Acuerdo de procesamiento de datos

1. Definiciones

"Controller", "Processor", "Data Subject", "Personal Data" y "Processing" tienen el significado del GDPR.

"Customer Personal Data" significa los datos personales que el Cliente (como Controller) entrega a Kryptos para tratamiento bajo los Términos.

2. Alcance y roles

Este DPA aplica cuando Kryptos trata Customer Personal Data por cuenta del Cliente. El Cliente es Controller. Kryptos es Processor.

3. Instrucciones de tratamiento

Kryptos trata Customer Personal Data solo bajo instrucciones documentadas del Cliente, salvo cuando la ley UE/EEE o de Estado miembro exija otra cosa. El objeto, duración, naturaleza y finalidad del tratamiento, las categorías de Interesados y tipos de datos se describen en el Anexo 1 (disponible a petición).

4. Sub-procesadores

El Cliente autoriza a Kryptos a contratar sub-procesadores. Los actuales se listan en nuestra página de seguridad. Kryptos notificará al Cliente de nuevos sub-procesadores al menos 14 días antes de contratarlos.

5. Seguridad

Kryptos implementa medidas técnicas y organizativas apropiadas para proteger Customer Personal Data, incluyendo cifrado en tránsito y en reposo, controles de acceso, gestión de vulnerabilidades y respuesta a incidentes. Certificado SOC 2 Type II; informe disponible bajo NDA.

6. Transferencias internacionales

Cuando Customer Personal Data se transfiere desde el EEE, UK o Suiza a un país sin decisión de adecuación, las partes se apoyan en Cláusulas Contractuales Tipo (Módulo 2) de la Comisión Europea, incorporadas por referencia.

7. Derechos de los interesados

Kryptos asiste al Cliente para responder a solicitudes de Interesados ejerciendo sus derechos, incluido acceso, rectificación, supresión, limitación, portabilidad y oposición.

8. Incidentes de seguridad

Kryptos notifica al Cliente sobre cualquier brecha que afecte a Customer Personal Data sin demora indebida tras tener conocimiento. La notificación contiene la información necesaria para que el Cliente cumpla sus propias obligaciones GDPR.

9. Duración y terminación

Este DPA está vigente mientras Kryptos trate Customer Personal Data. Al terminar los Términos subyacentes, Kryptos devuelve o elimina los Customer Personal Data según instrucciones del Cliente, sujeto a obligaciones legales de retención.

10. General

Este DPA se incorpora a los Términos y forma parte de ellos. En caso de conflicto, este DPA prevalece para protección de datos. Kryptos puede actualizarlo; los cambios materiales se notifican al menos 30 días antes.