Addendum relatif au traitement des données

Cet addendum relatif au traitement des données (« DPA ») complète et est intégré au Contrat conclu entre Verifract, LLC ou Redzone Production Systems, Ltd., selon le cas, dba Redzone (« Redzone ») et le client qui conclut le Contrat (« Client »).

Ce DPA ne s'applique que si et dans la mesure où Redzone traite les données personnelles du client ou de ses utilisateurs dans le cadre des services logiciels fournis par Redzone au client dans le cadre du Contrat. Ce DPA ne s'applique à aucun traitement des données client par des tiers en dehors des services logiciels.

1. Définitions

  • « Compte » désigne le compte du client au sein des services logiciels en relation avec lequel le client stocke et traite les données client relatives aux services.
  • « Affilié » désigne une entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous contrôle commun avec une autre partie au présent DPA, lorsque ce contrôle est représenté par un droit de vote ou une participation similaire représentant cinquante pour cent (50 %) ou plus du total des intérêts alors en circulation de l'entité en question.
  • « CCPA » désigne la loi californienne sur la protection de la vie privée des consommateurs de 2018, telle qu'elle peut être modifiée de temps à autre.
  • « Données clients » signifie tel que défini dans le Contrat.
  • « Lois sur la protection des données » désigne toutes les lois relatives à la protection des données et à la confidentialité applicables à une partie dans l'exercice de ses fonctions respectives en matière de contrôle ou de traitement des données personnelles en vertu de l'Accord, y compris, le cas échéant, (i) le CCPA, (ii) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; et (iii) le RGPD tel qu'il fait partie du droit du Royaume-Uni conformément à la section 3 de la loi de 2018 sur le retrait de l'Union européenne (« Royaume-Uni ») GDPR ») et la loi de 2018 sur la protection des données.
  • « Incident de sécurité » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, stockées ou traitées de toute autre manière, de manière accidentelle ou illégale.
  • « Services logiciels » signifie tel que défini dans le Contrat.
  • « SCC » désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers approuvées conformément à la décision (UE) 2021/914 de la Commission du 4 juin 2021, dont une copie se trouve ici.
  • « Sous-processeur » désigne tout autre processeur engagé par Redzone pour traiter des données personnelles.
  • « Utilisateurs » signifie tel que défini dans le Contrat.
  • Termes définis par la loi : Les termes « données personnelles », « responsable du traitement », « personne concernée », « sous-traitant », « traitement », « date sensible », et « catégories spéciales de données personnelles » (ou des termes équivalents utilisés dans les lois applicables sur la protection des données) auront le sens qui leur est donné dans les lois applicables sur la protection des données ou, s'ils ne sont pas définis en vertu de celles-ci, dans le RGPD et le CCPA, respectivement, et « processus », « processus » et « traité », en ce qui concerne les données du client, seront interprétées en conséquence.
  • Termes en majuscules : Les termes en majuscules qui ne sont pas définis dans le présent DPA auront la même signification que dans le Contrat.

2. Application et détails du traitement

2.1. Relations entre les parties. Entre Redzone et le Client, les parties reconnaissent et conviennent que, en ce qui concerne les données personnelles, le Client est le responsable du traitement des données personnelles et Redzone est un sous-traitant des données personnelles agissant pour le compte du Client.

2.2. Détails du traitement. Les détails du traitement des données personnelles dans le cadre du présent DPA sont décrits dans l'annexe 1 du présent DPA.

3. Rôles et responsabilités

3.1. Conformité aux lois. Chaque partie se conformera à toutes les lois, règles et réglementations qui lui sont applicables et qui la lient dans l'exécution de ses obligations et dans l'exercice de ses droits en vertu du présent DPA, y compris les lois sur la protection des données.

3.2. Instructions pour le client. Redzone traitera les données personnelles uniquement : (i) dans le but de fournir les services logiciels tels que décrits dans le contrat, y compris le traitement initié par les utilisateurs dans le cadre de leur utilisation des services logiciels ; (ii) conformément aux instructions documentées, raisonnables et légales du client ; ou (iii) comme convenu autrement par les parties ou requis par la loi applicable. Les parties conviennent que le Contrat (y compris le présent DPA) définit les instructions complètes et finales du Client à Redzone en ce qui concerne le traitement des données personnelles, et que le traitement en dehors du champ d'application du Contrat (le cas échéant) nécessite un accord écrit préalable entre les parties.

3.3. Conformité des clients. Le client déclare et garantit que : (i) il a respecté et continuera de se conformer à toutes les lois applicables, y compris les lois sur la protection des données, en ce qui concerne toutes les instructions relatives au traitement des données personnelles émises par le client à Redzone et en ce qui concerne le traitement des données personnelles par le client ; (ii) le client a obtenu et continuera d'obtenir tous les consentements et droits nécessaires en vertu des lois sur la protection des données pour que Redzone traite les données personnelles conformément à la Contrat ; et (iii) les instructions du client à Redzone relatives à le traitement des données personnelles ne violera aucune loi, règle ou réglementation applicable, y compris, mais sans s'y limiter, les lois sur la confidentialité des données.

3,4. Données interdites. Le client ne fournira (ni ne fera fournir) de données sensibles ou de catégories spéciales de données personnelles à Redzone aux fins de traitement dans le cadre du Contrat, et Redzone n'assumera aucune responsabilité pour ces types de données, que ce soit en lien avec un incident de sécurité ou autre. Les parties conviennent que toutes les données biométriques fournies aux fins de connexion aux services logiciels Redzone sont traitées par l'appareil tiers ou le fournisseur de services de connexion et non par Redzone.

4. Sécurité du traitement

4.1. Mesures techniques et organisationnelles. Redzone mettra au moins en œuvre les mesures techniques et organisationnelles spécifiées dans l'annexe 2 (la »Mesures techniques et organisationnelles ») pour garantir la sécurité des données personnelles. Cela inclut la protection des données personnelles contre les incidents de sécurité. Lors de l'évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques encourus par les personnes concernées. Redzone peut mettre à jour ses mesures techniques et organisationnelles de temps à autre, à condition que les mises à jour ne diminuent pas sensiblement la protection globale accordée aux données personnelles.

4,2. Confidentialité du traitement. Redzone accordera l'accès aux données personnelles en cours de traitement aux membres de son personnel uniquement dans la mesure nécessaire à la mise en œuvre, à la gestion et/ou au suivi du Contrat. Redzone veillera à ce que les personnes autorisées à traiter les données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

4.3. Mises à jour. Le Client reconnaît que les Mesures techniques et organisationnelles sont soumises au progrès et au développement techniques et que Redzone peut mettre à jour ou modifier ses Mesures techniques et organisationnelles de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas de dégradation de la sécurité globale des Services fournis au Client.

5. Audits.

5.1. Droits d'audit. Droits d'audit. Redzone mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer le respect de cette DPA. Le client peut effectuer un audit lui-même ou par l'intermédiaire d'un auditeur indépendant (sous réserve d'obligations de confidentialité raisonnables). À la demande du Client, Redzone autorisera et contribuera également à des audits des activités de traitement couvertes par le présent DPA à des intervalles raisonnables ou s'il existe des indications raisonnables de non-respect par Redzone de ce DPA.

5.2. Modalités de l'audit. Le client peut demander un audit, y compris une inspection des locaux ou des installations physiques de Redzone, moyennant un préavis écrit d'au moins 30 jours à Redzone. Les parties conviendront mutuellement à l'avance de la portée raisonnable de tout audit, y compris, mais sans s'y limiter, de la date de début de l'audit, de la portée, de la durée et des contrôles de sécurité applicables. Les audits seront effectués aux seuls frais du client et pendant les heures normales de bureau. Tout audit effectué conformément à la SSC sera soumis aux conditions d'audit du présent DPA.

6. Sous-processeurs.

6.1. Sous-processeurs autorisés. Redzone dispose de l'autorisation générale du client à engager des sous-traitants pour traiter les données personnelles pour le compte du client. La liste des sous-traitants actuellement engagés par Redzone est disponible à l'adresse suivante : https://rzsoftware.com/redzone-sub-processors

6.2. Changements apportés aux sous-processeurs. Redzone informera le Client s'il ajoute de nouveaux processeurs ou remplace des Sous-processeurs au moins 10 jours avant de tels changements, si le Client choisit de recevoir de telles notifications en s'abonnant aux mises à jour des Sous-processeurs. ici. Le client peut s'opposer à la nomination ou au remplacement d'un sous-traitant avant la nomination ou le remplacement, à condition que l'opposition soit formulée par écrit et repose sur des motifs raisonnables liés à la protection des données. Si le client s'y oppose, les parties conviennent de discuter de bonne foi de solutions alternatives commercialement raisonnables. Si les parties ne parviennent pas à une solution dans les quatre-vingt-dix (90) jours à compter de la date de réception par Redzone de l'objection écrite du client, le client peut cesser d'utiliser les services logiciels concernés en adressant une notification écrite à Redzone. Cette interruption se fera sans préjudice des frais dus à Redzone pour les services fournis avant l'arrêt des services logiciels concernés. Si aucune objection n'a été soulevée avant que Redzone ne désigne un nouveau sous-traitant ou ne remplace un sous-traitant, le client sera réputé avoir autorisé le nouveau sous-traitant.

6.3. Obligations du sous-traitant. Redzone : (i) conclura un accord écrit avec chaque sous-traitant imposant des obligations de protection des données non moins protectrices des données personnelles que le sont les obligations de Redzone en vertu du présent DPA dans la mesure applicable à la nature des services fournis par ce sous-traitant ; (ii) restera responsable du respect par chaque sous-traitant des obligations en vertu du présent DPA ; et (iii) à la demande écrite du client et sous réserve de toutes les restrictions de confidentialité raisonnablement requises par Redzone, fournira au client un copie des contrats de Redzone avec les sous-traitants.

7. Transferts internationaux

7.1. Emplacements des données. Le Client reconnaît que Redzone peut transférer et traiter les données personnelles du Client vers et vers les États-Unis et partout ailleurs dans le monde où Redzone, ses filiales ou ses sous-traitants assurent des opérations de traitement des données. Redzone veillera à tout moment à ce que ces transferts soient effectués conformément aux exigences des lois sur la protection des données et du présent DPA.

7.2. Mécanisme de transfert ; SCC. Les parties conviennent que les CCT s'appliqueront à toutes les données personnelles transférées via les Services logiciels depuis l'Espace économique européen ou la Suisse, directement ou par transfert ultérieur, vers tout pays ou destinataire situé en dehors de l'Espace économique européen ou de la Suisse qui n'est pas reconnu par la Commission européenne (ou, dans le cas de transferts depuis la Suisse, l'autorité compétente pour la Suisse) comme fournissant un niveau de protection adéquat des données personnelles.

7.3. Horaires. Les annexes du présent DPA fournissent certains détails sur le traitement des données personnelles par Redzone conformément au présent DPA et aux CCS.

8. Demande de la personne concernée ; assistance au client.

Redzone informera rapidement le client de toute demande reçue de la part de la personne concernée. Redzone ne répondra pas à la demande elle-même, sauf si cela est raisonnablement approprié (par exemple, pour demander à la personne concernée de contacter le client), si la loi l'exige ou si le client y est autorisé. Si elles sont disponibles dans le cadre des Services logiciels, le Client peut utiliser toutes les fonctionnalités en libre-service des Services logiciels pour répondre aux demandes des personnes concernées, conformément aux lois sur la protection des données. En outre, Redzone aidera raisonnablement le Client à remplir ses obligations de répondre aux demandes des personnes concernées visant à exercer leurs droits, en tenant compte de la nature du traitement, et, ce faisant, se conformera aux instructions légales du Client.

Par souci de clarté, rien dans la DPA ne limitera ou n'empêchera Redzone de répondre aux demandes d'une personne concernée ou d'une autorité de protection des données concernant des données personnelles pour lesquelles Redzone est le responsable du traitement (et non le sous-traitant).

9. Incidents de sécurité.

9.1. Notification des incidents de sécurité. Si Redzone a connaissance d'un incident de sécurité, Redzone en informera le client dans les meilleurs délais et, dans tous les cas, dans la mesure du possible, dans les soixante-douze (72) heures suivant la prise de connaissance de l'incident de sécurité. Redzone peut envoyer une notification d'un incident de sécurité par tout moyen raisonnable, y compris par courrier électronique à l'adresse e-mail du Client fournie dans le Contrat ou en tant qu'administrateur des Services logiciels, ou par tout moyen de notification défini dans le Contrat. La notification d'un incident de sécurité par Redzone contiendra une description de : (i) la nature de l'incident de sécurité ; (ii) le point de contact de Redzone pour plus d'informations sur l'incident de sécurité ; et (iii) les conséquences probables et les mesures prises ou proposées pour traiter et atténuer les éventuels effets négatifs de l'incident de sécurité.

9.2. Aide à la production de rapports. Redzone fournira une assistance raisonnable au client dans le cas où le client est tenu, en vertu de la législation applicable en matière de protection des données, d'informer une autorité réglementaire ou toute personne concernée par un incident de sécurité.

9,3. Atténuation. Redzone prendra des mesures raisonnables pour enquêter et, si nécessaire, traiter et atténuer un incident de sécurité réel ou menacé. La notification, l'adressage ou la réponse de Redzone à un Incident de sécurité ne seront pas interprétés comme une reconnaissance par Redzone d'une quelconque faute ou responsabilité concernant l'Incident de sécurité.

10. Renvoi ou suppression de données personnelles.

Après la résiliation du Contrat, Redzone supprimera ou retournera au Client, au choix du Client, toutes les données personnelles, sauf dans la mesure où la loi applicable exige la conservation de tout ou partie des données personnelles. Jusqu'à ce que les données soient supprimées ou renvoyées, Redzone continuera à garantir le respect de cette DPA.

11. Relation avec l'accord.

11,1. Loi applicable. Le présent DPA sera régi et interprété conformément au droit applicable au Contrat et tout litige entre les Parties sera soumis à la compétence exclusive du forum défini dans le Contrat, sauf disposition contraire des lois applicables en matière de protection des données.

11,2. Durée. Ce DPA restera en vigueur tant que Redzone traitera les données personnelles pour le compte du client ou jusqu'à ce que le contrat soit résilié ou expiré et que toutes les données du client aient été renvoyées ou supprimées conformément à la section 10 ci-dessus.

11,3. Priorité de la DPA. Le présent DPA remplace et remplace tout addendum, pièce jointe, exposition ou clause contractuelle standard existant sur le traitement des données que Redzone et le client auraient pu précédemment conclure dans le cadre des services logiciels.

11,4. Ordre de priorité. En cas de conflit ou d'incohérence entre le présent DPA et toute autre partie du Contrat, les dispositions des CCS d'abord, puis de la présente DPA prévaudront sur toute disposition contraire de tout document du Contrat.

11,5. Accord inchangé. À l'exception de toute modification apportée par cette DPA, l'accord reste inchangé et est pleinement en vigueur.

11,6. Aucun bénéficiaire tiers. Personne d'autre qu'une partie à cette DPA et ses successeurs et cessionnaires autorisés n'aura le droit de faire appliquer les termes de cette DPA.

11,7. Mises à jour de la DPA. Redzone peut mettre à jour cette DPA pour se conformer à l'évolution de la législation applicable, à condition toutefois qu'aucune mise à jour ne porte atteinte de manière significative à la confidentialité ou à la sécurité des données personnelles. Redzone informera le Client par écrit de tout changement afin de se conformer à la loi applicable, et ces modifications entreront en vigueur immédiatement.

CALENDRIER 1

Détails du traitement

1. Catégories de personnes concernées. Les catégories de personnes concernées dont les données personnelles sont traitées sont les suivantes : (i) les utilisateurs ou toute autre personne qui utilise les services logiciels par ou par l'intermédiaire du client ; et (ii) toute autre personne physique dont les données personnelles sont saisies ou téléchargées vers, ou stockées, traitées ou générées par le client ou les utilisateurs à la suite de leur utilisation des services logiciels.

2. Catégories de données personnelles traitées. Dans le cadre de la fourniture des services logiciels, Redzone peut traiter les catégories de données personnelles suivantes :

a. Identifiants: Informations comprenant le prénom et le nom de famille, le nom d'utilisateur, l'adresse e-mail, le mot de passe Redzone, le pays, l'adresse IP et la configuration du navigateur et du système d'exploitation.

b. Informations relatives à l'emploi: coordonnées professionnelles, qui peuvent inclure les noms, les titres, les fonctions des employés, les informations sur l'employeur (telles que l'unité commerciale ou le groupe), le numéro de téléphone professionnel et l'adresse e-mail, l'adresse postale professionnelle et le nom du superviseur.

c. Résultats: Données relatives à l'efficacité globale de l'équipement et/ou aux contrôles statistiques des processus qui peuvent se rapporter à une personne concernée.

d. Informations techniques sur l'utilisation et l'activité: Informations techniques collectées automatiquement à partir de l'appareil d'un utilisateur et liées à l'utilisation des Services logiciels ou de tout site Web détenu ou géré par Redzone, telles que les données des cookies et les informations relatives à l'appareil (y compris l'identifiant, le nom et le type de système d'exploitation). Cela inclut également des informations Web standard telles que le type de navigateur, les données du navigateur, les données d'utilisation, les pages consultées et les actions entreprises dans le cadre de l'utilisation des Services logiciels.

e. Informations fournies: Toute autre information que le Client ou les Utilisateurs fournissent à Redzone lors de l'inscription, de l'utilisation ou de la demande d'assistance pour les Services logiciels.

3. Données sensibles. Redzone ne le fait pas intentionnellement et les parties ne prévoient pas que Redzone collectera ou traitera des catégories spéciales de données personnelles (telles que définies par les lois sur la protection des données) dans le cadre de la fourniture des services logiciels.

4. Nature de la procession. La nature du traitement des données dans le cadre de cette DPA est le traitement des données personnelles par Redzone tel que défini dans le Contrat.

5. Durée du traitement. Entre les parties, la durée du traitement des données dans le cadre du présent DPA est jusqu'à ce que ces données soient supprimées ou renvoyées au Client conformément au Contrat.

ANNEXE 2

Zone rouge Mesures techniques et organisationnelles sont listés ici : https://rzsoftware.com/technical-and-organizational-measures

ANNEXE 3

DÉTAILS DES CLAUSES CONTRACTUELLES TYPES

1. Modules. Pour les transferts de données personnelles en provenance de l'Espace économique européen ou de la Suisse soumis aux CCT, les CCT seront considérées comme conclues (et intégrées dans cet Addendum par cette référence) et complétées comme suit :

a. Le client est « l'exportateur de données » ; Redzone est l' « importateur de données ».

b. Le module 2 (du responsable du traitement au processeur) des CCT s'appliquera comme indiqué dans les CCT où le client est le responsable du traitement des données personnelles et Redzone est le sous-traitant des données personnelles.

c. Le module 3 (du processeur au sous-traitant) des CCT s'appliquera comme indiqué dans les CCT où le Client est un sous-traitant des données personnelles et Redzone est le sous-traitant des données personnelles.

2. Clauses facultatives. En ce qui concerne les clauses facultatives des SSC, les options suivantes s'appliquent au présent DPA :

a. Dans la clause 7 des CCS, la clause d'amarrage ne s'appliquera pas.

b. Dans la clause 9 des SCC, l'option 2 (autorisation écrite générale) s'appliquera et le délai de notification préalable des modifications apportées au sous-processeur sera celui indiqué dans la section 6.2 (Modifications du sous-processeur) du présent DPA.

c. Dans la Clause 11 des CCS, le libellé optionnel ne s'appliquera pas.

d. Dans la clause 17 des CCS, les CCS, et seules les CCS, seront régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi. Lorsque cette législation n'autorise pas les droits des tiers bénéficiaires, ceux-ci sont régis par le droit d'un autre État membre de l'UE qui autorise les droits des tiers bénéficiaires. Les parties conviennent que ce sera la loi de l'Irlande.

e. Selon la clause 18 (b) des CCS, tout litige découlant des CCS, et seul un litige découlant des CCS, sera résolu par les tribunaux d'un État membre de l'UE. Les parties conviennent que ces tribunaux seront compétents en Irlande.

3. Annexe aux SCC.

En ce qui concerne l'annexe 2 des CCS, les termes suivants s'appliquent au présent DPA :

a. Annexe I (A) — Liste des Parties :

Exportateur de données : client

  • Informations de contact : Les adresses e-mail désignées par le client dans le formulaire de commande du client ou dans son compte au sein des services logiciels.
  • Rôle de l'exportateur de données : comme indiqué dans la section 2 (Relations entre les parties) du présent addendum.
  • Signature et date : En concluant l'accord, à la date d'entrée en vigueur de l'accord, l'exportateur de données est réputé avoir signé les CCT incorporées aux présentes, y compris leurs annexes.

Importateur de données : Verifract, LLC d/b/a Redzone

  • Informations de contact : Redzone at it@rzsoftware.com
  • Rôle de l'exportateur de données : comme indiqué dans la section 2 (Relations entre les parties) du présent DPA.
  • Signature et date : En concluant l'accord, à la date d'entrée en vigueur de l'accord, l'importateur de données est réputé avoir signé les CCT incorporées aux présentes, y compris leurs annexes.

b. Annexe I (B) — Description du transfert. Le transfert de données personnelles est décrit dans l'annexe 1 du présent DPA. Les transferts se feront sur une base continue.

c. Annexe 1 (C) — Autorité de surveillance.

(i) Selon les CCT, l'autorité de surveillance sera : (A) si le Client est établi dans un État membre de l'UE, l'autorité de contrôle chargée de garantir la conformité du Client au RGPD ; ou (B) si le Client n'est pas établi dans un État membre de l'UE mais relève du champ d'application extraterritorial du RGPD, puis (C) si le Client a désigné un représentant, l'autorité de surveillance de l'État membre de l'UE dans lequel le représentant du Client est établi, ou (D) si le client n'a pas désigné de représentant, l'autorité de surveillance de l'UE État membre dans lequel les personnes concernées sont principalement situées.

(ii) En ce qui concerne les données personnelles soumises au RGPD britannique ou à la DPA suisse, l'autorité de surveillance compétente sera le commissaire à l'information du Royaume-Uni ou le commissaire fédéral suisse à la protection des données et à l'information (selon le cas).

CALENDRIER 4

TERMES SPÉCIFIQUES À LA JURIDICTION

Californie

Lorsque le traitement des données personnelles par Redzone est soumis à la CCPA, les conditions suivantes s'appliqueront pour compléter la DPA et contrôleront toute disposition contradictoire de la DPA :

1. Sauf indication contraire, lorsque le CCPA s'applique à cette DPA, les références à : « responsable du traitement » incluent « Entreprise » ; « sous-traitant » inclut « Fournisseur de services » ; « personne concernée » inclut « Consommateur » ; « données personnelles » incluent « Informations personnelles » ; dans chaque cas, ces dernières sont définies dans le CCPA.

2. Tous les droits des personnes concernées et les obligations de Redzone concernant ces droits, tels que décrits dans le présent DPA, s'appliquent également aux droits des consommateurs en vertu du CCPA.

3. Redzone traitera, conservera, utilisera et divulguera les informations personnelles uniquement dans la mesure nécessaire pour fournir les services logiciels dans le cadre du Contrat, ce qui constitue un « objectif commercial » au sens de la CCPA.

4. Redzone s'engage à ne pas : (a) vendre (selon la définition du CCPA) les données personnelles du Client ou les données personnelles des Utilisateurs ; (b) conserver, utiliser ou divulguer les données personnelles du Client à des fins commerciales (telles que définies par le CCPA) autres que la fourniture des Services logiciels ; ou (c) conserver, utiliser ou divulguer les données personnelles du Client en dehors du champ d'application du Contrat.

5. Redzone prendra des mesures pour s'assurer que ces sous-traitants sont des fournisseurs de services relevant de la CCPA avec lesquels Redzone a conclu un contrat écrit contenant des termes essentiellement similaires à la présente DPA ou sont autrement exemptés de la définition de la « vente » du CCPA. Redzone exerce une diligence raisonnable appropriée à l'égard de ses sous-traitants.

Royaume-Uni

Lorsque le traitement des données personnelles par Redzone est soumis aux lois de protection des données correspondantes du Royaume-Uni (y compris le RGPD britannique et la loi sur la protection des données de 2018), les conditions suivantes s'appliqueront pour compléter la DPA et contrôleront toute disposition contraire de la DPA :

1. Dans cette mesure, les références au RGPD dans le présent addendum seront considérées comme des références aux lois correspondantes du Royaume-Uni (y compris le RGPD britannique et la loi sur la protection des données de 2018).

2. Lorsque Redzone engage un sous-traitant, elle demandera à celui-ci de protéger les données personnelles du client conformément aux normes requises par les lois applicables en matière de protection des données, notamment en incluant les mêmes obligations de protection des données visées à l'article 28 (3) du RGPD, y compris en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ; et exigera de tout sous-traitant désigné qu'il accepte par écrit de ne traiter les données que dans un pays qui l'européen L'Union a déclaré disposer d'un niveau de protection « adéquat » ou ne traiter les données que dans des conditions équivalentes aux CCS.