DATENSCHUTZZUSATZ
Dieser Datenschutzzusatz ("Addendum") ist Teil der Allgemeinen Geschรคftsbedingungen fรผr den Dienst ("Begriffe") zwischen (i) Mercateam ("Mercateam") und (ii) dem Kunden, der Mercateam abonniert, wobei jeder Kunde ein "" ist.Party" und zusammen die "Parteien", datiert am Tag, an dem der Kunde Daten an Mercateam sendet oder Daten in Mercateam hochlรคdt, und wirksam ab dem Datum des Zusatzvertrages (wie unten definiert),
The Parties hereby agree that the terms and conditions set out below shall be added as an Addendum to the Terms and references in this Addendum to the Terms are to the Terms as amended by, and including, this Addendum.
1. Definitionen
1.1 In diesem Nachtrag haben die folgenden Begriffe die unten angegebenen Bedeutungen, und kognate Begriffe werden entsprechend konstruiert:
- (a)"Addendum Effective Date"ย hat die Bedeutung, die ihm in Abschnitt 2 gegeben wurde;
- (b)"Affiliate"ย means an entity that owns or controls, is owned or controlled by or is or under common control or ownership with either Client or Mercateam (as the context allows), where control is defined as the possession, directly or indirectly, of the power to direct or cause the direction of the management and policies of an entity, whether through ownership of voting securities, by contract or otherwise;
- (c)"Client Personal Data"ย bedeutet jegliche persรถnlichen Daten, die von Mercateam (i) im Auftrag des Kunden (einschlieรlich, zur Klarstellung, jedes Kunden-Affiliate) oder (ii) anderweitig von Mercateam verarbeitet werden, jeweils gemรคร oder in Verbindung mit Anweisungen, die der Kunde schriftlich erteilt hat und die mit den Bedingungen รผbereinstimmen;
- (d)"Controller to Processor s"ย bedeutet die Standardvertragsklauseln (Prozessoren) fรผr die Zwecke von Artikel 26(2) der Richtlinie 95/46/EG, die im Beschluss 2010/87/EG festgelegt sind, da diese von Zeit zu Zeit von der Europรคischen Kommission รผberarbeitet oder aktualisiert werden;
- (e)"Datenschutzgesetze"ย bedeutet (i) Richtlinie 95/46/EG und, ab Mai 25, 2018, Verordnung (EU) 2016/679ย ("GDPR")ย zusammen mit anwendbaren Rechtsvorschriften, die diese umsetzen oder ergรคnzen oder sich anderweitig auf die Verarbeitung personenbezogener Daten natรผrlicher Personen beziehen, und (ii) soweit nicht in Unterklausel (i) enthalten, der Data Protection Act 1998 des Vereinigten Kรถnigreichs in der jeweils gรผltigen Fassung und einschlieรlich aller im Wesentlichen รคhnlichen Rechtsvorschriften, die den DPA 1998 ersetzen;
- (f)"Privacy Shield" (Datenschutzabkommen)ย bedeutet das EU-US Privacy Shield Framework; und
- (g)"Dienstleistungen"ย bezeichnet die Dienstleistungen, die von Mercateam an den Kunden oder die Kundenpartner gemรคร den Bedingungen erbracht werden sollen.
1.2 The terms "Controller", "Data Subject", "Persรถnliche Daten", "Personal Data Breach", "Prozess", "Prozessor" und "Aufsichtsbehรถrde" haben die gleichen Bedeutungen, wie sie in den anwendbaren Datenschutzgesetzen beschrieben sind, und cognate Begriffe werden entsprechend konstruiert.
1.3 Kapitalisierte Begriffe, die in diesem Zusatz nicht anderweitig definiert sind, haben die Bedeutungen, die ihnen in den Begriffen zugewiesen werden.
2. Bildung dieses Addendums
Dieses Addendum gilt als von den Parteien vereinbart und tritt in Kraft am "Addendum Effective Date", wobei das Spรคtere von (i) dem Datum, an dem dieses Addendum vom Kunden angenommen wird, und (ii) Mercateam ist.
3. Rollen der Parteien
Die Parteien bestรคtigen und stimmen zu, dass in Bezug auf die Verarbeitung der persรถnlichen Daten des Kunden, und wie weiter beschrieben in Anhang 1 hereto, Client acts as a Controller and Mercateam acts as a Processor (as defined in section 5.2.4 below).
The Parties expressly agree that Client shall be solely responsible for ensuring timely communications to Client's Affiliates or the relevant Controller(s) who receive the Services, insofar as such communications may be required or useful in light of applicable Data Protection Laws to enable Client's Affiliates or the relevant Controller(s) to comply with such Laws.
4. Beschreibung der Verarbeitung personenbezogener Daten
In Anhang 1 to this Addendum, the Parties have mutually set out their understanding of the details of the Processing of the Client Personal Data to be Processed by Mercateam pursuant to this Addendum, as required by Article 28(3) of the GDPR. Either Party may make reasonable amendments to Anhang 1 by written notice to the other Party and as reasonably necessary to meet those requirements. Anhang 1 begrรผndet keine Verpflichtungen oder Rechte fรผr irgendeine Partei.
5. Datenverarbeitungsbedingungen
5.1
Kunde muss alle anwendbaren Datenschutzgesetze in Verbindung mit der Leistung dieses Zusatzes einhalten. As between the Parties, Client shall be solely responsible for compliance with applicable Data Protection Laws regarding the collection of and transfer to Mercateam of Client Personal Data. Kunde stimmt zu, Mercateam keine Daten รผber die Gesundheit, Religion oder besondere Kategorien von Daten, wie in Artikel 9 der GDPR definiert, zur Verfรผgung zu stellen.
5.2
Mercateam wird alle anwendbaren Datenschutzgesetze bei der Verarbeitung der persรถnlichen Daten des Kunden einhalten und Mercateam wird:
5.2.1
die persรถnlichen Daten des Kunden in Bezug auf die Kategorien von Datensubjekten fรผr die Zwecke der Bedingungen und fรผr die spezifischen Zwecke in jedem Fall verarbeiten, die in den folgenden Punkten festgelegt sind Anhang 1 Mercateam wird den Kunden unverzรผglich informieren, wenn eine Anweisung nach Ansicht von Mercateam gegen anwendbare Datenschutzgesetze verstรถรt;
5.2.2
sicherstellen, dass Personen, die zur Verarbeitung der Client-Personendaten berechtigt sind, sich selbst zur Vertraulichkeit verpflichtet haben oder unter einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit stehen;
5.2.3
die in den Bedingungen festgelegten technischen und organisatorischen Maรnahmen einfรผhren und aufrechterhalten und unter Berรผcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere fรผr die Rechte und Freiheiten natรผrlicher Personen alle weiteren angemessenen technischen und organisatorischen Maรnahmen einfรผhren, die erforderlich sind, um ein Sicherheitsniveau zu gewรคhrleisten, das dem Risiko der Verarbeitung personenbezogener Daten des Kunden wie folgt angemessen ist:
(a) Pseudonymisierung und Verschlรผsselung der persรถnlichen Daten des Kunden;
(b) die laufende Gewรคhrleistung von Vertraulichkeit, Integritรคt, Verfรผgbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste, die Client Personal Data verarbeiten;
(c) im Falle eines physischen oder technischen Zwischenfalls die Verfรผgbarkeit und den Zugriff auf Client-Personaldaten zeitnah wiederherzustellen; und
(d) regelmรครige Prรผfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maรnahmen zur Gewรคhrleistung der Sicherheit der Verarbeitung der personenbezogenen Daten des Kunden.
Any amendment to such agreed measures that is necessitated by Client shall be dealt with via an agreed change control process between Mercateam and Client;
5.2.4
Client (on behalf of the relevant Controller(s), as applicable), hereby expressly and specifically authorizes Mercateam to engage another Processor to Process the Client Personal Data ("Other Processor"), und insbesondere die Anderen Prozessoren, die in Anhang 2 hereto, subject to Mercateam's:
(a)
den Kunden รผber jede beabsichtigte รnderung seiner Verwendung anderer Prozessoren, die in Anhang 2 indem er dem Kunden eine E-Mail mit der Mitteilung รผber die beabsichtigte รnderung schickt;
(b)einschlieรlich Datenschutzverpflichtungen in seinem Vertrag mit jedem anderen Auftragsverarbeiter, die im Wesentlichen mit den in diesem Zusatz festgelegten Verpflichtungen รผbereinstimmen; und
(c) gegenรผber dem Kunden fรผr jedes Versagen jedes anderen Prozessors bei der Erfรผllung seiner Pflichten im Zusammenhang mit der Verarbeitung der persรถnlichen Daten des Kunden haftbar bleiben.
In relation to any notice received under section 5.2.4 a., the Client shall have a period of 30 (thirty) days from the date of the notice to inform Mercateam in writing of any reasonable objection to the use of that Other Processor. The parties will then, for a period of no more than 30 (thirty) days from the date of the Client's objection, work together in good faith to attempt to find a commercially reasonable solution for the Client which avoids the use of the objected-to Other Processor. Where no such solution can be found, either Party may (notwithstanding anything to the contrary in the Terms) terminate the relevant Services immediately on written notice to the other Party, without damages, penalty or indemnification whatsoever;
5.2.5
to the extent legally permissible, promptly notify Client of any communication from a Data Subject regarding the Processing of Client Personal Data, or any other communication (including from a Supervisory Authority) relating to any obligation under the applicable Data Protection Laws in respect of the Client Personal Data, and, unter Berรผcksichtigung der Art der Verarbeitung den Kunden (oder den zustรคndigen Controller) durch geeignete technische und organisatorische Maรnahmen unterstรผtzen, soweit dies mรถglich ist, um die Verpflichtung des Kunden, der verbundenen Unternehmen des Kunden oder des zustรคndigen Controllers zu erfรผllen, auf Antrรคge auf Ausรผbung der Rechte des Datensubjekts gemรคร Kapitel III GDPR zu antworten; Der Kunde stimmt zu, Mercateam fรผr die Zeit und die Kosten zu bezahlen, die Mercateam im Zusammenhang mit der Erfรผllung seiner Pflichten gemรคร diesem Abschnitt 5.2.5;
5.2.6
upon Mercateam's becoming a Personal Data Breach involving Client Personal Data, notify Client without undue delay, of any Personal Data Breach involving Client Personal Data, such notice to include all information reasonably required by Client (or the relevant Controller) to comply with its obligations under the applicable Data Protection Laws;
5.2.7
in dem von den anwendbaren Datenschutzgesetzen geforderten Umfang, angemessene Unterstรผtzung fรผr Client, Client's Affiliates oder den/die relevanten Controller bei seinen/ihren Pflichten gemรคร Artikel 32 bis 36 GDPR unter Berรผcksichtigung der Art der Verarbeitung und der Mercateam zur Verfรผgung stehenden Informationen zu leisten; Client stimmt zu, Mercateam fรผr die Zeit und vorbehaltlich der Kosten, die Mercateam in Verbindung mit jeglicher Unterstรผtzung, die in Verbindung mit Artikel 35 und 36 GDPR bereitgestellt wird, entstehen, zu bezahlen;
5.2.8
cease Processing the Client Personal Data on the termination or expiry of the Terms, and at the option of Client, Client's Affiliates or the relevant Controller(s) either return or delete (including by ensuring that such data is in non-readable format) all copies of the Client Personal Data Processed by Mercateam, unless (and solely to the extent and for such period as) Country law requires storage of the Personal Data. Notwithstanding the foregoing or anything to the contrary contained herein, Mercateam may retain Personal Data and shall have no obligation to return Personal Data to the extent required by applicable laws or regulations obligations. Alle derartigen zurรผckbehaltenen persรถnlichen Daten bleiben den in den Bedingungen festgelegten Geheimhaltungsverpflichtungen unterworfen; und
5.2.9
make available to Client all information necessary to demonstrate compliance with this Addendum and allow for and contribute to audits, including inspections, by Client, or an auditor mandated by Client. For the purposes of demonstrating compliance with this Addendum under this section 5.2.9, the Parties agree that once per year during the term of the Terms, Mercateam will provide to Client, on reasonable notice, responses to cybersecurity and other assessments. Kunde stimmt zu, Mercateam fรผr die Zeit und aus den Pachtkosten zu bezahlen, die Mercateam in Verbindung mit der Unterstรผtzung im Zusammenhang mit solchen Audits, Antworten auf Cybersicherheit und anderen Assessments entstanden sind.
6. Transfers
Mercateam ist nach ISO 27001:2013 fรผr das Informationssicherheitsmanagement zertifiziert. Mercateam benachrichtigt Client schriftlich ohne unangemessene Verzรถgerung, wenn es seinen Verpflichtungen unter der Einhaltung des Datenschutzes nicht mehr nachkommen kann, und in diesem Fall hat Mercateam die Wahl, (i) unverzรผglich angemessene Schritte zu unternehmen, um eine etwaige Nichteinhaltung der geltenden Verpflichtungen unter diesem Zusatz zu beheben, oder (ii) in einen fairen Dialog mit Client einzutreten, um einen neuen Datenรผbertragungsmechanismus zu bestimmen, um die Zwecke der Bedingungen zu erfรผllen. Mercateam fungiert als Verarbeiter von personenbezogenen Daten, die im Rahmen einer Datenรผbertragung empfangen wurden.
In the event the Privacy Compliance is invalidated, Client and each Client Affiliate (on behalf of the relevant Controller(s), as the case may be), if applicable (as "data exporter") and Mercateam (as "data importer"), with effect from the beginning of the relevant transfer, shall enter into the Controller to Processor SCCs (mutatis mutandis, as the case may be) in respect of any transfer (or onward transfer) from Client or Client Affiliate to Mercateam, where such transfer would otherwise be prohibited by applicable Data Protection Laws or by the terms of data transfer agreements put in place to address applicable Data Protection Laws. Appendix 1 to the Controller to Processor SCCs shall be deemed to be prepopulated with the relevant sections of Anhang 1 zu diesem Nachtrag und die Verarbeitungsvorgรคnge gelten als die in den Bedingungen beschriebenen Vorgรคnge. Anhang 2 zu den Controller to Processor SCCs gilt als vorformuliert mit folgendem Inhalt "Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood for the rights and freedoms of natural persons, Mercateam shall implement appropriate technical and organizational measures as set forth in the Addendum."
7. Prรคzedenzfall
Die Bestimmungen dieses Nachtrags ergรคnzen die Bestimmungen der Terms. Im Falle einer Inkonsistenz zwischen den Bestimmungen dieses Nachtrags und den Bestimmungen der Terms haben die Bestimmungen dieses Nachtrags Vorrang.
8. Entschรคdigung
To the extent permissible by law, Client shall indemnify and hold harmless Mercateam against all (i) losses, (ii) third party claims, (iii) administrative fines and (iv) costs and expenses (including, without limitation, reasonable legal, investigative and consultancy fees and expenses) reasonably incurred in relation to (i), (ii) or iii), suffered by Mercateam and that arise from any breach by Client of this Addendum or of its obligations under applicable Data Protection Laws.
9. Severability
The Parties agree that, if any section or sub-section of this Addendum is held by any court or competent authority to be unlawful or unenforceable, it shall not invalidate or render unenforceable any other section of this Addendum.
9. Others
Die Organisation stellt sicher, dass der Vertrag zur Bearbeitung von PII die Rolle der Organisation bei der Unterstรผtzung der Pflichten des Kunden adressiert.
The Agreement considers following and follows:
a. Privacy by Design and default
b. Achieving Security of Processing
c. Meldung von Verstรถรen, an denen PII beteiligt sind, an eine Aufsichtsbehรถrde
d. Meldung von PII-beeinflussenden Verstรถรen an Kunden und PII Principals
e. Durchfรผhrung von Datenschutzfolgenabschรคtzungen
f. Assurance of Assistance by the PII Processors if prior consultations with relevant PII Protection authorities are needed.
g. Mercateam wird den Kunden informieren, wenn eine Verarbeitungsanweisung seiner Meinung nach gegen anwendbare Gesetze oder Vorschriften verstรถรt.
h. The organization does not use PII processed under a contract for the purposes of Marketing and Advertising
i. Coordinate with Clients for helping Audit the systems. Die Organisation versorgt die Kunden mit den entsprechenden Informationen, damit sie die Einhaltung ihrer Verpflichtungen nachweisen kรถnnen.
j. Mercateam wird AWS und PIPL als Unterprozessoren mit vollen Sicherheits- und Datenschutzanforderungen verwenden.
k. The organization shall comply with all statutory and regulatory requirements, ISO 27001:2013, ISO 27701:2019 and EU GDPR requirements.
l. The Data shall be deleted or de-identified after the processing is completed (This is after the selected retention period is completed).
m. Mercateam shall inform 24 hours in advance to clients in case of any legally binding requests for disclosure of PII.
n. For Access, Correction and/or Erasure of PII of Data subjects can be done by contacting the Data Protection Officer (DPO) below. For raising concerns and/or any complaints related to PII that can be done by contacting the Data Protection Officer below:
Name: Kรฉvin Rouviรจre
Email ID: kevin@merca.team
Kontaktnummer: +33 6 30 01 85 69
Anhang 1: Beschreibung der Verarbeitung personenbezogener Kundendaten
Dieser Anhang enthรคlt bestimmte Details zur Verarbeitung der persรถnlichen Daten des Kunden gemรคร Artikel 28(3) GDPR und, falls zutreffend, Controller to Processor SCC.
Gegenstand und Dauer der Verarbeitung personenbezogener Daten
Der Gegenstand und die Dauer der Verarbeitung der persรถnlichen Daten des Kunden sind in Abschnitt 2 der Bedingungen festgelegt.
Die Art und der Zweck der Verarbeitung der persรถnlichen Daten
Due Diligence and Background Verification of Organization and Individuals (Sorgfaltspflicht und Hintergrundprรผfung von Organisationen und Einzelpersonen).
The categories of Data Subject to which the Client Personal Data relates
- Angestellte und Vertragspartner von Kunden.
Die Arten der zu verarbeitenden personenbezogenen Daten des Kunden
Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Language, Phone, Related URL, User ID, Skills and clearances, trainings, job and job description, Schedules, Restrictions, Certification documents
Besondere Datenkategorien
None
Die Pflichten und Rechte des Kunden
Die Pflichten und Rechte des Kunden sind in den Vertragsbedingungen und diesem Zusatz festgelegt.
Datenexporteur (falls zutreffend)
Der Datenexporteur ist: Kunde von Mercateam, der die Dienste nutzt.
Datenimporteur (falls zutreffend)
Der Datenimporteur ist: PIPL, ein Unternehmen, das Dienstleistungen fรผr den Kunden erbringt, fรผr die es erforderlich ist, die Abfragedaten des Kunden zu erhalten.
Processing operations (as applicable)
The personal data transferred will be subject to the following basic processing activities: The provision of Mercateam Limited to Client for Due Diligence and Background Verification as per Client requirements.
Anhang 2: Autorisierte andere Prozessoren
| Name of Other Processor | Beschreibung der Verarbeitung | Location of Other Processor |
|---|---|---|
| Google Cloud Provider | Hosting der Produktionsumgebung | Belgium, Saint Ghislain |
| Scrut Automation | GRC-Plattform | US |