Datenverarbeitung Vereinbarung
1. Definitionen
1.1. Vereinbarung bezieht sich auf die standardmäßigen Geschäftsbedingungen, die zwischen Ihnen als "Kunde" und uns als dem Lizenzgeber (wie im Vertrag definiert) abgeschlossen werden.
1.2. Datenschutzgesetzgebung bezieht sich auf alle Datenschutz- und Privatsphäre-Gesetze, die für Sie und/oder uns gelten und die von Zeit zu Zeit in Kraft sind. Dies kann (je nach Anwendbarkeit) Folgendes umfassen:
Die allgemeine Datenschutzverordnung der EU (2016/679) (DSGVO)
Die DSGVO, wie sie in Abschnitt 3(10) (ergänzt durch Abschnitt 205(4)) des DPA 2018 (UK DSGVO) definiert ist
Das Datenschutzgesetz des Vereinigten Königreichs 2018 (DPA 2018)
Kalifornisches Gesetz über den Datenschutz der Verbraucher, Cal. Civ. Code § 1798.100 et seq., und dessen Durchführungsverordnungen, geändert durch das Kalifornische Gesetz über Datenschutzrechte
Virginia Datenschutzgesetz für Verbraucher
Datenschutzgesetz von Colorado
Illinois Biometrisches Informationsschutzgesetz (BIPA)
Gesetz über den Schutz personenbezogener Daten und elektronische Dokumente in Kanada (PIPEDA)
Brasilianisches allgemeines Datenschutzgesetz (LGPD)
Australisches Datenschutzgesetz von 1988 (Cth)
Gesetz über den Schutz persönlicher Daten in Singapur (PDPA)
Japanisches Gesetz über den Schutz persönlicher Informationen (APPI)
Indisches Gesetz über den digitalen Datenschutz
1.3. Controller, betroffene Person, personenbezogene Daten, Verletzung des Schutzes personenbezogener Daten, Auftragsverarbeiter, Verarbeitung/Prozess/Verarbeitet und Aufsichtsbehörde sind wie in der DSGVO definiert.
1.4. Datenübertragungsbestimmungen bezeichnet die standardisierten vertraglichen Klauseln für die Übertragung personenbezogener Daten in Drittländer gemäß der DSGVO, die von der Europäischen Kommission gemäß dem Beschluss der Kommission (EU) 2021/914 (EU SCCs) und dem internationalen Übertragungszusatz des Vereinigten Königreichs zu den EU SCCs (UK Addendum) angenommen wurden.
1.5. FADP steht für das schweizerische Bundesgesetz über den Datenschutz.
1.6. Dienstleistungen bezeichnen die KI-gestützten Video-Interview-Dienstleistungen, die wir Ihnen im Rahmen der Vereinbarung bereitstellen.
1.7. Biometrische Daten bezeichnen personenbezogene Daten, die aus spezifischen technischen Verarbeitungen in Bezug auf physische, physiologische oder Verhaltensmerkmale resultieren, die eine eindeutige Identifizierung ermöglichen, einschließlich Daten zur Gesichtserkennung und Stimmmustern.
2. Beschreibung der Verarbeitung
2.1. Die Parteien erkennen an, dass diese Datenverarbeitungsvereinbarung (DPA) nur für die personenbezogenen Daten gilt, die wir gemäß den Anweisungen unseres Kunden verarbeiten, und im Zusammenhang mit dieser Verarbeitung:
2.1.1.Rollen: Wir handeln als der Auftragsverarbeiter des Kunden bei der Bereitstellung der Dienste;
2.1.2. Kategorien personenbezogener Daten: Bei der Bereitstellung von Dienstleistungen für den Kunden umfassen die Kategorien personenbezogener Daten, die wir verarbeiten:
Kundendaten gemäß der Vereinbarung (einschließlich Name, Telefonnummer, E-Mail-Adresse)
Video- und Audioaufzeichnungen von Interviews
Biometrische Daten einschließlich Gesichtszüge und Sprachmuster
Interviewantworten und Transkripte
Bewertungsergebnisse und Analysen
Andere personenbezogene Daten, die von Personen, die sich um eine Anstellung bei Ihnen bewerben, direkt bereitgestellt werden
Besondere Kategorien personenbezogener Daten (sofern zutreffend), wie z. B. das Alter, die Gesundheit, der Behinderungsstatus, die rassische oder ethnische Herkunft der Betroffenen (nur wenn mit ausdrücklicher Zustimmung erhoben)
2.1.3. Kategorien der betroffenen Personen: Bei der Bereitstellung von Dienstleistungen für Sie gehören die Kategorien der betroffenen Personen, deren personenbezogene Daten wir verarbeiten, zu Mitarbeitern oder Individuen, die sich bei Ihnen um eine Anstellung bewerben (Bewerber); und
2.1.4. Art und Zwecke der Verarbeitung: Die Verarbeitung erfolgt, um uns zu ermöglichen, die Dienstleistungen während der Laufzeit des Vertrags bereitzustellen, nämlich um:
i. Führen Sie KI-gestützte Videointerviews mit Kandidaten durch
ii. Aufzeichnen, speichern und analysieren Sie Videointerview-Sitzungen
iii. Verarbeiten von biometrischen Daten zur Identitätsüberprüfung und Bewertungszwecken (wenn zutreffend und genehmigt)
iv. Wenden Sie KI-Algorithmen an, um Kommunikationsfähigkeiten, Verhaltensweisen und Eignung zu bewerten
v. Generieren Sie Bewertungsergebnisse, Berichte und Empfehlungen für Einstellungsentscheidungen
vi. Sammeln Sie die Antworten der Kandidaten zu Ihren Fragen zur Vielfalt und Inklusion (sofern vorhanden)
vii. Bereitstellung von Analysen zu Interview-Abschlussraten, Kandidatenerfahrungen und Bewertungsmetriken
viii. Ermöglichen Sie Barrierefreiheitsanpassungen für Kandidaten nach Bedarf
2.2. Während der Laufzeit des Vertrags gehen beide Parteien davon aus, dass sie persönliche Daten austauschen werden, die als eigenständige Verantwortliche im Hinblick auf ihre Mitarbeiter erforderlich sind, um Angelegenheiten wie Kontoverwaltung und technischen Support zu regeln. Jede Partei wird solche persönlichen Daten gemäß ihrer eigenen Datenschutzerklärung verarbeiten. Unsere Datenschutzerklärung ist verfügbar unter: https://welocity.ai/privacy-policy/.
2.3. Sie stimmen hiermit zu, dass wir Kundendaten verarbeiten, um diese zu anonymisieren, gemäß den Anforderungen der Datenschutzgesetze, damit wir diese anonymisierten Daten (die keine personenbezogenen Daten mehr enthalten) für die Entwicklung und Verbesserung unserer Dienstleistungen verwenden können, einschließlich:
i. Verwendung von anonymisierten Interviewdaten zur Verbesserung unserer KI-Modelle und zur Reduzierung von Vorurteilen
ii. Testen auf Fairness und Nichtdiskriminierung in unseren Algorithmen, wie es die geltenden KI-Vorschriften erfordern
iii. Schulung unserer KI-Algorithmen zur Verbesserung der Bewertungsgenauigkeit
iv. Beitrag zur wissenschaftlichen Forschung über Rekrutierungs- und Bewertungmethoden
3. Ihre Verpflichtungen
3.1. Sie behalten die Kontrolle über die personenbezogenen Daten, die wir in Ihrem Auftrag verarbeiten, und bleiben verantwortlich für Ihre Verpflichtungen zur Einhaltung der geltenden Datenschutzgesetze, einschließlich:
Bereitstellung der erforderlichen Hinweise an die Kandidaten über Videoaufzeichnungen und KI-Analysen
Einholung der ausdrücklichen Zustimmung zur Erhebung von biometrischen Daten, wo erforderlich
Sicherstellung der Einhaltung von Arbeits- und Antidiskriminierungsgesetzen
Bereitstellung von barrierefreien Unterkünften, wie erforderlich
3.2. Sie garantieren und versichern, dass unsere erwartete Nutzung der personenbezogenen Daten, wie in diesem Vertrag dargelegt, mit der Datenschutzgesetzgebung übereinstimmt.
4. Unsere Verpflichtungen
4.1. Wir werden die personenbezogenen Daten nur insoweit und in einer Weise verarbeiten, die erforderlich ist, um die Dienstleistungen gemäß diesem Vertrag und Ihren Anweisungen bereitzustellen. Wir werden Sie umgehend benachrichtigen, wenn wir der Meinung sind, dass Ihre Anweisung nicht mit der Datenschutzgesetzgebung übereinstimmt.
4.2. Wir werden die Vertraulichkeit aller personenbezogenen Daten wahren und personenbezogene Daten nicht an Dritte weitergeben, es sei denn, Sie haben dies genehmigt oder es ist durch diese Vereinbarung oder geltendes Recht erforderlich.
4.3. Wir werden Ihnen angemessen helfen, Ihre Verpflichtungen zur Einhaltung der Datenschutzgesetze zu erfüllen, einschließlich in Bezug auf die Rechte von Betroffenen, Datenschutz-Folgenabschätzungen und die Meldung an Aufsichtsbehörden.
4.4. Wir werden Kundendaten nicht an Dritte verkaufen, für kontextübergreifende Verhaltenswerbung teilen oder anderweitig offenlegen, es sei denn, dies ist gemäß Absatz 8 erlaubt. Wir werden Kundendaten nicht mit personenbezogenen Daten aus anderen Quellen kombinieren, es sei denn, dies ist durch das Datenschutzrecht erlaubt.
4.5. Spezifische Verpflichtungen für biometrische Daten: Wo biometrische Daten verarbeitet werden, werden wir:
Holen Sie sich die ausdrückliche Zustimmung, wo dies nach geltendem Recht erforderlich ist
Implementieren Sie verbesserte Sicherheitsmaßnahmen für biometrische Daten
Begrenzen Sie die Aufbewahrungsfristen, wie von Gesetzen wie BIPA vorgeschrieben
Biometrische Daten dauerhaft vernichten, wenn sie nicht mehr erforderlich sind
Nicht verkaufen, vermieten, handeln oder von biometrischen Daten profitieren
5. Sicherheit
5.1. Wir werden sicherstellen, dass alle unsere Mitarbeiter und Auftragnehmer über die Vertraulichkeit der personenbezogenen Daten informiert sind und an Vertraulichkeitsverpflichtungen gebunden sind.
5.2. Wir werden immer angemessene technische und organisatorische Maßnahmen gegen unbefugte oder rechtswidrige Verarbeitung ergreifen, einschließlich:
Verschlüsselung von personenbezogenen Daten während der Übertragung und im Ruhezustand
Pseudonymisierung von personenbezogenen Daten, wo es angemessen ist
Zugriffskontrollen und Authentifizierungsmechanismen
Regelmäßige Sicherheitsbewertungen und Penetrationstests
Sichere Löschverfahren für Videoaufnahmen und biometrische Daten
Protokollierung und Überwachungssysteme
5.3. Wir werden Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, einschließlich:
ISO 27001 oder SOC 2-Konformität (wo zutreffend)
Regelmäßige Sicherheitsschulungen für Mitarbeiter
Verfahren zur Reaktion auf Vorfälle
Pläne für Geschäftskontinuität und Notfallwiederherstellung
Regelmäßige Tests von Sicherheitsmaßnahmen
6. Verletzung personenbezogener Daten
6.1. Ohne unangemessene Verzögerung und auf jeden Fall innerhalb von 24 Stunden werden wir Sie benachrichtigen, wenn wir von einer Verletzung personenbezogener Daten in Bezug auf Kundendaten Kenntnis erlangen.
6.2. Wir werden Ihnen alle relevanten Informationen über den Verstoß zur Verfügung stellen, einschließlich:
Art der Verletzung
Kategorien und ungefähre Anzahl der betroffenen betroffenen Personen
Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Daten
Wahrscheinliche Folgen der Verletzung
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung
6.3. Wir werden mit Ihnen bei der Untersuchung und Minderung des Verstoßes zusammenarbeiten und die erforderlichen Benachrichtigungen an Aufsichtsbehörden oder betroffene Personen koordinieren.
6.4. Wir werden alle Datenschutzverletzungen dokumentieren, einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen.
7. grenzüberschreitende Übertragungen personenbezogener Daten
7.1. Wenn gemäß geltender Datenschutzgesetzgebung eine angemessene Schutzmaßnahme für die internationale Übertragung personenbezogener Daten erforderlich ist, sind die Bestimmungen zur Datenübertragung in diese DPA wie im Anhang zu internationalen Übertragungen festgelegt, aufzunehmen.
7.2. Für Übertragungen, die dem schweizerischen FADP unterliegen, gelten die Bestimmungen für die Datenübertragung mit den für schweizerische Übertragungen angegebenen Modifikationen.
7.3. Wir erkennen an, dass personenbezogene Daten übertragen und verarbeitet werden können in:
Vereinigte Staaten (primäres Rechenzentrum)
Standorte von Cloud-Service-Anbietern weltweit
Standorte von Unterauftragnehmern wie aufgeführt
8. Unterauftragsverarbeiter
8.1. Wir dürfen einen Dritten (Subunternehmer) nur dann berechtigen, die personenbezogenen Daten zu verarbeiten, wenn:
8.1.1. Sie werden mit angemessenem Vorankündigung über Änderungen an unseren Unterauftragnehmern informiert, mit der Möglichkeit, innerhalb von zehn (10) Tagen Widerspruch einzulegen;
8.1.2. Wir schließen einen schriftlichen Vertrag mit dem Unterauftragnehmer ab, der gleichwertige Datenschutzverpflichtungen enthält;
8.1.3. Wir behalten die Kontrolle über alle Personaldaten, die dem Unterauftragnehmer anvertraut werden.
8.2. Sie autorisieren uns, die in https://welocity.ai/subprocessors/ aufgeführten Unterauftragnehmer zu verwenden, einschließlich:
Cloud-Hosting-Anbieter (AWS, Google Cloud, Azure)
Video-Streaming- und Speicherdienste
KI/ML-Verarbeitungsdienste
Analyseanbieter
Technischer Supportanbieter
8.3. Wir bleiben voll verantwortlich für die Leistung eines Unterdienstleisters.
9. Beschwerden, Anfragen von betroffenen Personen und Rechte Dritter
9.1. Wir werden Ihnen auf Ihre Kosten bei der Beantwortung von:
Zugriffsanfragen von betroffenen Personen
Anfragen zur Berichtigung, Löschung oder Einschränkung der Verarbeitung
Streben nach Datenportabilität
Einwendungen gegen die Verarbeitung
Rechte im Zusammenhang mit automatisierten Entscheidungen
9.2. Wenn wir eine Anfrage eines Betroffenen direkt erhalten, werden wir Sie umgehend informieren und den Betroffenen anweisen, Sie zu kontaktieren.
9.3. Wir werden umfassend bei der Beantwortung von Beschwerden, Mitteilungen oder Kommunikationen von Aufsichtsbehörden zusammenarbeiten.
10. Datenrückgabe und Zerstörung
10.1. Auf Anfrage stellen wir Ihnen eine Kopie der Kundendaten oder Zugriff darauf in einem gängigen, zugänglichen elektronischen Format zur Verfügung.
10.2. Bei Beendigung der Dienstleistungen werden wir umgehend und sicher:
Alle persönlichen Daten einschließlich Videoaufzeichnungen löschen
Alle biometrischen Daten dauerhaft vernichten
Auf Anfrage eine Bestätigung der Löschung bereitstellen
10.3. Diese Anforderung gilt nicht für Daten, die wir zur rechtlichen oder regulatorischen Compliance aufbewahren müssen.
11. Aufzeichnungen
11.1. Wir werden detaillierte, genaue und aktuelle schriftliche Aufzeichnungen über alle Verarbeitungsaktivitäten führen, die in Ihrem Namen durchgeführt werden.
12. Prüfung
12.1. Nicht mehr als einmal innerhalb von 12 Monaten werden wir relevante Informationen aus unseren Compliance-Audits bereitstellen, um die Einhaltung dieser DPA nachzuweisen.
12.2. Wir werden alle Informationen zur Verfügung stellen, die vernünftigerweise notwendig sind, um die Einhaltung der Datenschutzgesetze zu demonstrieren.
12.3. Sie können Ihre Prüfungsrechte durch Aufsichtsbehörden ausüben, wie es das Datenschutzrecht vorsieht.
Anhang zu Internationalen Überweisungen
Teil A: Standardvertragsklauseln
Soweit eine eingeschränkte Übertragung personenbezogener Daten gemäß der DSGVO erfolgt, gilt dieser Teil A:
(i) Modul Eins der Standardvertragsklauseln, wenn Sie (verantwortlicher Stellen) an uns (verantwortlicher Stellen) übertragen
(ii) Modul Zwei der Standardvertragsklauseln, wenn Sie (verantwortlicher Stellen) an uns (Auftragsverarbeiter) übertragen
13.3 DIE GESAMTE HAFTUNG IST AUF DIE IN DEN 12 MONATEN VOR DER ANSPRUCHSERHEBUNG GEZAHLTEN GEBÜHREN BEGRENZT.
Zusätzliche Klauseln
Biometrische Datentransfers: Besondere Schutzmaßnahmen gelten für internationale Übertragungen von biometrischen Daten, einschließlich verbesserter Verschlüsselung und Zugangskontrollen.
Übertragungsauswirkungsbewertung: Der Datenexporteur erkennt an, dass der Datenimporteur die Informationen bereitgestellt hat, die für die Übertragungsauswirkungsbewertung erforderlich sind.
Geltendes Recht: Für EU-Standardvertragsklauseln - Gesetze von Irland; Für UK-Zusatz - Gesetze von England und Wales
Anhang 1 - Liste der Parteien
Datenexporteur
Name: Kunde
Adresse: Wie im Vertrag angegeben
Rolle: Verantwortlicher
Datenimporteur
Name: Netconnect Global INC (d/b/a welocity.ai)
Adresse: 415 Mission Street, San Francisco, CA 94105, USA
Rolle: Verarbeiter (für Dienstleistungen) / Verantwortlicher (für anonymisierte Daten)
Beschreibung der Übertragung
Kategorien von betroffenen Personen: Bewerber und Mitarbeiter
Kategorien personenbezogener Daten:
Identifikationsdaten (Name, E-Mail, Telefon)
Video- und Audioaufnahmen
Biometrische Daten (Gesichtszüge, Sprachmuster)
Interviewantworten und Bewertungen
Besondere Kategorien (falls angegeben): Alter, Gesundheit, Ethnie
Empfindliche Daten: Biometrische Daten und alle freiwillig bereitgestellten besonderen Kategorien
Häufigkeit: Kontinuierlich während der Dienstleistungserbringung
Natur und Zweck: KI-gesteuerte Video-Interview- und Bewertungsdienste
Aufbewahrungsfrist: Wie im Vertrag angegeben, maximal 3 Jahre für biometrische Daten
Sicherheitsmaßnahmen: Wie in Abschnitt 5 dieser DPA beschrieben
Teil B: UK-Ergänzung
Für UK-GDPR-Übertragungen gilt der UK-Anhang mit:
Startdatum: Wirksamkeitsdatum der Vereinbarung
Tabelle 1: Parteien gemäß Anhang 1
Tabelle 2 : Module 1 und 2 der EU-Standardvertragsklauseln
Tabelle 3: Anhanginformationen wie im Anhang 1
Tabelle 4: Kündigungsrechte, wenn sich die Kosten oder Risiken durch wesentliche Änderungen des UK-Anhangs erheblich erhöhen
Klassifizierung: Öffentlich
Version: 1.0
Datum: [Date]
Version: 1.0
Netconnect Global INC
415 Mission Street
San Francisco, CA 94105
Vereinigte Staaten