El presente Apéndice de Procesamiento de Datos, fechado el 22 de agosto de 2022 ("Apéndice"), por y entre el cliente que acepta electrónicamente o de otra manera está de acuerdo u opta por este DPA ("Compañía"), y Trip Ninja Inc., una corporación canadiense ("Proveedor de Servicios") (colectivamente referidos como las "Partes"), establece los términos y condiciones relacionados con la privacidad, confidencialidad y seguridad de los Datos Personales (como se define a continuación) asociados con los servicios que serán prestados por el Proveedor de Servicios a la Compañía.
Considerando que la Empresa o sus empleados, agentes, consultores o contratistas (colectivamente, "Personal de la Empresa") proporcionarán al Proveedor de Servicios acceso a los Datos Personales en relación con determinados servicios prestados por el Proveedor de Servicios para o en nombre de la Empresa de conformidad con el Acuerdo de Servicios; y
Considerando que la Compañía requiere que el Proveedor de Servicios preserve y mantenga la privacidad, confidencialidad y seguridad de dichos Datos Personales.
Por lo tanto, en consideración a los pactos y acuerdos mutuos en este Addendum y el Acuerdo de Servicios y por otra buena y valiosa consideración, cuya suficiencia se reconoce por la presente, la Compañía y el Proveedor de Servicios acuerdan lo siguiente:
(A) "Ley Aplicable" significa todas las leyes y reglamentos nacionales o de la Unión Europea ("UE") aplicables relacionados con la privacidad, la confidencialidad, la seguridad y la protección de los Datos Personales, incluyendo, sin limitación: el Reglamento General de Protección de Datos 2016/679 ("GDPR") de la Unión Europea ("UE"), con efecto a partir del 25 de mayo de 2018, y las leyes de los Estados miembros de la UE que complementan el GDPR; la Directiva 2002/58/CE de la UE ("Directiva sobre privacidad electrónica"), tal y como se sustituye de vez en cuando, y las leyes de los Estados miembros de la UE que implementan la Directiva sobre privacidad electrónica, incluidas las leyes que regulan el uso de cookies y otros medios de seguimiento, así como las comunicaciones por correo electrónico no solicitadas.
(B) "Responsable del tratamiento" es la persona que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los datos personales.
(C) "Procesador de datos" significa una persona que procesa datos personales en nombre del controlador de datos.
(D) Por "medidas de seguridad de los datos" se entienden las medidas técnicas y organizativas destinadas a garantizar un nivel de seguridad de los datos personales adecuado al riesgo del tratamiento, incluida la protección de los datos personales contra la pérdida accidental o ilícita, el uso indebido, el acceso no autorizado, la divulgación, la alteración, la destrucción y cualquier otra forma de tratamiento ilícito, incluidas las medidas para garantizar la confidencialidad de los datos personales.
(E) "Sujeto de los datos" significa una persona física identificada o identificable a la que pertenecen los Datos Personales.
(F) "Instrucciones" se refiere al presente apéndice y a cualquier otro acuerdo o documentación por escrito mediante el cual el responsable del tratamiento dé instrucciones al encargado del tratamiento para realizar un tratamiento específico de los datos personales.
(G) "Costes relacionados con la notificación" se refiere a los costes internos y externos de la empresa y sus filiales asociados a la investigación, tratamiento y respuesta a una violación de datos personales, incluidos, entre otros, los siguientes (i) la preparación y el envío por correo u otro tipo de transmisión de cualquier notificación u otras comunicaciones a clientes, clientes potenciales, clientes, empleados, agentes u otros, según la Compañía considere razonablemente apropiado; (ii) el establecimiento de un centro de llamadas u otros procedimientos de comunicación en respuesta a dicha Violación de Datos Personales (por ejemplo, (iii) relaciones públicas y otros servicios similares de gestión de crisis; (iv) honorarios y gastos legales, contables, de consultoría y de expertos forenses relacionados con la investigación y la respuesta de la empresa y sus filiales a dicha violación de datos personales; y (v) costes de control de crédito comercialmente razonables, servicios de protección de la identidad o servicios similares que la empresa determine que son aconsejables dadas las circunstancias.
(H) "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable tratada por el Proveedor de Servicios de acuerdo con las instrucciones de la Compañía en virtud del presente Anexo; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como el nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
(I) "Violación de los datos personales" una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo.
(J) "Tratamiento", "Procesado" o "Procesamiento" significa cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
(K) "Subprocesador" significa la entidad contratada por el Procesador de Datos o cualquier otro Subprocesador para procesar datos personales en nombre y bajo la autoridad del Controlador de Datos.
(A) Las Partes reconocen y acuerdan que la Compañía actúa como Controlador de Datos, y tiene la única y exclusiva autoridad para determinar los propósitos y medios del Procesamiento de Datos Personales procesados bajo este Addendum, y el Proveedor de Servicios actúa como Procesador de Datos en nombre y bajo las instrucciones de la Compañía.
(B) Los Datos Personales serán en todo momento propiedad exclusiva de la Empresa y el Proveedor de Servicios no tendrá ni obtendrá ningún derecho sobre ellos.
El Proveedor de Servicios acepta y garantiza que:
(A) Tratar los Datos Personales que le sean revelados por la Empresa únicamente en nombre y de conformidad con las Instrucciones del Responsable del Tratamiento y el Anexo [1] del presente Addendum, a menos que el Proveedor de Servicios esté obligado por la Legislación Aplicable, en cuyo caso el Proveedor de Servicios informará a la Empresa de dicho requisito legal antes de tratar los Datos Personales, a menos que la ley prohíba informar a la Empresa por motivos importantes de interés público. El Proveedor de Servicios informará inmediatamente a la Empresa si, en opinión del Proveedor de Servicios, una Instrucción proporcionada infringe la Ley Aplicable.
(B) Mantener en estricta confidencialidad (i) la existencia y los términos del Acuerdo de Servicio (incluyendo este Addendum), y cualquier acuerdo relacionado, y (ii) todos y cada uno de los Datos Personales.
(C) Garantizar que cualquier persona autorizada por el Proveedor de Servicios para procesar datos personales en el contexto de los servicios sólo tenga acceso a los datos personales en función de la necesidad de conocerlos, esté sujeta a una obligación de confidencialidad contractual o legal debidamente exigible y sólo procese los datos personales de acuerdo con las instrucciones del controlador de datos.
(D) No transferir los Datos Personales fuera del país desde el que la Empresa o su Personal los entregaron originalmente al Proveedor de Servicios, o desde el que el Proveedor de Servicios accedió u obtuvo de otro modo dichos Datos Personales o, si se entregaron originalmente en una ubicación dentro del Espacio Económico Europeo ("EEE") o Suiza, fuera del EEE o Suiza), para su Tratamiento sin el consentimiento explícito por escrito de la Empresa (donde se considera que dicho consentimiento se ha concedido con respecto a las jurisdicciones enumeradas en el Anexo 1). El Proveedor de Servicios celebrará los acuerdos por escrito que sean necesarios (según la determinación razonable de la Empresa) para cumplir con la Legislación Aplicable en relación con cualquier transferencia transfronteriza de Datos Personales, ya sea hacia o desde el Proveedor de Servicios.
(E) Informar a la Sociedad con prontitud y sin demora indebida de cualquier solicitud formal de los Sujetos de los Datos que ejerzan sus derechos de acceso, corrección o eliminación de sus Datos Personales, su derecho a restringir u objetar el Tratamiento, así como su derecho a la portabilidad de los datos, y no responder a dichas solicitudes, a menos que la Sociedad se lo indique por escrito. Teniendo en cuenta la naturaleza del Tratamiento de Datos Personales, el Proveedor de Servicios asistirá a la Empresa, mediante las medidas técnicas y organizativas adecuadas, en la medida de lo posible, en el cumplimiento de las obligaciones de la Empresa para responder a la solicitud del Titular de los Datos de ejercer sus derechos con respecto a sus Datos Personales.
(F) Notificar a la Compañía inmediatamente por escrito cualquier citación u otra orden judicial o administrativa por parte de una autoridad gubernamental o procedimiento que busque el acceso o la divulgación de Datos Personales. La Empresa tendrá derecho a defender dicha acción en lugar de y en nombre del Proveedor de Servicios. La empresa podrá, si así lo desea, solicitar una orden de protección. El Proveedor de Servicios cooperará razonablemente con la Empresa en dicha defensa.
(G) Proporcionar asistencia razonable a la Compañía, a costa de la misma, en el cumplimiento de las obligaciones de la Compañía en virtud de la Legislación Aplicable.
(H) Mantener uno o varios registros internos de las actividades de Tratamiento, de los que el Proveedor de Servicios facilitará copias a la Empresa o a las autoridades de supervisión cuando éstas lo soliciten. Dichos registros deberán contener como mínimo: (i) el nombre y los datos de contacto del Proveedor de Servicios; (ii) las categorías de actividades de Tratamiento realizadas en virtud del presente Anexo; (iii) información sobre las transferencias de datos a un tercer país o a un tercero, cuando proceda; y (iv) una descripción general de las Medidas de Seguridad de los Datos aplicadas para proteger los Datos Personales Tratados en virtud del presente Anexo.
(A) El Proveedor de Servicios no compartirá, transferirá, divulgará, pondrá a disposición o proporcionará de otro modo acceso a ningún Dato Personal a ningún tercero, ni contratará ninguno de sus derechos u obligaciones relativos a los Datos Personales, a menos que la Empresa haya autorizado al Proveedor de Servicios a hacerlo por escrito. Cuando el Proveedor de Servicios, con el consentimiento de la Empresa, proporcione acceso a los Datos Personales a un tercero, el Proveedor de Servicios celebrará un acuerdo por escrito con cada uno de esos terceros que imponga a éstos las mismas obligaciones que las impuestas al Proveedor de Servicios en virtud del presente Addendum. El Proveedor de Servicios sólo contratará a terceros que sean capaces de proteger adecuadamente la privacidad, la confidencialidad y la seguridad de los Datos Personales.
(A) El Proveedor de Servicios cumplirá con todas las Leyes Aplicables.
(B) El Proveedor de Servicios declara y garantiza que ninguna Ley Aplicable, o requisito legal, o acción de aplicación de la privacidad o la seguridad de la información, investigación, litigio o reclamación prohíbe al Proveedor de Servicios cumplir con sus obligaciones en virtud del presente Addendum.
(C) El Prestador de Servicios negociará de buena fe cualquier otro acuerdo de Tratamiento de datos razonablemente solicitado por la Empresa a efectos del cumplimiento de la Legislación Aplicable. En caso de conflicto entre el presente Addendum y el Contrato de Servicios, el presente Addendum prevalecerá en lo que respecta al Tratamiento de Datos Personales contemplado en el mismo.
(A) El Proveedor de Servicios desarrollará, mantendrá y aplicará un programa integral de seguridad de la información por escrito que cumpla con la Legislación Aplicable, incluyendo, pero sin limitarse a, las Medidas de Seguridad de los Datos descritas en el Anexo 2 del presente Addendum. El programa de seguridad de la información del Proveedor de Servicios incluirá las salvaguardias administrativas, técnicas, físicas, organizativas y operativas apropiadas y otras medidas de seguridad diseñadas para (i) garantizar la seguridad y la confidencialidad de los Datos Personales; (ii) proteger contra cualquier amenaza o peligro previsto para la seguridad e integridad de los Datos Personales; y (iii) proteger contra cualquier Violación de Datos Personales, incluyendo, según proceda:
El Proveedor de Servicios adoptará todas las recomendaciones razonables que la Compañía pueda hacer en relación con las Medidas de Seguridad de los Datos, los programas y los procedimientos para garantizar el cumplimiento continuo del presente Addendum, siempre que, no obstante, cualquier cambio sustancial en los requisitos de la Compañía se tramite a través de los Procedimientos de Control de Cambios.
(B) El Proveedor de Servicios supervisará al personal del Proveedor de Servicios en la medida necesaria para mantener la privacidad, la confidencialidad y la seguridad de los Datos Personales. El Proveedor de Servicios impartirá formación, según proceda, sobre los requisitos de privacidad, confidencialidad y seguridad de la información establecidos en el presente Addendum a todo el personal del Proveedor de Servicios que tenga acceso a los Datos Personales.
(C) Inmediatamente después de la expiración o de la terminación anticipada del Contrato de Servicios, o en el momento en que la Compañía lo solicite, el Proveedor de Servicios devolverá a la Compañía o a la persona que ésta designe, o a petición de la Compañía, destruirá de forma segura o hará ilegible o indescifrable, si la devolución no es razonablemente factible o deseable para la Compañía (decisión que se basará únicamente en la declaración escrita de la Compañía), todos y cada uno de los originales y copias en todos los soportes de todos los Datos Personales que estén en posesión, custodia o control del Proveedor de Servicios, sus filiales o sus respectivos subcontratistas. Inmediatamente después de cualquier devolución o acción alternativa tomada para cumplir con la presente Cláusula VI (C), el Proveedor de Servicios proporcionará a la Empresa un certificado completo que certifique que se ha producido dicha devolución o acción alternativa. En el caso de que la legislación aplicable no permita al Proveedor de Servicios cumplir con la entrega o destrucción de los Datos Personales, el Proveedor de Servicios garantiza que garantizará la confidencialidad de los Datos Personales y que no utilizará ni divulgará ningún Dato Personal tras la finalización del presente Addendum.
(A) El Proveedor de Servicios informará inmediatamente a la Empresa por escrito de cualquier Violación de Datos Personales de la que tenga conocimiento el Proveedor de Servicios, pero en ningún caso más de veinticuatro (24) horas después de tener conocimiento de la Violación de Datos Personales. La notificación a la Empresa incluirá toda la información disponible sobre dicha Violación de Datos Personales, incluyendo información sobre:
El Proveedor de Servicios tomará rápidamente todas las medidas correctivas necesarias y aconsejables, y cooperará plenamente con la Empresa en todos los esfuerzos razonables y legales para prevenir, mitigar o rectificar dicha Violación. El Proveedor de Servicios prestará la asistencia necesaria para que la Empresa pueda cumplir con su obligación de notificar a la autoridad de control pertinente y a los Sujetos de Datos una violación de los datos personales en virtud de los artículos 33 y 34 del GDPR. El contenido de cualquier presentación, comunicación, aviso, comunicado de prensa o informe relacionado con cualquier violación de datos personales debe ser aprobado por la Empresa antes de cualquier publicación o comunicación del mismo. El Proveedor de Servicios será responsable de los costes y gastos asociados con el cumplimiento de sus obligaciones descritas en este párrafo, a menos que la Violación de Datos Personales sea causada por los actos u omisiones de la Compañía o sus afiliados.
(B) En el caso de una violación de datos personales que implique datos personales en posesión, custodia o control del proveedor de servicios o de los que el proveedor de servicios sea responsable de otro modo, el proveedor de servicios reembolsará a la empresa, previa solicitud, todos los costes relacionados con la notificación que sean comercialmente razonables y en los que haya incurrido la empresa como consecuencia o en relación con dicha violación de datos personales.
El Proveedor de Servicios, previa solicitud por escrito (pero no más de una vez al año, salvo en caso de incumplimiento), pondrá a disposición de la Empresa toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Anexo y, a expensas de la Empresa, permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por la Empresa u otro auditor encargado por la Empresa. Previa solicitud por escrito de la Compañía (siempre que no sea más de una vez al año, salvo en caso de incumplimiento), el Proveedor de Servicios se compromete a cooperar y, en un plazo razonable, a proporcionar a la Compañía (a) los informes de auditoría y toda la información necesaria para demostrar el cumplimiento por parte del Proveedor de Servicios de las obligaciones establecidas en el presente Addendum; y (b) la confirmación de que la auditoría no ha revelado ninguna vulnerabilidad importante en los sistemas del Proveedor de Servicios o, en la medida en que se haya detectado alguna vulnerabilidad, que el Proveedor de Servicios ha subsanado totalmente dicha vulnerabilidad. El incumplimiento de esta obligación por parte del Proveedor de Servicios dará derecho a la Empresa a suspender el Tratamiento de los Datos Personales tratados por el Proveedor de Servicios, y a rescindir cualquier otro Tratamiento de Datos Personales, el presente Addendum y/o el Contrato Principal, si ello es necesario para cumplir con la Legislación Aplicable.
El Proveedor de Servicios acepta que cualquier tratamiento de Datos Personales que infrinja el presente Anexo, las Instrucciones de la Empresa o cualquier Ley aplicable, o que se produzca una Violación de Datos Personales, causará un daño inmediato e irreparable a la Empresa para el que los daños monetarios no constituirán un remedio adecuado. Por lo tanto, el Proveedor de Servicios acepta que la Empresa puede solicitar y obtener un cumplimiento específico y una medida cautelar u otra reparación equitativa por cualquier violación o incidente de este tipo, además de sus recursos legales, sin necesidad de probar los daños reales.
El Proveedor de Servicios se compromete a indemnizar y eximir a la Empresa de cualquier daño directo, multa, coste o gasto en el que pueda incurrir o que surja de o en relación con una reclamación de terceros relacionada con cualquier violación de este Anexo.
En la medida en que lo exija la legislación aplicable, el presente apéndice se regirá por la legislación de Nueva Escocia, Canadá. En todos los demás casos, el presente Addendum se regirá por las leyes de la jurisdicción especificada en el Acuerdo.
El presente anexo forma parte del apéndice de procesamiento de datos entre la empresa y el proveedor de servicios.
El tratamiento de los datos personales se refiere a las siguientes categorías de interesados:
El tratamiento se refiere a las siguientes categorías de datos personales:
1. El nombre, el pasaporte, la fecha de nacimiento y el sexo de los usuarios (implícito en el prefijo del nombre) dentro de la plataforma Trip Ninja QuickTrip/White Label
El tratamiento se refiere a las siguientes categorías de datos sensibles:
Por Datos Sensibles se entiende los Datos Personales que revelan la identidad personal, las opciones de viaje y la ubicación, los datos relativos a las opciones económicas personales.
El tratamiento se refiere a las siguientes categorías de actividades de tratamiento de datos (es decir, fines del tratamiento):
1. La finalidad del tratamiento del nombre, el pasaporte, la fecha de nacimiento y el sexo de los usuarios del Cliente (implícito en el prefijo del nombre) en la plataforma QuickTrip/White Label de Trip Ninja es exclusivamente la prestación de los servicios de Trip Ninja.
El proveedor de servicios utiliza los siguientes subprocesadores:
El proveedor de servicios puede transferir y procesar información personal a las siguientes jurisdicciones fuera de la UE:
El presente anexo forma parte del apéndice sobre el tratamiento de datos entre la empresa y el proveedor de servicios. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contenido y la finalidad del Tratamiento, el Proveedor de Servicios se compromete a aplicar las siguientes medidas de seguridad de los datos:
Control de acceso físico - Medidas técnicas y organizativas para evitar que personas no autorizadas accedan a los sistemas de tratamiento de datos disponibles en los locales e instalaciones (incluidas las bases de datos, los servidores de aplicaciones y el hardware relacionado), donde se tratan los datos personales, incluyendo:
Establecimiento de zonas de seguridad, restricción de vías de acceso;
Establecer autorizaciones de acceso para empleados y terceros;
Gestión de las llaves, procedimientos de las llaves de las tarjetas;
Cierre de puertas (abrepuertas eléctricos, etc.);
Personal de seguridad, conserjes;
Instalaciones de vigilancia, monitor de vídeo/CCTV, sistema de alarma;
Asegurar los equipos de procesamiento de datos descentralizados y los ordenadores personales.
Control de acceso lógico - Medidas técnicas y organizativas para evitar que los sistemas de tratamiento de datos sean utilizados por personas no autorizadas, entre ellas:
Procedimientos de identificación y autenticación de usuarios;
Procedimientos de seguridad de la identificación/contraseña (caracteres especiales, longitud mínima, cambio de contraseña);
Bloqueo automático (por ejemplo, por contraseña o por tiempo de espera);
Supervisión de los intentos de intrusión y desactivación automática de la identificación del usuario tras varios intentos de contraseña errónea;
Creación de un registro maestro por usuario, procedimientos de datos maestros de usuario, por entorno de procesamiento de datos;
Cifrado y seudonimización.
Control de acceso a los datos - Medidas técnicas y organizativas para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos sólo tengan acceso a dichos datos personales de acuerdo con sus derechos de acceso, y que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización, incluyendo:
Políticas y procedimientos internos;
Regímenes de autorización de control;
Derechos de acceso diferenciados (perfiles, roles, transacciones y objetos);
Control y registro de los accesos;
Medidas disciplinarias contra los empleados que acceden a los datos personales sin autorización;
Informes de acceso;
Procedimiento de acceso;
Procedimiento de cambio;
Procedimiento de supresión;
Cifrado y seudonimización.
Control de la divulgación - Medidas técnicas y organizativas para garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes (manuales o electrónicos), y que pueda verificarse a qué empresas u otras entidades legales se divulgan los Datos Personales, incluyendo:
Registro de datos;
La seguridad del transporte;
Cifrado y seudonimización.
Control de entrada - Medidas técnicas y organizativas para supervisar si los datos han sido introducidos, modificados o eliminados (borrados), y por quién, de los sistemas de procesamiento de datos, incluyendo:
Sistemas de registro e información;
Registros de auditoría y documentación
Control de las instrucciones - Medidas técnicas y organizativas para garantizar que los datos personales se tratan únicamente de acuerdo con las instrucciones del responsable del tratamiento, incluyendo:
Redacción inequívoca del contrato;
Redacción inequívoca del contrato;
Encargo formal (formulario de solicitud);
Criterios de selección del procesador.
Control de disponibilidad - Medidas técnicas y organizativas para garantizar la protección de los Datos Personales contra la destrucción o pérdida accidental (física/lógica), incluyendo:
Procedimientos de copia de seguridad;
Espejo de discos duros;
Sistema de alimentación ininterrumpida;
Almacenamiento remoto;
Sistemas antivirus/cortafuegos;
Plan de recuperación de desastres.
Control de separación - Medidas técnicas y organizativas para garantizar que los Datos Personales recogidos para diferentes fines puedan ser tratados por separado, incluyendo:
Separación de bases de datos;
Concepto de "cliente interno" / limitación de uso;
Segregación de funciones (producción/prueba);
Procedimientos para el almacenamiento, la modificación, la supresión y la transmisión de datos para diferentes fines.
Esta adenda de procesamiento de datos se actualizó por última vez el 22 de agosto de 2022.
Esta adenda de procesamiento de datos se actualizó por última vez el 22 de agosto de 2022