Invitar como DPA

Acuerdo de procesamiento de datos de Invite AS

Última modificación: 03.09.2020

This Invite AS Data Processing Agreement (“DPA”), that includes the Standard Contractual Clauses adopted by the European Commission, as applicable, reflects the parties’ agreement with respect to the terms governing the Processing of Personal Data under the Invite AS Customer Terms of Service (the “Agreement”). This DPA is an amendment to the Agreement and is effective upon its incorporation into the Agreement, which incorporation may be specified in the Agreement, an Order or an executed amendment to the Agreement. Upon its incorporation into the Agreement, the DPA will form a part of the Agreement.

El término de este DPA seguirá el término del Acuerdo. Los términos no definidos de otro modo en el presente tendrán el significado establecido en el Acuerdo.

ESTE DPA INCLUYE:

(i) Cláusulas contractuales estándar, adjuntas como ANEXO 1.

(a) Apéndice 1 de las Cláusulas contractuales estándar, que incluye detalles sobre los Datos personales transferidos por el exportador de datos al importador de datos.

(b) Apéndice 2 a las Cláusulas contractuales estándar, que incluye una descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos como se hace referencia.

(ii) Lista de Subprocesadores, adjunta como ANEXO 2.

1. Definiciones

" Aplicaciones " significa las plataformas del sistema que Invite AS proporciona a nuestros clientes para su uso. Esto también incluye cualquier servicio gratuito que podamos proporcionar. Pr 23.05.2018, las dos aplicaciones que ofrece Invite AS son CupManager y Superinvite, y también incluyen cualquier API entre las dos aplicaciones.

"Controlador" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales.

“Customer” – Customer are the legal entity or person who are using the applications for the purpose of the handling the event or registration process. The Customer is not the end-person paying for any event.

"Ley de protección de datos" significa toda la legislación aplicable relacionada con la protección de datos y la privacidad, incluida, entre otras, la Directiva de Protección de Datos de la UE 95/46 / CE y todas las leyes y regulaciones locales que modifiquen o reemplacen cualquiera de ellas, incluido el GDPR, junto con cualquier ley nacional de implementación en cualquier Estado miembro de la Unión Europea o, en la medida aplicable, en cualquier otro país, según enmendado, derogado, consolidado o reemplazado de vez en cuando. Los términos "proceso", "procesos" y "procesado" se interpretarán en consecuencia.

"Sujeto de datos" significa la persona a la que se refieren los Datos personales.

"RGPD" significa el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

"Instrucción" significa la instrucción escrita y documentada, emitida por el Controlador al Procesador, y que ordena a la misma realizar una acción específica con respecto a los Datos personales (incluidas, entre otras, la despersonalización, el bloqueo, la eliminación y la puesta a disposición).

"Datos personales" significa cualquier información relacionada con un individuo identificado o identificable cuando dicha información esté contenida en los Datos del Cliente y esté protegida de manera similar a los datos personales o información de identificación personal según la Ley de Protección de Datos aplicable.

"Violación de datos personales" significa una violación de la seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales transmitidos, almacenados o procesados de otra manera.

"Procesamiento" significa cualquier operación o conjunto de operaciones que se realiza en Datos personales, que abarca la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción o borrado de Datos personales.

"Procesador" significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa Datos personales en nombre del Controlador.

"Cláusulas contractuales tipo" significa las cláusulas adjuntas al presente como Anexo 1 de conformidad con la decisión de la Comisión Europea (C(2010) 593) de 5 de febrero de 2010 sobre cláusulas contractuales estándar para la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.

2. Detalles del procesamiento

un. Categorías de interesados. Miembros del Controlador y otros usuarios finales, incluidos los clientes del Controlador y los participantes en eventos organizados por el Controlador. Los Sujetos de datos también incluyen personas que intentan comunicarse o transferir Datos personales a los usuarios finales del Controlador. Usted como cliente de Invite AS.

b. Tipos de Datos Personales. Información del participante/cliente necesaria para que el Responsable del tratamiento pueda ejecutar el evento, en la medida en que sea determinada y controlada por el Cliente a su entera discreción. Información de compra, información de participación, resultado del evento e información estadística. Categorías especiales de información personal, como información sobre situaciones de discapacidad para el participante, para que el Responsable maneje las circunstancias de manera correcta y respetuosa. Datos colocados en redes sociales y redes sociales de terceros. Otros datos electrónicos enviados, almacenados, enviados o recibidos por los usuarios finales a través de las Aplicaciones de Invite AS. También recopilamos información sobre nuestra relación con usted como nuestro cliente, como información de contacto, registros de soporte y otros datos que necesitamos para proporcionar un nivel de soporte satisfactorio.

c. Objeto y naturaleza del tratamiento. El objeto del procesamiento de datos personales por parte del procesador es la prestación de los servicios al controlador que implica el procesamiento de datos personales. Los Datos personales estarán sujetos a las actividades de procesamiento que se especifiquen en el Acuerdo.

d. Finalidad del tratamiento. Los datos personales se procesarán con el fin de proporcionar los servicios a través de las aplicaciones de Invite AS establecidas y acordadas en el Acuerdo.

e. Duración del tratamiento. Los datos personales se procesarán durante la vigencia del Acuerdo, sujeto a la Sección 4 de este DPA.

3. Responsabilidad del cliente  

Dentro del alcance del Acuerdo y en su uso de los servicios, el Controlador será el único responsable de cumplir con los requisitos legales relacionados con la protección de datos y la privacidad, en particular con respecto a la divulgación y transferencia de Datos personales al Procesador y el procesamiento de datos personales. Para evitar dudas, las instrucciones del Controlador para el procesamiento de datos personales cumplirán con la Ley de Protección de Datos. Este DPA es la instrucción completa y final del Cliente para Invitar a AS en relación con los Datos personales y que las instrucciones adicionales fuera del alcance del DPA requerirían un acuerdo previo por escrito entre las partes. Las instrucciones se especificarán inicialmente en el Acuerdo y pueden, de vez en cuando, ser modificadas, ampliadas o reemplazadas por el Controlador en instrucciones escritas separadas (como instrucciones individuales).

El controlador informará al Procesador sin demora indebida y de manera exhaustiva sobre cualquier error o irregularidad relacionada con las disposiciones legales sobre el procesamiento de datos personales.

4. Obligaciones del Encargado

un. Cumplimiento de las instrucciones. Las partes reconocen y acuerdan que el Cliente es el Controlador de Datos Personales e Invite AS es el Procesador de esos datos. El Procesador recopilará, procesará y utilizará Datos personales solo dentro del alcance de las Instrucciones del Controlador. Si el Procesador cree que una Instrucción del Controlador infringe la Ley de Protección de Datos, informará inmediatamente al Controlador sin demora. Si el Procesador no puede procesar Datos personales de acuerdo con las Instrucciones debido a un requisito legal en virtud de cualquier ley aplicable de la Unión Europea o del Estado miembro, el Procesador (i) notificará de inmediato al Controlador de ese requisito legal antes del Procesamiento relevante en la medida permitida por la Ley de Protección de Datos; y (ii) cesar todo el procesamiento (que no sea simplemente almacenar y mantener la seguridad de los Datos personales afectados) hasta el momento en que el Controlador emita nuevas instrucciones que el Procesador pueda cumplir. Si se invoca esta disposición, el Procesador no será responsable ante el Controlador en virtud del Acuerdo por cualquier incumplimiento de los servicios aplicables hasta el momento en que el Controlador emita nuevas instrucciones con respecto al Procesamiento.

b. Seguridad.El procesador tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos personales contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales, descritos en el Apéndice 2 de las Cláusulas contractuales estándar. Dichas medidas incluyen, pero no se limitan a:

i. la prevención de que personas no autorizadas accedan a los sistemas de procesamiento de datos personales (control de acceso físico),

ii. la prevención del uso no autorizado de los sistemas de Tratamiento de Datos Personales (control de acceso lógico),

iii. garantizar que las personas con derecho a utilizar un sistema de procesamiento de datos personales obtengan acceso solo a los datos personales a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del procesamiento o uso y después del almacenamiento, los datos personales no pueden ser leídos , copiado, modificado o borrado sin autorización (control de acceso a datos),

IV. Garantizar que los Datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento, y que las entidades de destino para cualquier transferencia de Datos personales por medio de instalaciones de transmisión de datos puedan establecerse y verificarse (datos control de transferencia),

v. garantizar el establecimiento de un registro de auditoría para documentar si los Datos personales han sido ingresados, modificados o eliminados de los sistemas de procesamiento de datos personales (control de entrada), y por quién;

vi. garantizar que los datos personales se procesen únicamente de acuerdo con las instrucciones (control de instrucciones),

vii. garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad).

A petición del Controlador, el Procesador proporcionará un programa actual de protección y seguridad de Datos personales relacionado con el Procesamiento en virtud del presente.

El Procesador facilitará el cumplimiento por parte del Controlador de la obligación del Controlador de implementar medidas de seguridad con respecto a los Datos personales (incluidas, si corresponde, las obligaciones del Controlador de conformidad con los Artículos 32 a 34 (inclusive) del GDPR), (i) implementando y manteniendo las medidas de seguridad descritas en el Apéndice 2, (ii) cumpliendo con los términos de la Sección 4.4 (Violaciones de datos personales); y (iii) proporcionar al Controlador información en relación con el Procesamiento de acuerdo con la Sección 5 (Auditorías).

c. Confidencialidad.  El Procesador se asegurará de que cualquier personal que el Procesador autorice a procesar Datos personales en su nombre esté sujeto a obligaciones de confidencialidad con respecto a esos Datos personales. El compromiso de confidencialidad continuará después de la terminación de las actividades antes mencionadas.

d. Violaciones de datos personales. El Procesador notificará al Controlador tan pronto como sea posible después de que tenga conocimiento de cualquier Violación de Datos Personales que afecte a cualquier Dato Personal. A petición del Controlador, el Procesador proporcionará de inmediato al Controlador toda la asistencia razonable necesaria para permitir que el Controlador notifique las Violaciones de Datos Personales relevantes a las autoridades competentes y / o a los Sujetos de Datos afectados, si el Controlador está obligado a hacerlo en virtud de la Ley de Protección de Datos.

e. Solicitudes de los interesados. El Procesador proporcionará asistencia razonable, incluso mediante medidas técnicas y organizativas apropiadas y teniendo en cuenta la naturaleza del Procesamiento, para permitir que el Controlador responda a cualquier solicitud de los Sujetos de datos que buscan ejercer sus derechos en virtud de la Ley de Protección de Datos con respecto a los Datos personales (incluido el acceso, rectificación, restricción, eliminación o portabilidad de Datos personales, según corresponda), en la medida permitida por la ley.  Si dicha solicitud se realiza directamente al Procesador, el Procesador informará de inmediato al Controlador y aconsejará a los Sujetos de datos que envíen su solicitud al Controlador. El Controlador será el único responsable de responder a las solicitudes de los Interesados. El Controlador reembolsará al Procesador los costos derivados de esta asistencia.

f.Subprocesadores. El Procesador tendrá derecho a contratar subprocesadores para cumplir con las obligaciones del Procesador definidas en el Acuerdo solo con el consentimiento por escrito del Controlador.  Para estos fines, el Controlador acepta la contratación como subprocesadores de las compañías afiliadas del Procesador y los terceros enumerados en el Anexo 2. Para evitar dudas, la autorización anterior constituye el consentimiento previo por escrito del Controlador para el subprocesamiento por parte del Procesador a los efectos de la Cláusula 11 de las Cláusulas contractuales estándar.

Si el Procesador tiene la intención de instruir a subprocesadores que no sean las compañías enumeradas en el Anexo 2, el Procesador lo notificará al Controlador por escrito (el correo electrónico a la(s) dirección(es) de correo electrónico registrada en la información de la cuenta del Procesador para el Controlador es suficiente) y le dará al Controlador la oportunidad de objetar la contratación de los nuevos subprocesadores dentro de los 30 días posteriores a la notificación. La objeción debe basarse en motivos razonables (por ejemplo, si el Controlador demuestra que existen riesgos significativos para la protección de sus Datos personales en el subprocesador). Si el Procesador y el Controlador no pueden resolver dicha objeción, cualquiera de las partes puede rescindir el Acuerdo mediante notificación por escrito a la otra parte. El controlador recibirá un reembolso de cualquier tarifa prepagada pero no utilizada para el período posterior a la fecha efectiva de terminación.

Cuando el Procesador contrate subprocesadores, el Procesador celebrará un contrato con el subprocesador que impone al subprocesador las mismas obligaciones que se aplican al Procesador en virtud de este DPA. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos, el procesador seguirá siendo responsable ante el controlador por el cumplimiento de dichas obligaciones de subprocesadores.

Cuando se contrata a un subprocesador, se debe otorgar al controlador el derecho de monitorear e inspeccionar las actividades del subprocesador de acuerdo con este DPA y la Ley de protección de datos, incluso para obtener información del procesador, previa solicitud por escrito, sobre el contenido del contrato y la implementación de las obligaciones de protección de datos en virtud del contrato de subprocesamiento, en caso necesario, inspeccionando los documentos contractuales pertinentes.

Las disposiciones de esta Sección 4.6 se aplicarán mutuamente si el Procesador contrata a un subprocesador en un país fuera del Espacio Económico Europeo ("EEE") no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales.  Si, en el desempeño de este DPA, Invite AS transfiere cualquier Dato Personal a un subprocesador ubicado fuera del EEE, Invite AS, antes de dicha transferencia, se asegurará de que exista un mecanismo legal para lograr la adecuación con respecto a ese procesamiento.

g.  Transferencias de datos. El Controlador reconoce y acepta que, en relación con la prestación de los servicios en virtud del Acuerdo, los Datos personales se transferirán a Invite AS en la región de la UE. Invite AS, ha certificado a la UE-EE.UU. y Suiza-EE.UU. Marcos del Escudo de privacidad con el fin de implementar las salvaguardas adecuadas para dichas transferencias de conformidad con el artículo 46 del RGPD. Las Cláusulas contractuales estándar del Anexo 1 se aplicarán con respecto a los Datos personales que se transfieran fuera del EEE, ya sea directamente o mediante transferencia posterior, a cualquier país no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales (como se describe en la Ley de Protección de Datos).

h. Eliminación o recuperación de datos personales. Excepto en la medida requerida para cumplir con la Ley de Protección de Datos, después de la terminación o expiración del Acuerdo, el Procesador eliminará todos los Datos personales (incluidas las copias de los mismos) procesados de conformidad con este DPA. Si el Procesador no puede eliminar los Datos personales por razones técnicas o de otro tipo, el Procesador aplicará medidas para garantizar que los Datos personales estén bloqueados de cualquier Procesamiento posterior.

El Controlador deberá, a la terminación o vencimiento del Acuerdo y mediante la emisión de una Instrucción, estipular, dentro de un período de tiempo establecido por el Procesador, las medidas razonables para devolver los datos o eliminar los datos almacenados. Cualquier costo adicional que surja en relación con la devolución o eliminación de Datos personales después de la rescisión o vencimiento del Acuerdo correrá a cargo del Controlador.

5. Auditorías

El Controlador puede, antes del comienzo del Procesamiento, y posteriormente a intervalos regulares, auditar las medidas técnicas y organizativas tomadas por el Procesador.

Para tal fin, el Controlador puede, por ejemplo,

• obtener información del Encargado,
• Solicitar al Procesador que presente al Controlador una atestación o certificado existente de un experto profesional independiente, o
• previo acuerdo razonable y oportuno, durante el horario comercial regular y sin interrumpir las operaciones comerciales del Procesador, realizar una inspección in situ de las operaciones comerciales del Procesador o hacer que la misma sea realizada por un tercero calificado que no será un competidor del Procesador.

El Procesador deberá, previa solicitud por escrito del Controlador y dentro de un período de tiempo razonable, proporcionar al Controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté bajo el control del Procesador y el Procesador no esté impedido de divulgarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación debida a un tercero.

6. Disposiciones generales

Con respecto a las actualizaciones y cambios a este DPA, los términos que se aplican en la "Enmienda; No se aplicará la sección "Varios" en el Acuerdo.

En caso de conflicto, este DPA prevalecerá sobre las normas del Acuerdo. Cuando las disposiciones individuales de este DPA sean inválidas o inaplicables, la validez y aplicabilidad de las demás disposiciones de este DPA no se verán afectadas.

Tras la incorporación de este DPA en el Acuerdo, las partes indicadas en la Sección 7 a continuación (Partes de este DPA) aceptan las Cláusulas contractuales estándar (donde y según corresponda) y todos los apéndices adjuntos. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas contractuales estándar del Anexo 1, prevalecerán las Cláusulas contractuales estándar.

A partir del 25 de mayo de 2018, Invite AS procesará los Datos personales de acuerdo con los requisitos del RGPD contenidos en este documento, que son directamente aplicables a la provisión de las Aplicaciones por parte de Invite AS.

7. Partes en este DPA

Este DPA es una enmienda y forma parte del Acuerdo.  Tras la incorporación de este DPA en el Acuerdo (i) el Controlador y la entidad Invite AS que son parte del Acuerdo también son parte de este DPA, y (ii) en la medida en que Invite AS no sea parte del Acuerdo, Invite AS, es parte de este DPA, pero solo con respecto a la aceptación de las Cláusulas contractuales estándar del DPA, esta Sección 7 de la DPA, y a las propias Cláusulas Contractuales Tipo.

Si Invite AS no es parte del Acuerdo, la sección del Acuerdo titulada "Limitación de responsabilidad" se aplicará entre el Controlador e Invite AS, y en tal sentido cualquier referencia a "Invite AS", "nosotros", "nos" o "nuestro" incluirá tanto Invite AS como la entidad Invite AS que sea parte del Acuerdo.

La entidad legal que acepta este DPA como Controlador declara que está autorizada para aceptar y celebrar este DPA y acepta este DPA únicamente en nombre del Controlador.

EXHIBICIÓN 1

Cláusulas contractuales estándar (procesadores)

A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos,

El Cliente, tal como se define en los Términos de servicio de Invite AS Customer (el "exportador de datos")

Y

Invite AS, Hovinveien 43 B Oslo (the “data importer”),

cada uno una "parte"; conjuntamente «las partes»,

HAN ACORDADO las siguientes Cláusulas contractuales (las Cláusulas) con el fin de aportar garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1 .

Cláusula 1

Definiciones

A los efectos de las Cláusulas:

a) «datos personales», «categorías especiales de datos», «tratamiento/tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;

b) "el exportador de datos" significa el controlador que transfiere los datos personales;

(c) 'el importador de datos' significa el procesador que acepta recibir del exportador de datos datos personales destinados a ser procesados en su nombre después de la transferencia de acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del Artículo 25(1) de la Directiva 95/46/CE;

(d) 'el subprocesador' significa cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de cualquier otro subprocesador del importador de datos datos personales destinados exclusivamente a actividades de procesamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones; los términos de las Cláusulas y los términos del subcontrato escrito;

(e) "la ley de protección de datos aplicable" significa la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de datos personales aplicable a un controlador de datos en el Estado miembro en el que está establecido el exportador de datos;

f) «medidas de seguridad técnicas y organizativas»: las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando corresponda, se especifican en el Apéndice 1 que forma parte integral de las Cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1. El sujeto de datos puede hacer valer contra el exportador de datos esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) y (g) a (j), Cláusula 6 (1) y (2) , Cláusula 7, Cláusula 8(2) y Cláusulas 9 a 12 como tercero beneficiario.
2. El interesado puede hacer valer contra el importador de datos esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos ha desaparecido de hecho o ha dejado de existir legalmente a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en en cuyo caso el interesado podrá oponerlos a dicha entidad.
3. El interesado puede hacer valer contra el subprocesador esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que tanto el exportador de datos y el importador de datos han desaparecido de hecho o han dejado de existir legalmente o se han declarado insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por ministerio de la ley como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá oponerlas a dicha entidad. Dicha responsabilidad frente a terceros del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.
4. Las partes no se oponen a que un interesado esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

(a) que el procesamiento, incluida la transferencia en sí misma, de los datos personales se ha llevado a cabo y se seguirá realizando de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, en su caso, se ha notificado a las autoridades pertinentes del Estado miembro en el que esté establecido el exportador de datos) y no infrinja las disposiciones pertinentes de ese Estado;

(b) que ha instruido y durante toda la duración de los servicios de procesamiento de datos personales instruirá al importador de datos para que procese los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la ley de protección de datos aplicable y las Cláusulas;

(c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;

(d) que después de la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son apropiadas para proteger los datos personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos presentados por el procesamiento y la naturaleza de los datos que deben protegerse teniendo en cuenta el estado de la técnica y la costo de su implementación;

(e) que velará por el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia involucra categorías especiales de datos, el interesado ha sido informado o será informado antes, o tan pronto como sea posible después de la transferencia, que sus datos podrían transmitirse a un tercer país que no proporcione la protección adecuada dentro de el significado de la Directiva 95/46/CE;

(g) enviar cualquier notificación recibida del importador de datos o cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba celebrarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) que, en caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de conformidad con la Cláusula 11 por un subprocesador que proporciona al menos el mismo nivel de protección para los datos personales y los derechos del interesado que el importador de datos en virtud de las Cláusulas ; y

(j) que garantizará el cumplimiento de la Cláusula 4(a) a (i).

Cláusula 5

Obligaciones del importador de datos

El importador de datos acepta y garantiza:

(a) procesar los datos personales solo en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicho cumplimiento por cualquier motivo, acepta informar de inmediato al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(b) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará de inmediato el cambio al exportador de datos tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato ;

(c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Anexo 2 antes de procesar los datos personales transferidos;

(d) que notificará sin demora al exportador de datos sobre:

(i) cualquier solicitud legalmente vinculante para la divulgación de los datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial;

(ii) cualquier acceso accidental o no autorizado; y

(iii) cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que haya sido autorizado para hacerlo;

(e) atender de manera rápida y adecuada todas las consultas del exportador de datos relacionadas con su procesamiento de los datos personales sujetos a la transferencia y cumplir con el consejo de la autoridad supervisora con respecto al procesamiento de los datos transferidos;

(f) a solicitud del exportador de datos, presentar sus instalaciones de procesamiento de datos para la auditoría de las actividades de procesamiento cubiertas por las Cláusulas, que deberá llevar a cabo el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de los requisitos necesarios calificaciones profesionales sujetas a un deber de confidencialidad, seleccionadas por el exportador de datos, en su caso, de acuerdo con la autoridad de control;

(g) poner a disposición del interesado, previa solicitud, una copia de las Cláusulas, o cualquier contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con excepción del Apéndice 2 que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;

(h) que, en caso de subprocesamiento, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito;

(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la Cláusula 11;

(j) enviar de inmediato una copia de cualquier acuerdo de subprocesador que celebre en virtud de las Cláusulas al exportador de datos.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por parte de cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.
2. Si un interesado no puede presentar una reclamación de indemnización de conformidad con el párrafo 1 contra el exportador de datos, derivada de un incumplimiento por parte del importador de datos o su subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir legalmente o se ha declarado insolvente, El importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato de aplicación de la ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad.
   El importador de datos no puede basarse en un incumplimiento por parte de un subprocesador de sus obligaciones para evitar sus propias responsabilidades.
3. Si un sujeto de datos no puede presentar una reclamación contra el exportador de datos o el importador de datos mencionados en los párrafos 1 y 2, como resultado de un incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir legalmente o se han declarado insolventes, el subprocesador acepta que el interesado puede presentar un reclamo contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por aplicación de la ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El importador de datos acepta que si el sujeto de datos invoca contra él derechos de terceros beneficiarios y/o reclama compensación por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del sujeto de datos:

a) someter el litigio a mediación, por una persona independiente o, en su caso, por la autoridad de control;

(b) someter la controversia a los tribunales del Estado miembro en el que esté establecido el exportador de datos.

2. Las partes acuerdan que la elección realizada por el titular de los datos no perjudicará sus derechos sustantivos o procesales para interponer recursos de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos se compromete a depositar una copia de este contrato ante la autoridad de control si así lo solicita o si dicho depósito es requerido por la ley de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos bajo los datos aplicables. ley de proteccion
3. El importador de datos informará de inmediato al exportador de datos sobre la existencia de legislación aplicable a él o a cualquier subprocesador que impida la realización de una auditoría del importador de datos, o cualquier subprocesador, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho tomar las medidas previstas en la Cláusula 5(b).

Cláusula 9

Ley que rige

Las Cláusulas se regirán por la ley del Estado miembro en el que esté establecido el exportador de datos.

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre asuntos comerciales cuando sea necesario, siempre que no contradigan la Cláusula.

Cláusula 11

Subprocesamiento

1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.
2. El contrato previo por escrito entre el importador de datos y el subprocesador también deberá prever una cláusula de tercero beneficiario según lo establecido en la Cláusula 3 para los casos en que el interesado no pueda presentar el reclamo de compensación a que se refiere el párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque de hecho han desaparecido o han dejado de existir de derecho o se han declarado insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subprocesamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad supervisora de protección de datos del exportador de datos.

Cláusula 12

Obligación después de la terminación de los servicios de procesamiento de datos personales

1. Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, el importador de datos y el subprocesador, a elección del exportador de datos, devolverán todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruirán todos los datos personales y certificar al exportador de datos que así lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente los datos personales transferidos.
2. El importador de datos y el subprocesador garantizan que, a solicitud del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de procesamiento de datos para una auditoría de las medidas mencionadas en el párrafo 1.

APÉNDICE 1 de las cláusulas contractuales tipo

Este Apéndice forma parte de las Cláusulas. Los Estados miembros podrán completar o especificar, con arreglo a sus procedimientos nacionales, cualquier información adicional necesaria que deba figurar en el presente apéndice.

A. Exportador de datos

El exportador de datos es el Cliente, tal como se define en los Términos de servicio de Invite AS Customer ("Acuerdo").

B. Importador de datos

El importador de datos es Invite AS, un proveedor global de registro y pago de eventos, que también incluye la administración de torneos.

C. Sujetos de datos

Categorías de interesados establecidas en la Sección 2 del Acuerdo de procesamiento de datos al que se adjuntan las Cláusulas.

D. Categorías de datos

Categorías de datos personales establecidas en la Sección 2 del Acuerdo de procesamiento de datos al que se adjuntan las Cláusulas.

E. Categorías especiales de datos (si procede)

Las partes no prevén la transferencia de categorías especiales de datos.

F. Operaciones de tratamiento

Las actividades de procesamiento establecidas en la Sección 2 del Acuerdo de procesamiento de datos al que se adjuntan las Cláusulas:

Apéndice 2 de las cláusulas contractuales tipo

Este Apéndice forma parte de las Cláusulas.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las Cláusulas 4(d) y 5(c) (o documento/legislación adjunto):

Invite AS observa actualmente las prácticas de seguridad descritas en este Apéndice 2. Sin perjuicio de cualquier disposición en contrario acordada por el exportador de datos, Invite AS puede modificar o actualizar estas prácticas a su discreción, siempre que dicha modificación y actualización no resulte en una degradación material. en la protección que ofrecen estas prácticas. Todos los términos en mayúscula que no se definan de otro modo en el presente tendrán los significados establecidos en el Acuerdo.

a)Control de acceso

i) Prevención del acceso no autorizado a productos

Procesamiento subcontratado: Invite AS aloja sus Aplicaciones con recursos subcontratados. Además, Invite AS mantiene relaciones contractuales con proveedores para proporcionar el Servicio de acuerdo con nuestro Acuerdo de procesamiento de datos. Invite AS se basa en acuerdos contractuales, políticas de privacidad y programas de cumplimiento de proveedores para proteger los datos procesados o almacenados por estos proveedores.

Seguridad física y ambiental: Invite AS aloja su infraestructura de productos con proveedores de infraestructura subcontratados de múltiples inquilinos. La mayoría de los controles de seguridad física y ambiental se auditan para el cumplimiento de la norma ISO/IEC 27001, entre otras certificaciones.

Autenticación: Invite AS implementó una política de contraseña uniforme para los productos de sus clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a datos de clientes no públicos.

Autorización: Los datos del cliente se almacenan en sistemas de almacenamiento multiusuario accesibles para los clientes solo a través de interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. A los clientes no se les permite el acceso directo a la infraestructura de aplicaciones subyacente. El modelo de autorización en cada uno de los productos de Invite AS está diseñado para garantizar que solo las personas asignadas adecuadamente puedan acceder a características, vistas y opciones de personalización relevantes. La autorización a los conjuntos de datos se realiza mediante la validación de los permisos del usuario con respecto a los atributos asociados a cada conjunto de datos.

Acceso a la interfaz de programación de aplicaciones (API): se puede acceder a las API de productos públicos mediante una clave de API.

ii) Prevención del uso no autorizado del producto

Invite AS implementa controles de acceso estándar de la industria y capacidades de detección para las redes internas que soportan sus productos.

Controles de acceso: los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que utiliza protocolos no autorizados llegue a la infraestructura del producto. Las medidas técnicas implementadas difieren entre los proveedores de infraestructura e incluyen implementaciones de Virtual Private Cloud (VPC), asignación de grupos de seguridad y reglas de firewall tradicionales.

Análisis de código estático: se realizan revisiones de seguridad del código almacenado en los repositorios de código fuente de Invite AS, verificando las mejores prácticas de codificación y fallas de software identificables.

iii) Limitaciones de privilegios y requisitos de autorización

Acceso a los productos: Un subconjunto de los empleados de Invite AS tiene acceso a los productos y a los datos de los clientes a través de interfaces controladas. La intención de proporcionar acceso a un subconjunto de empleados es proporcionar soporte eficaz al cliente, solucionar problemas potenciales, detectar y responder a incidentes de seguridad e implementar la seguridad de los datos. El acceso se habilita a través de solicitudes de acceso "justo a tiempo"; Todas estas solicitudes se registran. A los empleados se les concede acceso por rol y las revisiones de las concesiones de privilegios de alto riesgo se inician diariamente. Los roles de los empleados se revisan al menos una vez cada seis meses.

Verificación de antecedentes: todos los empleados de Invite AS se someten a una verificación de antecedentes por parte de un tercero antes de recibir una oferta de empleo, de acuerdo con las leyes aplicables. Se requiere que todos los empleados se comporten de manera consistente con las pautas de la compañía, los requisitos de confidencialidad y los estándares éticos.

b) Control de transmisión

En tránsito: Invite AS hace que el cifrado HTTPS (también conocido como SSL o TLS) esté disponible en cada una de sus interfaces de inicio de sesión y de forma gratuita en todos los sitios de clientes alojados en los productos de Invite AS. La implementación de HTTPS de Invite AS utiliza algoritmos y certificados estándar del sector.

c) Control de entrada

Detección: Invite AS diseñó su infraestructura para registrar información extensa sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregan datos de registro y alertan a los empleados apropiados de actividades maliciosas, no deseadas o anómalas. El personal de Invite AS, incluido el personal de seguridad, operaciones y soporte, responde a los incidentes conocidos.

Respuesta y seguimiento: Invite AS mantiene un registro de los incidentes de seguridad conocidos que incluye la descripción, las fechas y horas de las actividades relevantes y la disposición de los incidentes. Los incidentes de seguridad sospechosos y confirmados son investigados por el personal de seguridad, operaciones o support, y se identifican y documentan los pasos de resolución apropiados. Para cualquier incidente confirmado, Invite AS tomará las medidas apropiadas para minimizar el daño al producto y al Cliente o la divulgación no autorizada.

Comunicación: Si Invite AS tiene conocimiento de un acceso ilegal a los datos del Cliente almacenados en sus productos, Invite AS: 1) notificará a los Clientes afectados del incidente; 2) proporcionar una descripción de los pasos que Invite AS está tomando para resolver el incidente; y 3) proporcionar actualizaciones de estado al contacto del Cliente, según Invite AS lo considere necesario. Las notificaciones de incidentes, si las hubiera, se entregarán a uno o más de los contactos del Cliente en un formulario que Invite AS seleccione, que puede incluir por correo electrónico o teléfono.

d) Control de disponibilidad

Disponibilidad de infraestructura: los proveedores de infraestructura hacen esfuerzos comercialmente razonables para garantizar un tiempo de actividad mínimo del 99,95 %. Los proveedores mantienen un mínimo de redundancia N+1 para los servicios de energía, red y HVAC.

Tolerancia a fallas: las estrategias de copia de seguridad y replicación están diseñadas para garantizar la redundancia y la protección contra fallas durante una falla de procesamiento significativa. Los datos del cliente se respaldan en múltiples almacenes de datos duraderos y se replican en múltiples zonas de disponibilidad.

Réplicas y copias de seguridad en línea: cuando sea factible, las bases de datos de producción están diseñadas para replicar datos entre no menos de 1 base de datos principal y 1 secundaria. Todas las bases de datos están respaldadas y mantenidas utilizando al menos métodos estándar de la industria.

Los productos de Invite AS están diseñados para garantizar la redundancia y la conmutación por error sin problemas. Las instancias de servidor que support los productos también están diseñadas con el objetivo de evitar puntos únicos de error. Este diseño ayuda a las operaciones de Invite AS a mantener y actualizar las aplicaciones y el back-end del producto, al tiempo que limita el tiempo de inactividad.

ANEXO 2

Lista de subprocesadores

• Servicios web de Amazon (desde 2019)
• Google
• Intercomunicador
• Mailchimp
• Pistola de correo
• Tablero de productos
• Prosperobras
• Telavox
• Twilio
• Glesys – (Servicios de alojamiento)
• Hetzner (Servicios de alojamiento)
• Osvath Boros Robert (desarrollador)
• Endre Szasz-Revai (Infraestructura)