Letzte Aktualisierung: Oktober 2023
Lieferantenverpflichtung zum Datenschutz
Averna Technologies Inc, zusammen mit ihren verbundenen Unternehmen und Tochtergesellschaften (zusammen „Averna“) verpflichtet sich zum Schutz personenbezogener Daten in Übereinstimmung mit den anwendbaren Rechtsvorschriften, einschließlich, aber nicht beschränkt auf den kanadischen Personal Information Protection Electronic Documents Act (PIPEDA), die europäische Datenschutz-Grundverordnung (GDPR), das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher (CCPA – California Consumer Privacy Act) und das Gesetz von Québec über den Schutz personenbezogener Daten im privaten Sektor, geändert durch das Gesetz 25, ein Gesetz zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten.
Diese Verpflichtung zum Datenschutz für Lieferanten (diese „Verpflichtung“) gilt für Unterauftragnehmer, Lieferanten, Drittdienstleister, Verkäufer sowie deren Mitarbeiter und Unterauftragnehmer (zusammen, „Lieferanten“), die mit Averna in Geschäftsbeziehung stehen und die von Averna erhaltene personenbezogene Daten erheben, nutzen, darauf zugreifen, sie offenlegen oder anderweitig verarbeiten (d. h. Datenverarbeiter).
Diese Verpflichtung legt die Erwartungen und Mindestanforderungen für den Umgang der Lieferanten mit personenbezogenen Daten fest, die sie von Averna im Rahmen einer mit Averna geschlossenen Geschäftsvereinbarung erhalten haben. Diese Verpflichtung ersetzt nicht, sondern ergänzt die Verpflichtungen, die in einer derartigen Geschäftsvereinbarung festgelegt sind.
In dieser Verpflichtung bezieht sich „personenbezogene Daten“ auf alle Informationen über eine identifizierte oder identifizierbare Person und schließt anonyme oder de-identifizierte Daten aus, die nicht mit einer bestimmten Person verbunden sind.
Die Lieferanten sind dafür verantwortlich, dass ihr gesamtes Personal und ihre Unterauftragnehmer, die an der Sammlung, Verwendung, Weitergabe und Aufbewahrung der von Averna erhaltenen personenbezogenen Daten beteiligt sind, über diese Verpflichtung informiert werden und durch die erforderlichen vertraglichen Vereinbarungen zur Einhaltung der darin enthaltenen Bestimmungen verpflichtet werden.
Die Lieferanten unterstützen Averna außerdem bei der Einhaltung ihrer gesetzlichen Verpflichtungen in Bezug auf Datensicherheit, Meldepflichten bei Datenschutzverletzungen und Datenschutz-Folgenabschätzungen sowie bei der Bearbeitung von Anfragen betroffener Personen bezüglich der Verarbeitung ihrer personenbezogenen Daten.
Die Nichteinhaltung dieser Verpflichtung kann sich nachteilig auf Averna auswirken. Die Nichteinhaltung dieser Verpflichtung oder die nicht rechtzeitige Meldung eines Verstoßes gegen diese Verpflichtung hat Auswirkungen auf die Chancen des Lieferanten, seine Geschäfte mit Averna fortzusetzen, und kann zur Beendigung der Lieferantenbeziehung führen.
2. Grundsätze der DatenverarbeitungDie Lieferanten dürfen die von Averna erhaltenen personenbezogenen Daten nur gemäß den dokumentierten Anweisungen von Averna verarbeiten, auch im Hinblick auf die grenzüberschreitende und internationale Übermittlung personenbezogener Daten.
Die Lieferanten müssen sicherstellen, dass die Erhebung, Nutzung, Offenlegung und Aufbewahrung personenbezogener Daten auf den in der Geschäftsvereinbarung zwischen dem Lieferanten und Averna angegebenen Zweck beschränkt ist. Von den Lieferanten wird erwartet, dass sie die entsprechenden Zustimmungen zur Nutzung und Offenlegung der personenbezogenen Daten einholen, die für den angegebenen Zweck erforderlich sind.
Die Lieferanten beschränken den Zugang zu den von Averna erhaltenen personenbezogenen Daten auf das Personal, das mit der Verarbeitung der personenbezogenen Daten befasst ist, und zwar auf einer „Notwendigkeitsbasis“. Außerdem dürfen die Lieferanten ohne die vorherige schriftliche Zustimmung von Averna keine Unterauftragsverarbeiter einsetzen.
Die Lieferanten sind verpflichtet, Averna Verstöße gegen den Schutz personenbezogener Daten unverzüglich zu melden. Erhält ein Lieferant Kenntnis von Ungenauigkeiten oder Unregelmäßigkeiten in den von Averna erhaltenen personenbezogenen Daten, so hat er Averna unverzüglich darüber zu informieren und Averna bei der Durchführung der erforderlichen Berichtigungen zu unterstützen.
Die Lieferanten müssen jederzeit geeignete technische und organisatorische Maßnahmen ergreifen, um die Integrität und den Schutz der Daten zu gewährleisten, insbesondere vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Weitergabe oder Zugriff auf personenbezogene Daten, die für Averna übermittelt, gespeichert oder anderweitig verarbeitet werden. Zu diesen technischen und organisatorischen Maßnahmen gehören umfassende Datenschutzprogramme und -richtlinien, eine leicht zugängliche Dokumentation zum Nachweis der Einhaltung der Vorschriften und gegebenenfalls Datenschutz-Folgenabschätzungen.
Die Lieferanten müssen mindestens die folgenden Sicherheitsvorkehrungen aufrechterhalten und sicherstellen: die Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der Verarbeitungssysteme und -dienste; die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Averna darf die Einhaltung dieser Verpflichtung durch den Lieferanten prüfen; in diesem Fall hat der Lieferant Averna alle Informationen zur Verfügung zu stellen, die für den Nachweis der Einhaltung erforderlich sind, und Audits/Prüfungen, einschließlich Inspektionen, die von Averna oder einem von Averna beauftragten Dritten durchgeführt werden, zuzulassen und dazu beizutragen.
Bei Beendigung der mit Averna geschlossenen Geschäftsvereinbarung haben die Lieferanten dafür zu sorgen, dass alle personenbezogenen Daten, die Averna gehören, entweder zurückgegeben oder vernichtet werden, wie von Averna zum Zeitpunkt der Beendigung der Vereinbarung angegeben.