Last updated on 09/26/2024
Data Processing Agreement
Effective from October 12, 2024. Click HERE to see the previous version.
This Data Processing Agreement (hereinafter “DPA”) is applicable between the company RINGO (trading under the name MODJO), a simplified joint stock company with a capital of 38,666.31 euros registered in the trade and companies register of Nanterre under number 879 606 283, and whose registered office is located at 59, avenue Sainte-Foy - 92200 Neuilly-sur-Seine, France (hereinafter “RINGO”) and each of its Client as identified in the Order Form (hereinafter the “Client”).
Preamble
Im Zusammenhang mit der Erfüllung des/der Auftragsform(en) und der angehängten Allgemeinen Geschäftsbedingungen Modjo (T&Cs), die zwischen RINGO und dem Kunden geschlossen wurden, beauftragt der Kunde als Controller RINGO als Prozessor mit der Verarbeitung von persönlichen Daten.
Diese Datenschutzvereinbarung ist dem Bestellformular und den Allgemeinen Geschäftsbedingungen Modjo beigefügt.
The parties intend to comply with all applicable regulations regarding the Processing of Personal Data, and in particular the French law n°78-17 of 6 January 1978 (known as "Loi Informatique et Libertés") as amended and the EU General Regulation on the Protection of Personal Data n°2016-679 dated 27 April 2016 ("GDPR").
Die Parteien haben sich auf diesen Vertrag geeinigt, um die Einhaltung von Artikel 28(3) und (4) GDPR zu gewährleisten. Dieser Vertrag gilt für die Verarbeitung von personenbezogenen Daten, wie in Artikel 1 beschrieben.
Es wird ausdrücklich vereinbart, dass die in diesem Vertrag verwendeten Begriffe mit Großbuchstaben (z.B. Controller, Personal Data, Service, ...) den Definitionen in GDPR und in den T&Cs entsprechen. Dieser Vertrag ist im Lichte der Bestimmungen von GDPR zu lesen und auszulegen.
1. Description of Processings
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien der personenbezogenen Daten und die Verarbeitungszwecke, für die die personenbezogenen Daten im Auftrag des Kunden in seiner Eigenschaft als Controller verarbeitet werden, sind:
- Kategorien von Datensubjekten: deren personenbezogene Daten verarbeitet werden: die Mitarbeiter des Kunden und die Angestellten, die die von RINGO angebotenen Dienstleistungen nutzen, die Kontakte des Kunden, Interessenten und Kunden.
- Kategoriender verarbeiteten personenbezogenen Daten: Daten im Zusammenhang mit der Identifizierung der Datensubjekte (Name, Spitzname, Kontaktdaten und E-Mail), Daten im Zusammenhang mit Besprechungen, Telefonanrufen und Videokonferenzaufzeichnungen, Daten im Zusammenhang mit der Nutzung des Dienstes wie Kommentare, Bewertungen, Übersetzungen und intelligente Zusammenfassungen und Bewertungen, die auf den Diensten vorgenommen wurden, Daten im Zusammenhang mit E-Mails, die zwischen den Datensubjekten ausgetauscht wurden, Daten im Zusammenhang mit E-Mails zur Erinnerung an Besprechungen und Daten im Zusammenhang mit Netzwerken.
- Objekt derVerarbeitung: die Erbringung der Dienstleistung durch RINGO und ihre Nutzung durch den Kunden gemäß dem/den Auftragsformular(en) und den beigefügten T&Cs, die zwischen RINGO und dem Kunden abgeschlossen wurden.
- Artder Verarbeitung: die Erhebung und Analyse von Daten einschließlich personenbezogener Daten im Auftrag des Kunden.
- Purposesof the processing: the performance by RINGO, on behalf of the Client, of the Service, mainly the collection, recording, and analysis of meetings, phone calling, video conference recordings and emails, and the filling of the customer relationship management software as well as the assistance, back-up, security and maintenance services attached to the Service.
- Categoriesof data subjects: whose personal data is processed: the Client's staff and employees using the services provided by RINGO, the Client's contacts, prospects, and customers.
Kategoriender verarbeiteten personenbezogenen Daten: Daten im Zusammenhang mit der Identifizierung der Datensubjekte (Name, Spitzname, Kontaktdaten und E-Mail), Daten im Zusammenhang mit Besprechungen, Telefonanrufen und Videokonferenzaufzeichnungen, Daten im Zusammenhang mit der Nutzung des Dienstes wie Kommentare, Bewertungen, Übersetzungen und intelligente Zusammenfassungen und Bewertungen, die auf den Diensten vorgenommen wurden, Daten im Zusammenhang mit E-Mails, die zwischen den Datensubjekten ausgetauscht wurden, Daten im Zusammenhang mit E-Mails zur Erinnerung an Besprechungen und Daten im Zusammenhang mit Netzwerken.
Zweck der Verarbeitung: die Erbringung der Dienstleistung durch RINGO und ihre Nutzung durch den Kunden, in Übereinstimmung mit dem/den Auftragsformular(en) und den beigefügten T&Cs, die zwischen RINGO und dem Kunden abgeschlossen wurden.
Art der Verarbeitung: die Erhebung und Analyse von Daten einschließlich personenbezogener Daten im Auftrag des Kunden.
Zweck der Verarbeitung: die Leistung von RINGO, im Auftrag des Kunden, des Dienstes, im Namen der Sammlung, der Aufzeichnung, und der Analyse von Besprechungen, Telefonanrufen, Videokonferenzaufzeichnungen und E-Mails, und das Ausfüllen der Software zur Verwaltung von Kundenbeziehungen sowie die Unterstützung, Sicherung, Sicherheit und Wartung der Dienste, die mit dem Dienst verbunden sind.
Dauer der Verarbeitung: Persönliche Daten werden von RINGO für die Dauer der Vertragsbeziehung des Kunden verarbeitet, Protokolle werden für einen Zeitraum von einem (1) Jahr gespeichert. Wenn die Funktion AI Assistant vom Kunden aktiviert wird, werden die Daten von OpenAI für maximal 30 Tage zum Zweck der Inhaltsmoderation und der Missbrauchsverhinderung gespeichert.
2. Anleitung
RINGO wird personenbezogene Daten nur auf dokumentierte Anweisungen des Kunden und in Übereinstimmung mit den vorstehenden Bestimmungen verarbeiten, es sei denn, dies ist nach dem Recht der Union oder eines Mitgliedstaates, dem RINGO unterliegt, erforderlich. In diesem Fall wird RINGO den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Nachfolgende Anweisungen können auch vom Kunden während der gesamten Dauer der Verarbeitung personenbezogener Daten erteilt werden. Diese Anweisungen sollten stets dokumentiert werden.
Wenn RINGO der Ansicht ist, dass eine der Anweisungen des Kunden eine Verletzung der anwendbaren Vorschriften über den Schutz personenbezogener Daten darstellt, wird RINGO den Kunden unverzüglich informieren. RINGO wird in keiner Weise für die Anweisungen und Entscheidungen des Kunden und deren mögliche Folgen haftbar gemacht werden.
Die Bestimmungen dieses Vertrags sowie die Aktivierung der Übersetzungs- und KI-Assistentenfunktionen durch den Kunden, seine Administratoren oder Benutzer stellen dokumentierte Anweisungen vom Kunden an RINGO dar.
3. Purpose Limitation
RINGO wird die persönlichen Daten nur für die Zwecke der Verarbeitung, wie in Artikel 1 beschrieben, verarbeiten, es sei denn, sie erhält weitere Anweisungen vom Kunden.
4. Duration of the Processing of Personal Data
RINGO verarbeitet die persönlichen Daten nur für die Dauer der Verarbeitung, wie in Artikel 1 beschrieben, es sei denn, sie erhält weitere Anweisungen vom Kunden.
5. Sicherheit der Verarbeitung
RINGO verpflichtet sich, angemessene technische und organisatorische Sicherheitsmaßnahmen einzuführen, um die Sicherheit der von ihr verarbeiteten persönlichen Daten gegen jede Zerstörung, Verlust, Verfälschung, unbefugte Weitergabe von oder Zugang zu ihnen oder jede andere Form der unbefugten Verarbeitung zu gewährleisten. In assessing the appropriate level of security, RINGO takes due account of the state of the art, the costs of implementation, the nature, scope, context and purposes of processing, and the risks involved for the data subjects.
Eine Beschreibung dieser Maßnahmen wurde von RINGO in Übereinstimmung mit Artikel 32 der GDPR erstellt und ist auf schriftliche Anfrage erhältlich.
Wenn die Funktion AI Assistant vom Client aktiviert wird, stimmt der Client zu, dass die implementierten Sicherheitsmaßnahmen denen der OpenAI-Sicherheitsrichtlinie entsprechen.
RINGO gewährt seinen Mitarbeitern Zugang zu den zu verarbeitenden personenbezogenen Daten nur in dem Umfang, der für die Implementierung, Verwaltung und Überwachung des Dienstes unbedingt erforderlich ist. RINGO stellt sicher, dass Personen, die zur Verarbeitung der erhaltenen personenbezogenen Daten befugt sind, einer angemessenen vertraglichen Verpflichtung zur Vertraulichkeit unterliegen.
6. Dokumentation und Compliance
RINGO wird dem Kunden alle Informationen zur Verfügung stellen, die notwendig sind, um die Einhaltung der Verpflichtungen, die in diesem Vertrag festgelegt sind und direkt aus der GDPR hervorgehen, zu demonstrieren.
Auf Wunsch des Kunden wird RINGO auch Audits der Verarbeitungstätigkeiten, die unter diesen Vertrag fallen, in angemessenen Intervallen oder wenn es Hinweise auf eine Nichteinhaltung gibt, zulassen und dazu beitragen.
The reasonable intervals mean that an audit may be carried out at the rate of one (1) time per calendar year, and with sixty (60) days' written notice to RINGO.
Diese Prüfung muss in einer Weise durchgeführt werden, die die Sicherheit und Vertraulichkeit von RINGOs Dokumentation und Verfahren respektiert. It will last no more than one (1) day and will be held during normal business hours at RINGO's location.
The Controller may decide to carry out the audit itself or to appoint an independent auditor, chosen by mutual agreement between the parties and subject to an obligation of confidentiality.
Ungeachtet jeglicher gegenteiliger Bestimmungen ist der Kunde für alle Kosten und/oder Ausgaben verantwortlich, die als Ergebnis dieses Besuchs entstehen.
The parties shall make the information set out in this clause, including the results of any audit, available to the competent supervisory authority(ies) on request.
7. Verwendung von Sub-Prozessoren
RINGO hat die allgemeine Genehmigung des Kunden für den Einsatz von Sub-Prozessoren, die in der vereinbarten Liste (Anhang 1) aufgelistet sind.
RINGO verpflichtet sich, auf Anfrage des Kunden eine aktuelle Liste seiner Sub-Prozessoren und deren Verarbeitungstätigkeiten bereitzustellen.
RINGO muss den Kunden über beabsichtigte Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Sub-Prozessoren mindestens fünfzehn (15) Tage vor dem Hinzufügen oder Ersetzen des Datums des betreffenden Sub-Prozessors informieren.
Der Kunde kann der Verwendung eines neuen Unterprozessors durch RINGO widersprechen, indem er RINGO unverzüglich schriftlich (z.B. per E-Mail) und vor der Hinzufügung oder dem Ersatzdatum des betreffenden Unterprozessors benachrichtigt. In the event the Client objects, RINGO will use reasonable efforts to make available to the Client a change in the Service or recommend a commercial reasonable change to Client's configuration or use of the Service to avoid processing of Personal Data by the objected-to new sub-processor. Wenn RINGO nicht in der Lage ist, eine solche Änderung innerhalb eines angemessenen Zeitraums, der dreißig (30) Tage nicht überschreiten darf, zur Verfügung zu stellen, kann der Kunde das anwendbare Auftragsformular nur in Bezug auf die Dienste kündigen, die von RINGO ohne die Verwendung des objected-to new sub-processor nicht erbracht werden können, indem er RINGO schriftlich benachrichtigt, wobei ein Rücksendeempfang gefordert wird.
Das Fehlen von Einwänden des Kunden wird als Zustimmung des Kunden zu den Änderungen, die sich auf die Liste der Unterprozessoren auswirken, angesehen.
Wenn RINGO einen Sub-Prozessor beauftragt, spezifische Verarbeitungstätigkeiten im Namen des Kunden durchzuführen, ist der Sub-Prozessor von RINGO verpflichtet, im Wesentlichen die gleichen Datenschutzverpflichtungen zu erfüllen, wie die, die RINGO gemäß diesem Vertrag auferlegt werden. Es liegt in der Verantwortung von RINGO, sicherzustellen, dass der Sub-Prozessor ausreichende Garantien hinsichtlich der Implementierung angemessener technischer und organisatorischer Maßnahmen bietet, damit die Verarbeitung die Anforderungen der GDPR erfüllt.
RINGO bleibt dem Kunden gegenüber voll verantwortlich für die Erfüllung seiner Verpflichtungen durch seine Sub-Prozessoren.
Einige Subprozessoren verarbeiten Client-Daten nur dann, wenn die Funktion, für die sie wirken, vom Administrator oder dem Benutzer des Clients aktiviert wird.
Daher verarbeitet der OpenAI-Unterprozessor Client-Daten nur dann, wenn der Administrator den AI Assistant aktiviert hat. Wenn diese Funktion aktiviert ist, verarbeitet OpenAI
die personenbezogenen Daten, um seine Dienste unter den vereinbarten Bedingungen zu erbringen. Zur Erinnerung: Gemäß der OpenAI-Richtlinie werden personenbezogene Daten für einen Zeitraum von maximal 30 Tagen zum Zweck der Inhaltsmoderation und der Missbrauchsprävention aufbewahrt.
8. Data Subject Rights
RINGO wird den Kunden soweit wie möglich bei der Beantwortung von Anfragen von Datensubjekten zur Ausübung ihrer Rechte nach anwendbaren Datenschutzgesetzen unterstützen. Insbesondere wird RINGO den Kunden bei der Sicherstellung der Einhaltung seiner Verpflichtungen in Bezug auf die Ausübung der Rechte von Datensubjekten unterstützen, einschließlich, aber nicht beschränkt auf:
- The right to access;
- The right to rectification;
- The right to erasure (the "right to be forgotten");
- The right to restrict processing;
- The right to data portability;
- The right to object to processing.
9. Data Breach Notification
RINGO benachrichtigt den Kunden unverzüglich nach Bekanntwerden eines Verstoßes gegen personenbezogene Daten und stellt dem Kunden ausreichende Informationen zur Verfügung, damit dieser seinen Verpflichtungen zur Meldung oder Information über den Verstoß gegen personenbezogene Daten gemäß den anwendbaren Datenschutzgesetzen nachkommen kann.
10. Rückgabe und Löschung persönlicher Daten
Am Ende der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung wird RINGO nach Wahl des Kunden alle personenbezogenen Daten löschen oder an den Kunden zurückgeben und vorhandene Kopien löschen, sofern nicht das anwendbare Recht die Speicherung der personenbezogenen Daten erfordert.
11. Governing Law and Jurisdiction
Dieser Vertrag unterliegt dem Recht von Frankreich. The parties agree that any dispute arising out of or in connection with this Contract shall be submitted to the exclusive jurisdiction of the courts of Paris.
Anhang 1: Liste der erlaubten Sub-Prozessoren