Introducción
Las partes acuerdan que el presente Acuerdo de Protección de Datos ("APD") establece los derechos y obligaciones de cada una de las partes en relación con el tratamiento y la seguridad de los Datos Personales del Cliente en relación con el Software y los Servicios prestados por MetaCompliance Ltd.. El APD se incorpora por referencia a las Condiciones Generales (Condiciones Comerciales). Las partes también acuerdan que, a menos que exista un APD separado firmado por las partes, este APD rige el tratamiento y la seguridad de los Datos Personales del Cliente.
Las disposiciones de las Condiciones DPA sustituyen a cualquier disposición contradictoria de la Declaración de Privacidad de MetaCompliance que pueda aplicarse al tratamiento de los Datos Personales del Cliente. Para mayor claridad, en consonancia con las Cláusulas Contractuales Tipo 2021 que se definen a continuación, cuando las Cláusulas Contractuales Tipo 2021 son aplicables, las Cláusulas Contractuales Tipo 2021 prevalecen sobre cualquier otro término del Acuerdo de Procesamiento de Datos.
ACUERDO DE PROCESAMIENTO DE DATOS EN VIGOR A PARTIR DEL 29 DE JUNIO DE 2022
-
Fiestas
El Cliente, tal como se define en las Condiciones Generales (el "Cliente") y
1.1.1 MetaCompliance Limited, constituida y registrada en Irlanda del Norte con el número de sociedad NI049166, con domicilio social en Third Floor Old City Factory 100 Patrick Street, Londonderry BT48 7EL (el "Proveedor").
-
Antecedentes
El Cliente y el Proveedor han celebrado un Contrato que puede requerir que el Proveedor procese Datos Personales en nombre del Cliente.
El presente Acuerdo de Tratamiento de Datos ("APD") establece los términos, requisitos y condiciones adicionales en los que el Proveedor tratará los Datos Personales cuando preste los Servicios en virtud del Contrato. Este APD contiene las cláusulas obligatorias requeridas por el artículo 28(3) del Reglamento General de Protección de Datos ((UE) 2016/679 y la legislación del Reino Unido sobre el GDPR) para los contratos entre controladores y procesadores.
El presente APD está sujeto a los términos del Contrato y se incorpora al mismo. Los términos utilizados en el presente APD tendrán el significado establecido en el mismo. Los términos en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se les atribuye en los Términos y Condiciones del Contrato.
Los Anexos forman parte de la presente DPA y surtirán efecto como si estuvieran recogidos en su totalidad en esta DPA. Toda referencia al presente APD incluye los anexos.
En caso de conflicto entre cualquier disposición de este APD y cualquier término del Contrato, con respecto al objeto de este Acuerdo, prevalecerán las disposiciones de este APD.
-
Definiciones
Los siguientes términos del presente APD tendrán el siguiente significado:
"Leyes de protección de datos"
"Datos personales del cliente"
"Cláusulas contractuales estándar"
"Subprocesador"
"Responsable del tratamiento", "Interesado", "Encargado del tratamiento", "Proceso o tratamiento", "Datos personales", "Violación de datos personales"
4. Tratamiento de datos personales
4.1 Las partes reconocen y acuerdan que, a los efectos de las Leyes de Protección de Datos y con respecto al Tratamiento de los Datos Personales del Cliente, el Proveedor es el Procesador y el Cliente es el Controlador.
4.2 El Cliente garantiza y declara: (i) que la transferencia de los Datos Personales del Cliente al Proveedor cumple en todos los aspectos con las Leyes de Protección de Datos (incluyendo, sin limitación, en términos de su recopilación y uso); y (ii) que se ha proporcionado un procesamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de los Datos Personales del Cliente (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos) en la medida en que lo exigen las Leyes de Protección de Datos en relación con todas las actividades de procesamiento que pueden ser llevadas a cabo por el Proveedor y sus Subprocesadores de conformidad con este Acuerdo;
4.3 El Proveedor se compromete a Procesar los Datos Personales del Cliente únicamente: (i) en la medida en que sea necesario para prestar los Servicios; (ii) de acuerdo con las instrucciones escritas del Cliente; y (iii) de acuerdo con los requisitos de las Leyes de Protección de Datos.
4.4 El Cliente, en su uso de los Servicios, tratará los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos. El Cliente se asegurará de que cualquier instrucción al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente cumpla con las Leyes de Protección de Datos.
4.5 Las instrucciones del Cliente al Proveedor sobre el objeto y la duración del Tratamiento, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Sujetos de Datos se describen en el Anexo A. Para evitar cualquier duda, las partes reconocen y aceptan que las instrucciones de Tratamiento establecidas en el presente APD y en el Anexo A constituyen el conjunto completo de instrucciones del Cliente al Proveedor, tal y como se aplican.
4.6 El Proveedor notificará inmediatamente al Cliente si, en opinión razonable del Proveedor, cualquier instrucción dada por el Cliente puede infringir las leyes de protección de datos.
4.7 El Proveedor no tratará, transferirá, modificará, enmendará o alterará los Datos Personales del Cliente ni revelará o permitirá que se revelen los Datos Personales del Cliente a ningún tercero fuera de las instrucciones detalladas en esta DPA, a menos que el Cliente lo autorice específicamente por escrito.
4.8 El personal del Proveedor que participe en el Tratamiento de los Datos Personales del Cliente será informado del carácter confidencial de los Datos Personales del Cliente y recibirá la formación adecuada sobre sus responsabilidades. Dicho personal estará sujeto a compromisos de confidencialidad adecuados.
4.9 Teniendo en cuenta la naturaleza del Procesamiento de datos personales en los Servicios prestados, el Proveedor, tal y como exige el artículo 32 del RGPD del Reino Unido y de la UE, mantendrá las medidas técnicas y organizativas adecuadas para garantizar la seguridad del Procesamiento, incluida la protección contra el Procesamiento no autorizado o ilegal, y contra la destrucción, pérdida o alteración o daño accidentales o ilegales, la divulgación no autorizada o el acceso a los Datos personales del Cliente. Las partes reconocen y aceptan que las medidas de seguridad especificadas en la presente DPA y, más concretamente, en el Anexo B, constituyen medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
4.10 El Proveedor asistirá al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible y teniendo en cuenta la naturaleza del Tratamiento de los Datos Personales del Cliente, en el cumplimiento de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos, incluso en relación con los derechos del Titular de los Datos, las evaluaciones de impacto sobre la protección de datos (relacionadas con el uso de los Servicios de MetaCompliance por parte del Cliente) y la información y consulta a las autoridades de supervisión (en relación con una evaluación de impacto sobre la protección de datos relacionada con los Servicios de MetaCompliance).
4.11 Si los Sujetos de Datos, las autoridades competentes o cualquier otro tercero solicitan información al Proveedor en relación con el Tratamiento de los Datos Personales del Cliente, el Proveedor remitirá dicha solicitud al Cliente, a menos que se le exija lo contrario para cumplir con las Leyes de Protección de Datos, en cuyo caso el Proveedor notificará previamente al Cliente dicho requisito legal, a menos que dicha ley prohíba esta divulgación por motivos importantes de interés público.
5. Subprocesadores
5.1 El Cliente reconoce y acepta que el Proveedor puede, en relación con la prestación de los Servicios, contratar a Subprocesadores que pueden ser filiales del Proveedor y/o terceros, como se describe más específicamente en el Anexo C.
5.2 El Proveedor no contratará a un nuevo Subprocesador para el Tratamiento de los Datos Personales del Cliente sin un contrato por escrito con dicho Subprocesador que le imponga obligaciones de protección de datos equivalentes a las establecidas en este APD con respecto a la protección de los Datos Personales del Cliente en la medida aplicable a la naturaleza de los servicios prestados por dicho Subprocesador.
5.3 Si el Proveedor propone aumentar el número de Subprocesadores contratados por él o sustituir a alguno de ellos, deberá informar al Cliente de acuerdo con la cláusula 5.5 siguiente y el Cliente tendrá la oportunidad de oponerse a cualquier cambio por motivos razonables.
5.4 En caso de que el Cliente se oponga a un nuevo Subprocesador, el Proveedor hará esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en los Servicios para evitar el Tratamiento de los Datos Personales del Cliente por parte del nuevo Subprocesador correspondiente. Si no es posible ninguna alternativa, las partes tienen derecho a rescindir el Contrato entre ellas.
5.5 El Proveedor informará al Cliente de los cambios en el uso de los Subprocesadores por escrito con una antelación mínima de 30 días de dicho cambio y proporcionará al Cliente un Anexo C actualizado.
5.6 El Proveedor seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones de los Subprocesadores.
6. Transferencia de datos
6.1 De conformidad con el artículo 28(3)(a) del GDPR del Reino Unido y de la UE, el Proveedor no transferirá, ni permitirá que ningún Subprocesador transfiera, ningún Dato Personal del Cliente fuera del EEE o del Reino Unido (según corresponda) sin el consentimiento previo del Cliente. Para evitar dudas, el Cliente consiente por la presente la transferencia y el tratamiento de los Datos Personales según se especifica en el Anexo A, según corresponda.
6.2 El Proveedor reconoce que, de acuerdo con el GDPR del Reino Unido y de la UE, debe existir una protección adecuada para los Datos Personales después de cualquier transferencia fuera del Reino Unido o del EEE (ya sea directamente o a través de una transferencia posterior) y celebrará un acuerdo adecuado con el Cliente y/o cualquier subprocesador para regular dicha transferencia. Esto incluirá las cláusulas contractuales estándar aplicables, a menos que exista otro mecanismo de adecuación para la transferencia.
7. Violación de datos personales
En caso de que se produzca una violación de los datos personales del cliente, el proveedor deberá
7.1.1 Notificar al Cliente sin demora indebida para que el Cliente pueda cumplir con las obligaciones de notificación del GDPR del Reino Unido y de la UE y para proporcionar asistencia razonable al Cliente cuando se requiera comunicar una Violación de Datos Personales a un Sujeto de Datos.
7.1.2 Realizará esfuerzos razonables para identificar la causa de la violación de los datos personales y tomará las medidas que el proveedor considere razonablemente viables para remediar la causa de la violación de los datos personales.
7.1.3 Sujeto a los términos de esta DPA, proporcionar asistencia y cooperación razonables según lo solicitado por el Cliente, en el avance de cualquier corrección o remediación de cualquier Violación de Datos Personales.
8. Registros de procesamiento
8.1 En la medida en que sea aplicable al Procesamiento del Proveedor para el Cliente, el Proveedor mantendrá todos los registros requeridos por el Artículo 30(2) del GDPR del Reino Unido y de la UE y los pondrá a disposición del Cliente cuando lo solicite.
9. Derechos de auditoría
9.1 El Proveedor deberá, y procurará que sus Subprocesadores, pongan a disposición del Cliente, previa solicitud, la información razonable necesaria para demostrar el cumplimiento de sus obligaciones en materia de protección de datos en virtud de la presente DPA y permitirá y contribuirá a las auditorías, incluida la inspección en sus instalaciones, por parte del Cliente o de un auditor encargado por el Cliente en relación con el Tratamiento de los Datos Personales del Cliente, siempre que dicho auditor no sea un competidor del Proveedor
10. Término
10.1 El presente APD estará en plena vigencia mientras:
10.1.1 El contrato sigue en vigor; o
10.1.2 El Proveedor conserva los Datos Personales del Cliente en su posesión o control.
10.2 Cualquier disposición de la presente DPA que, de forma expresa o implícita, deba entrar o continuar en vigor en el momento de la terminación del Contrato o después de ella, con el fin de proteger los Datos Personales del Cliente, seguirá siendo plenamente vigente.
11. Devolución y destrucción de datos
11.1 El Proveedor, a discreción del Cliente y si éste lo solicita por escrito, borrará o devolverá al Cliente todos los Datos Personales del Cliente una vez finalizada la prestación de los Servicios relacionados con el Tratamiento, y borrará las copias existentes, a menos que la legislación aplicable del EEE o de los Estados miembros exija la conservación de los Datos Personales del Cliente. Si no se recibe ninguna solicitud por escrito del Cliente, el Proveedor eliminará los Datos Personales del Cliente 90 días después de la finalización del Contrato.
11.2 A petición del Cliente, el Proveedor proporcionará una notificación por escrito de las medidas adoptadas en relación con los Datos Personales del Cliente.
12. Indemnización
12.1 El Proveedor se compromete a indemnizar al Cliente por todos los costes directos, reclamaciones, daños y perjuicios o gastos incurridos por el Cliente debido a cualquier incumplimiento por parte del Proveedor o de sus empleados, subprocesadores, subcontratistas o agentes de cualquiera de sus obligaciones en virtud de este APD o de las Leyes de Protección de Datos de conformidad con el artículo 82 del GDPR del Reino Unido y de la UE.
12.2 A pesar de cualquier cosa en contrario en este DPA o en el Contrato (incluyendo, sin limitación, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas del GDPR emitidas o impuestas en virtud del artículo 83 del GDPR contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la violación del GDPR por parte de dicha otra parte.
12.3 Sin perjuicio de las obligaciones legales descritas en la cláusula 12.1 y de las limitaciones detalladas en la cláusula 12.2, la responsabilidad de cada parte en virtud del presente APD estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Contrato. Cualquier referencia a cualquier "limitación de responsabilidad" de una parte en el Contrato se interpretará como la responsabilidad agregada de una parte y de todas sus Subsidiarias y Afiliadas en virtud del Contrato y del presente APD.
Anexo A
Fines y detalles del tratamiento de datos personales
Objeto del tratamiento
Detalles
Se aplica a:
Propósito
Políticas, evaluaciones de conocimientos
Encuestas de privacidad
Reseñas de incidentes
Tipos de datos personales
Categorías de sujetos de datos
Empleados del cliente, contratistas, proveedores, socios y/o afiliados.
Operaciones de tratamiento
Comunicarse con el LMS del cliente y evaluar el recuento de licencias.
Ubicación de las operaciones de transformación
Reino Unido (MetaCompliance Group), Dinamarca (MetaCompliance Group), Irlanda (MetaCompliance Group, Microsoft Azure, AWS Europe). AWS Europa es un proveedor de correo electrónico transaccional que se utilizará en función de la ubicación del Cliente - véase el Anexo C.
Holanda (Microsoft Azure)
EE.UU. (Twilio for Sendgrid Services - opción de proveedor de correo electrónico transaccional en función de la ubicación del Cliente - véase el Anexo C).
Requisitos de retención
| Objeto del tratamiento | Detalles | Se aplica a. |
|---|---|---|
|
Finalidad |
Acceso al sistema Administración del sistema Entrega del contenido del sistema según los módulos suscritos. Véase más abajo:
|
Todos los clientes |
|
|
Políticas, evaluaciones de conocimientos |
Clientes suscritos a los módulos Policy (PolicyLite, MetaEngage y MetaPolicy)
|
|
|
eLearning, otros medios |
Clientes suscritos a módulos de Elearning (MetaLearning Fusion) |
|
|
Encuestas de privacidad |
Clientes suscritos al módulo MetaPrivacy |
|
|
Reseñas de incidentes |
Clientes suscritos al módulo de MetaIncidentes |
|
|
Campañas de phishing simuladas |
Clientes suscritos a MetaPhish |
|
|
Transferencia de SCORM al LMS del cliente |
Clientes que se suscriben a la transferencia de SCORM |
| Objeto del tratamiento | Detalles | Se aplica a. |
|---|---|---|
|
Tipos de Datos Personales |
Nombre, apellidos, dirección de correo electrónico, departamento, historial de formación |
Todos los clientes |
|
|
Unidad de organización (OU) de Active Directory |
Clientes que utilizan Azure AD o AD local |
|
|
ID DEL LMS |
Los clientes suscritos a la transferencia de SCORM |
|
Categorías de interesados |
Empleados del cliente, contratistas, proveedores, socios y/o afiliados. |
Todos los Clientes de acuerdo con los datos del Titular de los datos proporcionados al Proveedor. El Cliente puede limitarlo en función del uso que pretenda hacer de los Servicios. |
| Objeto del tratamiento | Detalles | Se aplica a. |
|---|---|---|
|
Operaciones de transformación |
Tratamiento y almacenamiento de los Datos Personales del Cliente con el fin de crear y mantener las cuentas de los Usuarios Autorizados en la plataforma MyCompliance. Distribución de diversos correos electrónicos de notificación iniciados por el sistema MyCompliance de MetaCompliance.
|
Todos los clientes |
|
|
Distribución de correos electrónicos simulados de phishing especificados iniciados por el Cliente a través de la plataforma MetaCompliance MyCompliance. |
Clientes suscritos al módulo MetaPhish
|
|
|
Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy. |
Clientes suscritos al módulo MetaPrivacy |
|
Categorías de interesados |
Almacenamiento de Datos Personales cuando son introducidos por el cliente a través del módulo MetaCompliance MetaPrivacy. |
Clientes que se suscriben a la transferencia de SCORM |
| Objeto del tratamiento | Detalles | Se aplica a. |
|---|---|---|
|
Lugar de las operaciones de tratamiento |
Reino Unido (MetaCompliance) Irlanda (MetaCompliance, Microsoft Azure, AWS Europe). AWS Europa es un proveedor de correo electrónico transaccional que se utilizará en función de la ubicación del Cliente - véase el Anexo C. Países Bajos (Microsoft Azure) EE.UU. (Twilio para Sendgrid Services - opción de proveedor de correo electrónico transaccional en función de la ubicación del Cliente - véase el Anexo C). |
Todos los clientes, según corresponda. Para más detalles, consulte el Anexo C. |
|
Requisitos de conservación |
Cuando la suscripción de un cliente ha caducado o se ha dado por terminada, todos los datos personales del cliente asociados se conservan durante 90 días antes de que se eliminen realmente, con el fin de recuperarse de la cancelación accidental de la suscripción. |
Todos los clientes
|
Anexo B
Disposiciones de seguridad
El Proveedor, con el fin de ayudar al Cliente a cumplir sus obligaciones legales, incluyendo, pero sin limitarse a ello, las medidas de seguridad y las evaluaciones del riesgo para la privacidad, estará obligado a tomar las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente que se traten. Dichas medidas deberán dar lugar, como mínimo, a un nivel de seguridad adecuado teniendo en cuenta:
(a) las posibilidades técnicas existentes;
(b) los costes de ejecución de las medidas;
(c) los riesgos particulares asociados al tratamiento de los datos personales del cliente; y
(d) la sensibilidad de los Datos Personales del Cliente que se tratan.
El Proveedor mantendrá una seguridad adecuada para los Datos Personales del Cliente. El Proveedor protegerá los Datos Personales del Cliente contra la destrucción, la modificación, la difusión ilegal o el acceso ilegal. Los Datos Personales del Cliente también estarán protegidos contra cualquier otra forma de tratamiento ilegal. Teniendo en cuenta el estado de la técnica y los costes de aplicación, y teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas, las medidas técnicas y organizativas que deberá aplicar el Proveedor incluirán, según proceda:
(a) la seudonimización y el cifrado de los Datos Personales del Cliente;
(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios que tratan los datos personales del cliente;
(c) la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales del Cliente de manera oportuna en caso de un incidente físico o técnico; y
(d) un proceso para comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Además de las medidas técnicas y organizativas mencionadas anteriormente, el proveedor deberá aplicar las siguientes medidas:
(a) protección del acceso físico mediante el cual los equipos informáticos y los datos extraíbles que contengan Datos Personales del Cliente en las instalaciones del Proveedor deberán estar cerrados con llave cuando no estén bajo supervisión, con el fin de protegerlos contra el uso no autorizado, el impacto y el robo.
(b) un proceso de prueba de lectura después de que los Datos Personales del Cliente hayan sido restaurados a partir de copias de seguridad.
(c) control de autorización, por el que el acceso del Proveedor a los Datos Personales del Cliente se gestiona mediante un sistema técnico de control de autorización. La autorización estará restringida a aquellos que necesiten los Datos Personales del Cliente para su trabajo. Los identificadores de usuario y las contraseñas serán personales y no podrán transferirse a nadie más. Habrá procedimientos para asignar y eliminar autorizaciones.
(d) mantener un registro de quién tiene acceso a los Datos Personales del Cliente.
(e) una comunicación segura en la que las conexiones externas de comunicación de datos estarán protegidas mediante funciones técnicas que garanticen que la conexión está autorizada, así como el cifrado del contenido de los datos en tránsito en los canales de comunicación fuera de los sistemas controlados por el Proveedor.
(f) un proceso que garantice la destrucción segura de los datos cuando los soportes de almacenamiento fijos o extraíbles dejen de utilizarse para su finalidad.
(g) las rutinas para la celebración de acuerdos de confidencialidad con los proveedores que proporcionan la reparación y el servicio de los equipos utilizados para almacenar los Datos Personales del Cliente.
(h) las rutinas para supervisar el servicio realizado por los proveedores en los locales del Proveedor. Los soportes de almacenamiento que contengan los Datos Personales del Cliente deberán ser retirados si no es posible la supervisión.
Anexo C
Subprocesadores autorizados
Subprocesador
Ubicación
Se aplica a:
Holanda
Dublín
| Subprocesador | Ubicación | Se aplica a. |
|---|---|---|
|
Microsoft Azure (aloja los servicios en la nube) |
Holanda |
Todos los clientes |
|
AWS Europa (proveedor de correo electrónico transaccional) |
Dublín |
Todos los clientes con sede en el Reino Unido o en los países del EEE. |
|
Twilio para Sendgrid Services (proveedor de correo electrónico transaccional) |
EE.UU. |
Todos los clientes con sede fuera del Reino Unido o de los países del EEE |
El cliente sólo utilizará un proveedor de correo electrónico transaccional según la dirección facilitada en el momento de la contratación, a menos que solicite por escrito el cambio de proveedor.
Todos los clientes que contrataron con MetaCompliance antes del 1de mayo de 2022, que no hayan firmado un DPA. de mayo de 2022 que no tengan un DPA firmado en vigor utilizarán los servicios de correo electrónico transaccional de Twilio para los servicios de Sendgrid. Por favor, póngase en contacto con su Customer Success Manager si desea utilizar los servicios de AWS Europe.
Acuerdo de procesamiento de datos archivado, disponible aquí.