En vigor a partir del 11 de febrero de 2022, v2.0

POS DPA

Consulta nuestro Acuerdo de Procesamiento de Datos para Mews POS.

Este Apéndice forma parte integrante de cualquier acuerdo que utilice las Condiciones de uso (las "Condiciones") o cualquier otro acuerdo celebrado entre Bizzon y tú (el "Comerciante", cualquier acuerdo de este tipo como el "Acuerdo"). El presente Addendum complementa los periodos de validez del Acuerdo; en caso de conflicto entre los periodos de validez del Acuerdo y del presente Addendum, prevalecerá el presente Addendum, a menos que las Partes acuerden explícitamente por escrito derogaciones específicas del presente Addendum en el Acuerdo. Este Anexo regula el Tratamiento cuando el Comerciante es un controlador y Bizzon es un procesador o subprocesador.

1. Definiciones

A efectos del presente Addendum, los términos en mayúsculas tendrán el significado que se les atribuye en esta Cláusula o en el cuerpo del presente Addendum. Los términos en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se les atribuye en el Contrato o en las Condiciones.

"Afiliada" significa, con respecto a una entidad, que una "Afiliada" es cualquier otra entidad que directa o indirectamente controle, esté controlada o bajo el control común de una parte. Una parte controla otra entidad si dicha entidad, directa o indirectamente, posee (i) el 20% o más de las acciones con derecho de voto ordinario para la elección de directivos de dicha entidad; o (ii) el poder de dirigir o provocar la dirección de la gestión o las políticas de la otra entidad, ya sea mediante la propiedad de valores con derecho a voto, por contrato o de otro modo;

"Usuario Autorizado" significa una persona autorizada por el Comerciante a tener acceso a la Cuenta y a proporcionar instrucciones y recibir comunicaciones de Bizzon, independientemente de que sea a través de la Cuenta, correo electrónico o cualquier otro medio;

"Controlador" significa una persona o entidad que determina los fines y medios del Tratamiento de Datos Personales;

"Legislación de Protección de Datos" se refiere a las Leyes de Protección de Datos de la UE, Leyes de Protección de Datos del Reino Unido, CCPA, y cualquier otra legislación de privacidad de datos aplicable del país de registro de Bizzon;

"Sujeto de los datos" significa la persona identificada o identificable a la que se refieren los datos personales;

Por"Leyes de protección de datos de la UE" se entiende el RGPD y la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE);

"RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);

"Personal" significa aquellos empleados, agentes, consultores, subcontratistas y otros terceros que sean contratados por Bizzon para que pueda cumplir sus obligaciones con el Comerciante en virtud del Acuerdo o del Anexo;

Por "Datos Personales" se entiende cualquier información relacionada con (i) una persona física identificada o identificable; o (ii) una persona jurídica identificada o identificable (cuando dicha información esté protegida por la Legislación de Protección de Datos de forma similar a los datos que identifican a una persona viva) tratada en virtud de este Anexo;

"Tratamiento" significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales, ya sea por medios automáticos, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción;

"Encargado del tratamiento" o"Subencargado del tratamiento" significa una persona o entidad que trata Datos Personales por cuenta de un Controlador o un Encargado del tratamiento, según corresponda;

"Cláusulas Contractuales Tipo", las cláusulas contractuales tipo anexas a la Decisión de Implementación 2021/914 de la Comisión Europea, de 4 de junio de 2021;

"Autoridad de Control": una autoridad pública independiente establecida por un Estado miembro de la UE u otro país en virtud del RGPD o de una ley correspondiente;

"Leyes de protección de datos del Reino Unido": todas las leyes relacionadas con la protección de datos, el tratamiento de datos personales, la privacidad y las comunicaciones electrónicas vigentes en Inglaterra y Gales, incluidos el RGPD del Reino Unido y la Ley de Protección de Datos de 2018; y

"RGPD del Reino Unido" significa el RGPD guardado en la legislación de Inglaterra y Gales en virtud de la sección 3 de la Ley de la Unión Europea (retirada) del Reino Unido de 2018.

2. Procesamiento de Bizzon

2.1. Tratamiento de datos personales.Bizzon y el Comerciante reconocen que el Comerciante es el Controlador o el Procesador principal con respecto a los Datos Personales. Bizzon tratará los Datos Personales únicamente como procesador o subprocesador (según corresponda al uso de los Servicios por parte del Comerciante) en nombre del Comerciante y sólo en la medida y de la manera en que sea necesario para los fines especificados por y de conformidad con el presente Anexo, el Contrato o según las instrucciones del Comerciante en cada momento. Cuando Bizzon crea razonablemente que la instrucción del Comerciante es contraria a: (i) las leyes y reglamentos aplicables o (ii) las disposiciones del Acuerdo o del Addendum, Bizzon hará todo lo razonablemente posible para informar al Comerciante y está autorizado a aplazar la ejecución de la instrucción pertinente hasta que haya sido modificada por el Comerciante en la medida requerida por Bizzon para satisfacer que dicha instrucción es legal, o sea mutuamente acordada por el Comerciante y Bizzon como legal.

2.2. Medidas técnicas y organizativas. Bizzon mantendrá e implementará medidas técnicas y organizativas razonables y adecuadas destinadas a proteger los Datos Personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, y en relación con la seguridad de los Datos Personales y las plataformas utilizadas para prestar los Servicios, tal y como se describe en la Legislación de Protección de Datos. En la implementación de dichas medidas, Bizzon tendrá derecho a tener en cuenta la práctica estándar actual para determinar lo que es razonable, así como la proporcionalidad del coste de la implementación de dichas medidas en relación con el daño potencial a los Sujetos de los datos relevantes contra los que se pretende proteger con la implementación de dichas medidas. En la fecha de este Addendum, Bizzon mantiene e implementa las medidas técnicas y organizativas del Anexo II de este Addendum.

2.3. Personal. Bizzon se asegurará de que su Personal involucrado en el Tratamiento esté informado de sus obligaciones y responsabilidades, haya recibido la formación adecuada y esté informado de la naturaleza confidencial de los Datos Personales. Bizzon se asegurará de que el acceso del Personal a los Datos Personales se limite a aquellos que presten Servicios de conformidad con el Acuerdo, y las obligaciones de confidencialidad del Personal serán sustancialmente las mismas que las establecidas en el Acuerdo y el Apéndice, y sobrevivirán a la finalización del engagement del Personal.

2.4. Notificaciones. Bizzon lo notificará por escrito al Comerciante tan pronto como sea comercialmente razonable:

  • 2.4.1. de cualquier comunicación recibida de un individuo relacionada con (i) los derechos de un individuo a acceder, modificar, corregir, eliminar o bloquear sus Datos Personales; (ii) el derecho de un individuo a rectificar, restringir o eliminar sus Datos Personales, a la portabilidad de los datos, a oponerse al Tratamiento y a no estar sujeto a la toma de decisiones automatizada; y (iii) cualquier queja sobre el Tratamiento del Comerciante;
  • 2.4.2. de cualquier citación u otra orden o procedimiento judicial o administrativo que solicite el acceso o la divulgación de Datos Personales;
  • 2.4.3. de cualquier queja, notificación u otra comunicación relacionada con el cumplimiento por parte del Comerciante de la ley de protección de datos y privacidad y el Tratamiento de Datos Personales; Bizzon proporcionará al Comerciante cooperación y asistencia comercialmente razonables (a expensas del Comerciante) en relación con dicha queja, notificación o comunicación; y
  • 2.4.4. de una violación material de la seguridad de los Servicios que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso no autorizado a los Datos Personales de la que tengamos conocimiento, de conformidad con la legislación aplicable (cada una de ellas una "Violaciónde la Seguridad"); Bizzon hará esfuerzos razonables para identificar la causa de dicha Violación de la Seguridad y tomará las medidas que sean necesarias y razonables, y que sean aceptables para el Comerciante, con el fin de remediar la causa de dicha Violación de la Seguridad en la medida en que el remedio esté dentro del control razonable de Bizzon.

Las presentes obligaciones no se aplicarán a las incidencias causadas por el Comerciante.

2.5. Sin reconocimiento. El Comerciante acepta que la obligación de Bizzon de notificar una Violación de la Seguridad no es ni será interpretada como un reconocimiento por parte de Bizzon de ninguna culpa o responsabilidad de Bizzon con respecto a dicha Violación de la Seguridad.

2.6. Devolución y borrado de datos. Sujeto a las limitaciones establecidas en la legislación aplicable, Bizzon devolverá al Comerciante todos los Datos Personales persistentes (si no se han eliminado ya de conformidad con la legislación aplicable) siguiendo procedimientos estandarizados y dentro de plazos comercialmente razonables.

2.7. Bizzon cumplimiento. Bizzon cumplirá la Legislación sobre Protección de Datos aplicable a sus propias operaciones y a la prestación de los Servicios, así como sus obligaciones en virtud del presente Anexo.

2.8. Intercambio de datos. Al habilitar o aceptar el intercambio de datos dentro de la Cuenta con cualquier tercero, el Comerciante da instrucciones a Bizzon de conformidad con el Art. 28(3)(a) del RGPD para proporcionar acceso a todos los Datos Personales y a cualquier otro dato procesado dentro de la Cuenta Bizzon del Comerciante a dichos terceros. El Comerciante es responsable de obtener todos los consentimientos necesarios de los Sujetos de los datos o de cualquier otro tercero con el intercambio de datos, tal y como exige la Legislación de Protección de Datos aplicable. El Comerciante indemnizará, defenderá y mantendrá indemne a Bizzon y a sus Afiliados frente a cualquier reclamación presentada por un Sujeto de los datos o cualquier tercero, derivada de la violación de esta cláusula, incluyendo todas las responsabilidades, daños, pérdidas, costes y gastos.

2.9. Integraciones. Los servicios ofrecen varias integraciones. Al conectarse o suscribirse a la integración respectiva a través de la Cuenta, el Comerciante da instrucciones a Bizzon de conformidad con el Art. 28 (3)(a) del RGPD para proporcionar acceso a los Datos Personales procesados dentro de la Cuenta al respectivo Comerciante de integración, según se requiera para la interoperación de los servicios o producto de integración con los Servicios.

2.10. Auditoría. El Comerciante tendrá derecho a realizar una auditoría para verificar el cumplimiento por parte de Bizzon de sus obligaciones establecidas en el Art. 28 del RGPD y en este Anexo. Bizzon permitirá al Comerciante llevar a cabo la auditoría bajo las siguientes condiciones:

  • 2.10.1. el Comerciante solicita a Bizzon que lleve a cabo la auditoría mediante una notificación por escrito en la que se especifique el orden del día de dicha auditoría con al menos 30 (treinta) días de antelación;
  • 2.10.2. la auditoría no tendrá lugar más de una vez al año;
  • 2.10.3. todos los costes y gastos vinculados correrán a cargo del Comerciante y serán reembolsados a Bizzon a petición de éste; y
  • 2.10.4. la auditoría no durará más del equivalente a 1 jornada laboral (8 horas) del representante de Bizzon.

En caso de que el Comerciante solicite la auditoría a través de terceros independientes - auditor externo autorizado, Bizzon podrá oponerse a que un auditor externo autorizado designado por el Comerciante lleve a cabo la auditoría si el auditor, en opinión razonable de Bizzon, no está debidamente cualificado o no es independiente, es un competidor de Bizzon, o es manifiestamente inadecuado por cualquier otro motivo. Cualquier objeción de este tipo obligará a Comerciante a nombrar a otro auditor. En caso de que el Comerciante requiera más de una auditoría dentro de un año natural, el Comerciante deberá obtener el permiso previo por escrito de Bizzon y deberá asumir el coste vinculado a dichas auditorías y reembolsar a Bizzon todos los costes razonablemente incurridos de dichas auditorías. A petición del Comerciante, Bizzon proporcionará al Comerciante el coste estimado en el que espera incurrir durante dicha auditoría según el alcance especificado en la agenda proporcionada por el Comerciante.

3. La tramitación del comerciante

3.1. El procesamiento del comerciante. El Comerciante, en su uso de los Servicios, tratará los Datos Personales de acuerdo con los requisitos de la Legislación sobre Protección de Datos. Para evitar cualquier duda, el Comerciante garantiza que sus instrucciones para el Tratamiento de Datos Personales cumplirán con la Legislación de Protección de Datos y que no dará ninguna instrucción u orden que ordene a Bizzon tomar ninguna acción o curso de acción que sea ilegal o que de otro modo no cumpla con la Legislación de Protección de Datos. El Comerciante será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los que el Comerciante adquirió los Datos Personales.

3.2. Cumplimiento del comerciante. Además de las obligaciones del Comerciante estipuladas en el Contrato, el Comerciante es responsable de (i) la integridad, seguridad, mantenimiento y protección adecuada de los Datos Personales, y (ii) garantizar su cumplimiento de cualquier ley y normativa aplicable en materia de privacidad, protección de datos y seguridad en relación con: (a) su Tratamiento de los Datos Personales; (b) su uso de los Servicios; y (c) todos los requisitos de registro o notificación a los que esté sujeto el Comerciante en virtud de la legislación aplicable.

3.3. Notificaciones. El Comerciante acepta realizar las notificaciones necesarias y obtener los consentimientos y derechos necesarios de las personas en relación con la prestación de los Servicios por parte de Bizzon al Comerciante. Cuando Bizzon reciba una comunicación descrita en las Cláusulas 2.4.1 o 2.4.3 anteriores y notifique al Comerciante de dicha comunicación, es responsabilidad del Comerciante responder y tomar cualquier otra acción apropiada con respecto a la comunicación. El Comerciante se compromete a notificar inmediatamente a Bizzon cualquier uso no autorizado de los Servicios o de la Cuenta o cualquier otra violación de la seguridad que afecte a los Servicios.

3.4. Medidas técnicas y organizativas. El Comerciante es el único responsable de la implementación y el mantenimiento de las medidas de seguridad y otras medidas técnicas y organizativas adecuadas a la naturaleza y el volumen de los Datos Personales que el Comerciante almacena o procesa de otro modo utilizando los Servicios . El Comerciante también es responsable del uso de los Servicios por parte de cualquiera de sus empleados, de cualquier persona a la que el Comerciante autorice a acceder o utilizar los Servicios, y de cualquier persona que obtenga acceso a los Datos Personales o a los Servicios como resultado de su incumplimiento de las precauciones de seguridad razonables, incluso si dicho uso no fue autorizado por el Comerciante.

4. Cooperación

4.1. Cooperación entre Comerciantes y Bizzon. El Comerciante y Bizzon acuerdan cooperar de una manera comercialmente razonable según se requiera razonablemente para proteger los Datos Personales en virtud de las leyes aplicables, los artículos 35 y 36 del RGPD para llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por parte del Comerciante, en la medida en que el Comerciante no tenga acceso de otro modo a la información relevante, y en la medida en que dicha información esté disponible para Bizzon. El Comerciante debe cooperar con la investigación razonable de Bizzon sobre las interrupciones de los Servicios, los problemas de seguridad y cualquier sospecha de Violación de la Seguridad. El Comerciante proporcionará asistencia razonable a Bizzon en la cooperación o consulta previa con la Autoridad de Supervisión en el desempeño de sus tareas relacionadas con esta Cláusula, en la medida en que lo requiera la legislación aplicable.

4.2. Asistencia de Bizzon. Durante el periodo de validez del Acuerdo, el Comerciante puede solicitar que Bizzon preste asistencia a los esfuerzos del Comerciante para cumplir con las obligaciones del Comerciante en virtud de las leyes aplicables, siempre que (i) dicha asistencia solicitada sea relevante para los Servicios que soportan el Tratamiento de Datos Personales, (ii) dicha asistencia solicitada sea comercialmente razonable y proporcional al objetivo del ejercicio con el que se solicita la asistencia de Bizzon, y (iii) todos los costes y gastos vinculados de Bizzon (incluido el coste del tiempo de su personal) correrán a cargo del Comerciante y se reembolsarán a Bizzon previa solicitud.

5. Subprocesamiento

5.1. Subprocesadores. En relación con terceros o la subcontratación del Tratamiento, Bizzon sólo podrá autorizar a un tercero (Subencargado del Tratamiento) a Tratar los Datos Personales con el consentimiento previo del Comerciante y siempre que las disposiciones relacionadas con el tratamiento de datos y la protección de datos en el contrato del Subencargado del Tratamiento con respecto a los Datos Personales sean en términos sustancialmente iguales a los establecidos en este Apéndice, siempre que el contrato del Subencargado del Tratamiento con respecto a los Datos Personales termine automáticamente al rescindirse el Acuerdo por cualquier motivo. A los efectos del presente documento, los siguientes subprocesadores son aprobados por el Comerciante mediante la firma del presente Anexo: (i) los Subprocesadores enumerados en el Anexo III del presente documento; (ii) las Filiales de Bizzon; y (iii) cualquier Subprocesador autorizado por el Comerciante a través de su Usuario Autorizado mediante la autorización de una integración con los Servicios a través de la Cuenta o de otro modo. Bizzon puede, durante el periodo de validez del acuerdo, involucrar a nuevos Subencargados del Tratamiento, siempre que dichos Subencargados sólo accedan y utilicen los Datos Personales en la medida necesaria para cumplir las obligaciones que le han sido subcontratadas.

5.2. Objeciones. El Comerciante puede oponerse razonablemente a que Bizzon utilice un nuevo Subprocesador notificándolo a Bizzon puntualmente por escrito dentro de los diez (10) días laborales siguientes a la recepción de la notificación de Bizzon. En caso de que el Comerciante se oponga a un nuevo Subprocesador, Bizzon realizará esfuerzos razonables para (i) añadir salvaguardas adicionales (que cubran las preocupaciones especificadas); (ii) cambiar el Subprocesador (frente al Subprocesador); o (iii) poner a disposición del Comerciante un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o uso de los Servicios por parte del Comerciante para evitar el Procesamiento por parte del Subprocesador objetado, sin que ello suponga una carga injustificada para el Comerciante. Si Bizzon no puede poner a disposición dicho cambio en un periodo de tiempo razonable, que no excederá de treinta (30) días, el Comerciante podrá rescindir únicamente la parte de los Servicios que Bizzon no pueda prestar sin el uso del Subprocesador objetado, notificándolo por escrito a Bizzon. Bizzon reembolsará al Comerciante cualquier tasa prepagada que cubra el resto del periodo de validez del Acuerdo tras la fecha efectiva de rescisión con respecto a dicha parte de los Servicios rescindida, lo que representará el único y exclusivo recurso del Comerciante en relación con la introducción de un nuevo Subprocesador.

5.3. Responsabilidad. Bizzon será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que Bizzon sería responsable si realizara los Servicios de cada Subprocesador directamente en virtud de los periodos de validez de este Apéndice, salvo que se establezca lo contrario en el Acuerdo.

6. Transferencia de datos

6.1. Espacio Económico Europeo. Las Partes acuerdan que los Datos Personales pueden transferirse del Espacio Económico Europeo a un tercer país sólo si se aplica una de las siguientes condiciones:

  • 6.1.1. existe una decisión aplicable de la Comisión Europea que establece que el tercer país garantiza un nivel de protección adecuado;
  • 6.1.2. la transferencia puede tener lugar porque Bizzon ha proporcionado las garantías adecuadas de acuerdo con el Art. 46 del RGPD, y a condición de que se disponga de derechos exigibles del Sujeto de los datos y de recursos legales efectivos para los Sujetos de los datos; o
  • 6.1.3. las derogaciones para situaciones específicas en virtud del Art. Se aplica el artículo 49 del RGPD.

6.2. Cláusulas contractuales tipo. A efectos de la Cláusula 6.1.2 anterior, las Partes acuerdan que las Cláusulas Contractuales Tipo se consideren garantías adecuadas. Para permitir la transferencia de datos desde y a terceros países hacia y desde el Espacio Económico Europeo o el Reino Unido (según proceda), las Cláusulas Contractuales Tipo (las"CCC") se incorporan por referencia al presente Addendum y forman parte integrante del mismo como se indica a continuación:

  • 6.2.1. A efectos de los Datos Personales que están sujetos a las Leyes de Protección de Datos de la UE (los"Datos de la UE"):
    • 6.2.1.1. Cuando el comerciante sea controlador, se aplicará el módulo dos (de controlador a procesador) de las CEC; cuando el comerciante sea procesador, se aplicará el módulo tres (de procesador a subprocesador) de las CEC;
    • 6.2.1.2. en la Cláusula 9, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de los cambios del subprocesador será el establecido en la Cláusula 5 (Subprocesamiento) del presente Anexo;
    • 6.2.1.3. en la cláusula 11, no se aplicará la redacción opcional;
    • 6.2.1.4. en la Cláusula 17, se aplicará la Opción 1, y los CEC de la UE se regirán por la legislación holandesa;
    • 6.2.1.5. en la Cláusula 18(b), los litigios se resolverán ante los tribunales de los Países Bajos;
    • 6.2.1.6. El Anexo I de los SCC se considerará completado con la información que figura en el Anexo I de este Addendum;
    • 6.2.1.7. El Anexo II de las CEC se considerará completado con la información que figura en el Anexo II de la presente Adenda;
  • 6.2.2. La transferencia de los Datos Personales sujetos a las Leyes de Protección de Datos del Reino Unido (los"Datos del Reino Unido") se regirá por el Anexo IV - Apéndice del Reino Unido a las CEC.

7. Comunicación

El Comerciante acepta que cualquier Usuario Autorizado del Comerciante pueda ser contactado y tendrá derecho a recibir cualquier comunicación relacionada con este Anexo.

8. CCPA

8.1. Aplicabilidad. Bizzon reconoce que, cuando se aplica la legislación del Estado de California, actúa como Proveedor de Servicios con respecto a los Datos Personales.

8.2. Obligaciones de Bizzon. Salvo que lo prescriba la legislación aplicable o lo acuerden expresamente las Partes, Bizzon no podrá:

  • 8.2.1. vender los Datos Personales;
  • 8.2.2. retener, utilizar o revelar los Datos Personales para cualquier otro fin que no sea el específico de la prestación de los Servicios;
  • 8.2.3. conservar, utilizar o revelar los Datos Personales para un fin comercial distinto del especificado en el Acuerdo; o
  • 8.2.4. conservar, utilizar o divulgar los Datos Personales fuera de la relación comercial directa entre Bizzon y el Comerciante.

8.3. Compromiso. Bizzon certifica que entiende y cumplirá con las responsabilidades y restricciones impuestas por este Apéndice, la CCPA y otras leyes y reglamentos de protección de datos aplicables.

8.4. En esta Cláusula 8:

  • 8.4.1. "CCPA" se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California §§1798.100 y siguientes, incluidas las enmiendas y normativas de implementación que entren en vigor en la fecha de entrada en vigor de este Apéndice o con posterioridad a la misma; y
  • 8.4.2. "Proveedor de servicios" tiene el significado establecido en la sección 1798.140(v) de la CCPA.

9. Cláusulas específicas de EE.UU.

9.1. Aplicabilidad. Esta Cláusula 9 sólo se aplica si el Comerciante está constituido en los Estados Unidos de América.

9.2. COPPA. Proteger la intimidad de los niños es especialmente importante. La Ley de Protección de la Privacidad de los Niños en Internet ("COPPA") exige que los proveedores de servicios en línea obtengan el consentimiento paterno antes de recopilar a sabiendas Datos Personales de niños menores de 13 años en los Estados Unidos de América. Bizzon respeta el rol de los padres o tutores en la supervisión de las actividades online de sus hijos. En consecuencia, Bizzon limita su recogida de Datos Personales de niños a no más de lo razonablemente necesario para participar en los Servicios y para mejorarlos. Bizzon no recopila ningún dato personal de niños que no esté establecido en el Acuerdo. Bizzon se reserva el derecho a rechazar el Tratamiento de los datos suministrados por el Comerciante que infrinjan la presente Cláusula.

9.3. Uso por terceros de los datos del comerciante. A menos que se acuerde lo contrario, todos los datos proporcionados a Bizzon por el Comerciante son Información Confidencial y Bizzon no utilizará ningún dato para otros fines que no sean el ejercicio de sus derechos y el cumplimiento de sus obligaciones en relación con los Servicios. El Comerciante reconoce que, para la correcta ejecución de los Servicios, la información facilitada a Bizzon por el Comerciante será puesta a disposición de terceros para permitir la ejecución de los Servicios. El comerciante reconoce que dichos terceros no son representantes de Bizzon y que Bizzon no es responsable de los actos y omisiones de dichos terceros. Bizzon exige a los terceros a los que se faciliten Datos Personales que apliquen el mismo nivel de protección de la privacidad que se establece en el presente Anexo y que exijan las leyes aplicables. La forma en que pueden utilizarse los datos de cualquier comerciante está cubierta por la política de privacidad de Bizzon.

10. Disposiciones finales

10.1. Beneficiarios de terceros. Los Sujetos de los datos son los únicos terceros beneficiarios de los CEC, y no hay otros terceros beneficiarios del Acuerdo y del presente Addendum. No obstante lo anterior, el Contrato y los términos de este Apéndice se aplican únicamente a las partes y no confieren ningún derecho a ningún Afiliado del Comerciante, a los usuarios finales del Comerciante ni a ningún sujeto de los datos de terceros.

10.2. Legislación aplicable. El Acuerdo rige todas las reclamaciones presentadas en virtud de este Addendum.

10.3. Responsabilidad. Los recursos del Comerciante, incluidos los de sus Afiliados, y la responsabilidad de Bizzon, derivados o relacionados con este Anexo y los CCE estarán sujetos a las limitaciones de responsabilidad y exenciones de responsabilidad del Contrato. En caso de que no se estipulen limitaciones de responsabilidad en el Acuerdo, las Partes acuerdan y declaran que el daño total que pueda derivarse del incumplimiento de este Addendum y de las CEC no excederá de diez mil euros.

10.4. Periodo de validez. Tras la finalización del Acuerdo, este Anexo continuará en vigor hasta que Bizzon deje de procesar los Datos Personales en nombre del Comerciante.

10.5. Terminación. Bizzon podrá rescindir el presente Anexo si ofrece al Comerciante mecanismos alternativos que cumplan con las obligaciones de la legislación aplicable en materia de privacidad de datos.

10.6. Contrapartes. Este Addendum puede firmarse en varios ejemplares, que se considerarán un único original.

Anexo I

A.- Lista de Partes

Exportador de datos

El exportador de datos es el Comerciante

Importador de datos

El importador de datos es Bizzon

B. - Descripción de la transferencia

Categorías de sujetos de los datos

Los datos personales transferidos se refieren a individuos (clientes o clientes potenciales) que utilizan los servicios del comerciante.

Categorías de datos personales

Los datos personales transferidos se refieren a las siguientes categorías de datos: información de contacto e identificación (incluyendo nombre, cargo, correo electrónico y dirección), detalles de pago, números de tarjeta, nombres de titulares de tarjetas y detalles de servicios del Comerciante y datos limitados de conexión y ubicación (ciudad) en formato electrónico que se transfieren al importador de datos en el contexto de los Servicios de Bizzon' (proporcionados por el subprocesador/importador correspondiente).

Categorías especiales de datos personales

Los datos sensibles, como las necesidades alimentarias, pueden transferirse si los sujetos de los datos deciden compartir información de esa naturaleza. Se aplican las medidas técnicas y organizativas del Anexo II.

Operaciones de tratamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento: Recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o combinación, restricción, supresión o destrucción. El comerciante debe tomar precauciones de seguridad razonables en relación con su uso de los servicios, incluyendo la encriptación adecuada de cualquier dato personal almacenado o transmitido por el sistema alojado.

Frecuencia de transferencia

Continuo

Naturaleza y asunto del tratamiento

  • i. almacenamiento (host) y otros procesamientos necesarios para prestar, mantener y mejorar los Servicios;
  • ii. Atención al cliente proporcionada al comerciante caso por caso;
  • iii. revelaciones de conformidad con el Acuerdo, según lo exija la ley; y
  • iv. recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.

Duración del tratamiento

Periodo de validez

Finalidad(es) de la transferencia de datos y del tratamiento posterior

(i) Procesamiento para proporcionar, mantener, respaldar y mejorar los Servicios prestados al Comerciante de conformidad con el Contrato;

(ii) Procesamiento iniciado por particulares en su uso de los Servicios; y

(iii) Procesamiento para cumplir otras instrucciones razonables documentadas proporcionadas por el Comerciante (por ejemplo, a través del correo electrónico) cuando dichas instrucciones sean coherentes con los periodos de validez del Acuerdo (incluido este Anexo).

C. - Autoridad de control competente

Con respecto a los Datos de la UE, la autoridad supervisora competente es la Autoridad Holandesa de Protección de Datos (la"Autoridad Holandesa").

Anexo II - Medidas técnicas y organizativas

A continuación se describen las medidas de seguridad técnicas y organizativas implementadas por Bizzon de conformidad con el presente Anexo.

1. CONTROL DE ACCESO

1.1. Se impedirá que personas no autorizadas accedan físicamente a los locales, edificios o habitaciones donde se encuentren los sistemas de tratamiento de datos que traten datos personales. Se pueden conceder excepciones con el fin de auditar las instalaciones a auditores terceros siempre que estén supervisados por Bizzon y no tengan acceso a los datos personales por sí mismos.

1.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 1.2.1. controles para especificar las personas autorizadas a acceder a los datos personales;
  • 1.2.2. implementó un proceso de control de acceso para evitar el acceso no autorizado a las instalaciones de la empresa;
  • 1.2.3. implementación de un proceso de control de acceso para restringir el acceso a los centros de datos / habitaciones donde se encuentran los servidores de datos;
  • 1.2.4. utiliza dispositivos de videovigilancia y alarma con referencia a las zonas de acceso; y
  • 1.2.5. garantizar que el personal sin autorización de acceso (por ejemplo, técnicos, personal de limpieza) esté acompañado en todo momento cuando acceda a las zonas de procesamiento de datos.

2. CONTROL DE ACCESO AL SISTEMA

2.1. Hay que impedir que los sistemas de tratamiento de datos se utilicen sin autorización.

2.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 2.2.1. garantizar que todos los sistemas que procesen datos personales (esto incluye el acceso remoto) estén protegidos por contraseña:
    • 2.2.1.1. después de las secuencias de arranque, y
    • 2.2.1.2. cuando se deja aunque sea por un periodo breve;
  • 2.2.2. impedir que personas no autorizadas accedan a los datos personales;
  • 2.2.3. proporciona ID de usuario dedicados para la autenticación frente a la gestión de usuarios de sistemas para cada individuo;
  • 2.2.4. asigna contraseñas individuales de usuario para la autenticación;
  • 2.2.5. garantizar que el control de acceso esté respaldado por un sistema de autenticación;
  • 2.2.6. controles para conceder acceso sólo al personal autorizado y asignar únicamente los permisos mínimos necesarios para que dicho personal acceda a los datos personales en el desempeño de su función;
  • 2.2.7. implementó una política de contraseñas que prohíbe compartir contraseñas, describe los procesos tras la revelación de una contraseña y exige el cambio periódico de contraseñas;
  • 2.2.8. garantiza que las contraseñas se almacenan siempre de forma encriptada;
  • 2.2.9. implementación de un procedimiento adecuado para desactivar la cuenta de usuario, cuando un usuario abandona la empresa o la función;
  • 2.2.10. implementado un proceso adecuado para ajustar los permisos de administrador, cuando un administrador abandona la empresa o la funcionalidad; y
  • 2.2.11. implementó un proceso para registrar todos los accesos a los sistemas y revisar esos registros en busca de incidentes de seguridad.

3. CONTROL DE ACCESO

3.1. Las personas autorizadas a utilizar un sistema de tratamiento de datos sólo podrán acceder a los datos a los que tengan derecho de acceso, y los datos personales no podrán ser leídos, copiados, modificados o eliminados sin autorización en el curso del tratamiento.

3.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 3.2.1. acceso restringido a archivos y programas basado en la "necesidad de conocer";
  • 3.2.2. almacenan soportes físicos que contienen datos personales en zonas seguras;
  • 3.2.3. controles para impedir el uso/instalación de hardware y/o software no autorizados;
  • 3.2.4. normas establecidas para la destrucción segura y permanente de los datos que ya no sean necesarios; y
  • 3.2.5. controles para conceder acceso sólo al personal autorizado y asignar únicamente los permisos mínimos necesarios para que dicho personal acceda a los datos personales en el desempeño de su función.

4. CONTROL DE TRANSMISIÓN DE DATOS

4.1. Los datos personales no deben ser leídos, copiados, modificados o eliminados sin autorización durante su transferencia o almacenamiento, y deberá ser posible determinar a quién se transfirieron los datos personales.

4.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 4.2.1. encripta los datos durante cualquier transmisión y en reposo;
  • 4.2.2. transportar soportes físicos que contengan datos personales en contenedores sellados; y
  • 4.2.3. tienen notas de envío y entrega.

5. CONTROL DE ENTRADA DE DATOS

5.1. Bizzon podrá examinar retrospectivamente y determinar si se han introducido datos personales en los sistemas de procesamiento de datos, o si se han modificado o eliminado, y quién lo ha hecho.

5.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 5.2.1. controles para registrar las actividades de administradores y usuarios; y
  • 5.2.2. controles para permitir que sólo el personal autorizado modifique los datos personales en el ámbito de su función.

6. CONTROL DEL TRABAJO

6.1. Los datos personales que se traten en la realización de un servicio para la empresa se tratarán únicamente de acuerdo con el contrato de servicios vigente entre la empresa y Bizzon y de acuerdo con las instrucciones de la empresa.

6.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 6.2.1. ha establecido controles para garantizar el tratamiento de datos personales sólo para la ejecución contractual;
  • 6.2.2. controles para garantizar que los miembros del personal y los contratistas cumplen las instrucciones escritas o los contratos; y
  • 6.2.3. garantizar que los datos estén siempre separados física o lógicamente para que, en cada paso del tratamiento, pueda identificarse al cliente del que proceden los datos personales.

7. CONTROL DE DISPONIBILIDAD

7.1. Los datos personales se protegerán contra la divulgación, la destrucción accidental o no autorizada y la pérdida.

7.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 7.2.1. arreglos para crear copias de seguridad almacenadas en entornos especialmente protegidos;
  • 7.2.2. disposiciones para realizar pruebas periódicas de restauración a partir de esas copias de seguridad;
  • 7.2.3. planes de contingencia o estrategias de recuperación empresarial;
  • 7.2.4. controles para garantizar que los datos personales no se utilicen para fines distintos de aquellos para los que han sido contratados; y
  • 7.2.5. controles para impedir la retirada de datos personales de los ordenadores o locales comerciales del importador de datos por cualquier motivo (a menos que el exportador de datos haya autorizado específicamente dicha retirada con fines comerciales);
  • 7.2.6. controla que sólo se utilicen equipos comerciales autorizados para realizar los servicios;
  • 7.2.7. controles para garantizar que siempre que un miembro del personal deje su escritorio desatendido durante el día y antes de abandonar la oficina al final de la jornada, coloque los materiales que contengan datos personales en un entorno seguro, como un cajón de escritorio cerrado con llave, un archivador u otro espacio de almacenamiento seguro. (escritorio limpio);
  • 7.2.8. implementado un proceso para la eliminación segura de documentos o soportes de datos que contengan datos personales;
  • 7.2.9. implementación de cortafuegos de red para impedir el acceso no autorizado a sistemas y servicios; y
  • 7.2.10. garantizar que cada sistema utilizado para procesar datos personales funciona con una solución antivirus actualizada.

8. REQUISITOS DE LA ORGANIZACIÓN

8.1. La organización interna del importador de datos deberá cumplir los requisitos específicos de la protección de datos. En particular, el importador de datos adoptará medidas técnicas y organizativas para evitar la mezcla accidental de datos personales.

8.2. Bizzon garantiza que ha implementado (sin limitación) los siguientes controles:

  • 8.2.1. designado un responsable de protección de datos (o una persona responsable si la ley no exige un responsable de protección de datos);
  • 8.2.2. obtener el compromiso escrito de los empleados de mantener la confidencialidad;
  • 8.2.3. personal formado en privacidad de datos y seguridad de los datos;
  • 8.2.4. implementado un proceso formal de respuesta a incidentes de seguridad que se siga de forma coherente para la gestión de incidentes de seguridad; y
  • 8.2.5. personal formado en los roles de respuesta a incidentes de seguridad sobre el proceso de incidentes de seguridad.

Anexo III - Subtransformadores aprobados

La lista de subprocesadores aprobados de Bizzon está disponible en Subprocesadores aprobados.

Anexo IV - Apéndice del Reino Unido a los SCC

Fecha de esta Adenda

1. Este Apéndice del Reino Unido entra en vigor a partir de: La misma fecha que el Acuerdo.

Antecedentes

2. La Oficina del Comisario de Información considera que este Apéndice del Reino Unido proporciona las salvaguardias adecuadas a efectos de transferencias de datos personales a un tercer país o a una organización internacional en virtud del artículo 46 del RGPD del Reino Unido y, con respecto a las transferencias de datos de controladores a procesadores, o de procesadores a procesadores.

Interpretación de este Apéndice del Reino Unido

3. Cuando este Apéndice RU utilice periodos de validez definidos en los CEC, dichos periodos tendrán el mismo significado que en los CEC.

4. Este Apéndice del Reino Unido debe leerse e interpretarse a la luz de las disposiciones de las Leyes de Protección de Datos del Reino Unido, y de modo que si cumple la intención de que proporcione las salvaguardias apropiadas según lo requerido por el artículo 46 del RGPD.

5. Este Apéndice del Reino Unido no se interpretará de forma que entre en conflicto con los derechos y obligaciones previstos en las Leyes de Protección de Datos del Reino Unido.

6. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) significa que la legislación (o disposición específica) puede cambiar con el tiempo. Esto incluye los casos en los que esa legislación (o disposición específica) se haya consolidado, vuelto a promulgar o sustituido después de la entrada en vigor de este Apéndice del Reino Unido.

Jerarquía

7. En caso de conflicto o incoherencia entre este Apéndice del Reino Unido y las disposiciones de los CEC u otros acuerdos relacionados entre las Partes, existentes en el momento en que se acuerde este Apéndice del Reino Unido o celebrados con posterioridad, prevalecerán las disposiciones que proporcionen la mayor protección a los sujetos de los datos.

Incorporación de los SCC

8. Este Apéndice del RU incorpora los CCE que se consideran modificados en la medida necesaria, para que funcionen:

  • a. para las transferencias realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia; y
  • b. proporcionar las garantías adecuadas para las transferencias de conformidad con el artículo 46 del RGPD del Reino Unido.
  • c. donde Comerciante es Controlador se aplicará el Módulo Dos (Controlador a Procesador) de los SCC, donde Comerciante es Procesador se aplicará el Módulo Tres (Procesador a Subprocesador) de los SCC;
  • d. en la Cláusula 9 de las CEC, se aplicará la Opción 2, y el periodo de tiempo para la notificación previa de los cambios del subencargado del tratamiento será el establecido en la Cláusula 5 (Subtratamiento) del presente APD;
  • e. en la cláusula 11 de los CEC, no se aplicará el lenguaje opcional;

9. Las modificaciones requeridas por la sección 7 anterior, incluyen (sin limitación):

  • a. Las referencias a las "CEC" significan esta Adenda del Reino Unido, ya que incorpora las CEC.
  • b. La cláusula 6 Descripción de la(s) transferencia(s) se sustituye por: "Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren) son los especificados en el Anexo I.B de la Adenda, cuando las Leyes de Protección de Datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia.";
  • c. El Anexo II de las CEC se considerará completado con la información que figura en el Anexo II de la Adenda;
  • d. Las referencias al "Reglamento (UE) 2016/679" o "dicho Reglamento" se sustituyen por "Leyes de Protección de Datos del Reino Unido" y las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido;
  • e. Se eliminan las referencias al Reglamento (UE) 2018/1725;
  • f. Las referencias a la "Unión", la "UE" y el "Estado miembro de la UE" se sustituyen por el "Reino Unido";
  • g. La cláusula 13(a) y la Parte C del Anexo II no se utilizan; la "autoridad supervisora competente" es la Oficina del Comisario de Información;
  • h. Se sustituye la cláusula 17 para que diga "Estas CEC se rigen por las leyes de Inglaterra y Gales";
  • i. Se sustituye la cláusula 18 para que diga: "Cualquier litigio derivado de estas CEC será resuelto por los tribunales de Inglaterra y Gales. El sujeto de los datos también puede emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales. ";
  • j. Las notas a pie de página de los SCC no forman parte del Addendum.