Legal
Acuerdo de protección de datos (DPA)
UPDATED ON: 3RD SEPTEMBER 2023
Esta página es una traducción automática. La versión en inglés es la fuente oficial y prevalece.
Ver la versión en inglésNOTA: Para garantizar que no se nos impongan términos inconsistentes o adicionales más allá de los reflejados en nuestras cláusulas estándar DPA y modelo, no podemos aceptar firmar el DPAs de los clientes. Como equipo pequeño, tampoco podemos realizar cambios individuales en nuestro DPA ya que no contamos con un equipo legal en nuestro personal. Cualquier cambio en el estándar DPA requeriría asesoramiento legal y muchas discusiones de ida y vuelta que tendrían un costo prohibitivo para nuestro equipo.
Este Acuerdo de procesamiento de datos de la UE y el Reino Unido ("Agreement") complementa los Términos de servicio ("Agreement") celebrados entre el cliente que firma este Acuerdo ("Customer") y Logike ("Company"). Al ejecutar el Acuerdo de conformidad con la Sección 11 del presente documento, el Cliente celebra este Acuerdo en su propio nombre y, en la medida requerida por Data Protection Laws aplicable (definido a continuación), en nombre y en nombre de sus Afiliados (definidos a continuación), si los hubiere. Este Acuerdo incorpora los términos del Acuerdo, y cualquier término no definido en este Acuerdo tendrá el significado establecido en el Acuerdo.
1. Definiciones
1.1 "Affiliate" significa (i) una entidad de la cual una parte posee directa o indirectamente el cincuenta por ciento (50%) o más de las acciones u otros intereses patrimoniales, (ii) una entidad que posee al menos el cincuenta por ciento (50%) o más de las acciones u otros intereses patrimoniales de una parte, o (iii) una entidad que está bajo control común con una parte al tener al menos el cincuenta por ciento (50%) o más de las acciones u otros intereses patrimoniales de dicha entidad y una parte propiedad de la misma persona, pero dicha entidad sólo se considerará Afiliada mientras exista dicha propiedad.
1.2 "Authorized Sub-Processor" significa un tercero que necesita conocer o acceder de otro modo al Personal Data del Cliente para permitir que la Compañía cumpla con sus obligaciones en virtud de este Acuerdo o el Acuerdo, y que (1) figura en Exhibit B o (2) está autorizado posteriormente según la Sección 4.2 de este Acuerdo.
1.3 "Customer Account Data" significa datos personales relacionados con la relación del Cliente con la Compañía, incluidos los nombres o la información de contacto de las personas autorizadas por el Cliente para acceder a la cuenta del Cliente y la información de facturación de las personas que el Cliente ha asociado con su cuenta. Customer Account Data también incluye cualquier dato que la Compañía pueda necesitar recopilar con el fin de gestionar su relación con el Cliente, verificación de identidad o según lo requieran las leyes y regulaciones aplicables.
1.4 "Customer Usage Data" significa datos de uso del Servicio recopilados y procesados por la Compañía en relación con la prestación de los Servicios, incluidos, entre otros, datos utilizados para identificar el origen y el destino de una comunicación, registros de actividad y datos utilizados para optimizar y mantener el rendimiento de los Servicios, y para investigar y prevenir el abuso del sistema.
1.5 "Data Exporter" significa Cliente.
1.6 "Data Importer" significa Empresa.
1.7 "Data Protection Laws" significa cualquier ley y reglamento aplicable en cualquier jurisdicción relevante relacionada con el uso o procesamiento de Personal Data, incluido: (i) la Ley de Privacidad del Consumidor de California ("CCPA"), (ii) el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) ("EU GDPR" o "GDPR"), (iii) la Ley Federal Suiza sobre Protección de Datos, (iv) la EU GDPR ya que forma parte de la ley de Inglaterra y Gales en virtud del artículo 3 de la Ley (Retirada) de la Unión Europea de 2018 (la "UK GDPR"); (v) la Ley de Protección de Datos del Reino Unido de 2018; y (vi) el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003; en cada caso, según se actualice, modifique o reemplace periódicamente. Los términos "Data Subject", "Personal Data", "Personal Data Breach", "processing", "processor," "controller," y "supervisory authority" tendrán los significados establecidos en el GDPR.
1.8 "EU SCCs" significa las cláusulas contractuales estándar aprobadas por la Comisión Europea en la Decisión de la Comisión 2021/914 de 4 de junio de 2021, para transferencias de datos personales a países que la Comisión Europea no reconoce que ofrecen un nivel adecuado de protección de datos personales (con sus modificaciones y actualizaciones periódicas).
1.9 "ex-EEA Transfer" significa la transferencia de Personal Data, que se procesa de conformidad con el GDPR, del Data Exporter al Data Importer (o sus instalaciones) fuera del Espacio Económico Europeo (el "EEA"), y dicha transferencia no se rige por una decisión de adecuación adoptada por la Comisión Europea de conformidad con las disposiciones pertinentes del GDPR.
1.10 "ex-UK Transfer" significa la transferencia de Personal Data, que se procesa de conformidad con la UK GDPR y la Ley de Protección de Datos de 2018, desde el Data Exporter al Data Importer (o sus instalaciones) fuera del Reino Unido (el "UK"), y dicha transferencia no se rige por una decisión de adecuación tomada por el Secretario de Estado de conformidad con las disposiciones pertinentes de la UK GDPR y la Ley de Protección de Datos de 2018.
1.11 "Services" tendrá el significado establecido en el Acuerdo.
1.12 "Standard Contractual Clauses" significa EU SCCs y UK SCCs.
1.13 "UK SCCs" significa las cláusulas contractuales estándar aprobadas por la Comisión Europea para transferencias de datos personales a países que la Comisión Europea no reconoce que ofrecen un nivel adecuado de protección de datos personales, siendo (i) cláusulas de controlador a procesador aprobadas por la Comisión Europea en la Decisión de la Comisión 2010/87/UE, de fecha 5 de febrero de 2010 (con sus modificaciones y actualizaciones periódicas) ("UK Controller-to-Processor SCCs"); o (ii) cláusulas de controlador a controlador aprobadas por la Comisión Europea en la Decisión 2004/915/CE de la Comisión, de fecha 27 de diciembre de 2004 (con sus modificaciones y actualizaciones periódicas) ("UK Controller-to-Controller SCCs").
2.Relación de las Partes; Procesamiento de datos
2.1 Las partes reconocen y acuerdan que con respecto al procesamiento de Personal Data, el Cliente puede actuar como controlador o procesador y, salvo que se establezca expresamente en este Acuerdo o en el Acuerdo, la Compañía es un procesador. El Cliente, al utilizar los Servicios, procesará en todo momento Personal Data y proporcionará instrucciones para el procesamiento de Personal Data, de conformidad con Data Protection Laws. El Cliente deberá garantizar que el procesamiento de Personal Data de acuerdo con las instrucciones del Cliente no causará que la Compañía incumpla el Data Protection Laws. El Cliente es el único responsable de la exactitud, calidad y legalidad de (i) el Personal Data proporcionado a la Compañía por o en nombre del Cliente, (ii) los medios por los cuales el Cliente adquirió dicho Personal Data y (iii) las instrucciones que proporciona a la Compañía con respecto al procesamiento de dicho Personal Data. El Cliente no proporcionará ni pondrá a disposición de la Compañía ningún Personal Data que infrinja el Acuerdo o que de otro modo sea inapropiado para la naturaleza de los Servicios, y deberá indemnizar a la Compañía por todos los reclamos y pérdidas relacionados con los mismos.
2.2 La Compañía no procesará Personal Data (i) para fines distintos a los establecidos en el Acuerdo y/o Exhibit A, (ii) de manera inconsistente con los términos y condiciones establecidos en este Acuerdo o cualquier otra instrucción documentada proporcionada por el Cliente, incluso con respecto a transferencias de datos personales a un tercer país o una organización internacional, a menos que así lo exija la Autoridad de Supervisión a la que está sujeta la Compañía; en tal caso, la Compañía informará al Cliente de ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público, o (iii) en violación de Data Protection Laws. Por la presente, el Cliente instruye a la Compañía a procesar Personal Data de acuerdo con lo anterior y como parte de cualquier procesamiento iniciado por el Cliente en su uso de los Servicios. Estas instrucciones siempre estarán documentadas.
2.3 El tema, la naturaleza, el propósito y la duración de este procesamiento, así como los tipos de Personal Data recopilados y las categorías de Sujetos de datos, se describen en Exhibit A de este Acuerdo.
2.3 Una vez finalizados los Servicios, a elección del Cliente, la Compañía devolverá o eliminará el Personal Data del Cliente, a menos que la ley aplicable requiera o autorice un almacenamiento adicional de dicho Personal Data. Si la devolución o destrucción es impracticable o está prohibida por ley, norma o reglamento, la Compañía tomará medidas para bloquear dicho Personal Data de cualquier procesamiento posterior (excepto en la medida necesaria para su alojamiento o procesamiento continuo requerido por la ley, norma o reglamento) y continuará protegiendo adecuadamente el Personal Data que permanezca en su posesión, custodia o control. Si el Cliente y la Compañía han celebrado Cláusulas Contractuales Estándar como se describe en la Sección 6 (Transferencias de Personal Data), las partes acuerdan que la certificación de eliminación de Personal Data que se describe en la Cláusula 12(1) de UK SCCs y la Cláusula 8.1(d) y la Cláusula 8.5 de EU SCCs (según corresponda) será proporcionada por la Compañía al Cliente solo a pedido del Cliente.
2.4 CCPA. Excepto con respecto a Customer Account Data y Customer Usage Data, las partes reconocen y acuerdan que la Compañía es un proveedor de servicios para los fines de CCPA (en la medida en que corresponda) y está recibiendo información personal del Cliente para brindar los Servicios de conformidad con el Acuerdo, lo que constituye un propósito comercial. La Compañía no venderá dicha información personal. La Compañía no retendrá, utilizará ni divulgará ninguna información personal proporcionada por el Cliente de conformidad con el Acuerdo, excepto según sea necesario para el propósito específico de realizar los Servicios para el Cliente de conformidad con el Acuerdo, o de otro modo según lo establecido en el Acuerdo o según lo permitido por el CCPA. Los términos "personal information," "service provider," "sale," y "sell" son como se definen en la Sección 1798.140 de CCPA. La Compañía certifica que comprende las restricciones de esta Sección 2.4.
Confidencialidad
La Compañía se asegurará de que cualquier persona a la que autorice para procesar Personal Data haya aceptado proteger Personal Data de acuerdo con las obligaciones de confidencialidad de la Compañía en el Acuerdo. El Cliente acepta que la Compañía puede revelar Personal Data a sus asesores, auditores u otros terceros según sea razonablemente necesario en relación con el cumplimiento de sus obligaciones en virtud de este Acuerdo, el Acuerdo o la prestación de Servicios al Cliente.
Subprocesadores autorizados
4.1 El Cliente reconoce y acepta que la Compañía puede (1) contratar a sus afiliados y los Subprocesadores autorizados en la Lista (definidos a continuación) para acceder y procesar Personal Data en relación con los Servicios y (2) de vez en cuando contratar a terceros adicionales con el fin de proporcionar los Servicios, incluido, entre otros, el procesamiento de Personal Data. A través de este Acuerdo, el Cliente proporciona autorización general por escrito a la Compañía para contratar subprocesadores según sea necesario para realizar los Servicios.
4.2. Se pondrá a disposición del Cliente (Exhibit D) una lista de los subprocesadores autorizados actuales de la Compañía (el "List"). La Compañía podrá actualizar dicha Lista periódicamente. El Cliente reconoce que ciertos subprocesadores son esenciales para proporcionar los Servicios y que oponerse al uso de un subprocesador puede impedir que la Compañía ofrezca los Servicios al Cliente.
4.3. Si el Cliente se opone razonablemente a un compromiso de acuerdo con la Sección 4.2, y la Compañía no puede proporcionar una alternativa comercialmente razonable dentro de un período de tiempo razonable, el Cliente puede suspender el uso del Servicio afectado mediante notificación por escrito a la Compañía. La interrupción no eximirá al Cliente de ningún cargo adeudado a la Compañía en virtud del Acuerdo.
4.4. Si el Cliente no se opone a la contratación de un tercero de acuerdo con la Sección 4.2 dentro de los diez (10) días posteriores al cambio por parte de la Compañía, ese tercero será considerado un Subprocesador autorizado a los efectos de este Acuerdo.
4.5 La Empresa celebrará un acuerdo escrito con el Subprocesador autorizado que impondrá al Subprocesador autorizado obligaciones de protección de datos comparables a las impuestas a la Empresa en virtud de este Acuerdo con respecto a la protección de Personal Data. En caso de que un Subprocesador autorizado no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito con la Compañía, la Compañía seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones del Subprocesador autorizado en virtud de dicho acuerdo.
4.6 Si el Cliente y la Compañía han celebrado Cláusulas Contractuales Estándar como se describe en la Sección 6 (Transferencias de Personal Data), (i) las autorizaciones anteriores constituirán el consentimiento previo por escrito del Cliente para la subcontratación por parte de la Compañía del procesamiento de Personal Data si dicho consentimiento es requerido según las Cláusulas Contractuales Estándar, y (ii) las partes acuerdan que las copias de los acuerdos con Subprocesadores Autorizados que la Compañía debe proporcionar al Cliente de conformidad con la Cláusula 5(j) de UK SCCs o la Cláusula 9(c) de EU SCCs puede tener información comercial, o información no relacionada con las Cláusulas Contractuales Estándar o su equivalente, eliminada por la Compañía de antemano, y que dichas copias serán proporcionadas por la Compañía solo a pedido del Cliente.
4.7 La Empresa acordará una cláusula de tercero beneficiario con el Subprocesador autorizado según la cual, en caso de que la Empresa haya desaparecido, haya dejado de existir legalmente o se haya vuelto insolvente, el Cliente tendrá derecho a rescindir el contrato del Subprocesador autorizado y a indicarle al Subprocesador autorizado que borre o devuelva los datos personales.
5.Seguridad de Personal Data.
Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, la Compañía mantendrá medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo del procesamiento Personal Data. Esto incluye proteger los datos contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los datos (violación de datos personales). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos del procesamiento y los riesgos involucrados para los interesados. Exhibit B establece información adicional sobre las medidas de seguridad técnicas y organizativas de la Compañía.
Transferencias de Personal Data
6.1 Las partes acuerdan que la Compañía puede transferir Personal Data procesado bajo este Acuerdo fuera de EEA, el Reino Unido o Suiza según sea necesario para proporcionar los Servicios. El Cliente reconoce que las operaciones de procesamiento principal de la Compañía se llevan a cabo en los Estados Unidos y que la transferencia del Personal Data del Cliente a los Estados Unidos es necesaria para la prestación de los Servicios al Cliente. Si la Compañía transfiere Personal Data protegido bajo este Acuerdo a una jurisdicción para la cual la Comisión Europea no ha emitido una decisión de adecuación, la Compañía se asegurará de que se hayan implementado las salvaguardas apropiadas para la transferencia de Personal Data de acuerdo con Data Protection Laws.
6.2 Transferencias Ex-EEA. Las partes acuerdan que las Transferencias ex-EEA se realizan de conformidad con el EU SCCs, que se consideran celebradas (e incorporadas a este Acuerdo mediante esta referencia) y completadas de la siguiente manera:
6.2.1 El Módulo Uno (Controlador a Controlador) del EU SCCs se aplica cuando la Compañía procesa Personal Data como controlador de conformidad con la Sección 9 de este Acuerdo.
6.2.2 El Módulo Dos (Controlador a Procesador) del EU SCCs se aplica cuando el Cliente es un controlador y la Compañía procesa Personal Data para el Cliente como procesador de conformidad con la Sección 2 de este Acuerdo.
6.2.3 El Módulo Tres (Procesador a Subprocesador) del EU SCCs se aplica cuando el Cliente es un procesador y la Compañía procesa Personal Data en nombre del Cliente como subprocesador.
6.3 Para cada módulo, cuando corresponda, se aplica lo siguiente:
6.3.1 La cláusula de atraque opcional de la Cláusula 7 no se aplica.
6.3.2 En la Cláusula 9, se aplica la Opción 2 (autorización general por escrito), y el período mínimo para la notificación previa de cambios de subencargado será el establecido en la Sección 4.2 de este Acuerdo;
6.3.3 En la Cláusula 11, el lenguaje opcional no se aplica;
6.3.4 Por la presente se eliminan todos los corchetes de la Cláusula 13. Las disposiciones aplicables serán la correspondiente a la situación del exportador de datos descrita entre corchetes;
6.3.5 En la Cláusula 17 (Opción 1), el EU SCCs se regirá por la ley francesa;
6.3.6 En la Cláusula 18(b), las disputas se resolverán ante los tribunales de Francia;
6.3.7 Exhibit B de este Acuerdo contiene la información requerida en Annex I del EU SCCs;
6.3.8 Exhibit C de este Acuerdo contiene la información requerida en Annex II del EU SCCs; y
6.3.9 Al celebrar este Acuerdo, se considera que las partes han firmado el EU SCCs incorporado en el presente, incluidos sus Anexos.
6.4 Transferencias fuera del Reino Unido. Las partes acuerdan que las Transferencias fuera del Reino Unido se realizan de conformidad con el UK SCCs, que se consideran celebrados e incorporados a este Acuerdo por referencia y completados de la siguiente manera:
6.4.1 Las referencias a GDPR se considerarán referencias a UK GDPR y a la Ley de Protección de Datos del Reino Unido de 2018, las referencias a "supervisory authorities" se considerarán referencias al Comisionado de Información del Reino Unido y las referencias a "Member State(s)" o la UE se considerarán referencias al Reino Unido.
6.4.2 El Acuerdo de controlador a procesador SCCs del Reino Unido se aplica cuando la Compañía procesa el Personal Data del Cliente como procesador. No se aplica la cláusula de indemnización ilustrativa. En la Cláusula 4(f), el texto "adequate protection within the meaning of Directive 95/46/EC" se elimina y se reemplaza por "a level of data protection that is considered adequate under, or equivalent to, the applicable data protection law.". La Cláusula 9, Ley aplicable, deberá decir "Las Cláusulas se regirán por la ley del Estado miembro en el que está establecido el exportador de datos, pero sin perjuicio de los derechos y libertades que los interesados puedan disfrutar según sus leyes nacionales de protección de datos. " In Clause 11(3), the language ", es decir..." al final de la oración se elimina por la presente. El Exhibit B de este Acuerdo sirve como Appendix I del SCCs de controlador a procesador del Reino Unido. Exhibit C de este Acuerdo sirve como Appendix II del controlador a procesador SCCs del Reino Unido.
6.4.3 El acuerdo SCCs de controlador a controlador del Reino Unido se aplica cuando la Compañía procesa el Personal Data del Cliente como controlador de conformidad con la Sección 9 de este Acuerdo. Se considerará que la cláusula II (h) de la norma SCCs de controlador a controlador del Reino Unido establece que la Compañía procesará Personal Data de acuerdo con los principios de procesamiento de datos establecidos en Annex A de la norma SCCs de controlador a controlador del Reino Unido. No se aplica la cláusula comercial ilustrativa. La Cláusula IV (Ley aplicable) deberá decir "Las Cláusulas se regirán por la ley del Estado miembro en el que esté establecido el exportador de datos, pero sin perjuicio de los derechos y libertades que los interesados puedan disfrutar según sus leyes nacionales de protección de datos". El Exhibit B de este Acuerdo sirve como Annex B del SCCs de controlador a controlador del Reino Unido.
6.4.4 Las partes reconocen y acuerdan que si cualquiera de las UK SCCs es reemplazada o reemplazada por nuevas cláusulas contractuales estándar emitidas y aprobadas de conformidad con el artículo 46 de la UK GDPR y disposiciones relacionadas de la Ley de Protección de Datos del Reino Unido de 2018 ("New UK SCCs"), la Data Importer puede notificar a la Data Exporter y, con efecto a partir de la fecha establecida en dicha notificación, la aplicación de la El UK SCCs establecido en este Acuerdo se modificará de modo que el UK SCCs deje de aplicarse a las Transferencias fuera del Reino Unido, y el Nuevo UK SCCs especificado en dicho aviso se aplicará en el futuro. En la medida en que el uso del Nuevo UK SCCs requiera que las partes completen información adicional, las partes deberán trabajar juntas de manera razonable y rápida para completar dicha información adicional.
6.5 Transferencias desde Suiza. Las partes acuerdan que las transferencias desde Suiza se realizan conforme a la EU SCCs con las siguientes modificaciones:
6.5.1 Los términos "General Data Protection Regulation" o "Regulation (EU) 2016/679" tal como se utilizan en EU SCCs se interpretarán para incluir la Ley Federal de Protección de Datos del 19 de junio de 1992 (la "FADP," y revisada el 25 de septiembre de 2020, la "Revised FADP") con respecto a las transferencias de datos sujetas a la FADP.
6.5.2 Los términos del EU SCCs se interpretarán para proteger los datos de las personas jurídicas hasta la fecha de vigencia del FADP Revisado.
6.5.3 La cláusula 13 de EU SCCs se modifica para establecer que el Comisionado Federal de Información y Protección de Datos ("FDPIC") de Suiza tendrá autoridad sobre las transferencias de datos regidas por FADP y la autoridad supervisora apropiada de la UE tendrá autoridad sobre las transferencias de datos regidas por GDPR. Sujeto a lo anterior, se observarán todos los demás requisitos de la Sección 13.
6.5.4 El término "EU Member State" tal como se utiliza en EU SCCs no se interpretará de tal manera que excluya a los interesados en Suiza del ejercicio de sus derechos en su lugar de residencia habitual de conformidad con la Cláusula 18(c) de EU SCCs.
6.6 Medidas Complementarias. Con respecto a cualquier Transferencia ex-EEA o Transferencia ex-Reino Unido, se aplicarán las siguientes medidas complementarias:
6.6.1 A la fecha de este Acuerdo, el Data Importer no ha recibido ninguna solicitud legal formal de ningún servicio/agencias de inteligencia o seguridad gubernamental en el país al que se exporta el Personal Data, para acceder a (o copias de) el Personal Data ("Government Agency Requests") del Cliente;
6.6.2 Si, después de la fecha de este Acuerdo, el Data Importer recibe alguna Solicitud de una agencia gubernamental, la Compañía intentará redirigir a las autoridades o la agencia gubernamental para solicitar esos datos directamente al Cliente. Como parte de este esfuerzo, la Compañía puede proporcionar la información de contacto básica del Cliente a la agencia gubernamental. Si se ve obligada a revelar el Personal Data del Cliente a una agencia gubernamental o policial, la Compañía deberá notificar al Cliente con una antelación razonable sobre la demanda y cooperar para permitirle buscar una orden de protección u otro remedio adecuado, a menos que la Compañía tenga prohibido legalmente hacerlo. La Compañía no divulgará voluntariamente Personal Data a ninguna agencia gubernamental o policial. Data Exporter y Data Importer (tan pronto como sea razonablemente posible) discutirán y determinarán si todas o algunas transferencias de Personal Data de conformidad con este Acuerdo deben suspenderse a la luz de dichas Solicitudes de agencias gubernamentales; y
6.6.3 El Data Exporter y el Data Importer se reunirán según sea necesario para considerar si:
(i) la protección brindada por las leyes del país de Data Importer a los interesados cuyo Personal Data se transfiere es suficiente para brindar una protección ampliamente equivalente a la brindada en EEA o el Reino Unido, según sea el caso;
(ii) son razonablemente necesarias medidas adicionales para permitir que la transferencia cumpla con el Data Protection Laws; y
(iii) sigue siendo apropiado que Personal Data se transfiera al Data Importer correspondiente, teniendo en cuenta toda la información relevante disponible para las partes, junto con las orientaciones proporcionadas por las autoridades de supervisión.
6.6.4 Si Data Protection Laws requiere que el Data Exporter ejecute las Cláusulas Contractuales Estándar aplicables a una transferencia particular de Personal Data a un Data Importer como un acuerdo separado, el Data Importer deberá, a solicitud del Data Exporter, ejecutar con prontitud dichas Cláusulas Contractuales Estándar que incorporen las modificaciones que el Data Exporter pueda requerir razonablemente para reflejar los apéndices aplicables y anexos, los detalles de la transferencia y los requisitos del Data Protection Laws correspondiente.
6.6.5 Si (i) cualquiera de los medios para legitimar transferencias de Personal Data fuera de EEA o el Reino Unido establecidos en este Acuerdo deja de ser válido o (ii) cualquier autoridad supervisora requiere que se suspendan las transferencias de Personal Data de conformidad con esos medios, entonces Data Importer podrá, mediante notificación al Data Exporter, con efecto a partir de la fecha establecida en dicho aviso, modificar o implementar acuerdos alternativos. con respecto a dichas transferencias, según lo exige Data Protection Laws.
7.Derechos de los interesados
7.1 La Compañía, en la medida permitida por la ley, notificará al Cliente al recibir una solicitud por parte de un Sujeto de datos para ejercer el derecho del Sujeto de datos a: acceso, rectificación, supresión, portabilidad de datos, restricción o cese del procesamiento, retirada del consentimiento para el procesamiento y/u objeción a estar sujeto a un procesamiento que constituya una toma de decisiones automatizada (dichas solicitudes de forma individual y colectiva "Data Subject Request(s)"). Si la Compañía recibe una Solicitud del Titular de los Datos en relación con los datos del Cliente, la Compañía le aconsejará al Titular de los Datos que envíe su solicitud al Cliente y el Cliente será responsable de responder a dicha solicitud, incluso, cuando sea necesario, mediante el uso de la funcionalidad de los Servicios. El Cliente es el único responsable de garantizar que las solicitudes de los interesados para borrar, restringir o suspender el procesamiento, o retirar el consentimiento para el procesamiento de cualquier Personal Data se comuniquen a la Compañía y, si corresponde, de garantizar que se mantenga un registro de consentimiento para el procesamiento con respecto a cada interesado.
7.2 La Compañía, a solicitud del Cliente, y teniendo en cuenta la naturaleza del procesamiento aplicable a cualquier Solicitud del Titular de los Datos, aplicará medidas técnicas y organizativas apropiadas para ayudar al Cliente a cumplir con la obligación del Cliente de responder a dicha Solicitud del Titular de los Datos y/o demostrar dicho cumplimiento, cuando sea posible, siempre que (i) el propio Cliente no pueda responder sin la asistencia de la Compañía y (ii) la Compañía pueda hacerlo de acuerdo con todas las leyes, normas y regulaciones aplicables. El Cliente será responsable, en la medida permitida legalmente, de cualquier costo y gasto que surja de dicha asistencia por parte de la Compañía.
8.Acciones y Solicitudes de Acceso; Auditorías
8.1 La Compañía, teniendo en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, brindará al Cliente cooperación y asistencia razonables cuando sea necesario para que el Cliente cumpla con sus obligaciones en virtud de GDPR para realizar una evaluación de impacto de la protección de datos y/o demostrar dicho cumplimiento. El Cliente será responsable, en la medida permitida legalmente, de cualquier costo y gasto que surja de dicha asistencia por parte de la Compañía.
8.2 La Compañía, teniendo en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, brindará al Cliente cooperación y asistencia razonables con respecto a la cooperación del Cliente y/o consulta previa con cualquier Autoridad de Supervisión, cuando sea necesario y cuando lo requiera el GDPR. El Cliente será responsable, en la medida permitida legalmente, de cualquier costo y gasto que surja de dicha asistencia por parte de la Compañía.
8.3 La Compañía mantendrá registros suficientes para demostrar su cumplimiento de sus obligaciones en virtud de este Acuerdo y conservará dichos registros durante un período de cinco (5) años después de la terminación del Acuerdo. El Cliente, previa notificación razonable a la Compañía, tendrá derecho a revisar, auditar y copiar dichos registros en las oficinas de la Compañía durante el horario comercial habitual.
8.4 Tras la solicitud por escrito del Cliente a intervalos razonables, y sujeto a controles de confidencialidad razonables, la Compañía deberá (i) poner a disposición del Cliente para su revisión copias de certificaciones o informes que demuestren el cumplimiento de la Compañía con los estándares de seguridad de datos vigentes aplicables al procesamiento del Personal Data del Cliente, o (ii) si la provisión de informes o certificaciones de conformidad con (i) no es razonablemente suficiente según Data Protection Laws, permitirá que un representante externo independiente del Cliente realice una auditoría o inspección de La infraestructura y los procedimientos de seguridad de datos de la Compañía que sean suficientes para demostrar el cumplimiento de la Compañía con sus obligaciones en virtud de Data Protection Laws, siempre que (a) el Cliente proporcione un aviso por escrito con anticipación razonable de cualquier solicitud de auditoría y dicha inspección no interrumpa irrazonablemente el negocio de la Compañía; (b) dicha auditoría sólo se realizará durante el horario comercial y no se realizará más de una vez por año calendario; y (c) dicha auditoría se limitará a los datos relevantes para el Cliente. El Cliente será responsable de los costos de dichas auditorías o inspecciones, incluido, entre otros, un reembolso a la Compañía por el tiempo dedicado a las auditorías in situ. Si el Cliente y la Compañía han celebrado Cláusulas Contractuales Estándar como se describe en la Sección 6 (Transferencias de Personal Data), las partes acuerdan que las auditorías descritas en la Cláusula 5(f) y la Cláusula 12(2) de UK SCCs y la Cláusula 8.9 de EU SCCs se llevarán a cabo de acuerdo con esta Sección 8.4.
8.5 La Compañía notificará inmediatamente al Cliente si una instrucción, en opinión de la Compañía, infringe el Data Protection Laws o la Autoridad de Supervisión. Las partes pondrán la información a que se refiere el artículo 8, incluidos los resultados de cualquier auditoría, a disposición de la Autoridad de Supervisión previa solicitud.
8.6 En caso de una Infracción de Personal Data, la Compañía, sin demora indebida y a más tardar 72 horas después de haber tenido conocimiento de ella, informará al Cliente de la Infracción de Personal Data y tomará las medidas que la Compañía, a su entera discreción, considere necesarias y razonables para remediar dicha violación (en la medida en que la remediación esté dentro del control razonable de la Compañía). En particular, la notificación deberá al menos:
(i) describir la naturaleza de la violación de datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
(ii) comunicar el nombre y datos de contacto del delegado de protección de datos u otro punto de contacto donde pueda obtenerse más información;
(iii) describir las probables consecuencias de la violación de datos personales; describir las medidas adoptadas o propuestas a adoptar por el responsable del tratamiento para abordar la violación de datos personales, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.
Cuando y en la medida en que no sea posible facilitar la información al mismo tiempo, ésta podrá facilitarse por fases sin más demoras indebidas.
8.7 En caso de una Infracción de Personal Data, la Compañía, teniendo en cuenta la naturaleza del procesamiento y la información disponible para la Compañía, brindará al Cliente la cooperación y asistencia razonables necesarias para que el Cliente cumpla con sus obligaciones en virtud de GDPR con respecto a la notificación (i) a la Autoridad de Supervisión correspondiente y (ii) a los Sujetos de datos afectados por dicha Infracción de Personal Data sin demora indebida.
8.8 Las obligaciones descritas en las Secciones 8.5 y 8.6 no se aplicarán en el caso de que una Incumplimiento resulte de las acciones u omisiones del Cliente. La obligación de la Compañía de informar o responder a una Incumplimiento de Personal Data según las Secciones 8.5 y 8.6 no se interpretará como un reconocimiento por parte de la Compañía de cualquier falla o responsabilidad con respecto a la Incumplimiento de Personal Data.
9. El papel de la empresa como controlador
Las partes reconocen y aceptan que con respecto a Customer Account Data y los datos de uso del Cliente, la Compañía es un controlador independiente, no un controlador conjunto con el Cliente. La Empresa tratará a Customer Account Data y Customer Usage Data como responsable del tratamiento (i) para gestionar la relación con el Cliente; (ii) para llevar a cabo las operaciones comerciales principales de la Compañía, tales como contabilidad, auditorías, preparación y presentación de impuestos y fines de cumplimiento; (iii) monitorear, investigar, prevenir y detectar fraudes, incidentes de seguridad y otros usos indebidos de los Servicios, y evitar daños al Cliente; (iv) para fines de verificación de identidad; (v) para cumplir con las obligaciones legales o reglamentarias aplicables al procesamiento y retención de Personal Data a las que está sujeta la Compañía; y (vi) según lo permitido por Data Protection Laws y de conformidad con este Acuerdo y el Acuerdo. La Compañía también puede procesar a Customer Usage Data como controlador para proporcionar, optimizar y mantener los Servicios, en la medida permitida por Data Protection Laws. Cualquier procesamiento por parte de la Compañía como controlador se realizará de acuerdo con la política de privacidad de la Compañía establecida en [https://www.breakcold.com/en/privacy-policy](https://www.breakcold.com/en/privacy-policy).
10.Conflicto
En caso de cualquier conflicto o inconsistencia entre los siguientes documentos, el orden de precedencia será: (1) los términos aplicables en las Cláusulas Contractuales Tipo; (2) los términos de este Acuerdo; (3) el Acuerdo; y (4) la política de privacidad de la Compañía. Cualquier reclamo presentado en relación con este Acuerdo estará sujeto a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones establecidas en el Acuerdo.
11.Incumplimiento del Contrato y resolución.
(a) Sin perjuicio de las disposiciones del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725, en caso de que la Empresa incumpla sus obligaciones en virtud del presente Acuerdo, el Cliente puede ordenar a la Empresa que suspenda el procesamiento de datos personales hasta que este último cumpla con este Acuerdo o se rescinda el contrato. La Compañía informará de inmediato al Cliente en caso de que no pueda cumplir con este Acuerdo, por cualquier motivo.
(b) El Cliente tendrá derecho a rescindir el contrato en lo que se refiere al procesamiento de datos personales de conformidad con este Acuerdo si: (1) el Cliente ha suspendido el procesamiento de datos personales por parte de la Compañía de conformidad con el punto (a) y si el cumplimiento de este Acuerdo no se restablece dentro de un tiempo razonable y, en cualquier caso, dentro del mes siguiente a la suspensión; (2) La Empresa incumple sustancial o persistentemente este Acuerdo o sus obligaciones en virtud del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725; (3) La Empresa incumple una decisión vinculante de un tribunal competente o de la Autoridad o Autoridades de Supervisión competentes en relación con sus obligaciones en virtud del presente Acuerdo o del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725.
(c) La Empresa tendrá derecho a rescindir el contrato en lo que se refiere al procesamiento de datos personales en virtud de este Acuerdo cuando, después de haber informado al Cliente que sus instrucciones infringen los requisitos legales aplicables, el Cliente insiste en el cumplimiento de las instrucciones.
(d) Tras la rescisión del contrato, la Empresa, a elección del Cliente, eliminará todos los datos personales procesados en nombre del Cliente y certificará al Cliente que lo ha hecho, o devolverá todos los datos personales al Cliente y eliminará las copias existentes, a menos que la legislación de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que los datos sean eliminados o devueltos, la Compañía continuará garantizando el cumplimiento de este Acuerdo.
Naturaleza y finalidad del tratamiento
La Compañía procesará el Personal Data del Cliente según sea necesario para proporcionar los Servicios según el Acuerdo, para los fines especificados en el Acuerdo y este Acuerdo, y de acuerdo con las instrucciones del Cliente según lo establecido en este Acuerdo.
Duración del procesamiento
La Empresa procesará el Personal Data del Cliente durante el tiempo que sea necesario (i) para proporcionar los Servicios al Cliente en virtud del Acuerdo; (ii) para las necesidades comerciales legítimas de la Compañía; o (iii) por ley o regulación aplicable. Customer Account Data y Customer Usage Data se procesarán y almacenarán según lo establecido en la política de privacidad de la Compañía.
Categorías de interesados
Empleados, consultores, contratistas y/o agentes del cliente.
Categorías de Personal Data
La Compañía procesa Personal Data contenido en Customer Account Data, Customer Usage Data y cualquier Personal Data proporcionado por el Cliente o recopilado por la Compañía para brindar los Servicios o según lo establecido en el Acuerdo o este Acuerdo. Las categorías de Personal Data incluyen nombre, correo electrónico, puesto de trabajo, nombre de usuario, identificadores de dispositivo de la empresa (por ejemplo, número de serie) y dirección IP del dispositivo de la empresa.
Datos confidenciales o categorías especiales de datos
Los clientes tienen prohibido proporcionar datos personales confidenciales o categorías especiales de datos a la Compañía, incluidos cualquier dato que revele los antecedentes penales de cualquier persona.
Exhibit B
A continuación se incluye la información requerida por Annex I y Annex III del EU SCCs, y Appendix 1 del UK SCCs.
1.Las Partes
Exportador(es) de datos
Nombre: La parte de los Términos de servicio con Logike o su Afiliado (según corresponda).
Dirección: La dirección del Data Exporter.
Nombre, cargo y datos de contacto de la persona de contacto: El nombre, cargo y datos de contacto proporcionados por Data Exporter.
Actividades relevantes para los datos transferidos bajo estas Cláusulas: Como se describe en la Sección 2 del Acuerdo.
Firma y fecha: Al utilizar los Servicios para transferir Personal Data al Data Importer, se considerará que el Data Exporter ha firmado este Exhibit B.
Rol (controlador/procesador): Controlador
Importadores de datos:
Nombre: Logike
Dirección: 128 rue de la Boétie, 75008 París, FRANCIA
Correo electrónico: contact@breakcold.com
Actividades relevantes para los datos transferidos bajo estas Cláusulas: Como se describe en la Sección 2 del Acuerdo.
Firma y fecha: Se considerará que el importador de datos ha firmado este Exhibit B en la transferencia de Personal Data por parte del Data Exporter en relación con los Servicios.
Rol (controlador/procesador): Procesador
2.Descripción de la Transferencia
Sujetos de datos
El exportador de datos puede enviar datos personales al importador de datos a través de su software, servicios, sistemas, productos y/o tecnologías, cuyo alcance está determinado y controlado por el exportador de datos de conformidad con las leyes y regulaciones de protección de datos aplicables, y que puede incluir, entre otros, datos personales relacionados con las siguientes categorías de interesados: empleados, consultores, contratistas y/o agentes de Data Exporter.
Categorías de Personal Data
Los datos personales transferidos se refieren a las siguientes categorías de datos: Cualquier dato personal comprendido en todos los datos e información enviados por Data Exporter al software, servicios, sistemas, productos y/o tecnologías de Data Importer, que pueden incluir nombre, información de contacto e información sobre prácticas de seguridad y cumplimiento.
Categoría especial Personal Data (si corresponde)
Los exportadores de datos tienen prohibido proporcionar datos confidenciales o categorías especiales a Data Importer.
Naturaleza del procesamiento
Los datos se procesan para que el Cliente administre sus programas de seguridad de la información y privacidad de datos y presente dichos programas para auditorías de terceros.
Fines del procesamiento
Para cumplir con las obligaciones de cada parte en virtud del Acuerdo.
Duración del Procesamiento y Retención (o los criterios para determinar dicho período)
Durante la vigencia del Acuerdo
Frecuencia de la transferencia | Durante la vigencia del Contrato de forma periódica a lo largo del día y/o a criterio del cliente.
Destinatarios de Personal Data transferidos al Data Importer
La empresa mantendrá una lista de Subprocesadores (Exhibit D)
3. Autoridad de Supervisión Competente
La autoridad de control será la autoridad de control del Data Exporter, según se determine de conformidad con la Cláusula 13.
Descripción de las Medidas de Seguridad Técnicas y Organizativas implementadas por el Data Importer
A continuación se incluye la información requerida por Annex II del EU SCCs y Appendix 2 del UK SCCs.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas y servicios de procesamiento
Los acuerdos con los clientes de la empresa contienen estrictas obligaciones de confidencialidad. Además, la Compañía exige que cada Subprocesador posterior firme disposiciones de confidencialidad que sean sustancialmente similares a las contenidas en los acuerdos con los clientes del Segmento.
Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico
La base de datos de respaldo se almacena en una infraestructura separada.
Medidas para la identificación y autorización de usuarios
La empresa ha establecido requisitos de contraseña estrictos y verifica que ninguna de las contraseñas utilizadas se haya filtrado. Los usuarios configuran el inicio de sesión con Google que proporciona funciones de seguridad como autenticación multifactor.
Medidas para la protección de datos durante la transmisión
La empresa ha implementado métodos y protocolos seguros para la transmisión de información confidencial o sensible a través de redes públicas. La empresa utiliza únicamente protocolos y conjuntos de cifrado seguros recomendados para cifrar todo el tráfico en tránsito (es decir, TLS 1.2).
Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales
Las medidas de seguridad física incluyen vallas, patrullas de seguridad, cámaras de video, cámaras termográficas, autenticación biométrica, tarjetas de acceso, detectores de metales y más.
Medidas para garantizar el registro de eventos
Todas las solicitudes HTTP se registran. El equipo de ingeniería gestiona el seguimiento de los registros de seguridad. Las actividades de registro se investigan cuando es necesario y se escalan adecuadamente.
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada
Todos los cambios de producción se automatizan a través de herramientas de implementación e integración continua para garantizar configuraciones consistentes.
Medidas para garantizar la minimización de datos.
Los Clientes de la Compañía determinan unilateralmente qué Datos de Información de Identificación Personal del Cliente (PII) envían a través de los Servicios. Como tal, la Compañía opera según un modelo de responsabilidad compartida. La empresa brinda a los clientes control sobre exactamente qué datos PII ingresan a la plataforma. Además, la Compañía ha incorporado una funcionalidad de autoservicio en los Servicios que permite a los Clientes eliminar y suprimir PII a su discreción.
Medidas para garantizar la calidad de los datos
Todo el software que se utiliza para procesar los datos personales del Cliente pasa por pruebas automatizadas y una revisión manual antes de entrar en producción. Los datos deben ajustarse tanto a la estructura del esquema de la base de datos como a las validaciones de formato definidas por la aplicación. Existe un proceso de control de calidad para los datos más críticos, con alertas adecuadas en caso de que los datos se modifiquen.
Medidas para garantizar una retención limitada de datos
Los Clientes de la Empresa determinan unilateralmente qué Datos del Cliente envían a través de los Servicios. Como tal, la Compañía opera según un modelo de responsabilidad compartida. Si un Cliente no puede eliminar los Datos del Cliente PII a través de la funcionalidad de autoservicio de los Servicios, entonces la Compañía elimina los Datos del Cliente previa solicitud por escrito del Cliente, dentro del plazo especificado en el Acuerdo de Protección de Datos y de acuerdo con la Ley de Protección de Datos Aplicable.
Medidas para garantizar la rendición de cuentas
La empresa ha adoptado medidas para garantizar la responsabilidad, como implementar políticas de protección de datos y seguridad de la información en toda la empresa, registrar e informar incidentes de seguridad que involucren a Personal Data y asignar formalmente roles y responsabilidades para las funciones de seguridad de la información y privacidad de los datos. Además, la Compañía realiza auditorías periódicas de terceros para garantizar el cumplimiento de nuestros estándares de privacidad y seguridad.
Medidas para permitir la portabilidad de los datos y garantizar su supresión
Todo PII en los Servicios puede ser eliminado por el Cliente o a petición del Cliente.
Medidas técnicas y organizativas de los subencargados
La Compañía celebra Acuerdos de Procesamiento de Datos con sus Subprocesadores Autorizados con obligaciones de protección de datos sustancialmente similares a las contenidas en este Acuerdo.
Subprocesadores
Logike se relaciona con entidades de terceros para realizar actividades limitadas en relación con los Servicios Logike.
Cuando Logike contrata a terceros proveedores de servicios en nuestra calidad de procesador de datos de los datos personales de los Usuarios de Logike, el Reglamento General de Protección de Datos ("GDPR") llama a estos proveedores subprocesadores.
Nombre / Datos / Finalidad del tratamiento /País
1°) Stripe Inc. / Brekacold Correos electrónicos de los usuarios, dirección de facturación, información de pago, transacciones, direcciones IP "Cloud service provider " / USA
2°) AWS / Breakcold Datos de los usuarios "/ Proveedor de servicios en la nube/ Frankfurt
3°) Azure / Breakcold Datos de usuario / "Cloud service provider " / Frankfurt
4°) Fly.io, Inc. / Breakcold Datos de los usuarios / "Proveedor de servicios en la nube / Frankfurt
5°) Functional Software, Inc. (Sentry)/ Breakcold Datos de usuario/ "Application performance monitoring "/ USA
6°) PostHog, Inc./ Breakcold Datos de usuario / Monitoreo del desempeño de aplicaciones / Frankfurt
7°) Elasticsearch B.V. / Breakcold Datos de los usuarios / Proveedor de servicios en la nube / Frankfurt
8°) Cloudflare, Inc. / Breakcold Datos de los usuarios / Red de distribución de contenidos / EE.UU.
9°) SplitBee (Vercel Inc. ) / Breakcold Datos de usuarios / Análisis de aplicaciones / Estados Unidos
10°) Vercel Inc / Breakcold Datos de los usuarios / Proveedor de servicios en la nube / EE.UU.
11°) Upstash Inc / Breakcold Datos de los usuarios / Proveedor de servicios en la nube / EE.UU.
12°) Firebase (Google Cloud Platform, Google LLC) / Breakcold Datos de los usuarios / Proveedor de servicios en la nube / EE.UU.