Datenschutzerklärung
Letzte Aktualisierung: 18. Dezember 2024
Diese Datenschutzrichtlinie beschreibt, wie Miners.de (die „Website“, „wir“, „uns“ oder „unser“) persönliche Daten sammelt, verwendet und weitergibt, wenn Sie Miners.de (die „Website“) besuchen, unsere Dienste nutzen, einen Kauf dort tätigen oder auf andere Weise bezüglich der Website mit uns kommunizieren (zusammen die „Dienste“). Im Sinne dieser Datenschutzrichtlinie beziehen sich „Sie“ und „Ihr“ auf Sie als Benutzer der Dienste, unabhängig davon, ob Sie Kunde, Website-Besucher oder eine andere Person sind, deren Informationen wir gemäß dieser Datenschutzrichtlinie erfasst haben.
Bitte lesen Sie diese Datenschutzrichtlinie sorgfältig durch.
Änderungen dieser Datenschutzrichtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, unter anderem, um Änderungen unserer Praktiken widerzuspiegeln, oder aus anderen betrieblichen, rechtlichen oder regulatorischen Gründen. Wir werden die überarbeitete Datenschutzrichtlinie auf der Website veröffentlichen, das Datum „Zuletzt aktualisiert“ aktualisieren und alle weiteren gesetzlich erforderlichen Schritte unternehmen.
So erfassen und verwenden wir Ihre personenbezogenen Daten
Um die Dienste bereitzustellen, sammeln wir, wie unten aufgeführt. Die von uns gesammelten und verwendeten Informationen variieren je nachdem, wie Sie mit uns interagieren.
Zusätzlich zu den unten aufgeführten spezifischen Verwendungszwecken können wir die über Sie erfassten Informationen verwenden, um mit Ihnen zu kommunizieren, die Dienste bereitzustellen oder zu verbessern, alle geltenden gesetzlichen Verpflichtungen zu erfüllen, alle geltenden Servicebedingungen durchzusetzen und die Dienste, unsere Rechte und die Rechte unserer Benutzer oder anderer zu schützen oder zu verteidigen.
Welche persönlichen Daten sammeln wir?
Die Art der personenbezogenen Daten, die wir über Sie erhalten, hängt davon ab, wie Sie mit unserer Website interagieren und unsere Dienste nutzen. Wenn wir den Begriff „persönliche Informationen“ verwenden, beziehen wir uns auf Informationen, die Sie identifizieren, sich auf Sie beziehen, Sie beschreiben oder mit Ihnen in Verbindung gebracht werden können. In den folgenden Abschnitten werden die Kategorien und spezifischen Arten der von uns erfassten personenbezogenen Daten beschrieben.
Informationen, die wir direkt von Ihnen erfassen
Zu den Informationen, die Sie uns direkt über unsere Dienste übermitteln, können gehören:
- Kontaktdaten einschließlich Ihres Namens, Ihrer Adresse, Telefonnummer und E-Mail-Adresse.
- Bestellinformationen einschließlich Ihres Namens, Ihrer Rechnungsadresse, Lieferadresse, Zahlungsbestätigung, E-Mail-Adresse und Telefonnummer.
- Kontoinformationen einschließlich Ihres Benutzernamens, Passworts, Sicherheitsfragen und anderer Informationen, die für die Kontosicherheit verwendet werden.
- Informationen zum Kundensupport einschließlich der Informationen, die Sie in Ihre Kommunikation mit uns aufnehmen, beispielsweise wenn Sie eine Nachricht über die Dienste senden.
Für einige Funktionen der Dienste ist es möglicherweise erforderlich, dass Sie uns bestimmte Informationen über sich selbst direkt zur Verfügung stellen. Sie können bestimmen, diese Informationen nicht bereitzustellen. Dies kann jedoch dazu führen, dass Sie diese Funktionen nicht nutzen oder nicht darauf zugreifen können.
Von uns erfasste Informationen über Ihre Nutzung
Wir können auch automatisch bestimmte Informationen über Ihre Interaktion mit den Diensten erfassen („Nutzungsdaten“). Zu diesem Zweck verwenden wir möglicherweise Cookies, Pixel und ähnliche Technologien („Cookies“). Nutzungsdaten können Informationen darüber enthalten, wie Sie auf unsere Website und Ihr Konto zugreifen und diese verwenden, darunter Geräteinformationen, Browserinformationen, Informationen zu Ihrer Netzwerkverbindung, Ihre IP-Adresse und andere Informationen zu Ihrer Interaktion mit den Diensten.
Von Dritten erhaltene Informationen
Schließlich können wir Informationen über Sie von Dritten erhalten, darunter von Anbietern und Dienstleistern, die in unserem Namen Informationen erfassen, beispielsweise:
- Unternehmen, die unsere Website und Dienste unterstützen, wie etwa Shopify.
- Unsere Zahlungsabwickler, die Zahlungsinformationen (z. B. Bankkonto, Kredit- oder Debitkarteninformationen, Rechnungsadresse) erfassen, um Ihre Zahlung abzuwickeln, Ihre Bestellungen auszuführen und Ihnen die von Ihnen angeforderten Produkte oder Dienstleistungen bereitzustellen, um unseren Vertrag mit Ihnen zu erfüllen.
- Wenn Sie unsere Website besuchen, E-Mails öffnen oder anklicken, die wir Ihnen senden, oder mit unseren Diensten oder Anzeigen interagieren, können wir oder Dritte, mit denen wir zusammenarbeiten, mithilfe von Online-Tracking-Technologien wie Pixeln, Web Beacons, Software Developer Kits, Bibliotheken von Drittanbietern und Cookies automatisch bestimmte Informationen erfassen.
Alle Informationen, die wir von Dritten erhalten, werden gemäß dieser Datenschutzrichtlinie behandelt. Siehe auch den Abschnitt weiter unten, Websites und Links Dritter.
So verwenden wir Ihre persönlichen Daten
- Bereitstellung von Produkten und Dienstleistungen. Wir verwenden Ihre personenbezogenen Daten, um Ihnen die Dienste bereitzustellen und unseren Vertrag mit Ihnen zu erfüllen, einschließlich der Bearbeitung Ihrer Zahlungen, der Ausführung Ihrer Bestellungen, der Zusendung von Benachrichtigungen in Bezug auf Ihr Konto, Einkäufe, Rücksendungen, Umtausch oder andere Transaktionen, der Erstellung, Pflege und sonstigen Verwaltung Ihres Kontos, der Organisation des Versands, der Erleichterung von Rücksendungen und Umtausch sowie anderer Funktionen und Funktionalitäten in Bezug auf Ihr Konto. Wir können Ihr Einkaufserlebnis auch verbessern, indem wir Shopify ermöglichen, Ihr Konto mit anderen Shopify-Diensten abzugleichen, die Sie möglicherweise verwenden möchten. In diesem Fall verarbeitet Shopify Ihre Daten gemäß seiner Datenschutzrichtlinie und Verbraucherdatenschutzrichtlinie.
- Marketing und Werbung. Wir können Ihre personenbezogenen Daten für Marketing- und Werbezwecke verwenden, beispielsweise um Marketing- und Werbenachrichten per E-Mail, SMS oder Post zu versenden und Ihnen Werbung für Produkte oder Dienstleistungen anzuzeigen. Hierzu gehört gegebenenfalls die Verwendung Ihrer personenbezogenen Daten, um die Dienste und Werbung auf unserer Website und anderen Websites besser anzupassen. Wenn Sie im EWR ansässig sind, ist die Rechtsgrundlage für diese Datenverarbeitungsaktivitäten unser berechtigtes Interesse am Verkauf unserer Produkte gemäß Art. 6, Abs. 1 (f) DSGVO.
- Sicherheit und Betrugsprävention. Wir verwenden Ihre personenbezogenen Daten, um mögliche betrügerische, illegale oder böswillige Aktivitäten zu erkennen, zu untersuchen oder entsprechende Maßnahmen zu ergreifen. Wenn Sie sich für die Nutzung der Dienste entscheiden und ein Konto registrieren, sind Sie für die Sicherheit Ihrer Kontoanmeldeinformationen verantwortlich. Wir empfehlen Ihnen dringend, Ihren Benutzernamen, Ihr Passwort oder andere Zugangsdaten nicht an Dritte weiterzugeben. Wenn Sie glauben, dass Ihr Konto kompromittiert wurde, kontaktieren Sie uns bitte umgehend. Wenn Sie im EWR ansässig sind, ist die Rechtsgrundlage für diese Datenverarbeitungsaktivitäten unser berechtigtes Interesse, die Sicherheit unserer Website für Sie und andere Kunden zu gewährleisten, gemäß Art. 6, Abs. 1 (f) DSGVO.
- Kommunikation mit Ihnen und Serviceverbesserung. Wir verwenden Ihre personenbezogenen Daten, um Ihnen Kundensupport zu bieten und unsere Dienste zu verbessern. Dies liegt in unserem berechtigten Interesse, um Ihnen antworten zu können, Ihnen wirksame Dienstleistungen zu bieten und unsere Geschäftsbeziehung mit Ihnen aufrechtzuerhalten, gemäß Art. 6, Abs. 1 (f) DSGVO.
Cookies
Wie viele Websites verwenden wir Cookies auf unserer Website. Spezifische Informationen zu den Cookies, die wir im Zusammenhang mit der Bereitstellung unseres Shops über Shopify verwenden, finden Sie unter https://www.shopify.com/legal/cookies. Wir verwenden Cookies, um unsere Website und unsere Dienste zu betreiben und zu verbessern (einschließlich der Speicherung Ihrer Aktionen und Präferenzen), um Analysen durchzuführen und die Benutzerinteraktion mit den Diensten besser zu verstehen (in unserem berechtigten Interesse, die Dienste zu verwalten, zu verbessern und zu optimieren). Wir können Dritten und Dienstanbietern außerdem gestatten, Cookies auf unserer Website zu verwenden, um die Dienste, Produkte und Werbung auf unserer Website und anderen Websites besser anzupassen.
Die meisten Browser akzeptieren Cookies standardmäßig automatisch. Sie können Ihren Browser jedoch so einstellen, dass Cookies über die Browsersteuerung entfernt oder abgelehnt werden. Bitte beachten Sie, dass das Entfernen oder Blockieren von Cookies Ihre Benutzererfahrung beeinträchtigen kann und dazu führen kann, dass einige der Dienste, einschließlich bestimmter Funktionen und allgemeiner Funktionalitäten, nicht richtig funktionieren oder nicht mehr verfügbar sind. Darüber hinaus kann das Blockieren von Cookies nicht vollständig verhindern, dass wir Informationen an Dritte, beispielsweise unsere Werbepartner, weitergeben.
Wie wir personenbezogene Daten weitergeben
Unter bestimmten Umständen können wir Ihre personenbezogenen Daten zum Zwecke der Vertragserfüllung, zu legitimen Zwecken und aus anderen Gründen, die dieser Datenschutzrichtlinie unterliegen, an Dritte weitergeben. Zu diesen Umständen können gehören:
- mit Anbietern oder anderen Drittparteien, die in unserem Auftrag Dienstleistungen erbringen (z. B. IT-Management, Zahlungsabwicklung, Datenanalyse, Kundensupport, Cloud-Speicher, Auftragserfüllung und Versand).
- mit Geschäfts- und Marketingpartnern um Ihnen Dienste bereitzustellen und Werbung für Sie zu machen. Unsere Geschäfts- und Marketingpartner verwenden Ihre Daten gemäß ihren eigenen Datenschutzrichtlinien.
- Wenn Sie uns anweisen, auffordern oder uns anderweitig Ihre Zustimmung zur Weitergabe bestimmter Informationen an Dritte erteilen, beispielsweise um Ihnen Produkte zuzusenden oder durch Ihre Nutzung von Social-Media-Widgets oder Login-Integrationen, und zwar mit Ihrer Zustimmung.
- mit unseren Tochtergesellschaften oder anderweitig innerhalb unserer Unternehmensgruppe, in unserem berechtigten Interesse, ein erfolgreiches Geschäft zu führen.
- Im Zusammenhang mit einer Geschäftstransaktion wie einer Fusion oder einem Konkurs, um alle geltenden gesetzlichen Verpflichtungen zu erfüllen (einschließlich der Beantwortung von Vorladungen, Durchsuchungsbefehlen und ähnlichen Anfragen), um alle geltenden Servicebedingungen durchzusetzen und um die Dienste, unsere Rechte und die Rechte unserer Benutzer oder anderer zu schützen oder zu verteidigen.
Wir legen Folgendes offen: die folgenden Kategorien personenbezogener Daten und sensibler personenbezogener Daten über Benutzer:innen für die Zwecke, die oben unter „Wie wir Ihre personenbezogenen Daten sammeln und verwenden“ und „Wie wir personenbezogene Daten offenlegen" dargelegt sind:
| Kategorie | Kategorien von Empfängern |
|---|---|
|
|
Ohne Ihre Zustimmung oder zum Zwecke des Rückschluss auf Ihre persönlichen Daten verwenden oder veröffentlichen wir diese nicht.
Mit Ihrer Zustimmung geben wir personenbezogene Daten zum Zwecke der Durchführung von Werbe- und Marketingaktivitäten wie folgt weiter.
Websites und Links Dritter
Unsere Website enthält möglicherweise Links zu Websites oder anderen Online-Plattformen, die von Dritten betrieben werden. Wenn Sie Links zu Websites folgen, die nicht mit uns verbunden sind oder von uns kontrolliert werden, sollten Sie deren Datenschutz- und Sicherheitsrichtlinien sowie andere Geschäftsbedingungen überprüfen. Wir übernehmen keine Garantie und Verantwortung für den Datenschutz oder die Sicherheit solcher Websites, einschließlich der Richtigkeit, Vollständigkeit oder Zuverlässigkeit der auf diesen Websites gefundenen Informationen. Informationen, die Sie an öffentlichen oder halb-öffentlichen Orten bereitstellen, einschließlich Informationen, die Sie auf Social-Networking-Plattformen Dritter teilen, können möglicherweise auch von anderen Benutzern der Dienste und/oder Benutzern dieser Plattformen Dritter eingesehen werden, ohne dass hinsichtlich der Verwendung durch uns oder Dritte eine Einschränkung besteht. Die Einbeziehung solcher Links durch uns stellt automatisch keine Billigung der Inhalte solcher Plattformen oder ihrer Eigentümer bzw. Betreiber dar, außer wie in den Diensten offengelegt.
Daten von Kindern
Die Dienste sind nicht für die Nutzung durch Kinder vorgesehen, und wir erfassen wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie Elternteil oder Erziehungsberechtigter eines Kindes sind, das uns seine personenbezogenen Daten übermittelt hat, können Sie uns über die unten angegebenen Kontaktdaten erreichen und die Löschung dieser Daten verlangen.
Zum Zeitpunkt des Inkrafttretens dieser Datenschutzrichtlinie liegt uns keine tatsächliche Kenntnis darüber vor, dass wir personenbezogene Daten von Personen unter 16 Jahren „weitergeben“ oder „verkaufen“ (wie diese Begriffe im geltenden Recht definiert sind).
Sicherheit und Aufbewahrung Ihrer Daten
Bitte beachten Sie, dass keine Sicherheitsmaßnahmen perfekt oder undurchdringlich sind und wir keine „perfekte Sicherheit“ garantieren können. Darüber hinaus sind die Informationen, die Sie uns senden, während der Übertragung möglicherweise nicht sicher. Wir empfehlen Ihnen, keine unsicheren Kanäle zu verwenden, um uns sensible oder vertrauliche Informationen mitzuteilen.
Wie lange wir Ihre personenbezogenen Daten aufbewahren, hängt von verschiedenen Faktoren ab, beispielsweise davon, ob wir die Daten benötigen, um Ihr Konto zu verwalten, die Dienste bereitzustellen, gesetzlichen Verpflichtungen nachzukommen, Streitigkeiten beizulegen oder andere geltende Verträge und Richtlinien durchzusetzen.
Ihre Rechte
Je nachdem, wo Sie leben, haben Sie möglicherweise einige oder alle der unten aufgeführten Rechte in Bezug auf Ihre persönlichen Daten. Allerdings sind diese Rechte nicht absolut und gelten nur unter bestimmten Umständen. In bestimmten Fällen können wir Ihre Anfrage im gesetzlich zulässigen Rahmen ablehnen.
- Recht auf Zugang/Information: Sie haben möglicherweise das Recht, Zugriff auf die personenbezogenen Daten zu verlangen, die wir über Sie gespeichert haben, einschließlich Einzelheiten dazu, wie wir Ihre Daten nutzen und weitergeben.
- Recht auf Löschung: Sie haben möglicherweise das Recht, die Löschung der von uns über Sie gespeicherten personenbezogenen Daten zu verlangen.
- Recht auf Berichtigung: Sie haben möglicherweise das Recht, die Korrektur unrichtiger personenbezogener Daten zu verlangen, die wir über Sie gespeichert haben.
- Recht auf Portabilität: Sie haben möglicherweise das Recht, eine Kopie der von uns über Sie gespeicherten personenbezogenen Daten zu erhalten und unter bestimmten Umständen und mit bestimmten Ausnahmen die Übertragung dieser Daten an Dritte zu verlangen.
- Recht auf Widerspruch gegen Verkauf, Weitergabe oder gezielte Werbung: Sie haben möglicherweise das Recht, uns anzuweisen, Ihre personenbezogenen Daten nicht zu „verkaufen“ oder „weiterzugeben“ oder der Verarbeitung Ihrer personenbezogenen Daten zu Zwecken zu widersprechen, die als „gezielte Werbung“ im Sinne der geltenden Datenschutzgesetze gelten. Bitte beachten Sie: Wenn Sie unsere Website mit aktiviertem Opt-out-Präferenzsignal „Global Privacy Control“ besuchen, behandeln wir dies je nach Ihrem Standort automatisch als eine Aufforderung, dem „Verkauf“ oder der „Weitergabe“ von Informationen für das Gerät und den Browser, die Sie zum Besuch der Website verwenden, zu widersprechen.
- Einschränkung der Verarbeitung: Sie haben möglicherweise das Recht, uns aufzufordern, die Verarbeitung Ihrer personenbezogenen Daten einzustellen oder einzuschränken.
- Widerruf der Einwilligung: Wenn wir zur Verarbeitung Ihrer personenbezogenen Daten auf Ihre Einwilligung angewiesen sind, haben Sie möglicherweise das Recht, diese Einwilligung zu widerrufen.
- Recht auf Einspruch: Wenn wir die Bearbeitung Ihres Antrags ablehnen, haben Sie möglicherweise das Recht, gegen unsere Entscheidung Berufung einzulegen. Dies können Sie durch eine direkte Antwort auf unsere Ablehnung tun.
- Kommunikationseinstellungen verwalten: Wir senden Ihnen unter Umständen Werbe-E-Mails und Sie können den Erhalt dieser E-Mails jederzeit ablehnen, indem Sie die in unseren E-Mails an Sie angezeigte Abmeldeoption verwenden. Wenn Sie sich abmelden, senden wir Ihnen möglicherweise noch immer E-Mails ohne Werbezweck, beispielsweise zu Ihrem Konto oder Ihren Bestellungen.
Sie können diese Rechte wie auf unserer Website angegeben ausüben oder indem Sie uns über die unten angegebenen Kontaktdaten kontaktieren.
Wir werden Sie nicht diskriminieren, wenn Sie eines dieser Rechte ausüben. Möglicherweise müssen wir zur Überprüfung Ihrer Identität Informationen von Ihnen erfassen, etwa Ihre E-Mail-Adresse oder Kontoinformationen, bevor wir eine inhaltliche Antwort auf die Anfrage geben können. Gemäß den geltenden Gesetzen können Sie einen autorisierten Vertreter benennen, der in Ihrem Namen Anfragen zur Ausübung Ihrer Rechte stellt. Bevor wir eine solche Anfrage eines Vertreters annehmen, müssen wir von diesem den Nachweis erbringen, dass Sie ihn bevollmächtigt haben, in Ihrem Namen zu handeln. Zudem müssen wir unter Umständen Ihre Identität direkt bei uns bestätigen. Wir werden Ihre Anfrage zeitnah beantworten, wie es das geltende Recht erfordert.
Beschwerden
Wenn Sie Beschwerden über die Art und Weise haben, wie wir Ihre personenbezogenen Daten verarbeiten, kontaktieren Sie uns bitte über die unten angegebenen Kontaktdaten. Wenn Sie mit unserer Antwort auf Ihre Beschwerde nicht zufrieden sind, haben Sie je nach Ihrem Wohnort möglicherweise das Recht, gegen unsere Entscheidung Einspruch einzulegen, indem Sie uns über die unten aufgeführten Kontaktdaten kontaktieren oder Ihre Beschwerde bei Ihrer örtlichen Datenschutzbehörde einreichen. Für den Europäischen Wirtschaftsraum (EWR) finden Sie hier eine Liste der zuständigen Datenschutzaufsichtsbehörden.
Internationale Benutzer
Bitte beachten Sie, dass wir Ihre personenbezogenen Daten möglicherweise außerhalb des Landes übertragen, speichern und verarbeiten, in dem Sie leben. Ihre personenbezogenen Daten werden auch von Mitarbeitern und externen Dienstleistern und Partnern in diesen Ländern verarbeitet.
Wenn wir Ihre personenbezogenen Daten in Länder außerhalb Europas übermitteln, verlassen wir uns dabei auf anerkannte Übermittlungsmechanismen wie die Standardvertragsklauseln der Europäischen Kommission oder gleichwertige Verträge der jeweils zuständigen britischen Behörde, es sei denn, die Datenübertragung erfolgt in ein Land, von dem festgestellt wurde, dass es ein angemessenes Schutzniveau bietet.
Kontakt
Sollten Sie Fragen zu unseren Datenschutzpraktiken oder dieser Datenschutzrichtlinie haben oder eines der Ihnen zustehenden Rechte ausüben wollen, rufen Sie uns bitte an oder schreiben Sie uns eine E-Mail an support@miners.de
Im Sinne der geltenden Datenschutzgesetze und sofern nicht ausdrücklich etwas anderes angegeben ist, sind wir der Verantwortliche für Ihre personenbezogenen Daten.
Data Processing Agreement — PostHog Inc.
This Data Processing Agreement ("Agreement") forms part of the Contract for Services ("Principal Agreement") between (the "Company") and PostHog, Inc. (the "Processor") (together as the "Parties").
In the event of a conflict between this Agreement and the provisions of related agreements, including the Principal Agreement, the terms of this Agreement shall prevail.
WHEREAS
(A) The Company acts as a Controller.
(B) The Company wishes to subcontract certain Services, which imply the processing of personal data, to the Processor.
(C) The Parties seek to implement a data processing agreement that complies with applicable Data Protection Laws (as defined below).
(D) The Parties wish to lay down their rights and obligations.
IT IS AGREED AS FOLLOWS:
1. Definitions and Interpretation
1.1. Unless otherwise defined herein, capitalized terms and expressions used in this Agreement shall have the following meaning:
1.1.1. "Agreement" means this Data Processing Agreement and all Annexes;
1.1.2. "Company Personal Data" means any Personal Data relating to Company's end users provided to or Processed by the Processor on behalf of the Company pursuant to or in connection with the Principal Agreement;
1.1.3. "Data Protection Laws" means all applicable laws relating to Processing of Personal Data and privacy that may exist in any relevant jurisdiction, including European Data Protection Laws and US Data Protection Laws;
1.1.4. "EEA" means the European Economic Area;
1.1.5. "EU Personal Data" means the Processing of Personal Data by the Processor to which data protection legislation of the European Union, or of a Member State of the European Union or EEA, applies;
1.1.6. "European Data Protection Laws" means the GDPR, UK Data Protection Act 2018, the UK GDPR, ePrivacy Directive 2002/58/EC, FADP, and any associated or additional legislation in force in the EU, EEA, Member States of the European Union, Switzerland, and the United Kingdom as amended, replaced or superseded from time to time;
1.1.7. "FADP" means the Swiss Federal Act on Data Protection and its Ordinances, as amended from time to time;
1.1.8. "FDPIC" means the Swiss Federal Data Protection and Information Commissioner;
1.1.9. "GDPR" General Data Protection Regulation EU2016/679;
1.1.10. "UK GDPR" means General Data Protection Regulation (EU) 2016/679 as applicable as part of UK domestic law by virtue of section 3 of the European Union (Withdrawal) Act 2018 and as amended by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (as amended);
1.1.11. "US Data Protection Laws" means all data privacy, data protection, and cybersecurity laws, rules, and regulations of the United States applicable to the Processing of Personal Data under the Principal Agreement. "US Data Protection Laws" may include, but is not limited to, the California Consumer Privacy Act of 2018, as amended by the California Privacy Rights Act of 2020 (together, the "CCPA"), the Colorado Privacy Act ("CPA"), the Connecticut Data Privacy Act ("CTDPA"), the Utah Consumer Privacy Act ("UCPA"), and the Virginia Consumer Data Protection Act ("VACDPA"), and any binding regulations promulgated thereunder, as amended or updated from time to time;
1.1.12. "Protected Area" means (i) in the case of EU Personal Data, the member states of the European Union and the EEA and any country, territory, sector or international organization in respect of which an adequacy decision under Article 45 GDPR is in force or (ii) in the case of UK Personal Data, the United Kingdom and any country, territory, sector or international organization in respect of which an adequacy decision under UK adequacy regulations is in force; or (iii) in the case of Swiss Personal Data, any country, territory, sector or international organization which is recognized as adequate by the FDPIC or the Swiss Federal Council (as the case may be);
1.1.13. "Personal Data" means any information provided by Company to Processor that is protected as "personal data," "personal information," "personally identifiable information," or similar terms defined in Data Protection Laws;
1.1.14. "Services" means the product and data analytics services the Processor provides pursuant to the Principal Agreement , including but not limited to the provision of testing, support, product development, service improvement, benchmarking and troubleshooting and security activities on behalf of the Data Controller, and which may include AI and machine learning tools ("AI Features") if enabled for the Company depending on their use of the services;
1.1.15. "Subprocessor" means any person appointed by or on behalf of Processor to Process Personal Data on behalf of the Company in connection with the Agreement.
1.1.16. "Standard Contractual Clauses" means:
1.1.16.1 in respect of UK Personal Data, the International Data Transfer Addendum to the EU Standard Contractual Clauses, issued by the Information Commissioner and laid before Parliament in accordance with s.119A of the Data Protection Act 2018 on 2 February 2022 ("UK Standard Contractual Clauses"):
1.1.16.2 in respect of EU Personal Data, the standard contractual clauses for the transfer of personal data to third countries pursuant to the GDPR, adopted by the European Commission under Commission Implementing Decision (EU) 2021/914 including the text from module 2 and no other modules and not including any clauses marked as optional, ("EU Standard Contractual Clauses");
1.1.16.3 in respect of Swiss Personal Data, the EU Standard Contractual Clauses with the necessary adaptations and amendments for the purposes of the FADP as required by the FDPIC in its Statement of 27 August 2021;
1.1.17. "Swiss Personal Data" means the Processing of Personal Data by the Processor to which the FADP applies;
1.1.18. "UK Personal Data" means the Processing of Personal Data by the Processor to which the laws of the United Kingdom apply;
1.2. The terms, "Controller", "Data Subject", "Member State", "Personal Data", "Personal Data Breach", "Processing" and "Supervisory Authority" shall have the same meaning as in the GDPR and UK GDPR, and their cognate terms shall be construed accordingly with other Data Protection Laws. For example, Data Subject shall include such analogous terms as Consumer under US Data Protection Laws.
1.3. The terms "sell," "sale," "share," and "sharing," and "Service Provider" shall have the same meanings as in the CCPA.
2. Processing of Company Personal Data
2.1. The Company shall:
2.1.1. ensure that any and all information or data, including without limitation Company Personal Data, is collected, processed, transferred and used in full compliance with Data Protection Laws;
2.1.2. be solely responsible for ensuring that it has all obtained all necessary authorizations and consents from any Data Subjects to Process Company Personal Data and in particular any consents needed to meet the cookie requirements in the ePrivacy Directive 2002/58/EC and any associated national legislation;
2.1.3. instruct the Processor to process Company Personal Data to provide the Services. The Company acknowledges that if AI Features are enabled as part of the Services, such AI Features may use rely on AI functionality (based on OpenAI's model or similar LLMs). Note that the Processor does not use any AI input or output data (including Company Personal Data) to fine tune, train or develop its AI functionality or models for its own purposes nor does the Company allow any third parties (including its Subprocessors) to do this.
2.2. Processor shall:
2.2.1. comply with all applicable Data Protection Laws in the Processing of Company Personal Data; and
2.2.2. not Process Company Personal Data other than on the relevant Company's documented instructions including with regard to data transfers outside of the Protected Area, unless required to do so by laws to which the Processor is subject; in such a case, Processor shall inform the Company of that legal requirement before Processing, unless that law prohibits such information on important grounds of public interest.
2.2.3. notify the Company immediately if, in the Processor's reasonable opinion, an instruction for the Processing of Personal Data given by the Company infringes applicable Data Protection Laws , it being acknowledged that the Processor shall not be obliged to undertake additional work or screening to determine if the Company's instructions are compliant.
2.2.4. not directly or indirectly sell or share any Personal Data;
2.3. Annex I A sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects. The obligations and rights of the Company are as set out in this Agreement
2.4. Processor acknowledges that it is a Service Provider and that all Personal Data that it may receive from Company, Company's employees or consultants, or otherwise acquired by virtue of the performance of services under the Principal Agreement shall be regarded by Processor as strictly confidential and held by Processor in confidence.
2.5. Processor shall not directly or indirectly sell any Personal Data, or retain, use, or disclose any Personal Data for any purpose other than for the purpose of performing services for Company; or retain, use, or disclose any Personal Data outside the scope of this Agreement or the Principal Agreement.
2.6. Processor understands the restrictions in this Section 2 and will comply with them.
2.7. Company, upon written notice, may take reasonable and appropriate steps to stop and remediate unauthorized use of Personal Data, including without limitation, exercising Company's right to conduct an audit of Processor, or terminating the Principal Agreement and exercising Company's right to request deletion or return of Personal Data.
3. Processor Personnel & Confidentiality
3.1. Processor shall take reasonable steps to ensure the reliability of any personnel who may have access to the Company Personal Data, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality with respect to such Company Personal Data.
4. Security
4.1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of Processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Processor shall in relation to the Company Personal Data implement appropriate technical and organizational measures to ensure a level of security appropriate to that risk, including, as appropriate, the measures referred to in Article 32(1) of the GDPR and UK GDPR. These measures include those at Annex II.
5. Subprocessing
5.1. The Company provides Processor with general authorization to engage the Subprocessors set out in Annex III. These will differ depending on the Data Center Location chosen by the Company.
5.2. Processor shall enter into a written contract with any Subprocessor and this contract shall impose upon the Subprocessor equivalent obligations as imposed by this Agreement upon the Processor. Where the Subprocessor fails to fulfil its data protection obligations, Processor shall remain fully liable to the Company for the performance of the Subprocessors obligations.
5.3. Processor may update the list of Subprocessors from time to time as applicable, providing the Company with notice of such update (and an opportunity to object) at least fourteen (14) days in advance of such updates.
5.4. If the Company objects to a Subprocessor, the Company shall notify Processor thereof in writing within seven (7) days after receipt of Processor's updated Subprocessors' list. If the Company objects to the use of the Subprocessor, Processor shall use efforts to address the objection through one of the following options: (a) Processor will cancel its plans to use Subprocessor with regard to Company Personal Data or will offer an alternative to provide the Services without such Subprocessor; or (b) Processor will take any corrective steps requested by the Company in its objection (which would therefore remove the Company's objection) and proceed to use Subprocessor. If none of the above options are reasonably available and the objection has not been sufficiently addressed within thirty (30) days after Processor's receipt of the Company's objection, the Company may terminate the affected Service with reasonable prior written notice.
6. Data Subject Rights and Cooperation
6.1. Taking into account the nature of the Processing, Processor shall assist the Company by implementing appropriate technical and organizational measures, insofar as this is possible, for the fulfillment of the Company obligations, as reasonably understood by Company, to respond to requests to exercise Data Subject rights under applicable Data Protection Laws.
6.2. Processor shall:
6.2.1. notify Company if it receives a request from a Data Subject under any Data Protection Law in respect of Company Personal Data; and
6.2.2. ensure that it does not respond to that request except on the documented instructions of Company or as required by applicable laws to which the Processor is subject.
6.3. To the extent required under Data Protection Laws, Processor shall (taking into account the nature of the processing and the information available to Processor) provide all reasonably requested information regarding the Service to enable the Company to carry out data protection impact assessments or prior consultations with data protection authorities and to assist the Company with meeting its obligations under Article 32 GDPR/UK GDPR as required by Data Protection Laws.
6.4. To the extent that assistance under this Agreement is not included within the Services, the Processor may charge a reasonable fee for any such assistance, save where assistance was required directly as a result of the Processor's own acts or omissions, in which case such assistance will be at the Processor's expense.
7. Personal Data Breach
7.1. Processor shall notify Company without undue delay upon Processor becoming aware of a Personal Data Breach affecting Company Personal Data, providing Company with sufficient information to allow the Company to meet any obligations to report or inform Data Subjects or Supervisory Authorities of the Personal Data Breach under applicable Data Protection Laws.
7.2. Processor shall cooperate with the Company and take reasonable commercial steps as are directed by Company to assist in the investigation, mitigation and remediation of each such Personal Data Breach.
8. Audits
8.1. The Processor shall make available to the Company all information reasonably necessary to demonstrate compliance with this Agreement and at the cost of the Company, allow for and contribute to audits, including inspections by the Company in order to assess compliance with this Agreement.
9. Deletion or return of Company Personal Data
9.1. At the end of the Services, upon the Company's request, Processor shall securely return the Company Personal Data or provide a self-service functionality allowing Company to do the same or delete or procure the deletion of all copies of the Company Personal Data unless applicable laws require storage of such Company or is required to resolve a dispute between the parties or the retention of the Company Personal Data is necessary to combat harmful use of the Services.
10. Data Center Location and Transfers Outside of the Protected Area
10.1. Storage of Personal Data. Company Personal Data will be housed in data centers located in the Data Center Location set out in the Principal Agreement unless the parties otherwise expressly agree in writing.
10.2. Transfers. The Company acknowledges that the Processor will Process the Company Personal Data outside of the Protected Area including in the US and elsewhere as identified in Annex III to provide the Services. Company agrees to authorize the transfers to these countries.
10.3. Data Privacy Framework. Processor confirms that it participates in the EU-US Data Privacy Framework, the UK Extension to this Framework and the Swiss-U.S. Data Privacy Framework (together, the "DPF"). The Supplier undertakes to maintain its self-certification to the DPF; to notify Company without undue delay if Processor determines that it will cease to self-certify to the DPF; and to notify Company immediately if Processor's participation in the DPF is otherwise terminated. In respect of UK Personal Data, Company hereby notifies Processor that Company identifies and treats genetic data, data relating to sexual orientation, biometric data processed for the purpose of uniquely identifying data subjects and data relating to criminal convictions and offenses as sensitive.
10.4. Standard Contractual Clauses. Notwithstanding 10.3, the parties agree to comply with the obligations set out in the Standard Contractual Clauses as though they were set out in full in this Agreement, with the Company as the "data exporter" and the Processor as the "data importer", with the parties signatures and dating of this Agreement being deemed to be the signature and dating of the Standard Contractual Clauses and with Annexes to EU Standard Contractual Clauses and the Appendices to the UK Standard Contractual Clauses being as set out in Annex I and II of this Agreement
10.5. In relation to the EU Standard Contractual Clauses, the Parties agree that:
10.5.1. for the purposes of clause 9, option 2 (general written authorization for subprocessors) shall apply and the Parties agree that the time period for notifying changes to the list shall be in accordance with Clause 5.3 above;
10.5.2. for the purposes of clause 17, the clauses shall be governed by the laws of Ireland;
10.5.3. for the purposes of clause 18, the courts of Ireland shall have jurisdiction; and
10.5.4. for the purposes of clause 13 and Annex I.C, the competent supervisory authority shall be determined in accordance with the GDPR, based on the data exporter's establishment or representative within the EEA.
10.6. In relation to the UK Standard Contractual Clauses, as permitted by clause 17 of such Addendum, the Parties agree to change the format of the information set out in Part 1 of the Addendum so that:
10.6.1. the details of the parties in table 1 shall be as set out in Annex I (with no requirement for signature);
10.6.2. for the purposes of table 2, the Addendum shall be appended to the EU Standard Contractual Clauses as defined above (including the selection of modules and options and the disapplication of optional clauses as noted in the definition above); and
10.6.3. the appendix information listed in table 3 is set out in Annex I and II.
10.7. In relation to Swiss Personal Data that is transferred outside of the Protected Area, the Parties agree that such transfers shall be subject to the EU Standard Contractual Clauses as compiled and completed in Sections 10.2 and 10.3 above, with the following amendments: (a) any references to the GDPR shall be interpreted as references to the FADP; (b) references to the EU and EU Member States shall be interpreted to mean Switzerland; (c) the competent supervisory authority according to Clause 13(a) and Part C of Annex I is the FDPIC insofar as the data transfers are governed by the FADP; (d) the term EU Member State shall not be interpreted in such a way as to exclude data subject in Switzerland from the possibility of suing for their rights in their place of habitual residence in accordance with Clause 18(c) of the EU Standard Contractual Clauses; and (e) until the entry into force of the revised FADP on 1 September 2023, the EU Standard Contractual Clauses shall also protect the personal data of legal entities and legal entities shall receive the same protection under the EU Standard Contractual Clauses as natural persons.
10.8. In the event of any conflict between this Agreement and the Standard Contractual Clauses, the Standard Contractual Clauses shall prevail.
10.9. In the event that a relevant European Commission decision or other valid adequacy method under applicable Data Protection Legislation on which the Company has relied in authorising the data transfer is held to be invalid, or that any supervisory authority requires transfers of personal data made pursuant to such decision to be suspended, or in the event that Processor ceases to participate in the DPF then the parties will agree to use a suitable and appropriate alternative transfer solution.
11. General Terms
11.1. Confidentiality. Each Party must keep this Agreement and information it receives about the other Party and its business in connection with this Agreement ("Confidential Information") confidential and must not use or disclose that Confidential Information without the prior written consent of the other Party except to the extent that:
11.1.1. disclosure is required by law;
11.1.2. the relevant information is already in the public domain.
11.2. Notices. All notices and communications given under this Agreement must be in writing and will be delivered personally, sent by post or sent by email to the address or email address set out in the heading of this Agreement at such other address as notified from time to time by the Parties changing address,
11.3. Governing Law and Jurisdiction. This Agreement is governed by the laws and choice of jurisdiction stipulated in the Principal Agreement.