Acuerdo de procesamiento de datos

1.1 El Cliente como responsable del tratamiento. Si el Cliente es responsable del tratamiento de los Datos del Cliente en virtud de la legislación aplicable en materia de protección de la intimidad:

1.1.1 el objeto y los detalles del procesamiento se describen en la Sección 2;

1.1.2 CHCNAV es un procesador de los Datos del Cliente según la Ley de Privacidad Aplicable;

1.1.3 cada una de las partes cumplirá las obligaciones que le incumban en virtud de la legislación aplicable en materia de protección de la intimidad con respecto al tratamiento de los Datos del cliente.

1.2 Solicitudes del responsable del tratamiento. Durante la vigencia del presente APD, si CHCNAV recibe una solicitud o instrucción de un tercero que pretenda ser un responsable del tratamiento de los Datos del Cliente, CHCNAV aconsejará al tercero que se ponga en contacto con el Cliente.

2.1 Objeto del tratamiento. El objeto del tratamiento es la prestación de los Servicios al Cliente por parte de CHCNAV.

2.2 Duración: la duración del tratamiento será la de las Condiciones de Uso más el período comprendido entre la finalización de las Condiciones de Uso y la eliminación de todos los Datos del Cliente de conformidad con la presente DPA.

2.3 Naturaleza y finalidad del tratamiento. La naturaleza y el propósito del procesamiento son la computación, el almacenamiento y otros servicios en la nube disponibles en la red de CHCNAV para garantizar el acceso y el uso de los Servicios por parte del Cliente según las Condiciones de uso.

2.4 Tipos de datos personales. Los tipos de datos personales son datos relativos a individuos sobre los que se proporcionan datos a CHCNAV por (o bajo la dirección de) el Cliente o por los Usuarios Finales.

2.5 Categorías de interesados. Las categorías de interesados incluyen a las personas físicas sobre las que se facilitan datos a CHCNAV por (o bajo la dirección de) el Cliente o por los Usuarios Finales, en particular (i) los empleados del Cliente, (ii) los proveedores, (iii) los Usuarios Finales, (iv) los clientes.

3.1 Legalidad. Cada una de las Partes cumplirá la legislación aplicable en materia de privacidad en relación con la ejecución del presente APD. Cada una de las Partes podrá demostrar dicho cumplimiento.

3.2 Información. CHCNAV pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD.

3.3 Instruccionesdel Cliente. Las partes acuerdan que el presente DPA y las Condiciones de uso constituyen las instrucciones documentadas del Cliente en relación con el procesamiento por parte de CHCNAV de los Datos del cliente ("Instrucciones"). CHCNAV procesará los Datos del Cliente únicamente de conformidad con las Instrucciones.

3.4 Notificación. Teniendo en cuenta la naturaleza del tratamiento, el Cliente acepta que es poco probable que CHCNAV pueda formarse una opinión sobre si las Instrucciones infringen la Ley de Privacidad Aplicable. No obstante, si CHCNAV se forma tal opinión, CHCNAV notificará inmediatamente al Cliente si, en opinión de CHCNAV: (a) la Ley de Privacidad Aplicable prohíbe a CHCNAV cumplir las Instrucciones; (b) las Instrucciones no cumplen la Ley de Privacidad Aplicable; o (c) CHCNAV no puede cumplir de otro modo las Instrucciones, en cada caso a menos que dicha notificación esté prohibida por la Ley de Privacidad Aplicable. Esta sección no limita los derechos u obligaciones de ninguna de las partes en otras partes de las Condiciones de uso.

3.5 Alcance de las Instrucciones. Como procesador, CHCNAV procesará los Datos del Cliente según sea necesario para proporcionar, asegurar y supervisar los Servicios, y no recopilará, utilizará, retendrá, accederá, compartirá, venderá, transferirá ni procesará de otro modo los Datos del Cliente para ningún fin que no esté relacionado con la prestación de dichos Servicios, para ningún otro fin que no sea el establecido en las Condiciones de Uso, este DPA o de otro modo requerido por la Ley de Privacidad Aplicable.

4.1 Personal. CHCNAV se asegurará de que las personas autorizadas para procesar los Datos del cliente se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.

4.2 Divulgación. Sin perjuicio de lo dispuesto en las Secciones 3.5 anterior y 9 siguiente, CHCNAV no accederá ni utilizará, ni revelará a terceros, ningún Dato del Cliente, excepto, en cada caso, cuando sea necesario para mantener o prestar los Servicios, o cuando sea necesario para cumplir la ley o una orden válida y vinculante de una autoridad pública competente (como una citación u orden judicial). Si CHCNAV es requerida por las autoridades públicas competentes para revelar los Datos del Cliente, CHCNAV intentará redirigir dicho requerimiento al Cliente. Esto puede incluir proporcionar la información básica de contacto del Cliente a la autoridad pública competente. Si CHCNAV está legalmente obligada a revelar los Datos del cliente a una autoridad pública competente, CHCNAV notificará al Cliente la orden con una antelación razonable para que el Cliente pueda tomar las medidas necesarias, a menos que CHCNAV tenga legalmente prohibido hacerlo.

5.1 Medidas de seguridad: CHCNAV aplicará y mantendrá las Medidas de seguridad. Las Medidas de Seguridad incluyen medidas para cifrar los datos personales; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios de CHCNAV; para ayudar a restablecer el acceso oportuno a los datos personales tras un incidente; y para comprobar la eficacia con regularidad. CHCNAV podrá actualizar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones no supongan una reducción sustancial de la seguridad de los Servicios.

5.2 Acceso a los datos del cliente. CHCNAV (a) autorizará a sus empleados, contratistas y Subprocesadores a acceder a los Datos del Cliente sólo en la medida estrictamente necesaria para cumplir con las Instrucciones; y (b) tomará las medidas adecuadas para garantizar que sus empleados, contratistas y Subprocesadores cumplan con las Medidas de Seguridad en la medida aplicable a su ámbito de actuación.

5.3 Controles de seguridad adicionales. CHCNAV pondrá a disposición Controles de seguridad adicionales para: (a) permitir al Cliente tomar medidas para asegurar los Datos del Cliente; y (b) proporcionar al Cliente información sobre la seguridad, el acceso y el uso de los Datos del Cliente.

5.4 Asistencia en materia de seguridad. CHCNAV ayudará al Cliente a garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 32 a 34 del GDPR, teniendo en cuenta la naturaleza del procesamiento de los Datos del Cliente y la información disponible para CHCNAV, mediante:

5.4.1 implementando y manteniendo las Medidas de Seguridad de conformidad con las Secciones 5.1 y 5.2;

5.4.2 poniendo a disposición del Cliente Controles de Seguridad Adicionales de conformidad con la Sección 5.3;

5.4.3 cumplir los términos de la Sección 6;

5.4.4 proporcionar al Cliente cooperación y asistencia adicionales razonables, a petición del Cliente, si las subsecciones 5.4.1 - 5.4.3 anteriores son insuficientes para que el Cliente (o el controlador pertinente) cumpla con dichas obligaciones. Todos los costes razonables en los que incurra CHCNAV para cumplir con esta Sección correrán exclusivamente a cargo del Cliente.

5.5 Responsabilidades del Cliente en materia de seguridad. Sin perjuicio de las obligaciones de CHCNAV en virtud de las Secciones 5.1 a 5.4, la Sección 6 y otras partes de la DPA o las Condiciones de uso, el Cliente es responsable de su uso de los Servicios y su almacenamiento de cualquier copia de los Datos del cliente fuera de los sistemas de CHCNAV o de los Subprocesadores, incluidos:

5.5.1 utilizar los Servicios y los Controles de seguridad adicionales para garantizar un nivel de seguridad adecuado al riesgo para los Datos del cliente;

5.5.2 asegurar las credenciales de autenticación de la Cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios; y

5.5.3 realizar copias de seguridad de los Datos del cliente, según proceda.

6.1 Notificación: CHCNAV notificará al Cliente sin demora indebida tras tener conocimiento de una violación de datos personales. Dicha(s) notificación(es) se enviará(n) utilizando la información de contacto proporcionada por el Cliente por cualquier medio que CHCNAV seleccione, incluidos, entre otros, correo electrónico, SMS, etc. Es responsabilidad exclusiva del Cliente asegurarse de que sus administradores/personal mantengan en todo momento información de contacto precisa en la Cuenta.

6.2 Asistencia. En caso de violación de los datos personales, CHCNAV ayudará al Cliente a garantizar el cumplimiento de las obligaciones de conformidad con el artículo 33 y / o el artículo 34 del GDPR, teniendo en cuenta la naturaleza del procesamiento y la información disponible para CHCNAV.

CHCNAV tratará el Tratamiento de Datos Personales de conformidad con el presente APD. El Cliente podrá ejercer sus derechos de auditoría o facultar a un tercero para que lo haga en su nombre. Para ejercer este derecho, el Cliente notificará a CHCNAV por escrito con al menos 30 días de antelación el inicio previsto de cualquier auditoría. Si CHCNAV se niega a someterse a las auditorías o inspecciones del Cliente previstas en la normativa aplicable en materia de protección de datos, el Cliente tendrá derecho a rescindir el presente APD y las Condiciones de uso. A menos que se acuerde lo contrario por escrito, todos los costes razonables en los que incurra CHCNAV para cumplir con esta Sección (excluidas las auditorías de cumplimiento rutinarias que CHCNAV está obligada a realizar en virtud de la Ley de Privacidad Aplicable) correrán exclusivamente a cargo del Cliente. Los "costes razonables" se definen como aquellos costes que son necesarios y apropiados para completar el proceso de auditoría. Esto incluye las cargas administrativas, como los esfuerzos para proporcionar copias (redactadas) de informes y documentos al Cliente que no están disponibles públicamente. Si se aplican las Cláusulas Contractuales Tipo, nada de lo dispuesto en la presente Sección varía o modifica las Cláusulas Contractuales Tipo ni afecta a los derechos de la Autoridad de Control o del interesado en virtud de las Cláusulas Contractuales Tipo.

8.1 Cumplimiento. Además de las obligaciones de asistencia en virtud de la Sección 5.4 anterior, CHCNAV ayudará al Cliente a garantizar el cumplimiento de sus obligaciones de conformidad con los Artículos 35 y 36 del GDPR, teniendo en cuenta la naturaleza del procesamiento de los Datos del Cliente y la información disponible para CHCNAV.

8.2 Derechos del interesado. CHCNAV, teniendo en cuenta la naturaleza del procesamiento, ayudará al Cliente a cumplir con sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos según lo establecido en el Capítulo III GDPR. CHCNAV ofrece al Cliente, a través de las funcionalidades de la Cuenta, la posibilidad de tomar las medidas necesarias para responder a cualquier solicitud de los interesados relacionada con los Datos del Cliente. La asistencia requerida en virtud del GDPR por parte de CHCNAV se agota al ofrecer las funcionalidades de la Cuenta, y porque CHCNAV remitirá las solicitudes de los interesados recibidas al Cliente. Las medidas técnicas y organizativas específicas para dicha asistencia, así como el ámbito y alcance de la misma, se establecen en el Anexo II de las CEC adjuntas.

8.3 Solicitudes de los interesados. CHCNAV, haciendo esfuerzos comercialmente razonables, transmitirá sin demora al Cliente cualquier solicitud que haya recibido de un interesado. Si el cliente desea ejercer los derechos de privacidad, o desea plantear o consultar a CHCNAV sobre la solicitud del interesado, póngase en contacto con nosotros a través de datacompliance@huace.cn. Todos los costes razonables en los que incurra CHCNAV para cumplir con esta Sección correrán exclusivamente a cargo del Cliente.

9.1 Autorización general. El Cliente acepta que CHCNAV pueda contratar a Subencargados del tratamiento para llevar a cabo actividades de tratamiento específicas por cuenta del Cliente.

9.2 Cambios en la Lista de Subencargados del Tratamiento. CHCNAV pondrá a disposición del Cliente información sobre cualquier cambio previsto en la Lista de Subencargados del Tratamiento, incluida la identidad y la ubicación general del Subencargado del Tratamiento, con al menos 15 días de antelación mediante la actualización de la Lista de Subencargados del Tratamiento y el envío de una notificación al Cliente.

9.3 Obligaciones relativas a los Subencargados del tratamiento. Cuando CHCNAV contrate a un Subencargado del tratamiento según lo establecido en las Secciones 9.1 CHCNAV deberá:

9.3.1 garantizará mediante un contrato escrito que:

9.3.1.1 el Subencargado del tratamiento sólo acceda a los Datos del cliente y los utilice en la medida necesaria para cumplir las obligaciones que le han sido subcontratadas, y lo haga de conformidad con las Condiciones de uso (incluida la presente DPA); y

9.3.1.2 se imponen al Subencargado del tratamiento las obligaciones de protección de datos descritas en el presente APD (según lo dispuesto en el artículo 28, apartado 3, del RGPD, si procede); y

9.3.2 seguirá siendo plenamente responsable de todas las obligaciones subcontratadas al Subencargado del tratamiento, así como de todos los actos y omisiones de éste.

10.1 Instalaciones de almacenamiento y procesamiento de datos. La región en la que se procesarán los Datos del Cliente sólo puede ser especificada por el Cliente. En la región de la UE, los centros de datos de CHCNAV se encuentran en Irlanda - Dublín. Si el cliente elige la región de la UE, todos los datos del cliente se almacenarán en Irlanda-Dublín.

En la región fuera de la UE, los centros de datos de CHCNAV se encuentran en la lista de subprocesadores. Si el cliente elige una región no perteneciente a la UE, todos los datos del cliente se almacenarán en la región no perteneciente a la UE seleccionada por el cliente y situada en la lista de subprocesadores.

10.2 Transferencias a terceros países. Cuando un Cliente desee procesar datos personales en una región No perteneciente a la UE, esto sólo podrá realizarse bajo la dirección y especificación del Cliente mediante una instrucción por escrito del Cliente a CHCNAV.

Cualquier transferencia de los Datos del cliente desde la región o regiones seleccionadas por el Cliente sólo podrá ser realizada por CHCNAV si: (a) es necesaria para prestar los Servicios solicitados por el Cliente, en particular para investigar un incidente de seguridad o una infracción de las Condiciones de uso, o (b) es necesaria para cumplir las leyes y normativas aplicables o una orden vinculante emitida por un tribunal o una autoridad pública competente.

Cuando las transferencias a un tercer país fuera del EEE puedan tener lugar a instancias de un cliente por medio de un servicio por escrito de las Condiciones de Uso, esto sólo se hará sobre la base de las garantías adecuadas establecidas en el GDPR, en particular la firma de las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea y la aplicación de medidas técnicas y organizativas suficientes.

La selección de las Cláusulas adecuadas se determinará en función de la función del Cliente en el contexto del correspondiente tratamiento de datos personales.

Cuando el Cliente sea un Controlador de Datos establecido en la UE que contrata a CHCNAV para actuar como Procesador de Datos con respecto a los Datos Personales, se aplicarán, mutatis mutandis, las Cláusulas de Controlador a Procesador (C2P) (Módulo 2) adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión.

Cuando el Cliente actúe como Procesador de Datos que contrata a CHCNAV para realizar el Procesamiento posterior de los Datos Personales en relación con los Servicios, se aplicarán mutatis mutandis los CEC de Proces ador a Proces ador (P2P) (Módulo 3) adoptados por la Decisión de Ejecución (UE) 2021/914 de la Comisión.

10.3 Transferencias a países adecuados. Las partes reconocen que la Ley de Privacidad Aplicable no exige Cláusulas Contractuales Tipo para que los Datos del Cliente sean procesados o transferidos a un País Adecuado.

11.1 Devolución o eliminación de Datos Personales. A través de las funcionalidades de la Cuenta, CHCNAV proporcionará al Cliente la capacidad de eliminar los Datos del Cliente en su totalidad en cualquier momento, sujeto a los términos de las Condiciones de Uso, a menos que la Ley de Privacidad Aplicable requiera el almacenamiento de los Datos del Cliente. CHCNAV eliminará los Datos del cliente si así lo requiere el Cliente, o si el Cliente cierra su Cuenta, o según se describa de otro modo en las Condiciones de uso (por ejemplo, a la finalización de un período ampliado y/o de retención).

11.2 Autorización de eliminación. El Cliente da instrucciones a CHCNAV para que elimine todos los Datos del Cliente según lo establecido en la Sección 11.1.

12.1 Registros de procesamiento. CHCNAV mantendrá la documentación adecuada de sus actividades de procesamiento, tal y como exige la Ley de Privacidad Aplicable. En la medida en que la Ley de Privacidad Aplicable requiera que CHCNAV recopile y mantenga registros de cierta información relativa al Cliente, el Cliente utilizará los controles y funcionalidades proporcionados por CHCNAV para suministrar dicha información y mantenerla exacta y actualizada. CHCNAV podrá poner dicha información a disposición de las Autoridades de Supervisión si así lo exige la Ley de Privacidad Aplicable.

En consideración a las obligaciones mutuas de este APD, las Partes acuerdan que este APD está sujeto a la ley aplicable y a la jurisdicción establecida en las Condiciones de Uso.

A menos que se defina de otro modo en las Condiciones de uso, todos los términos en mayúscula utilizados en el presente APD tendrán el significado que se les atribuye a continuación:

"Controles de seguridad adicionales" significa recursos, características, funcionalidades y/o controles de seguridad que el Cliente puede utilizar a su elección y/o según lo determine, incluidos el cifrado, el registro y la supervisión, la gestión de identidades y accesos, el escaneo de seguridad y los cortafuegos.

"País Adecuado" significa (a) para los datos procesados sujetos al GDPR - los estados miembros del EEE o un país o territorio que sea objeto de una decisión de adecuación emitida por la Comisión Europea en virtud del Artículo 45(1) del GDPR; (b) para los datos procesados sujetos a la FDPA - Suiza, o un país o territorio que (i) esté incluido en la lista de Estados cuya legislación garantiza un nivel adecuado de protección publicada por el Comisionado Federal Suizo de Protección de Datos e Información, o (ii) sea objeto de una decisión de adecuación por parte del Consejo Federal Suizo en virtud de la FDPA, (c) para los datos tratados sujetos a otra Ley de Privacidad Aplicable - países o territorios que se considera que garantizan una protección adecuada en línea con dicha ley.

" Ley de Privacidad Aplicable " significa, según corresponda: (a) el GDPR; y/o (b) la FDPA y/o (c) la Ley de DP de Serbia, y/o, (d) la Ley de DP de Ucrania, y otras leyes de protección de datos o privacidad vigentes en los estados miembros del EEE y/o Suiza, Serbia o Ucrania, y cualquier legislación y/o regulación que modifique, sustituya, vuelva a promulgar o consolide cualquiera de ellas, en relación con el procesamiento de los Datos del Cliente bajo este DPA y las Condiciones de Uso.

"Cliente" significa la parte que suscribe el presente APD, actuando a título personal o en nombre de una persona jurídica, junto con sus Afiliados Autorizados, que incluirán a los Usuarios Finales.

"Usuario final"se refiere a cualquier persona a la que el Cliente permite acceder y utilizar los Servicios y/o su Contenido.

"Datos del Cliente" hace referencia a los datos personales incluidos en Su Contenido.

"EEE" significa el Espacio Económico Europeo.

"FDPA" significa la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 y la nueva Ley Federal Suiza de Protección de Datos de 25 de septiembre de 2020.

"GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Una referencia a las disposiciones particulares del GDPR también se refiere a las respectivas disposiciones de la Ley de Privacidad Aplicable que establecen derechos u obligaciones sustancialmente similares en las respectivas disposiciones del GDPR.

"CEC" o "Cláusulas Contractuales Tipo" se refiere a las cláusulas tipo de protección de datos para la transferencia de datos personales a terceros países adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021.

"CEC (Módulo 2)" significa los términos del Módulo Tres de las Cláusulas Contractuales Tipo: Transferencia del responsable al encargado del tratamiento, disponible en: [insertar el enlace de las CEC-CP].

"CEC(Módulo 3)" significa los términos del Módulo Tres de las Cláusulas Contractuales Tipo: Transferencia de encargado a encargado del tratamiento, disponible en: [insertar el enlace SCCs-PP].

"Medidas de Seguridad" significa las medidas técnicas y organizativas para proteger los Datos del Cliente contra la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso.

"Ley Serbia de DP" significa la Ley Serbia de Protección de Datos Personales ("Boletín Oficial de la República de Serbia", n.º 87/2018)/.

"Subprocesador" significa un tercero contratado por CHCNAV y autorizado como otro procesador para tener acceso lógico y procesar los Datos del Cliente con el fin de proporcionar partes de los Servicios.

"Lista de Subencargados del Tratamiento" hace referencia a una lista de Subencargados del Tratamiento autorizados disponible en: Apéndice 1. CHCNAV sólo prestará servicios de algunos o todos los Subprocesadores especificados por los clientes.

"Autoridad de supervisión" significa, según corresponda: (a) una "autoridad de supervisión" según se define en el GDPR; y / o (b) el "Comisionado" según se define en la FDPA.

"Tercer País" significa un país que no es un País Adecuado.

Por"Ley ucraniana de protección de datos personales" se entenderá la Ley ucraniana de protección de datos personales de 1 de junio de 2010 nº 2297-VI (modificada) y la legislación subordinada adoptada en virtud de la misma.

Además, los términos "datos personales", "violación de datos personales", "interesado", "tratamiento", "responsable del tratamiento" y "encargado del tratamiento" tienen el significado que se les atribuye en la Ley de Protección de Datos Aplicable.

Actualizado: [2025/12/15]

Apéndice 1: Lista de subencargados del tratamiento