Acuerdo de procesamiento de datos

Este documento es un derivado del Términos estándar en papel común de DPA (versión 1.0) y se han realizado los siguientes cambios:

1. Ley aplicable y tribunales elegidos se ha incluido como una sección a continuación con Governing State identificado anteriormente.
2. Relación con el proveedor de servicios se ha incluido como una sección a continuación.

1. Proveedor como procesador

En situaciones donde Cliente es un Responsable del tratamiento de los datos personales del cliente, Proveedor se considerará un Procesador que procesa Datos Personales en nombre de Cliente.

2. Proveedor como Subprocesador

En situaciones donde Cliente es un Procesador de los Datos Personales del Cliente, Proveedor será considerado un Subprocesador de los Datos Personales del Cliente.

1. Detalles del procesamiento

El Anexo I(B) de la Portada describe el objeto, la naturaleza, el propósito y la duración de este Procesamiento, así como el Categorías de datos personales recogido y Categorías de interesados.

2. Instrucciones de procesamiento

Cliente instruye Proveedor para procesar datos personales del cliente: (a) para proporcionar y mantener el Servicio; (b) según se especifique más detalladamente mediante Clientes uso del Servicio; (c) según lo documentado en el Acuerdo; y (d) según lo documentado en cualquier otra instrucción escrita dada por Cliente y reconocido por Proveedor sobre el procesamiento de datos personales del cliente en virtud de este DPA. Proveedor cumplirá con estas instrucciones a menos que las leyes aplicables lo prohíban. Proveedor informará inmediatamente Cliente si no puede seguir las instrucciones de procesamiento. Cliente ha dado y sólo dará instrucciones que cumplan con las Leyes Aplicables.

3. Procesamiento por parte del Proveedor

Proveedor solo procesará datos personales del cliente de acuerdo con este DPA, incluidos los detalles en la portada. Si Proveedor actualiza el Servicio para actualizar productos, características o funcionalidades existentes o incluir nuevos, Proveedor puede cambiar el Categorías de interesados, Categorías de datos personales, Datos de categoría especial, Restricciones o salvaguardias de datos de categorías especiales, Frecuencia de transferencia, Naturaleza y finalidad del tratamiento, y Duración del procesamiento según sea necesario para reflejar las actualizaciones notificando Cliente de las actualizaciones y cambios.

4. Procesamiento de clientes

Dónde Cliente es un procesador y Proveedor es un subprocesador, Cliente cumplirá con todas las Leyes Aplicables que se apliquen a Clientes Tratamiento de Datos Personales del Cliente. Clientes acuerdo con su Responsable requerirá igualmente Cliente cumplir con todas las leyes aplicables que se aplican a Cliente como procesador. Además, Cliente cumplirá con los requisitos del Subprocesador en Clientes acuerdo con su Responsable.

5. Consentimiento para el procesamiento

Cliente ha cumplido y seguirá cumpliendo con todas las leyes de protección de datos aplicables en relación con el suministro de datos personales del cliente a Proveedor y/o el Servicio, incluida la realización de todas las divulgaciones, la obtención de todos los consentimientos, la prestación de opciones adecuadas y la implementación de las salvaguardias pertinentes requeridas por las leyes de protección de datos aplicables.

6. Subprocesadores

a. Proveedor no proporcionará, transferirá ni entregará ningún dato personal del cliente a un subprocesador a menos que Cliente ha aprobado el Subprocesador. La lista actual de Subprocesadores aprobados incluye las identidades de los Subprocesadores, su país de ubicación y sus tareas de procesamiento previstas. Proveedor Informará Cliente con al menos 10 días hábiles de anticipación y por escrito de cualquier cambio previsto en el Subprocesadores aprobados ya sea mediante la adición o sustitución de un Subencargado, lo que permite Cliente tener tiempo suficiente para oponerse a los cambios antes de la Proveedor comienza a utilizar el(los) nuevo(s) Subprocesador(es). Proveedor daré Cliente la información necesaria para permitir Cliente ejercer su derecho a oponerse al cambio de Subprocesadores aprobados. Cliente tiene 30 días después de la notificación de un cambio en el Subprocesadores aprobados oponerse, de lo contrario Cliente se considerará que acepta los cambios. Si Cliente se opone al cambio dentro de los 30 días siguientes a la notificación, Cliente y Proveedor cooperará de buena fe para resolver Clientes objeción o preocupación.

b. Al contratar un Subprocesador, Proveedor tendrá un acuerdo escrito con el Subprocesador que garantice que el Subprocesador solo acceda y utilice los Datos personales del Cliente (i) en la medida necesaria para cumplir con las obligaciones que le han subcontratado, y (ii) de conformidad con los términos de Acuerdo.

C. Si el RGPD se aplica al Procesamiento de Datos Personales del Cliente, (i) las obligaciones de protección de datos descritas en este DPA (como se menciona en el Artículo 28(3) del RGPD, si corresponde) también se imponen al Subprocesador, y (ii ) del proveedor El acuerdo con el Subprocesador incorporará estas obligaciones, incluidos detalles sobre cómo Proveedor y su Subencargado se coordinarán para responder a consultas o solicitudes sobre el Tratamiento de Datos Personales del Cliente. Además, Proveedor compartirá, en Clientes solicitar, una copia de sus acuerdos (incluyendo cualquier modificación) con sus Subprocesadores. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos datos personales, Proveedor puede redactar el texto de su acuerdo con su Subprocesador antes de compartir una copia.

d. Proveedor sigue siendo totalmente responsable de todas las obligaciones subcontratadas con sus Subprocesadores, incluidos los actos y omisiones de sus Subprocesadores en el procesamiento de datos personales del cliente. Proveedor notificará al Cliente sobre cualquier incumplimiento por parte de sus Subprocesadores de una obligación material sobre los Datos personales del Cliente en virtud del acuerdo entre Proveedor y el Subprocesador.

1. Autorización

Cliente está de acuerdo en que Proveedor puede transferir Datos personales del Cliente fuera del EEE, el Reino Unido u otro territorio geográfico relevante según sea necesario para proporcionar el Servicio. Si Proveedor transfiere datos personales del cliente a un territorio para el cual la Comisión Europea u otra autoridad supervisora relevante no ha emitido una decisión de adecuación, Proveedor implementará salvaguardas apropiadas para la transferencia de Datos personales del Cliente a ese territorio de conformidad con las Leyes de Protección de Datos Aplicables.

2. Transferencias fuera del EEE

Cliente y Proveedor Acepta que si el RGPD protege la transferencia de Datos personales del Cliente, la transferencia es de Cliente desde el interior del EEE hasta Proveedor fuera del EEE, y la transferencia no se rige por una decisión de adecuación adoptada por la Comisión Europea, entonces, al celebrar este DPA, Cliente y Proveedor Se considerará que han firmado las CEC del EEE y sus anexos, que se incorporan por referencia. Cualquier transferencia de este tipo se realiza de conformidad con las CEC del EEE, que se completan de la siguiente manera:

a. El módulo dos (de controlador a procesador) de los SCC del EEE se aplica cuando Cliente es un controlador y Proveedor está procesando datos personales del cliente para Cliente como procesador.

b. El Módulo Tres (Procesador a Subprocesador) de las SCC del EEE se aplica cuando Cliente es un procesador y Proveedor está procesando datos personales del cliente en nombre de Cliente como Subprocesador.

C. Para cada módulo, se aplica lo siguiente (cuando corresponda):

1. La cláusula de atraque opcional de la Cláusula 7 no se aplica;

2. En la Cláusula 9 se aplica la Opción 2 (autorización general por escrito), y el plazo mínimo para la notificación previa de cambios de Subencargado es de 10 días hábiles;

3. En la Cláusula 11, el lenguaje opcional no se aplica;

4. Se eliminan todos los corchetes de la cláusula 13;

5. En la Cláusula 17 (Opción 1), las SCC del EEE se regirán por las leyes de Estado miembro gobernante;

6. En la Cláusula 18(b), las disputas se resolverán en los tribunales del Estado miembro gobernante; y

7. La portada de este DPA contiene la información requerida en el Anexo I, Anexo II y Anexo III de las CEC del EEE.

3. Transferencias fuera del Reino Unido

Cliente y Proveedor Acepta que si el RGPD del Reino Unido protege la transferencia de datos personales del cliente, la transferencia es de Cliente desde dentro del Reino Unido a Proveedor fuera del Reino Unido, y la transferencia no se rige por una decisión de adecuación tomada por el Secretario de Estado del Reino Unido, entonces, al celebrar este DPA, Cliente y Proveedor Se considera que han firmado el Anexo del Reino Unido y sus Anexos, que se incorporan como referencia. Cualquier transferencia de este tipo se realiza de conformidad con el Anexo del Reino Unido, que se completa de la siguiente manera:

a. La Sección 3.2 de este DPA contiene la información requerida en la Tabla 2 del Anexo del Reino Unido.

b. La Tabla 4 del Apéndice del Reino Unido se modifica de la siguiente manera: Ninguna de las partes podrá poner fin al Apéndice del Reino Unido según lo establecido en la Sección 19 del Apéndice del Reino Unido; En la medida en que ICO emita un Anexo Aprobado revisado conforme a la Sección 18 del Anexo del Reino Unido, las partes trabajarán de buena fe para revisar este DPA en consecuencia.

C. La portada contiene la información requerida por el Anexo 1A, el Anexo 1B, el Anexo II y el Anexo III del Anexo del Reino Unido.

4. Otras Transferencias Internacionales

Para transferencias de datos personales en las que se aplica la ley suiza (y no la ley de ningún estado miembro del EEE o del Reino Unido) a la naturaleza internacional de la transferencia, las referencias al RGPD en la Cláusula 4 de las CEC del EEE son, en la medida legalmente requerida, modificado para hacer referencia a la Ley Federal Suiza de Protección de Datos o su sucesora, y el concepto de autoridad supervisora incluirá al Comisionado Federal Suizo de Protección de Datos e Información.

1. Al tener conocimiento de cualquier Incidente de Seguridad, Proveedor : (a) notificará Cliente sin demoras indebidas cuando sea posible, pero a más tardar 72 horas después de tener conocimiento del Incidente de Seguridad; (b) proporcionar información oportuna sobre el Incidente de Seguridad a medida que se conozca o que sea razonablemente solicitado por Cliente; y (c) tomar rápidamente medidas razonables para contener e investigar el Incidente de Seguridad. del proveedor La notificación o respuesta a un Incidente de Seguridad según lo exige este DPA no se interpretará como un reconocimiento por parte de Proveedor de cualquier culpa o responsabilidad por el Incidente de Seguridad.

1. Derechos de auditoría

Proveedor daré Cliente toda la información razonablemente necesaria para demostrar su cumplimiento con este DPA y Proveedor permitirá y contribuirá a las auditorías, incluidas las inspecciones por Cliente, para evaluar del proveedor cumplimiento de este DPA. Sin embargo, Proveedor puede restringir el acceso a datos o información si Clientes el acceso a la información impactaría negativamente del proveedor derechos de propiedad intelectual, obligaciones de confidencialidad u otras obligaciones bajo las leyes aplicables. Cliente reconoce y acepta que solo ejercerá sus derechos de auditoría en virtud de este DPA y cualquier derecho de auditoría otorgado por las leyes de protección de datos aplicables instruyendo Proveedor para cumplir con los requisitos de informes y diligencia debida que se detallan a continuación. Proveedor mantendrá registros de su cumplimiento con este DPA durante 3 años después de que finalice el DPA.

2. Informes de seguridad

Cliente reconoce que Proveedor se audita periódicamente según los estándares definidos en el Politica de seguridad por auditores externos independientes. A petición escrita, Proveedor daré Cliente, de forma confidencial, una copia resumida de su informe vigente en ese momento para que Cliente puede verificar del proveedor cumplimiento de las normas definidas en el Politica de seguridad.

3. Debida diligencia de seguridad

Además del Informe, Proveedor responderá a las solicitudes razonables de información realizadas por Cliente para confirmar del proveedor cumplimiento de este DPA, incluidas respuestas a cuestionarios de seguridad de la información, diligencia debida y auditoría, o brindando información adicional sobre su programa de seguridad de la información. Todas estas solicitudes deben hacerse por escrito y dirigidas a la Contacto de seguridad del proveedor y sólo podrá realizarse una vez al año.

1. Respuesta a consultas

Si Proveedor recibe cualquier consulta o solicitud de cualquier otra persona sobre el Tratamiento de Datos Personales del Cliente, Proveedor notificará Cliente sobre la solicitud y Proveedor no responderá a la solicitud sin Clientes consentimiento previo. Ejemplos de este tipo de consultas y solicitudes incluyen una orden judicial, administrativa o de una agencia regulatoria sobre Datos Personales del Cliente donde se notifique Cliente no está prohibido por la Ley Aplicable, o una solicitud de un interesado. Si lo permite la legislación aplicable, Proveedor seguirá Clientes instrucciones razonables sobre estas solicitudes, incluido el suministro de actualizaciones de estado y otra información razonablemente solicitada por Cliente. Si un interesado realiza una solicitud válida según las leyes de protección de datos aplicables para eliminar o cancelar su participación Clientes entrega de datos personales del cliente a Proveedor, Proveedor asistirá Cliente en el cumplimiento de la solicitud de acuerdo con la Ley de Protección de Datos Aplicable. Proveedor cooperará y brindará asistencia razonable a Cliente, en Clientes costa, en cualquier respuesta legal u otra acción procesal tomada por Cliente en respuesta a una solicitud de un tercero sobre del proveedor Procesamiento de datos personales del cliente en virtud de este DPA.

2. EIPD y EDIC

Si lo exigen las leyes de protección de datos aplicables, Proveedor ayudará razonablemente Cliente al realizar evaluaciones de impacto de protección de datos obligatorias o evaluaciones de impacto de transferencia de datos y consultas con las autoridades de protección de datos pertinentes, teniendo en cuenta la naturaleza del procesamiento y los datos personales del cliente.

1. Eliminación por parte del Cliente

Proveedor habilitará Cliente eliminar los Datos personales del Cliente de manera consistente con la funcionalidad de los Servicios. Proveedor cumplirá con esta instrucción tan pronto como sea razonablemente posible, excepto cuando la ley aplicable requiera un almacenamiento adicional de los datos personales del cliente.

2. Eliminación al vencimiento del DPA

a. Una vez que expire el DPA, Proveedor devolverá o eliminará los datos personales del cliente en Clientes instrucción a menos que la legislación aplicable requiera o autorice un almacenamiento adicional de los datos personales del cliente. Si la devolución o destrucción es impracticable o está prohibida por las leyes aplicables, Proveedor hará esfuerzos razonables para evitar el procesamiento adicional de datos personales del cliente y continuará protegiendo los datos personales del cliente que permanezcan en su posesión, custodia o control. Por ejemplo, las leyes aplicables pueden exigir Proveedor para continuar alojando o procesando datos personales del cliente.

b. Si Cliente y Proveedor ha ingresado a las SCC del EEE o al Anexo del Reino Unido como parte de este DPA, Proveedor sólo dará Cliente la certificación de eliminación de Datos personales descrita en la Cláusula 8.1(d) y la Cláusula 8.5 de las CEC del EEE si Cliente pide uno.

1. Límites de responsabilidad y exención de daños

En la medida máxima permitida por las leyes de protección de datos aplicables, la responsabilidad acumulativa total de cada parte hacia la otra parte que surja de este DPA o esté relacionada con él estará sujeta a las renuncias, exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

2. Reclamaciones de partes relacionadas

Cualquier reclamo hecho contra Proveedor o sus Afiliados que surjan de o estén relacionados con este DPA solo pueden ser interpuestos por el Cliente entidad que es parte del Acuerdo.

3. Excepciones

1. Este DPA no limita ninguna responsabilidad de un individuo sobre sus derechos de protección de datos según las leyes de protección de datos aplicables. Además, este DPA no limita ninguna responsabilidad entre las partes por violaciones de las CEC del EEE o del Anexo del Reino Unido.

1. Este DPA forma parte del Acuerdo y lo complementa. Si hay alguna inconsistencia entre este DPA, el Acuerdo, o cualquiera de sus partes, la parte enumerada anteriormente prevalecerá sobre la parte enumerada más adelante por esa inconsistencia: (1) los SCC del EEE o el Anexo del Reino Unido, (2) este DPA, y luego (3) el Acuerdo.

Este DPA comenzará cuando Proveedor y Cliente aceptar una portada para el DPA y firmar o aceptar electrónicamente la Acuerdo y continuará hasta el Acuerdo caduca o se rescinde. Sin embargo, Proveedor y Cliente Cada uno de ellos permanecerá sujeto a las obligaciones de este DPA y las leyes de protección de datos aplicables hasta que Cliente deja de transferir datos personales del cliente a Proveedor y Proveedor deja de procesar los datos personales del cliente.

Sin perjuicio de la ley aplicable o cláusulas similares del Acuerdo, todas las interpretaciones y disputas sobre este DPA se regirán por las leyes del Estado gobernante sin tener en cuenta sus disposiciones sobre conflicto de leyes. Además, y sin perjuicio de la selección de foro, jurisdicción o cláusulas similares del Acuerdo, las partes acuerdan entablar cualquier demanda, acción o procedimiento legal sobre este DPA y cada parte se somete irrevocablemente a la jurisdicción exclusiva de los tribunales del Estado gobernante.

En la medida en que la Ley de Privacidad del Consumidor de California, Cal. Civilización. Se aplica el Código § 1798.100 et seq ("CCPA"), las partes reconocen y acuerdan que Proveedor es un proveedor de servicios y está recibiendo Datos Personales de Cliente para proporcionar el Servicio según lo acordado en el Acuerdo, que constituye un objeto social. Proveedor no venderá ningún dato personal proporcionado por Cliente bajo la Acuerdo. Además, Proveedor no retendrá, utilizará ni divulgará ningún dato personal proporcionado por Cliente bajo la Acuerdo excepto cuando sea necesario para proporcionar el Servicio para Cliente, como se indica en el Acuerdo, o según lo permitan las leyes de protección de datos aplicables. Proveedor certifica que comprende las restricciones de este párrafo.

1. "Leyes aplicables" significa las leyes, reglas, regulaciones, órdenes judiciales y otros requisitos vinculantes de una autoridad gubernamental relevante que se aplican o gobiernan a una parte.

2. "Leyes de Protección de Datos Aplicables" significa las Leyes Aplicables que rigen cómo el Servicio puede procesar o utilizar la información personal de un individuo, datos personales, información de identificación personal u otro término similar.

3. "Controlador" tendrá el significado(s) otorgado en las Leyes de Protección de Datos Aplicables para la empresa que determina el propósito y alcance del Procesamiento de Datos Personales.

4. "Portada" significa un documento firmado o aceptado electrónicamente por las partes que incorpora estos Términos estándar de DPA e identifica Proveedor, Cliente, y el objeto y detalles del procesamiento de datos.

5. "Datos personales del cliente" significa Datos Personales que Cliente carga o proporciona a Proveedor como parte del Servicio y que se rige por este DPA.

6. "DPA" significa estos Términos estándar de DPA, la Página de portada entre Proveedor y Clientey las políticas y documentos a los que se hace referencia o adjuntos a la portada.

7. "CCS del EEE" significa las cláusulas contractuales tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo Europeo. .

8. "Área Económica Europea" o "EEA" significa los estados miembros de la Unión Europea, Noruega, Islandia y Liechtenstein.

9. "GDPR" significa el Reglamento de la Unión Europea 2016/679 implementado por la ley local en la nación miembro del EEE correspondiente.

10. "Información personal" tendrá el significado(s) dado(s) en las Leyes de Protección de Datos Aplicables para información personal, datos personales u otro término similar.

11. "Procesando" o "Proceso" tendrá el significado(s) otorgado en las Leyes de Protección de Datos Aplicables para cualquier uso o ejecución de una operación informática sobre Datos Personales, incluso mediante métodos automáticos.

12. "Procesador" tendrá el significado(s) otorgado(s) en las Leyes de Protección de Datos Aplicables para la empresa que Procesa Datos Personales en nombre del Responsable.

13. "Informe" significa informes de auditoría preparados por otra empresa de acuerdo con los estándares definidos en la Política de Seguridad en nombre del Proveedor.

14. "Transferencia restringida" significa (a) cuando se aplica el RGPD, una transferencia de datos personales desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea; y (b) cuando se aplique el RGPD del Reino Unido, una transferencia de datos personales del Reino Unido a cualquier otro país que no esté sujeto a las regulaciones de adecuación adoptadas de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018.

15. "Incidente de seguridad" significa una Violación de Datos Personales tal como se define en el Artículo 4 del RGPD.

16. "Servicio" significa el producto y/o servicios descritos en el Acuerdo.

17. "Datos de categoría especial" tendrá el significado que se le atribuye en el artículo 9 del RGPD.

18. "Subprocesador" tendrá el significado(s) otorgado en las Leyes de Protección de Datos Aplicables para una empresa que, con la aprobación y aceptación del Controlador, ayuda al Procesador a procesar Datos Personales en nombre del Controlador.

19. "UK GDPR" significa el Reglamento de la Unión Europea 2016/679 implementado por la sección 3 de la Ley (Retirada) de la Unión Europea del Reino Unido de 2018 en el Reino Unido.

20. "Apéndice del Reino Unido" significa el anexo de transferencia internacional de datos a las SCC del EEE emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas conforme a la Ley de Protección de Datos S119A(1) de 2018.

Este documento es un derivado del Términos estándar en papel común de DPA (versión 1.0) y tiene licencia bajo CC BY 4.0.