Acuerdo de procesamiento de datos

Versión PDF: Acuerdo de procesamiento de datos

Acuerdo de procesamiento de datos

ENTRE:

The company whose information has been provided as part of the registration process and who will electronically sign this DataProcessing Agreement (hereinafter to be referred to as: the “Data Controller”),

Y

Hertza, L.L.C., a Nevada limited liability company, doing business as “ZeroBounce”, and having its principal place of business at 10 E. Yanonali St., Santa Barbara, California 93101 (hereinafter to be referred to as: the “Data Processor”).

ACUERDO LO SIGUIENTE:

1. Objeto de este Acuerdo de procesamiento de datos

1.1

This Data Processing Agreement applies exclusively to the processing of personal data that is subject to EU Data Protection Law in the scope of the Terms and Conditions of Use Agreement of even date hereof between the parties for the provision of the ZeroBounce services (“Services”) (hereinafter to be referred to as: the“Service Agreement”).

1.2

El término Ley de Protección de Datos de la UE significará el Reglamento (UE) 2016 / 679 del Parlamento Europeo y del Consejo de 27 abril 2016 sobre la protección de las personas físicas en relación con el procesamiento de datos personales y la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46/ CE (Reglamento general de protección de datos).

1.3

Términos como "Procesamiento", "Datos personales", "Controlador de datos" y "Procesador" tendrán el significado que se les atribuye en la Ley de protección de datos de la UE.

1.4

Insofar as the Data Processor will be processing Personal Data subject to EU Data Protection Law on behalf of the Data Controller in the course of the performance of the Service Agreement with the Data Controller the terms of this Data Processing Agreement shall apply. The categories of Personal Data to be processed includes: first name; last name; gender; city; state; country; Internet Protocol (IP) Address information; and email addresses. The types of data subjects whose information will be processed are individuals. The purposes for which the personal data will be processed include: validation of email lists for deliverability; and removal of known email complainers, abusers and spam traps from email address lists.

2. El controlador de datos y el procesador de datos

2.1

El Controlador de datos determinará el alcance, los propósitos y la manera en que el Procesador de datos puede acceder o procesar los Datos personales. El Procesador de datos procesará los Datos personales solo como se establece en las instrucciones escritas del Controlador de datos.

2.2

El Procesador de Datos solo procesará los Datos Personales en instrucciones documentadas del Controlador de Datos de tal manera que, y en la medida en que esto sea apropiado para la prestación de los Servicios, excepto cuando sea necesario para cumplir con una obligación legal a la que los Datos El procesador está sujeto. En tal caso, el Procesador de datos informará al Controlador de datos de esa obligación legal antes del procesamiento, a menos que esa ley prohíba explícitamente el suministro de dicha información al Controlador de datos. El Procesador de datos nunca procesará los Datos personales de manera inconsistente con las instrucciones documentadas del Controlador de datos. El Procesador de datos informará inmediatamente al Controlador de datos si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones de protección de datos de la Unión o los Estados miembros.

2.3

Las Partes han celebrado un Acuerdo de servicio para beneficiarse de la experiencia del Procesador en la obtención y el procesamiento de los Datos personales para los fines establecidos en la Sección 1.4. El Procesador de datos podrá ejercer su propia discreción en la selección y uso de los medios que considere necesarios para perseguir esos fines, sujeto a los requisitos de este Acuerdo de procesamiento de datos.

2.4

Data Controller warrants that it has all necessary rights to provide the Personal Data to Data Processor for the Processing to be performed in relation to the Services. To the extent required by EU Data Protection Law, Data Controller is responsible for ensuring that any necessary data subject consents to this Processing are obtained, and for ensuring that a record of such consents is maintained. Should such a consent be revoked by the data subject, Data Controller is responsible for communicating the fact of such revocation to the Data Processor, and Data Processor remains responsible for implementing any Data Controller instruction with respect to the further processing of that Personal Data.

3. Confidencialidad

3.1

Without prejudice to any existing contractual arrangements between the Parties, the Data Processor shall treat all Personal Data as strictly confidential and it shall inform all its employees, agents and/or approved sub- processors engaged in processing the Personal Data of the confidential nature of the Personal Data. The Data Processor shall ensure that all such persons or parties have signed an appropriate confidentiality agreement, are otherwise bound to a duty of confidentiality, or are under an appropriate statutory obligation of confidentiality.

4. Seguridad

4.1

Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de variar la probabilidad y la gravedad de los derechos y libertades de las personas físicas, sin perjuicio de cualquier otra norma de seguridad. acordado por las Partes, el Controlador de datos y el Procesador de datos implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad en el procesamiento de Datos personales adecuado al riesgo. Estas medidas incluirán, según corresponda:

  1. medidas para garantizar que solo el personal autorizado pueda acceder a los Datos personales para los fines establecidos en la Sección 1.4 de este Acuerdo de procesamiento de datos;
  2. Al evaluar el nivel apropiado de seguridad, se tomarán en cuenta todos los riesgos que presenta el procesamiento, por ejemplo, por destrucción, pérdida o alteración accidental o ilegal, almacenamiento, procesamiento, acceso o divulgación no autorizados o ilegales de datos personales;
  3. la seudonimización y el cifrado de datos personales;
  4. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de procesamiento;
  5. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico;
  6. un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de Datos personales;
  7. medidas para identificar vulnerabilidades con respecto al procesamiento de datos personales en sistemas utilizados para proporcionar servicios al controlador de datos; o
  8. ZeroBounce takes the following security measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access:
    • All Personal Data received hereunder will be stored and processed in the EU;
    • In addition to the above, ZeroBounce is an active participant in the EU-US and Swiss-US Privacy Shield Programs;
    • ZeroBounce has restricted access to four personnel members with the ability to directly access files containing personal information on ZeroBounce servers, each of whom have agreed to maintain the confidentiality of any personal information;
    • All data uploads and downloads sent between ZeroBounce and its customers flow through third party CloudFlare’s servers in the EU;
    • In addition to the above, CloudFlare is an active participant in the EU-US Privacy Shield Program;
    • The ZeroBounce support team does not have access to CloudFlare;
    • CloudFlare maintains its own security protections to block threats and limit abusive bots and crawlers. See https://support.cloudflare.com/hc/en-us/articles/205177068-Step-1-How-does-Cloudflare-work-
    • Any information that is uploaded by a ZeroBounce customer to ZeroBounce.net is transmitted via SSL through CloudFlare, and all files are stored in an encrypted file using a standard algorithm for protection of stored data defined by IEEE P1619 on ZeroBounce servers in the EU; and
    • If customer elects to receive files via email, such files shall be sent encrypted, with a password via a separate email.

4.2

El Procesador de datos deberá tener implementada en todo momento una política de seguridad por escrito apropiada con respecto al procesamiento de Datos personales, describiendo en cualquier caso las medidas establecidas en el Artículo 4.1.

4.3

A solicitud del Controlador de datos, el Procesador de datos demostrará las medidas que ha tomado de conformidad con este Artículo 4 y permitirá que el Controlador de datos audite y pruebe dichas medidas. El Controlador de datos tendrá derecho a notificar al Procesador de datos con al menos 14 días de anticipación para llevar a cabo, o haber realizado por un tercero que haya celebrado un acuerdo de confidencialidad con el Procesador de datos, auditorías de las instalaciones del Procesador de datos y operaciones como estas se relacionan con los Datos personales. El Procesador de datos cooperará con las auditorías realizadas por o en nombre del Controlador de datos y otorgará a los auditores del Controlador de datos un acceso razonable a las instalaciones y dispositivos relacionados con el Procesamiento de los Datos personales. El Procesador de Datos proporcionará al Controlador de Datos y / o auditores del Controlador de Datos acceso a cualquier información relacionada con el Procesamiento de los Datos Personales que pueda ser razonablemente requerida por el Controlador de Datos para determinar el cumplimiento del Procesador de Datos con este Acuerdo de Procesamiento de Datos.

5. Mejoras a la seguridad

5.1

The Parties acknowledge that security requirements are constantly changing and that effective security requires frequent evaluation and regular improvements of outdated security measures. The Data Processor will therefore evaluate the measures as implemented in accordance with Article 4 on an on-going basis and will tighten, supplement and improve these measures in order to maintain compliance with the requirements set out in Article 4. The Parties will negotiate in good faith the cost, if any, to implement material changes required by specific updated security requirements set forth in the EU Data Protection Law or by data protection authorities of competent jurisdiction.

5.2

Cuando sea necesaria una enmienda al Acuerdo de servicio para ejecutar una instrucción del Controlador de datos para el Procesador de datos para mejorar las medidas de seguridad según lo requieran los cambios en la ley de protección de datos de vez en cuando, las Partes negociarán una enmienda al Servicio Acuerdo de buena fe.

6. Transferencias de datos

6.1

The Data Processor shall not disclose Personal Data received hereunder to a third party or transfer it to a non- EU/European Economic Area (EEA) country without Data Controller’s authorization. The Data Processor shall immediately notify the Data Controller of any (planned) permanent or temporary transfers of Personal Data to a country outside of the EU/EAA without an adequate level of protection and shall only perform such a (planned) transfer after obtaining authorization from the Data Controller, which may be refused at its own discretion.

6.2

En la medida en que el Controlador de datos o el Procesador de datos confían en un mecanismo legal específico para normalizar las transferencias internacionales de datos que posteriormente se modifican, revocan o mantienen en un tribunal de jurisdicción competente para que no sean válidos, el Controlador de datos y el Procesador de datos acuerdan cooperar de buena fe para terminar rápidamente la transferencia o buscar un mecanismo alternativo adecuado que pueda respaldar legalmente la transferencia.

7. Obligaciones de información y gestión de incidentes

7.1

Cuando el Procesador de datos se da cuenta de un incidente que afecta el Procesamiento de los Datos personales que es el objeto del Acuerdo de servicio, notificará de inmediato al Controlador de datos sobre el incidente, cooperará en todo momento con el Controlador de datos y deberá seguir las instrucciones del Controlador de datos con respecto a tales incidentes, a fin de permitir que el Controlador de datos realice una investigación exhaustiva del incidente, formule una respuesta correcta y tome las medidas adecuadas con respecto al incidente.

7.2

El término "incidente" utilizado en el Artículo 7.1 se entenderá en cualquier caso:

  1. a complaint or a request with respect to the exercise of a data subject’s rights under EU Data ProtectionLaw;
  2. una investigación o confiscación de los Datos personales por parte de funcionarios gubernamentales, o una indicación específica de que dicha investigación o incautación es inminente;
  3. cualquier acceso no autorizado o accidental, procesamiento, eliminación, pérdida o cualquier forma de procesamiento ilegal de los Datos personales;
  4. cualquier violación de la seguridad y / o confidencialidad establecida en los artículos 3 y 4 de este Acuerdo de procesamiento de datos que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado de los Datos personales, o la divulgación no autorizada de estos, o cualquier indicio de que tal incumplimiento haya tenido lugar o esté a punto de ocurrir;
  5. donde, en opinión del Procesador de datos, implementar una instrucción recibida del Controlador de datos violaría las leyes aplicables a las que están sujetos el Controlador de datos o el Procesador de datos.

7.3

The Data Processor shall at all times have in place written procedures which enable it to promptly respond to the Data Controller about an incident. Where an incident is reasonably likely to require a data breach notification by the Data Controller under the EU Data Protection Law, the Data Processor shall implement its written procedures in such a way that it is in a position to notify the Data Controller no later than 24 hours of having become aware of such an incident.

7.4

Cualquier notificación realizada al Controlador de datos de conformidad con este Artículo 7 se dirigirá al Oficial de protección de datos u otro empleado del Controlador de datos cuyos datos de contacto se proporcionen durante el proceso de registro, y deberán contener:

  1. una descripción de la naturaleza del incidente, incluyendo, cuando sea posible, las categorías y la cantidad aproximada de interesados involucrados y las categorías y la cantidad aproximada de registros de Datos Personales involucrados;
  2. el nombre y los detalles de contacto del oficial de protección de datos del procesador de datos u otro punto de contacto donde se pueda obtener más información;
  3. una descripción de las posibles consecuencias del incidente; y
  4. Una descripción de las medidas tomadas o propuestas por el Procesador de datos para abordar el incidente, incluidas, cuando corresponda, medidas para mitigar sus posibles efectos adversos.

8. Contratación con subprocesadores

8.1

El Controlador de datos autoriza al Procesador de datos a involucrar a los subprocesadores en las ubicaciones de los países para las actividades relacionadas con el Servicio especificadas como se describe en la Sección 1.4. El Procesador de datos informará al Controlador de datos de cualquier adición o reemplazo de dichos subprocesadores, lo que le dará la oportunidad de objetar dichos cambios.

8.2

Notwithstanding any authorization by the Data Controller with the meaning of the preceding paragraph, the Data Processor shall remain fully liable vis-à-vis the Data Controller for the performance of any such sub- processor that fails to fulfill its data protection obligations.

8.3

El consentimiento del Controlador de datos de conformidad con el Artículo 8.1 no alterará el hecho de que se requiere el consentimiento del Artículo 6 para la contratación de subprocesadores en un país fuera del Espacio Económico Europeo sin un nivel adecuado de protección.

8.4

El Procesador de datos se asegurará de que el subprocesador esté sujeto a las mismas obligaciones de protección de datos del Procesador de datos en virtud del presente Acuerdo de procesamiento de datos, supervisará el cumplimiento de los mismos y, en particular, deberá imponer a sus subprocesadores la obligación de implementar las técnicas y medidas organizativas de tal manera que el procesamiento cumpla con los requisitos de la Ley de Protección de Datos de la UE.

8.5

The Data Controller may request that the Data Processor audit a sub-processor or provide confirmation that such an audit has occurred (or, where available, obtain or assist customer in obtaining a third-party audit report concerning the sub-processor’s operations) to ensure compliance with its obligations imposed by the Data Processor in conforming with this Data Processing Agreement.

9. Devolución o destrucción de datos personales

9.1

Tras la finalización de este Acuerdo de procesamiento de datos, a solicitud escrita del Controlador de datos, o al cumplimiento de todos los propósitos acordados en el contexto de los Servicios por los cuales no se requiere procesamiento adicional, el Procesador de datos deberá, a discreción del Controlador de datos, eliminar , destruya o devuelva todos los Datos personales al Controlador de datos y destruya o devuelva las copias existentes.

9.2

El Procesador de datos notificará a todos los terceros que respaldan su propio procesamiento de los Datos personales la finalización del Acuerdo de procesamiento de datos y se asegurará de que todos esos terceros destruyan los Datos personales o devuelvan los Datos personales al Controlador de datos, en el discreción del controlador de datos.

10. Asistencia al controlador de datos

10.1

The Data Processor shall assist the Data Controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the Data Controller’s obligation to respond to request for exercising the data subject’s rights under the GDPR.

10.2

El Procesador de datos ayudará al Controlador de datos a garantizar el cumplimiento de las obligaciones de conformidad con la Sección 4 (Seguridad) y las consultas previas con las autoridades de supervisión requeridas en virtud del Artículo 36 del GDPR teniendo en cuenta la naturaleza del procesamiento y la información disponible para El procesador de datos.

10.3

El Procesador de datos pondrá a disposición del Controlador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones del Procesador de datos y para permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Controlador de datos u otro auditor ordenado por el Controlador de datos.

11. Responsabilidad e indemnización

11.1

The Data Processor indemnifies the Data Controller and holds the Data Controller harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Controller and arising directly or indirectly out of or in connection with a breach of this Data Processing Agreement and/or the EU Data Protection Law by the Data Processor. The Data Controller indemnifies the Data Processor and holds the Data Processor harmless against all claims, actions, third party claims, losses, damages and expenses incurred by the Data Processor and arising directly or indirectly out of or in connection with a breach of this Data Processing Agreement and/or the EU Data Protection Law by the Data Controller.

12. Duración y terminación

12.1

This Data Processing Agreement shall come into effect on the date the Data Controller signs this Data Processing Agreement, which may be through electronic means.

12.2

La terminación o vencimiento de este Acuerdo de procesamiento de datos no eximirá al Procesador de datos de sus obligaciones de confidencialidad de conformidad con el Artículo 3.

12.3

El Procesador de datos procesará los Datos personales hasta la fecha de terminación del Acuerdo de servicio, a menos que el Controlador de datos indique lo contrario, o hasta que dichos datos sean devueltos o destruidos por instrucción del Controlador de datos.

13. Diverso

13.1

En caso de cualquier inconsistencia entre las disposiciones de este Acuerdo de procesamiento de datos y las disposiciones del Acuerdo de servicio, prevalecerán las disposiciones de este Acuerdo de procesamiento de datos.

13.2

Este Acuerdo de procesamiento de datos se rige por las leyes del estado de Nevada en los Estados Unidos. Cualquier disputa que surja de o en relación con este Acuerdo de procesamiento de datos se presentará exclusivamente ante el tribunal competente en Las Vegas, Nevada.