ZENTSO DATA PROCESSING AGREEMENT (DPA)

TERMS

Version: 1.1

These DPA terms supplement and are referred to by the relevant signed Application or Platform as a Service License Agreement. Except as expressly modified herein, the terms of the License Agreement remain in full force and effect.

This is the latest version of the Data Processing Agreement and overrides all previoius versions of the agreement.

Contents

  1. Core Agreement (Applies to All Clients)
  2. Global Reference Statement
  3. Jurisdiction-Specific Annexes
    Annex A – European Union and United Kingdom
    Annex B – United States
    Annex C – Asia-Pacific
    Annex D – Canada
    Annex E – Details of Processing
    Annex F – Sub-Processor List
    Annex G – Cross-Border Data Transfer Mechanisms

    1. Core Agreement (All Clients)

    1.1 Definitions

    This Agreement adopts definitions consistent with global privacy laws. The term “Controller” refers to the Client, while “Processor” refers to Zentso. “Personal Data” means any information relating to an identifiable individual. “Processing” encompasses activities such as collection, storage, use, transfer, and deletion. “Sub-Processor” is any third party engaged by Zentso to support processing activities. A “Personal Data Breach” refers to any security incident resulting in unauthorized access, disclosure, or loss of personal data.

    1.2 Roles and Scope

    The Client is responsible for determining the purpose and lawful basis for processing personal data. Zentso acts solely as a Processor and will only process data in accordance with the Client’s documented instructions. Zentso’s responsibilities include hosting, integration, and technical support. Zentso will inform the Client if any instruction appears to conflict with applicable laws.

    1.3 Processor Obligations

    Zentso commits to processing personal data only under lawful instructions provided by the Client. Zentso ensures that its personnel maintain confidentiality and that appropriate technical and organizational safeguards are in place, including encryption and monitoring. Zentso will assist the Client in meeting compliance obligations and will regularly review its policies to reflect changes in evolving regulations.

    1.4 Sub-Processing

    Zentso may engage trusted third-party partners to support its services, provided that prior notice is given to the Client. The Client retains the right to object to any Sub-Processor. All Sub-Processors are subject to binding agreements that impose equivalent data protection obligations. Zentso remains fully responsible for the performance and compliance of its Sub-Processors.

    1.5 International Data Transfers

    Zentso guarantees that all cross-border transfers of personal data are carried out in compliance with established legal frameworks and recognized international data transfer mechanisms. These include the EU Standard Contractual Clauses (SCCs), the UK International Data Transfer Addendum (IDTA), the EU–US Data Privacy Framework, and other approved safeguards. Transfers will only occur where lawful mechanisms are in place.

    1.6 Security of Processing

    Zentso implements robust security measures to protect personal data. These include encryption both at rest and in transit, role-based access controls, multi-factor authentication, vulnerability management, penetration testing, real-time monitoring, backup and recovery systems, and bi-annual independent audits.

    1.7 Data Subject Rights

    Zentso supports the Client in responding to data subject requests, including those related to access, rectification, deletion, restriction, objection, portability, and opt-outs under laws such as the CCPA and CPRA. Any direct requests received by Zentso will be promptly forwarded to the Client.

    1.8 Data Breach Notification

    In the event of a personal data breach, Zentso will notify the Client without undue delay. The notification will include details such as the nature of the breach, categories of affected data, impacted data subjects, potential consequences, and corrective actions taken. Zentso will continue to provide updates until the issue is fully resolved.

    1.9 Return or Deletion of Data

    Upon termination of the agreement, the Client may request the return of personal data in a structured format such as SQL, CSV, or JSON, or may request secure deletion. Zentso will certify the completion of the deletion process unless legal obligations require retention.

    1.10 Audit Rights

    The Client may evaluate Zentso’s compliance through the review of relevant documentation or by conducting audits. One audit may be carried out annually, with additional audits permitted in response to a security incident or a regulatory inquiry.

    1.11 Liability and Warranties

    Liability is governed by the Principal Agreement between the parties. The Client warrants that it has lawful grounds for sharing personal data with Zentso. Zentso warrants that it will comply with applicable laws, implement appropriate safeguards, and act only on lawful instructions.

    1.12 Access by Public Authorities

    Zentso will notify the Client of any government or law enforcement requests for access to personal data, unless prohibited by law. Zentso will challenge any unlawful demands and will disclose only the minimum amount of data necessary to comply with legal obligations.

    1.13 Term

    This Data Processing Agreement shall remain in force for the duration of Zentso’s processing of the Client’s personal data. Core obligations, including those pertaining to confidentiality and data security, shall continue to apply beyond the termination of this Agreement.

    2. Global Reference Statement

    This Agreement is designed to support Zentso’s global operations. The jurisdiction specific annexes supplement the core provisions with additional requirements applicable to specific regions. Only the annexes relevant to the Client’s location and data flows will apply.

    3. Jurisdiction-Specific Annexes

    Annex A – European Union and United Kingdom

    Zentso complies with the General Data Protection Regulation (GDPR) and the UK GDPR. Data transfers are conducted using SCCs and the UK IDTA. Data subject rights are fully recognized, and Zentso adheres to the UK Data Protection Act 2018.

    Annex B – United States

    Zentso complies with the California Consumer Privacy Act (CCPA), the California Privacy Rights Act (CPR), and other applicable state privacy laws. Sensitive personal information receives special handling. Where healthcare data is involved, Zentso complies with the Health Insurance Portability and Accountability Act (HIPAA).

    Annex C – Asia-Pacific

    Zentso complies with regional privacy laws, including Australia’s Privacy Act 1988, and New Zealand’s Privacy Act 2020. Zentso also uses SCCs for lawful data transfers within the region.

    Annex D – Canada

     Zentso complies with the Personal Information Protection and Electronic Documents Act (PIPEDA) and relevant provincial laws, including Quebec’s Law 25.

    4. Annex E – Details of Processing

    The subject matter of processing is the provision of Cloudtoolz services. Processing will continue for the duration of the Client’s agreement with Zentso. The nature of processing includes hosting, data storage, CRM integration, and technical support. The purpose is to enable the Client’s effective use of Cloudtoolz. The types of personal data processed include contact information, CRM records, membership details, and transaction history. Data subjects include employees, members, donors, subscribers, and vendors. Special categories of data are not expected unless explicitly agreed in writing.

    5. Annex F – Sub-Processor List

    Zentso engages Leaseweb for infrastructure and hosting services across the Asia-Pacific, United Kingdom, European Union, and North America regions. Leaseweb applies strong safeguards, including encryption and contractual protections, to ensure data security and compliance.

    Additionally, Zentso utilizes Microsoft Azure for cloud hosting, storage, and compute services in the same regions. Microsoft Azure ensures compliance through mechanisms such as the EU Standard Contractual Clauses (SCCs) and the UK International Data Transfer Addendum (IDTA).

    6. Annex G – Cross-Border Data Transfer Mechanisms

    Zentso ensures lawful international data transfers by relying on mechanisms such as the EU Standard Contractual Clauses (SCCs), the UK International Data Transfer Addendum (IDTA), the EU–US Data Privacy Framework, and regional frameworks applicable in the Asia-Pacific.