („UK”) lub FDPIC, jeśli podmiot przekazujący ma siedzibę w Szwajcarii. W przypadku, gdy podmiot przekazujący dane nie ma siedziby w kraju członkowskim UE, w Wielkiej Brytanii lub w Szwajcarii, ale podlega przepisom o ochronie danych obowiązujących w UE/Wielkiej Brytanii/Szwajcarii, będzie to organ nadzorczy w jurysdykcji, w której ma siedzibę przedstawiciel firmy Cepheid (zgodnie z wymogami przepisów o ochronie danych obowiązujących w UE/Wielkiej Brytanii/Szwajcarii). W przypadku, gdy wyznaczenie przedstawiciela nie jest wymagane na mocy przepisów o ochronie danych obowiązujących w UE/Wielkiej Brytanii/Szwajcarii, organem nadzorczym będzie CNIL we Francji, jeśli osoby, których dane są przekazywane, znajdują się w UE lub Komisarz ds. informacji, jeśli osoby znajdują się w Wielkiej Brytanii lub FDPIC, jeśli osoby, których dane są przekazywane znajdują się w Szwajcarii. Jeżeli dane osobowe pochodzą x Xxxxxx, organem nadzorczym będzie jeden z komisarzy, który ma jurysdykcję w danej sprawie, zgodnie z obowiązującym prawem o ochronie danych.
Techniczne i organizacyjne środki bezpieczeństwa
Podmiot przetwarzający gwarantuje, że wdrożył i będzie nadal wdrażał w okresie obowiązywania niniejszej Umowy o ochronie danych odpowiednie środki techniczne i organizacyjne w taki sposób, aby Przetwarzanie Danych osobowych w ramach niniejszej Umowy o ochronie danych spełniało wymogi Obowiązującego prawa o ochronie danych i zapewniało ochronę prawa Podmiotu danych.
Opis minimalnych technicznych i organizacyjnych środków bezpieczeństwa wymaganych do wdrożenia przez Sprzedawcę:
• Ustalone standardy, na które muszą się zgodzić wszyscy użytkownicy, a które dyktują, do czego można, a do czego nie można używać komputerów
• Przeprowadzanie ocen ryzyka dla nowych firm, które wchodzą w interakcję z danymi firmy Cepheid oraz w przypadku wprowadzania większych zmian
• Kontrola nad tym, jakie oprogramowanie użytkownicy mogą instalować i używać oraz posiadanie procesu zatwierdzania nowego oprogramowania
• Przeprowadzenie kilku wersji rocznych szkoleń z zakresu bezpieczeństwa, newslettery bezpieczeństwa oraz comiesięczne testy phishingowe
• Ustanowione i przetestowane procesy identyfikowania i reagowania na zdarzenia związane z bezpieczeństwem
• Ustanowione i przetestowane procesy wykonywania kopii zapasowych i odzyskiwania danych i systemów
• Zasady nadawania, odbierania i zmiany dostępu dla użytkowników
• Wymagane hasło składa się z 12 znaków, jest złożone i zmieniane co 90 dni
• Standardy dotyczące sposobu zakupu i konfiguracji usług w chmurze
• Standard śledzenia komputerów i systemów w jednym miejscu
• Przeprowadzanie spotkań dotyczących zarządzania zmianami w celu dokonania przeglądu przed wprowadzeniem zmian
• Standardy dotyczące sposobu konfigurowania, podłączania i konserwacji urządzeń sieciowych
• Określone minimalne podstawy bezpieczeństwa dla wszystkich typów systemów
o Laptopy/komputery stacjonarne wymagają oprogramowania zabezpieczającego przed złośliwym oprogramowaniem, oprogramowania do dostępu do sieci oraz ochrony USB
• Standardy wysyłania logów zdarzeń do centralnego systemu śledzenia (SIEM)
• Proces regularnego identyfikowania i usuwania luk w zabezpieczeniach i poprawek
Przepisy transferowe w Wielkiej Brytanii, UE i Szwajcarii
(b) w Klauzuli 7 nie będzie miała zastosowania opcjonalna Klauzula wprowadzająca;
(c) w Klauzuli 9 zastosowanie będzie miała Opcja 1, a okres wcześniejszego powiadomienia o zmianach Podwykonawcy przetwarzania będzie wynosił (15) dni;
(d) w Klauzuli 11 nie będzie miał zastosowania język opcjonalny;
(e) w Klauzuli 17 zastosowanie będzie miała Opcja 2, a SKU UE będą podlegać prawu jurysdykcji miejsca prowadzenia działalności podmiotu przekazującego dane, w stosownych przypadkach i w przypadku, gdy takie prawo dopuszcza prawa osób trzecich, w przeciwnym razie prawo francuskie;
(f) w klauzuli 18(b) spory będą rozstrzygane przez sądy krajowe podmiotu przekazującego dane, a w przeciwnym razie przez sądy francuskie;
(i) Część A: z informacjami określonymi w Załączniku 1 do niniejszej Umowy o ochronie danych;
(iii) Część C: zgodnie z kryteriami określonymi w Klauzuli 13 (a) SKU UE;
(h) Załącznik II: z minimalnymi środkami bezpieczeństwa; oraz
(i) Załącznik III: z Załącznikiem 5 do niniejszej Umowy o ochronie danych.
3. W przypadku, gdy Xxxxx szwajcarski zostanie uznany za wprowadzony i włączony do niniejszej Umowy o ochronie danych przez odniesienie między Stronami, Aneks szwajcarski zostanie uzupełniony w następujący sposób:
(a) SKU UE, uzupełnione jak określono powyżej w klauzuli 1 niniejszego Załącznika 3, mają również zastosowanie do przekazywania takich Danych osobowych, z zastrzeżeniem pod-klauzuli 3, (b) niniejszego Załącznika 3 poniżej;
(b) Standardowe klauzule umowne włączone jako odniesienie będą chronić Dane osobowe podmiotów prawnych w Szwajcarii do czasu wejścia w życie zmienionego FADP.
Załącznik 4 do Umowy o ochronie danych
4.1 Dodatkowe wymagania dotyczące przekazywania Danych osobowych poza Europejski Obszar Gospodarczy
Następujące wymagania dodatkowe mają zastosowanie do każdego Ograniczonego przekazywania:
1. Sprzedawca będzie regularnie udostępniał firmie Cepheid informacje dotyczące wniosków władz publicznych o dostęp do Danych osobowych oraz sposobu udzielania odpowiedzi (jeżeli zezwalają na to przepisy prawa);
2. Sprzedawca gwarantuje, że nie stworzył celowo technicznego ukrytego wejścia ani procesów wewnętrznych w celu ułatwienia organom publicznym bezpośredniego dostępu do Danych osobowych i nie jest zobowiązany na mocy obowiązującego prawa lub praktyki do tworzenia lub zachowania ukrytego wejścia;
3. Sprzedawca zapyta każdy organ władzy publicznej występujący z wnioskiem o dostęp do Danych osobowych, czy współpracuje on z innymi organami państwowymi w tej sprawie;
4. Sprzedawca zapewni uzasadnioną pomoc podmiotom danych w wykonywaniu ich praw do Danych osobowych w jurysdykcji przyjmującej;
5. Sprzedawca zobowiązuje się do współpracy z firmą Cepheid w przypadku, gdy właściwy organ nadzorczy lub sąd uzna, że przekazanie Danych osobowych musi podlegać szczególnym dodatkowym zabezpieczeniom;
6. Sprzedawca wdroży szyfrowanie i/lub inne środki techniczne wystarczające do uzasadnionej ochrony przed przechwyceniem Danych osobowych podczas przesyłania; lub innym nieautoryzowanym dostępem przez organy publiczne; oraz
7. Sprzedawca musi wdrożyć odpowiednie zasady i procedury, w tym szkolenia, tak aby wnioski o dostęp do Danych osobowych składane przez organy publiczne były kierowane do odpowiednich stanowisk i odpowiednio obsługiwane.
4.2 Dodatkowe wymagania dotyczące przekazywania Danych osobowych poza Republikę Południowej Afryki
Następujące dodatkowe wymagania mają zastosowanie do przekazywania Danych osobowych poza Republikę Południowej Afryki:
1. Przekazywanie danych osobowych poza Republikę Południowej Afryki spełnia następujące parametry:
(A) Strona będąca odbiorcą informacji podlega prawu, wiążącym regułom korporacyjnym lub wiążącej umowie, które zapewniają odpowiedni poziom ochrony, który:
(a) pozwala skutecznie przestrzegać zasad rozsądnego przetwarzania informacji, które są zasadniczo podobne do warunków zgodnego z prawem przetwarzania danych osobowych dotyczących podmiotu danych, będącego osobą fizyczną i w stosownych przypadkach osobą prawną; oraz
(b) zawiera postanowienia dotyczące dalszego przekazywania danych osobowych od odbiorcy do stron trzecich znajdujących się zagranicą;
(B) podmiot danych wyraża zgodę na przekazanie;
(C) przekazanie jest niezbędne do wykonania umowy między podmiotem danych a administratorem lub do wprowadzenia środków przed-umownych podjętych w odpowiedzi na wniosek podmiotu;
(D) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych między administratorem a osobą trzecią; lub
(E) przekazanie następuje na rzecz podmiotu danych; oraz:
(a) uzyskanie zgody podmiotu danych na to przekazanie nie jest racjonalnie wykonalne; oraz
(b) gdyby uzyskanie takiej zgody było racjonalnie wykonalne, podmiot danych prawdopodobnie by jej udzielił.
2. Do celu niniejszego punktu:
(A) „wiążące reguły korporacyjne” to zasady przetwarzania danych osobowych w ramach grupy przedsiębiorstw, które są przestrzegane przez stronę odpowiedzialną lub operatora w ramach tej grupy przedsiębiorstw przy przekazywaniu danych osobowych stronie odpowiedzialnej lub operatorowi w ramach tej samej grupy przedsiębiorstw w obcym kraju; oraz
(B) „grupa przedsiębiorstw” to przedsiębiorstwo sprawujące kontrolę i kontrolowane przez niego przedsiębiorstwa.
Załącznik 5 do Umowy o ochronie danych Lista podwykonawców przetwarzania
Sprzedawca jest zobowiązany do utrzymywania udokumentowanych procesów wyboru, oceny, kwalifikowania i obsługi podwykonawców przetwarzania oraz osób trzecich zaangażowanych w świadczenie usług na rzecz firmy Cepheid.
Sprzedawca przekaże firmie Cepheid listę aktualnych podwykonawców przetwarzania i poinformuje firmę Cepheid o wszelkich planowanych zmianach dotyczących dodania lub zastąpienia podwykonawców przetwarzania co najmniej 15 dni przed dodaniem/zastąpieniem. Firma Cepheid ma możliwość zgłoszenia sprzeciwu wobec takich zmian.