Datenverarbeitungsvereinbarung
Unser SCC: https://ounizz.com/pages/scc
Letzte Aktualisierung am: 29. März 2023
Diese Datenverarbeitungsvereinbarung („Vereinbarung“) stellt einen rechtsverbindlichen Vertrag zwischen Ihnen und Ounizz dar.com Im Besitz und verwaltet von Spectrum Atelier Inc, mit Sitz in 1320 16th Ave SW Calgary Suite 514 AB, T3C 3S6, Kanada. und gilt in dem Umfang, in dem Spectrum Atelier Inc. personenbezogene Kundendaten in Ihrem Namen verarbeitet, wenn Sie der Datenverantwortliche sind,
WÄHREND
(A) Das Unternehmen fungiert als Datenverantwortlicher.
(B) Das Unternehmen möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter vergeben.
(C) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des aktuellen Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates entspricht vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
(D) Die Vertragsparteien möchten ihre Rechte und Pflichten festlegen.
ES WIRD WIE FOLGT VEREINBART:
- Definitionen und Interpretation
1.1 Sofern hierin nicht anders definiert, haben in dieser Vereinbarung verwendete großgeschriebene Begriffe und Ausdrücke die folgende Bedeutung:
1.11 „Vereinbarung“ bezeichnet diese Datenverarbeitungsvereinbarung und alle Anhänge;
1.12 „Personenbezogene Daten des Unternehmens“ bezeichnet alle personenbezogenen Daten, die von einem beauftragten Auftragsverarbeiter im Namen des Unternehmens gemäß oder im Zusammenhang mit der Hauptvereinbarung verarbeitet werden;
1.13 „Auftragsverarbeiter“ bezeichnet einen Unterauftragsverarbeiter;
1.14 „Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze anderer Länder;
1.15 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
1.16 „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in die innerstaatliche Gesetzgebung jedes Mitgliedstaats umgesetzt und von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich durch die DSGVO und Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.17 „DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;
1.18 „Datenübertragung“ bedeutet:
1.181 eine Übermittlung personenbezogener Daten des Unternehmens vom Unternehmen an einen beauftragten Auftragsverarbeiter; oder
1.182 eine Weiterübermittlung personenbezogener Daten des Unternehmens von einem Vertragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Vertragsverarbeiters, jeweils wenn eine solche Übertragung durch Datenschutzgesetze (oder durch die Bedingungen der Datenübertragungsvereinbarungen) verboten wäre vorhanden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze zu berücksichtigen);
1.19 „Dienstleistungen“ bezeichnet den E-Commerce-Shop für Teppiche, den das Unternehmen anbietet.
1.110 „Unterauftragsverarbeiter“ bezeichnet jede Person, die von einem Auftragsverarbeiter oder im Namen eines Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Namen des Unternehmens im Zusammenhang mit der Vereinbarung beauftragt wurde.
1.2 Die Begriffe „Kommission“, „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der DSGVO und ihre verwandten Begriffe sind entsprechend auszulegen.
- Verarbeitung personenbezogener Unternehmensdaten
2.1 Der Auftragsverarbeiter muss:
2.11 alle geltenden Datenschutzgesetze bei der Verarbeitung personenbezogener Unternehmensdaten einhalten; und
2.12 Personenbezogene Daten des Unternehmens nicht anders als auf die dokumentierten Anweisungen des jeweiligen Unternehmens verarbeiten.
2.2 Das Unternehmen beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Unternehmens.
- Auftragsverarbeiterpersonal
Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Vertreter oder Auftragnehmer eines beauftragten Auftragsverarbeiters sicherzustellen, die möglicherweise Zugriff auf die personenbezogenen Daten des Unternehmens haben, und stellt in jedem Fall sicher, dass der Zugriff strikt auf die Personen beschränkt ist, die dies benötigen die relevanten personenbezogenen Daten des Unternehmens zu kennen bzw. darauf zuzugreifen, soweit dies für die Zwecke der Hauptvereinbarung unbedingt erforderlich ist, und die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Person gegenüber dem beauftragten Auftragsverarbeiter einzuhalten und sicherzustellen, dass alle diese Personen Vertraulichkeitsverpflichtungen unterliegen oder berufliche oder gesetzliche Verschwiegenheitspflichten.
- Sicherheit
4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird der Auftragsverarbeiter in Bezug auf Die personenbezogenen Daten des Unternehmens ergreifen geeignete technische und organisatorische Maßnahmen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich gegebenenfalls der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die mit der Verarbeitung verbunden sind, insbesondere durch eine Verletzung des Schutzes personenbezogener Daten.
- Unterverarbeitung
5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter ernennen (oder ihm personenbezogene Daten des Unternehmens offenlegen), sofern dies nicht vom Unternehmen verlangt oder genehmigt wird.
- Rechte der betroffenen Person
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, die nach vernünftigem Ermessen des Unternehmens auf Anfragen zur Datenübermittlung reagieren müssen Betroffenenrechte gemäß den Datenschutzgesetzen.
6.2 Der Auftragsverarbeiter muss:
6.21 das Unternehmen unverzüglich benachrichtigen, wenn es eine Anfrage einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und
6.22. Stellen Sie sicher, dass auf diese Anfrage nur auf dokumentierte Anweisung des Unternehmens oder gemäß den geltenden Gesetzen reagiert wird, denen der Auftragsverarbeiter unterliegt. In diesem Fall muss der Auftragsverarbeiter das Unternehmen im gesetzlich zulässigen Umfang vorab über diese rechtliche Anforderung informieren Der beauftragte Auftragsverarbeiter antwortet auf die Anfrage.
- Verstoß gegen den Schutz personenbezogener Daten
7.1 Der Auftragsverarbeiter muss das Unternehmen unverzüglich benachrichtigen, wenn ihm ein Verstoß gegen den Schutz personenbezogener Daten bekannt wird, der sich auf personenbezogene Daten des Unternehmens auswirkt, und dem Unternehmen ausreichende Informationen zur Verfügung stellen, damit das Unternehmen seinen Pflichten nachkommen kann, betroffene Personen im Rahmen des Datenschutzes über den Verstoß gegen den Schutz personenbezogener Daten zu informieren oder diese zu melden Gesetze.
7.2 Der Auftragsverarbeiter muss mit dem Unternehmen zusammenarbeiten und nach Anweisung des Unternehmens angemessene kommerzielle Maßnahmen ergreifen, um bei der Untersuchung, Eindämmung und Behebung jedes solchen Verstoßes gegen den Schutz personenbezogener Daten zu helfen.
- Datenschutz-Folgenabschätzung und vorherige Konsultation Der Auftragsverarbeiter leistet dem Unternehmen angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen vernünftigerweise für erforderlich hält Artikel 35 oder 36 der DSGVO oder gleichwertige Bestimmungen eines anderen Datenschutzgesetzes, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch und unter Berücksichtigung der Art der Verarbeitung und der den beauftragten Auftragsverarbeitern zur Verfügung stehenden Informationen.
- Löschung oder Rückgabe personenbezogener Unternehmensdaten
9.1 Vorbehaltlich dieses Abschnitts 9 muss der Auftragsverarbeiter unverzüglich und in jedem Fall innerhalb von
10 Werktage nach dem Datum der Einstellung aller Dienste, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das „Einstellungsdatum“), alle Kopien dieser personenbezogenen Daten des Unternehmens löschen und die Löschung veranlassen.
- Audit-Rechte
10.1 Vorbehaltlich dieses Abschnitts 10 stellt der Auftragsverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen in diesem Zusammenhang beauftragten Prüfer und trägt dazu bei zur Verarbeitung der personenbezogenen Daten des Unternehmens durch die beauftragten Auftragsverarbeiter.
102 Auskunfts- und Prüfungsrechte der Gesellschaft ergeben sich ausschließlich nach § 10.1 soweit die Vereinbarung ihnen nicht anderweitig Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts entsprechen.
- Datenübertragung
11.1 Der Auftragsverarbeiter darf ohne vorherige schriftliche Zustimmung des Unternehmens keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übermittlung genehmigen. Werden im Rahmen dieser Vereinbarung verarbeitete personenbezogene Daten von einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, stellen die Vertragsparteien sicher, dass die personenbezogenen Daten angemessen geschützt werden. Um dies zu erreichen, greifen die Parteien, sofern nichts anderes vereinbart wurde, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten zurück.
- Allgemeine Geschäftsbedingungen
12.1 Vertraulichkeit. Jede Partei muss diese Vereinbarung und Informationen, die sie über die andere Partei und deren Geschäfte im Zusammenhang mit dieser Vereinbarung erhält („vertrauliche Informationen“), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, außer gegenüber der anderen Partei soweit:
(a) die Offenlegung ist gesetzlich vorgeschrieben;
(b) die relevanten Informationen sind bereits öffentlich zugänglich.
12.2 Hinweise. Alle Mitteilungen und Mitteilungen im Rahmen dieser Vereinbarung müssen schriftlich erfolgen und werden persönlich zugestellt, per Post oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene Adresse oder E-Mail-Adresse an eine andere von Zeit zu Zeit mitgeteilte Adresse gesendet durch die Parteien, die ihre Adresse ändern.
- Geltendes Recht und Gerichtsstand
13.1 Diese Vereinbarung unterliegt den Gesetzen des Vereinigten Königreichs.
13.2 Alle im Zusammenhang mit dieser Vereinbarung entstehenden Streitigkeiten, die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Gerichte von London.