Click here for the English version / cliquez ici pour la version anglaise 

Addenda sur le traitement des données sous le régime du RGPD

(Le client étant le RESPONSABLE DU TRAITEMENT et Access étant le SOUS-TRAITANT)

Le présent addenda sur le traitement des données sous le régime du RGPD (« Addenda ») est conclu entre la société Access indiquée dans le contrat du client (« Access ») et le client (« CLIENT/RESPONSABLE DU TRAITEMENT »), collectivement « les Parties », et complète le contrat-cadre de services d’entreposage et de gestion de dossiers et/ou le contrat de services de destruction sécurisés et/ou les modalités et conditions de service d’Access (https://www.accesscorp.com/access-service-terms-and-conditions/) et/ou tout autre contrat (le contrat visé étant ci-après appelé le « Contrat ») conclu entre Access et le client aux termes duquel Access fournit des services d’d’information ou de dossiers et/ou de destruction de dossiers confidentiels.

L’Addenda s’ajoute au Contrat et s’applique uniquement dans la mesure où : (1) Access traite des Données personnelles de Personnes concernées qui se trouvent dans l’UE ou l’EEE ou en Suisse pour le compte de son client, et ces activités sont régies par la Législation sur la protection des données de l’UE ou le Règlement général sur la protection des données de l’UE (« RGPD ») (collectivement, la « Réglementation de l’UE »); (2) les parties n’ont pas signé d’addenda en matière de conformité à la Réglementation de l’UE.

L’Addenda entre en vigueur le 25 mai 2018 ou à la date de prise d’effet du Contrat, si elle est postérieure. Toute réclamation déposée en vertu de l’Addenda sera régie par les modalités et conditions du Contrat, y compris les exclusions et les limitations.

  1. DÉFINITIONS. Pour l’application de l’Addenda :
    1. « Autorité de contrôle » ou « Autorité de protection des données » désigne toute autorité publique indépendante nommée par un État membre de l’Union européenne pour faire respecter la Législation sur la protection des données de l’UE et qui est un point de contact pour le signalement des problèmes de conformité.
    2. « Autre sous-traitant » désigne tout sous-traitant engagé par Access pour exécuter des activités de traitement précises pour le compte du Responsable du traitement.
    3. « Contrat » désigne les modalités de service, les modalités et conditions ou le Contrat-cadre conclus entre Access et le CLIENT/RESPONSABLE DU TRAITEMENT.
    4. « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable (Personne concernée), comme le nom, le numéro de téléphone professionnel ou personnel, l’adresse ou l’adresse courriel si elles ne sont pas publiques, un numéro d’identification, des données de localisation ou un identifiant en ligne, qui est traitée par Access ou par un Autre sous-traitant approuvé pour le compte d’un CLIENT/RESPONSABLE DU TRAITEMENT aux termes d’un Contrat.
    5. « Législation sur la protection des données de l’UE » désigne 1) avant le 25 mai 2018, la Directive 95/46/CE de l’UE, dans sa version transposée dans la législation nationale de chaque État membre, et dans sa version modifiée ou remplacée de temps à autre; 2) le 25 mai 2018 et après cette date, le Règlement général sur la protection des données de l’UE (RGPD) abrogeant la Directive 95/46/CE.
    6. « Personne concernée » désigne la personne physique identifiée ou identifiable dont les Données personnelles sont traitées.
    7. « Responsable du traitement » désigne la société, l’organisme ou la personne physique qui détermine les finalités et les moyens du traitement des Données personnelles. Pour l’application de l’Addenda, le CLIENT/RESPONSABLE DU TRAITEMENT est le Responsable du traitement.
    8. « Sous-traitant » désigne la société, l’organisme ou la personne physique qui traite les données conformément aux instructions du Responsable du traitement. Pour l’application de l’Addenda, Access est le Sous-traitant.
    9. « Traitement » désigne toute opération ou tout ensemble d’opérations, automatisées ou non, auxquelles sont soumises des Données personnelles ou des ensembles de Données personnelles, notamment la collecte, l’enregistrement, l’organisation, la structuration, l’entreposage, l’adaptation ou modification, l’extraction, la consultation, l’utilisation, la publication par transmission, diffusion ou autre mode de mise à disposition, l’alignement ou la combinaison, la restriction, la suppression ou la destruction.
    10. RÔLES ET RESPONSABILITÉS

2.1          Rôle des Parties. Pour l’application de l’Addenda : (i) le CLIENT/RESPONSABLE DU TRAITEMENT, à titre de Responsable du traitement, engage Access en tant que Sous-traitant; (ii) si le CLIENT/RESPONSABLE DU TRAITEMENT est un sous-traitant, Access est par les présentes engagée comme Autre sous-traitant du client. Dans ce cas, le client déclare et garantit qu’il respecte la Réglementation de l’UE régissant les sous-traitants et qu’il a le pouvoir légal et l’autorisation du Responsable du traitement pour engager Access en tant que Autre sous-traitant. Chacune des Parties respecte les obligations et responsabilités énoncées dans la Législation sur la protection des données de l’UE qui s’applique à elle.

  1. TRAITEMENT DES DONNÉES PERSONNELLES

3.1          Renseignements sur le traitement. Le CLIENT/RESPONSABLE DU TRAITEMENT transmet par écrit au service de la conformité d’Access (« l’Autorité concernée d’Access »), à l’adresse [email protected], les instructions de traitement ou de transfert qu’Access devra respecter dans l’exécution des activités de traitement ou de transfert des Données personnelles. Access exige de ses employés ou Autres sous-traitants que le traitement des Données personnelles pour le compte du CLIENT/RESPONSABLE DU TRAITEMENT soit fait conformément à ses instructions écrites, à tout Contrat conclu entre les Parties et à l’Addenda, sauf dans le cas d’un traitement exigé par une loi ou un règlement auquel Access est assujetti, auquel cas Access informera le CLIENT/RESPONSABLE DU TRAITEMENT de cette obligation légale avant de procéder au traitement des Données personnelles. Le programme d’autocertification Privacy Shield d’Access pour l’Union européenne et les États-Unis s’applique au transfert à Access de Données personnelles visées par l’Addenda lorsque ces transferts s’effectuent entre l’EEE et les États-Unis, dans la mesure où le transfert est assujetti à la Législation sur la protection des données de l’UE. La durée du traitement correspond à la durée du Contrat, sauf indication contraire dans le Contrat ou entente écrite contraire entre les Parties. L’annexe A de l’Addenda énonce certains renseignements sur le traitement des Données personnelles par Access, comme l’exige le paragraphe 28(3) du RGPD.

Le CLIENT/RESPONSABLE DU TRAITEMENT déclare et garantit : (i) qu’il est et demeurera en tout temps dûment autorisé à donner les instructions mentionnées précédemment; (ii) qu’il a établi des avis et, si nécessaire, des mécanismes de consentement relatifs au traitement loyal à l’intention des Personnes concernées suffisants pour veiller à ce que tout traitement de Données personnelles visé par l’Addenda et chaque Contrat existant soit légal et conforme à la Législation sur la protection des données de l’UE.

3.2          Diligence raisonnable. Access présente, sur demande raisonnable, les renseignements nécessaires pour prouver sa conformité à l’Addenda ou à la Législation sur la protection des données de l’UE. Dans une mesure raisonnable, Access informe sans délai le CLIENT/RESPONSABLE DU TRAITEMENT dans l’éventualité où ses instructions en matière de traitement des Données personnelles transmises dans le cadre de l’Addenda enfreignent la Législation sur la protection des données de l’UE.

3.3          Audit. Access déploie des efforts raisonnables pour permettre et faciliter la réalisation d’audits et d’inspections par le CLIENT/RESPONSABLE DU TRAITEMENT ou un autre auditeur mandaté par celui-ci, à ses frais, et approuvé par Access, durant les heures normales d’ouverture, afin de démontrer qu’Access respecte ses obligations relatives aux Données personnelles aux termes de la Législation sur la protection des données de l’UE. Le CLIENT/RESPONSABLE DU TRAITEMENT donne un préavis raisonnable à Access avant tout audit et veille à ce que tout auditeur mandaté en fasse autant. Durant l’audit, le CLIENT/RESPONSABLE DU TRAITEMENT ou tout auditeur mandaté par celui-ci évite d’endommager ou de perturber les installations et l’équipement d’Access ou de causer un préjudice à son personnel. Access et le CLIENT/RESPONSABLE DU TRAITEMENT conviennent de la portée, du moment et de la durée de l’audit; il est entendu que le CLIENT/RESPONSABLE DU TRAITEMENT ne peut exiger la tenue de plus d’un audit ou d’une inspection par période de 12 mois et doit veiller à ce qu’Access et tout tiers participant à l’audit ou à l’inspection conviennent de dispositions de confidentialité appropriées. Les renseignements et les droits en matière d’audit visés au présent paragraphe 3.3 ne s’appliquent que si le Contrat existant en cause ne confère pas au CLIENT/RESPONSABLE DU TRAITEMENT des renseignements et des droits en matière d’audit suffisants pour répondre aux exigences de la Législation sur la protection des données de l’UE applicable (y compris le paragraphe 28(3) du RGPD).

3.4          Retour ou destruction des Données personnelles. À la résiliation du Contrat entre le CLIENT/RESPONSABLE DU TRAITEMENT et Access pour quelque raison que ce soit, Access supprime toutes les Données personnelles ou les retourne au CLIENT/RESPONSABLE DU TRAITEMENT conformément à ses instructions, dans la mesure où il est techniquement possible de le faire, sous réserve de toute grille tarifaire applicable du Contrat. Access fournit une attestation écrite indiquant qu’elle s’est entièrement conformée aux instructions sur le retour ou la destruction des Données personnelles. Malgré ce qui précède, Access peut conserver des Données personnelles dans la mesure requise par une loi ou un règlement, à condition d’assurer la confidentialité des Données personnelles conservées et de ne les traiter que de la manière requise par la loi ou le règlement.

3.5          Remboursement. Si la loi le permet, le CLIENT/RESPONSABLE DU TRAITEMENT rémunère Access pour toutes les heures consacrées à aider le CLIENT/RESPONSABLE DU TRAITEMENT dans le cadre des activités visées aux paragraphes 3.2 à 3.4 et paie tous les frais qui en découlent. Les frais sont facturés au prix coûtant. Les heures sont facturées au taux pour services professionnels en vigueur d’Access. Access indique ce taux au CLIENT/RESPONSABLE DU TRAITEMENT sur demande avant le début de l’audit.

  1. AIDE

4.1          Demandes. Access fournit au CLIENT/RESPONSABLE DU TRAITEMENT l’aide raisonnable à l’égard des demandes de Personnes concernées ou d’Autorités de protection des données tel qu’exigé par la Législation sur la protection des données de l’UE. Si une Personne concernée communique directement avec Access, celle-ci ne lui donnera aucun renseignement et l’aiguillera vers le CLIENT/RESPONSABLE DU TRAITEMENT, sauf instructions contraires documentées du CLIENT/RESPONSABLE DU TRAITEMENT ou dans la mesure requise par une loi ou un règlement applicable. Il incombe au CLIENT/RESPONSABLE DU TRAITEMENT de répondre à la demande, ce qui pourrait nécessiter l’utilisation des produits ou des services d’Access. Selon la nature du traitement, Access fournit une aide raisonnable et déploie les mesures organisationnelles et techniques nécessaires pour permettre au CLIENT/RESPONSABLE DU TRAITEMENT de remplir son obligation de répondre aux demandes de Personnes concernées souhaitant faire valoir leurs droits.

L’aide qu’Access est en mesure de fournir à l’égard des dossiers physiques peut être limitée, étant donné qu’Access ne connaît pas le contenu de chacune des boîtes. Le CLIENT/RESPONSABLE DU TRAITEMENT est responsable de l’indexation du contenu des boîtes, et Access a seulement accès aux renseignements d’indexation fournis par le CLIENT/RESPONSABLE DU TRAITEMENT. Si le CLIENT/RESPONSABLE DU TRAITEMENT n’a fourni que des renseignements d’indexation sommaires, Access ne pourra déterminer si les renseignements d’une Personne concernée se trouvent dans une boîte donnée afin d’aider le CLIENT/RESPONSABLE DU TRAITEMENT à répondre à une demande d’une Personne concernée. Si le CLIENT/RESPONSABLE DU TRAITEMENT fournit des renseignements d’indexation sommaires et qu’un ensemble structuré de données personnelles ne peut être vérifié ou consulté selon des critères donnés, et si ces données ne font pas partie d’un système de fichiers pertinent, les exigences du RGPD énoncées dans l’Addenda ne s’appliquent pas.

4.2          Violation de données. Access avise sans délai le CLIENT/RESPONSABLE DU TRAITEMENT de toute violation avérée de Données personnelles. Access aide également le CLIENT/RESPONSABLE DU TRAITEMENT à recueillir de l’information sur toute violation avérée de Données personnelles, ou à aviser les Autorités de contrôle et les Personnes concernées de la violation, aux termes du RGPD. Dans le cadre de toute communication avec les Personnes concernées ou l’Autorité de contrôle relativement à des Données personnelles, le CLIENT/RESPONSABLE DU TRAITEMENT s’engage à agir de bonne foi, à ne pas faire de déclaration trompeuse au sujet d’Access ou de ses Autres sous-traitants, à ne pas compromettre leur réputation et, dans la mesure permise par la Législation sur la protection des données de l’UE pertinente, à consulter préalablement Access relativement à la communication.

4.3          Analyse d’impact relative au traitement des données. Access fournit une aide raisonnable sur le plan commercial à l’égard de toute analyse d’impact et de toute consultation préalable requise auprès de l’Autorité de contrôle que le CLIENT/RESPONSABLE DU TRAITEMENT est tenu d’effectuer aux termes des articles 35 et 36 du RGPD, dans tous les cas, uniquement en ce qui concerne le traitement de Données personnelles, et en fonction de la nature du traitement et des renseignements à la disposition d’Access.

4.4          Tenue de dossiers. Access fournit une aide raisonnable au CLIENT/RESPONSABLE DU TRAITEMENT à l’égard de la tenue de dossiers sur les activités de traitement, conformément à l’article 30 du RGPD. Access s’engage à fournir ses propres dossiers sur les activités de traitement contenant les renseignements indiqués à l’article 30 si le RGPD l’exige.

4.5          Remboursement. Si la loi le permet, le CLIENT/RESPONSABLE DU TRAITEMENT rémunère Access pour toutes les heures consacrées à aider le CLIENT/RESPONSABLE DU TRAITEMENT dans le cadre des activités visées aux paragraphes 4.1, 4.3 et 4.4 et paie tous les frais qui en découlent. Les frais sont facturés au prix coûtant. Les heures sont facturées au taux pour services professionnels en vigueur d’Access. Access indique ce taux au CLIENT/RESPONSABLE DU TRAITEMENT sur demande avant le début de l’audit.

  1. FORMATION

5.1          Formation. Access veille à ce que tous les employés ayant accès aux Données personnelles fournies par le CLIENT/RESPONSABLE DU TRAITEMENT reçoivent une formation sur la sécurité, la confidentialité et la protection des données ainsi que des instructions sur leurs obligations et responsabilités relativement au traitement des Données personnelles.

5.2          Confidentialité. Access veille à ce que les employés et les Autres sous-traitants chargés d’effectuer les services requis pour traiter les Données personnelles soient informés de leur obligation légale d’en assurer la confidentialité.

  1. SÉCURITÉ

6.1          Mesures. Access s’engage à instaurer et à maintenir des mesures techniques et organisationnelles appropriées pour son traitement des Données personnelles afin d’assurer un niveau de sécurité adapté aux risques liés au traitement, particulièrement le risque de violation des données, de manière à ce que le traitement réponde aux exigences du RGPD, notamment celles énoncées à l’article 32.

6.2          Accès aux Données personnelles. Access veille à ce que seuls les employés qui effectuent le traitement des Données personnelles fournies par le CLIENT/RESPONSABLE DU TRAITEMENT y aient accès.

  1. Autres sous-traitants

7.1          Autres sous-traitants actuels. Le CLIENT/RESPONSABLE DU TRAITEMENT autorise par les présentes Access à nommer des Autres sous-traitants, sous réserve des paragraphes 7.2 et 7.3. Access peut continuer d’utiliser les Autres sous-traitants ayant déjà été engagés à la date de l’Addenda.

7.2          Autorisation préalable. Avant d’engager de nouveaux Autres sous-traitants, Access remet un avis écrit au CLIENT/RESPONSABLE DU TRAITEMENT concernant leur engagement ou tout remplacement ou ajout prévus d’Autres sous-traitants pour lui permettre de s’y opposer.

7.3          Objection du Responsable du traitement. Le CLIENT/RESPONSABLE DU TRAITEMENT peut s’opposer par écrit à la nomination d’un nouvel Autre sous-traitant dans les cinq (5) jours ouvrables suivant la réception de l’avis écrit visé au paragraphe 7.2. Si l’objection du CLIENT/RESPONSABLE DU TRAITEMENT est fondée sur des motifs raisonnables, Access et lui négocieront de bonne foi en vue de trouver une solution de rechange. S’il est impossible de trouver une solution, Access ne nommera pas nouvel Autre sous-traitant et trouvera un différent Autre sous-traitant. S’il est impossible de trouver un différent Autre sous-traitant, le CLIENT/RESPONSABLE DU TRAITEMENT peut résilier son Contrat avec Access conformément à ses dispositions.

7.4          Obligations en matière de traitement. Access veille à ce que les Autres sous-traitants soient informés de leurs obligations en matière de traitement aux termes du Contrat, de l’Addenda et des lois et règlements applicables, notamment le RGPD.

  1. DIVISIBILITÉ

Si une disposition de l’Addenda est invalide ou inapplicable, le reste de l’Addenda demeure valide et en vigueur.

En cas de conflit entre le Contrat et l’Addenda, les modalités de ce dernier prévaudront. L’Addenda est conclu dans le cadre du Contrat et en fait partie intégrante. 

ANNEXE A – RENSEIGNEMENTS SUR LE TRAITEMENT

Nature et objet du traitement

Access traite les Données personnelles de façon à pouvoir exécuter les services prévus au Contrat.

Durée du traitement

Access traite les Données personnelles pendant la durée du Contrat.

Catégories de Personnes concernées

Toutes les catégories établies par le CLIENT/RESPONSABLE DU TRAITEMENT, notamment :

clients potentiels, clients, fournisseurs, employés ou employés potentiels de clients.

Types de Données personnelles

Les Données personnelles déterminées par le CLIENT/RESPONSABLE DU TRAITEMENT, qui peuvent comprendre tous les renseignements concernant une personne physique, comme un nom, un titre, un poste, des coordonnées, un numéro d’identification, des données géographiques, un identifiant en ligne ou des données relatives à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.

Catégories spéciales de données (le cas échéant) 

Déterminées par le CLIENT/RESPONSABLE DU TRAITEMENT. Le CLIENT/RESPONSABLE DU TRAITEMENT déclare et garantit qu’il respecte l’article 9 du RGPD, et Access se fie à cette déclaration et à cette garantie aux fins du traitement de Données personnelles pour le compte du CLIENT/RESPONSABLE DU TRAITEMENT.

Publication : 25 septembre 2018

**English communication below** Message anglais ci-dessous**

GDPR Data Processing Addendum
(Client as CONTROLLER and Access as PROCESSOR)

This GDPR Data Processing Addendum (“Addendum”) is made between the Access company set forth in the client’s agreement (“Access”) and the client (“CLIENT/CONTROLLER”), collectively “the Parties”, and supplements the Master Agreement for Records Storage and Management Services and/or Service Agreement for Secure Destruction Services and/or Access service terms and conditions  at https://www.accesscorp.com/access-service-terms-and-conditions/ and or other agreement (the applicable agreement hereinafter referred to as the “Agreement”) entered into between Access and client pursuant to which Access is providing services for information/records storage and/or confidential destruction of records.

This Addendum is supplemental to the Agreement and shall apply only to the extent: (1) Access processes Personal Data of Data Subjects located in the EU/EEA or Switzerland on behalf of its client and such activities are subject to regulation in accordance with EU Data Protection Legislation or the EU General Data Protection Regulation (“GDPR”) (collectively the “EU Regulations”); and (2) the parties have not executed an addendum that complies with the EU Regulations.

This Addendum shall be effective as of the later of the effective date of the Agreement and May 25, 2018. Any claims brought under this Addendum will be subject to the terms and conditions, including exclusions and limitations, within the Agreement.

  1. DEFINITIONS. For the purposes of this Addendum:
    1. “Agreement” means the terms of service, terms and conditions, or Master Agreement between Access and CLIENT/CONTROLLER.
    2. “Controller” means the company, agency, or individual who determines the purposes and means of the processing of personal data. Under this Addendum, the CLIENT/CONTROLLER is the Controller.
    3. “Data Subject” means the identified or identifiable individual whose personal data is being processed.
    4. “EU Data Protection Legislation” means 1) prior to May 25, 2018, EU Directive 95/46/EC, as transposed into domestic legislation of each Member State and as amended, replaced or superseded from time to time, or 2) on or after May 25, 2018, the EU General Data Protection Regulation (GDPR) as repealing the Directive 95/46/EC.
    5. “Personal Data” means any information relating to an identified or identifiable natural person (data subject) such as name, business or personal phone number, address or email address if not public, an identification number, location data, an online identifier, etc. processed by Access or an approved sub-processor on behalf of a CLIENT/CONTROLLER pursuant to an Agreement.
    6. “Processing” means any operation or set of operations performed on personal data or sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
    7. “Processor” or “Data Processor” means the company, agency, or individual who processes the data based on the instructions of the Controller. Under this Addendum, Access is the Processor.
    8. “Sub-Processor” means any Processor engaged by Access for the purposes of carrying out specific processing activities on behalf of the Controller.
    9. “Supervisory Authority” or “Data Protection Authority” means any independent public authority appointed by a European Union Member State who is tasked with enforcing the EU Data Protection Legislation and is a main point of contact for reporting compliance.

2. ROLES and RESPONSIBILITIES

2.1          Role of the Parties.  For the purposes of this Addendum: (i) CLIENT/CONTROLLER, as the Controller, engages Access as a Processor; or (ii) Where the CLIENT/CONTROLLER is a Processor, Access is hereby engaged as the client’s Sub-Processor. In such event client represents and warrants that it complies with all EU Regulations governing processors and has the legal authority and authorization from the controller to engage Access as a sub-processor. Each Party will comply with the applicable obligations and responsibilities under the EU Data Protection Legislation.

3. PROCESSING OF PERSONAL DATA

3.1          Details of Processing.  CLIENT/CONTROLLER will communicate in writing to the Access Compliance department (“the relevant Access Authority”) at [email protected] the specific processing or transfer instructions in order for Access to fulfill its processing or transfer activities relating to Personal Data in accordance with these instructions.  Access will only allow processing by its employees or Sub-Processors of the Personal Data on behalf of and in accordance with the CLIENT/CONTROLLER’s written instructions, any existing Agreement between the Parties, and this Addendum, unless processing is required by a law or regulation to which Access is subject, in which case Access will inform the CLIENT/CONTROLLER of that legal requirement before the relevant processing of that Personal Data.  Access’ EU-U.S. Privacy Shield Framework self-certification applies to any transfers of Personal Data to Access under this Addendum from the EEA to the United States, to the extent such transfers are subject to EU Data Protection Legislation.  The duration of processing will be the same as the duration of the Agreement, except as otherwise agreed to in the Agreement or in writing by the Parties. Schedule A to this Addendum sets out certain information regarding Access’ processing of Personal Data as required by Article 28(3) of the GDPR.

CLIENT/CONTROLLER warrants and represents that it is and will at all times (i) remain duly and effectively authorized to give the instruction set out above, and (ii) have in place all fair processing notices and (where applicable) consent mechanisms for Data Subjects sufficient to ensure that all processing of Personal Data envisaged by this Addendum and each existing Agreement will be lawful and shall not contravene EU Data Protection Legislation.

3.2          Due Diligence.  Access will make available, on reasonable request, information necessary to demonstrate compliance with this Addendum or the EU Data Protection Legislation. Access shall immediately, to the extent reasonable, inform CLIENT/CONTROLLER if any instruction from CLIENT/CONTROLLER with respect to the processing of Personal Data under or in connection with this Addendum infringes EU Data Protection Legislation.

3.3          Audit.  Access will make reasonable efforts to allow for and contribute to an audit or inspection, conducted by the CLIENT/CONTROLLER or another auditor mandated by CLIENT/CONTROLLER, at their sole cost and expense, and approved by Access, during normal business hours, for the purpose of demonstrating compliance by Access with its obligations under EU Data Protection Legislation with respect to Personal Data.  CLIENT/CONTROLLER will provide, and will ensure that any mandated auditor provides, reasonable notice to Access prior to any audit.  During an audit, CLIENT/CONTROLLER or any mandated auditor will avoid causing damage, injury or disruption to Access’ facility, equipment or personnel.  The scope, timing, and duration of the audit will be agreed upon by Access and CLIENT/CONTROLLER; provided that CLIENT/CONTROLLER will not require audits or inspections to be carried out more frequently than once in any 12 month period and shall ensure that appropriate confidentiality provisions are agreed upon between the Access and any third party involved in audit or inspection. The information and audit rights set out in this Clause 3.3 only arise to the extent that the relevant existing Agreement does not otherwise provide the CLIENT/CONTROLLER with information and audit rights sufficient to meet the requirements of applicable EU Data Protection Legislation (including Article 28(3) of the GDPR).

3.4          Return or Destruction of Personal Data.  Upon termination of the Agreement between CLIENT/CONTROLLER and Access for any reason, Access will, to the extent technically feasible, delete or return all Personal Data to CLIENT/CONTROLLER in accordance with its instructions and subject to the applicable price schedule(s) in the Agreement.  Access will provide written certification that it has fully complied with the return or destruction of this Personal Data.  Notwithstanding the foregoing, Access may retain Personal Data to the extent required by law or regulation, provided that it ensures the confidentiality of retained Personal Data and that such Personal Data is only processed as required by law or regulation.

3.5          Reimbursement.  If allowed by law, CLIENT/CONTROLLER will pay Access for any costs arising from and time spent assisting the CLIENT/CONTROLLER in the areas as described in sections 3.2 through 3.4.  Expenses will be billed at costs.  Time will be charged at Access’ current professional rate.  Upon request, Access will provide this rate to CLIENT/CONTROLLER prior to the beginning of the audit.

4. ASSISTANCE

4.1          Requests. Access will provide reasonable assistance to CLIENT/CONTROLLER with requests from data subjects or data protection authorities as required by EU Data Protection Legislation.  If a Data Subject contacts Access directly, Access will not provide any information and will direct the Data Subject to the CLIENT/CONTROLLER, except upon documented instruction of the CLIENT/CONTROLLER or as required by applicable laws or regulation.  CLIENT/CONTROLLER will be responsible for responding to the request, which might require the use of Access’ products or services. Taking into account the nature of the processing, Access will reasonably assist the CLIENT/CONTROLLER, using appropriate organizational and technical measures, with its obligations to respond to requests for exercising data subjects’ rights.

In its physical records services, Access may be limited in the assistance it can provide as the contents of each box is unknown to Access.  The CLIENT/CONTROLLER is responsible for the indexing of the box contents, and Access only has access to this index information provided by CLIENT/CONTROLLER.  If the CLIENT/CONTROLLER chooses to provide minimal indexing information, Access would not be able to determine if Data Subject information was contained in the box if the CLIENT/CONTROLLER asked for assistance with a Data Subject request. In such an instance where CLIENT/CONTROLLER provides minimal indexing information where a structured set of personal data cannot be searched or accessed by reference to relevant criteria, and accordingly are not part of a relevant filing system, GDPR requirements set forth in this Addendum would not apply.

4.2          Data Breach.  Access will promptly notify CLIENT/CONTROLLER about any actual breach of personal data.  Further, Access will assist CLIENT/CONTROLLER in collecting information about any actual breach of personal data, or in notifying the supervisory authority and data subjects of a data breach, pursuant to the GDPR.  CLIENT/CONROLLER agrees that, with regards to any communication with Data Subjects or Data Protection Authority relating to Personal Data, CLIENT/CONTROLLER will act in good faith, not misrepresent Access or its Sub-Processors or call them into disrepute, and, to the extent permitted by the relevant EU Data Protection Legislation, consult in advance with Access in relation to such communication.

4.3          Data Processing Impact Assessments (“DPIA”).  Access will provide commercially reasonable assistance with any DPIA and any required prior consultation with the Supervisory Authority which the CLIENT/CONTROLLER is required to undergo in order to comply with Articles 35 and 36 of the GDPR, in each case solely in relation to the processing of Personal Data and taking into account the nature of processing and information available to Access.

4.4          Recordkeeping.  Access will provide reasonable assistance to CLIENT/CONTROLLER in maintaining its record of processing activities in accordance with Article 30 of the GDPR.  Access agrees to provide its own record of processing activities containing details specified in Article 30 if required by the GDPR.

4.5          Reimbursement.  If allowed by law, CLIENT/CONTROLLER will pay Access for any costs arising from and time spent assisting the CLIENT/CONTROLLER in the areas as described in sections 4.1, 4.3, and 4.4.  Expenses will be billed at costs.  Time will be charged at Access’ current professional rate.  Upon request, Access will provide this rate to CLIENT/CONTROLLER prior to the beginning of the audit.

5. TRAINING

5.1          Training.  Access will ensure that all employees with access to the Personal Data provided by CLIENT/CONTROLLER will receive security, privacy, and data protection training and instruction on their obligations and responsibilities in the processing of Personal Data.

5.2          Confidentiality.  Access will ensure that employees and Sub-Processors who have been assigned to perform the services required to process the Personal Data are aware of the legal obligation of confidentiality.

6. SECURITY

6.1          Measures. Access agrees to implement and maintain appropriate technical and organizational measures in relation to the processing of Personal Data by Access to ensure a level of security appropriate to the risks presented by such processing, in particular from a data breach, and in a manner that the processing will meet the requirements of the GDPR, including but not limited to Article 32.

6.2          Access to Personal Data.  Access will ensure that access to the Personal Data provided by CLIENT/CONTROLLER is limited to those employees engaged in the processing of the data.

7. SUB-PROCESSORS

7.1          Current Sub-Processors.  CLIENT/CONTROLLER hereby provides Access general permission to appoint Sub-Processors subject to sections 7.2 and 7.3. Access may continue to use Sub-Processors already engaged at the time of this Addendum.

7.2          Prior Authorization.  Before engaging new Sub-Processors, Access will provide written notification to CLIENT/CONTROLLER regarding the engagement or of all intended changes regarding the replacement or addition of Sub-Processors to allow for objections.

7.3          Controller Objection.  CLIENT/CONTROLLER may object in writing to a new Sub-Processor within five (5) calendar days after receipt of the written notification referenced in Section 7.2.   If the CLIENT/CONTROLLER objects on reasonable grounds, Access and CLIENT/CONTROLLER will discuss reasonable alternative solutions in good faith.  If no resolution is reached, Access will not appoint the new Sub-Processor and will seek an alternative new Sub-Processor, or if an alternative Sub-Processor is not found, CLIENT/CONTROLLER has the right to terminate its Agreement with Access in accordance with provisions of the Agreement.

7.4          Processing Obligations.  Access will ensure that Sub-Processors are aware of processing obligations under the Agreement and this Addendum and any applicable laws and regulations, including the GDPR.

8. SEVERANCE

Should any provision of this Addendum be invalid or unenforceable, then the remainder of the Addendum will remain valid and in force.

If there is a conflict between the Agreement and this Addendum, the terms of this Addendum will control. This Addendum is entered into and becomes a binding part of the Agreement. 

SCHEDULE A – DETAILS OF PROCESSING

Nature and Purpose of Processing

Access will process Personal Data as necessary to perform the services pursuant to the Agreement.

Duration of Processing

Access will process Personal Data for the duration of the Agreement.

Categories of Data Subjects

All categories determined by the CLIENT/CONTROLLER, including but not limited to:

prospects, clients, customers, vendors, employees or potential employees of clients

Types of Personal Data

Personal Data determined by the CLIENT/CONTROLLER, which may include all information relating to a person, including name, title, position, contact information,

an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of a natural person.

Special Categories of Data (if appropriate) 

As determined by CLIENT/CONTROLLER. CLIENT/CONTROLLER represents and warrants that it complies with Article 9 of GDPR and Access is relying upon such compliance in processing such Personal Data at the direction of CLIENT/CONTROLLER.

Posted: September 25, 2018