Anexo de Procesamiento de Datos del Cliente de Secureframe
Última actualización: 25 de mayo de 2023
Este Anexo de Procesamiento de Datos, incluidos sus anexos y las Cláusulas Contractuales Tipo (colectivamente, el "DPA"), se incorpora y está sujeto a los términos y condiciones de los Términos de Servicio de Secureframe ("Acuerdo") entre la entidad contratante de Secureframe identificada en el Acuerdo ("Secureframe") y la parte identificada como el cliente en el Acuerdo ("Cliente") en virtud del cual Secureframe proporciona ciertos servicios al Cliente.
Todos los términos en mayúscula que no estén definidos en este DPA tendrán los significados establecidos en el Acuerdo. Este DPA es complementario al Acuerdo y establece las funciones y obligaciones que se aplican cuando Secureframe procesa datos personales en nombre del Cliente al proporcionar los servicios protegidos por la Ley de Protección de Datos Aplicable bajo el Acuerdo.
Al celebrar el Acuerdo, el Cliente entra en este DPA y las Cláusulas Contractuales Tipo (según sea aplicable y como se define a continuación) en nombre propio y, en la medida requerida bajo la Ley de Protección de Datos Aplicable, en nombre y representación de sus Afiliados (si los hubiera) autorizados a usar los servicios. A los efectos de este DPA solamente, y excepto donde se indique lo contrario, el término "Cliente" incluirá al Cliente y dichos Afiliados.
Las partes acuerdan lo siguiente:
1. Definiciones
1.1. "Afiliados" significa una entidad que directa o indirectamente controla, es controlada por o está bajo el control común con una entidad. "Control" significa una participación de propiedad, de voto o interés similar que represente el cincuenta por ciento (50%) o más del total de intereses (medidos en una base totalmente diluida) entonces en circulación de la entidad en cuestión. El término "Controlado" se interpretará en consecuencia.
1.2. "Ley de Protección de Datos Aplicable" significa todas las leyes y regulaciones de protección de datos y privacidad aplicables a la provisión de servicios de Secureframe a sus clientes en general, incluyendo, sin limitación, la Ley Europea de Protección de Datos y la Ley Estadounidense de Protección de Datos (sin considerar el uso particular de los servicios por parte del Cliente).
1.3. "Controlador" significa una entidad que sola o conjuntamente con otros determina los propósitos y medios del procesamiento de datos personales. A los efectos de este DPA, un Controlador incluye un "negocio" como dicho término se define bajo la Ley Estadounidense de Protección de Datos o una designación similar bajo la Ley de Protección de Datos Aplicable.
1.4. "Datos del Cliente" significa cualquier dato personal procesado por Secureframe de acuerdo con la Sección 2.1 de este DPA en conexión con los servicios, y como se describe de manera más particular en los Anexos 1 y 2 de este DPA (según sea aplicable).
1.5. "Europa" significa, a los efectos de este DPA, los estados miembros del Área Económica Europea ("EEE"), Suiza y el Reino Unido ("Reino Unido").
1.6. "European Data Protection Law" means (i) Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data (General Data Protection Regulation) ("EUGDPR"); (ii) the EU GDPR as saved into UK law by virtue of section 3 of the UK's European Union (Withdrawal) Act 2018 and the UK Data Protection Act 2018 (collectively referred to for these purposes as the "UK GDPR"); (iii) the Swiss Federal Data Protection Act of 19 June 1992 and its corresponding ordinances ("Swiss DPA"); (iv) the e-Privacy Directive (Directive 2002/58/EC); (v) any applicable national data protection laws made under or pursuant to or that apply in conjunction with (i), (ii), (iii) or (iv) (in each case, as superseded, amended or replaced from time to time).
1.7. “Personal Data” means all information relating to an identified or identifiable natural person or consumer ("Data Subject"), including any data or information that is deemed “personal data”, "personally identifiable information" and/or “personal information” under Applicable Data Protection Law.
1.8. "Process," "Processes," "Processing," "Processed" means any operation or set of operations which is performed on Personal Data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination, or otherwise making available, alignment or combination, restriction, erasure, destruction, or creating information from, Personal Data.
1.9. "Processor" means an entity that Processes Personal Data on behalf, and in accordance with the instructions, of a Controller. For purposes of this DPA, a Processor includes a "service provider" as such term is defined by US Data Protection Law, or any similar or analogous designation under Applicable Data Protection Law.
1.10. "Restricted Transfer" means: (i) where the GDPR applies, a transfer of Personal Data from the EEA to a country outside of the EEA which is not subject to an adequacy determination by the European Commission; (ii) where the UK GDPR applies, a transfer of Personal Data from the UK to any other country which is not based on adequacy regulations pursuant to Section 17A of the Data Protection Act 2018; and (iii) where the Swiss DPA applies, a transfer of Personal Data to a country outside of Switzerland which is not included on the list of adequate jurisdictions published by the Swiss Federal Data Protection and Information Commissioner.
1.11. "Security Incident" means a personal data breach or any confirmed breach of security that leads to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to Customer Data transmitted, stored or otherwise Processed by Secureframe in connection with the provision of the Services. "Security Incident" shall not include unsuccessful attempts or activities that do not compromise the security of Personal Data, including unsuccessful log-in attempts, pings, port scans, denial of service attacks and other network attacks on firewalls or networked systems.
1.12. "Cláusulas contractuales estándar" o "SCCs" se refiere a las cláusulas contractuales estándar para la transferencia de Datos Personales a terceros países adoptadas por la Comisión Europea en su Decisión de Ejecución (UE) 2021/91 de 4 de junio de 2021.
1.13. "Sub-procesador" significa cualquier tercero que tenga acceso a los Datos del Cliente y que sea contratado por Secureframe o sus Afiliadas para ayudar a cumplir con sus obligaciones con respecto a la prestación de los Servicios conforme al Acuerdo o este DPA. Los sub-procesadores pueden incluir terceros o Afiliadas de Secureframe, pero excluirán a cualquier empleado, contratista o consultor de Secureframe.
1.14. “Autoridad de Supervisión” significa cualquier autoridad reguladora, supervisora, gubernamental, estatal, fiscal general u otra autoridad competente con jurisdicción o supervisión sobre el cumplimiento de la Ley de Protección de Datos Aplicable.
1.15. "Anexo del Reino Unido" significa el "Anexo del Reino Unido a las Cláusulas Contractuales Estándar de la UE" emitido por la Oficina del Comisionado de Información bajo la sección 119A(1) de la Ley de Protección de Datos del Reino Unido 2018.
1.16. "Ley de Protección de Datos de EE.UU." significa todas las leyes y regulaciones de privacidad aplicables en los Estados Unidos, incluidas la Ley de Privacidad del Consumidor de California, enmendada por la Ley de Derechos de Privacidad de California (“CCPA”), así como cualquier regulación y orientación que pueda emitirse en virtud de las mismas; y, cuando corresponda, (ii) la Ley de Protección de Datos del Consumidor de Virginia ("CDPA"); (iii) la Ley de Privacidad de Colorado ("CPA"); (iv) la Ley de Privacidad del Consumidor de Utah (“UCPA”); (v) la Ley de Privacidad de Datos de Connecticut ("CTDPA"); en cada caso, según pueda ser enmendada o sustituida de vez en cuando.
2. Ámbito y relación de las partes
2.1. Ámbito. Este DPA se aplica en la medida en que Secureframe procese cualquier Dato del Cliente protegido por la Ley de Protección de Datos Aplicable en el curso de la prestación de los Servicios conforme al Acuerdo de la siguiente manera:
2.1.1. Cuando el Cliente sea un Controlador de los Datos del Cliente cubiertos por este DPA, Secureframe será un Procesador que procese datos del cliente en nombre del Cliente y este DPA se aplicará en consecuencia;
2.1.2. Cuando y en la medida en que Secureframe y/o cada una de las Afiliadas pertinentes de Secureframe procesen Datos del Cliente como Controlador, Secureframe procesará dichos Datos del Cliente en cumplimiento con la Ley de Protección de Datos Aplicable, la Política de Privacidad de Secureframe que se puede encontrar en https://secureframe.com/privacy, y las Secciones 3, 5.1, 5.2, 6, 7 y 9.1.3 de este DPA, en la medida en que sean aplicables, únicamente.
2.2. Procesamiento de Datos Personales por parte de Secureframe. Como Procesador, Secureframe procesará los Datos del Cliente solo para los fines descritos en los Anexos 1 y 2 de este DPA (los "Fines Comerciales") y solo de acuerdo con las instrucciones legales documentadas del Cliente, excepto en la medida requerida por la Ley de Protección de Datos Aplicable. Las partes acuerdan que este DPA y el Acuerdo establecen las instrucciones completas y finales del Cliente para Secureframe en relación con el Procesamiento de Datos del Cliente e (si corresponde) incluyen y son consistentes con todas las instrucciones de los Controladores de terceros, y el Procesamiento fuera del alcance de estas instrucciones (si las hubiera) requerirá un acuerdo previo por escrito entre el Cliente y Secureframe. Sin perjuicio de la Sección 2.3, Secureframe notificará al Cliente por escrito, a menos que esté prohibido por la Ley de Protección de Datos Aplicable, si se da cuenta o cree que alguna instrucción de procesamiento del Cliente viola la Ley de Protección de Datos Aplicable. Cuando corresponda, el Cliente será responsable de cualquier comunicación, notificación, asistencia y/o autorizaciones que Secureframe pueda estar obligado a proporcionar o recibir de un Controlador de terceros.
2.3. Responsabilidades del Cliente. El Cliente es responsable de la legalidad del Procesamiento de Datos del Cliente bajo el Acuerdo o en relación con el mismo. El Cliente declara y garantiza que (i) ha proporcionado, y seguirá proporcionando, todos los avisos y ha obtenido, y seguirá obteniendo, todos los consentimientos, permisos y derechos necesarios bajo la Ley de Protección de Datos Aplicable para que Secureframe procese legalmente los Datos del Cliente para los fines contemplados en el Acuerdo; (ii) ha cumplido con la Ley de Protección de Datos Aplicable como Controlador de los Datos del Cliente para la recopilación y provisión a Secureframe y sus Sub-procesadores de dichos Datos del Cliente; y (iii) se asegurará de que sus instrucciones de Procesamiento cumplan con las leyes aplicables (incluida la Ley de Protección de Datos Aplicable) y que el Procesamiento de Datos del Cliente por parte de Secureframe de acuerdo con las instrucciones del Cliente no causará que Secureframe incumpla la Ley de Protección de Datos Aplicable.
2.4. Datos Agregados. Sin perjuicio de lo anterior o cualquier cosa en contrario en el Acuerdo, el Cliente reconoce que Secureframe y sus Afiliados tendrán el derecho de recopilar y crear información anonimizada, agregada y/o desidentificada (según lo definido por la Ley de Protección de Datos Aplicable) para sus propios fines comerciales legítimos.
3. Secureframe como Controlador
3.1. Cada parte será individual y separadamente responsable de cumplir con las obligaciones que le correspondan como Controlador independiente y separado bajo la Ley de Protección de Datos Aplicable y ninguna parte será responsable del cumplimiento de la Ley de Protección de Datos Aplicable por parte de la otra.
4. Sub-procesamiento
4.1. Sub-procesadores Autorizados. El Cliente proporciona por la presente una autorización general a Secureframe para involucrar Sub-procesadores para procesar Datos del Cliente en nombre del Cliente (con respecto a su papel como Procesador). Los Sub-procesadores involucrados por Secureframe dependen de los Servicios adquiridos por el Cliente y están disponibles en el sitio web de Secureframe en www.secureframe.com/subprocessors ("Lista de Sub-procesadores").
4.2. Aviso. Secureframe notificará al Cliente de cualquier nuevo compromiso de un Sub-procesador al menos diez (10) días antes de dichos cambios enviando un correo electrónico a la dirección de correo electrónico designada por el Cliente para recibir notificaciones.
5. Seguridad y Auditorías
5.1. Medidas de seguridad. Secureframe implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas diseñadas para proteger los Datos del Cliente de Incidentes de Seguridad y preservar la seguridad y confidencialidad de los Datos del Cliente. Estas medidas incluirán, como mínimo, aquellas descritas en el Anexo 3 de este DPA ("Medidas de seguridad"). Secureframe se asegurará de que cualquier persona autorizada por Secureframe para Procesar Datos del Cliente esté bajo una adecuada obligación de confidencialidad (ya sea una obligación contractual o legal).
5.2. Actualizaciones de las Medidas de Seguridad. El Cliente reconoce que las Medidas de Seguridad están sujetas a avances y desarrollos técnicos y que Secureframe puede actualizar y/o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y/o modificaciones no resulten en la degradación material de la seguridad general de los Servicios adquiridos por el Cliente.
5.3. Responsabilidades de Seguridad del Cliente. No obstante lo anterior, el Cliente acepta que, salvo lo dispuesto en este DPA, el Cliente es responsable de su uso seguro de los Servicios, incluyendo la seguridad de sus credenciales de autenticación de cuenta, proteger la seguridad de los Datos del Cliente cuando estén en tránsito hacia y desde los Servicios y tomar cualquier medida adecuada para cifrar o hacer copias de seguridad de cualquier Dato del Cliente procesado en relación con los Servicios de manera segura. El Cliente implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales de Incidentes de Seguridad y preservar la seguridad y confidencialidad de los Datos Personales mientras estén bajo su dominio y control.
5.4. Respuesta a Incidentes de Seguridad. Al tener conocimiento de un Incidente de Seguridad, Secureframe notificará al Cliente sin demoras indebidas y proporcionará información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o según lo solicite razonablemente el Cliente. La notificación de Secureframe o la respuesta a un Incidente de Seguridad de acuerdo con esta sección no se interpretará como un reconocimiento por parte de Secureframe de ninguna culpa o responsabilidad respecto al Incidente de Seguridad.
5.5. Auditorías de Seguridad. A solicitud escrita del Cliente, Secureframe proporcionará respuestas por escrito (que pueden incluir resúmenes/extractos de informes de auditoría) a todas las solicitudes razonables de información hechas por el Cliente relacionadas con su Procesamiento de Datos del Cliente necesarios para confirmar el cumplimiento de Secureframe con este DPA, siempre que el Cliente no ejerza este derecho más de una vez en cualquier período de 12 meses. No obstante lo anterior, el Cliente también puede ejercer este derecho de auditoría en caso de que el Cliente sea expresamente solicitado o requerido para proporcionar esta información a una autoridad de protección de datos, o si Secureframe ha experimentado un Incidente de Seguridad, o en otra base razonablemente similar. Nada de lo aquí establecido se interpretará en el sentido de obligar a Secureframe a proporcionar: (i) secretos comerciales o cualquier información propietaria; (ii) cualquier información que viole las obligaciones de confidencialidad, obligaciones contractuales o la ley aplicable de Secureframe; o (iii) cualquier información, cuya divulgación podría amenazar, comprometer o poner en riesgo la seguridad, confidencialidad o integridad de la infraestructura, redes, sistemas o datos de Secureframe.
6. Transferencias Internacionales
6.1. Ubicaciones de Procesamiento. El Cliente reconoce y acepta que Secureframe y sus Sub-procesadores pueden transferir (incluyendo realizar Transferencias Restringidas) y Procesar Datos del Cliente en los Estados Unidos y en cualquier otra parte del mundo donde Secureframe, sus Afiliados o sus Sub-procesadores mantengan operaciones de Procesamiento, tal como se describe más detalladamente en la Lista de Sub-procesadores. Las partes deberán asegurar que tales transferencias se realicen en cumplimiento con los requisitos de la Ley de Protección de Datos Aplicable y este DPA.
7. Eliminación de Datos del Cliente
7.1. Deletion. Upon termination or expiry of the Agreement, on Customer's request Secureframe shall delete all Customer Data Processed by Secureframe as a Processor (including copies) in its possession or control in accordance with the Agreement, save that this requirement shall not apply to the extent Secureframe is required by applicable law to retain some or all of the Customer Data, or to Customer Data it has archived on back-up systems, which data Secureframe shall securely isolate and protect from any further Processing and delete in accordance with its deletion practices, except to the extent required by applicable law. Customer Data Processed by Secureframe as a Controller will be deleted or retained in accordance with the Secureframe Privacy Statement.
8. Rights of Individuals and Cooperation
8.1. Data Subject Requests. To the extent Customer is unable to independently access the relevant Customer Data within the Services, Secureframe shall, at Customer's expense and taking into account the nature of the Processing, provide reasonable cooperation to assist Customer to respond to any requests from individuals or applicable data protection authorities relating to the Processing of Customer Data under the Agreement. In the event that any such request is made to Secureframe directly, and Secureframe is able to readily discern that such request is associated with Customer, Secureframe shall not respond to such communication directly without Customer's prior authorization, unless legally compelled to do so. If Secureframe is required to respond to such a request, Secureframe shall promptly notify Customer and provide it with a copy of the request unless legally prohibited from doing so.
9. Jurisdiction Specific Terms
9.1. Europe. To the extent Customer Data is subject to European Data Protection Law, the following terms shall apply in addition to the terms in the remainder of this DPA:
9.1.1. Sub-processor Obligations. Secureframe shall: (i) enter into a written agreement with each Sub-processor imposing data protection terms that require Sub-processor to protect Customer Data to the standard required by applicable European Data Protection Law and this DPA; and (ii) remain responsible for its compliance with the obligations of this DPA and for any acts or omissions of the Sub-processor that cause Secureframe to breach any of its obligations under this DPA. Secureframe shall use reasonable efforts to provide relevant extracts of the agreement with any Sub-processor it appoints to Customer upon request.
9.1.2. Objections to Sub-processors. Customer may object in writing to Secureframe’s appointment of a new Sub-processor on reasonable grounds relating to data protection (e.g., if making Customer Data available to the Sub-processor may violate European Data Protection Law or weaken the protections for such Customer Data) by notifying Secureframe promptly in writing within five (5) calendar days of receipt of Secureframe’s notice in accordance with Section 4.1 above. Such notice shall explain the reasonable grounds for the objection and the parties shall discuss such concerns in good faith with a view to achieving commercially reasonable resolution. If no such resolution can be reached, Secureframe will, at its sole discretion, either not appoint the Sub-processor, or permit Customer to suspend or terminate the affected Product in accordance with the termination provisions in the Agreement without liability to either party (but without prejudice to any fees incurred by Customer before suspension or termination). If such objection right is not exercised by Customer in the terms described above, silence shall be deemed to constitute an approval of such engagement.
9.1.3. Restricted Transfers. The parties agree that when the transfer of Personal Data from Customer (as "data exporter") to Secureframe (as "data importer") is a Restricted Transfer, it shall be subject to the Standard Contractual Clauses, which shall be automatically incorporated by reference and form an integral part of this DPA, as follows:
A. Secureframe como procesador. En relación con los datos del cliente que están protegidos por el RGPD de la UE y se procesan de acuerdo con la Sección 2.1.1 de este APD, se aplicarán las SCC, completadas de la siguiente manera: i. se aplicará el Módulo Dos; ii. en la Cláusula 7, se aplicará la cláusula opcional de acoplamiento; iii. en la Cláusula 9, se aplicará la Opción 2, y el período de tiempo para el aviso previo de los cambios del Subprocesador se identifica en la Sección 4 anterior; iv. en la Cláusula 11, no se aplicará el lenguaje opcional; v. en la Cláusula 17, se aplicará la Opción 1 y las SCC estarán regidas por la ley del Estado miembro de la UE en el que el exportador de datos esté establecido, y si no existe tal ley, la ley de Irlanda; vi. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de la ley del Estado miembro de la UE en el que el exportador de datos esté establecido, y si no existe tal ley, la ley de Irlanda; vii. el Anexo I de las SCC se considerará completado con la información establecida en el Anexo 1 de este APD; y viii. sujeto a las Secciones 5.1 y 5.2 de este APD, el Anexo II de las SCC se considerará completado con la información establecida en el Anexo 3 de este APD;
B. Secureframe como controlador. En relación con los datos del cliente que están protegidos por el RGPD de la UE y se procesan de acuerdo con la Sección 2.1.2 de este APD, se aplicarán las SCC, completadas de la siguiente manera: i. se aplicará el Módulo Uno; ii. en la Cláusula 7, se aplicará la cláusula opcional de acoplamiento; iii. en la Cláusula 11, no se aplicará el lenguaje opcional; iv. en la Cláusula 17, se aplicará la Opción 1 y las SCC estarán regidas por la ley del Estado miembro de la UE en el que el exportador de datos esté establecido, y si no existe tal ley, la ley de Irlanda; v. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de la ley del Estado miembro de la UE en el que el exportador de datos esté establecido, y si no existe tal ley, la ley de Irlanda; vi. el Anexo I de las SCC se considerará completado con la información establecida en el Anexo 2 de este APD; y vii. sujeto a las Secciones 5.1 y 5.2 de este APD, el Anexo II de las SCC se considerará completado con la información establecida en el Anexo 3 de este APD.
C. Transferencias relacionadas con el Reino Unido. En relación con los datos del cliente que están protegidos por el RGPD del Reino Unido, las SCC: (i) se aplicarán tal como se completan de acuerdo con los subpárrafos (A) y (B) anteriores; y (ii) se considerarán modificadas según lo especificado por el Adenda del Reino Unido adjunta como Anexo 4, que se considerará ejecutada por las partes e incorporada y formando parte integral de este APD. Cualquier conflicto entre los términos de las SCC y el Adenda del Reino Unido se resolverá de acuerdo con la Sección 10 y la Sección 11 del Adenda del Reino Unido.
D. Transferencias relacionadas con Suiza. En relación con los datos del cliente que están protegidos por la LPD Suiza, las SCC implementadas bajo los subpárrafos (A) y (B) anteriores se aplicarán con las siguientes modificaciones: i. las referencias a "Reglamento (UE) 2016/679" se interpretarán como referencias a la LPD Suiza; ii. las referencias a artículos específicos del "Reglamento (UE) 2016/679" se reemplazarán con el artículo o sección equivalente de la LPD Suiza; iii. las referencias a "UE", "Unión", "Estado miembro" y "ley del Estado miembro" se reemplazarán con referencias a "Suiza", o "ley Suiza"; iv. el término "estado miembro" no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (es decir, Suiza); v. la Cláusula 13(a) y la Parte C del Anexo I no se usarán y la "autoridad supervisora competente" es el Comisionado Federal de Protección de Datos e Información de Suiza; vi. las referencias a la "autoridad supervisora competente" y "tribunales competentes" se reemplazarán con referencias al "Comisionado Federal de Protección de Datos e Información de Suiza" y "tribunales aplicables de Suiza"; vii. en la Cláusula 17, las SCC estarán gobernadas por las leyes de Suiza; viii. la Cláusula 18(b) declarará que las disputas se resolverán ante los tribunales aplicables de Suiza; y ix. las SCC también protegerán los datos de las entidades legales hasta la entrada en vigor de la Ley Federal revisada de Protección de Datos Suiza.
E. Conflictos. No es la intención de ninguna de las partes contradecir o limitar cualquiera de las disposiciones establecidas en las SCC y, en consecuencia, si y en la medida en que las SCC entren en conflicto con cualquier disposición del Acuerdo (incluyendo este APD), las SCC prevalecerán en la medida de tal conflicto.
9.1.4. Disposición de Transferencia Alternativa. Si, y en la medida en que Secureframe adopte una solución alternativa para la exportación de datos (incluyendo la adopción de Normas Corporativas Vinculantes o cualquier nueva versión de o sucesor de los SCCs o del Escudo de Privacidad adoptado conforme a la Ley Europea de Protección de Datos aplicable) para la transferencia de Datos del Cliente según lo prescrito por las leyes europeas de protección de datos aplicables ("Mecanismo de Transferencia Alternativa"), el Mecanismo de Transferencia Alternativa se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en este DPA (pero solo en la medida en que dicho Mecanismo de Transferencia Alternativa cumpla con la Ley Europea de Protección de Datos aplicable y se extienda a los territorios a los que se transfiere los Datos del Cliente) y el Cliente acuerda ejecutar dichos documentos adicionales y tomar tales medidas adicionales que puedan ser razonablemente necesarias para dar efecto legal a dicho Mecanismo de Transferencia Alternativa. Además, si y en la medida en que un tribunal de jurisdicción competente o una autoridad de supervisión con autoridad vinculante ordena (por cualquier razón) que las medidas descritas en este DPA no pueden ser utilizadas para transferir legalmente los Datos del Cliente a un país que no asegure un nivel adecuado de protección (en el sentido de la Ley Europea de Protección de Datos aplicable), las partes deberán cooperar razonablemente para acordar y tomar cualquier medida que pueda ser razonablemente requerida para implementar cualquier medida o salvaguarda adicional no descrita en este DPA o mecanismos de transferencia alternativos ("Disposiciones de Transferencia Alternativa") para permitir la transferencia legal de dichos Datos del Cliente.
9.1.5. Evaluación de Impacto de Protección de Datos. En la medida en que Secureframe esté obligado bajo la Ley Europea de Protección de Datos aplicable, Secureframe proporcionará la información razonablemente solicitada sobre el Procesamiento de Datos del Cliente por parte de Secureframe según el Acuerdo y el DPA para permitir que el Cliente realice evaluaciones de impacto de protección de datos o consultas previas con las Autoridades de Supervisión según lo exige la ley.
9.2. Estados Unidos. Secureframe cumplirá con los requisitos de las Leyes de Protección de Datos de EE. UU. (según sea aplicable). Los términos en mayúscula utilizados pero no definidos en esta Sección 9.2 tendrán el mismo significado que bajo las Leyes de Protección de Datos de EE. UU. Las partes acuerdan que Secureframe es un “proveedor de servicios” en el cumplimiento de sus obligaciones en virtud del presente, y que el Cliente es un “negocio”, y que la transferencia de Datos del Cliente a Secureframe no será considerada una “venta” o “compartición.”
9.2.1. Secureframe procesará los Datos del Cliente solo para los Propósitos Comerciales.
9.2.2. Como proveedor de servicios, Secureframe no: a) venderá o compartirá Datos del Cliente, según estos términos se definen en la Ley de Protección de Datos de EE. UU.; b) retendrá, usará o divulgará Datos del Cliente para cualquier propósito que no sea para los Propósitos Comerciales, incluyendo retener, usar o divulgar Datos del Cliente para un propósito comercial que no sean los Propósitos Comerciales, o según lo permitido por las Leyes de Protección de Datos de EE. UU.; c) retendrá, usará o divulgará Datos del Cliente fuera de la relación comercial directa entre Secureframe y el Cliente; o d) combinará Datos del Cliente que Secureframe reciba de, o en nombre de, Cliente con información personal que reciba de, o en nombre de, otra persona o personas, o recopile de su propia interacción con el consumidor, siempre y cuando Secureframe pueda combinar información personal para realizar cualquier Propósito Comercial de acuerdo con la Ley de Protección de Datos de EE. UU.
9.2.3. Secureframe: (a) proporcionará asistencia razonable al Cliente cuando se requiera una evaluación de riesgos, auditoría de ciberseguridad o similar bajo la Ley de Protección de Datos de EE. UU. y/o una consulta, investigación, queja o consulta previa con una Autoridad de Supervisión sea requerida para cumplir con la Ley de Protección de Datos de EE. UU.; (b) otorgará al Cliente el derecho a tomar medidas razonables y apropiadas para ayudar a asegurar que Secureframe use los Datos del Cliente de una manera consistente con las obligaciones del Cliente bajo la Ley de Protección de Datos de EE. UU.; (c) notificará al Cliente si Secureframe determina que ya no puede cumplir con sus obligaciones bajo la Ley de Protección de Datos de EE. UU.; (d) otorgará al Cliente el derecho, con previo aviso razonable, a tomar medidas razonables y apropiadas para detener y remediar cualquier uso no autorizado de Datos del Cliente.
9.2.4. To the extent required by US Data Protection Law, Customer shall inform Secureframe of any consumer requests made pursuant to US Data Protection Law that Secureframe must comply with, and shall provide all information reasonably necessary for Secureframe to comply with such request.
10. Miscellaneous
10.1. Disclosures. Customer acknowledges that Secureframe may disclose this DPA (including the Standard Contractual Clauses) and any relevant privacy provisions in the Agreement to the U.S. Department of Commerce, the Federal Trade Commission, a European data protection authority or any other U.S. or European judicial or regulatory body upon their request.
10.2. Necessary Modifications. Notwithstanding anything to the contrary in the Agreement, Secureframe may modify the terms of this DPA where necessary to (i) comply with a request or order by a Supervisory Authority; (ii) comply with Applicable Data Protection Law; or (iii) implement or adhere to standard contractual clauses, approved codes of conduct or certifications, binding corporate rules, or other compliance mechanisms, which may be permitted under Applicable Data Protection Law. Supplemental terms may be added as an Annex to this DPA where such terms only apply to the Processing of Customer Data under the Applicable Data Protection Law of specific countries or jurisdictions. Secureframe shall provide notice of such changes to Customer, and the modified DPA shall become effective in accordance with the terms of the Agreement or, if not specified in the Agreement, as otherwise provided on Secureframe's website.
10.3. Conflicts. Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect. If there is any conflict between this DPA and the Agreement, this DPA shall prevail to the extent of that conflict.
10.4. Claims. Any claims brought under or in connection with this DPA shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement. In particular, any claim or remedy Customer or its Affiliates may have against Secureframe, its Affiliates, employees, contractors, agents and Sub-processors, arising under or in connection with this DPA, whether in contract, tort (including negligence) or under any other theory of liability, shall to the maximum extent permitted by law be subject to the limitations and exclusions of liability in the Agreement. Accordingly, any reference in the Agreement to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together. Notwithstanding the foregoing, in no event may any party limit its liability with respect to any data subject rights or data protection authorities under this DPA.
10.5. Severability. If any provision or part-provision of this DPA is or becomes invalid, illegal or unenforceable, it shall be deemed deleted, but that shall not affect the validity and enforceability of the rest of the DPA.
10.6. Governing Law. This DPA shall be governed by and construed in accordance with the governing law and jurisdiction provisions in the Agreement, unless required otherwise by Applicable Data Protection Law or the SCCs.
SCHEDULE 1 (C2P TRANSFERS)
Description of the Processing Activities / Transfer
Annex 1(A) List of Parties:
| Data Exporter | Data Importer |
|---|---|
| Name: the party identified as the "Customer" in the Agreement and this DPA | Name: Secureframe, Inc. ("Secureframe") |
| Address: As set out in the Agreement | Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA |
| Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account | Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com |
| Activities relevant to the transfer: See Annex 1(B) below | Activities relevant to the transfer: See Annex 1(B) below |
| Role: Controller | Role: Processor |
Anexo 1(B) Descripción de la Transferencia
| Description | |
|---|---|
| Categories of data subjects: |
|
| Categories of personal data: |
Depending on the Services selected by Customer, Secureframe may process the following categories of personal data:
|
| Sensitive data (if applicable) and applied restrictions or safeguards: | N/A. Customer shall not use the Services to collect, transmit, provide, or otherwise make available sensitive data. |
| Frequency of the transfer: | Customer Data is transferred in accordance with Customer’s documented lawful instructions as described in Section 2.2. of the DPA. |
| Nature of processing: | Customer Data transferred will be processed in accordance with the Agreement and with this DPA. |
| Purpose(s) of the data transfer and further processing: | Providing the Services to Customer. |
| Retention period (or, if not possible to determine, the criteria used to determine that period): | See Section 7.1. of the DPA. |
Anexo 1(C): Autoridad de supervisión competente
La autoridad de supervisión competente se determinará de acuerdo con la Ley Europea de Protección de Datos.
ANEXO 2 (TRANSFERENCIAS C2C)
Descripción de las Actividades de Procesamiento / Transferencia
Anexo 1(A) Lista de Partes:
| Data Exporter | Data Importer |
|---|---|
| Name: the party identified as the "Customer" in the Agreement and this DPA | Name: Secureframe, Inc. ("Secureframe") |
| Address: As set out in the Agreement | Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA |
| Contact Person's Name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account | Contact Person's Name, position and contact details: Legal Department, legal@secureframe.com |
| Activities relevant to the transfer: See Annex 1(B) below | Activities relevant to the transfer: See Annex 1(B) below |
| Role: Controller | Role: Controller |
Anexo 1(B) Descripción de la transferencia:
| Description | |
|---|---|
| Categories of data subjects: |
|
| Categories of personal data: |
Personal data may include:
|
| Sensitive data (if applicable) and applied restrictions or safeguards: | N/A. |
| Frequency of the transfer: | Frequency of transfer depends on Customer’s use of the Services. |
| Nature of processing: | Secureframe offers automated security and compliance solutions. The Services are set out in the Agreement. |
| Purpose(s) of the data transfer and further processing: | Secureframe will process the personal data for the following business purposes (i) account registration, (ii) order and purchase, (iii) customer communications and support, (iv) to operate and enhance Secureframe offerings; (v) to prevent, detect and investigate security incidents; and (vi) to resist and respond to malicious, deceptive, fraudulent or illegal actions. |
| Retention period (or, if not possible to determine, the criteria used to determine that period): | See Secureframe’s Privacy Policy as applicable. |
Anexo 1(C) Autoridad de supervisión competente:
La autoridad de supervisión competente se determinará de acuerdo con la Ley Europea de Protección de Datos.
ANEXO 3
Medidas Técnicas y Organizativas
Las siguientes medidas técnicas y organizativas están implementadas en los Servicios para proteger los datos personales procesados por Secureframe.
| Measure | Description |
|---|---|
| Measures of pseudonymisation and encryption of personal data | Secureframe uses encryption at rest and encryption in transit for the protection of personal data |
| Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services | Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure confidentiality, integrity and availability of its systems for the benefit of customers. |
| Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident | Secureframe performs routine backups and retains such backups for a necessary period of time to ensure restoration and access, if relevant. |
| Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing | Secureframe performs internal audits and external audits at least annually to ensure the effectiveness of technical and organisational measures. |
| Measures for user identification and authorisation | Customers may login via Google Workspace or Office 365 and are therefore responsible for such user identification and authorisation. |
| Measures for the protection of data during transmission | Secureframe uses encryption in transit to protect data during transmission. |
| Measures for the protection of data during storage | Secureframe uses encryption at rest to protect data during storage. |
| Measures for ensuring physical security of locations at which personal data are processed. | Secureframe’s services and data are hosted in AWS’ facilities in the USA and protected by AWS in accordance with their security protocols. Access limited to approved personnel. |
| Measures for ensuring events logging | Secureframe uses logging and monitoring to capture events. |
| Measures for ensuring system configuration, including default configuration | Secureframe monitors for drift configuration. |
| Measures for internal IT and IT security governance and management | Secureframe is SOC 2 and ISO 27001 compliant and, as a result, has processes in place designed to ensure security governance and management. |
| Measures for certification/assurance of processes and products | Secureframe is SOC 2 and ISO 27001 compliant. |
| Measures for ensuring data minimisation | Secureframe limits the data which it captures and stores only such data necessary to deliver the services. |
| Measures for ensuring data quality | Customers are in-control of the data provided to Secureframe and Secureframe ensures that such data is valid. |
| Measures for ensuring limited data retention | Secureframe only retains data for as long you are a customer and will remove such data upon request. |
| Measures for ensuring accountability | Secureframe follows a set of policies including data protection and processing policies in order to ensure accountability to external third-parties. |
| Measures for allowing data portability and ensuring erasure | Secureframe follows standard data portability practices. |
ANEXO 4
Adenda del Reino Unido
Este Anexo 4 forma parte de este DPA y se aplica de acuerdo con la Sección 9.1.3(C) (Transferencias relacionadas con el Reino Unido) del DPA.
| Start Date | The date of the Agreement. | |
|---|---|---|
| Parties | Exporter | Importer |
| Parties’ details | Name: The entity identified as the Customer in the Agreement and this DPA.
Address: The address for the Customer associated with its account or otherwise specified in this DPA or the Agreement. Contact person’s name, position and contact details: The contact details specified in this DPA or the Agreement or otherwise associated with Customer's account |
Name: Secureframe, Inc. ("Secureframe")
Address: 548 Market St., Suite 30287, San Francisco, CA, 94104 USA
Contact person’s name, position and contact details: Legal Department, legal@secureframe.com |
| Addendum SCCs | The Approved SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the approved SCCs brought into effect for the purposes of this Addendum: See Section 9.1.3(C) of the DPA. |
|---|
| Appendix Information | See Schedules 1 and 2 |
|---|
| Ending this Addendum when the Approved Addendum changes | Neither Party |
|---|
| Mandatory Clauses | Part 2: Mandatory Clauses of the UK Addendum, as it is revised under Section 18 of those Mandatory Clauses |
|---|