Data Processing Agreement


This Data Processing Agreement (“DPA”) forms part of all written or electronic agreements (together, the “Agreement”) by and between the customer or reseller named at the end of this DPA (“Customer”) and T-LINE MEXICO, S.A. DE C.V., a Mexican company (“TLINE”), Customer and TLINE each a “Party” and, collectively, the “Parties”.

This DPA is valid only for the entity signing this DPA, which is a Party to an Agreement with TLINE, and shall be void and not legally binding if executed by any other person or entity.

This DPA (and Standard Contractual Clauses in Exhibit A as applicable) may be pre-signed by TLINE. The DPA (and Standard Contractual Clauses in Exhibit A as applicable) shall be executed by Customer by completing the Customer data and signing on page 4 of this DPA, and completing the Data Exporter data on pages 5, 10 and 12 of Schedule A. Customer shall send the completed and signed DPA by e-mail to privacy@tline.com. This DPA shall become effective on the date of receipt of an executed version by TLINE (the “Effective Date”).

During the performance of its obligations in relation to the provision of TLINE products (“Products”) and services (“Services”), TLINE may receive certain information provided by the Customer. If contains Personal Data as defined below, the Parties hereby agree that the terms of this DPA shall apply.

The terms of this DPA apply to all activities performed by TLINE in relation to its contractual obligations arising out the TLINE General Terms and Conditions, available at https://tline.com/terms-of-use/ or any other Agreement between the Parties.

This DPA shall prevail over any other existing data processing agreement or similar arrangement between TLINE and the Customer that may already be in place.

1. DEFINED TERMS

In this DPA:

(a) Terms such as “Controller,” “Data Subject,” “Personal Data,” “Process” (including its variants) and “Processor” shall have the meanings given in GDPR.

(b) “Data Protection Laws” means all applicable data protection and privacy legislation including without limitation: (i) Mexican Federal Law of Protection of Personal Data in Possession of Individuals; (ii) Regulation (EU) 2016/679 of the European Parliament and Council of 27 April 216 repealing Directive 96/46/EC (General Data Protection Regulation 2016/679 (“GDPR”)); (iii) UK GDPR; (iv) the Data Protection Act 2018 (and regulations made thereunder) (DPA 2018); and

(v) Swiss Federal Data Protection Act 1993 (revised in 2020).

Any other capitalized terms shall have the meanings given in the applicable TLINE Terms and Conditions.

2. PURPOSE

This DPA memorializes the Parties’ understanding about the Processing of Personal Data subject to Data Protection Laws.

3. DATA PROCESSING OBLIGATIONS

(a) Customer as Controller appoints TLINE as Processor. TLINE shall only Process the Personal Data for the purposes set forth in the Agreement and in accordance with Customer’s written instructions. The Agreement (including this DPA) constitutes such written initial instructions by Customer.

(b) Customer hereby warrants and represents, on a continuous basis throughout the Term as defined below, that all Personal Data provided or made available by Customer to TLINE for Processing in connection with the Agreement has been lawfully collected by Customer and transferred to TLINE in compliance with Data Protection Laws. During the Term of this DPA, Customer is solely responsible for obtaining and maintaining all necessary approvals, consents, authorizations and licenses from each and every Data Subject that may be required under Data Protection Laws to enable TLINE to Process the Personal Data pursuant to the Agreement and to exercise its rights and fulfil its obligations under this DPA.

(c) Unless restricted by applicable law, TLINE shall inform Customer if, in TLINE reasonable opinion, any Processing under the Agreement or an instruction by Customer conflicts with TLINE legal obligations or Data Protection Laws, or with any of the exceptions listed in Section 3(a). Upon informing the Customer, TLINE shall have no liability for any claim arising from or related to Processing of Personal Data under this DPA by TLINE in compliance with Customer’s instructions.

(d) TLINE shall treat all Personal Data as confidential and shall ensure that all employees, agents and sub-processors authorized by TLINE to Process Personal Data are subject to contractual, statutory or common law obligations of confidentiality.

(e) TLINE shall provide Customer with reasonable assistance with data protection impact assessments or prior consultations with data protection authorities that Customer is required to carry out under Data Protection Laws. Any such assistance shall be as agreed between the Parties and subject to a mutually accepted fee.

(f) TLINE shall implement appropriate technical and organizational measures in relation to the Processing of

Personal Data intended to ensure a level of security appropriate to the Personal Data Processing, including, as applicable, the ability to ensure the ongoing confidentiality, integrity, availability and resilience of Processing systems and a procedure for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the Processing of Personal Data. Both Parties hereby acknowledge and agree that the security measures available at: https://tline.com/terms-of-use/ are providing sufficient safeguards for the Processing of Personal Data and are appropriate .

(g) Without undue delay, after TLINE has a reasonable degree of certainty of the occurrence of accidental or unlawful destruction, loss or alteration of, unauthorized disclosure of, or access to Personal Data transmitted, stored or otherwise Processed by TLINE under this DPA (“Personal Data Breach”), TLINE shall notify Customer of the Personal Data Breach at the email address set forth in the signature block, provide such information as Customer may reasonably require to meet its obligations under applicable law with respect to the Personal Data Breach, and take reasonable steps to remediate the Personal Data Breach. TLINE may provide such information in phases as it becomes available. For the avoidance of doubt, a notification of the Personal Data Breach by TLINE shall not be construed or interpreted as admission of fault or liability by TLINE. TLINE shall promptly notify Customer upon receiving any complaint, notice or communication relating to the Processing of Personal Data under this DPA. At Customer’s request and expense, TLINE shall provide Customer with reasonable co-operation and assistance required by Customer in order to fulfil its obligations under Data Protection Law in relation to any requests from Data Subjects or competent data protection authorities.

(h) If Customer is subject to an audit or investigation from a competent data protection regulator, TLINE shall, when required, respond to any information requests, and/or agree to submit its premises and operations to audits, including inspections by Customer and/or the competent data protection regulator, in each case for the purpose of evidencing its compliance with this DPA, provided that:

(i) Customer shall ensure that all information obtained or generated in connection with any information request, audit or inspection is kept strictly confidential (unless disclosed to a competent data protection regulator or as

otherwise required by applicable law);

(ii) Customer shall ensure that any information request, audit or inspection is undertaken within normal business hours (unless such other time is mandated by a competent data protection regulator) with minimal disruption to TLINE business, and acknowledging that such information request, audit or inspection: (a) shall not oblige TLINE to provide or permit access to information concerning TLINE internal pricing information or relating to other recipients of services from TLINE; and (b) shall be subject to any reasonable policies, procedures or instructions of TLINE for the purposes of preserving security and confidentiality;

(iii) Customer shall give TLINE at least 30 days’ prior written notice of an information request and/or audit or inspection (unless the competent data protection regulator provides Customer with less than 30 days’ notice, in which case Customer shall provide TLINE with as much notice as possible);

(iv) If any information request, audit or inspection relates to systems provided by or on the premises of TLINE sub-processors, the scope of such information request, audit and/or inspection shall be as permitted under the relevant agreement in place between TLINE and the sub-processor.

(v) A maximum of one information request, audit and/or inspection may be requested by Customer in any twelve (12) month period unless an additional information request, audit and/or inspection is mandated by a competent data protection regulator in writing.

(vi) Customer shall pay TLINE reasonable costs for any assistance, contribution, co-operation, provision of information or facilitation of any audit or inspection or other work undertaken pursuant to TLINE obligations under this DPA, unless such costs are incurred due to TLINE breach of its obligations under this DPA.

(i) Upon expiration or any earlier termination of the Agreement, or upon Customer’s written request, TLINE shall delete all Personal Data in TLINE possession; provided, however, that TLINE may retain Personal Data as permitted or required to meet its document retention obligations under applicable law. TLINE also shall notify all relevant sub-processors of the obligation to delete all Personal Data in their possession and take reasonable steps to ensure their compliance.

(j) Subject to this DPA and the requirements of Data Protection Law, TLINE shall exercise its own discretion in the selection and use of means necessary to perform its Processing

obligations under the Agreement.

4. SUB-PROCESSORS

(a) Customer hereby provides its general authorization to TLINE to appoint the sub-processors set forth on https://tline.com/terms-of-use/ (“TLINE Sub-processor List”) as of the Effective Date of this DPA to Process Personal Data on TLINE behalf. TLINE shall ensure that sub-processors on the TLINE Sub-processor List are contractually obligated to protect Personal Data in compliance with Data Protection Laws and consistent with the obligations imposed on TLINE in this DPA.

(b) TLINE shall notify Customer of any addition of sub-processors on the TLINE Sub-processor List. Customer agrees that TLINE may, at TLINE sole discretion, provide notification of any change to the TLINE Sub-processor List by email to which Customer shall subscribe using the process set forth on https://tline.com/terms-of-use/ , or by sending a notification at the email address set forth in the signature block (“Email Notification”). Customer may object to any change to the TLINE Sub-processor List by email no later than ten (10) days after the date of the Email Notification, provided that Customer has a legitimate reason for objection under Data Protection Law. If the Parties cannot mutually agree to a reasonable resolution to Customer’s objection, either Party may terminate the Agreement upon written notice to the other Party.

5. INTERNATIONAL TRANSFERS

This Section 5 applies in case TLINE Processes or transfers Customer’s Personal Data for Processing by sub-processors located in countries outside of Mexico, the EEA, United Kingdom or Switzerland (“International Transfer”). TLINE shall undertake an International Transfer only (i) subject to the terms of the Standard Contractual Clauses (“Clauses”) set forth in Schedule 1, which Clauses shall be deemed executed on the same date and in the same manner as this DPA, or (ii) to a country that has received a binding adequacy decision by the European Commission, or otherwise lawful under Data Protection Laws (collectively, the “International Transfer Mechanisms”). In the event that this Section 5 applies, the terms of this DPA shall be read in conjunction with the applicable International Transfer Mechanism. Nothing in this DPA shall be construed to prevail over any conflicting clause of the applicable International Transfer Mechanism.

6. MISCELLANEOUS

Except as amended by this DPA, the terms of the Agreement shall remain in full force and effect. The Parties agree that their respective electronic signatures (i.e., any electronic sound, symbol or process attached to or logically associated with this Agreement and adopted by a Party with the

intent to sign this Agreement) are intended to authenticate this writing and have the same force and effect as manual signatures. Any claims arising under this Addendum shall be subject to the exclusions, limitations and other terms of the Agreement. If the Agreement and this DPA conflict, then this DPA shall prevail but solely with respect to the terms related to Processing of Personal Data. This DPA shall expire on the expiration or any earlier termination of the Agreement or the date on which TLINE no longer Processes Personal Data, whichever is earlier (the “Term”).

Customer warrants to TLINE that Customer’s representative is authorized to sign this Agreement and agrees that electronic signature is the legal equivalent of a handwritten signature on this DPA.

CUSTOMER: T-LINE MEXICO, S.A. DE C.V.

By:

Name:

Title:

Address:

Date:

Email:

Telephone: By: Name: Title: Address: Date: Email: Telephone:

SCHEDULE 1

ANNEX

STANDARD CONTRACTUAL CLAUSES

SECTION I

Clause 1 Purpose and scope

a. The purpose of these standard contractual clauses is to ensure compliance with the requirements of Mexican Regulation and (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)1 for the transfer of personal data to a third country.

b. The Parties:

i. the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and

ii. the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”) have agreed to these standard contractual clauses (hereinafter: “Clauses”).

c. These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.

d. The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2 Effect and invariability of the Clauses

a. These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.

b. These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3 Third-party beneficiaries

a. Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:

i. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;

ii. Clause 8 – Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three: Clause 8.1(a), (c) and

(d) and Clause 8.9(a), (c), (d), (e), (f) and (g); Module Four: Clause 8.1 (b) and Clause 8.3(b); Clause 9 – Module Two: Clause 9(a), (c), (d) and (e); Module Three: Clause 9(a), (c), (d) and (e);

iii. Clause 12 – Module One: Clause 12(a) and (d); Modules Two and Three: Clause 12(a), (d) and (f);

iv. Clause 13;

v. Clause 15.1(c), (d) and (e);

vi. Clause 16(e);

vii. Clause 18 – Modules One, Two and Three: Clause 18(a) and (b); Module Four: Clause 18.

b. Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.

Clause 4 Interpretation

a. Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

b. These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.

c. These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Clause 5 Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6 Description of the transfer(s)

The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.

Clause 7 – Optional Docking clause

a. An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.

b. Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.

c. The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 8 Data protection safeguards

The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organizational measures, to satisfy its obligations under these Clauses. MODULE TWO: Transfer controller to processor.

8.1 Instructions

a. The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.

b. The data importer shall immediately inform the data exporter if it is unable to follow those instructions.

8.2 Purpose limitation

The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.

8.3 Transparency

On request, the data exporter shall make a copy of these Clauses,

including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 Accuracy

If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.

8.5 Duration of processing and erasure or return of data

Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants th

compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

8.6 Security of processing

a. The data importer and, during transmission, also the data exporter shall implement appropriate technical and organizational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymization, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymization, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organizational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.

b. The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorized to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

c. In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number

of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.

d. The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.

8.7 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.

8.8 Onward transfers

The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union4 (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:

i. the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;

ii. the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;

iii. the onward transfer is necessary for the establishment, exercise or defense of legal claims in the context of specific administrative, regulatory or judicial proceedings; or

iv. the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentation and compliance

a. The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.

b. The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.

c. The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.

d. The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.

e. The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

Clause 9

Use of sub-processors

MODULE TWO: Transfer controller to processor

a. OPTION 2: GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorization for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least [Specify time period] in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.

b. Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection

obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects.8 The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.

c. The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.

d. The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.

e. The data importer shall agree a third-party beneficiary clause with the sub-processor whereby – in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent – the data exporter shall have the right to terminate the sub- processor contract and to instruct the sub-processor to erase or return the personal data.

Clause 10

Data subject rights

MODULE TWO: Transfer controller to processor

a. The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorized to do so by the data exporter.

b. The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organizational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.

c. In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Clause 11

Redress

a. The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorized to handle complaints. It shall deal promptly with any complaints it receives from a data subject.

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

b. In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.

c. Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:

d. lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13; refer the dispute to the competent courts within the meaning of Clause 18. The Parties accept that the data subject may be represented by a not-for-profit body, organization or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.

e. The data importer shall abide by a decision that is binding under the applicable Mexican law.

f. The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Clause 12

Liability

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

a. Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.

b. The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.

c. Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages

the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.

d. The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.

e. Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.

f. The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.

g. The data importer may not invoke the conduct of a sub-processor to avoid its own liability.

Clause 13

Supervision

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

a. Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.

b. The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been

taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

MODULE FOUR: Transfer processor to controller

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

a. The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorizing access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

b. The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:

i. the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

ii. the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorizing access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards12;

iii. any relevant contractual, technical or organizational

safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.

c. The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses. The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.

d. The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).

e. Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organizational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation

· . The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

MODULE FOUR: Transfer processor to controller

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in

the EU)

15.1 Notification

a. The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:

i. receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or

ii. becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of

the country of destination; such notification shall include all information available to the importer.

b. If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.

c. Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).

d. The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.

e. Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimization

a. The data importer agrees to review the legality of the request for

disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).

b. The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.

c. The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

a. The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.

b. In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).

c. The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:

i. the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;

ii. the data importer is in substantial or persistent breach of these Clauses; or

· the data importer fails to comply with a b

competent court or supervisory authority regarding its obligations under these Clauses. In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.

d. [For Modules One, Two and Three: Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data.] The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.

e. Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing law

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

[OPTION 1: These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of Mexico.]

Clause 18

Choice of forum and jurisdiction

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

a. Any dispute arising from these Clauses shall be resolved by the courts of Mexico.

b. The Parties agree that those shall be the courts of Mexico.

c. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.

d. The Parties agree to submit themselves to the jurisdiction of such courts.

1 Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295 of 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision […].

2 This requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.

3 The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.

4 The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.

5 See Article 28(4) of Regulation (EU) 2016/679 and, where the controller is an EU institution or body, Article 29(4) of Regulation (EU) 2018/1725.

6 The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto.

Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purposes of these Clauses.

7 This includes whether the transfer and further processing involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences.

8 This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7.

9 This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7.

10 That period may be extended by a maximum of two more months, to the extent necessary taking into account the complexity and number of requests. The data importer shall duly and promptly inform the data subject of any such extension.

11 The data importer may offer independent dispute resolution through an arbitration body only if it is established in a country that has ratified the New York Convention on Enforcement of Arbitration Awards.

12 As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

APPENDIX

ANNEX I

A. LIST OF PARTIES

MODULE ONE: Transfer controller to controller MODULE TWO: Transfer controller to processor MODULE THREE: Transfer processor to processor MODULE FOUR: Transfer processor to controller Data exporter(s):

Name: … Address: …

Contact person’s name, position and contact details: …

Activities relevant to the data transferred under these Clauses: … Signature and date: …

Role (controller/processor): Controller

Data importer(s):

1. Name: T-LINE MEXICO, S.A. DE C.V.

Address: Ave. Paseo de la Reforma 404-1102, Col. Juarez, Cuauhtemoc, CDMX, Mexico.

Contact person’s name, position and contact details: privacy@tline.com

Activities relevant to the data transferred under these Clauses: Processing of Personal Data upon the instruction of the data exporter in accordance with the terms of the Agreement

Signature and date: …

2. The other members of TLINE Group subprocessors listed at TERMS OF USE – TLine Technology

3. Role (controller/processor): Processor

B. DESCRIPTION OF TRANSFER

MODULE ONE: Transfer controller to controller MODULE TWO: Transfer controller to processor MODULE THREE: Transfer processor to processor MODULE FOUR: Transfer processor to controller

Categories of data subjects whose personal data is transferred

Data exporter may submit Personal Data of data subjects pursuant to the Agreement, the extent of which is determined and controlled by the data exporter in its sole discretion.

Categories of personal data transferred

The categories of Personal Data transferred are determined and controlled in the sole discretion of the data exporter pursuant to the Agreement.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

The special categories of Personal Data (if any) transferred are determined and controlled in the sole discretion of the data exporter pursuant to the Agreement.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

Continuous basis for products and services, one-off basis for support requests and other ad hoc customer submissions

Nature of the processing

Collection, analysis, reporting and/or storage, in accordance with the documented instructions by the Data Exporter in its sole discretion

Purpose(s) of the data transfer and further processing

Performance of the obligations arising from the agreement between the Data Exporter and the Data Importer

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

During the term of the agreement between the Data Exporter and the Data Importer and in accordance with the applicable laws

For transfers to (sub-)processors, also specify subject matter, nature and duration of the processing

For the purposes of performance of the obligations arising from the agreement between the Data Exporter and the Data Importer; collection, analysis, reporting and/or storage, in accordance with the documented instructions by the Data Exporter in its sole discretion; during the term of the agreement between the Data Exporter and the Data Importer and in accordance with the applicable laws.

C. COMPETENT SUPERVISORY AUTHORITY MODULE ONE: Transfer controller to controller MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

Identify the competent supervisory authority/ies in accordance with Clause 13

The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.

ANNEX II – TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

MODULE ONE: Transfer controller to controller MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

Description of the technical and organizational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

Data Importer will maintain administrative, physical, and technical safeguards for protection of the security, confidentiality and integrity of Personal Data processed pursuant to the Agreement as described on: https://tline.com/terms-of-use/

For transfers to (sub-) processors, also describe the specific technical and organizational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter

Data Importer contractually requires all sub-processors to take technical and organizational measures at least equivalent to, and in any case no less protective than those referenced above.


Este Acuerdo de procesamiento de datos ("DPA") forma parte de todos los acuerdos escritos o electrónicos (en conjunto, el "Acuerdo") por y entre el cliente o revendedor mencionado al final de este DPA ("Cliente") y T-LINE MEXICO, S.A. DE C.V., una empresa mexicana ("TLINE"), Cliente y TLINE, cada uno una "Parte" y, colectivamente, las "Partes".

Este DPA es válido solo para la entidad que firma este DPA, que es Parte de un Acuerdo con TLINE, y será nulo y no será legalmente vinculante si lo ejecuta cualquier otra persona o entidad.

Este DPA (y las Cláusulas contractuales estándar en el Anexo A, según corresponda) puede estar firmado previamente por TLINE. El DPA (y las Cláusulas contractuales estándar en el Anexo A, según corresponda) serán ejecutados por el Cliente completando los datos del Cliente y firmando en la página 4 de este DPA, y completando los datos del Exportador de datos en las páginas 5, 10 y 12 del Anexo A. Cliente deberá enviar el DPA completo y firmado por correo electrónico a privacy@tline.com. Este DPA entrará en vigencia en la fecha de recepción de una versión ejecutada por parte de TLINE (la "Fecha de vigencia").

Durante el cumplimiento de sus obligaciones en relación con la provisión de productos TLINE ("Productos") y servicios ("Servicios"), TLINE puede recibir cierta información proporcionada por el Cliente. Si contiene Datos personales como se define a continuación, las Partes acuerdan que se aplicarán los términos de este DPA.

Los términos de este DPA se aplican a todas las actividades realizadas por TLINE en relación con sus obligaciones contractuales derivadas de los Términos y Condiciones Generales de TLINE, disponibles en https://tline.com/terms-of-use/ o cualquier otro Acuerdo entre las Partes .

Este DPA prevalecerá sobre cualquier otro acuerdo de procesamiento de datos existente o arreglo similar entre TLINE y el Cliente que ya pueda estar vigente.

1. TÉRMINOS DEFINIDOS

En este APD:

(a) Términos como "Controlador", "Sujeto de datos", "Datos personales", "Proceso" (incluidas sus variantes) y "Procesador" tendrán los significados que se les otorgan en el RGPD.

(b) “Leyes de Protección de Datos” significa toda la legislación aplicable en materia de privacidad y protección de datos, incluidas, entre otras: (i) Ley Federal de Protección de Datos Personales en Posesión de los Particulares; (ii) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 216 por el que se deroga la Directiva 96/46/CE (Reglamento General de Protección de Datos 2016/679 (“GDPR”)); (iii) RGPD del Reino Unido; (iv) la Ley de Protección de Datos de 2018 (y los reglamentos elaborados en virtud de la misma) (DPA 2018); y

(v) Ley Federal de Protección de Datos de Suiza de 1993 (revisada en 2020).

Cualquier otro término en mayúscula tendrá los significados dados en los Términos y Condiciones de TLINE aplicables.

2.PROPOSITO

Este DPA conmemora el entendimiento de las Partes sobre el Procesamiento de Datos Personales sujeto a las Leyes de Protección de Datos.

3. OBLIGACIONES DE TRATAMIENTO DE DATOS

(a) El Cliente como Controlador designa a TLINE como Procesador. TLINE solo procesará los Datos personales para los fines establecidos en el Acuerdo y de acuerdo con las instrucciones escritas del Cliente. El Acuerdo (incluido este DPA) constituye dichas instrucciones iniciales escritas por parte del Cliente.

(b) Por la presente, el Cliente garantiza y declara, de manera continua durante el Plazo, como se define a continuación, que todos los Datos personales proporcionados o puestos a disposición por el Cliente a TLINE para su Procesamiento en relación con el Acuerdo han sido recopilados legalmente por el Cliente y transferidos a TLINE en cumplimiento de las Leyes de Protección de Datos. Durante el Plazo de este DPA, el Cliente es el único responsable de obtener y mantener todas las aprobaciones, consentimientos, autorizaciones y licencias necesarias de todos y cada uno de los Sujetos de datos que puedan ser necesarios según las Leyes de protección de datos para permitir que TLINE procese los Datos personales de conformidad con el Acuerdo. y para ejercer sus derechos y cumplir con sus obligaciones bajo este DPA.

(c) A menos que esté restringido por la ley aplicable, TLINE informará al Cliente si, en opinión razonable de TLINE, cualquier Procesamiento en virtud del Acuerdo o una instrucción del Cliente entra en conflicto con las obligaciones legales de TLINE o las Leyes de protección de datos, o con cualquiera de las excepciones enumeradas en la Sección 3. (a). Al informar al Cliente, TLINE no será responsable de ningún reclamo que surja o esté relacionado con el Procesamiento de Datos Personales bajo este DPA por parte de TLINE de conformidad con las instrucciones del Cliente.

(d) TLINE tratará todos los Datos personales como confidenciales y se asegurará de que todos los empleados, agentes y subprocesadores autorizados por TLINE para Procesar Datos personales estén sujetos a obligaciones de confidencialidad contractuales, estatutarias o de derecho consuetudinario.

(e) TLINE proporcionará al Cliente asistencia razonable con las evaluaciones de impacto de la protección de datos o las consultas previas con las autoridades de protección de datos que el Cliente debe realizar en virtud de las Leyes de Protección de Datos. Dicha asistencia será según lo acordado entre las Partes y estará sujeta a una tarifa mutuamente aceptada.

(f) TLINE implementará las medidas técnicas y organizativas apropiadas en relación con el procesamiento de

Datos personales destinados a garantizar un nivel de seguridad apropiado para el procesamiento de datos personales, incluida, según corresponda, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas de procesamiento y un procedimiento para probar, evaluar y evaluar regularmente la eficacia de medidas técnicas y organizativas para garantizar la seguridad del Tratamiento de Datos Personales. Ambas Partes reconocen y aceptan que las medidas de seguridad disponibles en: https://tline.com/terms-of-use/ brindan garantías suficientes para el procesamiento de datos personales y son apropiadas.

(g) Sin demora indebida, después de que TLINE tenga un grado razonable de certeza de la destrucción, pérdida o alteración accidental o ilegal, divulgación no autorizada o acceso a los Datos personales transmitidos, almacenados o Procesados ​​de otro modo por TLINE en virtud de este DPA ( "Violación de datos personales"), TLINE notificará al Cliente sobre la Violación de datos personales a la dirección de correo electrónico establecida en el bloque de firma, proporcionará la información que el Cliente pueda requerir razonablemente para cumplir con sus obligaciones bajo la ley aplicable con respecto a la Violación de datos personales, y tomar medidas razonables para remediar la Violación de datos personales. TLINE puede proporcionar dicha información en fases a medida que esté disponible. Para evitar dudas, una notificación de violación de datos personales por parte de TLINE no se interpretará como una admisión de culpa o responsabilidad por parte de TLINE. TLINE notificará de inmediato al Cliente al recibir cualquier queja, notificación o comunicación relacionada con el procesamiento de datos personales en virtud de este DPA. A pedido y a expensas del Cliente, TLINE brindará al Cliente la cooperación y la asistencia razonables requeridas por el Cliente para cumplir con sus obligaciones en virtud de la Ley de Protección de Datos en relación con cualquier solicitud de los Interesados ​​o las autoridades de protección de datos competentes.

(h) Si el Cliente está sujeto a una auditoría o investigación por parte de un regulador de protección de datos competente, TLINE deberá, cuando sea necesario, responder a cualquier solicitud de información y/o aceptar someter sus instalaciones y operaciones a auditorías, incluidas las inspecciones por parte del Cliente y/o o el regulador de protección de datos competente, en cada caso a los efectos de acreditar el cumplimiento del presente DPA, siempre que:

(i) El Cliente se asegurará de que toda la información obtenida o generada en relación con cualquier solicitud de información, auditoría o inspección se mantenga estrictamente confidencial (a menos que se divulgue a un regulador de protección de datos competente o como

requerido de otra manera por la ley aplicable);

(ii) El Cliente se asegurará de que cualquier solicitud de información, auditoría o inspección se lleve a cabo dentro del horario comercial normal (a menos que un regulador de protección de datos competente ordene ese otro horario) con una interrupción mínima para el negocio de TLINE, y reconociendo que dicha solicitud de información, auditoría o inspección: (a) no obligará a TLINE a proporcionar o permitir el acceso a información relacionada con la información de precios interna de TLINE o relacionada con otros destinatarios de los servicios de TLINE; y (b) estará sujeto a cualquier política, procedimiento o instrucción razonable de TLINE con el fin de preservar la seguridad y la confidencialidad;

(iii) El Cliente deberá notificar por escrito a TLINE con al menos 30 días de anticipación sobre una solicitud de información y/o auditoría o inspección (a menos que el regulador de protección de datos competente proporcione al Cliente un aviso con menos de 30 días de anticipación, en cuyo caso el Cliente deberá proporcionar a TLINE con la mayor antelación posible);

(iv) Si cualquier solicitud de información, auditoría o inspección se relaciona con los sistemas proporcionados por o en las instalaciones de los subprocesadores de TLINE, el alcance de dicha solicitud de información, auditoría y/o inspección será el permitido por el acuerdo pertinente vigente entre TLINE y el subprocesador.

(v) El Cliente puede solicitar un máximo de una solicitud de información, auditoría y/o inspección en cualquier período de doce (12) meses, a menos que un regulador de protección de datos competente ordene por escrito una solicitud de información, auditoría y/o inspección adicionales.

(vi) El Cliente pagará a TLINE los costos razonables por cualquier asistencia, contribución, cooperación, suministro de información o facilitación de cualquier auditoría o inspección u otro trabajo realizado de conformidad con las obligaciones de TLINE en virtud de este DPA, a menos que se incurra en tales costos debido al incumplimiento de TLINE. de sus obligaciones bajo este DPA.

(i) Al vencimiento o terminación anticipada del Acuerdo, o a pedido por escrito del Cliente, TLINE eliminará todos los Datos personales en posesión de TLINE; siempre que, sin embargo, TLINE pueda retener Datos personales según lo permitido o requerido para cumplir con sus obligaciones de retención de documentos según la ley aplicable. TLINE también notificará a todos los subprocesadores relevantes sobre la obligación de eliminar todos los Datos personales en su posesión y tomará las medidas razonables para garantizar su cumplimiento.

(j) Sujeto a este DPA y a los requisitos de la Ley de Protección de Datos, TLINE ejercerá su propia discreción en la selección y uso de los medios necesarios para realizar su Procesamiento.

obligaciones en virtud del Acuerdo.

4. SUBPROCESADORES

(a) Por el presente, el Cliente proporciona su autorización general a TLINE para designar a los subprocesadores establecidos en https://tline.com/terms-of-use/ (“Lista de subprocesadores de TLINE”) a partir de la Fecha de vigencia de este DPA para procesar datos personales en nombre de TLINE. TLINE se asegurará de que los subprocesadores de la Lista de subprocesadores de TLINE estén obligados por contrato a proteger los Datos personales de conformidad con las Leyes de protección de datos y de conformidad con las obligaciones impuestas a TLINE en este DPA.

(b) TLINE notificará al Cliente sobre cualquier adición de subprocesadores en la Lista de subprocesadores de TLINE. El Cliente acepta que TLINE puede, a su exclusivo criterio, notificar cualquier cambio en la Lista de subprocesadores de TLINE por correo electrónico al que el Cliente se suscribirá mediante el proceso establecido en https://tline.com/terms-of-use/ , o enviando una notificación a la dirección de correo electrónico establecida en el bloque de firma ("Notificación por correo electrónico"). El Cliente puede oponerse a cualquier cambio en la Lista de subprocesadores de TLINE por correo electrónico a más tardar diez (10) días después de la fecha de la Notificación por correo electrónico, siempre que el Cliente tenga un motivo legítimo para objetar según la Ley de protección de datos. Si las Partes no pueden acordar mutuamente una resolución razonable a la objeción del Cliente, cualquiera de las Partes puede rescindir el Acuerdo mediante notificación por escrito a la otra Parte.

5. TRANSFERENCIAS INTERNACIONALES

Esta Sección 5 se aplica en caso de que TLINE Procese o transfiera los Datos personales del Cliente para su procesamiento por parte de subprocesadores ubicados en países fuera de México, el EEE, el Reino Unido o Suiza ("Transferencia internacional"). TLINE realizará una Transferencia internacional únicamente (i) sujeta a los términos de las Cláusulas contractuales estándar ("Cláusulas") establecidas en el Anexo 1, cuyas Cláusulas se considerarán ejecutadas en la misma fecha y de la misma manera que este DPA, o (ii) a un país que haya recibido una decisión vinculante de adecuación por parte de la Comisión Europea, o que sea legal según las leyes de protección de datos (colectivamente, los "Mecanismos de transferencia internacional"). En caso de que se aplique esta Sección 5, los términos de este DPA se leerán en conjunto con el Mecanismo de transferencia internacional aplicable. Nada en este DPA se interpretará para prevalecer sobre cualquier cláusula en conflicto del Mecanismo de transferencia internacional aplicable.

6. VARIOS

Salvo que se modifique por este DPA, los términos del Acuerdo permanecerán en pleno vigor y efecto. Las Partes acuerdan que sus respectivas firmas electrónicas (es decir, cualquier sonido electrónico, símbolo o proceso adjunto o lógicamente asociado con este Acuerdo y adoptado por una Parte con el

intención de firmar este Acuerdo) pretenden autenticar este escrito y tienen la misma fuerza y ​​efecto que las firmas manuales. Cualquier reclamo que surja de este Anexo estará sujeto a las exclusiones, limitaciones y otros términos del Acuerdo. Si el Acuerdo y este DPA entran en conflicto, este DPA prevalecerá, pero únicamente con respecto a los términos relacionados con el procesamiento de datos personales. Este DPA vencerá al vencimiento o cualquier terminación anterior del Acuerdo o la fecha en que TLINE ya no Procese Datos Personales, lo que ocurra primero (el "Plazo").

El Cliente garantiza a TLINE que el representante del Cliente está autorizado para firmar este Acuerdo y acepta que la firma electrónica es el equivalente legal de una firma manuscrita en este DPA.

CLIENTE: T-LINE MÉXICO, S.A. DE C.V.

Por:

Nombre:

Título:

Dirección:

Fecha:

Correo electrónico:

Teléfono: Por: Nombre: Cargo: Dirección: Fecha: Correo electrónico: Teléfono:

HORARIO 1

ANEXO

CLÁUSULAS CONTRACTUALES ESTÁNDAR

SECCIÓN I

Cláusula 1 Objeto y alcance

a. Las presentes cláusulas contractuales tipo tienen por objeto asegurar el cumplimiento de las exigencias del Reglamento mexicano y (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos)1 para la transferencia de datos personales a un tercer país.

b. Las fiestas:

i. la(s) persona(s) física(s) o jurídica(s), la(s) autoridad(es) pública(s), la(s) agencia(s) u otro(s) organismo(s) (en adelante, “entidad/es”) que transfieren los datos personales, según se enumeran en el Anexo I.A. (en adelante cada “exportador de datos”), y

ii. la(s) entidad(es) en un tercer país que recibe los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también es Parte de estas Cláusulas, según se enumeran en el Anexo I.A. (en adelante cada “importador de datos”) han aceptado estas cláusulas contractuales estándar (en adelante: “Cláusulas”).

C. Estas Cláusulas se aplican con respecto a la transferencia de datos personales como se especifica en el Anexo I.B.

d. El Apéndice a estas Cláusulas que contiene los Anexos a los que se hace referencia en ellas forma parte integrante de estas Cláusulas.

Cláusula 2 Efecto e invariabilidad de las Cláusulas

a. Estas Cláusulas establecen salvaguardias apropiadas, incluidos los derechos exigibles de los interesados ​​y los recursos legales efectivos, de conformidad con el Artículo 46 (1) y el Artículo 46 (2) (c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los controladores a encargados y/o encargados a encargados, cláusulas contractuales estándar de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el/los Módulo(s) adecuado(s) o para añadir o actualizar información en el apéndice. Ello no impide que las Partes incluyan las cláusulas contractuales tipo previstas en estas Cláusulas en un contrato más amplio y/o añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos fundamentales. o libertades de los interesados.

b. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 Terceros beneficiarios

una. Los interesados ​​pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

i. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

ii. Cláusula 8 – Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9 (b); Módulo Dos: Cláusula 8.1(b), 8.9(a), (c), (d) y (e); Módulo Tres: Cláusula 8.1(a), (c) y

(d) y la Cláusula 8.9(a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b); Cláusula 9 – Módulo Dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);

iii. Cláusula 12 – Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);

IV. cláusula 13;

v. Cláusula 15.1(c), (d) y (e);

vi. Cláusula 16(e);

vii. Cláusula 18 – Módulos Uno, Dos y Tres: Cláusula 18(a) y (b); Módulo Cuarto: Cláusula 18.

b. El párrafo (a) se entiende sin perjuicio de los derechos de los interesados ​​en virtud del Reglamento (UE) 2016/679.

Cláusula 4 Interpretación

a. Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

b. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.

C. Estas Cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5 Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden estas Cláusulas o se celebren posteriormente, estas Cláusulas prevalecerán.

Cláusula 6 Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Cláusula 7 - Cláusula de acoplamiento opcional

a. Una entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de las Partes, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.

b. Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el Anexo I.A.

C. La entidad adherente no tendrá derechos u obligaciones derivados de estas Cláusulas desde el período anterior a convertirse en Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8 Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, mediante la implementación de medidas técnicas y organizativas apropiadas, cumplir con sus obligaciones en virtud de estas Cláusulas. MÓDULO DOS: Transferir controlador a procesador.

8.1 Instrucciones

una. El importador de datos procesará los datos personales solo siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones a lo largo de la duración del contrato.

b. El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8.2 Limitación de finalidad

El importador de datos procesará los datos personales solo para los fines específicos de la transferencia, como se establece en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos deberá hacer una copia de estas Cláusulas,

incluido el Apéndice completado por las Partes, disponible para el interesado de forma gratuita. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede redactar parte del texto del Apéndice de estas Cláusulas antes de compartir una copia, pero deberá proporcionar una resumen en el que el interesado no podría comprender su contenido o ejercer sus derechos de otro modo. Previa solicitud, las Partes proporcionarán al interesado los motivos de las expurgaciones, en la medida de lo posible sin revelar la información expurgada. Esta Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Precisión

Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del procesamiento y borrado o devolución de datos

El procesamiento por parte del importador de datos solo tendrá lugar durante la duración especificada en el Anexo I.B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales procesados ​​en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá a el exportador de datos todos los datos personales procesados ​​en su nombre y eliminar las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que

cumplimiento de estas Cláusulas y solo lo procesará en la medida y durante el tiempo requerido por la ley local. Esto es sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos bajo la Cláusula 14(e) de notificar al exportador de datos durante la duración del contrato si tiene motivos para creer que está o se ha vuelto sujeto a leyes o prácticas. no está en línea con los requisitos de la Cláusula 14(a).

8.6 Seguridad del procesamiento

a. El importador de datos y, durante la transmisión, también el exportador de datos implementarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidental o ilegalmente. esos datos (en adelante, “violación de datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y el(los) propósito(s) del procesamiento y los riesgos involucrados en el procesamiento para los interesados. . Las Partes considerarán, en particular, recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Para cumplir con sus obligaciones bajo este párrafo, el importador de datos deberá implementar al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo comprobaciones periódicas para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.

b. El importador de datos otorgará acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Se asegurará de que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.

C. En el caso de una violación de datos personales relacionada con los datos personales procesados ​​por el importador de datos en virtud de estas Cláusulas, el importador de datos deberá tomar las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la infracción. Dicha notificación contendrá los detalles de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la infracción (incluidas, cuando sea posible, las categorías y el número aproximado

de los interesados ​​y los registros de datos personales de que se trate), sus posibles consecuencias y las medidas adoptadas o propuestas para hacer frente a la infracción, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y la información adicional, a medida que esté disponible, se proporcionará posteriormente sin demora indebida.

d. El importador de datos cooperará con el exportador de datos y lo asistirá para permitirle cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados ​​afectados, teniendo en cuenta la naturaleza de procesamiento y la información disponible para el importador de datos.

8.7 Datos sensibles

Cuando la transferencia involucre datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o la vida sexual de una persona o orientación sexual, o datos relativos a condenas e infracciones penales (en adelante “datos sensibles”), el importador de datos aplicará las restricciones específicas y/o salvaguardas adicionales descritas en el Anexo I.B.

8.8 Transferencias posteriores

El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo se pueden divulgar a un tercero ubicado fuera de la Unión Europea4 (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, "transferencia posterior") si el tercero está o acepta estar obligado por estas Cláusulas, en el Módulo correspondiente, o si:

i. la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;

ii. el tercero garantice las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;

iii. la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

IV. la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias en virtud de estas Cláusulas, en particular, la limitación del propósito.

8.9 Documentación y cumplimiento

a. El importador de datos deberá atender de manera rápida y adecuada las consultas del exportador de datos que se relacionen con el procesamiento en virtud de estas Cláusulas.

b. Las Partes podrán demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento llevadas a cabo en nombre del exportador de datos.

C. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a solicitud del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por estas Cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones pertinentes en poder del importador de datos.

d. El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías pueden incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando corresponda, se llevarán a cabo con un aviso razonable.

e. Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información a que se refieren los párrafos (b) y (c), incluidos los resultados de cualquier auditoría.

Cláusula 9

Uso de subprocesadores

MÓDULO DOS: Transferencia del controlador al procesador

a. OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en esa lista a través de la adición o sustitución de subprocesadores al menos [Especifique el período de tiempo] por adelantado, dando así al exportador de datos tiempo suficiente para poder objetar a dichos cambios antes de la contratación de los subprocesadores. El importador de datos proporcionará al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho de oposición.

b. Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en sustancia, la misma protección de datos

obligaciones como las que vinculan al importador de datos en virtud de estas Cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados.8 Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto el importador de datos de conformidad con estas Cláusulas.

C. El importador de datos proporcionará, a solicitud del exportador de datos, una copia de dicho acuerdo de subprocesador y cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.

d. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de sus obligaciones en virtud de ese contrato.

e. El importador de datos acordará una cláusula de tercero beneficiario con el subprocesador por la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el subprocesador. contrato de procesador e instruir al subprocesador para que borre o devuelva los datos personales.

Cláusula 10

Derechos de los interesados

MÓDULO DOS: Transferencia del controlador al procesador

a. El importador de datos notificará de inmediato al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a esa solicitud por sí mismo a menos que haya sido autorizado para hacerlo por el exportador de datos.

b. El importador de datos ayudará al exportador de datos a cumplir con sus obligaciones de responder a las solicitudes de los interesados ​​para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.

c. En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos deberá cumplir con las instrucciones del exportador de datos.

Cláusula 11

Compensación

a. El importador de datos informará a los interesados ​​en un formato transparente y de fácil acceso, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para atender quejas. Atenderá con prontitud las quejas que reciba de un interesado.

MÓDULO UNO: Transferencia de controlador a controlador

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

b. En caso de una disputa entre un interesado y una de las Partes con respecto al cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa en el momento oportuno. Las Partes se mantendrán informadas sobre tales controversias y, en su caso, cooperarán para resolverlas.

C. Cuando el interesado invoque el derecho de un tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:

d. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o la autoridad de control competente de conformidad con la Cláusula 13; remita la disputa a los tribunales competentes en el sentido de la Cláusula 18. Las Partes aceptan que el interesado puede estar representado por un organismo, organización o asociación sin fines de lucro en las condiciones establecidas en el Artículo 80(1) del Reglamento ( UE) 2016/679.

e. El importador de datos deberá acatar una decisión que sea vinculante conforme a la legislación mexicana aplicable.

F. El importador de datos acepta que la elección realizada por el titular de los datos no perjudicará sus derechos sustantivos y procesales para buscar recursos de conformidad con las leyes aplicables.

Cláusula 12

Responsabilidad

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

a. Cada Parte será responsable frente a la(s) otra(s) Parte(s) por cualquier daño que cause a la(s) otra(s) Parte(s) por cualquier incumplimiento de estas Cláusulas.

b. El importador de datos será responsable ante el sujeto de datos, y el sujeto de datos tendrá derecho a recibir una compensación, por cualquier daño material o inmaterial que el importador de datos o su subprocesador cause al sujeto de datos al violar los derechos del tercero beneficiario. bajo estas Cláusulas.

c. No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el sujeto de datos, y el sujeto de datos tendrá derecho a recibir compensación, por cualquier daño material o inmaterial.

el exportador de datos o el importador de datos (o su subprocesador) cause que el sujeto de los datos infrinja los derechos de los terceros beneficiarios en virtud de estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.

d. Las Partes acuerdan que si el exportador de datos es responsable conforme al párrafo (c) por los daños causados ​​por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la compensación correspondiente a la responsabilidad del importador de datos por los daños.

e. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a emprender acciones judiciales contra cualquiera de ellas. Fiestas.

F. Las Partes acuerdan que si una de las Partes es responsable de conformidad con el párrafo (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la compensación correspondiente a su responsabilidad por el daño.

gramo. El importador de datos no puede invocar la conducta de un subprocesador para evitar su propia responsabilidad.

Cláusula 13

Supervisión

MÓDULO UNO: Transferencia de controlador a controlador

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

a. Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero se encuentre dentro del ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado un representante de conformidad con el artículo 27, apartado 1 del Reglamento (UE) 2016/679:] La autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad supervisora ​​competente.

b. El importador de datos se compromete a someterse a la jurisdicción y cooperar con la autoridad de control competente en cualquier procedimiento encaminado a asegurar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos se compromete a responder consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

tomado.

SECCIÓN III - LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas

MÓDULO UNO: Transferencia de controlador a controlador

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

MÓDULO CUATRO: Transferencia del procesador al controlador

(donde el procesador de la UE combina los datos personales recibidos del controlador del tercer país con los datos personales recopilados por el procesador en la UE)

a. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas en el tercer país de destino aplicables al procesamiento de datos personales por parte del importador de datos, incluidos los requisitos para divulgar datos personales o las medidas que autorizan el acceso por parte de las autoridades públicas, impiden el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respeten la esencia de los derechos y libertades fundamentales y no excedan de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE ) 2016/679, no están en contradicción con estas Cláusulas.

b. Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

i. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizados; transferencias ulteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

ii. las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardas aplicables12;

iii. cualquier contrato, técnico u organizativo relevante

salvaguardas implementadas para complementar las salvaguardas bajo estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y el procesamiento de los datos personales en el país de destino.

C. El importador de datos garantiza que, al realizar la evaluación en virtud del párrafo (b), ha hecho todo lo posible para proporcionar al exportador de datos la información pertinente y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas. Las Partes acuerdan documentar la evaluación en virtud del párrafo (b) y ponerla a disposición de la autoridad de control competente cuando así lo solicite.

d. El importador de datos acuerda notificar al exportador de datos de inmediato si, después de haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas que no se ajustan a los requisitos del párrafo (a), incluso después de un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indica una aplicación de dichas leyes en la práctica que no está en línea con los requisitos del párrafo (a).

mi. Después de una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará de inmediato las medidas apropiadas (p. ej., medidas técnicas u organizativas para garantizar seguridad y confidencialidad) que debe adoptar el exportador de datos y/o el importador de datos para abordar la situación

· . El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar las garantías adecuadas para dicha transferencia, o si así lo instruye la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en lo que se refiere al tratamiento de datos personales en virtud de las presentes Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos puede ejercer este derecho de rescisión solo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicará la Cláusula 16 (d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

MÓDULO UNO: Transferencia de controlador a controlador

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

MÓDULO CUATRO: Transferencia del procesador al controlador

(donde el procesador de la UE combina los datos personales recibidos del controlador del tercer país con los datos personales recopilados por el procesador en

Los Estados unidos)

15.1 Notificación

a. El importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al interesado de inmediato (si es necesario con la ayuda del exportador de datos) si:

i. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, según las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, el fundamento jurídico de la solicitud y la respuesta brindada; o

ii. toma conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de conformidad con las leyes de

el país de destino; dicha notificación deberá incluir toda la información disponible para el importador.

b. Si el importador de datos tiene prohibido notificar al exportador de datos y/o al sujeto de los datos bajo las leyes del país de destino, el importador de datos acepta hacer sus mejores esfuerzos para obtener una exención de la prohibición, con miras a comunicar tanto información como sea posible, tan pronto como sea posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a solicitud del exportador de datos.

C. Cuando lo permitan las leyes del país de destino, el importador de datos acepta proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, tanta información relevante como sea posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad o autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).

d. El importador de datos se compromete a conservar la información de conformidad con los párrafos (a) a (c) durante la duración del contrato y ponerla a disposición de la autoridad de control competente cuando se le solicite.

mi. Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos de inmediato cuando no pueda cumplir con estas Cláusulas.

15.2 Revisión de la legalidad y minimización de datos

a. El importador de datos acepta revisar la legalidad de la solicitud de

divulgación, en particular si permanece dentro de los poderes otorgados a la autoridad pública requirente, y para impugnar la solicitud si, después de una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino , obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, ejercer las posibilidades de apelación. Al impugnar una solicitud, el importador de datos deberá solicitar medidas cautelares con miras a suspender los efectos de la solicitud hasta que la autoridad judicial competente se pronuncie sobre sus méritos. No divulgará los datos personales solicitados hasta que así lo requieran las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).

b. El importador de datos acepta documentar su evaluación legal y cualquier objeción a la solicitud de divulgación y, en la medida permitida por las leyes del país de destino, poner la documentación a disposición del exportador de datos. También lo pondrá a disposición de la autoridad de control competente que lo solicite.

C. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, con base en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las Cláusulas y resolución

a. El importador de datos informará de inmediato al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.

b. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice nuevamente el cumplimiento o se rescinda el contrato. Esto es sin perjuicio de la Cláusula 14(f).

C. El exportador de datos tendrá derecho a rescindir el contrato, en lo que se refiere al tratamiento de datos personales en virtud de las presentes Cláusulas, cuando:

i. el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se restablece dentro de un tiempo razonable y, en cualquier caso, dentro de un mes de suspensión;

ii. el importador de datos está en incumplimiento sustancial o persistente de estas Cláusulas; o

· el importador de datos no cumple con a b

tribunal competente o autoridad de control con respecto a sus obligaciones en virtud de estas Cláusulas. En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos puede ejercer este derecho de rescisión solo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario.

d. [Para los módulos uno, dos y tres: los datos personales que hayan sido transferidos antes de la terminación del contrato de conformidad con el párrafo (c) serán devueltos inmediatamente al exportador de datos o eliminados en su totalidad, a elección del exportador de datos. Lo mismo se aplicará a cualquier copia de los datos.] El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que sea necesario. requerido bajo esa ley local.

e. Cualquiera de las Partes podrá revocar su acuerdo de obligarse por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pasa a formar parte del marco legal del país al que se transfieren los datos personales. Todo ello sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Ley que rige

MÓDULO UNO: Transferencia de controlador a controlador

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

[OPCIÓN 1: Estas Cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de México.]
Cláusula 18

Elección de foro y jurisdicción

MÓDULO UNO: Transferencia de controlador a controlador

MÓDULO DOS: Transferencia del controlador al procesador

MÓDULO TRES: Transferir procesador a procesador

a. Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de México.

b. Las Partes acuerdan que serán los tribunales de México.

C. Un interesado también puede emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

d. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

1 Cuando el exportador de datos sea un procesador sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como controlador, confiar en estas Cláusulas cuando contrate a otro procesador (subprocesamiento) no sujeto al Reglamento (UE) 2016 /679 también garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las instituciones de la Unión, organismos y agencias y sobre la libre circulación de dichos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estos Se armonizan las cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado del tratamiento de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el controlador y el procesador se basen en las cláusulas contractuales estándar incluidas en la Decisión […].

2 Esto requiere convertir los datos en anónimos de tal manera que el individuo ya no sea identificable por nadie, en línea con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.

3 El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado al Anexo XI del mismo. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no califica como una transferencia posterior a los efectos de estas Cláusulas.

4 El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE, Islandia, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado al Anexo XI del mismo. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no califica como una transferencia posterior a los efectos de estas Cláusulas.

5 Véase el artículo 28, apartado 4, del Reglamento (UE) 2016/679 y, cuando el responsable del tratamiento sea una institución u organismo de la UE, el artículo 29, apartado 4, del Reglamento (UE) 2018/1725.

6 El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado al Anexo XI del mismo.

Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no califica como una transferencia posterior a los efectos de estas Cláusulas.

7 Esto incluye si la transferencia y el procesamiento posterior involucran datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera única a una persona física, datos relacionados con la salud o la vida sexual o la orientación sexual de una persona, o datos relativos a condenas o delitos penales.

8 Este requisito puede ser satisfecho por el subprocesador adhiriéndose a estas Cláusulas bajo el Módulo apropiado, de conformidad con la Cláusula 7.

9 Este requisito puede ser satisfecho por el subprocesador que se adhiere a estas Cláusulas bajo el Módulo apropiado, de conformidad con la Cláusula 7.

10 Dicho plazo podrá prorrogarse por un máximo de dos meses más, en la medida necesaria teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debida y sin demora al interesado de dicha extensión.

11 El importador de datos puede ofrecer resolución de disputas independiente a través de un organismo de arbitraje solo si está establecido en un país que ha ratificado la Convención de Nueva York sobre la Aplicación del Arbitraje.

12 Con respecto al impacto de tales leyes y prácticas en el cumplimiento de estas Cláusulas, se pueden considerar diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir experiencia práctica relevante y documentada con casos anteriores de solicitudes de divulgación de las autoridades públicas, o la ausencia de tales solicitudes, que cubran un marco de tiempo suficientemente representativo. Esto se refiere en particular a los registros internos u otra documentación, elaborados de forma continua de acuerdo con la debida diligencia y certificados a nivel de alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para concluir que no se impedirá que el importador de datos cumpla con estas Cláusulas, debe estar respaldada por otros elementos objetivos relevantes, y corresponde a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su confiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica está corroborada y no contradicha por información confiable disponible públicamente o accesible de otro modo sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica. como la jurisprudencia y los informes de los órganos de control independientes.

APÉNDICE

ANEXO I

A. LISTA DE PARTES

MÓDULO UNO: Transferencia de controlador a controlador MÓDULO DOS: Transferencia de controlador a procesador MÓDULO TRES: Transferencia de procesador a procesador MÓDULO CUATRO: Transferencia de procesador a controlador Exportador(es) de datos:

Nombre dirección: …

Nombre, cargo y datos de contacto de la persona de contacto: …

Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: … Firma y fecha: …

Rol (controlador/procesador): Controlador

Importador(es) de datos:

1. Nombre: T-LINE MÉXICO, S.A. DE C.V.

Dirección: Ave. Paseo de la Reforma 404-1102, Col. Juárez, Cuauhtémoc, CDMX, México.

Nombre de la persona de contacto, cargo y datos de contacto: privacy@tline.com

Actividades relevantes a los datos transferidos bajo estas Cláusulas: Procesamiento de Datos Personales según las instrucciones del exportador de datos de acuerdo con los términos del Acuerdo

Firma y fecha: …

2. Los otros miembros de TLINE Group subprocesadores enumerados en TÉRMINOS DE USO - Tecnología TLine

3. Rol (controlador/procesador): Procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

MÓDULO UNO: Transferencia de controlador a controlador MÓDULO DOS: Transferencia de controlador a procesador MÓDULO TRES: Transferencia de procesador a procesador MÓDULO CUATRO: Transferencia de procesador a controlador

Categorías de interesados ​​cuyos datos personales se transfieren

El exportador de datos puede enviar Datos personales de los interesados ​​de conformidad con el Acuerdo, cuyo alcance es determinado y controlado por el exportador de datos a su exclusivo criterio.

Categorías de datos personales transferidos

Las categorías de Datos personales transferidos se determinan y controlan a discreción exclusiva del exportador de datos de conformidad con el Acuerdo.

Datos confidenciales transferidos (si corresponde) y restricciones o salvaguardas aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta del propósito, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Las categorías especiales de Datos personales (si los hubiere) transferidos se determinan y controlan a discreción exclusiva del exportador de datos de conformidad con el Acuerdo.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

Base continua para productos y servicios, base única para solicitudes de soporte y otras presentaciones de clientes ad hoc

Naturaleza del procesamiento

Recopilación, análisis, informe y/o almacenamiento, de acuerdo con las instrucciones documentadas por el Exportador de datos a su exclusivo criterio

Propósito(s) de la transferencia de datos y procesamiento posterior

Cumplimiento de las obligaciones derivadas del contrato entre el Exportador de Datos y el Importador de Datos

El plazo durante el cual se conservarán los datos personales o, en su defecto, los criterios utilizados para determinar dicho plazo

Durante la vigencia del contrato entre el Exportador de Datos y el Importador de Datos y de conformidad con las leyes aplicables

Para transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento

A los efectos del cumplimiento de las obligaciones derivadas del acuerdo entre el Exportador de datos y el Importador de datos; recopilación, análisis, informe y/o almacenamiento, de acuerdo con las instrucciones documentadas del Exportador de datos a su exclusivo criterio; durante la vigencia del acuerdo entre el Exportador de Datos y el Importador de Datos y de conformidad con las leyes aplicables.

C. AUTORIDAD SUPERVISORA COMPETENTE MÓDULO UNO: Transferencia de controlador a controlador MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferir procesador a procesador

Identificar la(s) autoridad(es) de control competente(s) de conformidad con la Cláusula 13

La autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de control competente.

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

MÓDULO UNO: Transferencia de controlador a controlador MÓDULO DOS: Transferencia de controlador a procesador

MÓDULO TRES: Transferir procesador a procesador

Descripción de las medidas técnicas y organizativas implementadas por los importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y el propósito del procesamiento, y los riesgos para los derechos. y libertades de las personas físicas.

El Importador de datos mantendrá medidas de seguridad administrativas, físicas y técnicas para proteger la seguridad, la confidencialidad y la integridad de los Datos personales procesados ​​de conformidad con el Acuerdo, tal como se describe en: https://tline.com/terms-of-use/

En el caso de las transferencias a (sub)encargados, descríbanse también las medidas técnicas y organizativas específicas que debe tomar el (sub)encargado para poder prestar asistencia al responsable del tratamiento y, en el caso de las transferencias de un encargado a un subencargado, para el exportador de datos

El importador de datos requiere contractualmente que todos los subprocesadores tomen medidas técnicas y organizativas al menos equivalentes y, en cualquier caso, no menos protectoras que las mencionadas anteriormente.