UMOWA O OCHRONIE DANYCH OSOBOWYCH

1.1 „Obowiązujące przepisy dotyczące ochrony danych” oznaczają wszystkie obowiązujące przepisy ustawowe i wykonawcze dotyczące prywatności, bezpieczeństwa, ochrony i przetwarzania danych osobowych, w tym między innymi, w zależności od przypadku: Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych oraz uchylające dyrektywę 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”) Dyrektywa UE 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej; brytyjskie ogólne rozporządzenie o ochronie danych (rozporządzenie (UE) 2016/679) („brytyjskie RODO”) oraz ustawa o ochronie danych z 2018 r.; szwajcarska federalna ustawa o ochronie danych 235.1 z dnia 25 września 2020 r.; kalifornijskiej ustawy o ochronie prywatności konsumentów z 2018 r. („CCPA”), zmienionej kalifornijską ustawą o prawach do prywatności z 2020 r. („CPPA”); amerykańskiej ustawy o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych („HIPAA”); ustawy o ochronie danych osobowych Chińskiej Republiki Ludowej („PIPL”); oraz wszystkich innych odpowiednich przepisów dotyczących ochrony danych obowiązujących w miejscach prowadzenia działalności przez Strony.

1.2 „Klient” oznacza posiadającego odpowiednią licencję protetyka słuchu lub placówkę, która dostarcza rozwiązania słuchowe Użytkownikom końcowym.

1.3 „Użytkownicy końcowi” to osoby fizyczne, które bezpośrednio korzystają z urządzeń słuchowych firmy Sonova.

1.4 „Dane osobowe” mają znaczenie określone w obowiązujących przepisach o ochronie danych (np. wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej) lub w inny sposób w nich określone (np. informacje osobowe, informacje umożliwiające identyfikację osoby). Dla jasności, Dane osobowe nie obejmują informacji, które zostały zanonimizowane lub zagregowane w taki sposób, że dana osoba nie jest już możliwa do zidentyfikowania.

1.5 Na potrzeby niniejszej Umowy terminy „organ nadzorczy”, „inspektor ochrony danych”, „dane osobowe”, „osoby, których dane dotyczą”, „pseudonimizacja”, „administrator”, „przetwarzanie”, „przekazywanie”, „podmiot przetwarzający”, „sprzedaż”, „udostępnianie” oraz „naruszenie ochrony danych osobowych” mają takie samo znaczenie, jakie nadano im w Obowiązujących przepisach o ochronie danych osobowych.

3.1 W zależności od charakteru dostarczanego produktu i/lub usługi firma Sonova i Klient mogą pełnić rolę niezależnych administratorów danych lub współadministratorów danych, zgodnie z definicjami tych pojęć zawartymi w Obowiązujących przepisach o ochronie danych. Obowiązująca rola zostanie określona na podstawie konkretnej czynności przetwarzania oraz celów i środków przetwarzania określonych w związku z danym produktem lub usługą. 

3.2. W przypadku gdy Strony działają jako współadministratorzy, przetwarzanie takie podlega postanowieniom sekcji A niniejszej Umowy (art. 4–12).

3.3. W przypadku gdy Strony działają jako niezależni administratorzy, przetwarzanie takie podlega postanowieniom sekcji B niniejszej Umowy o (art. 13). 

3.4. W zakresie, w jakim w trakcie trwania ich relacji jedna ze Stron przetwarza Dane osobowe w imieniu drugiej Strony i tym samym kwalifikuje się jako podmiot przetwarzający działający w imieniu administratora w rozumieniu Obowiązujących przepisów o ochronie danych, Strony uzgadniają, że zostanie zawarta odrębna umowa o przetwarzaniu danych pomiędzy Stronami.

4.1. Strony uznają, że w kontekście korzystania z produktów i usług Sonova mogą pełnić rolę współadministratorów Danych osobowych dotyczących Użytkowników końcowych, w przypadku gdy obie Strony wspólnie określają cele i sposoby przetwarzania.

4.2. Strony uznają i zgadzają się, że co do zasady następujące działania nie wymagają ujawniania ani udostępniania Sonova Danych osobowych Użytkowników końcowych. Niezależnie od powyższego, w przypadku faktycznego udostępnienia Danych osobowych, Strony będą działać jako współadministratorzy w zakresie przetwarzania Danych osobowych w następujących celach:

a) obsługa posprzedażowa produktów, w tym naprawa, wymiana lub konserwacja, w przypadku gdy takie przetwarzanie jest niezbędne do wykonania umowy z Użytkownikiem końcowym. W zależności od okoliczności obsługa posprzedażowa produktów może podlegać konieczności uzyskania dodatkowej zgody lub zastosowania innych prawnie uzasadnionych podstaw. 
b) korzystanie z narzędzi i oprogramowania związanych z produktem, w tym aktualizacji oprogramowania, zdalnego monitorowania lub konfiguracji urządzenia, w przypadku gdy jest to niezbędne do wykonania umowy z Użytkownikiem końcowym lub podlega prawnie uzasadnionej przyczynie.
c) wytwarzanie produktu, w tym personalizacja lub dostosowanie produktu do Użytkownika końcowego, w przypadku gdy jest to niezbędne do wykonania umowy z Użytkownikiem końcowym i ma uzasadnioną podstawę prawną zgodnie z obowiązującymi przepisami o ochronie Danych osobowych.

4.3. W przypadku gdy, dla własnej obsługi operacyjnej, Klient zdecyduje się ujawnić lub w inny sposób udostępnić Sonova Dane osobowe Użytkowników końcowych w zakresie wykraczającym poza to, co jest ściśle niezbędne do celów określonych w artykule 4.2, Klient:

a) zapewni zgodność z zasadą minimalizacji danych zgodnie z Obowiązującymi przepisami o ochronie danych;
b) określi i udokumentuje odpowiednią podstawę prawną, w tym uzyska ważną zgodę, jeśli jest to wymagane;
c) udzieli podmiotom, których dane dotyczą, wymaganych informacji zgodnie z Obowiązującymi przepisami o ochronie danych, w tym jasnych informacji dotyczących ujawnienia ich Danych osobowych firmie Sonova, celów takiego ujawnienia oraz odpowiednich ról Stron

4.4. Klient oświadcza i gwarantuje, że wszelkie Dane osobowe udostępnione firmie Sonova w kontekście wspólnego przetwarzania zostały zebrane zgodnie z prawem i mogą być zgodnie z prawem przetwarzane w celach określonych w niniejszej Umowie, wszelkiej dodatkowej dokumentacji dotyczącej prywatności oraz zgodnie z Obowiązującymi przepisami o ochronie danych osobowych.

4.5. Klient nie będzie odsprzedawać ani udostępniać Danych osobowych Użytkowników końcowych, ani wykorzystywać, przechowywać, ujawniać lub w inny sposób przetwarzać poufnych lub zastrzeżonych informacji firmy Sonova poza zakresem relacji biznesowych z firmą Sonova lub w jakimkolwiek innym celu biznesowym lub handlowym, z wyjątkiem przypadków wymaganych przez prawo.

5.1 Strony uzgadniają, że przetwarzanie Danych osobowych, którego cele i sposoby określają wspólnie, będzie miało cechy określone w obowiązującej informacji o ochronie prywatności, która zostaje włączona do niniejszej Umowy poprzez odniesienie.

5.2 Sonova może grupować lub anonimizować Dane osobowe w taki sposób, aby uzyskany zbiór danych nie stanowił już Danych osobowych w rozumieniu obowiązujących przepisów oraz pod warunkiem, że dane te nie pozwalają na identyfikację osoby, której dane dotyczą, ani na powiązanie ich z taką osobą przez Sonovę („dane zagregowane”).Sonova może wykorzystywać takie zagregowane dane do celów wewnętrznych (np. badań i ulepszania usług, generatywnej sztucznej inteligencji) w granicach dozwolonych przez umowę z użytkownikiem profesjonalnym oraz Obowiązujące przepisy o ochronie danych. 

6.1 Strony zobowiązują się do:

a) zapewnienia, że personel mający dostęp do Danych osobowych lub zaangażowany w ich przetwarzanie na mocy niniejszej Umowy, był zobowiązany do zachowania poufności i przeszedł niezbędne szkolenia w zakresie ochrony Danych osobowych; 
b) podjęcia wszelkich niezbędnych kroków w celu zapewnienia zgodności z Obowiązującymi przepisami o ochronie danych, w tym prowadzenia rejestru czynności przetwarzania i współpracy w przeprowadzaniu oceny skutków dla ochrony danych, o ile ma to zastosowanie; 
c) zapewnienia, że wszyscy dostawcy, podwykonawcy lub inne podmioty trzecie, którym podpowierzono przetwarzanie danych, będą stosowały się do zobowiązań wynikających z niniejszej umowy;
d) bezpiecznego usunięcia lub zniszczenia wszystkich takich Danych osobowych, w tym wszystkich kopii, z wyjątkiem sytuacji, gdy obowiązujące prawo wymaga ich przechowywania.

7.1 Klient ponosi odpowiedzialność za przekazanie informacji dotyczących przetwarzania Danych osobowych Użytkownikom końcowym, których to przetwarzanie dotyczy, zgodnie z obowiązującymi przepisami o ochronie danych, a także za uzyskanie i udokumentowanie wszelkich wymaganych zgód lub innych podstaw prawnych od Użytkownika końcowego przed udostępnieniem Danych osobowych firmie Sonova.

7.2 Osoby, których dane dotyczą, mogą wykonywać swoje prawa za pośrednictwem którejkolwiek ze Stron. Strony będą współpracować w dobrej wierze, aby zapewnić terminowe i zgodne z przepisami odpowiedzi.

8.1 Każda Strona wdroży odpowiednie środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do ryzyka związanego z przetwarzaniem Danych osobowych, uwzględniając stan techniki, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania.

8.2 Bez ograniczeń, środki te powinny obejmować, w zależności od zastosowania lub wymogów prawnych:

a) pseudonimizację i szyfrowanie Danych osobowych w celu ochrony przed nieuprawnionym dostępem lub ujawnieniem;
b) środki zapewniające bieżącą poufność, integralność, dostępność i odporność systemów i usług przetwarzania, w tym zabezpieczenia administracyjne, techniczne i fizyczne;
c) procedury przywracania dostępności i dostępu do Danych osobowych w odpowiednim czasie w przypadku incydentu fizycznego lub technicznego;
d) regularne testy, oceny i ewaluacje skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania, w tym testy podatności i testy penetracyjne, jeśli to właściwe;
e) środki kontroli dostępu, zapewniające że do Danych osobowych mają dostęp wyłącznie uprawnieni pracownicy z uzasadnioną potrzebą;
f) rejestrowanie i monitorowanie czynności przetwarzania w celu wykrywania, zapobiegania i reagowania na nieautoryzowany dostęp lub incydenty bezpieczeństwa;
g) programy szkolenia i podnoszenia świadomości pracowników, zapewniające, że osoby zaangażowane w przetwarzanie rozumieją swoje obowiązki wynikające z obowiązujących przepisów o ochronie danych i niniejszej Umowy.

8.3 Każda Strona ponosi odpowiedzialność za wdrożenie środków bezpieczeństwa w swoim zakresie odpowiedzialności i niezwłocznie powiadomi drugą Stronę o wszelkich incydentach bezpieczeństwa, które mogłyby rozsądnie wpłynąć na Dane osobowe udostępniane lub wspólnie przetwarzane.

9.1 Strony mogą korzystać z usług podmiotów przetwarzających, pod warunkiem przestrzegania postanowień art. 9.

9.2. Każde przetwarzanie przez podmioty przetwarzające podlega pisemnej umowie między odpowiednią Stroną a podmiotami przetwarzającymi, która wymaga od podmiotów przetwarzających przestrzegania tych samych obowiązków i ograniczeń, jakie przewidziano w niniejszej Umowie, w tym wyraźnych gwarancji ze strony podmiotów przetwarzających dotyczących wdrożenia środków technicznych i organizacyjnych w celu zapewnienia, że przetwarzanie spełnia wszystkie wymogi Obowiązujących przepisów o ochronie danych.

9.3 Każda ze Stron prowadzi aktualną listę podmiotów przetwarzających, które są zaangażowane w przetwarzanie Danych osobowych na podstawie niniejszej Umowy. Na uzasadniony pisemny wniosek drugiej Strony lista ta zostanie udostępniona, z zastrzeżeniem, że Strona ujawniająca może ograniczyć zakres informacji w stopniu niezbędnym do ochrony informacji poufnych lub bezpieczeństwa.

9.4. Każda ze Stron pozostaje odpowiedzialna za przetwarzanie Danych osobowych oraz za wszelkie działania i zaniechania podmiotów przetwarzających w takim samym zakresie, jak gdyby takie działania lub zaniechania zostały popełnione przez daną Stronę.

10.1 W przypadku naruszenia bezpieczeństwa Danych osobowych Strony zobowiązują się do współpracy oraz do niezwłocznego poinformowania się nawzajem po stwierdzeniu naruszenia, które dotyczy Danych osobowych przetwarzanych na podstawie niniejszej Umowy. Powiadomienie takie powinno zawierać wszystkie informacje, które są racjonalnie niezbędne, aby umożliwić drugiej Stronie wypełnienie jej obowiązków wynikających z przepisów o ochronie danych.

10.2 Strony będą współpracować w dobrej wierze w celu oceny zakresu, charakteru i prawdopodobnych konsekwencji naruszenia Danych osobowych oraz w celu ustalenia, czy naruszenie to może spowodować ryzyko lub wysokie ryzyko dla praw i wolności osób fizycznych.

10.3 Strona, której dotyczy naruszenie Danych osobowych, przeprowadzi dochodzenie i analizę w celu ustalenia konsekwencji naruszenia, a w szczególności tego, czy może ono stwarzać ryzyko dla praw i wolności osób, których dane dotyczą. 

W tym zakresie:

a) Strona, której dotyczy naruszenie, jest odpowiedzialna za powiadomienie właściwego organu nadzorczego oraz, w razie potrzeby, osób, których dane dotyczą, chyba że Obowiązujące przepisy o ochronie danych wymagają inaczej. Druga Strona zapewni wszelką niezbędną pomoc i informacje, aby umożliwić dokonanie takiego powiadomienia w obowiązujących terminach.
b) Strona, której to dotyczy, wdroży jak najszybciej środki niezbędne do usunięcia skutków naruszenia Danych osobowych;
c) Strona, której to dotyczy, udokumentuje naruszenie Danych osobowych w celu zapewnienia jego identyfikowalności, niezależnie od tego, czy analiza wykaże, że istnieje ryzyko dla praw i wolności osób, których dane dotyczą.

11.1 Strony zobowiązują się, że w przypadku przekazania Danych osobowych poza granice kraju, w którym dane te zostały zebrane, oraz jeżeli kraj przejmujący nie zapewnia odpowiedniego poziomu ochrony danych zgodnie z Obowiązującymi przepisami o ochronie danych, obie Strony będą współpracować w celu :

a) wdrożenia odpowiednich procedur w celu zapewnienia zgodności z przepisami dotyczącymi Danych osobowych, w szczególności w przypadku konieczności uzyskania zgody od właściwego organu nadzorczego;
b) wdrożenia odpowiednich zabezpieczeń organizacyjnych, technicznych i prawnych w celu uregulowania wspomnianego przekazywania oraz zapewnienia niezbędnego i odpowiedniego poziomu ochrony;
c) w razie potrzeby wdrożenia uzasadnionych mechanizmów transferu transgranicznego, takich jak standardowe klauzule umowne przyjęte przez Komisję Europejską (decyzja 2010/87/UE z dnia 5 lutego 2010 r. lub nowsze wersje, w tym standardowe klauzule umowne określone w decyzji wykonawczej Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r.), Międzynarodowa umowa o przekazywaniu danych lub aneks dotyczący międzynarodowego przekazywania danych wydany przez Biuro Komisarza ds. Informacji w Wielkiej Brytanii, standardowe klauzule umowne lub inne mechanizmy przekazywania danych uznane na mocy szwajcarskiego prawa o ochronie danych lub przepisów Autoridade Nacional de Proteção de Dados, w tym w razie potrzeby we wszystkich odpowiednich spółkach zależnych.

11.2 W zależności od przyjmującego kraju trzeciego Strony zobowiązują się do podjęcia środków uzupełniających, takich jak przeprowadzenie oceny adekwatności transferu danych, jeżeli po ocenie okoliczności transferu oraz po ocenie ustawodawstwa kraju trzeciego jest to konieczne dla ochrony przekazywanych Danych osobowych.

12.1 Strony przekażą sobie nawzajem dane kontaktowe swojego Inspektora ochrony danych na żądanie.

13.1 Sonova pełni rolę niezależnego administratora danych w zakresie przetwarzania Danych osobowych dotyczących Klienta i/lub jego przedstawicieli, pracowników lub osób kontaktowych w następujących celach. W przypadku gdy zastosowanie ma RODO, obowiązują poniższe podstawy prawne:

a) realizacja zamówień i wykonanie umowy (art. 6 ust. 1 lit. b) RODO);
b) monitorowanie relacji z Klientem i działania następcze w związku z wnioskami (art. 6 ust. 1 lit. b) RODO);
c) zarządzanie administracyjne dokumentacją Klienta (art. 6 ust. 1 lit. b) i art. 6 ust. 1 lit. f) RODO);
d) zarządzanie relacjami z Klientem i obsługą konta (art. 6 ust. 1 lit. b) i art. 6 ust. 1 lit. f) RODO);
e) zarządzanie księgowe i finansowe (art. 6 ust. 1 lit. b) i art. 6 ust. 1 lit. RODO);
f) działania w ramach obsługi posprzedażowej (art. 6 ust. 1 lit. b) i art. 6 ust. 1 lit. f) RODO);
g) działania sprzedażowe i marketingowe (art. 6 ust. 1 lit. f) RODO);
h) konkursy i inicjatywy promocyjne (art. 6 ust. 1 lit. a) RODO);
i) organizacja wydarzeń branżowych (art. 6 ust. 1 lit. a) RODO).

13.2 Sonova działa jako niezależny administrator w zakresie przetwarzania Danych osobowych dotyczących Użytkowników końcowych (w tym pacjentów) Klienta w celach określonych poniżej. Tam, gdzie ma zastosowanie RODO, obowiązują następujące podstawy prawne:

a) przestrzeganie obowiązujących zobowiązań prawnych i regulacyjnych, w tym wynikających z rozporządzenia (UE) 2017/745 w sprawie wyrobów medycznych („MDR”) (art. 6 ust. 1 lit. c) RODO);
b) korzystanie z narzędzi i oprogramowania pomocniczego do produktów opracowanych przez Sonova, zgodnie z opisem zawartym w obowiązującej Polityce prywatności.

13.3 Klient działa jako niezależny administrator w zakresie przetwarzania Danych osobowych dotyczących jego Użytkowników końcowych (w tym pacjentów) do własnych celów, w tym w celu zarządzania relacjami handlowymi i świadczenia opieki, zgodnie ze swoimi obowiązkami prawnymi i regulacyjnymi.