Auftragsverarbeitungs-vereinbarung
für Nuance-Dienste
Die englischsprachiche Version dieser Vereinbarung ist die verbindliche Version, die das Verständnis der Parteien wiederspiegelt. Sofern gesetzlich nicht anders vorgeschrieben, wird die Übersetzung der Vereinbarung nur als Hilfestellung zur Verfügung gestellt. Im Falle eines Konflikts zwischen der englischsprachigen Version dieser Vereinbarung und einer Übersetzung in eine andere Sprache, gilt die englische Sprachversion.
AUFTRAGSVERARBEITUNGS-VEREINBARUNG
für Nuance-Dienste
KLARSTELLEND WIRD DARAUF HINGEWIESEN, DASS DIESE AVV KEINE BINDUNGSWIRKUNG HAT FÜR EINE GESELLSCHAFT, WELCHE (1) KEINE PARTEI DER HAUPTVEREINBARUNG IST ODER (2) KEIN MIT DEM UNTERNEHMEN (SIEHE DEFINTION UNTEN) VERBUNDENES UNTERNEHMEN IST, DEM DIE NUTZUNG DER DIENSTE NICHT VERTRAGLICH GESTATTET IST. SIE IST AUCH NICHT BINDEND FÜR EINE GESELLSCHAFT, WELCHE DIENSTE VON NUANCE ÜBER EINEN VON NUANCE AUTORISIERTEN VERTRIEBSPARTNER ODER RESELLER BEZIEHT. |
|
|||||||||||||||||||||||||||
Letzte Änderung am 30. April 2022 / Frühere Versionen |
|
|||||||||||||||||||||||||||
Diese Auftragsverarbeitungsvereinbarung („AVV“) kommt bei Annahme der Nutzungsbedingungen, wie unten definiert, zwischen dem Unternehmen, das die Nutzungsbedingungen annimmt („Unternehmen“), und der Nuance-Gesellschaft, die die Nutzungsbedingungen abschließt („Nuance“), zustande; das Unternehmen und Nuance werden jeweils als „Partei“ und zusammen als „Parteien“ bezeichnet. |
|
|||||||||||||||||||||||||||
PRÄAMBEL |
|
|||||||||||||||||||||||||||
(A) Das Unternehmen hat eine oder mehrere Vereinbarungen (zusammen als „Lieferantenvereinbarung“ bezeichnet) mit einem Drittanbieter („Lieferant“) geschlossen, in deren Rahmen es bestimmte Nuance-Dienste, wie unten definiert, vom Lieferanten bezogen hat. |
|
|||||||||||||||||||||||||||
(B) Darüber hinaus haben Nuance and das Unternehmen Nutzungsbedingungen für solche Nuance-Dienste (die „Nutzungsbedingungen“) vereinbart. |
|
|||||||||||||||||||||||||||
(C) Die Parteien sind übereingekommen, dass Nuance, damit das Unternehmen die Nuance-Dienste, die es im Rahmen der Lieferantenvereinbarung vom Lieferanten erhalten hat, in Anspruch nehmen kann, bestimmte personenbezogene Daten verarbeiten muss, für die das Unternehmen gemäß den Datenschutzgesetzen (wie unten definiert) für die Zwecke dieser AVV für die Verarbeitung Verantwortlicher ist oder im Namen des Verantwortlichen handelt. |
|
|||||||||||||||||||||||||||
(D) Die Parteien sind übereingekommen, diese AVV zu schließen. Dies erfolgt im Hinblick auf die Verpflichtungen, die dem Unternehmen nach den Datenschutzgesetzen in Bezug auf personenbezogene Daten, die von Nuance verarbeitet werden und für die das Unternehmen Verantwortlicher ist, obliegen, und um sicherzustellen, dass angemessene Sicherheitsvorkehrungen zum Schutz dieser personenbezogenen Daten getroffen werden. |
|
|||||||||||||||||||||||||||
(E) Sofern in den Nutzungsbedingungen zwischen den Parteien nicht ausdrücklich etwas anderes festgelegt ist, unterliegt die Bereitstellung von Diensten dieser AVV gemäß den geltenden Datenschutzgesetzen, und diese AVV wird hiermit durch Verweis Bestandteil der Nutzungsbedingungen. |
|
|||||||||||||||||||||||||||
1. DEFINITIONEN. Die folgenden Begriffe werden in dieser AVV verwendet: Falls die Definitionen in dieser AVV von den Nutzungsbedingungen, soweit sie den Datenschutz betreffen, abweichen, hat diese AVV hinsichtlich des spezifischen Gegenstands der jeweiligen Definition Vorrang. |
|
|||||||||||||||||||||||||||
(a) „Dienste“ oder „Nuance-Dienste“ bezieht sich auf die Anwendung, das Produkt oder die Dienste und anderen Aktivitäten, die gemäß den Nutzungsbedingungen an oder im Auftrag des Unternehmens/eines mit dem Unternehmen verbundenen Unternehmens geliefert bzw. erbracht werden. |
|
|||||||||||||||||||||||||||
(b) „Betroffenenersuchen“ ist ein von oder im Namen einer betroffenen Person herangetragenes Ersuchen um Auskunft über ihre personenbezogenen Daten, um Berichtigung, Löschung oder Übertragbarkeit ihrer personenbezogenen Daten oder ein Widerspruch von oder im Namen einer betroffenen Person gegen die Verarbeitung ihrer personenbezogenen Daten. |
|
|||||||||||||||||||||||||||
(c) „Datenschutzgesetze“ sind alle Gesetze und Vorschriften sowie deren Änderungen, die für die Verarbeitung personenbezogener Daten durch Nuance im Zusammenhang mit den Nuance-Diensten gelten, einschließlich und unter anderem der DSGVO. |
|
|||||||||||||||||||||||||||
(d) „DSGVO“ ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (bekannt als Datenschutz-Grundverordnung). |
|
|||||||||||||||||||||||||||
(e) „EU-Standardvertragsklauseln“ sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, basierend auf dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 oder einem Beschluss der Kommission, der den Beschluss vom 4. Juni 2021 ändert oder ersetzt. |
|
|||||||||||||||||||||||||||
(f) „Personenbezogene Daten“ sind alle personenbezogenen Daten im Sinne der Datenschutzgesetze, die von Nuance im Zusammenhang mit der Nutzung der vom Lieferanten bezogenen Nuance-Dienste durch das Unternehmen verarbeitet werden. |
|
|||||||||||||||||||||||||||
(g) „Biometrische Daten“ hat betreffend jede relevante Rechtsordnung die Bedeutung, die diesem Begriff (oder dem nächstliegenden gleichwertigen Begriff) in den für diese Rechtsordnung anwendbaren Datenschutzgesetzen zugewiesen ist. „Biometrische Kennungen“ und „biometrische Informationen“ werden entsprechend ausgelegt. |
|
|||||||||||||||||||||||||||
(h) „Verletzung des Schutzes personenbezogener Daten“ ist eine „Verletzung des Schutzes personenbezogener Daten“ oder „Datenschutzverletzung“ im Sinne der Datenschutzgesetze im Verantwortungsbereich von Nuance durch ihre Mitarbeiter, Unterauftragsverarbeiter oder andere bekannte oder unbekannte Dritte, nachdem Nuance mit hinreichender Sicherheit davon Kenntnis erlangt hat, dass eine solche Verletzung des Schutzes personenbezogener Daten stattgefunden hat. |
|
|||||||||||||||||||||||||||
(i) „Angemessenes Land“ bezeichnet ein Land, ein Gebiet oder bestimmte Sektoren innerhalb eines Landes und einer internationalen Organisation, für die nach den jeweiligen Datenschutzgesetzen aktuell anerkannt ist, dass sie einen angemessenen Schutz für personenbezogene Daten gewährleisten, einschließlich, aber nicht beschränkt auf diejenigen, die von der Europäischen Kommission im Amtsblatt der Europäischen Union veröffentlicht werden und für die beschlossen wurde, dass ein angemessenes Schutzniveau besteht. |
|
|||||||||||||||||||||||||||
(j) „Verarbeiten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ oder „Nationale Behörde“ haben die ihnen durch die DSGVO zugewiesene Bedeutung. Der Begriff Auftragsverarbeiter schließt Unterauftragsverarbeiter, Unterunterauftragsverarbeiter usw. ein. |
|
|||||||||||||||||||||||||||
2. STATUS DER PARTEIEN |
|
|||||||||||||||||||||||||||
2.1 Das Unternehmen ist der für die Verarbeitung Verantwortliche und Nuance ist der Auftragsverarbeiter. Dementsprechend gewährt das Unternehmen Nuance das Recht, die personenbezogenen Daten zu verarbeiten, um die Nuance-Dienste bereitzustellen. |
|
|||||||||||||||||||||||||||
3. ANFORDERUNGEN AN DIE VERARBEITUNG |
|
|||||||||||||||||||||||||||
3.1 Einzelheiten der Datenverarbeitung. Das Unternehmen bestimmt als Verantwortlicher den Umfang, die Zwecke und die Mittel, in deren Rahmen Nuance die personenbezogenen Daten verarbeiten darf, soweit dies für die Bereitstellung der Nuance-Dienste vernünftigerweise erforderlich ist und im Einklang mit den Datenschutzgesetzen steht. Das Unternehmen ist dafür verantwortlich, die Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten zu schaffen, einschließlich des Einholens aller erforderlichen Einwilligungen, und es hält diesbezüglich alle geltenden Datenschutzgesetze ein. Die Art der personenbezogenen Daten, die gemäß dieser AVV verarbeitet werden, Gegenstand, Art und Zweck der Verarbeitung, die betroffenen Personen, Ort(e) und Dauer der Verarbeitung sind in den Einzelheiten der Datenverarbeitung(Neues Fenster öffnen) beschrieben. |
|
|||||||||||||||||||||||||||
3.2 Verarbeitung unter der Kontrolle des Verantwortlichen. Nuance verarbeitet die personenbezogenen Daten nur, um die Nuance-Dienste bereitzustellen, und handelt nur auf dokumentierte Weisungen des Unternehmens - einschließlich betreffend die Übermittlung personenbezogener Daten des Unternehmens durch Nuance in ein Land oder Gebiet - soweit dies für die Bereitstellung der Nuance-Dienste angemessen ist und dem keine gesetzliche Pflicht, der Nuance unterliegt, entgegensteht. In einem solchen Fall informiert Nuance das Unternehmen vor der Verarbeitung über diese gesetzliche Pflicht, es sei denn, das betreffende Gesetz, die Verordnung oder die Anordnung verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses. Die individuellen Weisungen des Unternehmens für die Verarbeitung personenbezogener Daten sind in den Nutzungsbedingungen und in dieser AVV aufgeführt. Zusätzliche oder abweichende Weisungen müssen gesondert vereinbart werden und können gesondert in Rechnung gestellt werden. Das Unternehmen akzeptiert, dass Folgendes den Weisungen entspricht: Verarbeitungen, die von Benutzern der Dienste veranlasst werden (beispielsweise beim Versenden einer Ausgabedatei per E-Mail an eine andere Person). Das Unternehmen weist Nuance und ihre Unterauftragsverarbeiter sowie verbundenen Unternehmen an, die personenbezogenen Daten zu verwenden, zusammenzustellen (einschließlich der Erstellung statistischer und anderer Modelle), zu annotieren und anderweitig zu analysieren, um die technischen Supportdienste für die Spracherkennung, das Verstehen natürlicher Sprache und andere Software sowie Technologien von Nuance, die in den Nuance-Diensten enthalten sind, zu betreiben, zu warten, zu optimieren, weiterzuentwickeln, zu verbessern und zu erbringen. Weisungen zur Verarbeitung personenbezogener Daten können durch eine Anpassung dieser AVV im Rahmen des festgelegten Änderungskontrollverfahrens angepasst, ergänzt oder ersetzt werden. Weisungen, die in bzw. von den Nutzungsbedingungen oder dieser AVV nicht vorgesehen oder erfasst sind, werden als Ersuchen um Änderung dieser AVV behandelt. Zusätzliche oder abweichende Weisungen müssen gesondert vereinbart werden und können gesondert in Rechnung gestellt werden. Das Unternehmen erkennt an, dass Folgendes die Weisungen darstellt: (a) die Verarbeitung in Übereinstimmung mit den Nutzungsbedingungen und, falls vereinbart, dem/den Bestellformular(en) oder der/den Leistungsbeschreibung(en) und (b) die von den Benutzern der Dienste veranlasste Verarbeitung (beispielsweise beim Versenden einer Ausgabedatei per E-Mail an eine andere Person). Nuance informiert das Unternehmen unverzüglich nach Kenntniserlangung, wenn Nuance der Auffassung ist, dass eine Weisung Datenschutzgesetze verletzt. |
|
|||||||||||||||||||||||||||
3.3 Verhältnis zum Lieferanten. In Bezug auf die Bereitstellung von Nuance-Diensten im Rahmen der Nutzungsbedingungen muss das Unternehmen alle entsprechenden Weisungen für die Verarbeitung direkt an Nuance erteilen, die die Rolle des Auftragsverarbeiters innehat. Zudem muss das Unternehmen sicherstellen, dass es keine Weisungen an den Lieferanten erteilt, der für Zwecke dieser AVV hinsichtlich der Verarbeitung personenbezogener Daten des Unternehmens hierunter nicht als Verantwortlicher gilt. |
|
|||||||||||||||||||||||||||
3.4 Haftungsausschluss von Nuance. Nuance verarbeitet personenbezogene Daten, die vom Unternehmen in offizielle Datensätze aufgenommen werden können. Nuance betreibt nicht das Zielsystem des Unternehmens für diese Datensätze noch Teile davon, und deshalb speichert oder pflegt Nuance keine offiziellen Datensätze für das Unternehmen. Die Originale aller Datensätze, einschließlich medizinischer Datensätze, werden vom Unternehmen oder seinen anderen Vertragspartnern aufbewahrt. Nuance hat nur Zugriff auf Teile der Datensätze, mittels Fernzugriff auf das Computersystem des Unternehmens im Zusammenhang mit der Erbringung der in den Nutzungsbedingungen angegebenen Dienste. Nuance stehen alle geistigen Eigentumsrechte an allen Weiterentwicklungen und Verbesserungen ihrer Software und Dienste zu, die sich aus der Verarbeitung personenbezogener Daten ergeben. |
|
|||||||||||||||||||||||||||
3.5 Vertraulichkeit. Unbeschadet der bestehenden vertraglichen Vereinbarungen zwischen den Parteien behandelt Nuance alle personenbezogenen Daten streng vertraulich. Nuance ergreift geeignete Maßnahmen, damit nur hierzu berechtigte Mitarbeiter, die bindenden gesetzlichen oder vertraglichen Verpflichtungen zur Vertraulichkeit unterliegen, Zugang zu den personenbezogenen Daten haben. Die Kündigung oder der Ablauf dieser AVV entbindet Nuance nicht von ihren Vertraulichkeitsverpflichtungen. |
|
|||||||||||||||||||||||||||
3.6 Beschränkung des Zugangs. Nuance stellt sicher, dass nur diejenigen Mitarbeiter die Nuance-Dienste gemäß dieser AVV erbringen, die auch die Nuance-Dienste im Rahmen der Nutzungsbedingungen erbringen. |
|
|||||||||||||||||||||||||||
3.7 Datenschutzbeauftragter (DSB). Nuance hat einen Datenschutzbeauftragten bestellt, der unter Privacy@Nuance.com erreichbar ist oder per Post (weltweit) unter: |
|
|||||||||||||||||||||||||||
Chief Privacy Officer Nuance Communications, Inc. 1 Wayside Road Burlington MA 01803 USA |
|
|||||||||||||||||||||||||||
Data Protection Officer Nuance Communications Ireland, Ltd. The Harcourt Building, 4th Floor 57B Harcourt Street Dublin 2, D02 F721 IRLAND |
|
|||||||||||||||||||||||||||
Alle Änderungen dieser Kontaktinformationen werden unter https://www.nuance.com/about-us/company-policies/privacy-policies.html veröffentlicht. |
|
|||||||||||||||||||||||||||
3.8 Mitteilungen an betroffene Personen. In Bezug auf personenbezogene Daten, die Nuance vom Unternehmen im Rahmen der Nutzungsbedingungen zur Verfügung gestellt werden, ist das Unternehmen für die Bereitstellung aller Mitteilungen und Informationen verantwortlich, die gemäß den Datenschutzgesetzen zum Zeitpunkt der Erhebung der Daten erforderlich sind, einschließlich, aber nicht beschränkt auf Mitteilungen in Bezug auf: |
|
|||||||||||||||||||||||||||
(i) die Weitergabe von personenbezogenen Daten an Unterauftragsverarbeiter, wie in Abschnitt 5 unten gestattet; und |
|
|||||||||||||||||||||||||||
(ii) die Übermittlung personenbezogener Daten an verbundene Unternehmen und (Unter-)Unterauftragsverarbeiter von Nuance, wie in der Liste der Unterauftragsverarbeiter(Neues Fenster öffnen) angegeben, für die in Abschnitt 3.2 genannten Zwecke. Nuance muss außerdem die in Abschnitt 6 unten genannten Anforderungen an die Datenübermittlung einhalten. |
|
|||||||||||||||||||||||||||
Das Vorstehende gilt unbeschadet etwaiger Benachrichtigungspflichten, denen Nuance oder ihre Unterauftragsverarbeiter gegebenenfalls nach den EU-Standardvertragsklauseln unterliegen. |
|
|||||||||||||||||||||||||||
3.9 Betroffenenersuchen. Im Verhältnis zwischen den Parteien ist das Unternehmen für die Bearbeitung aller Betroffenenersuchen verantwortlich. Nuance benachrichtigt das Unternehmen unverzüglich, wenn sie ein Ersuchen einer betroffenen Person zur Ausübung ihrer Rechte erhält. Unter Berücksichtigung der Art der Verarbeitung unterstützt Nuance das Unternehmen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von besagten Betroffenenersuchen gemäß den Datenschutzgesetzen nachzukommen. Soweit gesetzlich zulässig, trägt das Unternehmen sämtliche Kosten für die Bereitstellung dieser Unterstützung durch Nuance. |
|
|||||||||||||||||||||||||||
3.10 Mitteilung der Verletzung des Schutzes personenbezogener Daten. Nuance hat eine Richtlinie für das Management von Sicherheitsvorfällen und teilt dem Unternehmen jede Verletzung des Schutzes personenbezogener Daten unverzüglich mit. |
|
|||||||||||||||||||||||||||
Im Hinblick auf die datenschutzrechtlichen Verpflichtungen des Unternehmens bemüht sich Nuance im Fall einer Verletzung des Schutzes personenbezogener Daten in angemessenem Maß, die Ursache hierfür zu ermitteln. Zudem unternimmt Nuance zumutbare Schritte, die sie als notwendig und entsprechend den Branchenstandards als angemessen erachtet, um die Ursache zu beheben. Nuance ist nicht für Vorfälle verantwortlich, die vom Lieferanten oder von den Endnutzern des Unternehmens verursacht werden. |
|
|||||||||||||||||||||||||||
3.11 Löschung von personenbezogenen Daten. Soweit nach Beendigung dieser AVV oder der Lieferantenvereinbarung angemessen umsetzbar, löscht Nuance alle personenbezogenen Daten, soweit Nuance nicht nach geltendem Recht zur weiteren Speicherung der personenbezogenen Daten verpflichtet ist. Das Unternehmen erkennt an, dass mit der Löschung der personenbezogenen Daten durch Nuance sämtliche Rechtspflichten zur Rückgabe von personenbezogenen Daten an das Unternehmen erfüllt sind. |
|
|||||||||||||||||||||||||||
3.12 Überprüfungen und Aufzeichnungen. Vorbehaltlich einer angemessenen Vorankündigung durch das Unternehmen legt Nuance dem Unternehmen angemessene Nachweise über ihre Einhaltung dieser AVV und der Datenschutzgesetze vor und ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, die vom Unternehmen oder einem anderen vom Unternehmen beauftragten Prüfer durchgeführt werden. Das Überprüfungsrecht des Unternehmens gemäß den Datenschutzgesetzen kann von Nuance dadurch erfüllt werden, dass Nuance dem Unternehmen oder Lieferanten folgende Informationen zur Verfügung stellt: |
|
|||||||||||||||||||||||||||
(a) ein von einem registrierten und unabhängigen externen Prüfer erstellter Auditbericht, der nicht älter als 18 Monate ist und der belegt, dass die in der Beschreibung der Technischen und Organisatorischen Maßnahmen(Neues Fenster öffnen) beschriebenen technischen und organisatorischen Maßnahmen von Nuance ausreichend sind und einem anerkannten Industrie-Auditstandard wie SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402 entsprechen und/oder |
|
|||||||||||||||||||||||||||
(b) zusätzliche Informationen, die sich im Besitz oder unter der Kontrolle von Nuance befinden, an eine Aufsichtsbehörde, wenn diese Aufsichtsbehörde zusätzliche Informationen im Zusammenhang mit den von Nuance im Rahmen dieser AVV durchgeführten Datenverarbeitungsaktivitäten anfordert oder benötigt. |
|
|||||||||||||||||||||||||||
(c) Wenn Nuance die unter (a) und (b) genannten Informationen nicht zur Verfügung stellen kann, kann das Unternehmen die Kontrollmethoden von Nuance auch bei Nuance vor Ort überprüfen. Das Unternehmen soll Nuance gemäß dem in den Nutzungsbedingungen befindlichen Abschnitt „Mitteilungen“ kontaktieren. Das Unternehmen erstattet Nuance den Zeitaufwand für eine solche Vor-Ort-Überprüfung zu den zu diesem Zeitpunkt geltenden Nuance-Tarifen für professionelle Dienstleistungen, die dem Unternehmen auf Anfrage bereitgestellt werden. Vor Beginn einer solchen Vor-Ort-Überprüfung vereinbaren das Unternehmen und Nuance gemeinsam den Umfang, den Zeitpunkt und die Dauer der Überprüfung sowie den Erstattungssatz, den das Unternehmen schuldet. Alle Erstattungssätze müssen unter Berücksichtigung der von Nuance aufgewendeten Ressourcen angemessen sein. Das Unternehmen informiert Nuance unverzüglich über jeden im Zuge einer Überprüfung festgestellten Verstoß und räumt eine angemessene Frist zur Behebung ein. |
|
|||||||||||||||||||||||||||
(d) Die Parteien vereinbaren, dass das Unternehmen bei der Durchführung von Überprüfungen betreffend den Schutz personenbezogener Daten alle angemessenen Maßnahmen ergreift, um die Auswirkungen auf Nuance und den üblichen Geschäftsbetrieb von Nuance zu begrenzen. |
|
|||||||||||||||||||||||||||
4. SICHERHEIT |
|
|||||||||||||||||||||||||||
Unter Berücksichtigung der neuesten verfügbaren Technologie, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft Nuance geeignete technische und organisatorische Schutzmaßnahmen, wie in der Beschreibung der Technischen und Organisatorischen Maßnahmen(Neues Fenster öffnen) dargelegt. |
|
|||||||||||||||||||||||||||
5. UNTERAUFTRAGSVERARBEITUNG |
|
|||||||||||||||||||||||||||
5.1 Verbundene Unternehmen als Unterauftragsverarbeiter. Das Unternehmen erteilt Nuance die allgemeine Genehmigung, andere Gesellschaften, die die Muttergesellschaft von Nuance, Nuance Communications Inc., kontrollieren oder die sich im gemeinsamen Eigentum mit, oder unter der gemeinsamen Kontrolle der Muttergesellschaft befinden, („verbundene Unternehmen“) als Unterauftragsverarbeiter zur Unterstützung bei der Bereitstellung der Nuance-Dienste einzusetzen, wie in der Liste der Unterauftragsverarbeiter(Neues Fenster öffnen) angegeben. |
|
|||||||||||||||||||||||||||
5.2 Andere Unterauftragsverarbeiter. Das Unternehmen erteilt Nuance und ihren verbundenen Unternehmen die allgemeine Genehmigung, die folgenden Arten von (Unter-)Unterauftragsverarbeitern einzusetzen, um die Bereitstellung der Nuance-Dienste zu unterstützen: Clouddienste-, Softwareentwicklungsdienste-, Beratungs- und andere von Nuance und ihren verbundenen Unternehmen eingesetzte Unternehmen, die Consulting- und Supportdienste in den Bereichen Informationstechnologie und Sicherheit anbieten; Datenzentrumsbetreiber von Drittanbietern und Anbieter ausgelagerter technischer Supportdienste. |
|
|||||||||||||||||||||||||||
5.3 Verfügbare Liste. Eine Liste aller von dem Unternehmen wie oben beschrieben genehmigten (Unter-)Unterauftragsverarbeiter findet sich in der Liste der Unterauftragsverarbeiter(Neues Fenster öffnen). |
|
|||||||||||||||||||||||||||
5.4 Änderungen bei den Unterauftragsverarbeitern. Widerspruchsrecht des Unternehmens. Nuance teilt dem Unternehmen die Namen aller neuen (Unter-)Unterauftragsverarbeiter sowie derjenigen Unterauftragsverarbeiter mit, die die bisherigen Unterauftragsverarbeiter ersetzen sollen, bevor diese Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnen. Innerhalb von zehn (10) Werktagen nach Erhalt der Benachrichtigung über eine Änderung bei den Unterauftragsverarbeitern kann das Unternehmen gegen die Änderungen durch schriftliche Mitteilung an Nuance Widerspruch einlegen. In der Mitteilung ist die Grundlage für den Widerspruch des Unternehmens zu beschreiben, der auf vernünftigen Gründen beruhen muss. Wird der Widerspruch nicht innerhalb dieses Zeitraums mitgeteilt, gilt dies als Verzicht auf das Widerspruchsrecht. Wenn das Unternehmen schriftlich Widerspruch einlegt, erörtern Nuance und das Unternehmen den Widerspruch in gutem Glauben, um eine Lösung zu finden. Wenn innerhalb von 30 Tagen nach der ersten Mitteilung des Widerspruchs keine Lösung gefunden wird, und wenn die Nuance-Dienste nicht ohne den beanstandeten (Unter-)Unter-Auftragsverarbeiter erbracht werden können, kann das Unternehmen die betreffenden Dienste mit einer Frist von 60 Tagen schriftlich kündigen, wobei die Kündigung spätestens 45 Tage nach dem Datum der ersten Mitteilung des Widerspruchs erfolgen muss. |
|
|||||||||||||||||||||||||||
Verantwortung von Nuance. Nuance und/oder ihre verbundenen Unternehmen verlangen von allen (Unter-)Unterauftragsverarbeitern, mit Nuance eine schriftliche Vereinbarung zum Schutz personenbezogener Daten zu schließen, deren Datenschutzpflichten denen in dieser AVV äquivalent sind. Nuance bleibt gegenüber dem Unternehmen in jedem Fall haftbar, wenn ein (Unter-)Unterauftragsverarbeiter seine Vereinbarung mit Nuance verletzt; die Zustimmung des Unternehmens zur Nutzung des (Unter-)Unterauftragsverarbeiters hebt diese Verantwortung nicht auf. |
|
|||||||||||||||||||||||||||
6. Übermittlung von Daten |
|
|||||||||||||||||||||||||||
6.1 Hosting-Standort von Nuance. Nuance stellt, betreibt und unterhält an den in den Einzelheiten der Datenverarbeitung(Neues Fenster öffnen) und der Liste der Unterauftragsverarbeiter(Neues Fenster öffnen) genannten Standorten die Daten-Hosting-Zentren, um das Betreiben der Dienste zu gewährleisten. |
|
|||||||||||||||||||||||||||
6.2 Übermittlungen an Empfänger außerhalb des EWR durch Nuance. Das Unternehmen erkennt an, dass Nuance personenbezogene Daten an Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums („EWR“) übermitteln darf. Wenn personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden, von Nuance von einem Land innerhalb des EWR in ein Land außerhalb des EWR übermittelt werden, stellt Nuance sicher, dass ein Mechanismus vorhanden ist, durch den die Angemessenheit der Verarbeitung gewährleistet ist, z.B.: |
|
|||||||||||||||||||||||||||
(a) Der Abschluss zwischen Nuance und ihren Unterauftragsverarbeitern von EU-Standardvertragsklauseln (Modul Drei – Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter)(Neues Fenster öffnen), die über den vorstehenden Link zu den EU-Standardvertragsklauseln eingesehen werden können, um die Einhaltung dieser Verpflichtung durch Nuance zu belegen; und die Verpflichtung von Unterauftragsverarbeitern zur Einhaltung der Grundsätze der Weiterübermittlung gemäß den EU-Standardvertragsklauseln und |
|
|||||||||||||||||||||||||||
(b) Die Anwendung zusätzlicher Garantien durch Nuance und ihre Unterauftragsverarbeiter, soweit sie erforderlich sind, um sicherzustellen, dass die personenbezogenen Daten während und nach der Übermittlung einem Schutzniveau unterliegen, das dem der EU gleichwertig ist. Solche Garantien können die Anonymisierung personenbezogener Daten sowie die Pseudonymisierung und Verschlüsselung, auch während der Übermittlung, umfassen, jeweils unter Berücksichtigung des Datenschutzniveaus im Empfängerland und der Art der betroffenen personenbezogenen Daten. Weitere Einzelheiten zu den von Nuance und ihren verbundenen Unternehmen angewandten Garantien sind in der Beschreibung der Technischen und Organisatorischen Maßnahmen(Neues Fenster öffnen) aufgeführt, wobei die von Nuance und ihren Unterauftragsverarbeitern angewandten zusätzlichen Garantien das Unternehmen nicht von seinen eigenen Datenschutzverpflichtungen entbinden; oder |
|
|||||||||||||||||||||||||||
(c) Jede andere speziell genehmigte Garantie für die Datenübermittlung gemäß den Datenschutzgesetzen oder ein Angemessenheitsbeschluss durch die Europäische Kommission. |
|
|||||||||||||||||||||||||||
6.3 Übermittlungen an Empfänger außerhalb anderer Jurisdiktionen durch Nuance. Wenn personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden, an Empfänger außerhalb der Jurisdiktion des Nicht-EEA-Landes übermittelt werden, in dem die Daten ursprünglich verarbeitet wurden („erste Gerichtsbarkeit“), stellt Nuance die Einhaltung der in der ersten Gerichtsbarkeit geltenden Datenschutzgesetze sicher, die eine solche Übermittlung regeln. Spezifische Verpflichtungen zur grenzüberschreitenden Datenübermittlung sind in Abschnitt 8 unten aufgeführt. |
|
|||||||||||||||||||||||||||
6.4 Übermittlungen außerhalb des EWR durch das Unternehmen. Wenn personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden, vom Unternehmen/seinen verbundenen Unternehmen aus einem Land innerhalb des EWR an Nuance, in ein Land außerhalb des EWR übermittelt werden, gelten zwischen dem Unternehmen/seinen verbundenen Unternehmen und Nuance EU-Standardvertragsklauseln (Modul Zwei – Übermittlung von Verantwortlichen an Auftragsverarbeiter)(Neues Fenster öffnen), die über den vorstehenden Link zu den EU-Standardvertragsklauseln eingesehen werden können. Die Verpflichtung zur Einhaltung der Grundsätze der Weiterübermittlung gemäß Abschnitt 6.2 (a) und die Verpflichtungen gemäß Abschnitt 6.2 (b) gelten entsprechend. |
|
|||||||||||||||||||||||||||
7. ZUSÄTZLICHE BESTIMMUNGEN FÜR BESTIMMTE ARTEN VON PERSONENBEZOGENEN DATEN |
|
|||||||||||||||||||||||||||
7.1 Daten über Kinder. Das Unternehmen sichert hiermit zu und gewährleistet Folgendes: |
|
|||||||||||||||||||||||||||
(a) Die Website, die Dienste und die Produkte des Unternehmens entsprechen der DSGVO, dem US-Gesetz zum Schutz der Online-Privatsphäre von Kindern von 1998 (Children‘s Online Privacy Protection Act of 1998, „COPPA") und anderen Datenschutzgesetzen zum Schutz personenbezogener Informationen (gemäß der Definition dieses Begriffs durch das anwendbare Recht) von Kindern unter 16 Jahren („Daten über Kinder“); |
|
|||||||||||||||||||||||||||
(b) Das Unternehmen darf die Nuance-Dienste nicht in Verbindung mit einer Online-Seite, einem Online-Dienst oder einem Online-Produkt nutzen, die sich an Kinder unter 16 Jahren als primäre Zielgruppe richten („primär an Kinder gerichtet“). Ob ein Dienst/Produkt primär an Kinder gerichtet ist, bemisst sich nach empirischen Erkenntnissen über die Zusammensetzung des Publikums und nach Erkenntnissen über das Zielpublikum, z.B. anhand des Themas, visuellen Inhalts, der Verwendung von Zeichentrickfiguren oder auf Kinder ausgerichteten Aktivitäten und Anreizen, der Musik oder anderer Audioinhalte, des Alters der Models, der Anwesenheit von Kinderberühmtheiten oder Berühmtheiten, die Kinder ansprechen, der Sprache oder anderer Merkmale der Website oder des Online-Dienstes, sowie darauf, ob sich die Werbung, die auf der Seite oder dem Online-Dienst erscheint oder für Letztere wirbt, an Kinder richtet. |
|
|||||||||||||||||||||||||||
(c) Wenn das Unternehmen die von Nuance lizenzierte Software für Seiten, Dienste oder Produkte verwendet, die primär an Kinder gerichtet sind, darf es (im Zusammenhang mit der Wartung, dem Support und den Tools betreffend die von Nuance lizenzierte Software oder in anderem Zusammenhang) keine Daten über Kinder an Nuance senden. |
|
|||||||||||||||||||||||||||
(d) Wenn das Unternehmen Nuance-Dienste für Online-Seiten, -Dienstleistungen oder -Produkte für ein gemischtes oder allgemeines Publikum nutzt, auf die von Kindern unter 16 Jahren zugegriffen werden kann, die aber nicht primär an Kinder gerichtet sind, müssen im Rahmen des nachprüfbaren Mechanismus für die elterliche Zustimmung, der direkten Benachrichtigung und der Web-Benachrichtigung des Unternehmens, wie in den Datenschutzgesetzen gefordert, die Übermittlung von Daten über Kinder an Nuance und die Erhebung und Verarbeitung von Daten über Kinder durch Nuance in Übereinstimmung mit dieser AVV angemessen offengelegt und ausreichend erfasst werden. |
|
|||||||||||||||||||||||||||
Die Parteien sind sich einig, dass Nuance kein Betreiber („operator“) im Sinne der Definition des COPPA ist. Im Verhältnis zwischen dem Unternehmen und Nuance haftet allein das Unternehmen für Verletzungen der ihm obliegenden Verpflichtungen nach den Datenschutzgesetzen oder dieser AVV. |
|
|||||||||||||||||||||||||||
7.2 Einhaltung des CCPA. Soweit Nuance vom Unternehmen zur Verarbeitung im Namen des Unternehmens gemäß dieser AVV (direkt oder durch Dritte, z.B. den Lieferanten) „personenbezogene Informationen“ eines „Verbrauchers“, die dem California Consumer Privacy Act („CCPA“) unterliegen, erhält, halten Nuance und das Unternehmen jeweils alle anwendbaren Bestimmungen des CCPA ein. Jede Partei kooperiert auf angemessene schriftliche Anfrage der anderen Partei nach Treu und Glauben, um zusätzliche und angepasste Vertragsregelungen zu vereinbaren, die den Änderungen des CCPA Rechnung tragen, oder um die Konformität der Parteien mit den Änderungen des CCPA auf andere Weise sicherzustellen. Soweit einschlägig, gilt Nuance im Rahmen des CCPA als „Dienstanbieter“ für das Unternehmen und wird (a) solche personenbezogenen Informationen nur zu dem spezifischen Zweck der Bereitstellung von Nuance-Diensten im Rahmen dieser AVV oder wie anderweitig durch den CCPA gestattet, einschließlich für einen berechtigten „Geschäftszweck“, speichern, verwenden oder offenlegen, (b) solche personenbezogenen Informationen nicht zu einem anderen „kommerziellen Zweck“ als der Erbringung der Nuance-Dienste im Rahmen dieser AVV speichern, verwenden oder offenlegen, (c) solche personenbezogenen Informationen nicht außerhalb der direkten Geschäftsbeziehung zwischen Nuance und dem Unternehmen speichern, verwenden oder offenlegen und (d) solche personenbezogenen Informationen nicht „verkaufen“. Nuance erkennt an und bestätigt, dass es die hier genannten Verbote einhält. Für die Zwecke dieses Absatzes haben die Begriffe „personenbezogene Informationen“, „Verbraucher“, „Dienstanbieter“, „Geschäftszweck“, „kommerzieller Zweck“ und „verkaufen“ die im CCPA festgelegte Bedeutung. |
|
|||||||||||||||||||||||||||
7.3 Biometrische Daten. |
|
|||||||||||||||||||||||||||
7.3.1 Der in Abschnitt 1 definierte Begriff der personenbezogenen Daten umfasst biometrische Daten, soweit Nuance biometrische Kennungen, biometrische Informationen oder personenbezogene Daten erstellt oder vom Unternehmen erhält, die aus einer spezifischen technischen Verarbeitung in Bezug auf die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person resultieren und die die eindeutige Identifizierung oder Authentifizierung dieser natürlichen Person ermöglichen oder bestätigen. |
|
|||||||||||||||||||||||||||
7.3.2 Zusätzlich zu den in Abschnitt 3.8 aufgeführten Anforderungen ist das Unternehmen verantwortlich für die Bereitstellung von Mitteilungen, schriftlichen Richtlinien/Erklärungen, die der Öffentlichkeit zur Verfügung gestellt werden, und von Informationen betreffend personenbezogene Daten, die durch die Datenschutzgesetze vorgeschrieben sind, einschließlich jedoch nicht beschränkt auf Informationen in Bezug auf: |
|
|||||||||||||||||||||||||||
(i) die Aufzeichnung von Gesprächen mit dem Unternehmen und die Weitergabe dieser Aufzeichnungen an Nuance und die (Unter-)Unterauftragsverarbeiter von Nuance zu den in Abschnitt 3.2 genannten Zwecken; |
|
|||||||||||||||||||||||||||
(ii) die Verarbeitung von physischen, physiologischen oder verhaltensbezogenen Merkmalen durch Nuance zum Zweck der Erstellung, Erhebung oder Speicherung personenbezogener Daten. Das Unternehmen erkennt an, dass eine solche Verarbeitung dem begrenzten Zweck der Servicebereitstellung dient und Nuance die biometrische Kennung oder die biometrischen Daten von natürlichen Personen weder kauft, verkauft, vermietet, damit handelt noch anderweitig davon profitiert; |
|
|||||||||||||||||||||||||||
(iii) die Aufbewahrungsdauer und die Richtlinien für die dauerhafte Vernichtung der biometrischen Kennung oder der biometrischen Daten, die gemäß dieser AVV erhoben, gespeichert und verwendet werden |
|
|||||||||||||||||||||||||||
7.3.3 Das Unternehmen muss alle erforderlichen Einwilligungen, Freigaben oder Lizenzen einholen, damit Nuance die personenbezogenen Daten in Übereinstimmung mit den Datenschutzgesetzen erfassen, speichern, verarbeiten, offenlegen, nutzen und international übermitteln kann. |
|
|||||||||||||||||||||||||||
7.3.4 Das Unternehmen gibt alle notwendigen Informationen an Aufsichtsbehörden weiter und holt deren Genehmigungen ein, die gemäß den Datenschutzgesetzen erforderlich sind, einschließlich, aber nicht beschränkt auf das Gesetz Quebec zur Schaffung eines rechtlichen Rahmens für Informationstechnologie (R.S.Q., c. C-1.1), das Regelungen zu Datenbanken mit biometrischen Merkmalen und Messungen enthält. |
|
|||||||||||||||||||||||||||
7.3.5 Wenn eine Person sich von der biometrischen Authentifizierung abmeldet, ihr Konto geschlossen wird oder wenn der ursprüngliche Zweck für die Erhebung oder den Erhalt dieser personenbezogenen Daten anderweitig erfüllt wurde, muss das Unternehmen Nuance Weisungen betreffend die nach den Datenschutzgesetzen erforderlichen Löschung der personenbezogenen Daten erteilen. |
|
|||||||||||||||||||||||||||
7.3.6 Wenn das Unternehmen die Bestimmungen dieses Abschnitts 7.3 nicht einhält, stellt dies einen wesentlichen Verstoß gegen diese AVV und die Nutzungsbedingungen dar. Das Unternehmen stellt Nuance alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen des Unternehmens gemäß diesem Abschnitt 7.3 nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, durch Nuance. Im Falle einer Anfrage, Untersuchung oder Klage durch eine Behörde im Zusammenhang mit der Einhaltung der Datenschutzgesetze stellt das Unternehmen Nuance Kopien aller relevanten Einwilligungen, Datenschutzerklärungen, Mitteilungen und Offenlegungen zur Verfügung, die zur Beantwortung der Anfrage, Untersuchung oder Klage erforderlich sind. Darüber hinaus stellt das Unternehmen Nuance mindestens sechzig (60) Tage vor dem Datum der Produktionsbereitstellung eine Kopie der nach der jeweiligen Rechtsordnung erforderlichen Mitteilungen und/oder Einwilligungen der Endkunden zur Verfügung. |
|
|||||||||||||||||||||||||||
8. ZUSÄTZLICHE BESTIMMUNGEN FÜR PERSONEN, DIE IN BESTIMMTEN LÄNDERN ANSÄSSIG SIND. |
|
|||||||||||||||||||||||||||
Je nach Land, in dem sich die Person, deren personenbezogene Daten verarbeitet werden, befindet, gelten einzelne oder mehrere der folgenden zusätzlichen Bestimmungen. |
|
|||||||||||||||||||||||||||
8.1 ZUSÄTZLICHE BESTIMMUNGEN FÜR ARGENTINIEN |
|
|||||||||||||||||||||||||||
8.1.1 Datenschutzgesetz. In Bezug auf die personenbezogenen Daten von Personen in Argentinien umfassen die in Abschnitt 1 definierten Datenschutzgesetze die argentinischen Datenschutzprinzipien, wie sie im argentinischen Gesetz 25.326 zum Schutz personenbezogener Daten definiert sind. |
|
|||||||||||||||||||||||||||
8.1.2 Allgemeine Verpflichtung bei der Verarbeitung. Nuance verarbeitet die personenbezogenen Daten in Übereinstimmung mit den Bestimmungen der Datenschutzgesetze. |
|
|||||||||||||||||||||||||||
8.1.3 Übermittlung an Empfänger außerhalb Argentiniens durch das Unternehmen. Wenn im Zusammenhang mit dieser AVV personenbezogene Daten vom Unternehmen an Nuance außerhalb Argentiniens und nicht an ein angemessenes Land bereitgestellt werden, unterliegt eine solche Übermittlung den Argentinischen Standardvertragsklauseln. |
|
|||||||||||||||||||||||||||
8.1.4 Übermittlung an Empfänger außerhalb Argentiniens durch Nuance. Das Unternehmen erkennt an, dass Nuance im Rahmen der Erfüllung dieser AVV personenbezogene Daten an verbundene Unternehmen und andere außerhalb Argentiniens ansässige Unterauftragsverarbeiter übermitteln kann. Befindet sich ein solcher Unterauftragsverarbeiter nicht in einem angemessenen Land, stellt Nuance sicher, dass ein Mechanismus besteht, der die Angemessenheit der Verarbeitung gewährleistet, wie z. B.: |
|
|||||||||||||||||||||||||||
(a) Die Einwilligung einer jeden Person, deren personenbezogene Daten an ein Land übermittelt werden, das kein angemessenes Land darstellt; |
|
|||||||||||||||||||||||||||
(b) Der Abschluss der argentinischen Standardvertragsklauseln durch Nuance für sich selbst und/oder im Namen des Unternehmens. Auf Anfrage stellt Nuance dem Unternehmen Kopien solcher Vereinbarungen zur Durchsicht zur Verfügung, vorbehaltlich der Schwärzung vertraulicher Geschäftsinformationen, die für die Anforderungen dieser AVV nicht relevant sind. Das Unternehmen bevollmächtigt Nuance und ihre verbundenen Unternehmen, im Namen des Unternehmens argentinische Standardvertragsklauseln im Einklang mit dieser AVV und den Argentinischen Standardvertragsklauseln für Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter zu schließen; |
|
|||||||||||||||||||||||||||
(c) Das Vorhandensein eines Selbstregulierungsrahmens oder verbindlicher interner Datenschutzvorschriften, die einen angemessenen Schutz der übermittelten personenbezogenen Daten bieten. |
|
|||||||||||||||||||||||||||
8.2 ZUSÄTZLICHE BESTIMMUNGEN FÜR AUSTRALIEN |
|
|||||||||||||||||||||||||||
8.2.1 Datenschutzgesetz. In Bezug auf die personenbezogenen Daten von Personen in Australien umfassen die in Abschnitt 1 definierten Datenschutzgesetze die australischen Datenschutzgrundsätze, wie sie im Australischen Datenschutzgesetz die geltenden Datenschutzgesetze auf Bundes-, Landes- und Territorialebene. |
|
|||||||||||||||||||||||||||
8.2.2 Allgemeine Verpflichtung bei der Verarbeitung. Nuance verarbeitet die personenbezogenen Daten in Übereinstimmung mit den Datenschutzgesetzen. |
|
|||||||||||||||||||||||||||
8.2.3 Verpflichtung zur Benachrichtigung bei Schutzverletzungen. Wenn das Unternehmen in Australien ansässig ist, umfasst die in Abschnitt 1 festgelegte Definition der Verletzung des Schutzes personenbezogener Daten alle „erfassten Datenverstöße“ gemäß der Definition des australischen Programms für meldepflichtige Datenschutzverletzungen. |
|
|||||||||||||||||||||||||||
8.2.4 Übermittlungen an Empfänger außerhalb Australiens. Zusätzlich zu den Anforderungen nach Abschnitt 6.3 wird Nuance im Falle der Übermittlung personenbezogener Daten an Empfänger außerhalb Australiens mit den Übermittlungsempfängern Vereinbarungen schließen oder geschlossen haben, die im gleichen Umfang vertragliche Schutzmaßnahmen zur Sicherung und zum Schutz der personenbezogenen Daten vorsehen, wobei die Schutzmaßnahmen im Wesentlichen den australischen Datenschutzgrundsätzen entsprechen, wie dies durch die Nuance in dieser AVV auferlegten Verpflichtungen erfolgt. |
|
|||||||||||||||||||||||||||
8.3 ZUSÄTZLICHE BESTIMMUNGEN FÜR BRASILIEN |
|
|||||||||||||||||||||||||||
8.3.1 Datenschutzgesetz. In Bezug auf die personenbezogenen Daten von Personen in Brasilien umfassen die in Abschnitt 1 definierten Datenschutzgesetze die „LGPD“ oder die brasilianische Datenschutz-Grundverordnung, Gesetz Nr. 13.709/2018, die die Verarbeitung personenbezogener Daten in Brasilien regelt. |
|
|||||||||||||||||||||||||||
8.3.2 Allgemeine Verpflichtung bei der Verarbeitung. Nuance verarbeitet die personenbezogenen Daten in Übereinstimmung mit der brasilianischen Datenschutz-Grundverordnung, Gesetz Nr. 13.709/2018. |
|
|||||||||||||||||||||||||||
8.3.3 Übermittlung an Empfänger außerhalb Brasiliens. Zusätzlich zu den Anforderungen nach Abschnitt 6.3 gilt Folgendes: Für den Fall, dass Nuance personenbezogene Daten in ein Land außerhalb Brasiliens übermittelt, das nicht als angemessenes Land gilt, wird Nuance mit den Übermittlungsempfängern Vereinbarungen schließen oder geschlossen haben, die vertragliche Schutzmaßnahmen zur Sicherung und zum Schutz der personenbezogenen Daten im gleichen Umfang vorsehen, wie es die Nuance durch diese AVV auferlegten Verpflichtungen erfordern. |
|
|||||||||||||||||||||||||||
8.4 ZUSÄTZLICHE BESTIMMUNGEN FÜR KANADA |
|
|||||||||||||||||||||||||||
8.4.1 Verantwortlicher. In Bezug auf die Verarbeitung personenbezogener Daten von Personen in Kanada umfasst der in Abschnitt 1 definierte Begriff des Verantwortlichen eine Organisation in Bezug auf personenbezogene Daten, welche diese im Rahmen von Geschäftstätigkeiten erhebt, nutzt oder offenlegt, einen Verwalter von Gesundheitsdaten, einen Verwalter, eine öffentliche Einrichtung, ein Unternehmen, einen Treuhänder oder eine ähnliche Stelle gemäß den geltenden Datenschutzgesetzen. |
|
|||||||||||||||||||||||||||
8.4.2 Datenschutzgesetze. In Bezug auf die personenbezogenen Daten von Personen in Kanada umfasst der in Abschnitt 1 definierte Begriff der Datenschutzgesetze das geltende Datenschutzrecht auf Bundes- und Provinzebene. |
|
|||||||||||||||||||||||||||
8.4.3 Personenbezogene Daten. Der in Abschnitt 1 definierte Begriff der personenbezogenen Daten umfasst personenbezogene Informationen und personenbezogene Gesundheitsinformationen entsprechend der Definition dieser Begriffe in den geltenden Datenschutzgesetzen. |
|
|||||||||||||||||||||||||||
8.4.4 Auftragsverarbeiter. In Bezug auf die Verarbeitung personenbezogener Daten von Personen in Kanada umfasst der in Abschnitt 1 definierte Begriff des Auftragsverarbeiters auch einen Vertreter, einen Anbieter, einen Dienstleister oder eine ähnliche Stelle gemäß den geltenden Datenschutzgesetzen. |
|
|||||||||||||||||||||||||||
8.4.5 Allgemeine Verpflichtung bei der Verarbeitung. Nuance verarbeitet die personenbezogenen Daten in Übereinstimmung mit den Datenschutzgesetzen. Diese AVV gilt für alle personenbezogenen Daten, die von Nuance im Auftrag des Unternehmens verarbeitet werden, unabhängig davon, ob sie direkt oder indirekt vom Unternehmen stammen. Dies schließt personenbezogene Daten des Unternehmens ein, die Nuance von einem Vertriebspartner oder Reseller bei der Erbringung von Supportdiensten für das Unternehmen zur Verfügung gestellt werden. |
|
|||||||||||||||||||||||||||
8.4.6 Übermittlungen an Empfänger außerhalb Kanadas. Das Unternehmen erkennt an, dass Nuance im Rahmen der Erfüllung dieser AVV personenbezogene Daten an Empfänger außerhalb Kanadas übermitteln kann. In diesem Fall wird Nuance, in Übereinstimmung mit dem Grundsatz der Rechenschaftspflicht, mit den Übermittlungsempfängern Vereinbarungen treffen oder getroffen haben, die in demselben Umfang zum Schutz und zur Sicherung personenbezogener Daten verpflichten, wie es die Nuance durch diese AVV auferlegten Verpflichtungen erfordern. |
|
|||||||||||||||||||||||||||
8.4.7 Geltendes Recht. Diese Vereinbarung unterliegt den Gesetzen der Provinz, in der sich das Unternehmen befindet („maßgebliche Provinz“), und den dort geltenden Bundesgesetzen Kanadas, mit Ausnahme der Grundsätze des Kollisionsrechts. Die Parteien vereinbaren, alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung ausschließlich den Gerichten in der maßgeblichen Provinz vorzulegen. Die Parteien stimmen der Zuständigkeit dieser Gerichte zu und verzichten auf jegliche Einwände hinsichtlich des Gerichtsstands. |
|
|||||||||||||||||||||||||||
8.5 ZUSÄTZLICHE BESTIMMUNGEN FÜR CHILE |
|
|||||||||||||||||||||||||||
8.5.1 Datenschutzgesetz. In Bezug auf die personenbezogenen Daten von Personen in Chile umfassen die in Abschnitt 1 definierten Datenschutzgesetze das chilenische Gesetz 19628 über den Schutz des Privatlebens in der geltenden Fassung. |
|
|||||||||||||||||||||||||||
8.6 ZUSÄTZLICHE BESTIMMUNGEN FÜR KOLUMBIEN |
|
|||||||||||||||||||||||||||
8.6.1 Datenschutzgesetz. In Bezug auf die personenbezogenen Daten von Personen in Kolumbien umfassen die in Abschnitt 1 definierten Datenschutzgesetze das kolumbianische Gesetz 1581 von 2012 und den Erlass 1074 von 2015. |
|
|||||||||||||||||||||||||||
8.6.2 Allgemeine Verpflichtung bei der Verarbeitung. Nuance verarbeitet die personenbezogenen Daten in Übereinstimmung mit den kolumbianischen Datenschutzprinzipien, wie in Artikel 4 des Gesetzes 1581 von 2012 definiert. |
|
|||||||||||||||||||||||||||
8.6.3 Angemessenheitsbeschlüsse. „Kolumbianisches angemessenes Land“ bezeichnet ein Land und eine internationale Organisation, zu dem bzw. der eine entsprechende Veröffentlichung der kolumbianischen Datenschutzbehörde (Oberaufsicht für Industrie und Handel) besteht. |
|
|||||||||||||||||||||||||||
8.6.4 Übermittlung an Empfänger außerhalb Kolumbiens. Nuance darf die personenbezogenen Daten in jedes Land oder Gebiet übermitteln oder übertragen, auch wenn es nach kolumbianischem Recht nicht als angemessenes Land angesehen wird, es sei denn, das Unternehmen verlangt ausdrücklich und schriftlich, dass an ein bestimmtes Land keine Übermittlung oder Übertragung erfolgt. Das Unternehmen garantiert, dass Übermittlungen oder Übertragungen durch Nuance gemäß der von der betroffenen Person erteilten Einwilligung zulässig sind. |
|
|||||||||||||||||||||||||||
8.6.5 Meldung einer Verletzung des Schutzes Personenbezogener Daten. Das Unternehmen und Nuance kooperieren im Hinblick auf ihre beidseitige Verpflichtung, der Oberaufsicht für Industrie und Handel jeden Verstoß gegen die Sicherheitsmaßnahmen und das Bestehen von Risiken bei der Verwaltung der personenbezogenen Daten innerhalb von 15 Arbeitstagen ab dem Datum zu melden, an dem die Verletzung des Schutzes personenbezogener Daten festgestellt wurde. |
|
|||||||||||||||||||||||||||
8.7 ZUSÄTZLICHE BESTIMMUNGEN FÜR JAPAN |
|
|||||||||||||||||||||||||||
8.7.1 Datenschutzgesetze. In Bezug auf die personenbezogenen Daten von Personen in Japan umfassen die in Abschnitt 1 definierten Datenschutzgesetze das japanische Gesetz zum Schutz personenbezogener Informationen und die von der japanischen Kommission für den Schutz personenbezogener Informationen („Personal Information Protection Commission”) herausgegebenen einschlägigen Richtlinien. |
|
|||||||||||||||||||||||||||
8.7.2 Übermittlungen an Empfänger außerhalb Japans. Nuance kann die im Rahmen dieser AVV und der Nutzungsbedingungen verarbeiteten personenbezogenen Daten in jedes Land oder Gebiet übermitteln, auch wenn es nach japanischem Recht nicht als angemessenes Land gilt, es sei denn, das Unternehmen verlangt ausdrücklich und schriftlich, dass die Übermittlung in ein bestimmtes Land unterbleibt, wobei Nuance in diesem Fall möglicherweise nicht in der Lage ist, die Dienste zu erbringen, was, um Zweifel auszuschließen, keinen Verstoß gegen die Nutzungsbedingungen darstellt. Das Unternehmen garantiert, dass Übermittlungen oder Übertragungen durch Nuance im Rahmen der von der betroffenen Person erteilten Einwilligung zulässig sind. |
|
|||||||||||||||||||||||||||
8.8 ZUSÄTZLICHE BESTIMMUNGEN FÜR MEXICO |
|
|||||||||||||||||||||||||||
8.8.1 Datenschutzgesetz. In Bezug auf die personenbezogenen Daten von Personen in Mexiko umfassen die in Abschnitt 1 definierten Datenschutzgesetze das mexikanische Bundesgesetz über den Schutz personenbezogener Daten im Besitz von Privatpersonen. |
|
|||||||||||||||||||||||||||
8.8.2 Übermittlungen an Empfänger außerhalb Mexicos. Für den Fall, dass Nuance personenbezogene Daten in ein Land außerhalb Mexikos übermittelt, wird Nuance mit den Empfängern Vereinbarungen treffen oder getroffen haben, die vertragliche Schutzmaßnahmen zur Sicherung und zum Schutz der personenbezogenen Daten in demselben Umfang vorsehen, wie es die Nuance durch diese AVV auferlegten Verpflichtungen erfordern. |
|
|||||||||||||||||||||||||||
8.9 ZUSÄTZLICHE BESTIMMUNGEN FÜR SÜD AFRIKA |
|
|||||||||||||||||||||||||||
8.9.1 Datenschutzgesetze. In Bezug auf personenbezogene Daten von Personen mit Wohnsitz in der Republik Südafrika („Südafrika“) umfassen die in Abschnitt 1 definierten Datenschutzgesetze auch den südafrikanischen Protection of Personal Information Act („POPIA“). |
|
|||||||||||||||||||||||||||
8.9.2 Allgemeine Verarbeitungsverpflichtung. Nuance verarbeitet die personenbezogenen Daten in Übereinstimmung mit POPIA, wie in den geltenden Datenschutzgesetzen definiert. |
|
|||||||||||||||||||||||||||
8.9.3 Übermittlungen an Empfänger außerhalb Südafrikas durch das Unternehmen. Wenn das Unternehmen im Zusammenhang mit dieser AVV personenbezogene Daten an Nuance außerhalb Südafrikas übermittelt, unterliegt diese Übermittlung den in Abschnitt 6.4 aufgeführten Standardvertragsklauseln, wobei die folgenden Änderungen gelten: (i) die zuständige Aufsichtsbehörde ist die südafrikanische Informationsregulierungsbehörde; (ii) es gilt südafrikanisches Recht; (iii) der Gerichtsstand ist Südafrika und (iv) die Verpflichtungen gemäß den Klauseln 14 und 15 gelten nicht. |
|
|||||||||||||||||||||||||||
8.10 ZUSÄTZLICHE BESTIMMUNGEN FÜR SÜDKOREA |
|
|||||||||||||||||||||||||||
Nuance kann die im Rahmen dieser AVV und der Nutzungsbedingungen verarbeiteten personenbezogenen Daten in jedes beliebige Land oder Gebiet übertragen oder übermitteln, es sei denn, das Unternehmen verlangt ausdrücklich und schriftlich, sie nicht in ein bestimmtes Land zu übertragen oder zu übermitteln. In diesem Fall ist Nuance möglicherweise nicht in der Lage, die Dienste zu erbringen, was, um Zweifel auszuschließen, keinen Verstoß gegen die Nutzungsbedingungen darstellt. Das Unternehmen garantiert, dass Übermittlungen oder Übertragungen durch Nuance im Rahmen der von der betroffenen Person erteilten Einwilligung zulässig sind. |
|
|||||||||||||||||||||||||||
8.11 ZUSÄTZLICHE BESTIMMUNGEN FÜR DAS VEREINIGTE KÖNIGREICH |
|
|||||||||||||||||||||||||||
8.11.1 Datenschutzgesetze. In Bezug auf die personenbezogenen Daten von Personen im Vereinigten Königreich umfassen die Datenschutzgesetze und die DSGVO, wie in Abschnitt 1 definiert, die Verordnung (EU) 2016/679, wie sie Teil des Rechts von England und Wales, Schottland und Nordirland ist, entsprechend und gemäß den Änderungen nach den Gesetzen, die aus dem Austritt des Vereinigten Königreichs aus der Europäischen Union resultieren. |
|
|||||||||||||||||||||||||||
8.11.2 Übermittlungen an Empfänger außerhalb des Vereinigten Königreichs. Das Unternehmen erkennt an, dass Nuance im Rahmen der Durchführung dieser AVV personenbezogene Daten an verbundene Unternehmen und andere Unterauftragsverarbeiter mit Sitz außerhalb des Vereinigten Königreichs übermitteln kann. Wenn ein solcher Unterauftragsverarbeiter nicht einem Land ansässig ist, das im Vereinigten Königreichs als angemessen gilt, stellt Nuance sicher, dass ein Mechanismus vorliegt, der die Angemessenheit der Verarbeitung gewährleistet, beispielsweise: |
|
|||||||||||||||||||||||||||
(a) Die Einwilligung jeder Person, deren personenbezogene Daten in ein - nach Maßgabe des Vereinigten Königreichs - nicht angemessenes Land übermittelt werden; |
|
|||||||||||||||||||||||||||
(b) Der Abschluss durch Nuance, für sich selbst und/oder im Namen des Unternehmens, von EU-Standardvertragsklauseln gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG, die unter dem folgenden Link http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32010D0087 abrufbar sind („UK-Standardvertragsklauseln“). Auf Anfrage stellt Nuance dem Unternehmen Kopien solcher Vereinbarungen zur Einsichtnahme zur Verfügung, vorbehaltlich der Schwärzung vertraulicher Geschäftsinformationen, die für die Anforderungen gemäß dieser AVV nicht relevant sind. Das Unternehmen bevollmächtigt Nuance und ihre verbundenen Unternehmen, im Namen des Unternehmens UK-Standardvertragsklauseln abzuschließen, die mit dieser AVV und den UK-Standardvertragsklauseln für Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter übereinstimmen(Neues Fenster öffnen) |
|
|||||||||||||||||||||||||||
(c) Das Vorhandensein eines Selbstregulierungsrahmens oder verbindlicher interner Datenschutzvorschriften, die einen angemessenen Schutz für die übermittelten personenbezogenen Daten bieten. |
|
|||||||||||||||||||||||||||
9. ANWENDBARES RECHT |
|
|||||||||||||||||||||||||||
Diese AVV unterliegt dem Recht des unten angegebenen Landes, und die Parteien unterwerfen sich hiermit der Gerichtsbarkeit der unten angegebenen Gerichte und den geltenden Klagezustellungen. Der maßgebliche Text dieser AVV ist der englische und alle hiernach erforderlichen Mitteilungen sind auf Englisch zu verfassen. |
|
|||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||
Sollte eine Bestimmung dieser AVV ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser AVV gültig und in Kraft. Die ungültigen oder nicht durchsetzbaren Bestimmungen werden entweder (i) so geändert, wie es erforderlich ist, um ihre Gültigkeit und Durchsetzbarkeit zu gewährleisten, wobei die Absichten der Parteien so weit wie möglich berücksichtigt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, wie wenn der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen wäre. |
|
|||||||||||||||||||||||||||
10. Schlussbestimmungen |
|
|||||||||||||||||||||||||||
10.1 Rangfolge. Soweit Bestimmungen dieser AVV mit Bestimmungen der Nutzungsbedingungen in Widerspruch stehen, hat diese AVV hinsichtlich des spezifischen Regelungsgegenstands solcher Bestimmungen Vorrang. Wenn Nuance diese AVV für das Land der Rechnungsadresse des Unternehmens in mehr als einer Sprache zur Verfügung stellt und es eine Diskrepanz zwischen dem englischen Text und dem übersetzten Text gibt, gilt der englische Text. Wenn Nuance neue Funktionen, Angebote, Ergänzungen oder zugehörige Software einführt (also Neuerungen, die zuvor nicht in den Diensten enthalten waren), kann Nuance für die Nutzung dieser Neuerungen durch das Unternehmen Regelungen einführen oder diese AVV aktualisieren, die für die Nutzung dieser neuen Funktionen, Angebote, Ergänzungen oder zugehörigen Software durch das Unternehmen Geltung haben. Diese AVV ersetzt alle früheren Vereinbarungen und Absprachen zwischen den Parteien und stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieser AVV dar. |
|
Die folgenden zusätzlichen Regelungen sind Teil dieser AVV und werden hierin wie oben angegeben integriert.
- Einzelheiten der Datenverarbeitung(Neues Fenster öffnen)
- Beschreibung der Technischen und Organisatorischen Maßnahmen(Neues Fenster öffnen)
- Liste der Unterauftragsverarbeiter(Neues Fenster öffnen)
- EU-Standardvertragsklauseln (Modul Zwei – Übermittlung von Verantwortlichen an Auftragsverarbeiter)(Neues Fenster öffnen)
- Argentinische Standard-Vertragsklauseln(Neues Fenster öffnen)
- Gemäß Abschnitt 6.2(a) oben sind die von Nuance und ihren Unterauftragsverarbeitern geschlossenen EU-Standardvertragsklausel (Modul Drei – Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter) hier zur Einsicht abrufbar. (Neues Fenster öffnen)
DATA PROCESSING AGREEMENT
for Nuance Services
FOR THE AVOIDANCE OF ANY DOUBT, THIS DPA SHALL NOT BE BINDING TO ANY ENTITY THAT IS NOT: (1) A PARTY TO THE MAIN AGREEMENT OR (2) A COMPANY AFFILIATE NOT CONTRACTUALLY PERMITTED TO USE THE SERVICES. IT SHALL ALSO NOT BE BINDING TO ANY ENTITY THAT IS RECEIVING SERVICES FROM NUANCE THROUGH A NUANCE AUTHORIZED DISTRIBUTOR OR RESELLER.
Last Modified April 30, 2022 / Previous Versions
This Data Processing Agreement (“DPA”) is made upon acceptance of the Terms of Service, as defined below, between the Company accepting the Terms of Service (“Company”) and the Nuance entity entering into the Terms of Service (“Nuance”),
each a “Party” and together the “Parties”.
RECITALS
(A) Company has entered into one or more agreements (referred to collectively as the “Supplier Agreement”) with a third party supplier (“Supplier”) under which it procured certain Nuance Services, as defined below, from Supplier.
(B) In addition, Nuance and Company have entered into Terms of Service for such Nuance Services (the “Terms of Service”).
(C) The Parties have agreed that in order for Company to consummate the Nuance Services it has obtained from Supplier under the Supplier Agreement, it will be necessary for Nuance to Process certain Personal Data in respect of which Company will be a Data Controller, or acting on behalf of the Data Controller, for the purposes of this DPA under and subject to the Data Protection Laws (as defined below).
(D) The Parties have agreed to enter into this DPA in order to address the compliance obligations imposed upon Company pursuant to Data Protection Laws with respect to Personal Data which will be Processed by Nuance and in respect of which Company will be a Data Controller, and to ensure that adequate safeguards are put in place with respect to the protection of such Personal Data.
(E) Except as otherwise expressly set forth in the Terms of Service between the Parties, the provision of Services shall be governed by this DPA pursuant to applicable Data Protection Laws and this DPA is hereby incorporated into the Terms of Service by reference.
1. DEFINITIONS.
The following expressions are used in this DPA: In the event the definitions herein differ from the Terms of Service relating to data protection, this DPA shall prevail as to the specific subject matter of such definition.
(a) “Services” or “Nuance Services” refers to the application, product or services and other activities to be supplied to or carried out on behalf of Company/Company affiliate pursuant to the Terms of Service.
(b) “Data Subject Request” means a request from or on behalf of a Data Subject relating to access of, or the rectification of, erasure of or data portability of that person’s Personal Data or an objection from or on behalf of a Data Subject to the Processing of his or her Personal Data.
(c) “Data Protection Laws” means all laws and regulations, and amendments thereto, applicable to the Processing of Personal Data by Nuance in connection with the Nuance Services, including but not limited to the GDPR.
(d) “GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of personal data and on the free movement of such data (known as the General Data Protection Regulation).
(e) “EU Standard Contractual Clauses” means the standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, based on the European Commission Implementing Decision (EU) 2021/914 of 4 June 2021, or any European Commission’s decision amending or replacing the decision of 4 June 2021.
(f) “Personal Data” shall cover any personal data in the meaning given to it by Data Protection Laws which is Processed by Nuance in connection with Company’s use of Nuance Services obtained from Supplier.
(g) “Biometric Data” has, in each relevant jurisdiction, the meaning given to (or in the nearest equivalent term) in the applicable Data Protection Laws for that jurisdiction, and “biometric identifiers” and “biometric information” will be interpreted accordingly.
(h) “Personal Data Breach” means a "personal data breach" or "data breach" as defined under Data Protection Laws that is within Nuance’s scope of responsibility by any of its staff, sub-processors or any other identified or unidentified third party after Nuance becomes aware with a reasonable degree of certainty that such Personal Data Breach has occurred.
(i) “Adequate Country” means a country, territory, or specified sectors within a country and international organization that is recognized under Data Protection Laws from time to time as providing adequate protection for Personal Data from time to time, including but not limited to those published by the European Commission in the Official Journal of the European Union for which it has decided that an adequate level of protection is ensured.
(j) “Process”, “Processing”, “Controller”, “Data Controller”, “Processor”, “Data Processor”, “Data Subject”, and “Supervisory Authority” or “National Authority” shall have the meanings given to them by GDPR. The term Data Processor includes sub-processors, sub-sub-processers etc.
2. STATUS OF THE PARTIES
2.1 Company is the Data Controller, and Nuance is the Data Processor. Accordingly, Company grants Nuance the right to Process the Personal Data for the purposes of providing the Nuance Services.
3. PROCESSING REQUIREMENTS
3.1 Data Processing Details. Company, as Data Controller, will determine the scope, purposes, and means by which the Personal Data may be Processed by Nuance, as reasonably necessary for the provision of the Nuance Services and compliant with Data Protection Laws. Company is responsible for establishing the lawful bases for Processing the Personal Data, including obtaining all necessary consent, and will comply with all applicable Data Privacy Laws with respect thereto. The type of Personal Data Processed pursuant to this DPA as well as the subject matter, nature and purpose of the Processing, the Data Subjects involved, location(s) and duration of the Processing are as described in the Data Processing Details.
3.2 Processing under Control of Controller. Nuance shall only Process the Personal Data to provide the Nuance Services and shall act only in accordance with Company’s documented instructions, including the transfer by Nuance of Company Personal Data to any country or territory, to the extent appropriate for the provision of the Nuance Services, and except as required to comply with a legal obligation to which Nuance is subject, in such case, Nuance will inform Company of that legal requirement before Processing, unless that law, regulation or order prohibits such information on important grounds of public interest. Company’s individual instructions on Processing of Personal Data shall be as detailed in the Terms of Service and this DPA. Any additional or alternate instructions must be agreed upon, and may be charged for, separately. Company accepts that the following amounts to instructions: Processing initiated by users of the Services (for example, when sending an output file by email to another person). Company instructs Nuance and its sub-processors and Affiliates to use, compile (including creating statistical and other models), annotate and otherwise analyze the Personal Data for the purpose of operating, maintaining, tuning, enhancing, improving and providing technical support services for the speech recognition, natural language understanding and other Nuance software and technologies that are embodied in the Nuance Services. Personal Data Processing instructions can be modified, amended or replaced through an amendment to this DPA through the established change control process. Instructions not foreseen in or covered by the Terms of Service or this DPA shall be treated as requests for amendments to this DPA. Any additional or alternate instructions must be agreed upon in writing, and may be charged for, separately. Company accepts that the following are the instructions: (a) Processing in accordance with the Terms of Service and, if so agreed, order form(s) or statement(s) of work; and (b) Processing initiated by users of the Services (for example, when sending an output file by email to another person). Nuance shall immediately upon becoming aware, inform Company if, in Nuance’s opinion, an instruction infringes Data Protection Laws.
3.3 Relationship to Supplier. With regards to the provision of Nuance Services under the Terms of Service, Company has to provide any appropriate Processing instructions directly to Nuance which takes a Processor role and has to ensure that it will not provide any instruction to Supplier, which is not deemed a Controller for purposes of this DPA, with respect to the Processing of Company Personal Data hereunder.
3.4 Nuance Disclaimer. Nuance Processes Personal Data that may be incorporated by Company into official records. Nuance does not maintain Company’s system of records, and therefore Nuance does not store or maintain any official records or part thereof for Company. The originals of any records, including medical records, will be maintained by Company or its other contractors. Nuance only has access to parts of the records via remote access over Company’s computer system in connection with the provision of the Services set forth in the Terms of Service. Nuance shall own all intellectual property rights in all enhancements and improvements to its software and Services that result from its Processing of Personal Data hereunder.
3.5 Confidentiality. Without prejudice to any existing contractual arrangements between the Parties, Nuance shall treat all Personal Data as strictly confidential. Nuance shall take appropriate steps so that only authorized personnel who are subject to binding obligations of confidentiality, either contractual or statutory, will have access to the Personal Data. Termination or expiration of this DPA shall not discharge Nuance from its confidentiality obligations.
3.6 Limitation of Access. Nuance will ensure the performance of the Nuance Services according to this DPA is limited to the personnel performing the Nuance Services under the Terms of Service.
3.7 Data Protection Officer (DPO). Nuance has appointed a data protection officer, who can be reached at: Privacy@Nuance.com or by mail (Worldwide) at:
Chief Privacy Officer
Nuance Communications, Inc.
1 Wayside Road
Burlington MA 01803
USA
Data Protection Officer
Nuance Communications Ireland, Ltd
The Harcourt Building, 4th Floor
57B Harcourt Street
Dublin 2, D02 F721
IRELAND
Any changes to this contact information will be published at https://www.nuance.com/about-us/company-policies/privacy-policies.html.
3.8 Data Subject Notices. For Personal Data that is provided to Nuance by Company under the Terms of Services, Company is responsible for providing any notices and information required by Data Protection Laws to be given at the time of collection, including, but not limited to notice with respect to:
i) Sharing of Personal Data with sub-processors as permitted by Section 5 below; and
ii) Transfer of Personal Data to Nuance’s Affiliates and (sub-)sub-processors as outlined in the Sub‑Processor List, for the purposes as outlined in Section 3.2 above. Nuance shall also comply with the transfer requirements set forth in Section 6 below.
The foregoing is without prejudice to any notification obligations to which Nuance or its sub‑processors may be subject under the EU Standard Contractual Clauses.
3.9 Data Subject Requests. As between the Parties, Company shall be responsible for addressing all Data Subject Requests. Nuance shall promptly notify Company if Nuance receives a request from a Data Subject to exercise his or her Data Subject’s rights. Taking into account the nature of the Processing and insofar as possible, Nuance shall assist Company by appropriate technical and organizational measures in fulfilment of Company’s obligations to respond to said Data Subject Request under Data Protection Laws. To the extent legally permitted, Company shall be responsible for any costs arising from Nuance’s provision of such assistance.
3.10 Notice of Personal Data Breach. Nuance maintains an Incident Management Policy and shall notify Company of any Personal Data Breach without undue delay.
In the event of a Personal Data Breach, Nuance shall make reasonable efforts to identify the cause of such Personal Data Breach and take reasonable steps as Nuance deems necessary and reasonable under industry standards, in order to remediate the cause of such in fulfilling Company’s obligation under Data Protection Laws. Nuance shall not be responsible for incidents that are caused by Company, Supplier or Company’s end users.
3.11 Deletion of Personal Data. As reasonably practicable following the termination of this DPA or the Supplier Agreement, Nuance shall delete all Personal Data, except to the extent applicable law requires Nuance to continue to store the Personal Data. Company acknowledges that Nuance’s deletion of Personal Data represents compliance with any legal obligation to return Personal Data to Company.
3.12 Audit and Records. Subject to reasonable prior notice from Company, Nuance shall provide Company with reasonable evidence to demonstrate Nuance’s compliance with this DPA and Data Protection Laws and shall allow for and contribute to audits, including inspections, conducted by Company or another auditor mandated by Company. Company’s right of audit under Data Protection Laws may be satisfied by Nuance through Nuance providing to Company or Supplier:
(a) an audit report not older than 18 months by a registered and independent external auditor demonstrating that Nuance’s technical and organizational measures described in the Description of Technical and Organizational Measures are sufficient and in accordance with an accepted industry audit standard such as SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402; and/or
(b) additional information in Nuance’s possession or control to a Supervisory Authority when it requests or requires additional information in relation to the data Processing activities carried out by Nuance under this DPA.
(c) If Nuance is unable to provide the information in (a) and (b) above, Company may audit Nuance’s control practices, including on-site at Nuance’s facilities, and Company shall contact Nuance in accordance with the “Notices” section under the Services Agreement. Company shall reimburse Nuance for any time expended for any such on-site audit at Nuance’s then-current professional services rates, which shall be made available to Company upon request. Before the commencement of any such on-site audit, Company and Nuance shall mutually agree upon the scope, timing, and duration of the audit in addition to the reimbursement rate for which Company shall be responsible. All reimbursement rates shall be reasonable, taking into account the resources expended by Nuance. Company shall promptly notify Nuance with information regarding any noncompliance discovered during the course of an audit and allow reasonable time for remediation.
(d) The Parties agree that when carrying out audit procedures relevant to the protection of Personal Data, Company shall take all reasonable measures to limit any impact on Nuance and Nuance’s usual course of business operations.
4. SECURITY
Taking into account the most recent available technology, the costs of implementation and the nature, scope, context and purposes of Processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Nuance will maintain appropriate technical and organizational protections as set forth in the Description of Technical and Organizational Measures.
5. SUB-PROCESSING
5.1 Affiliates as Sub-Processors. Company grants a general authorization to Nuance to appoint as sub-processors to support the delivery of the Nuance Services any other entities controlling, under common ownership with, or under control of, Nuance’s parent corporation, Nuance Communications, Inc. (“Affiliates”), as specified in the Sub‑Processor List(Neues Fenster öffnen).
5.2 Other Sub-Processors. Company grants Nuance and Affiliates a general authorization to appoint the following types of (sub-)sub-processors to support the delivery of the Nuance Services: Nuance and its Affiliates’ cloud, software engineering, consulting and other firms providing information technology and security advisory and support services; third party data center operators, and providers of outsourced technical support services.
5.3 List Available. A list of all (sub-)sub-processors approved by Company above is included in the Sub‑Processor List.
5.4 Sub-Processor Changes; Company's Right to Object. Nuance will notify Company of the names of any new and replacement (sub-)sub-processors prior to them beginning sub-processing of Personal Data. Within ten (10) business days of receiving notice of a sub-processor change, Company may object by providing written notice to Nuance. The notice shall describe the basis for Company’s objection, which must have reasonable grounds. Failure to notify an objection during such time period shall constitute waiver of the right to object. If Company gives written notice of objection, Nuance and Company will discuss the objection in good faith to seek to resolve it. If no resolution is found within 30 days after initial notice of objection is given, and if the Nuance Services cannot be performed without the use of the objected-to (sub-)sub-processor, Company may terminate the affected Company’s Services on 60 days’ written notice, such notice to be given no later than 45 days after the date of the initial notice of objection.
5.5 Nuance’s Responsibility. Nuance and/or Affiliates will require all (sub-)sub-processors to enter into a written agreement with Nuance to protect Personal Data with equivalent data protection obligations to those in this DPA. Nuance shall remain liable to Company for any breach by the (sub-)sub-processor of its agreement with Nuance; Company’s authorization of the
6. DATA TRANSFERS
6.1 Nuance Hosting Location. Nuance provides, operates, and maintains the data hosting centers in the locations described in the Data Processing Details and the Sub-Processor List to support the operation of the Services.
6.2 Transfers outside EEA by Nuance. Company acknowledges that Nuance may transfer Personal Data to sub-processors outside of the European Economic Area (“EEA”). If Personal Data Processed under this DPA is transferred by Nuance from a country within the EEA to a country outside the EEA, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:
(a) The execution between Nuance and its sub-processors of EU Standard Contractual Clauses (Module Three - Processor to Processor), which can be viewed by accessing the before link to the EU Standard Contractual Clauses to demonstrate Nuance’s compliance with this obligation; and the requirement of sub-processors to comply with onward transfer principles under EU Standard Contractual Clauses; and
(b) The application by Nuance and its sub-processors of additional safeguards, where necessary, to ensure that during and after the transfer, the Personal Data is subject to a level of protection equivalent to that of the EU. Such safeguards might include anonymization of Personal Data as well as pseudonymization and encryption, including during transmission, in each case taking account of the level of data protection in the recipient country and the nature of the Personal Data concerned. Further details on the safeguards applied by Nuance and Affiliates are set out in the Description of Technical and Organizational Measures whereas the additional safeguards applied by Nuance and its sub-processors do not release Company from its own data protection obligations; and the obligation of sub-processors to comply with onward transfer principles under EU Standard Contractual Clauses; or
(c) Any other specifically approved safeguard for data transfer under Data Protection Laws or a European Commission finding of adequacy.
6.3 Transfers outside of other jurisdictions by Nuance. If Personal Data Processed under this DPA is transferred outside of the jurisdiction of the country from which the data was initially Processed (the “First Jurisdiction”) other than the EEA, Nuance shall ensure compliance with applicable Data Protection Laws within the First Jurisdiction governing such transfer. Specific cross-border data transfer obligations are detailed in Section 8 below.
6.4 Transfers outside EEA by Company. If Personal Data Processed under this DPA is transferred by Company/Company affiliates from a country within the EEA to Nuance in a country outside the EEA, EU Standard Contractual Clauses (Module Two – Controller to Processor)(Neues Fenster öffnen), which can be viewed by accessing the before link to the EU Standard Contractual Clauses, are agreed between Company/Company affiliates and Nuance. The requirement to comply with onward transfer principles set out in Section 6.2 (a) and the obligations set out in Section 6.2 (b) apply correspondingly.
7. ADDITIONAL PROVISIONS FOR SPECIFIC TYPES OF PERSONAL DATA
7.1 Children Data. Company hereby represents and warrants that;
(a) Company’s website, services and products comply with the GDPR, US Children's Online Privacy Protection Act of 1998, (“COPPA”) and other Data Protection Laws protecting Personal Information (as such term is defined by applicable law) from children under 16 (“Child Data”).
(b) Company shall not use Nuance’s Services in connection with an online site, service, or product that targets children under 16 as its primary audience (“Primarily Child-Directed”). Primarily Child Directed is based on empirical evidence regarding audience composition, and evidence regarding the intended audience, such as subject matter, visual content, use of animated characters or child-oriented activities and incentives, music or other audio content, age of models, presence of child celebrities or celebrities who appeal to children, language or other characteristics of the web site or online service, as well as whether advertising promoting or appearing on the web site or online service is directed to children.
(c) If Company uses Nuance licensed software for Primarily Child-Directed online sites, services or products, then Company must not send to Nuance (in connection with maintenance, support and tools regarding the Nuance licensed software, or otherwise) any Child Data.
(d) If Company uses Nuance Services for mixed audience or general audience online sites, services or products which may be accessed by children under 16, but are not Primarily Child‑Directed, then Company’s verifiable parental consent mechanism, direct notice, and web notice, as required by Data Protection Laws, shall adequately disclose and sufficiently cover the transfer of Child Data to Nuance and Nuance's collection and Processing of Child Data consistent with this DPA.
The Parties agree that Nuance is not an operator as that term is defined in COPPA. As between Company and Nuance, Company is solely responsible for any liability arising from Company’s noncompliance with its responsibilities and obligations under the Data Protection Laws or this DPA.
7.2 CCPA Compliance. To the extent that Nuance receives from Company (directly or through third parties, e.g. the Supplier) any “personal information” of any “consumer” subject to the California Consumer Privacy Act (“CCPA”) for Processing on behalf of Company pursuant to this DPA, Nuance and Company shall each comply with all applicable provisions of the CCPA and each Party shall, upon the other’s reasonable written request, cooperate in good faith to enter into additional and modified terms to address any amendments to the CCPA or otherwise to ensure the Parties’ compliance therewith. To the extent applicable, Nuance shall be considered a “service provider” to Company under the CCPA, and shall not (a) retain, use or disclose such personal information for any purpose other than for the specific purpose of performing Nuance Services under this DPA or as otherwise permitted by the CCPA, including for a valid “business purpose”; (b) retain, use or disclose such personal information for a “commercial purpose” other than providing the Nuance Services under this DPA; (c) retain, use or disclose such personal information outside the direct business relationship between Nuance and Company; or (d) “sell” such personal information. Nuance understands and certifies that it will comply with the prohibitions outlined herein. For the purposes of this paragraph, the terms “personal information”, “consumer”, “service provider”, “business purpose”, “commercial purpose” and “sell” shall have the meanings set forth in the CCPA.
7.3 Biometric Data.
7.3.1 With respect to the Personal Data defined in Section 1, Personal Data shall include biometric data to the extent that Nuance creates or receives from Company biometric identifiers, biometric information or Personal Data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification or authentication of that natural person.
7.3.2 In addition to the requirements listed in Section 3.8, Company is responsible for providing any notices, written policy, made available to the public, and information related to Personal Data required by Data Protection Laws, including, but not limited to information with respect to:
i) Recording of conversations with Company and disclosure of such recordings to Nuance, Nuance’s Affiliates and (sub-)sub‑processors for the purposes as outlined in Section 3.2 above;
ii) Processing by Nuance of physical, physiological or behavioural characteristics for the purpose of creating, collecting or storing Personal Data. Company acknowledges that such Processing is for the limited purpose of providing service and Nuance is not buying, selling, leasing, trading, or otherwise profiting from a natural person's biometric identifier or biometric information;
iii) Length of term and guidelines for permanently destroying biometric identifier or biometric information being collected, stored, and used as outlined in this DPA.
7.3.3 Company shall obtain all necessary consents, releases or licenses, to allow Nuance to capture, store, process, disclose, use, and transfer internationally the Personal Data in accordance with Data Protection Laws.
7.3.4 Company will make all necessary disclosures to, and obtain approval from supervisory authorities required under the Data Protection Laws, including but not limited to the Quebec Act to Establish a Legal Framework for Information Technology (R.S.Q., c. C-1.1) governing a database of biometric characteristics and measurements.
7.3.5 When a person unenrolls in biometric authentication, their account is closed or when the initial purpose for collecting or obtaining such Personal Information has otherwise been satisfied, Company shall provide Nuance with instructions regarding the deletion of Personal Information required by Data Protection Laws.
7.3.6 Company’s failure to comply with the terms of this Section 7.3 is a material breach of this DPA and the Terms of Service. Company shall make available to Nuance all information necessary to demonstrate compliance with Company’s obligations in this Section 7.3 and allow for and contribute to audits, including inspections, conducted by Nuance. In the event of any inquiry, investigation or claim by any governmental regulator or authority related to compliance with Data Protection Laws, Company shall provide Nuance with copies of all applicable consents, privacy policies, notices and disclosures necessary to respond to said inquiry, investigation or claim. In addition, Company shall provide Nuance with a copy of the end customer notifications and/or consents applicable in each jurisdiction at least sixty (60) days prior to the production deployment date.
8. ADDITIONAL PROVISIONS FOR INDIVIDUALS LOCATED IN CERTAIN COUNTRIES.
Each one or more of the following additional provisions apply based on the location of the individual in the respective country whose Personal Data is being Processed.
8.1 ADDITIONAL PROVISIONS FOR ARGENTINA
8.1.1 Data Protection Law. With respect to the Personal Data of individuals in Argentina, the Data Protection Laws defined in Section 1 shall include the Argentinian Privacy Principles, as defined in Argentine Personal Data Protection Law 25 326.
8.1.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the provisions of the Data Protection Laws.
8.1.3 Transfer outside Argentina by Company. If, in connection with this DPA, any Personal Data is provided by Company to Nuance outside Argentina and not to an Adequate Country, such transfer will be governed by the Argentina Standard Contractual Clauses.
8.1.4 Transfers outside Argentina by Nuance. Company acknowledges that Nuance may, in the performance of this DPA, transfer Personal Data to Affiliates and other sub-processors established outside Argentina. Where such sub-processor is not located in an Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:
(a) The consent of each individual whose Personal Data is transferred to a non-Adequate Country;
(b) The execution by Nuance, for itself and/or on behalf of Company, of the Argentina Standard Contractual Clauses. Upon request, Nuance will provide to Company for review such copies of agreements, subject to redaction for confidential commercial information not relevant to the requirements under this DPA. Company authorizes Nuance and its Affiliates to enter into Argentina Standard Contractual Clauses consistent with this DPA and the Argentina Standard Contractual Clauses controller‑to‑processor, on behalf of Company;
(c) The existence of any self-regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.
8.2 ADDITIONAL PROVISIONS FOR AUSTRALIA
8.2.1 Data Protection Law. With respect to the Personal Data of individuals in Australia, the Data Protection Laws defined in Section 1 shall include the applicable federal, state and territorial privacy legislation.
8.2.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws.
8.2.3 Breach Notification Obligation. If Company is located in Australia, the definition of Personal Data Breach set forth in Section 1 shall include any “eligible data breaches” as defined under the Australian Notifiable Data Breach Scheme.
8.2.4 Transfers outside Australia. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data outside Australia, Nuance will enter or have entered into agreements with the transferees that include contractual protections substantially similar to the Australian Privacy Principles to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.3 ADDITIONAL PROVISIONS FOR BRAZIL
8.3.1 Data Protection Law. With respect to the Personal Data of individuals in Brazil, the Data Protection Laws defined in Section 1 shall include the “LGPD” or the Brazilian General Data Protection Regulation, Law Nº 13.709/2018 which regulates the Processing of Personal Data in Brazil.
8.3.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Brazilian General Data Protection Regulation, Law Nº 13.709/2018.
8.3.3 Transfers outside Brazil. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data to a country outside Brazil that is not deemed an Adequate Country, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.4 ADDITIONAL PROVISIONS FOR CANADA
8.4.1 Controller. With respect to the processing of Personal Data of individuals in Canada, the term Controller defined in Section 1 shall include an organization in respect of personal information that the organization collects, uses or discloses in the course of commercial activities; or a health information custodian, custodian, public body, enterprise, trustee, or similar designation under Applicable Data Protection Law.
8.4.2 Data Protection Laws. With respect to the Personal Data of individuals in Canada, the Data Protection Laws defined in Section 1 shall include the applicable federal and provincial privacy legislation.
8.4.3 Personal Data. Personal Data defined in Section 1 shall include personal information and personal health information as those terms are defined in applicable Data Protection Law.
8.4.4 Processor. With respect to the processing of Personal Data of individuals in Canada, the term Processor defined in Section 1 shall include an agent, a provider, service provider or similar designation under Applicable Data Protection Law.
8.4.5 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws. This DPA applies to all Personal Data processed by Nuance on behalf of Company, regardless of whether the Personal Data is received directly or indirectly from Company, including Company Personal Data provided to Nuance by a distributor or reseller in the provision of support services to Company.
8.4.6 Transfers outside Canada. Company acknowledges that Nuance may, in the performance of this DPA, transfer Personal Data outside Canada, and in such event, in compliance with the accountability principle, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.4.7 Governing Law. This Agreement will be governed by the laws of the Province where Company is located (“Applicable Province”), and the federal laws of Canada applicable therein, without regard to principles of conflict of laws. The parties hereto agree to submit all disputes related to this Agreement exclusively to the courts in the Applicable Province, to which each party consents to the jurisdiction of such courts and waives any objection it may have with respect to venue.
8.5 ADDITIONAL PROVISIONS FOR CHILE
8.5.1 Data Protection Law. With respect to the Personal Data of individuals in Chile, the Data Protection Laws defined in Section 1 shall include the Chilean Law 19,628 on the Protection of Private Life to existing language.
8.6 ADDITIONAL PROVISIONS FOR COLOMBIA
8.6.1 Data Protection Law. With respect to the Personal Data of individuals in Colombia, the Data Protection Laws defined in Section 1 shall include Colombian Law 1581 of 2012 and Decree 1074 of 2015.
8.6.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Colombian Privacy Principles, as defined in article 4 Law 1581 of 2012.
8.6.3 Adequacy Decisions. “Colombian Adequate Country” means a country and international organization published by the Colombian Data Protection Authority (Superintendence of Industry and Commerce).
8.6.4 Transfers outside Colombia. Nuance may transfer or transmit the Personal Data to any country or territory, even if it is not considered as an Adequate Country under Colombian law, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.
8.6.5 Notice of Personal Data Breach. Company and Nuance will work cooperatively to meet their mutual obligation to report to the Superintendence of Industry and Commerce any violation of the security measures and the existence of risks in the administration of the Personal Data, within 15 working days from the date in which the Personal Data Breach is detected.
8.7 ADDITIONAL PROVISIONS FOR JAPAN
8.7.1 Data Protection Laws. With respect to the Personal Data of individuals in Japan, the Data Protection Laws defined in Section 1 shall include the Japanese Act on Protection of Personal Information and relevant guidelines issued by the Personal Information Protection Commission of Japan.
8.7.2 Transfers outside Japan. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Terms of Service, to any country or territory, even if it is not considered as an Adequate Country under Japanese law, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Terms of Service. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.
8.8 ADDITIONAL PROVISIONS FOR MEXICO
8.8.1 Data Protection Law. With respect to the Personal Data of individuals in Mexico, the Data Protection Laws defined in Section 1 shall include Mexican Federal Law on the Protection of Personal Data held by Private Parties.
8.8.2 Transfers outside Mexico. In the event that Nuance transfers Personal Data outside Mexico, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.9 ADDITIONAL PROVISIONS FOR SOUTH AFRICA
8.9.1 Data Protection Laws. With respect to the Personal Data of individuals residing in the Republic of South Africa ("South Africa"), the Data Protection Laws defined in Section 1 shall include South Africa's Protection of Personal Information Act ("POPIA").
8.9.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with POPIA, as defined in the applicable Data Protection Laws.
8.9.3 Transfer outside South Africa by Company. If, in connection with this DPA, any Personal Data is provided by Company to Nuance outside of South Africa, such transfer will be governed by the Standard Contractual Clauses set out in Section 6.4, with the following amendments: (i) the competent supervisory authority shall be South Africa's Information Regulator; (ii) the governing law shall be the laws of South Africa; (iii) the choice of forum shall be the courts of South Africa; and (iv) the obligations under Clauses 14 and 15 shall not apply.
8.10 ADDITIONAL PROVISIONS FOR SOUTH KOREA
Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Terms of Service, to any country or territory, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Terms of Service. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.
8.11 ADDITIONAL PROVISIONS FOR UNITED KINGDOM
8.11.1 Data Protection Laws. With respect to the Personal Data of individuals in United Kingdom, the Data Protection Laws and GDPR defined in Section 1 shall include the Regulation (EU) 2016/679 as it forms part of the law of England and Wales, Scotland and Northern Ireland pursuant to and as amended by any legislation arising out of the withdrawal of the United Kingdom from the European Union.
8.11.2 Transfers outside United Kingdom. Company acknowledges that Nuance may, in the performance of this DPA, transfer Personal Data to Affiliates and other sub-processors established outside United Kingdom. Where such sub-processor is not located in a United Kingdom Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:
(a) The consent of each individual whose Personal Data is transferred to a United Kingdom non‑Adequate Country;
(b) The execution by Nuance, for itself and/or on behalf of Company, of the EU standard contractual clauses under Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council that are available at the following link http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32010D0087(Neues Fenster öffnen) (the “UK Standard Contractual Clauses”). Upon request, Nuance will provide to Company for review such copies of agreements, subject to redaction for confidential commercial information not relevant to the requirements under this DPA. Company authorizes Nuance and its Affiliates to enter into UK Standard Contractual Clauses consistent with this DPA and the UK Standard Contractual Clauses for controller-to-processors, on behalf of Company;
(c) The existence of any self-regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.
9. GOVERNING LAW
This DPA shall be governed by the laws of the country indicated below, and the Parties hereby submit to the jurisdiction of the courts located in the jurisdiction below and the applicable service of process. The official text of this DPA or any notices required hereby shall be in English.
Country of incorporation of Company |
Governing Law |
Jurisdiction |
United States, Taiwan, Korea, Japan, or Mexico |
Laws of Commonwealth of Massachusetts, U.S. |
Federal or state courts of Massachusetts |
Canada |
As state above in section 8.4.7 |
Applicable Province and the federal laws of Canada applicable therein |
Colombia |
Laws of Colombia |
Courts of Colombia |
Hong Kong or China |
Laws of Hong Kong Special Administrative Region |
Courts of Hong Kong Special Administrative Region |
India or Singapore |
Singaporean Law |
Courts of Singapore |
Australia or New Zealand |
Laws of New South Wales |
Courts of New South Wales, Australia |
United Kingdom |
Laws of England and Wales |
Courts of England and Wales |
Rest of world |
Laws of the Republic of Ireland |
Courts of Dublin, Ireland |
Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provisions shall be either (i) amended as necessary to ensure their validity and enforceability, while preserving the Parties’ intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.
10. MISCELLANEOUS PROVISIONS
10.1 Order of Precedence. To the extent that any provisions of this DPA conflict with any provisions in the Terms of Service, this DPA shall prevail as to the specific subject matter of such provisions. If Nuance provides this DPA in more than one language for the country of Company’s billing address, and there is a discrepancy between the English text and the translated text, the English text will govern. When Nuance introduces features, offerings, supplements or related software that are new (i.e., that were not previously included with the Services), Nuance may provide terms or make updates to this DPA that apply to Company´s use of those new features, offerings, supplements or related software. This DPA shall supersede any prior agreements, arrangements and understandings between the Parties and constitutes the entire agreement between the Parties relating to the subject matter hereof.
The following additional terms are part of this DPA and are incorporated herein as stated above.
- Data Processing Details(Neues Fenster öffnen)
- Description of Technical and Organizational Measures(Neues Fenster öffnen)
- Sub-Processor List(Neues Fenster öffnen)
- EU Standard Contractual Clauses (Module Two - Controller to Processor)(Neues Fenster öffnen)
- Argentina Standard Contractual Clauses(Neues Fenster öffnen)
- In accordance with 6.2(a) above, the execution between Nuance and its sub-processors of EU Standard Contractual Clauses (Module Three – Processor to Processor)(Neues Fenster öffnen), are available for viewing here.