Anexo De Protección De Datos

 

Anexo De Protección De Datos

Este Anexo de Protección de Datos, en adelante denominado el “Anexo”, es firmado por y entre Novarise R&D Ltd., en adelante denominado “Novarise”, y el cliente que acepta este Anexo, en adelante denominado el “Cliente”. Este Anexo entrará en vigencia a partir de la Fecha de entrada en vigencia del Anexo (como se define a continuación) y reemplazará cualquier anexo de protección de datos previamente aplicable. Si acepta este Anexo en nombre del Cliente / Afiliado, declara y garantiza que:

  • Has leído y entendido este Anexo
  • Tiene plena autoridad legal para vincularse a sí mismo, o a la entidad aplicable, a estos Términos
  • Usted acepta, en nombre de la parte que representa, este Anexo.

Si no tiene la autoridad legal para vincular al Cliente, no “Firme/acepte/acceda”.

1. Introducción:

Este Anexo establece los términos que se aplicarán al procesamiento de Novarise de los Datos personales del Cliente en virtud del Acuerdo de política de privacidad ejecutado por Novarise y el Cliente .

2. Definiciones:

Términos definidos por el Reglamento general de protección de datos (GDPR):

  1. La “Fecha de vigencia del Anexo” se define como la fecha en la que el Cliente hizo clic para aceptar o aceptar este Anexo.
  2. “País adecuado” se define como un país que la Comisión Europea considera adecuado de conformidad con el artículo 25 (6) de la Directiva 95/46 / CE o el artículo 45 del RGPD.
  3. El “sujeto de datos” se define como la persona identificada o identificable que es el sujeto de los datos personales.
  4. “Datos personales” se define como cualquier información incluida en los Datos del cliente relacionada con una persona física identificada o identificable; Una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.
  5. El “procesamiento” se define en la Ley de protección de datos de la UE aplicable y el “proceso”, “procesos” y “procesados” se interpretarán en consecuencia.
  6. “Controlador de datos” se define como la parte que determina los propósitos y los medios del procesamiento de datos personales.
  7. “Procesador de datos” se define como la parte que procesa los datos personales en nombre o bajo la instrucción del controlador de datos.
  8. El “Mecanismo de transferencia de datos” se define como una solución alternativa de exportación de datos para la transferencia legal de datos de clientes (como se reconoce en la Ley de protección de datos de la UE) fuera del EEE.
  9. Las “Leyes de protección de datos” se definen con respecto a una parte, toda la privacidad, la protección de datos, la seguridad de la información y otras leyes y reglamentos aplicables a dicha parte, incluida, cuando corresponda, la Ley de protección de datos de la UE.
  10. La “Autoridad de Protección de Datos” se define como el organismo competente en la jurisdicción encargada de hacer cumplir la Ley de Protección de Datos aplicable.
  11. “EEE” significa el Espacio Económico Europeo, Reino Unido y Suiza.
  12. “Ley de protección de datos de la UE” significa
    • Antes del 25 de mayo de 2018, la Directiva 95/46 / CE de la Unión Europea; y
    • A partir del 25 de mayo de 2018, Reglamento de la Unión Europea 2016/679 (“GDPR”)
  13. Las referencias a “instrucciones escritas” y términos relacionados se refieren a las instrucciones del controlador de datos para el procesamiento de datos del cliente, que consisten en
    • Los términos del Acuerdo y este Anexo,
    • Procesamiento habilitado por el controlador de datos a través del servicio, y
    • Otras instrucciones escritas razonables del Controlador de datos consistentes con los términos del Acuerdo.
  14. Los “contratos modelo” se definen como las Cláusulas contractuales estándar para procesadores aprobadas por la Comisión Europea en virtud de la Decisión 2010/87 / UE en el formulario que se hace accesible en el espacio de trabajo de Novarise.
  15. “Incidente de seguridad” se define como cualquier violación de seguridad confirmada no autorizada o ilegal que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales en el control del procesador de datos.
  16. “Subprocesador” se define como cualquier Tercero contratado por el Procesador de datos o sus afiliados para procesar los Datos del cliente de conformidad con el Acuerdo o este Anexo.
  17. “Tercero” significará cualquier persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que no sea el sujeto de datos, el controlador de datos, el procesador de datos, los subprocesadores u otras personas que, bajo la autoridad directa del controlador de datos o datos Procesador, están autorizados para procesar los datos.
  18. Otros términos en mayúscula no definidos aquí tienen los significados dados en el Acuerdo.

Términos definidos por Novarise con respecto al GDPR:

  1. Los “Sujetos de datos” se definen para incluir a las personas sobre las cuales se proporcionan datos a Novarise a través de los Servicios por (o bajo la dirección de) el Cliente.
  2. Los “Detalles del procesamiento del tema en cuestión” se definen como el tema del procesamiento de datos en este Anexo son los Datos del cliente.
  3. La “Duración del procesamiento” se define como la duración del procesamiento de datos bajo este Anexo hasta la terminación del Acuerdo más el período desde la expiración del Acuerdo hasta la eliminación de todos los Datos del cliente por parte de  Novarise  de acuerdo con los términos del Anexo .
  4. “Naturaleza y propósito del procesamiento” se define como el propósito del procesamiento bajo este Anexo es la prestación del Servicio al Cliente y el cumplimiento de las obligaciones de  Novarise según el Acuerdo (incluido este Anexo) o según lo acordado de otra manera por las partes .
  5. Las “Categorías de datos” se definen como datos relacionados con individuos proporcionados a  Novarise  cuando los Clientes se registran, inician sesión, usan el producto, interactúan con el sitio web e interactúan con los anuncios.
  6. Las “medidas de seguridad” se definen como las medidas que  Novarise  acepta utilizar. Son medidas técnicas y organizativas comercialmente razonables diseñadas para evitar el acceso no autorizado, el uso, la alteración o la divulgación del Servicio o los Datos del cliente.

3. Terminación:

  1. Este Anexo forma parte del Acuerdo y, a excepción de lo expresamente establecido en este Anexo, el Acuerdo permanece sin cambios y en pleno vigor y efecto. Si hay algún conflicto entre este Anexo y el Acuerdo, este Anexo prevalecerá en la medida de ese conflicto en relación con el Procesamiento de Datos Personales del Cliente.
  2. Todas las actividades de este Anexo (incluido, entre otros, el Procesamiento de datos del cliente) quedan sujetas a las limitaciones de responsabilidad aplicables establecidas en el Acuerdo.
  3. Este Anexo se regirá e interpretará de conformidad con las disposiciones legales y de jurisdicción vigentes en el Acuerdo, a menos que las Leyes de protección de datos aplicables exijan lo contrario.
  4. Este Anexo y los Contratos Modelo finalizarán automáticamente al vencimiento o finalización del Acuerdo.

4. Alcance y aplicabilidad de este Anexo:

  1. Esta regulación se aplica al procesamiento de los datos personales en el contexto de las actividades del establecimiento de un Controlador o Procesador en la UE.
  2. Este Anexo se aplica donde y en la medida en que  Novarise  procesa Datos del Cliente que se originan en el EEE o que están sujetos a la Ley de Protección de Datos de la UE en nombre del Cliente en el curso de la prestación del Servicio de conformidad con el Acuerdo.
  3. Este Anexo se aplica donde y en la medida en que  Novarise  procesa Datos del Cliente que se originan en el EEE o que están sujetos a la Ley de Protección de Datos de la UE en nombre del Cliente en el curso de la prestación del Servicio de conformidad con el Acuerdo.

5. Papel y alcance del procesamiento:

  1. El Cliente actuará como el Controlador de datos y  Novarise  actuará como el Procesador de datos en virtud de este Anexo. Tanto el Cliente como  Novarise  estarán sujetos a las Leyes de Protección de Datos aplicables en el cumplimiento de sus responsabilidades según lo establecido en este Anexo.
  2. El Cliente retiene todos los derechos de propiedad sobre los Datos del Cliente, según lo establecido en el Acuerdo. Salvo que el Cliente lo autorice expresamente por escrito o según lo indique el Cliente,  Novarise  no tendrá derecho, directa o indirectamente, a vender, alquilar, arrendar, combinar, mostrar, realizar, modificar, transferir o divulgar los Datos del Cliente o cualquier trabajo derivado de los mismos. Novarise  actuará solo de acuerdo con las instrucciones del Cliente con respecto al Procesamiento de los Datos del Cliente, excepto en la medida en que lo prohíban las Leyes de Protección de Datos aplicables.
  3. Las instrucciones adicionales que no sean consistentes con el alcance del Acuerdo requieren un acuerdo previo por escrito de las partes, incluido el acuerdo sobre cualquier tarifa adicional pagadera por el Cliente.
  4. Sin perjuicio de lo anterior, el Cliente reconoce que  Novarise  tendrá derecho a utilizar Datos Anónimos Agregados como se detalla en la Sección 4.4 del Acuerdo.
  5. Novarise  no divulgará los Datos del Cliente a ningún Tercero en ninguna otra circunstancia que no sea en cumplimiento de las instrucciones del Cliente o en cumplimiento de una obligación legal de revelar. Novarise  informará al Cliente por escrito antes de realizar cualquier divulgación legalmente requerida, en la medida permitida por las Leyes de Protección de Datos.
  6. Para mayor claridad, nada en este Anexo limita a  Novarise  a transmitir los Datos del Cliente (incluidos, entre otros, los Datos Personales) según las instrucciones del Cliente a través del Servicio.

6. Subprocesamiento:

  1. Las obligaciones de Novarise en virtud de este Anexo se aplicarán a los empleados, agentes y Subprocesadores de  Novarise que puedan tener acceso a los Datos personales.
  2. El Cliente acepta que  Novarise  está autorizado a usar Subprocesadores (incluidos, entre otros, proveedores de infraestructura de nube ‘cloud’) para Procesar los Datos Personales, siempre que  Novarise :
    • Entra en un acuerdo por escrito con cualquier Subprocesador, imponiendo obligaciones de protección de datos sustancialmente similares a este Anexo; y
    • Sigue siendo responsable del cumplimiento de las obligaciones de este Anexo y de cualquier acto u omisión del Subprocesador que haga que  Novarise  incumpla cualquiera de sus obligaciones en virtud de este Anexo.
  3. La información sobre los subprocesadores, incluidas sus funciones y ubicaciones, está disponible a pedido y Novarise puede actualizarla  periódicamente  de acuerdo con este Anexo.

7. Seguridad:

  1. Novarise  implementará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos personales de incidentes de seguridad y preservar la seguridad y confidencialidad de los Datos personales, de acuerdo con  los estándares de seguridad de Novarise .
  2. El Cliente es responsable de revisar la información puesta a disposición por  Novarise en  relación con la seguridad de los datos y tomar una determinación independiente sobre si el Servicio cumple con los requisitos y obligaciones legales del Cliente según las Leyes de Protección de Datos. El Cliente reconoce que las Medidas de seguridad están sujetas a progreso técnico y que  Novarise  puede actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad general del Servicio adquirido por el Cliente.
  3. Novarise  se asegurará de que cualquier persona autorizada por el Cliente para procesar Datos personales (incluido su personal, agentes y Subprocesadores) esté bajo una obligación contractual o estatutaria de confidencialidad apropiada.

8. Transferencia en adelante:

  1. Novarise  puede, sujeto al cumplimiento de esta Sección 8, almacenar y procesar Datos del Cliente en cualquier parte del mundo donde  Novarise , sus afiliados o Subprocesadores mantengan operaciones de procesamiento de datos.
  2. En la medida en que  Novarise  procese los Datos personales protegidos por GDPR y/u originarios del EEE en los Estados Unidos u otro país fuera del EEE que no esté designado como País adecuado, las partes deberán firmar los Contratos modelo.
  3. Las partes acuerdan que  Novarise  es el “importador de datos” y el Cliente es el “exportador de datos” en virtud de los Contratos Modelo (a pesar de que el Cliente puede ser una entidad ubicada fuera del EEE).
  4. Las partes acuerdan que la solución de exportación de datos identificada en la Sección 8.B no se aplicará si y en la medida en que  Novarise  adopte un Mecanismo de transferencia alternativo. En cuyo caso, se aplicará el Mecanismo de transferencia alternativo (pero solo en la medida en que dicho Mecanismo de transferencia alternativo se extienda a los territorios a los que se transfieren los Datos personales).

9. Cumplimiento normativo:

  1. A solicitud y gasto del Cliente ,  Novarise  deberá ayudar razonablemente al Cliente según sea necesario para cumplir con sus obligaciones con las autoridades reguladoras, incluidas las Autoridades de Protección de Datos.
  2. Novarise  deberá (a expensas del Cliente) ayudar razonablemente al Cliente a responder a las solicitudes de las personas en relación con sus derechos de acceso a los datos, rectificación, borrado, restricción, portabilidad y objeción. En el caso de que dicha solicitud se haga directamente a  Novarise ,  Novarise  no responderá a dicha comunicación directamente sin la autorización previa del Cliente a menos que lo exijan las Leyes de Protección de Datos.

10. Revisiones del procesamiento de datos:

  1. A solicitud del Cliente,  Novarise  proporcionará al Cliente respuestas por escrito a todas las solicitudes razonables de información realizadas por el Cliente relacionadas con el Procesamiento de Datos Personales en virtud de este Anexo, incluidas las respuestas a los cuestionarios de seguridad y auditoría, en cada caso únicamente en la medida necesaria para confirmar  Novarise El cumplimiento de este Anexo.
  2. Novarise  proporcionará dicha información dentro de los treinta (30) días de la solicitud por escrito del Cliente, a menos que las autoridades reguladoras del Cliente requieran un aviso más corto.
  3. Excepto por lo expresamente requerido por las Leyes de Protección de Datos, cualquier revisión bajo esta Sección 10:
    • Realizarse no más de una vez al año durante el  horario comercial normal de Novarise , de manera que no interfiera con las operaciones comerciales estándar;
    • Estar sujeto a las  restricciones razonables de confidencialidad y seguridad de Novarise ;
    • Realizarse a expensas del cliente; y
    • No se extenderá a ninguna información, sistema o instalación de otros clientes de  Novarise o de sus proveedores de infraestructura de terceros.
  4. Cualquier información proporcionada por  Novarise en  virtud de esta Sección 10 constituye  la Información confidencial de Novarise en virtud del Acuerdo.

11. Devolución o eliminación de datos:

  1. Novarise  deberá, dentro de los noventa (90) días posteriores a la solicitud del Cliente al término o vencimiento del Acuerdo, eliminar o devolver, a elección del Cliente, todos los Datos personales de los sistemas de  Novarise . Dentro de un período razonable después de la eliminación, a solicitud del Cliente,  Novarise  proporcionará una confirmación por escrito de que se han  cumplido las obligaciones de Novarise de eliminación o destrucción de datos.
  2. Sin perjuicio de lo anterior, el Cliente entiende que  Novarise  puede retener los Datos del Cliente según lo exigen las Leyes de Protección de Datos, datos que seguirán sujetos a los requisitos de este Anexo.

12. Seguridad adicional:

  1. Al enterarse de un Incidente de Seguridad confirmado,  Novarise  notificará al Cliente sin demora indebida, de conformidad con las Medidas de Seguridad. No obstante lo anterior,  Novarise  no está obligado a hacer tal notificación en la medida prohibida por las Leyes de Protección de Datos, y  Novarise  puede retrasar dicha notificación según lo solicite la policía y/o en vista de las necesidades legítimas de  Novarise de investigar o remediar el asunto antes proporcionar aviso
  2. Cada aviso de un incidente de seguridad incluirá:
    • La medida en que los Datos personales se han utilizado, o se cree razonablemente que se han utilizado, accedido, adquirido o revelado durante el Incidente de seguridad;
    • Una descripción de lo que sucedió, incluida la fecha del Incidente de seguridad y la fecha del descubrimiento del Incidente de seguridad, si se conoce;
    • El alcance del Incidente de Seguridad, en la medida conocida; y
    • Una descripción de la respuesta de  Novarise al Incidente de seguridad, incluidos los pasos que  Novarise  ha tomado para mitigar el daño causado por el Incidente de seguridad.
  3. Novarise  tomará medidas razonables para mitigar los efectos nocivos del Incidente de seguridad y evitar un mayor acceso o divulgación no autorizados.

13. Cambios a los subprocesadores:

Cuando se involucra un nuevo Subprocesador, Novarise, al menos una semana antes de que el nuevo Subprocesador procese los Datos del Cliente, informará al Cliente sobre el compromiso enviando un correo electrónico o mediante la notificación en la aplicación. 

14. Cooperación adicional:

  1. Donde y cuando lo requieran las Leyes de Protección de Datos,  Novarise  proporcionará a las Autoridades de Protección de Datos relevantes información relacionada con el Procesamiento de Datos Personales de Novarise. Novarise  acuerda además que mantendrá dichos registros requeridos y, cuando sea necesario, los renovará durante la vigencia de este Anexo. Cualquier cambio en el estado de  Novarise a este respecto se notificará al Cliente inmediatamente, ya sea por correo electrónico o notificaciones en la aplicación.
  2. En la medida en que  Novarise  sea requerido por las Leyes de Protección de Datos,  Novarise  deberá (a expensas del Cliente) proporcionar información razonablemente solicitada sobre el Servicio o consultas previas con las Autoridades de Protección de Datos para que el Cliente pueda realizar evaluaciones de impacto de protección de datos. Novarise