view in:

GLOBALNE ZOBOWIĄZANIA W ZAKRESIE OCHRONY PRYWATNOŚCI

OSTATNIA AKTUALIZACJA: 24 sierpnia 2023
1. WSTĘP
  1. Niniejsze Globalne zobowiązania w zakresie ochrony prywatności („Globalne zobowiązania w zakresie ochrony prywatności”) określają pewne zobowiązania w zakresie ochrony danych, których spełnienia oczekujemy od naszych sprzedawców i innych partnerów (zwanych łącznie „Partnerami”) w związku z dostarczaniem przez nich produktów i usług na naszą rzecz. Niniejsze Globalne zobowiązania w zakresie ochrony prywatności są uzupełnieniem i stanowią część każdej umowy, którą zawieramy z naszymi Partnerami, do której niniejsze Globalne zobowiązania dotyczące ochrony prywatności zostały włączone („Umowa”).
  2. W zależności od naszej relacji z Partnerem zastosowanie mają różne części niniejszych Globalnych zobowiązań w zakresie ochrony prywatności. Każda sekcja określa, kiedy ma zastosowanie.
2. DEFINICJE
  1. Niniejsza sekcja dotyczy wszystkich Partnerów.
  2. Dla celów niniejszych Globalnych zobowiązań w zakresie ochrony prywatności, poniższe terminy mają następujące znaczenie:
    1. „Administrator” oznacza osobę lub podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
    2. „Klient”, „my”, „nas” i „nasz” oznaczają: (i) Warner Bros. Podmiot Discovery określony w Umowie i będący jej stroną; oraz (ii) wszelkie podmioty stowarzyszone lub zależne, które kontrolują, są kontrolowane przez lub znajdują się pod wspólną kontrolą z Warner Bros. Podmiot Discovery wskazany w Umowie;
    3. „Prawo ochrony danych” oznacza każdą federalną, stanową, prowincjonalną, lokalną, gminną, zagraniczną, międzynarodową, wielonarodową lub inną konstytucję, ustawę, statut, traktat, zasadę, rozporządzenie, zarządzenie, kodeks oraz wytyczne wydane przez organy regulacyjne właściwe do interpretacji lub egzekwowania tychże, odnoszące się do przetwarzania danych osobowych, prywatności, ochrony danych (ochrony danych osobowych) lub cyberbezpieczeństwa, z ewentualnymi zmianami od czasu do czasu;
    4. „Osoba, której dane dotyczą” oznacza osobę fizyczną, której dotyczą dane osobowe;
    5. „Żądanie osoby, której dane dotyczą” oznacza żądanie osoby, której dane dotyczą dotyczące informacji o danych, dostępu do nich, ich sprostowania, usunięcia, ograniczenia, możliwości przenoszenia, sprzeciwu, zakazu sprzedaży, usunięcia i wszelkie inne podobne żądania;
    6. „Opis przetwarzania” oznacza opis sposobu przetwarzania danych osobowych przez Partnera na podstawie Umowy;
    7. „EOG” oznacza Europejski Obszar Gospodarczy;
    8. „Transfer danych z EOG” oznacza przekazanie danych osobowych: (a) podlegających RODO; (b) do odbiorcy w kraju lub na terytorium poza EOG; (c) które to kraj lub terytorium nie są uznane przez Komisję UE za zapewniające odpowiedni poziom ochrony danych;
    9. „Standardowe klauzule umowne EOG” oznaczają standardowe klauzule umowne dotyczące przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 przyjętym decyzją Komisji Europejskiej z dnia 4 czerwca 2021 r. nr C(2021) 3972, dostępnym pod adresem https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= en;
    10. „RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku (Ogólne rozporządzenie o ochronie danych);
    11. „Zobowiązania w zakresie bezpieczeństwa informacji” oznaczają wszelkie obowiązujące zobowiązania w zakresie bezpieczeństwa informacji, które są dołączone do Umowy lub w inny sposób stanowią jej część;
    12. „Inny transfer danych” oznacza transfer danych osobowych: (i) który podlega prawu kraju, który ogranicza transfer danych osobowych do innego kraju, który nie jest uznawany za odpowiedni do odbioru takich danych osobowych („Kraj ograniczający”); oraz (ii) który nie jest Transferem danych w EOG lub Transferem danych w obrębie Wielkiej Brytanii;
    13. „Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym wszelkie informacje zdefiniowane jako „informacje umożliwiające identyfikację osoby”, „informacje osobowe”, „dane osobowe” lub podobne terminy, jak te terminy są zdefiniowane w przepisach o ochronie danych osobowych, ograniczone do tych danych osobowych, które Partner przetwarza w związku z Umową;
    14. „Przetwarzanie" oznacza jakąkolwiek operację lub zestaw operacji wykonywanych na danych osobowych, w sposób zautomatyzowany lub nie, w tym zbieranie, utrwalanie, organizowanie, strukturyzowanie, przechowywanie, dostosowywanie lub zmienianie, konsultowanie, wykorzystywanie, ujawnianie przez przesyłanie, przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych;
    15. „Przetwarzający” oznacza osobę lub podmiot, który przetwarza dane osobowe w imieniu Administratora;
    16. „Incydent bezpieczeństwa” oznacza: (i) wszelkie poważne zakłócenia operacji przetwarzania prowadzonych przez Partnera; (ii) wszelkie nieuprawnione pozyskanie, utratę, dostęp, wykorzystanie lub niewłaściwe wykorzystanie, utratę dostępu do danych osobowych lub utratę możliwości korzystania z nich (w tym utratę wszelkich nośników pamięci, na których przechowywane są dane osobowe); lub (iii) wszelkie naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, wykorzystania lub niewłaściwego wykorzystania, nieuprawnionego ujawnienia lub dostępu do danych osobowych;
    17. „Wrażliwe dane osobowe" oznaczają dane osobowe ujawniające pochodzenie rasowe lub etniczne; poglądy polityczne; przekonania religijne lub filozoficzne; przynależność do związków zawodowych; zdrowie fizyczne lub psychiczne; życie seksualne lub orientację seksualną; przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznej identyfikacji osoby, której dane dotyczą; dane osobowe dotyczące wyroków karnych i przestępstw lub powiązanych środków bezpieczeństwa; numer identyfikacyjny nadany przez rząd; dane uwierzytelniające do konta; numery kont finansowych, w tym numery kart płatniczych; dokładne dane geolokalizacyjne; treść komunikatów nieskierowanych do Partnera lub Klienta; oraz takie podzbiory danych osobowych, które są uważane za „wrażliwe” lub wymagają zwiększonej ochrony na mocy obowiązujących przepisów o ochronie danych osobowych;
    18. „Usługi” mają znaczenie nadane w Umowie lub, jeśli nie zostały zdefiniowane w Umowie, oznaczają produkty lub usługi świadczone przez Partnera na naszą rzecz na podstawie Umowy;
    19. „Podprzetwarzający” oznacza osobę lub podmiot, który przetwarza dane osobowe w imieniu Przetwarzającego;
    20. „Transfer Danych z Wielkiej Brytanii” oznacza przekazanie danych osobowych: (a) podlegających RODO Wielkiej Brytanii; (b) do odbiorcy w kraju lub na terytorium poza Wielką Brytanią; oraz (c) które to kraj lub terytorium nie podlega decyzji Sekretarza Stanu Wielkiej Brytanii stwierdzającej odpowiedni poziom ochrony danych;
    21. „RODO Wielkiej Brytanii” oznacza RODO w wersji stanowiącej część prawa Anglii i Walii, Szkocji i Irlandii Północnej na mocy sekcji 3 ustawy o wystąpieniu (withdrawal) z Unii Europejskiej z 2018 r.; oraz
    22. „Dodatek UK do SCC” oznacza szablonowe uzupełnienie wydane przez brytyjskie Biuro Komisarza ds. Informacji i przedstawione Parlamentowi zgodnie z s119A Ustawy o ochronie danych z 2018 r. w dniu 2 lutego 2022 r., w wersji zmienionej zgodnie z sekcją 18, dostępne pod adresem https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. WARUNKI DLA WSZYSTKICH PARTNERÓW
  1. Niniejsza sekcja dotyczy wszystkich Partnerów.
  2. Zgodność z prawem. Partner będzie przestrzegał wszystkich obowiązujących przepisów dotyczących ochrony danych osobowych i zapewni ochronę prywatności odpowiednią do swoich obowiązków wynikających z tych przepisów. Jeśli Partner stwierdzi, że nie może dłużej spełniać swoich obowiązków wynikających z Ustawy o ochronie danych, powiadomi o tym Klienta na adres wbdprivacy@wbd.com. Klient będzie miał prawo podjąć odpowiednie kroki w celu wyeliminowania i naprawienia wszelkich nieuprawnionych przypadków przetwarzania danych osobowych przez Partnera.
  3. Bezpieczeństwo. Partner wdroży i utrzyma środki techniczne i organizacyjne właściwe i odpowiednie do ochrony danych osobowych. Środki bezpieczeństwa Partnera powinny być zaprojektowane w taki sposób, aby: (i) zapewniały poufności, dostępność i integralności danych osobowych; (ii) ochrony przed wszelkimi przewidywanymi zagrożeniami lub niebezpieczeństwami dla bezpieczeństwa lub integralności danych osobowych; oraz (iii) ochrony przed nieuprawnionym przetwarzaniem.
  4. Komunikacja z podmiotami zewnętrznymi. W przypadku, gdy Partner otrzyma jakiekolwiek korespondencję od osoby fizycznej, regulatora, organu rządowego lub innego podmiotu zewnętrznego dotyczącą:
    1. przetwarzania przez Partnera danych osobowych w związku z Umową; lub
    2. przetwarzania przez Klienta danych osobowych,

    Partner (o ile nie jest to zabronione przez prawo) niezwłocznie powiadomi Klienta (na adres wbdprivacy@wbd.com), podając pełne szczegóły takiej korespondencji i podejmie wszelką współpracę, o którą zasadnie poprosi Klient, aby odpowiedzieć na nią. Partner nie będzie odpowiadał na taką korespondencję bezpośrednio bez uprzedniego upoważnienia Klienta, chyba że zostanie do tego zmuszony przez prawo.
  5. Reakcja na zgłoszenia i incydenty. Partner nie będzie, bez uzyskania uprzedniej pisemnej zgody Klienta, wymieniać nazwy Klienta (w tym jakiejkolwiek spółki zależnej lub stowarzyszonej z Klientem) w jakiejkolwiek: (i) odpowiedzi dla osoby, której dane dotyczą; (ii) publicznym ujawnieniu odnoszącym się do przetwarzania; (iii) zawiadomieniu o incydencie bezpieczeństwa; lub (iv) ujawnieniu organowi ochrony danych lub innemu organowi prawnemu odnoszącemu się do przetwarzania.
  6. Termin i postanowienia zachowujące moc obowiązującą po rozwiązaniu umowy.
    1. Postanowienia niniejszych Globalnych zobowiązań w zakresie ochrony prywatności wygasną, gdy Partner przestanie przetwarzać dane osobowe w związku z Umową.
    2. Niezależnie od odmiennych postanowień niniejszej sekcji 3 (Warunki dla wszystkich Partnerów), sekcje 3.4, 3.5, 3.8 i 7 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy i niniejszych Globalnych zobowiązań w zakresie ochrony prywatności.
  7. Tłumaczenia. W przypadku konfliktu pomiędzy angielską wersją językową niniejszych Globalnych zobowiązań w zakresie ochrony prywatności a inną wersją w jakimkolwiek innym języku, angielska wersja językowa będzie rozstrzygająca.
  8. Brak ograniczenia odpowiedzialności. Dla uniknięcia wątpliwości, zobowiązania stron w ramach niniejszych Globalnych zobowiązań w zakresie ochrony prywatności nie podlegają żadnym ograniczeniom lub wyłączeniom odpowiedzialności zawartym w Umowie.
  9. Brak partnerstwa. Żadne z postanowień niniejszych Globalnych zobowiązań w zakresie ochrony prywatności nie będzie uważane za tworzące stosunek pracy, joint venture, agencję lub partnerstwo między stronami, a żadna ze stron nie jest upoważniona ani nie będzie działać wobec jakiejkolwiek strony trzeciej, podmiotu indywidualnego lub opinii publicznej w jakikolwiek sposób, który wskazywałby na taki stosunek wobec drugiej strony.
4. WARUNKI DLA PRZETWARZAJĄCYCH
  1. Niniejsza sekcja ma zastosowanie w następującym zakresie:
    1. Partner przetwarza jakiekolwiek dane osobowe jako Przetwarzający w imieniu Klienta; lub
    2. Umowa wyraźnie stwierdza, że niniejsza sekcja ma zastosowanie.
  2. Instrukcje. Partner będzie przetwarzać dane osobowe wyłącznie zgodnie z udokumentowanymi instrukcjami Klienta (chyba, że przetwarzanie takich danych osobowych będzie wymagane zgodnie z wymogiem prawnym, któremu podlega Partner, w którym to przypadku Partner poinformuje Klienta o wymogu prawnym przed rozpoczęciem takiego przetwarzania, chyba, że wymóg prawny zabrania informowania o tym Klienta). Udokumentowane instrukcje Klienta dotyczą przetwarzania danych osobowych: (i) w zakresie niezbędnym dla Partnera do świadczenia usług i wykonywania innych zobowiązań wynikających z Umowy; oraz (ii) zgodnie z innymi zaleceniami Klienta na piśmie od czasu do czasu. Partner niezwłocznie poinformuje Klienta, jeśli w opinii Partnera polecenie lub instrukcja od Klienta narusza obowiązujące prawo o ochronie danych osobowych.
  3. Opis przetwarzania. Opis przedmiotu i czasu trwania przetwarzania, jego charakter i cel, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, określa opis przetwarzania.
  4. Ograniczenie użytkowania. Partner nie będzie: (i) sprzedawać danych osobowych ani w inny sposób ujawniać ich w zamian za pieniądze lub inne wartościowe wynagrodzenie; (ii) przetwarzać danych osobowych w jakimkolwiek celu innym niż określony cel wykonywania usług lub zgodnie ze wskazówkami Klienta; (iii) przetwarzać danych osobowych poza bezpośrednią relacją biznesową pomiędzy Partnerem a Klientem; ani (iv) łączyć danych osobowych z danymi osobowymi otrzymanymi od innych osób lub w ich imieniu, ani zbierać ich od konsumentów. Partner zaświadcza, że rozumie i będzie przestrzegał ograniczeń zawartych w niniejszej sekcji.
  5. Żądania osób, których dane dotyczą. Partner niezwłocznie poinformuje Klienta o wszelkich żądaniach osoby, której dane dotyczą lub korespondencji od takiej osoby lub przesłanej w jej imieniu, które przetwarza w związku z usługami, nie odpowiadając osobie, której dane dotyczą z wyjątkiem potwierdzenia otrzymania żądania lub korespondencji od osoby, której dane dotyczą (chyba że prawo o ochronie danych osobowych lub instrukcje Klienta wymagają inaczej). Partner będzie pomagał Klientowi w sposób niezbędny do umożliwienia mu odpowiedzi na żądania osób, których dane dotyczą, w tym poprzez zapewnienie odpowiednich środków technicznych i organizacyjnych oraz wszelkich niezbędnych cech i funkcjonalności produktu. Partner zapewni taką pomoc niezwłocznie, a w każdym razie w ciągu pięciu (5) dni od zgłoszenia prośby o pomoc przez osobę, której dane dotyczą lub Klienta. W odpowiednich przypadkach i na uzasadnione żądanie Klienta, Partner pomoże Klientowi poinformować osoby fizyczne o przetwarzaniu danych osobowych, w tym poprzez dostarczenie lub skierowanie odpowiednich osób, których dane dotyczą do polityki prywatności lub zawiadomienia zgodnego z przepisami o ochronie danych osobowych. Partner zachowuje i zapewnia Klientowi rozsądny dostęp do kompletnych i dokładnych rejestrów wniosków dotyczących Podmiotów Danych, w odniesieniu do których Partner udziela pomocy.
  6. Tajemnica osobowa. Partner zapewni, że każdy z jego pracowników podlega obowiązkowi zachowania poufności dotyczącemu danych osobowych.
  7. Bezpieczeństwo. Partner wdroży i utrzyma te procedury i praktyki dotyczące bezpieczeństwa informacji, które zostały określone w Zobowiązaniach dotyczących bezpieczeństwa informacji.
  8. Audyt i pomoc. Niezależnie od wszelkich postanowień dotyczących audytu zawartych w Zobowiązaniach w zakresie bezpieczeństwa informacji, Partner zobowiązany jest:
    1. udzielić Klientowi takich informacji i pomocy, jakie mogą być racjonalnie wymagane w celu potwierdzenia zgodności Partnera z niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności, w tym pomocy w przeprowadzeniu oceny wpływu ochrony danych i konsultacji z organami ochrony danych. Partner zapewni ponadto taką pomoc, jaka jest w uzasadniony sposób niezbędna Klientowi do przestrzegania przepisów o ochronie danych osobowych; oraz
    2. na polecenie Klienta, przedstawi swój program ochrony danych oraz urządzenia przetwarzające dane osobowe do audytu pod kątem zgodności z niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności i/lub obowiązującymi przepisami dotyczącymi ochrony danych. Audyt może być przeprowadzony przez Klienta, lub delegata wyznaczonego w jego imieniu, pod warunkiem, że delegat zgodzi się na umowę o poufności akceptowaną przez Partnera. Klient powiadomi o tym z odpowiednim wyprzedzeniem i przeprowadzi każdy taki audyt w normalnych godzinach pracy, bez nieuzasadnionego zakłócania działalności Partnera. W celu uniknięcia wątpliwości, postanowienie to nie będzie wymagało od Partnera zapewnienia jakiemukolwiek Klientowi dostępu do informacji poufnych innych Klientów Partnera.
  9. Incydenty naruszenia bezpieczeństwa. Partner niezwłocznie, a w żadnym wypadku nie później niż w ciągu czterdziestu ośmiu (48) godzin od powzięcia wiadomości, poinformuje Klienta pocztą elektroniczną na adres cybersecurity@wbd.com w przypadku jakiegokolwiek faktycznego lub uzasadnionego podejrzenia incydentu naruszenia bezpieczeństwa. Na polecenie Klienta Partner dostarczy wszelkie informacje i pomoc zasadnie wymagane przez Klienta w celu zbadania, złagodzenia i zareagowania na incydent bezpieczeństwa, w tym co najmniej wszelkie informacje lub pomoc wymagane przez obowiązującą Ustawę o ochronie danych lub niezbędne Klientowi do dostarczenia wszelkich powiadomień o incydencie bezpieczeństwa. Partner zgadza się skonsultować z Klientem przed złożeniem jakichkolwiek publicznych oświadczeń lub powiadomieniem organu ochrony danych lub osoby, której dane dotyczą w związku z incydentem bezpieczeństwa. Partner będzie odpowiedzialny za, i zapłaci Klientowi na żądanie, za wszelkie koszty, zobowiązania, straty, szkody i wydatki (w tym honoraria adwokackie) poniesione przez Klienta w wyniku lub w związku z incydentem bezpieczeństwa mającym wpływ na dane osobowe przetwarzane przez Partnera, jego partnerów, cesjonariuszy lub podprzetwarzających.
  10. Podprzetwarzanie. Partner może zaangażować lub w inny sposób zezwolić podprzetwarzającemu na przetwarzanie danych osobowych w jego imieniu, pod warunkiem, że:
    1. zawsze z każdym podprzetwarzającym pisemne zobowiązanie, które nakłada na niego obowiązki o co najmniej takim samym poziomie ochrony co dotyczące Partnera zapisy niniejszego Globalnego zobowiązania w zakresie prywatności;
    2. przeprowadzi analizę due diligence w celu zapewnienia, że każdy podprzetwarzający może wykonywać czynności niezbędne do wypełnienia przez Partnera zobowiązań wynikających z dotyczących Partnera postanowień niniejszych Globalnych zobowiązań w zakresie prywatności;
    3. powiadamia Klienta z wyprzedzeniem i na piśmie o każdym nowym podprzetwarzającym, którego Partner proponuje zaangażować. Klient będzie miał trzydzieści (30) dni od otrzymania takiego powiadomienia na zgłoszenie sprzeciwu wobec zaangażowania przez Partnera nowego podprzetwarzającego. Jeżeli Klient nie zgłosi sprzeciwu w tym terminie, Partner może zezwolić podprzetwarzającemu na przetwarzanie danych osobowych. Jeśli Klient sprzeciwi się wykorzystaniu przez podprzetwarzającego, wówczas Partner niezwłocznie odniesie się do zastrzeżeń Klienta w ciągu dziesięciu (10) dni od ich otrzymania. Jeśli Partner nie może rozwiązać problemu zastrzeżeń Klienta w sposób dla niego satysfakcjonujący w ciągu tych dziesięciu (10) dni, wówczas Klient ma prawo do natychmiastowego rozwiązania Umowy bez ponoszenia kar w dowolnym momencie po dostarczeniu Partnerowi pisemnego powiadomienia. Partner nie zezwoli nowemu podprzetwarzającemu na przetwarzanie danych osobowych w ciągu: (i) trzydziestu (30) dni od przekazania powiadomienia o zamiarze skorzystania z usług nowego podprzetwarzającego; lub (ii) jakiegokolwiek okresu, w którym sprzeciw Klienta wobec korzystania z usług podprzetwarzającego nie został rozstrzygnięty w sposób satysfakcjonujący Klienta; oraz
    4. pozostaje w pełni odpowiedzialny za wszelkie przetwarzanie danych osobowych dokonywane przez każdego podprzetwarzającego.
  11. Zbycie lub zwrot. Po rozwiązaniu lub wygaśnięciu Umowy lub zgodnie z innymi instrukcjami Klienta, Partner zgodnie z instrukcjami Klienta: (i) zwróci Klientowi (lub stronie trzeciej wskazanej przez Klienta) pełną kopię danych osobowych, które przetwarzał w związku z Umową, w formie i formacie rozsądnie uzgodnionym przez strony; oraz (ii) bezpiecznie pozbędzie się danych osobowych (w tym wszystkich kopii) w swoim posiadaniu lub pod swoją kontrolą, które przetwarzał w związku z Umową.
5. WARUNKI DLA ADMINISTRATORÓW
  1. Niniejsza sekcja ma zastosowanie w następującym zakresie:
    1. Partner samodzielnie określa cele i sposoby przetwarzania wszelkich danych osobowych, które przetwarza w związku z Umową; lub
    2. Umowa wyraźnie stwierdza, że niniejsza sekcja ma zastosowanie.
  2. Powiadomienie i przejrzystość. Partner posiada i utrzymuje jasną i dostępną w widocznym miejscu politykę prywatności, która informuje osoby, których dane dotyczą (których dane osobowe Partner przetwarza w związku z Umową) o tym, w jaki sposób Partner przetwarza ich dane osobowe i która jest zgodna ze wszystkimi obowiązującymi przepisami prawa.
  3. Incydenty naruszenia bezpieczeństwa. Partner niezwłocznie powiadomi odpowiedniego Klienta o każdym rzeczywistym lub uzasadnionym podejrzeniu incydentu bezpieczeństwa mającego wpływ na dane osobowe przetwarzane w związku z Umową, a także niezwłocznie przekaże Klientowi informacje na temat charakteru incydentu bezpieczeństwa, dotkniętych nim danych osobowych oraz reakcji Partnera na incydent bezpieczeństwa i sposoby jego złagodzenia.
  4. Zachowanie poufności. Partner zapewni, że każdy z jego pracowników podlega obowiązkowi zachowania poufności dotyczącemu danych osobowych.
6. TRANSFERY TRANSGRANICZNE
  1. Niniejsza sekcja ma zastosowanie do Partnerów, gdy dochodzi do transferu danych EOG, transferu danych w obrębie Wielkiej Brytanii lub innego transferu danych.
  2. Transfery danych (przetwarzający). Niniejszy ustęp ma zastosowanie w przypadku, gdy zastosowanie ma sekcja 4 (Warunki dla przetwarzających).
    1. Przekazywanie danych z EOG. Jeżeli i w zakresie, w jakim dane osobowe przetwarzane przez Partnera podlegają transferowi danych z EOG, standardowe klauzule umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie w następujący sposób:
      1. Aplikacja. Partner będzie działał jako importer danych, a Klient jako eksporter danych;
      2. Dokowanie. Do celów klauzuli 7 z sekcji I stosuje się klauzulę o opcjonalnym dokowaniu;
      3. Moduły. Obowiązuje MODUŁ DWA (transfer z administratora do przetwarzającego);
      4. Instrukcje. Dla celów sekcji II, klauzuli 8.1 (moduł drugi), instrukcje dla importera danych będą instrukcjami do przetwarzania danych osobowych w zakresie niezbędnym do wykonywania usług i/lub dostarczania produktów przez Partnera oraz w zakresie określonym zgodnie z Umową;
      5. Podprzetwarzający. Dla celów sekcji II, klauzula 9 (moduł drugi), zastosowanie ma opcja 2 (a importer danych powiadamia eksportera danych o wszelkich zamierzonych zmianach z wyprzedzeniem trzydziestu (30) dni);
      6. Zadośćuczynienie. Do celów klauzuli 11 z sekcji II język opcjonalny nie ma zastosowania;
      7. Właściwość prawa. Dla celów sekcji IV, klauzule 17 i 18, w zakresie dozwolonym przez obowiązujące prawo o ochronie danych, strony zgadzają się, że ich odpowiednie zobowiązania wynikające ze Standardowych Klauzul Umownych EOG podlegają prawu (prawom) i jurysdykcji sądów Republiki Irlandii;
      8. Uzupełnienie załącznika I, część A. Załącznik I, Część A (Lista stron) uznaje się niniejszym za wypełniony: (i) danymi Klienta (jako eksportera danych); oraz (ii) danymi Partnera (jako importera danych), w każdym przypadku zgodnie z Umową;
      9. Uzupełnienie załącznika I, część B. Załącznik I, Część B (Opis transferu) Standardowych Klauzul Umownych EOG uznaje się niniejszym za wypełniony informacjami zawartymi w opisie przetwarzania;
      10. Uzupełnienie załącznika I, część C. W odniesieniu do części C załącznika I (Właściwy organ nadzorczy) do Standardowych Klauzul Umownych EOG, w zakresie dozwolonym przez obowiązujące prawo o ochronie danych, strony wybierają organ ochrony danych Republiki Irlandii;
      11. Uzupełnienie załącznika II. Załącznik II do Standardowych Klauzul Umownych EOG (Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) uznaje się niniejszym za uzupełniony o postanowienia określone w Zobowiązaniach w zakresie bezpieczeństwa informacji; oraz
      12. Konflikt terminów. W przypadku jakiejkolwiek niespójności lub konfliktu między Standardowymi Klauzulami Umownymi EOG a niniejszą sekcją, przepisy należy interpretować w sposób zapewniający największą ochronę osobom, których dane dotyczą.
    2. Interpretacja Standardowych Klauzul Umownych EOG dla Krajów Ograniczających. Jeśli ujawnienie przez Klienta danych osobowych Partnerowi stanowi inny transfer danych, Standardowe Klauzule Umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie, jak określono powyżej w niniejszym punkcie sekcji 6, z tym że: (i) odniesienia w Standardowych Klauzulach Umownych EOG do „UE”, „Unii”, „państwa członkowskiego UE” lub „państwa członkowskiego” odnoszą się zamiast tego do tego Kraju Ograniczającego; (ii) odniesienia do „rozporządzenia (UE) 2016/679” lub „tego rozporządzenia” odnoszą się zamiast tego do przepisów o ochronie danych tego Kraju Ograniczającego, a odniesienia do konkretnych przepisów lub artykułów RODO zastępuje się najbliższym równoważnym przepisem lub artykułem ustawy o ochronie danych kraju ograniczającego; (iii) „organ nadzorczy” odnosi się do organu ochrony danych w tym Kraju Ograniczającym; (iv) odniesienia do „Klauzul” oznaczają niniejszy ustęp w wersji włączającej i modyfikującej Klauzule.
    3. Transfery danych z Wielkiej Brytanii. Jeżeli i w zakresie, w jakim dane osobowe przetwarzane przez Partnera podlegają transferowi danych z Wielkiej Brytanii, Dodatek UK do SCC jest włączony do niniejszego dokumentu przez odniesienie i ma zastosowanie w następujący sposób:
      1. Uzupełnienie tabeli 1. Tabela 1 Dodatku UK do SCC jest uzupełniona o dane Klienta (jako eksportera danych) oraz dane Partnera (jako importera danych), zgodnie z zapisami Umowy. „Data rozpoczęcia” to data rozpoczęcia, data wejścia w życie lub równoważna data Umowy. „Kluczową osobą kontaktową” dla Klienta jest „Dyrektor ds. prywatności” lub osoba przez niego delegowana, z którą można się skontaktować pod adresem wbdprivacy@wbd.com. Dane „kluczowej osoby kontaktowej” dla Partnera będą od czasu do czasu przekazywane Klientowi, łącznie z jej nazwą stanowiska i adresem e-mail.
      2. Uzupełnienie tabel 2 i 3. Tabelę 2 Dodatku UK do SCC wypełnia się poprzez wybranie „Zatwierdzonego Unijnego SCC, łącznie z Informacją Dodatkową i tylko z następującymi modułami, klauzulami lub opcjonalnymi postanowieniami Zatwierdzonych Unijnych SCC wprowadzonych w życie dla celów niniejszego Dodatku”. Dla celów tabeli 2 i tabeli 3 Dodatku UK do SCC, „Zatwierdzone Unijne SCC” są wypełnione w sposób określony powyżej w niniejszym ustępie sekcji 6.
      3. Uzupełnienie tabeli 4. Tabelę 4 Dodatku UK do SCC wypełnia się poprzez wybór „żadna ze stron”.
      4. Konflikt terminów. W przypadku jakiejkolwiek niespójności lub konfliktu pomiędzy Dodatkiem UK do SCC a niniejszymi Globalnymi zobowiązaniami w zakresie ochrony prywatności, pierwszeństwo ma Dodatek UK do SCC.
  3. Transfery danych (administratorzy). Niniejszy ustęp ma zastosowanie w przypadku, gdy zastosowanie ma sekcja 5 (Warunki dla administratorów).
    1. Przekazywanie danych z EOG. Jeżeli i w zakresie, w jakim dane osobowe przetwarzane przez Partnera podlegają transferowi danych z EOG, standardowe klauzule umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie w następujący sposób:
      1. Aplikacja. Partner będzie działał jako importer danych, a Klient jako eksporter danych;
      2. Dokowanie. Do celów klauzuli 7 z sekcji I stosuje się klauzulę o opcjonalnym dokowaniu;
      3. Moduły. Obowiązuje MODUŁ JEDEN (transfer z administratora do administratora);
      4. Zadośćuczynienie. Do celów klauzuli 11 z sekcji II język opcjonalny nie ma zastosowania;
      5. Właściwość prawa. Dla celów sekcji IV, klauzule 17 i 18, w zakresie dozwolonym przez obowiązujące prawo o ochronie danych, strony zgadzają się, że ich odpowiednie zobowiązania wynikające ze Standardowych Klauzul Umownych EOG podlegają prawu (prawom) i jurysdykcji sądów Republiki Irlandii;
      6. Uzupełnienie załącznika I, część A. Załącznik I, Część A (Lista stron) uznaje się niniejszym za wypełniony: (i) danymi Klienta (jako eksportera danych); oraz (ii) danymi Partnera (jako importera danych), w każdym przypadku zgodnie z Umową;
      7. Uzupełnienie załącznika I, część B. Załącznik I, Część B (Opis transferu) Standardowych Klauzul Umownych EOG uznaje się niniejszym za wypełniony informacjami zawartymi w opisie przetwarzania;
      8. Uzupełnienie załącznika I, część C. W odniesieniu do części C załącznika I (Właściwy organ nadzorczy) do Standardowych Klauzul Umownych EOG, w zakresie dozwolonym przez obowiązujące prawo o ochronie danych, strony wybierają organ ochrony danych Republiki Irlandii;
      9. Uzupełnienie załącznika II. Załącznik II do Standardowych Klauzul Umownych EOG (Środki techniczne i organizacyjne, w tym środki techniczne i organizacyjne zapewniające bezpieczeństwo danych) uznaje się niniejszym za uzupełniony o postanowienia określone w Zobowiązaniach w zakresie bezpieczeństwa informacji; oraz
      10. Konflikt terminów. W przypadku jakiejkolwiek niespójności lub konfliktu między Standardowymi Klauzulami Umownymi EOG a niniejszą sekcją, przepisy należy interpretować w sposób zapewniający największą ochronę osobom, których dane dotyczą.
    2. Interpretacja Standardowych Klauzul Umownych EOG dla Krajów Ograniczających. Jeśli i w zakresie, w jakim ujawnienie przez Klienta danych osobowych Partnerowi stanowi inny transfer danych, Standardowe Klauzule Umowne EOG są włączone do niniejszego dokumentu przez odniesienie i mają zastosowanie, jak określono powyżej w niniejszym punkcie sekcji 6, z tym że: (i) odniesienia w Standardowych Klauzulach Umownych EOG do „UE”, „Unii”, „państwa członkowskiego UE” lub „państwa członkowskiego” odnoszą się zamiast tego do tego Kraju Ograniczającego; (ii) odniesienia do „rozporządzenia (UE) 2016/679” lub „tego rozporządzenia” odnoszą się zamiast tego do przepisów o ochronie danych tego Kraju Ograniczającego, a odniesienia do konkretnych przepisów lub artykułów RODO zastępuje się najbliższym równoważnym przepisem lub artykułem ustawy o ochronie danych kraju ograniczającego; (iii) „organ nadzorczy” odnosi się do organu ochrony danych w tym Kraju Ograniczającym; (iv) odniesienia do „Klauzul” oznaczają niniejszy ustęp w wersji włączającej i modyfikującej Klauzule.
    3. Transfery danych z Wielkiej Brytanii. Jeżeli i w zakresie, w jakim dane osobowe przetwarzane przez Partnera podlegają transferowi danych z Wielkiej Brytanii, Dodatek UK do SCC jest włączony do niniejszego dokumentu przez odniesienie i ma zastosowanie w następujący sposób:
      1. Uzupełnienie tabeli 1. Tabela 1 Dodatku UK do SCC jest uzupełniona o dane Klienta (jako eksportera danych) oraz dane Partnera (jako importera danych), zgodnie z zapisami Umowy. „Data rozpoczęcia” to data rozpoczęcia, data wejścia w życie lub równoważna data Umowy. „Kluczową osobą kontaktową” dla Klienta jest „Dyrektor ds. prywatności” lub osoba przez niego delegowana, z którą można się skontaktować pod adresem wbdprivacy@wbd.com. Dane „kluczowej osoby kontaktowej” dla Partnera będą co pewien czas przekazywane Klientowi, łącznie z jej nazwą stanowiska i adresem e-mail.
      2. Uzupełnienie tabel 2 i 3. Tabelę 2 Dodatku UK do SCC wypełnia się poprzez wybranie „Zatwierdzonego Unijnego SCC, łącznie z Informacją Dodatkową i tylko z następującymi modułami, klauzulami lub opcjonalnymi postanowieniami Zatwierdzonych Unijnych SCC wprowadzonych w życie dla celów niniejszego Dodatku”. Dla celów tabeli 2 i tabeli 3 Dodatku UK do SCC, „Zatwierdzone Unijne SCC” są wypełnione w sposób określony powyżej w niniejszym ustępie sekcji 6.
      3. Uzupełnienie tabeli 4. Tabelę 4 Dodatku UK do SCC wypełnia się poprzez wybór „żadna ze stron”.
      4. Konflikt terminów. W przypadku jakiejkolwiek niezgodności lub konfliktu pomiędzy Dodatkiem UK do SCC a niniejszym paragrafem, pierwszeństwo ma Dodatek UK do SCC.
  4. Dodatkowe przepisy o transferze transgranicznym. Niniejszy ustęp ma zastosowanie, jeżeli dane osobowe przetwarzane przez Partnera są przedmiotem transferu danych z EOG, z UK lub innego transferu (i w zakresie zależnym od rodzaju transferu).
    Środki uzupełniające
    1. Strony przyjmują do wiadomości i zgadzają się, że wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-311/18 wyjaśnia, że dodatkowe środki mogą być konieczne, aby zapewnić, że dane osobowe, które były przedmiotem transferu z EOG lub transferu z Wielkiej Brytanii, mają zapewniony zasadniczo równoważny poziom ochrony do ochrony, którą otrzymują, gdy są przetwarzane na terytorium ich pochodzenia (oprócz zabezpieczeń zawartych w Standardowych Klauzulach Umownych EOG). W związku z tym strony uzgodniły środki określone w poniższych sekcjach 6.4 lit. b)-g) jako środki uzupełniające, mające pomóc w zapewnieniu takiej zasadniczej równoważności.
    2. Jeżeli Partner dowie się o wniosku lub żądaniu ze strony organów ścigania, organów regulacyjnych, sądowych lub rządowych („Organ”) o uzyskanie dostępu lub kopii niektórych lub wszystkich danych osobowych przetwarzanych w związku z Umową, niezależnie od tego, czy na zasadzie dobrowolności czy obowiązku, Partner:
      1. niezwłocznie powiadomi Klienta o takim żądaniu władz;
      2. w przypadku gdy zastosowanie ma sekcja 4 (Warunki dla przetwarzających), poinformuje organizację, że Partner jest przetwarzającym dane osobowe i że Klient nie upoważnił go do ujawnienia takich danych osobowych organizacji;
      3. poinformuje organizację, że wszelkie wnioski lub żądania dostępu do takich danych osobowych powinny być zgłaszane Klientowi (jako administratorowi) lub doręczane mu na piśmie; oraz
      4. z zastrzeżeniem sekcji 6.4(c), nie zapewni organizacji dostępu do takich danych osobowych, chyba uzyska pisemne upoważnienie od Klienta (wówczas na czas obowiązywania upoważnienia).
    3. Niezależnie od postanowień sekcji 6.4(b)(iv), Partner może, bez uprzedniego pisemnego upoważnienia Klienta, ujawnić organom władzy dane osobowe po otrzymaniu wniosku lub żądania od takiego organu, pod warunkiem, że (o ile nie jest to zabronione przez prawo):
      1. Partner powiadomi Klienta z odpowiednim wyprzedzeniem o takim wniosku lub żądaniu, aby dać Klientowi odpowiednią możliwość wniesienia sprzeciwu lub ubiegania się o nakaz ochrony lub inne odpowiednie środki zaradcze;
      2. Partner w rozsądny sposób będzie współpracować z Klientem, na koszt Klienta, aby Klient mógł sprzeciwić się lub ubiegać się o nakaz ochrony lub inne odpowiednie środki zaradcze; oraz
      3. Partner w każdym przypadku ujawni tylko tę część danych osobowych, do której ujawnienia jest prawnie zobowiązany.
    4. Partner ujawniając dane osobowe organowi władzy, ujawni takie dane osobowe tylko w zakresie, w jakim jest do tego prawnie zobowiązany i tylko zgodnie z obowiązującym procesem prawnym.
    5. Partner nie będzie świadomie ujawniać danych osobowych w sposób masowy lub niedyskretny, wykraczający poza to, co jest konieczne i proporcjonalne w demokratycznym społeczeństwie.
    6. Partner wdroży pisemną politykę dotyczącą żądania danych osobowych od organów oraz ją utrzyma i jej będzie przestrzegał. Polityka taka powinna co najmniej zabraniać:
      1. masowego lub bezkrytycznego ujawniania danych osobowych dotyczących osób, których dane dotyczą w Europie; oraz
      2. ujawniania organowi danych osobowych dotyczących osób, których dane dotyczą w Europie bez wezwania, nakazu, pisma, dekretu, wezwania lub innego prawnie wiążącego nakazu, który zmusza do ujawnienia takich danych osobowych.
    7. Partner będzie posiadał i utrzymywał, zgodnie z dobrą praktyką branżową, środki ochrony danych osobowych przed przechwyceniem (w tym w trakcie przekazywania od Klienta do Partnera oraz pomiędzy różnymi systemami i usługami). Powyższe obejmuje posiadanie i utrzymywanie ochrony sieci w celu uniemożliwienia atakującym przechwytywania danych oraz szyfrowanie danych podczas ich przesyłania w celu uniemożliwienia atakującym odczytywania danych.
      Dodatkowe przepisy dotyczące przekazywania danych
    8. Partner zgadza się współpracować w dobrej wierze w celu wdrażania dodatkowych dokumentów i zastosowania dodatkowych zabezpieczeń lub ograniczenia przetwarzania do pewnych terytoriów, co Klient może uznać za konieczne w celu przeprowadzenia transferów z EOG, Wielkiej Brytanii lub innego transferu (odpowiednio).
    9. Jeżeli Partner będzie w dowolnym momencie przetwarzać dane osobowe pochodzące z kraju, który ogranicza przekazywanie danych osobowych do innej jurysdykcji nie uznanej za odpowiednią do odbioru takich danych osobowych, wówczas Partner, na polecenie Klienta:
      1. podejmie wszelkie niezbędne działania i zawrze umowy, jakie mogą być konieczne na mocy obowiązującego prawa o ochronie danych w takim kraju, aby zalegalizować wszelkie przetwarzanie; oraz
      2. zapewni odpowiedni poziom ochrony danych osobowych Klienta.
    10. W przypadku, gdy jakikolwiek właściwy organ ochrony danych uzna, że mechanizm transferu danych, na którym opierają się strony, jest nieważny, lub jakikolwiek właściwy organ ochrony danych lub obowiązujące prawo wymaga zawieszenia lub ograniczenia transferu danych osobowych do określonej jurysdykcji, wówczas Klient może, według własnego uznania, zażądać od Partnera zaprzestania przetwarzania danych osobowych, a Partner będzie współpracować z Klientem w dobrej wierze w celu ułatwienia wykorzystania alternatywnego mechanizmu transferu danych, wdrożenia dodatkowych dokumentów, zastosowania dodatkowych zabezpieczeń lub ograniczenia przetwarzania do określonych jurysdykcji.
7. ODPOWIEDZIALNOŚĆ
  1. Niniejsza sekcja dotyczy wszystkich Partnerów.
  2. Oprócz wszelkich zobowiązań odszkodowawczych Partnera określonych w Umowie, Partner będzie bronił, zabezpieczał i chronił Klienta przed wszelkimi roszczeniami osób trzecich, działaniami, kosztami, zobowiązaniami, stratami, szkodami i wydatkami (w tym honorariami adwokatów) poniesionymi przez Klienta wynikającymi z lub powiązanymi z (i) incydentem bezpieczeństwa; lub (ii) naruszeniem niniejszych Globalnych zobowiązań w zakresie ochrony prywatności przez Partnera lub podmioty powiązane z Partnerem, podprzetwarzających (w tym podprzetwarzających wyznaczonych przez podmioty powiązane z Partnerem) i cesjonariuszy, w tym bez ograniczeń roszczenia lub działania organu ochrony danych lub osoby, której dane dotyczą.
POWRÓT