LOCKHEED MARTIN DATA PROTECTION ADDENDUM POSTANOWIENIA DOTYCZĄCE PRZETWARZANIA DANYCH Z ZASTRZEŻENIEM OBOWIĄZUJĄCYCH PRZEPISÓW O OCHRONIE DANYCH
LOCKHEED MARTIN DATA PROTECTION ADDENDUM POSTANOWIENIA
DOTYCZĄCE PRZETWARZANIA DANYCH
Z ZASTRZEŻENIEM OBOWIĄZUJĄCYCH PRZEPISÓW O OCHRONIE DANYCH
1. Definicje
"Obowiązujące Przepisy" oznaczają wszystkie obowiązujące przepisy i regulacje dotyczące prywatności i bezpieczeństwa danych, w tym Kanadę, Stany Zjednoczone ("USA"), Wielką Brytanię ("Wielka Brytania") i Unię Europejską ("UE"), w tym między innymi Ogólne Rozporządzenie o Ochronie Danych (Rozporządzenie (UE) 2016/679) ("RODO") przetransponowane do ustawodawstwa krajowego każdego państwa członkowskiego UE; brytyjską Ustawę o Ochronie Danych z 2018 r. oraz Ogólne Rozporządzenie o Ochronie Danych ("UK GDPR"); kalifornijska ustawa o ochronie prywatności konsumentów z 2018 r. ("CCPA"), kalifornijska ustawa o prawach do prywatności z 2020 r. ("CPRA") oraz podobne przepisy stanowe i/lub wszelkie inne obowiązujące przepisy dotyczące ochrony danych, w każdym przypadku z późniejszymi zmianami, zastąpieniem lub zastąpieniem, mające zastosowanie do SPRZEDAWCY lub podlegające jego jurysdykcji w związku z wykonywaniem przez niego Prac objętych Umową;
"Kontrakt" oznacza dokument zawarcia umowy, taki jak "Zamówienie Zakupu", "PO", "Umowa Podwykonawstwa" lub inne tego typu oznaczenie, w tym niniejsze Postanowienia Ogólne, wszystkie odnośne dokumenty, eksponaty i załączniki. Jeśli niniejsze warunki zostaną włączone do umowy "głównej", która przewiduje zwolnienia (w formie Zamówienia Zakupu lub innego takiego dokumentu), termin "Kontrakt" będzie również oznaczał dokument zwolnienia dla Prac, które mają zostać wykonane;
"Administrator Danych" ma znaczenie nadane mu w Obowiązujących Przepisach; "Podmiot Przetwarzający Dane" ma znaczenie nadane mu w Obowiązujących Przepisach; "Podmiot Danych" ma znaczenie nadane mu w Obowiązujących Przepisach;
"Wniosek o dostęp Podmiotu Danych" oznacza wniosek złożony przez Podmiot Danych lub w jego imieniu zgodnie z Obowiązującymi Przepisami;
"EOG" oznacza państwa członkowskie UE oraz Islandię, Liechtenstein i Norwegię;
"Międzynarodowa umowa o przekazywaniu danych" (IDTA) oznacza umowę obejmującą międzynarodowe przekazywanie danych osobowych w celu zapewnienia zgodności z art. 46(2)(d) brytyjskiego RODO, aktualizowaną, zmienianą, zastępowaną lub zastępowaną od czasu do czasu, dostępną pod adresem xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xx-xxxx- guidance-and-resources/international-transfers/international-data- transfer-agreement-and-guidance/;
"Współadministrator" ma znaczenie przypisane mu w Obowiązujących Przepisach;
"Państwo Członkowskie" oznacza kraje położone głównie w Europie, które tworzą polityczną i gospodarczą grupę znaną jako Unia Europejska;
"Dane Osobowe" i "Informacje Osobowe" mają znaczenie przypisane im w Obowiązujących Przepisach. W niniejszym dokumencie odniesienia do "Danych Osobowych" oznaczają "Informacje Osobowe", jeśli dane pochodzą spoza UE;
"Naruszenie Danych Osobowych" ma znaczenie przypisane mu w Obowiązujących Przepisach;
"Proces" lub "Przetwarzanie" ma znaczenie przypisane mu w Obowiązujących przepisach prawa;
"Standardowe klauzule umowne" oznaczają standardowe klauzule umowne dotyczące przekazywania Danych Osobowych Podmiotom Przetwarzającym mającym siedzibę w państwach trzecich, które nie zapewniają odpowiedniego poziomu ochrony, określone w decyzji wykonawczej Komisji Europejskiej (UE) 2021/915 lub 2021/914 z dnia 4 czerwca 2021 r., aktualizowanej, zmienianej, zastępowanej lub zastępowanej okresowo przez taką Komisję, dostępnej pod adresem xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-xxxxxxxxxx/xxxxxxxxxxxxx-xxxxxxxxx-xxxx- protection/standard- contractual-clauses-scc/standard-contractual-clauses-international-transfers_en.
"Podprzetwarzający" oznacza podmioty powiązane, agentów, podmioty zależne i/lub podwykonawców, którym SPRZEDAJĄCY zleca lub w inny sposób deleguje Przetwarzanie Danych Osobowych w ramach realizacji Umowy;
"Organ nadzorczy" oznacza (a) niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 51 RODO; oraz (b) każdy podobny organ regulacyjny odpowiedzialny za egzekwowanie Obowiązujących przepisów; oraz
"Dzieło" oznacza wszystkie wymagane prace, artykuły, materiały, dostawy, towary i usługi stanowiące przedmiot, który SPRZEDAJĄCY wykonuje w ramach Umowy.
2. SPRZEDAWCA jako podmiot przetwarzający dane
2.1 SPRZEDAWCA jest upoważniony do przetwarzania Danych Osobowych opisanych w Umowie wyłącznie w celu i wyłącznie w zakresie wykonania Dzieła na rzecz lub w imieniu LOCKHEED MARTIN (który, wyłącznie dla celów niniejszego punktu 2, działa jako jedyny Administrator Danych) oraz w celu ochrony Podmiotów Danych. W szczególności LOCKHEED MARTIN może polecić SPRZEDAWCY przekazanie danych poza kraj, z którego pochodzą dane osobowe. W przypadku, gdy SPRZEDAJĄCY jest prawnie zobowiązany do dalszego przetwarzania Danych Osobowych opisanych w Umowie, SPRZEDAJĄCY poinformuje LOCKHEED MARTIN o tym wymogu prawnym przed rozpoczęciem Przetwarzania, chyba że prawo zabrania przekazywania takich informacji ze względu na interes publiczny.
2.2 Przed rozpoczęciem Przetwarzania Danych Osobowych (i w inny sposób na żądanie LOCKHEED MARTIN), SPRZEDAWCA przekaże LOCKHEED MARTIN:
Kopie wszelkich certyfikatów posiadanych przez SPRZEDAWCĘ (wraz z odpowiednią dokumentacją uzupełniającą), które mają zastosowanie do systemów, polityk i procedur regulujących Przetwarzanie Danych Osobowych. Przykłady potencjalnie istotnych certyfikatów obejmują między innymi: SSAE 16 - SOC1, SOC2, SOC3; ISO 27001:2013; ISO
27018:2014, Wiążące Reguły Korporacyjne UE; i/lub System Transgranicznych Zasad Prywatności APEC. SPRZEDAJĄCY niezwłocznie powiadomi LOCKHEED MARTIN, jeśli SPRZEDAJĄCY nie będzie przestrzegać lub przestanie przestrzegać takich certyfikatów lub ich następców. Jeśli SPRZEDAJĄCY nie posiada takich zewnętrznych certyfikatów związanych z prywatnością, bezpieczeństwem lub ochroną danych, SPRZEDAJĄCY alternatywnie dostarczy LOCKHEED MARTIN dokumentację wystarczającą do wykazania zdolności SPRZEDAJĄCEGO do wypełnienia jego obowiązków jako Podmiotu Przetwarzającego Dane zgodnie z Obowiązującymi Przepisami.
2.3 W przypadku, gdy Prace wymagają od SPRZEDAJĄCEGO przetwarzania Danych Osobowych w charakterze Podmiotu Przetwarzającego Dane na rzecz LOCKHEED MARTIN, SPRZEDAJĄCY będzie przestrzegać (i zapewni, że każdy z jego pracowników i Podmiotów Przetwarzających Dane zaangażowanych w realizację Umowy) Obowiązujących Przepisów i będzie należycie przestrzegać wszystkich swoich zobowiązań wynikających z Umowy.
W związku z powyższym SPRZEDAJĄCY
Wdrożyć i utrzymywać odpowiednie środki techniczne, organizacyjne i umowne (w tym wszelkie certyfikaty lub inne dokumenty, o których mowa w niniejszym dokumencie, które zostaną udostępnione niezwłocznie na żądanie LOCKHEED MARTIN) w celu (1) zapewnienia bezpieczeństwa Danych Osobowych, (2) ochrony przed nieuprawnionym lub niezgodnym z prawem Przetwarzaniem Danych Osobowych oraz (3) ochrony przed przypadkową utratą, zmianą lub zniszczeniem lub uszkodzeniem Danych Osobowych zgodnie z wymogami Obowiązujących Przepisów. Oceniając odpowiedni poziom bezpieczeństwa, SPRZEDAWCA bierze pod uwagę ryzyko związane z Przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych LOCKHEED MARTIN przesyłanych, przechowywanych lub przetwarzanych w inny sposób;
;
Udzielić uzasadnionej pomocy, zgodnie z żądaniem LOCKHEED MARTIN, w zakresie wszelkich ocen wpływu na ochronę danych, które są wymagane na mocy Obowiązujących przepisów, oraz wszelkich uprzednich konsultacji z Organami nadzorczymi lub innymi właściwymi organami ds. prywatności danych, które LOCKHEED MARTIN zasadnie uzna za wymagane na mocy Obowiązujących przepisów;
wyznaczy i wskaże LOCKHEED MARTIN osobę(-y) odpowiedzialną(-e) za ochronę danych, która(-e) będzie(-ą) pełnić funkcję punktu kontaktowego SPRZEDAJĄCEGO w sprawach związanych z bezpieczeństwem i prywatnością Danych Osobowych;
dostarczania firmie LOCKHEED MARTIN informacji, których firma LOCKHEED MARTIN może w uzasadniony sposób wymagać w celu upewnienia się, że SPRZEDAJĄCY wypełnia swoje zobowiązania wynikające z Obowiązujących przepisów prawa. Takie wnioski o udzielenie informacji mogą obejmować między innymi udzielanie przez SPRZEDAWCĘ pomocy firmie LOCKHEED MARTIN w zakresie niezbędnym do udzielenia odpowiedzi na wnioski Biura Komisarza ds. Informacji lub innych organów nadzorczych, osób, których dane dotyczą, klientów lub innych osób o udzielenie informacji na temat świadczonej przez SPRZEDAWCĘ Pracy stanowiącej Przetwarzanie Danych Osobowych;
podjęcia uzasadnionych kroków w celu zapewnienia rzetelności personelu SPRZEDAJĄCEGO, który ma dostęp do Danych Osobowych, w tym między innymi zapewnienia, że wszyscy pracownicy SPRZEDAJĄCEGO, od których wymagany jest dostęp do Danych Osobowych, zostali poinformowani o poufnym charakterze Danych Osobowych i przestrzegają obowiązków określonych w niniejszej Umowie i Obowiązujących Przepisach; zapewnienia w każdym przypadku, że dostęp jest ściśle ograniczony do tych osób, które muszą uzyskać dostęp do odpowiednich Danych Osobowych LOCKHEED MARTIN, co jest absolutnie niezbędne w kontekście obowiązków tej osoby wobec SPRZEDAJĄCEGO;
zawsze zachowywać poufność i bezpieczeństwo Danych Osobowych dotyczących Podmiotów Danych. SPRZEDAWCA zapewni, że żaden z jego pracowników nie opublikuje, nie ujawni ani nie ujawni żadnych Danych Osobowych jakiejkolwiek stronie trzeciej, chyba że LOCKHEED MARTIN poleci mu to na piśmie; oraz
zapewnić, że SPRZEDAJĄCY świadomie lub w wyniku zaniedbania nie uczyni ani nie zaniecha niczego, co naraziłoby firmę LOCKHEED MARTIN na naruszenie zobowiązań wynikających z Obowiązujących przepisów prawa.
Powiadomienia o ochronie prywatności
2.4 Wszystkie strony internetowe i portale SPRZEDAJĄCEGO, które mają być wykorzystywane w celu realizacji Umowy i które gromadzą Dane Osobowe, muszą zawierać informację o ochronie prywatności spełniającą wymogi Obowiązujących Przepisów. Na żądanie LOCKHEED MARTIN SPRZEDAJĄCY przedłoży informację o ochronie prywatności do zatwierdzenia przez LOCKHEED MARTIN przed jej wykorzystaniem lub zmianą.
Korzystanie z plików cookie na stronach internetowych
2.5 W odniesieniu do wszystkich stron internetowych i portali SPRZEDAWCY, w tym portali zdalnego
dostępu, które mają być wykorzystywane do celów Umowy, SPRZEDAWCA zobowiązuje się
zminimalizować wykorzystanie plików cookie umieszczonych na komputerze użytkownika/subskrybenta do poziomu niezbędnego do skutecznego funkcjonowania Dzieła; oraz
skonfigurować specjalną stronę, która jasno określa, jakie pliki cookie są ustawiane, do czego są wykorzystywane oraz, w przypadku stron internetowych i portali do użytku publicznego, w jaki sposób użytkownik/subskrybent może wyłączyć pliki cookie. Na stronie docelowej witryny powinien znajdować się widoczny link do tej strony.
Naruszenia ochrony danych osobowych
2.6 SPRZEDAWCA jest zobowiązany do niezwłocznego powiadomienia firmy LOCKHEED MARTIN w przypadku Naruszenia Danych Osobowych (tj. nie później niż siedemdziesiąt dwie (72) godziny po powzięciu informacji o Naruszeniu Danych Osobowych) i dostarczenia firmie LOCKHEED MARTIN wystarczających informacji, które umożliwią firmie LOCKHEED MARTIN wywiązanie się z obowiązku zgłoszenia Naruszenia Danych Osobowych zgodnie z Obowiązującymi przepisami. Takie powiadomienie powinno zawierać co najmniej:
opisać charakter naruszenia ochrony danych osobowych, kategorie i liczbę osób, których dane
dotyczą, oraz kategorie i liczbę rekordów danych osobowych, których dotyczy naruszenie;
podać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych SPRZEDAWCY lub innej odpowiedniej osoby kontaktowej, od której można uzyskać więcej informacji;
opisać prawdopodobne konsekwencje naruszenia ochrony danych osobowych; oraz
opisać środki podjęte lub proponowane do podjęcia w celu zaradzenia Naruszeniu Danych Osobowych.
2.7 SPRZEDAJĄCY, na swój koszt, będzie w pełni współpracował z LOCKHEED MARTIN i podejmie takie uzasadnione kroki handlowe, jakie zostaną wskazane przez LOCKHEED MARTIN, aby pomóc w dochodzeniu, łagodzeniu i naprawie każdego Naruszenia Danych Osobowych.
2.8 W przypadku Naruszenia Danych Osobowych SPRZEDAJĄCY nie poinformuje żadnej strony trzeciej bez uprzedniego uzyskania uprzedniej pisemnej zgody LOCKHEED MARTIN, chyba że powiadomienie jest wymagane przez Obowiązujące Przepisy, którym podlega SPRZEDAJĄCY, w którym to przypadku SPRZEDAJĄCY poinformuje LOCKHEED MARTIN o tym wymogu prawnym w zakresie dozwolonym przez takie prawo, dostarczy kopię proponowanego powiadomienia i rozważy wszelkie uwagi zgłoszone przez LOCKHEED MARTIN przed przekazaniem powiadomienia o Naruszeniu Danych Osobowych.
Podwykonawstwo i outsourcing
2.9 SPRZEDAWCA nie może zlecać Przetwarzania Danych Osobowych Podprzetwarzającemu bez uzyskania uprzedniej pisemnej zgody LOCKHEED MARTIN.
2.10 SPRZEDAWCA ujawni LOCKHEED MARTIN na piśmie tożsamość każdego planowanego Podprzetwarzającego i Przetwarzającego Dane Osobowe w Załączniku III do niniejszego Dodatku o Ochronie Danych, przekazując LOCKHEED MARTIN takie informacje dotyczące Podprzetwarzającego, jakie są zasadnie wymagane. Jeśli SPRZEDAJĄCY chce zaktualizować lub zmienić Podprzetwarzających wskazanych w Załączniku III, musi uzyskać uprzednią pisemną zgodę LOCKHEED MARTIN.
2.11 SPRZEDAJĄCY zawrze pisemną umowę z Podprzetwarzającym(i), która(e) nada(ą) moc obowiązującą warunkom określonym w niniejszej klauzuli, a na żądanie dostarczy LOCKHEED MARTIN kopię swoich umów z Podprzetwarzającymi do wglądu.
2.12 SPRZEDAJĄCY dołoży należytej staranności w odniesieniu do każdego Podprzetwarzającego, aby zapewnić, że jest on w stanie zapewnić poziom ochrony Danych Osobowych LOCKHEED MARTIN wymagany Umową, w tym między innymi wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby Przetwarzanie spełniało wymogi Obowiązujących Przepisów i Umowy (w tym między innymi niniejszego Dodatku o Ochronie Danych), oraz przedstawi dowody takiej należytej staranności na żądanie LOCKHEED MARTIN lub Organu Nadzorczego.
2.13 SPRZEDAJĄCY pozostaje w pełni odpowiedzialny wobec LOCKHEED MARTIN za niewypełnienie przez każdego Podprzetwarzającego jego obowiązków związanych z Przetwarzaniem jakichkolwiek Danych Osobowych LOCKHEED MARTIN.
Transfery danych
2.14 Przekazywanie Danych Osobowych przez SPRZEDAWCĘ Podprzetwarzającym jest niedozwolone, z wyjątkiem przypadków, w których LOCKHEED MARTIN zezwala na podwykonawstwo zgodnie z punktem 2.9 powyżej. Przekazywanie Danych Osobowych poza kraj, z którego Dane Osobowe pochodzą, może podlegać dodatkowym wymogom, takim jak te opisane w punkcie 2.15 poniżej.
2.15 Jeżeli LOCKHEED MARTIN zezwoli na przekazanie danych Podprzetwarzającemu, SPRZEDAWCA nie przekaże Danych Osobowych Podprzetwarzającemu, który znajduje się poza EOG lub Wielką Brytanią, chyba że:
SPRZEDAJĄCY potwierdza, że każde takie przeniesienie jest regulowane przez, odpowiednio:
2.15.1.1 postanowień "standardowych klauzul umownych (podmioty przetwarzające)" (określonych w decyzji wykonawczej Komisji (UE) 2021/915 na podstawie art. 28 ust. 7 rozporządzenia (UE) 2016/679), "standardowych klauzul umownych (państwa trzecie)" (określonych w decyzji wykonawczej Komisji (UE) 2021/914) lub brytyjskiej międzynarodowej umowy o przekazywaniu danych (IDTA); lub
2.15.1.2 inny mechanizm dozwolony przez obowiązujące przepisy prawa; oraz SPRZEDAWCA zapewnia LOCKHEED MARTIN uprzednie pisemne powiadomienie i
możliwość zgłoszenia sprzeciwu.
2.16 LOCKHEED MARTIN ma prawo do rozwiązania Umowy bez dodatkowych kosztów i bez ponoszenia odpowiedzialności wobec SPRZEDAWCY w przypadku uzasadnionego sprzeciwu wobec proponowanego przez SPRZEDAWCĘ przeniesienia.
2.17 O ile obie strony nie znajdują się w odpowiednim kraju lub w inny sposób nie wdrożyły zabezpieczeń uznanych za odpowiednie zgodnie z obowiązującym prawem, takich jak Wiążące Reguły Korporacyjne, podpisując niniejszy Aneks o Ochronie Danych, strony wykonują i włączają przez odniesienie Standardowe Klauzule Umowne. Dla celów niniejszego Aneksu o Ochronie Danych, gdy strony podpisują Standardowe Klauzule Umowne, przyjmują do wiadomości, że (i) LOCKHEED MARTIN jest "eksporterem danych", a SPRZEDAJĄCY jest "importerem danych" oraz (ii) prawem właściwym dla Standardowych Klauzul Umownych jest prawo właściwe dla kraju EOG, w którym LOCKHEED MARTIN lub Podmiot Stowarzyszony LOCKHEED MARTIN ma swoją siedzibę.
Po ustaleniu, że Standardowe Klauzule Umowne będą miały zastosowanie do przekazywania Danych Osobowych, strony przyjmują do wiadomości i zgadzają się, że Moduł Pierwszy (Przekazanie administratora do administratora), Moduł Drugi (Przekazanie administratora do podmiotu przetwarzającego) i/lub Moduł Trzeci (Przekazanie podmiotu przetwarzającego do podmiotu przetwarzającego) zostaną wybrane i zastosowane, w zależności od kontekstu, w tym ich załączniki zawarte w niniejszym Dodatku o Ochronie Danych;
2.17.1.1 Strony potwierdzają i uzgadniają, że zastosowanie ma Klauzula 7.
2.17.1.2 Zgodnie z Klauzulą 9 zastosowanie ma Opcja 2, a podmiot odbierający dane powiadomi podmiot przekazujący dane z co najmniej trzydziestodniowym (30) wyprzedzeniem o wszelkich zmianach w korzystaniu z Podprzetwarzających.
2.17.1.3 Zgodnie z Klauzulą 17, Opcje 1 lub 2 będą miały zastosowanie w zależności od właściwego Modułu. Strony przyjmują do wiadomości i zgadzają się, że prawem właściwym jest prawo miejsca siedziby podmiotu przekazującego dane lub prawo polskie.
2.17.1.4 Zgodnie z Klauzulą 18, strony przyjmują do wiadomości i zgadzają się, że wybór forum i jurysdykcji będzie należał do sądów w miejscu, w którym podmiot przekazujący dane ma siedzibę lub w Polsce.
W przypadku, gdy takie przekazywanie Danych Osobowych obejmuje przekazywanie z Wielkiej Brytanii do kraju niebędącego odpowiednim krajem, strony zawrą i włączą przez odniesienie IDTA. Wymagane części 1, 2 i 3 IDTA są załączone jako Załącznik IV, V i VI do niniejszego Dodatku o Ochronie Danych.
Wnioski o dostęp podmiotu danych
2.18 SPRZEDAWCA jest zobowiązany do niezwłocznego powiadomienia LOCKHEED MARTIN w przypadku otrzymania jakiegokolwiek żądania dostępu do Danych Osobowych lub w przypadku otrzymania żądania sprostowania, zablokowania lub usunięcia Danych Osobowych.
2.19 SPRZEDAJĄCY zapewni LOCKHEED MARTIN pomoc bez dodatkowych kosztów w odpowiedzi na wszelkie skargi, komunikaty lub wnioski złożone w związku z przedmiotem niniejszej klauzuli, w tym poprzez niezwłoczne dostarczenie LOCKHEED MARTIN pełnych szczegółów i kopii skargi, komunikatu lub wniosku; oraz taką pomoc, o jaką LOCKHEED MARTIN zwróci się w uzasadniony sposób, aby umożliwić zgodność z wnioskiem o dostęp osoby, której dane dotyczą, w odpowiednich ramach czasowych wymaganych przez Obowiązujące przepisy prawa.
Komunikaty od organów nadzoru
2.20 SPRZEDAWCA jest zobowiązany do niezwłocznego powiadomienia LOCKHEED MARTIN w przypadku otrzymania jakiegokolwiek komunikatu od Organu Nadzorczego w związku z Danymi Osobowymi przetwarzanymi w ramach
Umowy. SPRZEDAJĄCY zapewni LOCKHEED MARTIN pomoc bez ponoszenia dodatkowych kosztów w udzielaniu odpowiedzi na wszelkie takie komunikaty, w tym poprzez niezwłoczne przekazanie LOCKHEED MARTIN pełnych szczegółów i kopii tych komunikatów.
Przechowywanie danych
2.21 SPRZEDAWCA i każdy Podprzetwarzający będą przechowywać Dane Osobowe LOCKHEED MARTIN
wyłącznie w zakresie i tak długo, jak Dane Osobowe są niezbędne do wykonania Umowy.
2.22 SPRZEDAJĄCY zobowiązany jest do prowadzenia kompletnej i dokładnej dokumentacji i informacji w celu wykazania zgodności z niniejszą klauzulą. Na żądanie LOCKHEED MARTIN SPRZEDAJĄCY niezwłocznie zwróci lub bezpiecznie zniszczy wszelkie Dane Osobowe dotyczące Podmiotów Danych znajdujące się pod jego kontrolą lub w jego posiadaniu, z wyjątkiem sytuacji, w których zachowanie takich informacji jest wymagane przez Obowiązujące Przepisy.
Audyty
2.23 SPRZEDAJĄCY będzie wspierał przeprowadzane przez LOCKHEED MARTIN audyty jego działań w zakresie usług i bezpieczeństwa informacji, a także jego agentów, podmiotów zależnych i podwykonawców, z częstotliwością raz na 24 miesiące lub w przypadku wystąpienia znaczącej zmiany we wdrażaniu usług. SPRZEDAJĄCY bez ponoszenia kosztów przez LOCKHEED MARTIN wdroży wszelkie działania naprawcze zidentyfikowane w wyniku audytów w uzgodnionym planie czasowym.
3. SPRZEDAWCA jako administrator lub współadministrator danych
3.1 W przypadku, gdy zarówno LOCKHEED MARTIN, jak i SPRZEDAWCA działają jako Administratorzy Danych lub jako Współadministratorzy w odniesieniu do Danych Osobowych przetwarzanych na podstawie Umowy,
strony przyjmują do wiadomości, że każda ze stron będzie działać jako odrębny i niezależny
Administrator Danych w odniesieniu do Danych Osobowych, które przetwarza zgodnie z Umową;
Jeśli obie strony wspólnie ustalą, że są Współadministratorami, powinny one jasno określić
odpowiednie obowiązki w zakresie Przetwarzania w Zestawieniu Prac;
Strony będą przestrzegać swoich obowiązków wynikających z Obowiązujących przepisów prawa w odniesieniu do Przetwarzania Danych Osobowych;
Ujawniając informacje, każda ze stron zobowiązana jest do
3.1.4.1 ujawniać Dane Osobowe wyłącznie w określonym celu (innym niż spełnienie
wymogu obowiązującego prawa, któremu podlega strona) ("Cele");
3.1.4.2 podejmie wszelkie uzasadnione kroki w celu dostarczenia informacji o rzetelnym przetwarzaniu osobom, których dane dotyczą, których dane osobowe mają zostać ujawnione którejkolwiek ze stron Umowy lub stronie trzeciej wskazanej w Zestawieniu Prac, informując je, że ich dane osobowe zostaną ujawnione stronie otrzymującej w Celach; oraz
3.1.4.3 uzyskania niezbędnych zgód lub upoważnień wymaganych w celu umożliwienia
ujawnienia takich Danych Osobowych stronie otrzymującej w Celach.
Otrzymując informacje, każda ze stron będzie przestrzegać Obowiązujących przepisów prawa oraz, bez ograniczeń do powyższego:
3.1.5.1 wdrożenia i utrzymywania odpowiednich środków technicznych i organizacyjnych w celu ochrony Danych Osobowych przed nieuprawnionym lub niezgodnym z prawem Przetwarzaniem lub przypadkowym zniszczeniem, utratą lub uszkodzeniem, z uwzględnieniem aktualnego stanu wiedzy technicznej, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów Przetwarzania, a także ryzyka naruszenia wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia;
3.1.5.2 posiadać odpowiednie programy i procedury bezpieczeństwa w celu zapewnienia, że tylko upoważniony personel ma dostęp do Danych Osobowych oraz że wszystkie osoby upoważnione do dostępu do Danych Osobowych przestrzegają i zachowują należytą poufność;
3.1.5.3 Przetwarzać Dane Osobowe wyłącznie w Celach;
3.1.5.4 nie przetwarzać Danych Osobowych dłużej niż jest to konieczne do realizacji Celów (innych niż spełnienie wymogu obowiązującego prawa, któremu podlega strona otrzymująca);
3.1.5.5 bez zbędnej zwłoki powiadamiać stronę ujawniającą o każdym Naruszeniu Danych Osobowych obejmującym Dane Osobowe, a każda ze stron będzie współpracować z drugą stroną, w uzasadnionym zakresie, w odniesieniu do wszelkich powiadomień organów nadzorczych lub Podmiotów Danych, które są wymagane w następstwie Naruszenia Danych Osobowych obejmującego Dane Osobowe; oraz
3.1.5.6 W przypadku, gdy jednostka organizacyjna strony otrzymującej podejmująca się przetwarzania Danych Osobowych znajduje się poza krajem, z którego pochodzą Dane Osobowe, strona otrzymująca zapewni, że wszelkie ujawnienia i/lub transfery są zgodne z Obowiązującymi Przepisami.
3.2 Każda ze stron będzie współpracować z drugą stroną, w uzasadnionym zakresie, w odniesieniu do: wszelkie wnioski o dostęp do danych;
wszelkie inne informacje od Podmiotu danych dotyczące przetwarzania jego Danych osobowych; oraz
wszelkie komunikaty od Organu Nadzorczego dotyczące Przetwarzania Danych Osobowych lub zgodności z Obowiązującymi Przepisami.
4. Obowiązki SPRZEDAWCY wynikające z kalifornijskiego prawa o ochronie prywatności
4.1 Strony przyjmują do wiadomości i zgadzają się, że SPRZEDAJĄCY działa jako usługodawca (zgodnie z definicją tego terminu zawartą w CCPA) na rzecz LOCKHEED MARTIN w związku z wykonywaniem przez SPRZEDAJĄCEGO Prac zgodnie z Umową. SPRZEDAWCA przyjmuje do wiadomości i potwierdza, że nie przekazuje firmie LOCKHEED MARTIN żadnych środków pieniężnych ani innych wartościowych korzyści w zamian za Xxxx Xxxxxxx oraz zaświadcza, że rozumie i będzie przestrzegać ograniczeń określonych w niniejszym punkcie 4. Z wyjątkiem przypadków wymaganych przez obowiązujące przepisy prawa, regulacje lub standardy zawodowe,
SPRZEDAWCA nie będzie gromadzić, uzyskiwać dostępu, wykorzystywać, ujawniać, przetwarzać ani przechowywać Danych Osobowych w żadnym celu innym niż cel wykonania Pracy lub inny cel biznesowy dozwolony przez 11 CCR § 999.314(c), niniejszy Dodatek dotyczący ochrony danych, Umowę lub stosowny Wykaz Prac. SPRZEDAWCA nie będzie sprzedawać (zgodnie z definicją zawartą w Obowiązujących przepisach prawa, w tym, bez ograniczeń i w odpowiednim zakresie, w CCPA) ani udostępniać (zgodnie z definicją zawartą w CPRA) żadnych Danych osobowych.
5. Odszkodowanie
5.1 SPRZEDAWCA będzie bronić, zabezpieczać i chronić firmę LOCKHEED MARTIN, jej członków zarządu, dyrektorów, pracowników, konsultantów, agentów, podmioty stowarzyszone, następców prawnych, dozwolonych cesjonariuszy i klientów przed wszelkimi stratami, kosztami, roszczeniami, powodami powództwa, odszkodowaniami, zobowiązaniami i wydatkami, w tym kosztami obsługi prawnej, wszelkie wydatki związane z postępowaniem sądowym i/lub ugodą oraz koszty sądowe (łącznie "Roszczenie"), wynikające z jakiegokolwiek działania lub zaniechania SPRZEDAWCY, jego kierownictwa, pracowników, agentów, dostawców lub podwykonawców na dowolnym poziomie, w ramach wykonywania któregokolwiek z jego zobowiązań wynikających z niniejszego Dodatku dotyczącego ochrony danych. Niniejsze odszkodowanie ma zastosowanie niezależnie od tego, czy LOCKHEED MARTIN dopuścił się zaniedbania lub zawinił. Pod warunkiem, że SPRZEDAWCA wywiązał się ze swoich zobowiązań w odniesieniu do niniejszego Aneksu o Ochronie Danych i Obowiązujących Przepisów, wówczas zobowiązanie odszkodowawcze SPRZEDAWCY wynikające z niniejszej klauzuli nie będzie miało zastosowania w zakresie, w jakim Roszczenia są bezpośrednim wynikiem zaniedbań lub umyślnych działań lub zaniechań LOCKHEED MARTIN. Żadne z postanowień niniejszego postanowienia nie ogranicza w inny sposób jakichkolwiek środków prawnych przysługujących SPRZEDAJĄCEMU na mocy niniejszego Dodatku dotyczącego ochrony danych i/lub Umowy.
6. Ubezpieczenie
6.1 SPRZEDAJĄCY i jego podwykonawcy będą utrzymywać na potrzeby realizacji niniejszej Umowy ubezpieczenie obejmujące ryzyko cybernetyczne i zobowiązania cybernetyczne z tytułu strat finansowych wynikających lub powstałych w wyniku działań, błędów lub zaniechań podczas świadczenia Prac objętych niniejszą Umową w wysokości 5 mln USD na zdarzenie w odniesieniu do Prac wykonywanych w Stanach Zjednoczonych.
6.2 SPRZEDAJĄCY zleci swojemu ubezpieczycielowi wskazanie LOCKHEED MARTIN jako dodatkowego ubezpieczonego w takiej polisie na czas obowiązywania Umowy.
6.3 SPRZEDAJĄCY przekaże LOCKHEED MARTIN pisemne powiadomienie z trzydziestodniowym (30) wyprzedzeniem przed datą wejścia w życie jakiegokolwiek anulowania lub zmiany okresu lub zakresu któregokolwiek z wymaganych ubezpieczeń SPRZEDAJĄCEGO, pod warunkiem, że takie powiadomienie nie zwalnia SPRZEDAJĄCEGO z obowiązku utrzymania wymaganego ubezpieczenia. SPRZEDAWCA zobowiązuje się, że jego ubezpieczyciele wskażą LOCKHEED MARTIN jako dodatkowego ubezpieczonego na czas obowiązywania niniejszej Umowy. Na żądanie SPRZEDAJĄCY dostarczy "Certyfikat ubezpieczenia" potwierdzający spełnienie przez SPRZEDAJĄCEGO tych wymogów. Ubezpieczenie utrzymywane zgodnie z niniejszą klauzulą będzie uważane za podstawowe w odniesieniu do interesu LOCKHEED MARTIN i nie będzie uzupełniać żadnego ubezpieczenia, które może posiadać LOCKHEED MARTIN. "Podwykonawca" użyty w niniejszej klauzuli obejmuje podwykonawców SPRZEDAJĄCEGO dowolnego szczebla. Zobowiązania SPRZEDAJĄCEGO w zakresie zapewnienia i utrzymania ochrony ubezpieczeniowej są niezależne i nie mają na nie wpływu żadne inne postanowienia niniejszej Umowy.
7. Zakończenie
7.1 Wszelkie zobowiązania nałożone na SPRZEDAWCĘ na mocy niniejszego Dodatku dotyczącego ochrony danych w związku z Przetwarzaniem Danych Osobowych pozostają w mocy po rozwiązaniu lub
wygaśnięciu Umowy lub niniejszego Dodatku dotyczącego ochrony danych.
ZAŁĄCZNIK I
Do celów art. 26 ust. 2 dyrektywy 95/46/WE, w przypadku przekazywania danych osobowych podmiotom mającym siedzibę w krajach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych.
Lista stron:
1. Nazwa:
Adres:
Podpis i data:
Rola (administrator/podmiot przetwarzający): Administrator danych (prosimy o kontakt z przedstawicielem ds. zamówień LOCKHEED MARTIN w celu uzyskania informacji dotyczących odpowiedniej jurysdykcji i informacji o POC)
Inne informacje potrzebne do identyfikacji organizacji
..................................................................... (eksporter danych)
I
Nazwa organizacji importującej dane:
Adres:
Tel.: ; E-mail:
(importer danych)
każda z nich jest "stroną"; łącznie "strony",
UZGODNIŁY następujące klauzule umowne ("Klauzule") w celu wprowadzenia odpowiednich zabezpieczeń w odniesieniu do ochrony prywatności oraz podstawowych praw i wolności osób fizycznych w zakresie przekazywania przez podmiot przekazujący dane podmiotowi odbierającemu dane danych osobowych określonych poniżej.
Opis transferu:
Kategorie osób, których dane dotyczą, których dane osobowe są
przekazywane
• Byli, obecni i potencjalni pracownicy.
• Członkowie rodziny, osoby pozostające na utrzymaniu i inne osoby spokrewnione z pracownikami.
• Wykonawcy.
Kategorie przekazywanych danych osobowych
• Dane osobowe i rodzinne, w tym imię i nazwisko oraz dane kontaktowe (adres służbowy i domowy, numery telefonu i faksu oraz adresy e-mail), płeć, xxxx xxxxxxx, data urodzenia i kraj, grupa etniczna i dziedzictwo, uprawnienia do pracy w odpowiedniej jurysdykcji (jurysdykcjach), status obywatelstwa i kraj; krajowy numer ubezpieczenia lub jego lokalny odpowiednik, status wojskowy, status pracownika niepełnosprawnego, status niepełnosprawnego weterana wojskowego, informacje dotyczące wykształcenia, zdolności i dotychczasowego doświadczenia zawodowego, licencje, certyfikaty, członkostwo, honoraria, nagrody, zdjęcie, dane biometryczne, dane osób pozostających na utrzymaniu (imię i nazwisko, data urodzenia i pokrewieństwo z pracownikiem) oraz dane osób kontaktowych w nagłych wypadkach (imię i nazwisko, adres i numer telefonu); oraz
• Informacje związane z zatrudnieniem, numery identyfikacyjne pracowników, kod stanowiska, jednostka biznesowa, kod lokalizacji, kod lokalizacji przydziału, region regulacyjny, dział, informacje o identyfikatorze, alternatywny identyfikator pracownika, efektywna data zatrudnienia/służby, status pracownika (pełny etat, niepełny etat lub dorywczo), zaplanowane godziny tygodniowe, zmiana, kod harmonogramu pracy, typ pracownika dla systemów czasu pracy, ewidencja czasu pracy i obecności, informacje o poświadczeniu bezpieczeństwa, dane dotyczące korzystania z komputera, informacje o płacach i wynagrodzeniach, dane konta bankowego, oceny wydajności, informacje o ocenie talentów, dokumentacja szkoleniowa, informacje o członkostwie w związkach zawodowych, informacje o zdrowiu i świadczeniach, informacje o emeryturach, informacje o ubezpieczeniach i informacje podatkowe.
Przesyłane dane wrażliwe
• Dane dotyczące kraju urodzenia, grupy etnicznej lub dziedzictwa do celów śledzenia zgodności z programami różnorodności.
• Dane dotyczące zdrowia do celów administrowania świadczeniami, świadczenia usług i programów zdrowotnych i odnowy biologicznej oraz wspierania komunikacji w sytuacjach awaryjnych.
• Dane dotyczące statusu obywatelstwa i kraju.
• Dane dotyczące statusu pracownika niepełnosprawnego i statusu niepełnosprawnego weterana wojskowego.
• Dane dotyczące członkostwa w związkach zawodowych i informacje zdrowotne,
• Dane biometryczne w zakresie, w jakim odnoszą się do niepełnosprawności, rasy lub rejestru karnego danej osoby.
Częstotliwość transferu
Dane osobowe są przekazywane na bieżąco w zakresie niezbędnym do wykonania Prac opisanych w Umowie.
Charakter i cele przetwarzania danych
• Przetwarzanie listy płac, potrącanie podatków u źródła i inne kwestie związane z podatkiem dochodowym, zarządzanie innymi obowiązkowymi potrąceniami lub przestrzeganie różnych obowiązków w zakresie sprawozdawczości lub ujawniania informacji zgodnie z obowiązującymi przepisami prawa i regulacjami.
• Projektowanie, ocena i administrowanie wynagrodzeniami, świadczeniami i innymi programami kadrowymi (takimi jak wynagrodzenie, premie, emerytury, świadczenia medyczne, polisy ubezpieczeniowe, urlopy i nieobecności lub inne uprawnienia urlopowe); może to obejmować przetwarzanie danych dotyczących osób pozostających na utrzymaniu, krewnych lub innych osób, stosownie do planów świadczeń, polis ubezpieczeniowych lub danych kontaktowych w nagłych wypadkach.
• Projektowanie, ocena i wdrażanie programów edukacyjnych i szkoleniowych związanych z zatrudnieniem.
• Ułatwianie, monitorowanie lub ocena postępowania i wyników pracowników, w tym ocena wyników.
• Utrzymanie, monitorowanie lub poprawa bezpieczeństwa, zdrowia i ochrony pracowników w miejscu pracy (w tym systemów bezpieczeństwa).
• W przypadku, gdy jest to istotne z punktu widzenia funkcji pełnionej przez pracownika, dostarczanie biznesowych informacji kontaktowych, w tym imion i nazwisk, zdjęć i innych elementów biznesowych informacji kontaktowych za pośrednictwem stron internetowych, wizytówek, broszur lub innych mediów promocyjnych obecnym i potencjalnym klientom, dostawcom, kontrahentom, partnerom joint venture, innym partnerom biznesowym i pracownikom.
• Przeprowadzanie audytów, analiz księgowych, finansowych i ekonomicznych.
• Ułatwianie komunikacji biznesowej, negocjacji, transakcji, konferencji, podróży i zgodności ze
zobowiązaniami umownymi i prawnymi.
• Ułatwianie i świadczenie usług w zakresie relokacji i przemieszczania się pracowników i członków
ich rodzin na poziomie lokalnym i międzynarodowym.
• Prowadzenie dokumentacji biznesowej i pracowniczej dotyczącej byłych, obecnych i potencjalnych pracowników.
• Przygotowanie, obrona lub uczestnictwo w postępowaniu sądowym lub potencjalnym postępowaniu sądowym, w tym odpowiadanie na wnioski o udzielenie informacji w ramach e- discovery.
• Ochrona aktywów firmy i potwierdzanie zgodności z zasadami i procedurami firmy, w tym w związku z dochodzeniami wewnętrznymi, poprzez (i) monitorowanie lub przeglądanie wiadomości e-mail, komunikacji lub informacji w systemach firmy w zakresie dozwolonym przez obowiązujące prawo oraz zasady i procedury firmy, (ii) tworzenie kopii zapasowych lub przechowywanie informacji na laptopach firmy lub innych systemach firmy oraz (iii) uwierzytelnianie tożsamości pracowników i wdrażanie środków bezpieczeństwa.
• Przygotowywanie, ułatwianie, realizowanie lub wspieranie w inny sposób jakiejkolwiek transakcji lub potencjalnej transakcji obejmującej całość lub część przedsiębiorstwa.
• Zgodność z obowiązującymi przepisami prawa, regulacjami lub innymi wymogami prawnymi.
Okres, przez który dane osobowe będą przechowywane
Przetwarzane dane osobowe będą przechowywane zgodnie z polityką firmy, CRX-008, Przechowywanie dokumentacji oraz CRX-008A, Harmonogram przechowywania dokumentacji korporacyjnej.
Podprzetwarzający
Dane osobowe są przekazywane Podprzetwarzającym wyłącznie w celu wykonania Pracy zgodnie z Umową.
ZAŁĄCZNIK II
Techniczne i organizacyjne środki bezpieczeństwa
Opis środków technicznych i organizacyjnych wdrożonych przez podmiot odbierający dane (w tym wszelkie stosowne certyfikaty) w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka dla praw i wolności osób fizycznych.
SPRZEDAJĄCY, jako podmiot odbierający dane, jest zobowiązany do przestrzegania WYMAGAŃ DOTYCZĄCYCH OCHRONY INFORMACJI I DANYCH, wersja 1.1 - 2022, włączonych do niniejszego dokumentu przez odniesienie, które mają zastosowanie do TOM, z których korzysta przy wykonywaniu Umowy.
ZAŁĄCZNI
K III
Lista podprzetwarzających
Administrator zezwolił na korzystanie z następujących Podprzetwarzających:
1. Nazwa
Adres
Osoba kontaktowa Opis przetwarzania
Tabela 1: Strony i podpisy
ZAŁĄCZNI
K IV
IDTA Część 1: Tabele
Data rozpoczęcia | ||
Strony | Eksporter (który wysyła Przekaz Zastrzeżony) | Importer (który otrzymuje Zastrzeżony Transfer) |
Dane stron | Jak określono w załączniku I do DPA | Jak określono w załączniku I do DPA |
Kluczowy kontakt | Imię i nazwisko (opcjonalnie): Tytuł stanowiska: Dane kontaktowe, w tym adres e-mail: | Imię i nazwisko (opcjonalnie): Tytuł stanowiska: Xxxx kontaktowe, w tym adres e-mail: |
Importer Podmiot danych Kontakt | Tytuł stanowiska: Dane kontaktowe, w tym adres e-mail: | |
Podpisy potwierdzające, że każda ze Stron wyraża zgodę na związanie się niniejszą umową IDTA | Podpisano w imieniu i na rzecz Eksporter określony powyżej Podpisano: Data podpisu: Imię i nazwisko: | Podpisano w imieniu i na rzecz Importer określony powyżej Podpisano: Data podpisu: Imię i nazwisko: |
Tytuł stanowiska: | Tytuł stanowiska: |
Tabela 2: Szczegóły transferu
Prawo obowiązujące w Wielkiej Brytanii, które reguluje IDTA: | Anglia x Xxxxx Irlandia Północna Szkocja |
Główne miejsce dla roszczeń prawnych | Anglia x Xxxxx |
do wykonania przez Strony | Irlandia Północna Szkocja |
Status eksportera | W odniesieniu do Przetwarzania Przekazanych Danych: Eksporter jest Administratorem Eksporter jest podmiotem przetwarzającym lub podprzetwarzającym |
Status importera | W odniesieniu do Przetwarzania Przekazanych Danych: Importer jest Administratorem Importer jest podmiotem przetwarzającym lub podprzetwarzającym eksportera Importer nie jest Podmiotem Przetwarzającym ani Podprzetwarzającym Eksportera (a Importer został poinstruowany przez Administratora będącego Stroną Trzecią). |
Czy brytyjskie RODO ma zastosowanie do importera | Brytyjskie RODO ma zastosowanie do przetwarzania przekazanych danych przez importera Brytyjskie RODO nie ma zastosowania do przetwarzania przekazanych danych przez importera |
Umowa powiązana | Jeśli Importer jest Podmiotem Przetwarzającym lub Podprzetwarzającym Eksportera - umowa(y) między Stronami, która(e) określa(ją) instrukcje Podmiotu Przetwarzającego lub Podprzetwarzającego dotyczące Przetwarzania Przekazanych Danych: Nazwa umowy: Data zawarcia umowy: Strony umowy: Numer referencyjny (jeśli istnieje): Inne umowy - wszelkie umowy między Stronami, które określają dodatkowe zobowiązania w odniesieniu do Przekazywanych Danych, takie jak umowa o udostępnianiu danych lub umowa o świadczenie usług: Nazwa umowy: Data zawarcia umowy: |
Strony umowy: Numer referencyjny (jeśli istnieje): Jeśli Eksporter jest Podmiotem Przetwarzającym lub Podprzetwarzającym - umowa(-y) między Eksporterem a Stroną(-ami), która(-e) określa(-ją) instrukcje Eksportera d otyczące Przetwarzania Przekazanych Danych: Nazwa umowy: Data zawarcia umowy: Strony umowy: Numer referencyjny (jeśli istnieje): | |
Termin | Importer może Przetwarzać Przekazane Dane przez następujący okres: okres obowiązywania Umowy powiązanej: (tylko jeśli Importer jest Administratorem lub nie jest Podmiotem Przetwarzającym lub Podprzetwarzającym Eksportera) nie dłużej niż jest to konieczne do realizacji Celu. |
Zakończenie IDTA przed końcem Okresu Obowiązywania | Strony nie mogą zakończyć IDTA przed końcem Okresu Obowiązywania, chyba że nastąpi naruszenie IDTA lub Strony uzgodnią to na piśmie. Strony mogą zakończyć IDTA przed końcem Okresu Obowiązywania poprzez doręczenie: miesięcznego pisemnego wypowiedzenia, jak określono w sekcji (Jak zakończyć IDTA bez naruszenia). |
Zakończenie IDTA po zmianie zatwierdzonego IDTA | Które Strony mogą zakończyć IDTA Importer Eksporter Żadna ze stron |
Czy Importer może dokonywać dalszych transferów Przekazanych Danych? | Importer MOŻE przekazać Przekazane Dane innej organizacji lub osobie (będącej innym podmiotem prawnym) (Przekazywanie Przekazanych Danych). Importer NIE MOŻE przekazywać Przekazanych Danych innej organizacji lub osobie (będącej innym podmiotem prawnym) (Przekazywanie przekazanych danych). |
Szczególne ograniczenia, kiedy Importer może przekazywać Przekazane Dane | Importer MOŻE PRZEKAZAĆ PRZENIESIONE DANE WYŁĄCZNIE jeśli Eksporter poinformuje go na piśmie, że może to zrobić. do: upoważnionym odbiorcom (lub kategoriom upoważnionych odbiorców) określonym w: nie ma żadnych szczególnych ograniczeń. |
Daty przeglądów | Przegląd nie jest konieczny, ponieważ jest to transfer jednorazowy, a importer nie zatrzymuje żadnych przekazanych danych. Data pierwszego przeglądu: Strony muszą dokonać przeglądu wymogów bezpieczeństwa co najmniej raz: każdy miesięcy w każdym kwartale co 6 miesięcy każdego roku każdy rok(i) za każdym razem, gdy następuje zmiana przekazywanych danych, celów, informacji o importerze, TRA lub oceny ryzyka |
Tabela 3: Przekazane dane
Przekazane dane | Dane osobowe, które mają zostać przesłane Importerowi w ramach niniejszego IDTA, obejmują: Kategorie przekazywanych danych będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Kategorie przekazywanych danych NIE będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Strony muszą uzgodnić zmianę |
Specjalne kategorie danych osobowych oraz wyroki skazujące i przestępstwa | Przekazywane dane obejmują dane dotyczące: pochodzenia rasowego lub etnicznego opinie polityczne przekonania religijne lub filozoficzne przynależność do związków zawodowych dane genetyczne dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej zdrowie fizyczne lub psychiczne życie seksualne lub orientacja seksualna wyroki skazujące i przestępstwa żadne z powyższych określone w: I: Kategorie danych kategorii specjalnej i rejestrów karnych będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Kategorie danych kategorii specjalnej i rejestrów karnych NIE będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Strony muszą uzgodnić zmianę |
Odpowiednie podmioty danych | Osobami, których dotyczą przekazywane dane, są: Kategorie osób, których dane dotyczą, będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Kategorie Podmiotów Danych nie będą aktualizowane automatycznie w przypadku aktualizacji informacji w powiązanej Umowie, o której mowa. Strony muszą uzgodnić zmianę |
Cel | Importer może przetwarzać przekazane dane w następujących celach: Importer może Przetwarzać Przekazane Dane w celach określonych w: Powiązanej Umowie W obu przypadkach wszelkie inne cele, które są zgodne z celami określonymi powyżej. Cele zostaną zaktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Cele NIE będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej Umowie, o której mowa. Strony muszą uzgodnić zmianę |
Tabela 4: Wymagania bezpieczeństwa
Bezpieczeństwo transmisji | |
Bezpieczeń stwo przechowy wania | |
Bezpieczeństwo przetwarzania |
Organizacyjne środki bezpieczeństwa | |
Minimalne wymagania dotyczące bezpieczeństw a technicznego | |
Aktualizacje wymogów bezpieczeństwa | Wymagania bezpieczeństwa zostaną zaktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Wymogi bezpieczeństwa NIE będą aktualizowane automatycznie, jeśli informacje zostaną zaktualizowane w powiązanej umowie, o której mowa. Strony muszą uzgodnić zmianę |
ZAŁĄCZN
IK V
IDTA Część 2: Dodatkowe klauzule ochronne
Dodatkowe klauzule ochronne: | |
(i) Dodatkowe zabezpiecze nia techniczne | |
(ii) Dodatkowe zabezpieczenia organizacyjne | |
(iii) Dodatkowe zabezpiecze nia umowne |
ZAŁĄCZNI
K VI
IDTA Część 3: Klauzule handlowe
Klauzule handlowe |