Acuerdo de procesamiento de datos de EngageBay (cumple con GDPR)

Última actualización el 03/10/2023

1. Alcance y objeto del acuerdo


Este Procesamiento de datos ("DPA") refleja el acuerdo de las partes con respecto a los términos que rigen el procesamiento de Datos personales según los términos de EngageBay. Términos de servicio Este DPA es una enmienda a los TOS y entra en vigencia a partir de su incorporación a los TOS, cuya incorporación puede especificarse en una Orden o una enmienda ejecutada a los TOS. Tras su incorporación a los TOS, el DPA formará parte de los TOS.

2. Definiciones


En este acuerdo:

  • (a) "Servicios" significa los servicios proporcionados al Cliente según los TOS;
  • (b) "Datos personales" significa cualquier información relativa a una persona física identificada o identificable ("titular de los datos");
  • (c) "Cliente", "responsable" o "usted" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del procesamiento de datos personales;
  • (d) "Procesador", "EngageBay" o "nosotros" significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador;
  • (e) "Proceso/procesamiento" significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o sobre conjuntos de datos personales, ya sea por medios automatizados o no, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración. , recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado o destrucción;
  • (f) "Subprocesador" o "Subcontratista" significa un tercero subcontratista contratado por el procesador que, como parte de la función del subcontratista de prestar los Servicios, procesa Datos personales del Cliente;
  • g) "Medidas de seguridad técnicas y organizativas": aquellas medidas destinadas a garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras cosas, la seudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes del procesamiento. sistemas y servicios, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico, un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad de el procesamiento.
  • (h) “Leyes de protección de datos” significa todas las leyes y regulaciones, incluidas las leyes y regulaciones de la Unión Europea, el Espacio Económico Europeo y sus estados miembros, aplicables al procesamiento de datos personales en virtud del Acuerdo.

3. Aplicación de este acuerdo


a) todos los Datos enviados desde la fecha de este acuerdo por el Cliente a EngageBay para su Procesamiento;

b) todos los Datos a los que EngageBay acceda bajo la autoridad del Cliente para su Procesamiento desde la fecha de este acuerdo; y

c) todos los Datos recibidos por EngageBay para su procesamiento en nombre del Cliente; en relación con los Servicios.

4. Categorías de Datos Personales y finalidad del Tratamiento de Datos Personales


Para ejecutar el Acuerdo y, en particular, realizar los Servicios en nombre del Cliente, el Cliente autoriza y solicita que EngageBay procese los siguientes Datos personales:

Información al cliente: información que podemos recopilar a partir de su uso de los sitios web de EngageBay y sus interacciones con nosotros fuera de línea, como por ejemplo:

  • Información de contacto: nombre, domicilio, número de teléfono o móvil, dirección de correo electrónico y contraseñas.
  • Información financiera: número de tarjeta de crédito e información de facturación (identificación fiscal, número de IVA del pagador, dirección de facturación, correo electrónico de facturación, donde se envían las facturas); Los números de tarjeta de crédito son manejados por nuestra pasarela de pago, por Paypal, u otros tipos de pago; EngageBay solo carga los pagos en su tarjeta de crédito.
  • Detalles de contacto laboral, incluidos: nombre del empleador, puesto y función del trabajo, detalles de contacto comercial; EngageBay trata la información del cliente de acuerdo con los términos de nuestra política de privacidad general.
  • Datos de servicios: datos que residen en EngageBay, sistemas de clientes o de terceros a los que EngageBay ha proporcionado acceso para realizar servicios.
  • Datos almacenados y procesados por los usuarios, tales como: código fuente de la aplicación, bases de datos que utilizan las aplicaciones, archivos generados por las aplicaciones, historial de operaciones realizadas por los usuarios.
  • Información del archivo de registro: El sistema de EngageBay guarda tres tipos de registros: Registros de conexión que son esencialmente registros de cada solicitud a cada aplicación. Estos registros de conexión pueden incluir información como la solicitud web, la dirección de Protocolo de Internet ("IP"), el tipo de navegador, las páginas y URL de referencia/salida, la cantidad de clics, los nombres de dominio, las páginas de destino, las páginas visitadas y otra información similar. El segundo tipo de registros son los registros de aplicaciones, que son producidos por cada aplicación de nuestros clientes. EngageBay no tiene control sobre el contenido de estos registros. El control de los registros de la aplicación como Datos personales permanece en manos del Cliente. Registros de eventos de línea de tiempo que son un registro de alertas y notificaciones que pueden ayudar a EngageBay a identificar y diagnosticar el origen de los problemas actuales del sistema y ayudar a predecir problemas futuros.
  • Otra información de contacto sobre el cliente y los empleados, por ejemplo a través de sus sitios web, como parte de esa interacción.

EngageBay procesa la información del Cliente de acuerdo con los términos de su política de Privacidad y trata los datos de los servicios como confidenciales de acuerdo con los términos de su pedido de servicios.

Categorías de interesados: Los interesados incluyen representantes del Cliente y usuarios finales, como empleados, solicitantes de empleo, contratistas, colaboradores, socios y clientes del Cliente. Los interesados también pueden incluir personas que intenten comunicar o transferir Datos personales a los usuarios de los Servicios.

5. Responsabilidad de EngageBay


EngageBay procesará Datos personales únicamente para la prestación de los Servicios y acepta:

  • (a) Procesar y utilizar Datos personales para los fines establecidos en este Acuerdo o solo según instrucciones documentadas del Cliente y para ningún otro propósito excepto con el consentimiento previo expreso por escrito del Cliente, o
  • (b) No divulgar Datos a terceros, excepto a aquellos de sus empleados, agentes y subcontratistas que participan en el Procesamiento de Datos y están sujetos a obligaciones vinculantes o excepto que lo requiera cualquier ley o reglamento;
  • (c) Implementar medidas técnicas y organizativas apropiadas para salvaguardar los Datos del Procesamiento no autorizado o ilegal o de pérdidas, destrucción o daños accidentales, y que, teniendo en cuenta el estado del desarrollo tecnológico y el costo de implementar cualquier medida, dichas medidas garantizarán un nivel de seguridad adecuada al daño que podría resultar del procesamiento no autorizado o ilegal o pérdida, destrucción o daño accidental y a la naturaleza de los Datos a proteger;
  • (d) Informar al Cliente lo antes posible en caso de ejercicio por parte de los Interesados de cualquiera de sus derechos bajo las leyes de protección de datos en relación con los Datos y, si es necesario, ayudar al Cliente a cumplir con la obligación de responder. a aquellas solicitudes en consideración de los compromisos previstos en el artículo 7;
  • (e) No Procesar ni transferir los Datos fuera de la Unión Europea excepto con la autorización previa y expresa por escrito del Cliente y garantizar que dichas transferencias se realicen cumpliendo con las normas apropiadas.

6. Responsabilidad del Cliente


El Cliente del Servicio, como responsable del tratamiento, debe aceptar la responsabilidad de respetar la legislación aplicable en materia de protección de datos. En particular, el Cliente tiene la obligación de evaluar la legalidad del procesamiento de los datos personales almacenados en la Plataforma.

El Cliente acepta que garantizará el cumplimiento en todo momento de la ley de protección de datos aplicable y, en particular, el Cliente deberá garantizar que cualquier divulgación de Datos personales que realice a EngageBay se realice con el consentimiento del interesado o sea legal de otro modo. El control de los Datos personales permanece en manos del Cliente y, entre el Cliente y EngageBay, el Cliente seguirá siendo en todo momento el controlador de datos a los efectos de los Servicios, los TOS y este Acuerdo de procesamiento de datos. El Cliente es responsable del cumplimiento de sus obligaciones como controlador de datos según la Ley de protección de datos aplicable, en particular de la justificación de cualquier transmisión de Datos personales a EngageBay (incluido el envío de las notificaciones requeridas y la obtención de los consentimientos requeridos), y de sus decisiones relativas a la Procesamiento y uso de los datos.

7. Derechos del interesado


EngageBay otorgará al Cliente acceso electrónico al entorno de la Plataforma que contiene Datos personales para permitirle eliminar, divulgar, corregir o bloquear el acceso a Datos personales específicos o, si eso no es posible y en la medida permitida por la ley aplicable, seguir las instrucciones detalladas del Cliente. instrucciones escritas para eliminar, divulgar, corregir o bloquear el acceso a datos personales.

EngageBay transmitirá al Cliente cualquier solicitud de un sujeto de datos individual para eliminar, divulgar, corregir o bloquear Datos personales procesados en virtud del Acuerdo.

8. Transferencia de datos transfronteriza y posterior


EngageBay trata todos los Datos personales de manera consistente con los requisitos de la Ley de protección de datos aplicable y este Acuerdo de procesamiento de datos en todas las ubicaciones a nivel mundial. EngageBay almacena los datos en centros de datos ubicados en los Estados Unidos.

Con respecto a los Datos Personales almacenados por EngageBay en centros de datos en los Estados Unidos, deberá garantizar el cumplimiento de sus Subprocesadores con los requisitos de la ley de protección de datos aplicable de la siguiente manera:

  • (i) EngageBay ha celebrado contratos con Subprocesadores que establecen que el Subprocesador asumirá obligaciones de confidencialidad y protección de datos de conformidad con las leyes de protección de datos aplicables;
  • (ii) además, cuando un Subprocesador procese Datos personales en o desde un país que no haya recibido un dictamen de “adecuación”, EngageBay requerirá que el Subprocesador ejecute Cláusulas modelo que incorporen requisitos de seguridad consistentes con los de este DPA.

9. Subprocesamiento


EngageBay no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del Cliente según el Acuerdo y los TOS sin el consentimiento previo por escrito del Cliente. Cuando EngageBay subcontrate sus obligaciones en virtud del Acuerdo, con el consentimiento del Cliente, lo hará únicamente mediante un acuerdo escrito con el subprocesador que impone al subprocesador las mismas obligaciones que se imponen a EngageBay en virtud del Acuerdo. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, EngageBay seguirá siendo totalmente responsable ante el Cliente por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.

El Cliente, como controlador de datos, puede solicitar que EngageBay audite al Subprocesador o proporcione confirmación de que se ha realizado dicha auditoría (o, cuando esté disponible, obtener o ayudar al Controlador de datos a obtener un informe de auditoría de un tercero sobre las operaciones del Subprocesador) para garantizar el cumplimiento de dichas obligaciones. . El Controlador también tendrá derecho, previa solicitud por escrito, a recibir copias de los términos relevantes del acuerdo de EngageBay con los Subprocesadores que pueden procesar Datos personales, a menos que el acuerdo contenga información confidencial, en cuyo caso EngageBay puede proporcionar una versión redactada del acuerdo.

Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el Cliente.

10. Medidas técnicas y organizativas


Al Procesar Datos Personales en nombre del Cliente en relación con los Servicios, EngageBay se asegurará de implementar y mantener el cumplimiento de las medidas de seguridad técnicas y organizativas apropiadas para el Procesamiento de dichos datos. En consecuencia, EngageBay implementará las siguientes medidas:

  • Para evitar que personas no autorizadas obtengan acceso a los sistemas de procesamiento de datos en los que se procesan datos personales (control de acceso físico), EngageBay deberá tomar medidas para evitar el acceso físico, como personal de seguridad y edificios e instalaciones de fábrica seguros.
  • Para evitar que los sistemas de procesamiento de datos se utilicen sin autorización (control de acceso al sistema), se podrán aplicar, entre otros controles, según los Servicios concretos solicitados: autenticación mediante contraseñas y registro de acceso en varios niveles.
  • Para los servicios en la nube alojados en EngageBay: (i) el acceso lógico a los centros de datos está restringido y protegido por firewall/VLAN; y (ii) se aplican los siguientes procesos de seguridad: registro y alertas centralizados, y (iii) firewalls.
  • Para garantizar que las personas autorizadas a utilizar un sistema de procesamiento de datos solo tengan acceso a los Datos personales a los que tienen privilegios de acceso, y que los Datos personales no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante el procesamiento y/o después almacenamiento (control de acceso a datos), los datos personales son accesibles y manejables solo por personal debidamente autorizado, el acceso directo a consultas a la base de datos está restringido y los derechos de acceso a las aplicaciones se establecen y se aplican.
  • Además de las reglas de control de acceso establecidas anteriormente, EngageBay implementa una política de acceso según la cual el Controlador de datos controla el acceso a su entorno de Servicios en la nube y a Datos personales y otros datos por parte de su personal autorizado.
  • Garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión o transporte electrónico, y que sea posible verificar y establecer a qué entidades está prevista la transferencia de Datos Personales mediante medios de transmisión de datos (control de transmisión ), EngageBay cumplirá con los siguientes requisitos: Salvo que se especifique lo contrario para los Servicios en la nube, las transferencias de datos fuera del entorno del Servicio están cifradas (HTTPS). Es posible que el contenido de las comunicaciones (incluidas las direcciones del remitente y del destinatario) enviadas a través de algunos servicios de mensajería o correo electrónico no se cifre una vez recibidas a través de dichos servicios. El Responsable del tratamiento es el único responsable de los resultados de su decisión de utilizar comunicaciones o transmisiones no cifradas.
  • Para garantizar que sea posible verificar y establecer si los Datos personales han sido ingresados en los sistemas de procesamiento de datos, modificados o eliminados (control de entrada), y por quién, EngageBay cumplirá con los siguientes requisitos: La fuente de los datos personales está bajo el control del Cliente y la integración de los Datos personales en el sistema se gestiona mediante una transferencia segura de archivos (es decir, a través de servicios web o ingresados en la aplicación) por parte del Cliente.
  • Para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental: se realizan copias de seguridad periódicamente; las copias de seguridad están cifradas y protegidas.
  • Para garantizar que los datos personales que se recopilan para diferentes fines puedan procesarse por separado, los datos de diferentes entornos de controladores de datos se segregan lógicamente en los sistemas de EngageBay.

11. Derechos de auditoría


El Cliente puede auditar el cumplimiento de EngageBay con los términos del Acuerdo y este Acuerdo de procesamiento de datos hasta una vez al año.

El Cliente puede realizar auditorías más frecuentes de los sistemas informáticos del Servicio que procesan Datos personales en la medida requerida por las leyes aplicables al Cliente. Si un tercero va a realizar la auditoría, ambas partes deben aceptarlo mutuamente y debe ejecutar un acuerdo de confidencialidad escrito aceptable para EngageBay antes de realizar la auditoría.

Para solicitar una auditoría, el Cliente debe presentar un plan de auditoría detallado al menos 4 semanas antes de la fecha de auditoría propuesta que describa el alcance, la duración y la fecha de inicio propuestos de la auditoría. EngageBay revisará el plan de auditoría y proporcionará al Controlador de datos cualquier inquietud o pregunta (por ejemplo, cualquier solicitud de información que pueda comprometer las políticas de seguridad, privacidad o empleo de EngageBay).

Los informes de auditoría son Información Confidencial de las partes según los términos del Acuerdo. Cualquier auditoría correrá a cargo del Responsable del tratamiento.

Cualquier solicitud para que EngageBay brinde asistencia con una auditoría se considera un servicio separado si dicha asistencia de auditoría requiere el uso de recursos diferentes o adicionales. EngageBay buscará la aprobación por escrito del Controlador de datos y el acuerdo de pagar cualquier tarifa relacionada antes de realizar dicha asistencia de auditoría.

12. Gestión de incidentes y notificación de infracciones


EngageBay evalúa y responde a incidentes que crean sospechas de acceso no autorizado o manejo de Datos personales.

El Cliente está informado de dichos incidentes y, según la naturaleza de la actividad, define rutas de escalada y equipos de respuesta para abordar esos incidentes. EngageBay trabajará con el Cliente, con los equipos técnicos apropiados y, cuando sea necesario, con autoridades policiales externas para responder al incidente. El objetivo de la respuesta al incidente será restaurar la confidencialidad, integridad y disponibilidad del entorno de los Servicios, y establecer las causas fundamentales y los pasos de remediación.

El personal de operaciones de EngageBay recibe instrucciones sobre cómo responder a incidentes en los que el manejo de datos personales pueda haber sido no autorizado.

EngageBay notificará al Cliente sin demora indebida después de tener conocimiento de una violación de datos personales. EngageBay investigará de inmediato cualquier violación de seguridad y tomará medidas razonables para identificar su(s) causa(s) raíz y evitar que se repita. A medida que se recopile información o esté disponible de otro modo, a menos que lo prohíba la ley, EngageBay proporcionará al Controlador de datos una descripción de la violación de seguridad, el tipo de datos que fueron objeto de la violación y otra información que el Controlador de datos pueda solicitar razonablemente sobre la personas afectadas. Las partes acuerdan coordinarse de buena fe en el desarrollo del contenido de cualquier declaración pública relacionada o cualquier aviso requerido para las personas afectadas.

13. Divulgaciones legalmente requeridas


Salvo que la ley exija lo contrario, EngageBay notificará de inmediato al Cliente sobre cualquier citación, orden judicial, administrativa o arbitral de una agencia ejecutiva o administrativa u otra autoridad gubernamental (“demanda”) que reciba y que se relacione con los Datos personales que EngageBay tiene. Procesamiento por cuenta del Cliente. A petición del Cliente, EngageBay proporcionará la información razonable que tenga en su poder que pueda responder a la demanda y cualquier asistencia razonablemente necesaria para que el Cliente responda a la demanda de manera oportuna. El Cliente reconoce que EngageBay no tiene responsabilidad de interactuar directamente con la entidad que realiza la demanda.

14. Obligación tras la terminación de los servicios de procesamiento de datos personales


Las partes acuerdan que al finalizar la prestación de servicios de procesamiento de datos, EngageBay pondrá a disposición para su recuperación o, de otro modo, devolverá los Datos personales del Cliente almacenados en el entorno de la Plataforma, a menos que la legislación impuesta a las partes le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, las partes garantizan que garantizará la confidencialidad de los datos personales transferidos y no procesará más activamente los datos personales transferidos.

15. Ley aplicable


Este acuerdo se regirá por las leyes de EE. UU. y/o las leyes del Estado miembro en el que esté establecido el Cliente.

Unlimited users free forever

With awesome software backed by a dedicated support team, make every part of your marketing, sales & helpdesk more effective.

Affordable

All-in-one Software

Free Onboarding Sessions

engagebay rating
Get Started
SCHEDULE A CALL
This website uses cookies to ensure you get the best experience on our website. Learn more
Accept