Dieser Datenschutznachtrag („DPA“) ist Teil des Rahmenabonnementvertrags zwischen Aryaka und Kunde (sofern zutreffend, die „Zustimmung") unter welchen Aryaka erbringt die Dienstleistungen für den Kunden. Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung.
- 1.DEFINITIONEN
- 1.1"Regler" bezeichnet die juristische Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
- 1.2 „Datenschutzgesetze“ bezeichnet alle Gesetze, die für die Verarbeitung personenbezogener Daten durch die jeweilige Partei gelten.
- 1.3 „Betroffene Person“ bezeichnet jede Person, über die im Rahmen dieses DPA personenbezogene Daten verarbeitet werden dürfen.
- 1.4 "Persönliche Daten" bezeichnet Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die der Kunde den Diensten zur Verfügung stellt.
- 1.5 "Verfahren" or "Wird bearbeitet" bezeichnet jeden Vorgang oder jede Vorgangsreihe, die im Zusammenhang mit personenbezogenen Daten oder Sätzen personenbezogener Daten ausgeführt wird, unabhängig davon, ob diese mit oder ohne Hilfe automatisierter Verfahren erfolgen, wie z , Verbreitung oder sonstige Bereitstellung, Zuordnung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung personenbezogener Daten.
- 1.6 "Prozessor" bezeichnet die juristische Person, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
- 2. Verhältnis zwischen den Parteien. Kunde u Aryaka einen Dienstleistungsvertrag abgeschlossen haben. Die Parteien erkennen an, dass der Kunde für die Zwecke der Vereinbarung ein Verantwortlicher ist Aryaka ist ein Prozessor. Die Parteien verarbeiten personenbezogene Daten im Einklang mit der Vereinbarung und den geltenden Datenschutzgesetzen
- 3. Pflichten des Kunden. Der Kunde stellt nur personenbezogene Daten zur Verfügung, die angemessen, relevant und vernünftigerweise notwendig sind Aryaka um die Dienstleistungen zu erbringen. Der Kunde sichert zu und garantiert, dass er personenbezogene Daten erfasst und offenlegt Aryaka hält alle geltenden Datenschutzgesetze ein.
- 4. Anweisungen. . Aryaka verarbeitet die personenbezogenen Daten nur (i) gemäß den Anweisungen des Kunden, wie in der Vereinbarung dokumentiert und in Anhang IB näher beschrieben; und (ii) soweit dies zur Einhaltung des geltenden Rechts erforderlich ist, vorausgesetzt, dass Aryaka ist nicht verpflichtet, einer Anweisung des Kunden Folge zu leisten, die (nach vernünftiger Einschätzung von Aryaka) weil Aryaka gegen geltendes Recht verstoßen. Aryaka wird den Kunden informieren, wenn er der Ansicht ist, dass Anweisungen des Kunden bezüglich der Verarbeitung personenbezogener Daten gegen geltendes Datenschutzrecht verstoßen würden.
- 5. Security. Aryaka wird angemessene Schritte unternehmen, um geeignete technische und organisatorische Maßnahmen umzusetzen, die darauf abzielen, personenbezogene Daten vor erwarteten Bedrohungen oder Gefahren für ihre Sicherheit, Vertraulichkeit oder Integrität zu schützen. Aryaka stellt sicher, dass sich die zur Verarbeitung personenbezogener Daten berechtigten Personen zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
- 6. Datenleck. Aryaka wird den Kunden jederzeit unverzüglich benachrichtigen Aryaka erfährt, dass eine Sicherheitsverletzung vorliegt, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die verarbeiteten personenbezogenen Daten führt (jeweils ein „Datenleck“), es sei denn, dies ist durch geltendes Recht verboten oder anderweitig von Strafverfolgungs- oder Aufsichtsbehörden angeordnet. Unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen Aryaka, Aryaka wird angemessene Schritte unternehmen, um den Kunden auf begründeten Wunsch des Kunden bei der Einhaltung seiner Meldepflichten bezüglich Datenschutzverletzungen gemäß geltendem Recht zu unterstützen. Aryaka behält sich das Recht vor, dem Kunden für jede angeforderte Unterstützung eine angemessene Gebühr in Rechnung zu stellen.
- 7. Zurück oder Disposal. Innerhalb von 30 Tagen nach Beendigung des Vertrags kann der Kunde dies verlangen Aryaka alle personenbezogenen Daten vernichten oder an den Kunden zurückgeben, es sei denn, das geltende Recht verlangt die Speicherung der personenbezogenen Daten durch Aryaka.
- 8. Audits; Anfragen. Auf begründeten Antrag des Kunden (höchstens einmal im Jahr auszuüben, es sei denn, eine Aufsichtsbehörde verlangt häufiger) Aryaka wird dem Kunden unverzüglich alle in seinem Besitz befindlichen Informationen zur Verfügung stellen, die für den Nachweis erforderlich sind Aryaka's die Einhaltung seiner Verpflichtungen aus diesem DPA und wird angemessene Prüfungen ermöglichen und dazu beitragen. Alle bereitgestellten Informationen werden Aryakavertrauliche Informationen und dürfen ohne diese Informationen nicht weitergegeben werden Aryakadie vorherige schriftliche Zustimmung von 's, sofern dies nicht gesetzlich vorgeschrieben ist.
- 9. Unterauftragsvergabe. Der Kunde autorisiert Aryaka zur Weitergabe personenbezogener Daten an Unterauftragsverarbeiter zum Zweck der Bereitstellung der Dienste für den Kunden. Aryaka führt eine Liste der Unterauftragsverarbeiter. Eine aktuelle Liste der Unterauftragsverarbeiter ist in Anhang III enthalten. Aryaka wird den Kunden 14 Tage im Voraus benachrichtigen, wenn er einen Unterauftragsverarbeiter zu dieser Liste hinzufügt, und ihm die Möglichkeit geben, dieser Aufnahme zu widersprechen. Wenn Aryaka Geht innerhalb von 14 Tagen nach der Mitteilung kein Widerspruch ein, gilt der Unterauftragsverarbeiter als vom Kunden akzeptiert. Aryaka schließt mit diesem Unterauftragsverarbeiter eine Vereinbarung ab, die ähnliche Datenschutzbestimmungen wie diese DPA enthält.
- 10 Aryaka Hilfe. Auf begründeten Wunsch des Kunden und unter Berücksichtigung der Art der Verarbeitung, Aryaka wird angemessene Schritte unternehmen, um den Kunden bei seiner Verpflichtung zu unterstützen, auf Anfragen betroffener Personen zur Ausübung ihrer Rechte nach geltendem Recht zu reagieren, indem geeignete technische und organisatorische Maßnahmen ergriffen werden. Unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen Aryaka, Aryaka Darüber hinaus wird der Kunde auf begründeten Wunsch des Kunden bei der Erfüllung seiner Compliance-Verpflichtungen hinsichtlich der Durchführung von Datenschutz-Folgenabschätzungen und damit verbundenen Konsultationen von Aufsichtsbehörden unterstützt. Aryaka behält sich das Recht vor, dem Kunden für die angeforderte Unterstützung eine angemessene Gebühr in Rechnung zu stellen.
- 11 Bestimmungen des California Consumer Privacy Act (CCPA).
- 11.1 Einhaltung gesetzlicher Vorschriften. Aryaka wird das gleiche Maß an Datenschutz für personenbezogene Daten von Einwohnern Kaliforniens gewährleisten, wie es vom Kunden im Rahmen des CCPA gefordert wird. Aryaka wird den Kunden schriftlich benachrichtigen, wenn Aryaka stellt fest, dass es seinen Verpflichtungen aus dem CCPA nicht mehr nachkommen kann. Der Kunde hat das Recht, nach Mitteilung an Aryaka, angemessene und angemessene Schritte zu unternehmen, um die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben, auch wenn Aryaka hat den Kunden darüber informiert, dass er seinen CCPA-Verpflichtungen nicht mehr nachkommen kann.
- 11.2 Einschränkung der Verarbeitung. Auf keinen Fall darf Aryaka: (a) personenbezogene Daten von Einwohnern Kaliforniens gegen eine finanzielle oder andere Gegenleistung an Dritte weiterzugeben oder personenbezogene Daten an Dritte für kontextübergreifende Verhaltenswerbung weiterzugeben; (b) personenbezogene Daten von Einwohnern Kaliforniens zum kommerziellen Nutzen an Dritte weiterzugeben Aryaka oder Dritte; (c) personenbezogene Daten von Einwohnern Kaliforniens außerhalb aufzubewahren, zu verwenden oder offenzulegen Aryaka's direkte Geschäftsbeziehung mit dem Kunden oder für einen anderen kommerziellen Zweck als die im Vertrag genannten oder anderweitig durch geltende Gesetze zulässigen Geschäftszwecke; oder (d) personenbezogene Daten von Einwohnern Kaliforniens mit personenbezogenen Daten kombinieren Aryaka von anderen Personen oder im Namen anderer Personen Daten erhält oder Daten aus der eigenen Interaktion mit der betroffenen Person sammelt, sofern dies nicht nach geltendem Recht zulässig ist. Aryaka bescheinigt, dass es die vorstehenden Einschränkungen versteht und einhalten wird.
- 12 Datenübertragungen
- 12.1 Eingeschränkte Übermittlung personenbezogener Daten gemäß DSGVO. Die EU-Standardvertragsklauseln (Modul 2 Controller to Processor) ((EU) 2021/914), verfügbar unter [www.aryaka.com/SCC2021-Controller-to-Processor/] („EU-Standardvertragsklauseln“), die hierin durch Verweis einbezogen werden, gelten zusammen mit den beigefügten Anhängen I und II für jede Übertragung personenbezogener Daten, die dem allgemeinen Datenschutz der EU unterliegt Verordnung ((EU) 2016/679) („DSGVO“). Ungeachtet des Vorstehenden gelten die EU-Standardvertragsklauseln nicht, soweit die Übertragung durch (i) eine Entscheidung einer zuständigen Behörde mit Zuständigkeit für den Kunden abgedeckt ist, in der erklärt wird, dass eine Gerichtsbarkeit ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet (eine „Angemessenheitsentscheidung“) “).
- 12.1.1 In Ziffer 9 vereinbaren die Parteien, dass Option 2 gemäß Abschnitt [9] (Unterauftragsvergabe) Anwendung findet.
- 12.1.2 Die optionale Formulierung in Klausel 11 ist ausgeschlossen.
- 12.1.3 In Abschnitt 17 unterliegen die EU-Standardvertragsklauseln den Gesetzen der Niederlande.
- 12.1.4 In Abschnitt 18 gilt: dispRechtsstreitigkeiten, die sich aus den Standardvertragsklauseln der EU ergeben, werden von den Gerichten der Niederlande entschieden.
- 12.1.5 In Anhang IC ist die Datenschutzbehörde am Sitz des Kunden die zuständige Aufsichtsbehörde.
- 12.2.Eingeschränkte Überweisungen aus der Schweiz. Die in diesem Abschnitt geänderten EU-Standardvertragsklauseln gelten für alle Übermittlungen personenbezogener Daten, die dem Schweizer Bundesgesetz über den Datenschutz (DSG) unterliegen und nicht anderweitig einem Angemessenheitsbeschluss unterliegen:
- 12.2.1 Der Begriff „EU-Mitgliedstaat“ darf nicht intern seinerpDie Daten sind so zu gestalten, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen sind, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Artikel 18 Buchstabe c geltend zu machen.
- 12.2.2 Verweise in den EU-Standardvertragsklauseln auf die DSGVO sind als Verweise auf das DSG zu verstehen.
- 12.2.3 In Klausel 17 unterliegen die EU-Standardvertragsklauseln dem Recht der Schweiz.
- 12.2.4 Im Anhang IC ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die zuständige Aufsichtsbehörde.
- 12.3 Eingeschränkte Übertragungen von United Kingdom. Sofern die Übermittlung personenbezogener Daten den Gesetzen des jeweiligen Landes unterliegt United Kingdom (einschließlich der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs) und nicht anderweitig einer Angemessenheitsentscheidung unterliegen, vereinbaren die Parteien Folgendes:
- 12.3.1 Die Bestimmungen des UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, Version B1.0, in Kraft ab 21. März 2022, verfügbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf („UK Addendum“), einschließlich Teil 2 „Obligatorische Klauseln“, werden durch Bezugnahme hierin aufgenommen und gelten in vollem Umfang;
- 12.3.2 In Tabelle 1 des UK Addendums sind die Namen der Parteien, ihre Rollen und ihre Einzelheiten im beigefügten Anhang 1 aufgeführt;
- 12.3.3 In den Tabellen 2 und 3 des UK-Addendums gilt Modul 2 der EU-Standardvertragsklauseln, die durch Verweis in dieses DPA aufgenommen wurden, einschließlich der in den beigefügten Anhängen dargelegten Informationen; Und
- 12.3.4.In Tabelle 4 des UK-Addendums kann jede Partei das UK-Addendum beenden.
- 13 KONFLIKTE; Durchsetzbarkeit. Sollte eine Bestimmung dieser DPA von einem zuständigen Gericht für ungültig oder nicht durchsetzbar befunden werden, führt diese Feststellung nicht dazu, dass eine andere Bestimmung dieser DPA oder ein anderer Vertrag zwischen dem Kunden und dem Kunden ungültig oder nicht durchsetzbar wird Aryaka. Dieses DPA ergänzt die Vereinbarung. Im Falle von Widersprüchen zwischen der Vereinbarung und dieser DPA hat diese DPA Vorrang. Alle anderen Bestimmungen oder Verpflichtungen aus der Vereinbarung, die ansonsten von dieser DPA unberührt bleiben, bleiben in vollem Umfang in Kraft und wirksam. Wenn diese DPA oder Maßnahmen, die zur Erfüllung dieser DPA ergriffen werden oder in Betracht gezogen werden, den Verpflichtungen einer der Parteien gemäß den für jede Partei geltenden Gesetzen nicht genügen oder nicht genügen würden, werden die Parteien nach Treu und Glauben über eine entsprechende Änderung verhandeln diese Datenschutzbehörde.
ANHANG I.
A. LISTE DER PARTEIEN
Datenexporteur(e):
Name: Siehe Bestellformular zwischen Kunde und Aryaka.
Adresse: Siehe Bestellformular zwischen Kunde und Aryaka.
Name, Position und Kontaktdaten der Kontaktperson: Siehe Bestellformular zwischen Kunde und Aryaka.
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Siehe Vereinbarung zwischen Kunde und Aryaka.
Unterschrift und Datum: ————-
Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher
Datenimporteur(e):
Name: Aryaka Networks, Inc.
Adresse: 3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 USA
Name, Position und Kontaktdaten der Kontaktperson: Edward Frye, Leiter Informationssicherheit, [E-Mail geschützt] .
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Siehe Vereinbarung zwischen den Parteien.
Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter
B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
- Personen, zu denen das Personal des Kunden, Leiharbeiter, Berater und alle Personen gehören, die mit der Belegschaft des Kunden verbunden sind oder das System und die angebotenen Dienste nutzen.
Die Kunden, Lieferanten, Partner, Anbieter und alle Dritten des Kunden, von denen der Kunde möglicherweise personenbezogene Daten besitzt. Kategorien der übertragenen personenbezogenen Daten:
- Informationen über Benutzer des Kunden, einschließlich ihrer Kontaktdaten, oder alle Informationen, die freiwillig mitgeteilt werden Aryaka über die Dienste oder alternative Kanäle.
Metadaten, die für die Bereitstellung von Diensten, die auf die spezifische Umgebung des Kunden zugeschnitten sind, unerlässlich sind. Diese Metadaten umfassen Attribute wie Dateidetails, Dateityp, Hash-Werte, Befehlszeilenargumente, Netzwerkzugriffsdaten (einschließlich IP-Adressen und Protokolle) und netzwerkbezogene Informationen (einschließlich interner Netzwerk-IP-Adressen, öffentlicher IP-Adressen und Website). URL Daten).Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufbewahrung eine Aufzeichnung des Zugriffs auf die Daten, Einschränkungen bei der Weitergabe oder zusätzliche Sicherheitsmaßnahmen:
Im Allgemeinen keine. Allein im Hinblick auf „Secure Web Gateway“- und Firewall-Dienste sind jedoch alle sensiblen Daten, die im durch die Dienste fließenden Datenverkehr des Kunden sichtbar oder offengelegt werden, zufällig und hängen von der Nutzung dieser Dienste durch den Kunden ab.
Die Häufigkeit der Übertragung: Kontinuierlich
Art der Verarbeitung:
Aryaka Sicherheit am Service Edge (SASE) Dienstleistungen stellen ein modernisiertes Unternehmen darerpErhöhung des Netzwerkperimeters, realisiert durch eine eng integrierte Kombination aus Netzwerk- und Sicherheitssoftware. Dieses System verbindet Zweigstellen, mobile Benutzer sowie physische und physische Benutzer cloud-basierte Rechenzentren, die eine sichere und zuverlässige Verbindung sowohl für das Wide Area Network (WAN) und Internetzugang
Zweck(e) der Datenübermittlung und Weiterverarbeitung:
Bereitstellung der Dienstleistungen für den Kunden gemäß der zwischen den Parteien geschlossenen Vereinbarung und Bestellung.
Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieser Dauer verwendet werden: Personenbezogene Daten werden für den Zeitraum aufbewahrt, der für die Erbringung der Dienstleistungen im Rahmen der Vereinbarung erforderlich ist, es sei denn, das geltende Recht schreibt einen längeren Zeitraum vor.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter bitte auch den Betreff angeben mattArt und Dauer der Verarbeitung: Siehe Beschreibung oben.
ANHANG II – SICHERHEITSMASSNAHMEN
Aryaka unterhält verschiedene Richtlinien, Standards und Prozesse, die dazu dienen, personenbezogene Daten zu schützen. Es folgt eine Beschreibung einiger der wichtigsten technischen und organisatorischen Sicherheitsmaßnahmen, die von Aryaka.
Physische Zugangskontrollen
Aryaka implementiert und unterhält Maßnahmen, um zu verhindern, dass unbefugte Personen physischen Zugang erhalten Aryaka Standorte.
Technische Zugangskontrollen
Aryaka implementiert und unterhält Maßnahmen, die den Zugriff Unbefugter verhindern sollen AryakaDatenverarbeitungssysteme, einschließlich:
- Hybrider Distributed Denial-of-Service (DDoS)-Schutz mit integrierter Erkennung und Abwehr (vor Ort oder im Internet). cloud) mit cloud-basierte volumetrische DDoS-Angriffsprävention und ERT-Unterstützung (Emergency Response Team) rund um die Uhr; Und
- Netzwerk-Edge-Sicherheit bietet fortschrittliche Perimeter-Sicherheitslösungen, die in das Software Defined Wide Area Network des Kunden integriert sind (SD-WAN) Gerät.
Datenzugriffskontrollen
Aryaka implementiert und unterhält Maßnahmen, die darauf abzielen, den Zugriff auf sein Datenverarbeitungssystem auf Personen zu beschränken, die einen solchen Zugriff im Rahmen und in dem Umfang benötigen, der durch ihre jeweilige Zugriffserlaubnis (Autorisierung) abgedeckt ist.
Jobkontrollen
Aryaka implementiert und unterhält Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten, die bei der Erbringung der Dienstleistungen für den Kunden verarbeitet werden, ausschließlich in Übereinstimmung mit der Vereinbarung verarbeitet werden.
Verfügbarkeitskontrollen
Aryaka implementiert und unterhält Maßnahmen zum Schutz personenbezogener Daten vor Offenlegung, versehentlicher oder unbefugter Zerstörung oder Verlust.
ANHANG III – LISTE DER UNTERVERARBEITER
Zwangsversteigerung:
Verwendung: Kundenbeziehungsmanagement
Standort, an dem die Instanz ansässig ist: Vereinigte Staaten
Zugegriffen von Aryaka Personal aus: USA, India, Germany, United Kingdom, Canada, Australia, Japan, Niederlande, Süden Korea, und die Schweiz
NetSuite:
Verwendung: Buchhaltung
Standort, an dem die Instanz ansässig ist: Vereinigte Staaten
Zugegriffen von Aryaka Personal aus: Vereinigte Staaten und India
Zuora:
Verwendung: Abrechnung
Standort, an dem die Instanz ansässig ist: Vereinigte Staaten
Zugegriffen von Aryaka Personal aus: Vereinigte Staaten und India
Markto:
Verwendung: Marketing und Messaging
Standort, an dem die Instanz ansässig ist: Vereinigte Staaten
Zugegriffen von Aryaka Personal aus: USA, United Kingdom und India