Acuerdo de procesamiento de datos de EngageBay (cumple con el RGPD)

Última actualización el 22/06/2022

1. Ámbito de aplicación y objeto del contrato


Este Procesamiento de datos ("DPA") refleja el acuerdo de las partes con respecto a los términos que rigen el procesamiento de Datos personales bajo los términos de EngageBay. Términos de servicio (los “TOS”). Este DPA es una enmienda a los TOS y entra en vigencia a partir de su incorporación a los TOS, cuya incorporación puede especificarse en una Orden o una enmienda ejecutada a los TOS. Tras su incorporación a los TOS, el DPA formará parte de los TOS.

2. Definiciones


En este acuerdo:

  • (a) "Servicios" se refiere a los servicios prestados al Cliente en virtud de los TOS;
  • (b) "Datos personales" significa cualquier información relacionada con una persona física identificada o identificable ('sujeto de datos');
  • (c) "Cliente", "controlador" o "usted" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los propósitos y medios del procesamiento de datos personales;
  • (d) "Procesador", "EngageBay" o "nosotros" significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador;
  • (e) "Proceso/procesamiento" significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o sobre conjuntos de datos personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración , recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción;
  • (f) "Subprocesador" o "Subcontratista" significa un tercer subcontratista contratado por el procesador que, como parte de la función del subcontratista de prestar los Servicios, Procesa Datos personales del Cliente;
  • g) "Medidas de seguridad técnicas y organizativas": aquellas medidas destinadas a garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras, la seudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas del procesamiento sistemas y servicios, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico, un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de el procesamiento.
  • (h) "Leyes de Protección de Datos" hace referencia a todas las leyes y reglamentos, incluidas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo y sus estados miembros, aplicables al Procesamiento de Datos Personales en virtud del Acuerdo.

3. Aplicación de este acuerdo


Este acuerdo se aplicará a:

a) todos los Datos enviados desde la fecha de este acuerdo por el Cliente a EngageBay para Procesamiento;

b) todos los Datos a los que EngageBay accedió con la autorización del Cliente para Procesamiento a partir de la fecha de este acuerdo; y

c) todos los Datos recibidos por EngageBay para Procesamiento en nombre del Cliente; en relación con los Servicios.

4. Categorías de Datos Personales y finalidad del Tratamiento de Datos Personales


Para ejecutar el Acuerdo, y en particular para prestar los Servicios en nombre del Cliente, el Cliente autoriza y solicita que EngageBay procese los siguientes Datos personales:

Información al cliente: información que podemos recopilar de su uso de los sitios web de EngageBay y sus interacciones con nosotros fuera de línea, como:

  • Datos de contacto: nombre, domicilio, número de teléfono o móvil, dirección de correo electrónico y contraseñas.
  • Información financiera: número de tarjeta de crédito e información de facturación (número de identificación fiscal, número de IVA del pagador, dirección de facturación, correo electrónico de facturación, donde se envían las facturas); El número de tarjeta de crédito es manejado por nuestra pasarela de pago, por Paypal u otros tipos de pago; EngageBay solo cobra su tarjeta de crédito por los pagos.
  • Detalles de contacto de empleo, incluidos: nombre del empleador, título y función del trabajo, detalles de contacto comercial; EngageBay trata la información del cliente de acuerdo con los términos de nuestra política de privacidad general.
  • Datos de servicios: datos que residen en los sistemas de EngageBay, del cliente o de terceros a los que EngageBay ha proporcionado acceso para prestar servicios.
  • Datos almacenados y procesados por los usuarios, tales como: código fuente de la aplicación, bases de datos que utilizan las aplicaciones, archivos generados por las aplicaciones, historial de operaciones realizadas por los usuarios.
  • Información del archivo de registro: el sistema de EngageBay guarda tres tipos de registros: Registros de conexión, que son esencialmente registros de cada solicitud a cada aplicación. Estos registros de conexión pueden incluir información como la solicitud web, la dirección del Protocolo de Internet ("IP"), el tipo de navegador, las páginas y URL de referencia/salida, la cantidad de clics, los nombres de dominio, las páginas de destino, las páginas visitadas y otra información similar. El segundo tipo de registros son los registros de aplicaciones, que son producidos por cada aplicación de nuestros clientes. EngageBay no tiene control sobre el contenido de estos registros. El control de los registros de la aplicación como Datos personales permanece con el Cliente. Registros de eventos de línea de tiempo que son un registro de alertas y notificaciones que pueden ayudar a EngageBay a identificar y diagnosticar el origen de los problemas actuales del sistema y ayudar a predecir problemas futuros.
  • Otra información de contacto sobre el cliente y los empleados, por ejemplo, a través de sus sitios web, como parte de esa interacción.

EngageBay procesa la información del Cliente de acuerdo con los términos de su Política de privacidad y trata los datos de los servicios como confidenciales de acuerdo con los términos de su pedido de servicios.

Categorías de sujetos de datos: los sujetos de datos incluyen representantes y usuarios finales del Cliente, como empleados, solicitantes de empleo, contratistas, colaboradores, socios y clientes del Cliente. Los interesados también pueden incluir personas que intentan comunicar o transferir Datos personales a los usuarios de los Servicios.

5. Responsabilidad de EngageBay


EngageBay procesará los Datos personales únicamente para la prestación de los Servicios y se compromete a:

  • (a) Procesar y utilizar Datos personales para los fines establecidos en este Acuerdo o solo siguiendo instrucciones documentadas del Cliente y para ningún otro propósito, excepto con el consentimiento expreso previo por escrito del Cliente, o
  • (b) No divulgar Datos a terceros, excepto a aquellos de sus empleados, agentes y subcontratistas que participen en el Procesamiento de Datos y estén sujetos a las obligaciones vinculantes o excepto que lo exija cualquier ley o reglamento;
  • (c) Implementar medidas técnicas y organizativas apropiadas para salvaguardar los Datos del procesamiento no autorizado o ilegal o pérdida, destrucción o daño accidental, y teniendo en cuenta el estado del desarrollo tecnológico y el costo de implementación de cualquier medida, dichas medidas garantizarán un nivel de seguridad adecuada al daño que podría resultar del procesamiento no autorizado o ilegal o de la pérdida, destrucción o daño accidental y a la naturaleza de los Datos a proteger;
  • (d) informar al Cliente a la mayor brevedad en caso de ejercicio por parte de los Interesados de cualquiera de sus derechos en virtud de las leyes de protección de datos en relación con los Datos, y, si es necesario, asistir al Cliente en el cumplimiento de la obligación de responder a dichas solicitudes en consideración de los compromisos previstos en el artículo 7;
  • (e) No Procesar ni transferir los Datos fuera de la Unión Europea, excepto con la autorización previa y expresa por escrito del Cliente y asegurarse de que dichas transferencias se realicen de conformidad con las normas correspondientes.

6. Responsabilidad del Cliente


El Cliente del Servicio, como controlador de Datos, debe aceptar la responsabilidad de cumplir con la legislación de protección de datos aplicable. En particular, el Cliente tiene la obligación de evaluar la legalidad del procesamiento de los datos personales almacenados en la Plataforma.

El Cliente acepta que garantizará el cumplimiento en todo momento de la ley de protección de datos aplicable y, en particular, el Cliente se asegurará de que cualquier divulgación de Datos personales que realice a EngageBay se realice con el consentimiento del interesado o sea lícita. El control de los Datos personales permanece en manos del Cliente, y entre el Cliente y EngageBay, el Cliente seguirá siendo en todo momento el controlador de los Datos para los fines de los Servicios, los TOS y este Acuerdo de procesamiento de datos. El Cliente es responsable del cumplimiento de sus obligaciones como Responsable del tratamiento en virtud de la Ley de protección de datos aplicable, en particular, de la justificación de cualquier transmisión de Datos personales a EngageBay (incluido el suministro de los avisos necesarios y la obtención de los consentimientos necesarios), y de sus decisiones relativas a la Tratamiento y uso de los datos.

7. Derechos del Interesado


EngageBay otorgará al Cliente acceso electrónico al entorno de la Plataforma que contiene Datos personales para permitir que el Cliente elimine, libere, corrija o bloquee el acceso a Datos personales específicos o, si eso no es factible y en la medida en que lo permita la ley aplicable, siga las instrucciones detalladas del Cliente. instrucciones escritas para eliminar, liberar, corregir o bloquear el acceso a los Datos personales.

EngageBay transmitirá al Cliente cualquier solicitud de un sujeto de datos individual para eliminar, liberar, corregir o bloquear los Datos personales procesados en virtud del Acuerdo.

8. Transferencia de datos transfronteriza y posterior


EngageBay trata todos los Datos personales de manera coherente con los requisitos de la Ley de protección de datos aplicable y este Acuerdo de procesamiento de datos en todos los lugares del mundo. EngageBay almacena los datos en centros de datos ubicados en los Estados Unidos.

Con respecto a los Datos personales almacenados por EngageBay en centros de datos en los Estados Unidos, deberá garantizar el cumplimiento de sus Subprocesadores con los requisitos de la ley de protección de datos aplicable de la siguiente manera:

  • (i) EngageBay ha celebrado contratos con Subprocesadores que estipulan que el Subprocesador asumirá obligaciones de confidencialidad y protección de datos de conformidad con las leyes de protección de datos aplicables;
  • (ii) además, cuando un Subprocesador procese Datos personales en o desde un país que no haya recibido un hallazgo de "adecuación", EngageBay requerirá que el Subprocesador ejecute Cláusulas modelo que incorporen requisitos de seguridad consistentes con los de este DPA.

9. Subprocesamiento


EngageBay no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del Cliente en virtud del Acuerdo y los TOS sin el consentimiento previo por escrito del Cliente. Cuando EngageBay subcontrate sus obligaciones en virtud del Acuerdo, con el consentimiento del Cliente, lo hará únicamente mediante un acuerdo por escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que se imponen a EngageBay en virtud del Acuerdo. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, EngageBay seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.

El Cliente, como controlador de datos, puede solicitar que EngageBay audite al Subprocesador o proporcione una confirmación de que se ha realizado dicha auditoría (o, cuando esté disponible, obtenga o ayude al Controlador de datos a obtener un informe de auditoría de terceros sobre las operaciones del Subprocesador) para garantizar el cumplimiento de tales obligaciones. . El Controlador también tendrá derecho, previa solicitud por escrito, a recibir copias de los términos relevantes del acuerdo de EngageBay con los Subprocesadores que pueden procesar Datos personales, a menos que el acuerdo contenga información confidencial, en cuyo caso EngageBay puede proporcionar una versión redactada del acuerdo.

Las disposiciones relativas a los aspectos de protección de datos para el subprocesamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el Cliente.

10. Medidas Técnicas y Organizativas


Al Procesar Datos Personales en nombre del Cliente en relación con los Servicios, EngageBay se asegurará de implementar y mantener el cumplimiento de las medidas de seguridad técnicas y organizativas apropiadas para el Procesamiento de dichos datos. En consecuencia, EngageBay implementará las siguientes medidas:

  • Para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos en los que se procesan datos personales (control de acceso físico), EngageBay tomará medidas para evitar el acceso físico, como el personal de seguridad y los edificios protegidos y las instalaciones de la fábrica.
  • Para evitar que los sistemas de procesamiento de datos se utilicen sin autorización (control de acceso al sistema), se pueden aplicar, entre otros controles, dependiendo de los Servicios particulares solicitados: autenticación mediante contraseñas y registro de acceso en varios niveles.
  • Para los servicios en la nube alojados en EngageBay: (i) el acceso lógico a los centros de datos está restringido y protegido por firewall/VLAN; y (ii) se aplican los siguientes procesos de seguridad: registro y alerta centralizados, y (iii) firewalls.
  • Para garantizar que las personas con derecho a utilizar un sistema de procesamiento de datos solo tengan acceso a los Datos personales a los que tienen privilegio de acceso, y que los Datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización en el curso del Procesamiento y/o después. almacenamiento (control de acceso a datos), los Datos Personales son accesibles y manejables solo por personal debidamente autorizado, el acceso directo a consultas de bases de datos está restringido y los derechos de acceso a aplicaciones están establecidos y aplicados.
  • Además de las reglas de control de acceso establecidas anteriormente, EngageBay implementa una política de acceso según la cual el controlador de datos controla el acceso a su entorno de servicios en la nube y a los datos personales y otros datos por parte de su personal autorizado.
  • Para garantizar que los Datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión o el transporte electrónico, y que sea posible verificar y establecer a qué entidades se prevé la transferencia de Datos personales mediante instalaciones de transmisión de datos (control de transmisión ), EngageBay cumplirá con los siguientes requisitos: Salvo que se especifique lo contrario para los Servicios en la nube, las transferencias de datos fuera del entorno del Servicio están encriptadas (HTTPS). Es posible que el contenido de las comunicaciones (incluidas las direcciones del remitente y el destinatario) enviadas a través de algunos servicios de correo electrónico o mensajería no se cifren una vez recibidas a través de dichos servicios. El controlador de datos es el único responsable de los resultados de su decisión de utilizar comunicaciones o transmisiones no cifradas.
  • Para garantizar que sea posible verificar y establecer si los Datos personales han sido ingresados en los sistemas de procesamiento de datos, modificados o eliminados (control de entrada) y quién lo hizo, EngageBay cumplirá con los siguientes requisitos: La fuente de los Datos personales está bajo el control del Cliente. , y la integración de los Datos personales en el sistema se gestiona mediante la transferencia segura de archivos (es decir, a través de servicios web o ingresados en la aplicación) del Cliente.
  • Para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental: se realizan copias de seguridad periódicamente; las copias de seguridad están encriptadas y protegidas.
  • Para garantizar que los Datos personales que se recopilan para diferentes fines se procesen por separado, los datos de los diferentes entornos de Controladores de datos se segregan lógicamente en los sistemas de EngageBay.

11. Derechos de auditoría


El Cliente puede auditar el cumplimiento de EngageBay con los términos del Acuerdo y este Acuerdo de procesamiento de datos hasta una vez al año.

El Cliente puede realizar auditorías más frecuentes de los sistemas informáticos del Servicio que Procesan Datos Personales en la medida requerida por las leyes aplicables al Cliente. Si un tercero va a realizar la auditoría, el tercero debe ser acordado mutuamente por ambas partes y debe ejecutar un acuerdo de confidencialidad por escrito aceptable para EngageBay antes de realizar la auditoría.

Para solicitar una auditoría, el Cliente debe presentar un plan de auditoría detallado al menos 4 semanas antes de la fecha de auditoría propuesta que describa el alcance propuesto, la duración y la fecha de inicio de la auditoría. EngageBay revisará el plan de auditoría y proporcionará al Controlador de datos cualquier inquietud o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer las políticas de seguridad, privacidad o empleo de EngageBay).

Los informes de auditoría son Información Confidencial de las partes bajo los términos del Acuerdo. Cualquier auditoría corre a cargo del controlador de datos.

Cualquier solicitud para que EngageBay brinde asistencia con una auditoría se considera un servicio separado si dicha asistencia de auditoría requiere el uso de recursos diferentes o adicionales. EngageBay buscará la aprobación y el acuerdo por escrito del controlador de datos para pagar cualquier tarifa relacionada antes de realizar dicha asistencia de auditoría.

12. Gestión de incidentes y notificación de incumplimiento


EngageBay evalúa y responde a incidentes que generan sospechas de acceso o manejo no autorizado de Datos personales.

El Cliente es informado de dichos incidentes y, según la naturaleza de la actividad, define rutas de escalamiento y equipos de respuesta para abordar esos incidentes. EngageBay trabajará con el Cliente, con los equipos técnicos apropiados y, cuando sea necesario, con las fuerzas del orden externas para responder al incidente. El objetivo de la respuesta al incidente será restaurar la confidencialidad, la integridad y la disponibilidad del entorno de los Servicios, y establecer las causas fundamentales y los pasos de remediación.

El personal de operaciones de EngageBay recibe instrucciones sobre cómo responder a incidentes en los que el manejo de datos personales puede no haber sido autorizado.

EngageBay notificará al Cliente sin demora indebida después de tener conocimiento de una violación de datos personales. EngageBay investigará de inmediato cualquier violación de la seguridad y tomará las medidas razonables para identificar la(s) causa(s) raíz y evitar que vuelva a ocurrir. A medida que la información se recopile o esté disponible de otro modo, a menos que lo prohíba la ley, EngageBay proporcionará al Controlador de datos una descripción de la violación de seguridad, el tipo de datos que fueron objeto de la violación y otra información que el Controlador de datos pueda solicitar razonablemente con respecto a los afectados. personas Las partes acuerdan coordinarse de buena fe en el desarrollo del contenido de cualquier declaración pública relacionada o cualquier aviso requerido para las personas afectadas.

13. Divulgaciones legalmente requeridas


Salvo que la ley exija lo contrario, EngageBay notificará de inmediato al Cliente sobre cualquier citación, orden judicial, administrativa o arbitral de una agencia ejecutiva o administrativa u otra autoridad gubernamental ("demanda") que reciba y que se relacione con los Datos personales que EngageBay Procesamiento en nombre del Cliente. A pedido del Cliente, EngageBay proporcionará información razonable en su poder que pueda responder a la demanda y cualquier asistencia razonablemente requerida para que el Cliente responda a la demanda de manera oportuna. El Cliente reconoce que EngageBay no tiene la responsabilidad de interactuar directamente con la entidad que realiza la demanda.

14. Obligación después de la terminación de los servicios de procesamiento de datos personales


Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, EngageBay pondrá a disposición para su recuperación o devolverá los Datos personales del Cliente almacenados en el entorno de la Plataforma, a menos que la legislación impuesta a las partes le impida devolver o destruir la totalidad o parte de los mismos. los datos personales transferidos. En ese caso, las partes garantizan que garantizará la confidencialidad de los datos personales transferidos y que dejará de tratar activamente los datos personales transferidos.

15. Ley aplicable


Este acuerdo se regirá por las leyes de los EE. UU. y/o las leyes del Estado miembro en el que esté establecido el Cliente.

Empezar
Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia en nuestro sitio web. Aprende más