CONDICIONES DE TRATAMIENTO DE DATOS
Estos Términos de procesamiento de datos ("Términos") forman parte de los Términos de servicio entre Drexel Inc. y sus empresas afiliadas y subsidiarias, como AS Drexel Letonia, Drexel Custom Printing, SL y otros ("Drexel") y Comerciantes (definidos a continuación). con respecto a los servicios de Drexel. Estos Términos son vinculantes entre Drexel y los Comerciantes y constituyen un acuerdo de procesamiento de datos. Si hay un conflicto entre estos Términos y el Acuerdo, prevalecerán estos Términos. Si no está de acuerdo con estos Términos, no utilice el Servicio (ambos se definen a continuación).
1. Definiciones
Los términos en mayúscula que no se definan de otra manera en este documento tendrán el mismo significado que se establece en el Acuerdo.
"Acuerdo" significa los Términos de Servicio celebrados por Drexel y el Comerciante con respecto al uso del Servicio de Drexel.
"Titular de los datos", "Responsable del tratamiento", "Procesador", "Autoridad de control" y "Procesos" tienen el significado que les otorga el RGPD.
"Leyes de protección de datos" significa (a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos. (“GDPR”) y cualquier ley nacional aplicable que la implemente o complemente, incluida la Ley de Protección de Datos del Reino Unido de 2018 (cuando corresponda); (b) la Directiva de privacidad electrónica 2002/58/CE y cualquier ley de implementación nacional aplicable; y (c) el Reglamento de privacidad electrónica 2017/003 (una vez que entre en vigor); en cada caso según sea modificado, consolidado, promulgado o reemplazado de vez en cuando.
"Comerciante" significa cualquier persona, ya sea jurídica o física, que utiliza el Servicio de Drexel para ejecutar pedidos y/o entregar sus productos a los destinatarios, incluidos los clientes del Comerciante.
“Cláusulas modelo” significa las Cláusulas Contractuales Estándar (Responsable a Procesador) según lo establecido en la Decisión de la Comisión del 5 de febrero de 2010 (C (2010) 593), modificada, actualizada o reemplazada periódicamente.
"Partes" significa Drexel y el Comerciante.
“Datos personales” significa Datos personales que están sujetos al RGPD y a cualquier legislación nacional que implemente el RGPD, incluida la Ley de Protección de Datos del Reino Unido de 2018 (cuando corresponda), incluidos los Datos personales de los Comerciantes de Drexel a quienes se les ofrecen bienes y servicios en el EEE y el Reino Unido (los “Países GDPR”);
“Programa de Escudo de Privacidad” significa los marcos de Escudo de Privacidad UE-EE. UU. y Suiza-EE. UU. diseñados por el Departamento de Comercio de EE. UU. y aprobados por la Comisión Europea y la Administración Suiza (respectivamente) para brindar una protección adecuada con respecto a la recopilación, el uso y la retención de información personal transferida desde la UE, el Reino Unido y/o Suiza (según corresponda) a los Estados Unidos.
"Servicio" significa servicios de impresión bajo demanda ofrecidos por Drexel a los Comerciantes, incluida la impresión para uso personal o la subcontratación de la impresión y entrega de productos a los clientes del Comerciante, así como la marca, el almacenamiento y cumplimiento, el diseño, la comercialización y otros servicios que Drexel ofrece. podrá disponer de conformidad con los requerimientos del Comerciante.
“Terceros países” significa todos los países fuera del Espacio Económico Europeo (“EEE”), excluidos los países aprobados por la Comisión Europea como proveedores de protección adecuada para los datos personales de vez en cuando, que en la fecha de este Acuerdo incluyen Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay.
2. Objeto de los Términos
Estos Términos rigen la relación entre Drexel y el Comerciante con respecto a cualquier procesamiento de Datos personales por parte de Drexel en nombre del Comerciante.
En la medida en que Drexel procese Datos personales en nombre del Comerciante, el Comerciante es el Controlador y Drexel es el Procesador, y solo procesa estos Datos personales en nombre del Comerciante.
Por el presente, el Comerciante nombra e instruye a Drexel para procesar los Datos personales según lo prescrito en estos Términos, incluso con respecto a la transferencia de Datos personales a un tercer país u organización internacional.
3. Detalles del procesamiento
3.1 En la medida en que Drexel procese datos personales en nombre del Comerciante, se aplicarán los siguientes detalles de procesamiento:
Categorías de interesados. Los clientes del Comerciante (usuarios finales de los Servicios de Drexel) y los clientes potenciales del Comerciante u otros usuarios finales de los Servicios de Drexel, cuyos datos personales el Comerciante ha autorizado a Drexel a Procesar.
Tipo de Datos Personales. Datos personales relacionados con los clientes del Comerciante y cualquier Dato personal en el contenido de impresión del Comerciante (cuando corresponda) y Datos personales revelados durante el uso de cualquier Servicio de Drexel, incluido el nombre, la dirección de correo electrónico, el número de teléfono, la dirección de envío y otra información sobre los clientes del Comerciante. .
Naturaleza y finalidad del tratamiento. Drexel procesa Datos de acuerdo con estos Términos para proporcionar el Servicio al Comerciante y, de otro modo, garantizar el cumplimiento de las obligaciones establecidas en el Acuerdo entre el Comerciante y Drexel en la medida en que esto implique el procesamiento de Datos personales. Drexel solo tiene acceso a los Datos personales proporcionados por el Comerciante y utiliza dichos Datos personales de acuerdo con las instrucciones del Comerciante según lo establecido en estos Términos.
Duración del procesamiento. Los datos serán procesados durante la vigencia del Acuerdo.
4. Obligaciones del Comerciante
El Comerciante garantiza que ha cumplido y continúa cumpliendo con las Leyes de Protección de Datos, incluidas las establecidas en la Cláusula 4(b).
El Comerciante confirma que los Datos personales transferidos a Drexel han sido recopilados por el Comerciante sobre una base legal válida y que el Comerciante ha obtenido los consentimientos necesarios o ha dado los avisos necesarios según lo prescrito por las Leyes de Protección de Datos, y que el Comerciante tiene derecho a proporcionar los Datos Personales a Drexel.
El Comerciante confirma que estos Términos contienen instrucciones suficientes para Drexel con respecto al procesamiento de Datos personales, así como el alcance y los propósitos del mismo.
Si es razonablemente necesario, el Comerciante puede proporcionar a Drexel instrucciones adicionales sobre el procesamiento de Datos personales distintas a las prescritas en estos Términos. Dichas instrucciones adicionales deben ser razonables para que Drexel las lleve a cabo, estar debidamente documentadas y cumplir con las Leyes de Protección de Datos y también deben ser aceptadas por Drexel.
El Comerciante será responsable de la exactitud de los Datos personales y de mantenerlos actualizados e informará a Drexel en caso de cualquier cambio en los Datos personales.
Drexel no será responsable de ningún reclamo o queja de los Interesados con respecto a cualquier acción tomada por Drexel como resultado de actuar de acuerdo con las instrucciones recibidas del Comerciante. Además, el Comerciante acepta que indemnizará y eximirá de responsabilidad a Drexel, previa solicitud, de y contra todos los reclamos, responsabilidades, costos, gastos, pérdidas o daños (incluidas pérdidas consecuentes, pérdida de ganancias y pérdida de reputación y todos los intereses, sanciones y derechos legales y otros costos y gastos profesionales) incurridos por Drexel que surjan directa o indirectamente de un incumplimiento de esta Cláusula 4.
5. Obligaciones de Drexel
Drexel solo procesará los Datos personales en nombre del Comerciante y siempre seguirá las instrucciones del Comerciante prescritas en estos Términos, o según lo proporcionado a Drexel por escrito de conformidad con la Cláusula 4(e); Si Drexel no puede proporcionar dicho cumplimiento por cualquier motivo (incluso si la instrucción viola las Leyes de Protección de Datos), acepta informar al Comerciante de su incapacidad para cumplir tan pronto como sea razonablemente posible.
Drexel ha implementado medidas técnicas y organizativas apropiadas especificadas en el Anexo 1 (Medidas de seguridad técnicas y organizativas) de estos Términos y continuará cumpliéndolas durante la vigencia de estos Términos y el Acuerdo.
Drexel supervisa y garantiza que todo el personal autorizado de Drexel involucrado en el procesamiento de datos conforme a estos Términos se haya comprometido a cumplir obligaciones de confidencialidad o esté bajo una obligación legal de confidencialidad adecuada.
Otras obligaciones de Drexel se establecen en las Cláusulas 6 a 9.
6. Asistencia al Comerciante
Teniendo en cuenta la naturaleza del procesamiento, Drexel brindará toda la asistencia razonable al Comerciante con la provisión de medidas técnicas u organizativas, en la medida de lo posible, para el cumplimiento de las obligaciones del Comerciante como Controlador en relación con:
Cualquier solicitud de los Sujetos de datos con respecto al acceso, rectificación, eliminación, restricción, portabilidad, bloqueo o eliminación de sus Datos personales que Drexel procesa en nombre del Comerciante. En el caso de que un Interesado envíe dicha solicitud directamente a Drexel, Drexel la enviará de inmediato al Comerciante;
La investigación de cualquier violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos Personales pertenecientes al Comerciante o cualquier acceso accidental o no autorizado o cualquier otro evento que afecte la integridad, disponibilidad o confidencialidad de los Datos personales que pertenecen al Comerciante (una “Violación de datos”) y la notificación a la Autoridad de supervisión pertinente y a los Interesados con respecto a dicha Violación de datos (cuando sea necesario); además, Drexel notificará de inmediato al Comerciante sobre cualquier violación de datos; y
En su caso, la elaboración de evaluaciones de impacto en materia de protección de datos y, en su caso, la realización de consultas con cualquier Autoridad de Control.
7. Subencargados y Transferencia de Datos
Para que Drexel pueda cumplir con sus obligaciones prescritas en el Acuerdo y administrar y proporcionar el Servicio, el Comerciante por el presente otorga a Drexel autorización general por escrito para contratar subprocesadores. El comerciante puede obtener la lista de subprocesadores actuales contratados por Drexel ingresando la dirección de correo electrónico de la cuenta registrada en la sección siguiente. La lista incluirá las identidades de los subprocesadores, los servicios prestados y el país de ubicación.
Se notificará al comerciante sobre el nombramiento o cualquier cambio previsto relacionado con la adición o reemplazo de subprocesadores de Drexel en esta sección del sitio web de Drexel. Esta notificación aparecerá 10 (diez) días antes de la contratación del subencargado. Durante este período, el Comerciante puede oponerse al nombramiento o reemplazo del subprocesador enviando una notificación por escrito a privacidad@Drexel.shop, proporcionando motivos razonables para la objeción (por ejemplo, en caso de una posible infracción de las Leyes de Protección de Datos). Si el Comerciante no se opone, Drexel podrá proceder con el nombramiento o reemplazo.
Drexel por la presente confirma que sus subprocesadores están obligados, contractualmente o de otro modo, de forma vinculante a cumplir con obligaciones de procesamiento de datos que no son menos onerosas para el subprocesador correspondiente que las obligaciones de Drexel según lo prescrito en estos Términos.
Cuando Drexel procese, acceda y/o almacene Datos personales en cualquier tercer país, Drexel deberá:
cumplir con las obligaciones del importador de datos establecidas en las Cláusulas Modelo, que por el presente se incorporan y forman parte de estos Términos con los detalles de procesamiento establecidos en la Cláusula 3 (Detalles del Procesamiento) y las medidas de seguridad técnicas y organizativas establecidas en el Anexo 1. (Medidas de Seguridad Técnicas y Organizativas) que se aplican a los efectos del Apéndice 1 y el Apéndice 2, respectivamente, de las Cláusulas Modelo, y el Comerciante cumplirá con las obligaciones del Exportador de Datos en las Cláusulas Modelo; y
El Comerciante reconoce y acepta que Drexel puede nombrar un afiliado o un tercero subcontratista para procesar los Datos personales del Comerciante en un tercer país, siempre que garantice que dicho Procesamiento se lleve a cabo de acuerdo con los requisitos de las Leyes de Protección de Datos. Las Partes acuerdan que los Datos personales pueden transferirse a un afiliado o subcontratista externo que esté certificado para procesar dichos datos según el Programa Escudo de Privacidad. Alternativamente, el Comerciante otorga a Drexel un mandato para ejecutar las Cláusulas modelo con los detalles de procesamiento establecidos en la Cláusula 3 (Detalles del procesamiento) y las medidas de seguridad técnicas y organizativas establecidas en el Anexo 1 (Medidas de seguridad técnicas y organizativas) que se aplican para los fines. del Apéndice 1 y Apéndice 2, respectivamente, de las Cláusulas Modelo, con cualquier subcontratista o afiliado relevante que designe en nombre del Comerciante.
8. Auditoría
Previa solicitud por escrito del Comerciante, Drexel deberá proporcionar información suficiente para demostrar el cumplimiento de las obligaciones establecidas en estos Términos y Leyes de Protección de Datos. Esta información se proporcionará en la medida en que dicha información esté dentro del control de Drexel y Drexel no esté impedido de revelarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación debida a un tercero.
Si la información proporcionada a solicitud del Comerciante a su juicio razonable no es suficiente para confirmar el cumplimiento de Drexel con estos Términos, entonces Drexel acepta permitir y contribuir a las auditorías de procesamiento de datos.
Se permite que dichas auditorías sean realizadas por un tercero independiente con buena reputación en el mercado, siempre que tenga suficiente experiencia y competencia para llevar a cabo auditorías de procesamiento de datos, y la elección de dicho auditor debe ser acordada mutuamente tanto por el Comerciante como por Drexel.
Drexel determina el momento y otros aspectos prácticos relacionados con dicha auditoría o inspección, y dicha información y asistencia se proporcionan únicamente a expensas del Comerciante. Drexel se reserva el derecho de cobrar al Comerciante por cualquier trabajo adicional u otros costos incurridos en relación con dichas auditorías. El Comerciante podrá solicitar dicha auditoría no más de una vez cada 2 años.
El auditor deberá firmar un acuerdo de confidencialidad, que incluye la obligación de no revelar información comercial en su informe de auditoría, y el informe final también deberá entregarse a Drexel.
9. Devolución y eliminación de Datos
A elección del Comerciante, Drexel eliminará o devolverá todos los Datos personales al Comerciante una vez finalizado el Acuerdo y eliminará las copias existentes, a menos que una ley aplicable exija que Drexel almacene dichos Datos personales.
10. Ley aplicable
Estos Términos se rigen por las leyes de la República de Letonia y están sujetos al procedimiento de resolución de disputas según lo prescrito en el Acuerdo.
11. Modificaciones
Drexel se reserva el derecho, a su discreción, de modificar estos Términos. En caso de cambios materiales, Drexel notificará al Comerciante por escrito, dándole al Comerciante el derecho de rescindir el Acuerdo.
Horario 1
Medidas de seguridad técnicas y organizativas
Drexel tomará, entre otras, las siguientes medidas técnicas y organizativas para garantizar la seguridad física de los Datos personales y el sistema de control de entrada, acceso, transferencia, entrada, disponibilidad y separación de Datos personales:
1. para establecer la identidad de las personas autorizadas y evitar el acceso no autorizado a las instalaciones e instalaciones de Drexel en las que se procesan los Datos personales:
Todas las entradas están aseguradas o cerradas con llave y solo se puede acceder a ellas con la llave/tarjeta con chip/llaves digitales internas adecuadas;
Las instalaciones están protegidas por un sistema de alarma;
Todos los visitantes deben identificarse y registrarse por parte del personal autorizado;
Vigilancia por vídeo de las instalaciones;
Los visitantes están acompañados por el personal de Drexel en todo momento;
Hay guardias de seguridad capacitados estacionados dentro y alrededor del edificio las 24 horas, los 7 días de la semana,
2. Para impedir el acceso no autorizado a los sistemas de tratamiento de datos:
Uso de software antivirus de última generación que incluye filtrado de correo electrónico y detección de malware;
Uso de cortafuegos;
Durante los tiempos de inactividad, las PC de usuarios y administradores están bloqueadas;
Los usuarios deben configurar contraseñas complejas y 2FA en todos los sistemas posible;
Concepto de privilegio mínimo, que permite solo el acceso necesario para que los usuarios realicen su función laboral. El acceso por encima de estos privilegios mínimos requiere la autorización adecuada;
Los procesos de limpieza de inicio, mudanza y salida establecidos que cubren los derechos de acceso dependen de las tareas laborales;
Autenticación de 2 factores RSA/ed25519 implementada para las conexiones remotas más críticas;
Análisis y corrección de vulnerabilidades implementados;
Programa de pruebas de penetración de sitios web y centros de datos implementado.
3. para evitar actividades no autorizadas en los sistemas de procesamiento de datos fuera del alcance de las autorizaciones otorgadas:
El acceso de usuarios y administradores a la red se basa en un modelo de derechos de acceso basado en grupos/roles. Existe un concepto de autorización que otorga derechos de acceso a los datos sólo cuando sea “necesario saber”;
Administración de derechos de usuario a través de administradores de sistemas o propietarios de sistemas;
Auditorías de control y gobernanza de TI realizadas periódicamente por terceros externos;
Auditorías de control interno realizadas periódicamente.
4. garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados por personas no autorizadas durante su transmisión electrónica o durante su transporte o registro en soportes de datos y garantizar que sea posible examinar y establecer dónde están o han tenido los datos personales ser transmitido por equipo de transmisión de datos
1. Definiciones
Los términos en mayúscula que no se definan de otra manera en este documento tendrán el mismo significado que se establece en el Acuerdo.
"Acuerdo" significa los Términos de Servicio celebrados por Drexel y el Comerciante con respecto al uso del Servicio de Drexel.
"Titular de los datos", "Responsable del tratamiento", "Procesador", "Autoridad de control" y "Procesos" tienen el significado que les otorga el RGPD.
"Leyes de protección de datos" significa (a) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos. (“GDPR”) y cualquier ley nacional aplicable que la implemente o complemente, incluida la Ley de Protección de Datos del Reino Unido de 2018 (cuando corresponda); (b) la Directiva de privacidad electrónica 2002/58/CE y cualquier ley de implementación nacional aplicable; y (c) el Reglamento de privacidad electrónica 2017/003 (una vez que entre en vigor); en cada caso según sea modificado, consolidado, promulgado o reemplazado de vez en cuando.
"Comerciante" significa cualquier persona, ya sea jurídica o física, que utiliza el Servicio de Drexel para ejecutar pedidos y/o entregar sus productos a los destinatarios, incluidos los clientes del Comerciante.
“Cláusulas modelo” significa las Cláusulas Contractuales Estándar (Responsable a Procesador) según lo establecido en la Decisión de la Comisión del 5 de febrero de 2010 (C (2010) 593), modificada, actualizada o reemplazada periódicamente.
"Partes" significa Drexel y el Comerciante.
“Datos personales” significa Datos personales que están sujetos al RGPD y a cualquier legislación nacional que implemente el RGPD, incluida la Ley de Protección de Datos del Reino Unido de 2018 (cuando corresponda), incluidos los Datos personales de los Comerciantes de Drexel a quienes se les ofrecen bienes y servicios en el EEE y el Reino Unido (los “Países GDPR”);
“Programa de Escudo de Privacidad” significa los marcos de Escudo de Privacidad UE-EE. UU. y Suiza-EE. UU. diseñados por el Departamento de Comercio de EE. UU. y aprobados por la Comisión Europea y la Administración Suiza (respectivamente) para brindar una protección adecuada con respecto a la recopilación, el uso y la retención de información personal transferida desde la UE, el Reino Unido y/o Suiza (según corresponda) a los Estados Unidos.
"Servicio" significa servicios de impresión bajo demanda ofrecidos por Drexel a los Comerciantes, incluida la impresión para uso personal o la subcontratación de la impresión y entrega de productos a los clientes del Comerciante, así como la marca, el almacenamiento y cumplimiento, el diseño, la comercialización y otros servicios que Drexel ofrece. podrá disponer de conformidad con los requerimientos del Comerciante.
“Terceros países” significa todos los países fuera del Espacio Económico Europeo (“EEE”), excluidos los países aprobados por la Comisión Europea como proveedores de protección adecuada para los datos personales de vez en cuando, que en la fecha de este Acuerdo incluyen Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay.
2. Objeto de los Términos
Estos Términos rigen la relación entre Drexel y el Comerciante con respecto a cualquier procesamiento de Datos personales por parte de Drexel en nombre del Comerciante.
En la medida en que Drexel procese Datos personales en nombre del Comerciante, el Comerciante es el Controlador y Drexel es el Procesador, y solo procesa estos Datos personales en nombre del Comerciante.
Por el presente, el Comerciante nombra e instruye a Drexel para procesar los Datos personales según lo prescrito en estos Términos, incluso con respecto a la transferencia de Datos personales a un tercer país u organización internacional.
3. Detalles del procesamiento
3.1 En la medida en que Drexel procese datos personales en nombre del Comerciante, se aplicarán los siguientes detalles de procesamiento:
Categorías de interesados. Los clientes del Comerciante (usuarios finales de los Servicios de Drexel) y los clientes potenciales del Comerciante u otros usuarios finales de los Servicios de Drexel, cuyos datos personales el Comerciante ha autorizado a Drexel a Procesar.
Tipo de Datos Personales. Datos personales relacionados con los clientes del Comerciante y cualquier Dato personal en el contenido de impresión del Comerciante (cuando corresponda) y Datos personales revelados durante el uso de cualquier Servicio de Drexel, incluido el nombre, la dirección de correo electrónico, el número de teléfono, la dirección de envío y otra información sobre los clientes del Comerciante. .
Naturaleza y finalidad del tratamiento. Drexel procesa Datos de acuerdo con estos Términos para proporcionar el Servicio al Comerciante y, de otro modo, garantizar el cumplimiento de las obligaciones establecidas en el Acuerdo entre el Comerciante y Drexel en la medida en que esto implique el procesamiento de Datos personales. Drexel solo tiene acceso a los Datos personales proporcionados por el Comerciante y utiliza dichos Datos personales de acuerdo con las instrucciones del Comerciante según lo establecido en estos Términos.
Duración del procesamiento. Los datos serán procesados durante la vigencia del Acuerdo.
4. Obligaciones del Comerciante
El Comerciante garantiza que ha cumplido y continúa cumpliendo con las Leyes de Protección de Datos, incluidas las establecidas en la Cláusula 4(b).
El Comerciante confirma que los Datos personales transferidos a Drexel han sido recopilados por el Comerciante sobre una base legal válida y que el Comerciante ha obtenido los consentimientos necesarios o ha dado los avisos necesarios según lo prescrito por las Leyes de Protección de Datos, y que el Comerciante tiene derecho a proporcionar los Datos Personales a Drexel.
El Comerciante confirma que estos Términos contienen instrucciones suficientes para Drexel con respecto al procesamiento de Datos personales, así como el alcance y los propósitos del mismo.
Si es razonablemente necesario, el Comerciante puede proporcionar a Drexel instrucciones adicionales sobre el procesamiento de Datos personales distintas a las prescritas en estos Términos. Dichas instrucciones adicionales deben ser razonables para que Drexel las lleve a cabo, estar debidamente documentadas y cumplir con las Leyes de Protección de Datos y también deben ser aceptadas por Drexel.
El Comerciante será responsable de la exactitud de los Datos personales y de mantenerlos actualizados e informará a Drexel en caso de cualquier cambio en los Datos personales.
Drexel no será responsable de ningún reclamo o queja de los Interesados con respecto a cualquier acción tomada por Drexel como resultado de actuar de acuerdo con las instrucciones recibidas del Comerciante. Además, el Comerciante acepta que indemnizará y eximirá de responsabilidad a Drexel, previa solicitud, de y contra todos los reclamos, responsabilidades, costos, gastos, pérdidas o daños (incluidas pérdidas consecuentes, pérdida de ganancias y pérdida de reputación y todos los intereses, sanciones y derechos legales y otros costos y gastos profesionales) incurridos por Drexel que surjan directa o indirectamente de un incumplimiento de esta Cláusula 4.
5. Obligaciones de Drexel
Drexel solo procesará los Datos personales en nombre del Comerciante y siempre seguirá las instrucciones del Comerciante prescritas en estos Términos, o según lo proporcionado a Drexel por escrito de conformidad con la Cláusula 4(e); Si Drexel no puede proporcionar dicho cumplimiento por cualquier motivo (incluso si la instrucción viola las Leyes de Protección de Datos), acepta informar al Comerciante de su incapacidad para cumplir tan pronto como sea razonablemente posible.
Drexel ha implementado medidas técnicas y organizativas apropiadas especificadas en el Anexo 1 (Medidas de seguridad técnicas y organizativas) de estos Términos y continuará cumpliéndolas durante la vigencia de estos Términos y el Acuerdo.
Drexel supervisa y garantiza que todo el personal autorizado de Drexel involucrado en el procesamiento de datos conforme a estos Términos se haya comprometido a cumplir obligaciones de confidencialidad o esté bajo una obligación legal de confidencialidad adecuada.
Otras obligaciones de Drexel se establecen en las Cláusulas 6 a 9.
6. Asistencia al Comerciante
Teniendo en cuenta la naturaleza del procesamiento, Drexel brindará toda la asistencia razonable al Comerciante con la provisión de medidas técnicas u organizativas, en la medida de lo posible, para el cumplimiento de las obligaciones del Comerciante como Controlador en relación con:
Cualquier solicitud de los Sujetos de datos con respecto al acceso, rectificación, eliminación, restricción, portabilidad, bloqueo o eliminación de sus Datos personales que Drexel procesa en nombre del Comerciante. En el caso de que un Interesado envíe dicha solicitud directamente a Drexel, Drexel la enviará de inmediato al Comerciante;
La investigación de cualquier violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos Personales pertenecientes al Comerciante o cualquier acceso accidental o no autorizado o cualquier otro evento que afecte la integridad, disponibilidad o confidencialidad de los Datos personales que pertenecen al Comerciante (una “Violación de datos”) y la notificación a la Autoridad de supervisión pertinente y a los Interesados con respecto a dicha Violación de datos (cuando sea necesario); además, Drexel notificará de inmediato al Comerciante sobre cualquier violación de datos; y
En su caso, la elaboración de evaluaciones de impacto en materia de protección de datos y, en su caso, la realización de consultas con cualquier Autoridad de Control.
7. Subencargados y Transferencia de Datos
Para que Drexel pueda cumplir con sus obligaciones prescritas en el Acuerdo y administrar y proporcionar el Servicio, el Comerciante por el presente otorga a Drexel autorización general por escrito para contratar subprocesadores. El comerciante puede obtener la lista de subprocesadores actuales contratados por Drexel ingresando la dirección de correo electrónico de la cuenta registrada en la sección siguiente. La lista incluirá las identidades de los subprocesadores, los servicios prestados y el país de ubicación.
Se notificará al comerciante sobre el nombramiento o cualquier cambio previsto relacionado con la adición o reemplazo de subprocesadores de Drexel en esta sección del sitio web de Drexel. Esta notificación aparecerá 10 (diez) días antes de la contratación del subencargado. Durante este período, el Comerciante puede oponerse al nombramiento o reemplazo del subprocesador enviando una notificación por escrito a privacidad@Drexel.shop, proporcionando motivos razonables para la objeción (por ejemplo, en caso de una posible infracción de las Leyes de Protección de Datos). Si el Comerciante no se opone, Drexel podrá proceder con el nombramiento o reemplazo.
Drexel por la presente confirma que sus subprocesadores están obligados, contractualmente o de otro modo, de forma vinculante a cumplir con obligaciones de procesamiento de datos que no son menos onerosas para el subprocesador correspondiente que las obligaciones de Drexel según lo prescrito en estos Términos.
Cuando Drexel procese, acceda y/o almacene Datos personales en cualquier tercer país, Drexel deberá:
cumplir con las obligaciones del importador de datos establecidas en las Cláusulas Modelo, que por el presente se incorporan y forman parte de estos Términos con los detalles de procesamiento establecidos en la Cláusula 3 (Detalles del Procesamiento) y las medidas de seguridad técnicas y organizativas establecidas en el Anexo 1. (Medidas de Seguridad Técnicas y Organizativas) que se aplican a los efectos del Apéndice 1 y el Apéndice 2, respectivamente, de las Cláusulas Modelo, y el Comerciante cumplirá con las obligaciones del Exportador de Datos en las Cláusulas Modelo; y
El Comerciante reconoce y acepta que Drexel puede nombrar un afiliado o un tercero subcontratista para procesar los Datos personales del Comerciante en un tercer país, siempre que garantice que dicho Procesamiento se lleve a cabo de acuerdo con los requisitos de las Leyes de Protección de Datos. Las Partes acuerdan que los Datos personales pueden transferirse a un afiliado o subcontratista externo que esté certificado para procesar dichos datos según el Programa Escudo de Privacidad. Alternativamente, el Comerciante otorga a Drexel un mandato para ejecutar las Cláusulas modelo con los detalles de procesamiento establecidos en la Cláusula 3 (Detalles del procesamiento) y las medidas de seguridad técnicas y organizativas establecidas en el Anexo 1 (Medidas de seguridad técnicas y organizativas) que se aplican para los fines. del Apéndice 1 y Apéndice 2, respectivamente, de las Cláusulas Modelo, con cualquier subcontratista o afiliado relevante que designe en nombre del Comerciante.
8. Auditoría
Previa solicitud por escrito del Comerciante, Drexel deberá proporcionar información suficiente para demostrar el cumplimiento de las obligaciones establecidas en estos Términos y Leyes de Protección de Datos. Esta información se proporcionará en la medida en que dicha información esté dentro del control de Drexel y Drexel no esté impedido de revelarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación debida a un tercero.
Si la información proporcionada a solicitud del Comerciante a su juicio razonable no es suficiente para confirmar el cumplimiento de Drexel con estos Términos, entonces Drexel acepta permitir y contribuir a las auditorías de procesamiento de datos.
Se permite que dichas auditorías sean realizadas por un tercero independiente con buena reputación en el mercado, siempre que tenga suficiente experiencia y competencia para llevar a cabo auditorías de procesamiento de datos, y la elección de dicho auditor debe ser acordada mutuamente tanto por el Comerciante como por Drexel.
Drexel determina el momento y otros aspectos prácticos relacionados con dicha auditoría o inspección, y dicha información y asistencia se proporcionan únicamente a expensas del Comerciante. Drexel se reserva el derecho de cobrar al Comerciante por cualquier trabajo adicional u otros costos incurridos en relación con dichas auditorías. El Comerciante podrá solicitar dicha auditoría no más de una vez cada 2 años.
El auditor deberá firmar un acuerdo de confidencialidad, que incluye la obligación de no revelar información comercial en su informe de auditoría, y el informe final también deberá entregarse a Drexel.
9. Devolución y eliminación de Datos
A elección del Comerciante, Drexel eliminará o devolverá todos los Datos personales al Comerciante una vez finalizado el Acuerdo y eliminará las copias existentes, a menos que una ley aplicable exija que Drexel almacene dichos Datos personales.
10. Ley aplicable
Estos Términos se rigen por las leyes de la República de Letonia y están sujetos al procedimiento de resolución de disputas según lo prescrito en el Acuerdo.
11. Modificaciones
Drexel se reserva el derecho, a su discreción, de modificar estos Términos. En caso de cambios materiales, Drexel notificará al Comerciante por escrito, dándole al Comerciante el derecho de rescindir el Acuerdo.
Horario 1
Medidas de seguridad técnicas y organizativas
Drexel tomará, entre otras, las siguientes medidas técnicas y organizativas para garantizar la seguridad física de los Datos personales y el sistema de control de entrada, acceso, transferencia, entrada, disponibilidad y separación de Datos personales:
1. para establecer la identidad de las personas autorizadas y evitar el acceso no autorizado a las instalaciones e instalaciones de Drexel en las que se procesan los Datos personales:
Todas las entradas están aseguradas o cerradas con llave y solo se puede acceder a ellas con la llave/tarjeta con chip/llaves digitales internas adecuadas;
Las instalaciones están protegidas por un sistema de alarma;
Todos los visitantes deben identificarse y registrarse por parte del personal autorizado;
Vigilancia por vídeo de las instalaciones;
Los visitantes están acompañados por el personal de Drexel en todo momento;
Hay guardias de seguridad capacitados estacionados dentro y alrededor del edificio las 24 horas, los 7 días de la semana,
2. Para impedir el acceso no autorizado a los sistemas de tratamiento de datos:
Uso de software antivirus de última generación que incluye filtrado de correo electrónico y detección de malware;
Uso de cortafuegos;
Durante los tiempos de inactividad, las PC de usuarios y administradores están bloqueadas;
Los usuarios deben configurar contraseñas complejas y 2FA en todos los sistemas posible;
Concepto de privilegio mínimo, que permite solo el acceso necesario para que los usuarios realicen su función laboral. El acceso por encima de estos privilegios mínimos requiere la autorización adecuada;
Los procesos de limpieza de inicio, mudanza y salida establecidos que cubren los derechos de acceso dependen de las tareas laborales;
Autenticación de 2 factores RSA/ed25519 implementada para las conexiones remotas más críticas;
Análisis y corrección de vulnerabilidades implementados;
Programa de pruebas de penetración de sitios web y centros de datos implementado.
3. para evitar actividades no autorizadas en los sistemas de procesamiento de datos fuera del alcance de las autorizaciones otorgadas:
El acceso de usuarios y administradores a la red se basa en un modelo de derechos de acceso basado en grupos/roles. Existe un concepto de autorización que otorga derechos de acceso a los datos sólo cuando sea “necesario saber”;
Administración de derechos de usuario a través de administradores de sistemas o propietarios de sistemas;
Auditorías de control y gobernanza de TI realizadas periódicamente por terceros externos;
Auditorías de control interno realizadas periódicamente.
4. garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados por personas no autorizadas durante su transmisión electrónica o durante su transporte o registro en soportes de datos y garantizar que sea posible examinar y establecer dónde están o han tenido los datos personales ser transmitido por equipo de transmisión de datos
