Data Processing Addendum

MetaMap's Data Processing Addendum

Version: June 1st, 2023

Data Processing Addendum

Version: June 1st, 2023

This Data Processing Addendum (the “Addendum”) is incorporated into the Master SaaS and Services Agreement (the “Agreement“) by and between MetaMap and Merchant.

RECITALS

WHEREAS, the Agreement requires MetaMap to process certain personal information about Merchant’s customers on behalf of Merchant;

WHEREAS, the Parties wish to supplement the Agreement and to specify the terms governing MetaMap’s processing of this information, in order to ensure that privacy and confidentiality are maintained appropriately;

NOW, THEREFORE, in consideration of the agreements contained herein, the receipt and sufficiency of which are hereby acknowledged by this Addendum, the Parties agree as follows:

1. DEFINITIONS AND SCOPE

1.1 “Data Protection Legislation” means any privacy or data protection legislation that applies to MetaMap’s provision of the Services to Merchant, including European Union Regulation 2016/679 (the “General Data Protection Regulation”), as applicable.

1.2 “Data Processor”, “Data Controller”, “Data Subject”, “Processing”, “Subprocessor”, and “Supervisory Authority” shall be interpreted in accordance with the General Data Protection Regulation;

1.3 “Personal Data” as used in this Addendum means information that relates to, or could reasonably be linked with, to an identifiable or identified Data Subject relating to their engagement with Merchant (a “Customer”). Notwithstanding the foregoing sentence, Personal Data does not include information that MetaMap processes in the context of services that it provides directly to a consumer, such as through any consumer-facing applications;

1.4 “Data Subject Request” as used in this Addendum means a request for access, erasure, rectification, or portability of your Customer’s Personal Data; and

1.5 All other capitalized terms in this Addendum shall have the same definition as in the Agreement.

2. DATA PROTECTION REQUIREMENTS

2.1 Under the Agreement, MetaMap will process Personal Data relating to Customers. Specific details about the Personal Data that will be processed is described in Exhibit A to this Addendum.

2.2 MetaMap will process this Personal Data as a Data Controller, and will use this Personal Data solely to provide and improve the Platform and Services.

2.3 When MetaMap processes the Personal Data under the Agreement it will:

2.3.1 notify you if, in MetaMap’s opinion, your instruction for the Processing of Personal Data infringes applicable Data Protection Legislation;

2.3.2 notify Merchant promptly, to the extent permitted by law, upon receiving an inquiry or complaint from a Supervisory Authority relating to MetaMap’s Processing of the Personal Data;

2.3.3 implement reasonable technical and organizational measures enabling Merchant to execute Data Subject Requests that Merchant is obligated to fulfill;

2.3.4 upon request, provide reasonable information to help Merchant complete Merchant’s data protection impact assessments;

2.3.5 upon request, provide Merchant with up-to-date attestations, reports or extracts thereof where available from MetaMap’s security and data protection auditors, to enable Merchant to assess MetaMap’s data protection practices;

2.3.6 ensure that its personnel who access the Personal Data are subject to confidentiality obligations that restrict their ability to disclose the Personal Data

2.4 In the course of providing the Services, Merchant acknowledges and agrees that MetaMap may use Subprocessors to process the Personal Data. MetaMap’s use of any specific Subprocessor to process the Personal Data must be in compliance with Data Protection Legislation and must be governed by a contract between MetaMap and Subprocessor restricting Subprocessor’s access to and use of the Personal Data. A current list of Subprocessors may be provided upon request. If you object to the appointment of a Subprocessor you may terminate the Agreement in accordance with the Agreement.

2.5 In the course of providing the Services, Merchant acknowledges and agrees that MetaMap may transfer the Personal Data to third countries such as the United States and European Union. Such transfers will be conducted in compliance with Data Protection Legislation.

3. SECURITY REQUIREMENTS

3.1 MetaMap will implement and maintain appropriate technical and organizational measures to protect the Personal Data against unauthorized or unlawful processing and against accidental loss, destruction, damage, theft, alteration or disclosure.

3.2 These measures shall be appropriate to the harm which might result from any unauthorized or unlawful processing, accidental loss, destruction, damage or theft of Personal Data and appropriate to the nature of the Personal Data which is to be protected.

3.3 In the event that MetaMap becomes aware of and confirms any accidental, unauthorized, or unlawful processing of, disclosure of, or access to the Personal Data (a “Security Breach”):

3.3.1 MetaMap will notify the affected Merchant within 48 business hours of becoming aware of and confirming the Security Breach;

3.3.2 In such notification, MetaMap will provide the following information, to the extent it has sufficient information to do so: (i) a detailed summary of the Security Breach; (ii) the Personal Data elements and number of records exposed and/or misused; and (iii) the corrective measures to be implemented by MetaMap;

3.3.3 MetaMap will advise Merchant if MetaMap believes it is legally required to provide Customers or any other party with a notification of the Security Breach, and will provide Merchant with an advanced copy of any such notification;

3.3.4 MetaMap will cooperate with the Merchant and any competent authority, and shall provide reasonable additional information or documents requested for such purpose in connection with such Security Breach, to the extent it is legally and contractually allowed to do so.

4. MISCELLANEOUS

4.1 In the event of any conflict or inconsistency between the provisions of the Agreement and this Addendum, the provisions of this Addendum shall prevail. For avoidance of doubt and to the extent allowed by applicable law, any and all liability under this Addendum, including limitations thereof, will be governed by the relevant provisions of the Agreement.

4.2 The terms of this Addendum shall be subject to any choice of law and venue provisions in the Agreement.

Exhibit A: Description of Processing

1. SCOPE

Name: Customer and its Authorized Affiliates.

Contact person’s name, position and contact details:

Activities relevant to the data transferred under these clauses: Performance of the Services pursuant to the Agreement.

Data Importer: MetaMap

2. CATEGORIES OF DATA SUBJECTS

Customers of Merchant

3. CATEGORIES OF PERSONAL DATA

Customer can configure the Platform and Services to collect and process different Personal Data, at their discretion. This Personal Data can include:

Full Name
Contact information (email, phone, physical address)
Government Identifiers
Biometric Information (facial photographs)
Financial Information
Professional Information
Device Information

4. PURPOSE OF THE PROCESSING

MetaMap will Process Personal Data as necessary to perform the Services pursuant to the Agreement, and as further instructed by Customer in its use of the Services.

5. DURATION OF PROCESSING

MetaMap will Process Personal Data for the duration of the Agreement, as specified in this Addendum, unless otherwise agreed upon in writing by the parties.

6. TECHNICAL AND ORGANIZATIONAL MEASURES

Data importer will maintain administrative, physical, and technical safeguards for protection of the security, confidentiality and integrity of Personal Data uploaded to the Services, and will make reasonably available descriptions of such safeguards at the request of Merchant.

Anexo sobre Tratamiento de Datos

Versión: 1º Junio, 2023

El presente Anexo de Tratamiento de Datos (el “Anexo”) se incorpora al Contrato Maestro de Prestación de Servicios SaaS (el “Contrato”) entre MetaMap y el Cliente.

DECLARACIONES

CONSIDERANDO que el Contrato requiere que MetaMap trate cierta información personal sobre los usuarios del Cliente en nombre del Cliente;

CONSIDERANDO que las Partes desean complementar el Contrato y especificar los términos que rigen el tratamiento de esta información por parte de MetaMap, con el fin de garantizar que la privacidad y la confidencialidad se mantengan adecuadamente;

POR LO TANTO, en consideración de los acuerdos aquí contenidos, cuya recepción y suficiencia se reconocen por el presente Anexo, las Partes acuerdan lo siguiente:

1. DEFINICIONES Y ALCANCE

1.1 “Legislación de Protección de Datos” se refiere a cualquier legislación sobre privacidad o protección de datos que se aplique a la prestación de los Servicios por parte de MetaMap al Cliente, incluido el Reglamento de la Unión Europea 2016/679 (el “Reglamento General de Protección de Datos” o “GDPR” por sus siglas en inglés), según corresponda.

1.2 Los términos “Encargado”, “Responsable”, “Titular de Datos”, “Tratamiento”, “Sub-encargado”, y “Autoridad Supervisora” se interpretará de conformidad con el Reglamento General de Protección de Datos;

1.3 “Datos Personales” tal y como se utiliza en el presente Anexo, se refiere a la información que se relaciona, o podría razonablemente relacionarse, con un Titular de Datos identificable o identificado en relación con su compromiso con el Cliente (un “Usuario”). No obstante lo anterior, los Datos Personales no incluyen la información que MetaMap trata en el contexto de los servicios que presta directamente a un Usuario, como por ejemplo a través de cualquier aplicación dirigida al Usuario.;

1.4 “Solicitud del Titular de Datos” tal como se utiliza en el presente Anexo, se refiere a una solicitud de acceso, rectificación, cancelación u oposición de los datos personales del Titular de Datos; y

1.5 Todos los demás términos que aparecen en mayúsculas en el presente Anexo tendrán la misma definición que en el Contrato.

2. REQUISITOS DE PROTECCIÓN DE DATOS

2.1 En virtud del Contrato, MetaMap tratará los Datos Personales relativos a los Usuarios.

2.2 MetaMap procesará estos Datos Personales como Responsable de los Datos, y utilizará estos Datos Personales únicamente para proporcionar y mejorar la Plataforma y los Servicios.

2.3 Cuando MetaMap trate los Datos Personales en virtud del Contrato, deberá:

2.3.1 notificarle si, en opinión de MetaMap, su instrucción para el Tratamiento de Datos Personales infringe la Legislación de Protección de Datos aplicable;

2.3.2 notificar sin demora al Cliente, en la medida permitida por la ley, la recepción de una consulta o reclamación de una Autoridad Supervisora en relación con el Tratamiento de los Datos Personales por parte de MetaMap;

2.3.3 implementar medidas técnicas y organizativas razonables que permitan al Cliente ejecutar las Solicitudes de los Titulares de Datos que el Cliente esté obligado a cumplir;

2.3.4 Previa solicitud, proporcionar información razonable para ayudar al Cliente a completar las evaluaciones de impacto de protección de datos del Cliente;

2.3.5 Previa solicitud, proporcionar al Cliente reportes actualizados, informes o extractos de los mismos, cuando estén disponibles, de los auditores de seguridad y protección de datos de MetaMap, para que el Cliente pueda evaluar las prácticas de protección de datos de MetaMap;

2.3.6 garantizar que su personal que accede a los Datos Personales esté sujeto a obligaciones de confidencialidad que restrinjan su capacidad de revelar los Datos Personales

2.4 En el curso de la prestación de los Servicios, el Cliente reconoce y acepta que MetaMap puede utilizar Subencargados para tratar los Datos Personales. El uso por parte de MetaMap de cualquier Subencargado específico para procesar los Datos Personales debe cumplir con la Legislación de Protección de Datos y debe estar regido por un contrato entre MetaMap y el Subencargado que restrinja el acceso y uso de los Datos Personales por parte del Subencargado. Si lo solicita, se le facilitará una lista actualizada de los Subencargados del tratamiento. Si usted se opone a la designación de un Subencargado del tratamiento, podrá rescindir el Contrato de conformidad con el mismo.

2.5 En el curso de la prestación de los Servicios, el Cliente reconoce y acepta que MetaMap puede transferir los Datos Personales a terceros países, como Estados Unidos y la Unión Europea. Dichas transferencias se realizarán de conformidad con la Legislación sobre Protección de Datos.

3. REQUISITOS DE SEGURIDAD

3.1 MetaMap implementará y mantendrá las medidas técnicas y organizativas apropiadas para proteger los Datos Personales contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción, daño, robo, alteración o divulgación accidentales.

3.2 Estas medidas deberán ser adecuadas al daño que pudiera resultar de cualquier tratamiento no autorizado o ilícito, pérdida accidental, destrucción, daño o robo de Datos Personales y apropiadas a la naturaleza de los Datos Personales que deben ser protegidos.

3.3 En caso de que MetaMap tenga conocimiento y confirme cualquier tratamiento, divulgación o acceso accidental, no autorizado o ilícito a los Datos Personales (una “Vulneración de Seguridad“):

3.3.1 MetaMap notificará al Cliente afectado dentro de las 48 horas hábiles siguientes al conocimiento y confirmación de la Vulneración de la Seguridad;

3.3.2 En dicha notificación, MetaMap proporcionará la siguiente información, en la medida en que disponga de información suficiente para ello: (i) un resumen detallado de la Vulneración de Seguridad; (ii) los elementos de Datos Personales y el número de registros expuestos y/o utilizados indebidamente; y (iii) las medidas correctivas que MetaMap aplicará;

3.3.3 MetaMap informará al Cliente en caso de que MetaMap considere que está legalmente obligada a notificar a los Clientes o a cualquier otra parte la Vulneración de Seguridad, y proporcionará al Cliente una copia anticipada de dicha notificación;

3.3.4 MetaMap cooperará con el Cliente y con cualquier autoridad competente, y proporcionará la información o los documentos adicionales razonables que se le soliciten a tal efecto en relación con dicha Vulneración de la Seguridad, en la medida en que esté legal y contractualmente autorizada a hacerlo.

4. MISCELÁNEOS

4.1 En caso de conflicto o contradicción entre las disposiciones del Contrato y el presente Addendum, prevalecerán las disposiciones del presente Addendum. Para evitar cualquier duda y en la medida en que lo permita la legislación aplicable, todas y cada una de las responsabilidades derivadas del presente Addendum, incluidas sus limitaciones, se regirán por las disposiciones pertinentes del Contrato.

4.2 Los términos del presente Addendum estarán sujetos a las disposiciones del Contrato relativas a la elección de la jurisdicción competente.

Anexo A: Descripción del Procesamiento

1. ALCANCE

Nombre: Cliente y sus Afiliadas Autorizadas

Nombre, puesto e información de contacto de la persona con quien se tiene contacto:

Actividades relevantes con los datos transmitidos conforme a las cláusulas: Funcionamiento de los Servicios de conformidad con el Contrato.

Importador de Datos: MetaMap

2. CATEGORÍAS DE LOS TITULARES DE DATOS

Los Usuarios del Cliente

3. CATEGORÍAS DE DATOS PERSONALES

El Cliente puede configurar la Plataforma y los Servicios para recolectar y procesar diferentes Datos Personales, a su entera discreción. Estos Datos Personales pueden incluir:

Nombre completo
Información de contacto (correo electrónico, teléfono, domicilio físico)
Identificaciones gubernamentales
Información biométrica (fotografías faciales)
Información financiera
Información profesional
Información del dispositivo

4. OBJETO DEL PROCESAMIENTO

MetaMap procesará Datos Personales conforme sea necesario para prestar los Servicios de conformidad con el Contrato, y conforme el Cliente le indique durante el uso de los Servicios.

5. PLAZO DEL PROCESAMIENTO

MetaMap procesará los Datos Personales durante la vigencia del Contrato, de conformidad con el presente Anexo, salvo pacto en contrario y por escrito de las Partes.

6. MEDIDAS TÉCNICAS Y ORGANIZACIONALES

El importador de datos mantendrá las medidas de seguridad administrativas, físicas y técnicas para proteger la seguridad, confidencialidad e integridad de los Datos Personales incluidos en los Servicios, y presentará descripciones razonablemente disponibles de dichas medidas de seguridad conforme sea solicitado por el Cliente.

ADENDO DE PROCESSAMENTO DE DADOS

Versão: 1ºJunho, 2023

Este Adendo de Processamento de Dados (“Adendo”) é incorporado ao Contrato Principal de SaaS e de Prestação de Serviços (“Contrato”) entre a MetaMap e o Cliente.

CONSIDERANDOS

CONSIDERANDO QUE o Contrato exige que a MetaMap processe certas informações pessoais sobre os clientes do Cliente em nome do Cliente;

CONSIDERANDO QUE as Partes desejam complementar o Contrato e especificar os termos que regem o processamento dessas informações pela MetaMap a fim de garantir que a privacidade e a confidencialidade sejam adequadamente mantidas;

ISTO POSTO, em contraprestação aos acordos contidos neste instrumento, cujo recebimento e suficiência são neste ato reconhecidos por este Adendo, as Partes concordam com o quanto segue:

1. DEFINIÇÕES E ESCOPO

1.1 “Legislação de Proteção de Dados” significa qualquer legislação de privacidade ou proteção de dados que se aplique à prestação de Serviços pela MetaMap ao Cliente, incluindo o Regulamento da União Europeia 2016/679 (“Regulamento Geral de Proteção de Dados”), conforme aplicável.

1.2 “Processador de Dados”, “Controlador de Dados”, “Titular dos Dados”, “Processamento”, “Subprocessador” e “Autoridade Supervisora” devem ser interpretados de acordo com o Regulamento Geral de Proteção de Dados;

1.3 “Dados Pessoais”, conforme usado neste Adendo, significa informações relacionadas a, ou que possam estar razoavelmente vinculadas a, um Titular dos Dados identificável ou identificado em relação ao seu envolvimento com o Cliente (“Cliente”). Não obstante a frase acima, os Dados Pessoais não incluem informações que a MetaMap processa no contexto de serviços que presta diretamente a um consumidor, como por meio de aplicativos voltados para o consumidor;

1.4 “Solicitação do Titular dos Dados”, conforme usado neste Adendo, significa uma solicitação de acesso, exclusão, retificação ou portabilidade dos Dados Pessoais do seu Cliente; e

1.5Todos os outros termos iniciados em letra maiúscula neste Adendo devem ter a mesma definição do Contrato.

2. EXIGÊNCIAS DE PROTEÇÃO DE DADOS

2.1 De acordo com o Contrato, a MetaMap processará os Dados Pessoais relativos aos Clientes. Informações específicas sobre os Dados Pessoais que serão processados estão descritas no Anexo A deste Adendo.

2.2 A MetaMap processará esses Dados Pessoais como um Controlador de Dados e usará esses Dados Pessoais apenas para fornecer e melhorar a Plataforma e os Serviços.

2.3 Quando a MetaMap processar Dados Pessoais nos termos do Contrato, ela irá:

2.3.1 notificar o usuário se, na opinião da MetaMap, a instrução para o Processamento de Dados Pessoais infringir a Legislação de Proteção de Dados aplicável;

2.3.2 notificar o Cliente imediatamente, na medida permitida por lei, ao receber uma consulta ou reclamação de uma Autoridade Supervisora relacionada ao Processamento de Dados Pessoais pela MetaMap

2.3.3 implementar medidas técnicas e organizacionais razoáveis que permitam ao Cliente executar Solicitações do Titular dos Dados que o Cliente é obrigado a atender;

2.3.4 mediante solicitação, fornecer informações razoáveis para ajudar o Cliente a concluir as avaliações de impacto da proteção de dados do Cliente;

2.3.5 mediante solicitação, fornecer ao Cliente atestados, relatórios ou extratos atualizados, quando disponíveis, dos auditores de segurança e proteção de dados da MetaMap para permitir que o Cliente avalie as práticas de proteção de dados da MetaMap;

2.3.6 garantir que seu pessoal que acessa Dados Pessoais esteja sujeito a obrigações de confidencialidade que restringem sua capacidade de divulgar os Dados Pessoais

2.4 Durante a prestação dos Serviços, o Cliente reconhece e concorda que a MetaMap pode usar Subprocessadores para processar Dados Pessoais. O uso pela MetaMap de qualquer Subprocessador específico para processar os Dados Pessoais deve estar em conformidade com a Legislação de Proteção de Dados e deve ser regido por um contrato entre a MetaMap e o Subprocessador que restringe o acesso do Subprocessador aos e o uso dos Dados Pessoais. Uma lista atual de Subprocessadores pode ser fornecida mediante solicitação. Se o usuário se opuser à nomeação de um Subprocessador, ele poderá rescindir o Contrato de acordo com seus termos.

2.5 Ao usar a Interface de Programação de Aplicativos (API), o Cliente reunirá e armazenará todos os consentimentos dos Clientes para a MetaMap, usando a linguagem proposta por ela nos termos e pelo tempo que as Leis Aplicáveis assim exigirem. Ao usar o Kit de Desenvolvimento de Software (SDK) da MetaMap, a MetaMap reunirá e controlará todos os consentimentos exigidos pela Lei Aplicável.

2.6 No decorrer da prestação dos Serviços, o Cliente reconhece e concorda que a MetaMap pode transferir os Dados Pessoais para países terceiros, como os Estados Unidos e a União Europeia. Essas transferências serão realizadas em conformidade com a Legislação de Proteção de Dados.

3. EXIGÊNCIAS DE SEGURANÇA

3.1 A MetaMap implementará e manterá medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais contra processamento não autorizado ou ilegal e contra perda acidental, destruição, dano, roubo, alteração ou divulgação.

3.2 Essas medidas devem ser adequadas aos danos que possam resultar de qualquer processamento não autorizado ou ilegal, perda acidental, destruição, dano ou roubo de Dados Pessoais e adequadas à natureza dos Dados Pessoais que devem ser protegidos.

3.3 Caso a MetaMap tome conhecimento e confirme qualquer processamento acidental, não autorizado ou ilegal, divulgação ou acesso aos Dados Pessoais (“Violação de Segurança”):

3.3.1 A MetaMap notificará o Cliente afetado dentro de 48 horas úteis após tomar conhecimento e confirmar a Violação de Segurança;

3.3.2 Nessa notificação, a MetaMap fornecerá as seguintes informações, na medida em que tenha informações suficientes para tanto: (i) um resumo detalhado da Violação de Segurança; (ii) os elementos de Dados Pessoais e número de registros expostos e/ou mal utilizados; e (iii) as medidas corretivas a serem implementadas pela MetaMap;

3.3.3 A MetaMap avisará o Cliente se a MetaMap acreditar que é legalmente obrigada a fornecer aos Clientes ou qualquer outra parte uma notificação da Violação de Segurança e fornecerá ao Cliente uma cópia prévia de tal notificação;

3.3.4 A MetaMap cooperará com o Cliente e qualquer autoridade competente e fornecerá informações adicionais razoáveis ou documentos solicitados para tal finalidade em relação à Violação de Segurança, na medida em que seja legal e contratualmente permitido assim fazer.

4. DISPOSIÇÕES DIVERSAS

4.1 No caso de qualquer conflito ou inconsistência entre as disposições do Contrato e deste Adendo, as disposições deste Adendo prevalecerão. Para que dúvidas sejam evitadas e na medida permitida pela lei aplicável, toda e qualquer responsabilidade nos termos deste Adendo, incluindo suas limitações, será regida pelas disposições pertinentes do Contrato.

4.2 Os termos deste Adendo estarão sujeitos a quaisquer disposições de escolha de lei e jurisdição no Contrato.

Anexo A: Descrição do Processamento

1. ESCOPO

Nome: Cliente e suas Afiliadas Autorizadas.

Nome da pessoa de contato, cargo e informações de contato:

Atividades relacionadas aos dados transferidos nos termos destas cláusulas: Execução dos Serviços de acordo com o Contrato.

Importador de Dados: MetaMap

2. CATEGORIAS DE TITULARES DE DADOS

Clientes do Cliente

3. CATEGORIAS DE DADOS PESSOAIS

O Cliente pode configurar a Plataforma e os Serviços para coletar e processar diferentes Dados Pessoais, a seu critério. Esses Dados Pessoais podem incluir:

Nome Completo
Informações de contato (e-mail, telefone, endereço físico)
Identificadores do Governo
Informações Biométricas (fotografias faciais)
Informações Financeiras
Informações Profissionais
Informação do Dispositivo

4. FINALIDADE DO PROCESSAMENTO

A MetaMap processará os Dados Pessoais conforme necessário para executar os Serviços de acordo com o Contrato e conforme instruído pelo Cliente em seu uso dos Serviços.

5. DURAÇÃO DO PROCESSAMENTO

A MetaMap processará os Dados Pessoais durante a vigência do Contrato, conforme especificado neste Adendo, salvo acordo em sentido contrário por escrito entre as partes.

6. MEDIDAS TÉCNICAS E ORGANIZACIONAIS

O importador de dados manterá proteções administrativas, físicas e técnicas para proteção da segurança, confidencialidade e integridade dos Dados Pessoais carregados nos Serviços e fará as descrições razoavelmente disponíveis de tais proteções a pedido do Cliente.