Anexo de procesamiento de datos del RGPD de la UE de Nitro Sign Premium e Identity Hub
ESTE APÉNDICE DE PROCESAMIENTO DE DATOS SE APLICA SI SE HA REGISTRADO EN NITRO SIGN PREMIUM O NITRO IDENTITY HUB BAJO LOS TÉRMINOS DE SERVICIO DE NITRO SIGN PREMIUM Y NITRO IDENTITY HUB Y EL RGPD DE LA UE SE APLICA AL PROCESAMIENTO DE DATOS PERSONALES EN EL CONTEXTO DEL ACUERDO.
1. ALCANCE; FUNCIONES DE LAS PARTES
Nitro recibirá y procesará Datos personales en beneficio y en nombre del Cliente al prestar los Servicios, de acuerdo con las instrucciones y el propósito definido por el Cliente en los Detalles del procesamiento de datos. Mediante este Anexo sobre procesamiento de datos, las Partes desean establecer sus acuerdos específicos con respecto al procesamiento de Datos personales en el marco del Acuerdo.
De forma predeterminada, Nitro actuará como Procesador y el Cliente actuará como Controlador con respecto a los Servicios prestados por Nitro al Cliente de conformidad con los Términos de servicio de Nitro. Este Anexo de Procesamiento de Datos reemplaza y reemplaza todos los acuerdos anteriores realizados (si los hubiera) con respecto al procesamiento de Datos Personales y la protección de datos entre las Partes en relación con los Servicios ofrecidos por Nitro.
Este Anexo de procesamiento de datos complementa y forma parte de los Términos de servicio, y juntos los Términos de servicio y este Anexo de procesamiento de datos constituyen un acuerdo legal único entre las Partes. En caso de discrepancias o contradicciones entre este Anexo de Procesamiento de Datos y los Términos de Servicio, prevalecerá el Anexo de Procesamiento de Datos.
2. DEFINICIONES
"Controlador " se refiere al Cliente tal como se identifica en los Términos de Servicio y el Formulario de Pedido aplicable;
“Detalles del procesamiento de datos” significa los detalles del procesamiento de datos incluidos en el Formulario de pedido y que incluyen más detalles sobre las instrucciones del Cliente sobre el procesamiento de Datos personales, como el propósito, el objeto y la naturaleza del procesamiento y el tipo de Datos personales que se procesan;
“RGPD UE” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 abril 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre movimiento de dichos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos);
“Datos personales” significa datos personales tal como se definen en el RGPD de la UE que Nitro procesa para beneficio y en nombre del Cliente al proporcionar los Servicios de acuerdo con las instrucciones y el propósito definidos por el Cliente en los Detalles del procesamiento de datos;
"Procesador " se refiere a Nitro Software Belgium NV, proveedor de los Servicios al Cliente y tal como se identifica en los Términos de Servicio;
“Lista de Subprocesadores” se refiere a la lista de Subprocesadores puesta a disposición en línea por Nitro que incluye a los Subprocesadores contratados por Nitro para la prestación de los Servicios y el cumplimiento de las obligaciones de Nitro en virtud del Anexo de Procesamiento de Datos en general. Nitro puede actualizar la Lista de subprocesadores periódicamente según el proceso establecido en este Anexo de procesamiento de datos;
“Subprocesador” significa cualquier procesador externo contratado por Nitro para el procesamiento de Datos personales relacionados con la prestación de los Servicios al Cliente;
Todos los demás términos y definiciones escritos con letras mayúsculas y que no estén definidos expresamente en este Anexo de procesamiento de datos, se definen según lo establecido en la legislación de protección de datos aplicable o en los Términos de servicio de Nitro.
3. OBJETO DE ESTE ADENDA SOBRE PROCESAMIENTO DE DATOS
3.1 Este Anexo sobre procesamiento de datos determina las condiciones del procesamiento por parte de Nitro de los Datos personales comunicados por o por iniciativa del Cliente en el contexto del Acuerdo. La naturaleza y el propósito del procesamiento, una lista y el tipo de Datos personales, así como las categorías de los Interesados, se enumeran en los Detalles del procesamiento de datos.
3.2 El procesamiento se llevará a cabo exclusivamente en beneficio del Cliente y para el propósito definido por el Cliente en los Detalles del procesamiento de datos. Nitro informará inmediatamente al Cliente si, en su opinión, una instrucción infringe la legislación aplicable (protección de datos). Nitro sólo procesará los Datos personales de acuerdo con las instrucciones documentadas del Cliente y no utilizará estos Datos personales para sus propios fines, a menos que se permita explícitamente en los Términos de servicio. Si Nitro está legalmente obligado a proceder con cualquier procesamiento de Datos personales, Nitro, a menos que esto viole las reglas obligatorias aplicables, informará al Cliente de dicha obligación.
4. TÉRMINO
4.1 Este Anexo de procesamiento de datos es aplicable a todo procesamiento de Datos personales ejecutado en el contexto de la prestación de los Servicios al Cliente por parte de Nitro y se aplica siempre que Nitro procese Datos personales en nombre del Cliente en el contexto del Acuerdo. Este Anexo de procesamiento de datos complementa los Términos de servicio de Nitro y tiene como objetivo garantizar el cumplimiento de las Partes con los requisitos impuestos por las leyes y regulaciones de protección de datos aplicables para el uso de los Servicios por parte del Cliente.
4.2 Este Anexo de procesamiento de datos finaliza automáticamente al finalizar el Acuerdo (o en el momento en que finaliza el procesamiento por parte de Nitro). Las disposiciones de este Anexo de procesamiento de datos que, expresa o implícitamente (dada su naturaleza), están destinadas a tener efecto después de la terminación del Anexo de procesamiento de datos sobrevivirán a la finalización del Acuerdo con respecto a los Datos personales comunicados por o por iniciativa del Cliente en el contexto del Acuerdo.
5. MEDIDAS TÉCNICAS Y ORGANIZATIVAS
5.1 Nitro ofrece garantías adecuadas con respecto a la implementación de medidas técnicas y organizativas apropiadas (“TOM”) para garantizar el procesamiento seguro de los Datos personales y así garantizar la protección de los derechos del Interesado. Los TOM implementados por Nitro son los establecidos en los Detalles del procesamiento de datos. Nitro puede actualizar los TOM de vez en cuando; sin embargo, Nitro se asegurará de no degradar la seguridad general que ha implementado en el momento de la ejecución del Anexo de procesamiento de datos. El Cliente reconoce que los TOM son adecuados para el procesamiento de sus Datos Personales al momento de firmar o aceptar este Anexo de Procesamiento de Datos.
5.2 Nitro tomará todas las medidas técnicas y organizativas apropiadas según lo mencionado en el artículo 32 del RGPD de la UE para garantizar un nivel adecuado de seguridad adecuado al riesgo.
5.3 Si el Cliente proporciona Datos personales confidenciales según lo mencionado en los artículos 9 y 10 del RGPD de la UE a Nitro en el contexto del Acuerdo, el Cliente incluirá dicha información en los Detalles del procesamiento de datos.
5.4 En caso de que el Cliente solicite que Nitro implemente medidas técnicas y organizativas específicas (que Nitro no ha implementado de forma predeterminada), el Cliente reembolsará a Nitro por implementar dichas medidas adicionales de acuerdo con la Sección 14 "Costos" de este Anexo de procesamiento de datos. .
5.5 La adhesión por parte de Nitro a un código de conducta aprobado según lo mencionado en el artículo 40 del RGPD de la UE, o a un mecanismo de certificación aprobado según lo mencionado en el artículo 42 del RGPD de la UE, puede utilizarse como elemento de prueba de garantías suficientes como mencionado en el RGPD de la UE.
6. RETENCIÓN
6.1 Nitro no conservará los Datos personales más tiempo del necesario para procesar dichos Datos personales en el contexto del Acuerdo. El Cliente no le indicará a Nitro que almacene ningún Dato Personal más tiempo del necesario. El período de retención aplicable (según lo definido por el Cliente) se establece en los Detalles del procesamiento de datos.
6.2 A elección del Cliente, Nitro eliminará o devolverá todos los Datos personales al Cliente una vez finalizada la prestación de los Servicios y eliminará las copias existentes, a menos que la legislación de la Unión o de los Estados miembros exija el almacenamiento de los Datos personales. El Cliente reconoce que los Servicios pueden incluir funciones de descarga a disposición del Cliente para permitirle descargar sus datos. En la medida en que dichas funcionalidades estén disponibles, el Cliente deberá utilizarlas para extraer o eliminar sus datos.
7. CONFIDENCIALIDAD
7.1 Las partes han acordado una cláusula de confidencialidad en los Términos de servicio que se aplica al procesamiento de Datos personales en el contexto del Acuerdo.
7.2 Nitro reconoce y acepta que solo aquellos empleados, contratistas o agentes de Nitro que participan en el procesamiento de Datos personales pueden ser informados sobre los Datos personales y solo en la medida en que sea razonablemente necesario para el cumplimiento del Acuerdo. Nitro garantiza que las personas autorizadas para procesar los Datos personales estén comprometidas con la confidencialidad por contrato o estén bajo una obligación legal apropiada de confidencialidad.
8. DERECHOS DEL INTERESADO
8.1 Teniendo en cuenta la naturaleza del procesamiento, Nitro hará todos los esfuerzos razonables, tomando las medidas técnicas y organizativas apropiadas, para ayudar al Cliente en el cumplimiento de su obligación de responder a las solicitudes de los Interesados.
8.2 Por toda la asistencia brindada por Nitro en el contexto del tratamiento de dichas solicitudes de los Interesados, el Cliente reembolsará a Nitro de acuerdo con la Sección 14 “Costos” de este Anexo de Procesamiento de Datos. Dicho reembolso por parte del Cliente no se aplicará (i) en caso de que el Interesado esté invocando sus derechos debido a una Violación de Datos Personales comprobada atribuible a Nitro o (ii) en caso de que dicha asistencia por parte de Nitro no exceda las cuatro (4) horas de trabajo durante la Vigencia del Contrato.
9. DEBER DE NOTIFICAR
9.1 Al tener conocimiento de una vulneración de datos personales, Nitro deberá notificarla al Cliente sin demora indebida comunicándose con la persona de contacto indicada en el Acuerdo o en el Formulario de pedido correspondiente (o, alternativamente, a través de la dirección de correo electrónico de notificación del Cliente). Puede comunicarse con la persona de contacto de Nitro para cualquier asunto relacionado con la protección de datos por correo electrónico: privacidad@gonitro.com.
9.2 A petición del Cliente, Nitro informará al Cliente de cualquier novedad con respecto a cualquier Violación de Datos Personales y de las medidas adoptadas para limitar sus consecuencias y evitar la repetición de dicha Violación de Datos Personales. Es responsabilidad del Cliente informar cualquier Violación de Datos Personales a la Autoridad de Control o al Titular de los Datos, según sea necesario.
10. SUBPROCESAMIENTO
10.1 El Cliente autoriza expresamente a Nitro a contratar Subprocesadores para el procesamiento de Datos personales para la ejecución del Acuerdo y para facilitar la prestación de los Servicios en general. En esta medida, el Cliente otorga una autorización general por escrito a Nitro para decidir con qué Subprocesador(es) coopera Nitro para el cumplimiento de sus obligaciones en virtud del Acuerdo. Nitro publica una Lista de Subprocesadores que hace referencia a los Subprocesadores contratados por Nitro.
10.2 Nitro informará al Cliente de cualquier cambio previsto relacionado con la adición o reemplazo de Subprocesadores a través de la persona de contacto del Cliente indicada en el Acuerdo o en el Formulario de pedido correspondiente (o mediante la dirección de correo electrónico de notificación del Cliente). El Cliente tendrá derecho a oponerse a la adición o sustitución dirigiéndose a Nitro por escrito. En tal caso, las partes discutirán la adición, reemplazo o alternativa de buena fe y tan pronto como sea razonablemente posible después de la notificación de objeción por escrito del Cliente.
10.3 Cuando Nitro contrate a un Subprocesador para llevar a cabo actividades de procesamiento específicas, se impondrán a ese Subprocesador las mismas o similares obligaciones de protección de datos establecidas en este Anexo de Procesamiento de Datos mediante un acuerdo escrito, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas (y cumplir con las medidas técnicas y organizativas pertinentes). Cuando un Subprocesador no cumple con sus obligaciones de protección de datos, Nitro seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de dicha obligación de Subprocesador.
11. TRANSFERENCIAS INTERNACIONALES DE DATOS
11.1 El Cliente autoriza las transferencias internacionales de Datos Personales con el fin de proporcionar los Servicios. Dichas transferencias internacionales de datos se consideran una instrucción del Cliente. El Cliente reconoce que los Subprocesadores autorizados según la Sección 10 también pueden procesar Datos personales en terceros países. El Cliente permite dichas transferencias, sujeto a que Nitro tome todas las medidas necesarias para garantizar que dichas transferencias cumplan con las disposiciones del Capítulo V del RGPD de la UE y otras leyes de protección de datos aplicables.
11.2 En caso de que la transferencia de Datos personales a un tercer país o una organización internacional sea obligatoria según la legislación aplicable de la UE o de los Estados miembros a la que Nitro esté sujeto, Nitro podrá realizar dicha transferencia e informará al Cliente de ese requisito legal antes de dicho Procesamiento. , a menos que dicha ley prohíba dicha información por motivos importantes de interés público.
12. EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS Y CONSULTA PREVIA
12.1 Si el Cliente realiza una Evaluación de Impacto de la Protección de Datos ("EIPD")(artículo 35 del RGPD de la UE) o una consulta previa (artículo 36 del RGPD de la UE) vinculada al tratamiento de Datos personales en el contexto de la ejecución del Acuerdo, Nitro asistirá razonablemente al Cliente proporcionándole asistencia previa solicitud por escrito del Cliente. El Cliente reembolsará a Nitro la asistencia prestada de acuerdo con la Sección 14 "Costes" de este Anexo de Procesamiento de Datos. Dicho reembolso de costes no se aplicará en caso de que (i) la asistencia solicitada a Nitro sea inferior a cuatro (4) horas laborables durante la Vigencia del Acuerdo, o (ii) la EIPD o la consulta previa se desencadene por una Violación de Datos Personales atribuible a Nitro.
13. DERECHO DE AUDITORÍA
13.1 El Cliente tiene derecho a realizar auditorías sobre el cumplimiento por parte de Nitro de sus obligaciones en virtud de este Anexo de Procesamiento de Datos y la legislación de protección de datos aplicable. Nitro hará todos los esfuerzos razonables para cooperar con dichas auditorías y poner a disposición toda la información necesaria para demostrar el cumplimiento de su obligación. El Cliente deberá notificar a Nitro sobre dicha auditoría al menos un (1) mes antes de la fecha en la que se realizará la auditoría, mediante notificación por escrito a Nitro a través de privacy@gonitro.com.
13.2 En caso de que se esté realizando una auditoría, todas las partes involucradas deberán firmar primero un acuerdo de confidencialidad específico emitido por Nitro con respecto a dicha auditoría y los resultados de la auditoría antes del inicio de la misma. Al realizar cualquier auditoría de este tipo, se deben tener en cuenta las obligaciones de confidencialidad de las Partes con respecto a terceros. Tanto las Partes como sus auditores deben mantener en secreto la información recopilada en relación con una auditoría y utilizarla exclusivamente para verificar su cumplimiento con este Anexo de Procesamiento de Datos y las leyes y regulaciones aplicables con respecto a la protección de datos. El Cliente tiene la opción de realizar la auditoría por sí mismo o de asignar un auditor independiente, sin embargo dicho auditor independiente deberá firmar debidamente el acuerdo de confidencialidad al que se refiere esta Sección.
13.3 Ambas Partes y, en su caso, sus representantes, cooperarán razonablemente, previa solicitud, con la Autoridad de Supervisión en el desempeño de sus tareas.
13.4 El Cliente reembolsará a Nitro por la asistencia brindada por Nitro en relación con las auditorías de acuerdo con la Sección 14 "Costos" de este Anexo de procesamiento de datos. Entendiéndose, dicho reembolso no aplicará en caso (i) la auditoría sea resultado de una Violación de Datos Personales comprobada atribuible a Nitro o, (ii) en caso de que la asistencia de Nitro no exceda las cuatro (4) horas de trabajo durante el Vigencia del Acuerdo.
14. COSTOS
14.1 La asistencia que se realizará en virtud de este Anexo de procesamiento de datos por la cual Nitro puede cobrar al Cliente, se cobrará en función de las horas trabajadas y las tarifas por hora estándar aplicables de Nitro (195 EUR/hora excluidos los impuestos). Nitro facturará estos importes mensualmente, pero también tiene derecho a solicitar un anticipo por adelantado.
14.2 El pago por parte del Cliente a Nitro por la asistencia y los servicios profesionales proporcionados por Nitro en virtud de este Anexo de Procesamiento de Datos se realizará de acuerdo con lo dispuesto en los Términos de Servicio.
15. RESPONSABILIDAD
15.1 Sujeto al alcance máximo permitido por la ley aplicable, las disposiciones de los Términos de servicio relativas a la limitación de responsabilidad también se aplican a este Anexo de procesamiento de datos y a los daños que surjan del mismo.
16. MISCELÁNEAS
16.1 Las disposiciones de los Términos de Servicio relativas a cambios, acuerdo completo, divisibilidad, ley aplicable y tribunales competentes son aplicables a este Anexo de Procesamiento de Datos.