English

Haz Click Aquí para leer la versión en Español

DATA PROCESSING ADDENDUM

 Print This Document

THIS DATA PROCESSING ADDENDUM (this “DPA”) supplements and is a part of the Voomly Subscriber Terms of Service entered into between Voomly, LLC, the owner and operator of the Voomly platform (“Voomly”, “we”, “us” and “our”), and the individual or entity who purchased subscription rights to the Voomly platform via the Subscriber Terms of Service (“Subscriber”, “you” and “your”). Certain words and phrases in this DPA have special meanings that are provided either where they first appear as indicated by bold text, or in Section 6, as indicated by text link where they first appear. This English language version controls regardless of any translation. The definitions ascribed to the defined words shall be interpreted as defined terms regardless of capitalization.

1.1 Subscriber Personal Data. The Voomly platform provides our subscribers with the ability to build and sell video courses and other similar services to end users. When you first subscribed to the Voomly Platform, you agreed to our Subscriber Terms of Service and allowed us to collect from you certain subscription-related data, including some limited Personal Data such as your name, email address. We act as the Controller of that Subscriber Personal Data.

We act as your Processor when you use the feature of our Voomly Platform that allows you to store End User Personal Data on our systems. The subject-matter of our processing is the End User Personal Data you provide to us. The nature and purpose of our processing is limited to storage for retrieval by you. We do not typically conduct read-access to End User Personal Data in connection with the provision of the Voomly Platform. All of our processing of End User Personal Data further adheres to the following obligations:

3.1 Appropriate measures. We will implement appropriate technical and organizational measures in such a manner that our processing on your behalf will meet the requirements of applicable law.

(a) process End User Personal Data only on your documented instructions including with regard to transfers to a third country or an international organization, unless our actions are required by applicable law to which we are subject; in such a case we will inform your before processing, unless prohibited by that law;

Conflicts between the Subscriber Terms of Service and/or our general Privacy Statement on the one hand, and this DPA on the other hand, with respect to a party’s rights or obligations governing, related to, or arising out of Subscriber Personal Data and End User Personal Data shall be resolved in favor of this DPA. By continuing to use the Voomly Platform following the Effective Date of this DPA, Subscriber will have affirmatively manifested its intent to be bound to the terms and subject to the conditions of this DPA.

END OF DATA PROCESSING ADDENDUM

ANNEX 1

HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix A.

(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Appendix A, Annex I.A. (hereinafter each “data exporter”), and

Clause 2

Clause 3 

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;

Clause 4 

(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

Clause 5

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Clause 7 - Optional

(i) where it has obtained the data subject’s prior consent;

(i) of its identity and contact details;

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

Clause 9

This clause is not applicable to this Module (Controller-Controller) of the Standard Contractual Clauses. 

Clause 10

(a) The data importer, where relevant with the assistance of the data exporter, shall deal with any enquiries and requests it receives from a data subject relating to the processing of his/her personal data and the exercise of his/her rights under these Clauses without undue delay and at the latest within one month of the receipt of the enquiry or request. The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Any information provided to the data subject shall be in an intelligible and easily accessible form, using clear and plain language.

(c) Where the data importer processes the personal data for direct marketing purposes, it shall cease processing for such purposes if the data subject objects to it.

Clause 11

Clause 13

APPENDIX A, ANNEX I

Data exporter(s):

Identify the competent supervisory authority/ies in accordance with Clause 13

APPENDIX A, ANNEX II - HOW WE PROTECT YOUR DATA

Data Privacy and protection are of paramount importance at Voomly, following the measures we use to ensure your data is protected, private and accurate.

1. Data Encryption

(a) When Data is not being used, it is considered at rest. All data at rest on the Voomly servers is encrypted with the latest encryption technology. 

2. Backups:

(a) In order to prevent any data loss, Voomly conducts continuous backups to ensure that in the event of a data-related incident, data can be restored.

3. High Availability:

(a) Voomly hosts our servers on both the Google Cloud and the Amazon Cloud. Hosting providers maintain significant physical & environmental security protections. These cloud services are configured by our infrastructure team to ensure maximum up time, and availability of our servers.

4. Security, Infrastructure and Database Administration.

(a) Aside from our development team, we employ numerous engineers in the security, infrastructure, and operations space to ensure that the infrastructure is architected properly as well as respond to any issues within minutes in a 24/7/365 system.

5. Incident Response:

(a) As part of our PCI DSS Level 1 Certification Voomly has implemented, tested, and maintains an incident response plan that allows us to respond to any type of issue to ensure business continuity. The incident response plan currently covers the following areas:

6. Bug Escalation:

(a) As part of our ability to service our customers, we also have procedures in place to triage, and escalate software deficiencies of a higher priority nature. This allows us to react quickly if our customers are not able to collect data or revenue from their customers. 

7. Access Control:

(a) Voomly maintains a list of all authorized users who have access to all backend systems. This list is updated and reviewed on a regular basis to ensure only Voomly employees who require access, have access. Access activity is logged in centralized logging infrastructure. Authorized employees accessing data processing systems are assigned dedicated user IDs for authentication purposes. Voomly maintains a password policy which requires password complexity, password expiration, and prohibits the sharing of passwords. Inactive sessions are subject to automatic timeout, and accounts are locked after multiple sequential failed login attempts.

8. MFA: Multi Factor Authentication, in order for our engineers to gain access to the systems where sensitive data is stored, we’ve implemented multi factor authentication at each of these systems.

9. Data Privacy and Security Policies and Procedures: Voomly maintains formal Information Security, and Data Protection, Classification, Retention and Destruction Policies covering collection, storage, access, processing, and transmission of company and customer data. 

APPENDIX B - International Data Transfer Addendum to the EU Commission Standard Contractual Clauses ("UK Addendum")

1. Each Party agrees to be bound by the terms and conditions set out in this Addendum, in exchange for the other Party also agreeing to be bound by this Addendum.

2. Although Annex 1A and Clause 7 of the Approved EU SCCs require signature by the Parties, for the purpose of making Restricted Transfers, the Parties may enter into this Addendum in any way that makes them legally binding on the Parties and allows data subjects to enforce their rights as set out in this Addendum. Entering into this Addendum will have the same effect as signing the Approved EU SCCs and any part of the Approved EU SCCs.

3. Where this Addendum uses terms that are defined in the Approved EU SCCs those terms shall have the same meaning as in the Approved EU SCCs. In addition, the following terms have the following meanings:

4. This Addendum must always be interpreted in a manner that is consistent with UK Data Protection Laws and so that it fulfills the Parties’ obligation to provide the Appropriate Safeguards.

5. If the provisions included in the Addendum EU SCCs amend the Approved SCCs in any way which is not permitted under the Approved EU SCCs or the Approved Addendum, such amendment(s) will not be incorporated in this Addendum and the equivalent provision of the Approved EU SCCs will take their place.

6. If there is any inconsistency or conflict between UK Data Protection Laws and this Addendum, UK Data Protection Laws applies.

7. If the meaning of this Addendum is unclear or there is more than one meaning, the meaning which most closely aligns with UK Data Protection Laws applies.

8. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. This includes where that legislation (or specific provision) has been consolidated, re-enacted and/or replaced after this Addendum has been entered into.

9. Although Clause 5 of the Approved EU SCCs sets out that the Approved EU SCCs prevail over all related agreements between the parties, the parties agree that, for Restricted Transfers, the hierarchy in Section ‎10 will prevail.

10. Where there is any inconsistency or conflict between the Approved Addendum and the Addendum EU SCCs (as applicable), the Approved Addendum overrides the Addendum EU SCCs, except where (and in so far as) the inconsistent or conflicting terms of the Addendum EU SCCs provides greater protection for data subjects, in which case those terms will override the Approved Addendum.

12. This Addendum incorporates the Addendum EU SCCs which are amended to the extent necessary so that:

(a) together they operate for data transfers made by the data exporter to the data importer, to the extent that UK Data Protection Laws apply to the data exporter’s processing when making that data transfer, and they provide Appropriate Safeguards for those data transfers;

(b) Sections ‎9 to ‎11 override Clause 5 (Hierarchy) of the Addendum EU SCCs; and

(c) this Addendum (including the Addendum EU SCCs incorporated into it) is (1) governed by the laws of England and Wales and (2) any dispute arising from it is resolved by the courts of England and Wales, in each case unless the laws and/or courts of Scotland or Northern Ireland have been expressly selected by the Parties.

13. Unless the Parties have agreed alternative amendments which meet the requirements of Section ‎12, the provisions of Section ‎15 will apply.

14. No amendments to the Approved EU SCCs other than to meet the requirements of Section ‎12 may be made.

15. The following amendments to the Addendum EU SCCs (for the purpose of Section ‎12) are made:

(a) References to the “Clauses” means this Addendum, incorporating the Addendum EU SCCs;

(b) In Clause 2, delete the words:

(d) Clause 8.7(i) of Module 1 is replaced with:

(e) Clause 8.8(i) of Modules 2 and 3 is replaced with:

(f) References to “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” and “that Regulation” are all replaced by “UK Data Protection Laws”. References to specific Article(s) of “Regulation (EU) 2016/679” are replaced with the equivalent Article or Section of UK Data Protection Laws;

(g) References to Regulation (EU) 2018/1725 are removed;

(h) References to the “European Union”, “Union”, “EU”, “EU Member State”, “Member State” and “EU or Member State” are all replaced with the “UK”;

(i) The reference to “Clause 12(c)(i)” at Clause 10(b)(i) of Module one, is replaced with “Clause 11(c)(i)”;

(j) Clause 13(a) and Part C of Annex I are not used;

(k) The “competent supervisory authority” and “supervisory authority” are both replaced with the “Information Commissioner”;

(l) In Clause 16(e), subsection (i) is replaced with:

(m) Clause 17 is replaced with:

(n) Clause 18 is replaced with:

(o) The footnotes to the Approved EU SCCs do not form part of the Addendum, except for footnotes 8, 9, 10 and 11.

16. The Parties may agree to change Clauses 17 and/or 18 of the Addendum EU SCCs to refer to the laws and/or courts of Scotland or Northern Ireland.

17. If the Parties wish to change the format of the information included in Part 1: Tables of the Approved Addendum, they may do so by agreeing to the change in writing, provided that the change does not reduce the Appropriate Safeguards.

(a) makes reasonable and proportionate changes to the Approved Addendum, including correcting errors in the Approved Addendum; and/or

(b) reflects changes to UK Data Protection Laws;

The revised Approved Addendum will specify the start date from which the changes to the Approved Addendum are effective and whether the Parties need to review this Addendum including the Appendix Information. This Addendum is automatically amended as set out in the revised Approved Addendum from the start date specified.

19. If the ICO issues a revised Approved Addendum under Section ‎18, if any Party selected in Table 4 “Ending the Addendum when the Approved Addendum changes”, will as a direct result of the changes in the Approved Addendum have a substantial, disproportionate and demonstrable increase in:

(a) its direct costs of performing its obligations under the Addendum; and/or

(b) its risk under the Addendum, and in either case it has first taken reasonable steps to reduce those costs or risks so that it is not substantial and disproportionate, then that Party may end this Addendum at the end of a reasonable notice period, by providing written notice for that period to the other Party before the start date of the revised Approved Addendum.

20. The Parties do not need the consent of any third party to make changes to this Addendum, but any changes must be made in accordance with its terms.

ANNEX 2

For the purposes of Article 28(7) of Regulation (EU) 2016/679 for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection

HAVE AGREED on the following Contractual Clauses (the Clauses) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix B.

SECTION I

(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Appendix B, Annex I.A. (hereinafter each “data exporter”), and

Clause 2

Clause 3 

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;

Clause 4 

Clause 5

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Clause 7 - Optional

(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

Clause 9

Clause 10

(a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorized to do so by the data exporter.

Clause 11

Clause 12

Clause 13

Clause 15

APPENDIX B, ANNEX I

Data exporter(s): compliance@voomly.com

APPENDIX B, ANNEX II - HOW WE PROTECT YOUR DATA

1. Data Encryption

(a) When Data is not being used, it is considered at rest. All data at rest on the Voomly servers is encrypted with the latest encryption technology. 

2. Backups:

(a) In order to prevent any data loss, Voomly conducts continuous backups to ensure that in the event of a data-related incident, data can be restored.

(a) Voomly hosts our servers on both the Google Cloud and the Amazon Cloud. Hosting providers maintain significant physical & environmental security protections. These cloud services are configured by our infrastructure team to ensure maximum up time, and availability of our servers.

4. Security, Infrastructure and Database Administration.

(a) Aside from our development team, we employ numerous engineers in the security, infrastructure, and operations space to ensure that the infrastructure is architected properly as well as respond to any issues within minutes in a 24/7/365 system.

5. Incident Response:

(a) As part of our PCI DSS Level 1 Certification Voomly has implemented, tested, and maintains an incident response plan that allows us to respond to any type of issue to ensure business continuity. The incident response plan currently covers the following areas:

6. Bug Escalation:

(a) As part of our ability to service our customers, we also have procedures in place to triage, and escalate software deficiencies of a higher priority nature. This allows us to react quickly if our customers are not able to collect data or revenue from their customers.

7. Access Control:

(a) Voomly maintains a list of all authorized users who have access to all backend systems. This list is updated and reviewed on a regular basis to ensure only Voomly employees who require access, have access. Access activity is logged in centralized logging infrastructure. Authorized employees accessing data processing systems are assigned dedicated user IDs for authentication purposes. Voomly maintains a password policy which requires password complexity, password expiration, and prohibits the sharing of passwords. Inactive sessions are subject to automatic timeout, and accounts are locked after multiple sequential failed login attempts.

8. MFA: Multi Factor Authentication, in order for our engineers to gain access to the systems where sensitive data is stored, we’ve implemented multi factor authentication at each of these systems.

9. Data Privacy and Security Policies and Procedures: Voomly maintains formal Information Security, and Data Protection, Classification, Retention and Destruction Policies covering collection, storage, access, processing, and transmission of company and customer data. 

APPENDIX B - International Data Transfer Addendum to the EU Commission Standard Contractual Clauses ("UK Addendum")

1. Each Party agrees to be bound by the terms and conditions set out in this Addendum, in exchange for the other Party also agreeing to be bound by this Addendum.

2. Although Annex 1A and Clause 7 of the Approved EU SCCs require signature by the Parties, for the purpose of making Restricted Transfers, the Parties may enter into this Addendum in any way that makes them legally binding on the Parties and allows data subjects to enforce their rights as set out in this Addendum. Entering into this Addendum will have the same effect as signing the Approved EU SCCs and any part of the Approved EU SCCs.

3. Where this Addendum uses terms that are defined in the Approved EU SCCs those terms shall have the same meaning as in the Approved EU SCCs. In addition, the following terms have the following meanings:

4. This Addendum must always be interpreted in a manner that is consistent with UK Data Protection Laws and so that it fulfills the Parties’ obligation to provide the Appropriate Safeguards.

5. If the provisions included in the Addendum EU SCCs amend the Approved SCCs in any way which is not permitted under the Approved EU SCCs or the Approved Addendum, such amendment(s) will not be incorporated in this Addendum and the equivalent provision of the Approved EU SCCs will take their place.

6. If there is any inconsistency or conflict between UK Data Protection Laws and this Addendum, UK Data Protection Laws applies.

7. If the meaning of this Addendum is unclear or there is more than one meaning, the meaning which most closely aligns with UK Data Protection Laws applies.

8. Any references to legislation (or specific provisions of legislation) means that legislation (or specific provision) as it may change over time. This includes where that legislation (or specific provision) has been consolidated, re-enacted and/or replaced after this Addendum has been entered into.

9. Although Clause 5 of the Approved EU SCCs sets out that the Approved EU SCCs prevail over all related agreements between the parties, the parties agree that, for Restricted Transfers, the hierarchy in Section ‎10 will prevail.

10. Where there is any inconsistency or conflict between the Approved Addendum and the Addendum EU SCCs (as applicable), the Approved Addendum overrides the Addendum EU SCCs, except where (and in so far as) the inconsistent or conflicting terms of the Addendum EU SCCs provides greater protection for data subjects, in which case those terms will override the Approved Addendum.

11. Where this Addendum incorporates Addendum EU SCCs which have been entered into to protect transfers subject to the General Data Protection Regulation (EU) 2016/679 then the Parties acknowledge that nothing in this Addendum impacts those Addendum EU SCCs.

12. This Addendum incorporates the Addendum EU SCCs which are amended to the extent necessary so that:

(a) together they operate for data transfers made by the data exporter to the data importer, to the extent that UK Data Protection Laws apply to the data exporter’s processing when making that data transfer, and they provide Appropriate Safeguards for those data transfers;

(b) Sections ‎9 to ‎11 override Clause 5 (Hierarchy) of the Addendum EU SCCs; and

(c) this Addendum (including the Addendum EU SCCs incorporated into it) is (1) governed by the laws of England and Wales and (2) any dispute arising from it is resolved by the courts of England and Wales, in each case unless the laws and/or courts of Scotland or Northern Ireland have been expressly selected by the Parties.

13. Unless the Parties have agreed alternative amendments which meet the requirements of Section ‎12, the provisions of Section ‎15 will apply.

14. No amendments to the Approved EU SCCs other than to meet the requirements of Section ‎12 may be made.

15. The following amendments to the Addendum EU SCCs (for the purpose of Section ‎12) are made:

(a) References to the “Clauses” means this Addendum, incorporating the Addendum EU SCCs;

(b) In Clause 2, delete the words:

(c) Clause 6 (Description of the transfer(s)) is replaced with:

(d) Clause 8.7(i) of Module 1 is replaced with:

(f) References to “Regulation (EU) 2016/679”, “Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)” and “that Regulation” are all replaced by “UK Data Protection Laws”. References to specific Article(s) of “Regulation (EU) 2016/679” are replaced with the equivalent Article or Section of UK Data Protection Laws;

(g) References to Regulation (EU) 2018/1725 are removed;

(h) References to the “European Union”, “Union”, “EU”, “EU Member State”, “Member State” and “EU or Member State” are all replaced with the “UK”;

(i) The reference to “Clause 12(c)(i)” at Clause 10(b)(i) of Module one, is replaced with “Clause 11(c)(i)”;

(j) Clause 13(a) and Part C of Annex I are not used;

(k) The “competent supervisory authority” and “supervisory authority” are both replaced with the “Information Commissioner”;

(l) In Clause 16(e), subsection (i) is replaced with:

(m) Clause 17 is replaced with:

(n) Clause 18 is replaced with:

(o) The footnotes to the Approved EU SCCs do not form part of the Addendum, except for footnotes 8, 9, 10 and 11.

16. The Parties may agree to change Clauses 17 and/or 18 of the Addendum EU SCCs to refer to the laws and/or courts of Scotland or Northern Ireland.

17. If the Parties wish to change the format of the information included in Part 1: Tables of the Approved Addendum, they may do so by agreeing to the change in writing, provided that the change does not reduce the Appropriate Safeguards.

18. From time to time, the ICO may issue a revised Approved Addendum which:

(a) makes reasonable and proportionate changes to the Approved Addendum, including correcting errors in the Approved Addendum; and/or

(b) reflects changes to UK Data Protection Laws;

The revised Approved Addendum will specify the start date from which the changes to the Approved Addendum are effective and whether the Parties need to review this Addendum including the Appendix Information. This Addendum is automatically amended as set out in the revised Approved Addendum from the start date specified.

19. If the ICO issues a revised Approved Addendum under Section ‎18, if any Party selected in Table 4 “Ending the Addendum when the Approved Addendum changes”, will as a direct result of the changes in the Approved Addendum have a substantial, disproportionate and demonstrable increase in:

(a) its direct costs of performing its obligations under the Addendum; and/or

(b) its risk under the Addendum, and in either case it has first taken reasonable steps to reduce those costs or risks so that it is not substantial and disproportionate, then that Party may end this Addendum at the end of a reasonable notice period, by providing written notice for that period to the other Party before the start date of the revised Approved Addendum.

20. The Parties do not need the consent of any third party to make changes to this Addendum, but any changes must be made in accordance with its terms.

Copyright 2022 - Voomly - All Rights Reserved

Spanish

Click here for English version

APÉNDICE DE PROCESAMIENTO DE DATOS

Imprimir Este Documento

1.1 Datos personales del suscriptor.  La plataforma Voomly brinda a nuestros suscriptores la capacidad de crear y vender cursos en video y otros servicios similares a los usuarios finales. Cuando se suscribió por primera vez a la Plataforma Voomly, aceptó nuestros Términos de servicio del suscriptor y nos permitió recopilar de usted ciertos datos relacionados con la suscripción, incluidos algunos  Datos Personales como su nombre, dirección de correo electrónico. Actuamos como el Controlador de esos Datos Personales Del Suscriptor.

2.1 Controladores independientes. A menos que las partes acuerden lo contrario, cuando el Suscriptor procesa Datos personales como Controlador de conformidad con los términos del DPA, Voomly LLC y el Suscriptor procesan Datos personales como Controladores independientes. Cada Controlador es el único responsable de sus propias obligaciones como Controlador, según lo exige la Ley de Privacidad de Datos aplicable. En la medida en que se inicie cualquier investigación o acción contra nosotros como resultado de su procesamiento, intercambio o transferencia de Datos personales del usuario final (excepto si es causado por nuestro incumplimiento de nuestras obligaciones en virtud de la Sección 3 de este DPA), indemnizará, defendernos y mantenernos a nosotros y a nuestros agentes y representantes indemnes.

Actuamos como su Procesador cuando utiliza la función de nuestra Plataforma Voomly que le permite almacenar Datos personales del usuario final en nuestros sistemas. El objeto de nuestro procesamiento son los Datos personales del usuario final que nos proporciona. La naturaleza y el propósito de nuestro procesamiento se limitan al almacenamiento para que usted pueda recuperarlos. Por lo general, no realizamos acceso de lectura a los Datos personales del usuario final en relación con la provisión de la Plataforma Voomly. Todo nuestro procesamiento de los Datos personales del usuario final se adhiere además a las siguientes obligaciones:

3.1 Medidas adecuadas. Implementaremos las medidas técnicas y organizativas apropiadas de tal manera que nuestro procesamiento en su nombre cumpla con los requisitos de la ley aplicable.

(a) procesaremos los Datos personales del usuario final solo según sus instrucciones documentadas, incluso con respecto a las transferencias a un tercer país o una organización internacional, a menos que nuestras acciones sean requeridas por la ley aplicable a la cual somos sujetos; en tal caso, le informaremos antes del procesamiento, a menos que lo prohíba esa ley;;

Le informaremos de inmediato si, en nuestra opinión, una instrucción que nos dio infringe las leyes de protección de datos aplicables.

3.4 Subprocesadores. Si contratamos a un subprocesador para llevar a cabo actividades de procesamiento específicas en su nombre, se impondrán las mismas obligaciones en este DPA a ese subprocesador por medio de un contrato u otro acto legal que cumpla con los requisitos de las Leyes de Protección de Datos aplicables, en particular proporcionando garantías suficientes. implementar medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de las leyes de protección de datos aplicables. Si el subprocesador incumple esas obligaciones, seremos responsables ante usted.

Conflictos entre los Términos de servicio del suscriptor y/o nuestra Declaración de privacidad general, por un lado, y este DPA por el otro, con respecto a los derechos u obligaciones de una parte que rigen, están relacionados o surgen de los Datos personales del suscriptor y el Usuario final. Los Datos Personales se resolverán a favor de este DPA. Al continuar usando la Plataforma Voomly después de laFecha de Vigencia de este DPA, el Suscriptor habrá manifestado afirmativamente su intención de estar sujeto a los términos y condiciones de este DPA.

FIN DE APÉNDICE TRATAMIENTO DE DATOS

ANEXO 1

A efectos del artículo 28, apartado 7, del Reglamento (UE) 2016/679 para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos

HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de aportar garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice A .

(a) pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(a) El párrafo (a) se entiende sin perjuicio de los derechos de los interesados ​​en virtud del Reglamento (UE) 2016/679.

(a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

Cláusula 6

Cláusula 7 (Opcional)

Cláusula 8

(i) cuando haya obtenido la autorización previa del interesado, consentir;

(b) El párrafo (a) no se aplicará cuando el interesado ya tenga la información, incluso cuando dicha información ya haya sido proporcionada por el exportador de datos, o si resulta imposible proporcionar la información o implicaría un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos deberá, en la medida de lo posible, poner la información a disposición del público.

(i) proporcionar al interesado la confirmación de si se están tratando datos personales que le conciernen y, en tal caso, una copia de los datos relativos a a él/ella y la información del Anexo I; si los datos personales se han transferido o se transferirán posteriormente, proporcionar información sobre los destinatarios o categorías de destinatarios (según corresponda con el fin de proporcionar información significativa) a los que se han transferido o se transferirán los datos personales, el propósito de dichas transferencias posteriores y su motivo de conformidad con la Cláusula 8.7; y proporcionar información sobre el derecho a presentar una queja ante una autoridad de control de conformidad con la Cláusula 12(c)(i);

(i) informar al interesado sobre la decisión automatizada prevista, las consecuencias previstas y la lógica involucrada; e

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo , o la autoridad de control competente de conformidad con la Cláusula 13;

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizado; transferencias ulteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

(i) recibe un solicitud vinculante de una autoridad pública, incluidas las autoridades judiciales, conforme a las leyes del país de destino para la divulgación de los datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, el fundamento jurídico de la solicitud y la respuesta brindada; o      

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Las cláusulas no se restablecen en un plazo razonable y, en todo caso, en el plazo de un mes desde la suspensión;

APÉNDICE A, ANEXO I

A. LISTA DE PARTES compliance@voomly.com

(a) cuando los datos no se están utilizando, se consideran en reposo. Todos los datos en reposo en los servidores de Voomly están encriptados con la última tecnología de encriptación. 

(a) para evitar cualquier pérdida de datos, Voomly realiza copias de seguridad continuas para garantizar que, en caso de un incidente relacionado con los datos, los datos puedan restaurarse.

(a) Voomly aloja nuestros servidores tanto en Google Cloud como en Amazon Cloud. Los proveedores de hospedaje mantienen importantes protecciones de seguridad física y ambiental. Estos servicios en la nube están configurados por nuestro equipo de infraestructura para garantizar el máximo tiempo de actividad y disponibilidad de nuestros servidores.   

(a) Aparte de nuestro equipo de desarrollo, empleamos numerosos ingenieros en el espacio de seguridad, infraestructura y operaciones para garantizar que la infraestructura esté diseñada correctamente y responda a cualquier problema en cuestión de minutos en un sistema 24/7/365.

a. como parte de nuestra certificación PCI DSS Nivel 1, Voomly ha implementado, probado y mantiene un plan de respuesta a incidentes que nos permite responder a cualquier tipo de problema para garantizar continuidad del negocio. El plan de respuesta a incidentes actualmente cubre las siguientes áreas:

(a) como parte de nuestra capacidad para atender a nuestros clientes, también contamos con procedimientos para clasificar y escalar las deficiencias de software de mayor prioridad. Esto nos permite reaccionar rápidamente si nuestros clientes no pueden recopilar datos o ingresos de sus clientes. 

(a) Voomly mantiene una lista de todos los usuarios autorizados que tienen acceso a todos los sistemas backend. Esta lista se actualiza y revisa periódicamente para garantizar que solo los empleados de Voomly que requieren acceso tengan acceso. La actividad de acceso se registra en una infraestructura de registro centralizada. A los empleados autorizados que acceden a los sistemas de procesamiento de datos se les asignan identificaciones de usuario dedicadas con fines de autenticación. Voomly mantiene una política de contraseñas que requiere la complejidad de la contraseña, la caducidad de la contraseña y prohíbe compartir contraseñas. Las sesiones inactivas están sujetas a un tiempo de espera automático y las cuentas se bloquean después de varios intentos de inicio de sesión fallidos secuenciales. 

APÉNDICE B: Apéndice de transferencia internacional de datos a las Cláusulas contractuales estándar de la Comisión de la UE ("Apéndice del Reino Unido")

1. Cada Parte acepta estar sujeto a los términos y condiciones establecidos en este Anexo, a cambio de que la otra Parte también acepte estar obligada por este Anexo.

2. Si bien el Anexo 1A y la Cláusula 7 de las CEC de la UE aprobadas requieren la firma de las Partes, con el fin de realizar Transferencias restringidas, las Partes pueden suscribir este Anexo de cualquier forma que las haga legalmente vinculantes para las Partes y permita a los interesados ​​hacer valer sus derechos. derechos establecidos en este Anexo. La celebración de este Anexo tendrá el mismo efecto que la firma de los SCC de la UE aprobados y cualquier parte de los SCC de la UE aprobados.

3. Cuando este Anexo utilice términos definidos en las CEC aprobadas por la UE, dichos términos tendrán el mismo significado que en las CEC aprobadas por la UE. Además, los siguientes términos tienen los siguientes significados:

Este Anexo siempre debe interpretarse de manera coherente con las Leyes de Protección de Datos del Reino Unido y de modo que cumpla con la obligación de las Partes de proporcionar las Garantías Adecuadas.

5. Si las disposiciones incluidas en el Apéndice de las CEC de la UE modifican las CEC aprobadas de cualquier forma que no esté permitida en virtud de las CEC de la UE aprobadas o el Apéndice aprobado, dichas enmiendas no se incorporarán a este Apéndice y la disposición equivalente de las CEC aprobadas por la UE. Los SCC ocuparán su lugar.

6. Si existe alguna incoherencia o conflicto entre las leyes de protección de datos del Reino Unido y este Anexo, se aplicarán las leyes de protección de datos del Reino Unido.

7. Si el significado de este Apéndice no está claro o hay más de un significado, se aplica el significado que más se alinee con las leyes de protección de datos del Reino Unido.

8. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica) puede cambiar con el tiempo. Esto incluye cuando esa legislación (o disposición específica) haya sido consolidada, promulgada nuevamente y/o reemplazada después de la entrada en vigor de este Anexo.

9. Si bien la Cláusula 5 de las CEC de la UE aprobadas establece que las CEC de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para Transferencias restringidas, prevalecerá la jerarquía de la Sección ‎10.

10. Cuando exista alguna incoherencia o conflicto entre el Anexo aprobado y los SCC de la UE del Anexo (según corresponda), el Anexo aprobado anula los SCC de la UE del Anexo, excepto cuando (y en la medida en que) los términos inconsistentes o conflictivos del Anexo de las SCC de la UE establezcan mayor protección para los interesados, en cuyo caso dichos términos prevalecerán sobre el Anexo Aprobado.

11. Cuando este Anexo incorpore Anexos SCC de la UE que se hayan celebrado para proteger transferencias sujetas al Reglamento general de protección de datos (UE) 2016/679, las Partes reconocen que nada en este Anexo afecta a esos Anexos SCC de la UE.

12. Este Anexo incorpora el Anexo de los SCC de la UE que se modifican en la medida necesaria para que:

(a) juntos operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que se apliquen las leyes de protección de datos del Reino Unido al procesamiento del exportador de datos al realizar esa transferencia de datos, y brindan las Garantías adecuadas para esas transferencias de datos;

(b) Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) del Anexo EU SCC; y

(c) este Anexo (incluido el Anexo EU SCC incorporado en él) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él se resuelve en los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o los tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

13. A menos que las Partes hayan acordado enmiendas alternativas que cumplan con los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.

14. No se pueden realizar modificaciones a los SCC de la UE aprobados que no sean para cumplir con los requisitos de la Sección 12.

15. Se realizan las siguientes enmiendas al Anexo EU SCC (a los efectos de la Sección 12):

(a) Las referencias a las "Cláusulas" significan este Anexo, que incorpora el Anexo EU SCC;

(b) En la Cláusula 2, elimine las palabras:

(c) La cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por:

(d) La cláusula 8.7(i) del Módulo 1 se reemplaza por:

(f) Las referencias al “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre movimiento de dichos datos (Reglamento General de Protección de Datos)” y “ese Reglamento” se reemplazan por “Leyes de Protección de Datos del Reino Unido”. Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido;

(g) Se eliminan las referencias al Reglamento (UE) 2018/1725;

(h) Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";

(i) La referencia a la “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por “Cláusula 11(c)(i)”;

(j) No se utilizan la cláusula 13(a) ni la parte C del anexo I;

(k) La “autoridad de control competente” y la “autoridad de control” se reemplazan por el “Comisionado de Información”;

(l) En la Cláusula 16(e), la subsección (i) se reemplaza por:

(m) Cláusula 17 se reemplaza por:

(n) La Cláusula 18 se reemplaza por:

(o) Las notas a pie de página de las CEC de la UE Aprobadas no forman parte del Anexo, excepto las notas a pie de página 8, 9, 10 y 11.

16. Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 de las CEC de la UE a las leyes y/o tribunales de Escocia o Irlanda del Norte.

17. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, podrán hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Garantías Apropiadas.

18. De vez en cuando, la ICO puede emitir un Anexo Aprobado revisado que:

(a) realiza cambios razonables y proporcionados al Anexo Aprobado, incluida la corrección de errores en el Anexo Aprobado; y/o

(b) refleja cambios en las leyes de protección de datos del Reino Unido;

El Anexo Aprobado revisado especificará la fecha de inicio a partir de la cual los cambios al Anexo Aprobado son efectivos y si las Partes deben revisar este Anexo, incluida la Información del Apéndice. Este Anexo se modifica automáticamente según lo establecido en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.

19. Si la ICO emite un Anexo Aprobado revisado en virtud de la Sección 18, si alguna de las Partes seleccionadas en la Tabla 4 "Terminación del Anexo cuando cambia el Anexo Aprobado", como resultado directo de los cambios en el Anexo Aprobado tendrá un impacto sustancial, desproporcionado y demostrable aumento en:

(a) sus costos directos de cumplir con sus obligaciones en virtud del Anexo; y/o

(b) su riesgo en virtud del Anexo, y en cualquier caso ha tomado primero medidas razonables para reducir esos costos o riesgos de modo que no sea sustancial y desproporcionado, entonces esa Parte puede dar por terminado este Anexo al final de un período de aviso razonable, mediante notificación por escrito para ese período a la otra Parte antes de la fecha de inicio del Anexo Aprobado revisado.

20. Las Partes no necesitan el consentimiento de ningún tercero para realizar cambios en este Anexo, pero cualquier cambio debe realizarse de acuerdo con sus términos.

ANEXO 2

A efectos del artículo 28, apartado 7, del Reglamento (UE) 2016/679 para la transferencia de datos personales a encargados establecidos en terceros países que no garanticen un nivel adecuado de protección de datos

(i) la(s) persona(s) física(s) o jurídica(s), la(s) autoridad(es) pública(s), la(s) agencia(s) u otro(s) organismo(s) (en adelante, “entidad/es”) que transfieren los datos personales, según se enumeran en el Apéndice B, Anexo IA (en adelante, cada “ exportador de datos”), y

Cláusula 3 

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

Cláusula 4

(a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

Cláusula 5

(a) El importador de datos procesará los datos personales solo siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones a lo largo de la duración del contrato.

(a) El importador de datos y, durante la transmisión, también el exportador de datos implementarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración o divulgación no autorizada accidental o ilegal. o acceder a esos datos (en adelante, “violación de datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y el(los) propósito(s) del procesamiento y los riesgos involucrados en el procesamiento para los interesados. . Las Partes considerarán, en particular, recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Para cumplir con sus obligaciones en virtud de este párrafo, el importador de datos deberá implementar al menos las medidas técnicas y organizativas especificadas en el Apéndice B, Anexo II. El importador de datos llevará a cabo comprobaciones periódicas para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.

(i) la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;

Cláusula 9

Cláusula 10

(a) El importador de datos notificará de inmediato al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a esa solicitud por sí mismo a menos que haya sido autorizado para hacerlo por el exportador de datos.

Cláusula 11

(a) El importador de datos informará a los interesados ​​en un formato transparente y de fácil acceso, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para atender quejas. Atenderá con prontitud las quejas que reciba de un interesado.

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo , o la autoridad de control competente de conformidad con la Cláusula 13;

Cláusula 12

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizado; transferencias ulteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

(i) recibe un solicitud vinculante de una autoridad pública, incluidas las autoridades judiciales, conforme a las leyes del país de destino para la divulgación de los datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, el fundamento jurídico de la solicitud y la respuesta brindada; o

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Las cláusulas no se restablecen en un plazo razonable y, en todo caso, en el plazo de un mes desde la suspensión;

(d) Los datos personales que hayan sido transferidos antes de la rescisión del contrato de conformidad con el párrafo (c), a elección del exportador de datos, se devolverán inmediatamente al exportador de datos o se eliminarán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que sea necesario. requerido bajo esa ley local.

APÉNDICE B, ANEXO I

APÉNDICE B, ANEXO II - CÓMO PROTEGEMOS SUS DATOS

1. Cifrado de datos:

(a) cuando los datos no se están utilizando, se consideran en reposo. Todos los datos en reposo en los servidores de Voomly están encriptados con la última tecnología de encriptación. 

2. Seguridad:

(a) para evitar cualquier pérdida de datos, Voomly realiza copias de seguridad continuas para garantizar que, en caso de un incidente relacionado con los datos, los datos puedan restaurarse.

3. Alta disponibilidad:

(a) Voomly aloja nuestros servidores tanto en Google Cloud como en Amazon Cloud. Los proveedores de hospedaje mantienen importantes protecciones de seguridad física y ambiental. Estos servicios en la nube están configurados por nuestro equipo de infraestructura para garantizar el máximo tiempo de actividad y disponibilidad de nuestros servidores.

4. Seguridad, Infraestructura y Administración de Bases de Datos.

(a) Aparte de nuestro equipo de desarrollo, empleamos numerosos ingenieros en el espacio de seguridad, infraestructura y operaciones para garantizar que la infraestructura esté diseñada correctamente y responda a cualquier problema en cuestión de minutos en un sistema 24/7/365.

5. Respuesta al incidentes:

(a) como parte de nuestra certificación PCI DSS Nivel 1, Voomly ha implementado, probado y mantiene un plan de respuesta a incidentes que nos permite responder a cualquier tipo de problema para garantizar continuidad del negocio. El plan de respuesta a incidentes actualmente cubre las siguientes áreas:

6. Escalada de errores:

(a) como parte de nuestra capacidad para atender a nuestros clientes, también contamos con procedimientos para clasificar y escalar las deficiencias de software de mayor prioridad. Esto nos permite reaccionar rápidamente si nuestros clientes no pueden recopilar datos o ingresos de sus clientes.

7. Control de acceso:

(a) Voomly mantiene una lista de todos los usuarios autorizados que tienen acceso a todos los sistemas backend. Esta lista se actualiza y revisa periódicamente para garantizar que solo los empleados de Voomly que requieren acceso tengan acceso. La actividad de acceso se registra en una infraestructura de registro centralizada. A los empleados autorizados que acceden a los sistemas de procesamiento de datos se les asignan identificaciones de usuario dedicadas con fines de autenticación. Voomly mantiene una política de contraseñas que requiere la complejidad de la contraseña, la caducidad de la contraseña y prohíbe compartir contraseñas. Las sesiones inactivas están sujetas a un tiempo de espera automático y las cuentas se bloquean después de varios intentos de inicio de sesión fallidos secuenciales. 

APÉNDICE B: Apéndice de transferencia internacional de datos a las Cláusulas contractuales estándar de la Comisión de la UE ("Apéndice del Reino Unido")

1. Cada Parte acepta estar sujeto a los términos y condiciones establecidos en este Anexo, a cambio de que la otra Parte también acepte estar obligada por este Anexo.

2. Si bien el Anexo 1A y la Cláusula 7 de las CEC de la UE aprobadas requieren la firma de las Partes, con el fin de realizar Transferencias restringidas, las Partes pueden suscribir este Anexo de cualquier forma que las haga legalmente vinculantes para las Partes y permita a los interesados ​​hacer valer sus derechos. derechos establecidos en este Anexo. La celebración de este Anexo tendrá el mismo efecto que la firma de los SCC de la UE aprobados y cualquier parte de los SCC de la UE aprobados.

Este Anexo siempre debe interpretarse de manera coherente con las Leyes de Protección de Datos del Reino Unido y de modo que cumpla con la obligación de las Partes de proporcionar las Garantías Adecuadas.

5. Si las disposiciones incluidas en el Apéndice de las CEC de la UE modifican las CEC aprobadas de cualquier forma que no esté permitida en virtud de las CEC de la UE aprobadas o el Apéndice aprobado, dichas enmiendas no se incorporarán a este Apéndice y la disposición equivalente de las CEC aprobadas por la UE. Los SCC ocuparán su lugar.

6. Si existe alguna incoherencia o conflicto entre las leyes de protección de datos del Reino Unido y este Anexo, se aplicarán las leyes de protección de datos del Reino Unido.

7. Si el significado de este Apéndice no está claro o hay más de un significado, se aplica el significado que más se alinee con las leyes de protección de datos del Reino Unido.

8. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica) puede cambiar con el tiempo. Esto incluye cuando esa legislación (o disposición específica) haya sido consolidada, promulgada nuevamente y/o reemplazada después de la entrada en vigor de este Anexo.

9. Si bien la Cláusula 5 de las CEC de la UE aprobadas establece que las CEC de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para Transferencias restringidas, prevalecerá la jerarquía de la Sección ‎10.

10. Cuando exista alguna incoherencia o conflicto entre el Anexo aprobado y los SCC de la UE del Anexo (según corresponda), el Anexo aprobado anula los SCC de la UE del Anexo, excepto cuando (y en la medida en que) los términos inconsistentes o conflictivos del Anexo de las SCC de la UE establezcan mayor protección para los interesados, en cuyo caso dichos términos prevalecerán sobre el Anexo Aprobado.

11. Cuando este Anexo incorpore Anexos SCC de la UE que se hayan celebrado para proteger transferencias sujetas al Reglamento general de protección de datos (UE) 2016/679, las Partes reconocen que nada en este Anexo afecta a esos Anexos SCC de la UE.

12. Este Anexo incorpora el Anexo de los SCC de la UE que se modifican en la medida necesaria para que:

(a) juntos operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que se apliquen las leyes de protección de datos del Reino Unido al procesamiento del exportador de datos al realizar esa transferencia de datos, y brindan las Garantías adecuadas para esas transferencias de datos;

(b) Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) del Anexo EU SCC; y

(c) este Anexo (incluido el Anexo EU SCC incorporado en él) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él se resuelve en los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o los tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

13. A menos que las Partes hayan acordado enmiendas alternativas que cumplan con los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.

14. No se pueden realizar modificaciones a los SCC de la UE aprobados que no sean para cumplir con los requisitos de la Sección 12.

15. Se realizan las siguientes enmiendas al Anexo EU SCC (a los efectos de la Sección 12):

(a) Las referencias a las "Cláusulas" significan este Anexo, que incorpora el Anexo EU SCC;

(b) En la Cláusula 2, elimine las palabras:

(c) La cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por:

(d) La cláusula 8.7(i) del Módulo 1 se reemplaza por:

(f) Las referencias al “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre movimiento de dichos datos (Reglamento General de Protección de Datos)” y “ese Reglamento” se reemplazan por “Leyes de Protección de Datos del Reino Unido”. Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido;

(g) Se eliminan las referencias al Reglamento (UE) 2018/1725;

(h) Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";

(i) La referencia a la “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por “Cláusula 11(c)(i)”;

(j) No se utilizan la cláusula 13(a) ni la parte C del anexo I;

(k) La “autoridad de control competente” y la “autoridad de control” se reemplazan por el “Comisionado de Información”;

(l) En la Cláusula 16(e), la subsección (i) se reemplaza por:

(m) Cláusula 17 se reemplaza por:

(n) La Cláusula 18 se reemplaza por:

(o) Las notas a pie de página de las CEC de la UE Aprobadas no forman parte del Anexo, excepto las notas a pie de página 8, 9, 10 y 11.

16. Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 de las CEC de la UE a las leyes y/o tribunales de Escocia o Irlanda del Norte.

17. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, podrán hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Garantías Apropiadas.

18. De vez en cuando, la ICO puede emitir un Anexo Aprobado revisado que:

(a) realiza cambios razonables y proporcionados al Anexo Aprobado, incluida la corrección de errores en el Anexo Aprobado; y/o

(b) refleja cambios en las leyes de protección de datos del Reino Unido;

El Anexo Aprobado revisado especificará la fecha de inicio a partir de la cual los cambios al Anexo Aprobado son efectivos y si las Partes deben revisar este Anexo, incluida la Información del Apéndice. Este Anexo se modifica automáticamente según lo establecido en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.

19. Si la ICO emite un Anexo Aprobado revisado en virtud de la Sección 18, si alguna de las Partes seleccionadas en la Tabla 4 "Terminación del Anexo cuando cambia el Anexo Aprobado", como resultado directo de los cambios en el Anexo Aprobado tendrá un impacto sustancial, desproporcionado y demostrable aumento en:

(a) sus costos directos de cumplir con sus obligaciones en virtud del Anexo; y/o

(b) su riesgo en virtud del Anexo, y en cualquier caso ha tomado primero medidas razonables para reducir esos costos o riesgos de modo que no sea sustancial y desproporcionado, entonces esa Parte puede dar por terminado este Anexo al final de un período de aviso razonable, mediante notificación por escrito para ese período a la otra Parte antes de la fecha de inicio del Anexo Aprobado revisado.

20. Las Partes no necesitan el consentimiento de ningún tercero para realizar cambios en este Anexo, pero cualquier cambio debe realizarse de acuerdo con sus términos.

Copyright 2022 - Voomly - Todos los Derechos Reservados

CLICKFUNNELS DATA PROCESSING AGREEMENT

This Data Processing Agreement (the “Agreement”) governs the Processing of personal data of Your customers that You upload or otherwise provide ClickFunnels.

A. “ClickFunnels” is a trademark of Etison LLC, and also refers to proprietary Etison LLC software used to create Internet sales funnels. ClickFunnels as used herein also refers to Etison LLC.

Each Party agrees to Process Personal Data received under the Agreement only for the purposes set forth in the Agreement. For the avoidance of doubt, the purposes of Personal Data Processing and the categories of Data Subjects subject to this Agreement are described in Schedule A to this Agreement.

The Parties shall each comply with their respective obligations under all applicable Data Protection Requirements.

You agree to:

4.1 Provide instructions to ClickFunnels and determine the purposes and general means of ClickFunnels’ Processing of Personal Data in accordance with the Agreement; and

5.1 Processing Requirements. ClickFunnels will:

a. Process Personal Data (i) only for the purpose of providing, supporting and improving ClickFunnels’ services (including to provide insights and other reporting), using appropriate technical and organizational security measures; and (ii) in compliance with instructions received from You. ClickFunnels will not use or Process Personal Data for any other purpose. ClickFunnels will promptly inform You in writing if it cannot comply with its requirements under this Agreement, in which case You may terminate the Agreement or take any other reasonable action, including suspending of data Processing operations;

5.2 Notice to You. ClickFunnels will inform You if ClickFunnels becomes aware of:

a. Any non-compliance by ClickFunnels or its employees with this Agreement or the Data Protection Requirements relating to the protection of Personal Data Processed under this Agreement;

5.3 Assistance to You. ClickFunnels will provide reasonable assistance to You regarding:

a. Any requests from Your Data Subjects in respect to access to or the rectification, erasure, restriction, portability, blocking or deletion of Personal Data that ClickFunnels Processes for You. In the event that a Data Subject sends such a request directly to ClickFunnels, ClickFunnels will promptly send such request to You;

5.4 Required Processing. If ClickFunnels is required by Data Protection Requirements to Process any Personal Data for a reason other than providing the services described in the Agreement, ClickFunnels will inform You of this requirement in advance of any Processing, unless ClickFunnels is legally prohibited from informing You of such Processing (e.g., as a result of secrecy requirements that may exist under applicable EU member state laws).

5.5 Security. ClickFunnels will:

a. Maintain appropriate organizational and technical security measures (including with respect to personnel, facilities, hardware and software, storage and networks, access controls, monitoring and logging, vulnerability and breach detection, incident response, encryption of Personal Data while in transit and at rest) to protect against unauthorized or accidental access, loss, alteration, disclosure or destruction of Personal Data;

6.1 Supervisory Authority Audit. If a Supervisory Authority requires an audit of the data Processing facilities from which ClickFunnels Processes Personal Data in order to ascertain or monitor Your compliance with Data Protection Requirements, ClickFunnels will cooperate with such audit. You are responsible for all costs and fees related to such audit, including all reasonable costs and fees for any and all time ClickFunnels expends for any such audit, in addition to the rates for services performed by ClickFunnels.

7. DATA RETURN AND DELETION

Copyright 2018 - ClickFunnels - All Rights Reserved