Acuerdo de confidencialidad de los datos

ADENDA SOBRE PROTECCIÓN DE DATOS

El presente apéndice sobre protección de datos ("Anexo") forma parte de las Condiciones del servicio ("Términos") entre (i) Mercateam ("Mercateam") y (ii) el Cliente suscriptor de Mercateam, siendo cada uno de ellos un "Fiesta"y juntos losFiestas", con fecha del día en que el Cliente envía datos a Mercateam, o carga datos en Mercateam, y efectiva a partir de la Fecha de Entrada en Vigor del Addendum (tal y como se define a continuación),

Por la presente, las Partes acuerdan que los términos y condiciones establecidos a continuación se añadirán como un Addendum a los Términos y las referencias en este Addendum a los Términos son a los Términos modificados por, e incluyendo, este Addendum.

1. Definiciones

1.1 En el presente Addendum, los siguientes términos tendrán el significado que se indica a continuación y los términos afines se interpretarán en consecuencia:

  • (a)" Fecha de entrada en vigor del apéndice tiene el significado que se le da en la sección 2;
  • (b)"Afiliado significa una entidad que posee o controla, es propiedad o está controlada por o está bajo control o propiedad común con el Cliente o Mercateam (según el contexto), donde el control se define como la posesión, directa o indirecta, del poder de dirigir o causar la dirección de la gestión y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otro modo;
  • (c)"Datos personales del cliente se refiere a cualquier Dato Personal procesado por Mercateam (i) en nombre del Cliente (incluido, en aras de la claridad, cualquier Afiliado del Cliente), o (ii) procesado de otro modo por Mercateam, en cada caso de conformidad con o en relación con las instrucciones dadas por escrito por el Cliente, de acuerdo con las Condiciones;
  • (d)"Controlador a Procesador s las cláusulas contractuales tipo (transformadores) a efectos del artículo 26, apartado 2, de la Directiva 95/46/CE, establecidas en la Decisión 2010/87/CE, tal y como la Comisión Europea las revise o actualice periódicamente;
  • (e)" Legislación sobre protección de datos significa i) la Directiva 95/46/CE y, a partir del 25 de mayo de 2018, el Reglamento (UE) 2016/679 ("GDPR") junto con la legislación aplicable que aplique o complemente la misma o que se refiera de otro modo al tratamiento de Datos Personales de personas físicas, y (ii) en la medida en que no se incluya en la subcláusula (i), la Ley de Protección de Datos de 1998 del Reino Unido, con sus modificaciones periódicas, e incluida cualquier legislación sustancialmente similar que sustituya a la DPA de 1998;
  • (f)"Escudo de la privacidad el marco del Escudo de la privacidad UE-EE.UU.; y
  • (g)"Servicios se refiere a los servicios que Mercateam prestará al Cliente o a las Filiales del Cliente en virtud de las Condiciones.

1.2 Los términos "Controlador", "Sujeto de los datos", "Datos personales", "Vulneración de datos personales", "Proceso", "ProcesadoryAutoridad de control" tienen los mismos significados que se describen en las Leyes de Protección de Datos aplicables y los términos afines se interpretarán en consecuencia.

1.3 Los términos en mayúsculas que no se definan de otro modo en el presente Addendum tendrán el significado que se les atribuye en las Condiciones.

2. Formación de esta adenda

El presente Addendum se considerará acordado por las Partes y entrará en vigor el "Fecha de entrada en vigor del apéndice"(i) la fecha en que el Cliente acepte el presente Addendum; y (ii) la fecha en que Mercateam acepte el presente Addendum.

3. Papel de las partes

Las Partes reconocen y acuerdan que, con respecto al Tratamiento de los Datos Personales de los Clientes, y tal como se describe más detalladamente en Anexo 1 en el presente documento, el Cliente actúa como Controlador y Mercateam actúa como Procesador (tal y como se define en la sección 5.2.4 a continuación).

Las Partes acuerdan expresamente que el Cliente será el único responsable de garantizar las comunicaciones oportunas a las Filiales del Cliente o al Controlador o Controladores pertinentes que reciban los Servicios, en la medida en que dichas comunicaciones puedan ser necesarias o útiles a la luz de las Leyes de Protección de Datos aplicables para permitir que las Filiales del Cliente o el Controlador o Controladores pertinentes cumplan dichas Leyes.

4. Descripción del tratamiento de datos personales

En Anexo 1 al presente Addendum, las Partes han establecido mutuamente su entendimiento de los detalles del Tratamiento de los Datos Personales del Cliente que serán Tratados por Mercateam en virtud del presente Addendum, tal y como exige el artículo 28, apartado 3, del GDPR. Cualquiera de las Partes podrá introducir modificaciones razonables en Anexo 1 mediante notificación por escrito a la otra Parte y según sea razonablemente necesario para cumplir dichos requisitos. Anexo 1 no crea ninguna obligación ni derecho para ninguna de las Partes.

5. Términos de procesamiento de datos

5.1

En el marco de la ejecución del presente Anexo, el Cliente se compromete a respetar todas las leyes aplicables en materia de protección de datos. Entre las Partes, el Cliente será el único responsable del cumplimiento de las Leyes de Protección de Datos aplicables en relación con la recogida y transferencia a Mercateam de los Datos Personales del Cliente. El Cliente se compromete a no facilitar a Mercateam ningún dato relativo a la salud, la religión o cualquier categoría especial de datos de una persona física, tal y como se define en el artículo 9 del GDPR.

5.2

Mercateam cumplirá todas las Leyes de Protección de Datos aplicables en el Tratamiento de los Datos Personales del Cliente y Mercateam deberá:

5.2.1

tratar los Datos Personales del Cliente relativos a las categorías de Sujetos de Datos a los efectos de las Condiciones y para los fines específicos en cada caso establecidos en Anexo 1 Mercateam informará inmediatamente al Cliente si, en opinión de Mercateam, una instrucción infringe la legislación aplicable en materia de protección de datos;

5.2.2

garantizar que las personas autorizadas a tratar los Datos Personales del Cliente se han comprometido a mantener la confidencialidad o están sometidas a una obligación legal de confidencialidad adecuada;

5.2.3

aplicar y mantener las medidas técnicas y organizativas establecidas en las Condiciones y, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, aplicar cualesquiera otras medidas técnicas y organizativas apropiadas que sean necesarias para garantizar un nivel de seguridad adecuado al riesgo del Tratamiento de los Datos Personales de los Clientes según lo siguiente

(a) seudonimización y cifrado de los Datos Personales del Cliente;

(b) garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento que procesan los Datos Personales de los Clientes;

(c) restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de forma oportuna en caso de incidente físico o técnico; y

(d) comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los Datos Personales del Cliente.

Cualquier modificación de dichas medidas acordadas que sea necesaria por parte del Cliente se tratará mediante un proceso de control de cambios acordado entre Mercateam y el Cliente;

5.2.4

Por la presente, el Cliente (en nombre del Responsable o Responsables del tratamiento pertinentes, según proceda) autoriza expresa y específicamente a Mercateam a contratar a otro Encargado del tratamiento para tratar los Datos personales del Cliente ("Otro procesador"), y específicamente los Otros Procesadores enumerados en Anexo 2 a la presente, sin perjuicio de lo dispuesto por Mercateam:

(a)

notificar al Cliente cualquier cambio previsto en su uso de Otros Procesadores enumerados en Anexo 2 notificando por correo electrónico al Cliente el cambio previsto;

(b) incluir obligaciones de protección de datos en su contrato con cada uno de los Otros Encargados del Tratamiento que sean sustancialmente las mismas que las establecidas en la presente Adenda; y

(c) seguir siendo responsable ante el Cliente de cualquier incumplimiento por parte de cada uno de los Otros Encargados del Tratamiento de sus obligaciones en relación con el Tratamiento de los Datos Personales del Cliente.

En relación con cualquier notificación recibida en virtud del apartado 5.2.4 a., el Cliente dispondrá de un plazo de 30 (treinta) días a partir de la fecha de la notificación para informar a Mercateam por escrito de cualquier objeción razonable al uso de ese Otro procesador. A continuación, las partes, durante un plazo no superior a 30 (treinta) días a partir de la fecha de la objeción del Cliente, colaborarán de buena fe para intentar encontrar una solución comercialmente razonable para el Cliente que evite el uso del Otro procesador objetado. En caso de que no se pueda encontrar dicha solución, cualquiera de las Partes podrá (sin perjuicio de cualquier disposición en contrario de las Condiciones) rescindir inmediatamente los Servicios pertinentes mediante notificación por escrito a la otra Parte, sin daños, penalización o indemnización alguna;

5.2.5

en la medida en que la ley lo permita, notificar sin demora al Cliente cualquier comunicación de un Interesado relativa al Tratamiento de los Datos Personales del Cliente, o cualquier otra comunicación (incluida la de una Autoridad de Control) relativa a cualquier obligación en virtud de las Leyes de Protección de Datos aplicables con respecto a los Datos Personales del Cliente y, teniendo en cuenta la naturaleza del Tratamiento, asistir al Cliente (o al Responsable del Tratamiento pertinente) mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de la obligación del Cliente, de los Afiliados del Cliente o del Responsable del Tratamiento pertinente de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III del GDPR; El Cliente se compromete a abonar a Mercateam el tiempo y los gastos en que incurra Mercateam en relación con el cumplimiento de sus obligaciones en virtud del presente apartado 5.2.5;

5.2.6

cuando Mercateam tenga conocimiento de una violación de datos personales que afecte a los datos personales del Cliente, notificar al Cliente, sin demora injustificada, cualquier violación de datos personales que afecte a los datos personales del Cliente; dicha notificación incluirá toda la información que el Cliente (o el responsable del tratamiento pertinente) requiera razonablemente para cumplir con sus obligaciones en virtud de la legislación aplicable en materia de protección de datos;

5.2.7

en la medida en que lo exija la legislación aplicable en materia de protección de datos, prestar una asistencia razonable al Cliente, a las filiales del Cliente o a los responsables del tratamiento pertinentes en relación con sus obligaciones en virtud de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga Mercateam; el Cliente se compromete a abonar a Mercateam el tiempo y los gastos de bolsillo en que incurra Mercateam en relación con cualquier asistencia prestada en relación con los artículos 35 y 36 del RGPD;

5.2.8

dejar de tratar los Datos Personales del Cliente a la terminación o expiración de las Condiciones, y a elección del Cliente, las Filiales del Cliente o el/los Responsable(s) pertinente(s) devolver o eliminar (incluso asegurándose de que dichos datos estén en formato no legible) todas las copias de los Datos Personales del Cliente tratados por Mercateam, a menos que (y únicamente en la medida y durante el periodo en que) la legislación del país exija el almacenamiento de los Datos Personales. Sin perjuicio de lo anterior o de cualquier disposición en contrario contenida en el presente documento, Mercateam podrá conservar los Datos Personales y no tendrá obligación alguna de devolver los Datos Personales en la medida en que lo exijan las obligaciones legales o reglamentarias aplicables. Los Datos Personales conservados estarán sujetos a las obligaciones de confidencialidad establecidas en las Condiciones; y

5.2.9

poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento del presente Anexo y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Cliente, o por un auditor encargado por el Cliente. A los efectos de demostrar el cumplimiento del presente Anexo en virtud de la presente sección 5.2.9, las Partes acuerdan que una vez al año durante la vigencia de las Condiciones, Mercateam proporcionará al Cliente, con una antelación razonable, las respuestas a las evaluaciones de ciberseguridad y de otro tipo. El Cliente se compromete a pagar a Mercateam el tiempo y los gastos en los que incurra Mercateam en relación con la asistencia prestada en relación con dichas auditorías, respuestas a evaluaciones de ciberseguridad y de otro tipo.

6. Transferencias

Mercateam está certificada en Gestión de la Seguridad de la Información según la norma ISO 27001:2013. Mercateam notificará al Cliente por escrito y sin demora indebida si ya no puede cumplir con sus obligaciones en virtud del cumplimiento de la Privacidad, y, en tal caso, Mercateam tendrá la opción de (i) tomar rápidamente medidas razonables para remediar cualquier incumplimiento de las obligaciones aplicables en virtud del presente Anexo, o (ii) entablar un diálogo de buena fe con el Cliente para determinar un nuevo mecanismo de transferencia de datos para llevar a cabo los propósitos de los Términos. Mercateam actúa como Encargado del Tratamiento con respecto a los Datos Personales recibidos en virtud de una transferencia de datos.

En caso de que se invalide el Cumplimiento de Privacidad, el Cliente y cada Afiliado del Cliente (en nombre del Controlador o Controladores correspondientes, según sea el caso), si procede (como "exportador de datos") y Mercateam (como "importador de datos"), con efecto a partir del inicio de la transferencia correspondiente, suscribirán los CEC de Controlador a Procesador (mutatis mutandis, según proceda) con respecto a cualquier transferencia (o transferencia ulterior) del Cliente o de la Filial del Cliente a Mercateam, cuando dicha transferencia estuviera prohibida por la legislación aplicable en materia de protección de datos o por los términos de los acuerdos de transferencia de datos establecidos para cumplir la legislación aplicable en materia de protección de datos. El Apéndice 1 de las CEC de Responsable a Encargado del Tratamiento se considerará cumplimentado con las secciones pertinentes de Anexo 1 del presente apéndice y se considerará que las operaciones de tratamiento son las descritas en las Condiciones. Se considerará que el apéndice 2 de las CEC del Responsable al Encargado del Tratamiento está cumplimentado previamente con lo siguiente "Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad variable para los derechos y libertades de las personas físicas, Mercateam aplicará las medidas técnicas y organizativas apropiadas que se establecen en la Adenda."

7. Precedencia

Las disposiciones del presente Apéndice complementan las disposiciones de las Condiciones. En caso de discrepancia entre las disposiciones del presente Apéndice y las disposiciones de las Condiciones, prevalecerán las disposiciones del presente Apéndice.

8. Indemnización

En la medida en que la ley lo permita, el Cliente indemnizará y mantendrá indemne a Mercateam frente a todas (i) las pérdidas, (ii) las reclamaciones de terceros, (iii) las multas administrativas y (iv) los costes y gastos (incluidos, sin limitación, los honorarios y gastos razonables legales, de investigación y de consultoría) en los que incurra razonablemente en relación con (i), (ii) o iii), sufridos por Mercateam y que se deriven de cualquier incumplimiento por parte del Cliente del presente Addendum o de sus obligaciones en virtud de las Leyes de Protección de Datos aplicables.

9. Divisibilidad

Las Partes acuerdan que, si cualquier sección o subsección de este Addendum es declarada ilegal o inaplicable por cualquier tribunal o autoridad competente, ello no invalidará ni hará inaplicable ninguna otra sección de este Addendum.

9. Otros

La organización se asegura de que el contrato para procesar la IIP aborda el papel de la organización en la prestación de asistencia con las obligaciones del cliente.

El Acuerdo considera lo siguiente

a. Privacidad por diseño y por defecto

b. Lograr la seguridad del tratamiento

c. Notificación a una autoridad supervisora de las violaciones que afecten a la IIP

d. Notificación de violaciones que afecten a la IIP a los clientes y a los titulares de la IIP

e. Evaluación del impacto sobre la privacidad

f. Garantía de asistencia por parte de los encargados del tratamiento de la información de identificación personal en caso de que sea necesario realizar consultas previas a las autoridades competentes en materia de protección de la información de identificación personal.

g. Mercateam informará al cliente si, en su opinión, una instrucción de tratamiento infringe la legislación o normativa aplicable.

h. La organización no utiliza la IIP procesada en virtud de un contrato con fines de marketing y publicidad.

i. Coordinarse con los clientes para ayudar a auditar los sistemas. La organización proporciona al cliente la información adecuada para que pueda demostrar el cumplimiento de sus obligaciones

j. Mercateam utilizará AWS y PIPL como subprocesadores con los requisitos de seguridad y privacidad plenamente cumplidos.

k. La organización cumplirá todos los requisitos legales y reglamentarios, la norma ISO 27001:2013, la norma ISO 27701:2019 y los requisitos del GDPR de la UE.

l. Los Datos se suprimirán o desidentificarán una vez finalizado el tratamiento (Esto es, una vez finalizado el periodo de conservación seleccionado).

m. Mercateam informará con 24 horas de antelación a los clientes en caso de cualquier solicitud legalmente vinculante de divulgación de IIP.

n. Para acceder, rectificar o suprimir la información de identificación personal de los interesados, póngase en contacto con el responsable de la protección de datos que figura a continuación. Asimismo, para plantear inquietudes o reclamaciones relacionadas con la IIP, puede ponerse en contacto con el responsable de la protección de datos que figura a continuación:

Nombre: Kévin Rouvière

Correo electrónico : kevin@merca.team

Número de contacto: +33 6 30 01 85 69

Anexo 1: Descripción del tratamiento de los datos personales de los clientes

Este Anexo incluye ciertos detalles del Tratamiento de Datos Personales del Cliente según lo dispuesto en el Artículo 28(3) GDPR y, según corresponda, Controller to Processor SCC.

Objeto y duración del Tratamiento de los Datos Personales

El objeto y la duración del Tratamiento de los Datos Personales del Cliente se establecen en la Sección 2 de las Condiciones.

Naturaleza y finalidad del tratamiento de los datos personales

Diligencia debida y verificación de antecedentes de la organización y las personas.

Categorías de interesados a los que se refieren los datos personales del cliente

- Empleados y contratistas de clientes.

Tipos de datos personales de los clientes que se tratarán

Nombre, dirección, fecha de nacimiento, edad, formación, correo electrónico, sexo, imagen, idioma, teléfono, URL relacionada, ID de usuario, cualificaciones y autorizaciones, formación, puesto y descripción del puesto, horarios, restricciones, documentos de certificación

Categorías especiales de datos

Ninguno

Obligaciones y derechos del Cliente

Las obligaciones y derechos del Cliente se establecen en las Condiciones y en el presente Anexo.

Exportador de datos (si procede)

El exportador de datos es: Cliente de Mercateam que utiliza los Servicios

Importador de datos (si procede)

El importador de datos es: PIPL, una empresa que presta servicios al cliente, que requiere recibir los datos de consulta del Cliente

Operaciones de transformación (según proceda)

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento: La puesta a disposición de Mercateam Limited al Cliente para la Diligencia Debida y la Verificación de Antecedentes según los requisitos del Cliente.

Anexo 2: Otros transformadores autorizados

Nombre del otro procesadorDescripción del tratamientoUbicación del otro procesador
Proveedor de Google CloudAlojamiento del entorno de producciónBélgica, Saint Ghislain
Automatización del escrutinioPlataforma GRCUS