Shortcuts

Lokalne przepisy o ochronie danych objęte umową DPA

(Wersja z 7 marca 2024 r.)


Niniejsza  Umowa IDEXX o przetwarzaniu danych klienta („DPA”) i jej odpowiednie Załączniki do Umowy o przetwarzaniu danych (każdy „Załącznik DPA”) mają zastosowanie do Przetwarzania danych osobowych („Dane osobowe klienta") przez IDEXX w imieniu klienta („Klient”) na mocy umowy zawartej między IDEXX a Klientem („Umowa”) w celu świadczenia Usług IDEXX, jeśli i w takim zakresie, w jakim: i) zastosowanie ma europejskie ogólne rozporządzenie o ochronie danych (UE/2016/679) (RODO); lub ii) wszelkie inne przepisy o ochronie danych określone poniżej.


Europejski Obszar Gospodarczy:
Rozporządzenia Unii Europejskiej i przepisy państw członkowskich EOG, inne niż RODO, wymagające umowy regulującej przetwarzanie danych osobowych, identycznej lub zasadniczo podobnej do wymogów określonych w art. 28 RODO.


Szwajcaria:
Szwajcarska federalna ustawa o ochronie danych z dnia 19 czerwca 1992 r.; od dnia 1 września 2023 r. jej całkowicie zmieniona wersja z dnia 25 września 2020 r. („FADP”), z późniejszymi zmianami, zastąpiona innymi przepisami.

Do celów sekcji 9 RODO, unijne SCC zostaną wdrożone w odniesieniu do przekazywania danych do krajów niebędących odpowiednimi krajami podlegającymi FADP, ze zmianami i dostosowaniami, w następujący sposób:

  1. szwajcarski federalny komisarz ds. ochrony danych i informacji (FDPIC) jest właściwym organem nadzorczym zgodnie z klauzulą 13 i załącznikiem I.C unijnych SWK UE; oraz
  2. prawem właściwym zgodnie z klauzulą 17 unijnych SCC jest prawo szwajcarskie w przypadku, gdy przekazanie danych podlega wyłącznie FADP; oraz
  3. pojęcie "państwo członkowskie" nie może być interpretowane w sposób obierający osobom, których dane dotyczą w Szwajcarii możliwości dochodzenia swoich praw w miejscu zwykłego pobytu (Szwajcarii) zgodnie z klauzulą 18 unijnych SCC; oraz
  4. odniesienia do RODO w unijnych SCC obejmują również odniesienia do równoważnych przepisów FADP (zmienionych lub zastąpionych).


Brazylia:
Brazylijska ogólna ustawa o ochronie danych, Lei Geral de Proteção de Dados Pessoais („LGPD”). W celu uniknięcia wątpliwości, jedyne zobowiązania IDEXX wobec Klienta wynikające z umowy DPA stanowią te wyraźne zobowiązania nałożone przez LGPD na „Podmiot przetwarzający dane (operador)” na rzecz „Administratora danych (controlador)” (w tym nowa sekcja3.5 poniżej), ponieważ „Podmiot przetwarzający dane (operador)” i „Administrator danych (controlador)” są zdefiniowane w LGPD:

  • 3.5 Każda ze stron jest odpowiedzialna za wypełnienie swoich obowiązków wynikających z LGPD, a Klient będzie wydawać instrukcje dotyczące przetwarzania, zgodnie z sekcją 3 umowy DPA, które umożliwią IDEXX wypełnienie obowiązków wynikających z LGPD. Do celów sekcji 9 umowy DPA, unijne SCC będą miały zastosowanie do przekazywania danych do krajów trzecich zgodnie z RODO.


Republika Południowej Afryki:
Południowoafrykańska Ustawa o ochronie danych osobowych 4 z 2013 roku („POPIA”). W celu uniknięcia wątpliwości, zobowiązania IDEXX wobec Klienta w ramach umowy DPA to wyraźne zobowiązania nałożone przez POPIA na „Operatora” (odpowiednik „Podmiotu przetwarzającego”) na rzecz „Podmiotu odpowiedzialnego” (odpowiednik „Administratora”). Każda ze stron jest odpowiedzialna za wypełnienie swoich obowiązków wynikających z POPIA. Do celów sekcji 9 umowy DPA, unijne SCC będą miały zastosowanie do przekazywania danych do państw trzecich zgodnie z RODO.
 

Zjednoczone Królestwo:
Brytyjskie Ogólne rozporządzenie o ochronie danych osobowych (włączone do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 r.), brytyjska ustawa o ochronie danych osobowych z 2018 r., obie zmienione rozporządzeniami o ochronie danych, prywatności i łączności elektronicznej ( Nowelizacje) (wyjście z UE) z 2019 r., z późniejszymi zmianami, zastąpione innymi przepisami. Do celów sekcji 9 umowy DPA w przypadku przekazywania danych do krajów niebędących odpowiednimi krajami podlegającymi brytyjskiemu ogólnemu rozporządzeniu o ochronie danych zostaną wdrożone następujące postanowienia. Strony opierają się na unijnych SCC w odniesieniu do przekazywania danych osobowych z Wielkiej Brytanii, z zastrzeżeniem wypełnienia "Aneksu brytyjskiego do standardowych klauzul umownych Unii Europejskiej" wydanego przez Biuro Komisarza ds. Informacji na mocy art. 119A(1) ustawy o ochronie danych z 2018 r. ("Aneks brytyjski"). Standardowe klauzule umowne UE, wypełnione zgodnie z sekcją 9 umowy DPA, mają również zastosowanie do przekazywania takich Danych osobowych. Dodatek brytyjski uznaje się za zawarty między IDEXX a Klientem, a unijne SCC uznaje się za zmienione zgodnie z postanowieniami Aneksu brytyjskiego w odniesieniu do przekazywania takich Danych osobowych.

Japonia:
Japońska ustawa o ochronie danych osobowych nr 57 z 2003 r. („APPI”), z późniejszymi zmianami. W celu uniknięcia wątpliwości, obowiązki IDEXX wobec Klienta wynikające z Ustawy o ochronie danych to te, które zgodnie z APPI Klient musi wypełniać jako „Operator biznesowy przetwarzający dane osobowe”, aby powierzyć przetwarzanie danych osobowych Klienta IDEXX jako „osobie, której powierzono przetwarzanie danych”, ponieważ takie pojęcia są używane w APPI.

Kalifornia:
Kalifornijska ustawa o ochronie prywatności konsumentów z 2018 r., zmieniona kalifornijską ustawą o prawach do ochrony prywatności, oraz wszelkie powiązane przepisy („CCPA”). Zobowiązania IDEXX wobec Klienta wynikające z umowy DPA to te, których CCPA wymaga, aby „Firma” (będąca Klientem i odpowiednikiem „Administratora” zgodnie z umową DPA) zawarła umowę z „Usługodawcą” (będącym IDEXX i odpowiednikiem „Usługodawcy zgodnie z umową DPA”), zgodnie z definicją tych pojęć w CCPA. Ponadto:

Pojęcia „sprzedawać” i „udostępniać” mają znaczenie nadane im w CCPA.  Pojęcie „Dane osobowe” w rozumieniu RODO zastępuje się pojęciem „Informacje osobowe”. Pojęcie „Osoba, której dane dotyczą” użyte w RODO zastępuje się pojęciem „konsument”. Pojęcie „Szczególne kategorie danych osobowych” użyte w umowie DPA zastępuje się pojęciem „Wrażliwe informacje osobowe”. „Informacje pozbawione elementów umożliwiających identyfikację” oznaczają dane, które nie mogą być racjonalnie wykorzystane do wywnioskowania informacji lub w inny sposób powiązane ze zidentyfikowanym lub możliwym do zidentyfikowania konsumentem lub urządzeniem powiązanym z taką osobą.

Dodaje się nowy punkt 3.5 o następującym brzmieniu:

  • 3.5. IDEXX
  1. nie będzie sprzedawać ani udostępniać Informacji osobowych;
  2. nie będzie dalej łączyć Danych osobowych ani przechowywać, wykorzystywać lub ujawniać Informacji osobowych: (A) poza bezpośrednią relacją biznesową między IDEXX a Klientem; lub (B) w jakimkolwiek celu innym niż cele biznesowe określone w Umowie, o ile CCPA nie zezwala inaczej;
  3. na polecenie Klienta zaprzestanie wykorzystywania Wrażliwych informacji osobowych do celów innych niż świadczenie Usług w zakresie, w jakim Dostawca posiada faktyczną wiedzę, że Informacje osobowe stanowią Wrażliwe informacje Osobowe;
  4. powstrzymania się od podejmowania prób ponownej identyfikacji wszelkich pozbawionych elementów umożliwiających identyfikację informacji ujawnionych IDEXX przez Klienta na mocy Umowy;
  5. powstrzymania się od stosowania się do wniosków o usunięcie danych składanych przez konsumentów bezpośrednio do IDEXX w zakresie, w jakim IDEXX gromadził, wykorzystywał, przetwarzał lub przechowywał Informacje osobowe w roli Usługodawcy na rzecz Klienta;
  6. niezwłocznie powiadomi Klienta, jeśli IDEXX stwierdzi, że nie może dłużej wykonywać swoich zobowiązań wynikających z kalifornijskiego prawa o ochronie danych lub z niniejszej sekcji; oraz
  7. pozostanie odpowiedzialny za własne naruszenia CCPA przez IDEXX.