ACUERDO DE PROCESAMIENTO DE DATOS EasySIGN

Este Acuerdo de procesamiento de datos forma parte integral del Acuerdo. El usuario es responsable en el Acuerdo ("el Controlador") de los datos personales. EasySIGN BV es el procesador del Acuerdo ("el Procesador") de los datos personales. Luego de esto, ambas partes serán citadas como Responsable o Encargado.

CONSIDERANDO

Las partes han acordado que el Controlador utilice el Procesador como proveedor de software para el software de producción gráfica EasySIGN. El Procesador procesa datos personales del Controlador en el contexto de la ejecución del acuerdo.

Para permitir que las Partes lleven a cabo su relación de manera consistente con la ley, las Partes han celebrado este Acuerdo de procesamiento de datos ("DPA"), de la siguiente manera:
 
1. Definiciones
A los efectos de este DPA:  
“Ley de Protección de Datos Aplicable” : la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al Tratamiento de Datos Personales, cuya legislación se aplica al Responsable y al Encargado; el término Ley de Protección de Datos Aplicable también incluye el RGPD;    
"Controlador" : El cliente de EasySIGN antes mencionado que, como persona física o jurídica, solo o junto con otros, determina los fines y medios del Tratamiento de Datos Personales;    
"El PIB es" : Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos, que entró en vigor el 25 de mayo de 2018;    
"Organización Internacional" : una organización y sus organismos subordinados regidos por el derecho internacional público, o cualquier otro organismo creado por, o sobre la base de, un acuerdo entre dos o más países;    
"Estado miembro" : un país perteneciente a la Unión Europea;    
"Información personal" : cualquier información relativa a una persona física identificada o identificable (sujeto de los datos);    
“Sujeto de datos” : una persona identificable que puede ser identificada, directa o indirectamente, en particular por medio de un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más elementos característicos del estado físico, fisiológico, genético, identidad mental, económica, cultural o social de esa persona física;
"Violación de datos personales" : una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales transmitidos, almacenados o procesados ​​de otro modo;    
“Proceso/Procesamiento” : cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción;
"Procesador" : EasySIGN BV, que procesa Datos personales en nombre del Controlador;
“Acuerdo entre el cliente y EasySIGN al entrar en Suscripción" : el acuerdo principal celebrado entre el Controlador y el Encargado que establece las condiciones para la prestación de los Servicios;    
"Servicios" : los servicios proporcionados por el Procesador al Controlador y descritos en 'Objeto de procesamiento' en el Apéndice 1 de este DPA;    
“Categorías Especiales de Datos Personales” : datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical; el Tratamiento de datos genéticos y datos biométricos con el fin de identificar de forma unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física;    
"Subprocesador" : un procesador de datos contratado por el Procesador que declara su voluntad de recibir Datos personales del Procesador destinados únicamente a las Actividades de procesamiento que deben realizarse para el Controlador de acuerdo con sus instrucciones, las condiciones de este DPA y las condiciones de un sub escrito -acuerdo de procesamiento;    
"Autoridad supervisora" : una autoridad pública independiente establecida por un Estado miembro de conformidad con el artículo 51 del RGPD;    
“Técnica y Organizativa   Medidas de seguridad" : las medidas destinadas a proteger los Datos Personales contra la destrucción accidental o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el Procesamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilegales de Procesamiento;    
"Tercer país" : un país con respecto al cual la Comisión Europea no ha decidido que ese país, o un área o uno o más sectores específicos dentro de ese país, garantiza un nivel adecuado de protección de datos.
2. Detalles del procesamiento
Los detalles de las Actividades de procesamiento que el Procesador realiza para el Controlador como un procesador de datos que ha recibido instrucciones a tal efecto (como el tema, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías de interesados) se establecen en el Apéndice 1 de este DPA.

3. Derechos y obligaciones del Responsable
El Controlador ha instruido al Procesador, y continuará instruyendo al Procesador durante la duración del procesamiento de datos para el cual se le ha dado la instrucción, para procesar los Datos personales únicamente para el Controlador y de conformidad con la Ley de protección de datos aplicable, el Acuerdo entre el cliente y EasySIGN al contratar una Suscripción, este DPA y las instrucciones del Controlador. El Responsable tiene el derecho y la obligación de dar instrucciones al Encargado para el Tratamiento de los Datos Personales, tanto en general como en casos individuales. Las instrucciones también pueden relacionarse con la rectificación, eliminación y bloqueo de datos personales. Las instrucciones generalmente se dan por escrito, a menos que la urgencia u otras circunstancias específicas requieran una forma diferente (por ejemplo, oral o electrónica). El Controlador confirmará inmediatamente las instrucciones no escritas por escrito. En la medida en que la ejecución de una instrucción genere costes para el Encargado, el Encargado primero notificará al Responsable del tratamiento de dichos costes. El Procesador llevará a cabo una instrucción solo una vez que el Controlador haya confirmado que es responsable de los costos de llevar a cabo esa instrucción.

4. Obligaciones del Encargado
El procesador:
  1. procesar los Datos personales exclusivamente de acuerdo con las instrucciones del Controlador y en nombre del Controlador; dichas instrucciones se dan en el acuerdo entre el cliente y EasySIGN al celebrar una suscripción, este DPA y de otra manera en forma documentada como se menciona en el artículo 3 anterior. Esta obligación de seguir las instrucciones del Controlador también se aplica a la transferencia de los Datos personales a un Tercer país o una Organización internacional;
  2. informar al Controlador de inmediato si el Procesador no puede cumplir con una instrucción del Controlador por cualquier motivo;
  3. garantizar que las personas autorizadas por el Procesador para procesar los Datos personales en nombre del Controlador se comprometan a observar la confidencialidad o que esas personas estén sujetas a un deber de confidencialidad adecuado y que las personas que tengan acceso a los Datos personales procesen esos Datos personales Datos de acuerdo con las instrucciones del Controlador;
  4. implementar las Medidas de Seguridad Técnicas y Organizativas que cumplan con los requisitos de la Ley de Protección de Datos Aplicable como se especifica más detalladamente en el Apéndice 2, antes de Procesar los Datos Personales y garantizar que proporciona al Controlador garantías suficientes con respecto a esas Medidas de Seguridad Técnicas y Organizativas;
  5. asistir al Responsable mediante Medidas Técnicas y Organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del responsable de responder a las solicitudes para el ejercicio de los derechos de los Titulares de los Datos relativos a la información, acceso, rectificación y supresión, limitación del tratamiento , notificación, portabilidad de datos, realización de objeciones y toma de decisiones automatizada; en la medida en que esas Medidas Técnicas y Organizativas factibles requieran cambios o alteraciones en las Medidas Técnicas y Organizativas como se menciona en el Apéndice 2, el Procesador informará al Controlador de los costos de implementar esas Medidas Técnicas y Organizativas adicionales o modificadas. Tan pronto como el Controlador haya confirmado que estos costos corren por su cuenta, el Procesador implementará esas Medidas Técnicas y Organizativas adicionales o modificadas para ayudar al Controlador a garantizar el cumplimiento de las solicitudes de los interesados;
  6. poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y el artículo 28 del RGPD, y permitir y contribuir a las auditorías, incluidas las inspecciones realizadas por el controlador u otro auditor designado por el Controlador. El Controlador es consciente de que las auditorías en persona y en el lugar pueden interrumpir significativamente las operaciones comerciales del Procesador, costar mucho dinero y consumir mucho tiempo. En consecuencia, el Controlador puede realizar una auditoría en persona y en el lugar solo si reembolsa los costos incurridos por el Procesador debido a la interrupción de sus operaciones comerciales;
  7. notifique al Controlador sin demora innecesaria:
    i.
    de cualquier solicitud legalmente vinculante para la divulgación de los Datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que este aviso esté prohibido, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una investigación policial;
    ii.
    de quejas y solicitudes recibidas directamente de los Interesados ​​(por ejemplo, quejas y solicitudes relacionadas con el acceso, rectificación, eliminación, restricción de procesamiento, notificación, portabilidad de datos, objeciones contra el procesamiento de datos y toma de decisiones automatizada) sin seguir tramitando esa solicitud a menos que esté autorizado para hacerlo;
    iii.
    si el Procesador está obligado sobre la base de la legislación de la UE o la legislación de un Estado miembro que se le aplica a procesar los Datos personales más allá del alcance de las instrucciones del Controlador, antes de llevar a cabo ese procesamiento más allá de ese alcance, a menos que la legislación de la UE o la legislación de dicho Estado miembro prohíba dicha información por razones imperiosas de interés público; la notificación debe especificar el requisito legal en virtud de esa legislación de la UE o la legislación del Estado miembro;
    iv.
    si, a juicio del Encargado, una instrucción es contraria a la Ley de Protección de Datos Aplicable; si da ese aviso, el Encargado no está obligado a seguir la instrucción, a menos y hasta que el Controlador la haya confirmado o modificado; y
    v.
    tan pronto como el Encargado tenga conocimiento de una Violación de datos personales, en un plazo máximo de 24 horas. Si se produce tal Violación de datos personales, el Procesador asistirá al Controlador, previa solicitud por escrito del Controlador, con su obligación en virtud de la Ley de protección de datos aplicable de informar la violación a los Sujetos de datos o a la Autoridad de control, y documentar la Violación de datos personales. . Los datos de contacto relacionados con el informe se registran en el sistema de atención al cliente. Las personas de contacto se enumeran en el apéndice de este acuerdo;
  8. asistir al Controlador en una Evaluación de Impacto de Protección de Datos según lo requerido por el Artículo 35 GDPR en relación con los Servicios proporcionados por el Encargado al Controlador y los Datos Personales que el Encargado procesa para el Controlador;
  9. tratar todas las preguntas del Controlador relacionadas con su Procesamiento de los Datos personales (por ejemplo, para permitir que el Controlador responda con prontitud a las quejas o solicitudes de los Sujetos de datos) y cumplir con el asesoramiento de la Autoridad de control sobre el Procesamiento de los datos transmitidos datos;
  10. en la medida en que esté obligado y se le solicite rectificar, eliminar y/o bloquear los Datos Personales que se procesan bajo este DPA, hágalo de inmediato. Si y en la medida en que los Datos personales no puedan eliminarse debido a los requisitos legales de retención de datos, el Procesador, en lugar de eliminar los Datos personales relevantes, restringirá el Procesamiento y/o el uso posterior de los Datos personales, o eliminará la identidad correspondiente de los Datos personales. ('bloqueo'). Si dicha obligación de bloqueo se aplica al Procesador, el Procesador eliminará los Datos personales relevantes a más tardar el último día del año calendario en el que finaliza el período de retención.
 
5. Subprocesamiento
 
  1. El Controlador otorga permiso para el uso de Subprocesadores contratados por el Procesador para la prestación de los Servicios. El Controlador otorga su aprobación para el (los) Subprocesador (es) con respecto a:
    WebBallenas Tienda en línea WooCommerce
    Hubspot CRM
    Copernica CRM
    Capitan del equipo CRM
    U-digital proveedor de servicios de marketing
    Hotjar Herramienta de registro de comportamiento en línea
    Mollie Proveedor de servicios de pago
    Exacto en línea Contabilidad basada en la nube
    Automatización de servicios de Libra Proveedor de servicios informáticos
    Microsoft Office 365 Correo electrónico y hojas de cálculo basados ​​en la nube
    Wibú Administrador de licencias basado en la nube
    Google Google Analytics
    Los acuerdos de procesamiento puestos a disposición por ellos se han celebrado con estas partes.
  2. En el caso de que el Procesador tenga la intención de contratar nuevos o más Subprocesadores, el Procesador se asegurará de que la 'Política de privacidad' de EasySIGN (https://www.easysign.com/about-us/privacy-policy/) está actualizado. El controlador garantiza la consulta periódica de la 'Política de privacidad' de EasySIGN. Si el Controlador tiene motivos razonables para objetar el uso de nuevos o más Subprocesadores, el Controlador debe notificar inmediatamente al Procesador por escrito dentro de los 14 días posteriores a la recepción de la Notificación al Subprocesador. En caso de que el Controlador se oponga a un Subprocesador nuevo o diferente, y que la retención no sea irrazonable, el Procesador hará esfuerzos razonables para hacer cambios en los Servicios disponibles para el Controlador o recomendará un cambio comercialmente razonable en la configuración del Controlador o el uso por parte del Controlador de los Servicios para evitar el Procesamiento de Datos Personales por parte del Subprocesador nuevo o diferente al que se han hecho objeciones, sin imponer una carga irrazonable al Controlador. Si el Procesador no puede hacer que ese cambio esté disponible dentro de un período de tiempo razonable, cuyo período no excederá los sesenta (60) días, el Controlador puede rescindir la parte relevante de la parte afectada de los 'Términos y condiciones' (https://www.easysign.com/about-us/general-terms-and-conditions/), sin embargo, solo con respecto a aquellos Servicios que el Procesador no puede proporcionar sin el uso del Subprocesador nuevo o diferente al cual se ha objetado mediante notificación por escrito al Procesador.
  3. El Encargado impondrá contractualmente la misma obligación de protección de datos incluida en este DPA a todos los Subencargados. El acuerdo entre el Encargado y el Subencargado debe dar garantías adecuadas para la implementación de las Medidas de Seguridad Técnicas y Organizativas como se especifica en el Apéndice 2, en la medida en que dichas Medidas de Seguridad Técnicas y Organizativas sean importantes para los servicios prestados por el Subencargado. .
  4. El Procesador elige al Subprocesador con sumo cuidado.
  5. Si dicho Subencargado está ubicado en un Tercer País, el Encargado, a solicitud por escrito del Controlador, deberá celebrar un contrato modelo de la UE (Controlador > Encargado) en nombre del Controlador (en nombre del Controlador), de conformidad con la Decisión de la Comisión 2010/87/UE. En este caso, el Controlador instruye y autoriza al Encargado a dar instrucciones a los Subencargados en nombre del Controlador y a hacer valer todos los derechos del Controlador con respecto a los Subencargados en virtud del modelo de contrato de la UE.
  6. El Procesador sigue siendo responsable ante el Controlador del cumplimiento de las obligaciones del Subprocesador, si ese Subprocesador no cumple con sus obligaciones. Sin embargo, el Procesador no es responsable de ningún daño/pérdida y reclamaciones que surjan de las instrucciones del Controlador a los Subprocesadores.
 
6. Limitación de responsabilidad
Toda responsabilidad que surja de o en relación con este DPA sigue y se rige únicamente por las disposiciones de responsabilidad establecidas en los "Términos y condiciones" o aplicables de otro modo. Por lo tanto, y con el fin de calcular los límites de responsabilidad y/o determinar la aplicación de otras limitaciones de responsabilidad, cualquier responsabilidad que surja de este DPA se considerará que surge según los 'Términos y condiciones' correspondientes.

7 Duración y terminación
  1. La duración de este DPA es igual a la de los 'Términos y condiciones' relevantes. A menos que se disponga lo contrario en este Acuerdo, los derechos y obligaciones en el área de terminación son los mismos que los establecidos en los "Términos y condiciones" correspondientes.
  2. El Procesador, a la primera solicitud del Controlador, eliminará o devolverá al Controlador todos los Datos personales después de la finalización de la prestación de los Servicios, y eliminará todas las copias existentes, a menos que el Procesador esté obligado a conservar dichos Datos personales bajo EU o Miembro. Ley del Estado.
 
8. Misceláneo
  1. En caso de conflicto entre las disposiciones de este DPA y cualquier otro acuerdo entre las Partes, las disposiciones de este DPA prevalecerán con respecto a las obligaciones de protección de datos de las Partes. En caso de duda sobre si las cláusulas de esos otros acuerdos se relacionan con las obligaciones de protección de datos de las Partes, prevalecerá este DPA.
  2. La invalidez o inaplicabilidad de cualquier disposición de este DPA no afectará la validez o aplicabilidad de las disposiciones restantes de este DPA. La disposición inválida o inejecutable se (i) modifica de tal manera que se garantice su validez o aplicabilidad y al mismo tiempo se preservan las intenciones de las Partes tanto como sea posible o, si esto no es posible, (ii) como si el parte inválida o inaplicable nunca se había incluido en el mismo. Lo anterior también se aplica si este DPA contiene una omisión
  3. Este DPA se rige por la misma ley que el acuerdo entre el Cliente y EasySIGN al realizar una Suscripción, excepto en la medida en que se aplique la Ley de protección de datos aplicable obligatoria.
  4. Este acuerdo de procesamiento está sujeto a la ley holandesa. Cualquier disputa relacionada con la implementación del mismo se someterá al tribunal competente en Eindhoven.
   
En nombre del Procesador:
Nombre completo: Pablo Schoofs
Posición: Directora General
Dirección: Melkweg 5, 5527 CZ Hapert
Fecha: 21 de Marzo 2022
Firma:
 

Anexo 1 – Categorías de Sujetos de Datos
Los Datos Personales transferidos se refieren a las siguientes categorías de Sujetos de Datos:
  • Empresas
  • clientes de cliente
  • Empleados
  • Proveedores
 
Objeto del tratamiento
Uso de software para el diseño y fabricación de rótulos y otras producciones gráficas.

Naturaleza y finalidad del tratamiento
El Procesador recopila, almacena, procesa y utiliza los Datos personales de los Sujetos de datos en nombre del Controlador para ejecutar el acuerdo, que incluye:
  • Gestión de tareas, reuniones y llamadas;
  • Agregar Datos Personales a las herramientas de CRM con el fin de realizar un seguimiento de los correos electrónicos, gestionar contactos y empresas;
  • Seguimiento de un proceso de ventas;
  • Facturación;
  • Registro de tiempo;
  • Creación y gestión de tickets de soporte (incl. estadísticas de los mismos)
  • Creación y gestión de objetivos.
  • Voz sobre IP
 
Tipo de datos personales
Los Datos personales recopilados, procesados ​​y utilizados por el Procesador en nombre del Controlador se refieren a las siguientes categorías de datos personales: datos de uso y datos de contacto, más específicamente: Abonnementsgegevens:
  • la suscripción deseada;
  • nombre de usuario;
  • contraseña;
  Tus detalles:
  • nombre y apellido;
  • número de teléfono;
  • dirección de correo electrónico;
  • vorkeurtaal;
  Detalles de su empresa:
  • nombre de empresa;
  • dirección de facturación;
  • código postal y ciudad;
  • país;
  • dirección de correo electrónico;
  • Número de valor agregado;
  Detalles del pago:
  • IBAN y adscripción.
Persona de contacto en caso de brecha de seguridad
Esta será la persona que haya sido designada como persona de contacto para el acuerdo. Esto se puede encontrar iniciando sesión en www.EasySIGN.es en 'Mis datos'.

Contacto con el Procesador
Gerente de cumplimiento y privacidad: EasySIGN BV, Paul Schoofs support@easysign.com

Anexo 2 – Ficha de Medidas de Seguridad
Descripción de las Medidas de Seguridad Técnicas y Organizativas implementadas por el Encargado de conformidad con la Ley de Protección de Datos Aplicable: Este Apéndice describe las Medidas y procedimientos de Seguridad Técnicas y Organizativas que el Encargado debe mantener al menos para proteger la seguridad de los datos personales creados, recopilados, recibidos u obtenidos de otro modo.

General
Las medidas técnicas y organizativas pueden considerarse de última generación en el momento de la celebración del Contrato de Servicio. El Encargado evaluará las medidas técnicas y organizativas a lo largo del tiempo, teniendo en cuenta los costes de implementación, la naturaleza, el alcance, el contexto y los objetivos del tratamiento, y el riesgo de diferencias en el grado de probabilidad y gravedad para los derechos y libertades de las personas físicas.

Medidas técnicas detalladas
  Control de acceso lógico a los sistemas de EasySIGN, mediante contraseñas:
  • Todos los empleados de EasySIGN están informados y desconfían de la "Ingeniería social";
  EasySIGN monitorea sus sistemas 24/7:
  • La disponibilidad se mide cada cinco minutos.
  • El monitoreo de los servidores (virtuales) de EasySIGN lo lleva a cabo un equipo calificado de Ingenieros Operativos y Desarrolladores, por lo que se puede medir por máquina y por servicio si están disponibles y si brindan el rendimiento necesario para cumplir con los Niveles de Servicio acordados. Las alertas se realizan vía Whatsapp y vía e-mail.
Dependiendo de la configuración de los Clientes, EasySIGN generalmente funciona parcialmente en la nube. Esto significa que las licencias de inicio de sesión requieren la disponibilidad de los centros de datos de Wibu Systems (subcontratista Claranet GmbH) y Webwhales Woocommerce. El funcionamiento y la disponibilidad de los sistemas de acceso a licencias de clientes no dependen de los servidores locales de nuestra oficina en Hapert. EasySIGN utiliza protocolos de seguridad SSL. Existe un mecanismo adecuado y actualizado para detectar y manejar el software malicioso, incluidos los virus informáticos. Solo el personal autorizado puede acceder a los Datos Personales. Los empleados tienen una estricta obligación de confidencialidad, que se incluye en el contrato de trabajo. El edificio cuenta con sistema de alarma y es monitoreado 24/7 fuera del horario de oficina. Durante el horario de oficina la puerta está cerrada y el acceso solo es posible con cita previa y bajo la supervisión de un empleado de EasySIGN.

Log files
  Todas las acciones del usuario se registran y almacenan indefinidamente. Los registros constan de los siguientes componentes:
  • Correo entrante: todos los correos enviados a EasySIGN
  • Sitio web y software de EasySIGN: todas las acciones que el usuario realiza con EasySIGN y todos los errores que resultan de ello;
  Los siguientes datos personales están presentes en los registros:
  • Usuario
  • nombre del equipo
  • ID de usuario
  • Dirección IP
  • Dirección de correo electrónico / correo electrónico completo
Con estos datos es posible saber quién es este usuario y qué ha hecho esta persona. EasySIGN almacena el "Estado del flujo de trabajo del documento" en archivos de registro durante un período de tiempo indefinido y, por lo tanto, también lo almacena indefinidamente. En este registro, siempre puede verificar qué acciones se han realizado en los documentos, acciones como otorgar una licencia, cambiar el nombre, abrir, eliminar, dividir, agrupar, exportar, trazar, mensajes de error, etc. Estos datos de registro se almacenan en los servidores de producción. en bases de datos de registro. Esta es una base de datos diferente a la base de datos de la tienda web de WooCommerce.  

¿Preguntas?

Siempre puede comunicarse con nosotros si tiene preguntas sobre su privacidad o los datos que hemos recopilado sobre usted. Estar en contacto con nuestro equipo de soporte.

Are you ready to make things EASY?

COMPRA AHORA