Zuletzt aktualisiert: Oktober 2023
Lieferantenverpflichtung zum Datenschutz
Averna Technologies Inc., zusammen mit seinen verbundenen Unternehmen und Tochtergesellschaften (zusammen, "Averna") verpflichtet sich zum Schutz personenbezogener Daten in Übereinstimmung mit den geltenden Gesetzen, einschließlich, aber nicht beschränkt auf den kanadischen Personal Information Protection Electronic Documents Act (PIPEDA), die europäische General Data Protection Regulation (GDPR), den California Consumer Privacy Act (CCPA) und den Québec Act respecting the protection of personal information in the private sector (Gesetz über den Schutz personenbezogener Daten im privaten Sektor) in der Fassung von Law 25, An Act to modernize legislative provisions as regards the protection of personal information.
Diese Verpflichtung zum Datenschutz für Lieferanten (diese "Verpflichtung") gilt für Unterauftragnehmer, Lieferanten, Drittdienstleister, Verkäufer sowie deren Mitarbeiter und Unterauftragnehmer (zusammen, "Zulieferer"), die mit Averna in Geschäftsbeziehung stehen und die von Averna erhaltene personenbezogene Daten erheben, nutzen, darauf zugreifen, sie offenlegen oder anderweitig verarbeiten (d.h. Datenverarbeiter).
Diese Verpflichtung legt die Erwartungen und Mindestanforderungen für den Umgang der Lieferanten mit personenbezogenen Daten fest, die sie von Averna im Rahmen eines mit Averna geschlossenen Geschäftsvertrags erhalten haben. Diese Verpflichtung ersetzt nicht, sondern ergänzt, die Verpflichtungen, die in einer solchen kommerziellen Vereinbarung.
Im Rahmen dieser Verpflichtung, "personenbezogene Daten" alle Informationen über eine identifizierte oder identifizierbare Person und schließt anonyme oder de-identifizierte Daten aus, die nicht mit einer bestimmten Person in Verbindung gebracht werden.
- Anforderungen an das Verhalten
Die Lieferanten sind dafür verantwortlich, dass ihr gesamtes Personal und ihre Unterauftragnehmer, die an der die mit der Erhebung, Nutzung, Weitergabe und Aufbewahrung der von Averna erhaltenen personenbezogenen Daten befasst sind, von dieser Verpflichtung in Kenntnis gesetzt werden und durch die erforderlichen vertraglichen Vereinbarungen zur Einhaltung der darin enthaltenen Bestimmungen verpflichtet werden.
Die Lieferanten unterstützen Averna außerdem bei der Einhaltung ihrer gesetzlichen Verpflichtungen in Bezug auf Datensicherheit, Meldepflichten bei Datenschutzverletzungen und Datenschutz-Folgenabschätzungen sowie bei der Bearbeitung von Anfragen der betroffenen Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten.
Die Nichteinhaltung dieser Verpflichtung kann sich nachteilig auf Averna auswirken. Die Nichteinhaltung dieser Verpflichtung oder die nicht rechtzeitige Meldung eines Verstoßes gegen diese Verpflichtung hat Auswirkungen auf die Fähigkeit des Lieferanten, seine Geschäfte mit Averna fortzusetzen, und kann zur Beendigung der Lieferantenbeziehung führen.
2. Grundsätze der Datenverarbeitung
Die Lieferanten dürfen die von Averna erhaltenen personenbezogenen Daten nur gemäß den dokumentierten Anweisungen von Averna verarbeiten, auch im Hinblick auf die grenzüberschreitende und internationale Übermittlung personenbezogener Daten.
Die Lieferanten müssen sicherstellen, dass die Erhebung, Verwendung, Weitergabe und Speicherung personenbezogener Daten auf den in der Geschäftsvereinbarung zwischen dem Lieferanten und Averna festgelegten Zweck beschränkt ist. Von den Lieferanten wird erwartet, dass sie die entsprechenden Zustimmungen zur Nutzung und Offenlegung der personenbezogenen Daten einholen, die für den angegebenen Zweck erforderlich sind.
Die Lieferanten beschränken den Zugang zu den von Averna erhaltenen personenbezogenen Daten auf das Personal, das mit der Verarbeitung der personenbezogenen Daten befasst ist, und zwar auf der Grundlage des Grundsatzes "Kenntnis nur, wenn nötig". Darüber hinaus dürfen die Lieferanten ohne die vorherige schriftliche Zustimmung von Averna nicht die Dienste von Unterauftragsverarbeitern in Anspruch nehmen.
Die Lieferanten sind verpflichtet, Averna Verstöße gegen personenbezogene Daten unverzüglich zu melden. Erhält ein Lieferant Kenntnis von Ungenauigkeiten oder Unregelmäßigkeiten in den von Averna erhaltenen personenbezogenen Daten, so hat er Averna unverzüglich zu benachrichtigen und Averna bei der Vornahme der erforderlichen Berichtigungen zu unterstützen.
Die Lieferanten müssen jederzeit die geeigneten technischen und organisatorischen Maßnahmen ergreifen, um die Integrität und den Schutz der Daten zu gewährleisten, insbesondere vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder Zugriff auf personenbezogene Daten, die für Averna übermittelt, gespeichert oder anderweitig verarbeitet werden. Zu diesen technischen und organisatorischen Maßnahmen gehören umfassende Datenschutzprogramme und -richtlinien, eine leicht zugängliche Dokumentation zum Nachweis der Einhaltung der Vorschriften und gegebenenfalls Datenschutzfolgenabschätzungen.
Die Lieferanten müssen mindestens die folgenden Sicherheitsvorkehrungen treffen und gewährleisten: die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten; die Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste; die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und, ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Averna ist berechtigt, die Einhaltung dieser Verpflichtung durch den Lieferanten zu prüfen. In diesem Fall hat der Lieferant Averna alle zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung zu stellen und Prüfungen, einschließlich Inspektionen, die von Averna oder einem von Averna beauftragten Dritten durchgeführt werden, zuzulassen und daran mitzuwirken.
Bei Beendigung des mit Averna geschlossenen Geschäftsvertrags haben die Lieferanten dafür zu sorgen, dass alle Averna gehörenden personenbezogenen Daten entweder zurückgegeben oder vernichtet werden, wie von Averna zum Zeitpunkt der Vertragsbeendigung angegeben.
