Addendum zur Datenverarbeitung
Füllen Sie bitte diesesFormularaus, um die folgenden Bedingungen in Ihre Vereinbarung mit Smartsheet Inc. für den Zugriff auf und die Nutzung des Abonnementdienstes aufzunehmen.
Dieser Nachtrag zur Datenverarbeitung (Data Processing Addendum, „DPA“) ist Bestandteil der Vereinbarung zwischen Smartsheet Inc. („Smartsheet”)和民主党Kunden死穴Zugriff des Kunden汪汪汪die Online-Dienste und deren Nutzung regelt ( „Vereinbarung“). Begriffe, die hier nicht definiert sind, haben die in der Vereinbarung angegebene Bedeutung.
1. Definitionen.In diesem Nachtrag zur Datenverarbeitung haben die folgenden Begriffe (und Ableitungen davon) die unten dargelegte Bedeutung:
„Verbundenes Unternehmen“ bezeichnet jede Person oder Einheit, die eine Partei dieser Vereinbarung besitzt oder kontrolliert, sich im Besitz oder unter der Kontrolle einer Partei dieser Vereinbarung befindet oder unter gemeinsamer Kontrolle oder Eigentümerschaft mit ihr steht, wobei „Kontrolle“ als direkte oder indirekte Befugnis definiert ist, die Geschäftsführung und die Richtlinien eines Unternehmens zu lenken oder zu veranlassen, sei es durch das Eigentum an stimmberechtigten Wertpapieren, durch Vertrag oder auf andere Weise.
„Verantwortlicher“ bezeichnet die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
„Kunde“ bezeichnet die natürliche oder juristische Person, die den Vertrag abgeschlossen und der Einbeziehung dieses Nachtrags in die Vereinbarung zugestimmt hat.
„Kundeninhalt“ bezeichnet alle Daten, Dateianhänge, Texte, Bilder, Berichte, persönlichen Daten oder andere Inhalte, die vom Kunden oder von Benutzern hochgeladen oder an einen Online-Dienst übermittelt und von Smartsheet im Auftrag des Kunden verarbeitet werden.
„Personenbezogene Kundendaten“ bezeichnet personenbezogene Daten, die in Kundeninhalten enthalten sind.
„Datenverletzung“bezeichnet一张Sicherheitsverletzung祖茂堂已经死去rsehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung von oder Zugriff auf Kundeninhalte führt.
„Datenschutzgesetze“ bezeichnet, soweit für eine Partei anwendbar, die Datenschutz- oder Urheberrechtsgesetze eines Landes in Bezug auf die Verarbeitung personenbezogener Kundendaten.
„Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person.
„Parteien“ oder „Partei“ bezeichnet je nach Fall den Kunden und/oder Smartsheet.
„Personenbezogene Daten“ bezeichnet alle Daten, die sich auf eine betroffene Person oder einen Haushalt beziehen, diese identifizieren, beschreiben oder mit dieser in Verbindung gebracht werden können.
„Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. Kombination, Einschränkung, Löschung, Vernichtung oder Offenlegung durch Übermittlung, Verbreitung oder anderweitige Zurverfügungstellung.
„Auftragsverarbeiter“ bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
„Unternehmensdienstleistungen“ bezeichnet Implementierung, Konfiguration, Integration, Schulung, Beratung und andere Unternehmensdienstleistungen im Zusammenhang mit den Online-Diensten, die von Smartsheet bereitgestellt und vom Kunden erworben werden und in einer Bestellung oder Leistungsbeschreibung angegeben sind.
„Dienste“ bezeichnet die Abonnementdienste, Unternehmensdienstleistungen und alle anderen Online-Dienste oder -Anwendungen, die von Smartsheet zur Verwendung mit den Abonnementdiensten bereitgestellt oder kontrolliert werden.
„Smartsheet-Personal“ bezeichnet jede Person, die von Smartsheet autorisiert wurde, personenbezogene Kundendaten zu verarbeiten.
„Unterauftragsverarbeiter“ bezeichnet jede natürliche oder juristische Person (einschließlich Dritter, aber ohne Mitarbeiter von Smartsheet), die von oder im Auftrag von Smartsheet mit der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Vereinbarung beauftragt wurde.
„Abonnementdienste“ bezeichnet die abonnementbasierten Online-Arbeitskollaborationsdienste und -anwendungen, die von Smartsheet bereitgestellt und vom Kunden erworben werden.
„Aufsichtsbehörde“ bezeichnet eine unabhängige zuständige öffentliche Behörde, die nach den Datenschutzgesetzen eingerichtet oder anerkannt ist.
„Benutzer“ bezeichnet jede Person, die vom Kunden oder einem anderen Benutzer autorisiert oder eingeladen wurde, auf die Online-Dienste gemäß den Bedingungen der Vereinbarung zuzugreifen und sie zu nutzen.
2. Rollen der Parteien.
2.1 Der Kunde und Smartsheet vereinbaren zwischen den Parteien, dass der Kunde ein Verantwortlicher und Smartsheet ein Verarbeiter personenbezogener Kundendaten ist und dass jede Partei allein für die Einhaltung der für sie geltenden Datenschutzgesetze und für die Erfüllung aller damit verbundenen Verpflichtungen gegenüber Dritten, einschließlich betroffener Personen und Aufsichtsbehörden, verantwortlich ist.
2.2Kunde als Verantwortlicher.
2.2.1 Der Kunde ist allein verantwortlich für die Richtigkeit der personenbezogenen Kundendaten und die Rechtmäßigkeit der Mittel, mit denen der Kunde personenbezogene Kundendaten erfasst und verarbeitet.
2.2.2 Die Anweisungen des Kunden an Smartsheet zur Verarbeitung personenbezogener Kundendaten entsprechen den Datenschutzgesetzen und sind ordnungsgemäß autorisiert, wobei alle erforderlichen Rechte, Genehmigungen und Zustimmungen gesichert sind.
2.3Smartsheet als Auftragsverarbeiter.
2.3.1 Smartsheet verarbeitet personenbezogene Kundendaten nur (a) wie vom Kunden schriftlich angewiesen oder von autorisierten Benutzern über einen Online-Dienst veranlasst, (b) soweit erforderlich, um die Dienste bereitzustellen und technische Probleme mit einem Online-Dienst oder Verstöße gegen die Vereinbarung oder dieses Addendum zu verhindern oder zu beheben, oder (c) wie nach geltendem Recht erforderlich. Anhang 1 (Einzelheiten zur Verarbeitung personenbezogener Kundendaten) enthält eine Beschreibung der Verarbeitung personenbezogener Kundendaten durch Smartsheet.
2.3.2 Smartsheet stellt sicher, dass Mitarbeiter von Smartsheet: (a) nur in dem Umfang auf personenbezogene Kundendaten zugreifen, der zur Erfüllung der Verarbeitungsverpflichtungen von Smartsheet gemäß diesem Addendum und der Vereinbarung erforderlich ist; (b) an Vertraulichkeitsverpflichtungen in Bezug auf personenbezogene Kundendaten gebunden sind, die im Wesentlichen so schützend sind wie die in diesem Addendum und der Vereinbarung festgelegt; und (c) einer angemessenen Schulung in Bezug auf die Verarbeitung personenbezogener Kundendaten unterliegen.
2.3.3 Smartsheet wird personenbezogene Kundendaten nicht gegen Geld oder andere Gegenleistungen an Dritte weitergeben, es sei denn, dies ist gemäß diesem Addendum oder der Vereinbarung anderweitig zulässig.
2.3.4 Auf schriftliche Anfrage des Kunden und soweit der Kunde nicht selbst auf die relevanten Informationen zugreifen kann, wird Smartsheet dem Kunden angemessene Unterstützung in Bezug auf Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden leisten, wobei die Art der Kundenverarbeitung der personenbezogene Daten und die Informationen durch Smartsheet berücksichtigt wird, die Smartsheet zur Verfügung stehen.
2.3.5 Smartsheet bewertet nicht die Art oder den Inhalt von Kundeninhalten, um festzustellen, ob es sich um personenbezogene Kundendaten handelt oder ob sie bestimmten gesetzlichen Anforderungen unterliegen.
3. Sicherheit.
3.1 Smartsheet wird technische, physische und organisatorische Maßnahmen und Kontrollen zum Schutz und zur Sicherung von Kundeninhalten (einschließlich der Rückgabe und Löschung derselben) gemäß der Vereinbarung implementieren und aufrechterhalten.
3.2 Der Kunde erkennt an, dass er durch seine Benutzer (a) die Art und den Inhalt der Kundeninhalte kontrolliert und (b) Benutzerberechtigungen für den Zugriff auf Kundeninhalte festlegt. Daher ist der Kunde dafür verantwortlich, zu überprüfen und zu bewerten, ob die dokumentierte Funktionalität eines Online-Dienstes die erforderlichen Sicherheitsverpflichtungen des Kunden in Bezug auf personenbezogene Kundendaten gemäß den Datenschutzgesetzen erfüllt.
3.3 Der Kunde erkennt, dass死Sicherheitsmaßnahmen von Smartsheet von Zeit zu Zeit nach angemessener Benachrichtigung des Kunden aktualisiert werden können, um Prozessverbesserungen oder geänderte Praktiken widerzuspiegeln (aber die Änderungen werden die Verpflichtungen von Smartsheet im Vergleich zu den in diesen Bedingungen zum Datum des Inkrafttretens enthaltenen Bedingungen nicht wesentlich verringern). Der Kunde ist allein verantwortlich für die unabhängige Bewertung und Implementierung verfügbarer Sicherheitskonfigurationseinstellungen, die er für notwendig erachtet, um die Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen zu erfüllen.
4. Unterauftragsverarbeiter.
4.1 Unterauftragsverarbeiter werden unterwww.santa-greenland.com/legal/subprocessorsidentifiziert und können von Smartsheet von Zeit zu Zeit gemäß diesem Addendum aktualisiert werden. Der Kunde ermächtigt verbundene Unternehmen von Smartsheet, als Unterauftragsverarbeiter zu fungieren und alle identifizierten Unterauftragsverarbeiter gemäß den Bedingungen dieses Abschnitts 4 einzusetzen.
4.2 Smartsheet führt bei jedem Unterauftragsverarbeiter eine angemessene Due-Diligence-Prüfung durch und hat mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung,, die Bestimmungen zur Verarbeitung personenbezogener Kundendaten umfasst, die im Wesentlichen so schützend sind wie die in diesem Addendum dargelegten Bestimmungen.
4.3 Smartsheet ist für Handlungen und Unterlassungen von Unterauftragsverarbeitern verantwortlich, einschließlich der Ernennung eines anderen Unterauftragsverarbeiters durch einen Unterauftragsverarbeiter.
4.4Neue Unterauftragsverarbeiter; Widerspruchsrecht.
- 4.4.1 Der Kunde muss das unterwww.santa-greenland.com/legal/subprocessor-notificationverfügbare Formular ausfüllen, um Benachrichtigungen über neue Ernennungen von Unterauftragsverarbeitern durch Smartsheet zu erhalten. Nach Einreichung eines solchen Formulars wird Smartsheet den Kunden im Voraus schriftlich benachrichtigen, wenn Smartsheet beabsichtigt, neue Unterauftragsverarbeiter zu ernennen; vorausgesetzt jedoch, dass Smartsheet den Kunden unverzüglich nach der Ernennung eines neuen Unterauftragsverarbeiters schriftlich benachrichtigt, wenn eine direkte Beteiligung eines solchen Unterauftragsverarbeiters erforderlich ist, um die Verfügbarkeit und Sicherheit der Online-Dienste oder Kundeninhalte aufrechtzuerhalten.
- 4.4.2 Wenn der Kunde im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten auf angemessener Grundlage Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, muss der Kunde Smartsheet innerhalb von fünfzehn (15) Tagen nach Erhalt einer Terminübermittlung schriftlich benachrichtigen; andernfalls betrachtet Smartsheet die Ernennung des neuen Unterauftragsverarbeiters als vom Kunden autorisiert. Nach Erhalt einer Widerspruchsmitteilung des Kunden wird Smartsheet angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der Online-Dienste zur Verfügung zu stellen oder eine wirtschaftlich angemessene Konfiguration oder Nutzung der Online-Dienste zu empfehlen, um die Verarbeitung personenbezogener Kundendaten durch den neuen Unterauftragsverarbeiter zu vermeiden. Wenn Smartsheet den Einspruch des Kunden gemäß den vorstehenden Bemühungen nicht bearbeiten kann, benachrichtigt Smartsheet den Kunden innerhalb von fünfzehn (15) Tagen nach Erhalt der Einspruchsmitteilung des Kunden. Der Kunde kann dann durch schriftliche Mitteilung an Smartsheet innerhalb von dreißig (30) Tagen nach der Mitteilung von Smartsheet dieses Addendum und alle betroffenen Dienste kündigen und eine Rückerstattung vorausbezahlter Gebühren erhalten, die den gekündigten Teil des betreffenden Dienstes abdecken.
5. Anfragen betroffener Personen.
5.1 Smartsheet gewährt dem Kunden über die Online-Dienste Zugriff auf personenbezogene Kundendaten, damit der Kunde auf Anfragen betroffener Personen in Bezug auf personenbezogene Kundendaten reagieren kann.
5.2 Smartsheet benachrichtigt den Kunden unverzüglich schriftlich über alle Anfragen, die Smartsheet in Bezug auf personenbezogene Kundendaten direkt von einer betroffenen Person erhält, und Smartsheet kann direkt auf eine Anfrage einer betroffenen Person antworten: (a) um zu bestätigen, dass sich eine solche Anfrage auf den Kunden bezieht; (b) wie nach geltendem Recht erforderlich; oder (c) wenn eine schriftliche Zustimmung des Kunden vorliegt.
5.3 Auf schriftliche Anfrage des Kunden und soweit der Kunde nicht in der Lage ist, selbst auf personenbezogene Kundendaten zuzugreifen, wird Smartsheet dem Kunden angemessene Unterstützung beim Zugriff auf personenbezogene Kundendaten leisten, damit der Kunde auf solche Anfragen betroffener Personen reagieren kann. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die auf die Unterstützungsbemühungen von Smartsheet außerhalb des normalen Geschäftsverlaufs zurückzuführen sind.
6. Datenschutzverletzung.
6.1 Smartsheet wird den Kunden unverzüglich schriftlich benachrichtigen, wenn Smartsheet von einer Datenschutzverletzung Kenntnis erlangt.
6.2 Smartsheet wird eine Datenschutzverletzung in Übereinstimmung mit den Richtlinien und Verfahren von Smartsheet für Sicherheitsvorfälle („Management von Sicherheitsverletzungen”) untersuchen und gegebenenfalls abmildern oder beheben.
6.3 Vorbehaltlich der gesetzlichen Verpflichtungen von Smartsheet stellt Smartsheet dem Kunden Informationen zur Verfügung, die Smartsheet als Ergebnis seines Breach Management zur Verfügung stehen, einschließlich der Art des Vorfalls, offengelegter spezifischer Informationen (falls bekannt) und aller relevanten Minderungsbemühungen oder Abhilfemaßnahmen („Breach Information“), damit der Kunde seinen Verpflichtungen gemäß den Datenschutzgesetzen als Folge einer Datenschutzverletzung nachkommen kann.
6.4 Wenn der Kunde zusätzlich zu den Datenschutzverletzungsinformationen spezifische Informationen zu einer Datenverletzung benötigt, wird Smartsheet auf schriftliche Anfrage des Kunden und in dem Umfang, in dem der Kunde nicht in der Lage ist, selbst auf die zusätzlichen Informationen zuzugreifen, in angemessener Weise und wie es der Kunde verlangt mit dem Kunden zusammenarbeiten, um zu versuchen, solche zusätzlichen Informationen zu sammeln und bereitzustellen.
7. Prüfrechte.
7.1 Smartsheet setzt externe Prüfer ein, um die Angemessenheit seiner Sicherheitsmaßnahmen und -kontrollen jährlich zu prüfen und zu verifizieren („Audit“). Das Audit wird: (a) von unabhängigen Sicherheitsexperten von Drittanbietern auf Auswahl und Kosten von Smartsheet durchgeführt; (b) Tests der Sicherheitsmaßnahmen und -kontrollen der Online-Dienste umfassen, die gemäß AICPA SOC2-Standards oder solchen anderen alternativen Standards durchgeführt werden, die im Wesentlichen AICPA SOC2 entsprechen, was zur Erstellung von mindestens einem SOC2-Bericht oder dem äquivalenten Inhalt führt; und (c) Penetrationstests der Online-Dienste beinhalten und zur Erstellung eines Penetrationstestberichts führen. Die durch das Audit erstellten Berichte („Berichte“) werden dem Kunden auf schriftliche Anfrage und vorbehaltlich der Vertraulichkeitsverpflichtungen der Vereinbarung oder einer einvernehmlich vereinbarten Geheimhaltungsvereinbarung höchstens einmal jährlich zur Verfügung gestellt. Aus Gründen der Übersichtlichkeit werden in jedem Bericht nur die Online-Dienste berücksichtigt, die zum Zeitpunkt der Veröffentlichung des Berichts allgemein kommerziell verfügbar waren. Nachfolgend veröffentlichte Dienste werden, sofern sie von einem Bericht abgedeckt werden, in der nächsten jährlichen Iteration dieses Berichts enthalten sein.
7.2 Wenn der Kunde zusätzlich zu den Berichten Informationen für seine Einhaltung der Datenschutzgesetze benötigt, wird Smartsheet auf eigene Kosten und auf schriftliche Anfrage des Kunden und in dem Umfang, in dem der Kunde nicht in der Lage ist, selbst auf die zusätzlichen Informationen zuzugreifen, ein vom Kunden beauftragtes Audit durch einen Drittprüfer zulassen und bei der Prüfung in Bezug auf die Verarbeitung personenbezogener Kundendaten durch Smartsheet („Kundenprüfung“) unter folgenden Voraussetzungen zusammenarbeiten:
- 7.2.1 Der Kunde informiert Smartsheet innerhalb einer angemessenen Frist im Voraus, einschließlich der Identität des Prüfers und des voraussichtlichen Datums und Umfangs des Kundenaudits.
- 7.2.2 Smartsheet genehmigt den Prüfer durch Mitteilung an den Kunden, wobei diese Genehmigung nicht unangemessen verweigert werden darf.
- 7.2.3 Der Kunde und der Prüfer handeln, um im Verlauf eines solchen Kundenaudits Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung oder dem Geschäft von Smartsheet zu vermeiden.
- 7.2.4 Der Kunde initiiert nur ein Kundenaudit pro Kalenderjahr, sofern nicht anders von einer Aufsichtsbehörde gefordert.
8. Internationale Bestimmungen.
8.1 Die Parteien erkennen an und stimmen zu, dass die Verarbeitung von personenbezogenen Kundendaten durch Smartsheet eine internationale Übertragung von personenbezogenen Kundendaten vom Kunden an Smartsheet beinhalten kann („Internationaler Transfer“). Der Kunde erkennt an, dass sich die primären Verarbeitungsaktivitäten von Smartsheet ab dem Datum des Inkrafttretens in den Vereinigten Staaten befinden (siehe Beschreibung unter//www.santa-greenland.com/data-access-and-transfers).
8.2 Soweit Smartsheet personenbezogene Kundendaten verarbeitet, die aus einem der in Anhang 4 (jurisdiktionsspezifische Bestimmungen) aufgeführten Gerichtsbarkeiten stammen und durch geltende Datenschutzgesetze geschützt sind, gelten die darin angegebenen Bedingungen in Bezug auf die anwendbare(n) Gerichtsbarkeit(en) zusätzlich zu den Bedingungen dieses Addendums.
8.3 Soweit die Nutzung der Dienste durch den Kunden einen gültigen Übertragungsmechanismus erfordert, um personenbezogene Daten des Kunden rechtmäßig aus einer Rechtsordnung (d. h. dem Europäischen Wirtschaftsraum („EWR“), dem Vereinigten Königreich, der Schweiz oder einer anderen aufgeführten Rechtsordnung in Anhang 4 zu übertragen) an Smartsheet, das sich außerhalb dieser Gerichtsbarkeit befindet (ein „Übertragungsmechanismus”),gelten死Geschaftsbedingungen冯安航3 (Grenzüberschreitende Übertragungsmechanismen).
8.4 Wenn ein Übertragungsmechanismus als rechtmäßiger Datenübertragungsmechanismus für eine internationale Übertragung fehlschlägt, werden die Parteien gemäß Abschnitt 9.8 (Variationen der Datenschutzgesetze) dieses Addendums handeln.
9. Allgemeines.
9.1Änderung; Verzichtserklärung.Sofern hierin nicht ausdrücklich anders angegeben, kann dieses Addendum nur durch eine schriftliche Vereinbarung geändert werden, die von einem bevollmächtigten Vertreter jeder Partei unterzeichnet wird. Der Verzicht auf Geltendmachung eines Verstoßes gegen dieses Addendum ist nur wirksam, wenn er schriftlich erfolgt. Kein solcher Verzicht wird als Verzicht auf einen späteren Verstoß gelten oder ausgelegt werden.
9.2Abfindung.要是一张Bestimmung这本附录毛皮走错durchsetzbar befunden wird, dann ist diese Bestimmung auszulegen, indem sie entweder so weit geändert wird, dass sie durchsetzbar ist (sofern gesetzlich zulässig) oder indem sie außer Acht gelassen wird (sofern gesetzlich nicht zulässig) und der Rest dieses Addendums bleibt wie dargelegt in Kraft. Ungeachtet des Vorstehenden gilt das gesamte Addendum als null und nichtig, wenn die Änderung oder Missachtung der nicht durchsetzbaren Bestimmung dazu führen würde, dass ein wesentlicher Zweck dieses Addendums verfehlt wird.
9.3Rangfolge.In Bezug auf den Gegenstand dieses Addendums gilt im Falle eines Konflikts zwischen diesem Addendum und einer anderen schriftlichen Vereinbarung zwischen den Parteien (einschließlich der Vereinbarung) dieses Addendum. Eventuell bereits bestehende Datenverarbeitungsvereinbarungen zwischen den Parteien werden durch dieses Addendum in ihrer Gesamtheit aufgehoben und ersetzt.
9.4Mitteilungen.Sofern hierin nicht ausdrücklich anders angegeben, werden die Parteien Mitteilungen gemäß diesem Addendum in Übereinstimmung mit der Vereinbarung bereitstellen, vorausgesetzt, dass alle diese Mitteilungen per E-Mail gesendet werden können.
9.5Anwendbares Recht und Gerichtsstand.Sofern不军队Datenschutzgesetze untersagt,unterliegt dieses Addendum den in der Vereinbarung festgelegten Gesetzen, und die Parteien dieses Addendums unterwerfen sich in Bezug auf Streitigkeiten, die sich aus diesem Addendum ergeben, hiermit der in der Vereinbarung festgelegten Gerichtsbarkeit und dem Gerichtsstand.
9.6Durchsetzung.Unabhängig davon, ob der Kunde oder seine Tochtergesellschaft(en) oder ein Dritter ein Verantwortlicher für personenbezogene Kundendaten ist, gilt Folgendes, sofern gesetzlich nichts anderes vorgeschrieben ist: (a) nur der Kunde hat das Recht, eine der Bedingungen dieser DPA gegenüber Smartsheet durchzusetzen; und (b) die Verpflichtungen von Smartsheet gemäß diesem DPA, einschließlich aller anwendbaren Benachrichtigungen, nur gegenüber dem Kunden bestehen.
9.7Haftung.Zwischen den Parteien dieses Addendums gilt, dass die Haftung und die Rechtsbehelfe jeder Partei im Rahmen dieses Addendums den in der Vereinbarung festgelegten Gesamthaftungsbeschränkungen und Schadensausschlüssen unterliegen.
9.8Variationen der Datenschutzgesetze.Wenn aufgrund einer Änderung dieses oder eines später anwendbaren Datenschutzgesetzes Änderungen an diesem Addendum erforderlich sind, kann jede Partei die andere Partei schriftlich über diese Gesetzesänderung informieren. Die Parteien werden dann nach Treu und Glauben alle Änderungen dieses Addendums, die erforderlich sind, erörtern und aushandeln, um solche Änderungen anzugehen, mit dem Ziel, diese oder alternative Änderungen so bald wie möglich zu vereinbaren und umzusetzen, vorausgesetzt, dass diese Änderungen im Hinblick auf die Funktionalität und Leistung der Dienste und des Geschäftsbetriebs von Smartsheet angemessen. sind
9.9Rechtsvorbehalt.Ungeachtet gegenteiliger Bestimmungen in diesem Addendum: (a) behält sich Smartsheet das Recht vor, Informationen zurückzuhalten, deren Offenlegung ein Sicherheitsrisiko für Smartsheet oder seine Kunden darstellen würde oder durch geltendes Recht oder vertragliche Verpflichtungen untersagt ist; und (b) gelten die Benachrichtigungen, Antworten oder die Bereitstellung von Informationen oder die Zusammenarbeit von Smartsheet im Rahmen dieses Addendums nicht als Anerkennung von Fehlern oder Haftung durch Smartsheet.
ANHANG 1: DETAILS ZUR VERARBEITUNG VON PERSONENBEZOGENEN KUNDENDATEN
Dieser Anhang 1 enthält bestimmte Einzelheiten zur Verarbeitung personenbezogener Daten gemäß Artikel 28(3) der DSGVO.
Gegenstand und Dauer der Verarbeitung personenbezogener Daten:
- Gegenstand und Dauer der Verarbeitung personenbezogener Daten sind in der Vereinbarung und diesem Addendum festgelegt.
Art und Zweck der Verarbeitung personenbezogener Daten
- Die Verarbeitung personenbezogener Daten durch Smartsheet ist vernünftigerweise erforderlich, um die Bereitstellung der Dienste gemäß der Beschreibung in der Vereinbarung und diesem Addendum zu erleichtern oder zu unterstützen.
Art der personenbezogenen Daten und Kategorien betroffener Personen:
- Die Arten personenbezogener Daten und Kategorien betroffener Personen, auf die sich die personenbezogenen Daten beziehen, werden vom Kunden nach eigenem Ermessen bestimmt und kontrolliert.
Pflichten und Rechte des Verantwortlichen:
- Die Pflichten und Rechte des Kunden sind in der Vereinbarung und diesem Addendum festgelegt.
ANLAGE 2: TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN
Gegebenenfalls dient dieser Anhang 2 als Anhang II zu den Standardvertragsklauseln.
Der vollständige Text der technischen und organisatorischen Sicherheitsmaßnahmen von Smartsheet ist unter//www.santa-greenland.com/legal/securityverfügbar.
ANHANG 3: MECHANISMEN FÜR GRENZÜBERSCHREITENDE ÜBERTRAGUNGEN
1. Definitionen.
1.1. „Standardvertragsklauseln“ bezeichnet in Abhängigkeit der Umstände, die für einen bestimmten Kunden einzigartig sind, Folgendes:
- 1.1.1. EWR-Standardvertragsklauseln; und
- 1.1.2. UK-Standardvertragsklauseln.
1.2. „EWR-Standardvertragsklauseln“ oder „Genehmigte EU-Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln, die von der Europäischen Kommission im Beschluss 2021/914 genehmigt wurden.
1.3. „UK-Standardvertragsklauseln“ bezeichnet den vom Information Commissioner's Office (ICO) herausgegebenen und dem Parlament am 2. Februar 2022 gemäß s119A des Data Protection Act 2018 vorgelegten Musterzusatz in seiner überarbeiteten Form gemäß Abschnitt 18.
2. Die EWR-Standardvertragsklauseln.毛皮Datenubertragungen来自民主党Europaischen沃特schaftsraum, die den EWR-Standardvertragsklauseln unterliegen, gelten die EWR-Standardvertragsklauseln wie folgt:
2.1. Modul 1 (Verantwortlicher an Verantwortlicher) findet Anwendung, wenn Smartsheet als Verantwortlicher Nutzungsdaten von Online-Diensten verarbeitet.
2.2. Modul 2 (Verantwortlicher an Datenverarbeiter) findet Anwendung, wenn der Kunde ein Verwalter der personenbezogenen Daten des Kunden und Smartsheet ein Verarbeiter der personenbezogenen Daten des Kunden ist;
2.3. Für jedes Modul, sofern zutreffend:
- 2.3.1. in Klausel 7 findet die optionale Andockklausel keine Anwendung;
- 2.3.2. in Klausel 9 gilt Option 2, und das Verfahren zur Mitteilung und die Frist für Einwände gegen Änderungen von Unterauftragsverarbeitern sind in Abschnitt 4 (Unterauftragsverarbeiter) dieses Addendums festgelegt;
- 2.3.3. in Klausel 11 findet die optionale Sprache keine Anwendung;
- 2.3.4. in Klausel 17 unterliegen die EWR-Standardvertragsklauseln deutschem Recht.
- 2.3.5. in Klausel 18(b) werden Streitigkeiten vor den Gerichten in Deutschland beigelegt.
- 2.3.6. In Anhang I, Teil A:
- Datenexporteur: Kunde und autorisierte verbundene Unternehmen des Kunden.
- Kontaktdaten: E-Mail-Adresse des Kontoinhabers des Kunden oder an die E-Mail-Adresse(n), für die der Kunde sich entscheidet, Datenschutzmitteilungen zu erhalten.
- Rolle des Datenexporteurs: Die Rolle des Datenexporteurs wird in Abschnitt 2 dieses Addendums beschrieben.
- Unterschrift und Datum: Durch den Abschluss des Addendums wird davon ausgegangen, dass der Datenexporteur diese hierin enthaltenen Standardvertragsklauseln einschließlich ihrer Anhänge zum Datum des Inkrafttretens unterzeichnet hat.
- Datenimporteur: Smartsheet Inc.
- Kontaktdaten: Smartsheet-Datenschutz – privacy@smartsheet.com; Smartsheet-Sicherheit – security@smartsheet.com.
- Rolle des Datenimporteurs: Die Rolle des Datenimporteurs ist in Abschnitt 2 dieses Addendums beschrieben.
- Unterschrift und Datum: Durch den Abschluss des Addendums wird davon ausgegangen, dass der Datenimporteur diese hierin enthaltenen Standardvertragsklauseln einschließlich ihrer Anhänge zum Datum des Inkrafttretens unterzeichnet hat.
- 2.3.7. In Anhang I, Teil B:
- Die Kategorien betroffener Personen sind in Anlage 1 beschrieben.
- Die übertragenen sensiblen Daten sind in Anlage 1 beschrieben.
- Die Häufigkeit der Übertragung bildet eine kontinuierliche Grundlage für die Dauer der Vereinbarung.
- Die Art der Verarbeitung ist in Anhang 1 beschrieben.
- Der Zweck der Verarbeitung ist in Anhang 1 beschrieben.
- Der Zeitraum der Verarbeitung ist in Anhang 1 beschrieben.
- Bei Übertragungen an Unterauftragsverarbeiter werden Gegenstand, Art und Dauer der Verarbeitung unter//www.santa-greenland.com/legal/subprocessorsbeschrieben.
- 3.3.8. In Anhang I, Teil C: gemäß Ziffer 13 wird die zuständige Aufsichtsbehörde wie folgt identifiziert:
- Wenn der Datenexporteur in einem EU-Mitgliedstaat ansässig ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübermittlung einhält, fungiert als zuständige Aufsichtsbehörde.
- Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt hat: Als zuständige Aufsichtsbehörde fungiert die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne des Artikels 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist.
- Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich fällt, ohne jedoch einen Vertreter gemäß Artikel 27( 2) der Verordnung (EU) 2016/679 bestellen zu müssen: Als zuständige Aufsichtsbehörde fungiert die Commission nationale de l'informatique et des libertés (CNIL) - 3 Place de Fontenoy, 75007 Paris, Frankreich.
- Wenn der Datenexporteur im Vereinigten Königreich ansässig ist oder in den räumlichen Geltungsbereich der Datenschutzgesetze und -vorschriften des Vereinigten Königreichs fällt, fungiert das Information Commissioner's Office als zuständige Aufsichtsbehörde.
- Wenn der Datenexporteur in der Schweiz ansässig ist oder in den räumlichen Geltungsbereich der schweizerischen Datenschutzgesetze und -verordnungen fällt, handelt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte als zuständige Aufsichtsbehörde, sofern die betreffende Datenübermittlung dem schweizerischen Datenschutzgesetze und -richtlinien unterliegt.
- 2.3.9. Anhang 2 dient als Anhang II der Standardvertragsklauseln.
3. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und anderen Bedingungen in diesem Addendum, einschließlich Anhang 4 (Gebietsspezifische Bedingungen), haben die Bestimmungen der anwendbaren Standardvertragsklauseln Vorrang.
ANHANG 4: GERICHTSSTANDSPEZIFISCHE BEDINGUNGEN
1. Kalifornien.
1.1. Die Definition von „Datenschutzgesetz“ umfasst den California Consumer Privacy Act („CCPA“).
1.2. Die Begriffe „geschäftlich“, „kommerzieller Zweck“, „Dienstleister“, „verkaufen“ und „personenbezogene Daten“ haben die im CCPA festgelegten Bedeutungen.
1.3. In Bezug auf personenbezogene Kundendaten ist Smartsheet ein Dienstanbieter im Sinne des CCPA.
1.4. Smartsheet wird (a) keine personenbezogenen Kundendaten verkaufen; (b) keine personenbezogenen Kundendaten für andere Zwecke als den spezifischen Zweck der Bereitstellung der Dienste aufbewahren, verwenden oder offenlegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der personenbezogenen Kundendaten für einen anderen kommerziellen Zweck als die Bereitstellung der Dienste; oder (c) keine personenbezogenen Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen Smartsheet und dem Kunden aufbewahren, verwenden oder offenlegen.
1.5. Die Parteien erkennen an und stimmen zu, dass die Verarbeitung personenbezogener Kundendaten, die durch die in diesem Addendum beschriebenen Anweisungen des Kunden autorisiert sind, integraler Bestandteil der Bereitstellung der Dienste durch Smartsheet und der direkten Geschäftsbeziehung zwischen den Parteien darstellt und darin enthalten ist.
1.6.Ungeachtet jeglicher Bestimmungen Vereinbarung oder eines damit verbundenen Bestellformulars erkennen die Parteien an und stimmen zu, dass der Zugriff auf personenbezogene Kundendaten durch Smartsheet keinen Teil der von den Parteien in Bezug auf die Vereinbarung ausgetauschten Gegenleistung darstellt.
1.7. Soweit Nutzungsdaten von Online-Diensten als personenbezogene Daten des Kunden betrachtet werden, ist Smartsheet das Unternehmen in Bezug auf diese Daten und verarbeitet diese Daten in Übereinstimmung mit seiner Datenschutzerklärung.
2.EWR.
2.1. Die Definition von „Datenschutzgesetzen“ umfasst die Datenschutz-Grundverordnung (EU 2016/679) („DSGVO“).
2.2. Wenn Smartsheet einen Unterauftragsverarbeiter beauftragt, wird:
- 2.2.1. von jedem beauftragten Unterauftragsverarbeiter verlangt, personenbezogene Kundendaten gemäß dem von den geltenden Datenschutzgesetzen geforderten Standard zu schützen; dies umfasst die dieselben Datenschutzverpflichtungen, auf die in Artikel 28(3) der DSGVO verwiesen wird, insbesondere die Bereitstellung ausreichender Garantien, um angemessene technische und organisatorische Maßnahmen derart zu implementieren, dass die Verarbeitung den Anforderungen der DSGVO gerecht wird; und
- 2.2.2. jeden beauftragten Unterauftragsverarbeiter schriftlich verpflichten, Daten nur in einem Land zu verarbeiten, für das die Europäische Union ein „angemessenes“ Schutzniveau erklärt hat; oder Daten nur zu Bedingungen zu verarbeiten, die den Standardvertragsklauseln entsprechen.
2.3.Strafen im Rahmen der DSGVO.Ungeachtet gegenteiliger Bestimmungen in diesem Addendum oder in der Vereinbarung (einschließlich, aber nicht beschränkt auf die Freistellungsverpflichtungen einer der Parteien) ist keine Partei für DSGVO-Bußgelder verantwortlich, die gemäß Artikel 83 der DSGVO gegen die andere Partei von einer Aufsichtsbehörde oder einer Regierungsbehörde im Zusammenhang mit der Verletzung der DSGVO durch diese andere Partei verhängt oder erhoben werden.
3. Schweiz.
3.1. Die Definition von „Datenschutzgesetze“ umfasst das Bundesgesetz über den Datenschutz.
3.2. Wenn Smartsheet einen Unterauftragsverarbeiter beauftragt, wird dieser
- 3.2.1. von jedem beauftragten Unterauftragsverarbeiter verlangt, personenbezogene Kundendaten gemäß dem von den geltenden Datenschutzgesetzen geforderten Standard zu schützen; dies umfasst die dieselben Datenschutzverpflichtungen, auf die in Artikel 28(3) der DSGVO verwiesen wird, insbesondere die Bereitstellung ausreichender Garantien, um angemessene technische und organisatorische Maßnahmen derart zu implementieren, dass die Verarbeitung den Anforderungen der DSGVO gerecht wird; und
- 3.2.2. jeden beauftragten Unterauftragsverarbeiter schriftlich verpflichten, Daten nur in einem Land zu verarbeiten, für das die Europäische Union ein „angemessenes“ Schutzniveau erklärt hat; oder Daten nur zu Bedingungen zu verarbeiten, die den Standardvertragsklauseln entsprechen.
4. Vereinigtes Königreich.
4.1. Bezugnahmen auf die DSGVO in diesem Addendum gelten als Bezugnahmen auf die entsprechenden Gesetze des Vereinigten Königreichs (einschließlich der UK GDPR und des Data Protection Act 2018).
4.2. Wenn Smartsheet einen Unterauftragsverarbeiter beauftragt, wird dieser
- 4.2.1. von jedem beauftragten Unterauftragsverarbeiter verlangt, personenbezogene Kundendaten gemäß dem von den geltenden Datenschutzgesetzen geforderten Standard zu schützen; dies umfasst die dieselben Datenschutzverpflichtungen, auf die in Artikel 28(3) der DSGVO verwiesen wird, insbesondere die Bereitstellung ausreichender Garantien, um angemessene technische und organisatorische Maßnahmen derart zu implementieren, dass die Verarbeitung den Anforderungen der DSGVO gerecht wird; und
- 4.2.2. jeden beauftragten Unterauftragsverarbeiter schriftlich verpflichten, Daten nur in einem Land zu verarbeiten, für das die Europäische Union ein „angemessenes“ Schutzniveau erklärt hat; oder Daten nur zu Bedingungen zu verarbeiten, die den Standardvertragsklauseln entsprechen.
Versionskontrolle der englischen Fassung
Sofern dies nicht durch örtliche Gesetze verboten ist, werden nicht-englische Übersetzungen dieses Hinweises nur der Bequemlichkeit halber zur Verfügung gestellt. Bei Zweideutigkeiten oder Konflikten mit Übersetzungen ist die englische Version maßgebend und hat Vorrang.
Letzte Aktualisierung: 4. Oktober 2021
Archivierte Versionen
Dies sind die veralteten Versionen des Smartsheet Addendums zur Datenverarbeitung und werden nur zu Informationszwecken bereitgestellt.
Archivliste anzeigen