La presente Adenda de Protecci贸n de Datos ("Adenda") forma parte de las Condiciones de Servicio ("Condiciones") entre (i) Mercateam ("Mercateam") y (ii) el Cliente suscrito a Mercateam, siendo cada uno de ellos una"Parte" y conjuntamente las"Partes", con fecha del d铆a en que el Cliente env铆a datos a Mercateam, o carga datos en Mercateam,
y con efecto a partir de la Fecha de Entrada en Vigor del Addendum (tal y como se define a continuaci贸n), Las Partes acuerdan por la presente que los t茅rminos y condiciones establecidos a continuaci贸n se a帽adir谩n como Addendum a los T茅rminos y las referencias en este Addendum a los T茅rminos son a los T茅rminos modificados por, e incluyendo, este Addendum.
1. Definiciones
1.1 En el presente Addendum, los siguientes t茅rminos tendr谩n el significado que se indica a continuaci贸n y los t茅rminos afines se interpretar谩n en consecuencia:
(a)"Fecha de entrada en vigor del Addendum" tiene el significado que se le da en la secci贸n 2;
(b)"Afiliada" significa una entidad que posee o controla, es propiedad o est谩 controlada por o est谩 bajo control o propiedad com煤n con el Cliente o Mercateam (seg煤n el contexto), donde el control se define como la posesi贸n, directa o indirecta, del poder de dirigir o causar la direcci贸n de la gesti贸n y las pol铆ticas de una entidad, ya sea a trav茅s de la propiedad de valores con derecho a voto, por contrato o de otro modo;
(c)"Datos Person ales del Cliente" significa cualquier Dato Personal procesado por Mercateam (i) en nombre del Cliente (incluyendo, en aras de la claridad, cualquier Afiliado del Cliente), o (ii) procesado de otro modo por Mercateam, en cada caso de conformidad con o en relaci贸n con las instrucciones dadas por el Cliente por escrito, de acuerdo con las Condiciones;
(d)" Cl谩usulas contractuales tipo entre responsable y encargado del tratamiento": las cl谩usulas contractuales tipo (encargados del tratamiento) a efectos del art铆culo 26, apartado 2, de la Directiva 95/46/CE establecidas en la Decisi贸n 2010/87/CE, tal como la Comisi贸n Europea las revise o actualice peri贸dicamente;
(e)"Leyes de Protecci贸n de Datos" significa (i) la Directiva 95/46/CE y, a partir del 25 de mayo de 2018, el Reglamento (UE) 2016/679 ("GDPR") junto con la legislaci贸n aplicable que implemente o complemente la misma o que de otro modo se relacione con el tratamiento de Datos Personales de personas f铆sicas, y (ii) en la medida en que no se incluya en la subcl谩usula (i), la Ley de Protecci贸n de Datos de 1998 del Reino Unido, modificada de vez en cuando, e incluyendo cualquier legislaci贸n sustancialmente similar que sustituya a la DPA 1998;
(f)"Escudo de la privacidad": el marco del Escudo de la privacidad UE-EE.UU.; y
(g)"Servicios" significa los servicios que Mercateam prestar谩 al Cliente o a las Filiales del Cliente de conformidad con las Condiciones.
1.2 Los t茅rminos"Responsable del Tratamiento","Interesado","Datos Personales", "Vulneraci贸n de Datos Personales","Tratamiento","Encargado del Tratamiento" y"Autoridad de Control" tienen el mismo significado que se describe en las Leyes de Protecci贸n de Datos aplicables y los t茅rminos afines se interpretar谩n en consecuencia.
1.3 Los t茅rminos en may煤sculas que no se definan de otro modo en el presente Addendum tendr谩n el significado que se les atribuye en las Condiciones.
2. Formaci贸n de la presente adenda
El presente Addendum se considerar谩 acordado por las Partes, y entrar谩 en vigor, en la"Fecha de entrada en vigor del Addendum", siendo 茅sta la 煤ltima de (i) la fecha en que el presente Addendum sea aceptado por el Cliente; y (ii) Mercateam.
3. Funciones de las Partes Las Partes reconocen y acuerdan que, en lo que respecta al Tratamiento de los Datos Personales del Cliente, y tal y como se describe con m谩s detalle en el Anexo 1 del presente documento, el Cliente act煤a como Responsable del Tratamiento y Mercateam act煤a como Encargado del Tratamiento (tal y como se define en la secci贸n 5.2.4 siguiente).
Las Partes acuerdan expresamente que el Cliente ser谩 el 煤nico responsable de garantizar las comunicaciones oportunas a las Filiales del Cliente o al Controlador o Controladores pertinentes que reciban los Servicios, en la medida en que dichas comunicaciones puedan ser necesarias o 煤tiles a la luz de las Leyes de Protecci贸n de Datos aplicables para permitir que las Filiales del Cliente o el Controlador o Controladores pertinentes cumplan dichas Leyes.
4. Descripci贸n del tratamiento de datos personales
En el Anexo 1 de la presente Adenda, las Partes han establecido mutuamente su entendimiento de los detalles del Tratamiento de los Datos Personales del Cliente que ser谩n Tratados por Mercateam en virtud de la presente Adenda, tal como exige el art铆culo 28, apartado 3, del RGPD. Cualquiera de las Partes podr谩 introducir modificaciones razonables en el Anexo 1 mediante notificaci贸n por escrito a la otra Parte y seg煤n sea razonablemente necesario para cumplir dichos requisitos. El Anexo 1 no crea ninguna obligaci贸n ni derecho para ninguna de las Partes.
5. T茅rminos de procesamiento de datos
5.1
En el marco de la ejecuci贸n del presente Anexo, el Cliente se compromete a respetar todas las leyes aplicables en materia de protecci贸n de datos. Entre las Partes, el Cliente ser谩 el 煤nico responsable del cumplimiento de las Leyes de Protecci贸n de Datos aplicables en relaci贸n con la recogida y transferencia a Mercateam de los Datos Personales del Cliente. El Cliente se compromete a no proporcionar a Mercateam ning煤n dato relativo a la salud, la religi贸n o cualquier categor铆a especial de datos de una persona f铆sica, tal y como se define en el art铆culo 9 del GDPR.
5.2
Mercateam cumplir谩 todas las Leyes de Protecci贸n de Datos aplicables en el Tratamiento de los Datos Personales del Cliente y Mercateam deber谩:
5.2.1
procesar los Datos Personales del Cliente relativos a las categor铆as de Sujetos de Datos a los efectos de las Condiciones y para los fines espec铆ficos en cada caso establecidos en el Anexo 1 del presente Addendum y, por lo dem谩s, 煤nicamente siguiendo las instrucciones documentadas del Cliente, a los efectos de la prestaci贸n de los Servicios y en la medida en que sea necesario para cumplir sus obligaciones en virtud de las Condiciones, incluso en lo que respecta a las transferencias de Datos Personales del Cliente a un tercer pa铆s fuera de una organizaci贸n internacional; Mercateam informar谩 inmediatamente al Cliente si, en opini贸n de Mercateam, una instrucci贸n infringe las Leyes de Protecci贸n de Datos aplicables
5.2.2
garantizar que las personas autorizadas a tratar los Datos Personales del Cliente se han comprometido a mantener la confidencialidad o est谩n sometidas a una obligaci贸n legal de confidencialidad adecuada;
5.2.3
aplicar y mantener las medidas t茅cnicas y organizativas establecidas en las Condiciones y, teniendo en cuenta el estado de la t茅cnica, los costes de aplicaci贸n y la naturaleza, el alcance, el contexto y los fines del Tratamiento, as铆 como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas f铆sicas, aplicar cualesquiera otras medidas t茅cnicas y organizativas apropiadas que sean necesarias para garantizar un nivel de seguridad adecuado al riesgo del Tratamiento de los Datos Personales del Cliente seg煤n lo siguiente
(a) seudonimizaci贸n y cifrado de los Datos Personales del Cliente;
(b) garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento que procesan los Datos Personales de los Clientes;
(c) restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de forma oportuna en caso de incidente f铆sico o t茅cnico; y
(d) comprobar, evaluar y valorar peri贸dicamente la eficacia de las medidas t茅cnicas y organizativas para garantizar la seguridad del tratamiento de los Datos Personales del Cliente.
Cualquier modificaci贸n de dichas medidas acordadas que sea necesaria por parte del Cliente se tratar谩 mediante un proceso de control de cambios acordado entre Mercateam y el Cliente;
5.2.4
Por la presente, el Cliente (en nombre del/de los Responsable(s) correspondiente(s), seg煤n proceda) autoriza expresa y espec铆ficamente a Mercateam a contratar a otro Encargado del Tratamiento para el Tratamiento de los Datos Personales del Cliente ("Otro Encargado del Tratamiento"), y en concreto a los Otros Encargados del Tratamiento enumerados en el Anexo 2 del presente documento, con sujeci贸n a que Mercateam
(a)
notificar al Cliente cualquier cambio previsto en el uso de Otros Procesadores enumerados en el Anexo 2, enviando por correo electr贸nico al Cliente una notificaci贸n del cambio previsto;
(b) incluir obligaciones de protecci贸n de datos en su contrato con cada uno de los Otros Encargados del Tratamiento que sean sustancialmente iguales a las establecidas en el presente Addendum; y
(c) seguir siendo responsable ante el Cliente de cualquier incumplimiento por parte de cada uno de los Otros Encargados del Tratamiento de sus obligaciones en relaci贸n con el Tratamiento de los Datos Personales del Cliente.
En relaci贸n con cualquier notificaci贸n recibida en virtud del apartado 5.2.4 a., el Cliente dispondr谩 de un plazo de 30 (treinta) d铆as a partir de la fecha de la notificaci贸n para informar a Mercateam por escrito de cualquier objeci贸n razonable al uso de ese Otro procesador. A continuaci贸n, las partes, durante un plazo no superior a 30 (treinta) d铆as a partir de la fecha de la objeci贸n del Cliente, colaborar谩n de buena fe para intentar encontrar una soluci贸n comercialmente razonable para el Cliente que evite el uso del Otro procesador objetado. En caso de que no se pueda encontrar dicha soluci贸n, cualquiera de las Partes podr谩 (sin perjuicio de cualquier disposici贸n en contrario de las Condiciones) rescindir inmediatamente los Servicios pertinentes mediante notificaci贸n por escrito a la otra Parte, sin da帽os, penalizaci贸n o indemnizaci贸n alguna;
5.2.5
en la medida en que la ley lo permita, notificar sin demora al Cliente cualquier comunicaci贸n de un Interesado relativa al Tratamiento de los Datos Personales del Cliente, o cualquier otra comunicaci贸n (incluida la de una Autoridad de Control) relativa a cualquier obligaci贸n en virtud de las Leyes de Protecci贸n de Datos aplicables con respecto a los Datos Personales del Cliente y, teniendo en cuenta la naturaleza del Tratamiento, asistir al Cliente (o al Responsable del Tratamiento pertinente) mediante las medidas t茅cnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de la obligaci贸n del Cliente, de los Afiliados del Cliente o del Responsable del Tratamiento pertinente de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Cap铆tulo III del GDPR; El Cliente se compromete a abonar a Mercateam el tiempo y los gastos en que incurra Mercateam en relaci贸n con el cumplimiento de sus obligaciones en virtud del presente apartado 5.2.5;
5.2.6
cuando Mercateam tenga conocimiento de una violaci贸n de datos personales que afecte a los datos personales del Cliente, notificar al Cliente, sin demora injustificada, cualquier violaci贸n de datos personales que afecte a los datos personales del Cliente; dicha notificaci贸n incluir谩 toda la informaci贸n que el Cliente (o el responsable del tratamiento pertinente) requiera razonablemente para cumplir con sus obligaciones en virtud de la legislaci贸n aplicable en materia de protecci贸n de datos;
5.2.7
en la medida en que lo exija la legislaci贸n aplicable en materia de protecci贸n de datos, prestar una asistencia razonable al Cliente, a las filiales del Cliente o a los responsables del tratamiento pertinentes en relaci贸n con sus obligaciones en virtud de los art铆culos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la informaci贸n de que disponga Mercateam; el Cliente se compromete a abonar a Mercateam el tiempo y los gastos de bolsillo en que incurra Mercateam en relaci贸n con cualquier asistencia prestada en relaci贸n con los art铆culos 35 y 36 del RGPD;
5.2.8
dejar de tratar los Datos Personales del Cliente a la terminaci贸n o expiraci贸n de las Condiciones, y a elecci贸n del Cliente, las Filiales del Cliente o el/los Responsable(s) pertinente(s) devolver o eliminar (incluso asegur谩ndose de que dichos datos est茅n en formato no legible) todas las copias de los Datos Personales del Cliente tratados por Mercateam, a menos que (y 煤nicamente en la medida y durante el periodo en que) la legislaci贸n del pa铆s exija el almacenamiento de los Datos Personales. Sin perjuicio de lo anterior o de cualquier disposici贸n en contrario contenida en el presente documento, Mercateam podr谩 conservar los Datos Personales y no tendr谩 obligaci贸n alguna de devolver los Datos Personales en la medida en que lo exijan las obligaciones legales o reglamentarias aplicables. Los Datos Personales conservados estar谩n sujetos a las obligaciones de confidencialidad establecidas en las Condiciones; y
5.2.9
poner a disposici贸n del Cliente toda la informaci贸n necesaria para demostrar el cumplimiento del presente Anexo y permitir y contribuir a las auditor铆as, incluidas las inspecciones, realizadas por el Cliente, o por un auditor encargado por el Cliente. A los efectos de demostrar el cumplimiento del presente Anexo en virtud de la presente secci贸n 5.2.9, las Partes acuerdan que una vez al a帽o durante la vigencia de las Condiciones, Mercateam proporcionar谩 al Cliente, con una antelaci贸n razonable, las respuestas a las evaluaciones de ciberseguridad y de otro tipo. El Cliente se compromete a pagar a Mercateam el tiempo y los gastos en los que incurra Mercateam en relaci贸n con la asistencia prestada en relaci贸n con dichas auditor铆as, respuestas a evaluaciones de ciberseguridad y de otro tipo.
6. Transferencias
Mercateam est谩 certificada en Gesti贸n de la Seguridad de la Informaci贸n seg煤n la norma ISO 27001:2013. Mercateam notificar谩 al Cliente por escrito y sin demora indebida si ya no puede cumplir con sus obligaciones en virtud del cumplimiento de la Privacidad, y, en tal caso, Mercateam tendr谩 la opci贸n de (i) tomar r谩pidamente medidas razonables para remediar cualquier incumplimiento de las obligaciones aplicables en virtud del presente Anexo, o (ii) entablar un di谩logo de buena fe con el Cliente para determinar un nuevo mecanismo de transferencia de datos para llevar a cabo los prop贸sitos de los T茅rminos. Mercateam act煤a como Encargado del Tratamiento con respecto a los Datos Personales recibidos en virtud de una transferencia de datos.
En caso de que se invalide el Cumplimiento de Privacidad, el Cliente y cada Afiliado del Cliente (en nombre del Controlador o Controladores correspondientes, seg煤n sea el caso), si procede (como "exportador de datos") y Mercateam (como "importador de datos"), con efecto a partir del inicio de la transferencia correspondiente, suscribir谩n los CEC de Controlador a Procesador (mutatis mutandis, seg煤n proceda) con respecto a cualquier transferencia (o transferencia ulterior) del Cliente o de la Filial del Cliente a Mercateam, cuando dicha transferencia estuviera prohibida por la legislaci贸n aplicable en materia de protecci贸n de datos o por los t茅rminos de los acuerdos de transferencia de datos establecidos para cumplir la legislaci贸n aplicable en materia de protecci贸n de datos. Se considerar谩 que el Ap茅ndice 1 de las CEC de Responsable a Encargado del Tratamiento contiene las secciones pertinentes del Anexo 1 de la presente Adenda y que las operaciones de tratamiento son las descritas en las Condiciones. El ap茅ndice 2 de las CEC entre Responsable y Encargado del Tratamiento se completar谩 con el siguiente texto : "Teniendo en cuenta el estado de la t茅cnica, los costes de aplicaci贸n y la naturaleza, el alcance, el contexto y los fines del tratamiento, as铆 como el riesgo de que var铆en los derechos y libertades de las personas f铆sicas, Mercateam aplicar谩 las medidas t茅cnicas y organizativas apropiadas que se establecen en la Adenda.".
7. Precedencia
Las disposiciones del presente Ap茅ndice complementan las disposiciones de las Condiciones. En caso de discrepancia entre las disposiciones del presente Ap茅ndice y las disposiciones de las Condiciones, prevalecer谩n las disposiciones del presente Ap茅ndice.
8. Indemnizaci贸n
En la medida en que la ley lo permita, el Cliente indemnizar谩 y mantendr谩 indemne a Mercateam frente a todas las (i) p茅rdidas, (ii) reclamaciones de terceros, (iii) multas administrativas y (iv) costes y gastos (incluidos, sin limitaci贸n, los honorarios y gastos razonables legales, de investigaci贸n y de consultor铆a) en los que incurra razonablemente en relaci贸n con (i), (ii) o iii), sufridos por Mercateam y que se deriven de cualquier incumplimiento por parte del Cliente del presente Addendum o de sus obligaciones en virtud de las Leyes de Protecci贸n de Datos aplicables.
9. Divisibilidad
Las Partes acuerdan que, si cualquier secci贸n o subsecci贸n de este Addendum es declarada ilegal o inaplicable por cualquier tribunal o autoridad competente, ello no invalidar谩 ni har谩 inaplicable ninguna otra secci贸n de este Addendum.
9. Otros
La organizaci贸n se asegura de que el contrato para procesar la IIP aborda el papel de la organizaci贸n en la prestaci贸n de asistencia con las obligaciones del cliente.
El Acuerdo considera lo siguiente
a. Privacidad por dise帽o y por defecto
b. Lograr la seguridad del tratamiento
c. Notificaci贸n a una autoridad supervisora de las violaciones que afecten a la IIP
d. Notificaci贸n de violaciones que afecten a la IIP a los clientes y a los titulares de la IIP
e. Evaluaci贸n del impacto sobre la privacidad
f. Garant铆a de asistencia por parte de los encargados del tratamiento de la informaci贸n de identificaci贸n personal en caso de que sea necesario realizar consultas previas a las autoridades competentes en materia de protecci贸n de la informaci贸n de identificaci贸n personal.
g. Mercateam informar谩 al cliente si, en su opini贸n, una instrucci贸n de tratamiento infringe la legislaci贸n o normativa aplicable.
h. La organizaci贸n no utiliza la IIP procesada en virtud de un contrato con fines de marketing y publicidad.
i. Coordinarse con los clientes para ayudar a auditar los sistemas. La organizaci贸n proporciona al cliente la informaci贸n adecuada para que pueda demostrar el cumplimiento de sus obligaciones
j. Mercateam utilizar谩 AWS y PIPL como subprocesadores con los requisitos de seguridad y privacidad plenamente cumplidos.
k. La organizaci贸n cumplir谩 con todos los requisitos legales y reglamentarios, la norma ISO 27001:2013, la norma ISO 27701:2019 y los requisitos del GDPR de la UE.
l. Los Datos se suprimir谩n o desidentificar谩n una vez finalizado el tratamiento (Esto es, una vez finalizado el periodo de conservaci贸n seleccionado).
m. Mercateam informar谩 con 24 horas de antelaci贸n a los clientes en caso de cualquier solicitud legalmente vinculante de divulgaci贸n de IIP.
n. Para acceder, rectificar o suprimir la informaci贸n de identificaci贸n personal de los interesados, p贸ngase en contacto con el responsable de la protecci贸n de datos que figura a continuaci贸n. Asimismo, para plantear inquietudes o reclamaciones relacionadas con la IIP, puede ponerse en contacto con el responsable de la protecci贸n de datos que figura a continuaci贸n:
Nombre: K茅vin Rouvi猫re
Correo electr贸nico: kevin@merca.team
N煤mero de contacto: +33 6 30 01 85 69
Anexo 1: Descripci贸n del tratamiento de los datos personales de los clientes
Este Anexo incluye ciertos detalles del Tratamiento de Datos Personales del Cliente seg煤n lo dispuesto en el Art铆culo 28(3) GDPR y, seg煤n corresponda, Controller to Processor SCC.
Objeto y duraci贸n del Tratamiento de los Datos Personales
El objeto y la duraci贸n del Tratamiento de los Datos Personales del Cliente se establecen en la Secci贸n 2 de las Condiciones.
Naturaleza y finalidad del tratamiento de los datos personales
Diligencia debida y verificaci贸n de antecedentes de la organizaci贸n y las personas.
Categor铆as de interesados a los que se refieren los datos personales del cliente
聽聽聽聽- Empleados y contratistas de clientes.
Tipos de datos personales de los clientes que se tratar谩n
Nombre, direcci贸n, fecha de nacimiento, edad, formaci贸n, correo electr贸nico, sexo, imagen, idioma, tel茅fono, URL relacionada, ID de usuario, cualificaciones y autorizaciones, formaci贸n, puesto y descripci贸n del puesto, horarios, restricciones, documentos de certificaci贸n聽
Categor铆as especiales de datos
Ninguno
Obligaciones y derechos del Cliente
Las obligaciones y derechos del Cliente se establecen en las Condiciones y en el presente Anexo.
Exportador de datos (si procede)
El exportador de datos es: Cliente de Mercateam que utiliza los Servicios
Importador de datos (si procede)
El importador de datos es: PIPL, una empresa que presta servicios al cliente, que requiere recibir los datos de consulta del Cliente
Operaciones de transformaci贸n (seg煤n proceda)
Los datos personales transferidos estar谩n sujetos a las siguientes actividades b谩sicas de tratamiento: La puesta a disposici贸n de Mercateam Limited al Cliente para la Diligencia Debida y la Verificaci贸n de Antecedentes seg煤n los requisitos del Cliente.
