Anexo sobre procesamiento de datos

Este Anexo de procesamiento de datos («DPA») complementa y se incorpora al Acuerdo celebrado entre Verifract, LLC o Redzone Production Systems, Ltd., según corresponda, dba Redzone («Redzone») y el cliente que celebra el Acuerdo («Cliente»).

Este DPA se aplica solo si y en la medida en que Redzone procese los datos personales del cliente o sus usuarios en relación con los servicios de software proporcionados por Redzone al cliente en virtud del Acuerdo. Esta DPA no se aplica a ningún procesamiento de los datos del cliente por parte de terceros ajenos a los Servicios de software.

1. Definiciones

  • «Cuenta» se refiere a la cuenta del Cliente dentro de los Servicios de Software en relación con la cual el Cliente almacena y procesa los Datos del Cliente para los Servicios.
  • «Afiliado» se refiere a una entidad que, directa o indirectamente, controla, está controlada o está bajo el control común de otra parte de esta DPA, cuando dicho control está representado por una participación con derecho a voto o similar que representa el cincuenta por ciento (50%) o más de la participación total en circulación en ese momento de la entidad en cuestión.
  • «CCPA» se refiere a la Ley de Privacidad del Consumidor de California de 2018, que puede modificarse de vez en cuando.
  • «Datos del cliente» significa tal como se define en el Acuerdo.
  • «Leyes de protección de datos» se refiere a todas las leyes de protección de datos y privacidad aplicables a una parte en su función respectiva en el control o el procesamiento de datos personales en virtud del Acuerdo, incluidas, cuando proceda, (i) la CCPA, (ii) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento general de protección de datos) («RGPD»); y (iii) el RGPD tal como forma parte de la legislación del Reino Unido de conformidad con la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 («Reino Unido») GDPR») y la Ley de Protección de Datos de 2018.
  • «Incidente de seguridad» significa una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los datos personales transmitidos, almacenados o procesados de otro modo.
  • «Servicios de software» significa tal como se define en el Acuerdo.
  • «SCC» se refiere a las cláusulas contractuales estándar para la transferencia de datos personales a terceros países aprobadas de conformidad con la Decisión (UE) 2021/914 de la Comisión, de 4 de junio de 2021, de las que se encuentra una copia aquí.
  • «Subprocesador» se refiere a cualquier otro procesador contratado por Redzone para procesar datos personales.
  • «Usuarios» significa tal como se define en el Acuerdo.
  • Términos definidos por la ley: Los términos «datos personales», «controlador», «sujeto de datos», «procesador», «procesamiento», «fecha confidencial», y «categorías especiales de datos personales» (o términos equivalentes utilizados en las leyes de protección de datos aplicables) tendrán el significado que se les da en virtud de las leyes de protección de datos aplicables o, si no se definen en ellas, el GDPR y la CCPA, respectivamente, y «proceso», «procesos» y «procesado», con respecto a cualquier dato del Cliente, se interpretará en consecuencia.
  • Términos en mayúscula: Los términos en mayúscula que no estén definidos en este DPA tendrán el mismo significado que en el Acuerdo.

2. Solicitud y detalles del procesamiento

2.1. Relación de las partes. Entre Redzone y el Cliente, las partes reconocen y acuerdan que, con respecto a los datos personales, el Cliente es el controlador de los datos personales y Redzone es un procesador de datos personales que actúa en nombre del Cliente.

2.2. Detalles del procesamiento. Los detalles del procesamiento de datos personales en virtud de esta DPA se describen en el Anexo 1 de esta DPA.

3. Funciones y responsabilidades

3.1. Cumplimiento de las leyes. Cada parte cumplirá con todas las leyes, normas y reglamentos que le sean aplicables y vinculantes en el cumplimiento de sus obligaciones y el ejercicio de sus derechos en virtud de esta DPA, incluidas las leyes de protección de datos.

3.2. Instrucciones para el cliente. Redzone procesará los datos personales únicamente: (i) con el fin de proporcionar los Servicios de Software tal como se describe en el Acuerdo, incluido el procesamiento iniciado por los Usuarios al usar los Servicios de Software; (ii) de acuerdo con las instrucciones documentadas, razonables y legales del Cliente; o (iii) según lo acuerden las partes o lo exija la ley aplicable. Las partes acuerdan que el Acuerdo (incluido este DPA) establece las instrucciones completas y finales del Cliente para Redzone en relación con el procesamiento de datos personales, y que el procesamiento fuera del alcance del Acuerdo (si lo hubiera) requiere un acuerdo previo por escrito entre las partes.

3.3. Cumplimiento con los clientes. El Cliente declara y garantiza que: (i) ha cumplido y seguirá cumpliendo con todas las leyes aplicables, incluidas las leyes de protección de datos, con respecto a cualquier instrucción relacionada con el procesamiento de datos personales emitida por el Cliente a Redzone y con respecto al procesamiento de cualquier dato personal por parte del Cliente; (ii) el Cliente ha obtenido y seguirá obteniendo todos los consentimientos y derechos necesarios en virtud de las leyes de protección de datos para que Redzone procese los datos personales de acuerdo con el Acuerdo; y (iii) las instrucciones del Cliente a Redzone en relación con la el procesamiento de datos personales no infringirá ninguna ley, norma o reglamento aplicable, incluidas, entre otras, las leyes de privacidad de datos.

3.4. Datos prohibidos. El Cliente no proporcionará (ni hará que se suministre) ningún dato confidencial o categoría especial de datos personales a Redzone para su procesamiento en virtud del Acuerdo, y Redzone no tendrá responsabilidad alguna por ese tipo de datos, ya sea en relación con un incidente de seguridad o de otro modo. Las partes acuerdan que cualquier dato biométrico proporcionado con el fin de iniciar sesión en los Servicios de Software de Redzone es procesado por el dispositivo externo o el proveedor de servicios de inicio de sesión y no por Redzone.

4. Seguridad del procesamiento

4.1. Medidas técnicas y organizativas. Redzone implementará al menos las medidas técnicas y organizativas especificadas en el Anexo 2 (el»Medidas técnicas y organizativas») para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos personales contra los incidentes de seguridad. Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica para los interesados. Redzone puede actualizar sus medidas técnicas y organizativas de vez en cuando, siempre que las actualizaciones no disminuyan sustancialmente la protección general otorgada a los datos personales.

4.2. Confidencialidad del procesamiento. Redzone concederá acceso a los datos personales que se estén procesando a los miembros de su personal solo en la medida necesaria para la implementación, la gestión y/o el seguimiento del Acuerdo. Redzone se asegurará de que las personas autorizadas a procesar datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.

4.3. Actualizaciones. El Cliente reconoce que las Medidas técnicas y organizativas están sujetas al progreso y desarrollo técnicos y que Redzone puede actualizar o modificar sus Medidas técnicas y organizativas de vez en cuando, siempre que dichas actualizaciones y modificaciones no provoquen la degradación de la seguridad general de los Servicios prestados al Cliente.

5. Auditorías.

5.1. Derechos de auditoría. Derechos de auditoría. Redzone pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de esta DPA. El cliente puede realizar una auditoría por sí mismo o a través de un auditor independiente (sujeto a obligaciones de confidencialidad razonables). A solicitud del Cliente, Redzone también permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por esta DPA a intervalos razonables o si hay indicios razonables de que Redzone no cumple con esta DPA.

5.2. Términos de auditoría. El cliente puede solicitar una auditoría que incluya una inspección de las instalaciones o instalaciones físicas de Redzone mediante una notificación por escrito a Redzone con al menos 30 días de antelación. Las Partes acordarán mutuamente por adelantado el alcance razonable de cualquier auditoría, incluidos, entre otros, la fecha de inicio de la auditoría, el alcance, la duración y los controles de seguridad aplicables. Las auditorías se llevarán a cabo por cuenta exclusiva del Cliente y durante el horario laboral normal. Cualquier auditoría que se lleve a cabo de acuerdo con las SSC estará sujeta a los términos de auditoría de esta DPA.

6. Subprocesadores.

6.1. Subprocesadores autorizados. Redzone cuenta con la autorización general del Cliente para contratar subprocesadores para procesar los datos personales en nombre del Cliente. La lista de subprocesadores contratados actualmente por Redzone está disponible en: https://rzsoftware.com/redzone-sub-processors

6.2. Cambios en el subprocesador. Redzone notificará al Cliente si agrega subprocesadores nuevos o los reemplaza al menos 10 días antes de dichos cambios si el Cliente opta por recibir dichas notificaciones suscribiéndose a las actualizaciones de los subprocesadores. aquí. El cliente puede oponerse a la designación o el reemplazo de un subprocesador antes de la cita o el reemplazo, siempre que la objeción se haga por escrito y se base en motivos razonables relacionados con la protección de datos. Si el Cliente se opone, las partes acuerdan discutir de buena fe soluciones alternativas comercialmente razonables. Si las partes no pueden llegar a una resolución en un plazo de noventa (90) días a partir de la fecha en que Redzone reciba la objeción por escrito del Cliente, el Cliente puede dejar de usar los Servicios de software afectados mediante una notificación por escrito a Redzone. Dicha interrupción se realizará sin perjuicio de las tarifas adeudadas a Redzone por los servicios prestados antes de la interrupción de los Servicios de software afectados. Si no se ha presentado ninguna objeción antes de que Redzone designe a un subprocesador nuevo o sustituya a un subprocesador, se considerará que el Cliente ha autorizado al nuevo subprocesador.

6.3. Obligaciones del subprocesador. Redzone: (i) celebrará un acuerdo por escrito con cada subprocesador que imponga obligaciones de protección de datos no menos protectoras de los datos personales que las obligaciones de Redzone en virtud de esta DPA en la medida en que sea aplicable a la naturaleza de los servicios prestados por dicho subprocesador; (ii) seguirá siendo responsable del cumplimiento por parte de cada subprocesador de las obligaciones en virtud de esta DPA; y (iii) previa solicitud por escrito del Cliente y sujeto a cualquier restricción de confidencialidad exigida razonablemente por Redzone, proporcionará al Cliente un copia de los acuerdos de Redzone con los subprocesadores.

7. Transferencias internacionales

7.1. Ubicaciones de datos. El Cliente reconoce que Redzone puede transferir y procesar los datos personales del Cliente hacia y en los Estados Unidos y en cualquier otro lugar del mundo donde Redzone, sus filiales o sus subprocesadores mantengan operaciones de procesamiento de datos. Redzone se asegurará en todo momento de que dichas transferencias se realicen de conformidad con los requisitos de las Leyes de Protección de Datos y de esta DPA.

7.2. Mecanismo de transferencia; SCC. Las partes acuerdan que las SCC se aplicarán a cualquier dato personal que se transfiera a través de los Servicios de Software desde el Espacio Económico Europeo o Suiza, ya sea directamente o mediante transferencia posterior, a cualquier país o destinatario fuera del Espacio Económico Europeo o Suiza que no esté reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente de Suiza) como proveedor de un nivel adecuado de protección de los datos personales.

7.3. Horarios. Los anexos de esta DPA establecen ciertos detalles del procesamiento de datos personales por parte de Redzone de acuerdo con esta DPA y las SCC.

8. Solicitud del sujeto de datos; asistencia al cliente.

Redzone notificará de inmediato al Cliente cualquier solicitud que haya recibido del sujeto de los datos. Redzone no responderá a la solicitud en sí, excepto cuando sea razonablemente apropiado (por ejemplo, para indicar al sujeto de los datos que se ponga en contacto con el Cliente), según lo exija la ley o según lo autorice el Cliente para hacerlo. Si están disponibles en los Servicios de software, el Cliente puede utilizar cualquier función de autoservicio de los Servicios de software para responder a las solicitudes de los interesados, según lo exigen las leyes de protección de datos. Además, Redzone ayudará razonablemente al Cliente a cumplir con sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del procesamiento y, al hacerlo, cumplirá con las instrucciones legales del Cliente.

Para mayor claridad, nada de lo dispuesto en la DPA restringirá o impedirá que Redzone responda a las solicitudes de un sujeto de datos o de una autoridad de protección de datos en relación con los datos personales de los que Redzone es el controlador (a diferencia del procesador).

9. Incidentes de seguridad.

9.1. Notificación de incidentes de seguridad. Si Redzone tiene conocimiento de un incidente de seguridad, Redzone lo notificará al Cliente sin demora indebida y, en cualquier caso, cuando sea posible, lo notificará dentro de las setenta y dos (72) horas después de tener conocimiento del incidente de seguridad. Redzone puede enviar una notificación de un incidente de seguridad por cualquier medio razonable, incluso por correo electrónico a la dirección de correo electrónico del Cliente proporcionada en el Acuerdo o como administrador de los Servicios de software, o mediante cualquier medio de notificación establecido en el Acuerdo. La notificación de Redzone sobre un incidente de seguridad contendrá una descripción de: (i) la naturaleza del incidente de seguridad; (ii) el punto de contacto de Redzone para obtener más información sobre el incidente de seguridad; y (iii) las posibles consecuencias y medidas adoptadas o propuestas para abordar y mitigar los posibles efectos adversos del incidente de seguridad.

9.2. Asistencia para la presentación de informes. Redzone proporcionará una asistencia razonable al Cliente en caso de que, en virtud de la Ley de Protección de Datos aplicable, el Cliente deba notificar a una autoridad reguladora o a cualquier sujeto de datos afectado por un incidente de seguridad.

9.3. Mitigación. Redzone tomará las medidas razonables para investigar y, si es necesario, abordar y mitigar un incidente de seguridad real o potencial. La notificación, el direccionamiento o la respuesta de Redzone a un Incidente de seguridad no se interpretarán como un reconocimiento por parte de Redzone de cualquier falta o responsabilidad con respecto al Incidente de seguridad.

10. Devolución o eliminación de datos personales.

Tras la rescisión del Acuerdo, Redzone, a elección del Cliente, eliminará o devolverá al Cliente todos los datos personales, excepto en la medida en que la ley aplicable exija la retención de algunos o todos los datos personales. Hasta que se eliminen o devuelvan los datos, Redzone seguirá garantizando el cumplimiento de esta DPA.

11. Relación con el acuerdo.

11.1. Ley aplicable. Este DPA se regirá e interpretará de conformidad con la ley que rige el Acuerdo y cualquier disputa entre las Partes estará sujeta a la jurisdicción exclusiva del foro establecido en el Acuerdo, a menos que las leyes de protección de datos aplicables exijan lo contrario.

11.2. Plazo. Esta DPA permanecerá en vigor mientras Redzone procese los datos personales en nombre del Cliente o hasta que el Acuerdo se haya rescindido o caducado y todos los Datos del cliente hayan sido devueltos o eliminados de conformidad con la Sección 10 anterior.

11.3. Prioridad de la DPA. Este DPA reemplaza y reemplaza cualquier anexo, anexo, anexo o cláusula contractual estándar de procesamiento de datos existente que Redzone y el Cliente puedan haber celebrado anteriormente en relación con los Servicios de software.

11.4. Orden de precedencia. En caso de conflicto o incoherencia entre este DPA y cualquier otra parte del Acuerdo, las disposiciones de primero las SCC y luego de este DPA prevalecerán sobre cualquier disposición de cualquier documento del Acuerdo que indique lo contrario.

11,5. Acuerdo sin cambios. A excepción de cualquier cambio realizado por esta DPA, el Acuerdo permanece sin cambios y en pleno vigor y efecto.

11.6. No hay terceros beneficiarios. Nadie más que una de las partes de este DPA y los sucesores y cesionarios autorizados de una parte tendrá derecho a hacer cumplir los términos de este DPA.

11.7. Actualizaciones de DPA. Redzone puede actualizar esta DPA para cumplir con los cambios en la ley aplicable, siempre que, sin embargo, dicha actualización no disminuya sustancialmente la privacidad o la seguridad de los datos personales. Redzone notificará por escrito al Cliente cualquier cambio para cumplir con la ley aplicable, y esos cambios entrarán en vigor de inmediato.

CRONOGRAMA 1

Detalles del procesamiento

1. Categorías de sujetos de datos. Las categorías de sujetos de datos cuyos datos personales se procesan son: (i) Usuarios o cualquier otra persona que utilice los Servicios de Software por o a través del Cliente; y (ii) otra persona física cuyos datos personales sean ingresados o cargados, almacenados, procesados o generados por el Cliente o los Usuarios como resultado de su uso de los Servicios de Software.

2. Categorías de datos personales procesados. Al proporcionar los Servicios de software, Redzone puede procesar las siguientes categorías de datos personales:

un. Identificadores: Información que incluye nombre y apellidos, nombre de usuario, dirección de correo electrónico, contraseña de Redzone, país, dirección IP y configuración del navegador y del sistema operativo.

b. Información relacionada con el empleo: Información de contacto empresarial, que puede incluir los nombres, cargos y funciones de los empleados, la información del empleador (como la unidad empresarial o el grupo), el número de teléfono y la dirección de correo electrónico del trabajo, la dirección postal del trabajo y el nombre del supervisor.

c. Resultados: Datos relacionados con la eficacia general del equipo y/o los controles estadísticos de los procesos, según puedan estar relacionados con un sujeto de datos.

d. Información técnica sobre el uso y la actividad: Información técnica recopilada automáticamente del dispositivo de un Usuario relacionada con el uso de los Servicios de Software o cualquier sitio web propiedad de Redzone o operado por Redzone, como datos de cookies e información del dispositivo (incluidos el identificador, el nombre y el tipo de sistema operativo). Esto también incluye información web estándar, como el tipo de navegador, los datos del navegador, los datos de uso y las páginas a las que se ha accedido y las acciones realizadas en relación con el uso de los Servicios de software.

e. Información proporcionada: Cualquier otra información que el cliente o los usuarios proporcionen a Redzone al registrarse, utilizar o solicitar soporte para los Servicios de software.

3. Datos sensibles. Redzone no recopila ni procesa intencionalmente ninguna categoría especial de datos personales (tal como se define en las Leyes de Protección de Datos) en relación con la prestación de los Servicios de Software, y las partes no prevén que Redzone recopile o procese ninguna categoría especial de datos personales (tal como se define en las Leyes de Protección de Datos).

4. Naturaleza de la procesión. La naturaleza del procesamiento de datos en virtud de esta DPA es el procesamiento de datos personales por parte de Redzone tal como se establece en el Acuerdo.

5. Duración del procesamiento. Entre las partes, la duración del procesamiento de datos en virtud de esta DPA es hasta que dichos datos se eliminen o se devuelvan al Cliente de conformidad con el Acuerdo.

CRONOGRAMA 2

Zona roja Medidas técnicas y organizativas se enumeran aquí: https://rzsoftware.com/technical-and-organizational-measures

HORARIO 3

DETALLES DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR

1. Módulos. En el caso de las transferencias de datos personales desde el Espacio Económico Europeo o Suiza que estén sujetas a las SCC, las SCC se considerarán formalizadas (e incorporadas a esta adenda mediante esta referencia) y completadas de la siguiente manera:

a. El cliente es el «exportador de datos»; Redzone es el «importador de datos».

b. El módulo dos (del controlador al procesador) de las SCC se aplicará según lo establecido en todas las SCC en las que el Cliente sea el controlador de los datos personales y Redzone sea el procesador de los datos personales.

c. El módulo tres (del procesador al procesador) de las SCC se aplicará según lo establecido en todas las SCC en las que el Cliente sea un procesador de datos personales y Redzone sea el procesador de datos personales.

2. Cláusulas opcionales. Con respecto a las cláusulas opcionales de las SSC, las siguientes opciones se aplican a esta DPA:

a. En la cláusula 7 de las SCC, no se aplicará la cláusula de acoplamiento.

b. En la cláusula 9 de las SCC, se aplicará la opción 2 (autorización general por escrito) y el plazo para la notificación previa de los cambios en los subprocesadores será el establecido en la sección 6.2 (Cambios en los subprocesadores) de esta DPA.

c. En la cláusula 11 de las SCC, no se aplicará el lenguaje opcional.

d. En la cláusula 17 de las SCC, las SCC, y solo las SCC, se regirán por la ley del Estado miembro de la UE en el que esté establecido el exportador de datos. Cuando dicha legislación no permita los derechos de los terceros beneficiarios, se regirán por la legislación de otro Estado miembro de la UE que sí permita los derechos de los terceros beneficiarios. Las Partes acuerdan que esta será la ley de Irlanda.

e. En la cláusula 18 (b) de las SCC, cualquier disputa que surja de las SCC, y solo una disputa que surja de las SCC, será resuelta por los tribunales de un Estado miembro de la UE. Las Partes acuerdan que esos serán los tribunales de Irlanda.

3. Apéndice de los SCC.

Con respecto al apéndice de las SCC, los siguientes términos se aplican a esta DPA:

un. Anexo I (A) — Lista de las Partes:

Exportador de datos: cliente

  • Información de contacto: las direcciones de correo electrónico designadas por el Cliente en el formulario de pedido del Cliente o en la cuenta dentro de los Servicios de Software.
  • Función del exportador de datos: según lo establecido en la sección 2 (Relación de las partes) de esta adenda.
  • Firma y fecha: Al celebrar el Acuerdo, a partir de la fecha de entrada en vigor del Acuerdo, se considera que el exportador de datos ha firmado las SCC incorporadas en este documento, incluidos sus anexos.

Importador de datos: Verifract, LLC d/b/a Redzone

  • Información de contacto: Redzone at it@rzsoftware.com
  • Función del exportador de datos: según lo establecido en la sección 2 (Relación de las partes) de esta DPA.
  • Firma y fecha: Al celebrar el Acuerdo, a partir de la fecha de entrada en vigor del Acuerdo, se considera que el importador de datos ha firmado las SCC incorporadas en el presente documento, incluidos sus anexos.

b. Anexo I (B) — Descripción de la transferencia. La transferencia de datos personales se realiza según lo descrito en el Anexo 1 de esta DPA. Las transferencias se realizarán de forma continua.

c. Anexo 1 (C) — Autoridad supervisora.

(i) Según corresponda a las SCC, la autoridad supervisora será: (A) si el Cliente está establecido en un Estado miembro de la UE, la autoridad supervisora responsable de garantizar el cumplimiento del RGPD por parte del Cliente; o (B) si el Cliente no está establecido en un Estado miembro de la UE pero se encuentra dentro del ámbito extraterritorial del GDPR, entonces (C) si el Cliente ha nombrado a un representante, la autoridad supervisora del Estado miembro de la UE en el que esté establecido el representante del Cliente, o (D) si el Cliente no ha designado a un representante, la autoridad supervisora de la UE Estado miembro en el que se encuentran predominantemente los interesados.

(ii) Con respecto a los datos personales que están sujetos al RGPD del Reino Unido o a la DPA suiza, la autoridad supervisora competente será el Comisionado de Información del Reino Unido o el Comisionado Federal de Protección de Datos e Información de Suiza (según corresponda).

CRONOGRAMA 4

TÉRMINOS ESPECÍFICOS DE LA JURISDICCIÓN

California

Cuando el procesamiento de datos personales por parte de Redzone esté sujeto a la CCPA, se aplicarán los siguientes términos para complementar la DPA y prevalecerán sobre cualquier disposición conflictiva de la DPA:

1. Salvo que se describa lo contrario, cuando la CCPA se aplique a esta DPA, las referencias a: «controlador» incluye «empresa»; «procesador» incluye al «proveedor de servicios»; «sujeto de datos» incluye al «consumidor»; «datos personales» incluye «información personal»; en cada caso, tal como se define esta última en la CCPA.

2. Todos los derechos del interesado y las obligaciones de Redzone con respecto a esos derechos del interesado, tal como se describe en esta DPA, también se aplican a los derechos del consumidor en virtud de la CCPA.

3. Redzone procesará, retendrá, usará y divulgará la información personal solo cuando sea necesario para proporcionar los Servicios de Software en virtud del Acuerdo, lo que constituye un «propósito comercial» según la CCPA.

4. Redzone se compromete a no: (a) vender (según lo define la CCPA) los datos personales del Cliente o los datos personales de los Usuarios; (b) retener, usar o divulgar los datos personales del Cliente para ningún propósito comercial (según lo definido por la CCPA) que no sea la prestación de los Servicios de software; o (c) retener, usar o divulgar los datos personales del Cliente fuera del alcance del Acuerdo.

5. Redzone tomará medidas para garantizar que dichos subprocesadores sean proveedores de servicios en virtud de la CCPA con los que Redzone haya celebrado un contrato por escrito que contenga términos sustancialmente similares a los de esta DPA o estén exentos de la definición de «venta» de la CCPA. Redzone lleva a cabo la debida diligencia con sus subprocesadores.

Reino Unido

Cuando el procesamiento de datos personales por parte de Redzone esté sujeto a las leyes de protección de datos correspondientes del Reino Unido (incluidas el RGPD del Reino Unido y la Ley de Protección de Datos de 2018), se aplicarán los siguientes términos para complementar la DPA y prevalecerán sobre cualquier disposición conflictiva de la DPA:

1. Las referencias al RGPD en esta adenda se considerarán, en esa medida, referencias a las leyes correspondientes del Reino Unido (incluidas el RGPD del Reino Unido y la Ley de Protección de Datos de 2018).

2. Cuando Redzone contrate a un subprocesador, exigirá que el subprocesador proteja los datos personales del Cliente de acuerdo con el estándar exigido por las leyes de protección de datos aplicables, como incluir las mismas obligaciones de protección de datos a las que se hace referencia en el artículo 28 (3) del GDPR, incluida la provisión de garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos del GDPR; y exigirá que cualquier subprocesador designado acepte por escrito procesar datos solo en un país que el europeo Union ha declarado que tiene un nivel de protección «adecuado» o que solo procesa los datos en términos equivalentes a los SCC.