원계약에서 정의된 바와 같이 서비스를 제공받는 고객(“고객”)과 서비스를 수행하는 벤더 업체(“벤더”) 간 특정 서비스(스케쥴 1에 정의된 바와 같은)와 관련하여 본 DPA 링크를 제공하는 계약(“원계약”)에서의 본 개인정보처리 부록(“DPA”)은, 개인정보의 처리에 관한 당사자 간 합의사항을 반영하기 위하여, 적용되는 경우, 개인정보 관계 법령상의 요건에 따라 작성되었다. 원계약에 대한 인용은 제한사항 없이 DPA를 포함하는 것으로 해석된다. 원계약의 내용과 DPA가 상충되거나 일치하지 않는 경우, 본 DPA의 내용이 우선한다.
1. 정의.
“개인정보 관계 법령”은, 유럽연합 일반 개인정보보호법[Regulation (EU) 2016/679, “GDPR”], 2018년 캘리포니아 소비자 개인정보보호법("CCPA"), 2012년 개인정보보호법(싱가포르), 1998년 정보보호법(Cth)(“호주 정보보호 원칙”) 및 대한민국 개인정보보호법을 포함하여, 적용되는 개인정보보호 및 보안 관련 법령 및 규제 일체를 의미한다. “개인정보”는 식별된 또는 식별가능한 자연인에 관련된 정보 또는 개인정보 관계 법령에서 정의한 정보를 의미한다. “정보 주체”, “관리자”, “처리자”, 및 “처리”는 GDPR 또는 개인정보 관계 법령에서 정의한 의미를 갖는다. 기타 본 DPA에서 정의하지 않은 대문자 용어는 각각 원계약에서 주어진 의미를 갖는다.
2. 개인정보의 처리.
a. 당사자의 역할.
당사자는 개인정보 처리 목적과 방법을 결정함에 있어 고객에게 단독으로 책임이 있고, 벤더는 관리자를 대신하여 개인정보를 처리할 책임이 있는 고객의 처리자라는 것에 동의한다. 벤더는 개인정보 처리 및 미합중국, 인도 또는 고객이 승인한 다른 관할권 국가에의 개인정보 이전과 관련하여 오직 고객의 지시에 따라 조치를 취한다. 벤더는 개인정보를 처리하기 위하여 하위 처리자(위탁처리자)를 아래 제2(e)항 및 제2(f)항 “하위 처리자”에 기재된 요건에 따라 둘 수 있다. 고객 개인정보에 대하여, 벤더는 개인정보 관계 법령에 따른 서비스 제공자이다.
b. 개인정보에 대한 고객의 처리.
고객은 스스로의 개인정보 관계 법령의 준수(벤더에게 개인정보를 적법하게 이전하는 것, 벤더의 개인정보 처리를 포함하되 이에 제한되지 아니함)에 대하여 단독으로 책임을 진다. 의심의 여지를 피하기 위하여, 그러나 제한의 방법으로는 아닌, 개인정보 처리에 대한 고객의 지시는 개인정보 관계 법령을 반드시 준수해야 한다. 고객은, 개인 정보 및 고객이 개인정보를 취득한 방법(필요한 통지의 제공, 정보주체로부터 필요한 동의를 얻는 과정을 포함)의 정확성, 품질 그리고 적법성에 대하여 단독으로 책임을 져야 한다. 고객은 벤더에게 제공되는 개인정보를 서비스의 수행에 필요한 최소량으로 유지할 완전한 책임을 진다. 고객은 정보처리 기록을 적용법률(정보 관계 법령을 포함하되 이에 제한되지 아니함)에 따라 수립, 유지 또는 검토하는데 단독으로 책임을 진다. 고객은, 본 DPA에 따른 벤더의 서비스를 이행하기 위하여 필요한 특정 사업의 운영이 그러한 서비스의 제공을 독립적으로 관리하는 하나 이상의 전용 벤더 계열사에 이전되었거나 장래에 이전될 수 있음을 인지하고 동의한다. 벤더는 (a) 고객 개인정보를 팔거나, (b) 고객 개인정보를 서비스 제공을 위하여 특정된 목적, 기타 개인정보 관계 법령에 따라 허용된 경우 외에 다른 어떠한 목적으로 보유, 사용 또는 공개, (c)고객 개인정보를 벤더와 고객 사이의 직접적인 사업 관계 밖의 경로로 보유, 사용 또는 공개하지 않는다.
c. 고객의 지시할 권리.
벤더는 개인정보를 오직 고객의 지시에 따라 처리한다. 본 DPA의 내용에 따라, 그리고 당사자 간 상호 합의에 의하여, 고객은 처리의 종류, 한도 그리고 절차에 대하여 서면 지시를 할 수 있다. 고객은 고객으로부터 권한을 위임받은 자가 벤더에게 서면 지시를 제공하도록 보장할 책임이 있다. 개인정보 처리에 관한 고객의 최초 지시는 원계약, 본 DPA 스케쥴 1, 그리고 소프트웨어 및 서비스와 관련하여 적용가능한 주문서 또는 작업지시서에 정의되어 있다. 처리 및 절차에 관한 사항의 변경은 그 효력이 발생되기 전에 당사자들에 의하여 상호 합의되어야 한다.
d. 처리의 상세사항.
처리의 최초 성질과 목적, 기간, 정보주체의 정보 항목, 그리고 개인정보 종류는 스케쥴 1에 기재된 바와 같다.
e. 벤더의 하위 처리자(위탁처리자).
고객은 벤더가 본 DPA에 따라 하위 처리자를 두어 개인정보를 처리할 수 있음에 동의한다. 하위 처리자를 고용하는 경우, 벤더는 하위 처리자와 본 DPA와 실질적으로 유사하거나 더 높은 수준의 의무를 부과하는 계약을 체결해야 한다. 필요한 범위에 한하여, 고객은 명시적으로 벤더에게 하위 처리자와 그러한 계약에 서명하도록 명령한다. 고객은, 벤더가 온전히 그 재량으로 동의하지 않는 한, 소프트웨어 또는 서비스에 관하여 벤더의 하위 처리자와 직접 의사소통하지 않는다.
f. 이의권.
본 항은 오직 고객이 유럽 경제 지역(EEA) 내에 설립된 경우 그 범위 내에서, 또는 고객에게 적용되는 개인정보 관계 법령에서 요구되는 경우 적용되어야 한다. 고객의 서면 요청에 의하여, 벤더는 고객에게 관련 있는 제3자 하위 처리자의 목록을 제공하여야 한다. 그러한 목록은 벤더의 비밀정보로 간주된다. 고객이 새로운 하위 처리자 추가에 대하여 합리적으로 이의를 제기하는 경우(예를 들어, 그러한 변경이 고객에게 적용되는 개인정보 관계 법령의 위반을 야기할 때), 고객은 벤더에게 변경에 대한 통지를 받은 때로부터 30일 이내에 서면으로 구체적인 이의통지를 하여야 한다. 고객이 위 기간 내에 이의를 제기하지 않는 경우, 새로운 하위 처리자의 추가 및 본 DPA에의 가입을 승낙한 것으로 본다. 고객이 새로운 하위 처리자의 추가에 이의를 제기하고 벤더가 고객의 이의에 응하지 않는 경우, 고객은 벤더의 통지를 받은 때로부터 60일 이내에 서면으로 서비스 및 소프트웨어를 종료할 수 있다.
g. 고객 개인정보의 반환 또는 삭제.
개인정보 관계 법령 또는 기타 적용법규에 의하여 달리 요구되지 않는 한, 벤더는 서비스의 종료 또는 만료 후 합리적인 기간 이내에 고객 개인정보를 파기(또는 반환, 개인정보 관계 법령에 의하여 요구되는 경우)하여야 한다.
3. 진술 및 보증.
고객은 다음의 사항을 진술, 보증 그리고 약속한다. (a) 개인정보는 개인정보 관계 법령에 따라 벤더에게 수집 및 이전되었다; (b) 벤더에게 이전되기 이전에, 개인정보는 개인정보 관계 법령에 따라 유지, 보유, 저장, 보호되었다; (c) 고객은 개인정보 주체 및 규제 기관의 개인정보 처리와 관한 문의에 응답하고, 벤더의 개인정보 처리와 관련이 있는 개인정보 주체 및 규제 기관의 문의에 대하여 벤더에게 알릴 것이다; (d) 개인정보 수집 이전에, 고객은 개인정보 주체로부터 본 DPA에 따라 벤더의 개인정보 처리에 필요한 모든 동의를 획득하였다; (e) 고객은 원계약 사본을, 정보 주체 또는 규제 기관에게 개인정보 관계 법령에서 요구하는 바에 따라 또는 정보 주체 또는 규제 기관의 합리적인 요청에 의하여, 제공할 수 있다; (f) 고객은 개인정보 관계 법령을 단독 책임 하에 준수하여야 한다; (g) 처리는 고객이 체결한 합의들을 침해 또는 위반하지 않는다; (h) 고객은 서비스의 수행을 위하여 벤더에게 필요하고 벤더가 서면으로 요청하는 개인정보만을 벤더에게 이전, 제공한다. 벤더는 고객으로부터 받은 위법한 지시의 준수에 의하여 발생한 위해 또는 손해에 대하여 책임이 없다. 벤더는 고객의 처리 지시가 개인정보 관계 법령을 위반하는 경우 이를, 고객의 의견에 따라, 고객에게 즉시 고지한다.
4. 정보주체의 권리.
법적으로 요구되는 한도에서, 정보주체가 개인정보 관계 법령에 따른 자신의 권리를 벤더에게 행사한 경우 벤더는 이를 지체없이 고객에게 통지하여야 한다(예를 들어, 열람, 정정, 처리의 정지, 삭제, 정보의 이동성 등). 적용가능한 범위 내에서, 벤더는 그러한 항의, 통지 또는 의사소통과 관련하여 고객에게 상업적으로 합리적인 협력과 원조를 제공하여야 한다. 벤더는 개인정보의 오류를 고객이 서면으로 지시한 바와 같이 또는 당사자 간 서면으로 상호 합의한 절차에 따라 바로잡아야 한다. 고객은 벤더가 고객에게 제공한 정보주체의 요청에 대응하기 위하여 최선의 노력을 하고 지체없이 해결하여야 한다. 개인정보 관계 법령에 따라 고객의 개입 없이 벤더가 시정 조치를 해야 할 경우, 벤더는 그러한 시정 조치를 취하고 이를 고객에게 고지하여야 한다. 고객은 벤더가 본 항에 따른 원조를 제공하는데 소요되는 합리적인 비용을 부담하여야 한다. 벤더는, 개인정보 관계 법령에서 요구하는 범위 내에서, 고객의 합리적 통지와 비용 부담에 의해, 고객이 개인정보영향평가 및/또는 정보보호기관과 사전 자문을 실행할 수 있도록 서비스와 관련하여 합리적으로 요청된 정보를 제공한다.
5. 벤더 인원.
벤더는 개인정보 처리에 관여하는 인원을 개인정보의 비밀성에 대하여 훈련시키고 그들의 책임에 대한 적절한 교육을 제공해야 한다. 벤더는 그 인원과, 관여 중은 물론 그 인원의 관여가 종료된 후에도 개인정보의 비밀성을 유지하도록 하는 서면 계약을 체결하여야 한다. 벤더는 원계약의 수행을 위하여 접근이 필요한 인원에 대하여도 그러한 개인정보에의 접근을 제한하기 위한 상업적으로 합리적인 노력을 하여야 한다. 개인정보 관계 법령에서 요구하는 경우, 벤더는 개인정보 보호책임자를 지정하여야 하고, 요청에 의하여 그 책임자의 연락처를 제공하여야 한다.
6. 보안.
벤더는 개인정보 처리에 제기되는 위험에 적절한 보안 수준을 보장하기 위한 적절한 기술적 및 조직적 수단을 시행 비용, 처리의 성질, 범위, 맥락 또는 목적, 다양한 경우의 수 그리고 정보 주체에 대한 피해의 심각성을 고려하여 시행하여야 한다. 적절한 보안 수준을 평가할 때, 벤더는 처리에 의해 제시되는 위험, 특히 돌발적인 또는 위법한 파기, 손실, 변경, 권한 없는 공개, 전달, 저장 기타 다른 방식으로 처리된 개인정보에의 접근 등의 위험을 따져보아야 한다. 개인정보 위반을 인지함과 동시에, 만약 벤더가 개인정보 관계 법령에 의하여 의무가 있는 경우, 고객에게 과도한 지체 없이 이를 통지하고 그 개인정보 위반과 관련한 정보 및 협조를 고객의 합리적인 요청에 따라 제공한다. 그러한 정보는 벤더의 비밀정보로 간주된다. “개인정보 위반”은 고객의 개인정보에 대한 돌발적인 또는 위법한 파기, 손실, 변경, 권한 없는 공개, 접근을 초래하는 서비스 보안 위반을 의미한다.
7. 감사.
a. 감사 청구.
제7(c)항에 따라, 고객의 서면 청구에 의하여, 벤더는 고객에게 원계약의 준수 및 약속에 관한 최신의 감사보고서 요약을 (가능한 경우) 제공한다. 벤더의 정책은 원 데이터, 사적인 정보가 아닌 방법론과 개요 정보를 공유하는 것이다. 벤더는 고객이 원계약의 준수 및 약속을 이해하는데 도움이 되는 가능한 추가 정보를 제공함으로써 합리적으로 고객에게 협조한다. 적용가능한 개인정보 관계 법령 상 다른 방법으로 감사 의무를 만족시키는 것이 불가능한 범위 내에서, 제7(c)항에 따라, 오직 법적으로 권한이 있는 자(고객의 운영을 관리감독하는 정부의 규제 기관 같은)만이 서비스 제공에 이용되는 시설을 현장 방문할 수 있다. 개인정보 관계 법령에 의하여 권한이 있는 경우가 아닌 한, 보안 또는 준법상의 이유로 인하여 데이터 센터 내 감사는 허용되지 않는다. 제7조에 따른 감사를 시행한 후 또는 제7조에 따른 벤더 보고서를 수령한 후, 고객은 벤더가 본 DPA상의 보안, 비밀유지 또는 정보 보호 의무를 미준수하는 특정한 방식이 있는 경우 이를 벤더에게 통지하여야 한다. 위와 같은 통지의 내용은 벤더의 비밀정보로 간주된다.
b. 하위 처리자.
고객은, 벤더와 벤더 하위 처리자의 사전 동의 없이 벤더의 하위 처리자를 감사할 수 없다. 하위 처리자에 대한 감사 요청은 벤더 또는 벤더 하위 처리자가 독립 기관(내∙외부 감사, 벤더의 개인정보보호책임자, IT 보안 부서, 개인정보보호 또는 품질 감사 또는 다른 상호 합의한 제3자를 포함하되 이에 제한되지 아니함)의 최신 증명, 보고서, 발췌물을 제시하거나 IT 보안 또는 개인정보보호 감사를 통한 확인으로 만족될 수 있다. 하위 처리자의 부지 내 현장 감사는 관리자를 대신하여 벤더가 수행할 수 있다.
c. 감사 절차.
개인정보 관계 법령에 의하여 다르게 요구되지 않는 한, 고객은 감사 보고 개요 또는 벤더 감사를 연 1회 요청할 수 있다. 고객은 벤더에 최소 4주의 기간을 둔 사전 서면 통지로서 감사 보고 개요 또는 벤더 감사를 요청하여야 한다. 감사의 범위는 스케쥴 1에 정의된 고객의 개인정보 보호와 관련된 벤더의 정책, 절차 그리고 통제에 한정된다. 제7(b)항에 따라, 감사는 통상의 영업 시간 동안에 벤더의 주된 영업장 또는 개인정보에 접근, 처리, 관리할 수 있는 다른 장소에서 이루어지되, 벤더의 일상적인 영업행위를 합리적 이유 없이 방해하지 않는다. 감사는 고객의 비용으로, 상호 합의한 제3자에 의하여 진행된다. 그 제3자는 원계약에 기재된 것과 실질적으로 유사한 수준의 비밀유지 조항이 있는 비밀유지계약을 체결하여 벤더의 모든 비밀정보 및 감사 결과에 대하여 비밀을 유지하도록 하여야 한다. 나아가 고객은 벤더의 지원(내부 자원의 이용을 포함)에 대하여 당시 벤더의 요율을 기준으로 비용을 지불한다. 현장 감사란 벤더와 고객이 사전에 합의하여 감사 일정 및 기간을 조율한다. 벤더는 감사인이 벤더의 보안 정보 또는 자료를 통상의 영업 시간 동안 열람(복사 제외)할 권리를 부여하는 것을 포함하여 감사에 필요한 부분 협력한다. 고객은 벤더에 비용을 부과하지 않고 감사 결과들의 완전한 사본을 제공하여야 한다. 감사의 결과는 벤더의 “비밀정보”로 간주된다.
8. 정보 이전.
고객은 본 DPA에 의하여 벤더에게 미합중국 및 벤더 또는 그 하위 처리자가 정보처리작업을 실행하는 타국가에 있는 개인정보를 서비스 제공을 위하여 또는 원계약에 기재된 것과 같이 이전 및 처리하도록 지시한다. 개인정보 관계 법령에 의하여 요구되는 경우, 위와 같은 방법은 개인정보를 개인정보에 대하여 적절한 보호를 제공하는 나라에 있는 수령인, 구속력 있는 회사 규칙 승인을 얻은 수령인, 유럽 위원회가 채택하거나 승인한 표준 계약조항을 체결한 수령인에게 이전하는 것을 포함하되 이에 국한하지 아니한다. 또한, 고객은 본 DPA에 의하여 벤더가 고객의 대리인으로서 관리자-처리자 표준 계약 조항 또는 벤더가 서비스를 제공하는데 합리적으로 필요한 법적 문서를 체결하는 것을 승인하고, 이를 지정 및/또는 지시한다.
9. 책임의 제한.
개인정보 관계 법령에 따라 허용되는 최대 한도내에서, 각 당사자 및 그 계열사의 본 DPA와 관련하여 또는 본 DPA로부터 발생하는 책임은, 총괄적으로 함께, 그것이 계약, 불법행위 또는 다른 어떤 책임 이론하에서 인정되는 것이든 간에 원계약 “책임의 제한” 조항의 대상이 되고, 그러한 조항에서 언급하는 당사자의 책임은 원계약 및 본 DPA 상 당사자 및 그 계열사의 책임을 총괄적으로 의미한다. 이를 명확히 하기 위하여, 원계약 및 각 DPA와 관련되거나 그로부터 발생하는 고객의 청구에 대한 벤더와 그 계열사의 총 책임은 원계약 및 본 DPA에 따른 청구에 대해 총괄적으로 적용된다. 개인정보 관계 법령에 의하여 요구되는 경우, 벤더는 하위 처리자의 행위 및 누락에 대하여 만약 벤더가 본 DPA에 따라 직접 각 하위 처리자의 사업을 수행하였다면 부담하였을 책임과 동일한 한도로 책임이 있다.
10. 준거법.
당사자는, 적용되는 개인정보 관계 법령에 따라 달리 요구되지 않는 한, (1) 본 DPA의 준거법과 (2) 본 DPA와 관련한 분쟁의 재판적은 원계약에서 정한 것과 같다는 것에 동의한다.
처리의 성질과 목적
벤더는 개인정보를 원계약에 따른 서비스를 수행하는데 필요한 범위 및 고객이 벤더의 서비스(“서비스”)를 이용함에 있어 지시한 사항에 따라 처리한다. 요청되는 서비스는 다음의 것을 포함하되 이에 제한되지 아니한다. (a) 여러 온라인 주문 플랫폼을 통한 주문 정보의 통합, (b) 소비자 유지 분석 및 기타 사업에 대한 이해를 포함한 일반 데이터 분석 서비스
처리 기간 및 정보의 반환
벤더는, 서면으로 달리 합의하지 않는 한, 원계약의 기간 동안 개인정보를 처리한다.
벤더는, 서면으로 달리 합의하지 않는 한, 법에서 정한 기간동안 개인정보를 보유한다.
정보주체의 정보 항목
고객은, 고객의 전적인 재량으로 자신이 결정하고 통제하는 범위에서, 서비스에 개인정보를 제출할 수 있으나, 다음과 같은 정보주체의 정보 항목과 관련한 개인정보를 포함하되 이에 한정되지 아니한다.
1. 고객의 소비자
2. 고객의 배달원
3. 고객의 직원 또는 독립 계약자
개인정보 종류
고객은, 고객의 전적인 재량으로 자신이 결정하고 통제하는 범위에서, 서비스에 개인정보를 제출할 수 있으나, 다음과 같은 개인정보 항목을 포함하되 한정되지 아니한다.
1. 고객의 연락 정보(회사 이름, 이메일, 전화, 주소지)
2. 플랫폼 로그인 정보
3. 청구 및 지불 정보
4. 다음을 포함하는 고객의 주문 정보 데이터
a. 소비자 연락 정보
b. 소비자 배달 장소
c. 소비자 주문 정보
d. 배달원의 연락처 정보
Last Updated:
January 25, 2021
This Data Processing Addendum (“DPA”) to any agreement that links to this DPA (the “Agreement”) relating to certain Services (as defined in Schedule 1) between the customer receiving the Services (“Customer”) and the vendor entity performing the Services as described in the Agreement (“Vendor”), to reflect the parties’ agreement about the Processing of Personal Data, when applicable, in accordance with the requirements of Data Protection Laws. References to the Agreement will be construed as including without limitation this DPA. In event of any conflict or inconsistency between the provisions of the Agreement and DPA, the terms of this DPA shall prevail.
1. Definitions.
“Data Protection Laws” means all applicable laws data privacy and security laws and regulations, including, but not limited to the General Data Protection Regulation (Regulation (EU) 2016/679) (“GDPR”), California Consumer Privacy Act of 2018 (“CCPA” ), Singapore Personal Data Protection Act (PDPA) of 2012, the Australian Privacy Act 1988 and the Republic of Korea’s Personal Information Protection Act; “Personal Data” means information relating to an identified or identifiable natural person, or as otherwise defined by Data Protection Laws; “Data Subject,” “Controller,” “Processor,” and Processing” shall have the meaning as defined under the GDPR, or the applicable Data Protection Laws. Any capitalized terms not defined herein shall have the respective meanings given to them in the Agreement.
2. Processing of Personal Data.
a. Roles of the Parties.
The parties agree that Customer is solely responsible for determining the purposes and means of the processing of Personal Data, and Vendor is Customer’s processor responsible for Processing Personal Data on behalf of the Controller. Vendor shall only take action pursuant to instructions of Customer with regards to Processing Personal Data and transferring Personal Data to the United States, India or to other jurisdictions authorized by Customer. Vendor may engage sub-processors to Process Personal Data pursuant to the requirements set forth in Section 2 e and f “Sub-Processors” below. With respect to Customer Personal Data, Vendor is a service provider under the Data Protection Laws.
b. Customer’s Processing of Personal Data.
Customer is solely responsible for its compliance with Data Protection Laws, including without limitation the lawfulness of any transfer of Personal Data to Vendor and Vendor’s Processing of Personal Data. For the avoidance of doubt, but not by way of limitation, Customer’s instructions for the Processing of Personal Data must comply with Data Protection Laws. Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which Customer acquired Personal Data, including providing any required notices to, and obtaining any necessary consent from Data Subjects. Customer takes full responsibility to keep the amount of Personal Data provided to Vendor to the minimum necessary for the performance of the Services. Customer shall be solely responsible for establishing and maintaining any data processing registers or overview as required by any applicable law, including without limitation Data Protection Laws. Customer acknowledges and consents that certain business operations necessary for the fulfilment of Vendor’s Services hereunder may have been transferred or will be transferred in the future to one or more dedicated Vendor affiliates independently managing the provision of such Services. Vendor will not (a) sell Customer Personal Data; (b) retain, use or disclose any Customer Personal Data for any purpose other than for the specific purpose of providing the Services or as otherwise allowed under the Data Protection Laws; or (c) retain, use or disclose the Customer Personal Data outside of the direct business relationship between Vendor and Customer.
c. Customer’s Right to Issue Instructions.
Vendor shall only Process Personal Data in accordance with Customer’s instructions. Subject to the terms of this DPA and with mutual agreement of the parties, Customer may issue written instructions concerning the type, extent and procedure of Processing. Customer is responsible for ensuring that all individuals who provide written instructions to Vendor are authorized by Customer to issue instructions to Vendor. Customer’s initial instructions for the Processing of Personal Data are defined by the Agreement, Schedule 1 to this DPA, and any applicable order form or Statement of Work regarding the software and Services. Any changes of the subject matter of Processing and of procedures shall be agreed upon by the parties in writing prior to becoming effective.
d. Details of Processing.
The initial nature and purpose of the Processing, duration of the Processing, categories of Data Subjects, and types of Personal Data are set forth on Schedule 1.
e. Vendor Sub-Processors.
Customer agrees that Vendor may engage sub-processors to Process Personal Data in accordance with the DPA. When engaging sub-processors, Vendor shall enter into agreements with the sub-processors to bind them to obligations which are substantially similar or more stringent than those set out in this DPA. To the extent required, Customer explicitly mandates Vendor to sign such agreements directly with the sub-processors. Customer will not directly communicate with Vendor’s sub-processors about the software or Services, unless agreed to by Vendor, in Vendor’s sole discretion.
f. Objection Right.
This Section shall apply only where and to the extent that Customer is established within the EEA, or where otherwise required by Data Protection Laws applicable to the Customer. Upon written request by Customer, Vendor shall provide to Customer a list of all relevant third-party sub-processors. Such list is considered the Confidential Information of Vendor. If Customer reasonably objects to the addition of a new sub-processors (e.g., such change causes Customer to be non-compliant with applicable with Data Protection Laws), Customer shall notify Vendor in writing of its specific objections within thirty (30) days of receiving such notification. If Customer does not object within such period, the addition of the new sub-processor and, if applicable, the accession to this DPA shall be considered accepted. If Customer does object to the addition of a new sub-processor and Vendor cannot accommodate Customer’s objection, Customer may terminate the Services and software in writing within sixty (60) days of receiving Vendor’s notification.
g. Return or Deletion of Customer Personal Data.
Unless otherwise required by Data Protection Laws, Vendor will destroy (or return, if mandated by Data Protection Laws)the Customer Personal Data upon termination or expiration of the Services within a reasonable period.
3. Representations and Warranties.
Customer represents, warrants, and covenants that (a) the Personal Data has been collected and transferred to Vendor in accordance with Data Protection Laws; (b) prior to its transfer to Vendor, the Personal Data has been maintained, retained, secured, and protected in accordance with Data Protection Laws; (c) Customer will respond to inquiries from Data Subjects and from applicable regulatory authorities concerning the Processing of the Personal Data, and will alert Vendor of any inquiries from Data Subjects or from applicable regulatory authorities that relate to Vendor’s Processing of the Personal Data; (d) prior to the collection of Personal Data, the Customer has obtained all necessary consents from a Data Subject for Vendor’s Processing of Personal Data in accordance with this DPA; (e) Customer will make available a copy of this Agreement to any Data Subject or regulatory authorities as required by Data Protection Laws or upon the reasonable request of a Data Subject or a regulatory authority; (f) Customer shall be solely responsible and liable for its compliance with Data Protection Laws; (g) the Processing does not violate or breach the terms of any Customer agreement; and (h) Customer will only transfer and provide Vendor with such Personal Data required and requested by Vendor in writing to perform the Services. Vendor will not be liable for any harm or damages resulting from Vendor’s compliance with unlawful instructions received from Customer. Vendor will immediately inform Customer if, in Customer’s opinion, any Processing instructions from Customer infringe on the Data Protection Laws.
4. Rights of Data Subjects.
To the extent legally required, Vendor shall promptly notify Customer if it receives a request from a Data Subject to exercise any of the Data Subject’s rights (i.e. right to access, rectification, restriction of Processing, data portability... etc.) under any Data Protection Laws. To the extent applicable, Vendor shall provide Customer with commercially reasonable cooperation and assistance in relation to any such complaint, notice, or communication. Vendor shall correct erroneous Personal Data as directed by Customer in writing or pursuant to a process mutually agreed to in writing by the parties. Customer shall use its best efforts to respond to and resolve promptly all requests from Data Subjects which Vendor provides to Customer. If Data Protection Laws require Vendor to take any corrective actions without the involvement of Customer, Vendor shall take such corrective actions and inform Customer. Customer shall be responsible for any reasonable costs arising from Vendor’s provision of such assistance under this Section. To the extent legally permitted, Customer shall be responsible for any costs arising from Vendor’s provision of such assistance. To the extent required by Data Protection Laws, Vendor will, upon reasonable notice and at Customer's expense, provide reasonably requested information regarding the Services to enable Customer to carry out data protection impact assessments and/or prior consultations with data protection authorities.
5. Vendor Personnel.
Vendor shall train personnel engaged in the Processing of Personal Data of the confidential nature of the Personal Data and provide appropriate training based on their responsibilities. Vendor shall execute written agreements with its personnel to maintain the confidentiality of Personal Data, including post the termination of the personnel engagement. Vendor shall use commercially reasonable efforts to limit access to Personal Data to personnel who require such access to perform the Agreement. If required by Data Protection Laws, Vendor shall appoint a data protection officer. Upon request, Vendor will provide the contact details of the appointed person.
6. Security.
Vendor will implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk posed by the Processing of Personal Data, taking into account the costs of implementation; the nature, scope, context, and purposes of the Processing; and the risk of varying likelihood and severity of harm to the data subjects. In assessing the appropriate level of security, Vendor shall weigh the risks presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to personal data transmitted, stored or otherwise processed. If obligated by Data Protection Laws, upon becoming aware of a Personal Data Breach, Vendor will notify Customer without undue delay and will provide information and cooperation relating to the Personal Data Breach as reasonably requested by Customer. Such information will be considered the Confidential Information of Vendor. “Personal Data Breach” means a breach of security of the Services leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Customer Personal Data.
7. Audit.
a.Audit Requests.
Subject to Section 7(c), upon Customer’s written request, Vendor will provide Customer with the most recent summary audit report(s) (if available) concerning the compliance and undertakings in this Agreement. Vendor's policy is to share methodology, and executive summary information, not raw data or private information. Vendor will reasonably cooperate with Customer by providing available additional information to help Customer better understand such compliance and undertakings. To the extent it is not possible to otherwise satisfy an audit obligation mandated by applicable Data Protection Laws and subject to Section 7(c), only the legally mandated entity (such as a governmental regulatory agency having oversight of Customer’s operations) may conduct an onsite visit of the facilities used to provide the Services. Unless mandated by Data Protection Laws, no audits are allowed within a data center for security and compliance reasons. After conducting an audit under this Section 7 or after receiving a Vendor report under this Section 7, Customer must notify Vendor of the specific manner, if any, in which Vendor does not comply with any of the security, confidentiality, or data protection obligations in this DPA, if applicable. Any such information will be deemed Confidential Information of Vendor.
b.Sub-Processors.
Customer may not audit Vendor’s sub-processors without Vendor’s and Vendor’s sub-processor’s prior agreement. Customer agrees its requests to audit sub-processors may be satisfied by Vendor or Vendor’s sub-processors presenting up-to-date attestations, reports or extracts from independent bodies, including without limitation external or internal auditors, Vendor’s data protection officer, the IT security department, data protection or quality auditors or other mutually agreed to third parties or certification by way of an IT security or data protection audit. Onsite audits at sub-processors premises may be performed by Vendor acting on behalf of Controller.
c.Audit Process.
Unless otherwise required by Data Protection Laws, Customer may request a summary audit report(s) or audit Vendor no more than once annually. Customer must provide at least four (4) weeks’ prior written notice to Vendor of a request for summary audit report(s) or request to audit. The scope of any audit will be limited to Vendor’s policies, procedures and controls relevant to the protection of Customer’s Personal Data and defined in Schedule 1. Subject to Section 7(b), all audits will be conducted during normal business hours, at Vendor's principal place of business or other Vendor location(s) where Personal Data is accessed, processed or administered, and will not unreasonably interfere with Vendor's day-to-day operations. An audit will be conducted at Customer‘s sole cost and by a mutually agreed upon third party who is engaged and paid by Customer, and is under a non-disclosure agreement containing confidentiality provisions substantially similar to those set forth in the Agreement, obligating it to maintain the confidentiality of all Vendor Confidential Information and all audit findings. Further, Customer agrees to pay the costs of any support provided by Vendor (including internal resources) based on Vendor’s then-current rates. Before the commencement of any such on-site audit, Vendor and Customer shall mutually agree upon the timing, and duration of the audit. Vendor will reasonably cooperate with the audit, including providing auditor the right to review but not to copy Vendor security information or materials during normal business hours. Customer shall, at no charge, provide to Vendor a full copy of all findings of the audit. The results of the audit will be considered “Confidential Information” of Vendor.
8. Data Transfer.
Customer hereby directs Vendor to transfer and process Personal Data in the United States and in other locations around the world where Vendor or its sub-processors maintain data processing operations as necessary to provide the Services or as otherwise set forth in the Agreement. If required under Data Protection Laws, such measures may include (without limitation) transferring Personal Data to a recipient in a country that provides adequate protection for personal data, to a recipient that has achieved binding corporate rules authorization, or to a recipient that has executed standard contractual clauses adopted or approved by the European Commission. In addition, Customer hereby authorizes, appoints, and directs the Vendor, as agent for Customer, to enter into Controller to Processor Standard Contractual Clauses or any other legal document reasonably necessary for the Customer to provide Services.
9. Limitation of Liability.
To the fullest extent allowed under any Data Protection Laws, each party’s and all of its affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA whether in contract, tort or under any other theory of liability, is subject to the “Limits of Liability” section of the Agreement, and any reference in such section to the liability of a party means the aggregate liability of that party and all of its affiliates under the Agreement and this DPA. For the avoidance of doubt, Vendor’s and its affiliates’ total liability for all claims from the Customer arising out of or related to the Agreement and each DPA shall apply in the aggregate for all claims under both the Agreement and this DPA. If required by Data Protection Laws, Vendor shall be liable for the acts and omissions of its sub-processors to the same extent Vendor would be liable if performing the services of each sub-processor directly under the terms of this DPA.
10. Governing Law.
The parties agree that (1) governing law of this DPA, and (2) the forum for all disputes in respect of this DPA, shall be the same as set out in the Agreement, unless otherwise required by applicable Data Protection Laws.
Nature and Purpose of Processing
Vendor will Process Personal Data as necessary to perform the services pursuant to the Agreement and as further instructed by the Customer in its use of any of Vendor’s services (“Services”). The requested Services include, but are not limited, to the following: (a) the consolidation of order data across various online order platforms, and (b) general data analytics services which includes patron retention analytics and other business insights.
Duration of Processing and Retention of Data
Vendor will Process Personal Data for the duration of the Agreement, unless otherwise agreed upon in writing. Vendor will retain Personal Data as long as required under law, unless otherwise agreed to in writing.
Categories of Data Subjects
Customer may submit Personal Data to the Services, the extent of which is determined and controlled by Customer in its sole discretion, and which may include, but is not limited to Personal Data relating to the following categories of Data Subjects:
1. Customer’s patrons
2. Customer’s delivery couriers
3. Customer’s employees or independent contractors
Type of Personal Data
Customer may submit Personal Data to the Services, the extent of which is determined and controlled by Customer in its sole discretion, and may include, but is not limited to, the following categories of Personal Data:
1. Customer’s contact information (company name, email, phone, physical location)
2. Platform login information
3. Billing and payment information
4. Customer’s order information data which may include the following:
a. Patrons contact information
b. Patron’s delivery locations
c. Patron’s order information
d. Delivery courier’s contact information
