Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung („DVV") wird zwischen der im jeweiligen Bestellformular oder Dienstleistungsvertrag als Verantwortlicher ausgewiesenen Stelle („Verantwortlicher") und PZX (CNPJ: 62.054.402/0001-26), mit Sitz im Bundesstaat São Paulo, Brasilien („Auftragsverarbeiter"), geschlossen und ist Bestandteil der Vereinbarung zur Nutzung von Konn („Vertrag").

1. Definitionen

„Personenbezogene Daten" bezeichnen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemäß dem brasilianischen Allgemeinen Datenschutzgesetz (LGPD, Gesetz Nr. 13.709/2018).

„Verarbeitung" bezeichnet jeden Vorgang im Zusammenhang mit personenbezogenen Daten, einschließlich Erhebung, Speicherung, Nutzung, Zugriff, Übermittlung und Löschung.

„Verantwortlicher" bezeichnet die natürliche oder juristische Person, die über die Verarbeitung personenbezogener Daten entscheidet.

„Auftragsverarbeiter" bezeichnet die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen und gemäß dessen Weisungen verarbeitet.

„Betroffene Person" bezeichnet die natürliche Person, auf die sich die personenbezogenen Daten beziehen.

„Unterauftragsverarbeiter" bezeichnet einen Dritten, der vom Auftragsverarbeiter zur Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt wird.

„Dienste" bezeichnen die Konn-Plattform und alle damit verbundenen Funktionen, die PZX im Rahmen des Vertrags bereitstellt.

2. Anwendungsbereich und Verhältnis der Parteien

Diese DVV regelt die Verarbeitung personenbezogener Daten durch PZX in seiner Eigenschaft als Auftragsverarbeiter im Auftrag des Verantwortlichen im Zusammenhang mit der Erbringung der Dienste.

Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest. PZX verarbeitet personenbezogene Daten ausschließlich zur Bereitstellung und zum Betrieb der Dienste, gemäß den Weisungen des Verantwortlichen, wie in dieser DVV und im Vertrag festgelegt.

3. Art, Zweck und Dauer der Verarbeitung

Art: Speicherung, Organisation, Indexierung, semantische Verarbeitung, Abruf und Anzeige von Inhalten, die vom Verantwortlichen und seinen autorisierten Nutzern übermittelt werden.

Zweck: Bereitstellung der Konn-Plattform, einschließlich Dokumentenverwaltung, Wissensgraph, semantische Suche und KI-gestützte kontextbezogene Funktionen.

Dauer: für die Laufzeit des Vertrags. Bei Beendigung gelten die Bestimmungen aus Abschnitt 12.

4. Kategorien personenbezogener Daten und betroffener Personen

Die Kategorien personenbezogener Daten, die im Rahmen dieser DVV verarbeitet werden, hängen von den vom Verantwortlichen übermittelten Inhalten ab. Sie können insbesondere umfassen:

• Identifikations- und Kontaktdaten: Namen, E-Mail-Adressen und berufliche Informationen der Nutzer des Verantwortlichen sowie aller in den hochgeladenen Inhalten erwähnten Personen;

• Organisationsdaten: Teamstrukturen, Rollen und interne Kommunikation;

• Inhaltsdaten: Dokumente, Notizen und Wissenseinträge, die personenbezogene Daten von Mitarbeitern, Kunden oder Dritten des Verantwortlichen enthalten können.

Der Verantwortliche erkennt an, dass PZX die in den Diensten hochgeladenen Inhalte hinsichtlich der enthaltenen Kategorien personenbezogener Daten weder kontrollieren noch vorhersehen kann. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass alle an die Dienste übermittelten personenbezogenen Daten eine gültige Rechtsgrundlage für die Verarbeitung nach geltendem Recht haben.

Die betroffenen Personen sind in erster Linie die Mitarbeiter und autorisierten Nutzer des Verantwortlichen sowie gegebenenfalls Dritte, deren Daten in den vom Verantwortlichen hochgeladenen Inhalten enthalten sind.

5. Pflichten des Auftragsverarbeiters

PZX als Auftragsverarbeiter verpflichtet sich:

5.1 Einhaltung der Weisungen: personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, es sei denn, dies wird durch geltendes Recht vorgeschrieben. PZX wird den Verantwortlichen informieren, wenn nach seiner Auffassung eine Weisung gegen geltendes Recht verstößt, bevor er fortfährt.

5.2 Vertraulichkeit: sicherzustellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen einer Vertraulichkeitsverpflichtung unterliegen.

5.3 Sicherheit: angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen und aufrechtzuerhalten, wie in Abschnitt 8 beschrieben.

5.4 Unterauftragsverarbeiter: Unterauftragsverarbeiter ausschließlich gemäß Abschnitt 7 zu beauftragen.

5.5 Rechte der betroffenen Personen: den Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zur Wahrnehmung ihrer Rechte zu unterstützen, wie in Abschnitt 9 beschrieben.

5.6 Löschung: personenbezogene Daten bei Beendigung zu löschen oder zurückzugeben, wie in Abschnitt 12 beschrieben.

5.7 Audit: die zur Demonstration der Einhaltung dieser DVV erforderlichen Informationen bereitzustellen, wie in Abschnitt 11 beschrieben.

5.8 Meldung von Sicherheitsvorfällen: den Verantwortlichen unverzüglich, spätestens jedoch 72 Stunden nach Kenntnisnahme, über jeden bestätigten Sicherheitsvorfall zu informieren, der personenbezogene Daten betrifft, die im Rahmen dieser DVV verarbeitet werden. Die Meldung umfasst die Art des Vorfalls, die Kategorien und ungefähre Anzahl der betroffenen Personen, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen.

6. Pflichten des Verantwortlichen

Der Verantwortliche verpflichtet sich:

6.1 Rechtsgrundlage: sicherzustellen, dass alle an die Dienste übermittelten personenbezogenen Daten eine gültige Rechtsgrundlage für die Verarbeitung nach geltendem Recht haben, einschließlich Daten Dritter, die als Teil von Dokumenten oder Wissensinhalten hochgeladen werden.

6.2 Richtigkeit: genaue und aktuelle Weisungen zu erteilen und sicherzustellen, dass die übermittelten personenbezogenen Daten für den beabsichtigten Zweck angemessen und relevant sind.

6.3 Rechte der betroffenen Personen: Anfragen betroffener Personen, die an den Verantwortlichen gerichtet sind, zu bearbeiten und sich mit PZX abzustimmen, wenn die Unterstützung des Auftragsverarbeiters erforderlich ist.

6.4 Einhaltung: alle anwendbaren Datenschutzgesetze in seiner Eigenschaft als Verantwortlicher einzuhalten, einschließlich der Einholung erforderlicher Einwilligungen betroffener Personen.

7. Unterauftragsverarbeiter

7.1 Aktuelle Unterauftragsverarbeiter

Der Verantwortliche ermächtigt PZX, folgende Unterauftragsverarbeiter im Zusammenhang mit den Diensten zu beauftragen:

7.2 Künftige Unterauftragsverarbeiter

PZX kann zusätzliche Anbieter von KI-Modellen beauftragen (einschließlich, aber nicht beschränkt auf Anbieter von Reranking-, Embedding- oder Audioverarbeitungsdiensten), während sich die Dienste weiterentwickeln. PZX wird den Verantwortlichen mindestens 30 Tage im Voraus über die geplante Hinzunahme oder Ersetzung von Unterauftragsverarbeitern informieren.

Der Verantwortliche kann einem neuen Unterauftragsverarbeiter aus berechtigten Datenschutzgründen widersprechen, indem er PZX innerhalb von 15 Tagen nach Erhalt der Mitteilung schriftlich benachrichtigt. Können die Parteien den Widerspruch nicht beilegen, kann der Verantwortliche den Vertrag ohne Vertragsstrafe mit einer Frist von 30 Tagen schriftlich kündigen.

7.3 Pflichten der Unterauftragsverarbeiter

PZX wird allen Unterauftragsverarbeitern Datenschutzpflichten auferlegen, die denen dieser DVV gleichwertig sind. PZX bleibt gegenüber dem Verantwortlichen für die Erfüllung der Pflichten der Unterauftragsverarbeiter haftbar.

8. Sicherheitsmaßnahmen

PZX setzt folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um:

• Verschlüsselung der Daten bei der Übertragung (TLS) und im Ruhezustand;

• Mandantenisolierung: die Daten jedes Verantwortlichen sind logisch von denen anderer Mandanten getrennt;

• Rollenbasierte Zugriffskontrolle, die den Zugriff auf autorisiertes Personal beschränkt;

• Sicherheitsüberwachung und Protokollierung;

• Regelmäßige Zugriffsüberprüfungen.

PZX kann diese Maßnahmen im Laufe der Zeit aktualisieren, sofern die Aktualisierungen das Gesamtschutzniveau nicht wesentlich verringern.

9. Rechte der betroffenen Personen

PZX wird den Verantwortlichen bei der Erfüllung seiner Pflicht zur Beantwortung von Anfragen betroffener Personen nach geltendem Recht unterstützen, einschließlich Anfragen auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch.

Der Verantwortliche ist für den Empfang und die erste Bewertung der Anfragen betroffener Personen verantwortlich. Erfordert die Erfüllung einer Anfrage Maßnahmen von PZX, übermittelt der Verantwortliche die Anfrage über den in Abschnitt 13 genannten Kontaktkanal an PZX. PZX wird innerhalb von 15 Werktagen antworten.

10. Internationale Datenübermittlungen

Personenbezogene Daten, die im Rahmen dieser DVV verarbeitet werden, können in Länder außerhalb Brasiliens übermittelt und dort verarbeitet werden, einschließlich der Vereinigten Staaten, wo die Unterauftragsverarbeiter von PZX tätig sind. Diese Übermittlungen erfolgen auf der Grundlage angemessener vertraglicher Garantien gemäß Artikel 33 LGPD.

Für Verantwortliche, die der DSGVO unterliegen, unterliegen Übermittlungen an Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums den geltenden Übermittlungsmechanismen, einschließlich der Standardvertragsklauseln, sofern erforderlich.

11. Auditrechte

Auf schriftlichen Antrag des Verantwortlichen wird PZX die Informationen zur Verfügung stellen, die zur Demonstration der Einhaltung dieser DVV vernünftigerweise erforderlich sind. PZX kann dieser Verpflichtung durch die Bereitstellung aktueller Zertifizierungen, Sicherheitsdokumentationen oder zusammenfassender Auditberichte nachkommen.

Der Verantwortliche kann höchstens einmal pro Kalenderjahr ein Vor-Ort-Audit beantragen, mit einer schriftlichen Vorankündigung von mindestens 30 Tagen und auf eigene Kosten. Jedes Audit muss so durchgeführt werden, dass es den Betrieb von PZX nicht beeinträchtigt und die Sicherheit oder Vertraulichkeit der Daten anderer Kunden nicht gefährdet.

12. Laufzeit, Beendigung und Datenlöschung

Diese DVV gilt für die Dauer des Vertrags.

Bei Beendigung oder Ablauf des Vertrags:

• hat der Verantwortliche 30 Tage Zeit, seine Daten aus den Diensten zu exportieren;

• nach Ablauf dieser Frist wird PZX alle im Rahmen dieser DVV verarbeiteten personenbezogenen Daten innerhalb von 30 Tagen löschen, einschließlich der bei Unterauftragsverarbeitern gespeicherten Kopien, sofern dies technisch möglich ist;

• PZX wird auf Antrag des Verantwortlichen eine schriftliche Löschbestätigung übermitteln;

• PZX kann personenbezogene Daten über diesen Zeitraum hinaus nur insoweit aufbewahren, als dies nach geltendem Recht erforderlich ist; in diesem Fall unterliegen die Daten weiterhin den Vertraulichkeitspflichten dieser DVV.

13. Haftung

Die Haftung jeder Partei nach dieser DVV unterliegt den im Vertrag festgelegten Beschränkungen. Nichts in dieser DVV begrenzt die Haftung einer Partei für Pflichten, die nach geltendem Datenschutzrecht nicht ausgeschlossen oder begrenzt werden können.

14. Geltendes Recht

Diese DVV unterliegt dem Recht der Föderativen Republik Brasilien, insbesondere dem LGPD (Gesetz Nr. 13.709/2018). Streitigkeiten aus dieser DVV, die nicht einvernehmlich beigelegt werden können, werden den Gerichten des Bezirks São Paulo, Bundesstaat São Paulo, unterbreitet.

15. Kontakt

Für Angelegenheiten im Zusammenhang mit dieser DVV, Anfragen betroffener Personen oder Sicherheitsvorfälle:

• E-mail: [email protected]

• Website: pzx.app

Datenschutzbeauftragter:

• Name: Filipe Albuquerque Brauns Cazelgrandi

• E-mail: [email protected]

Anhang A, Verarbeitungsdetails

Dieser Anhang ergänzt Abschnitt 3 und kann durch schriftliche Vereinbarung der Parteien aktualisiert werden, um Änderungen der Dienste widerzuspiegeln.