Adenda de Procesamiento de Datos
Este Anexo de Procesamiento de Datos de Shoprocket ("Anexo") modifica los Términos y Condiciones de Shoprocket ("Acuerdo") entre usted ("Usted") y Shoprocket LTD (número de empresa 12656598, registrada en Inglaterra y Gales en 20-22 Wenlock Road, Londres, NG 17U). Si tiene un SLA separado con Shoprocket, las referencias al Acuerdo significan ese SLA. Este Anexo está sujeto e incorporado en el Acuerdo. Cualquier término en mayúsculas que no se defina aquí tiene el significado dado en el Acuerdo.
Definiciones
Configuraciones de la Cuenta: Configuraciones para su Cuenta de Shoprocket (incluida la seguridad) que le permiten gestionar cómo Shoprocket procesa Datos Personales.
Fines Comerciales: Los Servicios definidos en el Acuerdo.
Datos de Cuenta del Cliente: Datos Personales sobre su relación con Shoprocket (por ejemplo, contactos autorizados, detalles de facturación), más información que Shoprocket recopila para la gestión de cuentas, verificación de identidad o requisitos legales.
Datos de Uso del Cliente: Datos de uso procesados por Shoprocket en relación con su uso de los Servicios (por ejemplo, registros, métricas de rendimiento, datos de prevención de abuso).
Legislación de Protección de Datos: Incluye la CCPA, el RGPD de la UE, la Ley Federal Suiza sobre Protección de Datos, el RGPD del Reino Unido, la DPA 2018 y la PECR 2003, cada una según se actualice. Los términos (por ejemplo, "Controlador de Datos", "Procesador de Datos") siguen el RGPD de la UE.
EEE: Espacio Económico Europeo.
EU SCCs: Las Cláusulas Contractuales Estándar según la Decisión de la Comisión 2021/914.
Transferencia Ex-EEE: Una transferencia de Datos Personales (bajo el RGPD de la UE) fuera del EEE sin una decisión de adecuación bajo el Artículo 45 del RGPD de la UE.
Transferencia Ex-Reino Unido: Una transferencia de Datos Personales (bajo el RGPD del Reino Unido) fuera del Reino Unido sin una decisión de adecuación por parte del Secretario de Estado del Reino Unido.
Proveedor de Servicios: Según lo definido en la CCPA.
Servicios: Las herramientas de Shoprocket para crear/gestionar tiendas en línea ("Tienda Shoprocket"), manejar productos, pagos, envíos, marketing y cualquier herramienta o servicio que Shoprocket pueda ofrecer.
Cuenta de Shoprocket: Su cuenta que da acceso a los Servicios, incluidas las Configuraciones de Cuenta, en https://www.shoprocket.io.
Política de Privacidad de Shoprocket: El aviso en https://shoprocket.io/privacy, según se actualice.
Tienda Shoprocket: Su sitio de comercio electrónico alojado o facilitado por Shoprocket.
Datos de Categoría Especial: Según lo definido en los Artículos 4(13), 4(14), 4(15) y 9 del RGPD de la UE/Reino Unido (según corresponda).
Cláusulas Contractuales Estándar (SCCs): Las EU SCCs y UK SCCs, según sea relevante.
UK SCCs: Las EU SCCs modificadas por el Anexo IDTA de la ICO del Reino Unido.
Nosotros/Nuestro: Shoprocket LTD (incluyendo "Shoprocket" y "Shoprocket.io").
Usted/Su: La parte contratante nombrada en el Acuerdo.
Instrucciones para el Cliente
Este Anexo y el Acuerdo (incluidas las instrucciones en sus Configuraciones de Cuenta) forman las Instrucciones Documentadas sobre cómo Shoprocket procesa Datos Personales. Shoprocket solo procesará Datos Personales según las instrucciones. Instrucciones adicionales fuera de estos términos requieren un acuerdo previo por escrito (y pueden conllevar tarifas adicionales).
Shoprocket puede terminar este Anexo y el Acuerdo si sus instrucciones contravienen la Legislación de Protección de Datos o se desvían de las instrucciones acordadas. Dada la naturaleza del procesamiento, Shoprocket generalmente no puede juzgar si sus instrucciones infringen la ley; si forma tal opinión, se lo informará, y podrá modificar o retirar las instrucciones.
Procesamiento de Datos
Procesamiento de Shoprocket
Procesador de Datos/Proveedor de Servicios: Excepto para Datos de Cuenta del Cliente y Datos de Uso del Cliente, Shoprocket procesa Datos Personales (bajo el RGPD de la UE/Reino Unido) o información personal (bajo la CCPA) en su nombre.
Controlador de Datos Independiente: Shoprocket es un Controlador de Datos para Datos Personales recolectados directamente de los clientes de la Tienda y para Datos de Cuenta del Cliente o Datos de Uso del Cliente.
Almacenamiento
Los Datos Personales se almacenan en:
Servidores de AWS en Irlanda (u otras regiones del EEE),
Servidores de Hetzner en Nuremberg/Falkenstein (Alemania).
Alcance y Propósito
Shoprocket solo procesa Datos Personales según sea necesario para los Fines Comerciales que especifique (de acuerdo con los Servicios adquiridos) y en cumplimiento de la Legislación de Protección de Datos.
Si la ley lo requiere para procesar de manera diferente, Shoprocket le notificará a menos que esté prohibido por ley.
Shoprocket sigue rápidamente sus instrucciones escritas para enmendar, transferir o eliminar Datos Personales, o para detener el procesamiento no autorizado.
Shoprocket mantiene la confidencialidad de los Datos Personales a menos que la divulgación esté autorizada o sea legalmente requerida.
Shoprocket ayuda con sus obligaciones de cumplimiento (por ejemplo, solicitudes de sujetos de datos, DPIAs) sin costo adicional.
Shoprocket le notifica sobre cambios legales que podrían afectar el Acuerdo o este Anexo.
Shoprocket como Controlador de Datos Independiente
Para los Datos de Cuenta del Cliente y Datos de Uso del Cliente, Shoprocket no es un controlador conjunto sino que procesa esos datos para gestionar su relación con usted, prevenir fraudes/incidentes de seguridad, cumplir con obligaciones legales, etc., de acuerdo con la Política de Privacidad de Shoprocket.
CCPA
Excepto para Datos de Cuenta del Cliente y Datos de Uso del Cliente, Shoprocket es su Proveedor de Servicios bajo la CCPA; no "venderá" dicha información personal y solo la usará para realizar los Servicios o según lo permitido por la ley.
Complementos
Usted puede integrar complementos de terceros ("Complementos") bajo EULAs separados con cada editor. Shoprocket transfiere los Datos Personales necesarios al Editor del Complemento, pero no es responsable por su procesamiento. Los Complementos actuales comercializados por Shoprocket incluyen:
Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Cumplimiento y sincronización multicanal.
Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Integraciones de pago que soportan varios métodos/monedas.
Zapier: Automatiza transferencias de datos/flujos de trabajo entre Shoprocket y otras aplicaciones.
Si Shoprocket y usted tienen SCCs, su instrucción para integrar Complementos constituye el consentimiento para transferir Datos Personales a esos Editores de Complementos si así lo requieren los SCCs.
Sus Responsabilidades
Usted es el Controlador de Datos para cualquier Dato Personal recolectado o procesado por Shoprocket en su nombre.
Usted es responsable de cumplir con los requisitos de avisos/consensos y asegurar el cumplimiento de la Legislación de Protección de Datos.
Tipos de Datos Personales y Fines de Procesamiento
Materia: Datos Personales que usted sube a los Servicios, incluida su Cuenta de Shoprocket o Tienda.
Duración: Determinada por usted (hasta que usted suspenda/termine su suscripción a Shoprocket o integraciones relevantes).
Propósito: Proveer los Servicios según sus instrucciones (por ejemplo, operar su Tienda/Cuenta de Shoprocket).
Naturaleza del Procesamiento: La plataforma de ecommerce de Shoprocket (y cualquier sub-procesador/editor de complementos) puede almacenar o procesar Datos Personales.
Tipos de Datos Personales: Datos que usted sube (por ejemplo, información de contacto, detalles de clientes, registros de transacciones).
Sujeto de Datos: Usted, sus clientes, empleados, contratistas, agentes, proveedores o vendedores.
Seguridad del Procesamiento de Datos
Shoprocket mantendrá medidas técnicas y organizativas adecuadas para proteger los Datos Personales contra el procesamiento no autorizado o ilegal, pérdida accidental o destrucción, alineadas con el Artículo 32 del RGPD de la UE/Reino Unido. Las medidas incluyen (según corresponda):
Pseudonimización/encriptación de datos;
Asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas;
Restaurar la disponibilidad de datos de manera oportuna después de incidentes;
Probar, evaluar y valorar regularmente estas medidas.
Empleados de Shoprocket
Shoprocket asegura que los empleados, contratistas y agentes que manejan Datos Personales estén capacitados, obligados a la confidencialidad y completamente conscientes de sus obligaciones de protección de datos.
Seguridad (Reiterada)
Shoprocket actualiza continuamente las salvaguardias técnicas/organizativas para prevenir el procesamiento no autorizado, incluida la encriptación, la resiliencia del sistema, la recuperabilidad y las pruebas de efectividad.
Incidente de Dato Personal
Notificación
Shoprocket le notificará dentro de 72 horas (y sin demora indebida) si toma conocimiento de:
Pérdida/dano de Datos Personales;
Cualquier procesamiento accidental, no autorizado o ilegal;
Un Incidente de Dato Personal.
Información
Shoprocket proporciona una descripción del incidente, categorías/numéros de datos afectados y medidas tomadas o propuestas para mitigar el impacto.
Cooperación
Shoprocket coordina con usted la investigación y no informará a terceros sin su consentimiento por escrito a menos que sea legalmente requerido.
Costos
Shoprocket cubre los gastos razonables para estas obligaciones a menos que el incidente surja de sus instrucciones, negligencia o incumplimiento, en cuyo caso usted cubrirá los gastos razonables de Shoprocket (incluyendo asesores profesionales).
Sub-procesadores
Shoprocket actualmente utiliza estos Sub-procesadores para alojar/procesar datos, servicios de infraestructura/red u otras funciones de servicio:
| Nombre | Descripción | Ubicación |
|---|---|---|
| 200OK LLC (Profitwell) | Informes/analíticas de suscripción. | MA, EE. UU. |
| Amazon Web Services EMEA SARL | Alojamiento en la nube, computación, almacenamiento. | Luxemburgo, UE |
| Automattic, Inc. (Gravatar) | Permite a los usuarios subir imágenes de perfil a cuentas de Shoprocket. | CA, EE. UU. |
| Cloudflare, Inc. | Seguridad de red y conectividad. | CA, EE. UU. |
| Crisp IM SAS | Aplicación de chat en vivo y mensajería para soporte al usuario. | Francia, UE |
| Tecnologías de Facebook Irlanda | Pixels de Facebook para conversiones, optimización de anuncios, construcción de audiencia. | Irlanda, UE |
| Google Irlanda Limited | Google Analytics (analítica de comportamiento), Adwords (colocación/monetización de anuncios). | Irlanda, UE |
| GmbH | Alojamiento en la nube, computación y almacenamiento. | Alemania, UE |
| TPS Unlimited, Inc. (Taxjar) | Automatización de impuestos para IVA de la UE y impuestos sobre ventas de EE. UU. en Tiendas Shoprocket. | CA, EE. UU. |
| Twilio, Inc. (Sendgrid) | Mensajería multicanal (correo electrónico, SMS, WhatsApp). | Irlanda, UE |
| Twitter, Inc. | Twitter Pixel para seguimiento de conversiones y métricas de rendimiento de anuncios. | CA, EE. UU. |
Usted autoriza a Shoprocket a utilizar los Sub-procesadores anteriores y da autorización general para que Shoprocket agregue otros ("Sub-procesadores Autorizados"). Shoprocket proporcionará al menos 30 días de aviso (a través del sitio web, correo electrónico o notificación de Cuenta) antes de utilizar un nuevo Sub-procesador. Puede objetar dentro de 10 días de aviso, por escrito, por razones razonables de protección de datos. Si se involucra un Sub-procesador esencial y no se encuentra una alternativa dentro de 90 días, puede interrumpir o cancelar los Servicios relevantes (siguiendo pagando cualquier tarifa adeudada).
Si no objeta dentro de 10 días, el nuevo Sub-procesador se considera aprobado. Donde Shoprocket involucre a un Sub-procesador, este:
Restringe el acceso solo a lo que es necesario para proporcionar o mejorar los Servicios;
Impone las mismas obligaciones de protección de datos a ellos;
Sigue siendo responsable de su cumplimiento.
Si se aplican los SCCs, su autorización cuenta como consentimiento previo por escrito bajo la Cláusula 9(c) o las cláusulas relevantes de los UK SCCs. Shoprocket puede redactar detalles comerciales no esenciales antes de compartir contratos de sub-procesamiento con usted.
Transferencias de Datos Personales
Shoprocket puede transferir Datos Personales fuera del EEE, Reino Unido o Suiza para proporcionar los Servicios (por ejemplo, algunos Editores de Complementos/Sub-procesadores en EE. UU.). Donde no se aplique una decisión de adecuación, Shoprocket asegurará salvaguardias adecuadas según la Legislación de Protección de Datos.
Transferencias Ex-EEE: Cubiertas por los EU SCCs (Módulo Uno para Shoprocket como Controlador, Módulo Dos para Shoprocket como Procesador). Ciertas cláusulas (por ejemplo, el acoplamiento de la Cláusula 7) no se aplican; las disputas se rigen por la legislación/juzgados irlandeses.
Transferencias Ex-Reino Unido: Cubiertas por el Anexo IDTA.
Transferencias desde Suiza: Similar a los EU SCCs, con modificaciones para el FADP Suizo.
Medidas Suplementarias:
No existen solicitudes de acceso a datos gubernamentales formales a partir de la fecha de este Anexo.
Si se ve obligado a divulgar sus datos, Shoprocket lo notificará (a menos que esté prohibido) y le ayudará a buscar medidas de protección.
Shoprocket y usted discutirán regularmente si las leyes en el país importador ofrecen protección equivalente o requieren medidas adicionales.
Si algún mecanismo de transferencia deja de ser válido o una Autoridad de Supervisión lo suspende, Shoprocket puede implementar arreglos alternativos o suspender transferencias.
Donde usted apruebe un Sub-procesador/Complemento fuera del EEE, también autoriza a Shoprocket a firmar SCCs en su nombre.
Quejas, Solicitudes de Sujetos de Datos y Derechos de Terceros
Shoprocket le proporcionará rápidamente cualquier información o asistencia que necesite para:
Cumplir con los derechos de Sujetos de Datos (acceso, rectificación, eliminación, portabilidad, objeciones, etc.).
Abordar o cumplir con los avisos/valoraciones de información de los reguladores.
Shoprocket le notificará de inmediato si recibe quejas o comunicaciones sobre el procesamiento, y dentro de 14 días si recibe una solicitud de Sujeto de Datos. Shoprocket asistirá en la respuesta, y no revelará Datos Personales a terceros a menos que sea requerido por ley o sus instrucciones.
Duración y Terminación
Este Anexo permanecerá en vigor mientras el Acuerdo lo esté, o Shoprocket retenga cualquier Dato Personal relacionado. Las disposiciones que deben sobrevivir para la protección de datos seguirán en vigor. Cualquier incumplimiento material de este DPA es un incumplimiento material del Acuerdo, dándole derecho a usted a terminar inmediatamente sin más responsabilidad.
Si cambios en la Legislación de Protección de Datos impiden a una parte cumplir con sus obligaciones, las partes pueden suspender el procesamiento hasta que se logre el cumplimiento. Si no se resuelve dentro de 90 días, cualquiera de las partes puede terminar con efecto inmediato mediante notificación.
Devolución y Destrucción de Datos
Previo pedido, Shoprocket le proporcionará (o a un tercero que usted designe por escrito) copias o acceso a Datos Personales en un formato que usted especifique (donde sea razonable).
Al terminar, Shoprocket devuelve o elimina Datos Personales a menos que el almacenamiento continuado sea legalmente requerido. Si la eliminación no es práctica o ilegal, Shoprocket bloqueará el procesamiento adicional y continuará protegiendo los datos.
Certificaciones SCC: Si se aplican SCCs, Shoprocket certificará la eliminación bajo la Cláusula 8.1(d) de los EU SCCs (o UK SCCs) a su solicitud por escrito.
Si alguna ley/reglamento requiere que Shoprocket retenga ciertos datos, lo notificará del fundamento, cronograma y luego eliminará los datos cuando ya no se requieran.
Shoprocket certifica la eliminación dentro de 30 días después de completarla.
Registros
Shoprocket mantiene registros detallados, precisos y actualizados de todo el procesamiento de Datos Personales (por ejemplo, medidas de seguridad, sub-procesadores, fines de procesamiento, cualquier transferencia internacional). Estos registros deben permitirle verificar el cumplimiento de Shoprocket. Las copias se proporcionan a petición.
Garantías
Shoprocket garantiza que:
Sus empleados, subcontratistas o agentes con acceso a Datos Personales son confiables, dignos de confianza y adecuadamente capacitados.
Procesará Datos Personales en total cumplimiento con la Legislación de Protección de Datos y leyes relacionadas.
No tiene razones para creer que la ley impida proporcionar los Servicios acordados.
Considerando la tecnología y los costos, tomará las medidas adecuadas para prevenir el procesamiento no autorizado o el daño/pérdida accidental, asegurando una seguridad proporcional al riesgo y la sensibilidad de los datos.
Ejecutación y Modificaciones
Al firmar el Acuerdo, usted acepta y queda obligado por este Anexo. Shoprocket puede actualizar este Anexo con 30 días de aviso por escrito si es necesario por razones legales o regulatorias. Si usted objeta y no se alcanza una solución mutua, puede terminar los Servicios afectados mediante aviso escrito dentro de ese período (debido a cualquier tarifa incurrida). No surgen más reclamaciones de dicha terminación.
Anexo A
Normas de Seguridad de Shoprocket
(Los términos en mayúsculas no definidos aquí tienen los significados asignados en el Anexo.)
Este Anexo describe las medidas técnicas y organizativas de Shoprocket para:
Proteger los Datos Personales contra pérdida, acceso o divulgación accidental o ilegal;
Identificar riesgos previsibles para la seguridad y prevenir el acceso no autorizado a los Servicios (incluida su cuenta de Shoprocket);
Minimizar los riesgos de seguridad mediante evaluación de riesgos y pruebas.
Shoprocket designa uno o más empleados para supervisar estas prácticas de seguridad de la información y responder a preguntas relacionadas.
1. Modelo de Responsabilidad Compartida
Shoprocket es una aplicación basada en la nube, SaaS alojada por:
Amazon Web Services (AWS) en la región eu-west-1 (Irlanda)
Hetzner Online en Falkenstein, Alemania
AWS ejecuta la plataforma principal de Shoprocket, infraestructura y alojamiento de datos. Hetzner Online proporciona espacio de servidor dedicado adicional para imágenes, descargas digitales, registros y facturas. Bajo este modelo:
Shoprocket gestiona la seguridad a nivel de aplicación (por ejemplo, acceso de usuario, parches de aplicación).
AWS / Hetzner gestiona la seguridad física y el entorno de nube subyacente.
Para más detalles sobre la seguridad de AWS y Hetzner, consulte su documentación respectiva.
2. Servidores de AWS y Hetzner Online
AWS
Shoprocket seleccionó AWS después de un cuidadoso examen bajo los Artículos 28(3)(c) y 32 del RGPD del Reino Unido. AWS está certificado bajo numerosos estándares (por ejemplo, SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) y proporciona amplia documentación de cumplimiento. Shoprocket configura AWS para almacenar Datos Personales solo en la UE/EEE.
Hetzner Online
Hetzner Online, certificado bajo DIN ISO/IEC 27001, proporciona espacio de servidor dedicado para ciertas copias de seguridad de datos y registros. Los centros de datos de Hetzner Online en Nuremberg y Falkenstein son auditados y certificados por terceros, implementando un Sistema de Gestión de Seguridad de la Información (ISMS).
3. Diseño, Integridad y Disponibilidad de la Aplicación Shoprocket
Arquitectura: Construida con un marco de JavaScript, la aplicación Shoprocket depende de Amazon's Relational Database Service (Amazon RDS) para MySQL.
Alto Rendimiento y Redundancia: AWS gestiona automáticamente el balanceo de carga, y Shoprocket mantiene copias de seguridad diarias en Amazon S3. Las copias de seguridad se almacenan en diferentes regiones de AWS para resiliencia. Además, las copias de seguridad se almacenan en los servidores dedicados de Hetzner Online (con sistemas de disco RAID-1).
Seguridad por Diseño: Shoprocket verifica regularmente vulnerabilidades web conocidas (por ejemplo, OWASP Top Ten) e implementa protección contra XSS y saneamiento. Un tercero especializado prueba anualmente el código y la infraestructura en busca de vulnerabilidades, complementado por un servicio de escaneo de vulnerabilidades de terceros.
4. Encriptación
En Reposo: Datos Personales en AWS/Hetzner se encriptan usando AES-256 o superior.
Gestión de Claves: El Servicio de Gestión de Claves de AWS (KMS) asegura que nadie (incluido el personal de AWS) pueda acceder a claves en texto plano; las claves se rotan anualmente. Hetzner implementa encriptación AES-256 en disco completo más autenticación obligatoria.
En Tránsito: Todas las transferencias de datos externas utilizan TLS 1.2+. APIs e interfaces web requieren HTTPS (sin conexiones no encriptadas).
5. Restricción de Ubicaciones de Servidores al EEE/UE
Shoprocket almacena datos exclusivamente en el EEE (AWS en Irlanda, Hetzner en Alemania), minimizando riesgos vinculados a transferencias de datos fuera del EEE (por ejemplo, cumplimiento de la decisión de Schrems II).
6. Zonas de Disponibilidad
Los sistemas front-end/back-end de Shoprocket están distribuidos redundantemente en múltiples zonas de disponibilidad (tanto AWS como Hetzner). Cada zona tiene múltiples ISP, fuentes de energía y conexiones de alta velocidad, asegurando alta disponibilidad y rendimiento óptimo.
7. Detección de Intrusiones
Shoprocket utiliza un Sistema de Detección de Intrusiones (IDS) para monitorear:
Archivos de registro por entradas inusuales,
Cambios de integridad de archivos,
Tráfico de red (suplantación, exploits conocidos, rootkits),
Cambios de puertos, y
Eventos de cuenta de AWS (por ejemplo, cambios en la configuración).
Anomalías críticas desencadenan medidas preventivas automáticas. El IDS también admite los requisitos de PCI DSS 3.0.
8. Registro / Trazabilidad de Auditoría
Shoprocket registra:
Eventos del sistema,
Errores,
Actividad del usuario,
Inicios de sesión/solicitudes de base de datos,
Otros eventos relacionados con la seguridad.
Utilizando AWS CloudTrail, Shoprocket registra todos los eventos en sus entornos en la nube para transparencia y análisis forense.
9. Monitoreo
Shoprocket emplea múltiples herramientas de monitoreo para asegurar disponibilidad y rendimiento, rastreando:
Disponibilidad: Accesibilidad de la aplicación, salud del backend/sistema;
Recursos: CPU, interfaces de red, uso de almacenamiento;
Rendimiento: Tiempos de respuesta de aplicación/bases de datos;
Seguridad: estado del IDS, actualizaciones del sistema, registros de errores/acceso.
El personal de Shoprocket también monitorea actualizaciones de seguridad, informes de vulnerabilidades y blogs de seguridad relevantes (como OWASP).
10. Auditorías de Seguridad y Pruebas de Penetración
Shoprocket realiza pruebas de seguridad internas y externas periódicamente. Proveedores externos verifican vulnerabilidades, mientras que auditorías internas evalúan medidas técnicas y organizativas por efectividad.
11. Gestión de Cambios
Shoprocket mantiene repositorios controlados por versiones para cambios de código, con un entorno de pruebas que refleja el de producción. Los cambios son probados antes de la implementación, asegurando trazabilidad de tiempo/contenido.
12. Control de Acceso
Principio de Necesidad de Conocimiento: Solo empleados cuyos roles requieran acceso al sistema lo obtienen.
Sistemas IAM: El control de acceso utiliza gestión de identidad de AWS/Hetzner.
Seguridad: Los sistemas backend son accesibles solo a través de conexiones seguras y autenticadas. Un número muy limitado de personal tiene acceso directo a datos por motivos de diagnóstico; dicho acceso es registrado y monitoreado.
Anexo B
Transferencias Transfronterizas
PARTE 1 - Transferencias Ex-EEE
Anexo I.A de las Cláusulas Contractuales Estándar (SCC)
Exportador de Datos: Usted (según el Acuerdo).
Detalles de contacto: Como en el Acuerdo.
Rol: Controlador de Datos.
Módulo Uno: Importador de Datos es un Controlador de Datos (para Datos de Cuenta del Cliente y Datos de Uso del Cliente).
Módulo Dos: Importador de Datos es un Procesador de Datos (para todos los demás Datos Personales).
Firma/Fecha: Al entrar en el Acuerdo y DPA, se considera que el Exportador de Datos ha firmado las SCC a partir de la Fecha Efectiva.
Importador de Datos: Shoprocket.
Detalles de contacto: Como en el Acuerdo.
Firma/Fecha: Al entrar en el Acuerdo y DPA, se considera que el Importador de Datos ha firmado las SCC a partir de la Fecha Efectiva.
Anexo I.B de las SCC
Sujetos de Datos: Descritos en la cláusula 4.6 del Anexo.
Categorías de Datos Personales: Descritos en la cláusula 4.5 del Anexo.
No se pretende transferir Datos de Categoría Especial.
Frecuencia: Continuamente durante la duración del Acuerdo.
Naturaleza: Ver cláusula 4.4 del Anexo.
Propósito: Ver cláusula 4.3 del Anexo.
Retención: Duración del Acuerdo a menos que se indique lo contrario.
Transferencias de sub-procesadores: Materia, naturaleza y duración según la cláusula 9 del Anexo.
Anexo I.C de las SCC
Autoridad de Supervisión Competente: Como en la cláusula 10(e) del Anexo.
Normas de Seguridad de Shoprocket (Anexo A) cumplen con los requisitos del Anexo II de las SCC.
Conflicto
Si surge algún conflicto entre las SCC y el DPA o Acuerdo, prevalecen las SCC.
PARTE 2 - Transferencias Ex-Reino Unido
El Anexo IDTA se aplica a Transferencias Ex-Reino Unido, efectivo el 21 de marzo de 2022.
Términos no definidos en el Acuerdo o DPA siguen el significado en Parte 2 del Anexo 2 (Cláusulas Obligatorias).
Parte 1: Tablas
Tabla 1 del Anexo IDTA
Tabla 1
Exportador de Datos: Usted (según el Acuerdo).
Detalles de contacto: Como en el Acuerdo.
Firma/Fecha: Al entrar en el Acuerdo y Anexo, se considera que el Exportador ha firmado el Anexo IDTA a partir de la Fecha Efectiva.
Importador de Datos: Shoprocket.
Detalles de contacto: Como en el Acuerdo.
Firma/Fecha: Al entrar en el Acuerdo y DPA, el Importador se considera que ha firmado el Anexo IDTA a partir de la Fecha Efectiva.
Tabla 2 del Anexo IDTA
Tabla 2
SCCs de la UE Aprobadas: Las cláusulas/módulos de las SCCs Aprobadas en vigor para este Anexo.
Módulos/cláusulas utilizados:
El Módulo 1 y el Módulo 2, la Cláusula 7 y la Cláusula 11 (opción) no se aplican, la Cláusula 9a es Autorización General con un período de notificación de 30 días (cláusula 9.2 del Anexo).
No hay combinación de Datos Personales del Importador con datos del Exportador.
Tabla 3 del Anexo IDTA
Anexo I.A
Exportador de Datos: Usted (controlador).
Importador de Datos: Shoprocket (controlador para Datos de Cuenta/ Uso del Cliente; procesador para otros Datos Personales).
Firma/Fecha: Se considera firmado al ingresar en el Acuerdo y DPA.
Anexo I.B
Sujetos de datos, categorías de datos, ausencia de Datos de Categoría Especial, transferencias continuas, naturaleza/propósito de procesamiento y retención coinciden con las cláusulas 4.4, 4.3, 4.5, 4.6 del Anexo.
Información de sub-procesadores según la cláusula 9 del Anexo.
El Anexo III (lista de Sub-procesadores) no se aplica, ya que Shoprocket usa autorización general.
Tabla 4 del Anexo IDTA
El Importador puede finalizar este Anexo IDTA bajo la cláusula 26 de este Anexo IDTA.
Parte 2: Cláusulas Obligatorias
Cada Parte está obligada por estos términos del Anexo IDTA a cambio del acuerdo de la otra Parte, permitiendo a los sujetos de datos hacer valer derechos como se indica.
Entrar en este Anexo IDTA equivale a firmar las SCCs Aprobadas de la UE (incluyendo cualquier firma requerida según Anexo 1A/Cláusula 7).
Interpretación
Los términos de las SCCs Aprobadas tienen su mismo significado aquí; términos adicionales relevantes (por ejemplo, "SCCs de Anexo de la UE," "Anexo Aprobado," "Leyes de Protección de Datos del Reino Unido") están definidos dentro de este Anexo IDTA.
Este Anexo IDTA debe interpretarse de manera consistente con las Leyes de Protección de Datos del Reino Unido y debe cumplir con las "Salvaguardias Apropiadas."
Cualquier enmienda a las SCCs Aprobadas no permitida según ellas o el Anexo Aprobado es nula. Las disposiciones en conflicto vuelven a los términos de SCC sin enmendar.
Si hay un conflicto con las Leyes de Protección de Datos del Reino Unido, estas últimas se aplican.
Cualquier ambigüedad se resuelve para alinearse mejor con las Leyes de Protección de Datos del Reino Unido.
Las referencias a la legislación incluyen cualquier versión revisada o consolidada.
Jerarquía
La Cláusula 5 de las SCCs Aprobadas establece que prevalecen sobre otros acuerdos, pero para Transferencias Restringidas, se aplica la jerarquía en la Sección 17 a continuación.
Si hay inconsistencias o conflictos con las SCCs Aprobadas, el Anexo Aprobado anula excepto donde las SCC proporcionen mayor protección a los sujetos de datos, en cuyo caso prevalecen los términos de las SCC.
Nada aquí afecta a las SCCs que las partes utilicen para cumplir con el RGPD de la UE.
Incorporación y Cambios a las SCCs de la UE
El Anexo IDTA incorpora las SCCs Aprobadas con modificaciones necesarias para que funcionen para transferencias relacionadas con el Reino Unido, anulan la jerarquía de la Cláusula 5 y aseguran que estén regidas por la ley de Inglaterra/juzgados (a menos que se elija otra para Escocia o Irlanda del Norte).
Si no se acuerda una alternativa específica, se aplica la Sección 22.
No se permiten más enmiendas a las SCCs Aprobadas que lo que se necesita en la Sección 19.
Enmiendas a las SCCs de Anexo de la UE incluyen aclaraciones sobre referencias a las Leyes de Protección de Datos del Reino Unido, reemplazando referencias al Reglamento (UE) 2016/679 con "Leyes de Protección de Datos del Reino Unido," eliminando referencias al Reglamento (UE) 2018/1725, ajustando las Cláusulas 17/18 a la ley/juzgados de Inglaterra, etc. Las notas al pie no forman parte del IDTA excepto las notas al pie 8, 9, 10, 11.
Enmiendas a este IDTA
Las partes pueden cambiar las Cláusulas 17 o 18 para referirse a los tribunales escoceses o de Irlanda del Norte.
Las partes también pueden ajustar el formato de la tabla previa acuerdo mutuo por escrito, asegurando que el mismo nivel de protección se mantenga.
La ICO puede emitir un Anexo Aprobado revisado de vez en cuando, que enmendará automáticamente este Anexo IDTA a partir de su fecha de entrada en vigor, posiblemente requiriendo una revisión por parte de las partes.
Si los cambios de la ICO aumentan de manera sustancial y desproporcionada los costos o riesgos de una parte, y no es factible una reducción de esos costos/riesgos, esa parte puede finalizar este IDTA con aviso razonable a la otra antes de que el Anexo revisado entre en efecto.
No se requiere el consentimiento de un tercero para cambios, pero las modificaciones deben cumplir con los términos de este Anexo IDTA.
¿Listo para comenzar a vender?
Todas las herramientas que necesitas para vender desde tu sitio web, canales sociales y más.
No se requieren habilidades técnicas.
34,384 los vendedores han procesado más de 3.091.265,20 US$
como se muestra en
