Załącznik Data Processing Addendum
Wersja obowiązująca od września 2021 r.
Akceptując warunki Umowy odnoszące się do niniejszego załącznika Data Processing Addendum („DPA”), użytkownik („Subskrybent”) wyraża zgodę na warunki określone w niniejszym dokumencie, które są włączone do Umowy przez odniesienie.
PREAMBUŁA
Bentley i Subskrybent, w imieniu własnym i swoich Podmiotów powiązanych, zawarli jeden lub więcej formularzy zamówień, kontraktów i/lub porozumień („Umowa”), zgodnie z którymi Bentley zgadza się udzielać licencji na oprogramowanie, produkty i/lub świadczyć usługi na rzecz Subskrybenta zgodnie z opisem w Umowie (łącznie „Usługi”).Terminy pisane wielką literą, które nie zostały inaczej zdefiniowane w niniejszej umowie DPA, mają znaczenie przypisane im w Umowie. W przypadku konfliktu między warunkami niniejszej umowy DPA a warunkami Umowy, warunki niniejszej umowy DPA mają pierwszeństwo w odniesieniu do takiego konfliktu. Umowa obejmuje wszelkie załączniki, harmonogramy, dodatki, wykazy prac lub inne aneksy stanowiące część Umowy lub włączone do Umowy, w tym niniejszą umowę DPA.
Podpisując Umowę, Subskrybent zawiera niniejszą umowę DPA w swoim imieniu oraz, w zakresie wymaganym przez obowiązujące Przepisy ustawowe i wykonawcze dotyczące ochrony danych, w imieniu i na rzecz swoich Podmiotów powiązanych, jeśli i w zakresie, w jakim firma Bentley przetwarza Dane osobowe, wobec których takie Podmioty powiązane kwalifikują się jako Administrator. Wyłącznie dla celów niniejszej umowy DPA, o ile nie wskazano inaczej, termin „Subskrybent” obejmuje Subskrybenta i Podmioty powiązane.
W trakcie świadczenia Usług na rzecz Subskrybenta zgodnie z Umową firma Bentley może Przetwarzać Dane osobowe w imieniu Subskrybenta, a Strony zgadzają się przestrzegać poniższych postanowień w odniesieniu do wszelkich Danych Osobowych, działając zasadnie i w dobrej wierze.
1. DEFINICJE
„Podmiot powiązany” oznacza każdy podmiot, który bezpośrednio lub pośrednio kontroluje przedmiotowy podmiot, jest przez niego kontrolowany lub znajduje się z nim pod wspólną kontrolą. „Kontrola” dla celów niniejszej definicji oznacza bezpośrednią lub pośrednią własność lub kontrolę nad ponad 50% udziałów z prawem głosu w przedmiotowym podmiocie.
„CCPA” oznacza kalifornijską ustawę o ochronie prywatności konsumentów, kalifornijski kodeks cywilny § 1798.100 i dalsze, oraz przepisy wykonawcze do niego.
„Administrator” oznacza podmiot, który ustala cele i sposoby Przetwarzania Danych osobowych.
„Naruszenie danych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieupoważnionego ujawnienia lub dostępu do Danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez firmę Bentley zgodnie z Umową.
„Przepisy ustawowe i wykonawcze dotyczące ochrony danych” oznaczają wszystkie przepisy ustawowe i wykonawcze, w tym mające zastosowanie do Przetwarzania Danych osobowych na mocy Umowy z późniejszymi zmianami. W celu uniknięcia wątpliwości ustala się, że jeśli czynności przetwarzania firmy Bentley dotyczące Danych osobowych nie są objęte zakresem danego prawa o ochronie danych, takie prawo nie ma zastosowania do celów niniejszej umowy DPA.
„Osoba, której dane dotyczą” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę, której dotyczą Dane osobowe.
„RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w tym sformułowane na jego podstawie przepisy wdrożone lub przyjęte na mocy prawa Wielkiej Brytanii.
„Dane osobowe” oznacza wszelkie informacje dotyczące (i) zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej oraz (ii) zidentyfikowanej lub możliwej do zidentyfikowania osoby prawnej (gdzie takie informacje są chronione podobnie jak dane osobowe lub informacje umożliwiające identyfikację osób na mocy obowiązujących Przepisów ustawowych i wykonawczych dotyczących ochrony danych).
„Przetwarzanie” oznacza każdą operację lub zbiór operacji wykonywanych na Danych osobowych w sposób zautomatyzowany lub inny, taką jak gromadzenie, zapisywanie, organizowanie, strukturyzowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
„Procesor” oznacza podmiot, który przetwarza Dane osobowe w imieniu Administratora, w tym, w stosownych przypadkach, każdego „dostawcę usług” zgodnie z definicją tego terminu zawartą w CCPA.
„Subskrybent” oznacza podmiot, który zawarł Umowę, wraz z jego Podmiotami powiązanymi (dopóki pozostają one Podmiotami powiązanymi).
„Standardowe klauzule umowne UE” oznaczają standardowe klauzule umowne określone w decyzji wykonawczej Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady, dostępne tutaj.
„Podpodmiot przetwarzający dane” oznacza każdy Podmiot przetwarzający dane zatrudniony przez firmę Bentley lub Podmioty powiązane firmy Bentley działające w imieniu firmy Bentley.
„Organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie UE zgodnie z RODO lub, w przypadku Wielkiej Brytanii, Biuro Komisarza ds. Informacji („ICO”).
2. PRZETWARZANIE DANYCH OSOBOWYCH
2.1. Role Stron. Strony przyjmują do wiadomości i zgadzają się, że w odniesieniu do Przetwarzania Danych osobowych Subskrybent jest Administratorem, Bentley jest Podmiotem przetwarzającym oraz że Bentley zaangażuje Podpodmioty przetwarzające zgodnie z wymaganiami określonymi w Sekcji 5 „Podpodmioty przetwarzające” poniżej.
2.2. Przetwarzanie Danych osobowych przez Subskrybenta. Korzystając z Usług, Subskrybent będzie Przetwarzał Dane osobowe zgodnie z wymogami Przepisów ustawowych i wykonawczych dotyczących ochrony danych, w tym z wszelkimi mającymi zastosowanie wymaganiami dotyczącymi powiadamiania Osób, których dane dotyczą, o korzystaniu z firmy Bentley jako z Podmiotu przetwarzającego. W celu uniknięcia wątpliwości ustala się, że instrukcje Subskrybenta dotyczące Przetwarzania Danych osobowych muszą być zgodne z Przepisami ustawowymi i wykonawczymi dotyczącymi ochrony danych. Subskrybent ponosi wyłączną odpowiedzialność za dokładność, jakość i zgodność z prawem (i) Danych osobowych dostarczonych firmie Bentley przez Subskrybenta lub w jego imieniu, (ii) środków, za pomocą których Subskrybent uzyskał Dane osobowe, oraz (iii) Instrukcji dostarczanych firmie Bentley. Subskrybent nie przekaże ani nie udostępni firmie Bentley żadnych Danych osobowych z naruszeniem Umowy lub w inny sposób nieodpowiednich dla charakteru Usług oraz zrekompensuje firmie Bentley wszelkie roszczenia lub straty związane z naruszeniem przez Subskrybenta obowiązujących Przepisów ustawowych i wykonawczych dotyczących ochrony danych.
2.3. Przetwarzanie Danych osobowych przez firmę Bentley.Firma Bentley będzie traktować Dane osobowe jako informacje poufne i będzie Przetwarzać Dane osobowe w imieniu i wyłącznie zgodnie z udokumentowanymi instrukcjami Subskrybenta, chyba że wymóg prawny, któremu podlega firma Bentley, stanowi inaczej, w następujących celach: (i) Przetwarzanie zgodnie z Umową i formularzem/formularzami zamówienia; (ii) Przetwarzanie zainicjowane przez użytkowników podczas korzystania przez nich z Usług; (iii) Przetwarzanie w celu zastosowania się do innych udokumentowanych uzasadnionych instrukcji dostarczonych przez Subskrybenta (np. za pośrednictwem poczty elektronicznej), jeśli takie instrukcje są zgodne z warunkami Umowy, oraz (iv) Przetwarzanie zgodnie z Przepisami ustawowymi i wykonawczymi dotyczącymi ochrony danych. W przypadku gdy firma Bentley podlega wymogowi prawnemu, firma Bentley poinformuje Subskrybenta o tym wymogu prawnym, chyba że prawo tego zabrania.
Subskrybent niniejszym poleca firmie Bentley Przetwarzanie Danych osobowych zgodnie z powyższymi postanowieniami oraz w ramach korzystania przez Subskrybenta z Usług.
2.4. Rola firmy Bentley jako dostawcy usług w ramach CCPA. Strony przyjmują do wiadomości i zgadzają się, że firma Bentley jest dostawcą usług dla celów CCPA i otrzymuje Dane osobowe od Subskrybenta zgodnie z Umową w celach biznesowych. Firma Bentley nie będzie sprzedawać takich Danych osobowych ani przechowywać, wykorzystywać ani ujawniać Danych osobowych dostarczonych przez Subskrybenta zgodnie z Umową, z wyjątkiem sytuacji, gdy jest to konieczne do świadczenia Usług lub w inny sposób określony w Umowie lub dozwolony przez CCPA. Terminy „dostawca usług” i „sprzedaż” są zdefiniowane w sekcji 1798.140 CCPA. Firma Bentley zaświadcza, że rozumie ograniczenia zawarte w tej sekcji.
2.5. Szczegóły przetwarzania. Celem Przetwarzania Danych osobowych przez firmę Bentley jest świadczenie Usług zgodnie z Umową. Czas trwania Przetwarzania, charakter i cel Przetwarzania, rodzaje Danych osobowych i kategorie Osób, których dane są Przetwarzane na podstawie niniejszej umowy DPA, a także informacje o przekazywaniu Danych osobowych zgodnie z aneksami I i II do Standardowych klauzul umownych UE (jeśli mają zastosowanie) są dokładniej określone w Załączniku 2 do niniejszej umowy DPA.
3. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ
Żądanie Osoby, której dane dotyczą. Firma Bentley, w zakresie dozwolonym przez prawo, niezwłocznie powiadomi Subskrybenta, jeśli otrzyma od Osoby, której dane dotyczą, wniosek o skorzystanie z przysługującego jej prawa dostępu, prawa do sprostowania, ograniczenia Przetwarzania, usunięcia („prawa do bycia zapomnianym”), przenoszenia danych, sprzeciwu wobec Przetwarzania lub jego prawa do niepodlegania zautomatyzowanemu podejmowaniu indywidualnych decyzji, przy czym każde takie żądanie jest „Żądaniem Osoby, której dane dotyczą”. Biorąc pod uwagę charakter Przetwarzania, firma Bentley pomoże Subskrybentowi za pomocą odpowiednich środków technicznych i organizacyjnych, o ile jest to możliwe, w wypełnieniu obowiązku Subskrybenta w zakresie odpowiedzi na Żądanie Osoby, której dane dotyczą, zgodnie z Przepisami ustawowymi i wykonawczymi dotyczącymi ochrony danych.
4. PERSONEL FIRMY BENTLEY
4.1. Zachowanie poufności. Firma Bentley zapewni, że jej personel zaangażowany w Przetwarzanie Danych osobowych będzie poinformowany o poufnym charakterze Danych osobowych, przejdzie odpowiednie szkolenie w zakresie swoich obowiązków i zawrze pisemne umowy o zachowaniu poufności. Firma Bentley zapewni, że takie zobowiązania do zachowania poufności pozostaną w mocy po zakończeniu współpracy z personelem.
4.2. Ograniczenie dostępu. Firma Bentley zapewni, że dostęp firmy Bentley do Danych osobowych będzie ograniczony do personelu wykonującego Usługi zgodnie z Umową.
4.3. Inspektor Ochrony Danych. Firma Bentley wyznaczyła inspektora ochrony danych. Z wyznaczoną osobą można się skontaktować pod adresem [email protected].
5. PODPODMIOTY PRZETWARZAJĄCE
5.1. Wyznaczenie Podpodmiotów przetwarzających. Subskrybent przyjmuje do wiadomości i zgadza się, że (a) Podmioty powiązane firmy Bentley mogą zostać zatrudnione jako Podpodmioty przetwarzające; oraz (b) odpowiednio Bentley i Podmioty powiązane Bentley mogą zaangażować zewnętrzne Podpodmioty przetwarzające w związku ze świadczeniem Usług. Firma Bentley lub Podmiot powiązany firmy Bentley zawarły pisemną umowę z każdym Podpodmiotem przetwarzającym określającą obowiązki w zakresie ochrony zapewniającą ochronę nie mniejszą niż umowa DPA w odniesieniu do Danych osobowych Subskrybenta w zakresie mającym zastosowanie do charakteru Usług świadczonych przez taki Podpodmiot przetwarzający.
5.2. Lista aktualnych Podpodmiotów przetwarzających, powiadomienie o nowych Podpodmiotach przetwarzających oraz mechanizm zgody. Bentley udostępni Subskrybentowi aktualną listę Podpodmiotów przetwarzających zaangażowanych na potrzeby Usług. Subskrybent może znaleźć aktualną listę Podpodmiotów przetwarzających tutaj. Subskrybent niniejszym ogólnie upoważnia firmę Bentley i Podmioty powiązane firmy Bentley do usunięcia lub dodania nowych Podpodmiotów przetwarzających zgodnie z niniejszą sekcją 5. Nowe Podpodmioty przetwarzające, które uzyskują dostęp do Danych osobowych Subskrybenta, zostaną zatwierdzone przez Subskrybenta za pośrednictwem następującego mechanizmu zgody:
- Firma Bentley powiadomi Subskrybenta na co najmniej trzydzieści (30) dni przed upoważnieniem jakiegokolwiek nowego podpodmiotu przetwarzającego do dostępu do Danych osobowych poprzez dodanie tego podpodmiotu do elektronicznej listy w Centrum zaufania firmy Bentley.
- Jeśli Subskrybent nie zgłosi firmie Bentley żadnych uzasadnionych zastrzeżeń na piśmie w ciągu trzydziestu (30) dni, zostanie to uznane za zatwierdzenie przez Subskrybenta nowego Podpodmiotu przetwarzającego.
- Jeśli Subskrybent zgłosi uzasadnione zastrzeżenia, firma Bentley będzie miała prawo zakończyć świadczenie danej Usługi na rzecz Subskrybenta z czternastodniowym (14) wypowiedzeniem, chyba że firma Bentley zdecyduje się (a) kontynuować świadczenie Usługi bez zaangażowania Podpodmiotu przetwarzającego, wobec którego Subskrybent wyraził sprzeciw, (b) podjąć wystarczające kroki w celu rozwiązania kwestii zgłoszonych w sprzeciwie Subskrybenta lub (c) w porozumieniu z Subskrybentem zaprzestać świadczenia (tymczasowo lub na stałe) określonego aspektu Usługi, który wymagałby korzystania z usług Podpodmiotu przetwarzającego. Każdy Podpodmiot przetwarzający będzie związany obowiązkami w zakresie ochrony danych zgodnymi z tymi zawartymi w niniejszej Umowie.
5.3. Odpowiedzialność. Firma Bentley ponosi odpowiedzialność za działania i zaniechania swoich Podpodmiotów przetwarzających w takim samym zakresie, w jakim firma Bentley ponosiłaby odpowiedzialność, gdyby świadczyła usługi każdego Podpodmiotu przetwarzającego bezpośrednio na warunkach niniejszej umowy DPA, z wyjątkiem przypadków określonych w Umowie.
6. BEZPIECZEŃSTWO
Biorąc pod uwagę aktualny stan wiedzy, koszty wdrożenia oraz charakter, zakres, kontekst i cele Przetwarzania, a także ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, firma Bentley będzie utrzymywać odpowiednie środki techniczne oraz organizacyjne zapewniające stopień bezpieczeństwa odpowiedni do ryzyka Przetwarzania Danych Osobowych. Firma Bentley co najmniej:
- Przyjmie zasady i standardy związane z bezpieczeństwem informacji.
- Wyznaczy osobę odpowiedzialną za zarządzanie bezpieczeństwem informacji.
- Przeznaczy odpowiednie zasoby kadrowe do zajmowania się bezpieczeństwem informacji.
- Przeprowadzi weryfikację referencji lub przeszłości pracowników zatrudnionych na stałe, którzy będą mieli dostęp do danych osobowych, oraz w zakresie niezbędnym do spełnienia wymogów zgodności (jeśli jest to wykonalne i zgodne z prawem w każdej odpowiedniej jurysdykcji).
- Będzie wymagać od wszystkich pracowników firmy Bentley przestrzegania pisemnych zasad w zakresie bezpieczeństwa informacji.
- Wdroży procedury zapobiegające nieautoryzowanemu dostępowi do Danych osobowych poprzez zastosowanie, w stosownych przypadkach, fizycznej i logicznej kontroli dostępu, bezpiecznych obszarów do przetwarzania oraz narzędzi zapobiegania utracie danych.
- Na bieżąco będzie zapewniać zgodność z zasadami i standardami związanymi z ochroną danych.
Firma Bentley jest uprawniona do zmiany środków technicznych i organizacyjnych według własnego uznania, pod warunkiem że ogólny poziom bezpieczeństwa Usług nie zostanie obniżony. Dodatkowe informacje dotyczące środków technicznych i organizacyjnych firmy Bentley są dostępne w Centrum zaufania firmy Bentley i są okresowo aktualizowane.
7. PRAWO SUBSKRYBENTA DO AUDYTU
W okresie obowiązywania niniejszej umowy DPA, na żądanie Subskrybenta, nie częściej niż raz w roku kalendarzowym i z zastrzeżeniem umowy o zachowaniu poufności, firma Bentley dostarczy Subskrybentowi najnowszy raport z audytu przeprowadzonego przez niezależnego audytora, aby Subskrybent mógł w uzasadniony sposób zweryfikować zachowywanie przez firmę Bentley zgodności z jej obowiązkami w zakresie ochrony danych. Subskrybent zgadza się korzystać z wszelkich praw do audytu i inspekcji, jakie może mieć, wyłącznie poprzez zażądanie takiego raportu z audytu i zapoznanie się z nim. Po zapoznaniu się przez Subskrybenta z tym raportem, w przypadku gdy w celu wykazania zgodności ze zobowiązaniami firmy Bentley w zakresie ochrony danych wymagane są dodatkowe informacje, Subskrybent musi powiadomić firmę Bentley na piśmie, określając konkretnie, co do jakiego obowiązku raport nie wykazuje zgodności, i wskazują braki w raporcie z audytu oraz obszary, dla których wymagane są dodatkowe informacje. Po takim przeglądzie firma Bentley może powiadomić swojego niezależnego audytora o zidentyfikowanych brakach, aby mógł on je uwzględnić w swoich procedurach audytu. Według uznania firma Bentley dołoży uzasadnionych starań, aby zapewnić zgodność i zapewnić Subskrybentowi (bezpośrednio lub zarejestrowanemu akredytowanemu audytorowi działającemu w imieniu Subskrybenta, z zastrzeżeniem zobowiązań do zachowania poufności) dostęp do dodatkowych zasad, procedur, procesów i/lub dowodów potwierdzających działanie mechanizmów kontrolnych. Subskrybent powiadomi firmę Bentley z co najmniej 30-dniowym wyprzedzeniem, nie będzie mógł przechowywać żadnych kopii dodatkowej dokumentacji ani wykonywać kopii, a także nie będzie bezzasadnie zakłócać działalności biznesowej firmy Bentley. Subskrybent będzie odpowiedzialny za pokrycie wszystkich kosztów takiego audytu i mogą zostać naliczone dodatkowe opłaty stanowiące rekompensatę kosztów poniesionych przez firmę Bentley.
8. ZARZĄDZANIE NARUSZENIEM DANYCH I POWIADOMIENIA
Firma Bentley zgadza się powiadomić Subskrybenta bez zbędnej zwłoki o wykryciu Naruszenia danych. W trakcie powiadamiania Subskrybenta firma Bentley przekaże mu, w miarę możliwości, informacje wystarczające do dokonania przez niego wszelkich wymaganych powiadomień w terminie wymaganym przez Przepisy ustawowe i wykonawcze dotyczące ochrony danych. Takie informacje mogą obejmować między innymi: (i) charakter Naruszenia danych oraz kategorie i przybliżoną liczbę Osób, których dane dotyczą, i rekordów Danych osobowych, których to dotyczy; (ii) prawdopodobne konsekwencje Naruszenia danych, w zakresie, w jakim konsekwencje są możliwe do określenia; oraz (iii) wszelkie środki podjęte w celu zaradzenia Naruszeniu danych lub złagodzenia jego skutków.
9. ZWROT I USUWANIE DANYCH OSOBOWYCH
Firma Bentley będzie przechowywać Dane osobowe otrzymane od Subskrybenta lub utworzone w imieniu Subskrybenta tylko tak długo, jak będzie to konieczne do świadczenia usług w ramach Umowy lub zgodnie z innymi wymaganiami obowiązującego prawa. Na żądanie Subskrybenta firma Bentley zgadza się zwrócić lub zniszczyć Dane osobowe otrzymane lub utworzone zgodnie z Umową, w zakresie dozwolonym przez obowiązujące prawo.
10. OGRANICZENIE ODPOWIEDZIALNOŚCI
Całkowita odpowiedzialność każdej ze stron, tj. Subskrybenta i firmy Bentley (oraz ich odpowiednich pracowników, dyrektorów, członków kierownictwa, podmiotów powiązanych, następców prawnych i cesjonariuszy), wynikająca z niniejszej umowy DPA lub z nią związana, niezależnie od tego, czy wynika to z umowy, deliktu lub innej teorii odpowiedzialności, podlega sekcji „Ograniczenie odpowiedzialności” Umowy, a wszelkie odniesienia w tej sekcji do odpowiedzialności strony oznaczają łączną odpowiedzialność tej strony i wszystkich jej Podmiotów powiązanych na mocy Umowy i wszystkich umów DPA łącznie.
11. POSTANOWIENIA WYNIKAJĄCE Z WYMOGÓW EUROPEJSKICH
11.1. RODO. Firma Bentley będzie Przetwarzać Dane osobowe zgodnie z wymogami RODO mającymi bezpośrednie zastosowanie do świadczenia Usług przez firmę Bentley.
11.2. Ocena skutków dla ochrony danych.Firma Bentley zapewni Subskrybentowi uzasadnioną pomoc w zakresie wszelkich ocen wpływu na ochronę danych i/lub wcześniejszych konsultacji, które mogą być wymagane w związku z przetwarzaniem prowadzonym na mocy Umowy, w zakresie wymaganym przez RODO.
11.3. Powiadomienie o inspekcji. Firma Bentley zgadza się powiadomić Subskrybenta o wszelkich kontrolach lub audytach organu nadzorczego dotyczących zgodności z Przepisami ustawowymi i wykonawczymi dotyczącymi ochrony danych związanych z Usługami świadczonymi na mocy Umowy. Firma Bentley będzie współpracować z odpowiednimi organami nadzorczymi na żądanie Subskrybenta w uzasadnionym zakresie.
11.4. Mechanizmy przekazywania danych. Firma Bentley udostępnia mechanizm przekazywania wymieniony w Załączniku 1, który ma zastosowanie do wszelkich transferów Danych osobowych na mocy niniejszej umowy DPA z Unii Europejskiej, Europejskiego Obszaru Gospodarczego i/lub ich państw członkowskich, Szwajcarii i Wielkiej Brytanii do krajów, które nie zapewniają odpowiedniego poziomu ochrony danych w rozumieniu Przepisów ustawowych i wykonawczych dotyczących ochrony danych. obowiązujących na powyższych terytoriach, w zakresie, w jakim takie transfery podlegają takim Przepisom o Ochronie Danych. Ponadto Załącznik 1 zawiera dodatkowe warunki dotyczące stosowania określonych w nim mechanizmów przekazywania.
12. RÓŻNE
12.1. Skutek prawny. Niniejsza umowa DPA może być zawarta w egzemplarzach, z których każdy będzie uważany za oryginał, ale wszystkie razem będą uważane za jedną i tę samą umowę. Podpisana kopia niniejszej umowy DPA dostarczona faksem, e-mailem lub innym środkiem przekazu elektronicznego (do którego dołączona jest podpisana kopia w formacie PDF) będzie uważana za mającą taki sam skutek prawny jak doręczenie oryginalnego i podpisanego egzemplarza niniejszej umowy DPA.
12.2. Warunki dotyczące określonych jurysdykcji. W zakresie, w jakim firma Bentley Przetwarza Dane osobowe pochodzące z jednej z jurysdykcji wymienionych w Załączniku 5 (Warunki dotyczące określonych jurysdykcji) do niniejszej umowy DPA i chronione jej Przepisami ustawowymi i wykonawczymi dotyczącymi ochrony danych, warunki określone w Załączniku 5 w odniesieniu do odpowiedniej jurysdykcji mają zastosowanie oprócz warunków niniejszej umowy DPA.
12.3. Konflikt. W przypadku jakiegokolwiek konfliktu lub niespójności między treścią niniejszej umowy DPA (w tym wszelkich załączników i załączników innych niż Standardowe klauzule umowne UE) a Standardowymi klauzulami umownymi UE, pierwszeństwo mają Standardowe klauzule umowne UE.
Lista załączników
Załącznik 1: Mechanizmy przekazywania oraz dodatkowe warunki dotyczące przekazywania danych podlegających przepisom europejskim Załącznik 2: Szczegóły przetwarzania i przekazywania danych osobowych
Załącznik 3: SCC-Matrix
Załącznik 4: Dane kontaktowe stron i identyfikacja właściwego organu nadzorczego Załącznik 5: Szczegółowe warunki dotyczące jurysdykcji
ZAŁĄCZNIK 1 — MECHANIZMY PRZEKAZYWANIA ORAZ DODATKOWE WARUNKI PRZEKAZYWANIA DANYCH PODLEGAJĄCYCH PRZEPISOM EUROPEJSKIM
Niniejszy Załącznik 1 określa mechanizmy przekazywania Danych Osobowych Subskrybenta podlegających obowiązującym przepisom o ochronie danych w Unii Europejskiej, Europejskim Obszarze Gospodarczym i/lub ich państwach członkowskich, Szwajcarii i Wielkiej Brytanii do kontaktu w firmie Bentley Systems, Incorporated („Przekazywanie danych podlegających przepisom europejskim”), a także dodatkowe warunki dotyczące zakresu i stosowania takiego mechanizmu przekazywania podczas korzystania z Usług świadczonych przez firmę Bentley.
Przekazywanie danych podlegających przepisom europejskim
Ta sekcja dotyczy przekazywania Danych osobowych Subskrybenta do Bentley Systems, Incorporated podczas korzystania z Usług firmy Bentley, pod warunkiem że przekazywanie takich Danych Osobowych podlega RODO.
1.1. Stosowanie Standardowych klauzul umownych UE
W przypadku przekazywania Danych osobowych Subskrybenta podlegających RODO do Bentley Systems, Incorporated, takie przekazanie podlega Standardowym klauzulom umownym UE. Standardowe klauzule umowne UE zawierają kilka modułów, które mają zastosowanie w zależności od tego, który podmiot eksportuje i importuje Dane osobowe Subskrybenta.
- W przypadku gdy stroną niniejszej umowy DPA jest firma Bentley Systems International Limited, moduł 3 Standardowych klauzul umownych UE (przekazywanie pomiędzy podmiotami przetwarzającymi) i określa on warunki umowy zawieranej pomiędzy firmą Bentley Systems International Limited jako „Podmiotem przekazującym dane” a firmą Bentley Systems, Incorporated jako „Podmiotem odbierającym dane” w odniesieniu do przekazywania Danych osobowych Subskrybenta do Bentley Systems, Incorporated. Na żądanie Bentley dostarczy Subskrybentowi kopię Standardowych klauzul umownych UE zawartych pomiędzy Bentley Systems International Limited i Bentley Systems, Incorporated.
- W przypadku gdy stroną umowną niniejszej umowy DPA jest firma Bentley Systems, Incorporated, moduł 2 Standardowych klauzul umownych UE (przekazanie przez administratora podmiotowi przetwarzającemu) i określa on warunki umowy zawieranej pomiędzy Subskrybentem jako „Podmiotem przekazującym dane” a firmą Bentley Systems, Incorporated jako „Podmiotem odbierającym dane” w odniesieniu do przekazania Danych osobowych Subskrybenta do Bentley Systems, Incorporated. W takim przypadku Subskrybent musi zastosować się do procesu wykonawczego określonego w punkcie 1.2. niniejszego Załącznika 1.
1.2. Proces wykonawczy dla modułu 2 Standardowych klauzul umownych UE
W przypadku zastosowania modułu 2 Standardowych klauzul umownych UE zgodnie z sekcją 1.1 niniejszego Załącznika 1, Subskrybent musi przestrzegać następującego procesu wykonawczego:
Załącznik 3 zawiera matrycę („SCC-Matrix”), która określa, które opcje przewidziane w module 2 Standardowych klauzul umownych UE mają zastosowanie i gdzie w umowie DPA określone są informacje dotyczące przekazywania danych osobowych wymagane w aneksach do Standardowych klauzul umownych UE.
1.3. Środki uzupełniające
Firma Bentley zapewnia następujące środki uzupełniające w celu zapewnienia odpowiedniego poziomu ochrony zgodnie z art. 44 i dalsze. RODO dla Danych osobowych Subskrybenta przekazywanych do Bentley Systems, Incorporated, pod warunkiem że obowiązujące prawo nie zabrania firmie Bentley przestrzegania tych dodatkowych środków:
- Firma Bentley bez zbędnej zwłoki powiadomi Subskrybenta, jeśli jakikolwiek organ władzy publicznej zażąda dostępu do Danych osobowych Subskrybenta. Jeśli na mocy obowiązującego prawa przekazanie Subskrybentowi powiadomienia przez firmę Bentley będzie zabronione, firma Bentley bez zbędnej zwłoki zapewni zaprzestanie przekazywania Danych osobowych do kraju, który zażądał dostępu, i powiadomi Subskrybenta o zaistniałej sytuacji. Strony podejmą rozmowy na temat sposobów złagodzenia skutków tej sytuacji.
- Firma Bentley podejmie bez zbędnej zwłoki wszelkie dostępne środki prawne przeciwko wszelkim wnioskom władz publicznych dotyczącym dostępu do danych i nie ujawni żadnych Danych osobowych, dopóki nie zostanie to nakazane w drodze ostatecznej i wiążącej decyzji sądu.
- Firma Bentley udzieli Subskrybentowi pomocy, przekazując wszelkie informacje w uzasadnionym zakresie, jeśli Subskrybent zdecyduje się poinformować Osoby, których dane dotyczą, o tym, czy wniosek władz publicznych o dostęp do danych będzie miał wpływ na ich Dane osobowe.
- Firma Bentley będzie regularnie dostarczać Subskrybentowi raport przejrzystości dotyczący wniosków o dostęp do Danych osobowych otrzymanych od władz publicznych w zbiorczej formie, zawierający co najmniej informacje na temat liczby żądań danych, rodzaju żądanych danych, wnioskującego organu publicznego i zakresu, w jakim firma Bentley ujawniła dane osobowe takim władzom publicznym.
- Firma Bentley będzie stale monitorować wszelkie zmiany prawne i aktualizacje polityk, które mogą prowadzić do niemożności wypełnienia przez nią zobowiązań wynikających ze Standardowych klauzul umownych UE i bez zbędnej zwłoki będzie informować Subskrybenta o wszelkich takich zmianach i aktualizacjach.
- Firma Bentley niniejszym potwierdza, że nie stworzyła celowo backdoorów ani podobnych rozwiązań programowych, które mogłyby zostać użyte w celu uzyskania dostępu do systemów firmy Bentley i/lub przechowywanych w nich danych osobowych Subskrybenta.
Dalsze informacje dotyczące dodatkowych zabezpieczeń są dostępne na żądanie.
ZAŁĄCZNIK 2 — SZCZEGÓŁY PRZETWARZANIA I PRZEKAZYWANIA DANYCH OSOBOWYCH
Niniejszy Załącznik 2 określa informacje dotyczące Przetwarzania i przekazywania Danych osobowych zgodnie z sekcją 2.5 umowy DPA.
Opis czynności związanych z Przetwarzaniem i ról Stron
Korzystanie przez Subskrybenta z Usług firmy Bentley wiąże się z Przetwarzaniem Danych osobowych przez firmę Bentley w imieniu Subskrybenta. Wszelkie Przetwarzanie Danych osobowych należących do Subskrybenta jest przeprowadzane przez firmę Bentley działającą jako Podmiot przetwarzający, przy czym Subskrybent działa jako Administrator.
Przetwarzanie przez firmę Bentley Danych osobowych Subskrybenta obejmuje gromadzenie, przesyłanie, przechowywanie i inne działania związane z przetwarzaniem niezbędne do świadczenia, utrzymywania i aktualizowania Usług świadczonych Subskrybentowi przez firmę Bentley za pośrednictwem systemów firmy Bentley. Wszelkie Dane osobowe Przetwarzane w systemach firmy Bentley podczas korzystania z Usług świadczonych przez firmę Bentley są przekazywane na serwery zlokalizowane w USA i obsługiwane przez firmę Bentley Systems, Incorporated, a także przechowywane na takich serwerach.
Charakter i cel przetwarzania
Firma Bentley będzie Przetwarzać Dane osobowe w zakresie niezbędnym do świadczenia Usług na mocy Umowy, zgodnie z dalszymi ustaleniami określonymi w dokumentacji oraz zgodnie z dalszymi instrukcjami Subskrybenta dotyczącymi korzystania z Usług.
Czas przetwarzania
Z zastrzeżeniem sekcji 9 umowy DPA, firma Bentley będzie Przetwarzać Dane osobowe przez okres obowiązywania Umowy, chyba że uzgodniono inaczej na piśmie.
Kategorie Osób, których dane dotyczą
Subskrybent może przekazywać do Usług Dane osobowe, których zakres jest określany i kontrolowany przez Subskrybenta według własnego uznania i które mogą obejmować między innymi Dane osobowe dotyczące następujących kategorii Osób, których dane dotyczą:
- partnerzy biznesowi i dostawcy Subskrybenta (będący osobami fizycznymi);
- pracownicy, przedstawiciele, doradcy, freelancerzy zatrudnieni przez Subskrybenta (będący osobami fizycznymi);
- użytkownicy Subskrybenta upoważnieni przez Subskrybenta do korzystania z Usług (będący osobami fizycznymi).
Kategorie Danych osobowych
Subskrybent może przekazywać do Usług Dane osobowe, których zakres jest określany i kontrolowany przez Subskrybenta według własnego uznania i które mogą obejmować między innymi następujące kategorie Danych osobowych:
- dane lokalizacyjne i dane identyfikatora Subskrybenta;
- imię i nazwisko;
- informacje kontaktowe (firma, adres e-mail, telefon, fizyczny adres firmy);
- wszelkie Dane osobowe przechowywane przez Subskrybenta w środowisku chmurowym firmy Bentley;
- Dane osobowe Subskrybenta przesłane do usług w związku z Umową.
Specjalne kategorie danych (w stosownych przypadkach)
Nie dotyczy.
Częstotliwość transferu
Korzystanie przez Subskrybenta z usług firmy Bentley w okresie obowiązywania subskrypcji wiąże się z ciągłym przesyłaniem danych osobowych.
Okresy przechowywania
Firma Bentley przechowuje Dane osobowe Subskrybenta w okresie obowiązywania subskrypcji. W przypadku zakończenia okresu obowiązywania subskrypcji firma Bentley zaprzestaje przesyłania i przetwarzania Danych osobowych Subskrybenta oraz zwraca lub usuwa takie Dane osobowe zgodnie z postanowieniami określonymi w niniejszej umowie DPA.
Transfery do (pod)podmiotów przetwarzających
Podczas świadczenia Usług na rzecz Subskrybenta firma Bentley korzysta z usług określonych (pod)podmiotów przetwarzających. W związku z tym taki (pod)podmiot przetwarzający może również Przetwarzać Dane osobowe Subskrybenta. Więcej informacji na temat funkcji tych (pod)podmiotów przetwarzających, jak również przedmiotu, charakteru i czasu trwania przetwarzania przeprowadzanego przez te (pod)podmioty przetwarzające można znaleźć w Centrum zaufania firmy Bentley.
Środki techniczne i organizacyjne
Firma Bentley będzie utrzymywać administracyjne, fizyczne i techniczne zabezpieczenia w celu ochrony bezpieczeństwa, poufności i integralności Danych osobowych Przetwarzanych w kontekście świadczenia Usług, jak wyszczególniono w Centrum zaufania firmy Bentley lub w inny uzasadniony sposób udostępniono przez firmę Bentley.
ZAŁĄCZNIK 3 — SCC-MATRIX
Niniejszy Załącznik 3 ma zastosowanie tylko wtedy, gdy Bentley Systems, Incorporated jest stroną umowną niniejszej umowy DPA, a zastosowanie ma Moduł 2 Standardowych klauzul umownych UE, który określa warunki umowy zawieranej pomiędzy Subskrybentem a firmą Bentley Systems, Incorporated zgodnie z definicją w sekcji 1.1 Załącznika 1. Załącznik 3 nie ma zastosowania, jeśli Bentley Systems International Limited jest stroną umowną DPA.
Niniejszy Załącznik 3 określa opcje do wyboru, a także niezbędne informacje na temat przekazywania danych do kraju trzeciego wymagane na mocy Standardowych klauzul umownych UE.
Moduł 2 Standardowych klauzul umownych UE (przekazywanie przez administratora podmiotowi przetwarzającemu) | Specyfikacja |
Klauzula 7 (Klauzula Przystąpienia): Wybór dostępnych opcji | Podmiot przekazujący dane i Podmiot odbierający dane niniejszym uzgadniają, że każdy podmiot, który nie jest stroną Standardowych klauzul umownych UE, przystąpi do nich jako Podmiot przekazujący dane lub Podmiot odbierający dane zgodnie z sekcją I, klauzula 7 standardowej klauzuli umownej UE („Klauzula Przystąpienia”) wyłącznie po wyraźnym potwierdzeniu przez Podmiot przekazujący dane i Podmiot odbierający dane; takie potwierdzenie musi mieć formę pisemną. |
Klauzula 9 (a) (Korzystanie z usług podpodmiotów przetwarzających): Wybór dostępnych opcji | Podmiot przekazujący dane i Podmiot odbierający dane niniejszym uzgadniają, że zastosowanie ma opcja 2 sekcji II, klauzula 9.a Standardowych klauzul umownych UE (ogólne zezwolenie na zaangażowanie podpodmiotów przetwarzających). W tym celu zastosowanie ma sekcja 5 umowy DPA. |
Klauzula 11 (Dochodzenie roszczeń): Wybór dostępnych opcji | Podmiot przekazujący dane i Podmiot odbierający dane niniejszym zgadzają się, że możliwość dochodzenia roszczeń określona w sekcji II, klauzula 11 SCC nie ma zastosowania. |
Klauzula 13 (Nadzór), aneks I.C.: Określenie właściwego organu nadzorczego | Zobacz informacje w Załączniku 4. |
Klauzula 17 (Prawo właściwe): Wybór dostępnych opcji | Podmiot przekazujący dane i Podmiot odbierający dane niniejszym uzgadniają, że zastosowanie mają postanowienia opcji 1 sekcji III, klauzula 17 Standardowych klauzul umownych UE, a Standardowe klauzule umowne UE podlegają prawu Irlandii. |
Klauzula 18 (Wybór forum i jurysdykcji): Wybór dostępnych opcji | Podmiot przekazujący dane i Podmiot odbierający dane niniejszym zgadzają się zgodnie z sekcją III, klauzula 18 Standardowych klauzul umownych UE, że wszelkie spory wynikające ze Standardowych klauzul umownych UE będą kierowane do sądów w Dublinie w Irlandii. |
Aneks I.A: Informacje o nazwie, adresie, roli i działalności Podmiotu przekazującego dane związanej z przekazywanymi danymi, imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe | Zobacz informacje w Załączniku 2 i Załączniku 4. |
Aneks I.A: Podpis Podmiotu przekazującego dane i data | Podpisanie Umowy jest równoznaczne z podpisaniem Standardowych klauzul umownych UE i załącznika do nich, jak opisano w Sekcji 1.2. Załącznika 1. |
Aneks I.A: Informacje o nazwie, adresie, roli i działalności Podmiotu odbierającego dane związanej z przekazywanymi danymi, imię i nazwisko osoby kontaktowej, stanowisko oraz dane kontaktowe | Zobacz informacje w Załączniku 2 i Załączniku 4. |
Aneks I.A: Podpis Podmiotu odbierającego dane i data | Podpisanie Umowy jest równoznaczne z podpisaniem Standardowych klauzul umownych UE i załącznika do nich, jak opisano w Sekcji 1.2. Załącznika 1. |
Aneks I.B.: Kategorie osób, których dane osobowe są przekazywane | Zobacz informacje w Załączniku 2. |
Aneks I.B.: Kategorie przekazywanych danych osobowych | Zobacz informacje w Załączniku 2. |
Aneks I.B.: Przekazywane dane wrażliwe (w stosownych przypadkach) i stosowane ograniczenia lub zabezpieczenia | Zobacz informacje w Załączniku 2. |
Aneks I.B.: Częstotliwość przekazywania danych | Zobacz informacje w Załączniku 2. |
Aneks I.B.: Charakter przetwarzania danych | Zobacz informacje w Załączniku 2. |
Aneks I.B.: Cel przekazywania danych i dalszego przetwarzania | Zobacz informacje w Załączniku 2. |
Aneks I.B.: Okres, przez który dane osobowe będą przechowywane, a jeśli nie jest to możliwe, kryteria stosowane w celu określenia tego okresu | Zobacz informacje w Załączniku 3. |
Aneks I.B.: W przypadku przekazywania danych do (pod)podmiotu przetwarzającego dane: przedmiot, charakter i czas trwania przetwarzania | Zobacz informacje w Załączniku 2. |
Aneks I.C.: Tożsamość właściwego organu lub organów nadzorczych zgodnie z klauzulą 13 | Zobacz informacje w Załączniku 4. |
Aneks II: Środki techniczne i organizacyjne | Zobacz informacje w Załączniku 2. |
Aneks III: Informacje o (pod)podmiotach przetwarzających, w tym nazwa, adres, imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe, opis przetwarzania | Nie jest wymagane, ponieważ Opcja 2 klauzuli 9.a Standardowej klauzuli umownej UE ma zastosowanie jak określono w niniejszym Załączniku 3. |
ZAŁĄCZNIK 4 — DANE KONTAKTOWE STRON I WSKAZANIE WŁAŚCIWEGO ORGANU NADZORCZEGO
Niniejszy Załącznik 4 ma zastosowanie tylko wtedy, gdy Bentley Systems, Incorporated jest stroną umowną niniejszej umowy DPA, a Moduł 2 Standardowych klauzul umownych UE ma zastosowanie do i pomiędzy Subskrybentem a firmą Bentley Systems, Incorporated zgodnie z definicją w sekcji 1.1 Załącznika 1. Załącznik 4 nie ma zastosowania jeśli Bentley Systems International Limited jest stroną umowną DPA.
Niniejszy Załącznik 4 zawiera dane kontaktowe Podmiotu przekazującego dane i Podmiotu odbierającego dane zgodnie z wymogami aneksu I do Standardowych klauzul umownych UE w zakresie, w jakim informacje te nie zostały wcześniej określone w niniejszej umowie DPA i innych Załącznikach 1–3, jak również tożsamość właściwego organu nadzorczego zgodnie z art. 13 Standardowych klauzul umownych UE.
Kontakt z Bentley Systems, Incorporated
Inspektor ochrony danych: [email protected]
Osoba(-by) kontaktowa(-we) Subskrybenta i/lub inspektor ochrony danych (jeśli dotyczy)
Imię i nazwisko: jak określono w Umowie
Stanowisko, tytuł: jak określono w Umowie
Dane kontaktowe: jak określono w Umowie
Przedstawiciel Subskrybenta w UE (jeśli dotyczy)
Imię i nazwisko: jak określono w Umowie
Dane kontaktowe: jak określono w Umowie
Wskazanie właściwego organu lub organów nadzorczych zgodnie z klauzulą 13
Nazwa: właściwy organ nadzorczy w jurysdykcji, w której ma siedzibę eksport danych, jak dalej określono w Umowie.
ZAŁĄCZNIK 5 — WARUNKI SPECYFICZNE DLA DANEJ JURYSDYKCJI
Australia
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje australijskie zasady prywatności i australijską ustawę o prywatności (1988).
- Definicja „Danych osobowych” obejmuje „Dane osobowe” w rozumieniu Przepisów ustawowych i wykonawczych dotyczących ochrony danych.
Brazylia:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje Lei Geral de Proteção de Dados („LGPD”).
- Definicja „Podmiotu przetwarzającego dane” obejmuje „Operatora” w rozumieniu LGPD.
Kanada:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje federalną ustawę o ochronie informacji osobowych i dokumentów elektronicznych („PIPEDA”).
- Podpodmioty przetwarzające dane firmy Bentley, jak opisano w sekcji 5 (Podpodmioty przetwarzające dane) niniejszej umowy DPA, są stronami trzecimi zgodnie z PIPEDA, z którymi firma Bentley zawarła pisemną umowę zawierającą warunki zasadniczo podobne do niniejszej umowy DPA. Firma Bentley przeprowadziła odpowiednie badania due diligence swoich Podpodmiotów przetwarzających.
Izrael:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje ustawę o ochronie prywatności („PPL”).
- Definicja „Administratora” obejmuje „Właściciela bazy danych” w rozumieniu ustawy PPL.
- Definicja „Podmiotu przetwarzającego” obejmuje „Posiadacza” w rozumieniu ustawy PPL.
Japonia:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje Ustawę o ochronie danych osobowych („APPI”).
- Definicja „Danych osobowych” obejmuje „Dane osobowe” zgodnie z definicją zawartą w APPI.
- Definicja „Administratora” obejmuje „Podmiot gospodarczy” zgodnie z definicją zawartą w APPI. Jako Podmiot gospodarczy firma Bentley jest odpowiedzialna za obsługę danych osobowych będących w jej posiadaniu.
- Definicja „Podmiotu przetwarzającego” obejmuje przedsiębiorcę, któremu Podmiot gospodarczy powierzył przetwarzanie danych osobowych w całości lub w części (również „powiernika”), zgodnie z opisem zawartym w APPI. Jako powiernik firma Bentley zapewni, że wykorzystanie powierzonych danych osobowych jest bezpiecznie kontrolowane.
Meksyk:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje ustawę federalną o ochronie danych osobowych przechowywanych przez podmioty prywatne i jej przepisy („FLPPIPPE”).
Singapur:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje ustawę o ochronie danych osobowych z 2012 roku („PDPA”). Firma Bentley będzie Przetwarzać Dane osobowe zgodnie ze standardem ochrony PDPA poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych określonych w Sekcji 6 (Bezpieczeństwo) niniejszej umowy DPA oraz przestrzeganie warunków Umowy.
Szwajcaria:
- Definicja „Przepisów ustawowych i wykonawczych dotyczących ochrony danych” obejmuje szwajcarską ustawę federalną o ochronie danych.
- Gdy firma Bentley angażuje Podpodmiot przetwarzający dane zgodnie z Sekcją 5 (Podpodmiot przetwarzający dane) niniejszej umowy DPA, będzie: (a) wymagać od każdego wyznaczonego Podpodmiotu przetwarzającego dane ochrony danych Subskrybenta do standardu wymaganego przez Przepisy ustawowe i wykonawcze dotyczące ochrony danych, takie jak włączenie tych samych zobowiązań w zakresie ochrony danych, o których mowa w art. 28 ust. 3 RODO, w szczególności zapewnienie wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie spełniało wymogi RODO, oraz (b) wymagać od każdego wyznaczonego Podpodmiotu przetwarzającego dane, aby (i) wyraził pisemną zgodę na przetwarzanie danych osobowych wyłącznie w państwie, które Unia Europejska uznała za posiadające „odpowiedni” poziom ochrony lub (ii) przetwarzał dane osobowe wyłącznie na warunkach równoważnych Standardowym klauzulom umownym UE lub zgodnie z zatwierdzeniem Wiążących reguł korporacyjnych udzielonym przez właściwe organy ochrony danych Unii Europejskiej.
Wielka Brytania:
- Odniesienia w niniejszej umowie DPA do RODO będą w tym zakresie uznawane za odniesienia do odpowiednich przepisów prawa Wielkiej Brytanii (w tym brytyjskiej ustawy GDPR oraz Data Protection Act 2018).
- Gdy firma Bentley angażuje Podpodmiot przetwarzający dane zgodnie z Sekcją 5 (Podpodmiot przetwarzający dane) niniejszej umowy DPA, będzie: (a) wymagać od każdego wyznaczonego Podpodmiotu przetwarzającego dane ochrony danych Subskrybenta do standardu wymaganego przez Przepisy ustawowe i wykonawcze dotyczące ochrony danych, takie jak włączenie tych samych zobowiązań w zakresie ochrony danych, o których mowa w art. 28 ust. 3 RODO, w szczególności zapewnienie wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie spełniało wymogi RODO, oraz (b) wymagać od każdego wyznaczonego Podpodmiotu przetwarzającego dane, aby (i) wyraził pisemną zgodę na przetwarzanie danych osobowych wyłącznie w państwie, które Wielka Brytania uznała za posiadające „odpowiedni” poziom ochrony lub (ii) przetwarzał dane osobowe wyłącznie na warunkach równoważnych Standardowym klauzulom umownym UE lub zgodnie z zatwierdzeniem Wiążących reguł korporacyjnych udzielonym przez właściwe organy ochrony danych Wielkiej Brytanii.
- Niezależnie od wszystkiego, co stanowi inaczej w niniejszej umowie DPA lub w Umowie (w tym, bez ograniczeń, zobowiązań odszkodowawczych każdej ze stron), żadna ze stron nie będzie odpowiedzialna za jakiekolwiek grzywny związane z brytyjską ustawą GDPR wydane lub nałożone na podstawie art. 83 brytyjskiej ustawy GDPR przeciwko drugiej stronie przez organ regulacyjny lub rządowy w związku z naruszeniem przez taką drugą stronę brytyjskiej ustawy GDPR.