출입 통제 클라우드 어플리케이션
데이터 처리 계약
소개
귀하는 수시로 적용되는 서비스 “Salto KS Key as a Service”의 일반 약관(이하 “일반 약관”)에 따라 “Salto KS Keys as a Service” 플랫폼(각각, “KS Services” 및 “플랫폼”)을 통해 “Salto KS Keys as a Service”라는 SaaS 서비스를 제공받기 위해 스페인 회사인 Salto Systems, S.L.과 계약을 체결한 고객입니다.
또한 고객이 위치한 지역에 해당하는 Salto Systems, S.L. 및/또는 Salto Systems, S.L.의 자회사는 이러한 KS 서비스 및/또는 관련 잠금 장치 하드웨어 관련해서 기술 지원 서비스를 제공해야 할 수도 있습니다(이하 “기술 지원 서비스”). 이하 KS 서비스와 기술 지원 서비스를 합쳐서 “서비스”라 합니다.
귀하에게 서비스를 제공하기 위해 Salto Systems, SL 및 때때로 귀하가 위치한 지역 에 해당하는 Salto Systems, SL의 자회사가 귀하를 대신하여 개인 데이터에 액세스하고 처리해야 합니다. Salto Systems, SL 및 Salto Systems, SL의 해당 자회사는 각각 해당 개인 데이터의 데이터 프로세서 역할을 하며 귀하는 해당 개인 데이터의 데이터 컨트롤러 역할을 합니다.
따라서, Salto Systems, S.L. 및 유럽 경제 지역(이하 “EEA”) 내에 위치한 Salto Systems, S.L.의 해당 자회사는 유럽 일반 데이터 보호 규정(이하 “GDPR”)에 따라 고객과 데이터 처리 계약을 체결할 의무가 있습니다.
따라서, 이 데이터 처리 계약(이하 “DPA”)은 (a) 서비스 KS 서비스를 구독하는 고객(이하 “고객” 또는 “데이터 컨트롤러”), (b) Salto Systems, S.L.(“Salto 본사”) 및 (c) 고객이 위치한 지리적 영역에 해당하는 Salto 본사의 자회사(구체적인 데이터와 신원은 https://www.saltosystems.com/en/quick-links/salto-systems-offices/에서 조회 가능) (이하 “Salto의 자회사”) 사이에 공식화 되었습니다. Salto 본사와 Salto의 자회사는 공동으로 포괄적으로 “Salto” 또는 “데이터 프로세서”로 지칭됩니다.
귀하가 순전히 개인 또는 가사 활동 과정에서 행동하는 자연인인 경우 귀하에게 적용되는 DPA의 내용은 섹션 A의 내용입니다. 나머지 경우 귀하에게 적용되는 DPA의 내용은 다음과 같습니다. 섹션 B에 명시되어 있습니다.
당사자는 비유럽 법률이 개인 데이터 처리에 적용될 수도 있음을 인정합니다. 이 DPA에 구체적으로 표시된 범위를 제외하고 이 DPA의 내용은 데이터 처리에 적용되는 데이터 보호 법률에 관계없이 적용됩니다.
일반 조건을 수락함으로써 당사자는 해당 법률에서 요구하는 바에 따라 본 DPA를 체결하고 고객이 이에 동의하고 동의합니다.
섹션 A: 순전히 개인 또는 가사 활동 과정에서 행동하는 자연인에게 적용됨
이 DPA는 고객이 수락한 날부터 KS 서비스가 완전히 종료될 때까지 유효합니다. 이 DPA의 목적을 위해 KS 서비스는 다음 날짜 중 빠른 날짜에 확실히 종료된 것으로 간주됩니다.
- 때때로 적용될 수 있는 일반 조건(즉, 고객이 KS 서비스를 갱신하지 않는 경우)에 따라 KS 서비스의 기간이 종료되고 고객이 Salto에 더 이상 연장하지 않겠다는 의사를 명시적으로 통지한 경우 향후 더 이상 KS 서비스를 갱신하거나,
- 수시로 적용될 수 있는 일반 약관에 따라 KS 서비스 기간이 종료되고(즉, 고객이 KS 서비스를 갱신하지 않은 경우), 고객이 갱신하지 않고 6개월의 기간이 경과한 경우 KS 서비스 기간.
이 DPA에는 제공되는 서비스에 대한 자세한 설명이 포함되어 있습니다. Salto가 수행할 데이터 처리 활동은 고객이 고용한 서비스를 제공하는 데 꼭 필요한 활동일 뿐입니다.
Salto는 고객이 고용한 서비스를 제공하기 위해서만 개인 데이터를 처리할 수 있습니다. 이러한 의미에서 Salto는 GDPR(일반 데이터 보호 규정) 28조에 명시된 의무를 준수해야 합니다. 구체적으로 GDPR에 의해 부과된 다른 의무를 침해하지 않고 데이터 처리자로서 Salto는 다음 의무를 준수해야 합니다.
- 처리의 개인 데이터 문제는 플랫폼, KS 서비스 및 기술 지원 서비스를 제공하기 위한 목적으로만 고객의 지시에 따라 사용합니다.
- 고객이 명시적으로 승인하지 않는 한 개인 데이터를 제3자에게 전달하지 마십시오.
- 이 DPA의 기간이 만료된 후에도 서비스 제공을 위해 Salto가 액세스한 개인 데이터에 대한 비밀을 유지하십시오.
- Salto가 개인 데이터 침해를 인지하고 있으므로 플랫폼에서 고객이 지정한 이메일 주소와 사건의 문서화 및 커뮤니케이션을 위한 모든 관련 정보를 통해 과도한 지체 없이 고객에게 알립니다.
- GDPR 32조에 따라 적절한 보안 조치를 구현하는 개인 데이터를 처리하고 액세스 권한이 있는 개인 데이터의 기밀성, 비밀성 및 무결성을 보장하기 위해 필요한 기술적 및 조직적 보안 조치를 준수하고 채택합니다. .
- KS 서비스가 확정되면 Salto는 개인 데이터 및 해당하는 경우 해당 개인 데이터를 포함하는 모든 사본, 문서 또는 지원 자료를 파기합니다. 어떠한 경우에도 Salto는 합의된 서비스의 실행으로 인해 발생하는 책임의 시효 기간 동안 차단된 개인 데이터의 사본을 저장할 수 있습니다. 이 경우 Salto는 언급된 처방 기간 동안 공공 행정, 판사 및 법원에 데이터를 제공해야 하는 경우가 아니면 이러한 데이터를 처리하지 않을 것임을 보증합니다.
고객은 개인 데이터 처리를 위해 다른 데이터 처리자를 고용할 수 있는 일반적인 권한을 Salto에 부여합니다.
또한, 그러한 하위 프로세서가 다른 하위 프로세서에 하도급할 수 있도록 일반 권한도 부여합니다.
고객은 자신이 법적 연령이며 플랫폼에 따라 데이터의 개인 데이터를 업로드하고(특히 어린이의 개인 데이터에 관한 특정 동의를 포함하여) Salto에 대한 액세스 권한을 부여할 정당한 권한이 있음을 선언합니다. 이 DPA의 조항에 따라 처리하기 위한 이러한 개인 데이터.
Salto는 데이터 보호 책임자를 임명했음을 명시적으로 확인합니다. 이를 위해 고객이 연락을 원하는 경우 다음 이메일 주소를 통해 연락할 수 있습니다. privacy@saltosystems.com
이 DPA의 프레임워크 내에서 고객에게 전송될 모든 커뮤니케이션은 플랫폼을 통해, 플랫폼을 통해, Salto KS의 모바일 앱을 통해 또는 플랫폼에 표시된 시스템 소유자의 주소로 영수증.
Salto가 플랫폼, KS 서비스 및 기술 지원 서비스를 제공할 수 있도록 하기 위해 고객은 Salto가 서비스를 제공할 수 있도록 필요한 데이터를 Salto에 제공하는 것을 수락하고 보장합니다. 본 DPA의 각 당사자는 이에 따른 의무 위반으로 인해 발생할 수 있는 직접적인 손해에 대해 책임을 지며, 이 경우 그러한 위반으로 인해 다른 당사자에게 발생할 수 있는 손해에 대한 배상을 부담해야 합니다. 본 DPA에 따라 상대방에 대한 일방 당사자의 총 최대 책임은 때때로 적용될 수 있는 일반 조건에 동의한 사건당 최대 책임으로 제한됩니다.
이 DPA의 당사자는 DPA의 해석 및/또는 이행과 관련하여 발생할 수 있는 모든 차이점이나 불일치가 스페인 법률에 따라 Salto HQ가 등록된 사무소가 있는 관할 법원에서 해결하고 명시적으로 이에 해당할 수 있는 기타 관할권을 포기합니다.
섹션 B: 순전히 개인 또는 가계 활동 과정에서 활동하지 않는 법인 및 자연인에 적용됨
1. DPA의 주제
1.1. 이 DPA의 주제는 데이터 처리자로서 Salto HQ와 Salto 자회사가 데이터 컨트롤러를 대신하여 당사자를 구속하는 주요 계약 관계 전반에 걸쳐 지침에 따라 수행하는 데이터 처리입니다. GDPR 28조 및 29조 및 해당 데이터 보호 현지법에 규정된 의무.
1.2. 개인 데이터. 서비스 수행을 위해 데이터 컨트롤러는 데이터 프로세서가 다음 범주와 관련된 개인 데이터와 데이터 주체 이름 및 성, 이메일, 휴대전화번호, 국가, 사용자 사진(선택 사항), 주소(선택 사항) 및 시스템 소유자가 생성한 사용자의 언어(선택 사항)(이하 개인 데이터” )를 제공합니다.
1.3. 데이터 처리. 데이터 처리는 다음으로 구성됩니다:
a. KS 서비스를 제공하고 플랫폼을 유지하며 기술 지원 서비스를 제공하기 위해 Salto 본사가 고객이 플랫폼에 업로드한 개인 데이터와 그러한 데이터를 포함하는 데이터베이스에 대한 호스팅 및 액세스(“처리 1”).
b. 고객의 요청에 따라 기술 지원 서비스를 제공하기 위해 Salto의 자회사가 개인 데이터를 포함하는 데이터베이스의 전체 또는 일부에 액세스(“처리 2”).
1.4. 존속기간. 이 DPA는 고객이 수락한 날부터 KS 서비스가 완전히 종료될 때까지 유효합니다. 이 DPA의 목적을 위해 KS 서비스는 다음 날짜 중 빠른 날짜에 확실히 종료된 것으로 간주됩니다:
ㅏ. KS 서비스 기간이 수시로 적용될 수 있는 일반 조건에 따라 종료되고(즉, 데이터 컨트롤러가 KS 서비스를 갱신하지 않는 경우) 데이터 컨트롤러가 데이터 프로세서에 서면으로 명시적으로 통지한 경우 향후 KS 서비스를 더 이상 갱신하지 않을 의향
더 이상 또는;
비. KS 서비스 기간이 수시로 적용될 수 있는 일반 조건에 따라 종료되고(즉, 데이터 컨트롤러가 KS 서비스를 갱신하지 않는 경우) 데이터 컨트롤러 없이 6개월의 기간이 경과한 경우 KS 서비스의 기간을 갱신했습니다. 당사자는 기술 지원 서비스의 종료 및 KS 서비스의 명확한 종료 시 개인 데이터의 파기에 대해 2.5항의 규정이 적용된다는 데 동의합니다.
2. 데이터 프로세서의 의무
2.1. 일반 의무. 각 데이터 프로세서는 다음 의무를 지닙니다:
2.1.1. 처리의 개인 데이터 주제와 데이터 처리자가 수집할 수 있는 데이터를 서비스 수행에 필요한 경우에만 그리고 수시로 적용될 수 있는 일반 조건의 조항에 따라 사용하십시오. . 어떤 경우에도 개인 데이터는 데이터 처리자가 자체 목적으로 사용할 수 없습니다.
2.1.2. 데이터 처리자 또는 그 직원이 GDPR 또는 기타 해당 데이터 보호 현지 법률을 위반하고 있음을 발견하면 데이터 컨트롤러에 즉시 알립니다.
2.1.3. 데이터 컨트롤러의 지침에 따라 개인 데이터를 처리하십시오. 이 지침은 다음 이메일 주소로 서면으로 전송되어야 합니다: privacy@saltosystems.com.
데이터 프로세서가 데이터 컨트롤러의 지시가 EEA 또는 EEA 회원국의 데이터 보호 측면에서 법적 조항을 위반한다고 생각하는 경우 데이터 컨트롤러에 즉시 서면으로 알려야 합니다. 입증된 위반이 발생한 경우 데이터 프로세서는 해당 명령의 허용 가능성이 명확해질 때까지 해당 명령의 실행을 일시 중지할 수 있습니다.
2.1.4. 자신을 대리하거나 데이터 컨트롤러를 대신하여 행동하고 개인 데이터에 액세스할 수 있는 사람이 EEA의 법적 규정을 준수해야 하는 경우가 아니면 데이터 컨트롤러의 지침에 따라서만 해당 데이터를 처리하도록 합니다. EEA 또는 기타 적용 가능한 법률의 모든 회원국.
2.1.5. GDPR 32조에 따라 기술적 및 조직적 보안 조치를 구현합니다. 이를 위해 데이터 처리자는 서비스를 제공하는 데 사용되는 수단(기술, 자원 등) 및 보안에 영향을 미칠 수 있는 기타 상황.
2.1.6. 데이터 컨트롤러가 GDPR 32~36조 또는 해당 지역 데이터 보호에 따라 처리 보안, 해당 감독 기관 및 영향을 받는 데이터 주체에 대한 개인 데이터 침해 통지, 데이터 보호 영향 평가 및 사전 협의와 관련된 의무를 준수하도록 지원합니다. 처리의 성격과 데이터 프로세서가 사용할 수 있는 정보를 고려한 규정.
이 DPA에 따라 고객에게 통지해야 하는 통지는 플랫폼에 등록된 시스템 소유자의 이메일 주소로 이루어집니다. 고객은 해당 이메일 주소가 최신 상태이고 유효한지 확인할 전적인 책임이 있습니다.
2.1.7. 필요한 경우 GDPR 30조에 따라 데이터 컨트롤러를 대신하여 처리 활동 기록을 유지합니다.
2.1.8. 데이터 컨트롤러에게 의무 준수를 입증하는 데 필요한 모든 정보를 제공합니다. 당사자는 데이터 처리자가 법적 의무 준수를 인증하는 조건에 서로 동의해야 합니다.
데이터 컨트롤러의 요청 시 데이터 프로세서는 본 DPA, 받은 지침, EEA 또는 다음 중 어느 하나의 보호에 관한 법적 조항에 따라 기술 및 조직적 조치를 구현했다는 적절한 증거를 데이터 컨트롤러에 제공합니다. EEA 회원국.
2.1.9. 데이터 컨트롤러 또는 데이터 컨트롤러가 위임한 다른 감사자가 수행하는 감사를 포함하여 감사를 허용하고 이에 기여합니다.
2.1.10. 본 DPA 기간이 만료된 후에도 서비스 제공을 위해 데이터 처리자가 액세스한 개인 데이터에 대한 비밀을 유지하십시오. 데이터 프로세서는 수신되거나 데이터 프로세서가 서비스 제공의 결과로 알게 된 데이터, 문서 및 정보와 관련하여 가장 엄격한 비밀과 기밀을 유지하고 무단 사용 또는 무단 제3자로부터 이를 보호할 것을 약속합니다. 당사자의 검사.
데이터 프로세서는 권한이 없는 제3자가 해당 기밀 데이터, 문서 및 정보와 서비스 내에서 수행된 작업 결과에 액세스하거나 이를 검사한 경우 데이터 컨트롤러에 즉시 서면으로 알립니다. 이러한 경우 데이터 프로세서는 해당 제3자의 이름도 데이터 컨트롤러에 전달합니다.
2.1.11. 개인 데이터에 대한 액세스는 기밀 유지를 약속했거나 기밀 유지에 대한 적절한 법적 의무가 있고 업무의 성격상 서비스 제공에 엄격하게 필요한 직원 또는 협력자에게만 허용됩니다. .
데이터 프로세서는 승인된 직원이 개인 데이터 보호에 관해 정식으로 교육을 받았고 정보 처리 활동의 유형 및 목적에 적합한 보안 조치를 준수하기로 명시적 및 서면으로 동의했으며 이에 대해 알 수 있음을 보증합니다.
2.1.12. 서비스를 제공하기 위해 Salto는 개인 데이터를 처리할 EEA 외부에 위치한 일부 제3자 서비스 제공자를 고용할 수 있습니다. 이 경우 Salto는 제공자가 구속력 있는 계약에 설정된 개인 데이터를 보호하기 위해 고안된 조치를 준수하도록 요구해야 합니다. 단, 유럽 집행위원회가 수령인이 위치한 국가가 적절한 수준의 보호를 제공한다고 결정한 경우는 예외입니다.
2.2. 아웃소싱
2.2.1. 데이터 컨트롤러는 개인 데이터 처리를 위해 다른 데이터 프로세서를 고용할 수 있는 일반적인 권한을 데이터 프로세서에 부여합니다. 또한, 그러한 하위 데이터 프로세서가 다른 하위 데이터 프로세서와도 하청 계약할 수 있도록 일반 권한을 부여합니다. 현재 개인 데이터 처리에 참여하고 있는 하위 데이터 프로세서는 부록 1에 포함되어 있습니다. 데이터 프로세서가 다른 회사와 계약을 맺은 경우 데이터 프로세서는 해당 부록을 업데이트할 필요 없이 해당 통지 시점에 해당 부록에 자동으로 포함된 것으로 간주되는 데이터 컨트롤러에게 알려야 합니다.
2.2.2. 데이터 프로세서가 데이터 컨트롤러를 대신하여 특정 처리 활동을 수행하기 위해 다른 데이터 프로세서를 고용하는 경우 데이터 프로세서는 이 DPA에서 예상하는 조건에 따라 하위 데이터 처리 계약에 서명해야 합니다.
2.2.3. 하위 데이터 프로세서는 데이터 프로세서로 간주되며 데이터 컨트롤러의 지시와 본 DPA의 조항 외에는 개인 데이터를 처리하지 않습니다. 데이터 처리자는 새로운 계약 관계를 규제하여 동일한 데이터 보호 의무(지시, 보안 조치, 의무 등)와 데이터 처리 및 데이터 주체의 권리와 자유에 관한 동일한 공식 요구 사항이 하위 데이터 처리자에 의해 충족되도록 해야 합니다. .
2.3. 권리 행사
2.3.1. 데이터 주체가 데이터 프로세서에 대해 액세스, 수정, 삭제, 자동화된 처리, 처리 제한, 이의 제기 및 데이터 이동성에 기반한 결정의 대상이 되지 않을 권리를 행사하는 경우 데이터 프로세서는 데이터 컨트롤러에 통지해야 합니다. 플랫폼에 포함된 주소로 전자 메일을 통해 그러한 상황. 데이터 처리자는 처리의 성격을 고려하여 가능한 한 적절한 기술 및 조직적 조치를 통해 데이터 컨트롤러를 지원하여 다음에서 부여된 데이터 주체의 권리 행사 요청에 응답할 데이터 컨트롤러의 의무를 이행해야 합니다. GDPR 또는 해당 지역 데이터 보호 규정의 III장.
2.3.2. 특히 플랫폼에는 데이터 주체가 플랫폼 계정을 삭제할 수 있는 옵션이 포함될 수 있습니다. 이러한 경우 데이터 컨트롤러는 데이터 주체의 요청과 해당 사용자 프로필 및 관련 데이터가 플랫폼에서 변경 불가능하게 삭제되거나 익명으로 처리되는 날짜에 대해 이메일 또는 플랫폼 계정으로 전송된 알림을 통해 통지를 받아야 합니다. 데이터 컨트롤러는 데이터 컨트롤러의 데이터 보존 기간을 준수하기 위해 앞서 언급한 날짜 이전에 플랫폼에서 데이터를 다운로드할 수 있는 권한이 있습니다.
2.4. 보안 조치
2.4.1. 식별된 데이터 처리 활동에 따라 그리고 데이터 프로세서가 수행한 위험 분석에 따라 데이터 프로세서는 GDPR 32조에 따라 적절한 보안 조치를 시행할 것을 약속합니다.
2.4.2. 당사자는 이 DPA의 부록에서 당사자가 구현하고 합의한 보안 조치를 지정하기로 결정할 수 있습니다.
2.5. 서비스 종료
2.5.1. 처리 1과 관련하여: KS 서비스의 명확한 종료 시(본 DPA의 1.4절 조항에 따름) 데이터 프로세서는 개인 데이터 및 해당되는 경우 그러한 개인 데이터를 포함하는 모든 사본, 문서 또는 지원 자료를 파기합니다. 따라서, 때때로 적용될 수 있는 일반 조건에 따라 KS 서비스 기간이 종료될 때(즉, 데이터 컨트롤러가 KS 서비스를 갱신하지 않는 경 우), 데이터 컨트롤러가 서면으로 달리 명시하지 않는 한, 데이터 프로세서는 고객이 KS 서비스를 재개시할 경우 빠른 개시를 위해 6개월 동안 데이터베이스와 여기에 포함된 개인 데이터를 유지합니다.
데이터 컨트롤러가 KS 서비스를 다시 활성화하지 않고 이러한 6개월이 경과하거나 데이터 컨트롤러가 더 일찍 서면으로 명시적으로 요구한 경우 KS 서비스는 확실히 종료된 것으로 간주되며 데이터 프로세서는 개인 데이터를 파기해야 합니다. 해당하는 경우 해당 개인 데이터가 포함된 모든 사본, 문서 또는 지원 자료.
어떤 경우에도 데이터 처리자는 합의된 서비스의 실행으로 인해 발생하는 책임의 시효 기간 동안 차단된 개인 데이터의 사본을 저장할 수 있습니다. 이 경우 데이터 프로세서는 데이터 프로세서가 언급된 처방 기간 동안 공공 행정, 판사 및 법원에 데이터를 제공하도록 요구되지 않는 한 데이터를 처리하지 않을 것임을 보증합니다.
2.5.2. 처리 2와 관련하여: 각 구체적인 기술 지원 서비스 이행 시(즉, 기술 지원 서비스가 제공되어야 했던 구체적인 사건을 해결한 후), Salto는 부당한 지체 없이(달력일 기준 삼(3) 일 이내에), 개인 데이터 또는 그러한 개인 데이터에 접근하기 위해 제공된 일체의 암호, 그리고 해당하는 경우 그러한 개인 데이터를 포함하는 일체의 사본, 문서 또는 지원 자료를 파기해야 합니다.
2.6. 개인 데이터 위반
2.6.1 개인 데이터 위반의 경우 데이터 프로세서는 데이터 컨트롤러에게 사건의 문서화 및 전달을 위한 모든 관련 정보와 함께 플랫폼에서 데이터 컨트롤러가 지정한 이메일 주소를 통해 통지해야 합니다.
2.7. 데이터 보호 책임자
2.7.1. 데이터 처리자는 데이터 보호 책임자를 임명했음을 명시적으로 확인합니다. 이를 위해 고객이 연락을 원할 경우 다음 이메일 주소를 통해 연락할 수 있습니다. privacy@saltosystems.com
2.7.2. 데이터 프로세서의 데이터 보호 담당자는 모든 관련 EEA 또는 EEA 회원국 데이터 보호 조항이 데이터 프로세서에서 준수되고 데이터 프로세서와 데이터 컨트롤러 간의 계약 관계와 관련하여 수행되도록 제한 없이 보장해야 합니다.
2.7.3. 데이터 보호 담당자가 데이터 프로세서에서 해당 연결의 이상을 감지해야 하는 경우 지체 없이 데이터 컨트롤러에게 서면으로 알려야 합니다. 이러한 경우 데이터 처리자의 데이터 보호 담당자는 데이터 컨트롤러에 대한 비밀 유지 의무에서 명시적으로 면제됩니다.
3. 데이터 컨트롤러의 의무.
데이터 컨트롤러가 EEA에 있는 경우 다음을 수락하고 보장합니다.
3.1. 데이터 프로세서가 서비스를 제공할 수 있도록 필요한 데이터를 제공합니다.
3.2. 개인 데이터 처리에 대해 GDPR에 명시된 모든 의무를 준수하고 처리 전과 처리 전반에 걸쳐 데이터 컨트롤러가 GDPR을 완전히 준수하도록 합니다. 무엇보다도 데이터 컨트롤러는 플랫폼에 개인 데이터를 업로드하기 전에 및/또는 데이터 처리자에게 개인 데이터에 대한 액세스 권한을 부여하기 전에 법적 형식 및 요구 사항을 충족하고 모든 정보를 획득할 것임을 선언합니다. 개인 데이터 수집(해당되는 경우 아동의 개인 데이터 처리에 필요한 특정 동의 포함) 및 해당 개인 데이터에 대한 데이터 프로세서 액세스 권한 부여에 대해 해당 법률에 따라 요구되는 동의 이 DPA의 조항에 따라 데이터 처리자가 이러한 개인 데이터를 처리합니다.
3.3. 개인 데이터 처리를 감독합니다.
데이터 컨트롤러가 EEA 외부에 있는 경우 동일하게 다음을 수락하고 보장합니다.
3.4. 데이터 프로세서가 서비스를 제공할 수 있도록 필요한 데이터를 제공합니다.
3.5. 해당 데이터 보호 법률에 명시된 모든 의무를 준수합니다. 무엇보다도 데이터 컨트롤러는 플랫폼에 개인 데이터를 업로드하기 전에 및/또는 데이터 처리자에게 개인 데이터에 대한 액세스 권한을 부여하기 전에 법적 형식 및 요구 사항을 충족하고 모든 정보를 획득할 것임을 선언합니다. 개인 데이터 수집(해당되는 경우 아동 개인 데이터 처리에 필요한 특정 동의 포함), 데이터 처리자에게 해당 개인 데이터에 대한 액세스 권한 부여 및 이 DPA의 조항에 따라 데이터 처리자가 이러한 개인 데이터를 처리합니다.
3.6. 개인 데이터 처리를 감독합니다.
4. 책임
이 DPA의 각 당사자는 이에 따라 수행된 의무의 위반으로 인해 발생할 수 있는 직접적인 손해에 대해 책임을 지며, 이 경우 그러한 불이행으로 인해 다른 당사자에게 발생할 수 있는 손해에 대한 배상을 부담해야 합니다. 본 DPA에 따라 상대방에 대한 일방 당사자의 총 최대 책임은 때때로 적용될 수 있는 일반 조건에 동의한 사건당 최대 책임으로 제한됩니다.
5. 기타
5.1. 이 DPA의 모든 변경 및 추가 사항은 당사자들이 수락하고 서면으로 작성해야 효력이 발생합니다.
5.2. 이 DPA는 통합되어 일반 조건을 보완합니다. 또한, 이 DPA(있는 경우)의 내용에 위배되거나 상충되는 일반 조건의 조항을 부분적으로 수정하고 대체합니다. 의심의 여지를 없애기 위해 일반 조건의 나머지 조항은 계속 유효합니다.
5.3. 이 DPA의 프레임워크 내에서 데이터 프로세서와 데이터 컨트롤러 간에 전송되는 모든 통신은 다음 규칙에 따라 이루어져야 합니다:
a. Salto HQ 또는 Salto 자회사로 보내는 경우: 이메일 주소 privacy@saltosystems.com으로 이메일을 보내거나 수신 확인과 함께 다음 주소로 편지를 보내야 합니다.
SALTO SYSTEMS, S.L.(수신: 데이터 보호 책임자)
Arkotz 9, Polígono Lanbarren
Oiartzun (Gipuzkoa-Spain)
b. 고객에게 보내는 경우: 플랫폼에 표시된 시스템 소유자의 이메일 주소로 이메일, 플랫폼을 통해, Salto KS 모바일 앱을 통해 또는 시스템 소유자의 주소로 수신 확인서와 함께 서신으로 발송됩니다. 플랫폼에 표시됩니다.
예외적으로 기술 지원 서비스 제공과 관련하여 보내야 할 특정 커뮤니케이션은 문제를 해결하는 특정 직원에게 전달될 수 있습니다.
6. 준거법 및 관할권
6.1. 이 DPA의 당사자들은 DPA의 해석 및/또 는 이행과 관련하여 발생할 수 있는 모든 차이점이나 불일치가 스페인 법률에 따라 Salto 본사가 등록된 사무소가 있는 관할 법원에서 해결하고 이에 해당할 수 있는 기타 관할권을 명시적으로 포기하기로 상호 동의합니다.
부록 1: 개인 데이터 하위 처리자
본 문서의 DPA 2.2.1조에 따라 데이터 프로세서는 데이터 컨트롤러를 대신하여 개인 데이터 처리에 관여하는 회사가 날짜 기준으로 다음과 같다고 선언하고 데이터 컨트롤러가 인정하고 수락합니다.
처리 1:
- Clay Solutions, BV(Salto Group 회사).
- Clay Solutions, BV는 플랫폼 호스팅을 Microsoft Ireland Operations Limited 및 Qweb Internet Services BV에 하도급합니다.
- Qweb Internet Services BV는 플랫폼 호스팅을 Dataplace BV에 하청 계약합니다.
처리 2:
- Salto 본사.
- Clay Solutions, BV(Salto Group 회사).
4. Limitation of liability
4.1. Each Party’s liability is subject to the Liability section in Salto’s Terms of Service, as permitted by applicable law.
5. Relationship of the Parties
5.1. To the extent Salto has access to User Data, Salto will process it as Processor, whereas the Client may act as Controller or Processor of the User Data. When the Client acts as Processor, Salto will be sub-Processor.
5.2. Notwithstanding the foregoing, Salto will act as Controller with regards to Client Account Data and other specific data as detailed for each type of Services in the Privacy Policy. This Processing shall be done in accordance to and as informed in the Privacy Policy.
6. Salto as Processor
6.1. Purpose of the Processing: The Personal Data processed by Salto on behalf of the Client shall be processed only to carry out the provision of the Services in accordance with the Agreement, which may entail, where requested by the Client in accordance to the Terms of Service, technical support activities. Where the Processor deems necessary to process Personal Data for a different purpose, it shall obtain the previous written authorisation from the Client. Where such authorisation is not obtained, the processing shall not take place.
6.2. Description of the Processing: Salto will process Personal Data in accordance to the specifications included as Schedule 1, including the nature and purpose of the Processing, the Processing activities, the duration of the Processing, the types of Personal Data and categories of Data Subjects.
6.3. Obligations of the Client: Client is responsible for ensuring that it complies with Applicable Data Protection Law in its use of the Services and its own Processing of Personal Data, and that it has the right to provide access to Personal Data to Salto for Processing in accordance with the Agreement and this DPA. Client is responsible for the accuracy of the Personal Data provided to Salto.
6.4. Client’s instructions: The Processor undertakes to process User Data in accordance with Client’s instructions as set forth in the Agreement, and as otherwise necessary to provide the Services to Client, and where it is required to do so to comply with applicable law. Additional instructions outside the abovementioned shall be agreed by the Parties in writing. The Client shall ensure Salto that any Processing carried out under its instructions is compliant with applicable laws and regulations. Salto undertakes to inform Client if it becomes aware or reasonably believes that the instructions given by Client infringe applicable laws.
6.5. Confidentiality: Salto ensures that its employees engaged in the Processing of User Data under the Agreement are informed and are bound by confidentiality obligations.
6.6. Security measures: Salto guarantees the implementation of appropriate technical and organisational measures in order to achieve a level of security adequate to the risk, taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing.
In assessing the appropriate level of security, Salto takes into account the risks that are presented by the Processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to Personal Data transmitted, stored or otherwise processed, or unauthorised communication or access to said data.
Schedule 2 includes additional information about Salto’s technical and organisational security measures to protect User Data.
6.7. Subcontracting: The Client expressly authorises to Salto to subcontract the companies which form part of Salto’s Group and in this respect to provide them with access to the Personal Data as needed for the rendering of all or part of the Services, including maintenance and technical support services under Client’s request.
Additionally, the Client expressly authorises the Processor to engage onward sub-processors (hereinafter, “Sub-processors”), subject to the following provisions:
- Salto has a list of its Sub-processors available here. Salto shall keep this list updated, and include any new Sub-processor at least thirty (30) days before engaging with it. Salto may provide Client with a mechanism to subscribe to notifications of new Sub-processors. The Client may reasonably object to any new Sub-processor in the thirty (30) days period from the update of the list. In the event that the Client reasonably objects to a new Sub-processor, either Client or Salto may terminate the portion of the Agreement related to the Services that are not possibly provided without the objected-to new Sub-processor.
- Salto undertakes that all Sub-processors are contractually bound by the same or equivalent data protection obligations as those established in this DPA for the Processor.
- Salto shall remain fully liable to the Client for the performance of the Sub-processor's obligations.
6.8. Data Subject Rights: Taking into account the nature of the processing, Salto will assist the Client by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the Client’s obligation to respond to requests for exercising the data subject's data protection rights. In the event that a Data Subject makes a request directly to Salto in relation to User Data, Salto will forward it without undue delay to the Client to the email address registered in the Platform.
6.9. Assistance: Taking into account the nature of processing and the information available to Salto, Salto shall provide reasonable cooperation to the Client in relation to related data protection impact assessments, and consultations with Supervisory Authorities required in compliance with data protection regulations.
6.10. Return or deletion of User Data: Salto shall delete or return all the Personal Data processed on its behalf to the Client, at the choice of the latter, after the end of the provision of Services, and delete all existing copies unless storage of the personal data is required by law. As part of the Services, once the term of the provision of the services consisting of electronic locking solutions for doors and access controls has elapsed, Salto will keep the Personal Data blocked for a period of one (1) month in order to enable reactivation of said services.
6.11. Audits: Salto will, upon the Client’s request and at its expense, make available at reasonable intervals and in no event more than once (1) every year, the information necessary to demonstrate compliance with applicable data protection obligations, as well as allow for audits. Client shall provide Salto with at least two (2) months’ prior written notice of any intended audit. This audit may be conducted either by Client or by an independent auditor appointed by Client bound by reasonable confidentiality restrictions, which in no event shall be, or shall act on behalf of, a competitor of Salto. The scope of the audit shall be limited to Salto’s systems, processes, and documentation relevant to the Processing on behalf of the Client, and the reports and results of the audit will be confidential information of Salto. Upon the end of the audit, the Client shall inform Salto of any perceived non-compliance or security concerns detected in the audit.
6.12. Security Incident: Salto undertakes to notify the Client, via email to email address registered in the Platform by the Client, without undue delay after becoming aware of any unauthorized or unlawful access to, or acquisition, alteration, use, disclosure, or destruction of User Data (hereinafter, “Security Incident”). Salto will provide reasonable assistance to Client in the event that Client is required under Applicable Data Protection Law to notify a regulatory authority or any data subjects impacted by a Security Incident.
6.13. Transfers of Personal Data: In certain cases, the Processing of personal data may be carried out outside the European Economic Area (EEA), in particular:
- When the Client is accessing to the Platform from a country located out of the EEA;
- When the Client is subscribed to 24/7 technical support services, which implies that technicians located in some countries located out of the EEA are involved in the incident resolution; and
- In relation to the processing carried out the by Sub-processors identified below.
In the case mentioned above, transfers of User Data from the EEA to outside the EEA (either directly or via onward transfer) will be done on the basis of adequacy decisions by the European Commission. To the extent that the territories to where the User Data is transferred do not have adequate standards of data protection as determined by the European Commission, the Parties agree that the Standard Contractual Clauses will apply and will be deemed entered into (and incorporated into this DPA by this reference) and completed as indicated hereafter:
(i) Module Three (Processor to Processor) of the SCC will apply where Client is a processor of User Data outside the EEA, and Salto acts as sub-processor and processes User Data in the EEA.
(ii) Module Four (Processor to Controller) of the SCC will apply where Client processes as Controller User Data outside the EEA, and Salto is a processor which processes User Data in the EEA.
In relation to each Module of the Standard Contractual Clauses, where applicable:
- Clause 7: the optional docking clause will not apply.
- Clause 9: Option 2 shall apply, with the notice period established under Clause 6.7 to this DPA.
- Clause 11: the optional section regarding the lodging of complaints with independent resolution bodies by data subjects shall not apply;
- Clause 17: Option 1 will apply, and the Standard Contractual Clauses will be governed by Spanish law;
- Clause 18 (b): any dispute arising from the Standard Contractual Clauses shall be resolved before the courts of Spain;
- Annex I, Part A:
- Data Exporter: Salto.
- Contact details: privacy@saltosystems.com
- Data Exporter Role: The Data Exporter’s role is set forth in Section 4 (Relationship of the Parties) of this DPA.
- Signature and Date: By entering into the Agreement, Data Exporter is deemed to have signed these SCC incorporated herein, including their Annexes, as of the date of acceptance of the Agreement.
- Data Importer: Client
- Contact details: The email address provided by the Client to sign up to the Service will be considered the contact email to this effect.
- Data Importer Role: The Data Importer’s role is set forth in Section 2 of this DPA.
- Signature and Date: By entering into the Agreement, Data Importer is deemed to have signed these SCC incorporated herein, including their Annexes, as of the Effective Date of the Agreement.
- Annex I, Part B:
- The categories of data subject, sensitive data transferred, nature of the processing, purpose of the processing, and the period for which the personal data will be retained are described in Schedule 1 of this DPA.
- The frequency of the transfer is on a continuous basis for the duration of the Agreement for the provision of the services consisting of electronic locking solutions for doors and access controls, and for maintenance and technical support services the transfer is on a one-off basis.
- Transfers to sub-processors, the subject matter, nature, and duration of the processing are listed at https://saltosystems.com/en/legal-data/software-terms/access-control-cloud-applications/list-of-sub-pocessors/.
- Annex I, Part C: The Spanish Data Protection authority (Agencia Española de Protección de Datos) will be the competent supervisory authority.
- Annex II: Schedule 2 of this DPA.
The Client agrees to notify Salto if it receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to the SCC. Such notification must be done at least 48 hours in advance, and in any event before any disclosure takes place, and it shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided.
In the event of any conflict between the Standard Contractual Clauses, and any other terms in the Agreement, or the Privacy Policy, the provisions of the Standard Contractual Clauses will prevail.
6.14. Jurisdiction Specific Terms: To the extent Salto processes Personal Data originating from and protected by Applicable Data Protection Law in one of the jurisdictions listed in Schedule 3 of this DPA, the terms specified in this Schedule 3 with respect to the applicable jurisdiction(s) will apply in addition to the terms of this DPA.
SCHEDULE 1 | Details of Processing
A. Access Control Cloud Applications
- Nature and Purpose of the Processing
Salto will process personal data as necessary to provide the Services under the Agreement. In this sense, Salto will process User Data as Processor pursuant the Client’s instructions as foreseen in Section 6.4 of this DPA.
Specifically, when the Client contracts Access Control Cloud Applications, Salto will process personal data with the following purposes:
- For the enrolment of the end user in the application.
- To carry out the access control services (including by means of facial recognition technologies if the functionalities of Salto XS4 Face has been contracted).To provide the necessary maintenance and technical support services.
- When the Client is using the Services via a Third Party’s Platform and/or has activated the integration between the Platform and the Third Party’s Platform, for receiving and transmitting the User Data from and to the Third Party’s Platform.
- If the Client uses the Services via a Third Party’s Platform and/or has activated the integration between the Platform and the Third Party’s Platform, to receive and transmit the User Data to and from the Third Party’s Platform.
- Processing Activities
Collection, recording, conservation, transmission to the Client and erasure or destruction of personal data, to the extent necessary for the adequate provision of the Services.
If the Client uses the Services via a Third Party’s Platform and/or has activated the integration between the Platform and the Third Party’s Platform, the processing activities will also include the transmission and collection of the User Data to and from the Third Party’s Platform. In this case, the Client acknowledges that the provider of the Third Party’s Platform will act as an unaffiliated, independent service provider and data processor processing the User Data on behalf of the Client and following its instructions. For the avoidance of doubt, Salto is not responsible for the privacy, security or integrity of such data processed within the Third Party’s Platform. This data communication is done by Salto on behalf of the Client, which is responsible of complying with the applicable legal requirements of the processing as Controller or Processor.
- Duration of the Processing
Salto will process User Data on behalf of Client for the duration of the Services as established in the Agreement. As part of the Services, once the term of the provision of the services consisting of electronic locking solutions for doors and access controls has elapsed, Salto will keep the Personal Data blocked for a period of one (1) month in order to enable reactivation of said services.
With regard to the provision of maintenance and technical support services, the User Data that may be accessed by Salto will only be processed for the time necessary to solve the issue.
Once the Agreement has terminated, Salto may retain a copy of the Personal Data duly blocked for the period of prescription of related infractions. Once this period has elapsed, Salto will erase all copies of the Personal Data.
- Categories of Data Subjects
User Data: Client’s end users.
- Categories of Personal Data
- Identification data
- Contact details
- Access permits
- Record of access
- Profile picture (optional)
- Sensitive Data or Special Categories of Data
Salto does not process special categories data on behalf of the Client as the processing related to facial recognition, if any, takes place locally (without Salto’s involvement in the processing).
B. Space System integrated with Salto XS4 Face
-
Nature and Purpose of the Processing
Salto will process personal data as necessary to provide the Services under the Agreement. In this sense, Salto will process User Data as Processor pursuant the Client’s instructions as foreseen in Section 6.4 of this DPA.
Specifically, when the Client contracts Salto XS4 Face for using the facial recognition technology integrated with the Space System, Salto will process personal data with the following purposes:
-
For the management of Client’s Subscriptions and users of the Salto XS4 Face console (i.e. site administrators).
-
For the enrolment of the end user.
-
To provide the necessary maintenance and technical support services.
-
Processing Activities
Collection, use, transmission to the Client and erasure or destruction of personal data, to the extent necessary for the adequate provision of the Services
-
Duration of the Processing
Salto will process User Data on behalf of Client for the duration of the Services as established in the Agreement. As part of the Services, once the term of the provision of the services consisting of access control powered by facial recognition technology has elapsed, SALTO will keep the Personal Data blocked for a period of three (3) months in order to enable reactivation of said services.
With regard to the provision of maintenance and technical support services, the User Data that may be accessed by Salto will only be processed for the time necessary to solve the issue.
Once the Agreement has terminated, Salto may retain a copy of the Personal Data duly blocked for the period of prescription of related infractions. Once this period has elapsed, Salto will erase all copies of the Personal Data.
-
Categories of Data Subjects
User Data: Client’s end users and system administrators.
-
Categories of Personal Data
-
Contact details: email address system administrators and end users.
-
Name of system administrators.
-
Sensitive Data or Special Categories of Data
Salto does not process special categories of data on behalf of the Client as the processing related to facial recognition, if any, takes place locally (without Salto’s involvement in the processing).
SCHEDULE 2 | Technical and Organisational Security Measures
The technical and organisational measures applying are described in the dedicated website section.
SCHEDULE 3 | Jurisdiction Specific Terms
To the extent Salto processes Personal Data originating from and protected by Applicable Data Protection Law in one of the jurisdictions listed in Schedule 3 of this DPA, the terms specified in this Schedule 3 with respect to the applicable jurisdiction(s) will apply in addition to the terms of this DPA.
- California
- The definition of Applicable Data Protection Law includes the California Consumer Privacy Act (CCPA).
- The definition of Personal Data includes “Personal Information” as defined under Applicable Data Protection Law.
- The definition of Data Subject includes “Consumer” as defined under Applicable Data Protection Law. Any data subject rights, as described in Section 6.8 (Data Subject Rights) of this DPA, apply to Consumer rights.
- The definition of Controller includes “Business” as defined under Applicable Data Protection Law.
- The definition of Processor includes “Service Provider” as defined under Applicable Data Protection Law.
- Salto will process, retain, use, and disclose personal data only as necessary to provide the Services under the Agreement, which constitutes a business purpose.
- Salto will not sell User Data.
- Salto will not retain, use, or disclose User Data for any commercial purpose other than the provision of the Services.
- Salto will not retain, use, or disclose User Data outside of the scope of the Agreement.
- Salto certifies that its Sub-processors, as described in Section 6.7 of this DPA, are Service Providers under Applicable Data Protection Law, and that prior to its contracting they are properly evaluated.
- Switzerland
- The definition of Applicable Data Protection Law includes the Federal Act on Data Protection 1992 (FADP).
- The definition of Personal Data includes personal data pertaining to legal entities.
- United Kingdom
- The definition of Applicable Data Protection Law includes UK General Data Protection Regulation (UK GDPR).
- In relation to Section 6.3 of the DPA, where the Controller is established in the UK and Salto transfers User Data from the UK to outside the UK (either directly or via onward transfer) to countries without adequacy regulations, such transfer shall be covered by the SCC together with the being the International Data Transfer Addendum or Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 28 January 2022 (hereinafter, the “IDTA”), which are incorporated to this DPA by reference.
- In relation to the IDTA:
- Tables 1 and 2 are completed with clause 6.13 of this DPA.
- In relation to Table 2, personal data received from the Importer is not combined with personal data collected by the Exporter
- Table 4: The Exporter.
- Australia
- The definition of Applicable Data Protection Law includes the Australian Federal Privacy Act 1988 and Australian Privacy Principles.
Last update: December 2024
© Salto Systems, S.L., 2024. All rights reserved.