Begriffsbestimmungen Im Rahmen dieser Ergänzung zur Datenverarbeitung bezeichnet „DSGVO“ die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und „Verantwortlicher“, „Auftragsverarbeiter“, „Betroffene Person“, „Personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“ und „Verarbeitung“ haben die in Artikel 4 der Datenschutz-Grundverordnung festgelegte Bedeutung.
Für die Zwecke dieser Ergänzung ist der Kunde von PFU (EMEA) LIMITED der Datenverantwortliche und PFU (EMEA) LIMITED ist der Auftragsverarbeiter.
Alle weiteren hierin genannten Begriffe werden an anderer Stelle in dieser Ergänzung zur Datenverarbeitung definiert.
Datenverarbeitung
Bei der Durchführung seiner Aktivitäten sichert der Auftragsverarbeiter zu, dass:
die Dauer, der Gegenstand, die Art und Weise und der Zweck der Verarbeitung auf Grundlage von Artikel 6 (b) „Rechtmäßigkeit der Verarbeitung“ der DSGVO erfolgen.
nur personenbezogene Daten verarbeitet werden, die dem Auftragsverarbeiter direkt vom Datenverantwortlichen zur Verfügung gestellt werden.
die betroffenen Personen Vertreter, Benutzer und weitere natürliche Personen umfassen, die anhand Ihrer personenbezogenen Daten identifiziert werden oder identifiziert werden können; und
Ihre Rechten und Pflichten als Datenverantwortlicher in Bezug auf Ihre personenbezogenen Daten der DSGVO unterliegen.
PFU (EMEA) LIMITED wird:
Ihre personenbezogenen Daten nur gemäß Ihren Anweisungen verarbeiten, auch in Bezug auf die Übertragung Ihrer personenbezogenen Daten, vorbehaltlich jeglicher Ausnahmen gemäß Artikel 28(3)(a) der DSGVO;
sicherstellen, dass sich die Mitarbeiter, die zur Verarbeitung Ihrer personenbezogenen Daten im Rahmen dieser Vereinbarung berechtigt sind, der Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten unterliegen;
angemessene technische und organisatorische Maßnahmen ergreifen, um Ihre personenbezogenen Daten zu schützen.
Sie in Bezug auf Änderungen bei der Ernennung von Unterauftragsverarbeitern informieren und Ihnen 14 Tage Zeit geben, dieser Ernennung zu widersprechen.
Ihnen im Rahmen angemessener technischer und organisatorischer Maßnahmen behilflich sein, soweit dies auf angemessene Weise möglich ist, um es Ihnen zu ermöglichen, Ihrer Pflicht nachzukommen, auf Anfragen in Bezug auf die Ausübung von Rechten der betroffenen Person gemäß Kapitel III der DSGVO zu reagieren;
Ihnen dabei behilflich sein, die Einhaltung Ihrer Pflichten gemäß den Artikeln 32 bis 36 der DSGVO sicherzustellen, und dabei die Art und Weise der Verarbeitung und die Informationen, die PFU (EMEA) LIMITED vorliegen, berücksichtigen.
bei Kündigung der Vereinbarung die personenbezogenen Daten gemäß der Vereinbarung löschen, es sei denn ein Gesetz der Europäischen Union oder eines Mitgliedstaates erfordert die Aufbewahrung der personenbezogenen Daten;
Ihnen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der Pflichten des Auftragsverarbeiters gemäß Artikel 28 der DSGVO nachzuweisen; und
Sie erteilen PFU (EMEA) LIMITED die Berechtigung, einen Untervertrag über seine Verarbeitungspflichten im Rahmen dieser Vereinbarung mit den Tochterunternehmen von PFU (EMEA) LIMITED und weiteren Dritten abzuschließen, die Ihnen PFU (EMEA) LIMITED auf schriftliche Anfrage hin als Liste zur Verfügung stellt. PFU (EMEA) LIMITED darf dies nur im Rahmen einer schriftlichen Vereinbarung mit einem solchen Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegt, die PFU (EMEA) LIMITED im Rahmen dieser Vereinbarung auferlegt werden. Falls dieser Unterauftragsverarbeiter derartigen Pflichten nicht nachkommt, haftet PFU (EMEA) LIMITED Ihnen gegenüber weiterhin in vollem Umfang für die Ausübung der Datenschutzpflichten dieses Unterauftragsverarbeiters.
PFU (EMEA) LIMITED benachrichtigt Sie unverzüglich, wenn es von einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit Ihren personenbezogenen Daten erfährt. Eine solche Benachrichtigung muss zum Zeitpunkt der Benachrichtigung oder so schnell wie möglich nach der Benachrichtigung relevante Details zu der Verletzung des Schutzes personenbezogener Daten enthalten, einschließlich der Anzahl Ihrer betroffenen Datensätze, der Kategorie und der ungefähren Anzahl der betroffenen Benutzer, der erwarteten Folgen der Verletzung und tatsächlicher oder vorgeschlagener Abhilfemaßnahmen, um die potenziellen negativen Auswirkungen der Verletzung nach Möglichkeit abzumildern.