ADJUNTO 3 - ADDENDUM DE PROTECCIÓN DE DATOS DE GPRD
ADJUNTO 3 - ADDENDUM DE PROTECCIÓN DE DATOS DE GPRD
Este Addendum de protección de datos ("Addendum") forma parte del ("Acuerdo") EUSA entre
(i) Xxxxxx, LLC (“Xxxxxx”) y Usted, siendo cada uno una “Parte” y en conjunto “las Partes”.
Las partes acuerdan por medio de la presente que los términos y condiciones fijados a continuación serán agregados como un Addendum, y las referencias a este Addendum son para el Acuerdo según lo enmendado por, e incluido en este Adendum.
1. Definiciones
1.1 En este Addendum, los siguientes términos tendrán los significados establecidos a continuación y los términos similares se ajustarán en forma correspondiente:
(a) "Fecha efectiva del Addendum" tiene el significado que se le da en la sección 2;
(b) "Afiliado" significa una entidad que es dueña y controla, pertenece a y es controlada por o está bajo el control común o propiedad entre usted x Xxxxxx "según el siguiente contexto", donde el control es definido como la posesión, directa o indirecta, del poder para dirigir o causar la dirección de la gerencia y pólizas de la entidad, ya sea a través de tener la seguridad del voto, por contrato o de otra forma;
(c) "Datos personales" significa cualquier dato personal procesado por Xxxxxx (i) a nombre suyo o de cualquier Afiliado, o (ii) procesado de otra forma por Xxxxxx, en cada caso de acuerdo con o en conexión con las instrucciones dadas por usted por escrito, consistentes con el Acuerdo;
(d) "Ley de protección de datos" significa la Directiva 95/46/EC y, desde el 00 xx xxxx xx 0000, xx Xxxxxxxxxx (XX) 216/679 (" GDPR"), junto con la legislación aplicable que implementa o suplementa el mismo o de otra manera relacionado con el procesamiento de datos personales de personas naturales, junto con orientación vinculante y códigos de práctica emitidas de tiempo en tiempo para las autoridades de supervisión relevantes;
(e) "Escudo de protección" significa el marco de escudo de privacidad Eu-US y el marco de escudo de privacidad Suiza-Estados Unidos; y
(f) "Servicios" significa los servicios que Xxxxxx le puede suministrar a usted y/o a los afiliados en concordancia con el Acuerdo.
1.2 Los términos "Controlador", "Sujeto de datos", "Datos personales", "Violación de los datos personales", "Procesos" y "Procesador" tiene los mismos significados como fueron descritos en las Leyes de Protección de Datos y términos afines serán interpretados en consecuencia.
1.3 Los términos en mayúsculas no definidos en este Addendum tendrán los significados establecidos para ellos en el Acuerdo.
2. Formación de este Addendum
Este Addendum es acordado por las Partes y es efectivo el 25 xx xxxx del 2018.
3. Funciones de las Partes
Las Partes aceptan y acuerdan que con relación al Procesamiento de datos personales y como se describe en forma más exhaustiva en el Anexo 1 adjunto, usted actúa como Controlador y Xxxxxx actúa como Procesador.
4. Descripción del procesamiento de datos personales
En el Anexo 1 de este Addendum, las Partes han establecido de común acuerdo su entendimiento de los detalles del procesamiento de datos personales a ser procesados por Xxxxxx de acuerdo con este Addendum, como es exigido por el artículo 28(3) del GDPR. Cualquier Parte puede hacer enmienda xxxxxxxxxx xx Xxxxx 0 por medio de notificación escrita a la otra parte y como sea razonablemente necesario para cumplir estos requerimientos. El Anexo 1 no crea ninguna obligación o derecho para cualquiera de las Partes.
5. Términos del procesamiento de datos
5.1 Xxxxxx deberá cumplir todas las leyes de protección de datos aplicables al Procesamiento de datos personales y Xxxxxx deberá:
5.1.1 tratar los Datos Personales exclusivamente bajo las instrucciones documentadas por Usted, con el fin de proporcionar los Servicios y según resulte necesario para el cumplimiento de sus obligaciones bajo el Contrato, incluido lo relacionado con las transferencias de Datos Personales a terceros partes fuera de la Unión Europea o a una organización internacional (a menos que lo exija la legislación de la Unión o de algún estado miembro al cual Xxxxxx esté sujeta, en cuyo caso Xxxxxx ile informará a usted [o al Afiliado pertinente] de dicho requisito legal antes de tal Procesamiento, a menos que la ley prohíba divulgar dicha información por motivos de interés público);
5.1.2 asegurarse de que las personas autorizadas para el procesamiento de Datos Personales estén comprometidas con mantener la confidencialidad o que estén sujetas a una obligación estatutaria de confidencialidad apropiada;
5.1.3 implementar y mantener las medidas técnicas y organizacionales establecidas en el Acuerdo, las cuales han sido acordadas mutuamente por las Partes de conformidad con el Artículo 32 del GDPR, considerando la evaluación del nivel de seguridad adecuado para los Datos Personales y los riesgos que se presentan por el Procesamiento, en especial de la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o el acceso o daño de tales Datos personales. Cualquier enmienda a tales medidas acordadas que sea necesaria por un cambio en los tipos de Datos Personales procesados, o en los riesgos de su Procesamiento deberá ser resuelto mediante un proceso de control de cambios acordado entre Xxxxxx y usted;
5.1.4 Por medio de la presente usted autoriza expresa y específicamente x Xxxxxx a vincular a otro Procesador para que Procese los Datos personales ("Subprocesador") y específicamente a los Subprocesadores enumerados en el Anexo 2, sujeto a que Xxxxxx:
a. le notifique a usted de cualquier cambio que tiene la intención de hacer en el uso de los Subprocesadores enumerados en el Annexo 2 por medio de enviarle a usted una notificación por correo electrónico de la intención de cambio;
b. incluya en los términos de su contrato con cada subprocesador que sean materialmente iguales a los establecidos en este Addendum; y
x. xxxx siendo responsable ante usted por cualquier falla cometida por él subprocesador en el cumplimiento de sus obligaciones con relación al Procesamiento de los datos personales.
Con relación a la notificación recibida bajo la Sección 5.1.4 a., Usted tendrá un periodo de 30 (treinta) días a partir de la fecha de la notificación para informar por escrito x Xxxxxx sobre cualquier objeción razonable acerca del uso de dicho Subprocesador. Entonces las partes, por un periodo de no más de 30 (treinta) días desde la fecha de su objeción, trabajarán en buena fe para intentar encontrar una solución comercialmente razonable para usted que evite de la utilización del subprocesador objetado. Donde no se pueda encontrar tal solución, cualquiera de las partes puede (independiente de cualquier disposición contraria en el Acuerdo) terminar inmediatamente los servicios relevantes por medio de notificación escrita a la otra Parte, sin penalización o indemnización.
5.1.5 notificarle inmediatamente a Usted [o al Afiliado relevante] de cualquier comunicación de parte de un Sujeto de datos con relación al Procesamiento de datos personales, o de cualquier otra comunicación (incluidas las procedentes de autoridades de supervisión) en relación con cualquier obligación bajo las leyes de protección de datos con respecto a los Datos personales y, teniendo en cuenta la naturaleza del Procesamiento, ayudarle a Usted [o al Afiliado pertinente] a través de medidas técnicas y organizacionales apropiadas, en la medida de lo posible, para el cumplimiento de su obligación [o la del Afiliado pertinente] a dar respuesta a solicitudes para ejercer los derechos del Interesado establecidos en el Capítulo III del GDPR; Usted acepta pagar x Xxxxxx por el tiempo excedente [dos horas-persona] y por los gastos de bolsillo en los que incurra Xxxxxx en conexión con el desempeño de sus obligaciones bajo esta sección 5.1.5;
5.1.6 notificarle a Usted [o al Afiliado pertinente] sin retrasos injustificados de cualquier Violación de los Datos Personales, al enterarse Xxxxxx de una Violación de los Datos Personales; dicha notificación incluirá toda la información razonablemente requerida por Usted [y cualquier Afiliado] para cumplir con sus obligaciones de conformidad con las Leyes de Protección de datos;
5.1.7 asistirle a Usted [o al Afiliado pertinente] con las obligaciones de conformidad con los Artículos 32 a 36 del GDPR tomando en cuenta la naturaleza del Procesamiento y la información disponible x Xxxxxx; Usted acepta pagar x Xxxxxx por el tiempo excedente [dos horas-persona] y por los gastos menores incurridos por Xxxxxx en conexión con cualquier asistencia proporcionada relacionada con los Artículos 32 a 36 del GDPR;
5.1.8 cesar el Procesamiento de datos personales al momento de la terminación o expiración del Acuerdo y a la elección suya [o del Afiliado pertinente] devolver o eliminar (incluso garantizando que tales datos estén en un formato ilegible) todas las copias de sus Datos personales procesados por Xxxxxx, al menos que (y solo en la medida y durante el periodo que sea necesario) la legislación de la Unión o de algún estado miembro exija el almacenamiento de datos personales; y
5.1.9 poner a la disposición de Usted [y de todos los Afiliados] cuando se solicite y corriendo Usted con los costes, toda la información necesaria para demostrar cumplimiento con este Addendum y con el Artículo 28(3)(h) del GDPR y permitir auditorías y contribuir con estas, incluidas las inspecciones, por parte suya [o cualquier Afiliado] o un auditor nombrado por Usted [o cualquier Afiliado] a sus propias expensas.
6. Precedencia
Las disposiciones de este Addendum son suplementarias a las disposiciones del Acuerdo. En caso de cualquier inconsistencia entre las disposiciones de este Addendum y las disposiciones del Contrato, prevalecerán las disposiciones de este Addendum.
EN TESTIMONIO DE LO CUAL, se inscribe este Addendum y se convierte en parte vinculante del Contrato a partir de la Fecha de vigencia del Addendum.
Anexo 1: Descripción del procesamiento de datos personales
Este Anexo incluye ciertos detalles del Procesamiento de datos personales de conformidad con el Artículo 28 (3) del GDPR.
Exportador de datos
El exportador de datos es (por favor especifique brevemente sus actividades relevantes a la transferencia):
Xxxxxx su nombre y sus Afiliados, incluyendo tales afiliados que puedan ser agregados durante la vigencia del Acuerdo Maestro. El Exportador de datos puede entrar Datos personales en el curso de la utilización de los servicios basados en la web del Importador de datos.
Sujetos de datos
Los datos personales transferidos se refieren a las siguientes categorías de sujetos de datos (por favor especifique):
El Exportador de datos podrá enviar Datos personales a los servicios basados en la web, o el Importador de datos podrá recibir Datos personales al proporcionar productos y servicios, la extensión es determinada y controlada por el Exportador de datos, que podrán incluir, entre otros, Datos personales relacionados con las siguientes categorías de Sujetos de datos:
1. Prospectos, clientes, socios de negocio y vendedores de los Exportadores de datos;
2. Empleados actuales y exempleados o personas de contacto de los clientes potenciales, clientes, socios comerciales y proveedores del Exportador de Datos;
3. Empleados, agentes, asesores, trabajadores independientes o el Exportador de datos; y
4. Los usuarios del Exportador de datos autorizados por el Exportador de datos para utilizar los servicios.
Categorías de datos
Los datos personales transferidos conciernen a las siguientes categorías de datos (por favor especifique):
El Exportador de datos puede enviar datos personales al importador para el desempeño de los Servicios, la extensión de la cual estará determinada y controlada por el exportador de datos, y la cual puede incluir, pero no se limita a las siguientes categorías de Datos personales:
(a) Nombre y apellido;
(b) Título;
(c) Cargo;
(d) Empleador;
(e) Información de contacto (compañía, correo electrónico, teléfono, dirección comercial física);
(f) Datos de identificación;
(g) Datos de vida profesional;
(h) Datos de vida personal;
(i) Datos de conexión;
(j) Datos de localización;
(k) Seguro;
(l) Diversidad e igualdad de oportunidades;
(m) procedimientos de seguridad, accidentes e incidentes;
(n) programas de drogadicción y alcohol;
(o) seguridad para conducir y vehicular;
(p) higiene industrial y salud ocupacional;
(q) responsabilidad social corporativa, sostenibilidad y temas ambientales;
(r) control de calidad, certificaciones, licenciamiento; cualificaciones;
(s) datos de impuestos;
(t) Cualificaciones financieras e información de facturación, como el nombre y dirección de facturación, número de tarjeta de crédito y número de usuarios.
Datos de categorías especiales (si procede)
Los datos personales transmitidos conciernen a las siguientes categorías especiales de datos (por favor especifique):
El Exportar de datos podrá enviar categorías especiales de datos a servicios basados en web (o el Importador de datos podrá recibir categorías especiales de datos al proporcionar productos y servicios), la extensión de la cual será determinada y controlada por el exportador de datos.
Procesamiento de operaciones
Los datos personales transferido estará sujetos a las siguientes actividades básicas de procesamiento (por favor especifique), todas las cuales son necesarias para prestar servicios:
Las actividades de procesamiento incluyen proporcionar servicios de hosting (alojamiento de datos), mantenimiento de software y servios de apoyo, servicios de capacitación y servicios de desarrollo al Exportador de datos de conformidad con el acuerdo e instrucciones del Exportador de datos.
Anexo 2: Lisra de Subprocesadores
Lista de Subprocesadores | ||
Subprocesadores | Categoría | Propósito |
E3 Learning | Aplicación de un tercero hospedada | Aplicación utilizada para proporcionar un sistema de gestión de aprendizaje y rastreo del cumplimiento |
Overnite Software Inc | Aplicación de un tercero hospedada | Aplicación utilizada para proporcionar sistema de gestión de aprendizaje y rastreo del cumplimiento |
SafetyFile | Aplicación de un tercero hospedada | Aplicación utilizada para proporcionar gestión de acreditación y cumplimiento |
Logi Analytics | Aplicación de un tercero hospedada | Aplicación utilizada para proporcionar productos de visualización interactiva de datos para la inteligencia de negocios y análisis comercial |
Netscribes | Agencia contratada | Consultores para proporcionar inteligencia xx xxxxxxx, investigación xx xxxxxxx, contenido basado en la investigación y servicios de comercio electrónico |