Anexo sobre procesamiento de datos, 2022
Nitro Pro
Efectivo: 28 de octubre 2022
Este Anexo de procesamiento de datos ("DPA") forma parte de los Términos de servicio de Nitro Business o los Términos de servicio de Nitro, según corresponda, que rigen el uso de los servicios de Nitro ("Acuerdo") celebrado entre Usted o el Licenciatario (cada uno como se define en el Acuerdo correspondiente; y para los fines de este DPA, usted y el Licenciatario se denominan aquí "Cliente") y Nitro Software, Inc. ("Nitro") para reflejar el acuerdo de las partes con respecto al procesamiento de datos personales por Nitro únicamente en nombre del Cliente en virtud del Acuerdo. Ambas Partes se denominarán las "Partes" y cada una, una "Parte".
1 . Definiciones
A los efectos de este DPA, los siguientes términos tienen los significados que se establecen a continuación. Los términos en mayúsculas que se usan pero no se definen en este DPA tienen los significados que se dan en el Acuerdo.
(a) Filial significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común con la entidad sujeta, donde “control” se refiere al poder de dirigir o hacer que la dirección de la entidad sujeta, ya sea (i) a través de la propiedad de valores con derecho a voto, o (ii) a través de la capacidad de controlar de hecho las decisiones de gestión de dicha entidad, por contrato o de otra manera.
(b) API significa cualquier interfaz de programación de aplicaciones que Nitro pone a disposición del Cliente en relación con el Acuerdo.
(c) Leyes de Protección de Datos Aplicables significa las leyes y regulaciones de privacidad, protección de datos y seguridad de datos de cualquier jurisdicción aplicable al Procesamiento de Datos Personales bajo el Acuerdo, incluidas, entre otras, las Leyes Europeas de Protección de Datos y la CCPA, cada una modificada de tiempo al tiempo.
(d) CCPA significa la Ley de Privacidad del Consumidor de California de 2018 y cualquier regulación promulgada en virtud de la misma.
(e) Datos del Cliente se refiere a la información proporcionada o puesta a disposición de Nitro para su Procesamiento en nombre del Cliente para prestar los Servicios.
(f) Documentación significa la Guía del usuario, las notas de la versión, las guías de implementación y cualquier otra documentación técnica relacionada con los Servicios o Servicios profesionales que Nitro pone a disposición del Cliente.
(g) EEE significa el Espacio Económico Europeo.
(h) Leyes Europeas de Protección de Datos significa el RGPD y otras leyes y reglamentos de protección de datos de la Unión Europea, sus Estados miembros, Suiza, Islandia, Liechtenstein, Noruega y el Reino Unido, en cada caso, en la medida aplicable al Procesamiento de Datos personales en virtud del Acuerdo.
(i) RGPD significa el Reglamento (UE) 2016 / 679 del Parlamento Europeo y del Consejo del 27 abril 2016 , con sus modificaciones periódicas.
(j) Incidente de seguridad de la información significa una violación conocida de la seguridad de Nitro que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales en posesión, custodia o control de Nitro. Los incidentes de seguridad de la información no incluyen intentos fallidos o actividades que no comprometan la seguridad de los datos personales, incluidos, entre otros, intentos fallidos de inicio de sesión, ping, escaneos de puertos, ataques de denegación de servicio u otros ataques de red en firewalls o sistemas en red.
(k) Derechos de propiedad intelectual significa todos los derechos de propiedad intelectual en todo el mundo, incluidos: (i) patentes, divulgaciones de invenciones (patentables o no), solicitudes de patentes, reemisiones, reexámenes, derechos de modelo de utilidad y derechos de diseño (registrados o no) , y derechos de propiedad industrial registrados u otros, (ii) marcas registradas, marcas de servicio, nombres corporativos, nombres comerciales, identificadores de Internet, imagen comercial y otras denominaciones similares de fuente u origen junto con el fondo de comercio simbolizado por cualquiera de los anteriores, (iii ) derechos de autor, derechos morales, derechos de diseño, derechos de bases de datos, colecciones de datos y otros derechos sui generis, (iv) secretos comerciales u otros derechos de propiedad sobre información confidencial o información técnica, reglamentaria y de otro tipo, diseños, resultados, técnicas y otros conocimientos -cómo, y (v) solicitudes, registros y renovaciones y todos los derechos asociados con respecto a cualquiera de los anteriores en cualquier parte del mundo.
(l) Datos personales se refiere a los Datos del cliente que constituyen "datos personales", "información personal" o "información de identificación personal" definida en la Ley de protección de datos aplicable, o información de carácter similar regulada por la misma, excepto que los Datos personales no incluyen tales información relativa al personal o representantes del Cliente que son contactos comerciales de Nitro en el curso normal de la relación comercial, donde Nitro actúa como controlador de dicha información.
(m) Procesamiento significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta , uso, divulgación por transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción.
(n) Servicios profesionales hace referencia a cualquier servicio realizado por Nitro en relación con los Servicios, como activación, formación, configuración, integración, evaluación y optimización.
(o) Medidas de Seguridad tiene el significado dado en la Sección 5 (a) (Medidas de Seguridad del Proveedor).
(p) Cláusulas contractuales estándar significa las disposiciones obligatorias de las cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países en la forma establecida por la Decisión de la Comisión Europea 2016 / 679 /UE y 2018 / 914 /EU, e implementado por la decisión de la Comisión Europea 2021 / 914 , de fecha 4 junio 2021 .
(q) Subprocesadores significa terceros que Nitro contrata para Procesar Datos Personales en relación con los Servicios.
(r) Subprocesadores de terceros tiene el significado dado en la Sección 5 (Subprocesadores) del Anexo 1 .
(s) Los términos controlador , sujeto de datos , procesador y autoridad supervisora, tal como se utilizan en este DPA, tienen los significados que se dan en el RGPD.
2 . Duración y Alcance de DPA
(a) Este DPA permanecerá vigente mientras Nitro procese Datos personales, independientemente de la expiración o rescisión del Acuerdo.
(b) El Anexo 1 (Anexo de la UE) de este DPA se aplica únicamente al Procesamiento sujeto a las Leyes europeas de protección de datos.
(c) El Anexo 2 (Anexo de California) de este DPA se aplica únicamente al Procesamiento sujeto a la CCPA si el Cliente es una "empresa" o un "proveedor de servicios" (tal como se define en la CCPA) con respecto a dicho Procesamiento.
3 . Instrucciones para el cliente
Nitro procesará los Datos personales solo de acuerdo con las instrucciones del Cliente a Nitro. Este DPA es una expresión completa de dichas instrucciones, y las instrucciones adicionales del Cliente serán vinculantes para Nitro únicamente de conformidad con una enmienda a este DPA firmada por ambas Partes. El Cliente le indica a Nitro que procese los Datos personales para proporcionar los Servicios según lo contemplado en el Acuerdo.
4 . Analítica
El Cliente reconoce y acepta que, como parte de los Servicios, Nitro puede:
(a) crear y derivar del Procesamiento relacionado con los elementos de los Servicios que son necesarios para proporcionar los Servicios; y/o
(b) crear y derivar del procesamiento relacionado con los Servicios anonimizados y/o datos agregados que no identifiquen al Cliente ni a ninguna persona física, y usar, publicitar o compartir con terceros dichos datos anonimizados y/o agregados para mejorar los productos y servicios de Nitro y/o para sus otros fines comerciales legítimos.
5. Seguridad
(a) Medidas de seguridad del proveedor . Nitro implementará y mantendrá medidas técnicas y organizativas diseñadas para proteger los Datos personales contra la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso accidental o ilegal a los Datos personales (" Medidas de seguridad "), tal como se describe en el Anexo 3 (Medidas de seguridad). Nitro puede actualizar las Medidas de seguridad de vez en cuando sin previo aviso, siempre que las medidas actualizadas no reduzcan sustancialmente la protección general de los Datos personales.
(b) Incidentes de seguridad de la información. Nitro notificará al Cliente sin demoras indebidas sobre cualquier Incidente de seguridad de la información del que Nitro tenga conocimiento. Dichas notificaciones pueden describir los detalles disponibles del Incidente de seguridad de la información, incluido un resumen de los pasos tomados para mitigar los riesgos potenciales y los pasos que Nitro recomienda que el Cliente considere tomar para abordar el Incidente de seguridad de la información. La notificación o respuesta de Nitro a un Incidente de seguridad de la información no se interpretará como el reconocimiento por parte de Nitro de cualquier falla o responsabilidad con respecto al Incidente de seguridad de la información.
(c) Responsabilidades y Evaluación de Seguridad del Cliente.
(i) Responsabilidades de seguridad del cliente . El Cliente acepta que, sin limitación de las obligaciones de Nitro en virtud de la Sección 5 (Seguridad), el Cliente es el único responsable de su uso de los Servicios, incluido (a) hacer un uso adecuado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo en respecto de los Datos Personales; (b) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios; (c) proteger los sistemas y dispositivos del Cliente que Nitro utiliza para prestar los Servicios; y (d) hacer una copia de seguridad de los Datos personales.
(ii) Evaluación de Seguridad del Cliente . El Cliente acepta que los Servicios, las Medidas de seguridad y los compromisos de Nitro en virtud de este DPA son adecuados para satisfacer las necesidades del Cliente, incluso con respecto a las obligaciones de seguridad del Cliente en virtud de las Leyes de protección de datos aplicables, y proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales.
6 . Derechos de los interesados
(a) Asistencia de solicitud de sujeto de datos de Nitro . Nitro (teniendo en cuenta la naturaleza del Procesamiento de Datos personales) proporcionará al Cliente la asistencia razonablemente necesaria para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de protección de datos aplicables para cumplir con las solicitudes de los interesados para ejercer sus derechos en virtud de las Leyes de protección de datos aplicables (" Datos Solicitudes de asunto ”) con respecto a los Datos personales en posesión o control de Nitro. El Cliente compensará a Nitro por dicha asistencia a las tarifas de servicios profesionales vigentes en ese momento de Nitro, que se pondrán a disposición del Cliente a pedido.
(b) Responsabilidad del cliente por las solicitudes . Si Nitro recibe una Solicitud del Interesado, Nitro aconsejará al Interesado que envíe la solicitud al Cliente y el Cliente será responsable de responder a la solicitud.
7 . Responsabilidades del cliente
(a) Cumplimiento del cliente . El Cliente deberá cumplir con sus obligaciones bajo las Leyes de Protección de Datos Aplicables. El Cliente se asegurará (y es el único responsable de garantizar) de que sus instrucciones en la Sección 3 cumplan con las Leyes de protección de datos aplicables, y que el Cliente haya enviado todos los avisos y haya obtenido todos los consentimientos de las personas a las que pertenecen los Datos personales y todos otras partes según lo requieran las Leyes de protección de datos aplicables para que el Cliente procese Datos personales según lo contemplado en el Acuerdo.
(b) Datos prohibidos . El Cliente declara y garantiza a Nitro que los Datos del Cliente no contienen ni contendrán, sin el consentimiento previo por escrito de Nitro, números de seguridad social u otros números de identificación emitidos por el gobierno; información biométrica; contraseñas para cuentas en línea; credenciales de cualquier cuenta financiera; datos de declaración de impuestos; informes de crédito o informes de consumo; cualquier información de tarjeta de pago sujeta al Estándar de seguridad de datos de la industria de tarjetas de pago; información sujeta a la Ley Gramm-Leach-Bliley, la Ley de Informes Justos de Crédito o las regulaciones promulgadas bajo cualquiera de dichas leyes; información sujeta a restricciones en virtud de las leyes de protección de datos aplicables que rigen los datos personales de niños, incluida, entre otras, toda la información sobre niños menores de 13 años; o cualquier información que se encuentre dentro de categorías especiales de datos (tal como se define en GDPR). El Cliente declara además que los Datos del Cliente no contienen ni contendrán información médica protegida sujeta a la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) o cualquier legislación similar en otra jurisdicción; otra información relacionada con el historial médico, la condición mental o física de una persona, o el tratamiento o diagnóstico médico realizado por un profesional de la salud; o información del seguro de salud, a menos que el Cliente y Nitro hayan celebrado por separado un Acuerdo de socio comercial de HIPAA.
8 . Misceláneas
Salvo que se modifique expresamente por el DPA, los términos del Acuerdo permanecen en pleno vigor y efecto. En caso de conflicto o inconsistencia entre este DPA y los términos del Acuerdo, prevalecerá este DPA. Sin perjuicio de cualquier disposición en contrario en el Acuerdo o cualquier formulario de pedido ingresado en relación con el mismo, las Partes reconocen y aceptan que el acceso de Nitro a los Datos personales no constituye parte de la contraprestación intercambiada por las Partes con respecto al Acuerdo. Sin perjuicio de cualquier disposición en contrario en el Acuerdo, cualquier notificación requerida o permitida por parte de Nitro al Cliente en virtud de este DPA puede realizarse (a) de conformidad con cualquier cláusula de notificación del Acuerdo; (b) a los principales puntos de contacto de Nitro en el Cliente; o (c) a cualquier correo electrónico proporcionado por el Cliente con el fin de proporcionarle comunicaciones o alertas relacionadas con los Servicios. El Cliente es el único responsable de asegurarse de que dichas direcciones para notificaciones sean válidas.
ANEXO 1 DEL ANEXO UE DPA
1 . Procesamiento de datos
(a) Objeto y detalles del procesamiento . Las Partes reconocen y aceptan que (i) el objeto del Procesamiento en virtud del Acuerdo es la prestación de los Servicios por parte de Nitro; (ii) la duración del Procesamiento es desde la recepción de los Datos personales por parte de Nitro hasta la eliminación de todos los Datos personales por parte de Nitro de conformidad con el Acuerdo; (iii) la naturaleza y el propósito del Procesamiento es proporcionar los Servicios; (iv) los interesados a los que pertenecen los Datos personales son el Cliente (en la medida en que el Cliente sea un individuo), los usuarios de los Servicios o el software de Nitro, y las personas cuyos Datos personales han sido generados, compartidos o cargados por el Cliente y/o usuarios de los Servicios y/o software de Nitro; y (v) las categorías de Datos personales son los datos personales generados, compartidos, cargados o solicitados por el Cliente o los usuarios de los Servicios y/o el software de Nitro (que pueden incluir Datos personales contenidos en documentos, imágenes y otros medios y usuarios). contenido generado, como documentos, texto, imágenes y otros contenidos).
(b) Roles y Cumplimiento Normativo; autorización Las Partes reconocen y aceptan que (i) Nitro es un procesador de Datos Personales bajo las Leyes Europeas de Protección de Datos; (ii) el Cliente es un controlador (o un procesador que actúa siguiendo las instrucciones de un controlador) de Datos Personales bajo las Leyes Europeas de Protección de Datos; y (iii) cada Parte cumplirá con las obligaciones que le correspondan en dicha función en virtud de las Leyes Europeas de Protección de Datos con respecto al Procesamiento de Datos Personales. Si el Cliente es un procesador, el Cliente declara y garantiza a Nitro que las instrucciones y acciones del Cliente con respecto a los Datos personales, incluida la designación de Nitro como otro procesador, han sido autorizadas por el controlador correspondiente.
(c) Cumplimiento de las instrucciones por parte de Nitro . Nitro procesará los Datos personales solo de acuerdo con las instrucciones del Cliente establecidas en este DPA, a menos que las Leyes europeas de protección de datos aplicables exijan lo contrario, en cuyo caso Nitro notificará al Cliente (a menos que la ley prohíba que Nitro lo haga).
(d) Eliminación de datos . Nitro eliminará todos los Datos personales de los sistemas de Nitro previa solicitud por escrito del Cliente y una vez finalizada la prestación de los Servicios, y eliminará las copias existentes a menos que (i) las leyes aplicables de la Unión Europea o sus Estados miembros, con respecto a los Datos personales sujetos a las Leyes europeas de protección de datos o (ii) Leyes de protección de datos aplicables, con respecto a todos los demás Datos personales. Nitro cumplirá con dicha instrucción tan pronto como sea razonablemente posible y a más tardar 180 días después de dicho vencimiento o terminación, a menos que las leyes de protección de datos aplicables requieran almacenamiento. El Cliente puede optar por solicitar una copia de dichos Datos personales de Nitro por un cargo adicional solicitándolo por escrito al menos 30 días antes del vencimiento o la rescisión del Acuerdo. Una vez que las Partes acepten dicho cargo de conformidad con una orden de trabajo u otra modificación del Acuerdo, Nitro proporcionará dicha copia de dichos Datos personales antes de que se eliminen de acuerdo con esta cláusula.
2 . Seguridad de datos
(a) Medidas de seguridad, controles y asistencia de Nitro
(i) Asistencia de seguridad de Nitro . Previa solicitud por escrito, Nitro proporcionará al Cliente la asistencia razonable necesaria para que el Cliente cumpla con sus obligaciones con respecto a los Datos personales en virtud de las Leyes europeas de protección de datos, incluidos los artículos 32 a 34 (inclusive) del RGPD, mediante (a) implementar y mantener las Medidas de Seguridad; (b) cumplir con los términos de la Sección 5 (b) (Incidentes de Seguridad de la Información) del DPA; y (c) cumplir con este Anexo 1 . El Cliente reconoce y acepta que tales medidas son suficientes para permitirle cumplir con estas obligaciones.
(ii) Cumplimiento de la seguridad por parte del personal de Nitro . Nitro se asegurará de que su personal autorizado para acceder a los Datos personales esté sujeto a las obligaciones de confidencialidad correspondientes.
(b) Revisiones y Auditorías de Cumplimiento El Cliente puede auditar el cumplimiento de Nitro con sus obligaciones en virtud de este DPA no más de una vez por año calendario y en otras ocasiones según lo exijan las Leyes Europeas de Protección de Datos, incluso cuando lo exija la autoridad supervisora del Cliente. Nitro ayudará con dichas auditorías proporcionando al Cliente oa la autoridad supervisora del Cliente la información y la asistencia razonablemente necesarias para realizar la auditoría. Si un tercero debe realizar la auditoría, Nitro puede objetar al auditor si el auditor, en la opinión razonable de Nitro, no es independiente, es un competidor de Nitro o es manifiestamente inadecuado de otra manera. Dicha objeción por parte de Nitro requerirá que el Cliente designe a otro auditor o realice la auditoría por sí mismo. Para solicitar una auditoría, el Cliente debe enviar una propuesta de plan de auditoría a Nitro al menos tres ( 3 ) semanas antes de la fecha de la auditoría propuesta y cualquier auditor externo debe firmar un acuerdo de confidencialidad habitual mutuamente aceptable para Nitro (dicha aceptación no ser retenido injustificadamente) proporcionando el tratamiento confidencial de toda la información intercambiada en relación con la auditoría y cualquier informe sobre los resultados o hallazgos de la misma. El plan de auditoría propuesto debe describir el alcance propuesto, la duración y la fecha de inicio de la auditoría. Nitro revisará el plan de auditoría propuesto y le proporcionará al Cliente cualquier inquietud o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer la seguridad, la protección de datos, la privacidad, el empleo u otras políticas relevantes de Nitro). Nitro trabajará en colaboración con el Cliente para acordar un plan de auditoría final. Nada en esta Sección 2 (b) obligará a Nitro a incumplir ningún deber de confidencialidad. Si los controles o medidas que se evaluarán en la auditoría solicitada se abordan en un informe de auditoría SOC 2 Tipo 2 , ISO o similar realizado por un auditor externo calificado completado dentro de los doce ( 12 ) meses posteriores a la auditoría del Cliente y Nitro ha confirmado que no se han producido cambios adversos significativos en los controles auditados desde la fecha de dicho informe, el Cliente acepta aceptar dicho informe en lugar de solicitar una auditoría de dichos controles o medidas. La auditoría debe llevarse a cabo durante el horario laboral habitual de Nitro, sujeto al plan de auditoría final acordado y a las políticas de seguridad y/u otras políticas relevantes de Nitro, y no puede interferir injustificadamente con las actividades comerciales de Nitro. El Cliente notificará de inmediato a Nitro sobre cualquier incumplimiento descubierto durante el curso de una auditoría y proporcionará a Nitro los informes de auditoría generados en relación con cualquier auditoría en virtud de esta Sección 2 (b), a menos que lo prohíban las Leyes europeas de protección de datos o lo indiquen de otro modo. una autoridad de control. El Cliente puede utilizar los informes de auditoría solo con el fin de cumplir con los requisitos reglamentarios de auditoría del Cliente y/o confirmar el cumplimiento de los requisitos de este DPA. Cualquier auditoría corre por cuenta exclusiva del Cliente. El Cliente reembolsará a Nitro el tiempo invertido por Nitro y cualquier tercero en relación con auditorías o inspecciones en virtud de esta Sección 2 (b) a las tarifas de servicios profesionales de Nitro vigentes en ese momento, que se pondrán a disposición del Cliente previa solicitud. El Cliente será responsable de los honorarios cobrados por cualquier auditor designado por el Cliente para ejecutar dicha auditoría.
3 . Evaluaciones de impacto y consultas
Nitro (teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Nitro) ayudará razonablemente al Cliente a cumplir con sus obligaciones en virtud de los Artículos 35 y 36 del RGPD, al (a) poner a disposición documentación que describa aspectos relevantes de el programa de seguridad de la información de Nitro y las medidas de seguridad aplicadas en relación con el mismo y (b) proporcionar la otra información contenida en el Acuerdo, incluido este DPA.
4 . Transferencias de datos
(a) Instalaciones de procesamiento de datos . Nitro puede, sujeto a la Sección 4 (b) (Transferencias fuera del EEE), almacenar y Procesar Datos personales en los Estados Unidos o en cualquier lugar donde Nitro o sus Subprocesadores tengan instalaciones.
(b) Transferencias fuera del EEE . Si el Cliente transfiere Datos personales fuera del EEE a Nitro en un país que la Comisión Europea no considere que tenga una protección de datos adecuada, dicha transferencia se regirá por las Cláusulas contractuales tipo, cuyos términos se incorporan por el presente a este DPA. Además de lo anterior, las Partes acuerdan que (i) el Cliente actuará como exportador de datos y Nitro actuará como importador de datos en virtud de las Cláusulas contractuales estándar; (ii) a efectos del Apéndice 1 de las Cláusulas contractuales estándar, las categorías de interesados, datos, categorías especiales de datos (si corresponde) y las operaciones de procesamiento serán las establecidas en la Sección 1 (a) a este Anexo 1 (Materia y detalles del procesamiento); (iii) para efectos del Apéndice 2 de las Cláusulas Contractuales Tipo, las medidas técnicas y organizativas serán las Medidas de Seguridad; (iv) el importador de datos proporcionará las copias de los acuerdos de subprocesador que debe enviar el importador de datos al exportador de datos de conformidad con la Cláusula 5 (j) de las Cláusulas contractuales estándar a solicitud del exportador de datos, y ese importador de datos puede eliminar o redactar toda información comercial o cláusulas ajenas a las Cláusulas Contractuales Tipo o su equivalente de antemano; (v) las auditorías descritas en la Cláusula 5 (f) y la Cláusula 12 ( 2 ) de las Cláusulas contractuales estándar se realizarán de conformidad con la Sección 2 (b) de este Anexo 1 (Revisiones y Auditorías de Cumplimiento); (vi) Las autorizaciones del Cliente en la Sección 5 (Subprocesadores) de este Anexo 1 constituirán el consentimiento previo por escrito del Cliente para la subcontratación por parte de Nitro del Procesamiento de Datos Personales si dicho consentimiento es requerido bajo la Cláusula 5 (h) de las Cláusulas Contractuales Tipo; y (vii) la certificación de eliminación de Datos Personales como se describe en la Cláusula 12 ( 1 ) de las Cláusulas Contractuales Tipo se proporcionará previa solicitud por escrito del importador de datos.
Sin perjuicio de lo anterior, las Cláusulas contractuales estándar (u obligaciones iguales a las estipuladas en las Cláusulas contractuales estándar) no se aplicarán en la medida en que se aplique un estándar de cumplimiento alternativo reconocido para la transferencia de Datos personales fuera del EEE de conformidad con las Leyes europeas de protección de datos. la transferencia. En caso de conflicto o inconsistencia entre (a) este Anexo 1 y cualquier otra disposición de este DPA, prevalecerá este Anexo 1 , o (b) las Cláusulas contractuales estándar y cualquier otra disposición de este Acuerdo, el Las cláusulas contractuales tipo regirán.
5 . subprocesadores
(a) Consentimiento para la participación del subprocesador . El Cliente autoriza específicamente la contratación de Filiales de Nitro como Subprocesadores y, en general, autoriza la contratación de otros terceros como Subprocesadores ("Subprocesadores de terceros ").
(b) Información sobre los Subprocesadores. La información sobre los Subprocesadores, incluidas sus funciones y ubicaciones, está disponible en: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (según pueda ser actualizada por Nitro de vez en cuando) o en cualquier otra dirección del sitio web que Nitro pueda proporcionar al Cliente de vez en cuando (en conjunto, "Sitio del Subprocesador").
(c) Requisitos para la participación del subprocesador . Al contratar a cualquier Subprocesador, Nitro celebrará un contrato por escrito con dicho Subprocesador que contenga obligaciones de protección de datos no menos protectoras que las de este DPA con respecto a los Datos personales en la medida aplicable a la naturaleza de los servicios proporcionados por dicho Subprocesador. Nitro será responsable de todas las obligaciones en virtud del Acuerdo subcontratado con el Subprocesador o sus acciones y omisiones relacionadas con el mismo.
(d) Oportunidad de objetar los cambios del subprocesador . Cuando Nitro contrate a cualquier Subprocesador externo nuevo después de la fecha de vigencia del Acuerdo, Nitro notificará al Cliente sobre el compromiso (incluidos el nombre y la ubicación del Subprocesador correspondiente y las actividades que realizará) actualizando el Sitio del Subprocesador o por otros medios escritos. . Si el Cliente se opone a dicho compromiso en un aviso por escrito a Nitro dentro de 15 días después de haber sido informado del compromiso por motivos razonables relacionados con la protección de Datos personales, el Cliente y Nitro trabajarán juntos de buena fe para encontrar una resolución mutuamente aceptable para abordar tal objeción. Si las Partes no pueden llegar a una resolución mutuamente aceptable dentro de un plazo razonable, el Cliente puede, como único y exclusivo recurso, rescindir el Acuerdo y cancelar los Servicios mediante notificación por escrito a Nitro y pagar a Nitro todos los montos vencidos y adeudados en virtud del Acuerdo a partir de la fecha de dicha terminación.
(e) Suficiencia del Consentimiento . Por la presente, el Cliente reconoce y acepta que los procedimientos anteriores son suficientes para obtener el consentimiento previo por escrito del Cliente para el subprocesamiento en virtud del Artículo 28 del RGPD, y en la medida requerida por la Cláusula 5 (h) de las Cláusulas contractuales tipo.
ANEXO 2 DEL ANEXO DE CALIFORNIA DPA
- Para los fines de este Anexo 2 , los términos "negocio", "fines comerciales", "vender" y "proveedor de servicios" tendrán los significados respectivos que se les otorgan en la CCPA, y "información personal" significará Datos personales que constituyen información personal regida por la CCPA.
- La intención de las Partes es que, con respecto a cualquier información personal, Nitro sea un proveedor de servicios. Nitro no (a) venderá ninguna información personal; (b) retener, usar o divulgar cualquier información personal para cualquier propósito que no sea el propósito específico de brindar los Servicios, incluida la retención, el uso o la divulgación de la información personal para un propósito comercial que no sea la provisión de los Servicios; o (c) retener, usar o divulgar la información personal fuera de la relación comercial directa entre Nitro y el Cliente. Por la presente, Nitro certifica que comprende sus obligaciones en virtud de esta Sección 2 y que las cumplirá.
- Las Partes reconocen que la retención, el uso y la divulgación por parte de Nitro de la información personal autorizada por las instrucciones del Cliente documentadas en el DPA son parte integral de la prestación de los Servicios por parte de Nitro y de la relación comercial entre las Partes.
ANEXO 3 A LAS MEDIDAS DE SEGURIDAD DE LA DPA
La protección de la información es el objetivo principal de la seguridad de la información, que se logra mediante la implementación de un conjunto adecuado de controles, incluidas las estructuras organizativas, las políticas y los procedimientos, los procesos y los controles técnicos de TI. Estos controles deben diseñarse, implementarse, supervisarse, revisarse y mejorarse para garantizar que los activos de información de Nitro y sus Afiliados, sus socios o clientes estén seguros en todo momento. Refiérase a Medidas Técnicas de Organización.