Apéndice de procesamiento de datos

Los términos y condiciones a continuación ("DAP") complementar y modificar los Términos de servicio ("ToS"), en la medida en que Accept Mission procese cualquier dato personal procedente del Espacio Económico Europeo, el Reino Unido y Suiza ("Datos de la UE") para Usted como Cliente.

Las expresiones en mayúsculas no definidas en el DPA tienen el significado establecido en los Términos de Servicio. Las palabras y expresiones utilizadas en este DPA pero no definidas en el DPA o en los ToS tienen los significados otorgados a tales palabras y expresiones en la Directiva de la UE 95/46/EC o, a partir del 25 de mayo de 2018, el Reglamento General de Protección de Datos (2016/ 679) ("GDPR"), incluida cualquier legislación subordinada o de implementación, y, para transferencias de datos para aceptar Mission ApS ("Ley de protección de datos aplicable").

1. Aceptar Misión como Procesador de Datos

Accept Mission debe ser considerado solo como un Procesador en nombre de su Cliente y Usuarios en cuanto a los Datos del Cliente que contengan Datos Personales que estén sujetos a los requisitos del RGPD. A excepción de lo dispuesto en este DPA, Accept Mission no hace que los Datos del cliente que contienen Datos personales almacenados en relación con los Servicios se transfieran o se pongan a disposición de terceros de otro modo, excepto a los Subcontratistas de terceros que pueden procesar dichos datos en nombre de Accept Mission en relación con la prestación del Servicio a los Clientes por parte de Accept Mission.

Dichas acciones son realizadas o autorizadas únicamente por el Cliente correspondiente. El Cliente es el controlador de datos según el Reglamento de cualquier Dato del Cliente que contenga Datos Personales, lo que significa que dicha parte controla la forma en que se recopilan y utilizan dichos Datos Personales, así como la determinación de los propósitos y medios del procesamiento de dichos Datos Personales.

Accept Mission no es responsable del contenido de los Datos personales contenidos en los Datos del cliente u otra información almacenada en sus servidores (o los servidores de sus subcontratistas) a discreción del Cliente, ni tampoco Accept Mission es responsable porque el Cliente o el Usuario recopila , maneja la divulgación, distribuye o procesa dicha información.

Mientras proporciona los Servicios al Cliente de conformidad con los TdS, Accept Mission puede procesar Datos personales en nombre del Cliente. Accept Mission acepta cumplir con las siguientes disposiciones con respecto a los Datos personales enviados por o para el Cliente al Servicio o recopilados y procesados por o para el Cliente a través del Servicio.

2. generales

  1. Usted confirma que acepta este DPA en su calidad de Cliente personal o Cliente comercial.
  2. Si acepta este DPA como Cliente comercial, confirma que tiene la autoridad para vincular a la entidad que representa como Cliente a este DPA.
  3. Este Acuerdo de procesamiento de datos establece los derechos y obligaciones que se aplican al manejo de datos personales por parte de Accept Mission en nombre del Cliente.
  4. El presente Acuerdo ha sido diseñado para garantizar el cumplimiento por las Partes del artículo 28, apartado 3, del Reglamento 2016/679 del Parlamento Europeo y del Consejo (incluido, entre otros, el artículo 28) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por la que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que establece requisitos específicos para el contenido de los acuerdos de tratamiento de datos.
  5. El procesamiento de datos personales por parte de Accept Mission tendrá lugar con el fin de cumplir con los Términos de servicio, a partir de la fecha en que usted, como Cliente, acepte electrónicamente o de otro modo acepte Nuestros Términos de servicio.
  6. La duración de este Pedido o Contrato corresponde a la duración de los TdS. Esto sin perjuicio del derecho a la rescisión del contrato por causa justificada y sin preaviso. Tal causa existe en particular, si una obligación bajo este acuerdo o las disposiciones del RGPD se violan intencionalmente o por negligencia grave.
  7. Este Acuerdo de procesamiento de datos tendrá prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las Partes, incluidos los Términos de servicio. Deben prevalecer las cláusulas contractuales estándar de la UE, si corresponde.
  8. Se adjuntan tres apéndices a este Acuerdo de procesamiento de datos. Los Apéndices forman parte integral de este Acuerdo de procesamiento de datos.
  9. El Apéndice A del Acuerdo de procesamiento de datos contiene detalles sobre el procesamiento, así como el propósito y la naturaleza del procesamiento, el tipo de datos personales, las categorías de interesados y la duración del procesamiento.
  10. El Apéndice B del Acuerdo de procesamiento de datos contiene los términos y condiciones que se aplican al uso de Subprocesadores por parte de Accept Mission y una lista de Subprocesadores aprobados.
  11. El Apéndice C del Acuerdo de procesamiento de datos contiene instrucciones sobre el procesamiento que Accept Mission debe realizar en nombre del Cliente (el sujeto del procesamiento), las medidas mínimas de seguridad y cómo se debe realizar la inspección con Accept Mission y cualquier Subprocesador.
  12. Este Acuerdo de procesamiento de datos no eximirá a Accept Mission de las obligaciones a las que Accept Mission está sujeto de conformidad con el Reglamento General de Protección de Datos u otra legislación.

3. Derechos y obligaciones del cliente como controlador de datos

  1. El Cliente será responsable ante el mundo exterior (incluido el interesado) de garantizar que el procesamiento de datos personales se realice en el marco del Reglamento General de Protección de Datos y, además, la Ley de Protección de Datos Aplicable.
  2. Por lo tanto, el Cliente tendrá tanto el derecho como la obligación de tomar decisiones sobre los propósitos y medios del procesamiento de datos personales.
  3. El Cliente será responsable de garantizar que el procesamiento que se le ordene a Accept Mission que realice esté autorizado por la ley.

4. Aceptar los actos de la Misión según las instrucciones

  1. A Accept Mission solo se le permitirá procesar datos personales siguiendo instrucciones documentadas del Cliente, a menos que el procesamiento sea requerido por la legislación de la UE o de los Estados miembros a la que esté sujeto Accept Mission; en este caso, Accept Mission informará al Cliente de este requisito legal antes del procesamiento, a menos que la ley prohíba dicha información por motivos importantes de interés público, cf. Artículo 28, inciso 3, inciso a.
  2. Accept Mission informará inmediatamente al Cliente si las instrucciones en opinión de Accept Mission contravienen el Reglamento general de protección de datos o las disposiciones de protección de datos contenidas en otras leyes de la UE o de los Estados miembros.
  3. Accept Mission pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este Addendum y en el art. 28 del RGPD y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente u otro auditor autorizado por el Cliente, de conformidad con el Apéndice B, Sección "Informes de inspección y auditoría".

5. Confidencialidad

  1. Accept Mission se asegurará de que solo aquellas personas que actualmente están autorizadas para hacerlo puedan acceder a los datos personales que se procesan en nombre del Cliente. Por lo tanto, se denegará sin demora el acceso a los datos si dicha autorización se retira o caduca.
  2. Solo se proporcionará autorización a las personas que requieran acceso a los datos personales para cumplir con las obligaciones de Aceptar Misión al Cliente. Para evitar dudas, el acceso se basará en los principios de "necesidad de saber" y "acceso menos privilegiado", y que dichas personas hayan recibido capacitación e instrucciones adecuadas con respecto al procesamiento de datos personales. Accept Mission proporcionará al Cliente, previa solicitud, prueba de la ejecución de los acuerdos de confidencialidad con el personal que pueda tener acceso a los Datos Personales del Cliente, así como prueba de capacitación periódica en el campo de la protección de datos personales.
  3. Accept Mission se asegurará de que las personas autorizadas para procesar datos personales en nombre del Cliente se hayan comprometido a observar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

6. Seguridad del tratamiento

  1. Accept Mission tomará todas las medidas requeridas de conformidad con el Artículo 32 del Reglamento General de Protección de Datos que estipula que, teniendo en cuenta el nivel actual, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento y el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Cliente y el Encargado implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  2. Dependiendo de su relevancia, las medidas pueden incluir las siguientes:
  3. Seudonimización y cifrado de datos personales
  4. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento.
  5. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
  6. Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
  7. Para garantizar lo anterior, Accept Mission deberá, en todos los casos, implementar como mínimo el nivel de seguridad y las medidas especificadas en el Apéndice C de este Acuerdo de procesamiento de datos.

7. Asistencia al Cliente

  1. Aceptar Misión, teniendo en cuenta la naturaleza del procesamiento, asistirá razonablemente al Cliente con las medidas técnicas y organizativas apropiadas, en el cumplimiento de las obligaciones del Cliente para responder a las solicitudes para el ejercicio de los derechos de los interesados de conformidad con el Capítulo 3 de los Datos Generales. Reglamento de Protección.

Esto implica que Accept Mission debe asistir razonablemente al Cliente en el cumplimiento del Cliente con:

  1. obligación de notificación en la recogida de datos personales del interesado
  2. obligación de notificación si los datos personales no se han obtenido del interesado
  3. derecho de acceso del interesado
  4. el derecho a la rectificación
  5. el derecho a borrar ('el derecho a ser olvidado')
  6. el derecho a restringir el procesamiento
  7. obligación de notificación relativa a la rectificación o supresión de datos personales o limitación del tratamiento
  8. el derecho a la portabilidad de los datos
  9. el derecho a oponerse
  10. el derecho a oponerse al resultado de la toma de decisiones individual automatizada, incluida la elaboración de perfiles

Para evitar dudas, Accept Mission notificará de inmediato al Cliente y posteriormente le proporcionará al Cliente toda la información pertinente, en caso de: (i) cualquier solicitud o queja de un tercero (incluidas organizaciones o asociaciones) con respecto al procesamiento de datos personales por parte de Accept Misión en nombre del Cliente; o (ii) cualquier autoridad supervisora o solicitudes gubernamentales de acceso, información, auditoría o cualquier otra acción regulatoria (incluido solo el aviso de intención) con respecto al procesamiento de datos personales realizado por Accept Mission en el contexto del Acuerdo de servicios. En caso de que Accept Mission reciba directamente dicha solicitud o queja, Accept Mission notificará de inmediato al Cliente y en ningún caso responderá directamente, a menos que tenga instrucciones previas por escrito del Cliente.

  1. Accept Mission ayudará al Cliente a garantizar el cumplimiento de las obligaciones del Cliente de conformidad con los artículos 32 a 36 del Reglamento general de protección de datos, teniendo en cuenta la naturaleza del procesamiento y los datos puestos a disposición de Accept Mission, cf. Artículo 28, inciso 3, inciso f.

Esto implica que Accept Mission debe, teniendo en cuenta la naturaleza del procesamiento, asistir razonablemente al Cliente en el cumplimiento del Cliente con:

  1. la obligación de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo asociado con el procesamiento
  2. la obligación de informar las violaciones de datos personales a la autoridad de control sin demora indebida y, si es posible, dentro de las 72 horas posteriores a que el Cliente descubra dicha violación, a menos que sea poco probable que la violación de datos personales resulte en un riesgo para los derechos y libertades de las personas físicas
  3. la obligación, sin demoras indebidas, de comunicar la violación de datos personales al interesado cuando sea probable que dicha violación resulte en un alto riesgo para los derechos y libertades de las personas físicas
  4. la obligación de llevar a cabo una evaluación de impacto de la protección de datos si es probable que un tipo de procesamiento resulte en un alto riesgo para los derechos y libertades de las personas físicas
  5. la obligación de consultar con la autoridad de control antes del procesamiento si una evaluación de impacto de protección de datos muestra que el procesamiento conducirá a un alto riesgo en la falta de medidas tomadas por el Cliente para limitar el riesgo

8. Notificación de violación de datos personales

  1. Al descubrir una violación de datos personales en las instalaciones de Accept Mission o las instalaciones de un subprocesador, Accept Mission notificará sin demora indebida al Cliente. La notificación de Accept Mission al Cliente se realizará, si es posible, dentro de las 48 horas posteriores a que Accept Mission haya descubierto el incumplimiento para que el Cliente pueda cumplir con su obligación, si corresponde, de informar el incumplimiento a la autoridad de control dentro de las 72 horas inmediatamente y en cualquier caso .

Ello puede implicar que Accept Mission esté obligada a colaborar en la obtención de la información que se detalla a continuación y que, de conformidad con el artículo 33, inciso 3, del Reglamento General de Protección de Datos, se hará constar en el informe del Cliente a la autoridad de control:

  1. La naturaleza de la violación de datos personales, incluidas, si es posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados
  2. Probables consecuencias de una violación de datos personales
  3. Medidas que se han tomado o se proponen para gestionar la violación de datos personales, incluidas, en su caso, medidas para limitar su posible daño

9. Borrado y devolución de datos

Al finalizar los servicios de procesamiento, Accept Mission estará obligado, a discreción del Cliente, a borrar o devolver todos los datos personales al Cliente y a borrar las copias existentes, a menos que la legislación de la UE o de los Estados miembros exija el almacenamiento de los datos personales.

10. Comienzo y terminación

  1. Este Acuerdo de procesamiento de datos entrará en vigencia en la fecha en que el Cliente acepte electrónicamente o de otro modo acepte Nuestros términos de servicio.
  2. Este Acuerdo de procesamiento de datos puede rescindirse de acuerdo con los términos y condiciones de rescisión, incl. aviso de rescisión, especificado en los TdS sujeto a la Sección 2.6 (ver arriba).
  3. Este Acuerdo de procesamiento de datos se aplicará mientras se realice el procesamiento. Independientemente de la terminación de los TdS y/o este Acuerdo de procesamiento de datos, el Acuerdo de procesamiento de datos permanecerá en vigor hasta la terminación del procesamiento y el borrado de los datos por parte de Accept Mission y cualquier subprocesador.
  4. Los incumplimientos de este Anexo se considerarán incumplimientos del Acuerdo de servicios. Cada Parte será responsable de sus propios incumplimientos de la ley de protección de datos aplicable y deberá indemnizar a la otra en consecuencia en caso de que la otra parte sufra daños a raíz de dicho incumplimiento.

Responsable del tratamiento y contacto del encargado del tratamiento

  1. El cliente puede ponerse en contacto con Accept Mission en [email protected]
  1. Accept Mission puede ponerse en contacto con el Cliente utilizando la información de contacto almacenada en su Cuenta.

Apéndice A

El Apéndice A del Acuerdo de procesamiento de datos contiene detalles sobre el procesamiento, así como el propósito y la naturaleza del procesamiento, el tipo de datos personales, las categorías de interesados y la duración del procesamiento.

1. Controlador de datos

El responsable del tratamiento es un Cliente del software, servicios, sistemas y/o tecnologías de comunicación y productividad de Accept Mission.

2. Procesador de datos

El encargado del tratamiento es Accept Mission ApS, como proveedor de software, servicios, sistemas y/o tecnologías de comunicación y productividad.

3. Interesados

Los datos personales procesados a efectos del Acuerdo de servicios se refieren a las siguientes categorías de interesados:

Usuarios del Servicio

4. Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos:

Para usuarios finales

Podemos recopilar los siguientes datos personales para los usuarios finales de los Clientes

Registro de usuario final e información de contacto
  • Nombre del usuario final
  • Correo electrónico del usuario final
Datos de servicio del usuario final
  • IP del usuario final
  • URL del usuario final
  • Referencia del usuario final
  • Navegador de usuario final
  • Dispositivo de usuario final
  • Eventos de usuario final
  • Configuración del usuario final
Contenido del usuario final

todos los datos e información enviados por los Usuarios finales a los Servicios e incluye mensajes de texto, archivos, comentarios y enlaces, pero no incluye productos de terceros ni el Servicio.

Para clientes

Podemos recopilar los siguientes datos personales de los Clientes.

Información personal del cliente
  • Nombre de contacto del cliente
  • Correo electrónico de contacto del cliente
Información de pago del cliente:
  • Detalles de la tarjeta de crédito
  • IP de contacto del cliente
  • Dirección del cliente

5. Categorías especiales de datos

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos:

  • ninguna

El Exportador de datos puede enviar datos personales al Importador de datos a través de los Servicios, cuyo alcance está determinado y controlado por el Exportador de datos de conformidad con la Ley de protección de datos aplicable y que puede referirse a las siguientes categorías especiales de datos, si corresponde:

  • origen racial o étnico;
  • opiniones políticas;
  • creencias religiosas o filosóficas;
  • afiliación sindical;
  • datos genéticos o biométricos;
  • salud; y
  • vida sexual

6. Operaciones de procesamiento

Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento:

  • Según sea necesario para completar un contrato por el Servicio

7. Naturaleza y Finalidad del Tratamiento

Más detalladamente, Accept Mission pone su Servicio a disposición del Cliente y, por la presente, almacena y procesa Datos personales sobre el Cliente en nuestra infraestructura de Servicio para facilitar la autenticación rápida, la comunicación y una medida de seguridad para los Usuarios del Servicio.

Accept Mission enviará correos electrónicos a las personas invitadas a la plataforma, permitirá que las personas se conviertan en Miembros del Espacio a discreción del Cliente y permitirá que los Miembros compartan Contenido en el Espacio con el objetivo de promover la innovación y el intercambio de ideas para el Cliente.

El Cliente puede utilizar Nuestro Servicio, propiedad de Accept Mission, desarrollado y administrado por ésta, para facilitar el intercambio de ideas, la recopilación, los comentarios, la clasificación, la priorización, la asignación y el seguimiento. En esto, el Cliente y cualquier dato personal y Contenido enviado por el Cliente es procesado por Accept Mission en nombre del Cliente.

Los Datos Personales transferidos se procesarán de acuerdo con los TdS y pueden estar sujetos a las siguientes actividades de procesamiento:

  • almacenamiento, cifrado, descifrado, copia de seguridad, restauración y almacenamiento en caché necesarios para proporcionar, mejorar, mantener y actualizar los Servicios proporcionados al Exportador de datos;
  • para proporcionar asistencia técnica y al cliente al exportador de datos; y
  • divulgaciones de acuerdo con el Acuerdo, según lo exige la ley
  • el procesamiento de datos continuará hasta que el Cliente solicite la eliminación

Usted acepta que los empleados de Accept Mission pueden usar hallazgos agregados sobre actividades y Contenido en el Servicio para optimizar continuamente el rendimiento y la presentación del Servicio. Nos reservamos el derecho de publicar nuestros hallazgos en un nivel agregado anónimo. Un ejemplo de hallazgo anonimizado sería el estudio de cuántas personas, en general, comentan una idea que también les ha gustado. También conservamos el derecho, pero no la obligación, de acceder directamente a los datos de su cuenta o a un espacio de trabajo por invitación de un miembro de un espacio de trabajo con fines de mantenimiento técnico, supervisión o investigación del contenido, así como asistencia general al cliente. Cualquier comentario o prueba analítica circunstancial proporcionada a sabiendas o que resulte sin saberlo del uso de nuestro Servicio puede ser explotada y compartida libremente por Nosotros para mejorar Nuestro Servicio o tecnología sin que esto resulte en que Usted tenga o reciba ningún derecho o propiedad de ellos.

apéndice B

1. Términos del uso de Subprocesadores por parte de Accept Mission

Accept Mission tiene el consentimiento general del Cliente para la contratación de los Subprocesadores ya contratados, a la fecha de este Anexo y como se indica en este Apéndice B.

2. Subprocesadores

Como Procesador de datos, Accept Mission garantiza que los Subprocesadores estén sujetos a obligaciones de protección de datos no menos protectoras que las especificadas en este Acuerdo de procesamiento de datos sobre la base de un contrato u otro documento legal según la legislación de la UE o la legislación nacional de los Estados miembros, en particular proporcionando las garantías necesarias de que el Subencargado implementará las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos del Reglamento General de Protección de Datos.

El Cliente reconoce y acepta que (i) los Afiliados de Accept Mission pueden conservarse como Subprocesadores, y (ii) Accept Mission y los Afiliados de Accept Mission, respectivamente, pueden contratar Subprocesadores de terceros en relación con la prestación de los Servicios. Accept Mission o un Afiliado de Accept Mission han celebrado un acuerdo por escrito con cada Subprocesador que contiene obligaciones de protección de datos no menos protectoras que las de este Acuerdo y la ley aplicable con respecto a la protección de los Datos del cliente en la medida aplicable a la naturaleza de los Servicios prestados por dicho subprocesador. Si, en el desempeño de este DPA, Accept Mission transfiere Datos personales a un subprocesador ubicado fuera del EEE, Accept Mission deberá, antes de dicha transferencia, asegurarse de que exista un mecanismo legal para lograr la adecuación con respecto a ese procesamiento. esta en su lugar.

3. Lista de subprocesadores

Accept Mission pondrá a disposición del Cliente la lista actual de Sub-Procesadores para los Servicios. Dichas listas de subprocesadores incluirán una especificación de la entidad legal de esos subprocesadores y la ubicación de los datos del cliente.

4. Cambios en los Subprocesadores

Accept Mission informará al Cliente por escrito de cualquier cambio previsto con respecto a la adición o reemplazo de subprocesadores con al menos 30 días de anticipación.

5. Derecho de oposición

Accept Mission le dará al Cliente la oportunidad de oponerse a la contratación de los nuevos Subprocesadores dentro de los 30 días posteriores a la notificación. La objeción debe basarse en motivos razonables. Si Accept Mission y el Cliente no pueden resolver dicha objeción, cualquiera de las partes puede rescindir el Acuerdo mediante notificación por escrito a la otra parte. El cliente recibirá un reembolso de cualquier tarifa prepaga pero no utilizada durante el período posterior a la fecha de vigencia de la rescisión.

Cuando Accept Mission contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas en nombre del Cliente, Accept Mission se asegurará de que se impongan a ese subprocesador las mismas obligaciones de protección de datos que se establecen en este Anexo, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de este Anexo y la Ley de Protección de Datos Aplicable.

Previa solicitud, se pondrá a disposición del Cliente una copia de dicho acuerdo de subprocesador y las modificaciones posteriores, con la excepción de las cláusulas sobre cuestiones relacionadas con el negocio que no afectan el contenido legal de protección de datos del acuerdo de subprocesador.

Accept Mission mantendrá en todo momento una lista actualizada de todos los subprocesadores utilizados, incluidos en cada caso los detalles requeridos en este Apéndice B, y pondrá esta lista a disposición del Cliente a pedido.

Accept Mission será responsable de los actos y omisiones de cualquier subprocesador en la misma medida que si los actos u omisiones fueran realizados por Accept Mission. Esto no afecta a los derechos de los interesados en virtud de la Ley de Protección de Datos Aplicable.

6. Transferencias internacionales

Accept Mission podrá transferir y procesar Datos del Cliente en cualquier parte del mundo donde Accept Mission, sus Filiales o sus Subprocesadores mantengan operaciones de procesamiento de datos, luego de haber informado previamente y obtenido el consentimiento del Cliente. Accept Mission proporcionará en todo momento un nivel adecuado de protección para los Datos del Cliente procesados, de acuerdo con los requisitos de las Leyes de Protección de Datos. Específicamente, Accept Mission garantizará una base legal válida para dicha transferencia, como se describe en el Capítulo 5 del RGPD y los artículos 4549 del mismo.

Sin perjuicio del proceso de notificación y aprobación mencionado anteriormente, Accept Mission puede introducir la transferencia de datos a terceros países que se encuentran fuera del Espacio Económico Europeo ("EEE"), si Accept Mission ha implementado una solución de transferencia que cumple con la Protección de datos aplicable. Ley.

Cuando dicha solución de transferencia se base en las Cláusulas modelo de la Comisión de la UE, Accept Mission proporcionará al Cliente una evaluación del impacto de la transferencia, incluidos detalles sobre las ubicaciones de procesamiento, las actividades de procesamiento que se llevarán a cabo, los tipos de datos, cualquier garantía adicional y medidas (técnicas, organizativas y contractuales) que se implementarán, así como la evaluación de riesgos de Accept Mission sobre el subprocesador y/o la transferencia previstos. Dicha notificación se realizará antes de la implementación de la transferencia, y el Cliente tendrá al menos 90 días para revisarla. El Cliente podrá rechazar la transferencia, parcial o totalmente, en cuyo caso Accept Mission no contratará ni realizará la transferencia prevista. Si los servicios contratados no pueden realizarse sin dicha transferencia, el Cliente tendrá la opción de rescindir el Acuerdo de Servicios y la Adenda, total o parcialmente, según se requiera, sin penalización alguna.

Apéndice C

El Apéndice C del Acuerdo de procesamiento de datos contiene instrucciones sobre el procesamiento que Accept Mission debe realizar en nombre del Cliente (el sujeto del procesamiento), las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4 (d) y 5(c) cómo se realizará la inspección con Accept Mission y cualquier Subprocesador.

Accept Mission ha implementado un programa interno de seguridad de la información que cubre la seguridad de los datos y la red, los controles de acceso y del sitio, la seguridad del personal y del subprocesador.

1. Aceptar los controles de seguridad de la misión

  • Seguridad física – Accept Mission utiliza centros de datos físicamente seguros. Todos los centros de datos cumplen o superan los requisitos de seguridad de SOC2. Todos los centros de datos están equipados con CCTV, personal de seguridad en el lugar las 24 horas, los 7 días de la semana y sistema de acceso con tarjeta. Accept Mission utiliza centros de datos distribuidos geográficamente para las copias de seguridad.
  • Redundancia – La infraestructura de Accept Mission permite el mantenimiento y las mejoras con un tiempo de inactividad mínimo.
  • Fuente de alimentación – Los centros de datos de Accept Mission están equipados con energía de respaldo y fuentes de alimentación ininterrumpidas que pueden durar días.
  • parches – Accept Mission ha establecido una política para mantener los sistemas actualizados con las actualizaciones de seguridad necesarias.
  • Continuidad del negocio – los datos se replican y se respaldan en múltiples sistemas para ayudar a proteger contra la destrucción o pérdida no deseada de datos. Los procedimientos de restauración de copias de seguridad y los planes de continuidad comercial se prueban anualmente.
  • Datos en tránsito – Accept Mission utiliza esquemas y protocolos de cifrado estándar de la industria para cifrar las transmisiones de datos entre los centros de datos.
  • Detección de intrusos – Accept Mission emplea un sistema de detección de intrusos para proporcionar información sobre las actividades de ataque en curso y para ayudar a remediar el ataque más rápido.
  • Respuesta al incidente – Accept Mission ha establecido protocolos para el manejo de incidentes y brechas de seguridad e informará a las partes involucradas.
  • Cifrado – Accept Mission utiliza métodos de encriptación estándar de la industria para encriptar datos en tránsito y en reposo.
  • Control de acceso – El personal de Accept Mission debe autenticarse a través de un sistema de autenticación central o mediante un sistema de inicio de sesión único para poder administrar los Servicios.
  • Seguridad de contraseña – Accept Mission requiere el uso de identificaciones únicas, contraseñas seguras y autenticación de dos factores.
  • Revisión de acceso – El acceso se rige por una política interna de privilegios mínimos y revisiones de acceso.
  • Pista de auditoría – Aceptar el acceso de los registros de Mission a sus sistemas a través de un registro de auditoría inmutable.
  • Separación de datos – Accept Mission separa los datos del cliente en un entorno multiinquilino a través de claves de cifrado separadas.
  • Borrado de disco – Los discos dados de baja se borran de forma segura después de su uso previsto o se destruyen de forma segura en caso de mal funcionamiento.
  • Personal – Aceptar El personal de Mission se adhiere a las políticas de la empresa con respecto a la privacidad, la seguridad, la ética y un código de conducta profesional.
  • Verificaciones de antecedentes – Accept Mission realiza verificaciones de antecedentes con las nuevas contrataciones.
  • Acceso a los datos – Aceptar El personal de Mission no accederá ni procesará el Contenido del Cliente sin la autorización explícita del Cliente, a menos que lo exija la ley.
  • Seguridad del subprocesador – Accept Mission lleva a cabo revisiones de las prácticas de seguridad y privacidad de los subprocesadores antes de incorporar a los subprocesadores para garantizar un nivel adecuado de seguridad y privacidad de los datos y el alcance de los servicios que están comprometidos a proporcionar. Una vez que se realiza la revisión del Subprocesador y se evalúa el riesgo asociado, el Subprocesador celebra los términos del contrato de privacidad, confidencialidad y seguridad adecuados.

2. Límites de almacenamiento y borrado

El procesamiento no estará limitado en el tiempo y se realizará hasta que una de las Partes rescinda o cancele este Acuerdo de procesamiento de datos.

Los datos personales se almacenan con Accept Mission hasta que el Cliente o un Miembro solicita que sus datos se borren o se devuelvan. Accept Mission permite a los Clientes exportar sus datos sin procesar en cualquier momento en el formato JSON estándar de la industria. Además, los datos del cliente se pueden eliminar a pedido en el momento de la rescisión o se eliminarán de acuerdo con las políticas internas de retención de datos de Accept Mission.

3. Informes de Inspección y Auditoría

Accept Mission proporcionará respuestas por escrito (de manera confidencial) a las solicitudes de información realizadas por el Cliente, incluidas las respuestas a los cuestionarios de auditoría y seguridad de la información que sean necesarios para confirmar el cumplimiento de Accept Mission con este DPA, siempre que el Cliente no ejerza este derecho más de una vez al año, a menos que Accept Mission haya tenido un incidente de seguridad, en cuyo caso el Cliente tiene derecho a realizar una auditoría sin demoras indebidas.

A pedido del Cliente, y sujeto a las obligaciones de confidencialidad establecidas en el apéndice de procesamiento de datos, Accept Mission pondrá a disposición del Cliente que no sea un competidor de Accept Mission (o del auditor externo independiente del Cliente que no sea un competidor de Accept Mission). ) información sobre el cumplimiento por parte de Accept Mission de las obligaciones establecidas en el DPA.

El Cliente tiene derecho a comunicarse con Accept Mission para solicitar una auditoría remota o in situ de la arquitectura, las instalaciones, los datos y los registros (incluidas las herramientas), los sistemas y los procedimientos relevantes para las actividades de procesamiento realizadas por Accept Mission en nombre de los Datos personales del Cliente. El Cliente será responsable de los costos asociados con la realización de dicha auditoría, a menos que después de su realización se demuestre que Accept Mission incumplió este Anexo o las Leyes de protección de datos aplicables. En tal caso, Accept Mission asumirá todos los costos asociados con la realización de la auditoría.

Antes del comienzo de dicha auditoría in situ, el Cliente y Accept Mission acordarán mutuamente el alcance, el momento y la duración de la auditoría. El cliente deberá notificar de inmediato a Accept Mission con información sobre cualquier incumplimiento descubierto durante el curso de una auditoría. Este procedimiento podrá iniciarse como máximo una vez al año y con un mínimo de treinta (30) días de antelación a Accept Mission, salvo que Accept Mission tuviera un incidente de seguridad, en cuyo caso el Cliente tiene derecho a realizar una auditoría sin demoras indebidas.

4. Cifrado del Contenido del Cliente

En la base de datos, encriptamos contenido que no se puede buscar, como contraseñas, pero no encriptamos su contenido de otra manera para que pueda buscar entre miembros y contenido siempre que necesite encontrar esa idea específica.

Cuando un usuario utiliza el servicio Accept Mission, los detalles de sus interacciones se capturan y envían a Accept Mission a través de llamadas API a través de HTTPS. Todas nuestras otras API y sitios web también usan HTTPS exclusivamente. Todo lo que el Cliente y el Usuario envían a Accept Mission, y todo lo que Accept Mission envía al Cliente y al Usuario se envía a través de canales completamente encriptados. Accept Mission emplea el protocolo Transport Layer Security con encriptación RSA-2048 para mantener nuestra comunicación privada.

Google Cloud Platform cifra los datos de los clientes almacenados en reposo de forma predeterminada. Los datos en Google Cloud Platform se dividen en fragmentos de subarchivos para su almacenamiento, y cada fragmento se cifra en el nivel de almacenamiento con una clave de cifrado individual. La clave utilizada para cifrar los datos en un fragmento se denomina clave de cifrado de datos (DEK). Debido al gran volumen de claves en Google y la necesidad de baja latencia y alta disponibilidad, estas claves se almacenan cerca de los datos que cifran. Las DEK están encriptadas con (o “envueltas” por) una clave de encriptación de clave (KEK). Para obtener más información, consulte https://cloud.google.com/security/#dataencryption.

5. Separación de datos de clientes

El acceso se otorga mediante el envío de un token de autenticación en las solicitudes. Este token luego tiene un conjunto de asignaciones basadas en el rango del Usuario y los Espacios, Misiones y todos los demás Contenidos a los que el Usuario tiene acceso.

Esto proporciona una separación lógica entre los datos que pertenecen a varios usuarios. Accept Mission es el único inquilino de nuestra infraestructura. Los datos de un Cliente pueden residir en sistemas de bases de datos que albergan datos que pertenecen a otros clientes, pero nuestros controles lógicos (token, clave y secreto) separan a un Usuario de los datos de otro Usuario.

6. Inicio de sesión único y autenticación multifactor

Accept Mission es compatible con el inicio de sesión único de SAML. Según el proveedor de inicio de sesión único que tenga el Cliente, la autenticación multifactor es una opción que el Cliente puede habilitar con su proveedor de inicio de sesión único. Los detalles sobre cómo habilitar el inicio de sesión único se pueden encontrar en la configuración de acceso.

7. Ubicación y Almacenamiento de Datos del Cliente

GDPR no requiere que los datos personales deban permanecer en la UE siempre que exista un marco legal para validar la transferencia de datos; El RGPD reconoce varios marcos, incluidas las cláusulas contractuales estándar de la UE.

Los servidores de aplicaciones y bases de datos de Accept Mission están ubicados dentro de la Unión Europea, específicamente en Frankfurt, Alemania, en los servidores de Google Inc. Esto significa que, en reposo, su Contenido nunca saldrá de la UE.

El Servicio en sí puede prestarse utilizando equipos o instalaciones ubicadas en la Unión Europea o los Estados Unidos. Los Subprocesadores de EE. UU. han ejecutado Cláusulas contractuales estándar (aprobadas por la Comisión Europea) que brindan bases legales para garantizar que, cuando se procesen en los Estados Unidos, los datos personales de los ciudadanos de la UE que se procesan al usar el Servicio recibirán una adecuada nivel de protección en el sentido del artículo 46 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos). Estos subprocesadores almacenan y procesan parcialmente los datos personales.

Google es nuestro proveedor de alojamiento de producción. Los discos duros de Google aprovechan tecnologías como FDE (cifrado de disco completo) y bloqueo de unidades para proteger los datos en reposo. Cuando se retira un disco duro, las personas autorizadas verifican que el disco se borre escribiendo ceros en el disco y realizando un proceso de verificación de varios pasos para garantizar que el disco no contenga datos. Si la unidad no se puede borrar por algún motivo, se almacena de forma segura hasta que se pueda destruir físicamente. La destrucción física de discos es un proceso de varias etapas que comienza con una trituradora que deforma la unidad, seguida de una trituradora que rompe la unidad en pedazos pequeños, que luego se reciclan en una instalación segura. Cada centro de datos se adhiere a una estricta política de eliminación y cualquier variación se aborda de inmediato.

8. Comprobaciones y escaneos de seguridad

Accept Mission ejecuta escaneos de seguridad regulares a través de un servicio de terceros, y nuestro código fuente se verifica automáticamente a medida que se confirma. Cada vez que Accept Mission actualiza cualquiera de las dependencias del código externo, Accept Mission realiza una auditoría de seguridad completa para verificar que no hayan ingresado vulnerabilidades en la base del código de Accept Mission. Accept Mission también se suscribe a varias listas de correo de seguridad para el software que utiliza Accept Mission. Este último garantiza que Accept Mission esté siempre al tanto de las vulnerabilidades descubiertas recientemente y pueda implementar soluciones alternativas o parches disponibles.

9. Tratamiento de los Datos del Cliente por parte del Personal

El acceso al almacén de datos está restringido a un número muy pequeño de personas, y Accept Mission no tiene forma de "suplantar" o ver el Contenido a través de una interfaz de cambio de cuenta o verlo a través de la interfaz de usuario administrador.

En los casos en que Accept Mission necesite solucionar errores, Accept Mission lo probará en un entorno de desarrollo u obtendrá un permiso explícito del Cliente para acceder a la cuenta (generalmente al pedirle que invite manualmente a nuestra cuenta de soporte como miembro de su cuenta, que se puede eliminar en en cualquier momento) o solicitando compartir pantalla. El acceso y las solicitudes de acceso a las bases de datos y la infraestructura del servidor de Aceptar misión y todas las confirmaciones de cambio de código se registran por motivos de seguridad.

Como se describe en nuestros Términos de servicio, el personal de soporte tiene acceso a cierta información de contacto y registros de actividad de forma predeterminada para poder atender al Cliente de la mejor manera posible. El acceso a este tipo de datos está restringido con autenticación de dos factores en todo momento y los Datos Personales no se venden a terceros.

10. Replicación de Datos del Cliente

Accept Mission crea copias de seguridad de los datos del cliente tres veces al día y conserva estas copias de seguridad hasta por un mes. En caso de un incidente de seguridad, técnico, físico o de pérdida de datos, las reversiones de los Datos del Cliente pueden iniciarse de manera oportuna.