LumiraDx Platform -ohjelmiston lisenssi

LumiraDx UK Ltd

LumiraDx Platform -ohjelmiston lisenssi

Voimassa tammikuusta 2020 alkaen

Tämä lisenssisopimus (yhdessä LumiraDx UK Ltd:n tietosuojakäytännön kanssa) (”lisenssi”) on laillinen sopimus, jonka osapuolina ovat organisaatio (määritelty alla) ja LumiraDx UK Ltd, joka on Englannissa ja Walesissa yritystunnuksella 09206123 rekisteröity yhtiö, jonka rekisteröity toimipaikka on osoitteessa 3 More London Riverside, London, SE1 2AQ (”LumiraDx, me tai meille”), ja tätä lisenssisopimusta sovelletaan seuraavien käyttöön organisaation toimesta:

  • Instrument-laiteohjelmisto (määritelty alla)
  • Connect Manager, kun organisaatio on ladannut kopion Connect Managerista mobiililaitteeseensa tai avannut Connect Managerin (kaikki määritelty alla) verkkoselaimella
  • palvelut (määritelty alla)
  • dokumentaatio (määritelty alla).

LumiraDx lisensoi Connect Managerin organisaatiolle tämän lisenssin nojalla ja kaikkien sellaisten sääntöjen ja käytäntöjen mukaisesti, joita sovelluskauppa tai operaattori, jonka sivustolta organisaatio lataa Connect Managerin, noudattaa (”sovelluskaupan säännöt”).

TÄRKEÄ HUOMAUTUS:

Käyttämällä Instrument-laiteohjelmistoa ja/tai Connect Manageria tai valitsemalla ”Hyväksyn”-ruudun, organisaatio ja sen käyttäjät vahvistavat hyväksyvänsä tämän lisenssin ehdot. Organisaation vastuulla on varmistaa, että sen käyttäjät noudattavat tämän lisenssin ehtoja. Erityisesti mainittakoon, että tähän lisenssiin sisältyvät lausekkeessa 11 kuvatut vastuurajoitukset.

1.    TULKINTA

1.1    Tässä lausekkeessa esitettyjä määritelmiä ja tulkintasääntöjä sovelletaan yleisesti ja tähän lisenssiin:

Arkipäivä: muu päivä kuin lauantai, sunnuntai tai yleinen vapaapäivä Englannissa, jolloin pankit ovat Lontoossa auki.

Luottamukselliset tiedot: kaikki tiedot, jotka jompikumpi osapuoli on nimennyt luottamukselliseksi tai joita tulisi pitää luottamuksellisina (riippumatta siitä, kuinka tietoja välitetään tai missä niitä säilytetään), mukaan lukien tiedot, jotka vahingoittaisivat tai todennäköisesti vahingoittaisivat kenen tahansa henkilön kaupallisia etuja, sekä osapuolien liikesalaisuudet, immateriaalioikeudet tai tietotaito ja kaikki tietosuojalainsäädännössä tarkoitetut henkilötiedot ja arkaluontoiset tiedot.

Connect Manager: verkko-ohjelmistokomponentti nimeltä Connect Manager (ja kaikki sen päivitykset ja lisäosat), jonka LumiraDx omistaa ja jota se lisensoi ja jota voidaan käyttää diagnostisen laitteen kanssa hallinnoidussa tilassa. 

Tietosuojalainsäädäntö: yleinen tietosuoja-asetus ((EU) 2016/679) (”GDPR”) ja kaikki kansalliset täytäntöönpanolait ja asetukset sekä toissijainen lainsäädäntö, Yhdistyneen kuningaskunnan tietosuojalaki (Data Protection Act 2018), EU:n tietosuojadirektiivi 95/46/EY, Yhdistyneen kuningaskunnan tutkintavaltuuksia koskeva laki (Regulation of Investigatory Powers Act 2000), Yhdistyneen kuningaskunnan säädös Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000, EU:n sähköisen viestinnän tietosuojadirektiivi (2002/58/EY), sähköisen viestinnän tietosuojasta vuonna 2003 annetut määräykset (EU:n direktiivi) ja kaikki sovellettavat lait ja asetukset, jotka liittyvät henkilötietojen käsittelyyn ja tietosuojaan, mukaan lukien soveltuvin osin tietosuojaviranomaisen antamat ohjeet ja käytännesäännöt.

Rekisterinpitäjä: määritelty GDPR-asetuksessa. 

Tietojen käsittelijä: määritelty GDPR-asetuksessa. 

Diagnostinen laite: LumiraDx:n organisaatiolle toimittama diagnostinen laite. 

Dokumentaatio: LumiraDx:n toimittama fyysinen ja sähköinen dokumentaatio, joka liittyy LumiraDx Platform -ohjelmistoon. 

FOIA-laki: Tiedonvapauslaki (Freedom of Information Act 2000) ja kaikki siitä kulloinkin johdettu lainsäädäntö yhdessä kaikkien ohjeiden ja/tai käytännesääntöjen kanssa, joita tietosuojaviranomainen tai asiaankuuluva ministeriö antaa tällaiseen lainsäädäntöön liittyen.

Instrument-laiteohjelmisto: mikä tahansa diagnostiseen laitteeseen asennettu ohjelmistokomponentti (ja kaikki sen päivitykset ja lisäosat), jonka LumiraDx omistaa ja lisensoi. 

Immateriaalioikeudet: patentit, hyödyllisyysmallit, oikeudet keksintöihin, tekijänoikeudet sekä näiden lähioikeudet ja niihin liittyvät oikeudet, tavara- ja palvelumerkit, toiminimet ja verkkotunnukset, ulkoasu, liikearvo sekä oikeus nostaa kanne väärinkäytöstä tai epäreilusta kilpailusta, mallioikeudet, tietokantaoikeudet ja käyttöoikeudet sekä luottamuksellisten tietojen (mukaan lukien tietotaito ja liikesalaisuudet) ja kaikkien muiden immateriaalioikeuksien suojeleminen, riippumatta siitä, onko niitä rekisteröity vai ei, ja mukaan lukien kaikki hakemukset ja oikeudet, joita voidaan hakea ja myöntää, uusia tai jatkaa, sekä oikeudet vaatia etuoikeutta, näiden kattaessa kaikki tällaiset oikeudet tai niitä vastaavat oikeudet tai suojamuodot, jotka ovat voimassa nyt tai tulevaisuudessa missä tahansa päin maailmaa.

Avoimen lähdekoodin ohjelmisto: Open Source Initiativen (http://opensource.org) tai Free Software Foundationin (http://www.fsf.org) määritelmän mukainen avoimen lähdekoodin ohjelmisto.

Organisaatio: oikeushenkilö, joka pyytää rekisterinpitäjänä toimivalta LumiraDx:ltä lisenssiä LumiraDx Platform -ohjelmiston käyttöä varten. 

LumiraDx-konserni: tarkoittaa LumiraDx:ää, sen tytäryhtiöitä ja holding-yhtiötä sekä holding-yhtiön tytäryhtiöitä. Jokainen LumiraDx-konsernin yhtiö on LumiraDx-konsernin jäsen ja termiä ”LumiraDx:n konserniyhtiö” tulkitaan tämän mukaisesti. 

LumiraDx Platform -ohjelmisto: Instrument-laiteohjelmisto ja Connect Manager. 

Hallinnoitu tila: diagnostisen laitteen ja Instrument-laiteohjelmiston käyttö yhdessä Connect Managerin kanssa, jolloin organisaatio voi siirtää potilastietoja Connect Manageriin. 

Mobiililaite: organisaation matkapuhelin tai kannettava laite. 

Normaali työaika: klo 9.00−17.00 Ison-Britannian paikallista aikaa, joka arkipäivä.

Potilas/potilaat: kyseisen organisaation hoito-/lääkäripalveluita käyttävä(t) henkilö(t).

Potilastiedot: kliiniset tiedot (henkilötiedot mukaan lukien, mutta niihin kuitenkaan rajoittumatta), joita organisaatio kerää potilaiden hoidon yhteydessä ja joita organisaation käyttäjät syöttävät LumiraDx Platform -ohjelmistoon. 

Henkilötiedot: määritelty GDPR-asetuksessa.

Tietopyyntö: tarkoittaa tietopyyntöä tai FOIA-lain mukaista ilmeistä pyyntöä. 

Palvelut: kaikki Connect Managerin kautta käytettävissä olevat palvelut sekä sisältö, jota LumiraDx toimittaa organisaatiolle sen kautta. 

Käyttäjät: kaikki henkilöt, jotka organisaatio valtuuttaa käyttämään LumiraDx Platform -ohjelmistoa, mukaan lukien työntekijät, edustajat ja itsenäiset toimeksisaajat (eli lääkärit).

1.2    Lausekkeiden, liitteiden ja kappaleiden otsikot eivät vaikuta tämän lisenssin tulkintaan.

1.3    Liitteet ovat osa tätä lisenssiä ja voimassa niin kuin ne olisivat kokonaisuudessaan esitetty tämän lisenssin tekstissä. Kaikki viittaukset tähän lisenssiin kattavat myös liitteet.

1.4    Kaikkien sanojen, jotka seuraavat termejä ”mukaan lukien”, ”sisältää”, ”erityisesti”, ”esimerkiksi” ja muita vastaavia ilmauksia, katsotaan olevan esimerkinomaisia, eivätkä ne rajoita kyseisiä termejä edeltävien sanojen, kuvausten, määritelmien, ilmausten tai termien merkityksiä.

2.    ASENNUS

LumiraDx varmistaa, että jokaiseen diagnostiseen laitteeseen on valmiiksi asennettuna yksi Instrument-laiteohjelmiston kopio.

3.    LISENSSIN MYÖNTÄMINEN

3.1    Edellyttäen, että organisaatio ja käyttäjät sitoutuvat noudattamaan tämän lisenssin ehtoja, LumiraDx myöntää täten organisaatiolle ja käyttäjille ei-yksinomaisen ja ei-siirrettävissä olevan oikeuden käyttää LumiraDx Platform -ohjelmistoa, palveluita ja dokumentaatiota organisaatiossaan sillä alueella, jolla niillä on valtuudet käyttää diagnostisia laitetta potilaiden hoidossa ja sinä aikana, jona organisaatio käyttää diagnostisia laitetta, ellei irtisanomista tehdä tämän lisenssin mukaisesti.

3.2    LumiraDx:llä on oikeus milloin tahansa poistaa käytöstä mikä tahansa salasana, oli se sitten organisaation valitsema tai LumiraDx:n antama, jos organisaatio tai käyttäjät eivät sen kohtuullisen arvion mukaan ole noudattaneet jotakin tämän lisenssin ehtoa.

3.3    Organisaatiolle voidaan toimittaa LumiraDx Platform -ohjelmiston päivityksiä, jotka ajoittain sisältävät myös korjaustiedostoja ja virheenkorjausratkaisuja.

3.4    Organisaatio saa

(a)    antaa vain yli 18-vuotiaiden käyttäjien käyttää LumiraDx Platform -ohjelmistoa, palveluita ja dokumentaatiota

(b)    käyttää LumiraDx Platform -ohjelmistoa ja palveluita vain LumiraDx:n toimittaman diagnostisen laitteen kanssa

(c)    käyttää dokumentaatiota vain tukeakseen lausekkeiden 3.5(a) ja 3.5(b) mukaista LumiraDx Platform -ohjelmiston ja palveluiden käyttöä.

3.5    Ellei tässä lisenssissä nimenomaisesti toisin ilmoiteta tai ellei laki sitä salli, organisaatio ei saa

(a)    kopioida LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota

(b)    asettaa LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota kenenkään organisaation ulkopuolisen tahon saataville tai käyttöön

(c)    vuokrata, liisata, alilisensoida, levittää, lainata, kääntää, yhdistää, mukauttaa, muunnella tai muokata LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota

(d)    tehdä muutoksia LumiraDx Platform -ohjelmistoon, palveluihin tai dokumentaatioon tai mihinkään niiden osiin tai tehdä muunnelmia edellä mainituista

(e)    sallia LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation tai niiden osien yhdistämistä tai sisällyttämistä muihin ohjelmiin tai dokumentaatioon ilman LumiraDx:n etukäteen antamaa kirjallista lupaa

(f)    purkaa, kääntää lähdekielelle, takaisinmallintaa tai käyttää jälkiperäisteosten luomiseen LumiraDx Platform -ohjelmistoa tai palveluita tai mitään niiden osaa

(g)    käyttää LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota tai mitään niiden osaa LumiraDx Platform -ohjelmiston tai palveluiden kanssa kilpailevan tuotteen kehittämiseen

(h)    antaa tai muutoin asettaa LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota kokonaan tai osittain (kohde- ja lähdekoodi mukaan luettuina) ja missä tahansa muodossa kenenkään henkilön saataville, jota ei tässä lausekkeessa 3 ole määritetty, ilman LumiraDx:n etukäteen antamaa kirjallista lupaa

(i)    siirtää tai myydä kolmannelle osapuolelle diagnostista laitetta, johon Instrument-laiteohjelmisto on asennettu, ilman LumiraDx:n etukäteen antamaa kirjallista lupaa (yhdessä ”lisenssirajoitukset”).

3.6    Organisaatio ei saa

(a)    käyttää LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota millään laittomalla tavalla, mihinkään laittomaan tarkoitukseen tai millään tämän lisenssin vastaisella tavalla eikä toimia vilpillisellä tai haitallisella tavalla, kuten esimerkiksi hakkeroimalla tai levittämällä haittakoodia (virukset mukaan lukien) Connect Manageriin, palveluihin tai dokumentaatioon tai mihinkään käyttöjärjestelmään

(b)    käyttää LumiraDx Platform -ohjelmistoa mihinkään muuhun tarkoitukseen kuin diagnostisen laitteen käytön yhteydessä otettuihin kokeisiin ammattimaisessa ympäristössä

(c)    loukata LumiraDx:n tai minkään kolmannen osapuolen immateriaalioikeuksia LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation käyttöönsä liittyen (siltä osin kuin tällaista käyttöä ei sallita tässä lisenssissä)

(d)    välittää LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation käyttöönsä liittyen mitään materiaalia, joka on halventavaa, loukkaavaa tai muuten sopimatonta

(e)    käyttää LumiraDx Platform -ohjelmistoa, palveluita tai dokumentaatiota tavalla, joka voisi vahingoittaa, estää, ylikuormittaa, heikentää tai vaarantaa LumiraDx:n järjestelmiä tai turvallisuutta tai haitata muita käyttäjiä

(f)    ellei lausekkeesta 12.2(d) muuta johdu, kerätä tietoja tai dataa LumiraDx Platform -ohjelmistosta, palveluista tai dokumentaatiosta (yhdessä ”sallittua käyttöä koskevat rajoitukset”).

3.7    LumiraDx noudattaa arkistointimenettelyitään Connect Managerin käsittelemien potilastietojen osalta (kuten LumiraDx:n varmuuskopiointikäytännössä kuvataan; kopio käytännöstä on saatavilla pyynnöstä). Jos potilastietoja kadotetaan, vahingoitetaan tai muutetaan vahingossa tai lainvastaisesti, tai jos potilastietoja luovutetaan tai niihin päästään luvattomasti, LumiraDx ilmoittaa asiasta organisaatiolle viipymättä saatuaan tiedon tapahtuneesta. Organisaation ainoa ja yksinomainen oikeussuojakeino on, että LumiraDx:n on kaupallisesti kohtuullisin keinoin palautettava potilastiedot uusimmista varmuuskopioista. LumiraDx ei ole vastuussa mistään potilastietojen menettämisestä, tuhoamisesta, muuttamisesta tai luovuttamisesta, joka johtuu kolmannesta osapuolesta, paitsi kun LumiraDx on palkannut kyseisen kolmannen osapuolen käsittelijän käsittelemään potilastietoja lausekkeen 4.6 mukaisesti.

4.    TIETOSUOJA

4.1    Kumpikin osapuoli täyttää kaikki tietosuojalainsäädäntöön perustuvat velvoitteensa, joita syntyy tähän lisenssiin liittyen. Tämä lauseke 4.1 täydentää tietosuojalainsäädäntöön perustuvia osapuolten velvollisuuksia; se ei vapauta osapuolia näistä velvollisuuksista, eikä poista tai korvaa niitä.

4.2    Organisaatio on yksin vastuussa potilastiedoista. Jollei tästä lausekkeesta 4 muuta johdu, LumiraDx:llä ei ole oikeuksia potilastietoihin.

4.3    LumiraDx käsittelee organisaation työntekijöihin, edustajiin ja itsenäisiin toimeksisaajiin liittyviä henkilötietoja noudattaen omaa tietosuojakäytäntöään, joka kulloinkin on nähtävissä sen verkkosivustolla. Tämän lausekkeen 4.3 tarkoituksia varten LumiraDx on kyseisten henkilötietojen rekisterinpitäjä.

4.4    Osapuolet ymmärtävät, että tietosuojalainsäädännön tarkoituksia varten organisaatio toimii rekisterinpitäjänä ja LumiraDx toimii henkilötietojen käsittelijänä niiden potilastietojen ja muiden asiaan liittyvien henkilötietojen osalta, joita organisaatio toimittaa LumiraDx:lle lausekkeiden 4.5 ja 4.6 mukaista käsittelyä varten. Liitteessä 1 määritetään LumiraDx:n toimesta tapahtuvan käsittelyn laajuus, luonne ja tarkoitus sekä henkilötietojen tyypit ja rekisteröityjen ryhmät (määritelty tietosuojalainsäädännössä).

4.5    Lausekkeessa 4.1 mainitusta yleisestä velvoitteesta huolimatta on potilastietoja käsiteltäessä toimittava seuraavasti:

(a)    Organisaation on varmistettava, että asianmukaisille kolmansille osapuolille, kuten potilaille, on kerrottu tällaisesta käytöstä, käsittelystä (mukaan lukien liitteessä 1 määritelty käsittely) ja siirrosta ja että he ovat antaneet siihen suostumuksensa tietosuojalainsäädännön edellyttämällä tavalla.

(b)    LumiraDx:n on noudatettava seuraavia vaatimuksia:

(i)    LumiraDx saa käsitellä kyseisiä potilastietoja vain noudattaen organisaation kirjallisia ohjeita, jotka on määritetty liitteessä 1, elleivät LumiraDx:ää koskevat Euroopan unionin jäsenvaltion lait tai Euroopan unionin lait edellytä, että LumiraDx käsittelee potilastietoja (”sovellettavat lait”). Jos LumiraDx käsittelee potilastietoja sovellettavien lakien nojalla, LumiraDx:n on viipymättä ilmoitettava käsittelystä organisaatiolle ennen sovellettavien lakien edellyttämää käsittelyä, elleivät kyseiset sovellettavat lait kiellä LumiraDx:ää ilmoittamasta asiasta organisaatiolle.

(ii)    LumiraDx:n on varmistettava, että se on toteuttanut asianmukaiset tekniset, sopimusperusteiset ja organisatoriset toimenpiteet potilastietojen suojelemiseksi luvattomalta tai lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Ottaen huomioon teknisen kehityksen ja toimenpiteiden toteuttamisesta aiheutuvat kulut toimenpiteiden on oltava asianmukaisia suojeltavien tietojen luonteeseen sekä siihen vahinkoon nähden, jota tietojen luvaton tai lainvastainen käsittely tai vahingossa tapahtuva häviäminen, tuhoutuminen tai vahingoittuminen saattaisi aiheuttaa.

(iii)    LumiraDx:n on varmistettava, että kaikilla potilastietoihin pääsevillä ja/tai niitä käsittelevillä työntekijöillä on velvollisuus pitää potilastiedot luottamuksellisina.

(iv)    LumiraDx:n on organisaation kustannuksella avustettava organisaatiota rekisteröityjen pyyntöihin vastaamisessa ja sen varmistamisessa, että se täyttää tietosuojalainsäädäntöön perustuvat velvollisuutensa turvallisuuden, tietoturvaloukkauksista ilmoittamisen, vaikutusten arviointien sekä valvonta- ja sääntelyviranomaisten konsultoimisen osalta.

(v)    LumiraDx:n on viipymättä ilmoitettava organisaatiolle, jos sen tietoon tulee potilastietojen tietoturvaloukkaus.

(vi)    LumiraDx:n on varmistettava, ettei se tietoisesti tai huolimattomuuttaan tee tai laiminlyö mitään, minkä vuoksi organisaatio rikkoisi tietosuojalainsäädäntöön perustuvia organisaation velvoitteita.

(vii)    LumiraDx:n on ylläpidettävä täydellisiä ja täsmällisiä kirjauksia ja tietoja potilastietojen käsittelytoimistaan voidakseen osoittaa noudattavansa tätä lauseketta 4.

(viii)    LumiraDx ei saa siirtää mitään potilastietoja ETA-alueen ulkopuolelle käyttämättä asianmukaisia suojatoimia. Organisaatio hyväksyy, että organisaation työntekijöihin, edustajiin tai itsenäisiin toimeksisaajiin liittyviä henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle edellyttäen, että siirrossa käytetään asianmukaisia suojatoimia ja että LumiraDx varmistaa riittävän tietosuojan tason kaikkien siirrettyjen potilastietojen osalta.

4.6    Organisaatio suostuu siihen, että LumiraDx nimittää kolmannen osapuolen tietovarastojen tarjoajia (joihin kuuluvat myös mitkä tahansa LumiraDx-konsernin jäsenet), kolmannen osapuolen toimittajia, kolmannen osapuolen laitetoimittajia (mukaan lukien diagnostisten laitteiden toimittajat) ja kolmannen osapuolen palveluntarjoajia (jotka voivat tarjota puhelintukipalveluita tai teknisiä tukipalveluita) kolmannen osapuolen henkilötietojen käsittelijöiksi tämän lisenssin nojalla. LumiraDx vahvistaa, että se on solminut tai (tapauksen mukaan) solmii kolmannen osapuolen käsittelijän kanssa kirjallisen sopimuksen, joka olennaisilta osiltaan vastaa kyseisen kolmannen osapuolen tavanomaisia liiketoimintaehtoja. Organisaation ja LumiraDx:n keskinäisen suhteen osalta LumiraDx on täysimääräisesti vastuussa tämän lausekkeen 4.6 nojalla nimittämänsä kolmannen osapuolen käsittelijän kaikista toimista tai laiminlyönneistä.

4.7    Organisaatio hyväksyy, että LumiraDx voi luoda organisaation LumiraDx Platform -ohjelmistoon syöttämistä potilastiedoista anonymisoituja tietoja sillä edellytyksellä, että terveystietojen julkaisemista koskevaa anonymisointistandardia ISB1523 noudatetaan.

5.    EHDOLLISUUSLAUSEKE

5.1    Seuraavaa ehtoa noudatetaan, jos Yhdistynyt kuningaskunta eroaa Euroopan unionista ilman erosopimusta (tai erosopimuksen mukainen siirtymäaika päättyy ennen kuin Euroopan komissio on tehnyt Yhdistyneen kuningaskunnan osalta henkilötietojen riittävää suojaa koskevaa päätöstä):

(a)    Osapuolet sopivat täten Euroopan komission päätöksen 2010/87/EU liitteen 2 mukaisten mallisopimuslausekkeiden (Standard Contractual Clauses, SCCs) käytöstä ja sopivat, että jos muita asianmukaisia suojatoimia tai poikkeuksia ei sovelleta, tämän lisenssin (ja GDPR-asetuksen V luvun) piiriin kuuluvia potilastietoja siirretään kyseisestä päivästä lähtien mallisopimuslausekkeiden mukaisesti, ilman mahdollisia valinnaisia lausekkeita. Osapuolet sopivat pyrkivänsä parhaansa mukaan täyttämään mallisopimuslausekkeiden liitteet mahdollisimman nopeasti ja kaikissa tapauksissa 30 päivän kuluessa, jotta lausekkeet saadaan täysimääräisesti voimaan. Jos tämän lisenssin ja mallisopimuslausekkeiden välillä on ristiriita, mallisopimuslausekkeiden ehtoja noudatetaan.

6.    TIEDONVAPAUS

6.1    LumiraDx ymmärtää, että organisaatio saattaa kuulua FOIA-lain vaatimusten piiriin ja avustaa organisaatiota ja tekee sen kanssa yhteistyötä (organisaation kustannuksella), jotta organisaatio voisi noudattaa näitä tietojen luovuttamista koskevia vaatimuksia.

6.2    LumiraDx:n on noudatettava seuraavia vaatimuksia:

(a)    LumiraDx:n on toimitettava kaikki tietopyynnöt organisaatiolle mahdollisimman pian tietopyynnön vastaanottamisen jälkeen.

(b)    LumiraDx:n on toimitettava mahdollisimman nopeasti (tai organisaation ilmoittamassa pidemmässä ajassa) ja siinä muodossa, jota organisaatio edellyttää, organisaatiolle kopiot kaikista sen hallussa tai hallinnassa olevista tiedoista, jotka koskevat tietopyynnön esittänyttä organisaatiota.

(c)    LumiraDx:n on annettava kaikki tarpeellinen apu, jota organisaatio voi kohtuudella pyytää, jotta organisaatio voisi vastata tietopyyntöön FOIA-lain kohdassa 10 määritetyssä ajassa.

6.3    LumiraDx ei saa missään tilanteessa vastata tietopyyntöön suoraan.

7.    ORGANISAATION VELVOLLISUUDET

7.1    Organisaatiolla on seuraavat velvollisuudet:

(a)    Organisaation on hankittava mobiililaitteiden omistajien lupa, jos se lataa Connect Managerin mobiililaitteille tai käyttää sitä mobiililaitteissa, joita organisaatio hallinnoi, mutta ei omista.

(b)    Organisaation on kohdeltava salasanoja ja kaikkia LumiraDx:n turvallisuusmenettelyiden osana annettuja muita tietoja luottamuksellisina. Organisaatio ei saa luovuttaa niitä millekään kolmannelle osapuolelle.

(c)    Organisaation on varmistettava, että kaikki sen LumiraDx Platform -ohjelmiston käyttäjät noudattavat tätä lisenssiä ja käyttävät sitä ainoastaan lausekkeessa 3 kuvattuihin tarkoituksiin.

(d)    Organisaation on varmistettava, että kaikki sen LumiraDx Platform -ohjelmiston käyttäjät noudattavat dokumentaatiossa (käyttöohje mukaan lukien) annettuja LumiraDx Platform -ohjelmiston käyttöön liittyviä menettelytapoja ja ohjeita.

(e)    Tehtävä kaikissa tilanteissa yhteistyötä LumiraDx:n kanssa ja annettava LumiraDx:n kohtuudella pyytämät tiedot.

(f)    Organisaation on valvottava ja hallittava LumiraDx Platform -ohjelmiston käyttöä tämän lisenssin ehtojen mukaisesti ja varmistettava, että LumiraDx Platform -ohjelmistoa käyttävät ainoastaan asianmukaisen pätevyyden ja koulutuksen omaavat terveydenhuollon ammattilaiset.

(g)    Organisaation on ilmoitettava LumiraDx:lle välittömästi kaikista haitallisista tapahtumista, joihin LumiraDx Platform -ohjelmisto on saattanut myötävaikuttaa. Organisaatio sitoutuu lisäksi toimittamaan kirjalliset tiedot tapahtumista ja tekemään yhteistyötä LumiraDx:n kanssa sen tutkiessa tapahtumaa. Organisaatio ymmärtää ja hyväksyy, että kaikki haitalliseen tapahtumaan liittyvä viestintä katsotaan luottamukselliseksi tiedoksi, joka kuuluu lausekkeessa 9 määritettyjen luottamuksellisuusvelvollisuuksien piiriin.

(h)    Organisaation on ilmoitettava kaikista LumiraDx Platform -ohjelmistossa ilmenevistä toimintahäiriöistä, ongelmista ja vioista LumiraDx:lle. Organisaatio ymmärtää ja hyväksyy, että kaikki LumiraDx Platform -ohjelmiston toimintahäiriöitä, ongelmia ja vikoja koskeva viestintä katsotaan luottamukselliseksi tiedoksi, joka kuuluu lausekkeessa 8 määritettyjen luottamuksellisuusvelvollisuuksien piiriin.

(i)    Organisaatio ei salli minkään kolmannen osapuolen antaa teknistä tukea LumiraDx Platform -ohjelmistoon, palveluihin tai dokumentaatioon liittyen.

8.    OMISTUSOIKEUDET

8.1    Organisaatio ymmärtää, että LumiraDx ja/tai sen lisenssinantajat (jotka ovat LumiraDx Platform -ohjelmistossa käytettyjen kolmannen osapuolen immateriaalioikeuksien omistajia) omistavat kaikki LumiraDx Platform -ohjelmiston, palveluiden ja dokumentaation immateriaalioikeudet. Tämä lisenssi ei anna organisaatiolle mitään oikeuksia patentteihin, tekijänoikeuksiin, tietokantaoikeuksiin, liikesalaisuuksiin, kauppanimiin tai tavaramerkkeihin (riippumatta siitä, ovatko ne rekisteröityjä vai eivät) tai mitään muita oikeuksia tai lisenssejä, jotka liittyvät LumiraDx Platform -ohjelmistoon, palveluihin tai edellä mainittuihin liittyvään dokumentaatioon, lukuun ottamatta oikeutta käyttää niitä tämän lisenssin mukaisesti.

8.2    Organisaatio ymmärtää, että sillä ei ole mitään oikeutta päästä LumiraDx Platform -ohjelmistoon lähdekoodimuodossa.

9.    LUOTTAMUKSELLISUUS

9.1    LumiraDx ymmärtää, että potilastiedot ovat organisaation luottamuksellisia tietoja.

9.2    Jollei lausekkeesta 9.3 muuta johdu, osapuolet pitävät toisen osapuolen luottamukselliset tiedot luottamuksellisina ja pyrkivät kaikin kohtuullisin keinoin estämään työntekijöitään, edustajiaan ja itsenäisiä toimeksisaajiaan luovuttamasta luottamuksellisia tietoja kenellekään.

9.3    Lauseke 9.2 ei koske tietojen luovuttamista, silloin kun

(a)    sovellettava laki sitä vaatii edellyttäen, että lauseketta 5 sovelletaan kaikkiin FOIA-lain edellyttämiin tietojen luovutuksiin

(b)    sitä kohtuudella edellyttävät sellaiset henkilöt, jotka osapuoli on palkannut suorittamaan tähän lisenssiin perustuvat kyseisen osapuolen velvollisuudet

(c)    osapuoli voi osoittaa, että kyseiset tiedot ovat jo yleisesti saatavilla ja julkisia muusta syystä kuin lausekkeen 9.2 rikkomuksesta johtuen

(d)    tiedot ovat jo laillisesti vastaanottavan osapuolen hallussa, ennen kuin luovuttava osapuoli ne luovuttaa, eikä luovuttavalla osapuolella ole kyseisten tietojen osalta mitään salassapitovelvollisuutta

(e)    toinen osapuoli on antanut etukäteen kirjallisen suostumuksensa siihen, että osapuoli luovuttaa tiedot.

10.    KOULUTUS

10.1    Dokumentaatioon kuuluu käyttöopas, joka sisältää peruskoulutustiedot organisaatiolle ja käyttäjille. Organisaation on varmistettava, että kaikki käyttäjät ovat lukeneet ja ymmärtäneet dokumentaatiossa annetut peruskoulutustiedot ennen kuin he käyttävät LumiraDx Platform -ohjelmistoa.

10.2    Organisaation on täytettävä ja velvoitettava kaikki käyttäjät täyttämään kaikki LumiraDx Platform -ohjelmistossa kulloinkin määritellyt lisäkoulutusvaatimukset.

11.    VASTUUNRAJOITUS

11.1    Organisaatio hyväksyy kokonaisvastuun LumiraDx Platform -ohjelmiston ja palveluiden käytön avulla hankituista tuloksista sekä tällaisen käytön pohjalta tehdyistä johtopäätöksistä. LumiraDx ei ole vastuussa mistään vahingoista, jotka johtuvat organisaation antamissa tiedoissa olevista virheistä tai puutteista tai toimista, joihin LumiraDx on ryhtynyt organisaation määräyksestä. Organisaatio ymmärtää, että LumiraDx Platform -ohjelmistoa ei ole suunniteltu organisaation yksilöllisten tarpeiden pohjalta, ja sen vuoksi organisaation vastuulla on varmistaa, että dokumentaatiossa kuvatut LumiraDx Platform -ohjelmiston ominaisuudet ja toiminnot vastaavat organisaation vaatimuksia.

11.2    LumiraDx Platform -ohjelmisto ja palvelut on tarkoitettu vain diagnostisiksi apuvälineiksi, eivätkä ne korvaa lääkäreiden, farmaseuttien tai muiden terveydenhuollon ammattilaisten asiantuntemusta ja arviointikykyä. Kaikki tiedot annetaan sillä edellytyksellä, että potilaiden hoidosta vastaavat terveydenhuollon ammattilaiset ovat täysimääräisesti ja yksinomaisesti vastuussa kaikkien hoitojen määräämisestä ja antamisesta kaikille potilaille ja erityisesti siitä, onko LumiraDx Platform -ohjelmiston kautta saatujen tietojen käyttäminen turvallista, sopivaa tai tehokasta tietyn potilaan kohdalla tietyssä tilanteessa.

11.3    LumiraDx ei ole korvausvastuussa

(a)    mistään tulojen menetyksestä, voittojen tai sopimusten menetyksestä, liiketoiminnan menetyksestä, liiketoiminnan keskeytymisestä, rahan tai ennakoitujen säästöjen menetyksestä, mahdollisuuksien, liikearvon tai maineen menetyksestä tai heikkenemisestä ja/tai vastaavista menetyksistä, eikä datan tai tietojen menetyksestä tai vahingoittumisesta tai puhtaasti taloudellisesta menetyksestä, eikä mistään erityisistä, välillisistä tai seuraamuksellisista menetyksistä, kuluista, vahingoista tai maksuista, jotka jollakin tavalla johtuvat tästä lisenssistä, oli kyseessä sitten sopimuksen ulkopuoliseen korvausvastuuseen (mukaan lukien huolimattomuus tai lakisääteisen velvoitteen rikkomus), sopimukseen, harhaanjohtamiseen, vahingonkorvaukseen tai muuhun perustuva vastuu

(b)    mistään menetyksestä, joka johtuu siitä, että organisaatio siirtää tietoja tai dataa (potilastiedot mukaan lukien) Connect Managerin näyttötoimintojen avulla.

11.4    Muiden kuin lausekkeessa 11.3 määritettyjen menetysten kohdalla (joiden osalta LumiraDx ei ole korvausvelvollinen) sopimukseen, sopimuksen ulkopuoliseen korvausvastuuseen (mukaan lukien huolimattomuus tai lakisääteisen velvollisuuden rikkominen), harhaanjohtamiseen, vahingonkorvaukseen tai muuhun perustuva LumiraDx:n kokonaisvastuu, joka johtuu tämän lisenssin täytäntöönpanosta tai suunnitellusta täytäntöönpanosta, rajoittuu maksujen yhteissummaan (ilmoitettu ostotilauksessa), joka LumiraDx:lle on maksettu diagnostisista laitteista korvausvaatimusta edeltäneiden 12 kuukauden aikana.

11.5    Mikään tässä lisenssissä mainittu ei sulje pois korvausvastuuta huolimattomuudesta johtuvasta kuolemantapauksesta tai henkilövahingosta, petoksesta tai tahallisesta harhaanjohtamisesta.

11.6    Asiakas hyväksyy, että toimittajan toimittamat avoimen lähdekoodin ohjelmistot toimitetaan ”sellaisenaan” ja että niihin nimenomaisesti sovelletaan lausekkeen 11.7 vastuuvapauslauseketta. Avoimen lähdekoodin ohjelmiston lisenssiehdot saattavat syrjäyttää jotkin tämän lisenssin ehdot.

11.7    Tässä lisenssissä määritetään LumiraDx:n vastuut kokonaisuudessaan LumiraDx Platform -ohjelmiston, palveluiden, toteutuspalveluiden ja dokumentaation osalta. Ellei tässä lisenssissä nimenomaisesti toisin ilmoiteta, mitkään ilmaistut tai oletetut edellytykset, takuut, vakuutukset tai muut ehdot eivät sido LumiraDx:ää. Kaikki LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation toimittamista koskevat lainsäädäntöön, tapaoikeuteen tai muuhun perustuvat edellytykset, takuut, vakuutukset tai muut ehdot, jotka muutoin saatettaisiin sisällyttää tähän lisenssiin, poissuljetaan lain sallimissa rajoissa.

12.    VOIMASSAOLOAIKA JA PÄÄTTYMINEN

12.1    LumiraDx voi välittömin seurauksin ja ilman, että se vaikuttaa LumiraDx:n muihin oikeuksiin tai oikeussuojakeinoihin, irtisanoa tämän lisenssin toimittamalla organisaatiolle kirjallisen ilmoituksen, jos

(a)    organisaatio rikkoo tai sen käyttäjät rikkovat olennaisesti jotakin tämän lisenssin ehtoa, eikä rikkomus ole korjattavissa tai (jos rikkomus on korjattavissa) sitä ei korjata 14 päivän kuluessa siitä, kun organisaatio on saanut kirjallisen kehotuksen tehdä niin

(b)    organisaatio ei noudata tai sen käyttäjät eivät noudata lisenssirajoituksia tai sallittua käyttöä koskevia rajoituksia

(c)    organisaatio keskeyttää tai uhkaa keskeyttää velkojensa maksun tai ei pysty maksamaan velkojaan niiden erääntyessä tai ilmoittaa maksukyvyttömyydestään tai katsotaan maksukyvyttömäksi vuoden 1986 maksukyvyttömyyslain (Insolvency Act) kohdan 123 mukaisesti

(d)    hakemus jätetään, ilmoitus annetaan, ratkaisu tehdään tai määräys annetaan organisaation purkamiseksi, paitsi jos organisaatio on maksukykyinen ja purkamisen ainoana tarkoituksena on fuusio yhden tai useamman muun yhtiön kanssa tai organisaation uudelleenjärjestely

(e)    tuomioistuimeen jätetään hakemus tai tuomioistuin antaa määräyksen selvitysmiehen nimittämiseksi organisaatiolle tai jos ilmoitus aikomuksesta määrätä selvitysmies tehdään tai jos selvitysmies määrätään organisaatiolle

(f)    henkilö saa oikeuden määrätä organisaation omaisuudelle pesänhoitajan tai organisaation omaisuudelle määrätään pesänhoitaja

(g)    organisaatio keskeyttää tai lopettaa tai uhkaa keskeyttää tai lopettaa kaiken liiketoimintansa tai merkittävän osan liiketoiminnastaan

(h)    organisaatio sallii jonkin organisaation ulkopuolisen kolmannen osapuolen käyttää diagnostista laitetta, johon Instrument-laiteohjelmisto on asennettuna tai jota Connect Managerin käytön vuoksi käytetään hallinnoidussa tilassa tai organisaatio siirtää tällaisen laitteen kolmannelle osapuolelle ilman LumiraDx:n etukäteen antamaa kirjallista lupaa.

12.2    Jos tämän lisenssin voimassaolo päättyy mistä tahansa syystä

(a)    kaikki tämän lisenssin nojalla organisaatiolle myönnetyt oikeudet päättyvät

(b)    organisaation on välittömästi lopetettava kaikki tämän lisenssin nojalla tehdyt toimet (mukaan lukien LumiraDx Platform -ohjelmiston, palveluiden ja dokumentaation käyttö) sekä poistettava Connect Manager kaikista mobiililaitteista ja tuhottava välittömästi kaikki hallinnassaan olevat kopiot

(c)    organisaation on palautettava LumiraDx:lle kuuluva dokumentaatio ja lopetettava sen (ja kaikkien sen kopioiden) käyttö

(d)    organisaation on poistettava tai poimittava (käyttämällä Connect Managerin vientitoimintoa) kaikki Connect Manageriin tallennetut potilastiedot 10 päivän kuluessa tämän lisenssin voimassaolon päättymispäivästä; LumiraDx voi organisaation pyynnöstä tarjota kohtuullista apua Connect Manageriin tallennettujen potilastietojen poimimiseksi, ja tällaisesta avusta aiheutuneista kuluista peritään organisaatiolta LumiraDx:n kanssa sovittu hinta

(e)    organisaation on poistettava kaikki potilastiedot tai muut henkilötiedot Instrument-laiteohjelmistosta 10 päivän kuluessa tämän lisenssin voimassaolon päättymispäivästä.

12.3 Kun tämä lisenssi irtisanotaan tai sen voimassaolo päättyy, seuraavat lausekkeet jäävät voimaan: lauseke 1 (Tulkinta), lauseke 9 (Luottamuksellisuus), lauseke 11 (Vastuunrajoitus) ja tämä lauseke 12 (Päättyminen).

13.    MUUTOKSET

Mikään tähän lisenssiin tehty muutos ei ole voimassa, ellei se ole kirjallinen ja kummankin osapuolen (tai niiden valtuutettujen edustajien) allekirjoittama.

14.    OIKEUDESTA LUOPUMINEN

Jos osapuoli ei käytä jotain tähän lisenssiin tai lakiin perustuvaa oikeuttaan tai oikeussuojakeinoaan tai tällaisen käyttäminen viivästyy, osapuolen ei katsota luopuvan kyseisestä tai mistään muusta oikeudesta tai oikeussuojakeinosta, eikä se estä tai rajoita kyseisen tai minkään muun oikeuden tai oikeussuojakeinon käyttämistä tulevaisuudessa. Tällaisen oikeuden tai oikeussuojakeinon yksittäinen tai osittainen käyttäminen ei estä tai rajoita kyseisen tai minkään muun oikeuden tai oikeussuojakeinon käyttämistä tulevaisuudessa.

15.    EROTETTAVUUS

15.1    Jos tuomioistuin tai toimivaltainen hallintoelin katsoo jonkin tämän lisenssin ehdon (tai ehdon osan) olevan pätemätön, toimeenpanokelvoton tai laiton, muut ehdot jäävät voimaan.

15.2    Jos pätemätön, toimeenpanokelvoton tai laiton ehto olisi pätevä, toimeenpanokelpoinen tai laillinen, jos jokin se osa poistettaisiin, ehtoa sovelletaan sellaisin muutoksin, jotka ovat tarpeen osapuolten kaupallisen tarkoituksen panemiseksi täytäntöön.

16.    SIIRTÄMINEN

16.1    Organisaatio ei saa ilman LumiraDx:n etukäteen antamaa kirjallista lupaa luovuttaa, siirtää, antaa toimeksi tai teettää alihankintana mitään tähän lisenssiin perustuvia oikeuksiaan tai velvollisuuksiaan tai käydä niillä muulla tavoin kauppaa.

16.2    LumiraDx voi milloin tahansa luovuttaa, siirtää, toimeksiantaa tai teettää alihankintana mitä tahansa tähän lisenssiin perustuvia oikeuksiaan tai velvollisuuksiaan tai käydä niillä muulla tavoin kauppaa.

17.    KOLMANSIEN OSAPUOLIEN OIKEUDET

Vuoden 1999 Contracts (Rights of Third Parties) Act -lain mukaisesti tämä lisenssi ei anna mitään oikeuksia kenellekään henkilölle tai millekään taholle (lukuun ottamatta tämän lisenssin osapuolia ja soveltuessa heidän seuraajiaan ja siirronsaajiaan sekä LumiraDx:n konserniyhtiöitä).

18.    ILMOITUKSET

18.1    Kaikkien tämän lisenssin nojalla annettujen ilmoitusten on oltava kirjallisia, ja ne on toimitettava henkilökohtaisesti tai maksettuna ensimmäisen luokan postina tai kirjattuna postilähetyksenä toiselle osapuolelle sen pääasialliseen toimipaikkaan tai muuhun sellaiseen osoitteeseen, jonka kyseinen osapuoli on ilmoittanut tätä tarkoitusta varten.

18.2    Maksettuna ensimmäisen luokan postina tai kirjattuna postilähetyksenä lähetetty oikein osoitettu ilmoitus katsotaan vastaanotetuksi sinä päivänä, jolloin se olisi toimitettu postin normaalin toimitusajan puitteissa.

19.    SOVELLETTAVA LAINSÄÄDÄNTÖ JA LAINKÄYTTÖALUE

19.1    Tämä lisenssi ja kaikki erimielisyydet tai vaateet, joita ilmenee lisenssistä tai sen sisällöstä tai muodosta johtuen tai niihin liittyen (mukaan lukien sopimussuhteen ulkopuoliset erimielisyydet tai vaateet), kuuluvat Englannin ja Walesin lainsäädännön piiriin, jonka mukaisesti lisenssiä myös tulkitaan.

19.2    Kumpikin osapuoli hyväksyy peruuttamattomasti Englannin ja Walesin tuomioistuinten yksinomaisen toimivallan ratkaista mikä tahansa erimielisyys tai vaade, joka johtuu tästä lisenssistä tai liittyy siihen tai sen sisältöön tai muotoon (mukaan lukien sopimussuhteen ulkopuoliset erimielisyydet tai vaateet).

LIITE 1

Käsittely, henkilötiedot ja rekisteröidyt

1.  LumiraDx:n toimesta tapahtuva käsittely

1.1 Käsittelyn luonne ja tarkoitus

      LumiraDx ja mikä tahansa LumiraDx-konsernin jäsen voi käsitellä henkilötietoja seuraavia tarkoituksia varten:

  • Potilaille tehtyjen kokeiden ja niiden tulosten kirjaaminen.
  • Palveluiden tarjoaminen organisaatiolle ja organisaation tilin ylläpitäminen.
  • Sen varmistaminen, että käyttäjillä on pääsy rooliensa kannalta olennaisiin tietoihin ja vain näihin tietoihin.
  • Sääntelyvaatimusten noudattamisen varmistaminen.
  • Sen varmistaminen, että potilaat voidaan tunnistaa ja että oikeat potilaaseen yhdistetyt koetulokset näkyvät sähköisessä potilastietojärjestelmässä.
  • Tietojen analysoiminen ja tilastollisten tutkimusten tekeminen, jotta LumiraDx ymmärtäisi paremmin, kuinka sen tuotteita käytetään.
  • Organisaation tilin väärinkäytön ja petosten tutkiminen ja perintätoimet.
  • Tuki, ylläpito ja potilasturvallisuus (mukaan lukien vikojen tutkiminen).
  • LumiraDx Platform -ohjelmiston, palveluiden tai dokumentaation suorituskyvyn tai ominaisuuksien parantaminen.
  • Palautteen antaminen organisaatiolle ja/tai potilaalle sekä organisaation tarjoaman palvelun suorituskyvyn parantaminen.
  • Diagnostisen laitteen tai LumiraDx Platform -ohjelmiston parantaminen tai kehittäminen.
  • Potilaiden ja terveydenhuollon ammattilaisten tietämyksen, hoitojen, tulosten ja vaihtoehtojen parantaminen.
  • LumiraDx:ää kulloinkin koskevien lakisääteisten ja säädännöllisten vaatimusten noudattaminen.

1.2 Käsittelyn kohde ja kesto

Käsittelyn kohde ja kesto määritellään lisenssissä.

2.  Henkilötietojen tyypit

  • Henkilötiedot, mukaan lukien potilaiden tunnistetiedot, etu- ja sukunimi, syntymäaika ja sukupuoli.
  • Terveyttä koskevat tiedot, mukaan lukien potilaan terveydentilaa ja koetuloksia koskevat tiedot.

3.  Rekisteröityjen ryhmät

  • Potilaat.  

 

LIITE 2

Mallisopimuslausekkeet henkilötietojen siirtämiseksi Euroopan unionista henkilötietojen käsittelijöille kolmansiin maihin (siirrot rekisterinpitäjältä henkilötietojen käsittelijälle)

 

Direktiivin 95/46/EY 26 artiklan 2 kohdassa tarkoitetut lausekkeet, joita käytetään henkilötietojen siirrossa sellaisiin kolmansiin maihin sijoittautuneille käsittelijöille, joissa ei taata tietosuojan riittävää tasoa

Tietojen viejänä toimivan organisaation nimi: ...............................................................

Osoite: ...............................................................

Puhelin: ...............................................................

Faksi: ...............................................................

Sähköposti: ...............................................................

Muut organisaation yksilöintitiedot: ..............................................................

(”tietojen viejä”)

Tietojen tuojana toimivan organisaation nimi: ...............................................................

Osoite: ...............................................................

Puhelin: ...............................................................

Faksi: ...............................................................

Sähköposti: ...............................................................

Muut organisaation yksilöintitiedot: ..............................................................

(”tietojen tuoja”)

 

OVAT SOPINEET seuraavista sopimuslausekkeista (”lausekkeet”) riittävien takeiden antamiseksi yksilöiden yksityisyyden suojasta ja perusoikeuksien ja -vapauksien suojasta LISÄYKSESSÄ A mainittujen henkilötietojen siirrossa tietojen viejältä tietojen tuojalle.

1.    Määritelmät

Lausekkeissa tarkoitetaan:

(a)   henkilötiedoilla, erityisillä tietoryhmillä, käsittelyllä, rekisterinpitäjällä, käsittelijällä, rekisteröidyllä ja valvontaviranomaisella samaa kuin yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (1),

(b)    tietojen viejällä rekisterinpitäjää, joka siirtää henkilötietoja,

(c)   tietojen tuojalla käsittelijää, joka hyväksyy vastaanottavansa tietojen viejältä henkilötietoja, jotka on siirron jälkeen tarkoitus käsitellä tietojen viejän puolesta tämän antamien ohjeiden mukaisesti ja lausekkeiden mukaisia edellytyksiä noudattaen ja jota ei koske direktiivin 95/46/EY 25 artiklan 1 kohdassa tarkoitettu riittävän tietosuojan takaava kolmannen maan järjestelmä,

(d)    alihankkijana toimivalla käsittelijällä tietojen tuojan tai jonkin muun alihankkijana toimivan käsittelijän toimeksiannosta toimivaa käsittelijää, joka hyväksyy vastaanottavansa tietojen tuojalta tai joltakin muulta tietojen tuojan alihankkijana toimivalta käsittelijältä henkilötietoja, jotka on siirron jälkeen tarkoitettu ainoastaan käsiteltäviksi tietojen viejän puolesta tämän antamien ohjeiden, lausekkeiden mukaisten edellytysten ja kirjallisen alihankintasopimuksen ehtojen mukaisesti,

(e)    sovellettavalla tietosuojalainsäädännöllä lainsäädäntöä, jolla suojataan yksilöiden perusoikeudet ja -vapaudet ja erityisesti näiden yksilöiden oikeus yksityisyyteen henkilötietojen käsittelyssä ja jota sovelletaan rekisterinpitäjään siinä jäsenvaltioissa, johon tietojen viejä on sijoittautunut,

(f)   teknisillä ja organisatorisilla turvatoimilla toimenpiteitä, joiden tavoitteena on suojata henkilötietoja tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti, kun tietoja siirretään verkossa käsittelyn yhteydessä, sekä muulta henkilötietojen laittomalta käsittelytavalta.

2.    Siirron yksityiskohdat

Siirron yksityiskohdat, erityisesti tarvittaessa henkilötietojen erityisryhmät, esitetään LISÄYKSESSÄ A, joka on näiden lausekkeiden erottamaton osa.

3.    Kolmatta osapuolta suojaava edunsaajalauseke

3.1    Rekisteröity voi panna täytäntöön tämän lausekkeen 3, lausekkeen 4 kohdat b–i, lausekkeen 5 kohdat a–e sekä kohdat g–j, lausekkeen 6 kohdat 1 ja 2, lausekkeen 7, lausekkeen 8 kohdan 2 ja lausekkeet 9–12 tietojen viejää vastaan edunsaajana olevan kolmannen osapuolen ominaisuudessa.

3.2    Rekisteröity voi panna täytäntöön tämän lausekkeen 3, lausekkeen 5 kohdat a–e ja g, lausekkeet 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeet 9–12 tietojen tuojaa vastaan tapauksissa, joissa tietojen viejä on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan.

3.3    Rekisteröity voi panna täytäntöön tämän lausekkeen 3, lausekkeen 5 kohdat a–e ja g, lausekkeet 6 ja 7, lausekkeen 8 kohdan 2 ja lausekkeet 9–12 alihankkijana toimivaa käsittelijää vastaan tapauksissa, joissa sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu tai lakannut oikeudellisesti olemasta taikka menettänyt maksukykynsä, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, minkä tuloksena se ottaa vastaan tietojen viejän oikeudet ja velvoitteet, jolloin rekisteröity voi panna lausekkeet täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.

3.4    Sopimuspuolet eivät vastusta sitä, että rekisteröityä edustaa yhteenliittymä tai muu elin, jos rekisteröity niin nimenomaan haluaa ja jos se on kansallisen lainsäädännön mukaan sallittua.

4.    Tietojen viejän velvollisuudet

Tietojen viejä hyväksyy ja takaa, että:

(a)   henkilötietojen käsittely, mukaan luettuna itse siirto, on suoritettu ja suoritetaan edelleen sovellettavan tietosuojalainsäädännön asiaankuuluvien säännösten mukaisesti (ja siitä on tarvittaessa ilmoitettu sen jäsenvaltion toimivaltaisille viranomaisille, johon tietojen viejä on sijoittautunut), ja ettei siirrolla rikota kyseisen valtion asiaankuuluvia säännöksiä,

(b)   tietojen viejä on antanut ohjeet ja antaa koko henkilötietojen käsittelypalvelun kestoajan ohjeita tietojen tuojalle siitä, että tämä käsittelee siirrettyjä henkilötietoja ainoastaan tietojen viejän puolesta ja sovellettavan tietosuojalainsäädännön ja lausekkeiden mukaisesti,

(c)   tietojen tuoja antaa riittävät takeet tämän sopimuksen LISÄYKSEN B mukaisista teknisistä ja organisatorisista turvatoimista,

(d)    sen jälkeen kun sovellettavan tietosuojalainsäädännön mukaiset vaatimukset on arvioitu, kyseisten turvatoimien avulla henkilötiedot voidaan asianmukaisesti suojata tahattomalta tai laittomalta tuhoamiselta, tahattomalta häviämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai tietoihin pääsyltä erityisesti, kun tietoja siirretään verkossa käsittelyn yhteydessä, ja muulta henkilötietojen laittomalta käsittelytavalta, ja että nämä toimet takaavat käsittelyyn liittyviä riskejä ja suojattavien tietojen luonnetta vastaavan turvallisuuden tason, kun otetaan huomioon nykyinen tekninen taso ja toimenpiteiden toteuttamisen kustannukset,

(e)    tietojen viejä varmistaa kyseisten turvatoimien noudattamisen,

(f)    jos siirto koskee erityisiä tietoryhmiä, rekisteröidyille on ilmoitettu tai ilmoitetaan ennen siirtoa tai mahdollisimman pian sen jälkeen, että niiden tietoja voidaan siirtää kolmanteen maahan, jossa ei taata direktiivissä 95/46/EY tarkoitettua tietosuojan riittävää tasoa,

(g)   tietojen viejä toimittaa tietojen tuojalta tai alihankkijana toimivalta käsittelijältä lausekkeen 5 kohdan b ja lausekkeen 8 kohdan 3 mukaisesti saadun tiedon tietosuojaviranomaisille, kun se päättää jatkaa siirtoa tai lopettaa lykkäyksen,

(h)    tietojen viejä saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista, paitsi LISÄYKSESTÄ B, ja yleisen kuvauksen turvatoimista sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, joka on tehtävä lausekkeiden mukaisesti, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen viejä voi poistaa tällaiset kaupalliset tiedot,

(i)    jos käsittely suoritetaan alihankintana, alihankkijana toimiva käsittelijä suorittaa käsittelytoiminnan lausekkeen 11 mukaisesti ja suojaa rekisteröidyn henkilötiedot ja oikeudet vähintään yhtä hyvin kuin tietojen tuoja näiden lausekkeiden mukaisesti, ja

(j)    tietojen viejä varmistaa lausekkeen 4 kohdan a–i noudattamisen.

5.    Tietojen tuojan velvollisuudet

Tietojen tuoja hyväksyy ja takaa, että

(a)    tietojen tuoja käsittelee henkilötietoja ainoastaan tietojen viejän puolesta tämän antamien ohjeiden ja lausekkeiden mukaisesti, ja jos se ei voi noudattaa näitä ohjeita ja sääntöjä mistä tahansa syystä, se ilmoittaa tästä viipymättä tietojen viejälle, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,

(b)   tietojen tuojalla ei ole mitään syytä olettaa, että siihen sovellettava lainsäädäntö estäisi tietojen viejältä saatujen ohjeiden noudattamisen ja tietojen tuojalle sopimuksen mukaan kuuluvien velvoitteiden täyttämisen, ja jos kyseistä lainsäädäntöä muutetaan ja muutoksella on todennäköisesti merkittävä haitallinen vaikutus lausekkeilla annettaviin takeisiin ja lausekkeiden mukaisiin velvoitteisiin, tietojen tuoja antaa muutoksen tiedoksi tietojen viejälle viipymättä saatuaan itse tiedon siitä, jolloin tietojen viejällä on oikeus lykätä tietojen siirtoa ja/tai irtisanoa sopimus,

(c)    tietojen tuoja on pannut täytäntöön LISÄYKSESSÄ B määritellyt tekniset ja organisatoriset turvatoimet ennen siirrettyjen henkilötietojen käsittelyä,

(d)    tietojen tuoja ilmoittaa viipymättä tietojen viejälle seuraavista seikoista:

(i)   säännösten täytäntöönpanosta vastaavan viranomaisen oikeudellisesti sitovasta pyynnöstä luovuttaa henkilötietoja, ellei sitä muutoin kielletä esimerkiksi rikoslainsäädännön mukaisella kiellolla lainvalvontaan liittyvien tutkimusten luottamuksellisuuden säilyttämiseksi,

(ii)   kaikista tahattomista tai luvattomista pääsyistä tietoihin, ja

(iii)    rekisteröidyiltä suoraan saaduista tiedusteluista niihin vastaamatta, ellei siihen muutoin anneta lupaa,

(e)    tietojen tuoja hoitaa tietojen viejältä saadut siirrettävien henkilötietojen käsittelyyn liittyvät tiedustelut viipymättä ja asianmukaisesti ja noudattaa siirrettyjen tietojen käsittelyssä valvontaviranomaisen neuvoja,

(f)    tietojen tuoja antaa tietojen viejän vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi lausekkeiden piiriin kuuluvien käsittelytoimien osalta. Tarkastuksen suorittaa tietojen viejä tai vaaditun ammattipätevyyden omaavien ja salassapitovelvollisuuden alaisten riippumattomien jäsenten muodostama tarkastuselin, jonka tietojen viejä valitsee mahdollisesti valvontaviranomaisen kanssa,

(g)    tietojen tuoja saattaa rekisteröityjen saataville pyynnöstä jäljennöksen lausekkeista sekä jäljennöksen mahdollisesta alihankintana suoritettavia käsittelypalveluita koskevasta sopimuksesta, elleivät lausekkeet tai sopimus sisällä kaupallisia tietoja, jolloin tietojen tuoja voi poistaa tällaiset kaupalliset tiedot, paitsi LISÄYKSESTÄ B, joka korvataan yleisellä kuvauksella turvatoimista siinä tapauksessa, että rekisteröity ei pysty saamaan jäljennöstä tietojen viejältä,

(h)   tietojen tuoja on ilmoittanut alihankintana suoritettavasta käsittelystä etukäteen tietojen viejälle ja saanut tältä ennakkoon kirjallisen suostumuksen,

(i)   alihankkijana toimiva käsittelijä suorittaa käsittelypalvelut lausekkeen 11 mukaisesti,

(j)    tietojen tuoja lähettää viipymättä jäljennöksen kaikista lausekkeiden mukaisesti tekemistään alihankintana suoritettavaa käsittelyä koskevista sopimuksista tietojen viejälle.

6.   Vastuu

6.1   Sopimuspuolet sopivat, että rekisteröidyllä, jolle on koitunut vahinkoa jonkin sopimuspuolen tai alihankkijana toimivan käsittelijän rikottua lausekkeessa 3 tai lausekkeessa 11 tarkoitettuja velvoitteita, on oikeus saada tietojen viejältä korvaus aiheutuneista vahingoista.

6.2    Jos rekisteröity ei voi nostaa kohdan 1 mukaista vahingonkorvauskannetta tietojen viejää vastaan, kun tietojen tuoja tai sen alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että tietojen viejä on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömäksi, tietojen tuoja hyväksyy, että rekisteröity voi nostaa kanteen tietojen tuojaa vastaan samaan tapaan kuin tietojen viejää vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan.

Tietojen tuoja ei voi vetäytyä vastuustaan vetoamalla siihen, että alihankkijana toimiva käsittelijä ei ole täyttänyt velvoitteitaan.

6.3    Jos rekisteröity ei voi nostaa kohdassa 1 ja 2 tarkoitettua kannetta tietojen viejää tai tietojen tuojaa vastaan, kun alihankkijana toimiva käsittelijä ei ole täyttänyt lausekkeessa 3 tai 11 tarkoitettuja velvoitteitaan, sen vuoksi, että sekä tietojen viejä että tietojen tuoja on tosiasiallisesti lakkautettu, lakannut oikeudellisesti olemasta tai todettu maksukyvyttömiksi, alihankkijana toimiva käsittelijä hyväksyy, että rekisteröity voi nostaa sen lausekkeiden mukaista omaa käsittelytoimintaa koskevan kanteen sitä vastaan samaan tapaan kuin tietojen viejää tai tietojen tuojaa vastaan, ellei mahdollinen seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksella tai lain perusteella, jolloin rekisteröity voi panna oikeutensa täytäntöön tällaista seuraajaa vastaan. Tällainen alihankkijana toimivan käsittelijän vastuu koskee ainoastaan sen näiden lausekkeiden mukaista omaa käsittelytoimintaa.

7.    Sovittelu ja toimivaltainen tuomioistuin

7.1    Jos rekisteröity vetoaa kolmannen osapuolen etua suojaavaan oikeuteen ja/tai vaatii vahingonkorvausta lausekkeiden nojalla, tietojen tuoja hyväksyy rekisteröidyn päätöksen

(a)   saattaa riita käsiteltäväksi sovittelumenettelyssä, jossa on mukana riippumaton henkilö tai tarvittaessa valvontaviranomainen,

(b)    saattaa riita sen jäsenvaltion tuomioistuinten ratkaistavaksi, johon tietojen viejä on sijoittautunut.

7.2    Sopimuspuolet sopivat, että rekisteröidyn tekemä valinta ei vaikuta rekisteröidyn oikeuteen hakea tilanteeseen korjausta asiasisällön tai menettelyn osalta kansallisen tai kansainvälisen yksityisoikeuden muiden säännösten mukaisesti.

8.    Yhteistyö valvontaviranomaisten kanssa

8.1   Tietojen viejä suostuu tallettamaan tämän sopimuksen jäljennöksen valvontaviranomaisen huostaan, jos tämä sitä vaatii tai jos sovellettava tietosuojalainsäädäntö sisältää vaatimuksen tallettamisesta.

8.2    Sopimuspuolet sopivat, että valvontaviranomaisella on oikeus tehdä tietojen tuojaan ja kaikkiin alihankkijoina toimiviin käsittelijöihin kohdistuvia tarkastuksia samassa laajuudessa ja samoin edellytyksin kuin se voisi tehdä tietojen viejään kohdistuvia tarkastuksia sovellettavan tietosuojalainsäädännön nojalla.

8.3    Tietojen tuoja ilmoittaa viipymättä tietojen viejälle siihen tai johonkin alihankkijana toimivaan käsittelijään sovellettavasta lainsäädännöstä, joka estää tietojen tuojaa tai jotakin alihankkijana toimivaa käsittelijää koskevan, kohdan 2 mukaisen tarkastuksen suorittamisen. Tässä tapauksessa tietojen viejällä on oikeus ryhtyä lausekkeen 5 kohdassa b tarkoitettuihin toimenpiteisiin.

9.   Sovellettava laki

Lausekkeisiin sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut.

10.    Sopimuksen mukauttaminen

Sopimuspuolet sitoutuvat olemaan mukauttamatta tai muuttamatta lausekkeita. Tämä ei estä sopimuspuolia tarvittaessa lisäämästä lausekkeita yritystoimintaan liittyvistä kysymyksistä, kunhan nämä lausekkeet eivät ole ristiriidassa lausekkeiden kanssa.

11.    Alihankintana suoritettava käsittely

11.1    Tietojen tuoja ei anna alihankintana suoritettavaksi mitään tietojen viejän puolesta lausekkeiden mukaisesti hoidettavia käsittelytoimintoja ilman tietojen viejän ennakkoon antamaa kirjallista suostumusta. Jos tietojen tuoja antaa näiden lausekkeiden mukaisia velvoitteitaan suoritettaviksi alihankintana tietojen viejän suostumuksella, sen on tehtävä alihankkijana toimivan käsittelijän kanssa kirjallinen sopimus, jossa tälle määrätään samat velvoitteet kuin lausekkeiden nojalla määrätään tietojen tuojalle. Jos alihankkijana toimiva käsittelijä ei täytä tällaisen kirjallisen sopimuksen mukaisia tietosuojavelvoitteitaan, tietojen tuoja on edelleen täysimääräisesti vastuussa alihankkijana toimivan käsittelijän tällaisen sopimuksen mukaisten velvoitteiden täyttämisestä suhteessa tietojen viejään.

11.2    Ennakkoon tehdyssä tietojen tuojan ja alihankkijana toimivan käsittelijän välisessä kirjallisessa sopimuksessa on myös oltava lausekkeessa 3 määrätty kolmatta osapuolta suojaava edunsaajalauseke niitä tapauksia varten, joissa rekisteröity ei voi nostaa lausekkeen 6 kohdassa 1 tarkoitettua vahingonkorvauskannetta tietojen viejää tai tietojen tuojaa vastaan, koska ne on tosiasiallisesti lakkautettu, ovat lakanneet oikeudellisesti olemasta tai ne on todettu maksukyvyttömiksi, eikä mikään seuraaja ole ottanut hoitaakseen tietojen viejän tai tietojen tuojan kaikkia oikeudellisia velvoitteita sopimuksen tai lain perusteella. Tällainen alihankkijana toimivan käsittelijän yksityisoikeudellinen vastuu koskee ainoastaan sen lausekkeiden mukaista omaa käsittelytoimintaa.

11.3    Kohdassa 1 tarkoitetun sopimuksen säännöksiin, jotka koskevat alihankintana suoritettavan käsittelyn tietosuojanäkökohtia, sovelletaan sen jäsenvaltion lakia, johon tietojen viejä on sijoittautunut.

11.4    Tietojen viejän on pidettävä luetteloa lausekkeiden nojalla tehdyistä, tietojen tuojan lausekkeen 5 kohdan j mukaisesti ilmoittamista alihankintana suoritettavaa käsittelyä koskevista sopimuksista, ja luettelo on saatettava ajan tasalle vähintään kerran vuodessa. Luettelon on oltava tietojen viejän tietosuojavalvontaviranomaisen saatavilla.

12.    Tietojen käsittelypalvelujen päättymisen jälkeiset velvoitteet

12.1    Sopimuspuolet sopivat, että tietojen käsittelypalvelujen päättymisen jälkeen tietojen tuojan ja alihankkijana toimivan käsittelijän on tietojen viejän valinnan mukaan palautettava kaikki siirretyt henkilötiedot ja jäljennökset näistä tiedoista tietojen viejälle tai hävitettävä kaikki henkilötiedot ja annettava tietojen viejälle todistus tästä, jollei tietojen tuojaan sovellettavalla lainsäädännöllä estetä tietojen tuojaa palauttamasta tai hävittämästä siirrettyjä henkilötietoja kokonaan tai osittain. Siinä tapauksessa tietojen tuoja takaa varmistavansa siirrettyjen henkilötietojen luottamuksellisuuden sekä sen, ettei se enää aktiivisesti käsittele siirrettyjä henkilötietoja.

12.2    Tietojen tuoja ja alihankkijana toimiva käsittelijä takaavat, että ne antavat tietojen viejän ja/tai valvontaviranomaisen vaatimuksesta tietojenkäsittelyjärjestelmänsä tarkastettavaksi kohdassa 1 tarkoitettujen toimenpiteiden tarkastusta varten.

Tietojen viejän puolesta:

Nimi (täydellinen): ...............................................................

Asema: ...............................................................

Osoite: ...............................................................

Muut (mahdolliset) tiedot,  

jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi: ...............................................................

Allekirjoitus ...............................................................

 (Organisaation leima)

Tietojen tuojan puolesta:

Nimi (täydellinen): ...............................................................

Asema: ...............................................................

Osoite: ...............................................................

Muut (mahdolliset) tiedot,  

jotka vaaditaan sopimuksen sitovuuden vahvistamiseksi: ...............................................................

Allekirjoitus...............................................................

 (Organisaation leima)

ANNEX A mallisopimuslausekkeisiin

Tämä LISÄYS A on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.

Jäsenvaltiot voivat täydentää tai eritellä kansallisten menettelyjensä mukaisesti tietoja, jotka tulee sisällyttää tähän LISÄYKSEEN A.

Tietojen viejä

 

Tietojen viejä (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä):

....................................................

Tietojen tuoja

 

Tietojen tuoja (lyhyt kuvaus tiedonsiirtoon liittyvistä tehtävistä):

....................................................

Rekisteröidyt

 

Siirrettävät henkilötiedot koskevat seuraavia rekisteröityjen ryhmiä (erittely):

....................................................

Tietoryhmät

 

Siirrettävät henkilötiedot koskevat seuraavia tietoryhmiä (erittely):

....................................................

Erityiset tietoryhmät (tarvittaessa)

 

Siirrettävät henkilötiedot koskevat seuraavia erityisiä tietoryhmiä (erittely):

....................................................

Käsittelytoiminnat

 

Siirretyille henkilötiedoille suoritetaan seuraavat peruskäsittelytoiminnat (erittely):

....................................................

TIETOJEN VIEJÄ

TIETOJEN TUOJA

Nimi:..................................................

Valtuutetun henkilön allekirjoitus:...........................

Nimi:..................................................

Valtuutetun henkilön allekirjoitus:...........................

 

ANNEX B mallisopimuslausekkeisiin

Tämä LISÄYS B on osa mallisopimuslausekkeita, ja sopimuspuolten on täytettävä ja allekirjoitettava se.

Selvitys teknisistä ja organisatorisista turvatoimista, jotka tietojen tuoja on pannut täytäntöön lausekkeen 4 kohdan d ja lausekkeen 5 kohdan c mukaisesti (tai oheistetaan kyseinen asiakirja/lainsäädäntö):

..........................................................................................................

..........................................................................................................

..........................................................................................................

.......................................................................................

 

  1. Interpretation

    1. The definitions and rules of interpretation in this clause apply in the background and in this Licence:

Business Day: a day other than a Saturday, Sunday or public holiday in England when banks in London are open for business.

Confidential Information: any information which has been designated as confidential by either party in writing or that ought to be considered as confidential (however it is conveyed or on whatever media it is stored) including information which would or would be likely to prejudice the commercial interests of any person, trade secrets, Intellectual Property Rights, know-how of either party and all Personal Data and sensitive data within the meaning of the Data Protection Legislation.

Connect Manager: the online software component known as Connect Manager (and any updates or supplements to it) which is owned and licensed by LumiraDx and may be used in connection with the Diagnostic Instrument when operating in a Managed Mode.    

Data Protection Legislation: the General Data Protection Regulation ((EU) 2016/679) (“GDPR”) and any national implementing laws, regulations and secondary legislation, the Data Protection Act 2018, the EU Data Protection Directive 95/46/EC, the Regulation of Investigatory Powers Act 2000, the Telecommunications (Lawful Business Practice) (Interception of Communications) Regulations 2000, the Electronic Communications Data Protection Directive 2002/58/EC, the Privacy and Electronic Communications (EC Directive) Regulations 2003 and all applicable laws and regulations relating to processing of personal data and privacy, including where applicable the guidance and codes of practice issued by the Information Commissioner.

Data Controller: has the meaning given to it in the GDPR.  

Data Processor: has the meaning given to it in the GDPR. 

Diagnostic Instrument: the diagnostic instrument supplied by LumiraDx to the Organization.    

Documentation: physical and electronic documentation provided by LumiraDx which relates to the LumiraDx Platform Software.  

FOIA: the Freedom of Information Act 2000 and any subordinate legislation made under that Act from time to time together with any guidance and/or codes of practice issued by the Information Commissioner or relevant government department in relation to such legislation.

Instrument Software: any software component installed on the Diagnostic Instrument (and any updates or supplements to it) which is owned and licensed by LumiraDx.  

Intellectual Property Rights: patents, utility models, rights to inventions, copyright and neighbouring and related rights, trade marks and service marks, business names and domain names, rights in get-up and trade dress, goodwill and the right to sue for passing off or unfair competition, rights in designs, database rights, rights to use, and protect the confidentiality of, confidential information (including know-how and trade secrets), and all other intellectual property rights, in each case whether registered or unregistered and including all applications and rights to apply for and be granted, renewals or extensions of, and rights to claim priority from, such rights and all similar or equivalent rights or forms of protection which subsist or will subsist now or in the future in any part of the world.

Open-Source Software: open-source software as defined by the Open Source Initiative (http://opensource.org) or the Free Software Foundation (http://www.fsf.org).

Organization: the legal entity who requests a licence to use the  LumiraDx Platform Software from LumiraDx, who is acting as Data Controller.  

LumiraDx Group: means LumiraDx, any subsidiary or any holding company from time to time of LumiraDx, and any subsidiary from time to time of a holding company of that company. Each company in the LumiraDx Group is a member of the LumiraDx Group and the term “LumiraDx Group Company” shall be construed accordingly.  

LumiraDx Platform Software: the Instrument Software and Connect Manager. 

Managed Mode: the use of the Diagnostic Instrument and the Instrument Software with Connect Manager which allows the Organization to transfer Patient Data to Connect Manager.  

Mobile Device: the Organization’s mobile telephone or handheld device.  

Normal Business Hours: 9.00 am to 5.00 pm local UK time, each Business Day.

Patient(s): an individual or individuals accessing care/medical services from a relevant Organization.

Patient Data: the clinical information (including, but not limited to, Personal Data) collected by the Organization in the course of treating Patients which is inputted by its Users onto the LumiraDx Platform Software.  

Personal Data: has the meaning given to it in the GDPR.

Requests for Information: means a request for information or an apparent request under the FOIA.  

Services: any services accessible through Connect Manager and the content LumiraDx provides to the Organization through it.  

Users: anyone authorised by the Organization to use the LumiraDx Platform Software which includes its employees, agents and independent contractors (namely clinicians).

    1. Clause, Schedule and paragraph headings shall not affect the interpretation of this Licence.

    2. The Schedules form part of this Licence and shall have effect as if set out in full in the body of this Licence. Any reference to this Licence includes the Schedules.  

    3. Any words following the terms including, include, in particular, for example or any similar expression shall be construed as illustrative and shall not limit the sense of the words, description, definition, phrase or term preceding those terms.

  1. Installation

LumiraDx shall ensure that one copy of the Instrument Software is pre-installed on each Diagnostic Instrument.  

  1. Grant of Licence 

    1. In consideration of the Organization agreeing to abide by the terms of this Licence, LumiraDx hereby grants to the Organization, and the Users, a non-exclusive, non-transferable right to use the LumiraDx Platform Software, the Services and the Documentation within their Organization in the territory where authorized to use the Diagnostics Instrument for the treatment of Patients, for the period during which the Organization uses the Diagnostic Instrument, unless terminated in accordance with this Licence.     

    2. LumiraDx has the right to disable any password, whether chosen by the Organization or allocated by LumiraDx, at any time, if in its reasonable opinion the Organization, or the Users, have failed to comply with any of the terms of this Licence.

    3. The Organization may be provided with updates of the LumiraDx Platform Software which includes the incorporation of “patches” and corrections of errors from time to time.  

    4. The Organization shall only: 

      1. allow Users to use the LumiraDx Platform Software, the Services and the Documentation if over 18 years of age; 

      2. use the LumiraDx Platform Software and the Services in connection with a Diagnostic Instrument supplied by LumiraDx; and 

      3. use the Documentation to support its use of the LumiraDx Platform Software and the Services as provided in clauses 3.5(a) and 3.5(b).  

    5. The Organization shall not, except as expressly set out in this Licence or as permitted by law:

      1. copy the LumiraDx Platform Software, the Services or the Documentation;

      2. make available or grant access to the LumiraDx Platform Software, the Services or the Documentation to anyone outside of the Organization;

      3. rent, lease, sub-license, distribute, loan, translate, merge, adapt, vary or modify the LumiraDx Platform Software, the Services or the Documentation;

      4. make alterations to, or modifications of, the whole or any part of the LumiraDx Platform Software, the Services or the Documentation; 

      5. permit the LumiraDx Platform Software, the Services or the Documentation or any part to be combined with, or become incorporated in, any other programs or documentation without obtaining the prior written consent of LumiraDx;

      6. disassemble, decompile, reverse-engineer or create derivative works based on the whole or any part of the LumiraDx Platform Software or the Services; 

      7. access all or any part of the LumiraDx Platform Software, the Services or the Documentation in order to build a product which competes with the LumiraDx Platform Software or the Services; 

      8. provide or otherwise make available the LumiraDx Platform Software, the Services or the Documentation in whole or in part (including object and source code), in any form to any person other than provided for in clause 3 without prior written consent from LumiraDx; and 

      9. transfer or sell any Diagnostics Instrument on which the Instrument Software is installed, to any third party, without the prior written consent of LumiraDx.  

(together, the “Licence Restrictions”).

    1. The Organization shall not:  

      1. use the LumiraDx Platform Software, the Services or the Documentation in any unlawful manner, for any unlawful purpose, or in any manner inconsistent with this Licence, or act fraudulently or maliciously, for example, by hacking into or inserting malicious code, including viruses, or harmful data into Connect Manager, the Services or the Documentation or any operating system;

      2. use the LumiraDx Platform Software for any purpose other than testing performed in connection with use of the Diagnostic Instrument in a professional setting; 

      3. infringe LumiraDx’s intellectual property rights or those of any third party in relation to its use of the LumiraDx Platform Software, the Services or the Documentation (to the extent that such use is not permitted by this Licence);

      4. transmit any material that is defamatory, offensive or otherwise objectionable in relation to its use of the LumiraDx Platform Software, the Services or the Documentation;

      5. use the LumiraDx Platform Software, the Services or the Documentation in a way that could damage, disable, overburden, impair or compromise LumiraDx’s systems or security or interfere with other users; and

      6. subject to clause 12.2(d), not collect or harvest any information or data from Connect Manager, the Services or the Documentation, 

(together, the “Acceptable Use Restrictions”).

    1. LumiraDx shall follow its archiving procedures for Patient Data processed by Connect Manager (as set out in its back-up policy, a copy of which is available on request).  In the event of any accidental or unlawful loss, damage, alteration, unauthorised disclosure or access to Patient Data, LumiraDx will notify the Organization without undue delay on becoming aware of the event. The Organization’s sole and exclusive remedy shall be for LumiraDx to use reasonable commercial endeavours to restore the Patient Data from the latest back-up.  LumiraDx shall not be responsible for any loss, destruction, alteration or disclosure of Patient Data caused by any third party except for a third party processor engaged by LumiraDx for the processing of Patient Data in accordance with clause 4.6.  

  1. Data Protection 

    1. Each party shall duly observe all their obligations under the Data Protection Legislation, which arise in connection with this Licence.  This clause 4.1 is in addition to, and does not relieve, remove or replace, a party's obligations under the Data Protection Legislation.  

    2. The Organization shall have sole responsibility for the Patient Data.  Subject to this clause 4, LumiraDx shall have no rights in the Patient Data.  

    3. LumiraDx shall process Personal Data relating to the Organization’s employees, agents and independent contractors in accordance with its privacy policy as displayed on its website from time to time.  For the purposes of this clause 4.3, LumiraDx is the Data Controller of such Personal Data.    

    4. The parties acknowledge that for the purposes of the Data Protection Legislation, the Organization is the Data Controller and LumiraDx is the Data Processor of the Patient Data and other related Personal Data provided by the Organization to LumiraDx for processing in accordance with clauses 4.5 and 4.6. Schedule 1 sets out the scope, nature and purpose of processing by LumiraDx, the duration of the processing and the types of Personal Data and categories of Data Subject (as defined in the Data Protection Legislation).

    5. Notwithstanding the general obligation in clause 4.1, when processing Patient Data:

      1. the Organization shall ensure that the relevant third parties, including, but not limited to Patients, have been informed of, and have given their specific consent to, such use (including the use set out at Schedule 1), processing, and transfer as required by Data Protection Legislation;

      2. LumiraDx shall:

        1. only process that Patient Data on the written instructions of the Organization, which are set out in Schedule 1, unless LumiraDx is required by the laws of any member of the European Union or by the laws of the European Union applicable to LumiraDx to process Patient Data (“Applicable Laws”). Where LumiraDx is relying on Applicable Laws as the basis for processing Patient Data, LumiraDx shall promptly notify the Organization of this before performing the processing required by the Applicable Laws unless those Applicable Laws prohibit LumiraDx from so notifying the Organization;

        2. ensure that it has in place appropriate technical, contractual and organisational measures to protect against unauthorised or unlawful processing of the Patient Data and against accidental loss or destruction of, or damage to, the Patient Data, appropriate to the harm that might result from the unauthorised or unlawful processing or accidental loss, destruction or damage and the nature of the data to be protected, having regard to the state of technological development and the cost of implementing any measures;

        3. ensure that all personnel who have access to and/or process Patient Data are obliged to keep the Patient Data confidential;

        4. assist the Organization, at the Organization's cost, in responding to any request from a data subject and in ensuring compliance with its obligations under the Data Protection Legislation with respect to security, breach notifications, impact assessments and consultations with supervisory authorities or regulators;

        5. notify the Organization without undue delay on becoming aware of a breach of Patient Data; 

        6. ensure it does not knowingly or negligently do or omit to do anything which places the Organization in breach of the Organization’s obligations under the Data Protection Legislation; 

        7. maintain complete and accurate written records and information of its Patient Data processing activities to demonstrate compliance with this clause 4; and  

        8. not transfer any Patient Data outside the EEA unless appropriate safeguards have been put in place.  The Organization agrees that Personal Data relating to the Organization’s employees, agents or independent contractors may be transferred outside the EEA provided that appropriate safeguards in relation to the transfer are in place and LumiraDx ensures that an adequate level of protection is provided to all Patient Data transferred.  

    6. The Organization consents to LumiraDx appointing third party data repository providers (which includes any member of the LumiraDx Group) and third party delivery providers, third party suppliers of devices (including the Diagnostic Instrument), third party services providers (who may provide telephone support services and technical support services) as a third party processor of Personal Data under this Licence. LumiraDx confirms that it has entered or (as the case may be) will enter with the third party processor into a written agreement substantially on that third party's standard terms of business. As between the Organization and LumiraDx, LumiraDx shall remain fully liable for all acts or omissions of any third party processor appointed by it pursuant to this clause 4.6.

    7. The Organization agrees that LumiraDx may create anonymised data from the Patient Data inputted into the LumiraDx Platform Software by the Organization provided that ISB1523 Anonymisation Standards for Publishing Health Care Data are observed.

  2. Conditionality clause 

    1. If the UK leaves the European Union without a withdrawal agreement on the day of exit (or the transitional period under a withdrawal agreement expires before the European Commission has adopted an adequacy decision for the UK) then:

      1. the parties hereby enter into the standard contractual clauses (“SCCs”) in the EU Commission's decision 2010/87/EC annexed at Schedule 2 and agree, where no other appropriate safeguard or exemption applies, that the Patient Data subject to this Licence (and to which Chapter V of GDPR) applies) will be transferred in accordance with the SCCs exclusive of any optional clauses as of that date. The parties agree to use best endeavours to complete the annexes to the SCCs promptly and in any event within 30 days for the purpose of giving full effect to the clauses. If there is any conflict between this Licence and the SCCs the terms of the SCCs shall apply.

  3. Freedom of information 

    1. LumiraDx acknowledges that the Organization may be subject to the requirements of the FOIA and shall assist and co-operate with the Organization (at the Organization’s expense) to enable the Organization to comply with these information disclosure requirements.

    2. LumiraDx shall:

      1. transfer any Request for Information to the Organization as soon as practicable after receipt of a Request for Information;

      2. provide the Organization with a copy of all Information in its possession or power in the form that the Organization requires as soon as practicable (or such other longer period as the Organization may specify) of the Organization requesting that Information; and

      3. provide all necessary assistance as reasonably requested by the Organization to enable the Organization to respond to a Request for Information within the time for compliance set out in section 10 of the FOIA.

    3. In no event shall LumiraDx respond directly to a Request for Information. 

  4. Organization's obligations

    1. The Organization shall:

      1. obtain permission from the owners of the Mobile Devices, on which it has downloaded or used a copy of Connect Manager which are controlled, but not owned, by it; 

      2. treat passwords, or any other information provided as part of LumiraDx’s security procedures, as confidential. The Organization shall not disclose it to any third party; 

      3. ensure that all its Users of the LumiraDx Platform Software act in accordance with this Licence and only use it for the purposes set out in clause 3;  

      4. ensure that all its Users of the LumiraDx Platform Software comply with the procedures and guidelines set out in the Documentation (including the user manual) relating to the use of the LumiraDx Platform Software; 

      5. at all times co-operate with LumiraDx and provide information reasonably required by LumiraDx; 

      6. supervise and control the use of the LumiraDx Platform Software in accordance with the terms of this Licence and ensure that the LumiraDx Platform Software is only used by suitably qualified and trained healthcare professionals; 

      7. immediately notify LumiraDx of any adverse event where the  LumiraDx Platform Software may have been a contributory factor.  The Organization further agrees to provide written details of the event and co-operate with LumiraDx in its investigation of the event.  The Organization acknowledges and agrees that the all communications relating to any adverse event shall be deemed to be Confidential Information and shall be subject to the confidentiality obligations at clause 9; 

      8. report all failures, issues or defects in the LumiraDx Platform Software to LumiraDx.  The Organization acknowledges and agrees that the all communications relating to failures, issues or defects in the LumiraDx Platform Software shall be considered to be Confidential Information and shall be subject to the confidentiality obligations at clause 8; and 

      9. not permit any third party to provide technical support in respect of the LumiraDx Platform Software, the Services or the Documentation. 

  5. Proprietary rights

    1. The Organization acknowledges that LumiraDx, and/or its licensors (who are third party owners of intellectual property rights used in the LumiraDx Platform Software), own all Intellectual Property Rights in the LumiraDx Platform Software, the Services and the Documentation.  This Licence does not grant the Organization any rights to, or in, patents, copyrights, database rights, trade secrets, trade names, trade marks (whether registered or unregistered), or any other rights or licences in respect of the LumiraDx Platform Software, the Services or any related Documentation, other than the right to use them in accordance with this Licence.  

    2. The Organization acknowledges that it has no right to have access to the LumiraDx Platform Software in source-code form.

  6. Confidentiality

    1. LumiraDx acknowledges that the Patient Data is the Confidential Information of the Organization.

    2. Subject to clause 9.3, the parties shall keep confidential the Confidential Information of the other party and shall use all reasonable endeavours to prevent their employees, agents and independent contractors from making any disclosure to any person of the Confidential Information.  

    3. Clause 9.2 shall not apply to any disclosure of information:

      1. required by any applicable law, provided that clause 5 shall apply to any disclosures required under the FOIA;

      2. that is reasonably required by persons engaged by a party in the performance of that party's obligations under this Licence;

      3. where a party can demonstrate that such information is already generally available and in the public domain otherwise than as a result of a breach of clause 9.2;

      4. which is already lawfully in the possession of the receiving party, prior to its disclosure by the disclosing party, and the disclosing party is not under any obligation of confidence in respect of that information;

      5. by a party when the other party has given its prior written consent to disclosure.

  7. Training 

    1. The Documentation includes a user manual which provides basic training information for the Organization and the Users.  The Organization shall ensure that all Users have read and understood the basic training information, set out in the Documentation, before using the LumiraDx Platform Software.  

    2. The Organization agrees to undertake, and shall procure that all Users undertake, any additional training requirements set out in the LumiraDx Platform Software from time to time.  

  8. Limitation of liability

    1. The Organization agrees that it assumes sole responsibility for results obtained from the use of the LumiraDx Platform Software and the Services and for conclusions drawn from such use. LumiraDx shall have no liability for any damage caused by errors or omissions in any information provided by the Organization, or any actions taken by LumiraDx at the Organization's direction.  The Organization acknowledges that the LumiraDx Platform Software was not designed to the Organization’s individual requirements and that it is therefore the Organization’s responsibility to ensure that the facilities and functions of the LumiraDx Platform Software as described in the Documents meet its requirements.  

    2. The LumiraDx Platform Software and the Services are intended only as a diagnostic aid and are not a substitute for the expertise and judgement of physicians, pharmacists or other healthcare professionals.  All information is provided on the basis that the healthcare practitioners responsible for patient care will retain full and sole responsibility for deciding any treatment to prescribe or dispense for all patients and in particular whether the use of information provided by the LumiraDx Platform Software is safe, appropriate or effective for any particular patient or in any particular circumstances.

    3. LumiraDx shall not be liable: 

      1. whether in tort (including for negligence or breach of statutory duty), contract, misrepresentation, restitution or otherwise for any loss of income, loss of profits or contracts, loss of business, business interruption, loss of money or anticipated savings, loss of or depletion of opportunity, goodwill, reputation and/or similar losses or loss or corruption of data or information, or pure economic loss, or for any special, indirect or consequential loss, costs, damages, charges or expenses however arising under this Licence; or

      2. for any loss arising as a result of the Organization exporting information or data (including Patient Data) from the display functions in Connect Manager.    

    4. Other than the losses set out in clause 11.3 (for which LumiraDx is not liable), LumiraDx's total aggregate liability in contract, tort (including negligence or breach of statutory duty), misrepresentation, restitution or otherwise, arising in connection with the performance or contemplated performance of this Licence shall be limited to the total fees paid to  LumiraDx for the Diagnostic Instrument(s) during the 12 months preceding the date on which the claim arose.   

    5. Nothing in this Licence excludes the liability for death or personal injury caused by negligence or for fraud or fraudulent misrepresentation. 

    6. The Customer acknowledges that any Open-Source Software provided by the Supplier is provided "as is" and expressly subject to the disclaimer in clause 11.7.  The terms of an Open-Source Software licence may override some of the terms of this Licence.    

    7. This Licence sets out the full extent of LumiraDx’s liabilities in respect of the LumiraDx Platform Software, the Services and the Documentation.  Except as expressly stated in this Licence, there are no conditions, warranties, representations or other terms, express or implied, that are binding on LumiraDx.  Any condition, warranty, representation or other term concerning the supply of the LumiraDx Platform Software, the Services or the Documentation which might otherwise be implied into, or incorporated in, this Licence whether by statute, common law or otherwise, is excluded to the fullest extent permitted by law.

  9. Term and termination

    1. Without affecting any other right or remedy available to it, LumiraDx may terminate the Licence with immediate effect by giving written notice to the Organization if:

      1. the Organization, or its Users, commits a material breach of any term of this Licence which breach is irremediable or (if such breach is remediable) fails to remedy that breach within a period of 14 days after being notified in writing to do so;

      2. the Organization, or its Users, breach any of the Licence Restrictions or the Acceptable Use Restrictions; 

      3. the Organization suspends, or threatens to suspend, payment of its debts or is unable to pay its debts as they fall due or admits inability to pay its debts or is deemed unable to pay its debts within the meaning of section 123 of the Insolvency Act 1986;

      4. a petition is filed, a notice is given, a resolution is passed, or an order is made, for or in connection with the winding up of the Organization other than for the sole purpose of a scheme for a solvent amalgamation of the Organization with one or more other companies or the solvent reconstruction of the Organization;

      5. an application is made to court, or an order is made, for the appointment of an administrator, or if a notice of intention to appoint an administrator is given or if an administrator is appointed, over the Organization;

      6. a person becomes entitled to appoint a receiver over the assets of the Organization or a receiver is appointed over the assets of the Organization; 

      7. the Organization suspends or ceases, or threatens to suspend or cease, carrying on all or a substantial part of its business; or 

      8. the Organizations transfers, or allows any third party access to, any Diagnostic Instrument, on which the Instrument Software is installed or which is used in Manager Mode to access Connect Manager, outside of the Organization or to any third party, without the prior written consent of LumiraDx.  

    2. On termination of this Licence for any reason:

      1. all the rights granted to the Organization under this Licence shall cease; 

      2. the Organization shall immediately cease all activities authorised by this Licence (including its use of the LumiraDx Platform Software, the Services and the Documentation) and shall delete Connect Manager from all Mobile Devices and immediately destroy all copies in its control; 

      3. the Organization shall return and make no further use of the Documentation (and all copies of it) belonging to LumiraDx; 

      4. the Organization shall delete or extract (using the export functionality in Connect Manager) any Patient Data stored in Connect Manager within 10 days of the date of termination of this Licence.  If requested by the Organization, LumiraDx may provide reasonable assistance to enable the extraction of any Patient Data stored in Connection Manager and the costs of such assistance shall be charged to the Organization at the rates agreed with LumiraDx; and 

      5. the Organization shall delete or remove all Patient Data, or other Personal Data, from the Instrument Software within 10 days of the date of termination of this Licence.  

    3. On termination or expiry of this Licence, the following clauses shall continue in force: clause 1 (Interpretation), clause 9 (Confidentiality), clause 11 (Limitation of Liability) and this clause 12 (Termination).  

  10. Variation

No variation of this Licence shall be effective unless it is in writing and signed by the parties (or their authorised representatives).

  1. Waiver

No failure or delay by a party to exercise any right or remedy provided under this Licence or by law shall constitute a waiver of that or any other right or remedy, nor shall it prevent or restrict the further exercise of that or any other right or remedy. No single or partial exercise of such right or remedy shall prevent or restrict the further exercise of that or any other right or remedy.

  1. Severance

    1. If any provision (or part of a provision) of this Licence is found by any court or administrative body of competent jurisdiction to be invalid, unenforceable or illegal, the other provisions shall remain in force.

    2. If any invalid, unenforceable or illegal provision would be valid, enforceable or legal if some part of it were deleted, the provision shall apply with whatever modification is necessary to give effect to the commercial intention of the parties.

  2. Assignment

    1. The Organization shall not, without the prior written consent of LumiraDx, assign, transfer, charge, sub-contract or deal in any other manner with all or any of its rights or obligations under this Licence.

    2. LumiraDx may at any time assign, transfer, charge, sub-contract or deal in any other manner with all or any of its rights or obligations under this Licence.

  3. Third party rights

This Licence does not confer any rights on any person or party (other than the parties to this Licence and, where applicable, their successors and permitted assigns and any LumiraDx Group Company) pursuant to the Contracts (Rights of Third Parties) Act 1999.

  1. Notices

    1. Any notice required to be given under this Licence shall be in writing and shall be delivered by hand or sent by pre-paid first-class post or recorded delivery post to the other party at its main trading address or such other address as may have been notified by that party for such purposes.  

    2. A correctly addressed notice sent by pre-paid first-class post or recorded delivery post shall be deemed to have been received at the time at which it would have been delivered in the normal course of post. 

  2. Governing law and Jurisdiction 

    1. This Licence and any dispute or claim arising out of or in connection with it or its subject matter or formation (including non-contractual disputes or claims) shall be governed by and construed in accordance with the law of England and Wales.

    2. Each party irrevocably agrees that the courts of England and Wales shall have exclusive jurisdiction to settle any dispute or claim arising out of or in connection with this Licence or its subject matter or formation (including non-contractual disputes or claims).

 

SCHEDULE 1


Processing, Personal Data and Data Subjects


1.   Processing by LumiraDx

1.1 Nature and Purpose of processing

      LumiraDx, and any member of the LumiraDx Group, may process Personal Data: 

  • to record which tests were performed on which Patients and the results; 

  • to provide services to the Organization and maintain its account; 

  • to ensure Users have access to information relevant to their role and only to their role; 

  • to ensure regulatory compliance; 

  • to ensure Patients can be identified and the correct test results associated with the Patient appear in the electronic health record; 

  • for data analytics and statistical research to help LumiraDx better understand how its products are used; 

  • to investigate misuse of the Organization’s account, fraud and debt collection.

  • for support, maintenance and patient safety (including the investigation of faults); 

  • to improve the performance or features of the LumiraDx Platform Software, the Services or the Documentation;

  • to provide feedback to the Organization and/or Patient and improve the performance of the service that the Organization provide; 

  • to improve or develop the Diagnostic Instrument or LumiraDx Platform Software;

  • to improve the understanding, treatment, outcomes and choice for Patients and healthcare professionals; and 

  • to comply with any relevant statutory or regulatory requirement imposed on LumiraDx from time to time.

1.2 Subject matter and duration of the processing

The subject matter and duration of the processing are set out in the Licence.  

2.  Types of personal data

  • Personal data including patient identification, first name, surname, date of birth and gender; 

  • data concerning health, including healthcare conditions affecting Patients and test result information. 

3.  Categories of data subject

  • Patient(s).   

 

 

SCHEDULE 2

Standard Contractual Clauses for the Transfer of Personal Data from the European Union to Processors established in Third Countries (Controller-to-Processor Transfers) 


For the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection

Name of the data exporting organisation: ...............................................................

address: ...............................................................

tel: ...............................................................

fax: ...............................................................

e-mail: ...............................................................

Other information needed to identify the organisation ..............................................................

(the “data exporter”)

Name of the data importing organisation: ...............................................................

address: ...............................................................

tel: ...............................................................

fax: ...............................................................

e-mail: ...............................................................

Other information needed to identify the organisation ..............................................................

(the “data importer”)

HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in ANNEX A.

  1. Definitions

For the purposes of the Clauses:

    1. personal data, special categories of data, process/processing, controller, processor, data subject and supervisory authority shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1);

    2. the data exporter means the controller who transfers the personal data;

    3. the data importer means the processor who agrees to receive from the data exporter personal data intended for processing on its behalf after the transfer in accordance with its instructions and the terms of the Clauses and who is not subject to a third country's system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;

    4. the sub-processor means any processor engaged by the data importer or by any other sub-processor of the data importer who agrees to receive from the data importer or from any other sub-processor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with its instructions, the terms of the Clauses and the terms of the written subcontract;

    5. the applicable data protection law means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;

    6. technical and organisational security measures means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

  1. Details of the transfer

The details of the transfer and in particular the special categories of personal data where applicable are specified in ANNEX A which forms an integral part of the Clauses.

  1. Third-party beneficiary clause

    1. The data subject can enforce against the data exporter this clause 3, clause 4(b) to clause 4(i), clause 5(a) to clause 5(e) and clause 5(g) to clause 5(j), clause 6.1 and clause 6.2, clause 7, clause 8.2 and clause 9 to clause 12 as third-party beneficiary.

    2. The data subject can enforce against the data importer this clause 3, clause 5(a) to clause 5(e) and clause 5(g), clause 6, clause 7, clause 8.2 and clause 9 to clause 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.

    3. The data subject can enforce against the sub-processor this clause 3, clause 5(a) to clause 5(e) and clause 5(g), clause 6, clause 7, clause 8.2, and clause 9 to clause 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses.

    4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.

  2. Obligations of the data exporter

The data exporter agrees and warrants:

    1. that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;

    2. that it has instructed and throughout the duration of the personal data-processing services will instruct the data importer to process the personal data transferred only on the data exporter's behalf and in accordance with the applicable data protection law and the Clauses;

    3. that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in ANNEX B to this contract;

    4. that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;

    5. that it will ensure compliance with the security measures;

    6. that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC; 

    7. to forward any notification received from the data importer or any sub-processor pursuant to clause 5(b) and clause 8.3 to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;

    8. to make available to the data subjects upon request a copy of the Clauses, with the exception of ANNEX B and a summary description of the security measures, as well as a copy of any contract for sub-processing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;

    9. that, in the event of sub-processing, the processing activity is carried out in accordance with clause 11 by a sub-processor providing at least the same level of protection for the personal data and the rights of data subjects as the data importer under the Clauses; and 

    10. that it will ensure compliance with clause 4(a) to clause 4(i). 

  1. Obligations of the data importer

The data importer agrees and warrants:

    1. to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

    2. that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;

    3. that it has implemented the technical and organisational security measures specified in ANNEX B before processing the personal data transferred; 

    4. that it will promptly notify the data exporter about:

      1. any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation;

      2. any accidental or unauthorised access; and

      3. any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;

    5. to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;

    6. at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;

    7. to make available to the data subject upon request a copy of the Clauses, or any existing contract for sub-processing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of ANNEX B which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;

    8. that, in the event of sub-processing, it has previously informed the data exporter and obtained its prior written consent;

    9. that the processing services by the sub-processor will be carried out in accordance with clause 11; and

    10. to send promptly a copy of any sub-processor agreement it concludes under the Clauses to the data exporter.

  1. Liability

    1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in clause 3 or in clause 11 by any party or sub-processor is entitled to receive compensation from the data exporter for the damage suffered.

    2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or its sub-processor of any of their obligations referred to in clause 3 or in clause 11 because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, in which case the data subject can enforce its rights against such entity. 

The data importer may not rely on a breach by a sub-processor of its obligations in order to avoid its own liabilities.

    1. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the sub-processor of any of their obligations referred to in clause 3 or in clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the sub-processor agrees that the data subject may issue a claim against the data sub-processor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the sub-processor shall be limited to its own processing operations under the Clauses. 

  1. Mediation and jurisdiction 

    1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:

      1. to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;

      2. to refer the dispute to the courts in the Member State in which the data exporter is established.

    2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.

  2. Cooperation with supervisory authorities

    1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.

    2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any sub-processor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.

    3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any sub-processor preventing the conduct of an audit of the data importer, or any sub-processor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in clause 5(b).

  3. Governing Law

The Clauses shall be governed by the law of the Member State in which the data exporter is established.

  1. Variation of the contract

The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clauses. 

  1. Sub-processing

    1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the sub-processor which imposes the same obligations on the sub-processor as are imposed on the data importer under the Clauses. Where the sub-processor fails to fulfil its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the sub-processor's obligations under such agreement.

    2. The prior written contract between the data importer and the sub-processor shall also provide for a third-party beneficiary clause as laid down in clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the sub-processor shall be limited to its own processing operations under the Clauses.

    3. The provisions relating to data protection aspects for sub-processing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established.

    4. The data exporter shall keep a list of sub-processing agreements concluded under the Clauses and notified by the data importer pursuant to clause 5(j), which shall be updated at least once a year. The list shall be available to the data exporter's data protection supervisory authority. 

  2. Obligation after the termination of personal data processing services

    1. The parties agree that on the termination of the provision of data-processing services, the data importer and the sub-processor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.

    2. The data importer and the sub-processor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data-processing facilities for an audit of the measures referred to in paragraph 1.

On behalf of the data exporter:

Name (written out in full): ...............................................................

Position: ...............................................................

Address: ...............................................................

Other information necessary in order for 

the contract to be binding (if any): ...............................................................

Signature ...............................................................

 (Stamp of organisation)

On behalf of the data importer:

Name (written out in full): ...............................................................

Position: ...............................................................

Address: ...............................................................

Other information necessary in order for 

the contract to be binding (if any): ...............................................................

Signature ...............................................................

 (Stamp of organisation)

  1. to the Standard Contractual Clauses

This ANNEX A forms part of the Clauses and must be completed and signed by the parties.

The Member States may complete or specify, according to their national procedures, any additional necessary information to be contained in this ANNEX A.

Data exporter

 

The data exporter is (please specify briefly your activities relevant to the transfer):

....................................................

Data importer

 

The data importer is (please specify briefly your activities relevant to the transfer):

....................................................

Data subjects

 

The personal data transferred concern the following categories of data subjects (please specify)

....................................................

Categories of data

 

The personal data transferred concern the following categories of data (please specify)

....................................................

Special categories of data (if appropriate)

 

The personal data transferred concern the following special categories of data (please specify)

....................................................

Processing operations

 

The personal data transferred will be subject to the following basic processing activities (please specify)

....................................................

DATA EXPORTER

DATA IMPORTER

Name:..................................................

Authorised signature:...........................

Name:..................................................

Authorised signature:...........................

  1. to the Standard Contractual Clauses

This ANNEX B forms part of the Clauses and must be completed and signed by the parties.

Description of the technical and organisational security measures implemented by the data importer in accordance with clause 4(d) and clause 5(c) (or documents/legislation attached):

.....................................................................................................................................................................................................................................................................................................................................................................................................................

 

(iv)