Data Processing Addendum

DATA PROCESSING ADDENDUM

Last updated: September 6, 2022

This Data Processing Addendum (“DPA”) is incorporated by reference into the Master Services Agreement (the “MSA”) or any other agreement for the delivery of products or services by Absolute Results (as defined below) to the Customer (the MSA and any such other agreement, each an “SA”). This DPA is in force as of the Effective Date of the SA.

Any defined terms not otherwise defined herein shall have the meaning given to them in the SA, and all principles of interpretation shall be those set forth in the SA.

“Absolute Results” shall mean any of the following companies forming part of the Absolute Results corporate group where such company is the signatory of an SA:

Absolute Results Sales and Marketing Ltd., a company incorporated under the laws of England
Absolute Results (France) SAS, a company incorporated under the laws of France
Absolute Results (Schweiz) GmbH, a company incorporated under the laws of Switzerland
Absolute Results Technologies (USA), Inc., a company incorporated under the laws of Delaware, USA
Absolute Results (Australia) Pty Ltd., a company incorporated under the laws of Australia
Absolute Results Productions Ltd., a company incorporated under the laws of British Columbia, Canada, and any such other company as may be incorporated, from time to time, and become part of the Absolute Results corporate group.

This DPA is supplemental to the SA and sets out the terms that apply when Personal Data (defined below) is Processed (defined below) by Absolute Results under the SA. The purpose of the DPA is to ensure such Processing is conducted in accordance with applicable laws, including EU Data Protection Legislation (defined below), and with due respect for the rights and freedoms of individuals whose Personal Data is Processed.

DATA PROCESSING TERMS

In providing the Products and Services to Customer pursuant to the SA, Absolute Results may Process Personal Data on behalf of Customer. Absolute Results will comply with the provisions in this DPA with respect to its Processing of any Personal Data.

Capitalized terms used but not defined in this DPA have the same meanings as set out in the SA.

1. Definitions

1.1 For the purposes of this Data Processing Addendum:

(a) “Absolute Results” means the global group of entities engaged in the Business. The obligations of Absolute Results under the SA are the obligations of the signatory entity to the SA only while the protections also extend to the Absolute Results entity that is the owner of the Absolute Results intellectual property or that acts as a sub-contractor of the Products and Services.

(b) “Affiliate(s)” has the same meaning ascribed to it in the SA and, if not defined in the SA, the term means any other entity that, directly or indirectly through one or more intermediaries, controls, is controlled by, or is under common control with, that Party.

(c) “Controller” means the entity which, alone or jointly with others, determines the purposes and means of the Processing of Personal Data.

(d) “Customer” means the non-Absolute Results party to both the SA and this Data Processing Addendum that has access to the Products and Services.

(e) “Customer Data” means any information that is held, used, or provided to Absolute Results by the Customer in the course of Customer’s use of the Products and Services, including any information derived from such information.

(f) “Data Subject” means the individual to whom Personal Data relates.

(g) “EEA” means the European Economic Area, which constitutes the member states of the European Union and Norway, Iceland and Liechtenstein, as well as, for the purposes of this Data Processing Addendum, the United Kingdom.

(h) “Data Protection Legislation” means (i) Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“General Data Protection Regulation or “GDPR”), as amended, replaced or superseded; (ii) any applicable national implementing laws, regulations and secondary legislation relating to the processing of Personal Data and the privacy of electronic communications, as amended, replaced or updated from time to time, including the Privacy and Electronic Communications Directive (2002/58/EC) and the Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426; and (iii) all applicable data protection laws of Switzerland and the United Kingdom; and the California Consumer Privacy Act (“CCPA”) and any other applicable federal or state data protection laws in the USA.

(i) “Personal Data” means any Customer Data relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

(j) “Processor” means an entity which Processes Personal Data on behalf of the Controller.

(k) “Processing” means any operation or set of operations which is performed on Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.

(l) “Products and Services” means, without limitation, the following Products and Services of Absolute Results, and includes any such Products and Services as may be added by Absolute Results from time to time:

i) Products and services related to business development for dealers through ABSOLUTE RESULTS’ virtual business development center and/or private sales events, whether in person or virtual (the “Events and Business Development”);

ii) Coaching, training and advisory services, whether in person or virtual (the “Training Services”); and

iii) Products and services relating to AR Technology (the “Technology”).

(m) “Supervisory Authority” means an independent public authority which is established by an EU member state pursuant to EU Data Protection Legislation.

2. Applicability of Data Processing Addendum

2.1 Applicability. This DPA shall apply to all Customers to the extent Absolute Results Processes Personal Data of Data Subjects on behalf of a Customer or a Customer Affiliate.

3. Details of the Processing

3.1 Types of Personal Data Processed. The categories of Personal Data are determined by the Customer in its sole discretion and may include but are not limited to: first and last name; contact information (e.g., email, phone, physical address); and vehicle information, including sales, service and financing information.

3.2 Special Categories of Personal Data. Special categories of Personal Data are not required to be collected or processed for the provision of Products and Services. Should the Customer choose to include this type of data it is done so at the Customer’s sole discretion and may include but is not limited to, information revealing racial/ethnic origin, political, religious or philosophical beliefs, trade union membership or health data.

3.3 Categories of Data Subjects. The categories of Data Subjects whose Personal Data may be Processed in connection with the Products and Services are determined and controlled by Customer in its sole discretion and may include but are not limited to: customers and prospects of Customer; employees or contractors of Customer’s prospects and customers, and; employees and contractors of Customer.

3.4 Nature of Processing Operations. Absolute Results will Process Personal Data as necessary to provide the Products and Services pursuant to the SA. The Processing operations performed on the Personal Data will depend on the scope of Customer’s Products and Services and Customer’s configuration of its Absolute Results instance. Such Processing operations of Personal Data as necessary for Absolute Results to provide the Products and Services may include the following: collecting, recording, organizing, storage, use, alteration, disclosure, transmission, combining, retrieval, consultation, archiving and/or destruction.

4. Roles and Responsibilities

4.1 Parties’ Roles. Customer, as Controller, appoints Absolute Results as a Processor to process the Personal Data on Customer’s behalf. In some circumstances Customer may be a Processor, in which case Customer appoints Absolute Results as Customer’s sub-processor, which shall not change the obligations of either Customer or Absolute Results under this DPA, as Absolute Results will remain a Processor with respect to the Customer in such event.

4.2 Purpose Limitation. Absolute Results shall Process Personal Data for the purposes set forth in the SA and only in accordance with the lawful, documented instructions of Customer, except where otherwise required by applicable law. The SA and this DPA set out Customer’s complete instructions to Absolute Results in relation to the Processing of Personal Data and any Processing required outside of the scope of these instructions (inclusive of the rights and obligations set forth under the SA) will require prior written agreement of the parties.

4.3 Training. Absolute Results shall ensure that its relevant employees, agents and contractors receive appropriate training regarding their responsibilities and obligations with respect to the Processing, protection and confidentiality of Personal Data.

4.4 Compliance. Absolute Results, as Processor, has complied and will continue to comply with all applicable privacy and data protection laws including, but not limited to, Data Protection Legislation. Customer, as Controller, shall be responsible for ensuring that, in connection with Customer Data and the Products and Services:

a) it has complied, and will continue to comply, with all applicable privacy and data protection laws, including Data Protection Legislation; and

b) it has, and will continue to have, the right to transfer, or provide access to, the Personal Data to Absolute Results for Processing in accordance with the terms of the SA and this DPA.

5. Security

5.1 Security. Absolute Results shall implement appropriate technical and organizational measures taking into account the state of the art, the costs of implementation, and the nature, scope, context and purposes of Processing as well as the risk of varying likelihood and severity for the rights and freedoms of Data Subjects. These measures are listed in Annex 1 to this DPA, and shall be designed to ensure a level of security appropriate to the risk in order to protect Personal Data from accidental or unlawful destruction, loss, alteration, unauthorized disclosure, access or use (each a “Security Incident“) and in accordance with Absolute Results’ security standards as set forth in the SA.

5.2 Confidentiality of Processing. Absolute Results shall ensure that any person that it authorizes to Process the Personal Data (including its staff, agents, subcontractors and Sub-processors) shall be subject to an adequate duty of confidentiality (whether a contractual or a statutory duty) that shall survive the termination of their employment and/or contractual relationship.

5.3 Security Incidents. Upon becoming aware of a Security Incident which may affect the Customer, Absolute Results shall notify Customer without undue delay and pursuant to the terms of the SA, but within no more than seventy-two (72) hours, and shall provide such timely information as Customer may reasonably require to enable Customer to fulfill any data breach reporting obligations under applicable Data Protection Legislation. Absolute Results will take steps to immediately identify and initiate actions to remediate the cause of such Security Incident.

6. Sub-processing

6.1 Sub-processors. Customer agrees that Absolute Results may engage Absolute Results Affiliates and third party sub-processors (collectively, “Sub-processors“) to Process the Personal Data on Absolute Results’ behalf. The Sub-processors currently engaged by Absolute Results and authorized by Customer are listed in Annex 2 to this DPA. Absolute Results shall impose on such Sub-processors data protection terms that protect the Personal Data to the same standard provided for by this DPA and shall remain liable for any breach of the DPA caused by a Sub-processor.

6.2 Changes to Sub-processors. Absolute Results may, by giving no less than thirty (30) days’ notice to Customer, add or make changes to the Sub-processors. Customer may object to the appointment of an additional Sub-processor within fourteen (14) calendar days of such notice, in which case Absolute Results shall have the right to cure the objection through one of the following options (to be selected at Absolute Results’ sole discretion):

(a) Absolute Results will cancel its plans to use the Sub-processor with regard to Personal Data or will offer an alternative to provide the Products and Services without such Sub-processor; or
(b) Absolute Results will take the corrective steps requested by Customer in its objection (which remove Customer’s objection) and proceed to use the Sub-processor with regard to Personal Data; or
(c) Absolute Results may cease to provide or Customer may agree not to use (temporarily or permanently) the particular aspect of the Products and Services that would involve the use of such Sub-processor with regard to Personal Data, subject to a mutual agreement of the parties to adjust the remuneration for the Products and Services considering the reduced scope of the Products and Services. If none of the above options are reasonably available and the objection has not been resolved to the mutual satisfaction of the parties within 30 days after Absolute Results’ receipt of Customer’s objection, either party may terminate the SA and Customer will be entitled to a pro-rata refund for prepaid fees for Products and Services not performed as of the date of termination.

7. Cooperation

7.1 Data Subjects’ Rights. Absolute Results shall provide commercially reasonable assistance, including by appropriate technical and organizational measures as reasonably practicable, to enable Customer to respond to any inquiry, communication or request from a Data Subject seeking to exercise his or her rights under applicable Data Protection Legislation, including rights of access, correction, restriction, objection, erasure or data portability, as applicable. In the event such inquiry, communication or request is made directly to Absolute Results, Absolute Results shall promptly inform Customer by providing the full details of the request. For the avoidance of doubt, Customer is responsible for responding to Data Subject requests for access, correction, restriction, objection, erasure or data portability involving that Data Subject’s Personal Data.

7.2 Supervisory Authorities. Absolute Results shall notify Customer without undue delay if a Supervisory Authority or law enforcement authority makes any inquiry or request for disclosure regarding Personal Data, where not lawfully prohibited from doing so.

7.3 Data Protection Impact Assessments and Prior Consultation. Absolute Results shall, to the extent required by Data Protection Legislation, provide Customer with reasonable assistance with data protection impact assessments and/or prior consultations with Supervisory Authorities that Customer is required to carry out under Data Protection Legislation.

8. Security Reports and Audits

8.1 Any provision of security attestation or audit reports (such as SOC 2, Type II or equivalent) shall take place in accordance with Customer’s rights under the SA. If the SA does not include a provision regarding security attestation reports or audit rights, Absolute Results shall provide a copy of its most current security report upon Customer’s written request and subject to the confidentiality provisions of the SA. Absolute Results shall allow Customer (or Customer’s independent third-party auditor) to conduct an on-site audit of the procedures relevant to the protection of Customer’s Personal Data, subject to the confidentiality provisions of the SA. Customer and Absolute Results will discuss and agree in advance on the reasonable start date, scope and duration of and security and confidentiality controls applicable to any audit; and Absolute Results reserves the right to charge a fee (based on Absolute Results’ reasonable costs) for any such audit. Absolute Results will provide further details of any applicable fee and the basis of its calculation to Customer in advance of such audit.

9. Deletion or Return of Customer Data

9.1 Deletion or Return of Data. Absolute Results will retain Personal Data for a period of two (2) years after termination of the SA. Upon expiration of this period or on the Customer’s earlier request, Absolute Results shall, in accordance with the terms of the SA, delete or make available to Customer for retrieval all relevant Personal Data (including copies) in Absolute Results’ possession, save to the extent that Absolute Results is required by any applicable law to retain some or all of the Personal Data. In such event, Absolute Results shall extend the protections of the SA and this DPA to such Personal Data and limit any further Processing of such Personal Data to only those limited purposes that require the retention, for so long as Absolute Results maintains the Personal Data.

9.2 Data Deletion Requests. Any Customer request for deletion of Personal Data prior to expiry of the retention period stated under section 9.1 must be made using the specified form: (https://forms.gle/rWQLojJ3sDQhuZVD6). Absolute Results shall fulfill such requests within 30 days and provide the Customer with a Certificate of Data Deletion upon completion.

10. Miscellaneous

10.1 Except as amended by this DPA, the SA will remain in full force and effect.

10.2 If there is a conflict between the SA and this DPA, the terms of this DPA will control with respect to the matters set out herein.

10.3 Any claims brought under this DPA shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the SA.

10.4 The limitations on liability set out in the SA apply to all claims made pursuant to any breach of the terms of this DPA.

10.5 The parties agree that the Customer shall be liable for any breaches of this DPA caused by the acts and omissions or negligence of its Affiliates as if such acts, omissions or negligence had been committed by the Customer itself.

10.6 The Customer shall not be entitled to recover more than once in respect of the same loss.

11. Additional Provisions for European Data

11.1 The Customer agrees that Absolute Results may transfer Personal Data for the purpose of providing the Products and Services to the Customer in accordance with the SA to countries outside the European Economic Area (EEA). Absolute Results confirms that such Sub-Processors: (i) are located in a third country or territory recognised by the EU Commission to have an adequate level of protection; (ii) have entered into Standard Contractual Clauses with Absolute Results; or (iii) have other legally recognised appropriate safeguards in place.

Annex 1 – Technical and Organizational Security Measures

Information Security Program

Absolute Results maintains an information security program focused on the security and integrity of Customer Data. Absolute Results’ information security program includes administrative, technical, and operational controls appropriate for the size of its business and the types of information it processes.

Physical Protection

Absolute Results maintains physical and environmental controls on its corporate office spaces, including restricted access to the facility. Entry to Absolute Results’ buildings is secured via RFID security access card and alarms are enabled when the buildings are unoccupied.

Visitors are required to sign into a visitor log, and entry to data and development areas require supervision and a legitimate and specific business purpose. Data processing areas are separated by locking doors, and unauthorized access is strictly prohibited.

Physical access to corporate offices or data processing centers is revoked upon employee separation, and is reviewed on a semi-annual basis.

Network Security and Encryption

Absolute Results has implemented industry standard security controls to protect Customer Data from loss or unauthorized disclosure. Absolute Results implements network boundary protection mechanisms to its production systems.

Data is encrypted in transit and at rest.

Personal data is transmitted via SFTP or API. Point to point VPN tunnels are set up between AR offices and AWS Data Centres. No personal data is ever transmitted via email and is strictly prohibited. IP restriction prohibits access from any access outside of Absolute Results’ authorized locations.

Absolute Results’ AWS database instances use industry standard AES-256 encryption algorithm to encrypt the data. Each customer’s data set is partitioned within the database to ensure no cross contamination.

Monitoring

Absolute Results monitors its systems by logging security-related events, alerting on suspicious activity, and conducting further analysis on suspicious activity.

Transmission Control

System logs audit and track the transmission of personal data for both internal parties as well as receiving or sending to external parties. User audit logging is used within the platform to identify usage and activity.

Access to systems that contain personal data is restricted to authorized personnel and within each platform restricted to the mechanism of delivery required for the specific service function.

Logical Access Control

Access to Customer Data is restricted based on the least privilege principle. Access is issued via a documented access authorization process, and revoked as soon as practicable on personnel separation. Requests for access are recorded in an internal tracking tool and an audit log of permissions is stored within the platform. Periodic and annual reviews of audit logs are conducted.

Users are required to set their password at first login and it is prohibited to share, store, or transmit passwords at any time.

There is a minimum requirement of 8 characters, and weak or previously used passwords are rejected. Multi-factor authentication is enabled on all user accounts.

Personnel Security

Absolute Results ensures it hires skilled professionals who sign a confidentiality agreement, acceptable use of information systems agreement, and code of conduct. Annual training pertaining to data protection practices is mandatory for all employees, and personnel transfers result in access management changes based on least privilege and role.

Incident Management

Absolute Results maintains an information security incident management program that provides timely response and notification as appropriate to security incidents in order to protect Customer Data.

Backup and recovery exists as part of Absolute Results’ overall AWS Infrastructure along with multiple layers of redundancy. Backups are performed weekly at a minimum.

Anti-virus is maintained on workstations and servers, and scans are completed daily. Real-Time scanning is enabled on all systems for immediate threat protection, and all locations have firewalls with active subscriptions for up to date threat watch and management. Security patches and fixes for known system vulnerabilities are promptly implemented and updated.

Audit and Compliance

Absolute Results periodically reviews the security controls put in place by its third party providers and sub-processors to ensure that they have implemented adequate security controls to protect Customer Data that may be stored or accessed by its third party providers.

Audits of internal processes are conducted annually.

Annex 2 – List of Sub-Processors

Sub-Processor	Purpose	Location
Amazon Web Services, Inc.	Data Storage	Ireland
CDK Data Services, Inc.	Data Extraction	USA
Google Inc. (Dataprep)	Data Processing Tools	Global
Harvard Media Inc.	Digital Marketing	Canada
Look Graphic S.A.	Printing	Switzerland
Printing By Innovation Inc.	Printing	Canada
Solution Dynamics International Limited (Mailit4U)	Printing	Netherlands
Twilio Inc.	Campaign Deployment	USA and Ireland
Volie LLC	Call Centre Software	USA

Depending on the Customer’s geographical location and which products and services are being offered, some of the sub-processors listed above may not be applicable. For more information, please contact us.

ADDENDA SUR LE TRAITEMENT DES DONNÉES

Dernière mise à jour : 6 septembre 2022

Le présent addenda sur le traitement des données (« ATD ») est intégré par renvoi dans l’accord cadre de services (l’« ACS ») ou dans toute autre accord prévoyant, selon le cas, la prestation de produits ou services par Absolute Results (telle que définie ci-dessous) au Client (l’Accord et toute autre entente du même type, chacun étant un accord de services (« AS »). Le présent ATD est conclu à la date d’entrée en vigueur de l’AS.

Les termes définis qui ne sont pas définis autrement aux présentes ont le sens qui leur est donné dans l’AS, et tous les principes d’interprétation seront ceux qui sont énoncés dans l’AS.

« Absolute Results » désigne l’une ou l’autre des sociétés suivantes faisant partie du groupe de sociétés d’Absolute Results, lorsqu’une de ces sociétés est signataire d’un AS:

Absolute Results Sales and Marketing Ltd., une société constituée sous le régime des lois de l’Angleterre
Absolute Results (France) SAS, une société constituée sous le régime des lois de la France
Absolute Results (Schweiz) GmbH, une société constituée sous le régime des lois de la Suisse
Absolute Results Technologies (USA), Inc., une société constituée sous le régime des lois du Delaware, É.-U.
Absolute Results (Australia) Pty Ltd., une société constituée sous le régime des lois de l’Australie
Absolute Results Productions Ltd., une société constituée sous le régime des lois de la Colombie-Britannique, et toute autre société qui pourrait être constituée, à l’occasion, et faire partie du groupe de sociétés d’Absolute Results.

L’ATD complète l’AS et énonce les modalités qui s’appliquent lorsque des Données à caractère personnel (définies ci-dessous) font l’objet d’un Traitement (défini ci-dessous) par Absolute Results aux termes de l’AS. L’objectif de l’ATD est de faire en sorte que ce Traitement soit effectué conformément aux lois applicables, y compris à la Législation sur la protection des données de l’UE (définie ci-dessous), et dans le respect des droits et libertés des personnes physiques dont les Données à caractère personnel font l’objet d’un Traitement.

MODALITÉS APPLICABLES AU TRAITEMENT DE DONNÉES

Dans le cadre de la prestation des Produits et services au Client aux termes de l’AS, Absolute Results peut traiter des Données à caractère personnel pour le compte du Client. Absolute Results se conformera aux dispositions du présent ATD en ce qui concerne toute Donnée personnelle qu’elle traite.

Les termes en majuscules utilisés qui ne sont pas définis dans le présent ATD ont le même sens que celui qui leur est donné dans l’AS.

1. Définitions

1.1 Aux fins du présent addenda sur le traitement des données :

(a) « Absolute Results » désigne le groupe d’entités mondial impliqué dans l’Entreprise. Les obligations d’ABSOLUTE RESULTS aux termes de l’AS incombent uniquement à l’entité signataire de l’AS, tandis que les protections s’appliquent aussi à l’entité d’ABSOLUTE RESULTS qui est propriétaire de la propriété intellectuelle d’ABSOLUTE RESULTS ou qui agit à titre de sous-traitant des Produits et Services.

(b) «Société(e) affiliée(s)» a le même sens que celui qui lui est donné dans l’AS et, si ce terme n’est pas défini dans l’AS, il désigne toute autre entité qui, directement ou indirectement par l’entremise d’un ou de plusieurs intermédiaires, contrôle cette Partie, est contrôlée par cette Partie, ou est sous contrôle commun avec cette Partie. Aux fins du présent addenda sur le traitement des données et de l’AS, « Société affiliée » comprend aussi les entités qui sont associées ou liées, ou qui collaborent de manière formelle pour coordonner des activités commerciales ou mettre en commun des ressources avec la Partie concernée.

(c) « Responsable du traitement » désigne l’entité qui, seule ou conjointement avec d’autres, détermine les fins du Traitement de Données à caractère personnel et les moyens utilisés.

(d) « Client » désigne la partie à la fois à l’AS et au présent addenda sur le traitement des données, autre qu’Absolute Results, ayant accès aux Produits et services.

(e) « Données du Client » désigne toute information détenue ou utilisée par le Client ou fournie à Absolute Results par le Client dans le cadre de l’utilisation des Produits et services, y compris toute information dérivée de cette information.

(f) « Personne concernée » désigne la personne à laquelle les Données à caractère personnel se rapportent.

(g) « EEE » désigne l’Espace économique européen, lequel est composé des États membres de l’Union européenne et de la Norvège, de l’Islande et du Liechtenstein et, aux fins du présent addenda sur le traitement des données, le Royaume-Uni.

(h) « Législation sur la protection des données » désigne (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« Règlement général sur la protection des données » ou « RGPD »), tel que modifié ou remplacé; (ii) toute loi, tout règlement et toute législation subordonnée de l’État relativement au traitement de Données à caractère personnel et à la confidentialité des communications électroniques, tels que modifiés, remplacés ou mis à jour de temps à autre, y compris la Directive sur la vie privée et les communications électroniques (2002/58/CE) et les Règlements sur la vie privée et les communications électroniques (Directive CE) de 2003 (SI 2003/2426; et (iii) toutes les lois sur la protection des données de la Suisse et du Royaume-Uni; et la Consumer Privacy Act de la Californie (« CPAC ») et toute autre loi fédérale ou d’un État des É.-U. sur la protection des données.

(i) « Données à caractère personnel » désigne toute Donnée du Client relative à une personne physique identifiée ou identifiable; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment au moyen d’un identifiant, tel un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs facteurs propres à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.

(j) « Sous-traitant » désigne une entité qui traite des Données à caractère personnel pour le compte du Responsable du traitement.

(k) « Traitement » désigne toute opération ou tout ensemble d’opérations effectués ou non à l’aide de procédés automatisés et appliqués à des Données à caractère personnel, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

(l) « Produits et services » désigne, de façon non limitative, les Produits et Services suivants d’ABSOLUTE RESULTS, et comprend tous les Produits et Services de même nature qui peuvent être ajoutés à l’occasion par ABSOLUTE RESULTS :

(i) Produits et services associés au développement des affaires destinés aux concessionnaires par l’entremise du centre de développement des affaires virtuel et/ou des événements de vente privés d’ABSOLUTE RESULTS (« Événements et développement des affaires »);

(ii) Services d’encadrement, de formation et de conseils, en personne ou de façon virtuelle (« Services de formation »);

(iii) Produits et services associés à la Technologie d’AR (« Technologie »).

(m) « Autorité de contrôle » désigne une autorité publique indépendante qui est établie par un État membre de l’UE en vertu de la Législation sur la protection des données de l’UE.

2. Applicabilité de l’addenda sur le traitement des données

2.1 Applicabilité. Le présent ATD s’applique à tous les Clients dans la mesure où Absolute Results effectue le Traitement de Données à caractère personnel de Personnes concernées pour le compte d’un Client ou d’une Société affiliée d’un Client.

3. Détails du Traitement

3.1 Types de Données à caractère personnel faisant l’objet du Traitement. Les catégories de Données à caractère personnel sont déterminées par le Client, à son entière discrétion, et peuvent inclure, notamment : le prénom et le nom de famille; les coordonnées (c.-à-d. l’adresse de courriel, le numéro de téléphone, l’adresse physique); et des informations associées aux véhicules, y compris des informations sur les ventes, l’entretien et le financement.

3.2 Catégories particulières de Données à caractère personnel. La prestation des Produits et services ne nécessite pas la collecte ou le Traitement de catégories particulières de Données à caractère personnel. Si le Client choisit d’inclure ce type de données, il le fait à son entière discrétion et ces données peuvent inclure, notamment, des informations qui révèlent la race ou l’origine ethnique, les convictions politiques ou les croyances religieuses ou philosophiques, l’appartenance syndicale ou des données de santé.

3.3 Catégories de Personnes concernées. Les Catégories de Personnes concernées dont les Données à caractère personnel peuvent faire l’objet d’un Traitement en lien avec les Produits et services sont déterminées et contrôlées par le Client, à son entière discrétion, et peuvent inclure, notamment, les clients et clients potentiels du Client; les employés et entrepreneurs des clients potentiels et des clients du Client, et; les employés et entrepreneurs du Client.

3.4 Nature des opérations de Traitement. Absolute Results procèdera au Traitement des Données à caractère personnel selon ce qui est requis pour fournir les Produits et services aux termes de l’AS. Les opérations de Traitement exécutées sur les Données à caractère personnel dépendront de la portée des Produits et services du Client et de la Configuration du client pour son instance d’Absolute Results. Ces opérations de Traitement de Données à caractère personnel selon ce qui est requis pour permettre à Absolute Results de fournir les Produits et services peuvent inclure ce qui suit : la collecte, l’enregistrement, l’organisation, la conservation, l’utilisation, la modification, la communication, la transmission, l’interconnexion, l’extraction, la consultation, l’archivage et/ou la destruction.

4. Rôles et responsabilités

4.1 Rôles des Parties. Le client, à titre de Responsable du traitement, nomme Absolute Results à titre de Sous-traitant pour traiter les Données à caractère personnel pour le compte du Client. Le Client peut, dans certains cas, être un Sous-traitant, auquel cas le Client nomme Absolute Results à titre de Sous-traitant ultérieur du Client, ce qui ne modifie pas les obligations soit du Client ou d’Absolute Results en vertu du présent ATD, de sorte qu’Absolute Results demeurera un Sous-traitant à l’égard du Client dans un tel cas.

4.2 Fins limitées. Absolute Results effectuera le Traitement de Données à caractère personnel pour les fins énoncées dans l’AS et uniquement conformément aux instructions licites et documentées du Client, sauf si la loi applicable exige qu’il en soit autrement. L’AS et l’ATD énonce les instructions complètes du Client à Absolute Results à l’égard du Traitement de Données à caractère personnel, et tout traitement requis qui dépasse la portée de ces instructions (incluant les droits et obligations énoncés aux termes de l’AS) exigera une entente préalable écrite entre les parties.

4.3 Formation. Absolute Results fera en sorte que tous ses employés, mandataires et entrepreneurs concernés reçoivent une formation appropriée en ce qui concerne leurs responsabilités et obligations à l’égard du Traitement, de la protection et de la confidentialité des Données à caractère personnel.

4.4 Conformité. Absolute Results, à titre de Sous-traitant, s’est conformée et continuera de se conformer à toutes les lois sur la protection des renseignements personnels et sur la protection des données applicables, y compris, notamment, à la Législation sur la protection des données. En ce qui concerne les Données du client et les Produits et services, le Client, à titre de Responsable du Traitement, a l’obligation de s’assurer :

(a) qu’il s’est conformé, et qu’il continuera de se conformer, à toutes les lois sur la protection des renseignements personnels et sur la protection des données applicables, y compris, notamment, à la Législation sur la protection des données; et

(b) qu’il a, et qu’il continuera d’avoir, le droit de transférer les Données à caractère personnel à Absolute Results, ou de fournir à Absolute Results l’accès à celles-ci, aux fins de Traitement conformément aux modalités de l’AS et du présent ATD.

5. Sécurité

5.1 Sécurité. Absolute Results met en œuvre des mesures techniques et organisationnelles en tenant compte des règles de l’art, des coûts de la mise en œuvre, et de la nature, de la portée, du contexte et des fins visées par le traitement, ainsi que des risques d’une atteinte aux droits et libertés des Personnes concernées et de la gravité d’une telle atteinte. Ces mesures sont énumérées à l’Annexe 1 du présent ADT et sont conçues pour assurer un niveau de sécurité approprié, en tenant compte du risque, afin de protéger les Données à caractère personnel contre une destruction accidentelle ou illicite; une perte; une modification; une divulgation, un accès ou une utilisation non autorisé(e), (chacun étant un « Incident de sécurité »), conformément aux normes de sécurité d’Absolute Results, telles qu’énoncées dans l’AS.

5.2 Confidentialité du Traitement. Absolute Results fera en sorte que toute personne qu’elle autorise à effectuer le Traitement de Données à caractère personnel (y compris son personnel, ses mandataires, ses sous-traitants et ses Sous-traitants ultérieurs) soient soumis à un devoir de confidentialité adéquat (soit en vertu d’un contrat ou de la loi), lequel continuera de s’appliquer après la fin de leur emploi et/ou de leur relation contractuelle.

5.3 Incidents de sécurité. Dès qu’un Incident de sécurité qui pourrait toucher nos clients est porté à sa connaissance, Absolute Results en informera le client dans les meilleurs délais et conformément aux modalité de l’AS, mais dans un délai d’au plus soixante-douze (72) heures, et fournira en temps opportun l’information que le Client peut raisonnablement exiger pour permettre au Client de respecter son obligation de signaler toute violation de données en vertu de la Législation sur la protection des données. Absolute Results prendra des mesures pour identifier immédiatement la cause d’un tel Incident de sécurité et prendra des mesures pour la résoudre.

6. Sous-traitants ultérieurs

6.1 Sous-traitants ultérieurs. Le Client accepte qu’Absolute Results puisse engager une Société affiliée d’Absolute Results et des tiers sous-traitants (collectivement, les « Sous-traitants ultérieurs ») pour effectuer le Traitement de Données à caractère personnel pour le compte d’Absolute Results. Les Sous-traitants ultérieurs présentement engagés par Absolute Results et autorisés par le Client sont énumérés dans l’Annexe 2 au présent ATD. Absolute Results imposera à ces Sous-traitants ultérieurs des modalités sur la protection des données protégeant les Données à caractère personnel qui correspondent à celles énoncés dans le présent ATD et demeurera responsable pour toute violation de l’ATD causée par un Sous-traitant ultérieur.

6.2 Changements de Sous-traitants ultérieurs. Absolute Results peut, en donnant un avis d’au moins trente (30) jours au Client, ajouter des Sous-traitants ultérieurs ou les modifier. Le Client peut s’objecter à la nomination d’un Sous-traitant ultérieur additionnel à l’intérieur d’un délai de quatorze (14) jours civils à compter de la date de cet avis, auquel cas Absolute Results aura le droit de remédier à l’objection en exerçant une des options suivantes (selon le choix d’Absolute Results, à son entière discrétion) :

(a) Absolute Results annulera son projet d’utiliser le Sous-traitant ultérieur pour les Données à caractère personnel ou offrira une alternative pour fournir les Produits et services sans ce Sous-traitant ultérieur; ou

(b) Absolute Results prendra les mesures correctives demandées par le Client dans son objection (de manière à résoudre l’objection du Client) et procédera à utiliser le Sous-traitant ultérieur pour les Données à caractère personnel; ou

(c) Absolute Results peut cesser de fournir ou le Client peut convenir de ne pas utiliser (de façon temporaire ou permanente) l’aspect particulier des Produits et services qui impliquerait l’utilisation de ce Sous-traitant ultérieur pour les Données à caractère personnel, sous réserve d’une entente mutuellement convenue entre les parties afin d’ajuster la rémunération pour les Produits et services en tenant compte de la réduction de la portée des Produits et services. Si aucune des options ci-dessus n’est raisonnablement disponible et que l’objection n’a pas été résolue à la satisfaction mutuelle des parties dans les 30 jours qui suivent la réception de l’objection du Client par Absolute Results, l’une ou l’autre des parties peut résilier l’AS et le Client aura droit à un remboursement, au pro rata, pour les frais payés d’avance associés aux Produits et services qui n’ont pas été exécutés à la date de la résiliation.

7.Coopération

7.1 Droits des Personnes concernées. Absolute Results fournira une assistance raisonnable sur le plan commercial, y compris par le biais de mesures techniques et organisationnelles appropriées, dès que raisonnablement possible, pour permettre au Client de répondre à toute demande de renseignements, communication ou demande d’une Personne concernée cherchant à exercer ses droits en vertu de la Législation sur la protection des données applicable, y compris, selon le cas, son droit d’avoir accès aux données, de les faire rectifier, de les soumettre à des restrictions, de s’objecter, de les effacer ou de les transférer. Si une telle demande de renseignements ou une telle communication ou demande est faite directement à Absolute Results, Absolute Results en informera le Client dans les plus brefs délais et fournira tous les détails concernant la demande. Pour éliminer tout doute, il incombe au Client de répondre aux demandes de Personnes concernées ayant pour objet l’accès, une rectification, un verrouillage, une objection, l’effacement ou la portabilité de données impliquant les Données à caractère personnel de la Personne concernée.

7.2 Autorités de contrôle. Absolute Results informera le Client dans les meilleurs délais si une Autorité de contrôle ou une autorité chargée de l’application de la loi demande des renseignements ou la divulgation de Données à caractère personnel, lorsque cela ne lui est pas interdit par la loi.

7.3 Évaluations d’impact et consultations préalables en matière de protection des données. Dans la mesure requise par la Législation sur la protection des données, Absolute Results fournira au Client une assistance raisonnable aux fins des évaluations d’impact et/ou des consultations préalables liées à la protection des données auprès des Autorités de contrôle que le Client est tenu d’effectuer en vertu de la Législation sur la protection des données.

8. Rapports et audits de sécurité

8.1 Toute disposition concernant une attestation de sécurité ou un rapport d’audit (tel que SOC 2, Type II ou l’équivalent) aura lieu conformément aux droits du Client en vertu de l’AS. Si l’AS ne comprend pas une clause ayant pour objet les attestations de sécurité ou les rapports d’audit, Absolute Results fournira, à la demande du Client et sous réserve des clauses de confidentialité dans l’AS, un exemplaire de son rapport de sécurité le plus récent. Absolute Results permettra au Client (ou à un auditeur indépendant tiers du Client) d’effectuer, sur place, un audit des procédures pertinentes aux fins de la protection des Données à caractère personnel du Client, sous réserve de toute clause de confidentialité contenue dans l’AS. Le Client et Absolute Results discuterons et conviendront au préalable d’une date de début, de la portée et de la durée raisonnables de l’audit et des contrôles applicables à la sécurité et à la confidentialité pour l’audit; et Absolute Results se réserve le droit d’imposer des frais (selon les coûts raisonnablement encourus par Absolute Results) pour cet audit. Absolute Results fournira au Client, avant cet audit, plus de détails sur les frais applicables et la façon dont ils sont calculés.

9. Suppression et retour des Données du client

9.1 Suppression ou retour des données. À la fin de l’AS, Absolute Results conservera les Données à caractère personnel durant une période de deux (2) ans. Après cette période, ou avant la fin de cette période, à la demande du Client et conformément aux modalités de l’AS, Absolute Results supprimera, ou mettra à la disposition du Client pour qu’il puisse les récupérer, toutes les Données à caractère personnel pertinentes (y compris toute copie) en possession d’Absolute Results, sauf dans la mesure où Absolute Results est tenue en vertu de toute loi applicable de conserver une partie ou l’ensemble des Données à caractère personnel. Dans un tel cas, Absolute Results étendra les protections de l’AS et du présent ATD à ces Données à caractère personnel et limitera tout Traitement supplémentaire de ces Données à caractère personnel aux seules fins exigées par leur conservation, aussi longtemps qu’Absolute Results conserve les Données à caractère personnel.

9.2 Demandes de suppression des données. Toute demande de suppression des Données à caractère personnel que le Client formule avant la fin de la période de conservation indiquée dans la section 9.1 doit être faite à l’aide du formulaire prévu à cet effet : (https://forms.gle/rWQLojJ3sDQhuZVD6). Absolute Results répondra à ces demandes dans un délai de 30 jours et fournira au Client un Certificat de suppression

10. Dispositions diverses

10.1 Sauf s’il est modifié par le présent ATD, l’AS demeurera pleinement en vigueur.

10.2 En cas de contradiction entre l’AS et le présent ATD, les modalités de l’ATD auront préséance à l’égard des questions énoncées aux présentes.

10.3 Toute recours intenté en vertu du présent ATD est assujetti aux modalités, y compris, notamment, aux exclusions et limitations énoncées dans l’AS.

10.4 Les limitations de responsabilité énoncées dans l’AS s’appliquent à tous les recours intentés suite à toute violation des modalités du présent ADT.

10.5 Les parties conviennent que le Client sera responsable pour toute violation du présent ADT causée par les actes et les omissions ou la négligence de ses Sociétés affiliées, comme si ces actes, ces omissions ou cette négligence avait été commis par le Client lui-même.

10.6 Le Client n’a pas le droit d’être indemnisé plus d’une fois pour le même sinistre.

11. Clauses supplémentaires pour les données européennes

11.1 Le Client accepte qu’Absolute Results puisse transférer des Données à caractère personnel vers des pays à l’extérieur de l’Espace économique européen (EEE), afin de fournir les Produits et services au Client conformément à l’AS. Absolute Results confirme que de tels Sous-traitants ultérieurs : (i) sont situés dans un pays ou un territoire tiers qui est reconnu par la Commission européenne pour offrir un niveau de protection adéquat; ou (ii) ont convenu des clauses contractuelles types avec Absolute Results; ou (iii) ont mis en place d’autres mesures de protection appropriées légalement reconnues.

Annexe 1 – Mesures de Sécurité techniques et organisationnelles

Programme de sécurité de l’information

Absolute Results maintient un programme de sécurité de l’information axé sur la sécurité et l’intégrité des Données du Client. Le programme de sécurité de l’information d’Absolute Results inclut des contrôles administratifs, techniques et opérationnels appropriés pour la taille de l’entreprise et les types d’informations qu’elle traite.

Protection physique

Absolute Results maintient des contrôles physiques et de l’environnement de ses espaces au bureau chef, y compris en limitant l’accès à l’établissement. L’accès physique aux bâtiments d’Absolute Results est sécurisé grâce à une carte d’accès RFID (identification par radiofréquence) et les alarmes sont activées lorsque les bâtiments ne sont pas occupés.

Les visiteurs doivent signer un registre des visiteurs, et l’accès aux espaces de développement et de traitement des données exigent une supervision et des fins professionnelles légitimes et spécifiques. Les espaces consacrés au traitement des données sont séparés par des portes qui peuvent être verrouillées et l’accès non autorisé y est strictement interdit.

L’accès physique au bureau chef ou aux centres de traitement des données est révoqué lorsque l’employé quitte son emploi, et est réexaminé sur une base semestrielle.

Sécurité du réseau et Cryptage

Absolute Results a mis en œuvre des contrôles de sécurité conformes aux normes de l’industrie pour protéger les Données du Client contre la perte et la divulgation non autorisées. Absolute Results met en œuvre des mécanismes de protection des limites du réseau dans ses systèmes de production.

Les données sont cryptées en transit et entreposées.

Les données à caractère personnel sont transférées en SFTP (Protocole de Transfert de fichiers) ou API (interface de programmation d’application). Des tunnels site à site VPN sont mis en place entre les bureaux AR et les Centres de données AWS. La transmission des données à caractère personnel est strictement interdite et ne se fait jamais par courriel. Une restriction IP interdit l’accès à partir de tout accès à l’extérieur des centres autorisés d’Absolute Results.

Les instances de bases de données AWS d’Absolute Results utilisent l’algorithme de chiffrement AES-256 pour crypter les données. L’ensemble des données à caractère personnel de chaque client est divisé en partition à l’intérieur de la base de données pour éviter toute contamination croisée.

Surveillance

Absolute Results surveille ses systèmes et enregistre les événements liés à la sécurité, en générant des alertes en cas d’activité suspecte, et en analysant plus en détail l’activité suspecte.

Contrôle de transmission

Les journaux d’audit enregistrent et suivent la transmission de données à caractère personnel tant d’intervenants internes comme la réception ou la transmission à des intervenants externes. Des journaux d’audit d’utilisateurs sont utilisés dans la plateforme pour identifier l’usage et l’activité.

L’accès aux systèmes qui contiennent des données à caractère personnel est limité au personnel autorisé, et à l’intérieur de chaque plateforme, l’accès est limité au mécanisme de prestation du service spécifique.

Contrôle d’accès logique

L’accès aux Données du Client est limité selon le principe du moindre privilège. L’accès est autorisé par le biais d’un processus d’autorisation d’accès documenté. L’accès est révoqué dès que possible lorsque l’employé quitte son emploi. Les demandes d’accès sont enregistrées dans un outil de suivi interne et un journal d’audit d’autorisations est emmagasiné dans la plateforme. Des vérifications périodiques et annuelles des journaux d’audit sont effectuées.

Les utilisateurs doivent créer leurs mots de passe lors de la première connexion et il est interdit de partager, emmagasiner ou transmettre des mots de passe à tout moment.

Les mots de passe doivent contenir au minimum 8 caractères. Les mots de passe faibles ou utilisés auparavant seront rejetés. L’authentification multifacteur est activée sur tous les comptes d’utilisateur.

Sécurité du personnel

Absolute Results s’assure qu’elle embauche des professionnels compétents, lesquels signent une entente de confidentialité, une entente sur l’utilisation acceptable des systèmes d’information, et un code de conduite. Une formation annuelle en matière des pratiques de protection des données est obligatoire pour tous les employés, et les transferts de personnels entraînent des modifications dans la gestion des accès, selon le principe du moindre privilège et le rôle.

Gestion des incidents

Absolute Results maintient un programme de de gestion des incidents de sécurité de l’information qui fournit des notifications et intervient en temps opportun, selon le cas, lors des incidents de sécurité, afin de protéger les Données du Client.

La sauvegarde et la restauration sont fournies dans l’infrastructure globale AWS d’Absolute Results ainsi que plusieurs niveaux de redondance. La sauvegarde est exécutée de manière hebdomadaire au minimum.

Les postes de travail et les serveurs sont munis d’un logiciel antivirus, et l’analyse antivirus est exécutée quotidiennement. L’analyse antivirus est activée en temps réel et fournit une protection immédiate contre les menaces, et tous les centres ont des pare-feux activés dans la souscription pour une protection contre les menaces persistantes maintenue à jour. Des correctifs de sécurité et des corrections de bogues pour les vulnérabilités connues du système sont rapidement appliqués et mis à jour.

Audit et conformité

Absolute Results analyse et examine les contrôles de sécurité mis en place par ses tiers fournisseurs et sous-traitants ultérieurs, pour s’assurer qu’ils ont mis en œuvre des contrôles de sécurité adéquats, afin de protéger les Données du Client qui peuvent être stockés par ses tiers fournisseurs ou auxquelles ceux-ci peuvent accéder.

Les processus internes font l’objet des audits ou des vérifications annuels.

Annexe 2 – Liste des Sous-traitants ultérieurs

Sous-traitant ultérieur	Fin	Emplacement
Amazon Web Services, Inc.	Stockage de données	Irlande
CDK Data Services, Inc.	Extraction de données	É.-U.
Google Inc. (Dataprep)	Outils de traitement de données	Mondial
Harvard Media Inc.	Marketing numérique	Canada
Look Graphic S.A.	Impression	Suisse
Printing By Innovation Inc.	Impression	Canada
Solution Dynamics International Limited (Mailit4U)	Impression	Pays-Bas
Twilio Inc.	Déploiement de campagnes	É.-U. et Irlande
Volie LLC	Logiciels de centre d’appels	É.-U.

Selon l’emplacement géographique du Client et les produits et services offerts, certains des sous-traitants ultérieurs mentionnés ci-dessus pourraient ne pas s’appliquer. Pour plus d’informations, veuillez nous contacter.

DATENVERARBEITUNGSNACHTRAG

Zuletzt aktualisiert: 6. September 2022

Dieser Datenverarbeitungsnachtrag (“DPA”) gehört als Referenz zum Dienstleistungsrahmen vertrag („MSA”) oder jedem anderen Vertrag für die Lieferung von Produkten oder Dienstleistungen durch Absolute Results (wie unten beschrieben) an den Kunden (MSA und jeder andere Vertrag, jeder ein “Dienstleistungsvertrag, SA”). Dieser DPA ist ab Inkrafttreten des SA in Kraft.

Alle Fachbegriffe, die hier nicht anders definiert werden, haben die Bedeutung, die ihnen im SA gegeben wird, und alle Interpretationsprinzipien entsprechen denen, die im SA festgelegt sind.

„Absolute Results“ ist eins der folgenden Unternehmen, das zur Unternehmensgruppe Absolute Results gehört, in der das Unternehmen einen SA unterzeichnet hat:

Absolute Results Sales and Marketing Ltd., ein nach englischem Recht gegründetes Unternehmen
Absolute Results (Frankreich) SAS, ein nach französischem Recht gegründetes Unternehmen
Absolute Results (Schweiz) GmbH, ein nach Schweizer Recht gegründetes Unternehmen
Absolute Results Technologies (USA), Inc., ein nach den Gesetzen von Delaware, USA gegründetes Unternehmen
Absolute Results (Australien) Pty Ltd., ein nach den Gesetzen von Australien gegründetes Unternehmen
Absolute Results Productions Ltd., ein nach den Gesetzen von Britisch Kolumbien, Kanada, gegründetes Unternehmen und jedes andere Unternehmen, das von Zeit zu Zeit gegründet und Teil der Unternehmensgruppe Absolute Results wird.

Dieser DPA ist ein Nachtrag zum SA und legt die Bedingungen fest, die gelten, wenn personenbezogene Daten (unten beschrieben) von Absolute Results gemäß dem SA verarbeitet werden (unten beschrieben). Der Zweck des DPA ist sicherzustellen, dass diese Verarbeitung im Einklang mit geltenden Gesetzen, einschließlich der Europäischen Datenschutzgesetzgebung (unten beschrieben) und unter Beachtung der Rechte und Freiheiten von Individuen, deren personenbezogene Daten verarbeitet werden, durchgeführt wird.

DATENVERARBEITUNGSBEDINGUNGEN

Wenn Absolute Results dem Kunden die Produkte und Dienstleistungen gemäß dem SA liefert, kann Absolute Results personenbezogene Daten im Namen des Kunden verarbeiten. Absolute Results hält die Bestimmungen dieses DPA hinsichtlich der Verarbeitung von personenbezogenen Daten ein.

In Großbuchstaben benutzte, aber nicht definierte Begriffe in diesemDPA haben die gleiche Bedeutung wie im SA.

1. Definitionen

1.1 Zum Zweck dieses Datenverarbeitungsnachtrags:

(a) „Absolute Results“ ist die weltweite Gruppe von Unternehmen, die in dem Geschäft arbeitet. Die Verpflichtungen von Absolute Results im Rahmen des SA sind die Verpflichtungen des Unternehmens, das den SA unterzeichnet hat, nur solange sich der Schutz auch auf das Absolute Results-Unternehmen erstreckt, das Eigentümer des geistigen Eigentums von Absolute Results ist oder das als Subunternehmer der Produkte und Dienstleistungen handelt.

(b) „Verbundene(s) Unternehmen“ hat dieselbe Bedeutung wie im SA. Wenn es im SA nicht definiert ist, bedeutet der Begriff jedes andere Unternehmen, das direkt oder indirekt über einen oder mehrere Vermittler diese Partei kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit dieser Partei steht.

(c) „Datenkontrolleur“ ist die Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

(d) „Kunde“ist die Partei des SA und dieses Datenverarbeitungsnachtrags, die nicht zu Absolute Results gehört und Zugang zu den Produkten und Dienstleistungen hat.

(e) „Kundendaten” sind Informationen, die Absolute Results besitzt, benutzt oder vom Kunden im Lauf seiner Benutzung der Produkte und Dienstleistungen durch den Kunden geliefert bekommt, einschließlich Informationen, die sich aus diesen Informationen ergeben.

(f) „Die betroffene Person” ist das Individuum, auf das sich die personenbezogenen Daten beziehen.

(g) „EWR” ist der Europäische Wirtschaftsraum, der aus den Mitgliedstaaten der Europäischen Gemeinschaft und Norwegen, Island und Liechtenstein besteht, sowie zum Zweck dieses Datenverarbeitungsnachtrags das Vereinigte Königreich.

(h) „Datenschutzgesetzgebung” bedeutet (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EC („Datenschutzgrundverordnung” oder „DSGVO”), so wie sie geändert, ersetzt oder ausgewechselt ist; (ii) anwendbare nationale einführende Gesetze, Verordnungen und Sekundärgesetzgebung hinsichtlich der Verarbeitung personenbezogener Daten und der Vertraulichkeit von elektronischen Mitteilungen, wie geändert, ersetzt oder von Zeit zu Zeit aktualisiert, einschließlich der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Regelungen zur Privatsphäre und der elektronischen Kommunikation 2003 (SE 2003/2426- EG-Richtlinie); und (iii) alle geltenden Datenschutzgesetze der Schweiz und des Vereinigten Königreichs; und das Kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern („CCPA”) und jedes andere föderale oder staatliche Datenschutzgesetz in den USA.

(i) „Personenbezogene Daten” sind alle Kundendaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere anhand eines Kennzeichens wie z.B. Name, Identifikationsnummer, Ortangaben, Online-Identifikator oder anhand eines oder mehrerer besonderer Faktoren bezüglich der physischen, physiologischen, genetischen, mentalen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person.

(j) „Datenverarbeiter” ist eine Stelle, die personenbezogene Daten im Namen des Kontrolleurs verarbeitet.

(k) „Verarbeitung” ist jeder Vorgang oder eine Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, mit automatischen oder nicht automatischen Mitteln, wie Sammlung, Aufnahme, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Wiederherstellung, Einsichtnahme, Benutzung, Offenlegung durch Übertragung, Verbreitung oder eine andere Art der Verfügbarmachung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung.

(l) „Produkte und Dienstleistungen” sind u.a. folgende Produkte und Dienstleistungen von Absolute Results, einschließlich solcher Produkte und Dienstleistungen, die Absolute Results von Zeit zu Zeit hinzufügen kann:

(i) Produkte und Dienstleistungen im Zusammenhang mit der Geschäftsentwicklung für Händler durch ABSOLUTE RESULTS’ virtuelles Geschäftsentwicklungszentrum und/oder private Verkaufsveranstaltungen, ob in Anwesenheit oder virtuell (die „Veranstaltungen und Geschäftsentwicklung”);

(ii) Coaching, Schulung und Beratungsdienste, in Anwesenheit oder virtuell (die „Schulungsdienste”); und

(iii) Produkte und Dienstleistungen im Zusammenhang mit der AR- Technologie (die „Technologie”).

(m) „Kontrollbehörde” ist eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat gemäß der EU-Datenschutzgesetzgebung eingerichtet wird.

2. Anwendbarkeit des Datenverarbeitungsnachtrags

2.1 Anwendbarkeit. Dieser Datenverarbeitungsnachtrag ist auf alle Kunden anwendbar, soweit Absolute Results personenbezogene Daten von Betroffenen im Namen eines Kunden oder einer mit einem Kunden verbundenen Firma verarbeitet.

3. Details der Verarbeitung

3.1 Typen von personenbezogenen Daten, die verarbeitet werden. Die Kategorien von personenbezogenen Daten werden nach dem alleinigen Ermessen des Kunden festgelegt und können u.a. enthalten: Vor- und Nachname; Kontaktdaten (z.B. E-Mail, Telefon, Anschrift); und Fahrzeugdaten einschließlich Verkäufe, Service und Finanzinformation.

3.2 Besondere Kategorien personenbezogener Daten. Die Sammlung oder Verarbeitung besonderer Kategorien von personenbezogenen Daten ist für die Lieferung von Produkten undDienstleistungen nicht erforderlich. Falls der Kunde diese Art von Daten aufnehmen will, geschieht dies nach seinem alleinigen Ermessen und kann unter anderem Informationen über rassische/ethnische Herkunft, politische Ansichten oder religiösen oder philosophischen Glauben, Gewerkschaftsmitgliedschaft oder Gesundheitsdaten umfassen.

3.3 Kategorien von Betroffenen. Die Kategorien von Betroffenen, deren personenbezogene Daten im Zusammenhang mit den Produkten und Dienstleistungen verarbeitet werden können, werden allein nach dem Ermessen des Kunden bestimmt und kontrolliert und können u.a. enthalten: Kunden und zukünftige Kunden; Beschäftigte oder Auftragnehmer der Kunden und zukünftigen Kunden des Kunden, und Beschäftigte und Auftragnehmer des Kunden.

3.4 Art der Verarbeitungsvorgänge. Absolute Results verarbeitet personenbezogene Daten, die nötig sind, um die Produkte und Dienstleistungen gemäß dem SA zu liefern. Die an den personenbezogenen Daten vorgenommenen Verarbeitungsvorgänge hängen vom Umfang der Produkte und Dienstleistungen des Kunden und seiner Konfiguration des jeweiligen Absolute Results-Falls ab. Solche Verarbeitungsvorgänge von personenbezogenen Daten, die Absolute Results braucht, um die Produkte und Dienstleistungen zu liefern, können Folgendes umfassen: Sammeln, Aufnehmen, Organisieren, Speichern, Benutzen, Ändern, Offenlegen, Übertragen, Kombinieren, Wiederherstellen, Einsichtnahme, Archivieren und/oder Vernichten.

4. Rollen und Verantwortlichkeiten

4.1 Die Rollen der Parteien. Der Kunde, als Datenkontrolleur, bestellt Absolute Results als Datenverarbeiter, um die personenbezogenen Daten im Namen des Kunden zu verarbeiten. Unter bestimmten Umständen kann der Kunde Verarbeiter sein. In diesem Fall bestellt der Kunde Absolute Results als seinen Unterverarbeiter, womit sich weder die Verpflichtungen des Kunden noch die von Absolute Results im Rahmen dieses DPA ändern, da in diesem Fall Absolute Results Datenverarbeiter für den Kunden bleibt.

4.2 Zweckbindung. Absolute Results verarbeitet die personenbezogenen Daten zu dem im SA festgelegten Zweck und nur im Einklang mit den rechtmäßigen, dokumentierten Anweisungen des Kunden, es sei denn etwas anderes ist gesetzlich vorgeschrieben. Der SA und dieser DPA führen die gesamten Anweisungen des Kunden an Absolute Results bezüglich der Verarbeitung der personenbezogenen Daten auf, und eine Verarbeitung, die über den Umfang dieser Anweisungen hinaus erforderlich ist (einschließlich der im SA festgelegten Rechte und Pflichten) bedarf einer vorherigen schriftlichen Vereinbarung der Parteien.

4.3 Schulung. Absolute Results stellt sicher, dass seine relevanten Mitarbeiter, Agenten und Auftragnehmer für ihre Verantwortlichkeiten und Verpflichtungen bezüglich der Verarbeitung, des Schutzes und der Geheimhaltung personenbezogener Daten entsprechend geschult werden.

4.4 Compliance. Absolute Results, als Verarbeiter, beachtet jetzt und in Zukunft alle Gesetze zur Privatsphäre und zum Datenschutz, einschließlich u.a. der Datenschutzgesetzgebung. Der Kunde, als Datenkontrolleur, ist dafür verantwortlich, dass Folgendes im Zusammenhang mit Kundendaten und den Produkten und Dienstleistungen sichergestellt ist:

(a) Er beachtet jetzt und in Zukunft alle geltenden Gesetze zur Privatsphäre und zum Datenschutz, einschließlich der Datenschutzgesetzgebung; und

(b) er hat jetzt und in Zukunft das Recht, die personenbezogenen Daten an Absolute Results zu übermitteln und ihnen den Zugang zu ermöglichen, um sie gemäß dem SA und diesem DPAzu verarbeiten.

5. Sicherheit

5.1 Sicherheit. Absolute Results trifft geeignete technische und organisatorische Maßnahmen unter Berücksichtigung des neuesten Stands der Technik, der Einführungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung, sowie der in Wahrscheinlichkeit und Schwere unterschiedlichen Gefahr für die Rechte und Freiheiten der Betroffenen. Diese Maßnahmensind in Anhang 1 des DPA aufgelistet und sollen so ausgelegt sein, dass sie ein dem Risiko entsprechendes Sicherheitsniveau sicherstellen, um personenbezogene Daten vor ungewollter oder ungesetzlicher Vernichtung, Verlust, Änderung, unerlaubter Offenlegung, Zugang oder Benutzung (jedes ein „Sicherheitsvorfall“) und im Einklang mit den Sicherheitsstandards von Absolute Results, die im SA aufgeführt sind, zu schützen.

5.2 Vertraulichkeit der Verarbeitung. Absolute Results muss sicherstellen, dass jeder, der von ihnen die Genehmigung erhält, personenbezogene Daten zu verarbeiten (einschließlich Belegschaft, Agenten, Subunternehmer und Unterauftragsverarbeiter) einer entsprechenden Geheimhaltungsverpflichtung unterliegt (wobei es sich um eine vertragliche oder satzungsgemäße Verpflichtung handeln kann), die ihr Arbeitsverhältnis und/oder ihre vertragliche Beziehung überdauert.

5.3 Sicherheitsvorfälle. Sobald ein Sicherheitsvorfall bekannt wird, welcher den Kunden betreffen könnte, benachrichtigt Absolute Results den Kunden so schnell wie möglich und gemäß dem SA, spätestens nach zweiundsiebzig (72) Stunden, und übermittelt dem Kunden angemessene Informationen, damit dieser alle für den Fall eines Datenlecks erforderlichen Berichtsauflagen gemäß der geltenden Datenschutzgesetzgebung erfüllen kann. Absolute Results unternimmt die nötigen Schritte, um unverzüglich Maßnahmen zu finden und in Gang zu setzen, um die Ursache des Sicherheitsvorfalls beizulegen.

6. Unterauftragsverarbeitung

6.1 Unterauftragsverarbeiter. Der Kunde willigt ein, dass Absolute Results mit Absolute Results verbundene Firmen und als Unterauftragsverarbeiter auftretende Drittparteien beauftragt (gemeinsam „Unterauftragsverarbeiter“), um die personenbezogenen Daten im Auftrag von Absolute Results zu verarbeiten. Die von Absolute Results beauftragten und vom Kunden genehmigten Unterauftragsverarbeiter sind in Anhang 2 dieses DPA aufgeführt. Absolute Results verpflichtet diese Unterauftragsverarbeiter zu Datenschutzbedingungen, die die personenbezogenen Daten nach dem für diesen DPA geltenden Standard schützen, und haftet für jeden Verstoß gegen den DPA, der durch einen Unterauftragsverarbeiter begangen wird.

6.2 Änderungen von Unterauftragsverarbeitern Absolute Results kann, nachdem der Kunde mindestens dreißig (30) Tage vorher benachrichtigt wurde, Unterauftragsverarbeiter hinzufügen oder ändern. Der Kunde kann gegen die Beauftragung eines zusätzlichen Unterauftragsverarbeiters binnen vierzehn (14) Kalendertagen ab dieser Benachrichtigung widersprechen. In diesem Fall hat Absolute Results folgende Möglichkeiten, auf diesen Widerspruch zu reagieren (nach eigenem Ermessen):

(a) Absolute Results gibt den Plan, den Unterauftragsverarbeiter für die personenbezogenen Daten zu benutzen, auf oder bietet eine Alternative an, um die Produkte und Dienstleistungen ohne diesen Unterauftragsverarbeiter zu liefern; oder
(b) Absolute Results trifft die vom Kunden bei seinem Widerspruch verlangten Korrekturmaßnahmen (wodurch der Widerspruch gegenstandslos wird) und benutzt den Unterauftragsverarbeiter weiter für die personenbezogenen Daten; oder
(c) Absolute Results kann die Lieferung dieses besonderen Aspekts der Produkte und Dienstleistungen, an dem dieser Unterauftragsverarbeiter im Zusammenhang mit den personenbezogenen Daten beteiligt wäre, (zeitweise oder dauerhaft) einstellen, oder der Kunde kann einwilligen, dass dieser Aspekt nicht benutzt wird. In diesem Fall bedarf es einer gegenseitigen Vereinbarung der Parteien, um die Vergütung für die Produkte und Dienstleistungen in Anbetracht ihres geringeren Umfangs anzupassen. Wenn keine der obigen Möglichkeiten auf annehmbare Art verfügbar ist und der Widerspruch nicht innerhalb von 30 Tagen nach Erhalt des Einspruchs des Kunden durch Absolute Results zur beiderseitigen Zufriedenheit beigelegt ist, kann jede der Parteien den SA beenden, und der Kunde hat ein Recht auf die Rückzahlung des entsprechenden Anteils an den bereits gezahlten Gebühren für die bis zur Beendigung noch nicht ausgeführten Produkte und Dienstleistungen.

7. Zusammenarbeit

7.1 Rechte des Betroffenen Absolute Results leistet geschäftlich vertretbare Hilfe, wie z.B. geeignete technische und organisatorische Maßnahmen in durchführbarem Maß, um es dem Kunden zu ermöglichen, auf Anfragen, Mitteilungen oder Bitten eines Betroffenen zu reagieren, der(die) seine oder ihre Rechte gemäß dem geltenden Datenschutzrecht ausüben will, einschließlich der Rechte auf Zugang, Korrektur, Einschränkung, Widerspruch, Löschung oder Daten-Portabilität, je nach vorliegendem Fall. Falls die Anfrage, Mitteilung oder Forderung direkt an Absolute Results gestellt wird, informiert Absolute Results den Kunden unverzüglich unter Übermittlung der vollständigen Details zu dem Ersuchen. Um Zweifel auszuräumen, ist der Kunde verantwortlich für die Beantwortung der Bitte des Betroffenen um Zugang, Korrektur, Einschränkung, Widerspruch, Löschung oder Daten-Portabilität im Zusammenhang mit den personenbezogenen Daten des Betroffenen.

7.2 Kontrollbehörden Absolute Results benachrichtigt den Kunden so schnell wie möglich, wenn eine Kontroll- oder Strafverfolgungsbehörde eine Anfrage oder Bitte um Offenlegung von personenbezogenen Daten stellt, wenn dies nicht gesetzlich verboten ist.

7.3 Datenschutz-Folgenabschätzung und vorherige Rücksprache. Absolute Results versorgt den Kunden, soweit es die Datenschutzgesetzgebung vorschreibt, mit der entsprechenden Hilfe bei Datenschutz-Folgeabschätzungen und/oder vorherigen Absprachen mit Kontrollbehörden, zu denen der Kunde gemäß der Datenschutzgesetzgebung verpflichtet ist.

8. Sicherheitsberichte und Audits

8.1 Die Bereitstellung von Sicherheitsbescheinigungen oder Audit-Berichten (wie SOC 2, Typ II oder ähnliches) geschieht im Einklang mit den Rechten des Kunden gemäß dem SA. Wenn der SA keine Bestimmung zu Sicherheitsbescheinigungen oder Auditrechten enthält, liefert Absolute Results eine Kopie seines neuesten Sicherheitsberichts auf schriftliche Bitte des Kunden und gemäß den Geheimhaltungsbestimmungen des SA. Absolute Results genehmigt, dass der Kunde (oder der unabhängige Drittpartei-Auditor des Kunden) ein Audit der Verfahren, die für den Schutz der personenbezogenen Daten des Kunden von Bedeutung sind, gemäß den Geheimhaltungsbestimmungen des SA in der Anlage durchführt. Der Kunde und Absolute Results besprechen und einigen sich im Voraus über das geeignete Datum für den Beginn, den Umfang und die Dauer und die für das Audit geltenden Sicherheits- und Vertraulichkeitskontrollen; und Absolute Results behält sich das Recht vor, eine Gebühr für ein solches Audit (auf der Grundlage der entsprechenden von Absolute Results ausgelegten Kosten) zu erheben. Absolute Results liefert dem Kunden vor einem solchen Audit die Details zur Gebühr und Berechnungsgrundlage.

9. Löschung oder Rückgabe von Kundendaten

9.1 Löschung oder Rückgabe von Daten. Absolute Results bewahrt die personenbezogenen Daten während einer Zeitspanne von zwei (2) Jahren nach Beendigung des SA auf. Nach Ablauf dieser Zeitspanne oder auf früheren Wunsch des Kunden löscht Absolute Results in Übereinstimmung mit den Bestimmungen des SA alle relevanten personenbezogenen Daten (einschliesslich Kopien), die sich im Besitz von Absolute Results befinden, oder gibt diese dem Kunden wieder zurück, es sei denn, Absolute Results ist nach geltendem Recht verpflichtet, einige oder alle dieser personenbezogenen Daten aufzubewahren. In einem solchen Fall erweitert Absolute Results die Schutzmaßnahmen des SA und dieses DPA auf diese personenbezogenen Daten und beschränkt weitere Verarbeitungen dieser personenbezogenen Daten auf solche begrenzten Zwecke, die die Speicherung erfordern, so lange wie Absolute Results die personenbezogenen Daten aufbewahrt.

9.2 Antrag zur Löschung von Daten. Anträge des Kunden zur Löschung von personenbezogenen Daten vor Ablauf der in Absatz 9.1 genannten Aufbewahrungsfrist müssen anhand des folgenden Formulars gestellt werden: (https://forms.gle/rWQLojJ3sDQhuZVD6). Absolute Results kommt solchen Anträgen innerhalb von 30 Tagen nach und überreicht dem Kunden nach Ausführung eine Bestätigung der Datenlöschung.

10. Verschiedenes

10.1 Außer den Änderungen durch diesen DPA bleibt der SA voll in Kraft.

10.2 Bei einem Konflikt zwischen dem SA und diesem DPA gelten die Bestimmungen dieses DPA für die hier aufgeführten Angelegenheiten.

10.3 Ansprüche im Zusammenhang mit diesem DPA unterliegen den Bedingungen, einschließlich aber nicht nur der Ausschlüsse und Einschränkungen, die im SA aufgeführt sind.

10.4 Die im SA aufgeführten Haftungsbeschränkungen betreffen alle Ansprüche im Zusammenhang mit Verstößen gegen die Bedingungen dieses DPA.

10.5 Die Parteien vereinbaren, dass der Kunde für Verstöße gegen diesen DPA, die durch Handlungen und Unterlassungen oder Fahrlässigkeit der mit ihm verbunden Unternehmen begangen werden, haftet, als ob diese Handlungen, Unterlassungen oder Fahrlässigkeit von ihm selbst begangen worden wären.

10.6 Im Zusammenhang mit demselben Verlust hat der Kunde nur einmal ein Recht auf Entschädigung.

11. Zusätzliche Bestimmungen für europäische Daten

11.1 Der Kunde willigt ein, dass Absolute Results personenbezogene Daten zum Zweck der Lieferung der Produkte und Dienstleistungen an den Kunden gemäß dem SA in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln kann. Absolute Results bestätigt, dass solche Unterauftragsverarbeiter: (i) ihren Sitz in einem Drittland oder -gebiet haben, dessen angemessenes Schutzniveau von der EU-Kommission anerkannt ist; (ii) mit Absolute Results Standardvertragsklauseln abgeschlossen haben; oder (iii) andere gesetzlich anerkannte geeignete Sicherheitsmaßnahme eingerichtet haben.

Anhang 1 – Technische und organisatorische Sicherheitsmaßnahmen

Programm zur Informationssicherheit

Absolute Results verfügt über ein Informationssicherheitsprogramm mit Schwerpunkt auf der Sicherheit und Integrität der Kundendaten. Das Informationssicherheitsprogramm von Absolute Results umfasst administrative, technische und betriebliche Kontrollen, die der Größe des Unternehmens und den von ihm verarbeiteten Informationsarten angepasst sind.

Physischer Schutz

Absolute Results führt physische Kontrollen und Umweltkontrollen an den Sitzen des Unternehmens durch, einschließlich des eingeschränkten Zugangs zu der Anlage. Der Eingang zu den Gebäuden von Absolute Results ist durch eine RFID-Karte gesichert, und Alarme sind eingeschaltet, wenn die Gebäude nicht besetzt sind.

Besucher müssen sich in eine Besucherliste eintragen, und der Zugang zu Daten- und Entwicklungsbereichen sind überwacht und nur für berechtigte und besondere geschäftliche Zwecke möglich. Die Bereiche für Datenverarbeitung sind durch selbstverriegelnde Türen abgetrennt, und nicht genehmigter Zugang ist streng verboten.

Der physische Zugang zu Unternehmensbüros oder Datenverarbeitungszentren ist nach Beendigung des Arbeitsverhältnisses aufgehoben und wird halbjährlich kontrolliert.

Netzwerksicherheit und Verschlüsselung

Absolute Results hat industriestandardmäßige Sicherheitskontrollen eingerichtet, um Kundendaten gegen Verlust oder unerlaubte Offenlegung zu schützen. Absolute Results richtet Netzwerkbegrenzungsschutzmechanismen für seine Produktionssysteme ein.

Die Daten sind bei der Übermittlung und im Speicher verschlüsselt.

Personenbezogene Daten werden über SFTP oder API übermittelt. Punkt-zu-Punkt VPN-Tunnels werden zwischen AR-Offices und AWS-Datenzentren eingerichtet. Personenbezogene Daten werden nieverbietetmals per E-Mail übermittelt, dies ist streng verboten. Die IP-Einschränkung den Zugang über Eingänge außerhalb der genehmigten Bereiche von Absolute Results.

Die AWS-Datenbankinstanz von Absolute Results benutzt industriestandardmäßige AES-256-Verschlüsselungsalgorythmen für die Datenverschlüsselung. Jeder Kundendatensatz ist innerhalb der Datenbank abgeteilt, um jede Überkreuzkontamination zu vermeiden.

Monitoring

Absolute Results überwacht seine Systeme, indem über sicherheitsrelevante Vorfälle Buch geführt wird, auf verdächtige Aktivitäten aufmerksam gemacht wird und sie weiter untersucht werden.

Übermittlungskontrolle

Systemprotokolle prüfen und verfolgen die Übermittlung von personenbezogenen Daten sowohl für interne Parteien als auch den Empfang oder die Sendung an externe Parteien. Ein Benutzerprüfprotokoll wird innerhalb der Plattform benutzt, um die Benutzung und Aktivität zu identifizieren.

Der Zugang zu Systemen, die personenbezogene Daten enthalten, ist auf autorisiertes Personal und innerhalb jeder Plattform auf den Liefermechanismus, der für die spezifische Service-Funktion erforderlich ist, beschränkt.

Kontrolle des logischen Zugangs

Der Zugang zu Kundendaten ist auf der Grundlage des Least-Privilege-Prinzips eingeschränkt. Der Zugang wird über ein Verfahren der dokumentierten Zugangsgenehmigung bewilligt und nach der Trennung von Personal so schnell wie möglich eingestellt. Bitten um Zugang werden in einem internen Trackingtool aufgezeichnet, und in der Plattform wird ein Prüfprotokoll für Genehmigungen gespeichert. Regelmäßige und jährliche Überprüfungen von Prüfprotokollen werden durchgeführt.

Die Benutzer werden aufgefordert, beim ersten Login ein Passwort einzurichten, und es ist verboten, Passwörter zu teilen, zu speichern oder zu übermitteln.

Das Passwort muss aus mindestens 8 Zeichen bestehen, schwache oder bereits benutzte Passwörter werden zurückgewiesen. Eine Multi-Faktor-Authentifizierung ist für alle Benutzerkonten aktiviert.

Persönliche Sicherheit

Absolute Results versichert, dass gut ausgebildete Fachleute eingestellt werden, die eine Geheimhaltungsvereinbarung, eine Vereinbarung über die zulässige Benutzung von Informationssystemen und einen Ethik-Kodex unterzeichnen. Für alle Beschäftigten ist eine jährliche Schulung in Datenschutzpraktiken vorgeschrieben, und persönliche Transfers führen zu Änderungen im Zugangsmanagement auf der Basis von Least Privilege und Rolle.

Vorfalls-Management

Absolute Results verfügt über ein Programm des Informationssicherheitsvorfalls-Management, das die für Sicherheitsvorfälle angemessene schnelle Reaktion und Benachrichtigung ermöglicht, um die Kundendaten zu schützen.

Backup und Wiederherstellung ist Teil der gesamten AWS-Infrastruktur von Absolute Results, sowie verschiedenste Redundanzebenen. Backups werden mindestens einmal wöchentlich ausgeführt.

Arbeitsplätze und Server verfügen über Antivirus-Programme, und täglich werden Scans durchgeführt. Echtzeit-Scanning ist als unmittelbarer Bedrohungsschutz in allen Systemen eingerichtet, und alle Bereiche haben Firewalls mit aktiven Abonnements für Überwachung aktueller Bedrohungen und Management. Sicherheits-Patchs und Korrekturen für bekannte Schwachstellen des Systems werden sofort eingerichtet und aktualisiert.

Audit und Compliance

Absolute Results prüft regelmäßig die Sicherheitskontrollen seiner Drittpartei-Anbieter und Unterauftragsverarbeiter, um sicherzustellen, dass sie angemessene Sicherheitskontrollen eingerichtet haben, um die Kundendaten zu schützen, zu denen ihre Drittpartei-Anbieter Zugang haben oder die sie speichern.

Audits interner Prozesse werden jährlich durchgeführt.

Anhang 2 – Liste von Unterauftragsverarbeitern

Unterauftragsverarbeiter	Zweck	Standort
Amazon Web Services, Inc.	Datenspeicherung	Irland
CDK Data Services, Inc.	Datenextraktion	USA
Google Inc. (Dataprep)	Datenverarbeitungs-Tools	Global
Harvard Media Inc.	Digital Marketing	Kanada
Look Graphic S.A.	Druck	Schweiz
Printing By Innovation Inc.	Druck	Kanada
Solution Dynamics International Limited (Mailit4U)	Druck	Niederlande
Twilio Inc.	Campaign Deployment	USA und Irland
Volie LLC	Call-Center Software	USA

Je nach Standort des Kunden und den angebotenen Produkten und Dienstleistungen kann es sein, dass einige der oben aufgeführten Unterauftragsverarbeiter nicht anwendbar sind. Für weitere Informationen nehmen Sie bitte mit uns Kontakt auf.

GEGEVENSVERWERKINGSADDENDUM

Laatst bijgewerkt op: 6 september 2022

Dit gegevensverwerkingsaddendum (“DPA”) is door verwijzing opgenomen in de masterservicesovereenkomst (de “MSA”) of enige andere overeenkomst voor de levering van producten of diensten door Absolute Results (volgens de onderstaande definitie), aan de klant (de MSA en enige andere dergelijke overeenkomst, ieder een “SA” genoemd). Dit DPA wordt aangegaan op de ingangsdatum van de SA.

Enige specifieke termen die in dit document niet worden gedefinieerd, hebben de betekenis die eraan wordt gegeven in de SA, en alle toepasselijke interpretatiebeginselen zijn degene die uiteengezet worden in de SA.

“Absolute Results” betekent eender welke van de volgende bedrijven die deel uitmaken van de Absolute Results-bedrijvengroep, waarbij dat bedrijf ook de ondertekenaar is van een SA:

Absolute Results Sales and Marketing Ltd., een bedrijf opgericht naar het recht van Engeland;
Absolute Results (France) SAS, een bedrijf opgericht naar het recht van Frankrijk;
Absolute Results (Schweiz) GmbH, een bedrijf opgericht naar het recht van Zwitserland;
Absolute Results Technologies (USA), Inc., een bedrijf opgericht naar het recht van Delaware, VS;
Absolute Results (Australia) Pty Ltd., een bedrijf opgericht naar het recht van Australië;
Absolute Results Productions Ltd., een bedrijf opgericht naar het recht van de provincie Brits-Columbia, Canada, en enig ander bedrijf dat van tijd tot tijd kan worden opgericht en deel gaat uitmaken van de Absolute Results-bedrijvengroep.

Dit DPA is een aanvulling op de SA en omvat de toepasselijke voorwaarden bij de verwerking van persoonlijke gegevens (volgens de onderstaande definitie) door Absolute Results krachtens de SA.

De doelstelling van het DPA is ervoor te zorgen dat de verwerking wordt uitgevoerd in overeenstemming met de toepasselijke wetgeving, inclusief de gegevensbeschermingswetgeving van de EU (zoals hierna gedefinieerd), en met inachtneming van de rechten en vrijheden van iedereen wiens persoonlijke gegevens worden verwerkt.

GEGEVENSVERWERKINGSTERMINOLOGIE

Bij het krachtens deze SA leveren van producten en diensten aan een klant, kan Absolute Results namens de klant persoonlijke gegevens verwerken. Absolute Results leeft daarbij de bepalingen van dit DPA na met betrekking tot haar verwerking van persoonlijke gegevens van eender welke aard.

Termen met een hoofdletter maar zonder definitie in dit DPA hebben dezelfde betekenis als in de SA.

1. Definities

1.1 Voor de toepassing van dit gegevensverwerkingsaddendum hebben de onderstaande termen de volgende betekenis:

(a) “Absolute Results” betekent de in het bedrijf actieve wereldwijde groep van ondernemingen. De verplichtingen van Absolute Results krachtens de SA zijn alleen de verplichtingen van de ondertekenaar van de SA wanneer de beschermingen zich eveneens uitbreiden tot de Absolute Results-entiteit die eigenaar is van de intellectuele eigendom van Absolute Results of die optreedt als aannemer van de producten en diensten.

(b) “Gelieerd(e) bedrijf/bedrijven” betekent hetzelfde als uiteengezet in de SA en, indien de term er niet in gedefinieerd wordt, betekent hij enige andere entiteit die, direct of indirect via één of meerdere tussenperso(o)n(en) die partij controleert, erdoor wordt gecontroleerd of er samen mee wordt gecontroleerd. Voor de toepassing van dit gegevensverwerkingsaddendum en van de SA, omvat “Gelieerd bedrijf” eveneens entiteiten die geassocieerd zijn of een verband hebben met de desbetreffende partij, of die formeel samenwerken om bedrijfsactiviteiten te coördineren of middelen samen te brengen.

(c) “Controleur” betekent de entiteit die, alleen of samen met andere, de doelstellingen en middelen voor de verwerking van persoonlijke gegevens vaststelt.

(d) “Klant” betekent de partij die niet overeenkomt met Absolute Results in zowel de SA als het onderhavige gegevensverwerkingsaddendum met toegang tot de producten en diensten.

(e) “Klantgegevens” betekent alle informatie die bijgehouden of gebruikt wordt door of door de klant verschaft wordt aan Absolute Results tijdens het gebruik door de klant van de producten en diensten, inclusief enige van die informatie afgeleide informatie.

(f) “Gegevenssubject” betekent de natuurlijke persoon op wie de persoonlijke gegevens betrekking hebben.

(g) “EER” betekent de Europese Economische Ruimte, die bestaat uit de lidstaten van de Europese Unie en Noorwegen, IJsland en Liechtenstein, én ook, in het kader van dit gegevensverwerkingsaddendum, het Verenigd Koninkrijk.

(h) “Gegevensbeschermingswetgeving” betekent (i) Verordening 2016/679 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen inzake de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, en houdende intrekking van Richtlijn 95/46/EG (“General Data Protection Regulation/Algemene verordening gegevensbescherming of “GDPR/AVG”), zoals gewijzigd of vervangen; (ii) enige toepasselijke nationale uitvoeringswetten, reglementen en secundaire wetgeving betreffende de verwerking van persoonlijke gegevens en de vertrouwelijkheid van elektronische communicatie, zoals van tijd tot tijd gewijzigd, vervangen of bijgewerkt, inclusief de Richtlijn inzake privacy en elektronische communicatie (2002/58/EG) en de regelgeving van 2003 inzake privacy en elektronische communicatie (EG-richtlijn) (SI 2003/2426); en (iii) alle toepasselijke gegevensbeschermingswetten van Zwitserland en het Verenigd Koninkrijk; en de California Consumer Privacy Act (“CCPA” of consumentenbeschermingswet van Californië), en alle andere toepasselijke federale of staatswetgeving inzake gegevensbescherming in de VS.

(i) “Persoonlijke gegevens/persoonsgegevens” betekent de klantgegevens met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon; een identificeerbare natuurlijke person is iemand die, direct of indirect, kan worden geïdentificeerd, in het bijzonder door verwijzing naar een identificatiemiddel zoals een naam, identificatienummer, locatiegegevens, of een online-identificator, of naar één of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon.

(j) “Verwerker” betekent een entiteit die namens de controleur persoonlijke gegevens verwerkt.

(k) “Verwerking” betekent een handeling of reeks handelingen al dan niet automatisch uitgevoerd op persoonlijke gegevens, zoals de verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, ophaling, raadpleging, gebruikmaking, bekendmaking via verzending, verspreiding of anderszins, afstemming of combinatie, beperking, verwijdering of vernietiging.

(l) “Producten en diensten” betekent, zonder beperkingen, de onderstaande producten en diensten van Absolute Results, en omvat eveneens alle producten en diensten die van tijd tot tijd door Absolute Results kunnen worden toegevoegd:

(i) producten en diensten in verband met commerciële ontwikkeling voor autobedrijven via ABSOLUTE RESULTS’ virtuele bedrijfsontwikkelingscentrum en/of privéverkoop-evenementen, persoonlijk of virtueel (de “Evenementen- en bedrijfsontwikkeling”);

(ii) coaching, opleidings- en adviesdiensten, persoonlijk of virtueel (de “Opleidingsdiensten”); en

(iii) producten en diensten in verband met AR-technologie (de “Technologie”).

(m) “Toezichthoudende autoriteit” betekent een onafhankelijke openbare instantie opgericht door een lidstaat van de EU krachtens de gegevensbeschermingswetgeving van de EU.

2. Toepasselijkheid van gegevensverwerkingsaddendum

2.1 Toepasselijkheid. Dit DPA geldt voor alle klanten in de mate dat Absolute Results namens een klant of een gelieerd bedrijf van een klant persoonlijke gegevens van gegevenssubjecten verwerkt.

3. Bijzonderheden van de verwerking

3.1 Soorten verwerkte persoonsgegevens. De categorieën persoonsgegevens worden door de klant naar eigen goeddunken bepaald en kunnen onder andere, zonder beperkingen, het volgende omvatten: voor- en achternaam; contactgegevens (bijv. e-mail, telefoon, adres); en voertuiggegevens, inclusief verkoop-, service- en financierings-informatie.

3.2 Speciale categorieën van persoonsgegevens. Speciale categorieën van persoonsgegevens hoeven niet verzameld of verwerkt te worden voor de levering van producten en diensten. Beslist de klant toch om dit soort gegevens op te nemen, dan doet hij dat naar eigen goeddunken en kunnen de gegevens onder andere, zonder beperking, informatie bevatten betreffende ras of etnische oorsprong, politieke, religieuze of filosofische overtuigingen, lidmaatschap van een vakbond of gezondheidsgegevens.

3.3 Categorieën gegevenssubjecten. De categorieën van gegevenssubjecten van wie in verband met de producten en diensten persoonlijke gegevens mogen worden verwerkt worden naar eigen goeddunken bepaald en gecontroleerd door de klant en kunnen onder andere, zonder beperkingen, het volgende omvatten: bestaande en potentiële klanten van de klant, medewerkers en aannemers van bestaande en potentiële klanten van de klant, en medewerkers en aannemers van de klant.

3.4 Aard van verwerkingen. Absolute Results verwerkt persoonsgegevens zoals nodig om krachtens de SA de producten en diensten te leveren. De op de persoons-gegevens uitgevoerde verwerkingen hangen af van het bereik van de producten en diensten van de klant en van de klantconfiguratie van diens dossier bij Absolute Results. Dergelijke noodzakelijke verwerkingen van persoonlijke gegevens door Absolute Results voor de levering van producten en diensten kunnen het volgende omvatten: verzameling, registratie, organisatie, opslag, gebruikmaking, wijziging, bekendmaking, overdracht, combinatie, ophaling, raadpleging, archivering en/of vernietiging.

4. Functies en verantwoordelijkheden

4.1 Functies van de partijen. De klant, als controleur, stelt Absolute Results aan als verwerker om namens de klant de persoonsgegevens te verwerken. In sommige gevallen kan de klant een verwerker zijn; in dat geval stelt de klant Absolute Results aan als de onderverwerker van de klant, die de verplichtingen van de klant of Absolute Results krachtens dit DPA niet zal wijzigen, aangezien Absolute Results in dat geval een verwerker zal blijven ten aanzien van de klant.

4.2 Beperking van de doeleinden. Absolute Results verwerkt persoonsgegevens voor de in de SA uiteengezette doeleinden en uitsluitend in navolging van de wettige, gedocumenteerde instructies van de klant, tenzij anderszins vereist door de toepasselijke wetgeving. De SA en dit DPA bevatten volledige instructies van de klant aan Absolute Results met betrekking tot de verwerking van persoonsgegevens, en voor enige verwerking die vereist is buiten het bereik van die instructies (inclusief de in de SA uiteengezette rechten en plichten), moet eerst de schriftelijke toestemming van de partijen worden verkregen.

4.3 Opleiding. Absolute Results moet instaan voor de passende opleiding van haar relevante medewerkers, agenten en aannemers met betrekking tot hun verantwoordelijkheden en verplichtingen betreffende de verwerking, bescherming en vertrouwelijkheid van persoonsgegevens.

4.4 Naleving. Absolute Results heeft als verwerker steeds alle toepasselijke privacy- en gegevensbeschermingswetten nageleefd, inclusief, zonder beperkingen, gegevensbeschermingswetgeving, en zal dat in de toekomst ook blijven doen. Als controleur moet de klant erover waken dat, in verband met klantgegevens en met de producten en diensten:

(a) zij alle toepasselijke privacy- en gegevensbeschermingswetten, inclusief alle gegevensbeschermingswetgeving, heeft nageleefd en dat in de toekomst ook zal blijven doen; en

(b) zij het recht heeft de persoonsgegevens aan Absolute Results over te dragen of deze daartoe toegang te verschaffen met het oog op verwerking in overeenstemming met de voorwaarden van de SA en dit DPA.

5. Beveiliging

5.1 Beveiliging. Absolute Results zal passende technische en organisatorische maatregelen treffen, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking, alsook de qua waarschijnlijkheid en ernst van uiteenlopende risico´s voor de rechten en vrijheden van de gegevenssubjecten. Die maatregelen staan opgelijst in Aanhangsel 1 bij dit DPA en moeten zodanig ontworpen worden dat een beveiligingsniveau wordt gegarandeerd dat past bij het risico, om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde bekendmaking, toegang of gebruikmaking (allemaal “beveiligingsincidenten“) en in overeenstemming met de in de SA uiteengezette beveiligingsnormen van Absolute Results.

5.2 Vertrouwelijkheid van verwerking. Absolute Results staat ervoor in dat iedereen die van haar de toestemming krijgt om persoonsgegevens te verwerken (inclusief haar personeel, agenten, aannemers en onderverwerkers) onderworpen is aan een adequate geheimhoudingsplicht (contractueel of wettelijk) die niet afloopt met de beëindiging van hun tewerkstelling en/of contractuele relatie.

5.3 Beveiligingsincidenten. Zodra Absolute Results zich bewust wordt van een beveiligingsincident dat de klant kan beïnvloeden, stelt zij de klant zonder onnodige vertraging en conform de voorwaarden van de SA, maximaal binnen tweeënzeventig (72) uur, daarvan op de hoogte, en verschaft zij tijdig die informatie aan de klant aangezien deze die informatie redelijkerwijs nodig kan hebben om te voldoen aan zijn verplichtingen om alle gegevensinbreuken te melden, krachtens de toepasselijke gegevensbeschermings-wetgeving. Absolute Results zal maatregelen treffen om zulke beveiligingsincidenten onverwijld vast te stellen en acties op te zetten om de oorzaak daarvan te verhelpen.

6. Onderverwerking

6.1 Onderverwerkers. De klant stemt ermee in dat Absolute Results een beroep kan doen op gelieerde bedrijven van Absolute Results en van derde onderverwerkers (gezamenlijk “onderverwerkers” genoemd) om namens Absolute Results de persoonsgegevens te verwerken. De momenteel door Absolute Results gebruikte en door de klant gemachtigde onderverwerkers staan opgelijst in Bijlage 2 bij dit DPA. Absolute Results legt aan die onderverwerkers gegevensbeschermingsvoorwaarden op die de persoonsgegevens volgens dezelfde normen beschermen als met dit DPA en blijft aansprakelijk voor enige inbreuk op het DPA vanwege een onderverwerker.

6.2 Wijzigingen aan onderverwerkers. Absolute Results kan, met voorafgaande kennisgeving aan de klant van minimaal dertig (30) dagen, onderverwerkers toevoegen of wijzigen. De klant kan bezwaar aantekenen tegen de aanstelling van een bijkomende onderverwerker binnen veertien (14) kalenderdagen na die kennisgeving, waarna Absolute Results vervolgens het recht heeft dat bezwaar te verhelpen via een van de volgende opties (Absolute Results kan naar eigen goeddunken kiezen):

(a) Absolute Results kan haar plannen opgeven om een beroep te doen op de onderverwerker met betrekking tot persoonsgegevens of biedt een andere oplossing aan voor de levering van de producten en diensten zonder een dergelijke onderverwerker; of
(b) Absolute Results zal de door de klant in zijn bezwaar geëiste corrigerende maatregelen treffen (die het bezwaar van de klant wegnemen) en gebruik maken van de onderverwerker met betrekking tot persoonsgegevens; of
(c) Absolute Results kan stoppen met het verschaffen van of de klant kan ermee instemmen op te houden met het (tijdelijke of permanente) gebruik van het welbepaalde aspect van de producten en diensten die met betrekking tot persoonsgegevens een beroep op een dergelijke onderverwerker zou inhouden, met inachtneming van een wederzijdse overeenkomst tussen de partijen voor de aanpassing van de vergoeding voor de producten en diensten, rekening houdend met het beperktere bereik van de producten en diensten. Indien geen van de bovenstaande opties redelijkerwijs beschikbaar is en indien het bezwaar niet is verholpen tot volle tevredenheid van beide partijen binnen 30 dagen na de ontvangst door Absolute Results van het bezwaar van de klant, kan elke partij de SA opzeggen en heeft de klant recht op een geprorateerde terugbetaling van voorafbetaalde bedragen voor producten en diensten die op de opzeggingsdatum nog niet werden geleverd.

7. Samenwerking

7.1 Rechten van gegevenssubjecten. Absolute Results voorziet in commercieel redelijke bijstand, inclusief via passende redelijkerwijs haalbare technische en organisatorische maatregelen, om de klant toe te laten te antwoorden op alle aanvragen, mededelingen of verzoeken vanwege een gegevenssubject die zijn of haar rechten wenst uit te oefenen overeenkomstig toepasselijke gegevensbeschermingswetgeving, inclusief rechten aangaande toegang, correctie, beperking, bezwaar, verwijdering of portabiliteit van gegevens, voor zover van toepassing. Indien zo´n aanvraag, mededeling of verzoek rechtstreeks wordt gericht aan Absolute Results, zal deze onverwijld de klant op de hoogte stellen via het verschaffen van de volledige details van het verzoek. Om iedere twijfel weg te nemen, is het de verantwoordelijkheid van de klant ten aanzien van het gegevenssubject een antwoord te geven inzake verzoeken om toegang, correctie, beperking, bezwaar, verwijdering of portabiliteit van gegevens, waarbij de persoonsgegevens van het gegevenssubject betrokken zijn.

7.2 Toezichthoudende autoriteiten. Absolute Results brengt de klant zonder onnodige vertraging op de hoogte wanneer een toezichthoudende of rechtshandhavende autoriteit een aanvraag of verzoek indient tot bekendmaking inzake persoonsgegevens, indien dat niet wettelijk verboden is.

7.3 Effectbeoordelingen inzake gegevensbescherming en voorafgaand overleg. In de door gegevensbeschermingswetgeving vereiste mate verschaft Absolute Results de klant redelijke bijstand met effectbeoordelingen inzake gegevensbescherming en/of voorafgaande raadplegingen met toezichthoudende autoriteiten die door de klant conform gegevensbeschermingswetgeving moeten worden uitgevoerd.

8. Beveiligingsrapporten en -audits

8.1 Beveiligingsattesten of -auditrapporten (zoals SOC 2, Type II of een equivalent) worden verschaft in overeenstemming met de rechten van de klant krachtens de SA. Indien de SA geen bepaling bevat inzake beveiligingsattesten of -auditrechten, voorziet Absolute Results in een exemplaar van haar meest actuele beveiligingsrapport op schriftelijk verzoek van de klant en overeenkomstig de geheimhoudingsbepalingen van de SA. Absolute Results zal de klant (of een onafhankelijke derde auditeur van de klant) de toestemming geven om ter plekke een audit uit te voeren van de voor de bescherming van de persoonsgegevens van de klant relevante procedures, met inachtneming van de geheimhoudingsbepalingen van de SA. De klant en Absolute Results zullen op voorhand de redelijke begindatum, het bereik en de duur van iedere audit en de op elke audit toepasselijke beveiligings- en geheimhoudingscontroles bespreken en goedkeuren; en Absolute Results behoudt zich voor dergelijke audits het recht voor kosten in rekening te brengen (op basis van de redelijke kosten van Absolute Results). Absolute Results zal aan de klant vóór een dergelijke audit aanvullende details verschaffen inzake enige toepasselijke kosten alsook de berekeningsbasis.

9. Verwijderen of retourneren van klantgegevens

9.1 Verwijderen of retourneren van gegevens. Absolute Results bewaart persoonlijke gegevens/persoonsgegevens voor een periode van twee (2) jaar na afloop van de SA. Na het verstrijken van deze periode of vroeger op verzoek van de klant, zal Absolute Results, conform de bepalingen van de SA, alle relevante persoonsgegevens (inclusief kopieën ervan) die zij in haar bezit heeft, verwijderen of ter beschikking stellen van de klant ter opvraging, behalve in de mate dat Absolute Results wettelijk verplicht is de persoonsgegevens geheel of gedeeltelijk te bewaren. In dat geval, breidt Absolute Results de beschermingen van de SA en dit DPA uit tot deze persoonsgegevens en zal zij enige verdere verwerking van die persoonsgegevens beperken tot alleen die beperkte doeleinden waarvoor bewaring vereist is, zolang als Absolute Results de persoonsgegevens in bewaring heeft.

9.2 Verzoeken tot verwijdering van gegevens. Ieder klantverzoek tot verwijdering van persoonsgegevens vóór het verstrijken van de onder paragraaf 9.1 vermelde bewaarperiode moet worden ingediend aan de hand van het daartoe bestemde formulier: (https://forms.gle/rWQLojJ3sDQhuZVD6). Absolute Results zal binnen 30 dagen aan dergelijke verzoeken voldoen en na hun uitvoering de klant voorzien van een Certificaat van gegevensverwijdering.

10. Diverse

10.1 Behalve zoals gewijzigd in dit DPA, blijft de SA onverminderd van kracht.

10.2 In geval van strijdigheid tussen de SA en dit DPA, zijn de voorwaarden van dit DPA doorslaggevend met betrekking tot de erin uiteengezette aangelegenheden.

10.3 Enige vorderingen ingesteld in het kader van dit DPA zijn onderworpen aan de algemene voorwaarden, inclusief, maar niet beperkt tot, de in de SA uiteengezette uitsluitingen en beperkingen.

10.4 De in de SA uiteengezette aansprakelijkheidsbeperkingen zijn van toepassing op vorderingen ingesteld naar aanleiding van een inbreuk op de voorwaarden van dit DPA.

10.5 De partijen komen overeen dat de klant aansprakelijk is voor alle inbreuken op dit DPA ten gevolge van handelingen, tekortkomingen of nalatigheid vanwege zijn of haar gelieerde bedrijven, alsof die handelingen, tekortkomingen of nalatigheid van de klant zelf kwamen.

10.6 De klant heeft niet het recht om meer dan eenmaal iets te recupereren met betrekking tot hetzelfde verlies.

11. Aanvullende bepalingen voor Europese gegevens

11.1 De klant stemt er mee in dat Absolute Results persoonsgegevens kan overdragen voor de levering van producten en diensten aan de klant in overeenstemming met de SA, naar landen buiten de Europese Economische Ruimte (EER). Absolute Results bevestigt dat zulke onderverwerkers: (i) zich bevinden in een door de Europese Commissie erkend derde land of gebied met het oog op een adequaat beschermingsniveau; of (ii) met Absolute Results modelcontractbepalingen hebben aangegaan; of (iii) over andere passende wettelijk erkende waarborgen beschikken.

Aanhangsel 1 – Technische en organisatorische beveiligingsmaatregelen

Gegevensbeveiligingsprogramma

Absolute Results past een gegevensbeveiligingsprogramma toe dat gericht is op de beveiliging en integriteit van klantgegevens. Het gegevensbeveiligingsprogramma van Absolute Results omvat administratieve, technische en logistieke controles die passen bij de omvang van haar zaken en de door haar verwerkte soorten informatie.

Fysieke bescherming

Absolute Results heeft fysieke en milieucontroles voor haar hoofdkantoor, met o.a. beperkte toegang tot de inrichting. De toegang tot de gebouwen van Absolute Results wordt beveiligd met een RFID-beveiligingspas en de alarmen worden ingeschakeld wanneer de gebouwen niet bezet zijn.

Bezoekers moeten zich registreren in een bezoekerslogboek, en toegang tot gegevens- en ontwikkelingsafdelingen moet onder toezicht staan en een legitiem en specifiek bedrijfsdoel hebben. Gegevensverwerkingsafdelingen worden gescheiden door grendeldeuren, en ongeoorloofde toegang is streng verboden.

De fysieke toegang tot de bedrijfsruimten of de gegevensverwerkingscentra wordt iedere medewerker bij diens ontslag ontzegd, en wordt om de zes maanden herzien.

Netwerkbeveiliging en versleuteling

Absolute Results past de standaardbeveiligingscontroles uit de industrie toe om klantgegevens te beschermen tegen verlies of ongeoorloofde bekendmaking. Absolute Results past op haar productiesystemen netwerkbegrenzingsbeschermingsmechanismen toe.

Gegevens worden versleuteld wanneer ze gebruikt (in transit) of ongebruikt worden.

Persoonsgegevens worden via SFTP of API verzonden. Tussen kantoren van Absolute Results en AWS-gegevenscentra zijn point-to-point-VPN-tunnels ingesteld. Persoonsgegevens worden nooit via e-mail doorgestuurd. Dat is streng verboden. IP-beperking verbiedt toegang van buiten enige door Absolute Results goedgekeurde locaties.

AWS-database-instanties van Absolute Results maken gebruik van het in de industrie standaard AES-256-versleutelingsalgoritme om de gegevens te versleutelen. De gegevensset van iedere klant wordt gepartitioneerd in de database om kruisbesmetting te voorkomen.

Toezicht

Absolute Results houdt toezicht op haar systemen via de registratie van beveiligingsgerelateerde evenementen, via waarschuwingen n.a.v. verdachte activiteit en door de uitvoering van verdere analyses i.v.m. verdachte activiteit.

Overdrachtcontrole

Systeemlogboeken controleren en houden de overdracht van persoonsgegevens bij voor beide interne partijen, evenals de ontvangst ervan of de verzending naar externe partijen. De registratie van gebruikerscontrole wordt in het platform gebruikt ter identificatie van gebruik en activiteit.

De toegang tot systemen met persoonsgegevens is beperkt tot bevoegd personeel en is binnen elk platform beperkt tot het voor de specifieke servicefunctie vereiste leveringsmechanisme.

Logische toegangscontrole

De toegang tot klantgegevens is beperkt op basis van het “least privilege”-principe, het beginsel van het minste voorrecht. Toegang wordt verleend via een gedocumenteerd toegangsautorisatieproces. Na het ontslag van een personeelslid wordt diens toegang zo spoedig mogelijk ingetrokken. Toegangsverzoeken worden geregistreerd in een intern tracking-tool en in het platform wordt een controlelogboek met toestemmingen opgeslagen. Periodiek en jaarlijks worden de controlelogboeken nagekeken.

Gebruikers moeten bij de eerste aanmelding hun wachtwoord instellen; het is te allen tijde verboden wachtwoorden te delen, op te slaan of door te geven.

Wachtwoorden moeten uit ten minste 8 tekens bestaan en zwakke of eerder gebruikte wachtwoorden worden verworpen. Op al onze gebruikeraccounts is multifactorverificatie ingeschakeld.

Veiligheid van het personeel

Absolute Results garandeert de werving van bekwame en professionele medewerkers die een geheimhoudingsverklaring, een overeenkomst inzake het aanvaardbare gebruik van informatiesystemen en de gedragscode ondertekenen. Alle medewerkers moeten jaarlijks een opleiding krijgen inzake gegevensbescherming en de overplaatsing van personeel resulteert in wijzigingen in het beheer van de toegang, op basis van het principe van het minste voorrecht en van de functie.

Incidentenbeheer

Absolute Results heeft een incidentenbeheerprogramma m.b.t. gegevensbeveiliging met gepaste tijdige respons op en meldingen van beveiligingsincidenten met het oog op de bescherming van klantgegevens.

Back-ups en herstel maken, samen met meerdere redundantielagen, deel uit van de algemene AWS-infrastructuur van Absolute Results. Ten minste eenmaal per week worden back-ups uitgevoerd.

Alle werkstations en servers zijn uitgerust met antivirusprogramma’s, die dagelijks scans uitvoeren. Op alle systemen is de realtime-viruscontrole ingeschakeld met het oog op onmiddellijke bescherming tegen bedreigingen, en alle locaties hebben actieve firewalls die de meest actuele bedreigingen in de gaten houden en beheren. Beveiligingspatches en -fixes voor gekende systeemkwetsbaarheden worden prompt uitgerold en bijgewerkt.

Audit en naleving

Absolute Results analyseert en herziet de door haar derde leveranciers en onderverwerkers toegepaste beveiligingscontroles om erover te waken dat deze adequate beschermings-controlemaatregelen hebben genomen voor de bescherming van klantgegevens die door haar derde leveranciers eventueel worden opgeslagen of geraadpleegd.

Interne processen en procedures worden jaarlijks gecontroleerd.

Bijlage 2 – Lijst met onderverwerkers

Onderverwerker	Doel	Plaats
Amazon Web Services, Inc.	Gegevensopslag	Ierland
CDK Data Services, Inc.	data-extractie	VS
Google Inc. (Dataprep)	Gegevensverwerkings-middelen	Wereldwijd
Harvard Media Inc.	Digitale marketing	Canada
Look Graphic S.A.	Druk	Zwitserland
Printing By Innovation Inc.	Druk	Canada
Solution Dynamics International Limited (Mailit4U)	Druk	Nederland
Twilio Inc.	Campagne-uitrol	VS en Ierland
Volie LLC	Callcentersoftware	VS

Afhankelijk van waar de klant gevestigd is en welke producten en diensten worden aangeboden, kunnen sommigen van de hierboven opgelijste onderverwerkers eventueel niet worden ingeschakeld. Neem voor meer informatie contact met ons op.

APPENDICE SUL TRATTAMENTO DEI DATI

Ultimo aggiornamento: 6 settembre 2022

La presente Appendice sul trattamento dei dati (“ATD“) è incorporata a titolo di riferimento nel Contratto quadro di servizi (il “CQS“) o in qualsiasi altro accordo per la fornitura di prodotti o servizi da parte di Absolute Results (come definito di seguito), al Cliente (il CQS e qualsiasi altro contratto, individualmente definito “CS“). La presente ATD entra in vigore a partire dalla data di entrata in vigore del CS.

Qualsiasi termine non definito nel presente documento avrà il significato loro attribuito nel CS, e tutti i principi di interpretazione saranno quelli stabiliti nel CS.

“Absolute Results” indica una delle seguenti società facenti parte del gruppo aziendale Absolute Results, quando tale società è firmataria di un CS:

Absolute Results Sales and Marketing Ltd., una società di diritto inglese
Absolute Results (France) SAS, società di diritto francese
Absolute Results (Schweiz) GmbH, una società di diritto svizzero
Absolute Results Technologies (USA), Inc., una società di diritto americano, USA
Absolute Results (Australia) Pty Ltd., una società di diritto australiano
Absolute Results Productions Ltd., una società di diritto della Columbia Britannica in Canada, e qualsiasi altra società che possa essere costituita di volta in volta, e incorporata nel gruppo aziendale Absolute Results.

La presente ATD è complementare al CS e stabilisce i termini che si applicano al Trattamento (definiti di seguito) dei Dati personali (definiti di seguito) da parte di Absolute Results ai sensi del CS. Lo scopo dell’ATD è quello di garantire che tale Trattamento si svolga in conformità alle leggi vigenti, compresa la normativa UE sulla protezione dei dati (definita di seguito), e nel rispetto dei diritti e delle libertà delle persone i cui Dati personali sono trattati.

TERMINI DI TRATTAMENTO DEI DATI

Nel fornire i Prodotti e i Servizi al Cliente ai sensi del CS, Absolute Results può trattare i Dati personali per conto del Cliente. Absolute Results rispetterà le disposizioni della presente ATD per quanto riguarda il trattamento dei Dati personali.

I termini in maiuscolo utilizzati ma non definiti nella presente ATD hanno lo stesso significato che hanno nel CS.

1. Definizioni

1.1 Ai fini della presente Appendice sul trattamento dei dati:

(a) “Absolute Results” indica il gruppo globale di soggetti impegnati nell’Attività. Gli obblighi di Absolute Results ai sensi del CS sono gli obblighi del solo soggetto firmatario del CS, mentre le protezioni si estendono anche al soggetto Absolute Results proprietaria della proprietà intellettuale di Absolute Results o che agisce come subappaltatore dei Prodotti e dei Servizi.

(b) “Società Affiliata(e)” ha lo stesso significato attribuitogli nel CS e, se non definito nel CS, il termine significa e qualsiasi altro soggetto che, direttamente o indirettamente attraverso uno o più intermediari, controlla, è controllato da, o è sotto controllo comune con, tale Parte. Ai fini della presente Appendice per il trattamento dei dati e del CS, il termine “Società Affiliata” comprende anche i soggetti associati o correlati, o che collaborano formalmente per coordinare le attività commerciali o mettere in comune le risorse con la Parte interessata.

(c) “Titolare” indica il soggetto che, da solo o insieme ad altri, determina le finalità e i mezzi del Trattamento dei Dati Personali.

(d) “Cliente” indica la parte ad esclusione di Absolute Results sia del CS che della presente Appendice per il trattamento dei dati che ha accesso ai Prodotti e ai Servizi.

(e) “Dati del Cliente” indica qualsiasi informazione detenuta, utilizzata o fornita ad Absolute Results dal Cliente nel corso dell’utilizzo dei Prodotti e dei Servizi da parte del Cliente, comprese le informazioni derivate da tali informazioni.

(f) “Interessato” indica l’individuo a cui si riferiscono i dati personali.

(g) “SEE” indica lo Spazio Economico Europeo, che costituisce gli stati membri dell’Unione Europea e la Norvegia, l’Islanda e il Liechtenstein, nonché, ai fini della presente Appendice sul trattamento dei dati, il Regno Unito.

(h) “Normativa sulla protezione dei dati” indica (i) il Regolamento 2016/679 del Parlamento europeo e del Consiglio relativo alla tutela delle persone fisiche in merito al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (“Regolamento generale sulla protezione dei dati o “RGPD”), come modificato, sostituito o aggiornato (ii) qualsiasi legge nazionale di attuazione, regolamento e normativa secondaria applicabile relativa al trattamento dei dati personali e alla privacy delle comunicazioni elettroniche, come modificata, sostituita o aggiornata di volta in volta, compresa la Direttiva sulla privacy e le comunicazioni elettroniche (2002/58/CE) e i Regolamenti 2003 sulla privacy e le comunicazioni elettroniche (Direttiva CE) (SI 2003/2426); e (iii) tutte le leggi applicabili sulla tutela dei dati di Svizzera e Regno Unito; e il California Consumer Privacy Act (“CCPA“) e qualsiasi altra legge federale o statale applicabile sulla protezione dei dati negli USA.

(i) “Dati personali” significa qualsiasi Dato del Cliente relativo a una persona fisica identificata o identificabile; una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare con riferimento a un identificatore come un nome, un numero di identificazione, dati di localizzazione, un identificatore online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica.

(j) “Responsabile” indica un soggetto che tratta i Dati personali per conto del Titolare.

(k) Per “Trattamento” si intende qualsiasi operazione o insieme di operazioni eseguite sui Dati personali, con o senza l’ausilio di mezzi automatizzati, quali la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’utilizzo, la divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, il raffronto o la combinazione, la limitazione, la cancellazione o la distruzione.

(l) Per “Prodotti e Servizi” si intendono, senza alcuna limitazione, i seguenti Prodotti e Servizi di Absolute Results, e comprende tutti i Prodotti e Servizi che possono essere aggiunti da Absolute Results di volta in volta:

(i) Prodotti e servizi relativi allo sviluppo commerciale per i concessionari attraverso il centro virtuale commerciale di ABSOLUTE RESULTS e/o eventi di vendita privati, di persona o virtuali (gli “Eventi e sviluppo commerciale“);

(ii) Servizi di coaching, formazione e consulenza, di persona o virtuali (i “Servizi di formazione“); e

(iii) Prodotti e servizi relativi alla Tecnologia AR (la “Tecnologia“).

(m) “Autorità di vigilanza”: un’autorità pubblica indipendente istituita da uno stato membro dell’UE ai sensi del quadro normativo UE sulla tutela dei dati.

2. Applicabilità dell’appendice sul trattamento dei dati

2.1 Applicabilità. La presente ATD si applica a tutti i clienti nella misura in cui Absolute Results tratta i dati personali dei soggetti interessati per conto di un cliente o di una società affiliata del cliente.

3. Dettagli del trattamento

3.1 Tipi di Dati personali trattati. Le categorie di dati personali sono determinate dal Cliente a sua esclusiva discrezione e possono includere, ma non sono limitate a: nome e cognome; informazioni di contatto (ad esempio, e-mail, telefono, domicilio); e informazioni sul veicolo, comprese le informazioni di vendita, manutenzione e finanziamento.

3.2 Categorie speciali di Dati personali. Le categorie speciali di dati personali non devono essere raccolte o trattate per la fornitura di Prodotti e Servizi. Se il Cliente sceglie di includere questo tipo di dati, lo fa a sua esclusiva discrezione e può includere, ma non solo, informazioni che rivelano l’origine razziale/etnica, le convinzioni politiche, religiose o filosofiche, l’appartenenza a un sindacato o i dati sanitari.

3.3 Categorie di Interessati. Le categorie di Interessati i cui Dati personali possono essere trattati in relazione ai Prodotti e Servizi sono determinate e controllate dal Cliente a sua esclusiva discrezione e possono includere, ma non sono limitate a: clienti e clienti potenziali del Cliente; dipendenti o collaboratori dei clienti potenziali e clienti del Cliente, e; dipendenti e collaboratori del Cliente.

3.4 Natura delle Operazioni di trattamento. Absolute Results tratterà i Dati personali come richiesto per fornire i Prodotti e i Servizi ai sensi del CS. Le operazioni di Trattamento effettuate sui Dati personali dipenderanno dall’ambito dei Prodotti e dei Servizi del Cliente e dalla configurazione del suo caso da parte di Absolute Results. Tali operazioni di Trattamento dei Dati personali necessarie ad Absolute Results per fornire i Prodotti e i Servizi possono includere quanto segue: raccolta, registrazione, organizzazione, conservazione, utilizzo, alterazione, divulgazione, trasmissione, combinazione, recupero, consultazione, archiviazione e/o distruzione.

4. Ruoli e responsabilità

4.1 Ruoli delle parti. Il Cliente, in qualità di Titolare, nomina Absolute Results quale Responsabile del trattamento dei dati personali per conto del Cliente. In alcune circostanze il Cliente può essere un Responsabile del trattamento, nel qual caso il Cliente nomina Absolute Results come sub-responsabile del Cliente, il che non modifica gli obblighi del Cliente o di Absolute Results ai sensi della presente ATD, in quanto Absolute Results rimarrà un Responsabile del trattamento rispetto al Cliente in tale caso.

4.2 Limitazione delle finalità. Absolute Results tratterà i Dati personali per le finalità indicate nel CS e solo in conformità alle istruzioni legittime e documentate del Cliente, salvo ove diversamente richiesto dalla legge applicabile. Il CS e la presente ATD stabiliscono le direttive complete del Cliente ad Absolute Results in relazione al Trattamento dei Dati personali e qualsiasi Trattamento richiesto al di fuori dell’ambito di tali direttive (compresi i diritti e gli obblighi stabiliti dal CS) richiederà il previo accordo scritto delle parti.

4.3 Formazione. Absolute Results garantirà che i suoi dipendenti, agenti e appaltatori pertinenti ricevano una formazione adeguata sulle loro responsabilità e sui loro obblighi in materia di trattamento, tutela e riservatezza dei dati personali.

4.4 Conformità. Absolute Results, in qualità di Responsabile del trattamento, ha rispettato e continuerà a rispettare tutte le leggi applicabili in materia di privacy e tutela dei dati, compresa, a titolo esemplificativo, la normativa sulla tutela dei dati. Il Cliente, in qualità di Titolare, ha la responsabilità di garantire che, in relazione ai Dati del Cliente e ai Prodotti e Servizi:

(a) ha rispettato, e continuerà a rispettare, tutte le leggi applicabili sulla privacy e sulla tutela dei dati, compresa la normativa sulla tutela dei dati; e

(b) ha, e continuerà ad avere, il diritto di trasferire, o di fornire l’accesso ai dati personali ad Absolute Results per il trattamento in conformità con i termini del CS e della presente ATD.

5. Sicurezza

5.1 Sicurezza. Absolute Results attuerà misure tecniche e organizzative adeguate, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, della portata, del contesto e delle finalità del Trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà degli Interessati. Tali misure sono elencate nell’Allegato 1 di questo ATD, e sono concepite per garantire un livello di sicurezza adeguato al rischio al fine di tutelare i Dati personali da distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata, accesso o utilizzo (individualmente definito un “Incidente di sicurezza“) e in conformità agli standard di sicurezza di Absolute Results come stabilito nel CS.

5.2 Riservatezza del Trattamento. Absolute Results garantirà che qualsiasi persona autorizzata a trattare i dati personali (compreso il personale, gli agenti, i subappaltatori e i sub-responsabili) sia soggetta a un adeguato obbligo di riservatezza (sia esso un obbligo contrattuale o di legge) che rimanga in sessere dopo la cessazione del rapporto di lavoro e/o contrattuale.

5.3 Incidenti di sicurezza. Nel momento in cui viene a conoscenza di un Incidente di sicurezza, che potrebbe riguardare il Cliente, Absolute Results lo comunicherà al Cliente senza indebito ritardo e conformemente ai termini del CS, ma entro e non oltre settantadue (72) ore, e fornirà le informazioni opportune che il Cliente può ragionevolmente richiedere, per consentire al Cliente di adempiere a qualsiasi obbligo di segnalazione di violazione dei dati ai sensi delle leggi in vigore sulla tutela dei dati. Absolute Results adotterà misure per identificare immediatamente e avviare azioni per porre rimedio alla causa di tale Incidente di sicurezza.

6. Sub-responsabilità

6.1 Sub-responsabili. Il Cliente accetta che Absolute Results possa incaricare le società affiliate di Absolute Results e i sub-responsabili di terze parti (collettivamente, “Sub-responsabili“) di trattare i Dati personali per conto di Absolute Results. I sub-responsabili attualmente ingaggiati da Absolute Results e autorizzati dal Cliente sono elencati nell’Allegato 2 della presente ATD. Absolute Results imporrà a tali sub-responsabili condizioni di tutela dei dati che proteggano i Dati personali allo stesso standard previsto dalla presente ATD e rimarrà responsabile di qualsiasi violazione della ATD causata da un sub-responsabile.

6.2 Modifiche ai sub-responsabili. Absolute Results può, con un preavviso di almeno trenta (30) giorni al Cliente, aggiungere o apportare modifiche ai sub-responsabili. Il Cliente può opporsi alla nomina di un ulteriore sub-responsabile entro quattordici (14) giorni di calendario da tale avviso, nel qual caso Absolute Results avrà il diritto di porre rimedio all’obiezione attraverso una delle seguenti opzioni (da scegliere a esclusiva discrezione di Absolute Results):

(a) Absolute Results annullerà i suoi piani di utilizzo del sub-responsabile per quanto riguarda i Dati personali o offrirà un’alternativa per fornire i Prodotti e i Servizi senza tale sub-responsabile; o

(b) Absolute Results adotterà le misure correttive richieste dal Cliente nella sua obiezione (che eliminano l’obiezione del Cliente) e procederà a utilizzare il sub-responsabile per quanto riguarda i Dati personali; oppure
(c) Absolute Results può cessare di fornire o il Cliente può accettare di non utilizzare (temporaneamente o permanentemente) il particolare aspetto dei Prodotti e Servizi che comporterebbe l’uso di tale sub-responsabile per quanto riguarda i Dati personali, previo accordo reciproco delle parti per adeguare la remunerazione dei Prodotti e Servizi considerando la portata ridotta dei Prodotti e Servizi. Se nessuna delle opzioni di cui sopra è ragionevolmente disponibile e l’obiezione non è stata risolta con reciproca soddisfazione delle parti entro 30 giorni dal ricevimento da parte di Absolute Results dell’obiezione del Cliente, entrambe le parti possono rescindere il CS e il Cliente avrà diritto a un rimborso pro-rata per le tariffe prepagate per i Prodotti e i Servizi non eseguiti alla data della rescissione.

7. Cooperazione

7.1 Diritti degli Interessati. Absolute Results fornirà un’assistenza commercialmente ragionevole, anche mediante misure tecniche e organizzative appropriate, per quanto ragionevolmente possibile, per consentire al Cliente di rispondere a qualsiasi indagine, comunicazione o richiesta di un Interessato che cerchi di esercitare i propri diritti ai sensi della legislazione applicabile in materia di protezione dei dati, compresi i diritti di accesso, correzione, restrizione, opposizione, cancellazione o portabilità dei dati, a seconda dei casi. Nel caso in cui tale indagine, comunicazione o richiesta venga fatta direttamente ad Absolute Results, Absolute Results informerà prontamente il Cliente fornendo tutti i dettagli della richiesta. A scanso di equivoci, il Cliente è responsabile di rispondere alle richieste di accesso, correzione, restrizione, obiezione, cancellazione o portabilità dei dati del Interessato dei dati che riguardano i Dati personali dell’Interessato dei dati.

7.2 Autorità di vigilanza. Absolute Results informerà il Cliente senza indebito ritardo nel caso in cui un’Autorità di vigilanza o un’autorità preposta all’applicazione della legge effettui un’indagine o una richiesta di divulgazione relativa ai Dati personali, qualora ciò non sia legittimamente vietato.

7.3 Valutazioni dell’impatto sulla tutela dei dati e consultazioni preventive. Absolute Results fornirà al Cliente, nella misura richiesta dalla legislazione in materia di tutela dei dati, un’assistenza ragionevole per le valutazioni d’impatto sulla tutela dei dati e/o le consultazioni preventive con le autorità di controllo che il Cliente è tenuto a effettuare ai sensi della legislazione sulla tutela dei dati.

8. Rapporti e audit di sicurezza

8.1 Qualsiasi fornitura di attestati di sicurezza o relazioni di audit (come SOC 2, Tipo II o equivalenti) avverrà in conformità ai diritti del Cliente ai sensi del CS. Se il CS non include una disposizione relativa alle relazioni di attestazione di sicurezza o ai diritti di audit, Absolute Results fornirà una copia della sua relazione di sicurezza più recente su richiesta scritta del Cliente e nel rispetto delle disposizioni di riservatezza del CS. Absolute Results consentirà al Cliente (o a un revisore terzo indipendente del Cliente) di effettuare un audit in loco delle procedure relative alla protezione dei Dati personali del Cliente, nel rispetto delle disposizioni in materia di riservatezza del CS. Il Cliente e Absolute Results discuteranno e concorderanno in anticipo la data di inizio ragionevole, l’ambito e la durata dei controlli di sicurezza e riservatezza applicabili a qualsiasi audit; e Absolute Results si riserva il diritto di addebitare un costo (basato sui costi ragionevoli di Absolute Results) per qualsiasi audit. Absolute Results fornirà al Cliente ulteriori dettagli su qualsiasi tariffa applicabile e sulla base del suo calcolo prima di tale audit.

9. Cancellazione o restituzione dei Dati del Cliente

9.1 Cancellazione o restituzione dei Dati. Absolute Results conserverà i Dati personali per un periodo di due (2) anni dopo la cessazione del CS. Alla scadenza di questo periodo o su richiesta anticipata del Cliente, Absolute Results, in conformità con i termini del CS, cancellerà o metterà a disposizione del Cliente per il recupero tutti i Dati Personali pertinenti (comprese le copie) in possesso di Absolute Results, salvo nella misura in cui Absolute Results sia obbligata da qualsiasi legge applicabile a conservare alcuni o tutti i Dati Personali. In tal caso, Absolute Results estenderà le tutele del CS e della presente ATD a tali Dati personali e limiterà qualsiasi ulteriore Trattamento di tali Dati personali solo a quegli scopi limitati che richiedono la conservazione, per tutto il tempo in cui Absolute Results conserverà i Dati personali.

9.2 Richieste di cancellazione dati. Qualsiasi richiesta di cancellazione dei Dati personali da parte del Cliente prima della scadenza del periodo di conservazione indicato nel paragrafo 9.1 deve essere effettuata utilizzando il modulo specificato: (https://forms.gle/rWQLojJ3sDQhuZVD6). Absolute Results soddisferà tali richieste entro 30 giorni e fornirà al Cliente un Certificato di Cancellazione dei Dati al termine della procedura.

10. Varie

10.1 Ad eccezione di quanto modificato dalla presente ATD , il CS rimarrà in pieno vigore ed effettivo.

10.2 Nell’eventualità di un conflitto tra il CS e la presente ATD, i termini di questa ATD prevarranno per quanto riguarda le questioni qui esposte.

10.3 Qualsiasi reclamo presentato ai sensi della presente ATD sarà soggetto ai termini e alle condizioni, comprese, ma non solo, le esclusioni e le limitazioni stabilite nel CS.

10.4 Le limitazioni di responsabilità stabilite nel CS si applicano a tutti i reclami presentati in seguito a qualsiasi violazione dei termini della presente ATD.

10.5 Le parti concordano che il Cliente sarà responsabile di qualsiasi violazione della presente ATD causata da atti e omissioni o negligenze delle sue Società Affiliate come se tali atti, omissioni o negligenze fossero stati commessi dal Cliente stesso.

10.6 Il cliente non potrà essere risarcito più di una volta per la stessa perdita.

11. Disposizioni aggiuntive per i Dati europei

11.1 Il Cliente accetta che Absolute Results possa trasferire i Dati personali allo scopo di fornire i Prodotti e i Servizi al Cliente in conformità con il CS in paesi al di fuori dello Spazio economico europeo (SEE) Absolute Results conferma che tali sub-responsabili: (i) si trovano in un paese terzo o in un territorio riconosciuto dalla Commissione UE per avere un adeguato livello di protezione; (ii) hanno stipulato clausole contrattuali tipo con Absolute Results; o (iii) hanno in atto altre garanzie adeguate legalmente riconosciute.

Allegato 1 – Misure di sicurezza tecniche e organizzative

Sistema di sicurezza delle informazioni

Absolute Results mantiene un sistema di sicurezza delle informazioni incentrato sulla sicurezza e l’integrità dei dati dei clienti. Il sistema di sicurezza delle informazioni di Absolute Results comprende controlli amministrativi, tecnici e operativi adeguati alle dimensioni della sua attività e ai tipi di informazioni trattate.

Protezione fisica

Absolute Results effettua controlli fisici e ambientali sui suoi uffici aziendali, compreso l’accesso limitato alla struttura. L’ingresso agli edifici di Absolute Results è protetto tramite scheda di accesso di sicurezza RFID e gli allarmi sono attivati quando gli edifici non sono occupati.

I visitatori sono tenuti a firmare in un registro dei visitatori, e l’ingresso alle aree di sviluppo e dati richiede una supervisione e uno scopo commerciale legittimo e specifico. Le aree di elaborazione dati sono separate da porte che si chiudono a chiave e l’accesso non autorizzato è strettamente proibito.

L’accesso fisico agli uffici dell’azienda o ai centri di elaborazione dati viene revocato al momento della cessazione del rapporto di lavoro dei dipendenti e viene rivisto su base semestrale.

Sicurezza della rete e crittografia

Absolute Results ha implementato controlli di sicurezza standard del settore per tutelare i dati dei clienti da perdita o divulgazione non autorizzata. Absolute Results implementa meccanismi di protezione dei confini di rete nei suoi sistemi di produzione.

I dati sono criptati in transito e a riposo.

I dati personali sono trasmessi via SFTP o API. Dei tunnel VPN da punto a punto sono impostati tra gli uffici di AR e i centri dati AWS. Nessun dato personale viene mai trasmesso via e-mail e la trasmissione è severamente vietata. La restrizione IP vieta l’accesso da qualsiasi accesso al di fuori delle sedi autorizzate di Absolute Results.

Le istanze di database AWS di Absolute Results utilizzano l’algoritmo di crittografia standard del settore AES-256 per crittografare i dati. Il set di dati di ogni cliente è separato all’interno del database per garantire l’assenza di contaminazioni incrociate.

Monitoraggio

Absolute Results monitora i suoi sistemi registrando gli eventi relativi alla sicurezza, allertando sulle attività sospette e conducendo ulteriori analisi sulle attività sospette.

Controllo della trasmissione

I registri di sistema controllano e tracciano la trasmissione di dati personali sia per le parti interne che per la ricezione o l’invio a parti esterne. La registrazione dei controlli degli utenti viene utilizzata all’interno della piattaforma per identificare l’uso e l’attività.

L’accesso ai sistemi che contengono dati personali è limitato al personale autorizzato e all’interno di ogni piattaforma è limitato al meccanismo di consegna richiesto per la specifica funzione del servizio.

Controllo dell’accesso ai dati

L’accesso ai dati del cliente è limitato in base al principio privilegio minimo; l’accesso è rilasciato tramite un processo di autorizzazione di accesso documentato e revocato non appena possibile dal momento della cessazione del rapporto di lavoro del personale. Le richieste di accesso vengono registrate in uno strumento di tracciamento interno e un registro di controllo delle autorizzazioni è memorizzato all’interno della piattaforma. Vengono condotte revisioni periodiche e annuali dei registri di controllo.

Gli utenti sono tenuti a impostare la loro password al primo accesso ed è vietato condividere, memorizzare o trasmettere le password in qualsiasi momento.

C’è un requisito minimo di 8 caratteri e le password deboli o usate in precedenza vengono rifiutate. L’autenticazione a più fattori è attivata su tutti gli account utente.

Sicurezza del personale

Absolute Results si assicura di assumere professionisti qualificati che firmano un accordo di riservatezza, un accordo sull’uso accettabile dei sistemi informatici e un codice di condotta. La formazione annuale relativa alle pratiche di protezione dei dati è obbligatoria per tutti i dipendenti, e i trasferimenti del personale comportano cambiamenti nella gestione degli accessi in base al principio del privilegio minimo e al ruolo.

Gestione degli incidenti

Absolute Results mantiene un programma di gestione degli incidenti di sicurezza delle informazioni che fornisce una risposta tempestiva e una notifica adeguata agli incidenti di sicurezza al fine di tutelare i Dati del cliente.

Il backup e il recupero sussistono come parte dell’infrastruttura AWS complessiva di Absolute Results insieme a più livelli di ridondanza. I backup vengono eseguiti almeno settimanalmente.

L’antivirus è mantenuto su workstation e server e le scansioni sono completate quotidianamente. La scansione in tempo reale è abilitata su tutti i sistemi per una protezione immediata dalle minacce, e tutte le sedi hanno firewall con abbonamenti attivi per un controllo e una gestione aggiornati delle minacce. Le patch di sicurezza e le correzioni per le vulnerabilità di sistema conosciute sono prontamente implementate e aggiornate.

Audit e conformità

Absolute Results analizza ed esamina i controlli di sicurezza messi in atto dai suoi fornitori e sub-responsabili di terze parti per garantire che abbiano implementato controlli di sicurezza adeguati per tutelare i Dati del cliente che possono essere memorizzati o accessibili dai suoi fornitori di terze parti.

Gli audit dei processi interni sono condotti annualmente.

Allegato 2 – Elenco dei sub-responsabili

Sub-responsabile	Scopo	Ubicazione
Amazon Web Services, Inc.	Memorizzazione dei dati	Irlanda
CDK Data Services, Inc.	Estrazione dati	USA
Google Inc. (Data prep)	Strumenti per l’elaborazione dei dati	Mondiale
Harvard Media Inc.	Marketing digitale	Canada
Look Graphic S.A.	Stampa	Svizzera
Printing by Innovation Inc.	Stampa	Canada
Solution Dynamics International Limited (Mailit4U)	Stampa	Paesi Bassi
Twilio Inc.	Schieramento della campagna	USA e Irlanda
Volie LLC	Software per call center	USA

A seconda dell’ubicazione geografica del Cliente e dei prodotti e servizi offerti, alcuni dei sub-responsabili sopra elencati potrebbero non essere applicabili. Per ulteriori informazioni, vi preghiamo di contattarci.