Loading…
Diese Auftragsverarbeitungsvereinbarung ("DPA") wird zwischen RegulatoryBridge Global Ltd. ("Auftragsverarbeiter" oder "RegulatoryBridge") und dem Kunden geschlossen, der die Nutzungsbedingungen akzeptiert oder ein Bestellformular ausführt ("Verantwortlicher" oder "Kunde").
Die DPA gilt für die Verarbeitung personenbezogener Daten durch RegulatoryBridge im Auftrag des Kunden im Zusammenhang mit den Diensten. Der Kunde ist der Verantwortliche (oder, sofern zutreffend, ein Auftragsverarbeiter, der im Auftrag seiner eigenen Kunden-Verantwortlichen handelt). RegulatoryBridge ist der Auftragsverarbeiter (oder, sofern zutreffend, ein Unterauftragsverarbeiter). Werden personenbezogene Daten von beiden Parteien zu gemeinsamen Zwecken verarbeitet, schließen die Parteien eine gesonderte Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 GDPR.
"Anwendbares Datenschutzrecht" bezeichnet die GDPR; UK GDPR + Data Protection Act 2018; das kalifornische CCPA/CPRA; das brasilianische LGPD; das indische DPDPA; das PDPA von Singapur; das japanische APPI; das Schweizer FADP; sowie jedes andere Datenschutzgesetz, das auf die Verarbeitung im Rahmen dieser DPA anwendbar ist.
Großgeschriebene Begriffe, die verwendet, aber nicht definiert werden, haben die Bedeutung, die ihnen in den Nutzungsbedingungen oder im Anwendbaren Datenschutzrecht zukommt (je nachdem, was für den jeweiligen Begriff gilt).
Gegenstand, Art, Zweck, Dauer, Kategorien betroffener Personen und Kategorien personenbezogener Daten sind in Anhang A festgelegt.
RegulatoryBridge verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Kunden, wie in (a) dem Bestellformular, (b) dieser DPA und (c) etwaigen zusätzlichen, von RegulatoryBridge akzeptierten schriftlichen Weisungen festgelegt. Wir benachrichtigen den Kunden, wenn eine Weisung unserer Auffassung nach gegen das Anwendbare Datenschutzrecht verstößt, und können die Verarbeitung bis zu einer Entscheidung des Kunden aussetzen.
Alle Mitarbeiter und Auftragnehmer von RegulatoryBridge mit Zugang zu personenbezogenen Daten sind durch schriftliche Vertraulichkeitsverpflichtungen gebunden oder unterliegen einer entsprechenden gesetzlichen Verschwiegenheitspflicht und erhalten regelmäßige Schulungen zu Datenschutz und Sicherheit.
Wir werden geeignete technische und organisatorische Maßnahmen umsetzen und aufrechterhalten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wobei der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigt werden. Die aktuellen Maßnahmen sind in Anhang B beschrieben und an den Kontrollfamilien von ISO/IEC 27001:2022 und SOC 2 Type II ausgerichtet.
Der Kunde ermächtigt RegulatoryBridge, die auf der Seite Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter zu beauftragen (und in Anhang C wiedergegeben). Jeder Unterauftragsverarbeiter ist durch schriftliche Bedingungen gebunden, die Datenschutzverpflichtungen vorsehen, die mindestens so schützend sind wie die in dieser DPA. Wir werden mindestens 30 Tage im Voraus benachrichtigen, bevor neue Unterauftragsverarbeiter beauftragt werden. Der Kunde kann innerhalb dieses Zeitraums aus berechtigten Gründen Einspruch erheben, und die Parteien werden nach Treu und Glauben verhandeln; wird keine Einigung erzielt, kann der Kunde den betroffenen Dienst kündigen.
Unter Berücksichtigung der Art der Verarbeitung wird RegulatoryBridge durch geeignete technische und organisatorische Maßnahmen angemessene Unterstützung leisten, damit der Kunde seiner Pflicht zur Beantwortung von Anträgen betroffener Personen, die ihre Rechte ausüben, nachkommen kann. Wendet sich eine betroffene Person mit einem Antrag bezüglich der Daten des Kunden direkt an RegulatoryBridge, leiten wir den Antrag unverzüglich an den Kunden weiter.
RegulatoryBridge wird den Kunden ohne unangemessene Verzögerung – und in jedem Fall innerhalb von 48 Stunden nach Kenntniserlangung – über jede Verletzung des Schutzes personenbezogener Daten informieren, die die personenbezogenen Daten des Kunden betrifft. Die Benachrichtigung enthält die in Artikel 33(3) GDPR (oder einer entsprechenden Bestimmung anderen Anwendbaren Datenschutzrechts) genannten Informationen, soweit diese zu diesem Zeitpunkt bekannt sind. Wir leisten dem Kunden angemessene Unterstützung bei der Erfüllung seiner eigenen Meldepflichten gegenüber Aufsichtsbehörden und betroffenen Personen.
Werden personenbezogene Daten aus dem EWR / dem Vereinigten Königreich / der Schweiz in ein Drittland übermittelt, für das kein Angemessenheitsbeschluss vorliegt, beziehen die Parteien durch Verweis die EU-Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914 der Kommission), Modul 2 (Verantwortlicher → Auftragsverarbeiter) oder gegebenenfalls Modul 3 (Auftragsverarbeiter → Auftragsverarbeiter) ein, zusammen mit dem UK International Data Transfer Addendum für Übermittlungen ins Vereinigte Königreich und den vom Schweizer FDPIC anerkannten Anpassungen für Übermittlungen in die Schweiz.
Für Übermittlungen aus Indien (DPDPA), Brasilien (LGPD), Japan (APPI) und Singapur (PDPA) stützen sich die Parteien auf die nach dem jeweiligen Recht anerkannten Mechanismen (Einwilligung, Angemessenheit, vertragliche Garantien) und auf länderspezifische Zusatzvereinbarungen, die auf Anfrage verfügbar sind.
RegulatoryBridge wird dem Kunden alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, und wird Audits, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Prüfer ermöglichen und dazu beitragen. Um Doppelarbeit und betriebliche Störungen zu minimieren:
Nach Wahl des Kunden wird RegulatoryBridge bei Beendigung der Dienste alle personenbezogenen Daten an den Kunden zurückgeben oder löschen, auch aus Backups, innerhalb von 90 Tagen, sofern die Aufbewahrung nicht nach Anwendbarem Datenschutzrecht erforderlich ist. Der Kunde kann Kundeninhalte während der Abonnementlaufzeit mit den in der Dokumentation beschriebenen Standard-Exportwerkzeugen exportieren.
Die Haftung jeder Partei nach dieser DPA unterliegt den in den Nutzungsbedingungen festgelegten Haftungsbeschränkungen, sofern nicht nach Anwendbarem Datenschutzrecht eine unbegrenzte Haftung vorgeschrieben ist.
Diese DPA tritt zum oben angegebenen Datum in Kraft und bleibt so lange in Kraft, wie RegulatoryBridge personenbezogene Daten im Auftrag des Kunden verarbeitet. Bestimmungen, die ihrer Natur nach die Beendigung überdauern sollten (Sicherheit, Vertraulichkeit, Audit, Meldung von Verletzungen aus der Zeit vor der Beendigung), bleiben entsprechend bestehen.
Diese DPA unterliegt dem Recht von Ireland, unbeschadet zwingenden Rechts am gewöhnlichen Aufenthaltsort der betroffenen Person. Streitigkeiten werden gemäß den Nutzungsbedingungen beigelegt.
Gegenstand: Bereitstellung der im Bestellformular beschriebenen Dienste, einschließlich regulatorischer Vertretung, DPO-Diensten, Reaktion auf Datenschutzverletzungen und zugehöriger Software.
Dauer: Die Abonnementlaufzeit zuzüglich der in Abschnitt 12 dieser DPA festgelegten Aufbewahrungsfrist.
Art und Zweck der Verarbeitung: Speichern, Zugreifen, Organisieren, Strukturieren, Übertragen und sonstiges Verarbeiten personenbezogener Daten zur Bereitstellung der Dienste.
Kategorien betroffener Personen: Endnutzer, Mitarbeiter, Auftragnehmer, Interessenten, Lieferanten des Kunden und alle anderen natürlichen Personen, deren personenbezogene Daten in den Kundeninhalten enthalten sind.
Kategorien personenbezogener Daten: Kontaktkennungen (Name, geschäftliche E-Mail-Adresse, Funktion); Verhaltensdaten (Interaktionen mit den Diensten); Compliance-Artefakte (DSAR-Aufzeichnungen, Datenschutzvorfälle, Einwilligungsnachweise); vom Kunden hochgeladene Inhalte (die je nach Konfiguration des Kunden weitere Kategorien umfassen können).
Besondere Kategorien von Daten: In der Regel keine. Entscheidet sich der Kunde, besondere Kategorien oder sensible personenbezogene Daten hochzuladen, ist der Kunde dafür verantwortlich, eine geeignete Rechtsgrundlage nach Artikel 9 GDPR oder einer entsprechenden Bestimmung sicherzustellen.
Häufigkeit der Verarbeitung: Fortlaufend, für die Dauer der Abonnementlaufzeit.
Die aktuelle Liste der autorisierten Unterauftragsverarbeiter wird unter /sub-processors veröffentlicht und gepflegt. Die Liste zum Zeitpunkt der Annahme des Bestellformulars ist hier durch Verweis einbezogen. Aktualisierungen werden wie in Abschnitt 7 festgelegt mitgeteilt.
src/lib/legal-entity.ts.