Acuerdo de procesamiento de datos - Flux Panda Inc.

El presente Acuerdo de Tratamiento de Datos ("Acuerdo") forma parte del Contrato de

Servicios ("AcuerdoPrincipal") entre Flux Panda Inc. (el "Procesador de Datos" o "Flux Panda") y la entidad cliente que es parte del Acuerdo (la "Empresa", el "Cliente" o "usted") (conjuntamente como las "Partes")

CONSIDERANDO QUE

(A) La empresa, cliente de Flux Panda , actúa como controlador de datos, y Flux Panda actúa como procesador de datos.

(B) La Sociedad desea subcontratar determinados Servicios, que implican el tratamiento de datos personales, al Encargado del Tratamiento.

(C) Las Partes tratan de aplicar un acuerdo de tratamiento de datos que cumpla con los requisitos del marco jurídico vigente en relación con el tratamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

(D) Las Partes desean establecer sus derechos y obligaciones.

SE ACUERDA LO SIGUIENTE:

1. Definiciones e interpretación

1.1 Salvo que se defina de otro modo, los términos y expresiones en mayúsculas utilizados en el presente Acuerdo tendrán el siguiente significado:

1.1.1 "Acuerdo" significa este Acuerdo de Procesamiento de Datos y todos los Anexos;

1.1.2 "Datos Personales de la Empresa" significa cualquier Dato Personal procesado por un Procesador Contratado en nombre de la Empresa de acuerdo con el Acuerdo Principal o en relación con el mismo;

1.1.3 "Procesador contratado" significa un Subprocesador;

1.1.4 "Leyes de protección de datos" significa las leyes de protección de datos de la UE y, en la medida en que sean aplicables, las leyes de protección de datos o privacidad de cualquier otro país;

1.1.5 "EEE" significa el Espacio Económico Europeo;

1.1.6 "Leyes de protección de datos de la UE" significa la Directiva 95/46/CE de la UE, tal y como ha sido transpuesta a la legislación nacional de cada Estado miembro y tal y como ha sido modificada, sustituida o reemplazada de vez en cuando, incluyendo el GDPR y las leyes que implementan o complementan el GDPR;

1.1.7 "GDPR" significa el Reglamento General de Protección de Datos de la UE 2016/679;

1.1.8 "Transferencia de datos" significa:

1.1.8.1 una transferencia de datos personales de la empresa a un procesador contratado; o

1.1.8.2 una transferencia posterior de Datos Personales de la Empresa de un Encargado del Tratamiento contratado a un Encargado del Tratamiento subcontratado, o entre dos establecimientos de un Encargado del Tratamiento contratado, en cada caso, cuando dicha transferencia esté prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);

1.1.9 "Servicios" significa los servicios de comercio electrónico y vídeo SaaS que el Procesador de Datos proporciona.

1.1.10 "Subprocesador" significa cualquier persona designada por o en nombre de Flux Panda para procesar Datos Personales en nombre de la Empresa en relación con el Acuerdo.

1.2 Los términos "Comisión", "Responsable del tratamiento", "Sujeto de los datos", "Estado miembro", "Datos personales", "Violación de datos personales", "Tratamiento" y "Autoridad de control" tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.

2. Tratamiento de los datos personales de la empresa

2.1 El procesador deberá:

2.1.1 cumplir con todas las leyes de protección de datos aplicables en el tratamiento de los datos personales de la empresa; y

2.1.2 no tratar los datos personales de la empresa si no es siguiendo las instrucciones documentadas de la empresa correspondiente.

2.2 La empresa encarga al procesador el tratamiento de los datos personales de la empresa.

3. Personal del procesador

El procesador tomará medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier procesador contratado que pueda tener acceso a los datos personales de la empresa, garantizando en cada caso que el acceso se limite estrictamente a aquellas personas que necesiten conocer/acceder a los datos personales de la empresa pertinentes, según sea estrictamente necesario para los fines del acuerdo principal, y para cumplir con las leyes aplicables en el contexto de las obligaciones de esa persona con el procesador contratado, garantizando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.

4. Seguridad

4.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el procesador implementará, en relación con los datos personales de la empresa, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluidas, según corresponda, las medidas mencionadas en el artículo 32 (1) del GDPR.

4.2 Al evaluar el nivel de seguridad adecuado, el encargado del tratamiento tendrá en cuenta, en particular, los riesgos que presenta el tratamiento, especialmente los derivados de una violación de los datos personales.

5. Subproceso

5.1 El procesador no designará (ni revelará ningún dato personal de la empresa) a ningún subprocesador a menos que la empresa lo requiera o autorice.

6. Derechos del interesado

6.1 Teniendo en cuenta la naturaleza del Tratamiento, el Encargado del Tratamiento asistirá a la Empresa mediante la aplicación de las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, para el cumplimiento de las obligaciones de la Empresa, según lo entienda razonablemente la Empresa, para responder a las solicitudes de ejercicio de los derechos del Titular de los datos en virtud de las Leyes de Protección de Datos.

6.2 El procesador deberá:

6.2.1 notificar inmediatamente a la empresa si recibe una solicitud de un interesado en virtud de cualquier ley de protección de datos con respecto a los datos personales de la empresa; y

6.2.2 garantizar que no responda a dicha solicitud salvo por instrucciones documentadas de la empresa o según lo exijan las leyes aplicables a las que esté sujeto el procesador, en cuyo caso el procesador deberá, en la medida en que lo permitan las leyes aplicables, informar a la empresa de dicho requisito legal antes de que el procesador contratado responda a la solicitud.

7. Violación de datos personales

7.1 El procesador notificará a la empresa sin demora indebida cuando tenga conocimiento de una violación de datos personales que afecte a los datos personales de la empresa, proporcionando a la empresa la información suficiente para permitirle cumplir con sus obligaciones de informar a los interesados de la violación de datos personales en virtud de las leyes de protección de datos.

7.2 El encargado del tratamiento cooperará con la empresa y tomará las medidas comerciales razonables que le indique la empresa para ayudar en la investigación, mitigación y reparación de cada una de las violaciones de datos personales.

8. Evaluación de impacto de la protección de datos y consulta previa El Procesador proporcionará asistencia razonable a la Compañía con cualquier evaluación de impacto de la protección de datos, y consultas previas con las Autoridades de Supervisión u otras autoridades competentes de privacidad de datos, que la Compañía considere razonablemente que se requiere por el artículo 35 o 36 del GDPR o las disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales de la Compañía por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.

9. Supresión o devolución de los datos personales de la empresa

9.1 Sin perjuicio de lo dispuesto en la presente sección 9, el encargado de la tramitación deberá, a la mayor brevedad posible y, en cualquier caso, dentro de

10 días hábiles después de la fecha de cese de cualquier Servicio que implique el Tratamiento de Datos Personales de la Empresa (la "Fecha de Cese"), eliminar y procurar la eliminación de todas las copias de esos Datos Personales de la Empresa.

10. Derechos de auditoría

10.1 Sin perjuicio de lo dispuesto en el presente apartado 10, el procesador pondrá a disposición de la empresa, cuando se le solicite, toda la información necesaria para demostrar el cumplimiento del presente acuerdo, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por la empresa o por un auditor encargado por la empresa en relación con el tratamiento de los datos personales de la empresa por parte de los procesadores contratados.

10.2 Los derechos de información y auditoría de la Compañía sólo surgen en virtud de la sección 10.1 en la medida en que el Acuerdo no les otorgue de otro modo derechos de información y auditoría que cumplan con los requisitos pertinentes de la Ley de Protección de Datos.

11. Transferencia de datos

11.1 El procesador no podrá transferir o autorizar la transferencia de datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el consentimiento previo por escrito de la Compañía. Si los datos personales tratados en virtud del presente Acuerdo se transfieren de un país del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes se asegurarán de que los datos personales estén adecuadamente protegidos. Para ello, las Partes se basarán, salvo acuerdo en contrario, en las cláusulas contractuales estándar aprobadas por la UE para la transferencia de datos personales.

12. Condiciones generales

12.1 Confidencialidad. Cada una de las Partes deberá mantener la confidencialidad de este Acuerdo y de la información que reciba sobre la otra Parte y sus negocios en relación con este Acuerdo ("Información Confidencial") y no deberá utilizar o divulgar dicha Información Confidencial sin el previo consentimiento por escrito de la otra Parte, salvo en la medida en que:

(a) la divulgación es requerida por la ley;

(b) la información pertinente ya es de dominio público.

12.2 Notificaciones. Todas las notificaciones y comunicaciones que se realicen en virtud del presente Acuerdo deberán hacerse por escrito y se entregarán personalmente, se enviarán por correo postal o se enviarán por correo electrónico a la dirección o a la dirección de correo electrónico indicada en el encabezamiento del presente Acuerdo a cualquier otra dirección que las Partes notifiquen ocasionalmente y que cambie de dirección.

13. Ley aplicable y jurisdicción

13.1 El presente Acuerdo se rige por las leyes del Estado de Delaware. Este APD se regirá e interpretará de acuerdo con las disposiciones de ley y jurisdicción del Acuerdo, a menos que las leyes de protección de datos aplicables exijan lo contrario.

13.2 Cualquier conflicto que surja en relación con el presente Acuerdo y que las Partes no puedan resolver de forma amistosa, se someterá a la jurisdicción exclusiva de los tribunales del Estado miembro del responsable del tratamiento de los datos, sin perjuicio de la posibilidad de recurrir al Estado miembro del responsable del tratamiento de los datos.