UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH („DPA”)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH („DPA”)

I) Postanowienia ogólne

1. Zakres

DPA jest włączona do Umowy przez odniesienie i stanowi integralną jej część (jak zdefiniowano w regulaminie), chyba że strony postanowią zawrzeć odrębną umowę powierzenia

przetwarzania danych osobowych w ramach konkretnej umowy. W przypadku niezgodności między DPA a innymi warunkami Umowy, nadrzędne pozostają warunki DPA.

Niniejsza DPA ma zastosowanie w sytuacjach, kiedy TD SYNNEX, działając w charakterze podmiotu przetwarzającego, przetwarza dane osobowe w imieniu oraz zgodnie z instrukcjami Kupującego, działając w imieniu własnym

lub w imieniu swoich klientów bądź też ich użytkowników końcowych („klientów”) jako kontroler. Niniejsza DPA ma również zastosowanie w przypadku, kiedy Kupujący, działając w charakterze podmiotu przetwarzającego, będzie przetwarzać dane w imieniu oraz zgodnie z instrukcjami firmy TD SYNNEX, działając [w imieniu własnym lub w imieniu strony trzeciej] jako kontroler.

Niniejsza DPA nie ma zastosowania w przypadku, gdy TD SYNNEX oraz Kupujący wzajemnie udostępniają sobie dane osobowe jako odrębni kontrolerzy lub współkontrolerzy.

TD SYNNEX zazwyczaj działa jako odrębny kontroler, jeśli:

a) gromadzi dane osobowe w związku z operacjami kupującego (takie jak dane osobowe dotyczące pracowników Kupującego);

(b) TD SYNNEX przetwarza dane osobowe użytkownika końcowego dostarczone przez klienta Kupującego w celu:

(i) przeciwdziałania oszustwom, praniu pieniędzy, naruszaniu sankcji, a także przeprowadzania innych działań kontrolnych, w tym eliminacji niepożądanych kontrahentów, wykrywania i sądownego ścigania oszustw, prób prania pieniędzy lub naruszeń sankcji w związku z zawiązaną i utrzymywaną relacją z klientem i świadczeniem usług;

(ii) zachowania zgodności z prawnymi i regulacyjnymi zobowiązaniami;

(iii)anonimizacji i/lub analizy danych; oraz

(iv) realizacji Umowy, w tym dostawy bezpośredniej i, jeśli jest to niezbędne do realizacji umowy, przekazania takich danych osobowych stronom trzecim działającym w charakterze kontrolera, jak np. przewoźnicy, producenci lub usługodawcy zewnętrzni.

2. Definicje

Wszelkie terminy niezdefiniowane w niniejszej DPA lub innych sekcjach umowy będą miały znaczenie, które przypisano im w Rozporządzeniu o ochronie danych osobowych (UE 2016/679) („RODO”). Zawarte tu odniesienia do artykułów RODO

[Art... RODO] będą miały zastosowanie wyłącznie wtedy, gdy przetwarzanie podlega przepisom RODO — dla pozostałych

właściwych jurysdykcji zastosowanie mają odpowiednie dla nich przepisy dotyczące ochrony danych.

„Kraj trzeci” oznacza dowolny kraj, który nie jest krajem członkowskim Unii Europejskiej („UE”) lub Europejskiego Obszaru Gospodarczego („EOG”), ani nie został uznany przez Komisję Europejską, jako zapewniający odpowiedni poziom ochrony danych osobowych zgodnie z artykułem 45(3) RODO.

„Przetwarzanie danych osobowych EOG” w przypadku niniejszej DPA oznacza takie przetwarzanie danych osobowych, które objęte jest przepisami RODO lub przepisami dotyczącymi ochrony danych osobowych Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej bądź Szwajcarii.

„Standardowe klauzule umowne” lub „SKU”

— oznaczają standardowe klauzule umowne dotyczące przekazywania danych osobowych do krajów trzecich zgodnie z decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 roku lub każdą decyzją późniejszą bądź uzupełniającą;

„Przepisy dotyczące ochrony danych osobowych” to wszelkie mające zastosowanie prawa i regulacje odnoszące się do przetwarzania danych osobowych oraz prywatności, jakie mogą obowiązywać w granicach danej jurysdykcji, w przypadku krajów członkowskich UE i EOG będzie to również RODO;

„TOM-y” oznaczają techniczne i organizacyjne środki w rozumieniu przepisów dotyczących ochrony danych osobowych;

„Podwykonawca przetwarzania” lub

„Podpodwykonawca przetwarzania” to podmioty zewnętrzne upoważnione w niniejszej DPA do dostępu logicznego do danych osobowych oraz do przetwarzania tych danych zgodnie z umową;

„Przekazanie danych” oznacza przesyłanie lub udostępnianie danych osobowych przez dowolny podmiot.

„Eksporter” to dowolny podmiot przekazujący dane, który zlokalizowany jest na terenie EOG, Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej lub Szwajcarii.

II) Warunki specjalne dla TD SYNNEX jako podmiotu przetwarzającego dane

Niniejsza sekcja II ma zastosowanie w przypadku, gdy TD SYNNEX, działając w charakterze podmiotu przetwarzającego, przetwarza dane osobowe w imieniu i będąc zobowiązanym instrukcjami Kupującego, działa w imieniu własnym lub w imieniu Xxxxxxxx, jako kontroler. Dodatkowo ma zastosowanie do sekcji III poniżej. W przypadku niespójności pomiędzy sekcją II i III sekcja II ma charakter nadrzędny.

1. Komunikacja elektroniczna. TD SYNNEX może dostarczać Kpującemu informacje i powiadomienia związane z niniejszą DPA drogą elektroniczną, w tym poprzez e-mail, standardową stronę internetową firmy TD SYNNEX lub za pośrednictwem strony, którą TD SYNNEX wskażę jako właściwą.

2. Szczegóły przetwarzania. Korzystając z usług, Kupujący akceptuje szczegóły przetwarzania, w tym naturę, cel oraz przedmiot przetwarzania, kategorie podmiotów danych,

rodzaje danych osobowych, kategorie specjalne danych osobowych, TOM-y oraz inne podmioty przetwarzające

— tam, gdzie to właściwe — jak zdefiniowano w Umowie (w tym również w niniejszej DPA) lub w inny sposób udostępniono i zakomunikowano przez firmę TD SYNNEX drogą elektroniczną, w tym poprzez e-mail, standardową stronę internetową firmy TD SYNNEX lub za pośrednictwem strony, którą TD SYNNEX wskaże jako właściwą.

3. Standardowe klauzule umowne. SKU, jeśli mają zastosowanie pomiędzy TD SYNNEX a Kupującym, znaleźć można na standardowej stronie firmy TD SYNNEX lub na stronie, którą TD SYNNEX wskaże jako właściwą.

4. Zobowiązania firmy TD SYNNEX i kupującego.

4.1. TD SYNNEX będzie stosować się do wszelkich przepisów dotyczących ochrony danych osobowych, obowiązujących wówczas, gdy działa w charakterze podmiotu przetwarzającego. TD SYNNEX nie jest zobowiązane stosować się do żadnych praw lub regulacji mających zastosowanie do branży Kupującego, lub jego Klientów,

a które zasadniczo nie mają zastosowania do dostawców poszczególnych Produktów. TD SYNNEX nie określa, czy dane Kupującego lub jego Klientów zawierają informacje podlegające jakimkolwiek konkretnym przepisom bądź regulacjom.

4.2. Kupujący powinien ocenić i określić stosowność, trafność i zgodność użytkowania produktów Kupującego lub jego Klientów z przepisami i regulacjami, w tym z przepisami dotyczącymi ochrony danych osobowych, w szczególności

w kontekście TOM-ów, innych zaangażowanych podmiotów przetwarzających, lokalizacji centrum przetwarzania danych oraz właściwego przekazywania danych, jak określono w Umowie, w tym również w DPA oraz szczegółach przetwarzania.

4.3. Jeśli Kupujący sam nie jest kontrolerem danych osobowych, ale przetwarza dane osobowe w imieniu klientów, Kupujący poręcza, że posiada wszelkie niezbędne umowy, pozwolenia i upoważnienia od swoich klientów:

- aby działać w stosunku do TD SYNNEX jako kontroler na warunkach niniejszej DPA oraz korzystać z wszelkich praw przynależnych kontrolerowi wobec TD SYNNEX i

pozostałych podmiotów przetwarzających w odniesieniu do DPA;

- aby korzystać z usług TD SYNNEX, jako podmiotu przetwarzającego, do przetwarzania danych osobowych, jak określono w Umowie, w tym również w niniejszej DPA oraz szczegółach przetwarzania;

- aby działać jako pojedynczy punkt kontaktowy dla firmy TD SYNNEX, jeśli chodzi o wszelkie instrukcje,

powiadomienia, informacje i komunikację w odniesieniu do niniejszej DPA oraz stanowić wspólną płaszczyznę komunikacji dla Klientów i TD SYNNEX, tam, gdzie wymagają tego przepisy prawa. TD SYNNEX będzie zwolnione z wszelkich zobowiązań do informowania

lub powiadamiania Klienta w sytuacji, gdy TD SYNNEX przekazała już daną informację lub powiadomienie do kupującego. TD SYNNEX będzie stanowiło pojedynczy

punkt kontaktowy wobec pozostałych podmiotów przetwarzających Data Tech.

- aby korzystać z praw Eksportera zgodnie ze Standardowymi klauzulami umownymi — tam, gdzie mają zastosowanie — wobec (i) firmy TD SYNNEX i/lub (ii) jej innych podmiotów przetwarzających za pośrednictwem TD SYNNEX w imieniu Eksportera.

III) Ogólne warunki przetwarzania

Niniejsza sekcja III ma zastosowanie dodatkowo do sekcji II, gdy TD SYNNEX, działając w charakterze podmiotu

przetwarzającego, przetwarza dane osobowe w imieniu i będąc zobowiązana instrukcjami Kupującego, działając w imieniu własnym lub w imieniu Xxxxxxxx, jako kontroler. Ma również zastosowanie w przypadku, kiedy Kupujący, działając w charakterze podmiotu przetwarzającego, będzie przetwarzać dane w imieniu oraz zgodnie z instrukcjami firmy TD SYNNEX, działając [w imieniu własnym lub w imieniu strony trzeciej] jako kontroler.

1. Zobowiązania kontrolera

1.1. Kontroler ponosi wyłączną odpowiedzialność za przestrzeganie wszelkich ustawowych zobowiązań kontrolera związanych z przetwarzaniem danych zgodnie z Przepisami dotyczącymi ochrony danych osobowych. Kontroler powinien, z chwilą rozwiązania lub wygaśnięcia Umowy i w drodze wystosowania instrukcji, określić warunki zwrotu nośników danych zawierających dane osobowe, lub usunięcia przechowywanych danych osobowych, i bezzwłocznie powiadomić podmiot przetwarzający o wszelkich znanych mu błędach bądź

nieprawidłowościach związanych z przetwarzaniem danych osobowych przez podmiot przetwarzający.

1.2. Kontroler nie wykorzysta Produktów w połączeniu z danymi osobowymi w zakresie mogącym naruszać Przepisy dotyczące ochrony danych osobowych i będzie odpowiednio wypełniał zobowiązania wobec swoich Klientów.

2. Zobowiązania Podmiotu przetwarzającego

2.1 Zgodność ze zobowiązaniami Podmiotu przetwarzającego.Podmiot przetwarzający będzie wypełniał wszystkie zobowiązania mające zastosowanie do podmiotu przetwarzającego zgodnie z Przepisami prawa o ochronie danych osobowych EOG. Podmiot przetwarzający nie jest odpowiedzialny za sprawdzanie, jakie są wymogi prawne dla biznesu bądź branży kontrolera lub Klienta, ani czy dostarczane przez podmiot przetwarzający produkty spełniają takowe wymogi prawne.

2.2. Instrukcja. Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie zgodnie z pisemnymi instrukcjami kontrolera, które zostały określone w Umowie, w tym równie w niniejszej DPA i jej załącznikach i, jeśli ma zastosowanie, upoważnieniem kontrolera na wykorzystanie i konfigurację Produktów lub innym dokumentem pisemnym. Podmiot przetwarzający powinien niezwłocznie poinformować kontrolera, jeśli uważa, że instrukcje kontrolera mogą stanowić pogwałcenie przepisów dotyczących ochrony danych osobowych i/lub zobowiązań umownych zawartych w Umowie, w tym również w

niniejszej DPA. Podmiot przetwarzający uprawniony jest do zawieszenia wykonania takiej instrukcji do momentu jej sprawdzenia przez kontrolera i potwierdzenia zgodności lub wprowadzenia niezbędnych poprawek. Podmiot przetwarzający uprawniony jest do przetwarzania danych osobowych bez instrukcji kontrolera, jeśli wymagają tego przepisy UE lub jej kraju członkowskiego, którym podlega podmiot przetwarzający; w takim wypadku podmiot przetwarzający powinien poinformować kontrolera

o takowym wymogu prawnym przed rozpoczęciem przetwarzania, chyba że owe prawo zabrania udostępniania takiej informacji ze względu na interes publiczny.

2.3. Ujawnianie/dostęp. Podmiot przetwarzający nie ujawni danych osobowych żadnemu podmiotowi trzeciemu, chyba że zostanie do tego upoważniony przez kontrolera lub wymagać będzie tego prawo UE, lub jej kraju członkowskiego. Jeśli takie prawo wymaga

nadania podmiotowi trzeciemu lub rządowi, sądowi bądź organowi nadzorczemu dostępu do danych osobowych, podmiot przetwarzający przed ujawnieniem danych powiadomi o tym kontrolera, chyba że prawo tego zabrania ze względu na interes publiczny. Jeśli prawo UE lub jej kraju członkowskiego nie stanowi inaczej, podmiot przetwarzający nie powinien ujawniać ani publikować żadnych danych osobowych w odpowiedzi na tak wystosowaną prośbę bez wcześniejszej konsultacji z kontrolerem. Jeśli dane osobowe kontrolera staną się przedmiotem rewizji i zajęcia, konfiskaty w procesie bankructwa lub postępowania upadłościowego,

bądź podobnego działania ze strony podmiotów trzecich w trakcie trwania ich przetwarzania, podmiot

przetwarzających powinien niezwłocznie poinformować o tym kontrolera.

2.4. Obowiązek zachowania poufności. Podmiot przetwarzający wymaga od całego swojego personelu oraz osób, którym powierzono przetwarzanie danych osobowych zachowania poufności — chyba że ma zastosowanie stosowne ustawowe zobowiązanie do zachowania poufności

— i nieprzetwarzania tych danych w celach innych, niż te określone w instrukcji od kontrolera bądź wymagane przez prawo UE lub jej kraju członkowskiego.

2.5. Prawa podmiotu danych. Podmiot przetwarzający powinien, na prośbę kontrolera i zgodnie z wymogami prawnymi, udzielić uzasadnionej pomocy w nadaniu podmiotowi danych dostępu i odpowiedzieć na wszelkie zapytania, skargi lub inną komunikację ze strony podmiotu danych, w tym dążenia podmiotu danych do wykorzystania przysługujących mu praw dotyczących Przepisówo chrony danych osobowych. Jeśli takowe zapytanie, skargę lub komunikację otrzyma podmiot przetwarzających, powinien on niezwłocznie poinformować o tym kontrolera, jeśli podmiot przetwarzający jest w stanie powiązać podmiot danych z kontrolerem.

2.6. Naruszenia. Podmiot przetwarzający niezwłocznie powiadomi kontrolera o każdym naruszeniu ochrony danych osobowych („Naruszenia”) dotyczących danych osobowych kontrolera. Podmiot przetwarzających podejmie środki i działania niezbędne do naprawienia lub złagodzenia skutków Naruszenia ochrony danych osobowych i będzie pomagał kontrolerowi w zachowaniu

zgodności z jego zobowiązaniami w świetle obowiązujących przepisów dotyczących Przepisów ochrony danych osobowych, zawiadamiając o Naruszeniu organ nadzorczy i podmioty danych, uwzględniając naturę przetwarzania oraz informacje dostępne dla podmiotu przetwarzającego. Podmioty przetwarzające będą w szczególności współpracować z kontrolerem przy przekazywaniu aktualizacji oraz innych słusznie wnioskowanych informacji. Wszelkie informacje prasowe, powiadomienia, ogłoszenia publiczne lub regulacyjne bądź komunikacja dotycząca Naruszeń zostaną przekazane przez kontrolera według jego własnego uznania, chyba że obowiązujące przepisy stanowią inaczej.

2.7. Pomoc w zobowiązaniach kontrolera. Podmiot przetwarzający powinien na prośbę kontrolera udzielić mu uzasadnionej pomocy w jego zobowiązaniach dotyczących bezpieczeństwa przetwarzania, oceny skutków w zakresie ochrony danych i wcześniejszych konsultacji, uwzględniając informacje dostępne dla firmy TD SYNNEX oraz naturę przetwarzania. Podmiot przetwarzający udzieli pomocy

w związku z audytem przeprowadzanym przez dowolny kompetentny w tej kwestii organ nadzorczy w zakresie, który odnosi się do przetwarzania danych osobowych przez podmiot przetwarzający zgodnie z niniejszą Umową i na wyraźną prośbę kontrolera. Pomoc podmiotu przetwarzającego może podlegać stosownej opłacie, chyba że pomoc podmiotu przetwarzającego została wcześniej uwzględniona w Umowie.

2.8. Zakończenie umowy. Podmiot przetwarzający powinien, na życzenie kontrolera, skasować lub zwrócić wszystkie dane osobowe kontrolerowi z chwilą rozwiązania, lub wygaśnięcia Umowy oraz skasować istniejące kopie,

chyba że prawo UE lub jej kraju członkowskiego wymaga od podmiotu przetwarzającego przechowywania danych osobowych.

3. Techniczne i organizacyjne środki bezpieczeństwa

3.1. Podmiot przetwarzający wraz z kontrolerem wdrożą i utrzymają TOM-y wymagane przez obowiązujące

Przepisy dotyczące ochrony danych osobowych. Dotyczy to wdrożenia i utrzymania TOM-ów w celu zapewnienia poziomu bezpieczeństwa odpowiedniego dla ryzyka lub uszczerbku na danych osobowych, a także odpowiedniego dla szkód, które mogą być wynikiem nieupoważnionego lub bezprawnego przetwarzania bądź przypadkowej utraty, zniszczenia lub uszkodzenia i natury chronionych danych, mając na uwadze obecny rozwój technologiczny

i koszt implementacji dowolnych środków (środki te mogą obejmować, w odpowiednich przypadkach, pseudonimizację i szyfrowanie danych osobowych,

zapewnienie poufności, spójności, dostępności i odporności systemów i usług).

3.2. TOM-y podlegają postępowi technologicznemu i dalszemu rozwojowi. Podmiot przetwarzający zastrzega sobie

prawo do zmiany wdrożonych środków i zabezpieczeń, pod warunkiem, że nie wpłynie to na funkcjonalność i bezpieczeństwo Produktów. Wszelkie istotne z punktu widzenia bezpieczeństwa decyzje dotyczące organizacji przetwarzania danych oraz zastosowanych procedur powinny zostać zgłoszone kontrolerowi.

3.3. Korzystając z Produktu, kontroler uznaje TOM-y, określone w Umowie i/lub dostarczone przez podmiot przetwarzający, i potwierdza, że zapewnią one odpowiedni poziom ochrony w odniesieniu do ryzyka związanego z przetwarzaniem danych osobowych.

4. Zobowiązania dotyczące dokumentacji i Audytów

4.1. Na prośbę kontrolera, podmiot przetwarzający powinien udostępnić kontrolerowi, lub upoważnionej do tego stronie trzeciej, działającej w imieniu kontrolera, informacje niezbędne kontrolerowi lub Klientom do wypełnienia ich własnych zobowiązań audytowych zgodnie z obowiązującymi przepisami dotyczącymi ochrony danych osobowych bądź na prośbę organu nadzorczego, i umożliwić oraz wnosić swój wkład w kontrolę i audyty, w tym inspekcje, jak określono poniżej.

4.2. Kontroler może poprosić podmiot przetwarzający o udostępnienie istotnych informacji dotyczących TOM- ów, w tym — jeśli są dostępne — certyfikatów audytora, raportów lub ich fragmentów dostarczonych przez organy

niezależne (np. audytora, inspektora ochrony danych, dział bezpieczeństwa IT, audytora ochrony danych, kontrolera jakości).

4.3. Jeśli wypełnienie zobowiązań audytowych nakładanych przez obowiązujące przepisy dotyczące Przepisów ochrony danych osobowych inaczej nie będzie możliwe, to kontroler lub upoważniony przez niego audytor może na miejscu indywidualnie przeprowadzić na koszt kontrolera osobiste audyty, z reguły nie częściej niż raz do roku, w trakcie regularnych godzin pracy, przy minimalnym wpływie na operacje podmiotu przetwarzającego i po odpowiednio wcześniejszym powiadomieniu. Podmiot przetwarzający może zdecydować, że takie audyty i inspekcje podlegają zobowiązaniom o zachowaniu poufności w związku z ochroną danych pozostałych klientów oraz tajemnicy odnośnie do wdrożonych TOM-ów i zabezpieczeń.

4.4. Kontroler niezwłocznie poinformuje podmiot przetwarzający o wszelkich błędach i nieprawidłowościach wykrytych podczas audytu.

5. Podwykonawca przetwarzania

5.1. Kontroler niniejszym uprawnia podmiot przetwarzający do przekazywania danych osobowych lub udostępniania tych danych innym podmiotom przetwarzającym zaangażowanym w proces (i upoważnia inne podmioty przetwarzające do tego samego zgodnie z klauzulą 5) w celu dostarczania Produktów wynikających ze zobowiązań kontrolera przewidzianych klauzulą 5. Powyższe uprawnienie zastępuje również uprzednią pisemną

zgodę kontrolera na zaangażowanie innych podmiotów przetwarzających przez podmiot przetwarzający, jeśli wymóg takiej zgody przewidziany jest w Standardowych klauzulach umownych lub Przepisach dotyczących ochrony danych osobowych. Podmiot przetwarzający pozostaje odpowiedzialny za przestrzeganie zobowiązań niniejszej DPA przez inne podległe mu podmioty przetwarzające.

Podmiot przetwarzający udostępni kontrolerowi aktualną listę innych pozostałych podmiotów przetwarzających, np. na przeznaczonej do tego celu stronie internetowej.

5.2 Kontroler będzie uprawniony do tego, by sprzeciwić się zaangażowaniu nowego podmiotu przetwarzającego w ciągu 10 dni od momentu otrzymania powiadomienia. W przeciwnym razie uznaje się, że kontroler wyraził zgodę na taki angaż lub zmianę. Gdy istnieje istotnie ważny

powód dla sprzeciwu, a strony nie są w stanie rozwiązać tej kwestii w sposób polubowny, kontroler uprawniony będzie do rozwiązania Umowy w związku z produktem, którego dotyczy dany spór.

5.3 Podmiot przetwarzający zawiera pisemne umowy z każdym innym podmiotem przetwarzających, z którym współpracuje, umowy te zabezpieczają w nie mniejszym stopniu, niż warunki określone w niniejszej DPA.

Taka umowa w szczególności stanowi wystarczające zabezpieczenie przy implementacji odpowiednich TOM-ów.

6. Międzynarodowe transfery danych

6.1. Kontroler niniejszym upoważnia podmiot przetwarzający do przekazania lub udostępnienia danych osobowych w kontekście świadczonych usług, jak opisano w Umowie, szczegółów przetwarzania i/lub SKU — tam, gdzie to właściwe.

6.2. Każde przetwarzanie danych osobowych poza krajem lub regionem, w którym zlokalizowany jest kontroler, podlega właściwemu mechanizmowi transferu danych,

jeśli wymagają tego przepisy dotyczące Przepisów ochrony danych osobowych i zgodnie z tymi przepisami.

6.3. Dla międzynarodowych transferów danych w kontekście Przetwarzania Danych osobowych z EOG, SKU muszą być realizowane pomiędzy firmą TD SYNNEX a kupującym, jeśli strona przekazująca lub udostępniająca dane osobowe zlokalizowana jest w EOG, Zjednoczonym Królestwie Wielkiej Brytanii i Irlandii Północnej lub Szwajcarii, a druga strona, otrzymująca takie dane lub dostęp do nich, zlokalizowana jest w Kraju trzecim. Warunki niniejszej DPA nie mają na celu nowelizacji lub modyfikacji SKU, ale zapewnienie przejrzystości w kwestii procesów i procedur dotyczących przestrzegania SKU. W przypadku konfliktu pomiędzy warunkami niniejszej DPA oraz SKU, SKU mają charakter nadrzędny.

6.4. Dla Transferów danych w związku z podmiotem przetwarzającym angażującym inne podmioty przetwarzające, podmiot przetwarzający zawiera stosowne Standardowe klauzule umowne (pomiędzy dwoma podmiotami przetwarzającymi) z innymi podmiotami przetwarzającymi i odpowiednio zobowiązuje inne podmioty przetwarzające w związku z wszelkimi przyszłymi transferami.

7. Poufność

Strony nie będą ujawniać żadnych poufnych informacji udostępnianych w związku z niniejszą DPA, z wyjątkiem sytuacji, gdy (i) wymaga tego niniejsza DPA lub instrukcje którejś ze stron, (ii) wymaga tego prawo, (iii) informacje ujawniane są w odpowiedzi do zapytania właściwego organu lub instytucji nadzorującej bądź rządowej oraz (iv) informacje ujawniane są ich pracownikom, agentom i kontrahentom, którzy zobowiązani są do zachowania poufności na zasadzie ograniczonego dostępu.