DATENSCHUTZZUSATZ
Dieser Datenschutzzusatz ("Addendum") ist Teil der Allgemeinen Geschäftsbedingungen für den Dienst ("Begriffe") zwischen (i) Mercateam ("Mercateam") und (ii) dem Kunden, der Mercateam abonniert, wobei jeder Kunde ein "" ist.Party" und zusammen die "Parteien", datiert am Tag, an dem der Kunde Daten an Mercateam sendet oder Daten in Mercateam hochlädt, und wirksam ab dem Datum des Zusatzvertrages (wie unten definiert),
The Parties hereby agree that the terms and conditions set out below shall be added as an Addendum to the Terms and references in this Addendum to the Terms are to the Terms as amended by, and including, this Addendum.
1. Definitionen
1.1 In diesem Nachtrag haben die folgenden Begriffe die unten angegebenen Bedeutungen, und kognate Begriffe werden entsprechend konstruiert:
- (a)"Addendum Effective Date" hat die Bedeutung, die ihm in Abschnitt 2 gegeben wurde;
- (b)"Affiliate" means an entity that owns or controls, is owned or controlled by or is or under common control or ownership with either Client or Mercateam (as the context allows), where control is defined as the possession, directly or indirectly, of the power to direct or cause the direction of the management and policies of an entity, whether through ownership of voting securities, by contract or otherwise;
- (c)"Client Personal Data" bedeutet jegliche persönlichen Daten, die von Mercateam (i) im Auftrag des Kunden (einschließlich, zur Klarstellung, jedes Kunden-Affiliate) oder (ii) anderweitig von Mercateam verarbeitet werden, jeweils gemäß oder in Verbindung mit Anweisungen, die der Kunde schriftlich erteilt hat und die mit den Bedingungen übereinstimmen;
- (d)"Controller to Processor s" bedeutet die Standardvertragsklauseln (Prozessoren) für die Zwecke von Artikel 26(2) der Richtlinie 95/46/EG, die im Beschluss 2010/87/EG festgelegt sind, da diese von Zeit zu Zeit von der Europäischen Kommission überarbeitet oder aktualisiert werden;
- (e)"Datenschutzgesetze" bedeutet (i) Richtlinie 95/46/EG und, ab Mai 25, 2018, Verordnung (EU) 2016/679 ("GDPR") zusammen mit anwendbaren Rechtsvorschriften, die diese umsetzen oder ergänzen oder sich anderweitig auf die Verarbeitung personenbezogener Daten natürlicher Personen beziehen, und (ii) soweit nicht in Unterklausel (i) enthalten, der Data Protection Act 1998 des Vereinigten Königreichs in der jeweils gültigen Fassung und einschließlich aller im Wesentlichen ähnlichen Rechtsvorschriften, die den DPA 1998 ersetzen;
- (f)"Privacy Shield" (Datenschutzabkommen) bedeutet das EU-US Privacy Shield Framework; und
- (g)"Dienstleistungen" bezeichnet die Dienstleistungen, die von Mercateam an den Kunden oder die Kundenpartner gemäß den Bedingungen erbracht werden sollen.
1.2 The terms "Controller", "Data Subject", "Persönliche Daten", "Personal Data Breach", "Prozess", "Prozessor" und "Aufsichtsbehörde" haben die gleichen Bedeutungen, wie sie in den anwendbaren Datenschutzgesetzen beschrieben sind, und cognate Begriffe werden entsprechend konstruiert.
1.3 Kapitalisierte Begriffe, die in diesem Zusatz nicht anderweitig definiert sind, haben die Bedeutungen, die ihnen in den Begriffen zugewiesen werden.
2. Bildung dieses Addendums
Dieses Addendum gilt als von den Parteien vereinbart und tritt in Kraft am "Addendum Effective Date", wobei das Spätere von (i) dem Datum, an dem dieses Addendum vom Kunden angenommen wird, und (ii) Mercateam ist.
3. Rollen der Parteien
Die Parteien bestätigen und stimmen zu, dass in Bezug auf die Verarbeitung der persönlichen Daten des Kunden, und wie weiter beschrieben in Anhang 1 hereto, Client acts as a Controller and Mercateam acts as a Processor (as defined in section 5.2.4 below).
The Parties expressly agree that Client shall be solely responsible for ensuring timely communications to Client's Affiliates or the relevant Controller(s) who receive the Services, insofar as such communications may be required or useful in light of applicable Data Protection Laws to enable Client's Affiliates or the relevant Controller(s) to comply with such Laws.
4. Beschreibung der Verarbeitung personenbezogener Daten
In Anhang 1 to this Addendum, the Parties have mutually set out their understanding of the details of the Processing of the Client Personal Data to be Processed by Mercateam pursuant to this Addendum, as required by Article 28(3) of the GDPR. Either Party may make reasonable amendments to Anhang 1 by written notice to the other Party and as reasonably necessary to meet those requirements. Anhang 1 begründet keine Verpflichtungen oder Rechte für irgendeine Partei.
5. Datenverarbeitungsbedingungen
5.1
Kunde muss alle anwendbaren Datenschutzgesetze in Verbindung mit der Leistung dieses Zusatzes einhalten. As between the Parties, Client shall be solely responsible for compliance with applicable Data Protection Laws regarding the collection of and transfer to Mercateam of Client Personal Data. Kunde stimmt zu, Mercateam keine Daten über die Gesundheit, Religion oder besondere Kategorien von Daten, wie in Artikel 9 der GDPR definiert, zur Verfügung zu stellen.
5.2
Mercateam wird alle anwendbaren Datenschutzgesetze bei der Verarbeitung der persönlichen Daten des Kunden einhalten und Mercateam wird:
5.2.1
die persönlichen Daten des Kunden in Bezug auf die Kategorien von Datensubjekten für die Zwecke der Bedingungen und für die spezifischen Zwecke in jedem Fall verarbeiten, die in den folgenden Punkten festgelegt sind Anhang 1 Mercateam wird den Kunden unverzüglich informieren, wenn eine Anweisung nach Ansicht von Mercateam gegen anwendbare Datenschutzgesetze verstößt;
5.2.2
sicherstellen, dass Personen, die zur Verarbeitung der Client-Personendaten berechtigt sind, sich selbst zur Vertraulichkeit verpflichtet haben oder unter einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit stehen;
5.2.3
die in den Bedingungen festgelegten technischen und organisatorischen Maßnahmen einführen und aufrechterhalten und unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen alle weiteren angemessenen technischen und organisatorischen Maßnahmen einführen, die erforderlich sind, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung personenbezogener Daten des Kunden wie folgt angemessen ist:
(a) Pseudonymisierung und Verschlüsselung der persönlichen Daten des Kunden;
(b) die laufende Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste, die Client Personal Data verarbeiten;
(c) im Falle eines physischen oder technischen Zwischenfalls die Verfügbarkeit und den Zugriff auf Client-Personaldaten zeitnah wiederherzustellen; und
(d) regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung der personenbezogenen Daten des Kunden.
Any amendment to such agreed measures that is necessitated by Client shall be dealt with via an agreed change control process between Mercateam and Client;
5.2.4
Client (on behalf of the relevant Controller(s), as applicable), hereby expressly and specifically authorizes Mercateam to engage another Processor to Process the Client Personal Data ("Other Processor"), und insbesondere die Anderen Prozessoren, die in Anhang 2 hereto, subject to Mercateam's:
(a)
den Kunden über jede beabsichtigte Änderung seiner Verwendung anderer Prozessoren, die in Anhang 2 indem er dem Kunden eine E-Mail mit der Mitteilung über die beabsichtigte Änderung schickt;
(b)einschließlich Datenschutzverpflichtungen in seinem Vertrag mit jedem anderen Auftragsverarbeiter, die im Wesentlichen mit den in diesem Zusatz festgelegten Verpflichtungen übereinstimmen; und
(c) gegenüber dem Kunden für jedes Versagen jedes anderen Prozessors bei der Erfüllung seiner Pflichten im Zusammenhang mit der Verarbeitung der persönlichen Daten des Kunden haftbar bleiben.
In relation to any notice received under section 5.2.4 a., the Client shall have a period of 30 (thirty) days from the date of the notice to inform Mercateam in writing of any reasonable objection to the use of that Other Processor. The parties will then, for a period of no more than 30 (thirty) days from the date of the Client's objection, work together in good faith to attempt to find a commercially reasonable solution for the Client which avoids the use of the objected-to Other Processor. Where no such solution can be found, either Party may (notwithstanding anything to the contrary in the Terms) terminate the relevant Services immediately on written notice to the other Party, without damages, penalty or indemnification whatsoever;
5.2.5
to the extent legally permissible, promptly notify Client of any communication from a Data Subject regarding the Processing of Client Personal Data, or any other communication (including from a Supervisory Authority) relating to any obligation under the applicable Data Protection Laws in respect of the Client Personal Data, and, unter Berücksichtigung der Art der Verarbeitung den Kunden (oder den zuständigen Controller) durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, um die Verpflichtung des Kunden, der verbundenen Unternehmen des Kunden oder des zuständigen Controllers zu erfüllen, auf Anträge auf Ausübung der Rechte des Datensubjekts gemäß Kapitel III GDPR zu antworten; Der Kunde stimmt zu, Mercateam für die Zeit und die Kosten zu bezahlen, die Mercateam im Zusammenhang mit der Erfüllung seiner Pflichten gemäß diesem Abschnitt 5.2.5;
5.2.6
upon Mercateam's becoming a Personal Data Breach involving Client Personal Data, notify Client without undue delay, of any Personal Data Breach involving Client Personal Data, such notice to include all information reasonably required by Client (or the relevant Controller) to comply with its obligations under the applicable Data Protection Laws;
5.2.7
in dem von den anwendbaren Datenschutzgesetzen geforderten Umfang, angemessene Unterstützung für Client, Client's Affiliates oder den/die relevanten Controller bei seinen/ihren Pflichten gemäß Artikel 32 bis 36 GDPR unter Berücksichtigung der Art der Verarbeitung und der Mercateam zur Verfügung stehenden Informationen zu leisten; Client stimmt zu, Mercateam für die Zeit und vorbehaltlich der Kosten, die Mercateam in Verbindung mit jeglicher Unterstützung, die in Verbindung mit Artikel 35 und 36 GDPR bereitgestellt wird, entstehen, zu bezahlen;
5.2.8
cease Processing the Client Personal Data on the termination or expiry of the Terms, and at the option of Client, Client's Affiliates or the relevant Controller(s) either return or delete (including by ensuring that such data is in non-readable format) all copies of the Client Personal Data Processed by Mercateam, unless (and solely to the extent and for such period as) Country law requires storage of the Personal Data. Notwithstanding the foregoing or anything to the contrary contained herein, Mercateam may retain Personal Data and shall have no obligation to return Personal Data to the extent required by applicable laws or regulations obligations. Alle derartigen zurückbehaltenen persönlichen Daten bleiben den in den Bedingungen festgelegten Geheimhaltungsverpflichtungen unterworfen; und
5.2.9
make available to Client all information necessary to demonstrate compliance with this Addendum and allow for and contribute to audits, including inspections, by Client, or an auditor mandated by Client. For the purposes of demonstrating compliance with this Addendum under this section 5.2.9, the Parties agree that once per year during the term of the Terms, Mercateam will provide to Client, on reasonable notice, responses to cybersecurity and other assessments. Kunde stimmt zu, Mercateam für die Zeit und aus den Pachtkosten zu bezahlen, die Mercateam in Verbindung mit der Unterstützung im Zusammenhang mit solchen Audits, Antworten auf Cybersicherheit und anderen Assessments entstanden sind.
6. Transfers
Mercateam ist nach ISO 27001:2013 für das Informationssicherheitsmanagement zertifiziert. Mercateam benachrichtigt Client schriftlich ohne unangemessene Verzögerung, wenn es seinen Verpflichtungen unter der Einhaltung des Datenschutzes nicht mehr nachkommen kann, und in diesem Fall hat Mercateam die Wahl, (i) unverzüglich angemessene Schritte zu unternehmen, um eine etwaige Nichteinhaltung der geltenden Verpflichtungen unter diesem Zusatz zu beheben, oder (ii) in einen fairen Dialog mit Client einzutreten, um einen neuen Datenübertragungsmechanismus zu bestimmen, um die Zwecke der Bedingungen zu erfüllen. Mercateam fungiert als Verarbeiter von personenbezogenen Daten, die im Rahmen einer Datenübertragung empfangen wurden.
In the event the Privacy Compliance is invalidated, Client and each Client Affiliate (on behalf of the relevant Controller(s), as the case may be), if applicable (as "data exporter") and Mercateam (as "data importer"), with effect from the beginning of the relevant transfer, shall enter into the Controller to Processor SCCs (mutatis mutandis, as the case may be) in respect of any transfer (or onward transfer) from Client or Client Affiliate to Mercateam, where such transfer would otherwise be prohibited by applicable Data Protection Laws or by the terms of data transfer agreements put in place to address applicable Data Protection Laws. Appendix 1 to the Controller to Processor SCCs shall be deemed to be prepopulated with the relevant sections of Anhang 1 zu diesem Nachtrag und die Verarbeitungsvorgänge gelten als die in den Bedingungen beschriebenen Vorgänge. Anhang 2 zu den Controller to Processor SCCs gilt als vorformuliert mit folgendem Inhalt "Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood for the rights and freedoms of natural persons, Mercateam shall implement appropriate technical and organizational measures as set forth in the Addendum."
7. Präzedenzfall
Die Bestimmungen dieses Nachtrags ergänzen die Bestimmungen der Terms. Im Falle einer Inkonsistenz zwischen den Bestimmungen dieses Nachtrags und den Bestimmungen der Terms haben die Bestimmungen dieses Nachtrags Vorrang.
8. Entschädigung
To the extent permissible by law, Client shall indemnify and hold harmless Mercateam against all (i) losses, (ii) third party claims, (iii) administrative fines and (iv) costs and expenses (including, without limitation, reasonable legal, investigative and consultancy fees and expenses) reasonably incurred in relation to (i), (ii) or iii), suffered by Mercateam and that arise from any breach by Client of this Addendum or of its obligations under applicable Data Protection Laws.
9. Severability
The Parties agree that, if any section or sub-section of this Addendum is held by any court or competent authority to be unlawful or unenforceable, it shall not invalidate or render unenforceable any other section of this Addendum.
9. Others
Die Organisation stellt sicher, dass der Vertrag zur Bearbeitung von PII die Rolle der Organisation bei der Unterstützung der Pflichten des Kunden adressiert.
The Agreement considers following and follows:
a. Privacy by Design and default
b. Achieving Security of Processing
c. Meldung von Verstößen, an denen PII beteiligt sind, an eine Aufsichtsbehörde
d. Meldung von PII-beeinflussenden Verstößen an Kunden und PII Principals
e. Durchführung von Datenschutzfolgenabschätzungen
f. Assurance of Assistance by the PII Processors if prior consultations with relevant PII Protection authorities are needed.
g. Mercateam wird den Kunden informieren, wenn eine Verarbeitungsanweisung seiner Meinung nach gegen anwendbare Gesetze oder Vorschriften verstößt.
h. The organization does not use PII processed under a contract for the purposes of Marketing and Advertising
i. Coordinate with Clients for helping Audit the systems. Die Organisation versorgt die Kunden mit den entsprechenden Informationen, damit sie die Einhaltung ihrer Verpflichtungen nachweisen können.
j. Mercateam wird AWS und PIPL als Unterprozessoren mit vollen Sicherheits- und Datenschutzanforderungen verwenden.
k. The organization shall comply with all statutory and regulatory requirements, ISO 27001:2013, ISO 27701:2019 and EU GDPR requirements.
l. The Data shall be deleted or de-identified after the processing is completed (This is after the selected retention period is completed).
m. Mercateam shall inform 24 hours in advance to clients in case of any legally binding requests for disclosure of PII.
n. For Access, Correction and/or Erasure of PII of Data subjects can be done by contacting the Data Protection Officer (DPO) below. For raising concerns and/or any complaints related to PII that can be done by contacting the Data Protection Officer below:
Name: Kévin Rouvière
Email ID: kevin@merca.team
Kontaktnummer: +33 6 30 01 85 69
Anhang 1: Beschreibung der Verarbeitung personenbezogener Kundendaten
Dieser Anhang enthält bestimmte Details zur Verarbeitung der persönlichen Daten des Kunden gemäß Artikel 28(3) GDPR und, falls zutreffend, Controller to Processor SCC.
Gegenstand und Dauer der Verarbeitung personenbezogener Daten
Der Gegenstand und die Dauer der Verarbeitung der persönlichen Daten des Kunden sind in Abschnitt 2 der Bedingungen festgelegt.
Die Art und der Zweck der Verarbeitung der persönlichen Daten
Due Diligence and Background Verification of Organization and Individuals (Sorgfaltspflicht und Hintergrundprüfung von Organisationen und Einzelpersonen).
The categories of Data Subject to which the Client Personal Data relates
- Angestellte und Vertragspartner von Kunden.
Die Arten der zu verarbeitenden personenbezogenen Daten des Kunden
Name, Address, Date of Birth, Age, Education, Email, Gender, Image, Language, Phone, Related URL, User ID, Skills and clearances, trainings, job and job description, Schedules, Restrictions, Certification documents
Besondere Datenkategorien
None
Die Pflichten und Rechte des Kunden
Die Pflichten und Rechte des Kunden sind in den Vertragsbedingungen und diesem Zusatz festgelegt.
Datenexporteur (falls zutreffend)
Der Datenexporteur ist: Kunde von Mercateam, der die Dienste nutzt.
Datenimporteur (falls zutreffend)
Der Datenimporteur ist: PIPL, ein Unternehmen, das Dienstleistungen für den Kunden erbringt, für die es erforderlich ist, die Abfragedaten des Kunden zu erhalten.
Processing operations (as applicable)
The personal data transferred will be subject to the following basic processing activities: The provision of Mercateam Limited to Client for Due Diligence and Background Verification as per Client requirements.
Anhang 2: Autorisierte andere Prozessoren
| Name of Other Processor | Beschreibung der Verarbeitung | Location of Other Processor |
|---|---|---|
| Google Cloud Provider | Hosting der Produktionsumgebung | Belgium, Saint Ghislain |
| Scrut Automation | GRC-Plattform | US |