Increase your delivery orders for free for a limited time with Boost by Otter !
Updated : July 2021
本データ処理補遺条項(「DPA」)は、適用される場合はデータ保護法令の要件に従い、個人データの処理に関する両当事者の合意を反映するためのものであり、特定の本サービス(別紙 1 に定義)に関して、本 DPA と関連付けられる契約(当該契約に定めるとおり、本サービスを受ける顧客(「本顧客」)と、本サービスを履行するベンダー法人( 「ベンダー」) との間で締結されるもの)(「本契約」)に添付されるものである。本契約に言及する場合、本 DPA を含む(ただし、これに限定されない。)ものとして解釈される。本契約の条項と DPA との間に不一致または矛盾がある場合、本 DPA の条件が優先するものとする。
1. 定義「データ保護法令」とは、適用される データ・プライバシーおよびセキュリティに関す る法令すべてをいい、一般データ保護規則(EU 規則 2016/679)(「GDPR」)、2018 年カリフォルニア州消費者プライバシー法(「CCPA」)、日本国個人情報の保護に関する法律を含むが、これらに限定されない。「個人データ」とは、特定される、もしくは特定可能な自然人に関する情報、または別途、データ保護法令に定義される情報をいう。「データ主体」、「コントローラー」、「プロセッサー」および「処理」は、GDPR または適用されるデータ保護法令で定義される意味を有する。本 DPA に定義されていない語は、それぞれ本契約に定める意味を有する。
a. 両当事者の役割 両当事者は、本顧客が、個人データを処理する目的および方法を決定する責任を単独で負っていること、またベン ダーが、コントローラーに代わって個人データを処理する責任を負う本顧客のプロセッサーであることに合意する。 ベンダーは、個人データを処理し、個人データを米国、インドまたは本顧客が承認するその他の法域に移転する際に、本顧客の指示に従ってのみ措置を講じるものとする。ベンダーは、下記第 2 条 e および f「再受託者」に定める要件に基づき、個人データを処理するために再受託者を起用する場合がある。本顧客の個人データについて、ベンダーは、CCPA に基づくサービス・プロバイダーである。
b. 顧客による個人データの処理 本顧客は、データ保護法令の遵守につき単独で責任を負う。当該責任には、個人データを適法にベン ダーに移転し、ベンダーがこれを処理することが含まれるが、これに限定されない。制限することを意図せず、疑義を避けるために付言すると、個人データの処理に関する本顧客の指示は、データ保護法令を遵守するものでなければならない。本顧客は、個人データの正確性、品質および適法性と共に、本顧客が個人データを取得した手段(必要な通知をデータ主体に行い、データ主体から必要な承諾を得ることを含む。)につき単独で責任を負うものとする。本顧客は、ベンダーに提供される個人データについて、本サービス履行のために必要最小限の量を保持する全責任を負う。本顧客は、適用法令(データ保護法令を含むが、これに限定されない。)により義務付けられるとおり、データ処理レジスタまたは総覧を設定し、維持する単独の責任を負うものとする。本顧客は、本 DPA に基づきベンダーが本サービスを遂行するために必要な所定の業務が、当該本サービスの提供を独自に管理する専任のベンダーの関係会社(1 社以上)に対して移転された可能性があること、または今後移転されることを認め、承諾する。 ベンダーは、(a) 本顧客の個人データを販売してはならず、(b) 本サービスを提供するという明確な目的以外の目的で、または(適用される場合は)別途CCPA に基づき認められる場合を除き、本顧客の個人データを所持、使用もしくは開示してはならず、または (c) ベンダーと本顧客との間の直接的な取引関係の範囲外で、本顧客の個人データを所持、使用もしくは開示してはならない。
c. 指示を出す顧客の権利 ベンダーは、本顧客の指示に従ってのみ、個人データを処理するものとする。本 DPA の条件に従い、かつ両 当事者相互の合意をもって、本顧客は、処理の種類、範囲および手順に関する指示を書面で出すことができる。本顧客は、ベンダーに書面で指示を出すすべての個人が、本顧客からその権限を付与されていることを確実にする責任を負う。個人データの処理に関する本顧客の最初の指示は、本契約、本DPA 別紙1、ならびにソフトウェアおよび本サービスに関する該当の注文用紙または作業記述書に定められる。処理の主題および手順の変更については、その効力が生じる前に両当事者間で書面にて合意するものとする。
d. 処理の内容 処理の当初の性質および目的、処理期間、データ主体の区分ならびに個人データの種類は、別紙 1 に定める。
e. ベンダーの再受託者 本顧客は、ベンダーが DPA に従い、再受託者を起用して個人データを処理する場合があることに同意する。再受 託者を起用する際、ベンダーは、本 DPA に定める義務と実質的に同等以上に厳格な義務を再受託者に課すため、当該再受託者と契約を締結するものとする。必要とされる範囲で、本顧客は、直接再受託者との間で当該契約に署名することをベンダーに明示的に命じる。本顧客は、ベンダーがその単独の裁量で同意しない限り、ソフトウェアまたは本サービスについて、ベンダーの再受託者と直接、連絡を取らない。
f. 異議申立権 本条は、本顧客が EEA 内で設立される場合にその範囲に限り、または本顧客に適用されるデータ保護法令により別途義務付けられる場合に適用されるものとする。本顧客 の書面による要請に応じて、ベンダーは、該当全第三者再受託者のリストを本顧客に提供するものとする。当該リストは、ベンダーの秘密情報とみなされる。本顧客は、新規再受託者の追加に合理的に異議を唱える場合(当該変更によって、本顧客が適用される保護法令を遵守しなくなる場合等)、当該通知を受領してから 30 日以内に、具体的な異議を書面でベンダーに通知するものとする。本顧客が当該期間内に異議を唱えない場合、新規再受託者の追加、および該当する場合は本DPA への参加が受け入れられたとみなされるものとする。本顧客は、新規再受託者の追加に異議を唱え、ベンダーがこれに対応できない場合、ベンダーの通知を受領してから 60 日以内に書面で、本サービスおよびソフトウェアを終了することができる。
g. 顧客の個人データの返還または削除 データ保護法令により別途義務付けられない 限り、ベンダーは、本サービスの解除または期間 満了をもって、合理的な期間内に本顧客の個人データを破棄する(またはデータ保護法令により義務付けられる場合は返還する。)。
3. 表明および保証 本顧客は、以下のとおり 表明、保証および誓約する。(a) 個人データが、デ ータ保護法令に従って収集され、ベンダーに移転されたこと、(b) 個人データが、ベンダーに移転される前に、データ保護法令に従って維持、保持、安全に保管および保護されていたこと、(c) 本顧客は、データ主体および該当する規制当局から受けた個人データの処理に関する問い合わせに対応すること、またベンダーによる個人データの処理に関して、データ主体または該当する規制当局から問い合わせがあればベンダーに伝えること、(d) 本顧客は、個人データを収集する前に、ベンダーによる個人データの処理について、本 DPA に従いデータ主体から必要な同意をすべて取得していること、(e) 本顧客は、データ保護法令の要件またはデータ主体もしくは規制当局の合理的な要請に応じて、データ主体または規制当局に本契約書の写しを提供すること、(f) 本顧客は、データ保護法令を遵守する一切の責任を単独で負うこと、(g) 処理が、本顧客のいずれの契約条件にも違反しないこと、ならびに (h) 本顧客は、本サービス履行のためにベンダーにより書面で要請または要求された個人データのみをベンダーに移転し、提供すること。ベンダーは、本顧客から受領する不法な指示を遵守したことから生じる被害または損害につき、一切責任を負わない。本顧客の意見で、本顧客から受けた処理に対する指示がデータ保護法令に違反する場合、ベンダーは、直ちに本顧客に知らせる。
4. データ主体の権利 法律上義務付けられる範囲で、ベンダーは、データ保護法令に基づくデータ主体の権利(すなわち、アクセス権、訂正に 関する権利、処理を制限する権利、データポータビリティに関する権利等)のいずれかを行使する旨の要請をデータ主体から受けた場合、速やかに本顧客に通知するものとする。該当する範囲で、ベンダーは、そのような苦情、通知または連絡に関して商業上、合理的な態様で本顧客に協力援助するものとする。ベンダーは、本顧客が書面で指示するとおり、または両当事者が書面で相互に合意する手続に基づき、誤りのある個人データを修正するものとする。本顧客は、最善を尽くして、データ主体から受けた要請をベンダーから提供された場合は、そのすべてに速やかに対応し、解決 するものとする。ベンダーは、データ保護法令により、本顧客の関与を伴わずに是正措置を講じることが義務付けられる場合、その是正措置を講じたうえで、本顧客に知らせるものとする。本顧客は、本条に基づくベンダーによる当該援助の提供から生じる合理的な費用に責任を負うものとする。法令で許容される範囲で、本顧客は、ベンダーによるそのような援助から生じる一切の費用につき責任を負うものとする。データ保護法令により義務付けられる範囲で、ベンダーは、合理的な通知をもって本顧客の費用負担で、合理的に要請された本サービスに関する情報を提供して、本顧客がデータ保護影響評価および/またはデータ保護当局との事前協議を実施することができるようにする。
5. ベンダーの要員 ベンダーは、秘密の性質を有する個人データの処理に従事する要員の研修を行い、その責任に基づく適切な研修を実施するものとする。ベンダーは、その要員との間で書面 契約を締結して、要員の雇用終了後も含めて個人データの秘密性を維持するものとする。ベンダーは、商業上、合理的な努力をもって、個人データへのアクセス許可を本契約履行のために必要とする要員に限定するものとする。データ保護法令の要件の場合、ベンダーは、データ保護オフィサーを任命するものとする。要請に応じて、ベンダーは、任命した人の連絡先を提供する。
6. セキュリティ ベンダーは、適切な技術的および組織的措置を実施して、個人データの処理に よってもたらされるリスクに適切なレベルのセキュリティを徹底し、これにあたっては、実施費用、処理の性質、範囲、背景および目的と共に、データ主体に対する被害の様々な可能性および深刻度のリスクを考慮に入れる。セキュリティの適切なレベルを評価するにあたって、ベンダーは、処理によって(特に移転、保管または別途、処理される個人データの偶発的または不法な破壊、紛失、改変、不正開示またはこれへの不正アクセスから)生じるリスクにつき検討するものする。データ保護法令によって義務付けられる場合、ベンダーは、個人データ違反を知り得た場合は、不当な遅延なく本顧客に通知し、本顧客が合理的に要請するとおり個人データ違反に関する情報を提供し、協力する。当該情報は、ベンダーの秘密情報 とみなされる。「個人データ違反」とは、本サービスのセキュリティ違反のうち、本顧客の個人データの偶発的または不法な破壊、紛失、改変、不正開示またはこれへの不正アクセスにつながるものをいう。
7. 監査
a. 監査請求 第 7 条(c)を条件として、本顧客の書面による請求に応じて、ベンダーは、本契約における遵守および約束に関する直近の監 査概要報告書(該当する場合)を本顧客に提供する。 ベンダーの方針は方法、要旨情報のみを共有するものであり、生データや私的情報は共有しない。 ベンダーは、入手可能な追加情報を提供することで、本顧客が当該遵守および約束をより深く理解できるように、本顧客に合理的に協力する。適用されるデータ保護法令による監査義務を他の方法で充足することができない限度で、かつ第 7 条(c)を条件として、法的義務を負う事業体(本顧客の運営の監督権を有する政府規制機関等)に限って、本サービス提供のために使用される施設の現地訪問を実施することができる。データ保護法令により義務付けられない限り、セキュリティおよび法令遵守の理由で、監査は、データセンター内で認められない。 本第 7 条に基づく監査の実施後、または本第 7 条に基づくベンダーの報告書の受領後、本顧客は、該当する場合、ベンダーが本DPA のセキュリティ、秘密保持またはデータ保護義務のいずれかを遵守しない具体的な方法(もしあれば)をベンダーに通知しなければならない。いずれの当該情報も、ベンダーの秘密情報とみなされる。
b. 再受託者 本顧客は、ベンダーのおよびベンダーの再受託者の事前の同意なく、ベンダーの再受託者の監査を行ってはならない。 本顧客は、再受託者に対する監査要請に対し、ベンダーまたはベンダーの再受託者が、独立機関(社内外の監査役、ベンダーのデータ保護オフィサー、IT セキュリティ部署、データ保護または品質監査役その他の相互に合意する第三者を含むが、これらに限定されない。)からの最新の証明書、報告書または引用であるか、IT セキュリティもしくはデータ保護監査の方法による認証書を提示することで対応する場合があることに同意する。再受託者 の構内で行う現地監査は、コントローラーに代わってベンダーが実施することができる。
c. 監査手続 データ保護法令により別途義務付けられない限り、本顧客は、年に 1 回、監査概要報告書を要請するか、またはベンダーの監査を行うことができる。本顧客は、監査概要報告 書または監査を要請する場合は、4 週間以上前に書面でベンダーに通知しなければならない。監査の範囲は、本顧客の個人データの保護に関連し、かつ別紙 1 に定めるベンダーの方針、手順および統制手段に限定される。第 7 条(b)を条件として、監査はすべて、ベンダーの主たる営業所または個人データへのアクセス、その処理または管理が行われるその他のベンダーの所在地で通常の営業時間中に実施し、ベンダーの日常業務を不当に妨害しないようにする。監査は、本顧客のみの費用負担で、相互に合意する第三者が実施する。当該第三者は、本顧客が起用してその報酬を支払い、本契約に定めるものと実質的に同等の秘密保持条項を含み、ベンダーのすべての秘密情報および監査所見の秘密保持を義務付ける秘密保持契約の対象となる。また、本顧客は、ベンダーのその時点で有効な料金に基づき、ベンダー(社内リソースを含む。)が行う支援の費用を支払うことに同意する。当該現地監査を開始する前に、ベンダーおよび本顧客は、監査の時期および期間に相互に合意するものとする。ベンダーは、監査に合理的に協力する。当該協力には、通常の営業時間中にベンダーのセキュリティ情報または資料を精査する権利(ただし、コピーを作成する権利は含まれない。)を監査役に付与することが含まれる。本顧客は、監査の全所見の完全なコピーをベンダーに無償で提供するものとする。監査結果は、ベンダーの「秘密情報」とみなされる。
8. データ移転 本顧客は本DPA により、米国その他、ベンダーまたはその再受託者が本サービ スの提供に必要とされる、または別途、本契約に定めるとおりデータ処理業務を維持する世界中の所在地で、個人情報の移転および処理を行うようベンダーに指示する。データ保護法令により義務付けられる場合、ベンダーは、法域外への個人データの移転に関与するにあたって、個人データを適切に保護する国の受領者、拘束力を有する社内規則の正式な承認を受けた受領者、欧州委員会が 採用または承認する標準契約条項を締結した受領 者に対する個人データの移転を含む(ただし、これらに限定されない。)措置、またはデータ保護法令により義務付けられる適切な措置を講じるものとする。また、本顧客は本 DPA により、コントローラー・プロセッサー標準契約条項その他、本顧客が本サービスを提供するために合理的に必要とされる法律文書を締結するよう、本顧客の代理人としてベンダーに権限を付与し、ベンダーを任命し、指示する。
9. 責任の制限 データ保護法令に基づき認められる最大限度で、契約上、不法行為その他いずれの責任の理論であるかにかかわらず、本 DPA に起因または関連する各当事者およびそのすべての 関連会社の責任は、併せて、本契約の「責任の制限」条項の対象であり、当該条項において当事者の責任に言及する場合、本契約および本 DPA に基づくその当事者およびその関連会社すべての累積責任をいう。疑義を避けるために付言すると、本契約および各 DPA に起因または関係して生じる本顧客からの全請求に対するベンダーおよびその関連会社の責任合計額は、本契約および本 DPA 両方に基づく全請求に対して全体として適用されるものとする。データ保護法令により義務付けられる場合、ベンダーは、本 DPA の条件に基づき直接、各再受託者のサービスを履行していたならばベンダーが責任を負っていたであろう同じ範囲で、その再受託者の作為または不作為につき責任を負うものとする。
10. 準拠法 両当事者は、(1) 本 DPA の準拠法および(2) 本DPA に関する紛争すべての裁判地については、適用されるデータ保護法令に別途の要件 がない限り、本契約に定めるものと同じとすることに合意する。
別紙 1
処理の内容
処理の性質および目的
ベンダーは、本契約に基づき、また本顧客がベンダーのサービス(「本サービス」)のいずれかを利用する際に出す追加の指示に従い、本サービスを履行するために、必要に応じて個人データを処理する。要請される本サービスには、(a) 多様なオンライン注文プラットフォームにわたる注文データの統合、(b) 常連客維持分析その他の事業上の洞察を含む、一般的なデータ分析サービスが含まれるが、これらに限定されない。
データの処理および保持の期間
ベンダーは、書面で別途同意しない限り、本契約の期間中、個人データを処理する。ベンダーは、書面で別途同意しない限り、法令により義務付けられる限りにおいて個人データを保持する。
データ主体の区分
本顧客は、本顧客が単独の裁量でその範囲を決定 し、管理する本サービスに対して個人データを提出する場合があり、これには、以下の区分のデータ主体に関する個人データが含まれる場合がある(ただし、これらに限定されない。)。
個人データの種類
本顧客は、本顧客が単独の裁量でその範囲を決定 し、管理する本サービスに対して個人データを提出する場合があり、これには、以下の区分の個人デー タが含まれる場合がある(ただし、これらに限定されない。)。
a. 常連客の連絡先情報
b. 常連客の納品場所
c. 常連客の注文情報
d. 配達業者の連絡先情報
Updated : July 2021
This Data Processing Addendum (“DPA”) to any agreement that links to this DPA (the “Agreement”) relating to certain Services (as defined in Schedule 1) between the customer receiving the Services (“Customer”) and the vendor entity performing the Services as described in the Agreement (“Vendor”), to reflect the parties’ agreement about the Processing of Personal Data, when applicable, in accordance with the requirements of Data Protection Laws. References to the Agreement will be construed as including without limitation this DPA. In event of any conflict or inconsistency between the provisions of the Agreement and DPA, the terms of this DPA shall prevail.
1. Definitions. “Data Protection Laws” means all applicable data privacy and security laws and regulations, including, but not limited to the General Data Protection Regulation (Regulation (EU) 2016/679) (“GDPR”), California Consumer Privacy Act of 2018 (“CCPA”), the Act of Protection of Personal Information of Japan; “Personal Data” means information relating to an identified or identifiable natural person, or as otherwise defined by Data Protection Laws; “Data Subject,” “Controller,” “Processor,” and “Processing” shall have the meaning as defined under the GDPR, or the applicable Data Protection Laws. Any terms not defined herein shall have the respective meanings given to them in the Agreement.
a. Roles of the Parties. The parties agree that Customer is solely responsible for determining the purposes and means of the processing of Personal Data, and Vendor is Customer’s processor responsible for Processing Personal Data on behalf of the Controller. Vendor shall only take action pursuant to instructions of Customer with regards to Processing Personal Data and transferring Personal Data to the United States, India or to other jurisdictions authorized by Customer. Vendor may engage sub-processors to Process Personal Data pursuant to the requirements set forth in Section 2e and f “Sub-Processors” below. [With respect to Customer Personal Data, Vendor is a service provider under the CCPA.
b. Customer’s Processing of Personal Data. Customer is solely responsible for its compliance with Data Protection Laws, including without limitation the lawfulness of any transfer of Personal Data to Vendor and Vendor’s Processing of Personal Data. For the avoidance of doubt, but not by way of limitation, Customer’s instructions for the Processing of Personal Data must comply with Data Protection Laws. Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired Personal Data, including providing any required notices to, and obtaining any necessary consent from Data Subjects. Customer takes full responsibility to keep the amount of Personal Data provided to Vendor to the minimum necessary for the performance of the Services. Customer shall be solely responsible for establishing and maintaining any data processing registers or overview as required by any applicable law, including without limitation Data Protection Laws. Customer acknowledges and consents that certain business operations necessary for the fulfilment of Vendor’s Services hereunder may have been transferred or will be transferred in the future to one or more dedicated Vendor affiliates independently managing the provision of such Services. Vendor will not (a) sell Customer Personal Data; (b) retain, use or disclose any Customer Personal Data for any purpose other than for the specific purpose of providing the Services or as otherwise allowed under the CCPA (if applicable); or (c) retain, use or disclose the Customer Personal Data outside of the direct business relationship between Vendor and Customer.
c. Customer’s Right to Issue Instructions. Vendor shall only Process Personal Data in accordance with Customer’s instructions. Subject to the terms of this DPA and with mutual agreement of the parties, Customer may issue written instructions concerning the type, extent and procedure of Processing. Customer is responsible for ensuring that all individuals who provide written instructions to Vendor are authorized by Customer to issue instructions to Vendor. Customer’s initial instructions for the Processing of Personal Data are defined by the Agreement, Schedule 1 to this DPA, and any applicable order form or Statement of Work regarding the software and Services. Any changes of the subject matter of Processing and of procedures shall be agreed upon by the parties in writing prior to becoming effective.
d. Details of Processing. The initial nature and purpose of the Processing, duration of the Processing, categories of Data Subjects, and types of Personal Data are set forth on Schedule 1.
e. Vendor Sub-Processors. Customer agrees that Vendor may engage sub-processors to Process Personal Data in accordance with the DPA. When engaging sub-processors, Vendor shall enter into agreements with the sub-processors to bind them to obligations which are substantially similar or more stringent than those set out in this DPA. To the extent required, Customer explicitly mandates Vendor to sign such agreements directly with the sub- processors. Customer will not directly communicate with Vendor’s sub-processors about the software or Services, unless agreed to by Vendor, in Vendor’s sole discretion.
f. Objection Right. This Section shall apply only where and to the extent that Customer is established within the EEA, or where otherwise required by Data Protection Laws applicable to the Customer. Upon written request by Customer, Vendor shall provide to Customer a list of all relevant third-party sub-processors. Such list is considered the Confidential Information of Vendor. If Customer reasonably objects to the addition of a new sub- processors (e.g., such change causes Customer to be non-compliant with applicable with Data Protection Laws), Customer shall notify Vendor in writing of its specific objections within thirty (30) days of receiving such notification. If Customer does not object within such period, the addition of the new sub-processor and, if applicable, the accession to this DPA shall be considered accepted. If Customer does object to the addition of a new sub-processor and Vendor cannot accommodate Customer’s objection, Customer may terminate the Services and software in writing within sixty (60) days of receiving Vendor’s notification.
g. Return or Deletion of Customer Personal Data. Unless otherwise required by Data Protection Laws, Vendor will destroy (or return, if mandated by Data Protection Laws)the Customer Personal Data upon termination or expiration of the Services within a reasonable period.
3. Representations and Warranties. Customer represents, warrants, and covenants that (a) the Personal Data has been collected and transferred to Vendor in accordance with Data Protection Laws; (b) prior to its transfer to Vendor, the Personal Data has been maintained, retained, secured, and protected in accordance with Data Protection Laws; (c) Customer will respond to inquiries from Data Subjects and from applicable regulatory authorities concerning the Processing of the Personal Data, and will alert Vendor of any inquiries from Data Subjects or from applicable regulatory authorities that relate to Vendor’s Processing of the Personal Data; (d) prior to the collection of Personal Data, the Customer has obtained all necessary consents from a Data Subject for Vendor’s Processing of Personal Data in accordance with this DPA; (e) Customer will make available a copy of this Agreement to any Data Subject or regulatory authorities as required by Data Protection Laws or upon the reasonable request of a Data Subject or a regulatory authority; (f) Customer shall be solely responsible and liable for its compliance with Data Protection Laws; (g) the Processing does not violate or breach the terms of any Customer agreement; and (h) Customer will only transfer and provide Vendor with such Personal Data required and requested by Vendor in writing to perform the Services. Vendor will not be liable for any harm or damages resulting from Vendor’s compliance with unlawful instructions received from Customer. Vendor will immediately inform Customer if, in Customer’s opinion, any Processing instructions from Customer infringe on Data Protection Laws.
4. Rights of Data Subjects. To the extent legally required, Vendor shall promptly notify Customer if it receives a request from a Data Subject to exercise any of the Data Subject’s rights (i.e. right to access, rectification, restriction of Processing, data portability… etc.) under any Data Protection Law. To the extent applicable, Vendor shall provide Customer with commercially reasonable cooperation and assistance in relation to any such complaint, notice, or communication. Vendor shall correct erroneous Personal Data as directed by Customer in writing or pursuant to a process mutually agreed to in writing by the parties. Customer shall use its best efforts to respond to and resolve promptly all requests from Data Subjects which Vendor provides to Customer. If Data Protection Laws require Vendor to take any corrective actions without the involvement of Customer, Vendor shall take such corrective actions and inform Customer. Customer shall be responsible for any reasonable costs arising from Vendor’s provision of such assistance under this Section. To the extent legally permitted, Customer shall be responsible for any costs arising from Vendor’s provision of such assistance. To the extent required by Data Protection Laws, Vendor will, upon reasonable notice and at Customer's expense, provide reasonably requested information regarding the Services to enable Customer to carry out data protection impact assessments and/or prior consultations with data protection authorities.
5. Vendor Personnel. Vendor shall train personnel engaged in the Processing of Personal Data of the confidential nature of the Personal Data and provide appropriate training based on their responsibilities. Vendor shall execute written agreements with its personnel to maintain the confidentiality of Personal Data, including post the termination of the personnel engagement. Vendor shall use commercially reasonable efforts to limit access to Personal Data to personnel who require such access to perform the Agreement. If required by Data Protection Laws, Vendor shall appoint a data protection officer. Upon request, Vendor will provide the contact details of the appointed person.
6. Security. Vendor will implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk posed by the Processing of Personal Data, taking into account the costs of implementation; the nature, scope, context, and purposes of the Processing; and the risk of varying likelihood and severity of harm to the Data Subjects. In assessing the appropriate level of security, Vendor shall weigh the risks presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data transmitted, stored or otherwise processed. If obligated by Data Protection Laws, upon becoming aware of a Personal Data Breach, Vendor will notify Customer without undue delay and will provide information and cooperation relating to the Personal Data Breach as reasonably requested by Customer. Such information will be considered the Confidential Information of Vendor. “Personal Data Breach” means a breach of security of the Services leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Customer Personal Data.
7. Audit.
a. Audit Requests. Subject to Section 7(c), upon Customer’s written request, Vendor will provide Customer with the most recent summary audit report(s) (if available) concerning the compliance and undertakings in this Agreement. Vendor's policy is to share methodology, and executive summary information, not raw data or private information. Vendor will reasonably cooperate with Customer by providing available additional information to help Customer better understand such compliance and undertakings. To the extent it is not possible to otherwise satisfy an audit obligation mandated by applicable Data Protection Laws and subject to Section 7(c), only the legally mandated entity (such as a governmental regulatory agency having oversight of Customer’s operations) may conduct an onsite visit of the facilities used to provide the Services. Unless mandated by Data Protection Laws, no audits are allowed within a data center for security and compliance reasons. After conducting an audit under this Section 7 or after receiving a Vendor report under this Section 7, Customer must notify Vendor of the specific manner, if any, in which Vendor does not comply with any of the security, confidentiality, or data protection obligations in this DPA, if applicable. Any such information will be deemed Confidential Information of Vendor.
b. Sub-Processors. Customer may not audit Vendor’s sub-processors without Vendor’s and Vendor’s sub-processor’s prior agreement. Customer agrees its requests to audit sub-processors may be satisfied by Vendor or Vendor’s sub-processors presenting up-to-date attestations, reports or extracts from independent bodies, including without limitation external or internal auditors, Vendor’s data protection officer, the IT security department, data protection or quality auditors or other mutually agreed to third parties or certification by way of an IT security or data protection audit. Onsite audits at sub- processors premises may be performed by Vendor acting on behalf of Controller.
c. Audit Process. Unless otherwise required by Data Protection Laws, Customer may request a summary audit report(s) or audit Vendor no more than once annually. Customer must provide at least four (4) weeks’ prior written notice to Vendor of a request for summary audit report(s) or request to audit. The scope of any audit will be limited to Vendor’s policies, procedures and controls relevant to the protection of Customer’s Personal Data and defined in Schedule 1. Subject to Section 7(b), all audits will be conducted during normal business hours, at Vendor's principal place of business or other Vendor location(s) where Personal Data is accessed, processed or administered, and will not unreasonably interfere with Vendor's day-to-day operations. An audit will be conducted at Customer‘s sole cost and by a mutually agreed upon third party who is engaged and paid by Customer, and is under a non-disclosure agreement containing confidentiality provisions substantially similar to those set forth in the Agreement, obligating it to maintain the confidentiality of all Vendor Confidential Information and all audit findings. Further, Customer agrees to pay the costs of any support provided by Vendor (including internal resources) based on Vendor’s then-current rates. Before the commencement of any such on-site audit, Vendor and Customer shall mutually agree upon the timing, and duration of the audit. Vendor will reasonably cooperate with the audit, including providing auditor the right to review but not to copy Vendor security information or materials during normal business hours. Customer shall, at no charge, provide to Vendor a full copy of all findings of the audit. The results of the audit will be considered “Confidential Information” of Vendor.
8. Data Transfer. Customer hereby directs Vendor to transfer and process Personal Data in the United States and in other locations around the world where Vendor or its sub-processors maintain data processing operations as necessary to provide the Services or as otherwise set forth in the Agreement. If required under Data Protection Laws, such measures that may include (without limitation) transferring Personal Data to a recipient in a country that provides adequate protection for personal data, to a recipient that has achieved binding corporate rules authorization, to a recipient that has executed standard contractual clauses adopted or approved by the European Commission, or any appropriate measures required in Data Protection Laws shall be taken by Vendor in engaging in extraterritorial transfer of the Personal Data. In addition, Customer hereby authorizes, appoints, and directs the Vendor, as agent for Customer, to enter into Controller to Processor Standard Contractual Clauses or any other legal document reasonably necessary for the Customer to provide Services.
9. Limitation of Liability. To the fullest extent allowed under any Data Protection Law, each party’s and all of its affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA whether in contract, tort or under any other theory of liability, is subject to the “Limits of Liability” section of the Agreement, and any reference in such section to the liability of a party means the aggregate liability of that party and all of its affiliates under the Agreement and this DPA. For the avoidance of doubt, Vendor’s and its affiliates’ total liability for all claims from the Customer arising out of or related to the Agreement and each DPA shall apply in the aggregate for all claims under both the Agreement and this DPA. If required by Data Protection Laws, Vendor shall be liable for the acts and omissions of its sub-processors to the same extent Vendor would be liable if performing the services of each sub-processor directly under the terms of this DPA.
10. Governing Law. The parties agree that (1) governing law of this DPA, and (2) the forum for all disputes in respect of this DPA, shall be the same as set out in the Agreement, unless otherwise required by applicable Data Protection Laws.
Schedule 1 Processing Details
Nature and Purpose of Processing
Vendor will Process Personal Data as necessary to perform the services pursuant to the Agreement and as further instructed by the Customer in its use of any of Vendor’s services (“Services”). The requested Services include, but are not limited, to the following: (a) the consolidation of order data across various online order platforms, and (b) general data analytics services which includes patron retention analytics and other business insights.
Duration of Processing and Retention of Data
Vendor will Process Personal Data for the duration of the Agreement, unless otherwise agreed upon in writing. Vendor will retain Personal Data as long as required under law, unless otherwise agreed to in writing.
Categories of Data Subjects
Customer may submit Personal Data to the Services, the extent of which is determined and controlled by Customer in its sole discretion, and which may include, but is not limited to Personal Data relating to the following categories of Data Subjects:
Type of Personal Data
Customer may submit Personal Data to the Services, the extent of which is determined and controlled by
Customer in its sole discretion, and may include, but is not limited to, the following categories of Personal Data:
a. Patron’s contact information
b. Patron’s delivery location
c. Patron’s order information
d. Delivery courier’s contact information
