Andmetöötluslisa

Kokkuvõte

Viimati uuendatud: 07/16/2025

Käesolev andmetöötluslisa ("DPA") täiendab ja on kaasatud mis tahes lepingusse Netradyne’i ja isiku või juriidilise isiku ("Klient") vahel, mis reguleerib Kliendi Netradyne’i Toodete ja Teenuste kasutamist, olenemata sellest, kas selline kasutamine toimub (i) Netradyne’iga sõlmitud otsese lepingu alusel, (ii) edasimüüja kaudu või (iii) muude kasutamist lubavate teenusetingimuste või lepingute alusel (edaspidi ühiselt "Leping"). Kui Klient kasutab Tooteid ja Teenuseid edasimüüja kaudu, võib Kliendi nõustumine käesoleva DPA-ga toimuda elektrooniliste vahendite abil, toote aktiveerimisega või Tooteid ja Teenuseid edasi kasutades. Käesolev DPA on leping Kliendi (koos kõigi tema sidusettevõtetega, kes kasutavad Lepingu alusel Tooteid ja Teenuseid) ja Netradyne’i vahel (igaüks eraldi "Pool" ja ühiselt "Pooled").

1. Mõisted

Käesolevas lisas on allpool toodud mõistetel järgmised tähendused:

1.1. “Kliendi isikuandmed” tähendavad Kliendi andmetes sisalduvaid Andmekaitsealastele õigusaktidele alluvaid Isikuandmeid, mille Klient on Netradyne’ile esitanud või kättesaadavaks teinud ja mida Netradyne töötleb Lepingu alusel Kliendi nimel.

1.2. “Andmekaitsealased õigusaktid” tähendavad vastavalt kohaldatavusele: (i) ELi isikuandmete kaitse üldmäärust (EL 2016/679) ("ELi GDPR") ning selle ülevõtmist Inglismaa ja Walesi, Šotimaa ja Põhja‑Iirimaa õigusesse Ühendkuningriigi Euroopa Liidust Väljumise seaduse 2018 alusel ("ÜK GDPR"); (ii) Šveitsi föderaalseadust andmekaitse kohta ("FADP"); (iii) Ameerika Ühendriikide föderaal- ja/või osariigi andmekaitse- või privaatsusõigusakte, sealhulgas, kuid mitte ainult, California tarbijate privaatsuse seadust 2018, mida on muudetud 2020. aasta California privaatsusõiguste seadusega (koos selle rakendusmäärustega, "CPRA"); (iv) Belgia andmekaitseseadust 30. juulist 2018 ("BDPA") ja/või (v) mis tahes muid kohaldatavaid riigisiseseid õigusakte Euroopa Majanduspiirkonnas või Ühendkuningriigis, mis täiendavad ELi GDPR-i või ÜK GDPR-i (vastavalt kohaldatavusele), ja/või kohaldatavaid andmete privaatsust ja/või andmekaitset käsitlevaid õigusakte mis tahes riigis; igal juhul selliselt, nagu neid aeg-ajalt muudetakse, asendatakse või tühistatakse.

1.3. “Vastutav töötleja” tähendab üksust, kes määrab kindlaks Isikuandmete töötlemise vahendid ja eesmärgid.

1.4. “Andmesubjekt” tähendab füüsilist isikut, kellele Isikuandmed osutavad.

1.5. “ELi standardlepinguklauslid” tähendavad Euroopa Komisjoni 4. juuni 2021 rakendusotsusele 2021/914 lisatud standardlepinguklausleid, mis käsitlevad Isikuandmete edastamist kolmandatesse riikidesse vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2016/679.

1.6. “Isikuandmed” tähendavad “isikuandmeid”, “isiklikku teavet” või “isikut tuvastavat teavet” või mis tahes samasisulist terminit Andmekaitsealaste õigusaktide tähenduses, nagu need mõisted on nendes õigusaktides määratletud.

1.7. “Isikuandmete rikkumine” tähendab mis tahes turvarikkumist, millest Andmekaitsealased õigusaktid nõuavad (i) et Netradyne teavitaks Klienti või (ii) et Klient teavitaks Järelevalveasutust või mõjutatud isikuid või peaks pidama selle kohta arvestust, mis hõlmab käesoleva Lisa kohaldamisalasse kuuluvaid Isikuandmeid.

1.8. “Töötlemine” tähendab mis tahes toimingut või toimingute kogumit, mida tehakse Isikuandmete või isikuandmete kogumite suhtes.

1.9. “Volitatud töötleja” tähendab üksust, kes töötleb Isikuandmeid Vastutava töötleja nimel.

1.10. “Järelevalveasutus” tähendab valitsus- või regulatiivasutust, kes vastutab Andmekaitsealaste õigusaktide haldamise, nende järgimise järelevalve ja/või jõustamise eest.

1.11. Käesolevas dokumendis muul viisil määratlemata suurtähega mõistetel on Lepingu kohaselt antud tähendus.

2. Käesoleva DPA kohaldamine

Käesolev Andmetöötlusleping (DPA) kohaldub ainult siis ja ainult ulatuses, milles Netradyne töötleb Kliendi isikuandmeid Kliendi nimel Töötlejana (või alamtöötlejana) ja CPRA puhul „teenusepakkujana“ või „töövõtjana“ Toodete ja Teenuste osutamise käigus Lepingu alusel.

Vastuolu korral ja sellises ulatuses, milles see esineb, Lepingu ja käesoleva DPA tingimuste vahel on ülimuslikud käesoleva DPA tingimused. Vastuolu korral ja niivõrd, kuivõrd see esineb, käesoleva DPA tingimuste ja SCC‑de või ÜK lisadokumendi (UK Addendum) vahel, on ülimuslikud SCC‑d või ÜK lisadokument (vastavalt kohaldatavusele) vastuolu ulatuses. Välja arvatud siinses dokumendis selgesõnaliselt sätestatud muudatused, jäävad Lepingu tingimused täies ulatuses kehtima.

3. Rollid ja töötlemise ulatus

3.1. Poolte rollid

Poolte vahel tegutseb Netradyne Kliendi isikuandmete Volitatud töötlejana (või alltöötleja, teenusepakkuja või töövõtjana).

3.2. Kliendi juhised

3.2.1. Netradyne töötleb Kliendi isikuandmeid täpselt nii, nagu on sätestatud Lepingus, käesolevas DPA-s ja/või Kliendi dokumenteeritud juhistes, või muul viisil vastavalt kohaldatava õiguse nõuetele, millele Netradyne allub ("Kliendi juhised"). Kui kohaldatav õigus nõuab Netradyne’ilt Kliendi isikuandmete töötlemist muul viisil kui Kliendi juhiste kohaselt, teavitab Netradyne Klienti sellisest õiguslikust nõudest enne nimetatud töötlemist ulatuses, milles kohaldatav õigus seda lubab, välja arvatud juhul, kui seadus keelab teabe andmise olulise avaliku huvi tõttu.

3.2.2. Netradyne teavitab viivitamata Klienti, kui Netradyne’i hinnangul rikuvad Kliendi juhised kohaldatavat õigust või kui Netradyne leiab, et ta ei suuda enam täita oma kohustusi kohaldatava õiguse alusel. Netradyne’l on õigus selliste Kliendi juhiste täitmine peatada.

3.2.3. Klient tagab, et Kliendi juhised ei vii Netradyne’i vastuollu ühegi kohaldatava seaduse või määrusega.

4. Netradyne’i personal

4.1. Netradyne tagab, et tema töötajad, esindajad, töövõtjad ja muu personal, kellel on juurdepääs Isikuandmetele: (a) teevad seda üksnes ulatuses, mis on rangelt vajalik Teenuste osutamiseks; ning (b) on seotud asjakohaste siduvate konfidentsiaalsuskohustustega, mis ei ole vähem kaitsvad kui Lepingus sätestatud

5. Turvalisus

5.1. Netradyne rakendab ja hoiab ülal asjakohaseid tehnilisi ja korralduslikke turvameetmeid, mis on kavandatud Kliendi isikuandmete kaitsmiseks. Netradyne rakendab II lisas sätestatud meetmeid. Netradyne võib neid meetmeid aeg-ajalt muuta, tingimusel et muudatused ei vähenda oluliselt Kliendi isikuandmete üldist turvalisuse taset.

6. Alltöötlemine

6.1. Klient annab käesolevaga Netradyne’i sidusettevõtetele ning muudele III lisas loetletud kolmandatele osapooltele üldise volituse tegutseda alltöötlejatena (igaüks eraldi “Alltöötleja”). Netradyne võib avaldada Kliendi isikuandmeid oma Alltöötlejatele Toodete ja Teenuste pakkumise eesmärgil, tingimusel et Netradyne’i Alltöötlejad kohustuvad järgima siduvaid andmekaitsekohustusi, mis ei ole vähem koormavad kui käesolevas DPA-s sätestatud.

6.2. Klient on õigustatud esitada vastuväiteid Netradyne’i poolt aeg-ajalt teatatud Alltöötlejate muudatustele kolmekümne (30) kalendripäeva jooksul alates vastavast teatest. Kui Klient ei esita nimetatud tähtaja jooksul vastuväidet, loetakse Klient sellise muudatusega nõustunuks. Kui sellise vastuväite esitamiseks esineb olemuslikult oluline põhjus ja see on Netradyne’ile kirjalikult esitatud ning kui pooled ei saavuta selle küsimuse osas sõbralikku lahendust (mõlemad Pooled tegutsevad mõistlikult ja heas usus), võib Klient lõpetada asjaomased tellimuslehed üksnes nende Toodete ja Teenuste funktsioonide või funktsionaalsuste osas, mida muudatus mõjutab.

6.3. Netradyne jääb vastutama Alltöötlejate tegude või tegevusetuse eest samas ulatuses, nagu nõuavad Andmekaitsealased õigusaktid, justkui oleks need teod või tegevusetus toime pannud Netradyne ise, ning tal on lubatud täita mis tahes kohustused uuesti või korraldada nende uuesti täitmine. Klient tunnistab ja nõustub, et selline uuesti täitmine vähendab mis tahes nõuet, mis Kliendil võib olla Netradyne’i vastu seoses Alltöötleja vastutusega.

7. Andmesubjektide taotlused

7.1. Netradyne teavitab Klienti ja abistab teda, kui Netradyne saab Andmesubjektidelt taotlusi oma õiguste kasutamiseks (andmesubjekti taotlused), tingimusel et Netradyne suudab Andmesubjektide esitatud teabe põhjal mõistlikult tuvastada, et taotlus on seotud Kliendi või Kliendi isikuandmetega. Netradyne ei vasta ühelegi sellisele taotlusele, välja arvatud juhul, kui seda nõuab kohaldatav õigus. Netradyne võib nõuda, et Klient kataks käesolevas jaotises sätestatud abi osutamise tõttu tekkinud tegelikud kulud, lähtudes Netradyne’i sel ajal kehtivatest teenuste hindadest.

7.2. Selguse huvides: Andmesubjektide taotlustele vastamise eest vastutab Vastutava töötlejana Klient. Netradyne’i Tooted ja Teenused hõlmavad tehnilisi ja korralduslikke meetmeid, mis on kavandatud abistama Klienti andmesubjekti taotlustele vastamisel.

8. Kolmandate osapoolte taotlused

Netradyne kohustub:

(a) välja arvatud juhul, kui seadus seda keelab, teavitama Klienti viivitamata ja ilma põhjendamatu viivituseta (igatahes 72 tunni jooksul) mis tahes järelevalveasutuse, regulaatori, õiguskaitseorgani või krediidiinfo agentuuri teabepäringust või kaebusest seoses Isikuandmetega, mida Netradyne töötleb Lepingu alusel; ja

(b) kui Klient seda taotleb, arutama ja tegema koostööd mis tahes vastuse koostamisel sellisele taotlusele;

(c) mitte vastama sellisele taotlusele ilma Kliendi eelneva kirjaliku nõusolekuta, välja arvatud juhul, kui seadus seda kohustab.

Välja arvatud juhul, kui seadus seda keelab, teavitab Netradyne enne mis tahes isikuandmete rikkumisega seotud teatise või avalikustamise tegemist kolmandale osapoolele esmalt Klienti ja saab Kliendi eelneva kirjaliku nõusoleku.

9. Isikuandmete rikkumine

9.1. Netradyne teavitab Klienti viivitamata, kui saab teada Kliendi isikuandmeid mõjutavast isikuandmete rikkumisest. Selguse huvides: Isikuandmete rikkumisena ei käsitata (i) tegusid või tegevusetust, mis ei ole otseselt omistatavad Netradyne’ile või selle Alltöötlejatele; ega (ii) mis tahes juurdepääsu Kliendi isikuandmetele või nende töödeldamist, mis on kooskõlas Kliendi juhistega. Kliendi taotlusel osutab Netradyne mõistlikku abi ja teeb koostööd Kliendi abistamiseks kõigi kohaldatavate Andmekaitsealaste õigusaktide alusel isikuandmete rikkumisega seoses kehtivate teavitamiskohustuste täitmisel. Netradyne’i teavitust isikuandmete rikkumisest või sellele antud vastust ei tõlgendata Netradyne’i ega, kui asjakohane, selle Alltöötlejate süü või vastutuse tunnistamisena seoses Toodete ja Teenuste osutamisega. Netradyne võib nõuda, et Klient kataks käesolevas jaotises sätestatud abi osutamise tõttu tekkinud tegelikud kulud, lähtudes Netradyne’i sel ajal kehtivatest teenuste hindadest.

10. Andmekaitsealane mõjuhinnang ja eelnev konsulteerimine

10.1. Kliendi taotlusel osutab Netradyne Kliendile mõistlikku abi mis tahes andmekaitsealaste mõjuhinnangute ja Andmekaitsealaste õigusaktide kohaselt nõutavate eelnevate konsultatsioonide läbiviimisel Järelevalveasutustega; igal juhul üksnes seoses Netradyne’i poolt Lepingu alusel Kliendi isikuandmete töötlemisega ning arvestades töötlemise iseloomu ja Netradyne’ile kättesaadavat teavet. Netradyne jätab endale õiguse küsida sellise abi eest mõistlikku tasu ulatuses, milles kohaldatav õigus seda lubab.

11. Auditõigused

11.1. Kirjaliku taotluse alusel ja Kliendile lisakulusid tekitamata võimaldab Netradyne Kliendile ja/või tema vastavalt kvalifitseeritud kolmanda osapoole esindajale (edaspidi koos "Audiitor") juurdepääsu dokumentidele, mis tõendavad Netradyne’i vastavust käesolevast DPA-st tulenevatele kohustustele, näiteks asjakohaste auditite või sertifitseeringute (nt ISO 27001) aruannete või täidetud tööstusstandarditele vastavate küsimustike kujul (edaspidi ühiselt "Aruanded"). Sellised Aruanded on Lepingu konfidentsiaalsussätete kohaselt Netradyne’i konfidentsiaalne teave. Klient nõustub, et Aruandeid kasutatakse Kliendi poolt või Kliendi nimel esitatud mis tahes auditi- või inspekteerimistaotluse rahuldamiseks seoses Andmekaitse Seadustega, käesoleva DPA ja/või lepinguga.

11.2. Kui Audiitor on kolmas osapool, võib Audiitorilt nõutav olla eraldi konfidentsiaalsuslepingu sõlmimine Netradynega enne Aruannete läbivaatamist või Netradyne’i auditeerimist. Netradyne võib sellise Audiitori suhtes esitada kirjaliku vastuväite, kui Netradyne’i mõistliku arvamuse kohaselt ei ole Audiitor piisavalt kvalifitseeritud või on Netradyne’i konkurent. Iga selline Netradyne’i vastuväide nõuab, et Klient kas määraks teise Audiitori või viiks auditi läbi ise. Kõik kulud, mida Audiitor kannab seoses Aruannete läbivaatamise või auditiga, kannab ainuüksi Audiitor.

11.3. Kui Aruanne ei ole saadaval, võib Klient, esitades 30 päeva ette kirjaliku teate ja mitte rohkem kui üks kord kalendriaastas, taotleda oma kulul ülevaatuse läbiviimist — mille ulatus, kuupäevad, kestus, audiitor ning kõik turva- ja/või konfidentsiaalsuskontrollid lepitakse poolte vahel kokku — Netradyne’i asjaomastest poliitikatest ja protseduuridest, mis reguleerivad Netradyne’i Kliendi Isikuandmete käsitlemist seoses Toodetega, eesmärgiga kontrollida Netradyne’i vastavust käesolevale DPA-le. See ülevaatus viiakse läbi viisil, mis ei kahjusta Netradyne’i konfidentsiaalsuskohustusi Netradyne’i teiste klientide ees. Pooled tunnistavad ja nõustuvad, et Netradyne’i poliitikad ja protseduurid ning kõik Kliendi ülevaatuse järeldused on Lepingus sätestatud konfidentsiaalsusklauslite kohaselt Netradyne’i Konfidentsiaalne Teave.

11.4. Ulatuses, mida Andmekaitse Seadused nõuavad, on Kliendil õigus, teatades sellest Netradyne’ile kirjalikult, võtta mõistlikke ja asjakohaseid meetmeid, et lõpetada ja parandada mis tahes Kliendi Isikuandmete kasutamine, mis rikub Lepingut.

12. Andmete edastamine

12.1. Netradyne võib Kliendi Isikuandmeid edastada mis tahes riiki või territooriumile, kui see on mõistlikult vajalik Toodete ja Teenuste osutamiseks ning kooskõlas käesoleva DPA-ga. Ulatuses, milles selline edastamine hõlmab Kliendi Isikuandmeid, mida kaitsevad Euroopa Liidus, Ühendkuningriigis ja/või Šveitsis kohaldatavad Andmekaitse Seadused, nõustuvad Netradyne ja Klient järgima ning töötlema Kliendi Isikuandmeid kooskõlas allpool täpsustatud edastusmehhanismidega.

12.1.1. Ulatuses, mil Netradyne on Kliendi Isikuandmete – andmetöötleja rollis – saaja riigis väljaspool Euroopa Majanduspiirkonda (EEA), mida Andmekaitse Seadused ei tunnusta Isikuandmete jaoks piisava kaitsetasemega riigina, nõustuvad Klient (\"data exporter\") ja Netradyne (\"data importer\") järgima ning töötlema EU Data’t kooskõlas EU SCCs-idega, mis loetakse käesolevasse DPA-sse alljärgnevalt kaasatuks ja selle osaks:

Kohaldub teine moodul;
Klauslis 7 ei kohaldata valikulist docking clause’i;
Klauslis 9 kohaldub Valik 2 ning Alamtöötlejate muudatustest ette teatamise tähtaeg on sätestatud käesoleva DPA jaotises 6.2;
Klauslis 11 ei kohaldata valikulist sõnastust;
Klauslis 13(a) kohaldub esimene lõik;
Klauslis 17 kohaldub Valik I ning EU SCCs alluvad Madalmaade seadustele;
Klausli 18(b) kohaselt lahendatakse vaidlused Madalmaade kohtutes;
EU SCCs-i Lisa I loetakse täidetuks käesoleva DPA Lisa 1-s esitatud teabega; ja
Kooskõlas jaotisega 5. 1 käesoleva DPA kohaselt loetakse EU SCCs-i Lisa II täidetuks käesoleva DPA Lisa 2-s esitatud teabega.
SCC-de Lisa III (alamtöötlejate loetelu) loetakse täidetuks käesoleva DPA Lisa 3-s esitatud teabega.

12.1.2. Ulatuses, mil Netradyne on Šveitsi DPA ("Swiss Data") kohaselt kaitstavate Kliendi Isikuandmete saaja riigis väljaspool Šveitsi, mida Andmekaitse Seadused ei tunnusta Isikuandmete jaoks piisava kaitsetasemega riigina, nõustuvad Klient ("data exporter") ja Netradyne ("data importer") järgima ning töötlema Swiss Data’t kooskõlas EU SCCs-idega, mis loetakse käesolevasse Andmetöötluslepingusse inkorporeerituks ja selle osaks vastavalt ülaltoodud punktile 12.1.1 ja allpool toodud muudatustele.

12.1.3. Ulatuses, milles Netradyne on Ühendkuningriigi andmekaitse seadustega ("UK Data Protection Laws") kaitstud Kliendi isikuandmete ("UK Data") saaja Ühendkuningriigist väljaspool asuvas riigis, mida Ühendkuningriik ei ole tunnistanud isikuandmete kaitse piisavaks tasemeks, nõustuvad Klient ("andmete eksportija") ja Netradyne ("andmete importija") järgima ning töötlema UK andmeid kooskõlas ELi standardlepinguklauslitega (EU SCCs), nagu rakendatud eespool punktis 12.1.1, ja alljärgnevas jaotises sätestatud muudatustega. Ulatuses ja seni, kuni käesoleva DPA kohaselt rakendatud ELi standardlepinguklausleid (EU SCCs) ei saa kasutada Kliendi isikuandmete seaduslikuks edastamiseks Netradyne'ile vastavalt Ühendkuningriigi andmekaitse seadustele, loetakse Ühendkuningriigi standardlepinguklauslid (UK SCCs) käesolevasse DPA-sse kaasatuks ja selle osaks ning need kohaldatakse ülekannetele, mida reguleerib UK GDPR. Ühendkuningriigi standardlepinguklauslite (UK SCCs) eesmärgil loetakse asjakohased lisad või tabelid täidetuks käesoleva DPA Lisa 1 ja Lisa 2 teabega.

12.1.4. Seoses UK andmete või Šveitsi andmete edastamisega kohaldatakse eespool punktis 12.1.1 rakendatud ELi standardlepinguklausleid (EU SCCs) järgmiste muudatustega (mida ajakohastatakse aeg-ajalt kooskõlas Ühendkuningriigi Information Commissioner's Office'i või Šveitsi föderaalse andmekaitse- ja teabekomissari juhistega):

12.1.4.1. viiteid "Regulation (EU) 2016/679" käsitatakse kui viiteid Ühendkuningriigi andmekaitse seadustele või Šveitsi andmekaitse seadusele (Swiss DPA) (olenevalt kohaldatavusest);

12.1.4.2. viited määruse "Regulation (EU) 2016/679" konkreetsetele artiklitele asendatakse Ühendkuningriigi andmekaitse seaduste või Šveitsi andmekaitse seaduse (Swiss DPA) samaväärse artikli või jaotisega (olenevalt kohaldatavusest);

12.1.4.3. viited sõnadele "EU", "Union", "Member State" ja "Member State law" asendatakse viidetega "UK" või "Switzerland", või "UK law" või "Swiss law" (olenevalt kohaldatavusest);

12.1.4.4. mõistet "member state" ei tõlgendata selliselt, et see välistaks Ühendkuningriigis või Šveitsis asuvatel andmesubjektidel võimaluse esitada oma õiguste kaitseks hagi nende tavapärase elukoha kohtutes (s.t Ühendkuningriigis või Šveitsis);

12.1.4.5. ELi standardlepinguklauslite (EU SCCs) klauslit 13(a) ja I lisa osa C ei kasutata ning "pädev järelevalveasutus" on Ühendkuningriigi Information Commissioner või Šveitsi föderaalne andmekaitse- ja teabekomissar (olenevalt kohaldatavusest);

12.1.4.6. viited "pädevale järelevalveasutusele" ja "pädevatele kohtutele" asendatakse viidetega "Information Commissionerile" ja "Inglismaa ja Walesi kohtutele" või "Šveitsi föderaalsele andmekaitse- ja teabekomissarile" ning "Šveitsi pädevatele kohtutele" (olenevalt kohaldatavusest);

12.1.4.7. klauslis 17 reguleerivad ELi standardlepinguklausleid (EU SCCs) Inglismaa ja Walesi või Šveitsi seadused (olenevalt kohaldatavusest); ning

12.1.4.8. Ühendkuningriigi andmekaitse seaduste kohaldamisalasse kuuluvate edastuste puhul muudetakse klauslit 18 nii, et see sätestab "Kõik nendest klauslitest tulenevad vaidlused lahendatakse Inglismaa ja Walesi kohtutes. Andmesubjekt võib algatada andmete eksportija ja/või andmete importija vastu kohtumenetluse mis tahes Ühendkuningriigi riigi kohtutes. Pooled nõustuvad allutama end nende kohtute jurisdiktsioonile", ning Šveitsi andmekaitse seaduse (Swiss DPA) kohaldamisalasse kuuluvate edastuste puhul sätestab klausel 18(b), et vaidlused lahendatakse Šveitsi pädevates kohtutes.

12.2. Netradyne võib edastada Kliendi isikuandmeid alamvolitatud töötlejale väljaspool Euroopa Liitu, Šveitsi või Ühendkuningriiki, tingimusel et Netradyne rakendab meetmeid, mis tagavad andmete seadusliku edastamise. Need meetmed võivad nõuda, et Netradyne (a) tagab, et kolmas osapool sõlmib standardlepinguklauslid; või (b) kasutab mõnda muud alternatiivset, seaduslikku andmete edastamise mehhanismi (nagu andmekaitse seadustes tunnustatud).

12.3. Niivõrd, kuivõrd isikuandmete edastamiseks kasutatavatel ülekandemehhanismidel ei saa enam tugineda isikuandmete seaduslikuks edastamiseks ühelt jurisdiktsioonilt teisele vastavalt kohaldatavatele andmekaitse seadustele, kohtuvad pooled viivitamata, et arutada ja kokku leppida alternatiivses ülekandemehhanismis või alternatiivsetes täiendavates meetmetes, mis võimaldavad andmete seaduslikku edastamist, niipea kui mõistlikult võimalik.

13. Kliendi isikuandmete kättesaamine & kustutamine

13.1. Klient nõustub, et andmete säilitamise ja kustutamise põhimõtted alluvad Lepingus sätestatud tingimustele. Pärast Kliendi Isikuandmete kustutamise taotluse saamist kustutab Netradyne viivitamata kõik Isikuandmed või tagastab need Kliendile vastavalt taotlusele. Kui Klient ei teavita Netradyne'i teisiti, kustutab Netradyne Lepingu lõpetamisel kõik Isikuandmed 30 päeva jooksul. Hoolimata eeltoodust võib Netradyne säilitada Isikuandmeid üksnes ulatuses, mida Andmekaitseõigus teisiti nõuab.

13.2. Kohaldatavate andmekaitseõigusaktide lubatud ulatuses võib Netradyne Kliendi Isikuandmed deidentifitseerida või anonüümseks muuta nende edasiseks säilitamiseks ja kasutamiseks tingimusel, et Netradyne on avalikult võtnud kohustuse hoida ja kasutada teavet deidentifitseeritud või anonüümses vormis ning mitte püüda sellist teavet taasidentifitseerida. Selguse huvides ja kohaldatavate andmekaitseõigusaktide lubatud ulatuses loetakse selline Kliendi Isikuandmete deidentifitseerimine või anonüümseks muutmine Netradyne'i andmete kustutamise kohustuste täitmiseks Lepingu, käesoleva DPA ja kohaldatavate andmekaitseõigusaktide alusel.

14. Vastutus

14.1. Kõik käesoleva DPA alusel esitatud nõuded (sh Standard Contractual Clauses alusel) alluvad Lepingu tingimustele ja sätetele, sealhulgas muu hulgas Lepingus sätestatud vastutuse välistustele ja piirangutele.

15. Täiendavad Californiat käsitlevad sätted

15.1. Niivõrd kui Kliendi Isikuandmed on seotud California elanikega, ei säilita, kasuta, müü, jaga ega muul viisil avalda Netradyne Kliendi Isikuandmeid (sh ühegi kaubandusliku eesmärgi või muu eesmärgi jaoks väljaspool poolte otsest ärisuhet) muul viisil kui seadusega lubatud või ulatuses, mis on vajalik Lepingus sätestatud Toodete ja Teenuste osutamiseks ja toetamiseks, vastavalt Lepingule.

15.2. Niivõrd kui Kliendi Isikuandmed on seotud California elanikega, järgib Netradyne CPRA kohaldatavaid piiranguid selliste Kliendi Isikuandmete kombineerimisel Isikuandmetega, mida Netradyne saab Kliendilt või Kliendi nimel, Isikuandmetega, mida Netradyne saab teiselt isikult või teise isiku nimel, või Isikuandmetega, mida Netradyne kogub mis tahes suhtlusest enda ja Andmesubjekti vahel.

15.3. Niivõrd kui Kliendi Isikuandmed on seotud California elanikega, järgib Netradyne CPRA-d ning, võttes arvesse Netradyne'i rolli Töötlemises, tagab asjaomastele Kliendi Isikuandmetele CPRA-s nõutava kaitsetaseme.

16. Andmekaitseõigusaktide muudatused

16.1. Kui jõustub uus Andmekaitseõigusakt, mis on Netradyne'i suhtes kohaldatav, võtavad Netradyne ja Klient kõik mõistlikud sammud, mida selline Andmekaitseõigusakt nõuab, et tagada poolte võime täita oma kohustusi kohaldatava õiguse alusel ning tagada Netradyne'i vastavus kõigile Netradyne'i suhtes kohaldatavatele Andmekaitseõigusaktidele.

17. Kohaldatav õigus ja jurisdiktsioon

17.1. Välja arvatud juhul, kui Standard Contractual Clauses või kohaldatavad andmekaitseõigusaktid nõuavad teisiti, reguleeritakse käesolevat DPA-d ning kõiki sellest või selle esemest või sõlmimisest tulenevaid või sellega seoses tekkivaid vaidlusi või nõudeid California osariigi seadustega ja tõlgendatakse nende kohaselt, arvestamata selle kollisiooninormide põhimõtteid. Selguse huvides, kui Standard Contractual Clauses on kohaldatavad, reguleerib neid nendes sätestatud õigus ning need alluvad nendes määratud jurisdiktsioonile.

Lisa 1

Töötlemise / edastamise kirjeldus

Punkt	Meetmed võimaluse tagada isikuandmete kättesaadavuse ja juurdepääsu õigeaegseks taastamiseks füüsilise või tehnilise vahejuhtumi korral.
Andmete eksportija	Klient on andmete eksportija
Kasutaja tuvastamise ja autoriseerimise meetmed.	Netradyne, Inc. 9171 Towne Centre Drive, Suite 110 San Diego, CA 92122 Kontaktandmed: ‍privacy@netradyne.com ‍dpo@netradyne.com ‍legal@netradyne.com

Edastamise / töötlemise kirjeldus

Punkt	Üksikasjad
Andmesubjektid:	Kliendi töötajad või iseseisvad töövõtjad, Kliendi teenuseosutajad, sealhulgas need, kes juhivad sõidukeid ("Juhid"). Üldsuse liikmed või möödujad.
Protsesside ja toodete sertifitseerimine/kinnitamise meetmed.	Töödeldavad Isikuandmed hõlmavad: Tunnused, nagu nimi, kasutaja ID, aadress, kontaktandmed, foto, e-posti aadress, juhiloa number, ettevõtte nimi Telemaatika- ja analüütika-/seotud metaandmed, näiteks sõiduki kiirus, järsk pidurdamine, g-jõud, salvestuste kuupäev ja kellaaeg, turvavöö, tähelepanu hajumine jne. GPS-asukohaandmed Video- ja pildisalvestised Juhtide GreenZone'i skoor Kuritegudega seotud andmed (ulatuses, milles need satuvad videosalvestistele juhuslikult)
Isikuandmete eriliigid:	Ei kohaldu
Töötlemise iseloom, eesmärk ja sagedus:	Netradyne töötleb klientide isikuandmeid nii kaua, kui see on vajalik toodete ja teenuste osutamiseks kliendile vastavalt lepingule ja muul viisil lepinguga lubatud viisil ning seadusega ettenähtud avalikustamiseks.
Kestus:	Nii kaua, kui on vajalik ärieesmärkide täitmiseks või nagu on sätestatud Lepingus ning alludes käesoleva DPA jaole 13.
Heakskiidetud alltöötlejad (kui neid on):	Nagu on loetletud Lisas 3
Heakskiidetud ülekandemehhanism:	Lepingu tüüptingimused: vt andmekaitselepingu paragrahv 12
Pädev järelevalveasutus:	Määratakse kooskõlas Andmekaitse Seadustega.

Lisa 2

Tehnilised ja organisatsioonilised meetmed, sealhulgas tehnilised ja organisatsioonilised meetmed andmete turvalisuse tagamiseks

Netradyne töötab välja, rakendab ja hoiab mõistlikke füüsilisi, haldus- ja tehnilisi kontrolle, et kaitsta Teenuste ja Kliendi Isikuandmete konfidentsiaalsust, kättesaadavust ja terviklust ("Turvameetmed"). Turvameetmed peavad vähemalt vastama Kohalduvatele Andmekaitse Seadustele. Arvestades teaduse ja tehnika taset, rakendamise kulusid ning Töötlemise laadi, ulatust, konteksti ja eesmärke, samuti erineva tõenäosuse ja raskusastmega riske füüsiliste isikute seadusega kaitstud huvidele, rakendab Netradyne vajalikke tehnilisi ja organisatsioonilisi meetmeid ("Ohutusmeetmed"), et tagada riskile vastav turbetase Isikuandmete Töötlemisel.

Netradyne säilitab Ohutusmeetmed kooskõlas tööstusharu tunnustatud parimate tavadega (sh Rahvusvahelise Standardiorganisatsiooni standardid ISO 27001 ja 27002). Netradyne'i infoturbeprogramm hõlmab vähemalt järgmisi kaitse- ja kontrollimeetmeid:

Ese	Detailid
Isikuandmete pseudonüümimise ja krüpteerimise meetmed.	Netradyne kasutab Kliendi andmete kaitsmiseks krüptograafilisi tehnikaid. Driver.i seadmel talletatud andmed on krüpteeritud AES-256 algoritmiga. Amazon Web Service (AWS) S3 pilvehoidlas talletatud andmed on krüpteeritud AES-256 SSE krüpteeringuga. Paroolid soolatakse ja räsitakse PBKDF2WithHmacSHA512 algoritmiga. Edastamisel olevad andmed on kaitstud protokolliga Transport Layer Security (TLS) versioon 1.2 ja uuem.
Meetmed töötlemissüsteemide ja -teenuste pideva konfidentsiaalsuse, terviklikkuse, käideldavuse ja vastupidavuse tagamiseks.	Netradyne rakendab rangeid juurdepääsukontrolle Kliendi teabele juurdepääsu piiramiseks. Juurdepääsukontrollid hõlmavad haldusõiguste kontrollitud kasutamist, konto- ja paroolihalduse poliitikate rakendamist ning mitmefaktorilist autentimist (MFA) serverite ja tootmissüsteemide jaoks. Netradyne on rakendanud võrgu turvakontrolle, haavatavuste hindamist, paikade haldust ja ajastatud seireprotseduure, et tuvastada, hinnata, leevendada ja kaitsta turvaohtude eest. Kriitilise tõsidusega paigad vaadatakse läbi, hinnatakse ja juurutatakse kohe või 5 päeva jooksul. Kõrge tõsidusega paigad vaadatakse samuti läbi ja juurutatakse kohe või 30 päeva jooksul. Keskmise ja madala tõsidusega paigad vaadatakse läbi osana sisemisest auditeerimisprotsessist ning üldjuhul juurutatakse 3–12 kuu jooksul, sõltuvalt asjakohasusest ja tõsidusest. Netradyne'i tulemüüri pakettide süvauuring võimaldab blokeerida pahatahtliku liikluse. Neid jälgitakse 24/7 jõudluse, turvalisuse ja korrektse töö tagamiseks. Andmete eraldatus. Netradyne on rakendanud meetmeid, et loogiliselt isoleerida Kliendi andmed Netradyne'i siseandmetest või kolmandate osapoolte andmetest. Füüsiline turvalisus. Netradyne on rakendanud füüsilise turvalisuse kontrolle (juurdepääsukaardid, CCTV-järelevalve ja turvatöötajad), et jälgida ja kontrollida füüsilist juurdepääsu oma rajatistele. Netradyne viib läbi jõudlusteste, teostab regulaarset seadmete terviseseiret ja andmete varundamist, et tagada oma platvormide ja teenuste kättesaadavus ja vastupidavus.
Meetmed, mis tagavad võime õigeaegselt taastada Isikuandmete kättesaadavuse ja neile juurdepääsu füüsilise või tehnilise intsidendi korral.	Netradyne talletab kõik andmed AWS-i pilves (Elastic Block Storage – EBS), mis on konfigureeritud võimaldama andmete regulaarset varundamist või andmete taastamist. Netradyne'l on turbeintsidentidele reageerimise meeskond (SIRT), kes koordineerib intsidendi ohjeldamiseks ja andmete taastamiseks vajalikke tegevusi.
Protsessid tehniliste ja organisatsiooniliste meetmete tõhususe korrapäraseks testimiseks, hindamiseks ja ülevaatamiseks, et tagada Töötlemise turvalisus.	Netradyne viib vähemalt kord aastas läbi oma turbe- ja privaatsusmeetmete sisemise auditi. Teostatakse ka perioodilisi haavatavusskanne ja penetratsiooniteste väliste hindajate poolt.
Meetmed kasutajate identifitseerimiseks ja autoriseerimiseks.	Netradyne määrab kõigile kasutajatele kasutaja-ID. Juurdepääsukontrollid hõlmavad haldusõiguste kontrollitud kasutamist, konto- ja paroolihalduse poliitikate rakendamist ning mitmefaktorilist autentimist (MFA) serverite ja tootmissüsteemide jaoks. Paroolid peavad vastama Netradyne'i paroolipoliitikas sätestatud parooli keerukusnõuetele. Eriõigustega kontode võimalused on antud piiratud arvule Netradyne'i töötajatele, kellel on oma tööülesannete täitmiseks sellist juurdepääsu vaja.
Meetmed nende asukohtade füüsilise turvalisuse tagamiseks, kus Isikuandmeid Töödeldakse.	Netradyne'i tootmis- ja arendusandmekeskused on kaitstud keskkonna- ja turbeohtude eest, kasutades tehnilisi, halduslikke ja füüsilisi turvakontrolle. Kõrge käideldavuse tagamiseks on kasutusel dubleeritud katkematud toiteallikad, tule- ja suitsu tuvastus- ja kustutussüsteemid, dubleeritud ventilatsioon ja kliimaseadmed ning muu. Kõikidele süsteemidele tehakse sagedast ja regulaarset ennetavat hooldust. Netradyne'i ettevõttehooneid jälgitakse CCTV-ga. Sissepääsu juures ja kogu hoones on paigutatud turvatöötajate meeskond. Ligipääsu hoonesse kontrollitakse turvakaartidega.
Meetmed sündmuste logimise tagamiseks.	Netradyne'i süsteeme hallatakse ja jälgitakse tsentraalselt, kasutades tööstusstandardi logimismehhanisme. Netradyne'i rakendused on konfigureeritud logima kasutajasessioonide üksikasju ja kasutajate toiminguid. Samuti logitakse administratiivseid sündmusi, näiteks toiminguid kasutajakontodega. Samuti logitakse administratiivsed sündmused, nagu kasutajakonto loomine või deaktiveerimine, konto lukustamine või aegumine, parooli muutmine, kasutajarolli määramine või eemaldamine, kasutaja lisamine gruppi või grupist eemaldamine.
Meetmed süsteemikonfiguratsiooni tagamiseks, sealhulgas vaikekonfiguratsioon.	Netradyne on kehtestanud standardse tööjaama baaskonfiguratsiooni, et täita turbeeesmärke. Netradyne'i serverisüsteemid on konfigureeritud jõudluse, stabiilsuse, skaleeritavuse ja turvalisuse tagamiseks. Kõik serverisüsteemid, sh veebi-, rakendus- ja andmebaasiserverid, on ehitatud vastavalt konfiguratsioonistandarditele. Kõik SQL Serveri teenused on tugevdatud, keelates kõik teenused, mida Netradyne'i rakendus ei kasuta. Tugevdamisprotsess hõlmab järgmisi eesmärke: Lubatakse ainult süsteemi toimimiseks vajalikud teenused, protokollid, deemonid jne. Rakendatakse täiendavaid turvafunktsioone kõigi nõutavate, kuid ebaturvaliseks peetavate teenuste, protokollide või trollide jaoks. Süsteemi turbeparameetrite seadistamine väärkasutuse vältimiseks. Kõigi mittevajalike funktsioonide, näiteks skriptide, draiverite, funktsioonide, alamsüsteemide, failisüsteemide ja mittevajalike veebiserverite eemaldamine.
Meetmed sisemise IT ja IT-turbe juhtimiseks ja haldamiseks.	Netradyne'l on pühendatud InfoSec-tiim ning kehtestatud IT-turbe poliitika ja protseduurid. See hõlmab ametlikku muudatuste haldamise protsessi ja vastuvõetava kasutuse poliitikat.
Meetmed protsesside ja toodete sertifitseerimiseks/tagamiseks.	Netradyne kaasab sõltumatuid turbeaudiitoreid oma turbe- ja privaatsusmeetmete perioodiliseks hindamiseks osana sertifikaatidest ISO 27001 ja Privacy by Design. ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025 Privacy by Design - https://msecb.com/certifications-granted
Meetmed andmete minimeerimise tagamiseks.	Erinevaid privaatsusrežiime ja -konfiguratsioone saab lubada, et vähendada Netradyne'i poolt Töödeldavate andmete mahtu. Enamik Driver.i seadmega salvestatud videomaterjalist jääb seadmesse ja kirjutatakse üle, kui seadme mälu on täis. Videomaterjal laaditakse Netradyne'i pilve üles üksnes juhul, kui tuvastatakse Sündmus. Keskmiselt laaditakse pilve alla 1% videomaterjalist. Sõltuvalt Sündmuse tüübist laaditakse pilve ainult asjakohane Sündmuse materjal (kas väliskaadrid või kabiinisisene salvestis). Kõigi Sündmuste korral laadib seade Sündmuse Andmed pilve.
Meetmed piiratud andmete säilitamise tagamiseks.	Vaikimisi andmesäilituse kestus on tasakaalustatud nii, et tagada andmete hoidmine piisavalt kaua, et need oleksid Andmete Eksportijale kasulikud, ning et vältida nende hoidmist kauem kui see kasulik ajavahemik. Andmete säilitamise ja kustutamise nõuded on sätestatud Lepingus või DPA-s.
Meetmed aruandekohustuse tagamiseks.	Netradyne säilitab tõendid ELi isikuandmete kaitse üldmääruse (GDPR) nõuete täitmiseks võetud sammude kohta. Netradyne rakendab asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, näiteks: (i) andmekaitsepoliitikate (kui proportsionaalne) vastuvõtmine ja rakendamine, (ii) teenusepakkujatega kirjalike lepingute sõlmimine, (iii) töötlemistegevuste dokumentatsiooni pidamine, (iv) asjakohaste turvameetmete rakendamine, (v) isikuandmete rikkumiste registreerimine ning vajaduse korral neist teatamine, (vi) andmekaitsemõjude hindamiste läbiviimine isikuandmete selliste kasutusviiside suhtes, mis tõenäoliselt toovad kaasa kõrge riski üksikisikute huvidele, ning (vii) logimis- ja seirekontrollide rakendamine.
Meetmed andmete ülekantavuse võimaldamiseks ja kustutamise tagamiseks.	Netradyne võimaldab andmesubjektidel oma õigusi kasutada, võttes ühendust määratud kontaktisikutega. Esmane vastutus andmesubjektide taotlustele vastamise eest lasub Kliendil. Netradyne abistab Klienti andmesubjektide taotlustele vastamisel.

Lisa 3

Heaks kiidetud alamtöötlejate nimekiri

Vastutav töötleja on volitanud järgmiste alamtöötlejate kasutamise:

Alamtöötleja	Töötlemise eesmärk	Asukoht
Netradyne Technology India Private Limited (“Netradyne India”)	Inseneri- ja tugitegevused	India
Amazon Web Services (AWS)	Andmete majutamine	Ameerika Ühendriigid
Elancer IT Solutions Private Limited	Andmete märgendamise teenused	India
Gainsight, Inc.	Kliendiedu platvorm	Ameerika Ühendriigid
Mixpanel, Inc.	Kasutaja aktiivsus/kogemus (andmeanalüütika)	Ameerika Ühendriigid
VVDN Technologies	Seadmete taastamine	India