Este Acuerdo de Procesamiento de Datos (este "DPA") se celebra entre Simplenet Hosting SRL ("Simplenet", "nosotros") y el Cliente ("Cliente", "usted"), denominados en conjunto "Las Partes". Este acuerdo (“DPA”) es parte de los Términos de servicio, la Política de privacidad y otras políticas relevantes disponibles aquí .
El Cliente que acepta estos términos ingresa en este DPA en su propio nombre en la medida requerida por las Regulaciones y Leyes de Protección de Datos aplicables y en la medida en que Simplenet procese los Datos del Cliente según las instrucciones del Controlador (como se define en la Sección 1).
En el curso de la prestación de los Servicios al Cliente, Simplenet puede procesar Datos del Cliente en nombre del Cliente. Las Partes acuerdan cumplir con las siguientes disposiciones con respecto a los Datos del Cliente, actuando cada una de manera razonable y de buena fe.
1. Definiciones.
A menos que se defina lo contrario en este DPA, todos los términos en mayúscula tienen los significados que se describen a continuación:
“Acuerdo” significa los Términos de Servicio y otras políticas relevantes anunciadas en nuestro sitio web, junto con su Pedido para la compra de Servicios y la confirmación del Pedido enviada por Simplenet.
“Pedido” significa cualquier pedido del Cliente para la compra de los respectivos servicios.
“Sitio” significa el sitio web de Simplenet y todos los servicios que ofrecemos a través de nuestro sitio web.
“Servicios” significa cualquier servicio de alojamiento que ofrecemos y que el Cliente haya adquirido y que podría implicar el procesamiento de Datos personales por parte de Simplenet.
“Socio” significa cualquier entidad que directa o indirectamente controle, esté controlada o esté bajo control común con la entidad sujeta a Simplenet. “Control”, a los efectos de esta definición, significa propiedad o control directo o indirecto de más del 50% de las participaciones con derecho a voto de la entidad en cuestión.
“Productos adicionales” significa cualquier característica, producto, software, programa, complemento, complemento, script, herramienta o cualquier otro software o contenido de terceros que no forme parte de los Servicios pero al que se pueda acceder a través del Área de usuario de Simplenet o el Control. Panel, instalado por el Cliente o de otro modo para el uso de los Servicios.
“GDPR” significa el Reglamento general de protección de datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos de clientes y a la libre circulación de dichos datos. y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
“Responsable” significa la persona física o jurídica que, sola o conjuntamente con otras, determina los fines y medios del procesamiento de los datos de los clientes;
“Datos del Cliente” significa cualquier “Dato Personal” que se proporciona a Simplenet por, o en nombre del Cliente, a través de su uso de los Servicios y que se almacena en la cuenta del Cliente (para evitar dudas, los Datos Personales forman parte del pedido del Cliente para la compra del respectivo servicio no será tratada como Datos del Cliente). Los datos del cliente pueden incluir, entre otros, datos del cliente en el sentido establecido en el RGPD.
"Datos personales" tiene el significado que se le atribuye en el artículo 4 del RGPD.
“Leyes y reglamentos de protección de datos” significa todos los reglamentos y leyes, incluidas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo y sus estados miembros, Suiza y el Reino Unido, aplicables al procesamiento de datos del cliente en virtud de este DPA.
“Sujeto de datos” significa la persona identificada o identificable con quien se relacionan los Datos del Cliente.
“Fecha de entrada en vigor” significa, según corresponda:
- 25 de mayo de 2018, si el Cliente ha ejecutado Pedidos y aceptado los Acuerdos o las Partes han acordado este DPA con respecto al Acuerdo aplicable antes o en dicha fecha; o
- la fecha en la que el Cliente hizo clic para aceptar el Acuerdo o las Partes acordaron este DPA con respecto al Acuerdo aplicable, si dicha fecha es posterior al 25 de mayo de 2018.
"Procesamiento" tiene el significado que se le atribuye en el artículo 4 del RGPD.
“Procesador” significa la entidad que procesa los Datos del Cliente en nombre del Controlador.
“Simplenet” significa la entidad Simplenet que es parte de este DPA, como se especifica en la sección, una empresa constituida en Rumania (número de registro CIF: RO22199266), con dirección: Str. 22 de diciembre 3/B/16, 600196 Bacău, Rumania.
“Cláusulas Contractuales Estándar” o “CEC” significan las cláusulas estándar de protección de datos para la transferencia de Datos del Cliente, como se describe en el Artículo 46, p.2, c) del RGPD, Apéndice 1 de este DPA.
“Subprocesador” significa cualquier Procesador contratado por Simplenet.
“Autoridad de Supervisión” significa una autoridad pública independiente, que está establecida en Rumania dentro del territorio del Estado miembro de la UE de conformidad con el RGPD.
“Plazo” significa el período desde la Fecha de Entrada en Vigor hasta el final del suministro de los Servicios por parte de Simplenet en virtud del Acuerdo aplicable, incluido, si corresponde, cualquier período durante el cual los Servicios puedan haber sido suspendidos y cualquier período posterior a la terminación (es decir, 60 días calendario ) durante el cual Simplenet podrá continuar brindando Servicios con fines transitorios.
“Pérdidas de Protección de Datos” significa todas las responsabilidades, incluyendo:
- costos (incluidos los costos legales);
- reclamos, demandas, acciones, acuerdos, cargos, procedimientos, gastos, pérdidas y daños (ya sean materiales o inmateriales, e incluso por angustia emocional);
- en la medida permitida por la Ley Aplicable:
- multas administrativas, sanciones, responsabilidades u otros recursos impuestos por una Autoridad de Supervisión de Protección de Datos o cualquier otra Autoridad Reguladora relevante;
- compensación a un Interesado ordenada por una Autoridad de Control de Protección de Datos;
- los costos razonables del cumplimiento de las investigaciones realizadas por una Autoridad de Supervisión de Protección de Datos o cualquier otra Autoridad Reguladora relevante; y
- los costos de carga de Datos del Cliente y reemplazo de materiales y equipos del Cliente, en la medida en que los mismos se pierdan o dañen, y cualquier pérdida o corrupción de Datos del Cliente, incluido el costo de rectificación o restauración de Datos del Cliente;
“Dirección de correo electrónico de notificación” significa la dirección de correo electrónico especificada por el Cliente en la sección Mis detalles en el Área de usuario para recibir ciertas notificaciones de Simplenet.
2. Procesamiento de datos.
2.1. Alcance
Este DPA se aplica donde y solo en la medida en que Simplenet procese Datos personales en nombre del Cliente durante la prestación de los Servicios y dichos Datos personales estén sujetos a las Leyes de protección de datos de la Unión Europea, el Espacio Económico Europeo y/o sus miembros. estados unidos, Suiza y/o el Reino Unido (denominados en el presente documento “Datos del Cliente”).
Si el Cliente que acepta este DPA ya es un Cliente, este DPA forma parte del Acuerdo, la Política de Privacidad y otras políticas y documentos relevantes anunciados en nuestro sitio web. En tal caso, la entidad Simplenet se considerará parte de este DPA.
Este DPA es efectivo solo para la cuenta del Cliente para la que fue acordado. Si el Cliente posee varias cuentas, se contratará un DPA para cada cuenta individual por separado.
Este DPA será válido y legalmente vinculante solo para la entidad física/legal indicada en la cuenta en el Área de Usuario y solo para los Servicios comprados directamente a Simplenet dentro de la cuenta respectiva.
Si la entidad del Cliente que acepta este DPA no es parte de un Pedido ni del Acuerdo, este DPA no es válido y no es legalmente vinculante. Dicha entidad debe solicitar que la entidad del Cliente que es parte del Acuerdo ejecute este DPA.
Este DPA, incluidos sus apéndices, excepto las cláusulas de la Política de Privacidad, será efectivo y reemplazará cualquier término previamente aplicable a la privacidad, el procesamiento de datos y/o la seguridad de los datos.
2.2. Cumplimiento de las Leyes.
Si las Leyes de Protección de Datos de la Unión Europea se aplican a este DPA, cada parte cumplirá con las obligaciones que le corresponden según la Legislación Europea de Protección de Datos con respecto al procesamiento de los Datos del Cliente.
2.3. Objeto y detalles del procesamiento de datos
2.3.1 Materia
Simplenet procesará los Datos del Cliente según sea necesario para la prestación de los Servicios, el soporte técnico relacionado y otras consultas de conformidad con el Acuerdo y según las instrucciones adicionales del Cliente en su uso de los Servicios.
2.3.2. Duración del procesamiento
Sujeto a la Sección 11, la duración del procesamiento de datos será el Plazo designado en la Orden y el Acuerdo aplicable.
2.3.3. Naturaleza y finalidad del tratamiento
Simplenet procesará los Datos del Cliente con el fin de proporcionar los Servicios y el soporte técnico relacionado al Cliente de acuerdo con el Acuerdo, este DPA y otras políticas relevantes.
2.3.4. Categorías de interesados
El Cliente puede enviar Datos del Cliente durante el uso de los Servicios, cuyo alcance lo determina y controla el Cliente a su entera discreción, y que puede incluir, entre otros, Datos personales relacionados con las siguientes categorías de interesados :
- Prospectos, clientes, socios comerciales y proveedores del Cliente (que son personas físicas y jurídicas);
- Empleados o personas de contacto de los clientes potenciales, clientes, socios comerciales y proveedores del Cliente;
- Empleados, agentes, asesores, autónomos del Cliente (que sean personas físicas);
- Usuarios del Cliente autorizados por el Cliente para utilizar los Servicios;
- Personas que transmiten datos a través de los Servicios, incluidas las personas que colaboran y se comunican con el Cliente o los usuarios finales del Cliente;
- Personas cuyos datos se proporcionan a Simplenet a través de los Servicios por o bajo la dirección del Cliente o por los usuarios finales del Cliente.
2.3.5. Categorías de datos personales
El Cliente puede enviar Datos del Cliente durante el uso de los Servicios, cuyo alcance lo determina y controla el Cliente a su exclusivo criterio, y que puede incluir, entre otros, Datos personales relacionados con las siguientes categorías de Datos personales. :
- Nombre
- DIRECCIÓN
- Dirección de correo electrónico
- Cualquier dato personal relacionado con individuos.
2.4. Funciones de las partes
Las partes reconocen y acuerdan que:
- Simplenet es un procesador de Datos del Cliente según la Legislación Europea de Protección de Datos;
- El Cliente es responsable o procesador, según corresponda, de los Datos del Cliente según la Legislación Europea de Protección de Datos; y ha obtenido todos los consentimientos y derechos necesarios según las Leyes de Protección de Datos para que Simplenet procese los Datos del Cliente y proporcione los Servicios de conformidad con el Acuerdo y este DPA.
2.5. Instrucciones para el Tratamiento de Datos.
Simplenet procesará los Datos del Cliente de acuerdo con este DPA, que son las instrucciones completas y finales del Cliente a Simplenet en relación con el procesamiento de los Datos del Cliente. El procesamiento fuera del alcance de este DPA (si corresponde) requerirá un acuerdo previo por escrito entre Simplenet y el Cliente sobre instrucciones adicionales para el procesamiento. Al celebrar este DPA, el Cliente indica a Simplenet que procese los Datos del Cliente únicamente de acuerdo con la ley aplicable:
- para proporcionar los Servicios y soporte técnico y de otro tipo relacionado;
- según lo inicien el Cliente y los usuarios finales en su uso de los Servicios;
- como se especifica en el Acuerdo, los Términos de servicio, la Política de privacidad y otras políticas relevantes que rigen la prestación de los Servicios y el soporte técnico y de otro tipo relacionado.
2.6. Acceso o Uso.
Simplenet no accederá ni utilizará los Datos del Cliente, excepto cuando sea necesario para proporcionar los Servicios y el soporte técnico relacionado al Cliente de acuerdo con el DPA, el Acuerdo y otras políticas relevantes.
2.6.1. Procesamiento del Cliente.
El Cliente, al utilizar los Servicios, procesará sus Datos de acuerdo con los requisitos de las Leyes y Reglamentos de Protección de Datos que le sean aplicables. El Cliente será el único responsable de la exactitud, calidad y legalidad de sus Datos y de los medios por los cuales el Cliente adquirió estos Datos.
2.6.2. Procesamiento de datos de clientes por parte de Simplenet.
Simplenet solo procesará los datos del cliente en nombre y de acuerdo con las instrucciones documentadas del cliente para los siguientes fines:
- Procesamiento para proporcionar los Servicios y soporte técnico relacionado de acuerdo con este DPA y los Pedidos aplicables;
- Procesamiento iniciado por los Usuarios en su uso de los Servicios;
- Tratamiento necesario para mantener y mejorar los Servicios.
2.6.3. Cumplimiento de las instrucciones de Simplenet.
A partir de la Fecha de Entrada en Vigor, Simplenet deberá cumplir con las instrucciones descritas anteriormente en la Sección Instrucciones del Cliente, incluso con respecto a las transferencias de datos, a menos que la legislación de la UE o de los Estados miembros de la UE a la que está sujeto Simplenet requiera otro procesamiento de Datos del Cliente por parte de Simplenet, en cuyo caso Simplenet informará al Cliente (a menos que la ley prohíba a Simplenet hacerlo por motivos importantes de interés público) a través del Sitio o la Dirección de correo electrónico de notificación.
Simplenet, los Usuarios Autorizados y los Subprocesadores pueden acceder a los Datos del Cliente y procesarlos para cumplir con las obligaciones establecidas en este DPA y el Acuerdo respectivo o para proporcionar ciertos servicios en nombre de Simplenet. Dicho procesamiento cumplirá con las medidas descritas en las Secciones 3, Sección 7 y Anexo 2 Medidas de Seguridad.
2.7. Derechos de los Titulares de los Datos.
2.7.1. Acceso, Rectificación, Tratamiento Restringido, Portabilidad.
Durante el Plazo aplicable, Simplenet, de manera consistente con la funcionalidad de los Servicios, permitirá al Cliente acceder, rectificar y restringir el procesamiento de los Datos del Cliente, incluso mediante la eliminación de todos o algunos de los Datos del Cliente bajo su cuenta o la eliminación del cuenta completa como se describe en la Sección 2.6. (Devolución y Eliminación de datos de clientes), y mediante exportación de Datos de Clientes.
2.7.2. Solicitudes de interesados.
2.7.2.1. Responsabilidad del Cliente por las Solicitudes.
Si durante el Plazo aplicable, Simplenet recibe una solicitud de un Titular de los datos para ejercer el derecho de acceso del Titular de los datos, el derecho a la rectificación, la restricción del Procesamiento, la supresión (“derecho al olvido”), la portabilidad de los datos, la objeción al Procesamiento, o su derecho a no estar sujeto a una toma de decisiones individual automatizada (“Solicitud del interesado”), Simplenet le informará al interesado que envíe su solicitud al Cliente, y el Cliente será responsable de responder a dicha solicitud, incluyendo, cuando sea necesario, utilizando la funcionalidad del Servicios. Simplenet, en la medida en que lo permita la ley, tomará medidas comercialmente razonables para notificar al Cliente sobre dichas solicitudes.
2.7.2.2. Asistencia para solicitudes de interesados de Simplenet.
Teniendo en cuenta la naturaleza del Procesamiento, el Cliente acepta que Simplenet proporcionará asistencia técnica y organizativa adecuada, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de los Interesados, incluida, si corresponde, la obligación del Cliente de responder a las solicitudes. para el ejercicio de los derechos del interesado establecidos en el Capítulo III del RGPD, mediante:
(a) proporcionar recursos de documentación en forma de tutoriales y artículos de la base de conocimientos, funcionalidades y/o controles en el Panel de control que el Cliente puede optar por utilizar para configurar correctamente los Servicios y utilizarlos de forma segura.
(b) proporcionar características, funcionalidades y/o controles en el Panel de control que el Cliente puede elegir utilizar para recuperar, corregir o eliminar los Datos del Cliente de los Servicios.
(c) cumplir con los compromisos establecidos en este DPA.
(d) En la medida en que el Cliente, en su uso de los Servicios, no tenga la capacidad de abordar una Solicitud del Titular de los Datos, Simplenet deberá, a solicitud del Cliente, realizar esfuerzos comercialmente razonables para ayudar al Cliente a responder a dicha Solicitud del Titular de los Datos, en la medida en que Simplenet está legalmente autorizado a hacerlo y la respuesta a dicha Solicitud del Interesado es requerida según las Leyes y Reglamentos de Protección de Datos. En la medida en que lo permita la ley, el Cliente será responsable de cualquier costo que surja del suministro de dicha asistencia por parte de Simplenet.
El Cliente cubrirá los costos razonables de Simplenet por brindar asistencia en la sección 2.7.2.2.
2.8. Devolución y Eliminación de datos de clientes.
Simplenet permitirá al Cliente eliminar los Datos del Cliente durante el Plazo aplicable de manera consistente con la funcionalidad de los Servicios y las características según el Pedido respectivo. Si el Cliente utiliza los Servicios para recuperar o eliminar Datos del Cliente y los Datos del Cliente no se pueden recuperar, esto constituirá una instrucción a Simplenet para eliminar los Datos del Cliente relevantes archivados en sistemas de respaldo de acuerdo con la ley aplicable y dentro de un período máximo de 60 días calendario. días.
La desactivación de los Servicios o el vencimiento del Plazo aplicable constituirá una instrucción a Simplenet para eliminar los Datos del Cliente y los Datos del Cliente relevantes archivados en sistemas de respaldo dentro de un período máximo de 60 días calendario.
Nada en esta Sección 2.8 varía o modifica cualquier obligación de Simplenet de retener algunos o todos los Datos del Cliente según sea necesario para cumplir con la ley o una orden válida y vinculante de una agencia de aplicación de la ley (como una citación u orden judicial).
2.9. Divulgación.
Simplenet no divulgará los Datos del Cliente a ningún gobierno, agencias de aplicación de la ley y otras autoridades, excepto cuando sea necesario para cumplir con la ley o una orden válida y vinculante de una agencia de aplicación de la ley (como una citación u orden judicial).
2.10. Personal de Simplenet.
Simplenet restringe a su personal el procesamiento de Datos del Cliente sin la autorización de Simplenet. El acceso a los Datos del Cliente está limitado a aquel personal que desempeña una función y responsabilidades de acuerdo con el Acuerdo.
Simplenet impone obligaciones contractuales apropiadas a su personal, incluidas obligaciones relevantes en materia de confidencialidad, protección de datos y seguridad de los datos. Simplenet garantiza que estas obligaciones de confidencialidad sobrevivan a la terminación del contrato de personal.
2.11. Delegado de Protección de Datos.
Simplenet ha designado un Delegado de Protección de Datos para los fines de este DPA y Política de Privacidad, al que puede comunicarse en contact@staging.simplenet.site.
3. Subencargados.
3.1. Consentimiento para la contratación de subencargados/nombramiento de subencargados
El Cliente reconoce y acepta que:
(a) Los Socios de Simplenet podrán ser contratados como Subprocesadores; y
(b) Simplenet y Simplenet Partners, respectivamente, pueden contratar Subprocesadores en relación con la prestación de los Servicios. Simplenet ha celebrado un acuerdo escrito con cada Subprocesador que contiene obligaciones de protección de datos no menos protectoras que las de este DPA con respecto a la protección de los Datos del Cliente en la medida aplicable a la naturaleza de los Servicios proporcionados por dichos Subprocesadores. Si el Cliente ha celebrado Cláusulas Contractuales Estándar (Apéndice 1) como se describe en la Sección 5 (Transferencias de Datos Fuera del EEE), las autorizaciones anteriores constituirán el consentimiento previo por escrito del Cliente para la subcontratación por parte de Simplenet del procesamiento de los Datos del Cliente si dicho consentimiento es requerido bajo las Cláusulas Contractuales Tipo.
3.2. Información sobre subencargados/ Notificación de nuevos Subencargados.
3.2.1. Simplenet compartirá información sobre usted con Subprocesadores, como el Subprocesador/procesadores que participan en el suministro de Servicios sujetos a su Acuerdo y que se encuentran dentro del territorio de la Unión Europea y los Estados Unidos, proveedores de servicios de Centro de datos que están con sede en el territorio de la Unión Europea, Estados Unidos, Australia y Singapur. Estos Subprocesadores procesarán los datos proporcionados siguiendo las instrucciones de Simplenet y de conformidad con nuestra Política de Privacidad y este DPA. No autorizamos a los subprocesadores a retener, compartir, almacenar o utilizar su información de identificación personal para fines secundarios.
3.2.2. Cuando se contrata a un nuevo subprocesador externo para procesar cualquier dato del cliente en relación con la prestación de los servicios aplicables durante el plazo aplicable de este DPA, Simplenet informará al cliente de este compromiso, incluida la categoría y ubicación del subprocesador correspondiente. -encargado y las actividades que realizará, al menos 10 días naturales antes de autorizar al nuevo Subencargado Tercero ya sea enviando un correo electrónico a la Dirección de Correo Electrónico de Notificación o a través del Área de Usuario.
3.3. Requisitos para la participación del subprocesador.
Al contratar a cualquier Subprocesador, Simplenet deberá:
(a) garantizar mediante un contrato escrito que:
(i) el Subprocesador solo accede y utiliza los Datos del Cliente en la medida necesaria para cumplir con las obligaciones que se le subcontratan, y lo hace de conformidad con el Acuerdo aplicable (incluida esta Enmienda de Procesamiento de Datos) y cualquier Cláusula Contractual Estándar celebrada o Alternativa Solución de transferencia adoptada por Simplenet como se describe en la Sección 5 (Transferencias de datos fuera del EEE); y
(ii) si el RGPD se aplica al procesamiento de datos de clientes del Cliente, las obligaciones de protección de datos establecidas en el Artículo 28(3) del RGPD, como se describe en esta Enmienda de procesamiento de datos, se imponen al Subprocesador; y
(b) seguirá siendo totalmente responsable de todas las obligaciones que se le subcontraten y de todos los actos y omisiones del Subencargado.
3.4. Derecho de Oposición para Nuevos subencargados.
3.4.1. El Cliente puede oponerse a cualquier nuevo Subprocesador externo rescindiendo el Acuerdo aplicable inmediatamente mediante notificación por escrito a Simplenet, siempre que el Cliente proporcione dicha notificación dentro de los 10 días calendario posteriores a haber sido informado de la contratación del subprocesador. Este derecho de rescisión es el único y exclusivo recurso del Cliente si el Cliente se opone a cualquier nuevo Subprocesador externo.
3.4.2. Simplenet reembolsará al Cliente cualquier tarifa pagada por adelantado que cubra el resto del plazo de dichos Pedidos después de la fecha efectiva de terminación con respecto a dichos Servicios cancelados, sin imponer una penalización por dicha terminación al Cliente.
4. Evaluaciones de Impacto, Consultas. Almacenamiento.
4.1. Evaluaciones de Impacto y Consultas.
A petición del Cliente, Simplenet proporcionará al Cliente la cooperación y asistencia razonables necesarias para cumplir con la obligación del Cliente según el RGPD de llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga acceso a la información relevante, y en la medida en que dicha información esté disponible para Simplenet. Simplenet proporcionará asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Supervisión en el desempeño de sus tareas relacionadas con este DPA, en la medida requerida por el RGPD.
5. Transferencias Fuera del EEE.
5.1. Centro de datos y almacenamiento
Simplenet almacena y procesa los Datos del Cliente en Centros de Datos ubicados dentro y fuera de la Unión Europea. La información sobre las ubicaciones de nuestros centros de datos está disponible en la base de conocimiento y Simplenet se reserva el derecho de actualizarla de vez en cuando.
El Cliente puede especificar la ubicación del Centro de datos donde se almacenarán sus Datos de cliente. El Cliente acepta que Simplenet puede cambiar las ubicaciones de los Centros de datos y trasladar los Datos del Cliente a otro Centro de datos. Simplenet informará al Cliente al menos 10 días naturales antes de trasladar los Datos del Cliente a un nuevo Centro de Datos, ya sea enviando un correo electrónico a la Dirección de Correo Electrónico de Notificación o a través del Área de Usuario. Si el cambio del Centro de datos da como resultado el almacenamiento de los Datos del cliente en una jurisdicción diferente, el Cliente puede oponerse a dicho cambio rescindiendo el Acuerdo inmediatamente y mediante notificación por escrito a Simplenet, siempre que el Cliente proporcione dicha notificación dentro de los 10 días calendario siguientes a ser informado del cambio de Centro de Datos.
El Cliente puede mover su cuenta y sus Datos de Cliente a otra ubicación del Centro de Datos en cualquier momento, siempre que la funcionalidad de los Servicios lo permita y a cambio de tarifas adicionales. Una vez que el Cliente haya elegido y especificado una ubicación del Centro de datos dentro de la Unión Europea, Simplenet no almacenará los Datos del Cliente fuera de las fronteras de la Unión Europea, excepto cuando sea necesario para cumplir con la ley o una orden válida y vinculante de una agencia encargada de hacer cumplir la ley (como como una citación u orden judicial).
5.2. Lugares de procesamiento
En la medida en que el Cliente haya especificado un Centro de datos fuera del Espacio Económico Europeo y en la medida en que Simplenet proporcione los Servicios y soporte técnico y de otro tipo relacionado, el Cliente acepta que Simplenet puede, sujeto a la Sección 5, acceder y procesar los Datos del Cliente en el EEE, Estados Unidos y cualquier otro país donde Simplenet y/o sus Socios y Subprocesadores tengan Centros de Datos, instalaciones o mantengan operaciones de procesamiento de datos. Si el almacenamiento y/o procesamiento de Datos del Cliente implica el procesamiento de Datos del Cliente fuera del EEE, y se aplica la Legislación Europea de Protección de Datos, el Cliente acepta que Simplenet requiere razonablemente que el Cliente celebre Cláusulas Contractuales Modelo con respecto a dichas transferencias de conformidad con la Sección 5.2 y el Apéndice 1 y el Cliente acepta hacerlo.
5.3. Mecanismo de transferencia
En la medida en que Simplenet procese o transfiera (directamente o mediante transferencia posterior) Datos del cliente en virtud de este DPA desde la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros y Suiza en o hacia países que no garanticen un nivel adecuado de protección de datos. dentro del significado de las Leyes de Protección de Datos aplicables de los territorios anteriores, las partes acuerdan que:
- Las Cláusulas Contractuales Estándar (Apéndice 1) se aplicarán a los Datos del Cliente que se transfieran.
- Se considerará que Simplenet proporciona garantías adecuadas para proteger los Datos del Cliente en virtud de poner a disposición Cláusulas Contractuales Estándar (Apéndice 1) como mecanismo de transferencia.
- El Cliente por la presente autoriza cualquier transferencia o acceso a los Datos del Cliente desde dichos destinos fuera del Espacio Económico Europeo sujeto a cualquiera de las medidas anteriores;
6. Tramitación de registros.
El Cliente reconoce que Simplenet está obligado según el RGPD a:
(a) recopilar y mantener registros de cierta información, incluido el nombre y los datos de contacto de cada procesador y/o controlador en nombre del cual Simplenet actúa y, cuando corresponda, del representante local y del oficial de protección de datos de dicho procesador o controlador; y
b) poner dicha información a disposición de las autoridades de supervisión. En consecuencia, si el RGPD se aplica al procesamiento de datos del Cliente, el Cliente deberá, cuando se le solicite, proporcionar dicha información a Simplenet a través del Sitio u otros medios proporcionados por Simplenet, y deberá utilizar el Sitio o cualquier otro medio para garantizar que toda la información proporcionada. se mantiene precisa y actualizada.
7. Responsabilidades de seguridad de Simplenet.
7.1. Simplenet implementará y mantendrá medidas técnicas y organizativas para proteger los Datos del Cliente contra destrucción, pérdida, alteración, divulgación o acceso no autorizado accidental o ilegal, como se describe en el Apéndice 2 (las “Medidas de Seguridad”). Como se describe en el Apéndice 2, las Medidas de Seguridad incluyen medidas para proporcionar transmisión cifrada de datos del cliente fuera del entorno del Servicio; ayudar a garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas y servicios de Simplenet; para ayudar a restaurar el acceso oportuno a los Datos del Cliente desde una copia de seguridad disponible, proporcionada por Simplenet Backup Services o la propia copia de seguridad del Cliente después de un incidente; y para pruebas periódicas de eficacia. Simplenet puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Servicios.
7.2. Responsabilidades y evaluación de seguridad del cliente.
El Cliente acepta que, sin perjuicio de las obligaciones de Simplenet según la Sección 7 (Responsabilidades de seguridad de Simplenet) y otras Secciones relevantes de este DPA:
- El Cliente es el único responsable del uso que haga de los Servicios, incluidos:
- hacer un uso adecuado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos del Cliente;
- proteger las credenciales, los sistemas y los dispositivos de autenticación de la cuenta que el Cliente utiliza para acceder a los Servicios;
- garantizar que todos los programas, scripts, complementos, complementos y otro software instalado en la cuenta sean seguros y que su utilización no imponga ningún riesgo de seguridad con respecto a los Datos del Cliente y la cuenta misma;
- proteger todos los programas, scripts, complementos, complementos y otro software instalado, su configuración y su mantenimiento regular;
- cualquier contenido de la cuenta;
- cualquier acción y actividad en la cuenta; y
- hacer una copia de seguridad de los datos de sus clientes; y
- Simplenet no tiene la obligación de proteger los Datos del Cliente que el Cliente elija almacenar o transferir fuera de los sistemas de Simplenet y sus Subprocesadores (por ejemplo, almacenamiento fuera de línea o en las instalaciones), ni de proteger los Datos del Cliente mediante la implementación o el mantenimiento de Controles de Seguridad Adicionales. excepto en la medida en que el Cliente haya optado por utilizarlos.
- El Cliente es el único responsable de revisar la documentación y evaluar si los Servicios, las Medidas de Seguridad, los compromisos de Simplenet bajo esta Sección y lo siguiente satisfacen las necesidades del Cliente, incluyendo cualquier obligación de seguridad del Cliente bajo la Legislación Europea de Protección de Datos y/o No- Legislación Europea de Protección de Datos, según corresponda.
- El Cliente reconoce y acepta que (teniendo en cuenta los costos de implementación y la naturaleza, alcance, contexto y propósito del procesamiento de los datos del Cliente, así como los riesgos para las personas) las Medidas de Seguridad implementadas y mantenidas por Simplenet como se establece en la Sección 7.1 . Proporcionar el nivel necesario de seguridad adecuado al riesgo con respecto a los Datos del Cliente.
- Es responsabilidad del Cliente hacer una copia de seguridad de los Datos del Cliente y de todos los datos y consentimientos almacenados en la cuenta para evitar una posible pérdida de datos.
- Los servicios de Simplenet Backup se proporcionan "tal cual" y están sujetos a todas las limitaciones de responsabilidad establecidas en el Acuerdo aplicable.
- Incluso si el Cliente compra Servicios de copia de seguridad, acepta que mantendrá su propio conjunto de copias de seguridad independientes de las que mantiene Simplenet y que la única obligación de Simplenet es restaurar el espacio de la cuenta a su condición operativa. En caso de un incidente, falla de hardware o software o cualquier corrupción o pérdida incidental de datos, Simplenet puede brindar asistencia, pero es obligación exclusiva del Cliente restaurar los Datos del Cliente.
- En caso de pérdida o corrupción de datos parcial o total y en caso de que el Cliente no esté satisfecho con el resultado de la restauración realizada por los Servicios de copia de seguridad de Simplenet o que la copia de seguridad de Simplenet no sea reciente o no sea adecuada para la restauración, será obligación del Cliente restaurar los datos del cliente, sus archivos y cualquier dato dentro de la cuenta a partir de la propia copia de seguridad del cliente.
8. Revisión y Auditorías de cumplimiento.
Si la Legislación Europea de Protección de Datos se aplica al procesamiento de Datos del Cliente:
- El Cliente tiene derecho a verificar el cumplimiento por parte de Simplenet de sus obligaciones en virtud de este DPA, mediante la realización de una revisión de la documentación o una auditoría, incluidas inspecciones, realizada por el Cliente o un auditor independiente designado por el Cliente, mediante la realización de una solicitud específica a Simplenet en un formulario escrito a la dirección establecida en los respectivos Términos de Servicio.
- Simplenet además proporcionará respuestas por escrito a todas las solicitudes razonables del Cliente y podrá cobrar una tarifa por cualquier revisión o auditoría. Simplenet proporcionará detalles de cualquier tarifa aplicable antes de dicha auditoría y el Cliente será responsable de los honorarios cobrados por cualquier auditor y de los honorarios asociados con la ejecución de una auditoría. Los informes de dicha auditoría se pondrán a disposición de Simplenet sin restricciones de propósito para su uso posterior por parte de Simplenet.
- Simplenet puede objetar y rechazar por escrito al Cliente o a un auditor designado por el Cliente para realizar cualquier auditoría si el Cliente o el auditor, en la opinión razonable de Simplenet, no está adecuadamente calificado o no es independiente, es un competidor de Simplenet o de otro modo es manifiestamente inadecuado.
- Si Simplenet se niega a seguir cualquier instrucción solicitada por el Cliente o un auditor con respecto a una auditoría o inspección debidamente solicitada y con el alcance, el Cliente tiene derecho a rescindir este DPA y los Términos de Servicio.
Nada en esta Sección 8 (Revisión y Auditorías de Cumplimiento) varía o modifica los derechos u obligaciones del Cliente o Simplenet bajo cualquier Cláusula de Contrato Modelo celebrada como se describe en las Secciones 5 (Transferencias de Datos Fuera del EEE).
9. Notificación de violación de seguridad.
9.1. Simplenet mantiene políticas y procedimientos de gestión de incidentes de seguridad y notificará al Cliente sin demora indebida después de tener conocimiento de la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos del Cliente, incluidos los datos del Cliente transmitidos, almacenados o procesados de otro modo por Simplenet o sus Subencargados del cual Simplenet tenga conocimiento (un "Incidente de datos del cliente"). Simplenet hará esfuerzos razonables para identificar la causa de dicho Incidente de datos del cliente y tomará las medidas que Simplenet considere necesarias y razonables para remediar la causa de dicho Incidente de datos del cliente en la medida en que la remediación esté dentro del control razonable de Simplenet. Las obligaciones aquí establecidas no se aplicarán a incidentes causados por el Cliente, el uso de los Servicios por parte del Cliente, las acciones o actividades del Cliente o los Usuarios del Cliente.
9.2. Las notificaciones realizadas de conformidad con esta sección describirán, en la medida de lo posible, los detalles del Incidente de datos, incluidas las medidas tomadas para mitigar los riesgos potenciales y los pasos que Simplenet recomienda que tome el Cliente para abordar el Incidente de datos.
9.3. Las notificaciones de cualquier Incidente de datos se enviarán a la dirección de correo electrónico de notificación o, a discreción de Simplenet, mediante comunicación directa (por ejemplo, mediante llamada telefónica). El Cliente es el único responsable de garantizar que la dirección de correo electrónico de notificación y la información de contacto estén actualizadas y sean válidas.
9.4. Simplenet no evaluará el contenido de los Datos del Cliente para identificar información sujeta a requisitos legales específicos. El Cliente es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Cliente y de cumplir con las obligaciones de notificación a terceros relacionadas con cualquier Incidente de datos.
9.5. La notificación o respuesta de Simplenet a un Incidente de datos conforme a esta Sección 10 no se interpretará como un reconocimiento por parte de Simplenet de cualquier falla o responsabilidad con respecto al Incidente de datos.
10. Responsabilidad e indemnización.
10.1. El Cliente indemnizará y mantendrá indemnizada a Simplenet con respecto a todas las violaciones y pérdidas de protección de datos sufridas o incurridas por, que surjan de o en conexión con:
(a) cualquier incumplimiento por parte del Cliente de las leyes y regulaciones de protección de datos;
(b) cualquier incumplimiento por parte del Cliente de sus obligaciones de protección de datos en virtud de este Acuerdo;
10.2. Simplenet será responsable de las violaciones y pérdidas de protección de datos causadas por el procesamiento de Datos del Cliente solo en la medida en que resulten directamente del incumplimiento por parte de Simplenet de sus obligaciones como Procesador de Datos según las leyes y reglamentos de Protección de Datos.
11. Terminación
Este DPA entrará en vigor desde la Fecha de entrada en vigor hasta el final del suministro de los Servicios por parte de Simplenet en virtud del Acuerdo aplicable, incluido, si corresponde, cualquier período durante el cual los Servicios puedan haber sido suspendidos y cualquier período posterior a la terminación (es decir, 60 días calendario). durante el cual Simplenet podrá continuar brindando Servicios con fines transitorios (“Plazo”). El DPA caducará automáticamente una vez que Simplenet elimine todos los datos del cliente.
12. Efecto Jurídico.
En la medida de cualquier conflicto o inconsistencia entre los términos de este DPA y el resto del Acuerdo aplicable relacionado con el Procesamiento de Datos del Cliente, regirán los términos de este DPA. Sujeto a las modificaciones, si las hubiera, en este DPA, dicho Acuerdo permanece en pleno vigor y efecto. Para mayor claridad, si el Cliente ha celebrado más de un Acuerdo, este DPA modificará cada uno de los Acuerdos por separado.
Anexo 1
CLÁUSULAS CONTRACTUALES ESTÁNDAR (PROCESADORES)
A los efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de datos
La entidad identificada como “Cliente” en el Acuerdo de Procesamiento de Datos
(el exportador de datos)
Y
Hosting Simplenet SRL
(el importador de datos)
cada uno un 'partido'; juntas 'las partes',
HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de aportar salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1. .
Cláusula 1
Definiciones
Para efectos de las Cláusulas:
a) "datos personales", "categorías especiales de datos", "proceso/tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado de los datos" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/ CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de estos datos;
b) "el exportador de datos": el responsable del tratamiento que transfiere los datos personales;
(c) 'el importador de datos' significa el procesador que acepta recibir del exportador de datos datos personales destinados a ser procesados en su nombre después de la transferencia de acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto a las obligaciones de un tercer país. sistema que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
(d) 'el subprocesador' significa cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepta recibir del importador de datos o de cualquier otro subprocesador del importador de datos datos personales exclusivamente destinado a actividades de procesamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
e) «la ley de protección de datos aplicable»: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que se establece el exportador de datos;
f) «medidas de seguridad técnicas y organizativas»: aquellas medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Apéndice 1 que forma parte integral de las Cláusulas.
Cláusula 3
Cláusula de tercer beneficiario
1. El interesado puede hacer valer contra el exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), la Cláusula 6(1) y ( 2), Cláusula 7, Cláusula 8(2) y Cláusulas 9 a 12 como tercero beneficiario.
2. El interesado podrá hacer valer contra el importador de datos esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como resultado de lo cual asume los derechos y obligaciones de del exportador de datos, en cuyo caso el interesado podrá oponerlas frente a dicha entidad.
3. El interesado puede hacer valer contra el subencargado esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir legalmente o se han vuelto insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por ministerio de la ley como por lo que asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá oponerlos frente a dicha entidad. Dicha responsabilidad del subencargado frente a terceros se limitará a sus propias operaciones de procesamiento según las Cláusulas.
4. Las partes no se oponen a que un interesado sea representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
(a) que el procesamiento, incluida la transferencia en sí, de los datos personales se ha realizado y se seguirá llevando a cabo de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando corresponda, se ha notificado a las autoridades pertinentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;
(b) que ha dado instrucciones y durante toda la duración de los servicios de procesamiento de datos personales ordenará al importador de datos que procese los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;
(c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;
(d) que después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son apropiadas para proteger los datos personales contra la destrucción accidental o ilegal o la pérdida, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad apropiado a los riesgos presentados por el procesamiento y la naturaleza de los datos que deben protegerse teniendo en cuenta el estado de la técnica y la costo de su implementación;
e) que velará por el cumplimiento de las medidas de seguridad;
(f) que, si la transferencia involucra categorías especiales de datos, el interesado ha sido informado o será informado antes, o lo antes posible después de la transferencia, de que sus datos podrían transmitirse a un tercer país que no proporcione la protección adecuada dentro de el significado de la Directiva 95/46/CE;
(g) enviar cualquier notificación recibida del importador de datos o de cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión ;
(h) poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba realizarse de conformidad con las Cláusulas, salvo que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
(i) que, en caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de conformidad con la Cláusula 11 por un subprocesador que proporcione al menos el mismo nivel de protección de los datos personales y los derechos del interesado que los datos importador conforme a las Cláusulas; y
(j) que garantizará el cumplimiento de la Cláusula 4(a) a (i).
Cláusula 5
Obligaciones del importador de datos [1]
El importador de datos acepta y garantiza:
(a) procesar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede cumplir con dicho cumplimiento por cualquier motivo, se compromete a informar inmediatamente al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
(b) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que en caso de un cambio en esta legislación que pueda tener un impacto efecto adverso sustancial sobre las garantías y obligaciones previstas en las Cláusulas, notificará inmediatamente el cambio al exportador de datos tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato. ;
(c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;
(d) que notificará prontamente al exportador de datos sobre:
(i) cualquier solicitud legalmente vinculante de divulgación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido de otro modo, como una prohibición bajo la ley penal para preservar la confidencialidad de una investigación policial;
(ii) cualquier acceso accidental o no autorizado; y
(iii) cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que haya sido autorizado de otra manera para hacerlo;
(e) atender pronta y adecuadamente todas las consultas del exportador de datos relacionadas con el procesamiento de los datos personales sujetos a la transferencia y cumplir con el asesoramiento de la autoridad de control con respecto al procesamiento de los datos transferidos;
(f) a petición del exportador de datos, presentar sus instalaciones de procesamiento de datos para una auditoría de las actividades de procesamiento cubiertas por las Cláusulas, que serán realizadas por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de los requisitos necesarios. cualificaciones profesionales sujetas a un deber de confidencialidad, seleccionadas por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
(g) poner a disposición del interesado que lo solicite una copia de las Cláusulas, o de cualquier contrato existente para su subprocesamiento, salvo que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con excepción de el apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en los que el interesado no pueda obtener una copia del exportador de datos;
(h) que, en caso de subprocesamiento, haya informado previamente al exportador de datos y haya obtenido su consentimiento previo por escrito;
(i) que los servicios de procesamiento por parte del subencargado se llevarán a cabo de conformidad con la Cláusula 11;
(j) enviar de inmediato una copia de cualquier acuerdo de subprocesador que celebre conforme a las Cláusulas al exportador de datos.
Cláusula 6
Responsabilidad
1. Las partes acuerdan que cualquier interesado que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por parte de cualquier parte o subencargado tiene derecho a recibir una compensación del exportador de datos por el daño sufrido.
2. Si un interesado no puede presentar una reclamación de compensación de conformidad con el párrafo 1 contra el exportador de datos, como resultado de un incumplimiento por parte del importador de datos o su subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha vuelto insolvente, el importador de datos acepta que el interesado puede presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que cualquier entidad sucesora ha asumido todas las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad.
El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado para evitar sus propias responsabilidades.
3. Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos mencionado en los párrafos 1 y 2, como resultado de un incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir legalmente o se han vuelto insolventes, el subprocesador acepta que el interesado puede presentar un reclamo contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento bajo las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador o importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado puede hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado se limitará a sus propias operaciones de procesamiento según las Cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acepta que si el interesado invoca contra él derechos de tercero beneficiario y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:
a) someter el conflicto a mediación, por una persona independiente o, en su caso, por la autoridad de control;
b) remitir el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
2. Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales a buscar soluciones de conformidad con otras disposiciones del derecho nacional o internacional.
Cláusula 8
Cooperación con las autoridades supervisoras
1. El exportador de datos se compromete a depositar una copia de este contrato ante la autoridad de control si así lo solicita o si dicho depósito es requerido según la ley de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicaría a una auditoría del exportador de datos. conforme a la ley de protección de datos aplicable.
3. El importador de datos informará inmediatamente al exportador de datos sobre la existencia de legislación aplicable a él o a cualquier subencargado que impida la realización de una auditoría del importador de datos, o de cualquier subencargado, de conformidad con el apartado 2. En tal caso el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5(b).
Cláusula 9
Ley aplicable
Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre cuestiones relacionadas con negocios cuando sea necesario, siempre y cuando no contradigan la Cláusula.
Cláusula 11
Subprocesamiento
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos según las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones conforme a las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subencargado que impone al subencargado las mismas obligaciones que se imponen al importador de datos conforme a las Cláusulas (3). Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado también establecerá una cláusula de tercer beneficiario según lo establecido en la Cláusula 3 para los casos en que el interesado no pueda presentar la reclamación de indemnización a que se refiere el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque han desaparecido de hecho o han dejado de existir jurídicamente o se han vuelto insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad del subencargado frente a terceros se limitará a sus propias operaciones de procesamiento según las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subprocesamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos, a saber...
4. El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados conforme a las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de la protección de datos del exportador de datos.
Cláusula 12
Obligación tras la terminación de los servicios de procesamiento de datos personales
1. Las partes acuerdan que al finalizar la prestación de servicios de procesamiento de datos, el importador de datos y el subencargado deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos. o destruirá todos los datos personales y certificará al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente los datos personales transferidos.
2. El importador de datos y el subprocesador garantizan que, previa solicitud del exportador de datos y/o de la autoridad de control, presentarán sus instalaciones de procesamiento de datos para una auditoría de las medidas mencionadas en el párrafo 1.
[1] Requisitos obligatorios de la legislación nacional aplicable al importador de datos que no vayan más allá de lo necesario en una sociedad democrática sobre la base de uno de los intereses enumerados en el artículo 13, apartado 1, de la Directiva 95/46/CE, que sea, si constituyen una medida necesaria para salvaguardar la seguridad nacional, la defensa, la seguridad pública, la prevención, investigación, detección y persecución de infracciones penales o de faltas a la ética de las profesiones reguladas, un interés económico o financiero importante del Estado o de la protección del interesado o los derechos y libertades de otros, no estén en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de requisitos obligatorios que no van más allá de lo necesario en una sociedad democrática son, entre otros, las sanciones reconocidas internacionalmente, los requisitos de declaración de impuestos o los requisitos de presentación de informes contra el blanqueo de dinero.
Apéndice 1 de las Cláusulas Contractuales Tipo
Exportador de datos
El exportador de datos es la entidad identificada como “Cliente” en el Acuerdo de Procesamiento de Datos.
Importador de datos
El importador de datos es Simplenet Hosting SRL
Interesados
Los datos personales se refieren a las categorías de interesados tal como se definen en la Sección 2.3.4. en el Acuerdo de Procesamiento de Datos.
Categorías de datos
Los datos personales se refieren a las categorías de datos definidas en la Sección 2.3.5. en el Acuerdo de Procesamiento de Datos.
Operaciones de procesamiento
Las operaciones de procesamiento se definen en la Sección 2 del Acuerdo de procesamiento de datos.
Apéndice 2 de las Cláusulas Contractuales Tipo
Este Apéndice forma parte de las Cláusulas. Al comprar Servicios de Simplenet y aceptar el Acuerdo de procesamiento de datos, se considerará que las partes han aceptado y ejecutado este Apéndice 2.
Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las Cláusulas 4(d) y 5(c) (o documento/legislación adjunto):
Las medidas de seguridad técnicas y organizativas implementadas por el importador de datos son las descritas en el Acuerdo de Procesamiento de Datos y el Anexo 2 Medidas de Seguridad.
Anexo 2
Medidas de seguridad
Simplenet implementa y mantiene medidas de seguridad técnicas y organizativas apropiadas para el procesamiento de datos personales, incluidas las medidas establecidas en este Apéndice 2 del Acuerdo de procesamiento de datos. Estas medidas tienen como objetivo proteger los Datos personales contra pérdida, destrucción, alteración, divulgación o acceso accidental o no autorizado, y contra todas las demás formas ilegales de Procesamiento. En el Acuerdo se pueden especificar medidas adicionales e información sobre dichas medidas, incluidas las medidas y prácticas de seguridad específicas para los Servicios particulares solicitados por el Cliente.
Simplenet puede actualizar o modificar estas Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Servicios.
Las medidas de seguridad técnicas y organizativas implementadas por Simplenet están de acuerdo con las Cláusulas 4(c) y 5(c) de las Cláusulas Contractuales Tipo.
Personal y Confidencialidad
Simplenet tomará medidas razonables para garantizar que Simplenet no designe a ninguna persona para procesar Datos personales a menos que esa persona:
- es competente y calificado para realizar las tareas específicas que le asigna Simplenet;
- ha sido autorizado por Simplenet; y
- ha sido instruido por Simplenet sobre los requisitos relevantes para el cumplimiento de las obligaciones de Simplenet en virtud de estas Cláusulas, en particular el propósito limitado del procesamiento de datos.
El personal de Simplenet debe comportarse de manera coherente con las pautas de la empresa en materia de confidencialidad, ética comercial, uso apropiado y estándares profesionales. Simplenet lleva a cabo verificaciones de antecedentes razonablemente apropiadas en la medida en que lo permita la ley y de acuerdo con la legislación laboral local aplicable y las regulaciones legales. El personal debe ejecutar un acuerdo de confidencialidad y debe acusar recibo y cumplir con las políticas de confidencialidad y privacidad de Simplenet. Se les proporciona capacitación y el personal que maneja los Datos del Cliente debe completar requisitos adicionales apropiados para su función.
Seguridad física
Simplenet utiliza centros de datos distribuidos geográficamente y almacena todos los datos de producción en centros de datos físicamente seguros. Los centros de datos de producción de Simplenet Subprocessor emplean medidas para asegurar el acceso a los sistemas de procesamiento de datos. Disponen de un sistema de acceso que controla el acceso al centro de datos. Este sistema permite que sólo el personal autorizado tenga acceso a áreas seguras. Las instalaciones están diseñadas para soportar condiciones climáticas adversas y otras condiciones naturales razonablemente predecibles, están protegidas por guardias las 24 horas, monitoreo de CCTV, control de acceso y acceso controlado por escoltas, y también cuentan con el apoyo de generadores de respaldo en el sitio en el caso de un corte de energía.
Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y mantenibles sin afectar las operaciones continuas 24 horas al día, 7 días a la semana. En la mayoría de los casos, se proporciona una fuente de energía primaria y alternativa para los componentes críticos de la infraestructura del centro de datos. La energía de respaldo es proporcionada por varios mecanismos, como baterías de fuentes de alimentación ininterrumpida (UPS) o generadores diésel que son capaces de proporcionar suministro de energía eléctrica de emergencia o protección de energía confiable durante cortes de energía, apagones, sobrevoltaje, bajo voltaje y fuera de tolerancia. condiciones de frecuencia.
Los sistemas de infraestructura se han diseñado para eliminar puntos únicos de falla y minimizar el impacto de los riesgos ambientales anticipados. Los equipos e instalaciones de producción de Simplenet Sub-processor cuentan con procedimientos de mantenimiento preventivo documentados que detallan el proceso y la frecuencia de desempeño de acuerdo con las especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo de los equipos del centro de datos se programa mediante un proceso de cambio estándar según procedimientos documentados.
Control de acceso al sistema
Los servidores Simplenet utilizan una implementación basada en Linux personalizada para los Servicios. Simplenet emplea un proceso de revisión para aumentar la seguridad de los sistemas operativos utilizados para proporcionar los Servicios y mejorar los productos de seguridad en entornos de producción.
Simplenet tiene y mantiene una política de seguridad para el personal. El personal de infraestructura, desarrollo y soporte de Simplenet es responsable del monitoreo continuo de la seguridad de la infraestructura de Simplenet, la revisión de los Servicios y la respuesta a incidentes de seguridad.
Los procesos y políticas de acceso interno de Simplenet están diseñados para evitar que personas y/o sistemas no autorizados obtengan acceso a los sistemas utilizados para procesar los datos de los clientes, incluidos los datos personales. Simplenet tiene como objetivo diseñar sus sistemas para: (i) permitir que solo personas autorizadas accedan a los datos a los que están autorizadas a acceder; y (ii) garantizar que los datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante el procesamiento, el uso y después del registro. Simplenet emplea un sistema de gestión de acceso para controlar el acceso del personal a los servidores de producción y solo proporciona acceso al personal autorizado. Se podrán aplicar, entre otros controles, dependiendo de los Servicios particulares solicitados: autenticación mediante contraseñas y/o autenticación de dos factores, claves SSH, procesos de autorización, procesos de gestión de cambios, el acceso lógico a los centros de datos está restringido y protegido por firewall. /VLAN y registro de acceso en varios niveles. El otorgamiento o modificación de derechos de acceso se fundamenta en: las responsabilidades laborales del personal autorizado; requisitos de deberes laborales necesarios para realizar tareas autorizadas; y una base de necesidad de saber. El otorgamiento o modificación de derechos de acceso también debe estar de acuerdo con las políticas internas de acceso a datos de Simplenet.
Servicios de control de acceso
El Cliente y los Usuarios finales deben autenticarse a través de un sistema de autenticación para poder utilizar los Servicios. Cada aplicación verifica las credenciales para permitir la visualización de datos a un Usuario final autorizado.
Se podrán aplicar, entre otros controles, los siguientes dependiendo de los Servicios particulares solicitados: autenticación mediante contraseñas y/o autenticación de dos factores, claves SSH, procesos de autorización, procesos de gestión de cambios y registro de acceso en varios niveles. Dependiendo de los Servicios particulares solicitados, también pueden aplicarse los siguientes controles: identificadores únicos atribuidos a la persona responsable, mecanismos de revocación de acceso en intentos fallidos de inicio de sesión consecutivos y períodos de tiempo de bloqueo, mecanismos de restablecimiento y caducidad de la contraseña, requisitos de complejidad de la contraseña.
Control de acceso a datos
Simplenet almacena datos en un entorno multiinquilino, lo que significa que las implementaciones de varios clientes se almacenan en el mismo hardware físico. Simplenet utiliza aislamiento lógico para segregar los datos de cada Cliente y separa lógicamente los datos de cada Cliente de los de los demás. Esto proporciona la escala y al mismo tiempo impide rigurosamente que los clientes accedan a los datos de otros.
El Cliente tiene control sobre controles específicos para compartir el acceso a los datos con los Usuarios finales para fines específicos de acuerdo con la funcionalidad de los Servicios. El cliente puede optar por hacer uso de estos controles. Simplenet pone a disposición cierta capacidad de registro.
El acceso directo a los datos del cliente está restringido y, en caso de que sea necesario, los derechos de acceso se establecen y aplican únicamente al personal debidamente autorizado, además de las reglas de control de acceso establecidas en las Secciones anteriores.
Control de transmisión
Los centros de datos suelen estar conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos rápida y segura entre centros de datos. Esto está diseñado para evitar que los datos se lean, copien, alteren o eliminen sin autorización durante la transferencia o el transporte electrónico o mientras se registran en medios de almacenamiento de datos o se intercambian dentro del centro de datos.
Para los datos en tránsito, Simplenet utiliza protocolos de transporte estándar de la industria, como SSL y TLS, entre los dispositivos del Cliente y los Servicios y centros de datos de Simplenet, y dentro de los propios centros de datos. Salvo que se especifique lo contrario para los Servicios (incluido el Pedido, el Acuerdo aplicable o la documentación del Usuario de los Servicios), las transmisiones de datos fuera del entorno del Servicio están cifradas. Algunas funcionalidades de los Servicios pueden permitir al Cliente elegir comunicaciones no cifradas en su uso del Servicio. El Cliente es el único responsable de los resultados de su decisión de utilizar dichas comunicaciones o transmisiones no cifradas.
Control de entrada
La fuente de Datos personales está bajo el control del Cliente, y la integración de los Datos personales en el sistema se gestiona mediante transferencia segura de archivos, a través de servicios web o ingresados en la aplicación del Cliente. Como se establece en la Sección Control de Transmisión anterior, algunas funcionalidades de los Servicios permiten a los Clientes utilizar protocolos de transferencia de archivos no cifrados. En tales casos, el Cliente es el único responsable de su decisión de utilizar dichos protocolos de transferencia de campos no cifrados.
Los Servicios no introducirán ningún virus en los Datos del Cliente; sin embargo, los Servicios no analizan en busca de virus que podrían incluirse en archivos adjuntos u otros Datos personales cargados en los Servicios por el Cliente. Cualquier archivo adjunto cargado no se ejecutará en los Servicios y, por lo tanto, no dañará ni comprometerá el Servicio.
Control de red
Simplenet bloquea el tráfico no autorizado hacia y dentro de los centros de datos utilizando una variedad de tecnologías como firewalls, NAT, redes de área local particionadas y separación física de los servidores back-end de las interfaces públicas.
Simplenet emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externa. Simplenet considera posibles vectores de ataque e incorpora tecnologías apropiadas diseñadas específicamente en sistemas externos.
Simplenet y el personal autorizado monitorearán los Servicios en busca de intrusiones no autorizadas utilizando mecanismos de detección de intrusiones basados en la red. La detección de intrusiones tiene como objetivo proporcionar información sobre las actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusiones de Simplenet implica controlar estrictamente la superficie de ataque de las comunicaciones de la red a través de medidas preventivas como firewalls, empleando controles de detección inteligentes en los puntos de entrada de datos y empleando tecnologías que remedian automáticamente ciertas situaciones peligrosas.
Respuesta a incidentes
Simplenet mantiene políticas y procedimientos de gestión de incidentes de seguridad y monitorea una variedad de canales de comunicación para incidentes de seguridad. El personal de Simplenet reaccionará con prontitud ante incidentes conocidos y notificará de inmediato al Cliente en caso de que Simplenet tenga conocimiento de una divulgación no autorizada de Datos personales, real o razonablemente sospechada.
Registros del sistema
Simplenet garantiza que los sistemas de procesamiento utilizados para almacenar la información de registro de datos del cliente en sus respectivas instalaciones de registro del sistema. Las entradas del registro se mantienen en caso de que exista sospecha de acceso inapropiado y se requiera un análisis. El registro se mantiene de forma segura para evitar manipulaciones.
Confiabilidad y respaldo
Para los Servicios, Simplenet garantiza que se realicen copias de seguridad de forma regular. Las copias de seguridad se protegen mediante una combinación de controles técnicos y físicos.
Simplenet garantiza que los sistemas donde se almacenan los datos del cliente tengan una instalación de recuperación ante desastres y se rijan por un plan de recuperación ante desastres. En caso de que las instalaciones de producción dejen de estar disponibles, Simplenet ejecutará planes de recuperación para restaurar la operación de manera oportuna. Simplenet ha diseñado, planifica y prueba periódicamente sus planes de recuperación ante desastres.
Destrucción de datos
Cuando los clientes eliminan datos o abandonan el Servicio, Simplenet se asegura de que los datos se eliminen según los términos del Acuerdo aplicable. Para ciertos discos, Simplenet sigue estándares estrictos y rigurosos que exigen la sobrescritura de los recursos de almacenamiento antes de su reutilización, así como la eliminación física del hardware desmantelado. Los centros de datos de producción de Simplenet Sub-processor emplean procedimientos estrictos para la reutilización, redistribución, destrucción de datos y desmantelamiento de discos y hardware.
Seguridad del subprocesador
Antes de incorporar a los Subprocesadores, Simplenet realiza una auditoría de las prácticas de seguridad y privacidad de los Subprocesadores para garantizar que proporcionen un nivel de seguridad y privacidad apropiado para su acceso a los datos y el alcance de los servicios que están comprometidos a brindar. El Subprocesador debe celebrar términos contractuales de seguridad, confidencialidad y privacidad adecuados.
Cambios y mejoras del sistema
Simplenet puede mejorar e implementar cambios en los Servicios durante la vigencia del Acuerdo. Los controles, procedimientos, políticas y características de seguridad pueden cambiar o agregarse. Simplenet proporcionará controles de seguridad que brinden un nivel de protección de seguridad que no sea materialmente inferior al proporcionado a partir de la Fecha de entrada en vigor.
Anexo 3: Lista de Subencargados
Disponible bajo petición.