1. Einführung
Dieser Datenschutzzusatz („Nachtrag„) wird zwischen Portant PTY LTD., einem Unternehmen in New South Wales, Australien („Portant„) und dem Kunden, beginnend mit dem Datum, an dem sich der Kunde ordnungsgemäß für die Nutzung der von Portant bereitgestellten Dienste registriert hat. Dieser Nachtrag regelt den Umgang mit personenbezogenen Kundendaten durch Portant gemäß der zwischen Portant und dem Kunden geschlossenen Vereinbarung über die Bereitstellung der Dienste von Portant (die „Allgemeine Geschäftsbedingungen“).
2. Terminologie
Im Zusammenhang mit diesem Anhang gelten die nachstehenden Definitionen. Alle hier verwendeten, aber nicht definierten großgeschriebenen Begriffe haben die in den Allgemeinen Geschäftsbedingungen zugewiesene Bedeutung.
2.1. „Assoziiertes Unternehmen„bezieht sich auf jedes Unternehmen, das direkte oder indirekte Kontrolle über das überweisende Unternehmen hat, von diesem kontrolliert wird oder unter gemeinsamer Kontrolle mit diesem steht, wobei „Kontrolle“ die Befugnis bezeichnet, die Geschäftsführung des überweisenden Unternehmens zu leiten oder zu beeinflussen, sei es durch den Besitz von stimmberechtigten Aktien, durch Vertrag oder auf andere Weise.
2.2. „CCPA„bezeichnet den California Consumer Privacy Act von 2018, vorbehaltlich Änderungen.
2.3. „Persönliche Kundendaten„fasst alle Kundendaten (wie in den Allgemeinen Geschäftsbedingungen beschrieben) zusammen, die als personenbezogene Daten gelten. In diesem Nachtrag schließen personenbezogene Daten des Kunden personenbezogene Daten von Mitarbeitern oder Vertretern des Kunden aus, die an direkten Geschäftsinteraktionen mit Portant beteiligt sind.
2.4. „Datenschutzgesetzgebung„beinhaltet für jede Partei alle Datenschutz-, Datenschutz- und Informationssicherheitsgesetze und -vorschriften, die für den Umgang der Partei mit personenbezogenen Daten gelten, einschließlich der EU-Datenschutzgesetzgebung und des CCPA, soweit anwendbar.
2.5. „Daten individuell„bezieht sich auf die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.
2.6. „EU-Datenschutzgesetzgebung„bezieht sich auf die Verordnung 2016/679 der Europäischen Union („DSGVO“) sowie alle nationalen Gesetze zur Umsetzung der DSGVO, vorbehaltlich Änderungen.
2.7. „Verarbeitung„bezeichnet jede Aktion oder jede Reihe von Aktionen, die mit oder ohne automatisierte Mittel im Zusammenhang mit personenbezogenen Daten oder Sätzen personenbezogener Daten durchgeführt werden, wie z. B. das Erheben, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung oder Vernichtung.
2.8. „Persönliche Daten„bezieht sich auf „personenbezogene Daten“, „persönliche Informationen“, „persönlich identifizierbare Informationen“ oder analoge Informationen im Sinne der Datenschutzgesetze.
2.9. „Sicherheitsereignis„bezeichnet einen bestätigten unbefugten oder rechtswidrigen Verstoß gegen die Sicherheit, der zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf von Portant verarbeitete personenbezogene Daten führt. Zu den Sicherheitsereignissen zählen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder andere Angriffe auf Firewalls oder vernetzte Systeme.
2.10. „Unterauftragsverarbeiter„bezieht sich auf Dritte, die von Portant oder seinen verbundenen Unternehmen zur Verarbeitung personenbezogener Kundendaten autorisiert wurden.
2.11. „Externer Unterauftragsverarbeiter„bezeichnet jeden Unterauftragsverarbeiter, der nicht mit Portant verbunden ist.
2,12 "EU-US-Datenschutzrahmen (DPF)„ Ein von der Europäischen Kommission verabschiedetes Rahmenwerk, das die Übermittlung personenbezogener Daten aus der EU an zertifizierte Organisationen in den Vereinigten Staaten ermöglicht und ab dem 10. Juli 2023 in Kraft tritt.
3. Allgemein; Kündigung
3.1. Dieser Anhang ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen. Sofern in diesem Anhang keine ausdrückliche Erwähnung erfolgt, bleiben die Allgemeinen Geschäftsbedingungen unverändert und vollständig durchsetzbar. Im Falle von Unstimmigkeiten zwischen diesem Anhang und den Allgemeinen Geschäftsbedingungen hat dieser Anhang Vorrang.
3.2. Sämtliche im Rahmen dieses Anhangs entstehenden Verbindlichkeiten unterliegen den in den Allgemeinen Geschäftsbedingungen festgelegten Haftungsbeschränkungen.
3.3. Die Handhabung und Auslegung dieses Anhangs richtet sich nach den geltenden Gesetzen und den Gerichtsstandsbestimmungen in den Allgemeinen Geschäftsbedingungen, sofern die Datenschutzgesetze nichts anderes vorschreiben.
3.4. Dieser Anhang endet automatisch mit der Kündigung oder dem Ablauf der Allgemeinen Geschäftsbedingungen.
4. Geltungsbereich dieses Nachtrags
Dieser Nachtrag regelt die Verarbeitung personenbezogener Kundendaten durch Portant gemäß den Allgemeinen Geschäftsbedingungen, wobei Anhang A (EU-Anhang) dieses Anhangs nur für die Verarbeitung personenbezogener Kundendaten gilt, die der EU-Datenschutzgesetzgebung unterliegt, und Anhang B (Anhang für Kalifornien) dieses Anhangs nur für die Verarbeitung personenbezogener Kundendaten gilt, die dem CCPA unterliegt.
5. Rolle und Umfang der Verarbeitung
5.1. Portant verarbeitet Kundendaten ausschließlich in Übereinstimmung mit den Weisungen des Kunden. Durch die Eingabe der Allgemeinen Geschäftsbedingungen weist der Kunde Portant an, Kundendaten für die Erbringung von Dienstleistungen und gemäß allen anderen schriftlichen Anweisungen des Kunden zu verarbeiten, die Portant schriftlich als Anweisungen für die Zwecke dieses Anhangs anerkannt hat. Der Kunde erkennt an und akzeptiert, dass diese Anweisung Portant ermächtigt, Kundendaten zu verarbeiten (a) um seinen Pflichten nachzukommen und seine Rechte gemäß den Allgemeinen Geschäftsbedingungen auszuüben; und (b) um rechtliche Verpflichtungen einzuhalten und Rechtsansprüche in Bezug auf die Allgemeinen Geschäftsbedingungen geltend zu machen, auszuüben oder zu verteidigen.
5.2. Zur Klarstellung: Nichts in diesem Anhang hindert Portant daran, Kundendaten an und zwischen Quellen und Zielen gemäß den Anweisungen des Kunden über die Dienste zu übertragen. Beide Parteien vereinbaren, dass weder Quellen noch Ziele Unterauftragsverarbeiter von
6. Unterverarbeitung
6.1. Der Kunde gestattet Portant ausdrücklich, seine verbundenen Unternehmen als Unterauftragsverarbeiter einzusetzen, und ermächtigt Portant im Allgemeinen, externe Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Kundendaten zu beauftragen. Portant:
6.1.1. muss mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung treffen, die Datenschutzverpflichtungen vorschreibt, die im Wesentlichen denen in diesem Anhang entsprechen; und
6.1.2. bleibt für die Einhaltung der Verpflichtungen dieses Anhangs sowie für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich, die dazu führen, dass Portant gegen seine Verpflichtungen gemäß diesem Anhang verstößt.
6.2. Bei der Beauftragung eines neuen externen Unterauftragsverarbeiters benachrichtigt Portant den Kunden über diese Beauftragung, was durch die Aktualisierung der Unterauftragsverarbeiterseite und durch eine Nachricht im Portant-Arbeitsbereich des Kunden übermittelt werden kann. Portant wird eine solche Mitteilung mindestens zehn (10) Kalendertage vor der Verarbeitung personenbezogener Daten des Kunden durch den neuen Unterauftragsverarbeiter zukommen lassen, es sei denn, Portant hält vernünftigerweise eine beschleunigte Beauftragung eines neuen Unterauftragsverarbeiters für erforderlich, um die Vertraulichkeit, Integrität oder Verfügbarkeit der personenbezogenen Daten des Kunden zu schützen oder eine erhebliche Störung der Dienste abzuwenden. Portant wird in solchen Szenarien eine solche Benachrichtigung so schnell wie möglich bereitstellen. Wenn der Kunde Portant innerhalb von fünf (5) Kalendertagen nach dieser Mitteilung schriftlich seinen Einspruch gegen die Ernennung eines neuen externen Unterauftragsverarbeiters durch Portant aufgrund berechtigter Datenschutzbedenken mitteilt, werden beide Parteien diese Bedenken und ihre Lösung einvernehmlich besprechen. Wenn keine gegenseitige Einigung zur Lösung solcher Bedenken erzielt werden kann, kann der Kunde als einziges und ausschließliches Rechtsmittel die Allgemeinen Geschäftsbedingungen aus praktischen Gründen kündigen.
7. Sicherheit
7.1. Portant muss technische und organisatorische Sicherheitsvorkehrungen einführen und aufrechterhalten, die darauf abzielen, die personenbezogenen Daten des Kunden vor Sicherheitsvorfällen zu schützen und gleichzeitig die Vertraulichkeit und Sicherheit der personenbezogenen Daten des Kunden im Einklang mit den Sicherheitsstandards von Portant zu gewährleisten Seite „Datenschutz und Sicherheit“..
7.2. Der Kunde hat die Aufgabe, die von Portant bereitgestellten Informationen zur Datensicherheit zu überprüfen und unabhängig festzustellen, ob die Dienste den Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass Sicherheitsmaßnahmen nach angemessener Benachrichtigung regelmäßig überarbeitet werden können, um eine kontinuierliche Verbesserung zu gewährleisten oder sich an sich entwickelnde Praktiken anzupassen, vorausgesetzt, dass solche Änderungen die zum Datum des Inkrafttretens dargelegten Verpflichtungen von Portant nicht wesentlich verringern.
7.3. Nach Bestätigung eines Sicherheitsvorfalls wird Portant den Kunden unverzüglich informieren, sofern dies nicht durch geltendes Recht eingeschränkt ist. Eine Verzögerung der Benachrichtigung durch die Strafverfolgungsbehörden oder um Portants erforderliche Untersuchungs- oder Abhilfemaßnahmen zu ermöglichen, gilt nicht als unangemessene Verzögerung. In den Benachrichtigungen werden, soweit möglich, der Sicherheitsvorfall, die zur Minderung potenzieller Risiken ergriffenen Maßnahmen und Handlungsempfehlungen für den Kunden detailliert beschrieben. Während Portant seinen Verpflichtungen gemäß Abschnitt 7.c. nachkommt, bleibt der Kunde allein für die Einhaltung der geltenden Gesetze zur Meldung von Sicherheitsvorfällen und etwaiger Meldepflichten Dritter verantwortlich. Die Maßnahmen von Portant als Reaktion auf einen Sicherheitsvorfall gemäß Abschnitt 7.c. stellt kein Eingeständnis eines Verschuldens oder einer Haftung in Bezug auf den Sicherheitsvorfall dar.
7.4. Der Kunde erklärt sich damit einverstanden, dass ungeachtet der Verpflichtungen von Portant gemäß diesem Abschnitt 7 allein der Kunde für die Nutzung der Dienste verantwortlich ist, einschließlich (a) der Nutzung der Dienste zur Aufrechterhaltung eines Sicherheitsniveaus, das dem Risiko in Bezug auf Kundendaten angemessen ist; (b) Sicherung der Kontoauthentifizierungsdaten, Systeme und Geräte, die für den Zugriff auf die Dienste verwendet werden; (c) Schutz der mit den Diensten verbundenen Systeme und Geräte des Kunden; und (d) Durchführung eigener Backups der Kundendaten.
8. Anfragen betroffener Personen
Portant wird auf Anfrage des Kunden (und auf Kosten des Kunden) die notwendige Unterstützung leisten, um den Kunden bei der Erfüllung seiner Pflichten gemäß den Datenschutzgesetzen in Bezug auf Anträge auf Rechte von Einzelpersonen (z. B. Rechte auf Datenzugriff, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Einspruch) zu unterstützen, wenn der Kunde solche Anträge nicht angemessen über die Self-Service-Funktionen der Dienste beantworten kann. Sollte Portant eine Anfrage einer betroffenen Person bezüglich ihrer personenbezogenen Kundendaten erhalten, wird Portant die betroffene Person anweisen, ihre Anfrage an den Kunden zu richten, wobei der Kunde für die Beantwortung einer solchen Anfrage verantwortlich ist.
9. Rückgabe oder Löschung von Daten
9.1. Auf Wunsch des Kunden nach der Kündigung oder dem Ablauf der Allgemeinen Geschäftsbedingungen löscht Portant alle personenbezogenen Daten des Kunden innerhalb von sechzig (60) Tagen aus den Systemen von Portant.
9.2. Ungeachtet des Vorstehenden ist sich der Kunde darüber im Klaren, dass Portant personenbezogene Daten des Kunden aufbewahren kann, wenn dies gesetzlich vorgeschrieben ist, wobei für diese Daten weiterhin die Bestimmungen dieses Nachtrags gelten.
Anhang A – EU-Anhang
1. Definitionen; Datenverarbeitung
1.1. Definitionen. Im Rahmen dieses Anhangs A gelten die Begriffe „Controller“, „Prozessor“, und „Aufsichtsbehörde„sind im Sinne des EU-Datenschutzrechts definiert; „Standardvertragsklauseln„Beziehen Sie sich auf die Standardvertragsklauseln für Auftragsverarbeiter, die von der Europäischen Kommission im Rahmen der Verordnung gebilligt wurden Standardvertragsklauseln (SCC) wie im Portant-Arbeitsbereich des Kunden bereitgestellt; „Datenimporteur“ und „Datenexporteur„sind wie in den Standardvertragsklauseln definiert.
1.2. Vertragsgegenstand und Einzelheiten zur Verarbeitung. Beide Parteien erkennen an und stimmen zu, dass (a) der Gegenstand der Verarbeitung gemäß den Allgemeinen Geschäftsbedingungen die Bereitstellung von Dienstleistungen durch Portant ist; (b) die Verarbeitungsdauer erstreckt sich vom Erhalt der personenbezogenen Kundendaten durch Portant bis zur Löschung aller personenbezogenen Kundendaten durch Portant gemäß der Vereinbarung; (c) Art und Zweck der Verarbeitung sind die Bereitstellung der Dienste; (d) Die von der Verarbeitung betroffenen Personen sind Kunden, Endbenutzer oder andere Personen, die mit personenbezogenen Daten des Kunden in Zusammenhang stehen. und (e) die Kategorien personenbezogener Kundendaten entsprechen den vom Kunden genehmigten Kategorien für die Aufnahme in die Dienste im Rahmen der Vereinbarung.
1.3. Rollen und Einhaltung gesetzlicher Vorschriften; Genehmigung. Beide Parteien erkennen an und stimmen zu, dass (a) Portant als Verarbeiter der personenbezogenen Daten des Kunden gemäß dem EU-Datenschutzrecht fungiert; (b) Der Kunde ist gemäß EU-Datenschutzrecht ein Verantwortlicher für die personenbezogenen Daten des Kunden. und (c) jede Partei muss die jeweiligen Verpflichtungen gemäß dem EU-Datenschutzrecht in Bezug auf die Verarbeitung personenbezogener Kundendaten einhalten. Soweit Nutzungsdaten (wie in der Vereinbarung definiert) als personenbezogene Daten gelten, ist Portant der Verantwortliche für diese Daten und verarbeitet diese Daten im Einklang mit seiner Datenschutzrichtlinie, die unter abgerufen werden kann https://www.portant.co/privacy-policy/.
1.4. Einhaltung der Anweisungen durch Portant. Portant verarbeitet personenbezogene Daten des Kunden nur gemäß den Anweisungen des Kunden in diesem Nachtrag, sofern das EU-Datenschutzrecht nichts anderes vorschreibt. In diesem Fall informiert Portant den Kunden (es sei denn, ein solches Gesetz verbietet Portant dies).
2. Datensicherheit
2.1. Portant-Sicherheitsmaßnahmen, Kontrollen und Unterstützung2.1.1. Portant wird (unter Berücksichtigung der Art der Verarbeitung personenbezogener Kundendaten und der Portant zur Verfügung stehenden Informationen) dem Kunden die notwendige Unterstützung bieten, um seinen Verpflichtungen in Bezug auf personenbezogene Kundendaten gemäß dem EU-Datenschutzrecht, einschließlich der Artikel 32 bis 34 (einschließlich) der DSGVO, nachzukommen, indem (a) die Sicherheitsmaßnahmen umgesetzt und aufrechterhalten werden; (b) Einhaltung der Bedingungen von Abschnitt 7 dieses Nachtrags; und (c) Einhaltung dieses Anhangs A.2.1.2. Portant gestattet den Zugriff auf personenbezogene Daten des Kunden ausschließlich den Mitarbeitern, die diesen Zugriff für ihre beruflichen Aufgaben benötigen, unter Einhaltung angemessener Vertraulichkeitsverpflichtungen. Sollte ein Mitarbeiter eines Kunden seine Rechte gemäß den EU-Datenschutzgesetzen (z. B. Rechte auf Datenzugriff, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch) in Bezug auf Nutzungsdaten, die personenbezogene Daten darstellen, ausüben wollen, verpflichtet sich der Kunde, Portant unverzüglich zu benachrichtigen und seinen Mitarbeiter anzuweisen, sich direkt an Portant zu wenden contact@portant.co.
2.2. Audits und Compliance-Überprüfungen. Sollten geltende Datenschutzgesetze dem Kunden das Recht einräumen, die Verarbeitung personenbezogener Kundendaten durch Portant zu prüfen, wird der Kunde dieses Prüfungsrecht ausüben und Portant wird seinen entsprechenden Verpflichtungen nachkommen, wie beschrieben:
2.2.1. Portant stellt dem Kunden sachdienliche Informationen über die Verarbeitung personenbezogener Kundendaten durch Portant gemäß diesem Nachtrag in Form der neuesten Prüfberichte von Portant zur Verfügung („Berichte Dritter“).
2.2.2. Höchstens einmal pro Kalenderjahr und auf Kosten des Kunden kann der Kunde die Verarbeitung personenbezogener Kundendaten durch Portant auf Einhaltung der Verpflichtungen aus diesem Nachtrag überprüfen, indem er angemessene Informationsanfragen, einschließlich Sicherheits- und Prüfungsfragebögen, einreicht. Portant wird schriftlich antworten, wenn die angeforderten Informationen für die Bestätigung der Einhaltung dieses Nachtrags durch Portant von entscheidender Bedeutung sind. Wenn jedoch innerhalb des Zeitraums von 12 Monaten vor der Anfrage des Kunden ein Bericht Dritter erstellt wurde, der sich mit den angeforderten Informationen befasst und Portant bestätigt, dass keine wesentlichen Änderungen eingetreten sind, die für die Anfrage des Kunden relevant sind, erklärt sich der Kunde damit einverstanden, einen solchen Bericht Dritter anstelle einer schriftlichen Antwort zu akzeptieren. Alle von Portant gemäß diesem Abschnitt 2.b weitergegebenen Informationen. gelten im Rahmen der Vereinbarung als vertrauliche Informationen von Portant.
2.2.3. Für den Fall, dass ein Dritter mit der Durchführung einer Prüfung gemäß diesem Abschnitt 2.b. beauftragt wird, behält sich Portant das Recht vor, Einwände gegen den Prüfer zu erheben, wenn der Prüfer nach vernünftigem Ermessen von Portant nicht unabhängig ist, ein Konkurrent von Portant ist oder anderweitig nicht qualifiziert ist. Ein solcher Einspruch von Portant erfordert, dass der Kunde einen anderen Prüfer benennt oder die Prüfung intern durchführt.
2.2.4. Der Kunde muss Portant unverzüglich über jede während der Prüfung festgestellte Nichteinhaltung informieren und Portant alle Prüfberichte übermitteln, die im Zusammenhang mit einer Prüfung gemäß diesem Abschnitt 2.b. erstellt wurden, sofern dies nicht durch EU-Datenschutzgesetze verboten ist oder von einer Aufsichtsbehörde angewiesen wird. Der Kunde darf die Auditberichte ausschließlich zur Erfüllung seiner regulatorischen Auditpflichten und zur Bestätigung verwenden, dass die Verarbeitung personenbezogener Kundendaten durch Portant diesem Nachtrag entspricht.
2.2.5. Der Kunde hat Portant für die Zeit zu entschädigen, die Portant oder seine Unterauftragsverarbeiter im Zusammenhang mit Audits gemäß diesem Abschnitt 2.b aufgewendet haben. zu den geltenden Tarifen für professionelle Dienstleistungen von Portant, die dem Kunden auf Anfrage mitgeteilt werden. Der Kunde trägt alle Kosten, die einem vom Kunden mit der Durchführung einer solchen Prüfung beauftragten Wirtschaftsprüfer entstehen. Nichts in diesem Nachtrag verpflichtet Portant dazu, bei solchen Prüfungen mehr Informationen über seine externen Unterauftragsverarbeiter weiterzugeben, als diese externen Unterauftragsverarbeiter im Allgemeinen ihren Kunden offenlegen. Nichts in diesem Abschnitt 2.b. wird Portant dazu zwingen, etwaige Geheimhaltungspflichten zu verletzen.
3. Folgenabschätzungen und Konsultationen
Portant kann unter Berücksichtigung der Art der Verarbeitung und der für Portant zugänglichen Informationen den Kunden angemessen bei der Erfüllung seiner Pflichten gemäß den Artikeln 35 und 36 der DSGVO unterstützen, indem (a) eine Dokumentation bereitgestellt wird, in der relevante Aspekte des Informationssicherheitssystems von Portant und die darin ergriffenen Sicherheitsmaßnahmen dargelegt werden; und (b) Bereitstellung der anderen in der Vereinbarung enthaltenen Informationen, einschließlich dieses Nachtrags.
4. Datenübertragungen
4.1. Datenverarbeitungseinrichtungen. Vorbehaltlich Abschnitt 4.b. kann Portant personenbezogene Kundendaten in den Vereinigten Staaten oder an jedem Ort speichern und verarbeiten, an dem Portant oder seine Unterauftragsverarbeiter über Einrichtungen verfügen. Unter Einhaltung der Verpflichtungen von Portant in diesem Abschnitt 4 ist der Kunde dafür verantwortlich, sicherzustellen, dass seine Nutzung der Dienste im Einklang mit allen durch das EU-Datenschutzrecht auferlegten grenzüberschreitenden Datenübertragungsbeschränkungen erfolgt.
4.2. Standardvertragsklauseln. Sollte der Kunde, der in der EU ansässig ist, personenbezogene Daten des Kunden aus der EU an Portant in einem Land übertragen, das von der Europäischen Kommission nicht als Land mit angemessenem Datenschutz anerkannt wird und das EU-US Privacy Shield durch das EU-US Data Privacy Framework (DPF) ersetzt wurde, ohne dass eine rechtmäßige alternative Übertragungsgrundlage verfügbar ist, unterliegt diese Übertragung den Standardvertragsklauseln, deren Bedingungen hiermit in diese DPA integriert werden. In Übereinstimmung mit dem Vorstehenden sind sich die Parteien einig, dass:
4.2.1. in Bezug auf die Standardvertragsklauseln (a) fungiert der Kunde als Datenexporteur und (b) Portant fungiert als Datenimporteur;
Hinweis: Obwohl Portant seinen Hauptsitz in Australien hat, wird seine Infrastruktur in den Vereinigten Staaten gehostet. Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF) angenommen, der die Übermittlung personenbezogener Daten aus der EU an nach dem DPF zertifizierte Organisationen mit Sitz in den USA erlaubt. Portant verlässt sich auf die Zertifizierung nach dem DPF, um rechtmäßige Datenübertragungen zu unterstützen, oder alternativ auf die Standardvertragsklauseln, wo erforderlich, um konforme internationale Datenübertragungen sicherzustellen.
4.2.2. Für Anhang 1 der Standardvertragsklauseln sind die betroffenen Personen, Datenkategorien und Verarbeitungsvorgänge wie in Abschnitt 1.b beschrieben. dieses Anhangs A;
4.2.3. für Anhang 2 zu den Standardvertragsklauseln sind die technischen und organisatorischen Maßnahmen die Sicherheitsmaßnahmen;
4.2.4. Auf Anfrage des Datenexporteurs gemäß den Standardvertragsklauseln stellt der Datenimporteur die Kopien der Unterauftragsverarbeitervereinbarungen zur Verfügung, die vom Datenimporteur gemäß Klausel 5(j) der Standardvertragsklauseln an den Datenexporteur gesendet werden müssen, wobei es dem Datenimporteur freisteht, zuvor kommerzielle Informationen oder Klauseln, die nicht mit den Standardvertragsklauseln oder deren Äquivalent in Zusammenhang stehen, wegzulassen oder zu schwärzen;
4.2.5. Die in Abschnitt 5(f) und Abschnitt 12(2) der Standardvertragsklauseln beschriebenen Prüfungen sind im Einklang mit Abschnitt 2.b durchzuführen. dieses Anhangs A;
4.2.6. Die Genehmigungen des Kunden in Abschnitt 6 dieses Nachtrags (Unterverarbeitung) bedeuten die vorherige schriftliche Zustimmung des Kunden zur Vergabe von Unteraufträgen an Portant für die Verarbeitung personenbezogener Kundendaten, wenn eine solche Zustimmung gemäß Klausel 5(h) der Standardvertragsklauseln vorgeschrieben ist;
4.2.7. Eine Bescheinigung über die Löschung personenbezogener Daten des Kunden gemäß Klausel 12(1) der Standardvertragsklauseln wird nur auf Anfrage des Kunden ausgestellt. und
4.2.8. Die Standardvertragsklauseln erlöschen automatisch, sobald die von ihnen geregelte Übermittlung personenbezogener Kundendaten gemäß Kapitel V der DSGVO rechtmäßig wird, ohne dass solche Standardvertragsklauseln auf einer anderen Grundlage erforderlich sind.
Anhang B – Kalifornien-Anhang
1. Für die Zwecke dieses Anhangs B gelten die Begriffe „Geschäft“, „kommerzieller Zweck“, „Dienstleister“, „verkaufen“, und „persönliche Informationen„haben die im CCPA festgelegte Bedeutung.
2. In Bezug auf personenbezogene Kundendaten fungiert Portant als Dienstleister im Rahmen des CCPA.
3. Portant darf (a) keine personenbezogenen Kundendaten verkaufen; (b) personenbezogene Daten des Kunden für andere Zwecke als den spezifischen Zweck der Bereitstellung der Dienste aufzubewahren, zu verwenden oder offenzulegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der personenbezogenen Daten des Kunden für einen anderen kommerziellen Zweck als die Bereitstellung der Dienste; oder (c) die personenbezogenen Daten des Kunden außerhalb der direkten Geschäftsbeziehung zwischen Portant und dem Kunden aufzubewahren, zu verwenden oder offenzulegen.
4. Die Parteien erkennen an und stimmen darin überein, dass die Verarbeitung personenbezogener Kundendaten gemäß den Anweisungen des Kunden in Abschnitt 5 dieses Nachtrags von grundlegender Bedeutung für die Bereitstellung der Dienste durch Portant und die direkte geschäftliche Zusammenarbeit zwischen den Parteien ist und darin enthalten ist.
5. Ungeachtet etwaiger Bestimmungen in den Allgemeinen Geschäftsbedingungen oder einem damit verbundenen Bestellformular erkennen die Parteien an und stimmen darin überein, dass der Zugriff von Portant auf personenbezogene Kundendaten nicht als Teil der zwischen den Parteien hinsichtlich der Allgemeinen Geschäftsbedingungen ausgetauschten Gegenleistung gilt.
6. Soweit Nutzungsdaten (wie in den Allgemeinen Geschäftsbedingungen definiert) als personenbezogene Daten gelten, ist Portant die Geschäftseinheit in Bezug auf diese Daten und verarbeitet diese Daten in Übereinstimmung mit seiner Datenschutzrichtlinie, die unter abgerufen werden kann https://www.portant.co/privacy-policy/
Anhang C – UK-Anhang
1. Zugriffsanfragen betroffener Personen
1.1 Portant unterstützt den Kunden bei der Beantwortung von Datenzugriffsanfragen (DSARs) gemäß Artikel 15 der UK-DSGVO. Zu diesem Zweck soll Portant:
- Stellen Sie dem Kunden alle Informationen zur Verfügung, die für die Beantwortung des DSAR erforderlich sind, einschließlich aller personenbezogenen Daten, die Portant im Namen des Kunden verarbeitet.
- Unterstützung des Kunden bei der Überprüfung der Identität der betroffenen Person.
- Ermöglichen Sie dem Kunden den Zugriff auf die personenbezogenen Daten der betroffenen Person oder deren Übermittlung an einen anderen Verantwortlichen gemäß den Anweisungen des Kunden.
- Unterstützen Sie den Kunden bei der Einhaltung aller anderen Anforderungen des Artikels 15 der britischen DSGVO.
1.2 Der Kunde ist für alle Kosten verantwortlich, die mit der Unterstützung von Portant bei der Beantwortung von DSARs verbunden sind.
2. Löschungsanfragen betroffener Personen
2.1 Portant unterstützt den Kunden bei der Beantwortung von Löschungsanfragen betroffener Personen (DSDRs) gemäß Artikel 17 der UK-DSGVO. Zu diesem Zweck soll Portant:
- Löschen Sie alle personenbezogenen Daten der betroffenen Person, die von Portant im Auftrag des Kunden verarbeitet werden, es sei denn, Portant ist gesetzlich zur Aufbewahrung dieser Daten verpflichtet.
- Dem Kunden eine Bestätigung darüber geben, dass die personenbezogenen Daten der betroffenen Person gelöscht wurden.
2.2 Der Kunde ist für alle Kosten verantwortlich, die mit der Unterstützung von Portant bei der Beantwortung von DSDRs verbunden sind.
3. Datenschutzverletzungen
3.1 Portant benachrichtigt den Kunden innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes über jede Verletzung des Schutzes personenbezogener Daten, die sich auf die personenbezogenen Daten des Kunden auswirkt.
3.2 Portant arbeitet mit dem Kunden bei der Untersuchung und Behebung von Verstößen gegen den Schutz personenbezogener Daten zusammen.
3.3 Der Kunde ist für alle Kosten verantwortlich, die mit der Zusammenarbeit von Portant bei der Untersuchung und Behebung von Verstößen gegen den Schutz personenbezogener Daten verbunden sind.
Wenn Ihre Organisation eine signierte Version benötigt, können Sie diese unten überprüfen und signieren (unterstützt von Portant):