This Data Protection Addendum ("Addendum") forms part of theTermsof Service ("Terms") between (i) Mercateam ("Mercateam") and (ii) the subscribing client to Mercateam, each being a "Party" and together the "Parties", dated on the day the Client send data to Mercateam, or upload data in Mercateam, and effective as of the Addendum Effect Date (as defined below),
The Parties hereby agree that the terms and conditions set out below shall be added as an Addendum to the Terms and references in this Addendum to the Terms are to the Terms amended by, and including, this Addendum.
1. Definitionen
1.1 In diesem Nachtrag haben die folgenden Begriffe die unten angegebenen Bedeutungen, und kognate Begriffe werden entsprechend konstruiert:
(a)"Addendum Effective Date" hat die Bedeutung, die ihm in Abschnitt 2 gegeben wird;
(b)"Affiliate" bedeutet eine Einheit, die entweder Client oder Mercateam (je nach Kontext) besitzt oder kontrolliert, von ihnen besessen wird oder unter gemeinsamer Kontrolle oder gemeinsamem Eigentum steht, wobei Kontrolle als der direkte oder indirekte Besitz der Macht definiert wird, die Leitung des Managements und der Politik einer Einheit zu steuern oder zu verursachen, sei es durch den Besitz von Stimmrechten, durch einen Vertrag oder auf andere Weise;
(c)"Client Personal Data" bedeutet jegliche persönliche Daten, die von Mercateam verarbeitet werden (i) im Auftrag des Kunden (einschließlich zur Klarstellung: jedes Client Affiliate), oder (ii) anderweitig von Mercateam verarbeitet werden, jeweils gemäß oder in Verbindung mit Anweisungen, die der Kunde schriftlich erteilt hat und die mit den Bedingungen übereinstimmen;
(d)"Controller to Processor s" bedeutet die Standardvertragsklauseln (Prozessoren) für die Zwecke von Artikel 26(2) der Richtlinie 95/46/EC, die im Beschluss 2010/87/EC festgelegt sind, da diese von Zeit zu Zeit von der Europäischen Kommission überarbeitet oder aktualisiert werden;
(e)"Datenschutzgesetze" bedeutet (i) die Richtlinie 95/46/EG und ab dem 25. Mai 2018 die Verordnung (EU) 2016/679 ("GDPR" ) zusammen mit allen anwendbaren Rechtsvorschriften, die diese umsetzen oder ergänzen oder sich anderweitig auf die Verarbeitung personenbezogener Daten natürlicher Personen beziehen, und (ii) soweit nicht in Unterklausel (i) enthalten, den Data Protection Act 1998 des Vereinigten Königreichs in der jeweils gültigen Fassung und einschließlich aller im Wesentlichen gleichartiger Rechtsvorschriften, die den DPA 1998 ersetzen;
(f)"Privacy Shield" bedeutet das EU-US Privacy Shield Framework; und
(g)"Dienstleistungen" bedeutet die Dienstleistungen, die von Mercateam an den Kunden oder die Kundenpartner gemäß den Bedingungen erbracht werden sollen.
1.2 Die Begriffe "Controller", "Data Subject", "PersonalData", "Personal Data Breach", "Process", "Processor" und "Supervisory Authority" haben die gleichen Bedeutungen, wie sie in den anwendbaren Datenschutzgesetzen beschrieben sind, und cognate terms shall be construed accordingly.
1.3 Kapitalisierte Begriffe, die in diesem Zusatz nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in den Bedingungen zugewiesen wird.
2. Bildung dieses Zusatzes
Dieser Zusatz wird von den Parteien als vereinbart angesehen und tritt am "Addendum Effective Date" in Kraft, wobei es sich um das spätere Datum von (i) dem Datum, an dem dieser Zusatz vom Kunden angenommen wird, und (ii) Mercateam handelt.
3. Rollen der Parteien The Parties acknowledge and agree that with regard to the Processing of Client Personal Data, and as fully described in Annex 1 hereto, Client acts as a Controller and Mercateam acts as a Processor (as defined in section 5.2.4 below).
The Parties expressly agree that Client shall be solely responsible for ensuring timely communications to Client's Affiliates or the relevant Controller(s) who receive the Services, insofar as such communications may be required or useful in light of applicable Data Protection Laws to enable Client's Affiliates or the relevant Controller(s) to comply with such Laws.
4. Beschreibung der Verarbeitung personenbezogener Daten
In Anhang 1 zu diesem Zusatz haben die Parteien ihr Verständnis der Einzelheiten der Verarbeitung der personenbezogenen Daten des Kunden, die von Mercateam gemäß diesem Zusatz verarbeitet werden sollen, wie in Artikel 28(3) der GDPR vorgeschrieben, gegenseitig festgelegt. Either Party may may reasonable amendments to Annex 1 by written notice to the other Party and as reasonably necessary to meet those requirements. Annex 1 begründet keine Verpflichtungen oder Rechte für eine Partei.
5. Datenverarbeitungsbedingungen
5.1
Kunde muss alle anwendbaren Datenschutzgesetze in Verbindung mit der Leistung dieses Zusatzes einhalten. As between the Parties, Client shall be solely responsible for compliance with applicable Data Protection Laws regarding the collection of and transfer to Mercateam of Client Personal Data. Kunde stimmt zu, Mercateam keine Daten über die Gesundheit, Religion oder besondere Kategorien von Daten, wie in Artikel 9 der GDPR definiert, zur Verfügung zu stellen.
5.2
Mercateam wird alle anwendbaren Datenschutzgesetze bei der Verarbeitung der persönlichen Daten des Kunden einhalten und Mercateam wird:
5.2.1
die persönlichen Daten des Kunden in Bezug auf die Kategorien von Datensubjekten für die Zwecke der Bedingungen und für die spezifischen Zwecke in jedem Fall, wie in Anhang 1 zu diesem Zusatz festgelegt, und ansonsten ausschließlich auf dokumentierte Anweisungen des Kunden, für die Zwecke der Erbringung der Dienstleistungen und wie ansonsten notwendig, um seine Verpflichtungen unter den Bedingungen zu erfüllen, einschließlich in Bezug auf die Übertragung von persönlichen Kundendaten an ein Drittland außerhalb einer internationalen Organisation; Mercateam wird den Kunden sofort informieren, wenn eine Anweisung nach Ansicht von Mercateam gegen anwendbare Datenschutzgesetze verstößt;
5.2.2
sicherstellen, dass Personen, die zur Verarbeitung der Client-Personendaten berechtigt sind, sich selbst zur Vertraulichkeit verpflichtet haben oder unter einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit stehen;
5.2.3
die in den Bedingungen festgelegten technischen und organisatorischen Maßnahmen einführen und aufrechterhalten und unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen alle weiteren angemessenen technischen und organisatorischen Maßnahmen einführen, die erforderlich sind, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung der personenbezogenen Daten des Kunden wie folgt angemessen ist:
(a) Pseudonymisierung und Verschlüsselung der persönlichen Daten des Kunden;
(b) die laufende Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste, die Client Personal Data verarbeiten;
(c) im Falle eines physischen oder technischen Zwischenfalls die Verfügbarkeit und den Zugriff auf Client-Personaldaten zeitnah wiederherzustellen; und
(d) regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung der personenbezogenen Daten des Kunden.
Any amendment to such agreed measures that is necessitated by Client shall be dealt with via an agreed change control process between Mercateam and Client;
5.2.4
Client (on behalf of the relevant Controller(s), as applicable), hereby expressly and specifically authorizes Mercateam to engage another Processor to Process the Client Personal Data ("OtherProcessor"), and specifically the Other Processors listed in Annex 2 hereto, subject to Mercateam's:
(a)
den Kunden über jede beabsichtigte Änderung seiner Nutzung anderer Prozessoren, die in Anhang 2 aufgeführt sind, informieren, indem er dem Kunden eine E-Mail mit der Mitteilung der beabsichtigten Änderung schickt;
(b)einschließlich Datenschutzverpflichtungen in seinem Vertrag mit jedem anderen Auftragsverarbeiter, die im Wesentlichen mit den in diesem Zusatz festgelegten Verpflichtungen übereinstimmen; und
(c) gegenüber dem Kunden für jedes Versagen jedes anderen Prozessors bei der Erfüllung seiner Pflichten im Zusammenhang mit der Verarbeitung der persönlichen Daten des Kunden haftbar bleiben.
In relation to any notice received under section 5.2.4 a., the Client shall have a period of 30 (thirty) days from the date of the notice to inform Mercateam in writing of any reasonable objection to the use of that Other Processor. The parties will then, for a period of no more than 30 (thirty) days from the date of the Client's objection, work together in good faith to attempt to find a commercially reasonable solution for the Client which avoids the use of the objected-to Other Processor. Where no such solution can be found, either Party may (notwithstanding anything to the contrary in the Terms) terminate the relevant Services immediately on written notice to the other Party, without damages, penalty or indemnification whatsoever;
5.2.5
to the extent legally permissible, promptly notify Client of any communication from a Data Subject regarding the Processing of Client Personal Data, or any other communication (including from a Supervisory Authority) relating to any obligation under the applicable Data Protection Laws in respect of the Client Personal Data, and, unter Berücksichtigung der Art der Verarbeitung, den Kunden (oder den entsprechenden Controller) durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, um die Verpflichtung des Kunden, der verbundenen Unternehmen des Kunden oder des entsprechenden Controllers zu erfüllen, auf Anträge auf Ausübung der Rechte des Datensubjekts gemäß Kapitel III GDPR zu antworten; Der Kunde stimmt zu, Mercateam für die Zeit und die Kosten zu bezahlen, die Mercateam im Zusammenhang mit der Erfüllung seiner Pflichten unter diesem Abschnitt 5.2.5;
5.2.6
upon Mercateam's becoming a Personal Data Breach involving Client Personal Data, notify Client without undue delay, of any Personal Data Breach involving Client Personal Data, such notice to include all information reasonably required by Client (or the relevant Controller) to comply with its obligations under the applicable Data Protection Laws;
5.2.7
in dem von den anwendbaren Datenschutzgesetzen geforderten Umfang, angemessene Unterstützung für Client, Client's Affiliates oder den/die relevanten Controller bei seinen/ihren Pflichten gemäß Artikel 32 bis 36 der GDPR unter Berücksichtigung der Art der Verarbeitung und der Mercateam zur Verfügung stehenden Informationen zu leisten; Client stimmt zu, Mercateam für die Zeit und vorbehaltlich der von Mercateam getragenen Kosten in Verbindung mit jeglicher Unterstützung, die in Verbindung mit Artikel 35 und 36 der GDPR bereitgestellt wird, zu bezahlen;
5.2.8
cease Processing the Client Personal Data on the termination or expiry of the Terms, and at the option of Client, Client's Affiliates or the relevant Controller(s) either return or delete (including by ensuring that such data is in non-readable format) all copies of the Client Personal Data Processed by Mercateam, unless (and solely to the extent and for such period as) Country law requires storage of the Personal Data. Notwithstanding the foregoing or anything to the contrary contained herein, Mercateam may retain Personal Data and shall have no obligation to return Personal Data to the extent required by applicable laws or regulations obligations. Alle derartigen zurückbehaltenen persönlichen Daten bleiben den in den Bedingungen festgelegten Geheimhaltungsverpflichtungen unterworfen; und
5.2.9
make available to Client all information necessary to demonstrate compliance with this Addendum and allow for and contribute to audits, including inspections, by Client, or an auditor mandated by Client. For the purposes of demonstrating compliance with this Addendum under this section 5.2.9, the Parties agree that once per year during the term of the Terms, Mercateam will provide to Client, on reasonable notice, responses to cybersecurity and other assessments. Kunde stimmt zu, Mercateam für die Zeit und aus den Pachtkosten zu bezahlen, die Mercateam in Verbindung mit der Unterstützung im Zusammenhang mit solchen Audits, Antworten zur Cybersicherheit und anderen Assessments entstanden sind.
6. Transfers
Mercateam ist für das Informationssicherheitsmanagement gemäß ISO 27001:2013 zertifiziert. Mercateam benachrichtigt Client schriftlich ohne unangemessene Verzögerung, wenn es seinen Verpflichtungen unter der Einhaltung des Datenschutzes nicht mehr nachkommen kann, und in diesem Fall hat Mercateam die Wahl, (i) unverzüglich angemessene Schritte zu unternehmen, um jede Nichteinhaltung der anwendbaren Verpflichtungen unter diesem Zusatz zu beheben, oder (ii) in einen fairen Dialog mit Client einzutreten, um einen neuen Datenübertragungsmechanismus zu bestimmen, um die Zwecke der Bedingungen zu erfüllen. Mercateam fungiert als Verarbeiter von personenbezogenen Daten, die im Rahmen einer Datenübertragung empfangen wurden.
In the event the Privacy Compliance is invalidated, Client and each Client Affiliate (on behalf of the relevant Controller(s), as the case may be), if applicable (as "data exporter") and Mercateam (as "data importer"), with effect from the beginning of the relevant transfer, shall enter into the Controller to Processor SCCs (mutatis mutandis, as the case may be) in respect of any transfer (or onward transfer) from Client or Client Affiliate to Mercateam, where such transfer would otherwise be prohibited by applicable Data Protection Laws or by the terms of data transfer agreements put in place to address applicable Data Protection Laws. Appendix 1 to the Controller to Processor SCCs shall be deemed to be prepopulated with the relevant sections of Annex 1 to this Addendum and the processing operations shall be deemed to be those described in the Terms. Appendix 2 to the Controller to Processor SCCs shall be prepopulated with the following "Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood for the rights and freedoms of natural persons, Mercateam shall implement appropriate technical and organizational measures as set forth in the Addendum" (Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit für die Rechte und Freiheiten natürlicher Personen wird Mercateam angemessene technische und organisatorische Maßnahmen einführen, die im Zusatz festgelegt sind).
7. Präzedenzfall
Die Bestimmungen dieses Nachtrags ergänzen die Bestimmungen der Terms. Im Falle einer Inkonsistenz zwischen den Bestimmungen dieses Nachtrags und den Bestimmungen der Terms haben die Bestimmungen dieses Nachtrags Vorrang.
8. Entschädigung
To the extent permissible by law, Client shall indemnify and hold harmless Mercateam against all (i) losses, (ii) third party claims, (iii) administrative fines and (iv) costs and expenses (including, without limitation, reasonable legal, investigative and consultancy fees and expenses) reasonably incurred in relation to (i), (ii) or iii), suffered by Mercateam and that arise from any breach by Client of this Addendum or of its obligations under applicable Data Protection Laws.
9. Severability
The Parties agree that, if any section or sub-section of this Addendum is held by any court or competent authority to be unlawful or unenforceable, it shall not invalidate or render unenforceable any other section of this Addendum.
9. Andere
Die Organisation stellt sicher, dass der Vertrag zur Bearbeitung von PII die Rolle der Organisation bei der Unterstützung der Pflichten des Kunden adressiert.
The Agreement considers following and follows:
a. Privacy by Design and default
b. Achieving Security of Processing
c. Meldung von Verstößen, die PII betreffen, an eine Aufsichtsbehörde
d. Meldung von PII-beeinflussenden Verstößen an Kunden und PII Principals
e. Durchführung von Datenschutzfolgenabschätzungen
f. Assurance of Assistance by the PII Processors if prior consultations with relevant PII Protection authorities are needed.
g. Mercateam wird den Kunden informieren, wenn eine Verarbeitungsanweisung seiner Meinung nach gegen anwendbare Gesetze oder Vorschriften verstößt.
h. The organization does not use PII processed under a contract for the purposes of Marketing and Advertising
i. Coordinate with Clients for helping Audit the systems. Die Organisation versorgt die Kunden mit den entsprechenden Informationen, damit sie die Einhaltung ihrer Verpflichtungen nachweisen können.
j. Mercateam wird AWS und PIPL als Unterprozessoren mit vollen Sicherheits- und Datenschutzanforderungen verwenden.
k. The organization shall comply with all statutory and regulatory requirements, ISO 27001:2013, ISO 27701:2019 and EU GDPR requirements.
l. The Data shall be deleted or de-identified after the processing is completed (This is after the selected retention period is completed).
m. Mercateam shall inform 24 hours in advance to clients in case of any legally binding requests for disclosure of PII.
n. For Access, Correction and/or Erasure of PII of Data subjects can be done by contacting the Data Protection Officer (DPO) below. For raising concerns and/or any complaints related to PII that can be done by contacting the Data Protection Officer below:
Name: Kévin Rouvière
Email ID: kevin@merca.team
Kontaktnummer: +33 6 30 01 85 69
Anhang 1: Beschreibung der Verarbeitung personenbezogener Kundendaten
Dieser Anhang enthält bestimmte Details zur Verarbeitung der persönlichen Daten des Kunden gemäß Artikel 28(3) GDPR und, falls zutreffend, Controller to Processor SCC.
Gegenstand und Dauer der Verarbeitung personenbezogener Daten
Der Gegenstand und die Dauer der Verarbeitung der persönlichen Daten des Kunden sind in Abschnitt 2 der Bedingungen festgelegt.
Die Art und der Zweck der Verarbeitung der persönlichen Daten
Due Diligence and Background Verification of Organization and Individuals (Sorgfaltspflicht und Hintergrundprüfung von Organisationen und Einzelpersonen).
The categories of Data Subject to which the Client Personal Data relates
- Angestellte und Vertragspartner von Kunden.
Die Arten der zu verarbeitenden personenbezogenen Daten des Kunden
Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Language, Phone, Related URL, User ID, Skills and clearances, trainings, job and job description, Schedules, Restrictions, Certification documents
Besondere Datenkategorien
None
Die Pflichten und Rechte des Kunden
Die Pflichten und Rechte des Kunden sind in den Vertragsbedingungen und diesem Zusatz festgelegt.
Datenexporteur (falls zutreffend)
Der Datenexporteur ist: Kunde von Mercateam, der die Dienste nutzt.
Datenimporteur (falls zutreffend)
Der Datenimporteur ist: PIPL, ein Unternehmen, das Dienstleistungen für den Kunden erbringt, was den Erhalt der Abfragedaten des Kunden erfordert.
Processing operations (as applicable)
The personal data transferred will be subject to the following basic processing activities: The provision of Mercateam Limited to Client for Due Diligence and Background Verification as per Client requirements.
