Tratamiento de los datos por Stripe

Anexo de procesamiento de datos entre Stripe y Stripe User

Cómo aceptar estos términos:

Para completar este DPA, debe hacer clic en el botón «Acepto» a continuación. Una vez que Stripe reciba una aceptación con sello de tiempo a través del sitio web de Stripe, este DPA será legalmente vinculante entre usted y Stripe. Si no tiene una Cuenta de Stripe existente, o no es parte de un Acuerdo de Stripe, entonces no puede aceptar este DPA, y cualquier intento de hacerlo será nulo y sin efecto.

1. General.

Este DPA establece los requisitos de protección, seguridad y confidencialidad de los datos con respecto al Procesamiento de Datos Personales (como se define cada una de estas frases a continuación) que Stripe recopila, divulga, almacena, accede o procesa de otro modo con el fin de proporcionar los Servicios. .

2. Definiciones.

Cuando se usan en este DPA, estos términos tienen los siguientes significados. Todos los términos en mayúsculas no definidos en este DPA tienen el significado dado en el Acuerdo de Stripe.

«Legislación aplicable» hace referencia a todas las leyes y reglamentos nacionales o de la Unión Europea («UE») aplicables en relación con la privacidad, confidencialidad, seguridad y protección de los Datos personales, incluidos, entre otros: la Directiva de protección de datos de la Unión Europea 95/46/EC, según se modifique o reemplace, de vez en cuando, como por el Reglamento General de Protección de Datos 2016/679 («RGPD»), en vigor a partir del 25 de mayo de 2018, y las leyes de los Estados miembros de la UE que complementan el RGPD; la Directiva de la UE 2002/58/EC («Directiva de privacidad electrónica»), modificada o reemplazada ocasionalmente, y las leyes de los Estados miembros de la UE que implementan la Directiva de privacidad electrónica, incluidas las leyes que regulan el uso de cookies y otros medios de seguimiento como así como comunicaciones por correo electrónico no solicitadas; Leyes de los Estados miembros de la UE que regulan la notificación de violaciones de seguridad e imponen requisitos de seguridad de datos;

“Controlador de datos” significa la entidad que, sola o junto con otras, determina los fines y medios del procesamiento de datos personales;

«Procesador de datos» significa la entidad que procesa datos personales en nombre del controlador de datos;

“Sujeto de datos” significa una persona física identificada o identificable a la que pertenecen los Datos personales;

«Instrucciones» significa este DPA y cualquier otro acuerdo o documentación por escrito mediante el cual el Controlador de datos o sus afiliados instruyen al Procesador de datos para realizar un Procesamiento específico de Datos personales;

“Datos Personales” significa cualquier información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como el nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos del estado físico, fisiológico, genético , identidad mental, económica, cultural o social de esa persona física, que Stripe recopila, divulga, almacena, accede o procesa de otro modo con el fin de proporcionarle los Servicios;

“Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales o sobre conjuntos de Datos Personales, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o poner a disposición, alineación o combinación, restricción, borrado o destrucción;

“Seudonimización” significa el Procesamiento de Datos Personales de tal manera que los Datos Personales ya no pueden atribuirse a un Sujeto de Datos específico sin el uso de información adicional;

“Datos Sensibles” significa Datos Personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos relativos a la salud, la vida sexual o la orientación sexual; y

«Subprocesador» significa la entidad contratada por el Procesador de datos o cualquier otro Subprocesador para Procesar datos personales en nombre y bajo la autoridad del Controlador de datos.

3. Tratamiento de Datos Personales.

3.1 Stripe como Procesador de Datos. Las partes reconocen y aceptan que, en la medida en que Stripe opere y administre una plataforma de comercio electrónico y facilite las transacciones de pago en sus sitios web o aplicaciones, Stripe actuará como Procesador de datos en su nombre y usted actuará como Controlador de datos. Stripe contratará Subprocesadores de conformidad con los requisitos establecidos en la Sección 5 («Subprocesadores») a continuación.

3.2 Su Procesamiento de Datos Personales. Usted deberá, en su uso de los Servicios y la provisión de Instrucciones, Procesar Datos Personales de acuerdo con los requisitos de la Ley Aplicable y proporcionar Instrucciones a Stripe que sean legales. Deberá asegurarse de que los Interesados ​​reciban la información adecuada sobre el Procesamiento de sus Datos personales y, cuando así lo exija la Ley aplicable, deberá obtener su consentimiento para dicho Procesamiento.

3.3 Procesamiento de datos personales por parte de Stripe.En la medida en que Stripe actúe como Procesador de datos, Stripe: (a) Procesará los Datos personales de acuerdo con las Instrucciones del Controlador de datos y este DPA; (b) asegurar que cualquier persona autorizada por Stripe para Procesar Datos Personales se comprometa a respetar la confidencialidad de los Datos Personales; (c) brindar asistencia razonable al Controlador de datos, a expensas del Controlador de datos, para garantizar el cumplimiento de las obligaciones del Controlador de datos según las Leyes aplicables, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Encargado del procesamiento de datos; (d) contribuir a las auditorías o inspecciones realizadas por los auditores autorizados de Stripe poniendo a disposición del Controlador de datos, previa solicitud razonable, los respectivos informes de auditoría (no más de una vez al año), siempre que el Controlador de datos celebre un acuerdo de confidencialidad con Stripe con respecto a dichos informes de auditoría; y (e) brindar asistencia razonable al controlador de datos, previa solicitud y, a expensas del controlador de datos, facilitar el cumplimiento del controlador de datos con sus obligaciones con respecto a la realización de evaluaciones de impacto de protección de datos y consultar con una autoridad de control, según sea necesario por la Ley Aplicable.

3.4 Detalles del Tratamiento. El objeto del Procesamiento de Datos Personales por parte de Stripe es la prestación de los Servicios de conformidad con el Acuerdo de Stripe. La duración del Procesamiento, la naturaleza y el propósito del Procesamiento, los tipos de Datos personales y las categorías de Sujetos de datos Procesados ​​en virtud de este DPA se especifican con más detalle en el Anexo A de este DPA.

4. Derechos de los Interesados.

4.1 Solicitudes de interesados. Stripe, en la medida permitida por la Ley aplicable u otros requisitos legales o reglamentarios aplicables, le informará sobre cualquier solicitud formal de los Sujetos de datos que ejerzan sus derechos de acceso, corrección o eliminación de sus Datos personales, su derecho a restringir u oponerse a la Tratamiento así como su derecho a la portabilidad de los datos, y no dará respuesta a dichas solicitudes, salvo que usted se lo indique por escrito.

4.2 Asistencia de Stripe. Si lo solicita, Stripe realizará esfuerzos razonables para ayudarlo a responder a dichas solicitudes de Interesados ​​y, en la medida legalmente permitida, usted será responsable de cualquier costo que surja de la prestación de dicha asistencia por parte de Stripe.

5. Subprocesadores.

5.1 Designación de Sub-Encargados.Usted reconoce y acepta que: (a) los afiliados de Stripe pueden conservarse como subprocesadores; y (b) Stripe y los afiliados de Stripe pueden contratar Subprocesadores de terceros en relación con la prestación de los Servicios. Stripe o una filial de Stripe celebrarán un acuerdo por escrito con el Subprocesador que impone al Subprocesador obligaciones de protección de datos comparables a las impuestas a Stripe en virtud de este Acuerdo con respecto a la protección de Datos personales. En caso de que el Subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito con Stripe, Stripe seguirá siendo responsable ante usted por el cumplimiento de las obligaciones del Subprocesador en virtud de dicho acuerdo, excepto que se establezca lo contrario en el Acuerdo de Stripe. A través de este DPA,

5.2 Lista de subprocesadores actuales. Stripe pondrá a disposición una lista de Subprocesadores para los Servicios. Puede encontrar una lista actual de los subprocesadores de Stripe aquí . Stripe actualizará la lista para reflejar cualquier adición, reemplazo u otros cambios en los Subprocesadores de Stripe.

5.3. Derecho de objeción para nuevos subprocesadores. Puede oponerse razonablemente al uso de Stripe de un nuevo Subprocesador por motivos legítimos, sujeto a las cláusulas de rescisión y responsabilidad del Acuerdo de Stripe. El Controlador de datos reconoce que estos Subprocesadores son esenciales para proporcionar los Servicios y que oponerse al uso de un Subprocesador puede impedir que Stripe ofrezca los Servicios al Controlador de datos.

6. Seguridad.

6.1 Controles para la Protección de Datos Personales. Cada parte implementará y mantendrá medidas técnicas y organizativas apropiadas para la protección de la seguridad, confidencialidad e integridad de los Datos personales, lo que incluye, cuando corresponda: (a) seudonimización y cifrado de Datos personales; (b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento involucrados en el procesamiento de Datos personales; (c) la capacidad de restablecer la disponibilidad y el acceso a los Datos personales de manera oportuna en caso de un incidente físico o técnico; y (d) un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de Datos personales.

6.2 Gestión y notificación de incidentes de datos personales. Stripe implementará y mantendrá un programa de gestión de incidentes de seguridad de datos, que cumpla con la Ley aplicable, que aborde la gestión de incidentes de seguridad de datos, incluida la pérdida, robo, uso indebido, acceso no autorizado, divulgación o adquisición, destrucción u otro compromiso de Datos personales (“Incidente ”). Excepto en la medida necesaria para cumplir con los requisitos legales, reglamentarios o de aplicación de la ley aplicables, Stripe le informará sin demoras injustificadas de acuerdo con la Ley aplicable después de que tenga conocimiento de cualquier Incidente que haya ocurrido en sus sistemas que afecte los procesos de datos personales de Stripe en su en nombre de.

7. Devolución y Eliminación de Datos del Cliente.

Stripe eliminará o devolverá todos los Datos personales al Controlador de datos al final de la prestación de los Servicios, y eliminará las copias existentes, a menos que la Ley aplicable requiera o autorice un mayor almacenamiento de los Datos personales.

8. Transferencias de datos

8.1 Mecanismo de transferencia de datos . Las partes acuerdan que Stripe puede transferir Datos personales procesados ​​bajo este DPA fuera del Espacio Económico Europeo («EEE»), el Reino Unido o Suiza, según sea necesario para proporcionar los Servicios. Si Stripe transfiere Datos personales protegidos en virtud de este DPA a una jurisdicción para la cual la Comisión Europea o el Reino Unido (según corresponda) no hayan emitido una decisión de idoneidad, Stripe se asegurará de que se hayan implementado las medidas de seguridad adecuadas para la transferencia de Datos personales de acuerdo con las Normas aplicables. Ley.

8.2 Certificación del Escudo de Privacidad de Stripe. Stripe transfiere Datos personales procesados ​​bajo este DPA a Stripe Inc. bajo la certificación Privacy Shield de Stripe Inc., disponible en www.privacyshield.gov/list . Para conocer la política del Escudo de privacidad de Stripe, visite stripe.com/privacy-shield-policy .

9. Función de Stripe como controlador de datos.

Las Partes reconocen y aceptan que, en la medida en que Stripe procese los Datos personales involucrados en las transacciones de pago para: (1) monitorear, prevenir y detectar transacciones de pago fraudulentas, y para evitar daños a usted, Stripe y los afiliados de Stripe, y a terceros; (2) cumplir con las obligaciones legales o reglamentarias aplicables al procesamiento y retención de datos de pago a los que está sujeto Stripe, incluidos los aplicables al procesamiento y retención de datos de pago a los que está sujeto Stripe, incluida la detección aplicable contra el lavado de dinero y el cumplimiento de obligaciones de conocer a su cliente («Obligaciones AML y KYC»); (3) analizar, desarrollar y mejorar los productos y servicios de Stripe; y (4) proporcionar los productos y servicios de Stripe a los usuarios de Stripe,

10. Terminación.

Este DPA tendrá la misma duración y estará sujeto a los términos de rescisión del Acuerdo de Stripe. Las obligaciones de Stripe de implementar las medidas de seguridad adecuadas con respecto a los Datos personales sobrevivirán a la terminación de este DPA y se aplicarán mientras Stripe conserve los Datos personales. En caso de conflicto entre este DPA y el Acuerdo de Stripe, este DPA se aplicará en la medida de la inconsistencia.

11. Limitación de responsabilidad.

La responsabilidad de cada parte (incluidas sus respectivas filiales), en conjunto, que surja de este DPA o esté relacionada con él, ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, está sujeta a la sección «Limitación de responsabilidad» de Stripe. Acuerdo, y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y todas sus afiliadas en virtud del Acuerdo de Stripe y todos los DPA juntos.

12. Ley Aplicable.

Este DPA y cualquier disputa o reclamo que surja de o en relación con este DPA o su objeto se regirán e interpretarán de conformidad con las leyes de Irlanda.

Anexo A: Descripción del Procesamiento en el que Stripe actúa como Procesador de datos

Asunto: Prestación de los Servicios por parte de Stripe.

Duración del Procesamiento: Por la duración del Acuerdo de Stripe, más el período desde la expiración del Acuerdo de Stripe mientras se conservan los Datos Personales.

Titulares de los datos: Consumidores y tarjetahabientes.

Actividades de procesamiento de datos: administrar una plataforma de comercio electrónico y facilitar las transacciones de pago en nombre de los usuarios de Stripe.

Categorías de Datos Personales: Datos personales necesarios para administrar la plataforma de comercio electrónico y procesar transacciones de pago tales como:

  • Nombre del titular de la tarjeta
  • dirección de correo electrónico
  • identificador único de cliente
  • Solicitar ID
  • detalles de cuenta bancaria
  • detalles de la tarjeta de pago
  • fecha de vencimiento de la tarjeta
  • Código CVC
  • fecha/hora/monto de la transacción
  • nombre/ID del comerciante
  • ubicación

Stripe no procesa a sabiendas Datos confidenciales en el contexto de las actividades de procesamiento descritas en este Anexo.