Bedingungen & Richtlinien

5. TECHNISCHE UND ORGANISATORISCHEN MAßNAHMEN

5.1  Nitro hat geeignete technische und organisatorische Maßnahmen („TOMs“) implementiert, die darauf abzielen, die Verarbeitung personenbezogener Daten zu sichern. Die von Nitro implementierten TOMs sind in den Datenverarbeitungsdetails festgelegt und können von Nitro von Zeit zu Zeit aktualisiert werden, wobei Nitro sicherstellt, dass die Gesamtsicherheit, die zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes eingerichtet wurde, nicht herabgestuft wird. Der Verarbeiter erkennt an, dass die TOMs ein angemessenes Sicherheitsniveau bieten, das dem Risiko für die Verarbeitung seiner personenbezogenen Daten im Auftrag des Verarbeiters zum Zeitpunkt der Unterzeichnung oder Akzeptanz dieses Datenverarbeitungszusatzes angemessen ist.

5.2  Falls der Verarbeiter (oder der Datenverantwortliche) spezifische technische und organisatorische Maßnahmen von Nitro verlangt (die Nitro standardmäßig nicht implementiert hat), wird der Verarbeiter Nitro für die Umsetzung solcher zusätzlichen Maßnahmen gemäß Abschnitt 11 "Kosten" dieses Datenverarbeitungszusatzes entschädigen.

6. AUFBEWAHRUNG

6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung solcher personenbezogenen Daten im Rahmen der Vereinbarung erforderlich ist.

Der Verarbeiter wird Nitro nicht anweisen, personenbezogene Daten länger als notwendig aufzubewahren. Der geltende Aufbewahrungszeitraum ist in den Datenverarbeitungsdetails festgelegt.

6.2  Nitro wird nach Abschluss der Bereitstellung der Dienstleistungen alle personenbezogenen Daten an den Verarbeiter zurückgeben oder löschen und etwaige bestehende Kopien löschen, es sei denn, das geltende Recht verlangt die Aufbewahrung der personenbezogenen Daten. Der Verarbeiter erkennt an, dass die Dienstleistungen möglicherweise Download-Funktionen umfassen, die dem Verarbeiter zur Verfügung stehen, um dem Verarbeiter zu ermöglichen, seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Verarbeiter sicherstellen, dass der Datenverantwortliche solche Funktionen nutzt, um seine Daten zu extrahieren oder zu löschen.

7. Soweit solche Funktionen verfügbar sind, stellt der Auftragnehmer sicher, dass der Verantwortliche diese Funktionen nutzt, um seine Daten zu extrahieren oder zu löschen.

13.2 Dieser Datenverarbeitungszusatz wird durch die spezifischen Bedingungen des CCPA ergänzt, die in Anhang 1 dieses Dokuments enthalten sind, soweit dies erforderlich ist, wie in Anhang 1 festgelegt.

ANHANG 1 – DETAILS DER DATENVERARBEITUNG

BESCHREIBUNG DER VERARBEITUNG

1. Gegenstand der Verarbeitung der personenbezogenen Informationen

Der Gegenstand wird vom Verarbeiter gemäß der Vereinbarung (und/oder relevantem Nitro ISV-Bestellformular) bestimmt.

2. DIE NATUR UND ZWECKE DER VERARBEITUNG PERSONENBEZOGENER INFORMATIONEN

Die Natur und die Zwecke der Verarbeitung werden vom Verarbeiter gemäß der Vereinbarung (und/oder relevantem Nitro ISV-Bestellformular) bestimmt.

Standardmäßig hat diese Verarbeitung den Zweck, die Dienstleistungen einschließlich aller Funktionen und Anwendungsoptionen dem Verarbeiter zur Verfügung zu stellen (der diese dem Datenverantwortlichen zur Verfügung stellt) und allgemein zu ermöglichen, dass Nitro seinen vertraglichen Verpflichtungen aus der Vereinbarung nachkommt. Solche Zwecke können die Bereitstellung der Cloud-Dienste umfassen (zum Beispiel, aber nicht beschränkt auf die Bereitstellung des Kunden-Cloud-Portals, elektronischer Signaturdienste, Analyse-Services usw.) sowie die Bereitstellung von Unterstützung.

Die Art der Verarbeitung umfasst unter anderem die Anweisungen, die der Verarbeiter in der Vereinbarung (und/oder dem entsprechenden Nitro ISV-Bestellformular) erteilt hat, die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Daten.

3. VERARBEITETE PERSONENBEZOGENE INFORMATIONEN

Je nach den innerhalb der Dienstleistungen verwendeten Funktionen (z. B. Kundenportal, elektronische Signaturdienste, Analyse-Services usw.) und den Inhalten der Endkundendaten, die als personenbezogene Daten gelten, die vom Verarbeiter oder dem Datenverantwortlichen in die Dienste hochgeladen wurden, verarbeitet Nitro unterschiedliche Arten von personenbezogenen Daten. Im Allgemeinen umfasst die von Nitro verarbeitete personenbezogene Daten ohne Einschränkung:

• Identifikationsdaten (zum Beispiel bezüglich der betroffenen Personen, die die Dienstleistungen nutzen - und Nutzungsdaten)
• Dokumentdaten (zum Beispiel personenbezogene Daten, die in verarbeiteten PDF-Dokumenten enthalten sind)

Eine detaillierte Übersicht über die Art der personenbezogenen Daten, die bei der Nutzung der Dienstleistungen verarbeitet werden, ist über Nitros Trust Center verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. KATEGORIE DER BETROFFENEN PERSONEN

Die folgenden Kategorien von betroffenen Personen sind standardmäßig im Geltungsbereich:

• Alle betroffenen Personen, die Zugang zu den Dienstleistungen haben (dazu gehören Administratoren, allgemeine Benutzer oder eingeladene Benutzer wie Unterzeichner).
• Alle betroffenen Personen, die in den Endkundendaten enthalten sind, die als personenbezogene Daten gelten und die vom Verarbeiter oder dem Datenverantwortlichen in die Dienstleistungen hochgeladen wurden.

Der Verarbeiter bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:

• Benutzer der Dienstleistungen
• Kunden des Verarbeiters
  
  

5.  SUB-VERARBEITER

Nitro beauftragt Nitro Sub-Verarbeiter, um sicherzustellen, dass alle Funktionen innerhalb der Dienstleistungen verfügbar sind. Welche Nitro Sub-Verarbeiter anwendbar sind, hängt von den genutzten Dienstleistungen und den Funktionen sowie der Einrichtung ab, die der Verarbeiter oder der Datenverantwortliche anfordert. Eine detaillierte Aufstellung der von Nitro eingesetzten Unterauftragnehmer (einschließlich des Verfahrens, das wir anwenden, wenn wir neue Nitro-Unterauftragnehmer einbeziehen) ist über unser Trust Center verfügbar: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)

Nitro implementiert geeignete technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren solche Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die ergriffenen Maßnahmen ist über unser Trust Center in unserem Sicherheitsbereich verfügbar: https://www.gonitro.com/security-compliance/security und in unserer Richtlinie zur Informationssicherheit. Unser Trust Center listet außerdem die Zertifizierungen auf, die Nitro im Compliance-Bereich hält: https://www.gonitro.com/security-compliance/compliance

7. AUFBEWAHRUNGSDAUER

Nitro speichert personenbezogene Daten nicht länger als notwendig für die Bereitstellung der Dienste. Je nach den Diensten und den Funktionen, die der Prozessor oder der Controller verwendet, können die geltenden Speicherfristen unterschiedlich sein. Der Prozessor, der im Auftrag des Controllers handelt, kann Nitro bitten, spezifische Speicherfristen in seiner Umgebung zu konfigurieren (soweit dies technisch möglich ist).

Falls keine spezifischen Speicherfristen konfiguriert wurden, werden personenbezogene Daten standardmäßig von Nitro bis zur Löschung durch den Prozessor oder den Controller oder bis zur Beendigung des Vertrags zwischen Nitro und dem Prozessor (zuzüglich maximal 30 Tage), je nachdem, welche der beiden Situationen zuerst eintritt, gespeichert. Eine detaillierte Übersicht über die Speicherfristen ist über unser Trust Center verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

8. KONTAKTDATEN DES NITRO-PRIVACY-TEAMS

privacy@gonitro.com
Nitro Software Inc.
447 Sutter St, STE 405 #1015, San Francisco, CA 94108
Vereinigte Staaten

ANHANG 1 – CCPA-SPEZIFISCHE BEDINGUNGEN

1. Soweit Nitro personenbezogene Daten vom ISV oder im Auftrag des ISV erhält und diese Informationen unter das CCPA fallen, gelten die folgenden Bestimmungen. Soweit ein Konflikt zwischen diesem Anhang 1 und dem Datenverarbeitungsvertrag besteht, hat das frühere Vorrang.

1.1  CCPA. Soweit (a) Nitro (als Dienstanbieter oder Auftragnehmer) personenbezogene Daten vom ISV (als Dienstanbieter oder Auftragnehmer) erhält, um sie im Auftrag des Controllers (als Unternehmer) zur Bereitstellung der Dienste zu verarbeiten, und (b) diese personenbezogenen Daten unter das CCPA fallen („ISV PI“), verpflichtet sich Nitro (i) alle Verpflichtungen, die für Nitro unter dem CCPA gelten, einzuhalten und dasselbe Maß an Datenschutz- und Sicherheitsmaßnahmen bereitzustellen, wie es das CCPA verlangt; (ii) ISV PI nicht zu verkaufen oder zu teilen; (iii) ISV PI nicht zu speichern, zu nutzen oder offenzulegen (a) für andere Zwecke als die im Datenverarbeitungsvertrag oder dem Vertrag festgelegten Geschäftszwecke (einschließlich der Speicherung, Nutzung oder Offenlegung von ISV PI für einen kommerziellen Zweck außerhalb des angegebenen Geschäftszwecks im Rahmen des Datenverarbeitungsvertrags oder des Vertrags) oder (b) außerhalb der direkten Geschäftsbeziehung zwischen dem ISV und Nitro; (iv) soweit der ISV an Nitro anonymisierte Daten offenlegt oder anders zur Verfügung stellt, wird Nitro (a) angemessene Maßnahmen ergreifen, um sicherzustellen, dass die anonymisierten Daten nicht mit einer Einzelperson oder einem Haushalt in Verbindung gebracht werden können, (b) öffentlich zusichern, die Informationen in anonymisierter Form zu erhalten und zu verwenden und nicht zu versuchen, die Informationen wieder zu identifizieren, und (c) vertraglich jede weitere empfangende Partei verpflichten, alle Bestimmungen dieses Unterabschnitts (iv) einzuhalten; (v) ISV PI hinsichtlich einer Einzelperson, die Nitro vom ISV oder im Auftrag des ISV erhält, nicht mit personenbezogenen Daten zu kombinieren, die es von oder im Auftrag anderer Personen erhält oder aus Nitro’s eigenen Interaktionen mit der Einzelperson sammelt, vorausgesetzt, Nitro kann ISV PI zur Durchführung eines beliebigen Geschäftszwecks, der in relevanten Vorschriften definiert ist, die gemäß dem CCPA erlassen wurden, kombinieren; (vi) den ISV benachrichtigen, wenn es einen Unterauftragnehmer einsetzt, um die ISV PI zu verarbeiten, und die ISV PI gemäß einem schriftlichen Vertrag offenlegen, der Bedingungen enthält, die dasselbe Schutzniveau für diese PI bieten, wie es das CCPA verlangt; (vii) angemessene organisatorische und technische Maßnahmen, die der Natur der ISV PI angemessen sind, um die Sicherheit der ISV PI und der Systeme vor unbefugtem Zugriff, Zerstörung, Nutzung, Modifikation oder Offenlegung zu schützen, umsetzen; (viii) den ISV benachrichtigen, wenn Nitro feststellt, dass es seinen Verpflichtungen nach CCPA nicht mehr nachkommen kann; (ix) dem ISV angemessene Unterstützung bieten, um sicherzustellen, dass der ISV seinen Verpflichtungen nachkommt, die Datenschutzbewertungen, Cybersecurity-Audits und Risikoanalysen in Anbetracht der Art der Verarbeitung und der Informationen, die Nitro zur Verfügung stehen, durchzuführen. Nitro wird dem ISV auch helfen, die Anforderungen an die automatisierte Entscheidungstechnologie des Controllers zu erfüllen, sofern vorhanden; (x) den ISV benachrichtigen, wenn Nitro eine Anfrage zum Ausüben von Datenschutzrechten von einer Einzelperson erhält, die sich auf die ISV PI dieser Person bezieht (eine „Anfrage“). Nitro wird anderweitig nicht mit einer Einzelperson über deren Anfrage kommunizieren, es sei denn, der ISV weist Nitro an, dies zu tun, oder Nitro ist verpflichtet, gemäß geltendem Recht mit einer Einzelperson zu kommunizieren. Nitro wird, in Übereinstimmung mit der Art und Funktionalität der unter diesem Datenverarbeitungsvertrag bereitgestellten Dienste und Nitros Rolle als Dienstanbieter, dem ISV angemessene Unterstützung bieten, damit der ISV auf eine Anfrage gemäß dem CCPA reagieren und diese einhalten kann; und nicht mehr als einmal jährlich wird Nitro dem ISV auf Anfrage Informationen zur Verfügung stellen, die vernünftigerweise notwendig sind, um die Einhaltung dieser Section 1 zu demonstrieren, einschließlich der Bereitstellung von Zusammenfassungen der geltenden Datenschutz- und Sicherheitspolitiken zur Überprüfung und Prüfungszwecken.

1.2  Unterstützung. Der ISV wird Nitro die Kosten für die Unterstützung, die Nitro gemäß Klausel 1.1.(ix) dieses Anhangs 1 bereitstellt, gemäß Abschnitt 11 „Kosten“ dieses Datenverarbeitungsvertrags ersetzen.

1.3  Zertifizierung. Soweit Nitro ein Auftragnehmer ist, bescheinigt Nitro, dass es die in Unterabschnitt 1.1 festgelegten Einschränkungen versteht und einhalten wird.