view in:

GLOBALNE ZOBOWIĄZANIA W ZAKRESIE OCHRONY PRYWATNOŚCI

OSTATNIA AKTUALIZACJA: 21 listopada 2022
1. WSTĘP
  1. Niniejsze Globalne zobowiązania w zakresie ochrony prywatności („Globalne zobowiązania w zakresie ochrony prywatności”) określają obowiązki dotyczące ochrony danych, których spełnienia oczekujemy od naszych dostawców i innych partnerów biznesowych (zwanych łącznie „Partnerami”), w związku z dostarczaniem nam przez nich produktów i usług. Niniejsze Globalne zobowiązania w zakresie ochrony prywatności są uzupełnieniem i stanowią część każdej umowy, którą zawieramy z naszymi Partnerami i do której niniejsze Globalne zobowiązania dotyczące ochrony prywatności zostały włączone („Umowa”).
  2. W zależności od naszej relacji z Partnerem zastosowanie znajdują różne sekcje niniejszych Globalnych zobowiązań w zakresie ochrony prywatności. W każdej sekcji został wskazany zakres jej zastosowania.
2. DEFINICJE
  1. Niniejsza sekcja dotyczy wszystkich Partnerów.
  2. Na potrzeby niniejszych Globalnych zobowiązań w zakresie ochrony prywatności, poniższym terminom nadaje się następujące znaczenie:
    1. „Administrator” oznacza osobę lub podmiot, który samodzielnie lub wspólnie z innymi osobami lub podmiotami ustala cele i sposoby Przetwarzania Danych osobowych;
    2. „Klient”, „my” i „nasz/nasza/nasze” oznaczają: (i) podmiot z grupy Warner Bros. Discovery, wskazany w Umowie i będący jej stroną; oraz (ii) wszelkie podmioty powiązane lub zależne, które kontrolują lub są kontrolowane przez ww. podmiot lub które znajdują się pod wspólną kontrolą wraz z ww. podmiotem z grupy Warner Bros. Discovery wskazanym w Umowie;
    3. „Przepisy dotyczące ochrony danych” oznaczają każdą federalną, stanową, wojewódzką, lokalną, gminną, zagraniczną, międzynarodową, wielonarodową lub inną konstytucję, ustawę, statut, traktat, zasadę, rozporządzenie, zarządzenie, kodeks oraz wytyczne wydane przez organy regulacyjne właściwe do interpretacji lub egzekwowania tychże, odnoszące się do przetwarzania danych osobowych, prywatności, ochrony danych (ochrony Danych osobowych) lub cyberbezpieczeństwa, które mogą podlegać zmianom;
    4. „Osoba, której dane dotyczą” oznacza osobę fizyczną, której dotyczą Dane osobowe;
    5. „Żądanie Osoby, której dane dotyczą” oznacza żądanie Osoby, której dane dotyczą, dotyczące informacji o danych, dostępu do nich, ich sprostowania, usunięcia, ograniczenia, możliwości przenoszenia, sprzeciwu wobec ich przetwarzania, zakazu sprzedaży lub usunięcia, a także wszelkie inne podobne żądania;
    6. „Opis przetwarzania” oznacza opis sposobu przetwarzania Danych osobowych przez Partnera na podstawie Umowy;
    7. „EOG” oznacza Europejski Obszar Gospodarczy;
    8. „Transfer Danych poza EOG” oznacza przekazanie Danych Osobowych podlegających RODO do państwa lub terytorium poza EOG, które nie zostało uznane za odpowiednie przez Komisję UE;
    9. „Standardowe klauzule umowne EOG” oznacza standardowe klauzule umowne dotyczące przekazywania Danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 przyjętym decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. Nr C(2021) 3972, dostępnym pod adresem: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en;
    10. „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (Ogólne rozporządzenie o ochronie danych osobowych);
    11. „Zobowiązania w zakresie bezpieczeństwa informacji” oznaczają wszelkie istniejące zobowiązania w zakresie zapewnienia bezpieczeństwa informacji, które zostały dołączone do Umowy lub w inny sposób stanowią jej część;
    12. „Inny transfer danych” oznacza transfer Danych osobowych: (i) który podlega prawu państwa ograniczającego transfer Danych osobowych do innego państwa, które nie jest uznawane za odpowiednie do odbioru takich Danych Osobowych („Kraj Ograniczający”); oraz (ii) który nie jest Transferem Danych poza EOG lub Transferem Danych ze Zjednoczonego Królestwa;
    13. „Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym wszelkie informacje zdefiniowane jako „informacje umożliwiające identyfikację osoby”, „informacje osobowe”, „dane osobowe” lub terminy podobne do tych, które zostały zdefiniowane w Przepisach dotyczących ochrony danych osobowych, w zakresie, w jakim Partner przetwarza je w związku z Umową;
    14. „Przetwarzanie” oznacza jakąkolwiek czynność lub grupę czynności wykonywanych wobec Danych osobowych, w sposób zautomatyzowany lub nie, w tym zbieranie, utrwalanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub zmienianie, konsultowanie, wykorzystywanie, ujawnianie przez przesyłanie, przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie Danych osobowych;
    15. „Podmiot Przetwarzający” oznacza osobę lub podmiot, który przetwarza Dane osobowe w imieniu Administratora;
    16. „Incydent bezpieczeństwa” oznacza: (i) wszelkie poważne zakłócenia czynności Przetwarzania prowadzonych przez Partnera; (ii) wszelkie nieuprawnione pozyskanie, utratę, dostęp, wykorzystanie lub niewłaściwe wykorzystanie, utratę dostępu do Danych osobowych lub utratę możliwości korzystania z nich (w tym utratę wszelkich nośników pamięci, na których przechowywane są Dane osobowe); lub (iii) wszelkie naruszenia bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, wykorzystania lub niewłaściwego wykorzystania, nieuprawnionego ujawnienia lub dostępu do Danych osobowych;
    17. „Wrażliwe Dane osobowe” oznaczają Dane osobowe ujawniające pochodzenie rasowe lub etniczne; poglądy polityczne; przekonania religijne lub filozoficzne; przynależność do związków zawodowych; zdrowie fizyczne lub psychiczne; życie seksualne lub orientację seksualną; Przetwarzanie danych genetycznych lub danych biometrycznych w celu jednoznacznej identyfikacji osoby, której dane dotyczą; Dane osobowe dotyczące skazujących wyroków karnych i przestępstw lub powiązanych środków bezpieczeństwa; numer identyfikacyjny nadany przez rząd; dane uwierzytelniające do konta; numery kont finansowych, w tym numery kart płatniczych; dokładne dane geolokalizacyjne; treść komunikatów nieskierowanych do Partnera lub Klienta; oraz takie podzbiory Danych osobowych, które są uważane za „wrażliwe” lub wymagają zwiększonej ochrony na mocy obowiązujących przepisów o ochronie Danych osobowych;
    18. „Usługi” mają znaczenie nadane w Umowie lub, jeśli nie zostały zdefiniowane w Umowie, oznaczają produkty lub usługi świadczone nam przez Partnera na podstawie Umowy;
    19. „Podmiot podprzetwarzający” oznacza osobę lub podmiot, który Przetwarza Dane osobowe w imieniu Podmiotu Przetwarzającego;
    20. „Transfer Danych ze Zjednoczonego Królestwa” oznacza transfer Danych osobowych podlegających przepisom RODO ZK do państwa lub terytorium poza Zjednoczonym Królestwem, które nie zostało uznane za odpowiednie przez Sekretarza Stanu Zjednoczonego Królestwa;
    21. „RODO ZK” oznacza RODO w wersji stanowiącej część prawa Anglii i Walii, Szkocji i Irlandii Północnej, na mocy sekcji 3 ustawy o wystąpieniu (withdrawal) z Unii Europejskiej z 2018 r,; oraz
    22. „Dodatek ZK SCC” oznacza szablonowe uzupełnienie wydane przez brytyjskie Biuro Komisarza ds. Informacji i przedstawione Parlamentowi zgodnie z s119A Ustawy o ochronie danych z 2018 r. w dniu 2 lutego 2022 r., w wersji zmienionej zgodnie z sekcją 18, dostępne pod adresem: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. WARUNKI DLA WSZYSTKICH PARTNERÓW
  1. Niniejsza sekcja dotyczy wszystkich Partnerów.
  2. Przestrzeganie przepisów prawa. Partner będzie przestrzegał wszystkich obowiązujących Przepisów dotyczących ochrony danych i zapewni ochronę prywatności odpowiednią wobec swoich obowiązków wynikających z tych przepisów. Jeśli Partner stwierdzi, że nie może dłużej wypełniać swoich obowiązków wynikających z Przepisów dotyczących ochrony danych, powinien powiadomić o tym fakcie Klienta, wysyłając wiadomość na adres wmprivacy@warnermedia.com. Klient będzie miał prawo podjąć odpowiednie kroki w celu wyeliminowania i naprawienia wszelkich nieuprawnionych przypadków Przetwarzania Danych osobowych przez Partnera.
  3. Bezpieczeństwo. Partner wdroży i utrzyma właściwe środki techniczne i organizacyjne , odpowiednie dla ochrony Danych osobowych. Środki bezpieczeństwa wdrożone przez Partnera powinny być zaprojektowane w taki sposób, aby: (i) zapewniały poufność, dostępność i integralność Danych osobowych; (ii) chroniły przed wszelkimi przewidywanymi ryzykami i zagrożeniami dla bezpieczeństwa lub integralności Danych osobowych; oraz (iii) chroniły przed nieuprawnionym Przetwarzaniem.
  4. Komunikacja z podmiotami zewnętrznymi. W przypadku, gdy Partner otrzyma jakąkolwiek korespondencję od osoby fizycznej, organu nadzorczego, organu władzy, lub innego podmiotu zewnętrznego dotyczącą:
    1. Przetwarzania przez Partnera Danych osobowych w związku z Umową; lub
    2. Przetwarzania przez Klienta Danych osobowych,

    powinien (o ile nie jest to zabronione przez prawo) niezwłocznie powiadomić Klienta (wysyłając wiadomość na adres: wmprivacy@warnermedia.com), podając szczegółowe informacje na temat takiej korespondencji i w pełni współpracować z Klientem, w oparciu o jego uzasadnioną prośbę, w celu udzielenia odpowiedzi na taką korespondencję. Partner zobowiązuje się nie odpowiadać samodzielnie na ww. korespondencję, bez uprzedniego upoważnienia przez Klienta, chyba że obowiązek udzielenia odpowiedzi będzie wynikał z przepisów prawa.
  5. Reagowanie na wnioski i incydenty. Partner zobowiązuje się, że nie będzie, bez uzyskania uprzedniej pisemnej zgody Klienta, wskazywać nazwy Klienta (w tym nazwy jakiejkolwiek spółki zależnej lub powiązanej z Klientem) w jakichkolwiek: (i) odpowiedziach udzielonych Osobom, których dane dotyczą; (ii) publicznych informacjach odnoszących się do Przetwarzania; (iii) zawiadomieniach o Incydencie bezpieczeństwa; lub (iv) informacjach przekazywanych organowi ochrony danych lub innemu organowi nadzorczemu odnoszącemu się do Przetwarzania.
  6. Termin i postanowienia pozostające w mocy po rozwiązaniu umowy.
    1. Z zastrzeżeniem sekcji 3.6(b), postanowienia niniejszych Globalnych zobowiązań w zakresie ochrony prywatności wygasają w momencie, w którym Partner przestaje Przetwarzać Dane osobowe w związku z Umową.
    2. Niezależnie od sekcji 3.6(a), sekcje 3.4, 3.5 i 3.7 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy i niniejszych Globalnych zobowiązań w zakresie ochrony prywatności.
  7. Tłumaczenia. W przypadku sprzeczności pomiędzy angielską wersją językową niniejszych Globalnych zobowiązań w zakresie ochrony prywatności i wersją w jakimkolwiek innym języku, angielska wersja językowa będzie rozstrzygająca.
  8. Brak ograniczenia odpowiedzialności. Dla uniknięcia wątpliwości, zobowiązania stron w ramach niniejszych Globalnych zobowiązań w zakresie ochrony prywatności nie podlegają żadnym ograniczeniom lub wyłączeniom odpowiedzialności wskazanym w Umowie.
4. WARUNKI DLA PODMIOTÓW PRZETWARZAJĄCYCH
  1. Niniejsza sekcja znajduje zastosowanie w zakresie, w jakim:
    1. Partner Przetwarza jakiekolwiek Dane osobowe jako Podmiot Przetwarzający w imieniu Klienta; lub
    2. Umowa wyraźnie stwierdza, że niniejsza sekcja znajduje zastosowanie.
  2. Instrukcje. Partner będzie Przetwarzać Dane osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta (chyba, że Przetwarzanie takich Danych osobowych będzie wymagane na podstawie przepisów prawa, którym podlega Partner – w takim przypadku Partner poinformuje Klienta o wymogu prawnym przed rozpoczęciem Przetwarzania, chyba że wymóg prawny zabrania informowania Klienta o jego istnieniu). Udokumentowane instrukcje Klienta dotyczą Przetwarzania Danych osobowych: (i) w zakresie niezbędnym dla Partnera do świadczenia Usług i wykonywania innych zobowiązań wynikających z Umowy; oraz (ii) w sposób zgodny z innymi zaleceniami Klienta, przekazywanymi w formie pisemnej. Partner niezwłocznie poinformuje Klienta, jeśli w opinii Partnera polecenie lub instrukcja od Klienta narusza obowiązujące Przepisy dotyczące ochrony danych.
  3. Opis przetwarzania. Opis przetwarzania zawiera informacje na temat przedmiotu i czasu trwania Przetwarzania, jego charakteru i celu, rodzaju Danych osobowych oraz kategorii Osób, których dane dotyczą.
  4. Ograniczenie użytkowania. Partner nie będzie: (i) sprzedawać Danych osobowych ani w inny sposób ujawniać ich w zamian za środki pieniężne lub innego rodzaju wynagrodzenie; (ii) Przetwarzać Danych osobowych w jakimkolwiek celu innym niż określony cel wykonywania Usług lub cel zgodny ze wskazówkami Klienta; (iii) Przetwarzać Danych osobowych poza bezpośrednią relacją biznesową pomiędzy Partnerem a Klientem; ani (iv) łączyć Danych osobowych z danymi osobowymi otrzymanymi od innych osób lub w ich imieniu, ani zbieranych od konsumentów. Partner zaświadcza, że rozumie i będzie przestrzegał ograniczeń zawartych w niniejszej sekcji.
  5. Żądania Osób, których dane dotyczą. Partner niezwłocznie poinformuje Klienta o wszelkich żądaniach Osoby, której dane dotyczą lub korespondencji otrzymanej od takiej osoby lub przesłanej w jej imieniu, dotyczącej Danych osobowych, które Przetwarza w związku z Usługami, bez udzielania odpowiedzi takiej Osobie, której dane dotyczą, z wyjątkiem potwierdzenia otrzymania żądania lub korespondencji (chyba że inny wymóg wynika z Przepisów dotyczących ochrony danych osobowych lub instrukcji Klienta). Partner będzie wspierał Klienta w sposób niezbędny do umożliwienia mu udzielenia odpowiedzi na Żądania Osób, których dane dotyczą, w tym poprzez zapewnienie odpowiednich środków technicznych i organizacyjnych oraz wszelkich niezbędnych elementów i funkcjonalności produktu. Partner zapewni takie wsparcie niezwłocznie, najpóźniej w ciągu pięciu (5) dni od zgłoszenia prośby o wsparcie przez Osobę, której dane dotyczą lub przez Klienta. W odpowiednich przypadkach i na uzasadnione żądanie Klienta, Partner pomoże Klientowi poinformować osoby fizyczne o Przetwarzaniu Danych osobowych, w tym poprzez dostarczenie lub przekierowanie odpowiednich Osób, których dane dotyczą do polityki prywatności lub informacji zgodnej z Przepisami dotyczącymi ochrony danych. Partner utrzyma i zapewni Klientowi dostęp, w uzasadnionym zakresie, do kompletnych i dokładnych rejestrów wniosków dotyczących Osób, których dane dotyczą, w odniesieniu do których Partner udziela pomocy.
  6. Tajemnica pracownicza. Partner zapewni, że każdy z jego pracowników będzie podlegać obowiązkowi zachowania poufności w zakresie Danych osobowych.
  7. Bezpieczeństwo. Partner wdroży i utrzyma procedury i praktyki dotyczące bezpieczeństwa informacji, które zostały określone w Zobowiązaniach dotyczących bezpieczeństwa informacji.
  8. Audyt i pomoc. Niezależnie od wszelkich postanowień dotyczących audytu zawartych w Zobowiązaniach w zakresie bezpieczeństwa informacji, Partner zobowiązany jest:
    1. udzielić Klientowi takich informacji i pomocy, jakie mogą być racjonalnie wymagane w celu potwierdzenia przestrzegania przez Partnera niniejszych Globalnych zobowiązań w zakresie ochrony prywatności, w tym pomocy w przeprowadzeniu oceny rezultatów ochrony danych i konsultacji z organami ochrony danych. Partner zapewni ponadto taką pomoc, jaka jest w uzasadniony sposób niezbędna Klientowi do przestrzegania Przepisów dotyczących ochrony danych; oraz
    2. na polecenie Klienta, przedstawić swój program ochrony danych oraz urządzenia Przetwarzające Dane osobowe na potrzeby audytu pod kątem zgodności z niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności i/lub obowiązującymi Przepisami dotyczącymi ochrony danych. Audyt może być przeprowadzony przez Klienta lub osobę wyznaczoną w jego imieniu, pod warunkiem, że osoba wyznaczona zgodzi się na zawarcie umowy o poufności akceptowalnej dla Partnera. Klient powiadomi o każdym takim audycie z odpowiednim wyprzedzeniem i przeprowadzi go w normalnych godzinach pracy, bez nieuzasadnionego zakłócania działalności Partnera. W celu uniknięcia wątpliwości, postanowienie to nie będzie wymagało od Partnera zapewnienia jakiemukolwiek klientowi dostępu do informacji poufnych innych klientów Partnera.
  9. Incydenty bezpieczeństwa. W przypadku jakiegokolwiek faktycznego lub uzasadnionego podejrzenia wystąpienia Incydentu bezpieczeństwa Partner niezwłocznie, a nie później niż w ciągu czterdziestu ośmiu (48) godzin od powzięcia wiadomości o Incydencie bezpieczeństwa, poinformuje Klienta oraz infolinię WarnerMedia Security Operations Center – telefonicznie pod numerem (001) 404-827-1900 i pocztą elektroniczną, wysyłając wiadomość na adres: cybersecurity@WarnerMedia.com. Na polecenie Klienta Partner dostarczy wszelkie informacje i zapewni wsparcie w uzasadniony sposób wymagane przez Klienta, w celu zbadania, złagodzenia i zareagowania na Incydent bezpieczeństwa, w tym co najmniej wszelkie informacje i pomoc wymagane w oparciu o obowiązujące Przepisy dotyczące ochrony danych lub niezbędne Klientowi do zawiadomienia o Incydencie bezpieczeństwa. Partner zgadza się skonsultować z Klientem przed złożeniem jakichkolwiek publicznych oświadczeń dotyczących Incydentu bezpieczeństwa lub przed powiadomieniem organu ochrony danych albo Osoby, której dane dotyczą o Incydencie bezpieczeństwa. Partner będzie odpowiedzialny za pokrycie i pokryje wobec Klienta, na jego żądanie, wszelkie koszty, zobowiązania, straty, szkody i wydatki (w tym honoraria doradców prawnych) poniesione przez Klienta w wyniku lub w związku z Incydentem bezpieczeństwa mającym wpływ na Dane osobowe Przetwarzane przez Partnera, podmioty z nim powiązane, jego cesjonariuszy lub Podmioty podprzetwarzające.
  10. Podprzetwarzanie. Partner może zaangażować lub w inny sposób zezwolić Podmiotowi podprzetwarzającemu na Przetwarzanie Danych osobowych w jego imieniu, pod warunkiem, że:
    1. Partner zawrze z każdym Podmiotem podprzetwarzającym pisemne zobowiązanie, które nakłada na niego obowiązki o co najmniej takim samym poziomie ochrony, co dotyczące Partnera postanowienia niniejszych Globalnych zobowiązań w zakresie ochrony prywatności;
    2. Partner przeprowadzi analizę due diligence w celu zapewnienia, że każdy Podmiot podprzetwarzający może wykonywać czynności niezbędne do wypełnienia przez Partnera zobowiązań wynikających z dotyczących Partnera postanowień niniejszych Globalnych zobowiązań w zakresie ochrony prywatności;
    3. Partner powiadomi Klienta z wyprzedzeniem i na piśmie o każdym nowym Podmiocie podprzetwarzającym, którego Partner chce zaangażować. Klient będzie miał trzydzieści (30) dni od otrzymania takiego powiadomienia na zgłoszenie sprzeciwu wobec zaangażowania przez Partnera nowego Podmiotu podprzetwarzającego. Jeżeli Klient nie zgłosi sprzeciwu w tym terminie, Partner może zezwolić Podmiotowi podprzetwarzającemu na Przetwarzanie Danych osobowych. Jeśli Klient sprzeciwi się zaangażowaniu Podmiotu podprzetwarzającego, wówczas Partner niezwłocznie odniesie się do zastrzeżeń Klienta w ciągu dziesięciu (10) dni od ich otrzymania. Jeśli Partner nie odpowie na zastrzeżenia Klienta w sposób dla niego satysfakcjonujący w ciągu dziesięciu (10) dni, wówczas Klient ma prawo do natychmiastowego rozwiązania Umowy bez obowiązku zapłaty kar umownych, w dowolnym momencie po dostarczeniu Partnerowi pisemnego powiadomienia. Partner nie zezwoli nowemu Podmiotowi podprzetwarzającemu na Przetwarzanie Danych osobowych w ciągu: (i) trzydziestu (30) dni od przekazania powiadomienia o zamiarze skorzystania z usług nowego Podmiotu podprzetwarzającego; lub (ii) jakiegokolwiek okresu, w którym sprzeciw Klienta wobec korzystania z usług Podmiotu podprzetwarzającego nie został rozstrzygnięty w sposób satysfakcjonujący dla Klienta; oraz
    4. Partner pozostaje w pełni odpowiedzialny za wszelkie Przetwarzanie Danych osobowych dokonywane przez każdy Podmiot podprzetwarzający.
  11. Usunięcie lub zwrot. Po rozwiązaniu lub wygaśnięciu Umowy lub w oparciu o inne instrukcje Klienta, Partner zgodnie z instrukcjami Klienta: (i) zwróci Klientowi pełną kopię Danych osobowych, które Przetwarzał w związku z Umową, w formie i w sposób rozsądnie uzgodniony przez strony; oraz (ii) bezpiecznie usunie Dane osobowe (w tym wszelkie ich kopie) będące w jego posiadaniu lub pod jego kontrolą, które Przetwarzał w związku z Umową.
5. WARUNKI DLA ADMINISTRATORÓW
  1. Niniejsza sekcja znajduje zastosowanie gdy:
    1. Partner samodzielnie określa cele i sposoby przetwarzania jakichkolwiek Danych osobowych, które Przetwarza w związku z Umową; lub
    2. Umowa wyraźnie stwierdza, że niniejsza sekcja znajduje zastosowanie.
  2. Informacja o ochronie prywatności i przejrzystość. Partner posiada i utrzymuje jasną i łatwo dostępną politykę prywatności, która informuje Osoby, których dane dotyczą (których Dane osobowe Partner Przetwarza w związku z Umową) o tym, w jaki sposób Partner Przetwarza ich Dane osobowe i która jest zgodna ze wszystkimi obowiązującymi przepisami prawa.
  3. Incydenty bezpieczeństwa. Partner niezwłocznie powiadomi Klienta o każdym rzeczywistym lub uzasadnionym podejrzeniu Incydentu bezpieczeństwa mającego wpływ na Dane osobowe Przetwarzane w związku z Umową, a także niezwłocznie przekaże Klientowi informacje na temat charakteru Incydentu bezpieczeństwa, dotkniętych nim Danych osobowych oraz reakcji Partnera na incydent bezpieczeństwa i sposobów ograniczenia jego skutków.
6. TRANSFERY TRANSGRANICZNE
  1. Niniejsza sekcja znajduje zastosowanie do Partnerów w sytuacji, gdy dochodzi do Transferu Danych poza EOG, Transferu Danych ze Zjednoczonego Królestwa lub Innego transferu danych.
  2. Transfery danych (Podmiot Przetwarzający). Niniejszy ustęp znajduje zastosowanie w przypadku, gdy zastosowanie ma sekcja 4 (Warunki dla Podmiotów Przetwarzających).
    1. Przekazywanie danych poza EOG. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi Danych poza EOG, Standardowe klauzule umowne EOG stanowią część niniejszego dokumentu i należy je stosować w następujący sposób:
      1. Aplikacja. Partner będzie działał jako importer danych, a Klient jako eksporter danych;
      2. Przystąpienie. Na potrzeby klauzuli 7 z Sekcji I należy stosować klauzulę o opcjonalnym przystąpieniu („klauzula dokująca”);
      3. Moduły. Obowiązuje MODUŁ DRUGI (transfer od administratora do podmiotu przetwarzającego);
      4. Instrukcje. Dla celów wymienionych w Sekcji II, klauzuli 8.1 (moduł drugi), instrukcje dla importera danych będą instrukcjami do Przetwarzania Danych osobowych w zakresie niezbędnym do wykonywania Usług i/lub dostarczania produktów przez Partnera oraz w zakresie określonym zgodnie z Umową;
      5. Podmiot podprzetwarzający. Dla celów wymienionych w Sekcji II, klauzula 9 (moduł drugi), zastosowanie ma opcja 2 (a importer danych powiadamia eksportera danych o wszelkich zamierzonych zmianach z wyprzedzeniem trzydziestu (30) dni);
      6. Dochodzenie roszczeń. Do celów wymienionych w Klauzuli 11 z Sekcji II wariant opcjonalny nie ma zastosowania;
      7. Właściwość prawa. Dla celów wymienionych w klauzulach 17 i 18 z Sekcji IV, w zakresie dozwolonym przez obowiązujące Przepisy dotyczące ochrony danych, strony zgadzają się, że ich odpowiednie zobowiązania wynikające ze Standardowych klauzul umownych EOG podlegają prawu (przepisom) i jurysdykcji sądów Republiki Irlandii;
      8. Uzupełnienie załącznika I, część A. Załącznik I, Część A (Lista stron) uznaje się niniejszym za wypełniony: (i) danymi Klienta (jako eksportera danych); oraz (ii) danymi Partnera (jako importera danych), w każdym przypadku zgodnie z Umową;
      9. Uzupełnienie załącznika I, część B. Załącznik I, Część B (Opis transferu) Standardowych klauzul umownych EOG uznaje się niniejszym za wypełniony informacjami zawartymi w Opisie przetwarzania;
      10. Uzupełnienie załącznika I, część C. W odniesieniu do części C załącznika I (Właściwy organ nadzorczy) do Standardowych klauzul umownych EOG, w zakresie dozwolonym przez obowiązujące Przepisy dotyczące ochrony danych, strony wybierają organ ochrony danych Republiki Irlandii;
      11. Uzupełnienie załącznika II. Załącznik II do Standardowych klauzul umownych EOG (Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) uznaje się niniejszym za uzupełniony o postanowienia określone w Zobowiązaniach w zakresie bezpieczeństwa informacji; oraz
      12. Sprzeczność terminów. W przypadku jakiejkolwiek niespójności lub sprzeczności między Standardowymi klauzulami umownymi EOG a niniejszą sekcją, przepisy należy interpretować w sposób zapewniający największą ochronę Osobom, których dane dotyczą.
    2. Interpretacja Standardowych klauzul umownych EOG dla Państw Ograniczających. Jeśli ujawnienie przez Klienta Danych osobowych Partnerowi stanowi Inny transfer danych, Standardowe klauzule umowne EOG zostają włączone do niniejszego dokumentu poprzez odesłanie i mają zastosowanie w sposób określony powyżej w niniejszym punkcie sekcji 6, z tym że: (i) odesłania w Standardowych klauzulach umownych EOG do „UE”, „Unii”, „państwa członkowskiego UE” lub „państwa członkowskiego” odnoszą się zamiast tego do tego Państwa Ograniczającego; (ii) odesłania do „rozporządzenia (UE) 2016/679” lub „tego rozporządzenia” odnoszą się zamiast tego do Przepisów dotyczących ochrony danych tego Państwa Ograniczającego, a odesłania do konkretnych przepisów lub artykułów RODO zastępuje się najbliższym równoważnym przepisem lub artykułem Przespisów dotyczących ochrony danych Państwa Ograniczającego; (iii) „organ nadzorczy” odnosi się do organu ochrony danych w tym Państwie Ograniczającym; (iv) odesłania do „Klauzul” oznaczają niniejszy ustęp w wersji włączającej i modyfikującej Klauzule.
    3. Transfery Danych ze Zjednoczonego Królestwa. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi Danych ze Zjednoczonego Królestwa, Dodatek ZK SCC zostaje włączony do niniejszego dokumentu poprzez odesłanie i ma zastosowanie w następujący sposób:
      1. Uzupełnienie tabeli 1. Tabela 1 Dodatku ZK SCC jest uzupełniona o dane Klienta (jako eksportera danych) oraz dane Partnera (jako importera danych), zgodnie z postanowieniami Umowy. „Data początkowa” to data rozpoczęcia, data wejścia w życie lub równoważna data Umowy. „Kluczową osobą kontaktową” dla Klienta jest „Główny specjalista ds. prywatności” lub osoba przez niego delegowana, z którą można się skontaktować pod adresem wmprivacy@warnermedia.com. Dane „kluczowej osoby kontaktowej” dla Partnera będą okresowo przekazywane Klientowi, łącznie z jej nazwą stanowiska i adresem e-mail.
      2. Uzupełnienie tabel 2 i 3. Tabelę 2 Dodatku ZK SCC wypełnia się poprzez wybranie „Zatwierdzonych Unijnych SCC, łącznie z Informacją Dodatkową i tylko z następującymi modułami, klauzulami lub opcjonalnymi postanowieniami Zatwierdzonych Unijnych SCC wprowadzonych w życie dla celów niniejszego Dodatku”. Dla celów tabeli 2 i tabeli 3 Dodatku ZK SCC, „Zatwierdzone Unijne SCC” są wypełnione w sposób określony powyżej w niniejszym ustępie sekcji 6.
      3. Uzupełnienie tabeli 4. Tabelę 4 Dodatku ZK SCC wypełnia się poprzez wybór „żadna ze stron”.
      4. Sprzeczność terminów. W przypadku jakiejkolwiek niespójności lub sprzeczności pomiędzy Dodatkiem ZK SCC a niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności, obowiązuje Dodatek ZK SCC.
  3. Transfery danych (Administratorzy). Niniejszy ustęp znajduje zastosowanie w przypadku, gdy zastosowanie ma sekcja 5 (Warunki dla Administratorów).
    1. Transfer Danych poza EOG. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają Transferowi Danych poza EOG, Standardowe klauzule umowne EOG zostają włączone do niniejszego dokumentu przez odesłanie i należy je stosować w następujący sposób:
      1. Aplikacja. Partner będzie działał jako importer danych, a Klient jako eksporter danych;
      2. Przystąpienie. Na potrzeby klauzuli 7 z Sekcji I należy stosować klauzulę o opcjonalnym przystąpieniu („klauzula dokująca”);
      3. Moduły. Obowiązuje MODUŁ PIERWSZY (transfer od administratora do administratora);
      4. Dochodzenie roszczeń. Do celów klauzuli 11 z Sekcji II wariant opcjonalny nie ma zastosowania;
      5. Właściwość prawa. Dla celów klauzul 17 i 18 Sekcji IV w zakresie dozwolonym przez obowiązujące Prawo ochrony danych, strony zgadzają się, że ich odpowiednie zobowiązania wynikające ze Standardowych klauzul umownych EOG podlegają prawu (przepisom) i jurysdykcji sądów Republiki Irlandii;
      6. Uzupełnienie załącznika I, część A. Załącznik I, Część A (Lista stron) uzupełnia się: (i) danymi Klienta (jako eksportera danych); oraz (ii) danymi Partnera (jako importera danych), w każdym przypadku zgodnie z Umową;
      7. Uzupełnienie załącznika I, część B. Załącznik I, Część B (Opis transferu) Standardowych klauzul umownych EOG uzupełnia się informacjami zawartymi w Opisie przetwarzania;
      8. Uzupełnienie załącznika I, część C. W odniesieniu do części C załącznika I (Właściwy organ nadzorczy) do Standardowych klauzul umownych EOG, w zakresie dozwolonym przez obowiązujące Przepisy dotyczące ochrony danych, strony wybierają organ ochrony danych Republiki Irlandii;
      9. Uzupełnienie załącznika II. Załącznik II do Standardowych klauzul umownych EOG (Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) uzupełnia się o postanowienia określone w Zobowiązaniach w zakresie bezpieczeństwa informacji; oraz
      10. Sprzeczność terminów. W przypadku jakiejkolwiek niespójności lub sprzeczności między Standardowymi klauzulami umownymi EOG a niniejszą sekcją, przepisy należy interpretować w sposób zapewniający największą ochronę Osobom, których dane dotyczą.
    2. Interpretacja Standardowych klauzul umownych EOG dla Państw Ograniczających. Jeśli i w zakresie, w jakim ujawnienie przez Klienta Danych osobowych Partnerowi stanowi Inny transfer danych, Standardowe klauzule umowne EOG zostają włączone do niniejszego dokumentu poprzez odesłanie i mają zastosowanie w sposób określony powyżej w niniejszym punkcie sekcji 6, z tym że: (i) odniesienia w Standardowych klauzulach umownych EOG do „UE”, „Unii”, „państwa członkowskiego UE” lub „państwa członkowskiego” odnoszą się do Kraju Ograniczającego; (ii) odesłania do „rozporządzenia (UE) 2016/679” lub „tego rozporządzenia” odnoszą się do Przepisów dotyczących ochrony danych tego Państwa Ograniczającego, a odesłania do konkretnych przepisów lub artykułów RODO zastępuje się najbliższym równoważnym przepisem lub artykułem Przepisów dotyczących ochrony danych Państwa Ograniczającego; (iii) „organ nadzorczy” odnosi się do organu ochrony danych w tym Państwie Ograniczającym; (iv) odesłania do „Klauzul” oznaczają niniejszy ustęp w wersji włączającej i modyfikującej Klauzule.
    3. Transfery Danych ze Zjednoczonego Królestwa. Jeżeli i w zakresie, w jakim Dane osobowe Przetwarzane przez Partnera podlegają transferowi danych z Zjednoczonego Królestwa, Dodatek ZK SCC zostaje włączony do niniejszego dokumentu poprzez odesłanie i należy go stosować w następujący sposób:
      1. Uzupełnienie tabeli 1. Tabela 1 Dodatku ZK SCC jest uzupełniona o dane Klienta (jako eksportera danych) oraz dane Partnera (jako importera danych), zgodnie z postanowieniami Umowy. „Data początkowa” to data rozpoczęcia, data wejścia w życie lub równoważna data Umowy. „Kluczową osobą kontaktową” dla Klienta jest „Główny specjalista ds. prywatności” lub osoba przez niego delegowana, z którą można się skontaktować pod adresem wmprivacy@warnermedia.com. Dane „kluczowej osoby kontaktowej” dla Partnera będą okresowo przekazywane Klientowi, łącznie z jej nazwą stanowiska i adresem e-mail.
      2. Uzupełnienie tabel 2 i 3. Tabelę 2 Dodatku ZK SCC wypełnia się poprzez wybranie „Zatwierdzonego Unijnego SCC, łącznie z Informacją Dodatkową i tylko z następującymi modułami, klauzulami lub opcjonalnymi postanowieniami Zatwierdzonych Unijnych SCC wprowadzonych w życie dla celów niniejszego Dodatku”. Dla celów tabeli 2 i tabeli 3 Dodatku ZK SCC, „Zatwierdzone Unijne SCC” wypełnia się w sposób określony powyżej w niniejszym ustępie sekcji 6.
      3. Uzupełnienie tabeli 4. Tabelę 4 Dodatku ZK SCC wypełnia się poprzez wybór „żadna ze stron”.
      4. Konflikt terminów. W przypadku jakiejkolwiek niezgodności lub konfliktu pomiędzy Dodatkiem ZK SCC a niniejszym paragrafem, obowiązuje Dodatek ZK SCC.
  4. Dodatkowe przepisy o transferze transgranicznym. Niniejszy ustęp znajduje zastosowanie, jeżeli Dane osobowe Przetwarzane przez Partnera są przedmiotem Transferu Danych poza EOG, Transferu Danych ze Zjednoczonego Królestwa lub Innego transferu danych (i w zakresie zależnym od rodzaju transferu).
    Środki uzupełniające
    1. Strony przyjmują do wiadomości i zgadzają się, że wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 wyjaśnia, że środki uzupełniające mogą być konieczne, aby zapewnić, że Dane osobowe, które są przedmiotem Transferu Danych poza EOG lub Transferu Danych ze Zjednoczonego Królestwa, mają zapewniony poziom ochrony co do zasady równy poziomowi ochrony, którą otrzymują, gdy są Przetwarzane na terytorium ich pochodzenia (obok zabezpieczeń zawartych w Standardowych klauzulach umownych EOG). W związku z tym strony uzgodniły środki określone w sekcji 6.4 lit. b)-g) poniżej jako środki uzupełniające, mające pomóc w zapewnieniu takiej równoważności ochrony Danych osobowych.
    2. Jeżeli Partner dowie się o wniosku lub żądaniu ze strony organów ścigania, organów nadzorczych, sądowych lub rządowych („Organ”) o uzyskanie dostępu lub kopii niektórych lub wszystkich Danych osobowych Przetwarzanych w związku z Umową, niezależnie od tego, czy ma to być działanie dobrowolne czy obowiązkowe, Partner:
      1. niezwłocznie powiadomi Klienta o takim żądaniu Organu;
      2. w przypadku gdy zastosowanie ma sekcja 4 (Warunki dla Podmiotów Przetwarzających), poinformuje Organ, że Partner jest Podmiotem Przetwarzającym Dane osobowe i że Klient nie upoważnił go do ujawnienia takich Danych osobowych Organowi;
      3. poinformuje Organ, że wszelkie wnioski lub żądania dostępu do takich Danych osobowych powinny być zgłaszane Klientowi (jako Administratorowi) lub doręczane mu na piśmie; oraz
      4. z zastrzeżeniem sekcji 6.4(c), nie zapewni Organowi dostępu do takich Danych osobowych, chyba że uzyska pisemne upoważnienie od Klienta (wówczas dostęp zostanie zapewniony na czas obowiązywania upoważnienia).
    3. Niezależnie od postanowień sekcji 6.4(b)(iv), Partner może, bez uprzedniego pisemnego upoważnienia Klienta, ujawnić Organom Dane osobowe po otrzymaniu wniosku lub żądania od takiego Organu, pod warunkiem, że (o ile nie jest to zabronione przez przepisy prawa):
      1. Partner powiadomi Klienta, z odpowiednim wyprzedzeniem, o takim wniosku lub żądaniu, aby dać Klientowi odpowiednią możliwość wniesienia sprzeciwu lub ubiegania się o nakaz ochrony lub inne odpowiednie środki zaradcze;
      2. Partner w rozsądny sposób będzie współpracować z Klientem, na koszt Klienta, aby Klient mógł sprzeciwić się lub ubiegać się o nakaz ochrony lub inne odpowiednie środki zaradcze; oraz
      3. Partner w każdym przypadku ujawni tylko tę część Danych osobowych, do której ujawnienia jest prawnie zobowiązany.
    4. Ujawniając Dane osobowe Organowi Partner ujawni je tylko w zakresie, w jakim jest do tego prawnie zobowiązany i tylko zgodnie z obowiązującymi przepisami.
    5. Partner nie będzie świadomie ujawniać Danych osobowych w sposób masowy lub powszechny, wykraczający poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie.
    6. Partner wdroży pisemną politykę dotyczącą żądań Organów dotyczących wydania Danych osobowych oraz będzie ją utrzymywał i jej przestrzegał. Polityka taka powinna zabraniać co najmniej:
      1. masowego lub powszechnego ujawniania Danych osobowych Osób, których dane dotyczą w Europie; oraz
      2. ujawniania Organowi Danych osobowych Osób, których dane dotyczą w Europie bez nakazu, pisma, dekretu, wezwania lub innego prawnie wiążącego zobowiązania, które zmusza do ujawnienia takich Danych osobowych.
    7. Partner będzie wprowadzał i utrzymywał, zgodnie z dobrą praktyką przyjętą w branży, środki chroniące Dane osobowe przed ich przejęciem (w tym w trakcie przekazywania Danych osobowych przez Klienta do Partnera oraz pomiędzy różnymi systemami i usługami). Powyższe obejmuje wprowadzanie i utrzymywanie ochrony sieci w celu uniemożliwienia atakującym przejęcia danych oraz szyfrowanie danych podczas ich przesyłania w celu uniemożliwienia atakującym odczytywania danych.
      Dodatkowe przepisy dotyczące przekazywania danych
    8. Partner zgadza się w dobrej wierze współpracować w celu wdrażania dodatkowych dokumentów i stosowania dodatkowych zabezpieczeń lub ograniczenia Przetwarzania do pewnych terytoriów, co Klient może uznać za konieczne w celu przeprowadzenia Transferów Danych poza EOG, Transferu ze Zjednoczonego Królestwa lub Innego transferu danych (odpowiednio).
    9. Jeżeli Partner będzie w dowolnym momencie Przetwarzać Dane osobowe pochodzące z państwa, które ogranicza przekazywanie Danych osobowych do innej jurysdykcji nieuznanej za odpowiednią do odbioru takich Danych osobowych, wówczas Partner, na polecenie Klienta:
      1. podejmie wszelkie niezbędne działania i zawrze umowy, jakie mogą być konieczne na mocy obowiązujących Przepisów dotyczących ochrony danych w takim kraju, aby Przetwarzanie było zgodne z prawem; oraz
      2. zapewni odpowiedni poziom ochrony Danych osobowych Klienta.
    10. W przypadku, gdy jakikolwiek właściwy organ ochrony danych uzna, że mechanizm transferu danych, na którym opierają się strony, jest nieważny, lub jakikolwiek właściwy organ ochrony danych lub obowiązujące prawo wymaga zawieszenia lub ograniczenia transferu Danych osobowych do określonej jurysdykcji, wówczas Klient może, według własnego uznania, zażądać od Partnera zaprzestania Przetwarzania Danych osobowych, a Partner będzie w dobrej wierze współpracować z Klientem w celu ułatwienia wykorzystania alternatywnego mechanizmu transferu danych, wdrożenia dodatkowych dokumentów, zastosowania dodatkowych zabezpieczeń lub ograniczenia Przetwarzania do określonych jurysdykcji.
7. ODPOWIEDZIALNOŚĆ
  1. Niniejsza sekcja dotyczy wszystkich Partnerów.
  2. Oprócz wszelkich zobowiązań odszkodowawczych Partnera określonych w Umowie, Partner będzie bronił, zabezpieczał i zwalniał Klienta z wszelkich roszczeń osób trzecich, działań, kosztów, zobowiązań, strat, szkód i wydatków (w tym honorariów doradców prawnych) poniesionych przez Klienta i wynikających z lub powiązanych z (i) Incydentem bezpieczeństwa; lub (ii) naruszeniem niniejszego Dodatku przez Partnera lub podmioty powiązane z Partnerem, Podmioty podprzetwarzające (w tym Podmioty podprzetwarzające wyznaczone przez podmioty powiązane z Partnerem) i cesjonariuszy, w tym bez ograniczeń roszczenia lub działania organu ochrony danych lub Osoby, której dane dotyczą.
POWRÓT