Acuerdo de procesamiento de datos

    DefinicionesTratamientoPersonalSeguridadSubencargadoDerechos bajo los datosViolación de datosEvaluación del efecto de la protección de datosSupresión o devolución de datosDerechos de auditoríaDisposiciones finalesApéndice: medidas técnicas y organizativas

Acuerdo de procesamiento de información


Este Acuerdo de procesamiento de datos entre PrismaNote y los minoristas o marcas complementa los Términos de servicio. Bajo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, PrismaNote tiene una posición de 'Procesador' y los usuarios de PrismaNote tienen una posición de 'Responsable' con respecto a los datos personales proporcionados por los usuarios de PrismaNote.


El Acuerdo de procesamiento de datos es una parte integral de los Términos de servicio. Los términos de este Acuerdo reemplazan cualquier disposición de los Términos de servicio en la medida en que dicha disposición entre en conflicto con las disposiciones de este Acuerdo de procesamiento de datos.


En la política de privacidad nos gustaría ofrecer transparencia sobre cómo PrismaNote es el 'Controlador'.

1. Definiciones


1.1 Las siguientes definiciones explican parte de la terminología y las abreviaturas utilizadas en este Anexo a los Términos de servicio:

    "DPA" se refiere a este Acuerdo de Procesamiento de Datos. "Términos" se refiere al acuerdo de Términos de Servicio. "Procesador/Procesador" se refiere a PrismaNote. "Controlador/Controlador" se refiere al usuario registrado de los servicios de PrismaNote. "Procesamiento" se refiere a cualquier operación o serie de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, reconciliación o combinación, restricción, borrado o destrucción. 'Datos/Datos' significa información proporcionada por el Controlador al Procesador en relación con una persona física identificada o identificable; una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de esa persona física. "Sujeto de datos" se refiere a una persona física identificada o identificable a quien se relacionan los datos. "Violación de datos" se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los datos transmitidos, almacenados o de otro modo. datos procesados.

2. Procesamiento


2.1 El Procesador se compromete a procesar todos los Datos de acuerdo con el RGPD y otras leyes, estatutos y reglamentos aplicables.


2.2 El Procesador solo puede procesar los Datos de acuerdo con las instrucciones documentadas del Controlador. Las instrucciones a las que se hace referencia en el presente están incorporadas en los Términos o pueden estar contenidas en otro documento escrito preparado o intercambiado entre el Controlador y el Procesador.


2.3 Durante la vigencia de este DPA, el Controlador sigue siendo el propietario de los Datos transferidos al Procesador. Nada en este DPA debe interpretarse como una transferencia de propiedad de los Datos al Procesador u otro Tercero.


2.4 El Controlador garantiza que los Datos se obtienen de conformidad con las leyes, estatutos y reglamentos aplicables y que el Procesamiento solicitado por el Controlador no viola ninguna ley, estatuto o reglamento aplicable.


2.5 Los datos pueden procesarse dentro del plazo de este DPA.

3. Personal


3.1 El Procesador se asegura de que todos los empleados, contratistas y otras personas que trabajen bajo la autoridad del Procesador estén sujetos a una estricta declaración de confidencialidad antes de darles acceso a los Datos.


3.2 El Procesador tomará medidas para garantizar que una persona que actúe bajo la autoridad del Procesador que tenga acceso a los Datos no los procese, excepto por instrucciones del Controlador.

4. Seguridad


4.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de los Interesados, el Procesador tomará adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras:

    La seudonimización y el cifrado de los Datos; La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento; La capacidad de restaurar la disponibilidad y el acceso a los Datos de manera oportuna en el caso de una falla física o incidente técnico; Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.


4.2 Al evaluar el nivel adecuado de seguridad, se tendrán especialmente en cuenta los riesgos asociados con el procesamiento, en particular los que resulten de la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los datos transmitidos, almacenados o procesados de otra manera, accidental o ilegalmente. .

5. Subprocesador


5.1 El Procesador no contratará a ningún otro Procesador sin el consentimiento previo, específico o general, por escrito del Controlador. Por consentimiento general por escrito, el Procesador informará al Controlador de los cambios previstos con respecto a la adición o reemplazo de otros procesadores, dándole al Controlador la oportunidad de objetar dichos cambios. El Controlador puede oponerse a dichos cambios por escrito dentro de los quince (15) días posteriores a la recepción de la notificación de cambios.


5.2 Si el Procesador contrata a otro procesador para realizar actividades de procesamiento específicas en nombre del Controlador, las mismas obligaciones de protección de datos establecidas en este DPA se impondrán a ese otro procesador por contrato u otro acto legal. Se toman medidas técnicas y organizativas suficientes y apropiadas de tal manera que el procesamiento cumpla con los requisitos de las leyes, estatutos y reglamentos aplicables. Si ese otro procesador no cumple con sus obligaciones de protección de datos, el Procesador sigue siendo totalmente responsable ante el Controlador por el cumplimiento de las obligaciones de ese otro procesador.

6. Derechos en virtud de los datos


6.1 El Procesador, teniendo en cuenta la naturaleza del Procesamiento, ayudará al Controlador con las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con las obligaciones del Controlador, según lo entienda razonablemente el Controlador, para responder a las solicitudes de ejercicio. Derechos de los interesados en virtud del RGPD.


6.2 El procesador:

    Notificar al Controlador de inmediato si el Procesador o Subprocesador recibe una solicitud de un Sujeto de datos de conformidad con el RGPD u otra ley, estatuto o regulación aplicable relacionada con los Datos; y Asegurarse de que el Procesador o Subprocesador no responda a esa solicitud excepto en instrucciones documentadas del Controlador o según lo exija la ley aplicable a la que está sujeto el Procesador o Subprocesador, en cuyo caso el Procesador, en la medida permitida por la ley aplicable, informe al Controlador a su disposición de ese requisito legal antes de que el Encargado o Subencargado responda a la solicitud.

7. Violación de datos


7.1 El Procesador informará al Controlador sin demora indebida después de tener conocimiento de una Fuga de datos que afecte a los Datos. Al hacerlo, proporcionará al Controlador información suficiente para permitirle cumplir con cualquier obligación de informar a las autoridades competentes e informar a los Interesados sobre la Fuga de datos cuando sea necesario.


7.2 El Procesador cooperará con el Controlador y tomará todas las medidas comerciales razonables prescritas por el Controlador para ayudar en la investigación, mitigación y recuperación de dicha Violación de datos.

8. Evaluación de impacto de la protección de datos y consulta preliminar


8.1 El Procesador proporcionará al Controlador asistencia razonable en cualquier evaluación de impacto de la protección de datos y consulta previa con las autoridades de protección de datos competentes. En cualquier caso, únicamente en relación con el Procesamiento de los Datos por y en vista de la naturaleza del procesamiento y la información disponible para el Procesador, que el Controlador cree razonablemente que requiere el RGPD o disposiciones equivalentes de cualquier otra ley aplicable.

9. Eliminación o devolución de datos


9.1 Sujeto a los párrafos 9.2 y 9.3, el Procesador y cualquier subprocesador, si lo hubiere, inmediatamente y en cualquier caso dentro de los treinta (30) días a partir de la fecha de terminación de los servicios relacionados con el procesamiento de los datos (la "Terminación Fecha"), elimínelo y asegúrese de que se eliminen todas las copias de esos datos.


9.2 Sujeto al párrafo 9.3, el Controlador puede, a su exclusivo criterio, mediante notificación por escrito al Procesador dentro de los siete (7) días posteriores a la Fecha de terminación, solicitar al Procesador y a cualquier Subprocesador que devuelva una copia completa de todos los Datos al Procesador. Controlador mediante transferencia segura de archivos en un formato que el Controlador haya informado razonablemente al Procesador; y


9.3 El Procesador puede retener los Datos en la medida requerida y solo durante el período requerido por la ley aplicable y siempre que el Procesador garantice la confidencialidad de todos esos Datos y se asegure de que dichos Datos solo se procesen si es necesario para el propósito o propósitos. especificado en las leyes aplicables que requieran almacenamiento y para ningún otro propósito.


9.4 El Procesador debe declarar por escrito al Controlador dentro de los sesenta (60) días posteriores a la Fecha de terminación que el Procesador ha cumplido plenamente con este Artículo 9.

10. Derechos de auditoría


10.1 Sujeto a las disposiciones de este artículo 10, el Procesador, previa solicitud, pondrá a disposición del Controlador toda la información necesaria para demostrar el cumplimiento de este DPA, y facilitará y cumplirá con las auditorías, incluidas las inspecciones, por parte del Controlador o un auditor autorizado. por el Contralor. en cuanto al tratamiento de los datos.


10.2 Los derechos de información y auditoría del Controlador solo aparecen en la sección 10.1 en la medida en que los Términos no les otorguen derechos de información y auditoría que cumplan con los requisitos relevantes del RGPD.

11. Disposiciones finales


11.1 Cualquier asunto no regido por este DPA se regirá por los Términos o cualquier Declaración de trabajo u Orden ingresada o intercambiada entre las partes de este DPA.


11.2 Si se determina que alguna parte de este DPA es inválida, ilegal o inaplicable en algún aspecto, esto no afectará la validez o aplicabilidad del resto de los Términos.


11.3 El hecho de no ejercer o hacer cumplir cualquier derecho o disposición de este DPA no constituirá una renuncia a ese derecho o disposición.


11.4 Los títulos de las secciones en el DPA son solo por conveniencia y no tienen ningún efecto legal o contractual.

Anexo 1: medidas técnicas y organizativas del Encargado


El procesador toma las siguientes medidas técnicas y organizativas de seguridad de datos en el sentido del artículo 28 del RGPD:


Confidencialidad

    Asignación de derechos de usuarioCreación de perfiles de usuarioAutenticación de usuarios por nombre de usuario y contraseñaLas contraseñas asignadas se reemplazan por contraseñas individuales seguras en el primer inicio de sesiónRequisitos de contraseña, como número mínimo de caracteres y pautas de complejidadProtección de contraseña mediante cambios periódicosAutorización solo por parte del administradorUso de tecnología VPNUso de software antivirusUso de cortafuegosActualizaciones constantes de software antivirus, cortafuegos, sistema operativo y otro softwareSeparación de la red corporativa y WLAN de invitadosInstrucciones para regular el uso de Internet y correo electrónico (uso privado prohibido)Uso de soportes de datos probados y aprobadosAutorizaciones basadas en rolesInstrucciones de procedimiento para cancelar los derechos de accesoAdministrador separado cuentas Destrucción segura de archivos y soportes de datos y cifrado (utilizamos TSL para el cifrado) Seudonimización a través de números de cliente/usuario


Integridad

    Protocolo de instalación y operación de sistemas de TIGarantizar la seguridad de los archivos de registro (acceso restringido solo para el administrador de la red)Conclusión de un contrato u otro instrumento legal de conformidad con el artículo 28 del RGPD y cumplimiento de estas normasEvaluación de las medidas técnicas y organizativas tomadas por Subprocesadores Los empleados de PrismaNote están obligados a mantener la confidencialidad de los datos.


Precauciones y precauciones de seguridad

    Puertas cortafuegosExtintor de incendios con agente extintor adecuado disponibleCopia de seguridad periódica de datos


Procedimientos para el seguimiento y la evaluación regulares

    Gestión de la protección de datos (directrices de protección de datos, directrices de seguridad informática, instrucciones de protección de datos, descripciones de los procesos de protección de datos) Registro de actividades de tratamiento Formación periódica y sensibilización de los empleados Obligación de los empleados de mantener la confidencialidad de los datos Obligación de terceros de mantener la confidencialidad de los datos DPA con terceros proveedor de terceros y subprocesadores de acuerdo con el artículo 28 del RGPD

Última modificación: 15/02/2020

Share by: