Acord de Prelucrare a Datelor

SCOPUL & ORDINEA DE PRIORITATE

Acest Acord de prelucrare a datelor, împreună cu anexele sale și orice document la care se face referire în mod expres („DPA”), este considerat parte a acordului de servicii între Iron Mountain și Client („Acordul”). Termenii și condițiile din Acord se aplică și guvernează drepturile și obligațiile părților în temeiul prezentului DPA.

În cazul în care oricare dintre termenii și condițiile conținute în prezentul DPA intră în conflict cu termenii și condițiile prevăzute în Acord, termenii și condițiile prevăzute în prezentul DPA sunt cei care prevalează în ceea ce privește obiectul prezentului DPA. Prezentul DPA anulează și înlocuiește toate acordurile anterioare de prelucrare a datelor sau clauzele de protecție a datelor sau de confidențialitate dintre părți în legătură cu serviciile furnizate în cadrul Acordului.

TERMENI GENERALI

1. DEFINIȚII

Cu excepția cazului în care sunt definiți în mod specific în prezentul document, toți termenii cu majuscule au același înțeles ca și cel atribuit în Acord.

"Date cu caracter personal ale Clientului" înseamnă Datele cu caracter personal aparținând Clientului sau afiliaților acestuia sau colectate de către aceștia, Prelucrate ca parte a Serviciilor;

"Date cu caracter personal" înseamnă orice informații referitoare la o Persoană Vizată;

"Încălcarea securității" înseamnă orice deteriorare accidentală sau ilegală, distrugere, pierdere, alterare, divulgare neautorizată sau acces neautorizat la Datele cu caracter personal ale Clientului pe care Iron Mountain, personalul său sau subcontractanții săi le Prelucreze în cursul furnizării Serviciilor;

"Legile privind confidențialitatea ale SUA" înseamnă toate legile privind confidențialitatea și de protecție a datelor din Statele Unite ale Americii care sunt aplicabile Prelucrării Datelor cu caracter personal în temeiul Acordului, inclusiv, fără limitare, și așa cum pot fi modificate, anulate sau înlocuite uneori: (1) Legea californiană privind protecția datelor consumatorilor (California Consumer Privacy Act), cu modificări, din California

"Legislația privind protecția datelor" înseamnă toate legile și reglementările aplicabile referitoare la prelucrarea datelor cu caracter personal care pot exista în jurisdicțiile relevante, inclusiv, dar fără a se limita la, GDPR UE (Regulamentul (UE) 2016/679), GDPR din Regatul Unit (GDPR aplicabil ca parte a legislației interne din Regatul Unit în virtutea secțiunii 3 a Legii Uniunii Europene (Retragere) (Modificarea UE 2018 privind protecția datelor și a confidențialității) Regulamente 2019 (acum modificate), Legea privind protecția datelor din 2018, FADP (Legea federală elvețiană privind protecția datelor), Legile privind confidențialitatea statului S.U.A., LGPD (Legea generală braziliană privind protecția datelor), PIPL (Legea privind protecția datelor cu caracter personal a Republicii Populare Chineze) și orice legislație și/sau reglementare care implementează sau adoptată în temeiul acestora, sau care le modifică, le modifică, le consolidează, le modifică, le înlocuiește, le modifică, le modifică, le modifică, le modifică, le modifică, le modifică, le modifică, le modifică, le modifică, le înlocuiește sau le consolidează. practica emisa de autoritatile de supraveghere;

"Operator" înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu alte persoane, stabilește scopurile și mijloacele de Prelucrare a Datelor cu caracter personal;

"Persoana vizată" înseamnă o persoană fizică identificată sau identificabilă;

"Prelucrare" înseamnă orice operațiune sau set de operațiuni efectuate asupra Datelor cu Caracter Personal sau asupra unor seturi de Date cu caracter personal, prin mijloace automatizate sau nu, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

"Procesator" înseamnă o persoană fizică sau juridică, o autoritate publică, o agenție sau un alt organism care prelucrează Date cu caracter personal în numele Operatorului;

"Servicii" înseamnă orice servicii furnizate de Iron Mountain sau de filialele sale către Client sau către filialele sale în temeiul Acordului;

27 iunie 2023 1

Xxxxx privind drepturile de confidențialitate și orice reglementări de punere în aplicare referitoare la aceasta (împreună, "CCPA");

(2) Legea privind confidențialitatea din Colorado ("CPA"), (3) Legea privind protecția datelor de consum din Virginia ("CDPA");

(4) Legea privind confidențialitatea consumatorilor din Utah ("UCPA"); și (5) Legea privind confidențialitatea datelor din Connecticut ("CTDPA").

2. DOMENIUL DE APLICARE ȘI DETALIILE PRELUCRĂRII DATELOR

2.1 Acest DPA se va aplica Datelor cu caracter personal ale Clientului prelucrate de Iron Mountain în calitate de Procesator în cursul furnizării Serviciilor în conformitate cu Acordul în numele Clientului.

2.2 Iron Mountain poate colecta și Prelucra Datele cu caracter personal ale angajaților Clientului și ale angajaților afiliaților săi în calitate de Operator în scopuri comerciale legitime, cum ar fi gestionarea contractelor și a relațiilor cu clienții, și în conformitate cu Legislația privind protecția datelor și cu notificarea de confidențialitate a Iron Mountain disponibilă pe site-urile Iron Mountain și alte politici de confidențialitate aplicabile. Obligațiile Iron Mountain prevăzute în prezentul DPA nu se aplică prelucrării acestor Date cu caracter personal.

2.3 Obiectul Prelucrării Datelor cu caracter personal îl constituie prestarea serviciilor. Drepturile și obligațiile Clientului și ale Iron Mountain sunt cele stabilite în prezentul DPA. Anexa 1 la prezentul DPA stabilește natura, durata și scopul Prelucrării, tipurile de Date cu caracter personal ale Clienților pe care Iron Mountain le Prelucrează și categoriile de Persoane vizate ale căror Date cu caracter personal sunt Prelucrate.

2.4 Atunci când Iron Mountain Procesează Datele cu caracter personal ale Clienților în cursul furnizării Serviciilor, Iron Mountain:

2.4.1 Va prelucra Datele cu caracter personal ale Clientului numai în conformitate cu instrucțiunile documentate ale Clientului. În cazul în care Iron Mountain este obligată să Prelucreze Datele cu caracter personal ale Clientului în orice alt scop prin legislația la care Iron Mountain este supusă, Iron Mountain va informa mai întâi Clientul cu privire la această cerință, cu excepția cazului în care legea (legile) respectivă (respective) interzice acest lucru din motive importante de interes public; și

2.4.2 Va respecta în orice moment Legislația aplicabilă privind Protecția datelor și va notifica imediat Clientul dacă, în opinia Iron Mountain, o instrucțiune de prelucrare a Datelor cu caracter personal ale Clientului dată de Client încalcă Legislația aplicabilă privind Protecția datelor.

2.5 Instrucțiunile Clientului vor fi obligatorii pentru Iron Mountain, cu excepția cazului în care îndeplinirea instrucțiunilor necesită furnizarea unui serviciu în temeiul Acordului, iar Clientul nu este de acord să plătească taxele de serviciu pentru astfel de servicii.

2.6 Iron Mountain se va asigura că personalul care trebuie să aibă acces la Datele cu caracter personal ale Clientului este supus unei obligații obligatorii de confidențialitate în ceea ce privește aceste Date cu caracter personal ale Clientului și va lua măsuri rezonabile pentru a asigura personal competent și de încredere care are acces la Datele cu caracter personal ale Clientului.

3. FURNIZAREA DE ASISTENȚĂ PENTRU CLIENȚI

3.1 Iron Mountain va oferi asistență Clientului, ținând întotdeauna cont de natura Prelucrării:

3.1.1 prin măsuri tehnice și organizatorice adecvate și, în măsura în care este posibil, în îndeplinirea obligațiilor Clientului de a răspunde la solicitările Persoanelor vizate care își exercită drepturile;

3.1.2 în asigurarea respectării obligațiilor Clientului (cum ar fi securitatea Prelucrării, notificarea autorității de supraveghere a unei încălcări a Datelor cu caracter personal, comunicarea unei încălcări a Datelor cu caracter personal către Persoana vizată, evaluarea impactului asupra protecției datelor și consultarea prealabilă a autorităților de supraveghere în cazul în care Prelucrarea ar duce la un risc ridicat în absența unor măsuri luate de Operator pentru a reduce riscul), luând în considerare informațiile de care dispune Iron Mountain; și

3.1.3 punând la dispoziția Clientului toate informațiile pe care Clientul le solicită în mod rezonabil pentru a-i permite Clientului să demonstreze că obligațiile sale de selectare și de numire a Iron Mountain au fost îndeplinite.

4. MĂSURI DE SECURITATE

4.1 Ținând cont de procedurile operaționale obișnuite, de costurile de implementare și de natura, domeniul de aplicare, contextul și scopurile Prelucrării, Iron Mountain va pune în aplicare măsuri tehnice și organizatorice adecvate și rezonabile menite să protejeze confidențialitatea, integritatea și disponibilitatea Datelor cu caracter personal ale Clientului și să protejeze Datele cu caracter personal ale Clientului împotriva Prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii, deteriorării, modificării sau divulgării accidentale. Standardele de securitate ale Iron Mountain sunt prevăzute în anexa 2 la prezentul DPA.

4.2 Este responsabilitatea exclusivă a Clientului să evalueze dacă aceste măsuri tehnice și organizatorice corespund cerințelor Clientului.

5. CONFORMITATEA CU LEGILE

Clientul și afiliații săi trebuie: (i) să Prelucreze Datele cu caracter personal ale Clientului în conformitate cu Legislația privind protecția datelor; (ii) să fie autorizați să dea instrucțiuni scrise către Iron Mountain cu privire la Prelucrarea Datelor cu caracter personal ale Clientului în legătură cu Serviciile (inclusiv în numele oricărei entități terțe care este un Controlor al Datelor cu caracter personal ale Clientului); și (iii) să păstreze în orice moment controlul și autoritatea asupra Datelor cu caracter personal ale Clientului în legătură cu Prelucrarea.

6. SUB-PROCESARE

6.1 Clientul recunoaște și este de acord că Iron Mountain poate angaja compania sa mamă, afiliații săi și alți sub- Procesatori terți (inclusiv sub-Procesatori terți angajați de către afiliații sau compania mamă a Iron Mountain) în scopul Prelucrării Datelor cu caracter personal ale Clientului în conformitate cu acest DPA, sub rezerva clauzei 6.2 de mai jos.

6.2 O listă a sub-Procesatorilor aprobați de către Client la data prezentului DPA este disponibilă aici1. Iron Mountain poate, în orice moment, să înlocuiască sau să numească un nou sub-Procesator, cu condiția ca Clientul să primească o notificare scrisă, cu cincisprezece (15) zile înainte, iar Clientul să nu se opună unor astfel de modificări din motive demonstrabile legate de protecția datelor în acest interval de timp. Pentru a primi aceste notificări prin e-mail, Clientul trebuie să se aboneze și să gestioneze orice abonament existent la serviciul de notificare al Iron Mountain prin intermediul acestei pagini web2.

6.3 În cazul în care Clientul nu se abonează la acest serviciu de notificare, Iron Mountain nu va fi răspunzătoare pentru lipsa notificării sub-Procesatorilor și toate aceste numiri vor fi considerate ca fiind autorizate de către Client. În cazul în care Clientul se opune în scris, din motive demonstrabile legate de protecția datelor, numirii unui înlocuitor sau a unui nou sub-Procesator în termen de cincisprezece (15) zile cu o notificare scrisă, atunci Iron Mountain va depune eforturi rezonabile pentru a pune la dispoziția Clientului o modificare a Serviciilor sau va recomanda o modificare a configurației sau a utilizării Serviciilor de către Client, în fiecare caz pentru a evita Prelucrarea Datelor cu caracter personal ale Clientului de către sub-Procesatorul la care s-a obiectat, pentru a fi analizată și aprobată de Client. În cazul în care Clientul nu aprobă astfel de modificări propuse de Iron Mountain în termen de cincisprezece (15) zile, Iron Mountain poate, printr-o notificare scrisă adresată Clientului, să rezilieze imediat Serviciul sau o parte a Serviciului care nu poate fi furnizată de Iron Mountain fără utilizarea sub-Procesatorului la care s-a obiectat. O astfel de reziliere nu va aduce atingere drepturilor și obligațiilor acumulate ale părților, cu condiția ca nici o taxă de reziliere, cheltuială sau altă compensație să nu fie plătită de Iron Mountain sau de afiliații Iron Mountain în legătură cu o astfel de reziliere, iar Clientul va intra imediat în posesia activelor pe care le-a furnizat către Iron Mountain ca parte a serviciilor reziliate, în conformitate cu termenii Acordului și pe cheltuiala și costul propriu al Clientului.

6.4 Iron Mountain se va asigura că orice contract cu sub-Procesatorii care intră în domeniul de aplicare al prezentului DPA conține dispoziții care sunt, în toate aspectele materiale, identice cu cele din prezentul DPA și sunt în conformitate cu Legislația aplicabilă privind protecția datelor. În cazul în care un sub-Procesator Iron Mountain face ca Iron Mountain să încalce obligațiile care îi revin în temeiul prezentului DPA sau al oricărei Legislații aplicabile privind protecția datelor, Iron Mountain va rămâne pe deplin răspunzătoare față de Client pentru îndeplinirea obligațiilor Iron Mountain în temeiul acestor termeni.

7. ÎNCĂLCĂRI ALE SECURITĂȚII

7.1 În cazul în care se suspectează o Încălcare a securității, Iron Mountain :

7.1.1 va lua măsuri prompte pentru a investiga presupusa Încălcare a securității și pentru a identifica, preveni și atenua efectele presupusei Încălcări a securității și pentru a remedia Încălcarea securității;

7.1.2 va notifica Clientul fără întârzieri nejustificate atunci când are un grad rezonabil de certitudine că a avut loc o Încălcare a securității și va furniza Clientului o descriere detaliată a Încălcării securității, inclusiv informațiile necesare în mod rezonabil pentru ca Clientul să îndeplinească obligațiile de raportare în conformitate cu Legislația privind protecția datelor.

7.2 Clientul este de acord ca Iron Mountain să furnizeze informațiile prevăzute la clauza 7.1.2 în etape. În astfel de cazuri, atunci când Iron Mountain nu are acces sau nu poate furniza anumite informații enumerate în clauza

7.1.2 către Client, Iron Mountain va informa Clientul în consecință, iar Iron Mountain nu va avea nicio răspundere în cazul în care nu furnizează aceste informații.

1 xxxxx://xxx.xxxxxxxxxxxx.xxx/-/xxxxx/xxxxx/Xxxxxxx/Xxxxx/XXXXXX-Xxxxxxxx-Xxxx-Xxxxxxxxxxxxx-Xxxx.xxxx?xxxxx 2xxxxx://xxxxxxxxxx.xxxxxxxxxx.xxx/x0/xxx?xxxxxxx-0X xxxxx.xxxxxxxxxxxx.xxx_LegalSubprocessorSubscription&d=DwMFaQ& c=jxhwBfk-KSV6FFIot0PGng&r=JTlzF2zjI-gYEq5GmWmZcbgd--hqyVuIeEIP9Eu7Nvw&m=NB4wIISphmYGgqvrtYNU-28S8Aa U6-YibdZ3Yg_2F68&s=xNzeKIzw6XbGZ_loyLbqEap2144HRDTflVtNiXKr6M4&e=

8. AUDITURI

Iron Mountain va permite Clientului și auditorilor sau agenților autorizați ai acestuia, cu condiția să notifice Iron Mountain cu cel puțin zece (10) zile lucrătoare înainte, să efectueze audituri sau inspecții pe durata Acordului, cu condiția ca Iron Mountain să nu fie obligată să furnizeze sau să permită accesul la informații referitoare la: (i) alți clienți ai Iron Mountain;

(ii) orice rapoarte externe nepublice ale Iron Mountain; și (iii) orice rapoarte interne pregătite de funcția de audit intern sau de conformitate a Iron Mountain. Scopurile unui audit sau ale unei inspecții în conformitate cu această clauză se vor limita la verificarea faptului că Iron Mountain prelucrează Datele cu caracter personal ale clienților în conformitate cu obligațiile care îi revin în temeiul prezentul DPA. Cu excepția cazului în care a avut loc o Încălcare a securității, nu se efectuează mai mult de un astfel de audit pe parcursul unei perioade de douăsprezece (12) luni.

9. TRANSFERURI INTERNAȚIONALE DE DATE (TRANSFERURI RESTRICȚIONATE)

9.1 În măsura în care este aplicabil, Clientul își dă consimțământul și autorizează prin prezenta transferurile internaționale ale Datelor cu caracter personal ale Clientului către entitățile prevăzute în Secțiunea 6.2 și în conformitate cu Anexa 3 pentru furnizarea Serviciilor, iar Clientul și Iron Mountain sunt de acord:

9.1.1 să respecte Legislația aplicabilă privind protecția Datelor în ceea ce privește aceste transferuri;

9.1.2 că, luând în considerare, fără a se limita la i) categoriile de Date cu caracter personal ale Clienților, ii) țările ale căror legislații naționale pot să nu ofere un nivel de protecție a Datelor cu caracter personal comparabil cu cel al legislației UE/Marea Britanie ("Țara terță") în ceea ce privește domeniul de aplicare, iii) măsurile tehnice și organizatorice relevante stabilite în conformitate cu secțiunea 7 și iv) părțile relevante care participă la prelucrarea acestor Date cu caracter personal ale Clienților, au efectuat o evaluare a caracterului adecvat al mecanismului de transfer relevant adoptat în temeiul prezentului document, în cazul în care acest lucru este prevăzut de lege, și au stabilit că un astfel de mecanism de transfer este conceput în mod corespunzător pentru a se asigura că Datele cu caracter personal transferate în conformitate cu prezentul DPA beneficiază de un nivel de protecție în țara de destinație care este în esență echivalent cu cel garantat în temeiul Legislației privind protecția datelor.

10. RĂSPUNDERE ȘI DESPĂGUBIRE

10.1 Fără a aduce atingere oricărei prevederi contrare din Acord, în cazul unei breșe de securitate cauzate direct de încălcarea de către Iron Mountain a obligațiilor care îi revin în temeiul prezentului DPA, Iron Mountain va rambursa Clientului, în măsura permisă de legislația aplicabilă, costurile directe, verificabile, necesare și suportate în mod rezonabil de către Client, suportate de către terți pentru (a) investigarea unei astfel de breșe de securitate,

(b) pregătirea și trimiterea prin poștă a unor notificări către astfel de persoane vizate și către autoritățile de reglementare, așa cum prevede Legislația privind protecția datelor, (c) furnizarea de servicii de monitorizare a creditului pentru astfel de persoane, așa cum prevede legea, pentru o perioadă care nu depășește douăsprezece (12) luni și (d) plata părții din amenzile, penalitățile sau sancțiunile de reglementare impuse de o autoritate de supraveghere pentru care autoritatea de supraveghere declară că Iron Mountain este direct responsabilă.

10.2 În cazul în care o persoană vizată depune o plângere împotriva uneia sau a ambelor părți pentru presupusa încălcare a Legislației privind protecția datelor ("Reclamații ale persoanelor vizate"), atunci când acest lucru este permis, fiecare parte va controla propria apărare în cazul unei astfel de reclamații (sau partea sa de apărare) și va rămâne singura responsabilă pentru costurile, cheltuielile și obligațiile aferente, inclusiv pentru onorariile avocațiale sau orice sume acordate de o instanță sau plătite de aceasta în cadrul unei tranzacții, cu condiția, totuși, ca, în cazul în care fiecare parte este responsabilă pentru o parte sau oricare dintre părți este responsabilă pentru valoarea totală a daunelor suferite de o persoană vizată pentru același incident sau serie de incidente, iar persoana vizată a obținut o despăgubire integrală numai de la una dintre părți (denumită "Partea compensatoare"), atunci Partea compensatoare are dreptul de a solicita celeilalte părți rambursarea părții din despăgubire care corespunde daunelor cauzate de cealaltă parte. Partea care acordă despăgubiri poate înainta cererea de despăgubire către cealaltă parte numai în termen de 12 luni de la incident, în măsura în care acest lucru este permis de legislația aplicabilă.

10.3 În măsura maximă permisă de legile aplicabile, limitările de răspundere și orice excludere a daunelor prevăzute în Acord reglementează răspunderea totală pentru toate pretențiile Clientului care decurg din sau sunt legate de acest DPA și/sau de Acordul împotriva Iron Mountain. Aceste limitări ale răspunderii și excluderi ale daunelor se aplică tuturor revendicărilor, indiferent dacă apar în baza contractului, a răspunderii civile delictuale sau a oricărei alte teorii de răspundere, iar orice referire la răspunderea Iron Mountain înseamnă răspunderea agregată a Iron Mountain și a tuturor afiliaților Iron Mountain împreună pentru revendicările Clientului și a tuturor celorlalți afiliați ai Clientului. În măsura în care acest lucru este prevăzut de legislația aplicabilă, prezenta secțiune nu are ca scop (i) să modifice sau să limiteze răspunderea părților pentru reclamațiile persoanelor vizate formulate împotriva unei părți în cazul în care există o răspundere comună și solidară sau (ii) să limiteze responsabilitatea oricăreia dintre părți de a plăti penalitățile impuse acestei părți de către o autoritate de reglementare.

10.4 Clauzele de la 10.1 la 10.3 stabilesc singurul și exclusivul remediu al fiecărei părți și singura răspundere a fiecărei părți pentru orice pierdere, daună, cheltuială sau răspundere în legătură cu prezentul DPA.

11. CERERILE AUTORITĂȚILOR PUBLICE

11.1 În măsura în care acest lucru este permis din punct de vedere legal și sub rezerva clauzelor 11.2 - 11.5 de mai jos, Iron Mountain este de acord să notifice Clientul în cazul în care:

11.1.1 primește o cerere cu caracter obligatoriu din partea unei autorități publice, inclusiv a autorităților judiciare, în conformitate cu legislația țării de destinație, pentru dezvăluirea Datelor cu caracter personal ale Clientului transferate în conformitate cu Acordul; sau

11.1.2 ia cunoștință de orice acces direct al autorităților publice la Datele cu caracter personal ale Clientului transferate în temeiul Acordului, în conformitate cu legislația țării de destinație.

11.2 În cazul în care Iron Mountain nu are dreptul de a notifica Clientul în conformitate cu legislația țării de destinație, Iron Mountain este de acord să depună toate eforturile pentru a obține o derogare de la această interdicție, în vederea comunicării cât mai multor informații, cât mai curând posibil.

11.3 Iron Mountain este de acord să verifice legalitatea cererii de divulgare, în special dacă aceasta rămâne în limitele competențelor acordate autorității publice solicitante, și să conteste cererea în cazul în care ajunge la concluzia că există motive rezonabile pentru a considera că cererea este ilegală în conformitate cu legislația țării de destinație. Acesta nu divulgă Datele cu caracter personal ale Clientului solicitate până când nu este obligat să facă acest lucru în conformitate cu normele procedurale aplicabile.

11.4 Iron Mountain este de acord să furnizeze cantitatea minimă de informații permisă atunci când răspunde la o cerere de divulgare, pe baza unei interpretări rezonabile a cererii.

11.5 Iron Mountain este de acord să păstreze informațiile în conformitate cu această clauză pe durata Acordului și să le pună la dispoziția autorității de supraveghere competente, la cerere.

12. DIVERSE

12.1 În funcție de natura Serviciilor furnizate de Iron Mountain, la rezilierea/expirarea Acordului, pe baza instrucțiunilor specifice ale Clientului și în conformitate cu termenii Acordului, Iron Mountain va șterge/distruge sau va returna Clientului sau unei terțe părți desemnate de Client toate Datele cu caracter personal ale Clientului. Orice Date cu caracter personal ale Clientului conținute în activul Clientului, stocate de Iron Mountain în numele Clientului, vor fi returnate Clientului în conformitate cu un plan de ieșire sau de tranziție convenit și sub rezerva costurilor convenite, așa cum se stipulează în Acord sau în alt document contractual aplicabil. În toate celelalte cazuri, în cazul în care Acordul nu menționează nimic cu privire la ștergerea/distrugerea sau returnarea Datelor cu caracter personal ale Clientului și dacă Clientul nu dă instrucțiuni cu privire la ștergerea/distrugerea sau returnarea Datelor cu caracter personal ale Clientului în termen de cincisprezece (15) zile de la rezilierea/expirarea Acordului, Iron Mountain va trimite o notificare scrisă Clientului prin care va solicita să primească în termen de 15 (cincisprezece) zile instrucțiuni specifice privind ștergerea/distrugerea sau returnarea Datelor cu caracter personal ale Clientului și va informa Clientul cu privire la toate taxele de distrugere securizată aplicabile sau alte taxe plătibile de către Client. În cazul în care Clientul nu reușește să furnizeze instrucțiuni scrise în acest termen de cincisprezece (15) zile și să plătească taxele aplicabile în aceeași perioadă, atunci Clientul autorizează Iron Mountain să prelucreze, să șteargă și să distrugă toate Datele cu caracter personal ale Clientului după încetarea Acordului, la alegerea Iron Mountain și pe cheltuiala Clientului.

12.2 Fără a aduce atingere Clauzei 12.1, Iron Mountain nu va încălca obligațiile sale în ceea ce privește ștergerea Datelor cu caracter personal ale Clientului păstrate pe suporturi de rezervă, atâta timp cât aceste suporturi de rezervă sunt înlocuite (și, prin urmare, Datele cu caracter personal ale Clientului sunt șterse) în cursul normal al activității.

12.3 Cu excepția Clauzele Contractuale Standard (astfel cum sunt definite în Anexa 3 la prezentul DPA), prezentul DPA și orice litigiu, reclamație sau controversă care decurge din sau are legătură cu prezentul DPA, sau încălcarea, rezilierea sau valabilitatea acestuia, sunt guvernate de dispozițiile privind alegerea legii aplicabile din Acord; și orice litigiu, controversă sau reclamație care decurge din sau în legătură cu prezentul DPA va fi soluționată în primul rând prin intermediul oricărui proces de soluționare a litigiilor definit în cadrul Acordului.

12.4 Fiecare parte poate notifica în scris celeilalte părți, din când în când, orice modificare a prezentului DPA pe care partea o consideră în mod rezonabil ca fiind necesară pentru a răspunde cerințelor Legislației privind protecția Datelor sau oricărei decizii a unei autorități de supraveghere sau a unei instanțe competente. Orice astfel de modificări intră în vigoare numai dacă și în măsura în care sunt prevăzute într-un amendament convenit de comun acord la prezentul DPA semnat de ambele părți, cu excepția cazului în care una dintre părți informează cealaltă parte cu privire la orice nouă cerință legală și trimite un astfel de amendament care include numai modificările necesare și care poate fi acceptat fără a fi de acord în mod oficial cu acesta, adică prin faptul că nu se ridică nicio obiecție într-un anumit termen, sunt considerate amendamente convenite de comun acord la prezentul DPA.

ANEXA 1

A. LISTA PĂRȚILOR:

Detalii privind prelucrarea și transferul de date (dacă este cazul)

Părțile la prezentul DPA și rolurile de Exportator și Importator de date sunt stabilite în Acord și în Anexa 3 (Transferuri Internaționale de Date), dacă este cazul.

B. DESCRIEREA PROCESĂRII/TRANSFERULUI (dacă este cazul):

Categorii de persoane vizate ale căror Date cu caracter personal sunt prelucrate/transferate:

În funcție de natura Serviciilor Iron Mountain și de activitatea Clientului, Clientul poate transmite Iron Mountain Date cu caracter personal aparținând diferitelor categorii de Persoane vizate, a căror amploare este determinată și controlată de Client la discreția sa exclusivă. Ca atare, categoriile de subiecți ai datelor pot include: foști și actuali angajați; contractori sau consultanți foști și actuali; contractori sau consultanți furnizați de o agenție și detașați externi; solicitanți și candidați la un loc de muncă; studenți și voluntari; persoane identificate de angajați sau pensionari ca beneficiari, soț/soție, partener domestic/civil, persoane aflate în întreținere și persoane de contact în caz de urgență; pensionari; foști și actuali directori și funcționari; acționari; deținători de obligațiuni; titulari de conturi; utilizatori finali/consumatori (adulți, copii); pacienți (adulți, copii); trecători (camere CCTV); și utilizatori de site-uri web.

Categorii de Date cu caracter personal prelucrate/transferate:

Date sensibile transferate (dacă este cazul):

În funcție de natura serviciilor Iron Mountain și de activitatea comercială a Clientului, Clientul poate transmite date sensibile către Iron Mountain, a căror amploare este determinată și controlată de Client la discreția sa exclusivă.

Dacă este cazul, frecvența transferului (de exemplu, dacă datele sunt transferate o singură dată sau în mod continuu):

Transferul are loc în mod continuu.

Natura prelucrării:

Colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminarea sau punerea la dispoziție în alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Scopul (scopurile) prelucrării/transferului de date (dacă este cazul) și Prelucrarea ulterioară:

Furnizarea de servicii în conformitate cu prevederile Acordului.

Păstrarea Datelor:

Datele cu caracter personal vor fi păstrate de către Iron Mountain pe durata Serviciilor oferite Clientului și până în momentul în care Datele cu caracter personal sunt returnate sau distruse, după cum se stabilește în conformitate cu clauza 10.1 din prezentul DPA.

Dacă este cazul, pentru transferurile către (sub) Procesatori, specificați, de asemenea, obiectul, natura și durata Prelucrării:

Pe durata Acordului cu Clientul, sub-Procesatorii furnizează, printre altele, servicii de tehnologie a informației (IT) și de consultanță, inclusiv servicii de asistență IT globală, de raportare a evenimentelor și de gestionare.

C. AUTORITATEA DE SUPRAVEGHERE COMPETENTĂ

După cum se prevede în Anexa 3 (Transferuri Internaționale de Date), dacă este cazul.

ANEXA 2

MĂSURI TEHNICE ȘI ORGANIZATORICE ("MĂSURI DE SECURITATE")

1. PROGRAMUL ȘI POLITICA DE SECURITATE A INFORMAȚIILOR

Iron Mountain trebuie să mențină un program de securitate a informațiilor cu controale fizice, tehnice și administrative adecvate, concepute pentru a respecta standardele industriei. Programul de securitate a informațiilor trebuie să includă:

1.1 Documentarea, publicarea internă și comunicarea politicilor, standardelor și procedurilor de securitate a informațiilor Iron Mountain;

1.2. Atribuirea documentată și clară a responsabilității și autorității pentru stabilirea și menținerea programului de securitate a informațiilor;

1.3 Testarea periodică a controalelor, sistemelor și procedurilor cheie ale programului de securitate a informațiilor;

1.4 Măsuri administrative, tehnice și operaționale menite să protejeze toate Datele cu caracter personal ale Clienților prin utilizarea practicilor, procedurilor și proceselor descrise în prezenta Anexă privind securitatea, în măsura în care acestea sunt relevante și aplicabile formatului în care sunt păstrate Datele cu caracter personal ale Clienților.

2. EVALUAREA RISCURILOR

Iron Mountain va menține un program de evaluare a riscurilor în materie de securitate a informațiilor conceput pentru a identifica și evalua riscurile și vulnerabilitățile interne și externe previzibile în mod rezonabil care ar putea afecta securitatea, confidențialitatea și/sau integritatea Datelor cu caracter personal ale Clienților. Iron Mountain va evalua și va actualiza, dacă este necesar, rezonabil și adecvat, eficacitatea programului actual de securitate a informațiilor pentru limitarea acestor riscuri, anual sau ori de câte ori există o modificare semnificativă a riscurilor sau a vulnerabilităților la adresa Datelor cu caracter personal ale Clientului.

3. GESTIONAREA ACTIVELOR DE PRELUCRARE A INFORMAȚIILOR ȘI A SUPORTURILOR FIZICE

3.1 Gestionarea activelor de prelucrare a informațiilor. Iron Mountain menține un program de gestionare a inventarului de active pentru a gestiona controalele fizice, tehnice și administrative privind activele de procesare a informațiilor ale Iron Mountain (cum ar fi calculatoare, servere, dispozitive de stocare, rețele de comunicații, calculatoare personale, laptopuri și dispozitive periferice).

Programul de gestionare a inventarului de active include următoarele:

3.1.1 Atribuirea documentată a proprietății activelor către personalul Iron Mountain pentru a asigura clasificarea adecvată a informațiilor, determinarea restricțiilor de acces și revizuirea controalelor de acces.

3.1.2 Igienizarea activelor înainte de eliminarea acestora în conformitate cu NIST 800-88.

3.1.3 Cerința de obținere a unei autorizații din partea conducerii înainte de scoaterea din incinta Iron Mountain a echipamentelor sau a software-ului care nu este atribuit unei anumite persoane.

3.2 Controale. Controalele Iron Mountain includ următoarele:

3.2.1 Proceduri operaționale și controale tehnice concepute pentru a proteja documentele, suporturile informatice, datele de intrare/ieșire/salvare și documentația sistemului împotriva divulgării, modificării și distrugerii neautorizate.

3.2.2 Proceduri pentru eliminarea în siguranță a mediilor electronice sau fizice care conțin Date cu caracter personal ale Clienților.

3.2.3 Un proces stabilit pentru a urmări toate suporturile fizice ale Clientului de la custodia inițială a Iron Mountain până la retragerea sau distrugerea permanentă.

4. MĂSURI DE SECURITATE A FORȚEI DE MUNCĂ

4.1 Confidențialitate. Iron Mountain va solicita în mod rezonabil ca toți angajații Iron Mountain, inclusiv angajații temporari și contractuali, să fie de acord să mențină confidențialitatea Datelor cu caracter personal ale Clienților și să respecte cerințele interne de securitate a informațiilor și de utilizare acceptabilă ale Iron Mountain.

4.2 Politica de investigare a antecedentelor. Iron Mountain are o politică de investigare a antecedentelor și o politică de testare a drogurilor (numai în SUA) în vigoare pentru angajații săi. Iron Mountain va continua să mențină aceste politici pe durata Acordului. Cerințele politicii includ, fără a se limita la acestea, depistarea drogurilor (numai în SUA), verificarea identității personalului, căutări de cazier judiciar, verificări de angajare, căutări pe listele de supraveghere guvernamentală/teroristă, precum și verificări ale educației pentru anumiți angajați, precum și verificarea permiselor de conducere și a istoricului încălcărilor pentru candidații la postul de șofer și șoferii existenți. Atunci când se identifică informații derogatorii în urma unei verificări a antecedentelor, Iron Mountain efectuează o evaluare individualizată, în conformitate cu legislația muncii și cu cele mai bune practici aplicabile.

4.3 Lucrul cu Subcontractanții. Iron Mountain va solicita oricărui subcontractant care prestează Xxxxxxxx în temeiul Acordului să respecte restricții similare cu cele prevăzute în această Secțiune în ceea ce privește personalul subcontractantului care va presta Servicii în temeiul Acordului și care implică Prelucrarea Datelor cu caracter personal ale Clientului.

4.4 Training de conștientizare în materie de securitate. Cel puțin o dată pe an, Iron Mountain va organiza cursuri generale de conștientizare în materie de securitate și cursuri specifice de securitate aplicabile în funcție de rol pentru toți angajații Iron Mountain care au acces la Datelor cu caracter personal ale Clienților. Iron Mountain va păstra o evidență care să indice numele acestor angajați Iron

Mountain care au participat și data fiecărui curs de conștientizare în materie de securitate. Iron Mountain își revizuiește și își actualizează în mod regulat programul de training pentru conștientizare în materie de securitate.

4.5 Îndepărtarea personalului de la Iron Mountain. Iron Mountain menține un proces disciplinar care se aplică angajaților Iron Mountain care încalcă cerințele de securitate din prezentul document.

4.6 Încetarea accesului în cazul rezilierii/repartizării. La încetarea contractului de muncă sau la repartizării într-un rol care nu necesită acces la Datele cu caracter personal ale Clientului, accesul unui angajat Iron Mountain la Datele cu caracter personal ale Clientului va fi revocat cu promptitudine.

5. SECURITATEA FIZICĂ ȘI DE MEDIU

5.1 Controale de Securitate Fizică. Unitățile Iron Mountain utilizează controale fizice care restricționează în mod rezonabil accesul la Datele cu caracter personal ale Clientului, inclusiv, după cum consideră Iron Mountain că este adecvat, protocoale de control al accesului, bariere fizice, cum ar fi dulapuri și zone închise cu cheie, legitimații de acces ale angajaților, jurnale ale vizitatorilor, legitimații de acces ale vizitatorilor, cititoare de carduri, camere de supraveghere video și alarme de detectare a intruziunilor. Toți vizitatorii trebuie să se înregistreze și să fie însoțiți în permanență.

5.2 Utilități de Sprijin. Iron Mountain va utiliza măsuri menite să protejeze unitățile sale care conțin Datele cu caracter personal ale Clienților și sistemele de întreruperi ale energiei electrice, telecomunicațiilor, alimentării cu apă, canalizării, încălzirii, ventilației și aerului condiționat, după caz.

5.3 Securitatea sistemului de transport. Iron Mountain utilizează măsuri menite să protejeze securitatea fizică a infrastructurii sale de rețea și a sistemelor de telecomunicații împotriva interceptării și deteriorării transmisiilor.

5.4 Echipament în afara locației. În cazul în care Iron Mountain externalizează funcții care necesită utilizarea de echipamente externe în sprijinul serviciilor, orice echipament extern care stochează Datele cu caracter personal ale Clientului va fi protejat printr-o securitate echivalentă cu cea utilizată pentru echipamentul de la fața locului utilizat în același scop.

5.5 Accesul fizic la activele de prelucrare a informațiilor. Iron Mountain va păstra timp de un an înregistrările angajaților Iron Mountain autorizați să aibă acces fizic la mediul (mediile) informatic(e) controlat(e) de Iron Mountain utilizat(e) de Iron Mountain pentru a furniza Serviciile și, la cererea Clientului în legătură cu o Încălcare a securității și în conformitate cu politicile de securitate ale Iron Mountain, va oferi Clientului acces pentru a vizualiza înregistrările verificabile ale acestor angajați Iron Mountain.

5.6 Acces fizic restricționat. Iron Mountain va limita accesul fizic în unități controlate de Iron Mountain care prelucrează Datele cu caracter personal ale Clienților la acei angajați Iron Mountain și la persoanele autorizate care au nevoie de un astfel de acces din punct de vedere comercial. Iron Mountain dispune de un proces de aprobare pentru autorizarea și urmărirea cererilor de acces fizic la astfel de unități.

5.7 Reparații și Modificări. Iron Mountain va înregistra toate reparațiile și modificările legate de securitate ale oricăror componente fizice, inclusiv hardware, pereți, uși și încuietori ale zonelor securizate din cadrul unităților în care sunt stocate Datele cu caracter personal ale Clienților.

5.8 Înregistrări. Menține o evidență a mișcărilor de hardware și de suporturi electronice și a persoanelor responsabile de acestea.

6. MANAGEMENTUL OPERAȚIUNILOR DE COMUNICAȚII ȘI PRELUCRARE A INFORMAȚIILOR

6.1 Standarde de configurare a dispozitivelor. Iron Mountain trebuie să creeze, să implementeze și să mențină proceduri de administrare a sistemului care să respecte standardele din industrie, inclusiv, dar fără a se limita la, întărirea sistemului, corectarea sistemului și a dispozitivelor (sistem de operare și aplicații) și instalarea și actualizarea corespunzătoare a antivirusului.

6.2 Controlul modificărilor sistemelor de prelucrare a informațiilor. Iron Mountain trebuie să dispună de un proces intern formal de gestionare a solicitărilor de modificare pentru sistemele de procesare a informațiilor și de rețele de comunicații, iar solicitările de modificare ale Iron Mountain trebuie să fie documentate, testate și aprobate înainte de punerea în aplicare a unor noi capacități de procesare a informațiilor sau de rețele de comunicații, a unor patch-uri de sistem sau a unor modificări ale sistemelor existente.

6.3 Separarea Sarcinilor. Iron Mountain va separa sarcinile și domeniile de responsabilitate, astfel încât nicio persoană să nu aibă capacitatea exclusivă de a modifica sistemele de procesare a informațiilor care accesează Datele cu caracter personal ale Clienților.

6.4 Separarea mediilor de dezvoltare și de producție. Mediile de dezvoltare, testare și producție ale Iron Mountain pentru sistemele de procesare a informațiilor trebuie să fie separate din punct de vedere logic sau fizic.

6.5 Managementul Arhitecturii Tehnice. Iron Mountain va stabili un proces de gestionare a configurației pentru a defini, gestiona și controla componentele sistemului de procesare a informațiilor utilizate pentru a furniza serviciile și infrastructura tehnică a acestor componente.

6.6 Detectarea intruziunilor. Iron Mountain va monitoriza în permanență sistemele și procesele informatice pentru încercări de intruziuni sau încălcări de securitate sau încălcări reale și va notifica Clientul cu privire la orice acces neautorizat la Datele cu caracter personal ale Clientului.

6.7 Securitatea rețelelor. Iron Mountain se asigură că sunt puse în aplicare următoarele:

6.7.1 În ceea ce privește mediul (mediile) găzduit(e) de Iron Mountain utilizat(e) pentru a furniza Serviciile, sistemul de detectare a intruziunilor în rețea ("IDS") și senzorii de prevenire a intruziunilor ("IPS") alertează evenimentele care sunt înregistrate, cu rapoarte zilnice emise pentru examinare (cunoscute colectiv ca "IDS/IPS");

6.7.2 În ceea ce privește mediul (mediile) găzduit(e) de Iron Mountain utilizat(e) pentru a furniza serviciile, IDS/IPS care sunt actualizate cel puțin o dată pe săptămână, dar cât mai curând posibil după primirea actualizărilor, precum și rularea promptă a celor mai recente semnături sau reguli privind amenințările;

6.7.3 Porturile cu risc ridicat de pe sistemele orientate spre exterior nu sunt accesibile de pe internet;

6.7.4 Conexiunile de rețea ale Iron Mountain sunt înregistrate și consemnate în fișiere jurnal;

6.7.5 Implementarea unui (unor) firewall(uri) conceput(e) pentru a proteja și inspecta tot traficul de intrare și ieșire al serviciilor de rețea între punctele de rețea definite;

6.7.6 Politici de întărire pentru definirea porturilor de intrare și ieșire din rețea sau a traficului de servicii pentru toate sistemele deținute sau gestionate de Iron Mountain, care sunt documentate și autorizate în cadrul programului de securitate a informațiilor;

6.7.7 Porturi de rețea și de diagnosticare care sunt securizate corespunzător; și

6.7.8 Politici, proceduri și controale tehnice menite să prevină, să detecteze și să elimine codurile malițioase sau atacurile cunoscute asupra sistemelor informatice ale Iron Mountain.

6.8 Date de autentificare criptate. Iron Mountain se asigură că datele de autentificare transmise prin intermediul dispozitivelor de rețea ale Iron Mountain sunt criptate în tranzit.

6.9 Administrarea securizată a rețelelor. Rețelele Iron Mountain trebuie să fie gestionate și controlate în mod rezonabil pentru a asigura protecția împotriva amenințărilor cunoscute și pentru a menține securitatea tuturor aplicațiilor și datelor gestionate de Iron Mountain în rețea sau în tranzit prin rețea. Se pun în aplicare controale tehnice și protocoale de comunicare securizate pentru a interzice conexiunile nerestricționate la rețele nesigure sau la servere accesibile publicului.

6.10 Protecția împotriva virușilor. Iron Mountain trebuie să implementeze și să mențină un program de protecție antivirus, inclusiv protecție împotriva programelor malware, fișiere de semnături actualizate sau protecție alternativă împotriva amenințărilor emergente, patch-uri și definiții de viruși, pentru serverele și stațiile de lucru administrate de Iron Mountain utilizate pentru a găzdui sau accesa Datele cu caracter personal ale Clienților.

6.11 Site web - Criptare Client. Iron Mountain se asigură că pentru fiecare dintre website-urile sale, Secure Sockets Layering (SSL) este activat și conține un certificat SSL valabil care necesită controale de confidențialitate, autentificare sau autorizare.

6.12 Copii de rezervă ale informațiilor. Iron Mountain trebuie să creeze copii de siguranță corespunzătoare ale fișierelor de sistem. În plus, Iron Mountain trebuie să elaboreze și să mențină proceduri de recuperare în caz de dezastru; pentru mai multe detalii, consultați secțiunea "Recuperare în caz de dezastru" de mai jos.

6.13 Informații electronice în tranzit. Iron Mountain va utiliza criptarea cu un algoritm standard din industrie cu o lungime minimă a cheii de 128 de biți pentru a proteja Datele cu caracter personal ale Clienților transmise prin rețele publice atunci când provin din infrastructura găzduită de Iron Mountain.

6.14 Controale Criptografice. Iron Mountain urmează o politică documentată privind utilizarea controalelor criptografice. Controalele criptografice ale Iron Mountain trebuie:

6.14.1 să fie concepute pentru a proteja în mod rezonabil confidențialitatea și integritatea Datele cu caracter personal ale Clienților care sunt prelucrate, transmise sau stocate de Iron Mountain în orice mediu de rețea partajat în conformitate cu termenii Acordului;

6.14.2 să fie aplicate, în mediul (mediile) găzduit(e) de Iron Mountain utilizat(e) pentru a furniza servicii, Datele cu caracter personal ale Clientului în tranzit prin sau către rețele "nesigure" (adică rețele pe care Iron Mountain nu le controlează din punct de vedere legal), inclusiv cele utilizate pentru a trimite date către rețeaua corporativă a Clientului din rețeaua Iron Mountain, sub rezerva, în fiecare caz, a cooperării Clientului în gestionarea cheilor de criptare necesare pentru a decripta transmisiunile primite de Client; și

6.14.3 Să includă practici documentate de gestionare a cheilor de criptare pentru a sprijini securitatea tehnologiilor criptografice.

6.14.4 Să includă criptarea tuturor Datele cu caracter personal ale Clienților pe laptopuri sau alte dispozitive portabile.

6.15 Cerințe de înregistrare. Iron Mountain trebuie să se asigure cu privire laurmătoarele:

6.15.1 Evenimentele semnificative privind securitatea și sistemele sunt înregistrate și analizate;

6.15.2 Jurnalele de audit sunt păstrate timp de cel puțin un an pentru sistemele din mediul (mediile) găzduit(e) de Iron Mountain utilizat(e) de Iron Mountain pentru a furniza servicii;

6.15.3 Jurnalele de audit ale sistemului sunt examinate pentru a detecta anomalii; și

6.15.4 Mijloacele de logare și informațiile din sisteme sunt protejate în mod rezonabil împotriva manipulării și accesului neautorizat.

6.16 Sincronizarea Timpului în Rețea. Iron Mountain trebuie să sincronizeze ceasurile de sistem ale tuturor sistemelor de procesare a informațiilor folosind o sursă comună competentă.

6.17 Segregare pe rețele. Iron Mountain separă în mod corespunzător grupurile conexe de servicii de informații, utilizatori și sisteme de informații din rețele.

7. CONTROLUL ACCESULUI

7.1 Politica de Control al Accesului. Iron Mountain menține politici de control al accesului în ceea ce privește activele de procesare a informațiilor pe care Iron Mountain le aprobă, le publică și le pune în aplicare în mod oficial.

7.2 Autorizarea Accesului Logic. Iron Mountain va avea un proces de aprobare pentru cererile de acces logic la Datele cu caracter personal ale Clientului și pentru cererile de acces la sistemele Iron Mountain dedicate pentru utilizarea în cadrul Serviciilor.

7.3 Controlul accesului și Revizuirea Accesului. Iron Mountain va acorda acces la Datele cu caracter personal ale Clienților numai angajaților activi ai Iron Mountain, inclusiv angajaților temporari și contractuali, și conturilor de utilizatori activi care au nevoie de un astfel de acces pentru a-și îndeplini funcția profesională. Toate accesele privilegiate trebuie să fie revizuite și confirmate pentru a fi în concordanță cu rolul actual al postului și documentate cel puțin o dată pe trimestru.

7.4 Controlul accesului Terților. Înainte de a acorda accesul părților externe la sistemele de informații ale Iron Mountain care au acces la Datele cu caracter personal ale Clienților, Iron Mountain se va asigura că există controale adecvate.

7.5 Controlul accesului la Sistemele de Operare. Iron Mountain controlează accesul la sistemele de operare (atât la sistemele de operare bazate pe software, cât și la cele bazate pe hardware) prin impunerea unui proces de conectare securizat care identifică în mod unic persoana care accesează sistemul de operare.

7.6 Dispozitive portabile. Iron Mountain va avea o politică sau o procedură concepută pentru a proteja dispozitivele informatice mobile ale Iron Mountain împotriva accesului neautorizat. Astfel de politici sau proceduri trebuie să abordeze protecția fizică, controlul accesului și controalele de securitate, cum ar fi criptarea, protecția împotriva virușilor și salvarea dispozitivelor.

7.7 Izolarea Sistemelor Clienților. Iron Mountain, în cadrul mediului (mediilor) său (sale) găzduit(e) utilizat(e) pentru a furniza Serviciile, va separa și segregă în mod logic Datele cu caracter personal ale Clientului de toate celelalte informații.

7.8 Conturi. În ceea ce privește conturile, Iron Mountain trebuie:

7.8.1 Să solicite autentificarea identității fiecărui angajat Iron Mountain care dorește să aibă acces la sistemele Iron Mountain care procesează Datele cu caracter personal ale Clienților și să interzică utilizarea conturilor de utilizator partajate sau a conturilor de utilizator cu credențiale generice (de exemplu, ID-uri) pentru a accesa Datele cu caracter personal ale Clienților sau sistemele.

7.8.2 Să solicite ca toate ID-urile conturilor de utilizator, inclusiv conturile privilegiate, să fie legate direct de o persoană (spre deosebire de o funcție).

7.8.3 În cazul în care conturile de administrare implicite nu sunt dezactivate sau eliminate, să impună utilizarea de parole temporare, ID-uri de verificare sau controale similare pentru accesul la conturile de administrare implicite.

7.8.4 Să impună blocarea sau dezactivarea conturilor obișnuite inactive după 90 de zile de inactivitate.

7.8.5 Să interzică accesul la un cont după mai multe încercări nereușite de acces.

7.8.6 Să ceară identificatori unici și parole puternice care includ, cel puțin, următoarele: un număr minim de 8 caractere; trebuie să fie schimbate la fiecare 90 de zile; și să aibă cerințe de complexitate.

7.8.7 Să interzică angajaților să împărtășească sau să noteze parolele.

7.9 Controale pentru sistemele nesupravegheate. Iron Mountain va utiliza un screensaver protejat prin parolă pentru toate sistemele care sunt lăsate nesupravegheate și care nu au avut activitate timp de 30 de minute.

8. DEZVOLTAREA ȘI ÎNTREȚINEREA ACHIZIȚIILOR DE SISTEME INFORMATICE

8.1 Securitatea Dezvoltării Sistemelor. Iron Mountain se asigură că securitatea face parte din toate activitățile de dezvoltare și operare a sistemelor informatice și publică și aderă la metodologii interne de codare securizată bazate pe standarde de securitate pentru dezvoltarea aplicațiilor.

8.2 Managementul Securității Software. Sistemele informatice ale Iron Mountain (inclusiv sistemele de operare, infrastructura, aplicațiile de afaceri, serviciile și aplicațiile dezvoltate de utilizatori) sunt proiectate pentru a fi în conformitate cu standardele de securitate a informațiilor.

8.3 Diagrame de Rețea. Iron Mountain trebuie să elaboreze, să documenteze și să mențină diagrame fizice și logice ale dispozitivelor de rețea și ale traficului.

8.4 Evaluări de vulnerabilitate a aplicațiilor/Hacking etic. Iron Mountain va efectua, cel puțin o dată pe an, evaluări ale vulnerabilității aplicațiilor din mediul (mediile) său (sale) găzduit(e) utilizat(e) pentru a furniza servicii care prelucrează Datele cu caracter personal ale Clienților. Rezultatele detaliate sunt informații confidențiale și brevetate de Iron Mountain și nu vor fi furnizate.

8.5 Testarea și revizuirea modificărilor. Iron Mountain analizează și testează modificările aduse aplicațiilor și sistemelor de operare înainte de implementare pentru a se asigura că nu există niciun efect negativ asupra Datelor cu caracter personal ale Clientului sau asupra sistemelor.

9. RECUPERARE ÎN CAZ DE DEZASTRU

Iron Mountain va menține un plan de recuperare în caz de dezastru, inclusiv replicarea sistemelor și a datelor electronice utilizate pentru a susține serviciile într-un centru de date de rezervă. Replicarea sistemelor și a datelor electronice nu include Datele cu caracter personal ale Clienților care sunt stocate fizic într-o unitate Iron Mountain. Iron Mountain va menține un plan de continuitate a activității pentru restabilirea funcțiilor critice. Iron Mountain va efectua teste de recuperare în caz de dezastru nu mai rar de o dată la douăsprezece (12) luni.

10. AUDITURI ȘI EVALUĂRI EXTERNE

Protocoalele de securitate ale Iron Mountain sunt concepute pentru a fi în concordanță cu standardele industriei. Iron Mountain va furniza Clientului orice raport de audit independent al unei terțe părți pe care l-a comandat (de exemplu, PCI, ISO27001, SOC2 etc.) relevant pentru Serviciile din regiunea în care sunt furnizate aceste Servicii ("Raport de Audit"). Iron Mountain va furniza toate aceste rapoarte comandate cu intenția de a fi orientate către client, indiferent de rezultatele raportului. Iron Mountain nu va fi obligată să furnizeze rezultatele auditului intern sau rezultatele altor evaluări independente care au fost comandate cu intenția de a fi confidențiale pentru Iron Mountain. Clientul și

auditorii săi externi vor primi, la cerere, copii ale Raportului de Xxxxx. Orice Raport de Audit sau orice alt rezultat generat în urma testelor sau auditurilor prevăzute în această secțiune va fi considerat informație confidențială a Iron Mountain. Clientul are dreptul de a furniza o copie a unui astfel de Raport de Audit tuturor Clienților sau autorităților de reglementare aplicabile ale Clientului, sub rezerva unor dispoziții de confidențialitate la fel de restrictive ca cele din prezentul document. La cererea Clientului, Iron Mountain va confirma în scris că nu au existat schimbări în politicile, procedurile și controalele interne relevante de la finalizarea unui astfel de Raport de Audit, fără a se extinde mai mult de trei luni de la sfârșitul perioadei de raportare a raportului de audit.

ANEXA 3

Transferuri Internaționale de Date

1. DEFINIȚII

"Addendum-ul privind Regatul Unit din 2022" înseamnă modelul Addendum B.1.0 emis de Biroul Comisarului pentru Informații din Regatul Unit și prezentat Parlamentului în conformitate cu s119A din Data Protection Act 2018 la 2 februarie 2022, astfel cum poate fi revizuit în conformitate cu secțiunea 18 din aceasta, disponibil aici4.

"Clauzele Contractuale Standard ale UE 2021" înseamnă clauzele contractuale standard pentru transferul de Date cu caracter personal către țări terțe în conformitate cu GDPR, adoptate de Comisia Europeană în temeiul Deciziei de punere în aplicare (UE) 2021/914 a Comisiei, disponibile aici3.

"Clauzele Contractuale Standard" înseamnă, în mod colectiv, Clauzele Contractuale Standard ale UE din 2021 și Addendum- ul Regatului Unit din 2022.

"Date cu caracter personal ale Clientului din UE" înseamnă Prelucrarea Datelor cu caracter personal ale Clientului la care se aplicau legile de protecție a datelor din Uniunea Europeană sau dintr-un stat membru al Uniunii Europene sau al Spațiului Economic European, înainte de prelucrarea acestora de către Iron Mountain;

"Date cu caracter personal ale Clienților din Regatul Unit" înseamnă Prelucrarea Datelor cu caracter personal ale Clienților cărora li se aplicau legile de protecție a datelor din Regatul Unit înainte de prelucrarea acestora de către Iron Mountain;

"Date cu caracter personal ale Clienților elvețieni" înseamnă prelucrarea Datelor cu caracter personal ale Clienților cărora li se aplicau legile de protecție a datelor din Elveția înainte de prelucrarea acestora de către Iron Mountain;

"Zonă protejată" înseamnă:

i. în cazul Datelor cu caracter personal ale Clienților din Regatul Unit, Regatul Unit și orice țară, teritoriu, sector sau organizație internațională cu privire la care este în vigoare o decizie de adecvare în temeiul reglementărilor de adecvare din Regatul Unit;

ii. în cazul Datelor cu caracter personal ale Clienților din UE, statele membre ale Uniunii Europene și ale Spațiului Economic European și orice țară, teritoriu, sector sau organizație internațională cu privire la care este în vigoare o decizie de adecvare în temeiul articolului 45 din GDPR;

iii. în cazul Datelor cu caracter personal ale Clienților elvețieni, orice țară, teritoriu, sector sau organizație internațională care este recunoscută ca fiind adecvată în conformitate cu legislația elvețiană;

iv. în cazul oricăror alte Date cu caracter personal ale Clienților transferate în afara unei jurisdicții care oferă o protecție similară cu cea a Datelor cu caracter personal ale Clienților din UE, Regatul Unit sau Elveția, orice țară, teritoriu, sector sau organizație internațională care este recunoscută ca fiind adecvată în conformitate cu legile unei astfel de jurisdicții;

2. DIVERSE

2.1 Prezenta Anexă 3 include următoarele Părți: (i) Partea A - Transferul Datelor cu caracter personal ale Clienților din UE;

(ii) Partea B - Transferul Datelor cu caracter personal ale Clienților din Elveția; (iii) Partea C - Transferul Datelor cu caracter personal ale Clienților din Regatul Unit, care se aplică, după caz, pentru transferul Datelor cu caracter personal ale Clienților de către Iron Mountain în legătură cu Serviciile sale.

2.2 Clauzele Contractuale Standard se aplică Iron Mountain și afiliaților săi în calitate de "importatori de date" și Clientului și afiliaților săi în calitate de "exportatori de date".

2.3 Semnătura și datarea Acordului constituie toate semnăturile și datele necesare pentru Clauzele Contractuale Standard.

2.4 În cazul în care părțile transferă Datele cu caracter personal ale Clienților din UE, Marea Britanie sau Elveția în afara Zonei protejate și o decizie relevantă a Comisiei Europene sau o altă metodă de adecvare valabilă în conformitate cu Legislația aplicabilă privind protecția datelor pe care Iron Mountain s-a bazat pentru transferul de date este considerată invalidă sau orice autoritate de supraveghere solicită suspendarea transferurilor de Date cu caracter personal efectuate în conformitate cu o astfel de decizie, atunci părțile vor coopera și vor facilita utilizarea unui mecanism de transfer alternativ. Părțile convin, de asemenea, că garanțiile adecvate utilizate pentru a facilita transferurile internaționale prevăzute în prezenta Anexă 3 nu sunt exclusive și că părțile pot urmări mecanisme de transfer suplimentare, cum ar fi mecanismul UE-SUA. Cadrul privind Confidențialitatea Datelor.

PARTEA A - TRANSFERURILE DE DATE CU CARACTER PERSONAL ALE CLIENȚILOR DIN UE

În cazul în care și în măsura în care Clientul sau afiliații săi transferă Date cu caracter personal ale Clientului din UE în afara Zonei protejate către Iron Mountain sau afiliații săi în legătură cu Serviciile Iron Mountain în temeiul Acordului, se va aplica prezenta Parte A din Anexa 3, iar Părțile convin după cum urmează:

3 xxxxx://xxx-xxx.xxxxxx.xx/xxx/xxx_xxxx/0000/000/xx

4 xxxxx://xxx.xxx.xx/xxxxx/xxx-xxxxxxxxxxxxx/xxxxxxxxx/0000000/xxxxxxxxxxxxx-xxxx-xxxxxxxx-xxxxxxxx.xxx

1. Selecții de Clauze Contractuale Standard. Textul din MODULUL DOI al Clauzelor Contractuale Standard ale UE 2021 se aplică în cazul în care Clientul sau oricare dintre Filialele sale este un operator, iar Iron Mountain sau oricare dintre Filialele sale este un procesator; textul din MODULUL TREI al Clauzelor Contractuale Standard ale UE 2021 se aplică în cazul în care Clientul sau oricare dintre Filialele sale este un procesator, iar Iron Mountain sau oricare dintre Filialele sale este un sub-Procesator. Dispozițiile relevante cuprinse în Clauzele Contractuale Standard ale UE 2021 sunt încorporate prin trimitere în prezentul DPA și fac parte integrantă din acesta. Nu se aplică niciun alt modul sau nicio altă clauză marcată ca fiind opțională în Clauzele Contractuale Standard ale UE din 2021. Informațiile necesare în sensul Anexelor la Clauzele Contractuale Standard ale UE din 2021 sunt prevăzute în Anexa 1 - Descrierea prelucrării/transferului, Anexa 2 - Măsuri tehnice și organizatorice și clauza 6.2 din DPA - Lista sub-Procesatorilor.

2. Utilizarea sub-Procesatorilor. În sensul clauzei 9 din Clauzele Contractuale Standard ale UE din 2021, se aplică opțiunea 2 (Autorizație generală scrisă) privind utilizarea sub-Procesatorilor pentru prestarea Serviciilor. Clientul recunoaște și este de acord că Iron Mountain poate angaja noi sub-Procesatori prin intermediul mecanismului convenit în clauza 6 din prezentul DPA și că perioada de timp pentru depunerea cererilor de modificare a sub-Procesatorilor este de cincisprezece (15) zile.

3. Legea aplicabilă și alegerea forului. În sensul clauzei 17 din Clauzele Contractuale Standard ale UE din 2021 (Legea Aplicabilă), se aplică opțiunea 2 privind legea aplicabilă, iar prezentele clauze sunt guvernate de legea statului membru al UE în care este stabilit exportatorul de date, în măsura în care aceasta permite drepturi ale terților beneficiari. În sensul clauzei 18 din Clauzele Contractuale Standard ale UE din 2021 (Alegerea Forului și a Jurisdicției), acestea sunt instanțele din Statul Membru al UE în care este stabilit exportatorul de date.

4. Certificarea ștergerii. În sensul Clauzei 8.5 și al Clauzei 16(d) din Clauzele Contractuale Standard ale UE din 2021, Iron Mountain va furniza Clientului o certificare de ștergere a Datelor cu caracter personal numai la cererea scrisă a Clientului.

5. Încălcări ale Datelor cu caracter personal. În sensul clauzei 8.6 litera (c) din Clauzele Contractuale Standard ale UE din 2021, încălcările Datelor cu caracter personal vor fi tratate în conformitate cu mecanismul convenit în clauza 7 din DPA.

6. Audituri. În sensul clauzei 8.9 din Clauzele Contractuale Standard ale UE din 2021, auditurile acestor clauze se efectuează în conformitate cu mecanismul de audit convenit în Acord.

7. Plângeri. În sensul clauzei 11 din Clauzele Contractuale Standard ale UE din 2021, Iron Mountain va informa Clientul dacă primește o plângere din partea unei Persoane vizate cu privire la Datele cu caracter personal ale Clientului din UE și va comunica plângerea Clientului în conformitate cu mecanismul convenit în Acord.

8. Autoritatea de supraveghere. Pentru Clauzele Contractuale Standard ale UE din 2022, autoritatea de supraveghere competentă relevantă este stabilită în conformitate cu clauza 13 din Clauzele Contractuale Standard ale UE.

PARTEA B - TRANSFERURILE DE DATE CU CARACTER PERSONAL ALE CLIENȚILOR ELVEȚIENI

În cazul în care și în măsura în care Clientul sau afiliații săi transferă Date cu caracter personal ale Clientului elvețian în afara Zonei protejate către Iron Mountain sau afiliații săi în legătură cu Serviciile Iron Mountain în temeiul Acordului, se va aplica prezenta Parte B din Anexa 3, iar Părțile convin după cum urmează:

1. Selecții de Clauze Contractuale Standard. Clauzele Contractuale Standard ale UE 2021 și dispozițiile relevante din Partea A se aplică în cazul în care Clientul sau oricare dintre Filialele sale este un Operator, iar Iron Mountain sau oricare dintre Filialele sale este un Procesator, și/sau Clientul sau oricare dintre Filialele sale este un Procesator, iar Iron Mountain sau oricare dintre Filialele sale este un sub-Procesator, cu excepția faptului că:

a. autoritatea de supraveghere competentă în temeiul Clauzei 13 din Clauzele Contractuale Standard ale UE din 2021 este Comisia Federală Elvețiană pentru Protecția Datelor și Informațiilor;

b. legea aplicabilă în cazul revendicărilor contractuale în temeiul clauzei 17 din Clauzele Contractuale Standard ale UE 2021 este legea elvețiană, iar locul de jurisdicție pentru acțiunile dintre părți în temeiul clauzei 18 (b) este reprezentat de instanțele elvețiene.

2. Trimiterile la GDPR al UE în Clauzele Contractuale Standard ale UE din 2021 trebuie înțelese ca trimiteri la FADP.

3. Termenul "stat membru" din Clauzele Contractuale Standard ale UE din 2021 nu trebuie interpretat în așa fel încât să excludă persoanele vizate din Elveția de la posibilitatea de a acționa în justiție pentru drepturile lor la locul lor de reședință obișnuită (Elveția), în conformitate cu clauza 18 (c) din Clauzele Contractuale Standard ale UE 2021.

PARTEA C - TRANSFERURI DE DATE CU CARACTER PERSONAL ALE CLIENȚILOR DIN REGATUL UNIT

În cazul în care și în măsura în care Clientul sau afiliații săi transferă Date cu caracter personal din Regatul Unit în afara Zonei protejate către Iron Mountain sau afiliații săi în legătură cu Serviciile Iron Mountain în temeiul Acordului, se va aplica prezenta Parte C din Anexa 3, iar Părțile convin după cum urmează:

1. Selecții de Clauze Contractuale Standard. Clauzele Contractuale Standard ale UE din 2021, dispozițiile relevante din Partea A și Addendum-ul din Regatul Unit din 2022 se aplică în cazul în care Clientul sau oricare dintre Filialele sale este un Operator, iar Iron Mountain sau oricare dintre Filialele sale este un Procesator, și/sau Clientul sau oricare dintre Filialele sale este un Procesator, iar Iron Mountain sau oricare dintre filialele sale este un sub-Procesator.

2. Partea 1: Tabelul 1 - 3 din Addendum-ul din 2022 privind Regatul Unit: Informații despre Părți - Tabelul 1; SCC- uri selectate, module și clauze selectate; și Informații din Anexa, inclusiv anexa 1A: Lista Părților, Anexa 1B: Descrierea transferului și Anexa 1C: Măsurile tehnice și organizatorice pentru asigurarea securității datelor - Tabelul 3, se consideră completate prin trimitere la prezenta Anexă 3, inclusiv la Partea A. Tabelul 4 din Addendum-ul privind Regatul Unit: Clientul și Iron Mountain recunosc și sunt de acord că Addendum-ul privind Regatul Unit poate fi reziliat de oricare dintre Părți.

3. Partea 2: Clauzele obligatorii ale Addendum-ului privind Regatul Unit: Clientul și Iron Mountain recunosc și sunt de acord cu clauzele obligatorii ale Addendum-ului pentru Regatul Unit.

4. Autoritatea de supraveghere. Biroul Comisarului pentru Informații din Regatul Unit acționează în calitate de autoritate de supraveghere competentă.

PARTEA D - TRANSFERURI DE ALTE DATE CU CARACTER PERSONAL ALE CLIENȚILOR

Dacă și în măsura în care Clientul sau afiliații săi transferă Datele cu caracter personal ale Clientului care nu sunt acoperite de PARTEA A-C către Iron Mountain sau afiliații săi în legătură cu Serviciile Iron Mountain în temeiul Acordului, Partea A din Anexa 3 se va aplica în măsura în care este relevantă și aplicabilă în conformitate cu Legislația aplicabilă privind protecția datelor cu caracter personal. În caz contrar, în măsura în care sunt necesare măsuri de protecție sau mecanisme de transfer adecvate substitutive sau suplimentare în temeiul Legislației privind protecția datelor pentru a transfera Datele cu caracter personal ale Clienților într-o țară care nu oferă un nivel adecvat de protecție a Datelor cu caracter personal din punctul de vedere al exportatorului de date, părțile sunt de acord să le pună în aplicare cât mai curând posibil și să documenteze aceste cerințe de punere în aplicare într-o anexă la prezentul DPA.

ANEXA 4

HIPAA - Acord de parteneriat comercial ("BAA")

Prezentul BAA completează și modifică oricare și toate Acordurile actuale sau viitoare încheiate între Iron Mountain și afiliații săi și Client și afiliații săi, în temeiul cărora Iron Mountain sau afiliații săi furnizează anumite Xxxxxxxx pentru Client sau afiliații săi, Xxxxxxxx care necesită ca Asociatul să utilizeze și/sau să divulge PHI în numele Entității acoperite. Cu excepția cazului în care sunt modificate în prezentul BAA, toți termenii și condițiile stabilite în Acord vor rămâne în vigoare și vor guverna Serviciile furnizate de Iron Mountain către Client.

Iron Mountain și Clientul încheie prezentul BAA pentru ca ambele părți să își îndeplinească obligațiile respective pe măsură ce acestea intră în vigoare și devin obligatorii pentru părți în conformitate cu Regulile HIPAA privind confidențialitatea, securitatea și notificarea Încălcărilor, împreună cu orice reglementări de punere în aplicare, inclusiv cele implementate ca parte a Regulii Omnibus (denumite în mod colectiv "Regulile HIPAA"), în conformitate cu care Clientul și afiliații săi sunt o "Entitate acoperită" sau un "Asociat", iar Iron Mountain și afiliații săi sunt un "Asociat" al Clientului. În sensul prezentului Acord, orice referire în continuare la Asociat se consideră a fi o referire la Iron Mountain sau la filiala sa aplicabilă.

1. DEFINIȚII

Termenii utilizați cu majuscule, dar care nu sunt definiți în mod diferit în prezentul BAA, au același înțeles ca și cel atribuit acestor termeni în normele HIPAA sau în Acord, după caz.

"Asociat" înseamnă entitatea asociată identificată mai sus, în măsura în care primește, păstrează sau transmite informații medicale protejate în cadrul furnizării de servicii către Clienți.

"HIPAA" înseamnă Legea privind portabilitatea și răspunderea în domeniul asigurărilor de sănătate din 1996.

"Informații medicale protejate" sau "PHI" au același înțeles ca și termenul "informații medicale protejate" din 45 CFR §160.103 și se limitează la PHI create de către Asociatul în numele Clientului sau primite de la sau în numele Clientului în conformitate cu Acordul.

"Legea HITECH" înseamnă dispozițiile aplicabile ale Legea privind tehnologia informației medicale pentru sănătatea economică și clinică, astfel cum au fost încorporate în Legea privind Redresarea și Reinvestirea Americană din 2009, inclusiv orice regulament de punere în aplicare.

"Regula de confidențialitate" înseamnă Standardele de confidențialitate a informațiilor medicale identificabile individual de la 45 CFR §160 și §164, Sub-părțile A și E.

"Regula de notificare a încălcărilor" înseamnă regulamentul privind notificarea Încălcărilor pentru informațiile medicale protejate nesecurizate din 45 CFR §164 Sub-partea D.

"Regula de securitate" înseamnă Standardele de securitate pentru protecția informațiilor medicale electronice protejate de la 45 CFR §160 și §164, Sub-părțile A și C.

2. OBLIGAȚIILE ȘI ACTIVITĂȚILE ASOCIATULUI

2.1. Asociatul este de acord să nu utilizeze și să nu divulge în continuare informațiile medicale personale, în afara celor permise sau cerute de prezentul BAA sau cerute de lege.

2.2. Asociatul este de acord să utilizeze măsuri de protecție adecvate și să respecte, după caz, sub-Partea C din 45 CFR

§164 în ceea ce privește informațiile medicale protejate în format electronic, pentru a preveni utilizările sau divulgările de informații medicale protejate, altele decât cele prevăzute în prezentul BAA sau în Acord; cu toate acestea, părțile recunosc și sunt de acord că este responsabilitatea Clientului, și nu a Asociatului, să respecte cerințele din 45 CFR

§164

§164.312 pentru a pune în aplicare mecanisme de criptare sau de decriptare pentru PHI electronice păstrate pe suporturi fizice (de exemplu, casete) stocate de Client la Asociat.

2.3. Asociatul este de acord să raporteze prompt Clientului orice Incident de securitate, Încălcare a securității sau orice altă utilizare sau dezvăluire a PHI de care ia cunoștință și care nu este permisă sau impusă în prezentul BAA sau în Acord. În cazul unei încălcări, o astfel de notificare se face în conformitate cu normele HIPAA, inclusiv, dar fără a se limita la acestea, în conformitate cu 45 CFR 164.410, dar în niciun caz mai mult de trei (3) zile lucrătoare după ce Asociatul și- a finalizat investigația internă și a confirmat că a avut loc o Încălcare. Asociatul va oferi asistență și cooperare rezonabilă în investigarea oricărei astfel de Încălcări și va documenta depozitele specifice care au fost compromise, identitatea oricărei terțe părți neautorizate care ar fi putut accesa sau primi PHI, dacă este cunoscută, și orice măsuri care au fost luate de către Asociatul pentru a atenua efectele unei astfel de Încălcări.

2.4. Asociatul se asigură, în conformitate cu 45 CFR 164.502(e)(1)(ii) și 164.308(b)(2), după caz, că orice asociat care este subcontractant și care creează, primește, păstrează sau transmite PHI în numele Asociatului în scopul de a contribui la furnizarea de servicii în conformitate cu Acordul, este de acord cu aceleași restricții, condiții și cerințe care se aplică Asociatului în ceea ce privește aceste PHI prin prezentul BAA.

2.5. În cazul în care Asociatul are în custodie PHI într-un set de înregistrări desemnat în ceea ce privește persoanele fizice și dacă Clientul solicită acest lucru, Asociatul este de acord să ofere Clientului acces la astfel de PHI prin recuperarea și livrarea acestor PHI în conformitate cu termenii și condițiile din Acord, astfel încât Clientul să poată răspunde unei persoane fizice pentru a îndeplini cerințele din 45 CFR §164.524.

2.6. Asociatul este de acord că, în cazul în care este necesară o modificare a DSP dintr-un set de înregistrări desemnat aflat în custodia Asociatului și în cazul în care Clientul instruiește Asociatul să recupereze aceste DSP în conformitate cu Acordul, Asociatul va efectua un astfel de serviciu astfel încât Clientul să poată efectua orice modificare a acestor DSP, astfel cum poate fi solicitată fie de către Client, fie de către o persoană fizică în conformitate cu 45 CFR §164.526.

2.7. Asociatul este de acord să documenteze și să pună la dispoziția Clientului informațiile necesare pentru a furniza o evidență a Divulgărilor de PHI, cu condiția ca Clientul să fi furnizat Asociatului informații suficiente pentru a permite Asociatului să determine ce înregistrări sau date primite de la sau în numele Clientului de către Asociatul conțin PHI. Documentația privind dezvăluirile trebuie să conțină astfel de informații care ar fi necesare pentru ca Clientul să răspundă la o solicitare a unei persoane fizice de contabilizare a dezvăluirilor de informații medicale protejate în conformitate cu 45 CFR §164.528 sau cu alte dispoziții ale regulilor HIPAA.

2.8. Cu excepția cazului în care se convine altfel în mod expres în Acord, Asociatul notifică prompt Clientul cu privire la orice solicitare din partea persoanelor fizice privind accesul, cunoașterea sau corectarea PHI, fără a răspunde la astfel de solicitări, iar Clientul este responsabil pentru primirea și răspunsul la orice astfel de solicitări ale persoanelor fizice.

2.9. În măsura în care Asociatul trebuie să îndeplinească una sau mai multe obligații ale Clientului în conformitate cu Sub- partea E din 45 CFR §164, Asociatul trebuie să respecte cerințele din Sub-partea E care se aplică Clientului în îndeplinirea acestor obligații.

2.10. Asociatul este de acord să pună la dispoziția secretarului practicile sale interne, registrele și evidențele sale în scopul stabilirii conformității cu normele HIPAA.

3. UTILIZĂRI ȘI DEZVĂLUIRI PERMISE DE CĂTRE ASOCIAT

3.1. Asociatul poate utiliza sau dezvălui PHI în măsura în care este necesar pentru a presta serviciile prevăzute în Acord.

3.2. Asociatul poate utiliza sau divulga PHI în conformitate cu prevederile legale.

3.3. Asociatul este de acord să depună eforturi rezonabile pentru a limita informația medicală confidențială la minimul necesar pentru a îndeplini scopul preconizat al utilizării, dezvăluirii sau solicitării.

3.4. Asociatul nu poate utiliza sau dezvălui PHI într-un mod care ar încălca Sub-partea E din 45 CFR

§164 în cazul în care este făcută de către Client.

3.5. Asociatul poate dezvălui PHI pentru buna gestionare și administrare a Asociatului sau pentru a îndeplini responsabilitățile legale ale Asociatului , cu condiția ca dezvăluirile să fie cerute de lege sau ca Asociatul să obțină asigurări rezonabile din partea persoanei căreia îi sunt dezvăluite informațiile că acestea vor rămâne confidențiale și că vor fi utilizate sau dezvăluite ulterior numai în conformitate cu legea sau în scopurile pentru care au fost dezvăluite persoanei respective, iar persoana în cauză notifică Asociatul cu privire la orice caz de care are cunoștință și în care confidențialitatea informațiilor a fost încălcată.

4. OBLIGAȚIILE CLIENTULUI

4.1. Clientul nu va ordona Asociatului să acționeze într-o manieră care nu ar fi conformă cu normele HIPAA.

4.2. Clientul va notifica Asociatul cu privire la orice limitare (limitări) din notificarea privind practicile de confidențialitate ale Clientului în conformitate cu 45 CFR §164.520, în măsura în care o astfel de limitare poate afecta utilizarea sau divulgarea de către Asociat a PHI.

4.3. Clientul trebuie să notifice Asociatul cu privire la orice modificare sau revocare a permisiunii unei persoane fizice de a utiliza sau de a dezvălui PHI, în măsura în care aceste modificări pot afecta utilizarea sau dezvăluirea PHI de către Asociat.

4.4. Clientul trebuie să notifice în scris Asociatul cu privire la orice restricție privind utilizarea sau divulgarea de PHI pe care Clientul a acceptat-o în conformitate cu 45 CFR §164.522, în măsura în care o astfel de restricție poate afecta utilizarea sau divulgarea de PHI de către Asociat.

5. DURATA ȘI ÎNCETAREA

5.1. Durata prezentului BAA începe la data intrării în vigoare și se încheie în mod automat la cea mai recentă dintre următoarele situații: (i) expirarea Acordului sau (ii) atunci când toate informațiile medicale protejate furnizate de către Client Asociatului sunt distruse sau returnate Clientului.

5.2. În momentul în care o parte ia cunoștință de o încălcare substanțială a BAA de către cealaltă parte, partea care nu încalcă BAA oferă părții care încalcă BAA posibilitatea de a remedia încălcarea. În cazul în care partea care a comis încălcarea nu remediază încălcarea în termen de treizeci (30) de zile de la primirea de către partea care nu a comis încălcarea a unei notificări scrise din partea părții care nu a comis încălcarea, în care sunt prezentate detaliile unei astfel de încălcări semnificative, atunci partea care nu a comis încălcarea are dreptul de a rezilia prezentul BAA și Acordul în conformitate cu termenii Acordului sau, în cazul în care rezilierea nu este fezabilă, va raporta problema secretarului sau oricărei alte autorități competente.

5.3. Efectul Încetării:

	5.3.1.1.	Cu excepția celor prevăzute la punctul 5.3.2 de mai jos, la încetarea prezentului BAA din orice motiv, asociatul va returna sau va distruge toate informațiile medicale protejate primite de la Client
		în conformitate cu Acordul. Această dispoziție se aplică informațiilor medicale protejate care se
		află în posesia subcontractanților sau a agenților asociatului. Asociatul nu va păstra nicio copie a
		PHI.
	5.3.1.2.	În cazul în care Asociatul stabilește că returnarea sau distrugerea PHI nu este posibilă, Asociatul va furniza Clientului o notificare cu privire la condițiile care fac imposibilă returnarea sau
		distrugerea. În urma notificării Clientului, Asociatul va extinde protecția oferită de prezentul BAA
		la aceste PHI și va limita utilizările și divulgările ulterioare ale acestor PHI la acele scopuri care fac
		imposibilă returnarea sau distrugerea, atât timp cât Asociatul păstrează aceste PHI în conformitate
		cu termenii Acordului.
6.	DIVERSE

6.1. Despăgubire. Asociatul este de acord să despăgubească Clientul de și împotriva oricăror amenzi sau penalități impuse Clientului ca urmare a oricărei proceduri de punere în aplicare inițiate de către Secretar sau a oricărei acțiuni civile intentate de către un procuror general de stat împotriva Clientului, procedură sau acțiune care rezultă direct și exclusiv din orice acțiune sau omisiune a Asociatului care constituie fie o încălcare a Regulilor HIPAA, fie o încălcare materială a prezentului BAA ("Revendicare"). Asociatul nu va fi obligat să despăgubească Clientul pentru nicio parte a acestor amenzi sau penalități care rezultă din (i) încălcarea de către Client a regulilor HIPAA sau a prezentului BAA sau (ii) din neglijența sau din actele sau omisiunile intenționate ale Clientului. Obligația de despăgubire de mai sus este condiționată în mod expres de acordarea de către Client a dreptului, la alegerea și pe cheltuiala Asociatului, și cu un avocat ales de acesta, de a controla sau de a participa la apărarea unei astfel de reclamații, cu condiția, totuși, ca, în măsura în care o astfel de reclamație face parte dintr-o procedură sau acțiune mai amplă, dreptul Asociatului de a controla sau de a participa să se limiteze la reclamație și nu la procedura sau acțiunea mai amplă. În cazul în care Asociatul își exercită opțiunea de a controla apărarea, atunci (i) Asociatul nu va soluționa nicio reclamație care necesită o recunoaștere a culpei din partea Clientului fără consimțământul prealabil scris al acestuia, (ii) Clientul va avea dreptul de a participa, pe cheltuiala sa, la reclamație sau proces și (iii) Clientul va coopera cu Asociatul în măsura în care acest lucru poate fi solicitat în mod rezonabil. Cele de mai sus reprezintă singurul și exclusivul remediu al Clientului și singura răspundere a Asociatului pentru orice pierdere, daună, cheltuială sau răspundere a Clientului pentru orice reclamație în legătură cu prezentul BAA.

6.2. Măsuri asigurătorii. Asociatul recunoaște că orice Utilizare sau Dezvăluire neautorizată a PHI de către Asociatul poate cauza prejudicii ireparabile Clientului, pentru care Clientul are dreptul, dacă dorește, să solicite o măsură asiguratorie sau o altă măsură echitabilă.

6.3. Referințe de reglementare. O trimitere în prezentul BAA la o secțiune a regulilor HIPAA înseamnă acea secțiune a HIPAA, a regulii privind confidențialitatea, a regulii privind securitatea, a HITECH ACT sau a Regulamentelor Omnibus finale, astfel cum au fost modificate și sunt în vigoare, și pentru care este necesară conformitatea.

6.4. Amendament. Părțile sunt de acord să negocieze cu bună credință orice modificare a prezentului BAA care ar putea fi solicitată din când în când, după cum este necesar pentru ca Clientul sau asociatul să se conformeze cerințelor normelor HIPAA. În cazul în care părțile nu pot ajunge la un acord reciproc cu privire la termenii unei astfel de modificări în termen de șaizeci (60) de zile de la data primirii unei astfel de solicitări scrise adresate de către Client asociatului, atunci oricare dintre părți are dreptul de a rezilia prezentul BAA și acordul prin transmiterea unei notificări scrise de cel puțin treizeci (30) de zile celeilalte părți.

6.5. Fără beneficiari terți. Xxxxx dispoziție expresă sau implicită din prezentul BAA nu este menită să confere și nici nu va conferi alte drepturi, căi de atac, obligații sau răspunderi de orice fel unei alte persoane în afară de Client, de Asociat și de succesorii sau cesionarii respectivi ai acestora.

6.6. Contractant independent. Asociatul, inclusiv directorii, directorii, funcționarii, angajații și agenții săi, este un contractant independent și nu un agent (așa cum este definit în conformitate cu dreptul comun federal al agențiilor) al Clientului sau un membru al forței de muncă a acestuia. Fără a limita caracterul general al celor de mai sus, Clientul nu are dreptul de a controla, de a direcționa sau de a influența în alt mod comportamentul asociatului în cursul prestării serviciilor, altfel decât prin aplicarea prezentului BAA sau a Acordului sau prin modificarea reciprocă a acestora.

6.7. Precedență; întregul Acord. Orice ambiguitate din prezentul BAA va fi rezolvată pentru a permite părților să respecte normele HIPAA. Prezentul BAA constituie întreaga înțelegere dintre părți în ceea ce privește obiectul acestuia și înlocuiește toate comunicările, declarațiile, acordurile și înțelegerile anterioare referitoare la normele HIPAA, inclusiv toate acordurile anterioare de asociere în afaceri dintre părți.

Document Metadata

Table of Contents

Acord de Prelucrare a Datelor

Document Metadata