Entra
Tocar

Acuerdo de procesamiento de datos del proveedor

Descargue el PDF del acuerdo de procesamiento de datos del proveedor

Este acuerdo de procesamiento de datos (»DPA»), en vigor a partir del 21 de diciembre de 2023 por y entre Eton y el Vendedor, establece los términos y condiciones relacionados con la privacidad, la confidencialidad, la seguridad y la protección de los datos personales (tal como se definen a continuación) asociados a los servicios prestados o los productos proporcionados por el vendedor a Eton (y/o sus Filiales) de conformidad con cualquier acuerdo entre Eton y el Vendedor (y/o sus Filiales), independientemente de si dicho acuerdo existe a partir de la fecha de entrada en vigor o después (dicho acuerdo, según corresponda, los «Servicios») Acuerdo»), que, junto con este DPA, el «Acuerdo») .

El Vendedor y Eton también se denominarán colectivamente»Fiestas» e individualmente como»Fiesta».

Las Partes acuerdan lo siguiente:

1. Definiciones
En este DPA, los siguientes términos tendrán los siguientes significados:

1.1. »Personas autorizadas» se refiere a todas y cada una de las personas facultadas formal y adecuadamente para desempeñar funciones específicas asociadas a una oficina o un acuerdo o contrato e incluirá en este contexto al personal, los agentes y los subcontratistas del Vendedor.

1.2. »Controlador» se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del procesamiento de los datos personales.

1.3. »Leyes de protección de datos» significa, según corresponda a las partes, todas las leyes, normas, reglamentos, directivas y requisitos gubernamentales de protección de datos aplicables actualmente en vigor y a medida que entren en vigor en relación de alguna manera con la privacidad, la confidencialidad, la seguridad o la protección de los datos personales, e incluirá el GDPR, la PDPA, la CCPA y la CPRA.

1.4. »Sujeto de datos» significará una persona física identificada o identificable. Una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.

1.5. »Datos personales» significará cualquier información relacionada con un sujeto de datos.

1.6. »Violación de datos personales» se refiere a una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizados a los datos personales transmitidos, almacenados o procesados de otro modo, de forma accidental o ilegal.

1.7. »Procesador» se refiere a una persona física o jurídica, autoridad pública, agencia u otro organismo que procese datos personales en nombre del controlador.

1.8. »Servicios» se refiere al trabajo realizado por el vendedor para Eton según lo establecido en un contrato de servicios.

1.9. «Contrato de servicios» significará el acuerdo entre el Vendedor y Eton en el que se describen y rigen los Servicios que el Vendedor proporcionará a Eton.

1,10. «Procesamiento/Para procesar» se refiere a cualquier operación o conjunto de operaciones que se realice con datos personales, ya sea por medios automáticos o no, como la recopilación, el registro, la organización, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o la puesta a disposición de otro modo, la alineación o combinación, el bloqueo, el borrado o la destrucción.

2. Procesamiento de datos

2.1. En relación con la prestación de los Servicios a Eton, el Vendedor reconoce y acepta que puede procesar los datos personales únicamente cuando sea necesario para cumplir con sus obligaciones en virtud del Acuerdo de servicios y estrictamente de acuerdo con las instrucciones documentadas de Eton (la»Propósito permitido«) tal como se establece en este DPA, en este caso, el vendedor informará a Eton de ese requisito legal antes del procesamiento, a menos que la ley lo prohíba por motivos importantes de interés público.

2.2. El vendedor reconoce que Eton puede ser el controlador o el procesador de los datos personales y, cuando Eton sea el procesador, el vendedor reconoce que será un subprocesador de Eton. Cada Parte se adherirá y cumplirá con las obligaciones que le sean aplicables en virtud de las leyes de protección de datos aplicables.

2.3. Subprocesamiento: Eton y el Vendedor aceptan la lista de subprocesadores del Anexo C que puede contratar el Vendedor. El vendedor obtendrá el consentimiento explícito por escrito de Eton antes de añadir o eliminar un subprocesador externo para procesar los datos personales, siempre que: (i) el vendedor obtenga el consentimiento de Eton al menos 15 días antes de añadir o eliminar cualquier subprocesador (incluidos los detalles del procesamiento que realiza o realizará) a o de la lista de subprocesadores existentes en el Anexo C del presente documento; (ii) el vendedor contrata a subprocesadores de terceros mediante un contrato que se impone al subprocesador, en esencia, las mismas obligaciones de protección de datos que las impuestas a la El vendedor cumple con esta DPA y se asegura de que el subprocesador cumpla con las obligaciones a las que está sujeto el vendedor en virtud de esta DPA y de las leyes de protección de datos aplicables. El vendedor se asegurará de que los subprocesadores no contraten más a ningún subprocesador de terceros. A petición de Eton, el Vendedor proporcionará una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior a Eton. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el vendedor puede redactar el texto del acuerdo antes de compartir la copia. El Vendedor aceptará con el subprocesador una cláusula de beneficiario externo según la cual, en caso de que el Vendedor haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, Eton tendrá derecho a rescindir el contrato del subprocesador y a ordenar al subprocesador que borre o devuelva los Datos personales; y (iii) el Vendedor será plenamente responsable de cualquier incumplimiento de esta DPA causado por un acto, error u omisión de su subprocesador. Si Eton se niega a dar su consentimiento al nombramiento por parte del Vendedor de un subprocesador externo por motivos razonables relacionados con la protección de los datos personales, Eton puede optar por suspender o rescindir el Acuerdo de servicios sin penalización.

2.4. Confidencialidad del procesamiento: El vendedor restringirá a su personal el procesamiento de datos personales sin autorización. El vendedor impondrá las obligaciones contractuales adecuadas a su personal, incluidas las obligaciones pertinentes en relación con la confidencialidad, la protección y la seguridad de los datos. El Vendedor se asegurará de transferir sus obligaciones a cualquier persona a la que autorice a procesar datos personales (incluido el personal del Vendedor bajo cualquier cargo, el personal del Vendedor y los subcontratistas) (un»Persona autorizada«) estará sujeto a una estricta obligación de confidencialidad (ya sea una obligación contractual o legal) y no permitirá que ninguna persona procese datos personales que no esté sujeta a dicha obligación de confidencialidad. El vendedor se asegurará de que todas las personas autorizadas procesen los datos personales solo cuando sea necesario para el propósito permitido.

2,5. Para evitar dudas, cualquier instrucción que lleve a un procesamiento fuera del alcance de esta DPA (por ejemplo, porque se introduce un nuevo propósito de procesamiento) requerirá un acuerdo previo entre las Partes y, cuando corresponda, estará sujeta al procedimiento de cambio de contrato en virtud del acuerdo respectivo..

2.6. El vendedor informará a Eton por escrito sin demora indebida si, en opinión del vendedor, una instrucción infringe las leyes de protección de datos y proporcionará por escrito una explicación detallada de los motivos de su opinión.

3. Seguridad de los datos

El vendedor implementará las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales y protegerlos contra una violación de datos personales, tal como se especifica en el Anexo B del presente documento. Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica para los interesados.

4. Plazo y terminación

4.1. Este DPA entra en vigor a partir de la firma. Continuará en pleno vigor y efecto mientras el Vendedor procese datos personales de conformidad con el Acuerdo de servicios.

4.2. Cuando se requieran modificaciones para garantizar el cumplimiento de esta DPA con las leyes de protección de datos, las Partes harán todos los esfuerzos razonables para acordar dichas enmiendas a solicitud del Controlador. Cuando las Partes no puedan ponerse de acuerdo sobre dichas modificaciones, Eton podrá rescindir el Acuerdo de servicios y este DPA con [●] días de antelación por escrito al Vendedor.

4.3. Sin perjuicio de las disposiciones de las leyes de protección de datos aplicables, en caso de que el vendedor incumpla sus obligaciones en virtud de este DPA, Eton puede ordenar al vendedor que suspenda el procesamiento de datos personales hasta que este último cumpla con este DPA o se rescinda el contrato de servicios. El vendedor informará sin demora a Eton en caso de que no pueda cumplir con este DPA, por cualquier motivo.

4.4. Eton tendrá derecho a rescindir el Acuerdo de servicios en lo que respecta al procesamiento de datos personales de acuerdo con esta DPA si:

a. el procesamiento de datos personales por parte del vendedor ha sido suspendido por Eton de conformidad con la cláusula 4.3 y si el cumplimiento de esta DPA no se restablece en un plazo razonable y, en cualquier caso, dentro del [●] mes siguiente a la suspensión;

b. el Vendedor incumple de manera sustancial o persistente esta DPA o sus obligaciones en virtud de las leyes de protección de datos aplicables;

c. el Vendedor no cumple con una decisión vinculante de un tribunal competente o de las autoridades supervisoras competentes en relación con sus obligaciones en virtud de esta DPA o de las leyes de protección de datos aplicables.

4.5. El Vendedor notificará a Eton si no puede seguir prestando los Servicios en virtud del Acuerdo de servicios, en virtud del cual, Eton tiene derecho a rescindir este DPA.

4.6. El vendedor tendrá derecho a rescindir el contrato de servicios en lo que respecta al procesamiento de datos personales en virtud de esta DPA cuando, tras haber informado a Eton de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la cláusula 2.6, Eton insista en cumplir las instrucciones.

5. Acciones y solicitudes de acceso

5.1. El vendedor ayudará a Eton en caso de que las autoridades de protección de datos tomen alguna medida. Por la presente, el vendedor otorga permiso a Eton para divulgar, a su entera discreción, el contenido de esta DPA a sus clientes y/o a cualquier autoridad de protección de datos que lo solicite. A solicitud de Eton, el Vendedor proporcionará a Eton un contacto designado para todas las consultas relacionadas con la privacidad.

5.2. El vendedor proporcionará toda la asistencia razonable y oportuna a Eton para que Eton pueda responder a:

(i) cualquier solicitud de un sujeto de datos para ejercer cualquiera de sus derechos en virtud de las leyes aplicables (incluidos sus derechos de acceso, corrección, objeción, borrado y portabilidad de datos, según corresponda); y

(ii) cualquier otra correspondencia, consulta o reclamación recibida de un interesado, organismo regulador u otro tercero en relación con el procesamiento de los datos personales. En caso de que dicha solicitud, correspondencia, consulta o reclamación se dirija directamente al Vendedor, el Vendedor informará sin demora a Eton y, si procede, al Controlador, proporcionándole todos los detalles de la misma.

5.3. El vendedor cooperará con Eton y la ayudará a cumplir con sus obligaciones en virtud de las leyes de protección de datos, incluidas las solicitudes de derechos de los interesados, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el vendedor.

6. Transferencias internacionales

Eton y el Vendedor implementarán medidas técnicas y organizativas para garantizar que cualquier transferencia transfronteriza de datos personales esté protegida con medidas adecuadas a las leyes de protección de datos, incluidas, entre otras, la evaluación de adecuación, la evaluación del impacto de la transferencia, la estructura de gobierno de datos, etc. o cualquier otra medida tal como se menciona en el Anexo B de la DPA. Se aclara por la presente que las medidas técnicas y organizativas del Anexo B son de naturaleza indicativa y no deben considerarse agotadas. Las Partes pueden acordar de mutuo acuerdo modificar las medidas de acuerdo con las mejores prácticas industriales vigentes y/o las leyes aplicables.

7. Notificación de incumplimiento

7.1. En el caso de una violación de datos personales relacionada con los datos procesados por el vendedor o el subprocesador, el vendedor notificará a Eton la violación de datos personales sin demora indebida y, en cualquier caso, dentro de las 48 horas posteriores a que el vendedor tenga conocimiento de la violación. Dicha notificación contendrá, como mínimo:

(a) una descripción de la naturaleza de la infracción (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos en cuestión);

b) los detalles de un punto de contacto en el que pueda obtenerse más información sobre la violación de los datos personales;

c) sus posibles consecuencias y las medidas adoptadas o propuestas para hacer frente a la infracción, incluso para mitigar sus posibles efectos adversos.

7.2. Cuando, y en la medida en que, no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se proporcionará más información, a medida que esté disponible, sin demora indebida.

7.3. Las Partes establecerán en el Anexo C todos los demás elementos que proporcionará el Vendedor para ayudar a Eton a cumplir con las obligaciones de Eton en virtud de las leyes de protección de datos aplicables.

8. Eliminación o devolución de datos

En cualquier momento durante la vigencia del Acuerdo de servicios, a solicitud por escrito de Eton o tras la rescisión o el vencimiento del Acuerdo de servicios por cualquier motivo, el Vendedor dará instrucciones a todas las personas autorizadas para que eliminen de forma segura todas las copias de los datos personales y certifiquen por escrito a Eton que dichos datos personales se han eliminado de forma segura. El vendedor cumplirá con todas las instrucciones proporcionadas por Eton con respecto a la devolución o eliminación de los datos personales y proporcionará un certificado de devolución o eliminación al devolver la eliminación de los datos personales. El vendedor acepta que infringirá esta DPA si descubre que hay copias de datos personales en poder del vendedor después de que se haya emitido dicho certificado. Hasta que se eliminen o devuelvan los datos, el vendedor seguirá garantizando el cumplimiento de esta DPA.

9. Derechos de auditoría

El vendedor deberá poder demostrar el cumplimiento de este DPA. El Vendedor mantendrá registros completos y precisos en relación con el desempeño del Vendedor en virtud de este DPA y conservará dichos registros durante el período que Eton le comunique de conformidad con la ley aplicable del Acuerdo de servicios. El Vendedor permitirá a Eton (o a sus auditores externos designados) auditar el cumplimiento por parte del Vendedor de este DPA y pondrá a disposición de Eton toda la información, los sistemas y el personal necesarios para que Eton (o sus auditores externos) lleven a cabo dicha auditoría. El Vendedor reconoce que Eton (o sus auditores externos) pueden entrar en sus instalaciones con el fin de realizar esta auditoría, siempre que Eton notifique al Vendedor con una antelación razonable su intención de auditar, la lleve a cabo durante el horario laboral normal y tome todas las medidas razonables para evitar interrupciones innecesarias en las operaciones del Vendedor. Eton será responsable de los costes de dichas auditorías, a menos que se determine que el vendedor ha infringido esta DPA. El vendedor se compromete, a su costa, a realizar cualquier cambio solicitado por Eton para corregir las deficiencias descubiertas en dichas auditorías o pruebas.

10. Evaluación del impacto de la protección de datos

El vendedor proporcionará a Eton toda la asistencia razonable y oportuna que Eton pueda necesitar para llevar a cabo una evaluación de impacto en la protección de datos y, si es necesario, para consultar con las autoridades de protección de datos pertinentes.

11. Indemnización

El vendedor indemnizará, defenderá y eximirá de responsabilidad a Eton y sus filiales y a sus respectivos accionistas, directores, funcionarios, empleados y agentes de todos los gastos, responsabilidades, daños y costos (incluidos los costos de liquidación y los honorarios razonables de los abogados) que surjan de una reclamación de un tercero relacionada con el incumplimiento por parte del vendedor de sus obligaciones en virtud de esta DPA.

12. Misceláneo

12.1. En caso de conflicto, las disposiciones de este DPA prevalecerán sobre el Acuerdo de servicios o las disposiciones de cualquier otro acuerdo entre Eton y el Vendedor. En caso de conflicto entre esta DPA y las leyes de protección de datos aplicables, las leyes de protección de datos aplicables prevalecerán sobre las disposiciones del resto de la DPA.

12.2. Ninguna de las Partes recibirá ninguna remuneración por el cumplimiento de sus obligaciones en virtud de esta DPA, excepto según lo establecido explícitamente en el Acuerdo de servicios.

12,3. Cuando esta DPA requiera una «notificación por escrito», dicha notificación también se puede comunicar por correo electrónico a la otra Parte.

12,4. Cualquier acuerdo complementario o enmienda a este DPA debe hacerse por escrito y estar firmado por ambas Partes.

12,5. Si las disposiciones individuales de este DPA se vuelven nulas, inválidas o inviables, esto no afectará a la validez del resto de las condiciones de este DPA.

El Cliente y Eton, cada uno a través de su representante debidamente autorizado, aceptan los términos y condiciones de este DPA a partir de la fecha de entrada en vigor.

 

PROGRAMAR UNA

A. LISTA DE PARTES

Eton: [Identidad y datos de contacto de Eton y, cuando proceda, de su responsable o representante de protección de datos]

1. Nombre: ____________________________________________

Dirección: ____________________________________________

Nombre, cargo y datos de contacto de la persona de contacto: ____________________________________________

Actividades relevantes para los datos transferidos en virtud de estas cláusulas: según lo establecido en la Parte B.

Firma y fecha: ____________________________________________

Función (controlador/procesador): controlador/procesador

Vendedor (es): [Identidad y datos de contacto de los vendedores, incluida cualquier persona de contacto responsable de la protección de datos]

1. Nombre: ____________________________________________

Dirección: ____________________________________________

Nombre, cargo y datos de contacto de la persona de contacto: ____________________________________________

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: ____________________________________________

Firma y fecha: ____________________________________________

Función (controlador/procesador): procesador/subprocesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de sujetos de datos cuyos datos personales se transfieren

Eton puede enviar datos personales a los Servicios, cuyo alcance es determinado y controlado por Eton a su entera discreción, y que pueden incluir, entre otros, datos personales relacionados con las siguientes categorías de sujetos de datos [Para enumerar los sujetos de datos cuyos datos personales se transfieren (por ejemplo, HNI, empleado, etc.)]

Categorías de datos personales transferidos

Eton puede enviar datos personales al vendedor, cuyo alcance es determinado y controlado por Eton a su entera discreción, y que pueden incluir, entre otros, las siguientes categorías de datos personales: (nombres...), títulos, cargo, empleador, información de contacto (correo electrónico, teléfono, fax, dirección física, etc.), datos de identificación, datos de conexión o datos de localización (incluidas las direcciones IP), datos de solicitud de los clientes de Eton. [Para completar los datos personales que se comparten con el proveedor (por ejemplo, nombre, correo electrónico, número de teléfono, etc.)] Se transfirieron datos confidenciales (si procede) y se aplicaron restricciones o salvaguardas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales [Para enumerar las categorías de datos sensibles transferidos, si las hubiera] La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua) Los datos personales se transfieren de forma continua

Propósito (s) de la transferencia de datos y su posterior procesamiento

Los datos personales se transfieren durante el acceso y el uso por parte de Eton de los Servicios para que el Vendedor pueda prestar los Servicios. El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período Tras la cancelación de la cuenta de Eton, el vendedor eliminará todos los datos personales de conformidad con la cláusula 8 de la DPA. Este requisito no se aplicará en la medida en que la ley aplicable permita al Vendedor retener algunos o todos los Datos personales, en cuyo caso Eton aislará y protegerá los Datos personales de cualquier procesamiento posterior. Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento Como se describe en el Anexo C.

HORARIO B

MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas implementadas por los vendedores (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y el propósito del procesamiento, y los riesgos para los derechos y libertades de las personas físicas.

Personas

  • Concienciación e higiene en materia de ciberseguridad
  • Verificación de antecedentes (antecedentes penales, educación, empleo anterior, verificaciones de crédito, por nombrar algunos)
  • Manual del empleado
  • Boletines informativos y correos electrónicos para reforzar la conciencia sobre ciberseguridad.

Proceso

  • Política y procedimientos de seguridad de la información
  • Política de uso aceptable
  • Proceso disciplinario por infracciones
  • Política de gestión de cambios
  • Política de respuesta a incidentes
  • Prácticas de BCP y DR
  • Política de administración de terceros (proveedores)
  • Política de clasificación de datos
  • Acceso a los datos según el principio de privilegios mínimos:
  • Tengo que hacer
  • Derecho a saber
  • Política de Clear Desk Clear Screen.

Técnico

  • Controles de acceso físico
  • Controles de acceso basados en roles con definición granular de roles.
  • Cifrado de datos en reposo, en proceso y en tránsito
  • Cifrado de ordenadores portátiles mediante el cifrado de Windows Bit Locker.
  • Todo el acceso remoto a través de VPN
  • Protección de red de varios niveles mediante el uso de enrutadores, servidores proxy, firewall L7 y WAF
  • Sistema de detección de intrusos
  • Supervisión de registros, detección de incidentes y respuesta
  • Política de refuerzo de dispositivos.
  • Respaldo y recuperación
  • Centro de seguridad
  • Bóveda de llaves
  • Administración de parches
  • Motor antimalware y antivirus

HORARIO C

LISTA DE SUBPROCESADORES

Eton ha autorizado el uso de los siguientes subprocesadores:

1. Nombre: ____________________________________________

Dirección: ____________________________________________

Nombre, cargo y datos de contacto de la persona de contacto: ____________________________________________

Descripción del procesamiento (incluida una delimitación clara de las responsabilidades en caso de que se autoricen varios subprocesadores): ____________________________________________

2. Nombre: ____________________________________________

Dirección: ____________________________________________

Nombre, cargo y datos de contacto de la persona de contacto: ____________________________________________

Descripción del procesamiento (incluida una delimitación clara de las responsabilidades en caso de que se autoricen varios subprocesadores): ____________________________________________

3. etcétera.