El presente Apéndice sobre Tratamiento de Datos ("APD") forma parte del Contrato Marco de
Acuerdo Marco de Servicios ("MSA") entre

Superfy (el "Encargado del tratamiento") y el Cliente (el "Responsable del tratamiento")
(conjuntamente las "Partes")

CONSIDERANDO QUE

(A) El Cliente actúa como Responsable del Tratamiento.

(B) El Cliente desea subcontratar determinados Servicios, que implican el tratamiento de datos personales, al Encargado del Tratamiento.

(C) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal vigente en relación con el procesamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

(D) Las Partes desean establecer sus derechos y obligaciones.

SE ACUERDA LO SIGUIENTE

1. 1. DEFINICIONES E INTERPRETACIÓN

1.1 Salvo que se definan de otro modo en el presente Acuerdo, los términos y expresiones en mayúsculas utilizados en el mismo tendrán el significado que se indica a continuación:

1.1.1 "APD" significa este Acuerdo de Procesamiento de Datos y todos los Anexos;

1.1.2 "Datos Personales del Cliente" significa cualquier Dato Personal Procesado por un Procesador Contratado en nombre del Cliente de conformidad con o en conexión con el Acuerdo Principal;

1.1.3 "Encargado del tratamiento contratado" significa un Subencargado del tratamiento;

1.1.4 "Leyes de Protección de Datos" significa las Leyes de Protección de Datos de la UE y, en la medida aplicable, las leyes de protección de datos o privacidad de cualquier otro país;

1.1.5 "EEE" significa el Espacio Económico Europeo;

1.1.6 "Leyes de protección de datos de la UE" significa la Directiva 95/46/CE de la UE, transpuesta a la legislación nacional de cada Estado miembro y modificada, sustituida o reemplazada de vez en cuando, incluido por el GDPR y las leyes que implementan o complementan el GDPR;

1.1.7 "GDPR" significa Reglamento General de Protección de Datos de la UE 2016/679;

1.1.8 "Transferencia de datos" significa:

1.1.8.1 una transferencia de Datos Personales del Cliente del Cliente a un Procesador Contratado; o

1.1.8.2 una transferencia posterior de Datos Personales del Cliente de un Procesador Contratado a un Procesador Subcontratado, o entre dos establecimientos de un Procesador Contratado, en cada caso, cuando dicha transferencia estaría prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);

1.1.9 "Subprocesador" significa cualquier persona designada por o en nombre del Procesador para procesar Datos Personales en nombre del Cliente en relación con el Acuerdo.

1.2 Los términos "Comisión", "Responsable del tratamiento", "Interesado", "Estado miembro", "Datos personales", "Violación de datos personales", "Tratamiento" y "Autoridad de control" tendrán el mismo significado que en el GDPR, y sus términos afines se interpretarán en consecuencia.

2. TRATAMIENTO DE LOS DATOS PERSONALES DE LOS CLIENTES

2.1 El procesador deberá:

2.1.1 cumplir con todas las Leyes de Protección de Datos aplicables en el Procesamiento de Datos Personales del Cliente; y

2.1.2 no procesará los datos personales del cliente si no es siguiendo las instrucciones documentadas del cliente.

2.2 El Cliente da instrucciones al Procesador para que procese los Datos Personales del Cliente.

3. PERSONAL DEL ENCARGADO DEL TRATAMIENTO

El Procesador tomará las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales del Cliente, asegurándose en cada caso de que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer / acceder a los Datos Personales del Cliente pertinentes, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con la Legislación Aplicable en el contexto de las obligaciones de dicha persona con el Procesador Contratado, asegurándose de que todas estas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.

4. SEGURIDAD

4.1 Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Procesador deberá, en relación con los Datos Personales del Cliente, implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a dicho riesgo, incluidas, según corresponda, las medidas mencionadas en el Artículo 32 (1) del GDPR.

4.2 Al evaluar el nivel de seguridad adecuado, el Procesador tendrá en cuenta en particular los riesgos que presenta el Procesamiento, en particular de una Violación de Datos Personales.

5. SUBPROCESAMIENTO

5.1 El Procesador no designará (ni divulgará ningún Dato Personal del Cliente a) ningún Subprocesador a menos que lo requiera o autorice el Cliente.

6. DERECHOS DEL INTERESADO

6.1 Teniendo en cuenta la naturaleza del Procesamiento, el Procesador ayudará al Cliente mediante la implementación de medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de las obligaciones del Cliente, según lo entienda razonablemente el Cliente, para responder a las solicitudes de ejercicio de los derechos del Titular de los Datos en virtud de las Leyes de Protección de Datos.

6.2 El Encargado del Tratamiento deberá:

6.2.1 notificar con prontitud al Cliente si recibe una solicitud de un Sujeto de Datos en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales del Cliente; y

6.2.2 se asegurará de no responder a dicha solicitud salvo siguiendo las instrucciones documentadas del Cliente o según lo exijan las Leyes Aplicables a las que esté sujeto el Procesador, en cuyo caso el Procesador deberá, en la medida en que lo permitan las Leyes Aplicables, informar al Cliente de dicho requisito legal antes de que el Procesador Contratado responda a la solicitud.

7. VIOLACIÓN DE DATOS PERSONALES

7.1 El Procesador notificará al Cliente sin demora indebida cuando el Procesador tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente, proporcionando al Cliente información suficiente para permitirle cumplir con cualquier obligación de notificar o informar a los Sujetos de Datos de la Violación de Datos Personales en virtud de las Leyes de Protección de Datos.

7.2 El Procesador cooperará con el Cliente y tomará las medidas comerciales razonables que le indique el Cliente para ayudar en la investigación, mitigación y reparación de dicha violación de datos personales.

8. EVALUACIÓN DEL IMPACTO DE LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA

El Procesador proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de protección de datos, y consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, que el Cliente considere razonablemente requeridas por el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales del Cliente por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.

9. SUPRESIÓN O DEVOLUCIÓN DE LOS DATOS PERSONALES DEL CLIENTE

9.1 Sin perjuicio de lo dispuesto en el presente apartado 9, el Encargado del Tratamiento eliminará y hará que se eliminen todas las copias de los Datos Personales del Cliente sin demora y, en cualquier caso, dentro de los 90 días siguientes a la fecha de cese de los Servicios que impliquen el Tratamiento de Datos Personales del Cliente (la "Fecha de Cese").

10. DERECHOS DE AUDITORÍA

10.1 Sin perjuicio de lo dispuesto en la presente sección 10, el Procesador pondrá a disposición del Cliente, previa solicitud, toda la información necesaria para demostrar el cumplimiento del presente Acuerdo, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por un auditor encargado por el Cliente en relación con el Procesamiento de los Datos Personales del Cliente por parte de los Procesadores Contratados.

10.2 Los derechos de información y auditoría del Cliente sólo surgen en virtud de la sección 10.1 en la medida en que el Acuerdo no les otorgue de otro modo derechos de información y auditoría que cumplan los requisitos pertinentes de la Ley de Protección de Datos.

11. TRANSFERENCIA DE DATOS

11.1 El Procesador no podrá transferir ni autorizar la transferencia de Datos a países fuera de la UE y/o del Espacio Económico Europeo (EEE) sin el consentimiento previo por escrito del Cliente. Si los datos personales tratados en virtud del presente Acuerdo se transfieren de un país del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes se asegurarán de que los datos personales estén adecuadamente protegidos. Para ello, las Partes se basarán, salvo acuerdo en contrario, en las cláusulas contractuales tipo aprobadas por la UE para la transferencia de datos personales.

12. CONDICIONES GENERALES

12.1 Confidencialidad. Cada una de las Partes deberá mantener la confidencialidad del presente Acuerdo y de la información que reciba sobre la otra Parte y su negocio en relación con el presente Acuerdo ("Información Confidencial") y no deberá utilizar ni divulgar dicha Información Confidencial sin el consentimiento previo por escrito de la otra Parte, salvo en la medida en que:
(a) la divulgación sea exigida por ley;
(b) la información relevante ya sea de dominio público.

12.2 Notificaciones. Todas las notificaciones y comunicaciones realizadas en virtud del presente Contrato deberán realizarse por escrito y se entregarán personalmente, se enviarán por correo postal o se enviarán por correo electrónico a la dirección o a la dirección de correo electrónico indicadas en el encabezamiento del presente Contrato o a cualquier otra dirección que las Partes notifiquen periódicamente cambiando de dirección.

12.3 Al ejecutar una Orden de Pedido entre Superfy y el Cliente, el Cliente acepta los términos del MSA y de este DPA.

13. LEY APLICABLE Y JURISDICCIÓN

13.1 Este Contrato se rige por las leyes de la República de Irlanda.

13.2 Cualquier disputa que surja en relación con este Contrato, que las Partes no puedan resolver de forma amistosa, se someterá a la jurisdicción exclusiva de los tribunales de la República de Irlanda.