Anexo de Procesamiento de Datos

Este Anexo de procesamiento de datos ("DPA") forma parte del Acuerdo entre JYV STREAM LLC ("Procesador") y el Cliente ("Responsable") de JyvGaming. Regula el procesamiento de datos personales en nombre del Controlador y se aplica solo cuando el Controlador está sujeto al RGPD, al RGPD del Reino Unido o leyes de protección de datos comparables.

Representantes del artículo 27: JYV STREAM LLC ha designado a Prighter Group GmbH (Schellinggasse 3/10, 1010 Viena, Austria) como su representante del RGPD de la UE y a Prighter Ltd (20 Mortlake High Street, Londres, SW14 8JN, Reino Unido) como su representante del RGPD del Reino Unido de conformidad con el artículo 27 del RGPD y el artículo 27 del RGPD del Reino Unido, respectivamente. Los interesados ​​y las autoridades de control pueden ponerse en contacto con estos representantes en https://app.prighter.com/portal/11199242890.

1. Definiciones

Los términos en mayúscula utilizados pero no definidos aquí tienen el significado que se les da en el RGPD. "Procesamiento", "Responsable del tratamiento", "Procesador", "Subprocesador" y "Datos personales" tienen sus significados conforme al RGPD. "Acuerdo" significa los Términos de Servicio u otro acuerdo comercial entre las partes.

2. Funciones y alcance

El Controlador es el controlador y el Procesador es el procesador de los Datos personales procesados ​​en virtud del Acuerdo. Cada parte deberá cumplir con sus obligaciones según las leyes de protección de datos aplicables. El Anexo 1 establece el tema, la naturaleza, el propósito, la duración, las categorías de interesados ​​y los tipos de Datos Personales.

3. Instrucciones de procesamiento

El Procesador procesará Datos personales solo siguiendo instrucciones documentadas del Controlador (incluidas las del Acuerdo y este DPA), a menos que la ley exija lo contrario, en cuyo caso el Procesador deberá (cuando esté legalmente permitido) informar al Controlador antes de dicho Procesamiento.

4. Confidencialidad

El Procesador deberá garantizar que el personal autorizado para procesar Datos personales esté sujeto a obligaciones de confidencialidad adecuadas.

5. Medidas de seguridad

El Procesador deberá implementar y mantener las medidas técnicas y organizativas descritas en el Anexo 2 para garantizar un nivel de seguridad apropiado al riesgo, incluido el cifrado en tránsito y en reposo, controles de acceso, SDLC seguro, gestión de vulnerabilidades, registro y respuesta a incidentes.

6. Subprocesadores

El Controlador autoriza el uso por parte del Procesador de los Subprocesadores enumerados en la Lista de Subprocesadores (incorporada por referencia y publicada en https://jyvgaming.gg/legal/subprocessors). El Procesador deberá: (a) imponer obligaciones de protección de datos a cada Subprocesador que no sean menos protectoras que las de este DPA; y (b) notificar a los nuevos Subprocesadores con al menos 30 días de anticipación, lo que permitirá al Controlador objetar por motivos razonables de protección de datos.

7. Detalles específicos del procesamiento de IA/GPU

Para la inferencia de audio realizada por Modal Labs, Inc.: (a) Los datos personales se anonimizan antes de la transmisión; (b) la inferencia se produce en la memoria volátil y las entradas sin procesar se eliminan dentro de los diez (10) minutos posteriores a su finalización; (c) Los datos personales de la UE y el Reino Unido se envían a una infraestructura con sede en la UE, incluido el procesamiento de GPU y los servicios de soporte; (d) Modal no utiliza Datos personales para entrenar sus propios modelos; y (e) solo se conservan los metadatos operativos (marcas de tiempo, ID de solicitud, registros de errores), durante un máximo de 30 días.

8. Derechos del interesado

Teniendo en cuenta la naturaleza del procesamiento, el Procesador ayudará razonablemente al Controlador, mediante medidas técnicas y organizativas apropiadas, a cumplir con la obligación del Controlador de responder a las solicitudes de los interesados ​​en virtud de los artículos 15 a 22 del RGPD.

9. Violación de datos personales

El Procesador notificará al Controlador sin demora indebida (y dentro de las 72 horas cuando sea posible) después de tener conocimiento de una Violación de datos personales, incluida la información razonablemente disponible necesaria para cumplir con las obligaciones de presentación de informes del Controlador en virtud de los Artículos 33 y 34 del RGPD.

10. Auditorías e inspecciones

El Procesador deberá poner a disposición toda la información necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Contralor o un auditor independiente. Las auditorías se llevarán a cabo no más de una vez al año (excepto después de una Incumplimiento), con al menos 30 días de aviso, durante el horario comercial, sujetas a confidencialidad y por cuenta del Contralor, a menos que se identifique un incumplimiento material.

11. Evaluaciones de impacto de la protección de datos

El Procesador deberá brindar asistencia razonable al Responsable para las EIPD y consultas previas con las autoridades supervisoras conforme a los artículos 35 y 36 del RGPD.

12. Devolución o eliminación

Tras la rescisión del Acuerdo, el Procesador, a elección del Controlador, eliminará o devolverá todos los Datos personales y eliminará las copias existentes, a menos que la ley exija la retención.

13. Transferencias internacionales

Los datos personales de UE/Reino Unido se procesan en regiones de la UE con el fin de proporcionar el Servicio. Si se requiere una transferencia fuera del EEE/Reino Unido, las partes deberán confiar en las salvaguardias adecuadas: las Cláusulas Contractuales Estándar de la Comisión Europea (Módulo Dos: Controlador a Procesador), complementadas por el Anexo del Reino Unido, cuyos términos se incorporan como referencia. El Anexo 3 contiene los detalles del SCC en caso de que apliquen.

14. Responsabilidad y orden de precedencia

En caso de conflicto entre el Acuerdo y este DPA, este DPA prevalece en materia de protección de datos. La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones de responsabilidad del Acuerdo.

15. Plazo

Este DPA entra en vigor en la Fecha de entrada en vigor y continúa hasta el final del Acuerdo y cualquier retención aplicable.

Anexo 1 — Materia y detalles

Anexo 2 — Medidas de seguridad

• TLS 1.2+ en tránsito; AES-256 en reposo cuando corresponda.
• Control de acceso basado en roles con privilegios mínimos; AMF obligatoria para el acceso a la producción.
• Binarios firmados; construcciones reproducibles; controles de la cadena de suministro (Dependabot/equivalente a Snyk).
• Escaneo continuo de vulnerabilidades; SLA de parcheo documentado.
• Registro de auditoría; retención de registros operativos durante 30 días; Monitoreo equivalente a SIEM.
• Verificación de antecedentes del personal de acceso a producción; Capacitación anual en seguridad.
• Planes documentados de respuesta a incidentes y continuidad del negocio.
• Cifrado en reposo para copias de seguridad; Gestión de claves con rotación.

Anexo 3 — SCC (si corresponde) Módulo

Anexo del Reino Unido: Las Tablas 1 a 3 se completan utilizando los detalles del Módulo Dos anteriores; Tabla 4: el Importador puede finalizar el Anexo si la ICO emite un Anexo Aprobado revisado.

Contacto

JYV STREAM LLC

7901 4th St N, Suite 33883, St. Petersburg, FL 33702, EE. UU.

General: support@jyvstream.com

Legal: legal@jyvstream.com

Privacidad / DPO: privacidad@jyvstream.com / dpo@jyvstream.com

Abuso: abuse@jyvstream.com

Sitio web: https://jyvgaming.gg