Uberi andmetöötluslepingu tutvustus

Uber nõuab oma tarnijatelt Uberi konfidentsiaalse teabe, sealhulgas Uberi isikuandmete töötlemist reguleeriva andmetöötluslepingu tingimustega nõustumist.

Nende tingimuste eesmärk on kaitsta Uberi konfidentsiaalse teabe konfidentsiaalsust ja turvalisust ning võimaldada Uberil täita oma nõudeid, mis tulenevad ülemaailmsetest andmekaitseseadustest, sealhulgas vajadusel (vastavalt Uberi isikuandmete töötlemisele teenusepakkujate poolt) Euroopa Liidu isikuandmete kaitse üldmäärusest ( „GDPR“), Brasiilia Lei Geral de Proteção de Dados Pessoaisest („LGPD“), Austraalia privaatsusseadusest, India digitaalsete isikuandmete kaitse seadusest ja USA osariikide isikuandmeid käsitlevatest seadustest, sh California tarbijate privaatsuse seadusest („CCPA“).

Andmetöötlusleping käsitleb konkreetselt järgmist.

1. Üldised nõuded ja piirangud seoses Uberi konfidentsiaalse teabe töötlemisega tarnijate poolt, sealhulgas seoses andmeturbe, andmeturbejuhtumite, riskihinnangute ja audititega, andmete säilitamise ja kustutamisega ning alltöötlejate kasutamisega.
   
2. Uberi ja teenusepakkujate rollide määratlemine Uberi isikuandmete töötlemisel.
   1. Andmetöötluslepingu sätted kohustavad osapooli määrama, kas kumbki tegutseb:
      1. vastutava töötleja või volitatud töötlejana
      2. ettevõtte, teenusepakkuja, töövõtja või kolmanda isikuna, nagu need mõisted on CCPA-s määratletud.
   2. Andmetöötlusleping täpsustab ka iga poole kohustused eespool nimetatud määratluste põhjal.

Anna oma Uberi kontaktisikule teada, kui Sul on Uberi andmetöötluslepingu kohta küsimusi.

UBERI ANDMETÖÖTLUSLEPING

See andmetöötlusleping („leping“) sätestab nõuded, mida kohaldatakse järgmiste andmete töötlemisele tarnija poolt: 1) Uberi konfidentsiaalne teave, sealhulgas Uberi isikuandmed (vt allpool punkti 2); ja 2) Uberi isikuandmed (vt allpool punkti 3).

See leping on osa Uberi ja ettevõtte või üksuse („pakkuja“) (kumbki eraldi „pool“ ja ühiselt „pooled“) ja kõigist edasistest selle alusel sõlmitavatest lepingutest (ühiselt „põhileping“).

1. OSA. DEFINITSIOONID

Lisaks allpool määratletud mõistetele on mõistetel „Ettevõte”, „Töövõtja”, „Müük”, „Müümine”, „Teenusepakkuja” ja „Jagamine” tähendus vastavalt CCPA / CPRA definitsioonidele.

1. Vastutav töötleja: füüsiline või juriidiline isik, kes määrab üksi või koos teistega isikuandmete töötlemise eesmärgi ja vahendid.
2. Andmekaitseseadused: kõik seadused ja eeskirjad, mis kohalduvad Uberi isikuandmete töötlemisele selle andmekaitselepingu alusel.
   
3. Andmesubjekt: füüsiline isik, kellega isikuandmed on seotud.
4. Andmeturbejuhtum: igasugune tegelik või põhjendatult kahtlustatav lubamatu juurdepääs Uberi konfidentsiaalsele teabele või selle omandamine või ebaseaduslik töötlemine või teenusepakkuja või tema alltöötlejate poolt nimetatud andmete töötlemiseks kasutatava mis tahes süsteemi turvalisuse või terviklikkuse ohustamine.
   
5. Kustutamine: Uberi konfidentsiaalse teabe füüsiline või loogiline hävitamine, et seda ei saaks taastada.
   
6. Avastamine: mis tahes olukord, kus tarnija avastab andmeturbejuhtumi, teda teavitatakse andmeturbejuhtumist või ta oleks avastanud andmeturbejuhtumi, kui ta oleks mõistlikku hoolsust rakendanud.
   
7. Isikuandmed: igasugune teave, mis on seotud tuvastatud või tuvastatava andmesubjektiga.
   
8. Protsess: mis tahes toiming või toimingute kogum, mida tehakse isikuandmete või isikuandmete kogumitega, kas automatiseeritud vahenditega või mitte, näiteks kogumine, salvestamine, korraldamine, struktureerimine, hoidmine, kohandamine või muutmine, otsimine, konsulteerimine, kasutamine, avaldamine edastamise, levitamise või muul viisil kättesaadavaks tegemise teel, vastavusse viimine või kombineerimine, piiramine, kustutamine või hävitamine.
   
9. Volitatud töötleja: füüsiline või juriidiline isik, kes töötleb isikuandmeid vastutava töötleja nimel.
   
10. Alltöötleja: töötleja, kelle teenusepakkuja on Uberi konfidentsiaalse teabe töötlemiseks kaasanud.
    
11. Süsteem: mis tahes failisüsteem, arvutussüsteem, andmebaas, seade, varustus, server, veebileht, rakendus, tarkvara, andmekandja, võrk, taristu, võrgukeskkond või domeen, sealhulgas (piiranguteta) kõik arendus-, kvaliteeditagamis-, lavastus- ja tootmiskeskkonnad.
    
12. Uber: Uber Technologies, Inc. ja mis tahes Uberi tütar- või sidusettevõte.
    
13. Uberi andmesubjekt: iga andmesubjekt, kelle Uberi isikuandmeid teenusepakkuja töötleb või hakkab töötlema.
    
14. Uberi isikuandmed: Uberi andmesubjekti isikuandmed, mida teenusepakkuja lepingu eesmärkidel töötleb.
    
    Selle lepingu tähenduses ei sisalda Uberi isikuandmed nende Uberi töötajate nimesid ja kontaktandmeid, kes vastutavad põhilepinguga seoses teenusepakkujaga suhtlemise eest, ega isikuandmeid, mille teenusepakkuja on sellise suhtluse tulemusel juhuslikult saanud.
    
15. Uberi konfidentsiaalne teave: kõik andmed, kirjed või teave, sealhulgas Uberi isikuandmed, mis on Uberi omanduses või kontrolli all ja mida Uber on avaldanud, esitanud või teenusepakkujale kättesaadavaks teinud või mida teenusepakkuja Uberi nimel seoses teenustega kogub, loob, haldab või kasutab, nagu võib olla lepingus täpsemalt kirjeldatud.
    
16. Uberi süsteem: mis tahes süsteem, mida Uber omab, litsentsib, mida haldab või kontrollib või millele on Uber andnud teenusepakkujale juurdepääsu.

2. OSA. NÕUDED: UBERI KONFIDENTSIAALNE TEAVE

1. Andmeturve: Teenusepakkuja on kohustatud Uberi konfidentsiaalse teabe terviklikkuse, turvalisuse ja konfidentsiaalsuse säilitamiseks rakendama asjakohaseid füüsilisi, administratiivseid, korralduslikke ja tehnilisi kaitsemeetmeid ning muid turvameetmeid, mille hulka kuuluvad vähemalt käesoleva lepingu 1. lisas sätestatud meetmed.
2. Turbejuht: teenusepakkuja määrab isiku, kes vastutab teenusepakkuja käesolevast lepingust tulenevate kohustuste täitmise juhtimise ja koordineerimise ning nende Uberile kättesaadavaks tegemise eest kogu põhilepingu kehtivusaja jooksul
3. Andmeturbejuhtumid
   1. Uurimine. Teenusepakkuja rakendab andmeturbejuhtumi avastamisel kõiki mõistlikke meetmeid, et uurida teenusepakkuja kulul täielikult ja põhjalikult vastava andmeturbejuhtumi põhjust, olemust ja ulatust; parandada ja leevendada andmeturbejuhtumi tagajärgi; ja esitab Uberile kõik andmed, mida Uberil on kehtivate seaduste ja andmeturbejuhtumitele reageerimise protsesside järgimiseks tarvis või mida sellelt nõutakse. Uberi nõudmisel esitab teenusepakkuja uurimise ja leidude kohta põhjalikud täiendavad aruanded. Teenusepakkuja teeb omal kulul iga andmeturbejuhtumi uurimisel ja reageerimisel Uberiga igakülgset koostööd, muu hulgas võimaldades Uberile ja/või Uberi uurijale viivitamatu juurdepääsu oma süsteemidele ja/või rajatistele.
      
   2. Uberi teavitamine. Teenusepakkuja teavitab Uberit juhtumist neljakümne kaheksa (48) tunni jooksul pärast selle avastamist põhilepingu alusel teateid vastu võtma määratud Uberi isikute või meeskonna kaudu ja e-posti aadressil vendorsecurity@uber.com. Teenusepakkuja lisab teatesse järgmise teabe ja vajadusel täiendab seda:
      1. andmeturbejuhtumi kirjeldus, sealhulgas põhjus (kui see on tuvastatav), asukoht, kuupäev/kellaaeg ja andmeturbejuhtumi avastamine;
         
      2. toimingute kirjeldus, mida teenusepakkuja on andmeturbejuhtumi uurimiseks ja mõju leevendamiseks teinud või tegema hakkab;
         
      3. mõjutatud Uberi konfidentsiaalse teabe tüübid ja maht, sealhulgas see, kas andmed olid krüptitud või redigeeritud;
         
      4. kõigi mõjutatud Uberi andmesubjektide arv, asukoht (osariik/riik) ja isikud (vajaduse korral), sealhulgas mõjutatud laste, noorukite või eakate Uberi andmesubjektide arv, kui kehtivad andmekaitseseadused seda nõuavad;
         
      5. andmeturbejuhtumi eeldatavad tagajärjed;
         
      6. meetmete kirjeldus, mida teenusepakkuja on nimetatud tagajärgede leevendamiseks ja Uberi konfidentsiaalse teabe kaitsmiseks võtnud või kavatseb võtta; ja
         
      7. teenusepakkuja plaanid parandusmeetmeteks vastusena andmeturbejuhtumile.
   3. Kolmandate isikute teated. Teenusepakkuja aitab Uberil esitada andmesubjektidele, reguleerivale asutusele või muule kolmandale isikule seadusega nõutavaid teateid („nõutav teade“). Sellisel juhul i) on Uberil ainukontroll sellise teate sisu, levitamise aja ja viisi üle, kui seadusega ei nõuta teisiti; ii) teenusepakkuja võib edastada nõutava teate ainult Uberi eelneva kirjaliku nõusoleku ja juhiste alusel, kui kohalduv seadus ei nõua teisiti (sel juhul esitab pakkuja Uberile sellise teate koopia esimesel võimalusel ja igal juhul enne selle edastamist , kui seadus ei nõua teisiti); ja iii) teenusepakkuja hüvitab Uberile kõik mõistlikud kulud, mis Uberile seoses sellise teatega tekkisid, kui teenusepakkuja on andmeturbejuhtumi eest täielikult või osaliselt vastutav.
      
   4. Mitteavaldamine. Teenusepakkuja hoidub ilma Uberi eelneva kirjaliku nõusolekuta Uberiga seotud andmeturbejuhtumi või mis tahes Uberi konfidentsiaalse teabe, Uberi andmesubjekti või Uberi süsteemiga seotud andmeturbejuhtumi olemasolu või teabe avaldamisest, sealhulgas riigiasutustele.
      
   5. Leevendamine ja parandamine. Teenusepakkuja peab koheselt ja põhjendamatu viivituseta i) takistama kõikide turvaaukude, tegevuste ja muude asjaolude levikut, mis põhjustasid või tingisid andmeturbejuhtumi; ii) võtma kõik vajalikud ja asjakohased parandusmeetmed ning tegema Uberiga mõistlikul määral koostööd, et andmeturbejuhtumi mõju leevendada ja parandada.
      
   6. Avalikud päringud. Teenusepakkuja vastutab andmeturbejuhtumiga seotud päringute, küsimuste või muude taotluste haldamise ja neile vastamise eest meedia, ajakirjanduse või teiste avalikkuse esindajate poolt („avalikud päringud“). Teenusepakkuja määrab ühe või mitu isikut, kes vastutavad avalike päringute haldamise ja neile vastamise eest, ning esitab nõudmisel Uberile kõigi selliste isikute nimed ja kontaktandmed.
      
4. Andmete säilitamine ja kustutamine. Teenusepakkuja kustutab või tagastab Uberile viivitamatult (Uberi valikul) kogu tema valduses oleva, säilitatava ja kontrollitava Uberi konfidentsiaalse teabe: i) põhilepingu lõpetamisel või aegumisel; ii) teenusepakkuja ettevõtte likvideerimise või maksejõuetuse korral; iii) kui see pole enam vajalik põhilepingust tulenevate kohustuste täitmiseks; või iv) Uberi taotlusel.
   
5. Riskihinnangud
   1. Teenusepakkuja täidab ja läbib enne jõustumiskuupäeva Uberi tehtud andmeturbe riskihinnangu („riskihinnang“).
      
      Pärast esialgset riskihinnangut viib teenusepakkuja Uberi tellimusel läbi riskihinnangud mitte sagedamini kui kord aastas või juhul, kui i) teenusepakkuja hakkab pakkuma Uberile täiendavaid tooteid või teenuseid või töötlema täiendavat Uberi konfidentsiaalset teavet, mis ei kuulunud esialgse või viimase hindamise ajal riskihindamisele; ii) Uberi konfidentsiaalse teabe töötlemise muudatus(t)e olemus või eesmärgid muutuvad; iii) teenusepakkuja alustab Euroopa Majanduspiirkonnas („EMP“) asuvate Uberi andmesubjektide Uberi isikuandmete edastamist väljapoole EMP-d või alustab Uberi isikuandmete edastamist muusse kolmandasse riiki, mis ei kuulunud esialgse või viimase hindamise käigus kohaldamisalasse; iv) teenusepakkuja teeb Uberi konfidentsiaalse teabe töötlemises olulise muudatuse, mis võib mõjutada andmete turvalisust või teenusepakkuja võimet lepingut täita; v) hindamine on Uberi jaoks andmekaitseseaduste või muude andmeturbekohustuste täitmiseks mõistlikult vajalik; vi) hindamine on Uberi jaoks mõistlikult vajalik järelevalveasutuse taotluse, korralduse või sellega sõlmitud kokkuleppe täitmiseks või muu juriidilise kohustuse täitmiseks; või vii) toimub andmeturbejuhtum.
      
   2. Nõuded. Teenusepakkuja esitab Uberile kogu teabe, mis on mõistlikult vajalik riskihinnangu tegemiseks. Sellise teabe hulka võivad muu hulgas, kuid mitte ainult, kuuluda riskihindamise küsimustikud; infoturbe eeskirjad ja protseduurid; andmete klassifitseerimise ja töötlemise eeskirjad ning protseduurid; andmeturbe vastavuse või auditi aruanded, milles hinnatakse teenusepakkuja infoturbeprogrammi, süsteemi(de), sisekontrolli ja Uberi isikuandmete töötlemisega seotud protseduuride tõhusust võrreldes valdkonnas aktsepteeritud raamistikuga (nt ISO, SSAE16, SOC või NIST); ja muu teave, mida Uber küsib, et hinnata teenusepakkuja andmeturbeprogrammi, kontrolle ja Uberi konfidentsiaalse teabe töötlemist. See teave hõlmab ka andmeid selle kohta, kuidas teenusepakkuja Uberi isikuandmeid töötleb, sealhulgas andmetüüpe, töötlemise eesmärke, Uberi andmesubjektide tüüpi ja arvu, töötlemise asukohta, alltöötlejaid ja andmete säilitamist. Teenusepakkuja eeskirjade, protseduuride või muude dokumentide koopiad võib Uberile edastada või esitada need vastastikku kokkulepitud ekraanijagamise rakenduse kaudu.
      
   3. Auditilogid. Teenusepakkuja peab säilitama süsteemide auditilogisid ja andmeid, sealhulgas rakendustelogisid, juurdepääsulogisid, autentimislogisid, võrgulogisid, lõppkasutaja seadme logisid ja turbesüsteemi logisid ulatuses, mis on vajalik ebaseadusliku, loata või sobimatu süsteemitegevuse jälgimiseks, analüüsimiseks, uurimiseks ja sellest teavitamiseks, ja tagama, et teabesüsteemi kasutajate tegevust saab üheselt vastava kasutajaga seostada, et neid oleks võimalik oma tegude eest vastutusele võtta ja võimaldada andmeturbejuhtumite asjakohast uurimist.
6. Auditid.
   1. Auditid. Teenusepakkuja lubab Uberil tööajal mõistliku kirjaliku etteteatamisega omal kulul auditeerida teenusepakkuja ruume, võrke, süsteeme, protseduure, Uberi konfidentsiaalse teabe töötlemist ja käesoleva lepingu järgimist. Uber võib kasutada seda õigust mitte rohkem kui kord aastas, välja arvatud juhul, kui on toimunud andmeturbejuhtum või kui see on vajalik andmekaitseseaduste või muu juriidilise kohustuse järgimiseks.
   2. Nõuded auditile. Teenusepakkuja teeb eelmises lõigus kirjeldatud auditite puhul mõistlikul määral koostööd, võimaldades juurdepääsu asjatundlikele töötajatele, vajaduse korral füüsilistele ruumidele, dokumentidele, taristule ja mis tahes rakendustarkvarale, mis töötleb Uberi konfidentsiaalset teavet või millel on muul viisil juurdepääs Uberi rajatistele, võrkudele, süsteemidele, protseduuridele. Uber vastutab oma sellise auditiga seotud kulude ja kulutuste eest (või auditit läbi viinud kolmanda isiku tasude ja kulude eest), välja arvatud juhul, kui auditiga ilmneb põhilepingu, sealhulgas käesoleva lepingu oluline rikkumine või kui see on selle tõttu algatatud, mille puhul hüvitab teenusepakkuja Uberile vastavad kulud ja kulutused. Tarnija lahendab ja parandab viivitamatult kõik sellise auditi käigus tuvastatud puudused.
7. Alltöötlejad
   1. Lubatud alltöötlejad. Teenusepakkuja EI luba ühelgi alltöötlejal töödelda Uberi konfidentsiaalset teavet, välja arvatud seda, mis on riskianalüüsi käigus tuvastatud. Kui teenusepakkuja soovib kasutada mõnda muud alltöötlejat, teatab ta Uberile sellest vähemalt 30 päeva enne vastavat töötlemist ning lisab põhjused, mille jaoks ta Uberi konfidentsiaalset teavet töötleb. Kui Uber ei esita vastuväiteid, loetakse, et Uber on sellise töövõtu heaks kiitnud.
      
   2. Alltöötleja kohustused. Teenusepakkuja sõlmib enne Uberi konfidentsiaalse teabe töötlemist iga alltöötlejaga lepingu, millega kehtestatakse kohustused, mis ei ole vähem piiravad ja kaitsevad Uberi konfidentsiaalset teavet vähemalt samaväärselt kui teenusepakkuja sama lepingu kohased kohustused. Uber võib nõuda nimetatud lepingu koopiat ja keelata alltöötleja kasutamise, kui teenusepakkuja nõutavat lepingut ei esita või kui leping ei taga Uberi konfidentsiaalse teabe piisavat kaitset. Teenusepakkuja võib lepingut enne Uberiga jagamist muuta, kui see on vajalik tema ärisaladuste või konfidentsiaalse teabe kaitsmiseks.
      
   3. Alltöötleja järgib andmekaitseseadusi. Teenusepakkuja vastutab selle eest, et alltöötlejad järgiksid kehtivaid andmekaitseseadusi, mis on seotud Uberi isikuandmete töötlemisega alltöötlejate poolt.
      
   4. Vastutus. Alltöötlejate kasutamine ei mõjuta ega piira teenusepakkuja käesolevast lepingust tulenevat vastutust.
8. Hüvitamine. Kui põhilepingus pole teisiti sätestatud, nõustub ettevõte vabastama Uberi, selle juhid, ametnikud, töötajad ja esindajad täielikult vastutusest ning kaitsma ja hoidma neid kahju tekkimise eest vastutuse või nõuete osas seoses kõigi kahjude, kahjustuste, tasude ja kuludega, mis on seotud mis tahes nõuetega seoses Uberi isikuandmete kaotsimineku, muutmise või väärkasutamisega ettevõtte poolt, Uberi isikuandmetele omavolilise juurdepääsu või nende hävitamise või avaldamise või ettevõttepoolse käesoleva andmetöötluslepingu punkti 4 rikkumisega, või tulenevad sellest.
9. USA hulgiülekannete üleandmise piirang Tundlikud isikuandmed
   1. Definitsioonid. Käesoleva punkti 2.8 tähenduses:
      1. on mõistetel „juurdepääs“, „hulgi“, „hulgi USA tundlikud isikuandmed“, „asjaomane riik“, „hõlmatud andmetehing“, „hõlmatud isik“, „andmevahendus“, „riigiasutusega seotud andmed“, „delikaatsed isikuandmed“ ja „USA isik“ tähendus, mis on neile omistatud USA justiitsministeeriumi tundlike andmete eeskirja 28 C.F.R osas 202;
         
      2. „hõlmatud andmed“ on „hulgi USA tundlikud isikuandmed“ ja/või „riigiasutusega seotud andmed“.
         
      3. „Hõlmatud üksus“ tähendab mis tahes „hõlmatud isikut“ või „asjaomast riiki“.
   2. Kui teenusepakkujale antakse seoses põhilepinguga juurdepääs hõlmatud andmetele, kinnitab ja garanteerib ta, et:
      1. ta ei ole hõlmatud üksus.
         
      2. ta ei osale üheski hõlmatud andmetehingus, mis hõlmab selliste andmete andmevahendust hõlmatud üksusega.
         
      3. välja arvatud juhul, kui Uber on sõnaselgelt lubanud või 28 CFR-i osa 202 seda lubab, ei luba A) ühelgi hõlmatud üksusel sellistele hõlmatud andmetele juurde pääseda; ja B) keelab kõigil alltöötlejatel pakkuda mis tahes hõlmatud üksusele juurdepääsu hõlmatud andmetele.
         
      4. ei hoia kõrvale ega püüa mööda hiilida ühestki krüptimise, maskeerimise, isikutuvastuse või privaatsust suurendavast strateegiast ega turbemeetmest, mida Uber kasutab seoses 28 CFR-i osaga 202.
         
      5. annab Uberile mis tahes teavet, mida Uber põhjendatult nõuab seoses käesoleva punkti 2.8 või 28 CFR-i osa 202 järgimisega, sealhulgas seoses Uberi läbiviidud uurimisega.
         

3. OSA. NÕUDED: UBERI ISIKUANDMED

1. Poolte roll. Kui põhilepingus ei ole sätestatud teisiti, võtavad pooled teadmiseks ja nõustuvad, et Uber on seoses põhilepinguga töödeldavate Uberi isikuandmete vastutav töötleja^[1] ja et teenusepakkuja on sellise töötlemisega seoses volitatud töötleja ja/või teenusepakkuja.
2. Üldnõuded. Tarnija võtab teadmiseks ja nõustub, et ta:
   1. mõistab kõiki kehtivate andmekaitseseaduste nõudeid, mis on seotud Uberi isikuandmete töötlemisega, ja järgib neid.
   2. teavitab Uberit, kui ta leiab, et ta ei suuda enam täita oma kehtivatest andmekaitseseadustest tulenevaid kohustusi, kui seadusega ei nõuta teisiti. Sellise teate saamisel võib Uber rakendada mõistlikke ja asjakohaseid meetmeid, et lõpetada Uberi isikuandmete töötlemine teenusepakkuja poolt ja kõrvaldada Uberi andmesubjektidele sellisest töötlemisest tulenevad riskid, ning teenusepakkuja aitab Uberit selliste toimingutega seoses mõistlikul määral (sh vajaduse korral lõpetab asjaomase andmete töötlemise).
      
   3. ei rendi, müü, jaga, avalda, kombineeri muude andmetega ega töötle muul viisil Uberi isikuandmeid ühelgi eesmärgil, välja arvatud juhul, kui see on vajalik tema põhilepingust tulenevate kohustuste täitmiseks, välja arvatud juhul, kui pooled on kirjalikult kokku leppinud teisiti.
      
   4. ei püüa tuvastada ühtegi Uberi andmesubjekti, kasutades teenusepakkujale esitatud või tema kogutud deidentifitseeritud andmeid.
      
   5. ei luba ühelgi teenusepakkuja töötajal Uberi isikuandmeid töödelda, välja arvatud juhul, kui töötaja on nõustunud hoidma Uberi isikuandmeid konfidentsiaalsena või kui ta on seadusega kohustatud tagama Uberi isikuandmete konfidentsiaalsuse.
3. Nõuded volitatud töötlejale / teenusepakkujale / töövõtjale. Kui teenusepakkuja on põhilepingus määratud volitatud töötlejaks, teenusepakkujaks või töövõtjaks, peab ta seoses oma rolli kohaselt töödeldavate Uberi isikuandmetega tagama järgmist.
   
   1. Kui ta on volitatud töötleja ja/või teenusepakkuja, a) töötleb ta Uberi isikuandmeid ainult Uberi kirjalike juhiste kohaselt, välja arvatud juhul, kui seadus nõuab teisiti; ja b) ei kopeeri ega reprodutseeri Uberi isikuandmeid enda või ühegi alltöötleja või muu kolmanda isiku eesmärkidel, sealhulgas masinõppemudelite, tehisarusüsteemide või sarnaste tehnoloogiate koolitamise, arendamise või täiustamise eesmärgil.
      
   2. Aitab Uberil teenusepakkuja isikuandmete töötlemise kontekstis mõistlikul ja asjakohasel viisil:
      1. täita Uberi kohustusi vastavalt GDPRi artiklitele 32–36 või muudest kehtivatest andmekaitseseadustest tulenevaid sarnaseid kohustusi; ja
         
      2. tõendada vastavust kehtivatele andmekaitseseadustele, sealhulgas vajaduse korral GDPR-i artiklile 28.
         
   3. Lubab Uberil võtta mõistlikke ja asjakohaseid meetmeid, et teenusepakkuja kasutaks Uberi isikuandmeid viisil, mis on kooskõlas kehtivatest andmekaitseseadustest tulenevate kohustustega, ning peatada ja kõrvaldada Uberi isikuandmete omavolilise kasutamise.
      
   4. Kui seadus ei nõua teisiti, teatab Uberile viivitamatult Uberi andmesubjekti või tarnija või Uberi üle volitusi omava riigi- või reguleeriva asutuse taotlusest, mis on seotud Uberi isikuandmete töötlemisega teenusepakkuja poolt, ja teeb Uberiga koostööd seoses mis tahes vastusega sellisele taotlusele või nõudele.
4. Nõuded vastutavale töötlejale. Kui tarnija on põhilepingus määratud vastutavaks töötlejaks, võtab ta teadmiseks ja nõustub, et ta:
   1. on andmekaitseseaduste alusel Uberi isikuandmete sõltumatu vastutav töötleja;
      
   2. määrab Uberi isikuandmete töötlemise eesmärgid ja vahendid;
      
   3. vastutab kehtivate andmekaitseseaduste järgimise eest, sealhulgas andmesubjektide teavitamise eest nende isikuandmete töötlemisest ja oma õiguste kasutamise võimalustest, ning nõutavate nõusolekute saamise eest;
      
   4. järgib Uberi isikuandmete töötlemisega seoses andmekaitseseadustest tulenevaid kohustusi.
5. Piiriülesed ülekanded. Kui teenusepakkuja isikuandmete töötlemine hõlmab Uberi andmesubjektide isikuandmete edastamist:
   1. peab see vastama kõikidele sellisele edastamisele kohalduvatele andmekaitseseadustele.
      
   2. kui see on kohaldatav nende Uberi andmesubjektide asukoha põhjal, kelle isikuandmeid edastatakse, peab ta järgima käesoleva lepingu 2. lisas sätestatud nõudeid.

4. OSA. MUUD SÄTTED

1. Jõustumiskuupäev. Leping jõustub põhilepingu sõlmimise kuupäeval.
2. Lõpetamine ja sätete kehtivus. Olenemata põhilepingus sätestatust, kehtivad käesolev leping ja kõik selle sätted seni, kuni tarnija Uberi konfidentsiaalset teavet töötleb või säilitab.
   
3. Nõuetele mittevastavus. Teenusepakkuja teavitab Uberit kohe, kui ta ei suuda käesolevat lepingut täita. Kui teenusepakkuja ei saa seda mõistliku aja jooksul täita või kui ta rikub oluliselt või pidevalt käesolevat lepingut või oma lepingust tulenevaid kohustusi, on Uberil õigus see leping ja põhileping Uberi konfidentsiaalse teabe töötlemist puudutavas osas lõpetada, tingimusel, et punkti 2.9 rikkumine on oluline ja Uberil on õigus põhileping kohe lõpetada.
4. Kehtetu klausel. Kui selle lepingu üksikud sätted on kehtetud või muutuvad kehtetuks, ei mõjuta see ülejäänud sätete tõhusust. Pooled asendavad kehtetu klausli seadusega lubatud klausliga, mis vastab võimalikult täpselt selle ärilisele eesmärgile.
   
5. Konfliktid. Vastuolu korral käesoleva lepingu i) ja põhilepingu vahel on ülimuslik käesolev leping; ja b) ja Uberi ja teenusepakkuja vahel HIPAA alusel sõlmitud äripartneri lepingu vahel on ülimuslik äripartneri leping.
   
6. Kohaldatav seadus ja kohtualluvus. Sellele lepingule kohaldatakse põhilepingus sätestatud kohalduvat seadust ja kohtualluvust.

LISA 1
Organisatsioonilised/halduslikud, füüsilised ja tehnilised meetmed

1. Organisatsioonilised/halduslikud turvameetmed. Teenusepakkuja on rakendanud Uberi konfidentsiaalse teabe töötlemise ajal ning säilitab ja uuendab vastavalt vajadusele (eeldusel, et uuendused ei vähenda ega halvenda Uberi konfidentsiaalse teabe kaitsmiseks kasutatavaid kaitsemeetmeid) järgmist.
   1. Põhjalik teabe- ja võrguturbeprogramm, mis koosneb teenuseid reguleerivatest eeskirjadest, tavadest ja protseduuridest (ühiselt „andmeturbeprogramm“), mis i) vastab kehtivatele parimatele tavadele; ii) järgib kõiki kehtivaid andmekaitseseadusi; iii) vastab kohaldatavas ulatuses maksekaarditööstuse andmeturbestandarditele (PCI DSS); iv) vastab standarditele ISO 27000, NIST 800-53, CIS top 20 või HITRUST turvastandardile või on nendega kooskõlas; ja v) vastab kohaldatavas ulatuses USA justiitsministeeriumi tundlike andmete eeskirjade 28 CFR osale 202. Teenusepakkuja teeb nõudmisel Uberile kättesaadavaks oma andmeturbeprogrammi dokumendid.
   2. Dokumenteeritud andmekao vältimise programm, mis on loodud andmeturbejuhtumite tuvastamiseks, vältimiseks ja nende esinemisriski vähendamiseks, mis hõlmab vähemalt järgmist:
      1. asjakohased eeskirjad ja tehnilised kontrollid, mille eesmärk on vältida Uberi konfidentsiaalse teabe kadu; ja
      2. avariitaaste/talitluse järjepidevuse plaan, mis käsitleb pidevat juurdepääsu Uberi konfidentsiaalsele teabele, selle haldamist ja salvestamist ning tagavarasaitide ja alternatiivsete sidevõrkude turbevajadusi.
   3. Eeskirjad ja protseduurid, millega piiratakse juurdepääsu Uberi konfidentsiaalsele teabele neile, kes vajavad sellist juurdepääsu põhilepinguga seotud rollide ja kohustuste täitmiseks.
   4. Protseduurid kõigi juurdepääsuõiguste kontrollimiseks tõhusate autentimismeetodite abil.
   5. Protsess Uberi konfidentsiaalsele teabele juurdepääsu omava teenusepakkuja volitatud töötleja või alltöötleja teabeturberiski hindamiseks vähemalt kord kahe aasta jooksul. Sellistel volitatud töötlejatel / alltöötlejatel peavad olema kasutusel Uberi konfidentsiaalset teavet kaitsvad teabeturbe kontrollid, mis ei ole käesoleva lepingu nõuetega võrreldes vähem kaitsvad. Uber võib nõuda koopiat teenusepakkuja riskihinnangust mis tahes alltöötleja kohta, ja võib keelduda alltöötleja kasutamise nõusoleku andmisest, kui hindamine näitab, et alltöötlejal pole Uberi konfidentsiaalse teabe kaitsmiseks piisavaid andmeturbekontrolle.
   6. Turvateadlikkuse tõstmise programm teenusepakkuja töötajatele, mis hõlmab regulaarseid andmeturbekoolitusi seoses turvalise andmetöötluse, paroolide ja volituste kaitsmise, sotsiaalse manipuleerimise ning võimalike turbeintsidentide tuvastamise ja neist teatamisega.
   7. Pidev haavatavuste haldamise programm, mis kasutab avastatud turvaaukude kõrvaldamisel tööstusharu standardset riskihinnangu protsessi. Kui tuvastatakse haavatavus, mis võib mõjutada Uberi konfidentsiaalse teabe konfidentsiaalsust, kättesaadavust või puutumatust, esitab teenusepakkuja nõudmisel piisavad tõendid, mis näitavad, et haavatavus on kõrvaldatud, ja võimaldavad Uberil kontrollida, kas toimunud on andmeturbejuhtum.
   8. Turvaline varahaldusprogramm, mis kasutab valdkonna standardset turvalisuse baastaset, sealhulgas varade klassifikatsioon ja seadmete/süsteemide loetelu, milles Uberi konfidentsiaalset teavet töödeldakse.
   9. Formaalsed kirjalikud protsessid andmeturbejuhtumite õigeaegseks tuvastamiseks, äratundmiseks, nendest teatamiseks, neile reageerimiseks, nende leevendamiseks ja heastamiseks, mis hõlmavad protsesse, mida teenusepakkuja töötajad, sh süsteemiadministraatorid peavad järgima, et teatada ebanormaalsetest sündmustest juhtumi käsitlemise meeskonnale, ja millest peab kinni pidama teenusepakkuja mõjutatud isikute ja üksuste, reguleerivate asutuste ja muu avalikkuse teavitamisel, kui see on vajalik või nõutav.
   10. Juhtumisimulatsioonid, nagu mudelõppused või küberrünnakute simulatsioonid, mida plaanitakse ja viiakse läbi regulaarselt.
   11. Väljakujunenud läbistuskatsete programm, mis hõlmab kõiki kombineeritud ründeid, näiteks kliendipõhiseid ja veebirakenduste kaudu toimuvaid rünnakuid.
   12. Pilveteenuste juhtimis- ja riskihaldusprogramm, et baastaseme turbekonfiguratsioonid ja kaitsed oleksid lubatud.
   13. Kasutatavale programmeerimiskeelele vastavad turvalised kodeerimistavad ja turvalise koodi kirjutamise koolitused kogu personalile.
   14. Riigiasutuse andmetele juurdepääsu eeskiri, mis keelab juurdepääsu riigiametite andmetele, välja arvatud juhul, kui selline juurdepääs on seadusega nõutav või kui on otsene oht, et inimestele tekib tõsine kahju.
   15. Riigiasutuste andmepäringute õigusliku aluse hindamise ja neile vastamise eeskirjad ja protseduurid.
   16. Riigiasutuste andmetele juurdepääsu taotluste haldamise eest vastutavate töötajate erikoolitus, mis võib hõlmata kehtivate andmekaitseseaduste nõudeid.
   17. Protsessid riigiasutuste andmetaotluste, antud vastuse ja asjassepuutuvate riigiasutuste dokumenteerimiseks ja salvestamiseks.
   18. Uberi teavitamise protseduurid riigiasutuste andmetele juurdepääsu taotlustest või nõuetest, kui see pole seadusega keelatud.
2. Füüsilised turvameetmed
   1. Teenusepakkuja on rakendanud ja ajakohastab vastavalt vajadusele Uberi konfidentsiaalse teabe töötlemise asjakohaseid füüsilisi turvameetmeid kõigi Uberi konfidentsiaalse teabe töötlemiseks kasutatavate asutuste puhul ning jälgib pidevalt kõiki muudatusi füüsilises taristus, ettevõttes ja teadaolevates ohtudes.
3. Tehnilised turvameetmed. Teenusepakkuja kohustub Uberi konfidentsiaalse teabe töötlemise ajal:
   1. kontrollima ja hindama Uberi konfidentsiaalse teabe töötlemiseks kasutatavate rakenduste ja taristu haavatavust;
   2. kaitsma oma arvutivõrke, kasutades mitmetasandilist juurdepääsukontrolli, sealhulgas mitmeastmelist autentimist, et kaitsta neid omavolilise juurdepääsu eest;
   3. piirama juurdepääsu mehhanismide kaudu, nagu (kuid mitte ainult) juhtkonna kinnitused, tugevad kontrollid, sisselogimine, ning jälgima juurdepääsusündmusi ja tegema hilisemaid auditeid;
   4. rakendama ja säilitama kõigis Uberi konfidentsiaalseid andmeid töötlevates süsteemides sündmuste logisid, mis on piisavalt üksikasjalikud, et võimaldada teenusepakkujal kindlaks teha, kas on toimunud andmeturbejuhtum ja mis on andmeturbejuhtumi tõenäolised tagajärjed, muu hulgas, kas Uberi konfidentsiaalsele teabele pääseti juurde ning kas seda on omandatud, muudetud või kustutatud. Neid sündmuste logisid tuleb säilitada vähemalt kolmteist (13) kuud ja need tuleb Uberile nõudmisel seitsme (7) kalendripäeva jooksul pärast taotluse saamist kättesaadavaks teha. Kui logid sisaldavad teiste üksuste või klientidega seotud sündmuste andmeid, peab teenusepakkujal olema võimalik Uberi sündmuste logi andmeid soovi korral eraldada;
   5. tuvastama muud arvutisüsteemid ja rakendused, mis nõuavad turbesündmuste jälgimist ja logimist, ning säilitama mõistlikult logifaile;
   6. vaatama üle ja analüüsima sündmuste logid, kasutades pidevaid automaatseid jälgimis- ja hoiatusprotsesse, et tuvastada anomaalseid sündmusi ja tegevusi ning neile reageerida ja neid uurida;
   7. kasutama ajakohast, tööstusharu standardile vastavat kaubanduslikku viiruste/pahavara skannimise tarkvara, mis tuvastab pahatahtliku koodi kõigis oma süsteemides, mis töötlevad Uberi konfidentsiaalset teavet;
   8. kasutama võrgupiiride ja võrkudevahelist kaitset;
   9. krüptima edastamiselt Uberi konfidentsiaalse teabe;
   10. krüptima Uberi konfidentsiaalset teavet ning haldama ja kaitsma ainuisikuliselt kõiki krüptimisvõtmeid (st ühelgi kolmandal isikul, sh volitatud töötlejatel ega alamtöötlejatel, ei ole nendele krüpteerimisvõtmetele juurdepääsu).

LISA 2
Piiriülesed ülekanded

Kui pooled ei ole teisiti kokku leppinud, määratleb käesolev 2. lisa mehhanismid, mida pooled kasutavad isikuandmete piiriülese edastamise võimaldamiseks, kui seda nõuavad andmekaitseseadused. Täpsemalt ulatuses, mil määral teenused nõuavad Uberi andmesubjektide isikuandmete edastamist järgmistes riikides ja pooled nõustuvad järgmisega.

1. EMP või Šveits. Kui teenusepakkuja teenused hõlmavad EMP-s või Šveitsis asuvate Uberi andmesubjektide isikuandmete edastamist riiki või territooriumile väljaspool neid piirkondi, kus Euroopa Komisjon ei ole tunnistanud piisavat andmekaitse taset, lisavad pooled sellesse lepingusse ja nõustuvad järgima 4. juuni 2021 lepingu tüüptingimusi („SCC-d“), mille on kinnitanud Euroopa Komisjon, kui pooled ei ole käesolevas lepingus teisiti kokku leppinud. Kui SCC-d on lisatud:
   1. Moodul 1 (vastutav töötleja vastutavale töötlejale) kohaldub, kui teenusepakkuja on määratud vastutavaks töötlejaks;
   2. Moodul 2 (vastutavalt töötlejalt volitatud töötlejale) kohaldub, kui teenusepakkuja on määratud volitatud töötlejaks;
   3. Valikuline dokkimisklausel (klausel 7) ei kehti;
   4. Punktis 11 (Heastamine) sisalduv valikuline sõnastus ei kehti;
   5. Kehtiv seadus punkti 17 (Kehtiv õigus) tähenduses on Hollandi õigus;
   6. Punkti 18 (kohtu ja kohtualluvuse valik) kohased kohtud on Hollandi kohtud, kui pooled ei ole põhilepingus teisiti kokku leppinud; ja
   7. Pädev järelevalveasutus SCC-de punkti 13 (Järelevalve) tähenduses on Hollandi andmekaitseamet (Autoriteit Persoonsgegevens), kui pooled ei ole põhilepingus teisiti kokku leppinud.
   8. Pooled kinnitavad, et nad ei usu, et seadused ja tavad üheski riigis, kuhu Uberi isikuandmeid põhilepingu eesmärkidel edastatakse, takistavad teenusepakkujal SCC-dest tulenevaid kohustusi täita.
   9. SCC-de 1. lisa asemel lepivad pooled kokku järgmises.
      1. Uberi kui andmete eksportija ja teenusepakkuja kui andmete importija isiku- ja kontaktandmed on määratletud põhilepingus ja käesolevas lepingus.
         
      2. Töötlemise olemus ja eesmärk (eesmärgid) on seotud teenustega või on muul viisil põhilepingus või käesolevas lepingus sätestatud.
      3. Teenusepakkuja säilitab edastatud Uberi isikuandmeid põhilepingus või käesolevas lepingus sätestatud viisil.
      4. Uberi andmesubjektide ja edastatavate Uberi isikuandmete kategooriad on dokumenteeritud enne Uberi isikuandmete töötlemist tehtud riskihinnangus.
      5. SCC-de 2. lisa asemel nõustuvad pooled järgima käesoleva lepingu 1. lisa.
      6. SCC-de 3. lisa asemel (kui see on kohaldatav) lepivad pooled kokku, et Uberi isikuandmete volitatud alltöötlejad on need, kes on kindlaks tehtud enne Uberi isikuandmete töötlemist tehtud riskihinnangus, või need, kes on muul viisil käesolevas lepingus või põhilepingus täpsustatud.
2. Ühendkuningriik. Kui teenusepakkuja teenused hõlmavad Uberi andmesubjektide isikuandmete edastamist Ühendkuningriigis jurisdiktsiooni, mis ei taga piisavat andmekaitse taset, kohalduvad SCC-d dokumendi UK Addendum to the EU Standard Contractual Clauses tingimuste kohaselt, mille on välja andnud Information Commissioner's Office Ühendkuningriigi 2018. aasta andmekaitseseaduse punkti 119A alusel („Ühendkuningriigi lisa“). Selline Ühendkuningriigi lepingulisa loetakse teenusepakkuja ja Uberi vahel täidetuks, arvestades käesoleva lepingu punkti 3.5 alapunkti b .
3. Brasiilia. Kui teenusepakkuja isikuandmete töötlemine hõlmab Uberi andmesubjektide Uberi isikuandmete piiriülest edastamist Brasiilias poolte vahel või kolmandatele isikutele, tagab teenusepakkuja kõigi kehtivate andmekaitseseaduste, sealhulgas asjakohaste õigusnormide vastuvõtmise mehhanismide, nagu lepingu tüüptingimuste või muude seadusega nõutavate dokumentide järgimise, ja tagab, et töötlemine tagab isikuandmetele vähemalt sama kaitsetaseme ja kaitsemeetmed, nagu on sätestatud käesolevas lepingus.
   1. Uberi andmesubjektide isikuandmete piiriülene edastamine osapoolte vahel Brasiilias. Kui isikuandmete töötlemine hõlmab Uberi andmesubjektide Uberi isikuandmete piiriülest edastamist osapoolte vahel Brasiilias riiki või territooriumile, kus pädev asutus ei ole tunnistanud piisavat andmekaitse taset, kaasavad pooled käesolevaga, nagu siin täielikult sätestatud, ja nõustuvad järgima Brasiilia andmekaitseameti 2024. aasta resolutsiooni nr 19 (Brasiilia SCC-d) II lisas sisalduvaid Brasiilia lepingu tüüptingimusi, mis on saadaval aadressil: Brasiilia lepingu tüüptingimused. Sellistel juhtudel kehtib järgmine kord.
      1. Mis tahes piiriülese isikuandmete edastamise puhul käsitletakse Uberit või mõnda tema sidusettevõtet andmetöötlusesindajana.
      2. Brasiilia SCC-de punktis 1.1 sisalduvad teabetabelid asendatakse Uberi ja teenusepakkuja kvalifikatsiooni- ja kontaktandmetega, nagu on sätestatud põhilepingus, käesolevas lepingus ja kummagi poole isikuandmete töötlemise teatises.
      3. Brasiilia SCC-de punktis 1.1 sätestatud märkeruutude puhul, mis käsitlevad poolte rolle, loetakse Uberi jaoks märgistatuks ruut „Eksportija / vastutav töötleja“. Teenusepakkuja puhul loetakse valituks märkeruut „Importija“, mis vastab teenusepakkuja klassifikatsioonile käesoleva lepingu punktis 3.1 („Poolte roll“) või põhilepingus.
      4. Pooled lepivad kokku, et: i) Uberi isikuandmete piiriülese edastamise peamine eesmärk on põhilepingus või käesolevas lepingus nimetatud teenuste osutamine; ii) edastatud Uberi isikuandmeid säilitatakse põhilepingus või käesolevas lepingus sätestatud viisil kooskõlas kehtiva andmekaitseseaduse ja kummagi poole isikuandmete töötlemise teatisega; ja iii) edastatud Uberi andmesubjektide kategooriad ja vastavad Uberi isikuandmed on need, mis on dokumenteeritud enne selliste isikuandmete töötlemist tehtud riskihinnangus. See teave asendab Brasiilia SCC-de punktis 2.1 sisalduvat andmeedastuse kirjelduse tabelit.
      5. Brasiilia SCC-de punkti 3.1, mis käsitleb edastamisi, kohaldamisel lepivad pooled kokku, et juhul, kui mõlemad pooled tegutsevad vastutavate töötlejatena, kohaldatakse võimalust A. Kui teenusepakkuja tegutseb volitatud töötlejana, rakendatakse võimalust B ja punktis 3.1 esitatud kirjeldav tabel asendatakse riskihinnanguga, mis on tehtud enne Uberi isikuandmete töötlemist teenusepakkuja poolt või põhilepingus sätestatud viisil.
      6. Brasiilia SCC-de punkti 4.1, mis käsitleb poolte kohustusi, kohaldamisel lepivad pooled kokku, et kohaldatakse võimalust A ja et nii eksportija kui ka importija vastutavad punktides a, b ja c sätestatud kohustuste täitmise eest ning mõlemad pooled tegutsevad vastutavate töötlejatena. Kui teenusepakkuja tegutseb vastutava töötlejana, vastutab selliste kohustuste eest ainuüksi Uber.
      7. Brasiilia SCC-de III jaotises olev tabel asendatakse käesoleva lepingu 1. lisaga.
   2. Saudi Araabia. Kui teenusepakkuja isikuandmete töötlemine hõlmab Saudi Araabias asuvate Uberi andmesubjektide Uberi isikuandmete edastamist riiki või territooriumile, mida pädev asutus ei ole tunnistanud piisavat andmekaitse taset pakkuvaks, kaasavad pooled käesolevaga ja nõustuvad järgima isikuandmete edastamise lepingu tüüptingimuste 2024. aasta septembri versiooni 1.0 („KSA SCC-d“), mille on heaks kiitnud Saudi Araabia andmete ja tehisintellekti amet (SDAIA), kui pooled ei ole käesolevas lepingus teisiti kokku leppinud. Kui SCC-d on kaasatud:
      1. Vorm 1: (Vastutavalt töötlejalt vastutavale töötlejale) kehtib, kui teenusepakkuja on määratud vastutavaks töötlejaks;
      2. Vorm 2: (astutavalt töötlejalt volitatud töötlejale) kehtib, kui teenusepakkuja on määratud volitatud töötlejaks;
      3. Kehtiv seadus klausli 8 (Kehtiv seadus ja kohtualluvus) tähenduses on Saudi Araabia kuningriigi õigus. Kõik nende klauslite sätete kohaldamisest tulenevad vaidlused kuuluvad kuningriigi jurisdiktsiooni alla ja lahendatakse selle kohtutes;
      4. Pädev asutus punkti 9 (Pädeva asutuse nõuete täitmine) tähenduses on Saudi Araabia andmete ja tehisintellekti amet (SDAIA);
      5. Pooled kinnitavad, et nad ei usu, et seadused ja tavad üheski riigis, kuhu Uberi isikuandmeid põhilepingu eesmärkidel edastatakse, takistavad teenusepakkujal „isikuandmete importijana“ KSA SCC-dest tulenevaid kohustusi täita ja järgida;
      6. 1. lisa kohaldamisel on poolte andmed sätestatud käesolevas lepingus ja põhilepingus. Uber on määratud Uberi andmesubjektide isikuandmete eksportijaks ja vastutavaks töötlejaks, samas kui teenusepakkuja on määratud Uberi andmesubjektide isikuandmete importijaks, kes täidab käesoleva lepingu punktis 3.1 „Poolte roll“ nimetatud rolli;
      7. 2. lisa kohaldamisel lepivad pooled kokku järgmist.
         1. Uberi andmesubjektide ja edastatavate Uberi isikuandmete kategooriad on dokumenteeritud enne Uberi isikuandmete töötlemist tehtud riskihinnangus.
         2. Üleandmise eesmärk (eesmärgid) on seotud teenustega või muul viisil põhilepingus või käesolevas lepingus määratletud.
         3. Teenusepakkuja säilitab edastatud Uberi isikuandmeid põhilepingus või käesolevas lepingus sätestatud viisil.
         4. KSA SCC-de 3. lisa asemel nõustuvad pooled järgima käesoleva lepingu 1. lisa.

1. Uberi privaatsusteatest leiad Uberi konfidentsiaalse teabe vastutavad töötlejad oma piirkonnas. Kui Uberi nimel sõlmib selle lepingu keegi muu kui vastutav töötleja, on ta saanud selleks asjaomas(t)elt vastutava(te)lt töötleja(te)lt volitused. Uber jätab endale õiguse määrata selle lepingu eesmärkidel vastutavaks andmetöötlejaks teise Uberi sidusettevõtte. ↑