1.1 En este Addendum, los siguientes términos tendrán el significado que se indica a continuación y los términos relacionados se interpretarán en consecuencia:

1.2 Los términos "Comisión", "Responsable del tratamiento", "Sujeto de los datos", "Estado miembro", "Datos personales", "Violación de datos personales", "Tratamiento" y "Autoridad de control" tendrán el mismo significado que en el RGPD, y sus términos relacionados se interpretarán en consecuencia.

‍

1.3 La palabra "incluir" se interpretará como incluir sin limitación, y los términos relacionados se interpretarán en consecuencia.

Trip Ninja garantiza y declara que, antes de que cualquier Afiliado de Trip Ninja procese cualquier Dato Personal del Cliente en nombre de cualquier Miembro del Grupo de Clientes, la entrada de Trip Ninja en este Addendum como agente para y en nombre de ese Afiliado de Trip Ninja habrá sido debida y efectivamente autorizada (o posteriormente ratificada) por ese Afiliado de Trip Ninja.

3.1 Trip Ninja y cada uno de los Afiliados de Trip Ninja deberán:

3.2 Cada miembro del grupo de clientes:

3.3 El Anexo 1 de este Anexo establece cierta información relativa al Tratamiento de los Datos Personales del Cliente por parte de los Encargados del Tratamiento contratados, tal y como exige el artículo 28(3) del GDPR (y, posiblemente, los requisitos equivalentes de otras Leyes de Protección de Datos). El Cliente podrá realizar modificaciones razonables en el Anexo 1 mediante notificación por escrito a Trip Ninja cada cierto tiempo, según el Cliente considere razonablemente necesario para cumplir con dichos requisitos. Nada en el Anexo 1 (incluso modificado de acuerdo con esta sección 3.3) confiere ningún derecho o impone ninguna obligación a ninguna de las partes de este Anexo.

‍

Trip Ninja y cada uno de los Afiliados de Trip Ninja tomarán las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Encargado del Tratamiento contratado que pueda tener acceso a los Datos Personales del Cliente, asegurando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer/acceder a los Datos Personales del Cliente pertinentes, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con la Legislación Aplicable en el contexto de las obligaciones de dicha persona con el Encargado del Tratamiento contratado, garantizando que todas estas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.

5.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Trip Ninja y cada uno de los Afiliados de Trip Ninja aplicarán, en relación con los Datos Personales del Cliente, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a dicho riesgo, tal y como se establece más concretamente en el Acuerdo Principal.

‍

5.2 Al evaluar el nivel de seguridad adecuado, Trip Ninja y cada uno de los Afiliados de Trip Ninja tendrán en cuenta, en particular, los riesgos que presenta el Tratamiento, en especial de una Violación de Datos Personales.

6.1 Cada Miembro del Grupo de Clientes autoriza a Trip Ninja y a cada Afiliado de Trip Ninja a designar (y a permitir que cada Subprocesador designado de acuerdo con esta sección 6 designe) Subprocesadores de acuerdo con esta sección 6 y cualquier restricción en el Acuerdo Principal.

‍

6.2 Trip Ninja y cada uno de los Afiliados de Trip Ninja podrán seguir utilizando los Subprocesadores ya contratados por Trip Ninja o por cualquier Afiliado de Trip Ninja en la fecha del presente Anexo, siempre y cuando Trip Ninja y cada uno de los Afiliados de Trip Ninja cumplan en cada caso, tan pronto como sea posible, las obligaciones establecidas en el apartado 6.4.   

‍

6.3 Trip Ninja notificará previamente al Cliente por escrito el nombramiento de cualquier nuevo Subprocesador, incluyendo los detalles completos del Tratamiento que realizará el Subprocesador. Si, dentro de los treinta (30) días siguientes a la recepción de dicha notificación, el Cliente notifica a Trip Ninja por escrito cualquier objeción (por motivos razonables) a la designación propuesta:

‍

Ni Trip Ninja ni ningún Afiliado de Trip Ninja designará (ni revelará ningún Dato Personal del Cliente a) ese Subprocesador propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por cualquier Miembro del Grupo de Clientes y se haya proporcionado al Cliente una explicación razonable por escrito de las medidas adoptadas.

‍

6.4 Con respecto a cada Subprocesador, Trip Ninja o el correspondiente Afiliado de Trip Ninja deberá:

6.5 Trip Ninja y cada uno de los Afiliados de Trip Ninja se asegurarán de que cada Subprocesador cumpla con las obligaciones establecidas en las secciones 3.1, 4, 5, 7.1, 8.2, 9 y 11.1, en la medida en que se apliquen al Tratamiento de los Datos Personales del Cliente llevado a cabo por dicho Subprocesador, como si fuera parte del presente Addendum en lugar de Trip Ninja.

7.1 Teniendo en cuenta la naturaleza del Tratamiento, Trip Ninja y cada uno de los Afiliados de Trip Ninja asistirán a cada Miembro del Grupo de Clientes implementando las medidas técnicas y organizativas apropiadas, tal y como se puede indicar en el Acuerdo Principal, y en la medida en que esto sea posible, para el cumplimiento de las obligaciones de los Miembros del Grupo de Clientes, tal y como lo entiende razonablemente el Cliente, para responder a las solicitudes de ejercicio de los derechos del Titular de los Datos en virtud de las Leyes de Protección de Datos.

‍

7.2 La Ninja de Viaje deberá:

‍

7.2.1 notificar inmediatamente al Cliente si cualquier Encargado del Tratamiento contratado recibe una solicitud de un Sujeto de Datos en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales del Cliente; y

7.2.2 garantizar que el Procesador contratado no responda a dicha solicitud, salvo siguiendo las instrucciones documentadas del Cliente o de la correspondiente Filial del Cliente o según lo exijan las Leyes Aplicables a las que esté sujeto el Procesador contratado, en cuyo caso Trip Ninja deberá, en la medida en que lo permitan las Leyes Aplicables, informar al Cliente de dicho requisito legal antes de que el Procesador contratado responda a la solicitud.

8.1 Trip Ninja notificará al Cliente sin demora indebida cuando Trip Ninja o cualquier Subprocesador tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente, proporcionando al Cliente la información suficiente para que cada Miembro del Grupo del Cliente pueda cumplir con cualquier obligación de informar a los Sujetos de Datos de la Violación de Datos Personales en virtud de las Leyes de Protección de Datos. 

‍

8.2 Trip Ninja cooperará con el Cliente y con cada uno de los Miembros del Grupo del Cliente y tomará las medidas comerciales razonables que le indique el Cliente para ayudar en la investigación, mitigación y reparación de cada una de las violaciones de datos personales.

Trip Ninja y cada uno de los Afiliados de Trip Ninja prestarán una asistencia razonable a cada Miembro del Grupo de Clientes en relación con cualquier evaluación de impacto sobre la protección de datos, así como con las consultas previas a las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, que el Cliente considere razonablemente que se exige a cualquier Miembro del Grupo de Clientes en virtud del artículo 35 o 36 del GDPR o de las disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de los Datos Personales del Cliente por parte de los Encargados del Tratamiento contratados y teniendo en cuenta la naturaleza del Tratamiento y la información disponible.

10.1 Sujeto a las secciones 10.2 y 10.3, Trip Ninja y cada Afiliado de Trip Ninja devolverán rápidamente y en cualquier caso dentro de los sesenta (60) días siguientes a la fecha de cese de cualquier Servicio que implique el Procesamiento de Datos Personales del Cliente (la "Fecha de Cese"), todos los Datos Personales del Cliente al Cliente.

‍

10.2 Sin perjuicio de lo dispuesto en la sección 10.3, el Cliente podrá, a su absoluta discreción, mediante notificación escrita a Trip Ninja en el plazo de 30 días a partir de la Fecha de Cese, exigir a Trip Ninja y a cada uno de los Afiliados de Trip Ninja que (a) devuelvan al Cliente una copia completa de todos los Datos Personales del Cliente mediante una transferencia segura de archivos en el formato que el Cliente haya notificado razonablemente a Trip Ninja; y (b) eliminen y hagan eliminar todas las demás copias de los Datos Personales del Cliente procesados por cualquier Procesador Contratado. Trip Ninja y cada uno de los Afiliados de Trip Ninja cumplirán con cualquier solicitud por escrito dentro de los sesenta (60) días siguientes a la Fecha de Cese.

‍

10.3 Cada Procesador Contratado podrá conservar los Datos Personales del Cliente en la medida en que lo exijan las Leyes Aplicables y sólo en la medida y durante el período que exijan las Leyes Aplicables y siempre que Trip Ninja y cada Afiliado de Trip Ninja garanticen la confidencialidad de todos los Datos Personales del Cliente y se aseguren de que dichos Datos Personales del Cliente sólo se procesen en la medida en que sea necesario para los fines especificados en las Leyes Aplicables que exijan su almacenamiento y para ningún otro fin. 

‍

10.4 Trip Ninja proporcionará una certificación por escrito al Cliente de que él y cada Afiliado de Trip Ninja ha cumplido plenamente con esta sección 10 dentro de los sesenta (60) días de la Fecha de Cese.

11.1 Sujeto a las secciones 11.2 y 11.3, Trip Ninja y cada uno de los Afiliados de Trip Ninja pondrán a disposición de cada Miembro del Grupo de Clientes que lo solicite toda la información necesaria para demostrar el cumplimiento de este Anexo, y permitirán y contribuirán a las auditorías, incluidas las inspecciones, de cualquier Miembro del Grupo de Clientes o de un auditor encargado por cualquier Miembro del Grupo de Clientes en relación con el Tratamiento de los Datos Personales de los Clientes por parte de los Procesadores Contratados.

‍

11.2 Los derechos de información y auditoría de los Miembros del Grupo de Clientes sólo surgen en virtud de la sección 11.1 en la medida en que el Acuerdo Principal no les otorgue de otro modo derechos de información y auditoría que cumplan con los requisitos pertinentes de la Ley de Protección de Datos (incluyendo, cuando sea aplicable, el artículo 28(3)(h) del GDPR).

‍

11.3 Trip Ninja informará inmediatamente al Cliente si, en su opinión, una instrucción conforme a esta sección 11 (Derechos de Auditoría) infringe el GDPR u otras disposiciones de protección de datos de la UE.

12.1 Sin perjuicio de lo dispuesto en el apartado 12.3, cada Miembro del Grupo de Clientes (en calidad de "exportador de datos") y cada Encargado del Tratamiento contratado, según corresponda, (en calidad de "importador de datos") suscriben por la presente las Cláusulas Contractuales Tipo en relación con cualquier Transferencia Restringida de ese Miembro del Grupo de Clientes a ese Encargado del Tratamiento contratado.

‍

12.2 Las Cláusulas Contractuales Tipo entrarán en vigor, de acuerdo con la sección 12.1, en la fecha posterior de:

Derecho aplicable y jurisdicción

13.1 Sin perjuicio de las cláusulas 7 (Mediación y jurisdicción) y 9 (Ley aplicable) de las Cláusulas Contractuales Tipo:

Orden de precedencia

13.2 Nada en este Addendum reduce las obligaciones de Trip Ninja o de cualquier Afiliado de Trip Ninja bajo el Acuerdo Principal en relación con la protección de los Datos Personales o permite a Trip Ninja o a cualquier Afiliado de Trip Ninja Procesar (o permitir el Procesamiento de) Datos Personales de una manera que está prohibida por el Acuerdo Principal. En caso de conflicto o incoherencia entre el presente Anexo y las Cláusulas Contractuales Estándar, prevalecerán las Cláusulas Contractuales Estándar.

‍

13.3 Sin perjuicio de lo dispuesto en el apartado 13.2, en lo que respecta al objeto de esta Adenda, en caso de incoherencias entre las disposiciones de esta Adenda y cualquier otro acuerdo entre las partes, incluyendo el Acuerdo Principal e incluyendo (salvo que se acuerde explícitamente lo contrario por escrito, firmado en nombre de las partes) los acuerdos celebrados o que se pretendan celebrar después de la fecha de esta Adenda, prevalecerán las disposiciones de esta Adenda.

‍

Cambios en las leyes de protección de datos, etc.

13.4 El cliente puede:

13.5 Si el Cliente avisa según la sección 13.4.1:

13.6 Si el Cliente notifica en virtud de la sección 13.4.2, las partes discutirán sin demora las modificaciones propuestas y negociarán de buena fe con el fin de acordar y aplicar dichas modificaciones o modificaciones alternativas diseñadas para abordar los requisitos identificados en la notificación del Cliente tan pronto como sea razonablemente factible.

‍

13.7 Ni el Cliente ni Trip Ninja requerirán el consentimiento o la aprobación de cualquier Afiliado del Cliente o Afiliado de Trip Ninja para modificar el presente Anexo de conformidad con esta sección 13.5 o de otra manera.

Indemnización

13.8 En caso de que cualquier disposición de este Apéndice sea inválida o inaplicable, el resto del Apéndice seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las partes en la medida de lo posible o, si esto no es posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en ella.

El presente Anexo 1 incluye determinados detalles del tratamiento de los Datos Personales del Cliente, tal y como exige el artículo 28(3) del GDPR.

Objeto y duración del tratamiento de los datos personales del cliente

El objeto y la duración del tratamiento de los Datos Personales del Cliente son los establecidos en el Acuerdo Principal.

La naturaleza y la finalidad del tratamiento de los datos personales del cliente

La naturaleza y la finalidad del tratamiento de los Datos Personales del Cliente son las establecidas en el Acuerdo Principal.

Los tipos de datos personales de los clientes que se tratarán

Los tipos de Datos Personales del Cliente que se tratarán son los establecidos en el Acuerdo Principal.

Las categorías de sujetos de datos a los que se refieren los datos personales del cliente

Las categorías de Sujetos de Datos a las que se refieren los Datos Personales del Cliente son las determinadas por el Cliente, y las establecidas en el Acuerdo Principal.

Las obligaciones y los derechos del Cliente y de los Afiliados del Cliente

Las obligaciones y derechos del Cliente y de los Afiliados del Cliente son los establecidos en el Acuerdo Principal.

Estas Cláusulas se consideran modificadas de vez en cuando, en la medida en que se refieren a una Transferencia Restringida que está sujeta a las Leyes de Protección de Datos de un determinado país o territorio, para reflejar (en la medida de lo posible sin incertidumbre material en cuanto al resultado) cualquier cambio (incluyendo cualquier sustitución) realizado de conformidad con dichas Leyes de Protección de Datos (i) por la Comisión a o de las cláusulas contractuales equivalentes aprobadas por la Comisión en virtud de la Directiva 95/46/CE de la UE o el GDPR (en el caso de las Leyes de Protección de Datos de la Unión Europea o de un Estado miembro); o (ii) por una autoridad competente equivalente a las cláusulas contractuales equivalentes aprobadas por ella o por otra autoridad competente en virtud de otra Ley de Protección de Datos (en caso contrario).

Cláusulas contractuales estándar (procesadores)

Trip Ninja Inc. ("Trip Ninja") actuando en su propio nombre y como agente de cada afiliado de Trip Ninja (el "importador de datos"); 

y (ii) usted, una persona física o jurídica que accede al Sitio de Trip Ninja y/o utiliza los Productos y/o Servicios de Trip Ninja ("Cliente") actuando en su propio nombre y como agente de cada Afiliado del Cliente (el "exportador de datos"),

cada uno de ellos una "parte"; juntos "las partes",

ACUERDAN las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de establecer las garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos personales especificados en el Acuerdo Principal entre las partes.

Antecedentes

El exportador de datos ha suscrito un apéndice de protección de datos ("APD") del RGPD con el importador de datos. De conformidad con los términos del APD, se contempla que los servicios prestados por el importador de datos implicarán la transferencia de datos personales al importador de datos, como se establece más concretamente en el Acuerdo Principal (los "Servicios"). El importador de datos está situado en un país que no garantiza un nivel adecuado de protección de datos. Para garantizar el cumplimiento de la Directiva 95/46/CE y de la legislación aplicable en materia de protección de datos, el responsable del tratamiento acepta la prestación de dichos Servicios, incluido el tratamiento de datos personales inherente a los mismos, siempre que el importador de datos ejecute y cumpla los términos de las presentes Cláusulas. 

Cláusula 1
Definiciones

• (a) "datos personales", "categorías especiales de datos", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; 
• (b) "el exportador de datos": el responsable del tratamiento que transfiere los datos personales;
• (c) "el importador de datos": el encargado del tratamiento que acepta recibir del exportador de datos los datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y con los términos de las cláusulas, y que no está sujeto a un sistema de un tercer país que garantice una protección adecuada en el sentido del apartado 1 del artículo 25 de la Directiva 95/46/CE; 
• (d) "el subencargado del tratamiento": cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del importador de datos datos los datos personales destinados exclusivamente a las actividades de tratamiento que se llevarán a cabo por cuenta del exportador de datos después de la transferencia, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del subcontrato escrito;
• (e) "la legislación aplicable en materia de protección de datos": la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en la jurisdicción en la que está establecido el exportador de datos;
• (f) "medidas de seguridad de carácter técnico y organizativo": las destinadas a proteger los datos personales contra la destrucción accidental o ilícita o contra la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos por una red, y contra cualquier otra forma ilícita de tratamiento.

Cláusula 2
Detalles de la transferencia

Los detalles de la transferencia y de las categorías de datos personales, en su caso, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

Cláusula 3
Cláusula de terceros beneficiarios

1. El interesado puede hacer valer frente al exportador de datos la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12 como tercero beneficiario. 
2. El interesado podrá hacer valer frente al importador de datos la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. 
3. El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por efecto de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado puede hacerlos valer frente a dicha entidad. Dicha responsabilidad del subencargado del tratamiento frente a terceros se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas. 
4. Las partes no se oponen a que el interesado esté representado por una asociación u otro organismo si el interesado lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4
Obligaciones del exportador de datos

El exportador de datos acepta y garantiza: 

• (a) que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades pertinentes de la jurisdicción en la que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicha jurisdicción;
• (b) que ha dado instrucciones y durante toda la duración de los servicios de tratamiento de datos personales dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y las Cláusulas;
• (c) que el importador de datos ofrezca garantías suficientes respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;
• (d) que, una vez evaluados los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presenta el tratamiento y a la naturaleza de los datos que deben protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
• (e) que garantizará el cumplimiento de las medidas de seguridad;
• (f) que, si la transferencia implica categorías especiales de datos, el interesado ha sido informado o será informado antes de la transferencia, o tan pronto como sea posible, de que sus datos podrían ser transmitidos a un tercer país que no ofrezca una protección adecuada.
• (g) remitir a la autoridad de control de la protección de datos toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la cláusula 5, letra b), y la cláusula 8, apartado 3, si el exportador de datos decide continuar la transferencia o levantar la suspensión;
• (h) poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
• (i) que, en caso de subtratamiento, la actividad de tratamiento se lleve a cabo de conformidad con la cláusula 11 por un subencargado que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las cláusulas; y
• (j) que garantizará el cumplimiento de la cláusula 4(a) a (i).

Cláusula 5
Obligaciones del importador de datos

El importador de datos acepta y garantiza:

• (a) Tratar los datos personales sólo en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicha conformidad por cualquier motivo, se compromete a informar rápidamente al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o a rescindir el contrato;
• (b) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos en cuanto tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o a rescindir el contrato;
• (c) que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;
• (d) que notificará sin demora al exportador de datos:
• (i) cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial,
• (ii) cualquier acceso accidental o no autorizado, y
• (iii) cualquier solicitud recibida directamente de los interesados, sin responder a dicha solicitud, a menos que se le haya autorizado a hacerlo;
• (e) atender rápida y adecuadamente todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y acatar el consejo de la autoridad de control en relación con el tratamiento de los datos transferidos;
• (f) a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento contempladas en las cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
• (g) poner a disposición del interesado que lo solicite una copia de las Cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;
• (h) que, en caso de subtratamiento, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito;
• (i) que los servicios de tratamiento por parte del subprocesador se llevarán a cabo de acuerdo con la cláusula 11;
• (j) enviar sin demora al exportador de datos una copia de cualquier acuerdo de subprocesamiento que celebre en virtud de las Cláusulas.

Cláusula 6
Responsabilidad

1. Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por parte de cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.
2. Si un interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por parte del importador de datos o de su subencargado de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por efecto de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.
3. Si el interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento de datos con respecto a sus propias operaciones de tratamiento en virtud de las cláusulas como si fuera el exportador o el importador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por efecto de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.

Cláusula 7

Mediación y jurisdicción

Cláusula 8
Cooperación con las autoridades de supervisión

1. El exportador de datos se compromete a depositar una copia de este contrato ante la autoridad de control si ésta lo solicita o si dicho depósito es exigido por la ley de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la ley de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la cláusula 5.

Cláusula 9
Ley aplicable

Las Cláusulas se regirán por la legislación de la jurisdicción en la que esté establecido el importador de datos.

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.

Cláusula 11
Subprocesamiento

1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos en virtud de las cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, sólo lo hará mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado en virtud de dicho acuerdo. 
2. El contrato previo por escrito entre el importador de datos y el subencargado del tratamiento también establecerá una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la reclamación de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación de la jurisdicción en la que esté establecido el importador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de la protección de datos del exportador de datos.

Cláusula 12

Obligación tras la finalización de los servicios de tratamiento de datos personales

1. Las partes acuerdan que, al finalizar la prestación de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento devolverán, a elección del exportador de datos, todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que así lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir todos o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.
2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.

El presente anexo forma parte integrante de las cláusulas 

Exportador de datos
El exportador de datos es el Cliente.

Importador de datos
El importador de datos es Trip Ninja Inc.

Interesados
Los datos personales transferidos se refieren a las categorías de interesados que figuran en el Acuerdo Principal.

Categorías de datos
Los datos personales transferidos se refieren a las categorías de datos establecidas en el Acuerdo Principal.

Operaciones de tratamiento
Los datos personales transferidos estarán sujetos a las actividades de tratamiento establecidas en el Acuerdo Principal.

Este Anexo forma parte de las Cláusulas y debe ser completado y firmado por las partes.

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c):

Las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos son las indicadas en el Acuerdo Principal.

Este apéndice del procesador del GDPR se actualizó por última vez el 22 de agosto de 2022.