top of page

POLÍTICA DE PRIVACIDAD

CATALÀ

 

Aquest acord de processament de dades forma part integrant dels Termes i Condicions Generals (“Termes”) que regeixen la prestació de la Plataforma MeCareer i els serveis relacionats (“Serveis”) per part de ZENO QUANTUM, SL (“Encarregat del tractament”) a l'entitat client contractant (“Client” o “Responsable del tractament”).

1. DEFINICIONS

1.1. «Llei de protecció de dades aplicable» significa la LQPD andorrana ( Llei 29/2021 ) i els seus reglaments d'aplicació, i, si escau, el RGPD de la UE (Reglament (UE) 2016/679), i les seves modificacions.

1.2. «Dades personals del client» vol dir qualsevol dada personal processada pel processador en nom del client en virtut d'aquest DPA en relació amb els serveis.

1.3. «Responsable», «Encarregat del tractament», «Dades personals», «Tractament», «Interessat de les dades» i «Violació de les dades personals» tindran els significats que s'indica a la legislació de protecció de dades aplicable.

2. ROLS I ABAST

2.1. Les parts reconeixen que, als efectes d'aquest DPA, el Client actua com a Responsable i ZENO QUANTUM actua com a Encarregat del Tractament respecte a les Dades Personals del Client.

2.2. Aquest DPA només s'aplica a les Dades Personals del Client processades pel Processador en nom del Client. Qualsevol processament en què el Processador actuï com a Controlador independent (per exemple, facturació, administració de comptes, prevenció de frau, compliment legal, registres de seguretat relacionats amb les pròpies operacions del Processador) es regeix per la Política de Privacitat del Processador i els Termes, no per aquest DPA.

3. DETALLS DEL TRACTAMENT

L'objecte, la durada, la naturalesa i la finalitat del tractament, els tipus de dades personals i les categories d'interessats es descriuen a l'Annex 1 (Detalls del tractament).

4. OBLIGACIONS DE L'ENCARREGAT DEL PROCESSOR

4.1. Instruccions: L'encarregat del tractament processarà les dades personals del client només seguint les instruccions documentades del client, incloses les relatives a les transferències de dades personals del client a un tercer país o a una organització internacional, llevat que ho exigeixi la legislació aplicable. Quan l'encarregat del tractament estigui obligat per llei a processar les dades d'una manera diferent de les instruccions del client, l'encarregat del tractament informarà el client d'aquest requisit legal (en la mesura que ho permeti la llei).

4.2. Confidencialitat: L'encarregat del tractament s'ha de garantir que les persones autoritzades a processar les dades personals del client s'hagin compromès a mantenir la confidencialitat o estiguin subjectes a una obligació legal de confidencialitat adequada.

4.3. Seguretat: L'encarregat del tractament implementarà i mantindrà les mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, tal com es descriu a l'Annex 2 (Mesures de seguretat). L'encarregat del tractament pot actualitzar l'Annex 2 periòdicament, sempre que aquestes actualitzacions no disminueixin substancialment la seguretat general dels Serveis.

4.4. Assistència DSR: Tenint en compte la naturalesa del tractament, l'encarregat del tractament assistirà raonablement el client mitjançant mesures tècniques i organitzatives adequades, en la mesura que sigui possible, per al compliment de l'obligació del client de respondre a les sol·licituds d'exercici dels drets dels interessats.

4.5. Assistència en matèria de compliment: L'encarregat del tractament haurà d'ajudar raonablement el client a garantir el compliment de les seves obligacions relatives a la seguretat, les violacions de dades personals, les avaluacions d'impacte i la consulta prèvia amb les autoritats, tenint en compte la naturalesa del tractament i la informació de què disposa l'encarregat del tractament.

4.6. Minimització i segregació de dades: l'encarregat del tractament processarà les dades personals del client només en la mesura necessària per proporcionar els serveis i segregarà lògicament les dades personals del client de les dades d'altres clients dins dels serveis. 

5. SUBPROCESSADORS

5.1. Autorització general: El Client atorga a l'Encarregat del Tractament una autorització general per contractar Subencarregats del Tractament per processar les Dades Personals del Client amb la finalitat de proporcionar els Serveis.

5.2. Llista i actualitzacions: L'encarregat del tractament mantindrà una llista actualitzada dels subencarregats del tractament a l'Annex 3. L'encarregat del tractament notificarà al client qualsevol canvi previst relatiu a l'addició o substitució de subencarregats del tractament amb antelació (per exemple, a través de la Plataforma, avís per correu electrònic o una actualització de la llista disponible públicament). El client podrà objectar per motius raonables relacionats amb la protecció de dades en un termini de [15] dies a partir de la notificació. Si les parts no poden resoldre l'objecció, el client podrà rescindir els serveis afectats d'acord amb les Condicions.

5.3. Transició: Quan l'encarregat del tractament contracti un subencarregat del tractament, l'encarregat del tractament imposarà a aquest subencarregat, mitjançant un acord escrit, obligacions de protecció de dades no menys protectores que les establertes en aquest DPA, incloses les mesures de seguretat adequades.

6. TRANSFERÈNCIES INTERNACIONALS

6.1. L'encarregat del tractament no transferirà les dades personals del client fora d'Andorra i/o de l'Espai Econòmic Europeu, tret que disposi d'un mecanisme de transferència vàlid en virtut de la legislació de protecció de dades aplicable (per exemple, una decisió d'adequació, clàusules contractuals estàndard o altres garanties adequades) i només d'acord amb les instruccions documentades del client.

6.2. Quan calgui, l'encarregat del tractament proporcionarà al client informació raonable sobre les garanties de transferència.

7. VIOLACIONS DE DADES PERSONALS

7.1. L'encarregat del tractament notificarà al client sense demora indeguda després de tenir coneixement d'una violació de dades personals que afecti les dades personals del client i proporcionarà la informació raonablement requerida pel client per complir amb les seves obligacions de notificació de violació.

7.2. L'encarregat del tractament prendrà mesures raonables per mitigar els efectes de la violació de dades personals i evitar que es repeteixi.

8. DEVOLUCIÓ I ELIMINACIÓ

8.1. En cas de finalització o expiració dels Serveis, l'Encarregat del Tractament, a elecció del Client, retornarà les Dades Personals del Client i/o suprimirà les Dades Personals del Client, tret que la Llei de Protecció de Dades aplicable exigeixi l'emmagatzematge.

8.2. L'encarregat del tractament pot conservar les dades personals del client en còpies de seguretat durant un període limitat d'acord amb les seves polítiques de còpia de seguretat, sempre que

  1. aquestes dades romanen protegides,

  2. no es processa activament excepte per a l'emmagatzematge, i

  3. s'elimina al seu moment.

9. AUDITORIA I INFORMACIÓ

9.1. L'encarregat del tractament posarà a disposició del Client la informació raonablement necessària per demostrar el compliment d'aquest DPA.

9.2. El Client (o un auditor independent contractat pel Client) pot dur a terme una auditoria del compliment del Processador amb aquest DPA no més d'una vegada a l'any (tret que sigui necessari a causa d'una Violació de Dades Personals o per instruccions d'una autoritat competent), amb un preavís raonable, compromisos de confidencialitat i minimització de la interrupció de l'activitat del Processador. El Processador pot satisfer les sol·licituds d'auditoria proporcionant informes o certificacions d'assegurament de tercers pertinents, quan sigui necessari.

10. DADES AGREGADES/ANONIMITZADES

Res en aquest DPA restringeix l'ús per part del Processador de dades agregades i/o anonimitzades que no identifiquen ni fan identificable cap individu, tal com es descriu als Termes i Condicions.

11. ORDRE DE PRECEDÈNCIA

En cas de conflicte entre aquest DPA i les Condicions relatives al processament de dades personals del client, prevaldrà aquest DPA.

12. HORARIS

12.1ANNEX 1 – DETALLS DEL TRACTAMENT

A. Objecte: Prestació de la Plataforma i els Serveis (allotjament, emmagatzematge, habilitació de comptes d'usuari, configuració del client, assistència i processament relacionat).

B. Durada: Durant la vigència dels Serveis en virtut dels Termes, més qualsevol període de retenció requerit per la Llei Aplicable.

C. Naturalesa i finalitat: Processament necessari per proporcionar, assegurar, mantenir i donar suport als Serveis d'acord amb les Condicions i les instruccions documentades del Client.

D. Categories d'interessats: usuaris finals les dades dels quals el Client penja o posa a disposició a la Plataforma (per exemple, estudiants/professionals), empleats/representants del Client que utilitzen la Plataforma i qualsevol altra persona les dades de la qual el Client envia als Serveis.

E. Tipus de dades personals: dades d'identificació i contacte; dades de compte i autenticació; dades de perfil educatiu/professional (CV, experiència, habilitats); comunicacions i contingut enviat a través de la Plataforma; dades d'ús tècnic necessàries per proporcionar els Serveis; qualsevol altra dada enviada pel Client.

F. Categories especials: No estan destinades a ser processades. En la mesura que el Client enviï dades de categoria especial, el Client continua sent responsable de garantir una base jurídica vàlida i unes garanties adequades, i l'Encarregat del tractament processarà aquestes dades només segons les instruccions documentades del Client.

12.2. ANNEX 2 – MESURES DE SEGURETAT (ALT NIVELL)

- Control d'accés (privilegi mínim, MFA per a comptes d'administrador si està disponible)

- Segregació lògica dels entorns dels clients

- Xifratge en trànsit i en repòs quan sigui necessari

- Registre i monitorització de seguretat

- Gestió de vulnerabilitats i aplicació de pegats

- Còpies de seguretat i recuperació de desastres

- Procediments de resposta a incidents

- Formació en confidencialitat i seguretat del personal

(El processador pot proporcionar mesures més detallades si es sol·licita en virtut d'un acord de confidencialitat.)

12.3. ANNEX 3 – SUBPROCESSORS

El Proveïdor contracta el següent Subencarregat del Tractament per a la provisió d'infraestructura al núvol, processament de dades i serveis d'intel·ligència artificial:

Subencarregat del tractament: Google Cloud EMEA Limited

Adreça registrada: Velasco, Clanwilliam Place, Dublín 2, Irlanda

Número de NIF: IE3668997OH

Serveis prestats:

  • Infraestructura d'allotjament al núvol

  • Emmagatzematge de dades (inclòs l'emmagatzematge de documents)

  • Serveis de bases de dades (Firestore)

  • Serveis i processament de backend

  • Serveis d'autenticació

  • Serveis de lliurament de correu electrònic

  • Serveis de processament d'intel·ligència artificial proporcionats a través de Vertex AI (Google Cloud), inclòs l'ús de grans models de llenguatge (per exemple, Gemini) per a la generació i anàlisi de contingut

Ubicació de les dades :

Totes les dades personals s'emmagatzemen i es processen exclusivament dins de l' àmbit europeu Econòmic Àrea (EEE).

 

Condicions de processament de dades:

Google Cloud processa les dades dels clients d'acord amb el seu Addenda de processament de dades, segons la qual les dades dels clients no s'utilitzen per entrenar o millorar els models subjacents d'aprenentatge automàtic.

ESPAÑOL

Este acuerdo de procesamiento de datos es parte integrante de los Términos y Condiciones Generales (“Términos”) que rigen la prestación de la Plataforma MeCareer y los servicios relacionados (“Servicios”) por parte de ZENO QUANTUM, SL (“Encargado del tratamiento”) a la entidad cliente contratante (“Cliente” o “Responsable del tratamiento”).

1. DEFINICIONES

1.1. «Ley de Protección de Datos Aplicable» significa la LQPD andorrana ( Llei 29/2021 ) y su reglamento de transposición y, cuando proceda, el RGPD de la UE (Reglamento (UE) 2016/679), en su versión modificada periódicamente.

1.2. “Datos Personales del Cliente” significa cualquier Dato Personal procesado por el Procesador en nombre del Cliente en virtud del presente DPA en relación con los Servicios.

1.3. Los términos “Responsable del tratamiento”, “Encargado del tratamiento”, “Datos personales”, “Tratamiento”, “Interesado” y “Violación de datos personales” tendrán los significados que se les atribuyen en la Ley de protección de datos aplicable.

2. FUNCIONES Y ALCANCE

2.1. Las partes reconocen que, a los efectos del presente DPA, el Cliente actúa como Responsable del Tratamiento y ZENO QUANTUM actúa como Encargado del Tratamiento con respecto a los Datos Personales del Cliente.

2.2. Este Acuerdo de Protección de Datos (APD) se aplica únicamente a los Datos Personales del Cliente tratados por el Procesador en nombre del Cliente. Cualquier tratamiento en el que el Procesador actúe como Responsable del Tratamiento independiente (por ejemplo, facturación, administración de cuentas, prevención de fraude, cumplimiento legal, registros de seguridad relacionados con las operaciones del propio Procesador) se rige por la Política de Privacidad y los Términos del Procesador, y no por este APD.

3. DETALLES DEL PROCESAMIENTO

El objeto, la duración, la naturaleza y la finalidad del Tratamiento, los tipos de Datos Personales y las categorías de Interesados se describen en el Anexo 1 (Detalles del Tratamiento).

4. OBLIGACIONES DEL PROCESADOR

4.1. Instrucciones: El Procesador tratará los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, incluso en lo que respecta a la transferencia de Datos Personales del Cliente a un tercer país o a una organización internacional, salvo que la ley aplicable lo exija. Cuando la ley exija al Procesador tratar los datos de forma distinta a la indicada por el Cliente, el Procesador informará al Cliente de dicho requisito legal (en la medida en que lo permita la ley).

4.2. Confidencialidad: El Procesador deberá garantizar que las personas autorizadas para procesar Datos Personales del Cliente se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad.

4.3. Seguridad: El Procesador deberá implementar y mantener medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, tal como se describe en el Anexo 2 (Medidas de Seguridad). El Procesador podrá actualizar el Anexo 2 periódicamente, siempre que dichas actualizaciones no reduzcan sustancialmente la seguridad general de los Servicios.

4.4. Asistencia DSR: Teniendo en cuenta la naturaleza del tratamiento, el Procesador prestará asistencia razonable al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos de los Interesados.

4.5. Asistencia en materia de cumplimiento: El Procesador prestará asistencia razonable al Cliente para garantizar el cumplimiento de las obligaciones del Cliente en materia de seguridad, violaciones de datos personales, evaluaciones de impacto y consulta previa con las autoridades, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador.

4.6. Minimización y segregación de datos: El Procesador procesará los Datos Personales del Cliente solo en la medida necesaria para prestar los Servicios y segregará lógicamente los Datos Personales del Cliente de los datos de otros clientes dentro de los Servicios.

5. SUBPROCESADORES

5.1. Autorización general: El Cliente otorga al Procesador una autorización general para contratar Subprocesadores para procesar Datos Personales del Cliente con el fin de prestar los Servicios.

5.2. Lista y actualizaciones: El Procesador deberá mantener una lista actualizada de Subprocesadores en el Anexo 3. El Procesador deberá notificar al Cliente con antelación cualquier cambio previsto relativo a la adición o sustitución de Subprocesadores (por ejemplo, a través de la Plataforma, notificación por correo electrónico o una actualización de la lista disponible públicamente). El Cliente podrá oponerse por motivos razonables relacionados con la protección de datos en un plazo de [15] días a partir de la notificación. Si las partes no pueden resolver la objeción, el Cliente podrá rescindir los Servicios afectados de conformidad con los Términos.

5.3. Flujo descendente: Cuando el Procesador contrate a un Subprocesador, el Procesador deberá imponer a ese Subprocesador, mediante un acuerdo escrito, obligaciones de protección de datos no menos protectoras que las establecidas en este DPA, incluidas medidas de seguridad apropiadas.

6. TRANSFERENCIAS INTERNACIONALES

6.1. El Procesador no transferirá Datos Personales del Cliente fuera de Andorra y/o del Espacio Económico Europeo a menos que tenga un mecanismo de transferencia válido según la Ley de Protección de Datos Aplicable (por ejemplo, decisión de adecuación, cláusulas contractuales estándar u otras salvaguardias apropiadas) y solo de acuerdo con las instrucciones documentadas del Cliente.

6.2. Cuando sea necesario, el Procesador proporcionará al Cliente información razonable sobre las garantías de transferencia.

7. VIOLACIONES DE DATOS PERSONALES

7.1. El Procesador deberá notificar al Cliente sin demora indebida después de tener conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Cliente y deberá proporcionar la información razonablemente requerida por el Cliente para cumplir con sus obligaciones de notificación de violación.

7.2. El Procesador deberá tomar medidas razonables para mitigar los efectos de la Violación de Datos Personales y evitar su recurrencia.

8. DEVOLUCIÓN Y ELIMINACIÓN

8.1. Al finalizar o expirar los Servicios, el Procesador deberá, a elección del Cliente, devolver los Datos Personales del Cliente y/o eliminar los Datos Personales del Cliente, a menos que la Ley de Protección de Datos Aplicable requiera su almacenamiento.

8.2. El Procesador podrá conservar los Datos Personales del Cliente en copias de seguridad durante un período limitado de conformidad con sus políticas de copias de seguridad, siempre que

  1. Estos datos permanecen protegidos,

  2. No se procesa activamente excepto para almacenamiento, y

  3. Se elimina a su debido tiempo.

9. AUDITORÍA E INFORMACIÓN

9.1. El Procesador pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA.

9.2. El Cliente (o un auditor independiente designado por el Cliente) podrá auditar el cumplimiento del presente Acuerdo de Protección de Datos por parte del Procesador una vez al año (salvo que sea necesario debido a una violación de datos personales o a instrucciones de una autoridad competente), con previo aviso razonable, compromisos de confidencialidad y minimizando las interrupciones en la actividad del Procesador. El Procesador podrá atender las solicitudes de auditoría proporcionando informes o certificaciones de terceros pertinentes, según corresponda.

10. DATOS AGREGADOS/ANONIMIZADOS

Nada de lo estipulado en este Acuerdo de Protección de Datos restringe el uso que haga el Procesador de datos agregados y/o anonimizados que no identifiquen ni permitan identificar a ninguna persona, tal como se describe en los Términos.

11. ORDEN DE PRECEDENCIA

En caso de conflicto entre este Acuerdo de Protección de Datos y las Condiciones relativas al tratamiento de los Datos Personales del Cliente, prevalecerá este Acuerdo de Protección de Datos.

12HORARIOS

12.1. ANEXO 1 – DETALLES DEL PROCESAMIENTO

A. Objeto: Prestación de la Plataforma y los Servicios (alojamiento, almacenamiento, habilitación de cuentas de usuario, configuración del cliente, soporte y procesamiento relacionado).

B. Duración: Durante el plazo de los Servicios según los Términos, más cualquier período de retención requerido por la Ley Aplicable.

C. Naturaleza y finalidad: Procesamiento necesario para proporcionar, proteger, mantener y respaldar los Servicios de conformidad con los Términos y las instrucciones documentadas del Cliente.

D. Categorías de interesados: Usuarios finales cuyos datos el Cliente carga o pone a disposición en la Plataforma (por ejemplo, estudiantes/profesionales), empleados/representantes del Cliente que utilizan la Plataforma y cualquier otra persona cuyos datos el Cliente envíe a los Servicios.

E. Tipos de datos personales: Datos de identificación y contacto; datos de cuenta y autenticación; datos de perfil educativo/profesional (CV, experiencia, habilidades); comunicaciones y contenido enviados a través de la Plataforma; datos de uso técnico necesarios para proporcionar los Servicios; cualquier otro dato enviado por el Cliente.

F. Categorías especiales: No se procesarán. En la medida en que el Cliente envíe datos de categorías especiales, el Cliente seguirá siendo responsable de garantizar una base legal válida y las salvaguardas adecuadas, y el Procesador procesará dichos datos únicamente siguiendo las instrucciones documentadas del Cliente.

12.2. ANEXO 2 – MEDIDAS DE SEGURIDAD (DE ALTO NIVEL)

- Control de acceso (privilegio mínimo, autenticación multifactor para cuentas de administrador cuando esté disponible)

- Segregación lógica de los entornos de clientes

- Cifrado en tránsito y en reposo cuando corresponda

- Registro y monitorización de seguridad

- Gestión de vulnerabilidades y aplicación de parches

- Copias de seguridad y recuperación ante desastres

- Procedimientos de respuesta ante incidentes

- Formación del personal en materia de confidencialidad y seguridad.

(El procesador podrá proporcionar medidas más detalladas si se solicitan bajo un acuerdo de confidencialidad).

12.3. ANEXO 3 – SUBPROCESADORES

El Proveedor contrata al siguiente Subprocesador para la prestación de servicios de infraestructura en la nube, procesamiento de datos e inteligencia artificial:

Subprocesador: Google Cloud EMEA Limited

Domicilio social: Velasco, Clanwilliam Place, Dublín 2, Irlanda

Número de IVA: IE3668997OH

Servicios prestados:

  • Infraestructura de alojamiento en la nube

  • Almacenamiento de datos (incluido el almacenamiento de documentos)

  • Servicios de base de datos (Firestore)

  • Servicios y procesamiento de backend

  • Servicios de autenticación

  • Servicios de entrega de correo electrónico

  • Servicios de procesamiento de inteligencia artificial proporcionados a través de Vertex AI (Google Cloud), incluido el uso de grandes modelos de lenguaje (por ejemplo, Gemini) para la generación y el análisis de contenido.

Ubicación de los datos :

Todos los datos personales se almacenan y procesan exclusivamente dentro de la Unión Europea. Económico Área (EEE).

 

Condiciones de procesamiento de datos:

Google Cloud procesa los datos de los clientes de acuerdo con su Anexo de Procesamiento de Datos, según el cual los datos de los clientes no se utilizan para entrenar o mejorar los modelos subyacentes de aprendizaje automático.

ENGLISH

This Data Processing agreement is an integral part of the General Terms and Conditions (“Terms”) governing the provision of the MeCareer Platform and related services (“Services”) by ZENO QUANTUM, S.L. (“Processor”) to the contracting client entity (“Customer” or “Controller”).

1. DEFINITIONS

1.1. “Applicable Data Protection Law” means the Andorran LQPD (Llei 29/2021) and its implementing regulations, and, where applicable, the EU GDPR (Regulation (EU) 2016/679), as amended from time to time.

1.2. “Customer Personal Data” means any Personal Data processed by Processor on behalf of Customer under this DPA in connection with the Services.

1.3. “Controller”, “Processor”, “Personal Data”, “Processing”, “Data Subject”, and “Personal Data Breach” shall have the meanings given under Applicable Data Protection Law.

2. ROLES AND SCOPE

2.1. The parties acknowledge that, for the purposes of this DPA, Customer acts as Controller and ZENO QUANTUM acts as Processor with respect to Customer Personal Data.

2.2. This DPA applies only to Customer Personal Data processed by Processor on behalf of Customer. Any processing where Processor acts as an independent Controller (e.g., billing, account administration, fraud prevention, legal compliance, security logs relating to Processor’s own operations) is governed by Processor’s Privacy Policy and the Terms, not by this DPA.

3.DETAILS OF PROCESSING

The subject matter, duration, nature and purpose of Processing, types of Personal Data and categories of Data Subjects are described in Schedule 1 (Details of Processing).

4.PROCESSOR OBLIGATIONS

4.1. Instructions: Processor shall process Customer Personal Data only on documented instructions from Customer, including with regard to transfers of Customer Personal Data to a third country or international organisation, unless required to do so by applicable law. Where Processor is required by law to process otherwise than on Customer’s instructions, Processor shall (to the extent permitted by law) inform Customer of that legal requirement.

4.2. Confidentiality: Processor shall ensure that persons authorised to process Customer Personal Data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

4.3. Security: Processor shall implement and maintain appropriate technical and organisational measures to ensure a level of security appropriate to the risk, as described in Schedule 2 (Security Measures). Processor may update Schedule 2 from time to time provided that such updates do not materially decrease the overall security of the Services.

4.4. DSR assistance: Taking into account the nature of the processing, Processor shall reasonably assist Customer by appropriate technical and organisational measures, insofar as possible, for the fulfilment of Customer’s obligation to respond to requests for exercising Data Subjects’ rights.

4.5. Compliance assistance: Processor shall reasonably assist Customer in ensuring compliance with Customer’s obligations relating to security, Personal Data Breaches, impact assessments and prior consultation with authorities, taking into account the nature of processing and the information available to Processor.

4.6. Data minimisation and segregation: Processor shall process Customer Personal Data only to the extent necessary to provide the Services and shall logically segregate Customer Personal Data from other customers’ data within the Services.

5.SUB-PROCESSORS

5.1. General authorisation: Customer grants Processor a general authorisation to engage Sub-processors to process Customer Personal Data for the purpose of providing the Services.

5.2. List and updates: Processor shall maintain an up-to-date list of Sub-processors in Schedule 3. Processor shall notify Customer of any intended changes concerning the addition or replacement of Sub-processors in advance (e.g., via the Platform, email notice, or a publicly available list update). Customer may object on reasonable grounds relating to data protection within [15] days of notice. If the parties cannot resolve the objection, Customer may terminate the affected Services in accordance with the Terms.

5.3. Flow-down: Where Processor engages a Sub-processor, Processor shall impose on that Sub-processor, by a written agreement, data protection obligations no less protective than those set out in this DPA, including appropriate security measures.

6. INTERNATIONAL TRANSFERS

6.1. Processor shall not transfer Customer Personal Data outside Andorra and/or the European Economic Area unless it has a valid transfer mechanism under Applicable Data Protection Law (e.g., adequacy decision, standard contractual clauses, or other appropriate safeguards) and only in accordance with Customer’s documented instructions.

6.2. Where required, Processor shall provide Customer with reasonable information about transfer safeguards.

7. PERSONAL DATA BREACHES

7.1. Processor shall notify Customer without undue delay after becoming aware of a Personal Data Breach affecting Customer Personal Data and shall provide information reasonably required by Customer to meet its breach notification obligations.

7.2. Processor shall take reasonable steps to mitigate the effects of the Personal Data Breach and prevent recurrence.

8. RETURN AND DELETION

8.1. Upon termination or expiry of the Services, Processor shall, at Customer’s choice, return Customer Personal Data and/or delete Customer Personal Data, unless Applicable Data Protection Law requires storage.

8.2. Processor may retain Customer Personal Data in backups for a limited period consistent with its backup policies, provided that

  1. such data remains protected,

  2. it is not actively processed except for storage, and

  3. it is deleted in due course.

9. AUDIT AND INFORMATION

9.1. Processor shall make available to Customer information reasonably necessary to demonstrate compliance with this DPA.

9.2. Customer (or an independent auditor mandated by Customer) may conduct an audit of Processor’s compliance with this DPA no more than once per year (unless required due to a Personal Data Breach or instructions from a competent authority), subject to reasonable notice, confidentiality undertakings, and minimising disruption to Processor’s business. Processor may satisfy audit requests by providing relevant third-party assurance reports or certifications where appropriate.

10. AGGREGATED/ANONYMIZED DATA

Nothing in this DPA restricts Processor’s use of aggregated and/or anonymized data that does not identify or make identifiable any individual, as described in the Terms.

11.ORDER OF PRECEDENCE

In the event of conflict between this DPA and the Terms regarding the processing of Customer Personal Data, this DPA shall prevail.

12.SCHEDULS

12.1. SCHEDULE 1 – DETAILS OF PROCESSING

A. Subject matter: Provision of the Platform and Services (hosting, storage, user account enablement, customer configuration, support, and related processing).

B. Duration: For the term of the Services under the Terms, plus any retention period required under Applicable Law.

C. Nature and purpose: Processing necessary to provide, secure, maintain and support the Services in accordance with the Terms and Customer’s documented instructions.

D. Categories of Data Subjects: End users whose data Customer uploads or makes available in the Platform (e.g., students/professionals), Customer’s employees/representatives using the Platform, and any other individuals whose data Customer submits to the Services.

E. Types of Personal Data: Identification and contact data; account and authentication data; educational/professional profile data (CV, experience, skills); communications and content submitted through the Platform; technical usage data required to provide the Services; any other data submitted by Customer.

F. Special categories: Not intended to be processed. To the extent Customer submits special category data, Customer remains responsible for ensuring a valid legal basis and appropriate safeguards, and Processor will process such data only on Customer’s documented instructions.

12.2 SCHEDULE 2 – SECURITY MEASURES (HIGH-LEVEL)

- Access control (least privilege, MFA for admin accounts where available)

- Logical segregation of customer environments

- Encryption in transit and at rest where appropriate

- Security logging and monitoring

- Vulnerability management and patching

- Backups and disaster recovery

- Incident response procedures

- Staff confidentiality and security training

(Processor may provide more detailed measures upon request under NDA.)

12.3. SCHEDULE 3 – SUB-PROCESSORS

The Provider engages the following Sub-Processor for the provision of cloud infrastructure, data processing, and artificial intelligence services:

Sub-Processor: Google Cloud EMEA Limited

Registered address: Velasco, Clanwilliam Place, Dublin 2, Ireland

VAT Number: IE3668997OH

Services provided:

  • Cloud hosting infrastructure

  • Data storage (including document storage)

  • Database services (Firestore)

  • Backend services and processing

  • Authentication services

  • Email delivery services

  • Artificial intelligence processing services provided through Vertex AI (Google Cloud), including the use of large language models (e.g., Gemini) for content generation and analysis

Data location:

All personal data is stored and processed exclusively within the European Economic Area (EEA).

 

Data processing conditions:

Google Cloud processes Customer Data in accordance with its Data Processing Addendum, under which Customer Data is not used to train or improve underlying machine learning models.

FRANÇAIS

 

Le présent accord de traitement des données fait partie intégrante des Conditions générales (« Conditions ») régissant la fourniture de la plateforme MeCareer et des services associés (« Services ») par ZENO QUANTUM, SL (« Sous-traitant ») à l’entité cliente contractante (« Client » ou « Responsable du traitement »).

1. DÉFINITIONS

1.1. « Loi applicable en matière de protection des données » désigne la LQPD andorrane ( Llei 29/2021 ) et ses règlements d’application, et, le cas échéant, le RGPD de l’UE (Règlement (UE) 2016/679 ), tel que modifié de temps à autre.

1.2. « Données personnelles du client » désigne toutes les données personnelles traitées par le sous-traitant pour le compte du client en vertu du présent accord de protection des données dans le cadre des services.

1.3. Les termes « Responsable du traitement », « Sous-traitant », « Données personnelles », « Traitement », « Personne concernée » et « Violation de données personnelles » ont la signification qui leur est donnée par la loi applicable en matière de protection des données.

2. RÔLES ET PORTÉE

2.1. Les parties reconnaissent que, aux fins du présent accord de protection des données, le Client agit en tant que responsable du traitement et ZENO QUANTUM en tant que sous-traitant en ce qui concerne les données personnelles du Client.

2.2. Le présent accord de protection des données (APD) s'applique uniquement aux données personnelles du Client traitées par le Sous-traitant pour le compte du Client. Tout traitement pour lequel le Sous-traitant agit en tant que responsable du traitement indépendant (par exemple, facturation, gestion de compte, prévention de la fraude, conformité légale, journaux de sécurité relatifs aux opérations du Sous-traitant) est régi par la politique de confidentialité du Sous-traitant et les conditions générales, et non par le présent APD.

3. DÉTAILS DU TRAITEMENT

L’objet, la durée, la nature et la finalité du Traitement, les types de Données Personnelles et les catégories de Personnes concernées sont décrits dans l’Annexe 1 (Détails du Traitement).

4. OBLIGATIONS DU SOUS-TRAITANT

4.1. Instructions : Le Sous-traitant ne traitera les Données Personnelles du Client que sur instructions écrites de ce dernier, y compris en ce qui concerne les transferts de Données Personnelles du Client vers un pays tiers ou une organisation internationale, sauf obligation légale contraire. Lorsque le Sous-traitant est tenu par la loi de traiter les données autrement que sur instructions du Client, il en informera ce dernier (dans la mesure permise par la loi).

4.2. Confidentialité : Le sous-traitant doit s'assurer que les personnes autorisées à traiter les données personnelles du client se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

4.3. Sécurité : Le Sous-traitant met en œuvre et maintient des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, tel que décrit à l’Annexe 2 (Mesures de sécurité). Le Sous-traitant peut mettre à jour l’Annexe 2 périodiquement, à condition que ces mises à jour ne diminuent pas sensiblement la sécurité globale des Services.

4.4. Assistance DSR : Compte tenu de la nature du traitement, le Sous-traitant assistera raisonnablement le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Client de répondre aux demandes d'exercice des droits des personnes concernées.

4.5. Assistance en matière de conformité : Le Sous-traitant doit raisonnablement aider le Client à garantir le respect des obligations du Client en matière de sécurité, de violations de données personnelles, d'évaluations d'impact et de consultation préalable des autorités, en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.

4.6. Minimisation et séparation des données : Le sous-traitant ne traitera les données personnelles du client que dans la mesure nécessaire à la fourniture des services et séparera logiquement les données personnelles du client des données des autres clients au sein des services.

5. SOUS-PROCESSEURS

5.1. Autorisation générale : Le Client accorde au Sous-traitant une autorisation générale pour engager des Sous-traitants afin de traiter les Données Personnelles du Client aux fins de la fourniture des Services.

5.2. Liste et mises à jour : Le Sous-traitant tient à jour la liste des Sous-traitants ultérieurs (Annexe 3). Il informe le Client de toute modification envisagée concernant l’ajout ou le remplacement de Sous-traitants ultérieurs (par exemple, via la Plateforme, par courriel ou par une mise à jour publique de la liste). Le Client peut s’y opposer pour des motifs légitimes liés à la protection des données dans un délai de [15] jours suivant la notification. Si les parties ne parviennent pas à résoudre l’opposition, le Client peut résilier les Services concernés conformément aux Conditions générales.

5.3. Répercussion : Lorsque le Sous-traitant fait appel à un Sous-traitant, le Sous-traitant doit imposer à ce Sous-traitant, par un accord écrit, des obligations de protection des données au moins aussi protectrices que celles énoncées dans le présent DPA, y compris des mesures de sécurité appropriées.

6. TRANSFERTS INTERNATIONAUX

6.1. Le sous-traitant ne transférera pas les données personnelles du client en dehors d'Andorre et/ou de l'Espace économique européen à moins qu'il ne dispose d'un mécanisme de transfert valide en vertu de la loi applicable en matière de protection des données (par exemple, une décision d'adéquation, des clauses contractuelles types ou d'autres garanties appropriées) et uniquement conformément aux instructions documentées du client.

6.2. Le cas échéant, le Sous-traitant fournira au Client des informations raisonnables sur les garanties de transfert.

7. VIOLATIONS DE DONNÉES PERSONNELLES

7.1. Le Sous-traitant doit informer le Client sans délai indu après avoir pris connaissance d'une violation de données personnelles affectant les données personnelles du Client et doit fournir les informations raisonnablement nécessaires au Client pour respecter ses obligations de notification de violation.

7.2. Le sous-traitant doit prendre des mesures raisonnables pour atténuer les effets de la violation de données personnelles et empêcher sa récurrence.

8. RETOUR ET SUPPRESSION

8.1. À la fin ou à l'expiration des Services, le Sous-traitant doit, au choix du Client, restituer les Données Personnelles du Client et/ou supprimer les Données Personnelles du Client, à moins que la loi applicable en matière de protection des données n'exige leur conservation.

8.2. Le Sous-traitant peut conserver les Données Personnelles du Client dans des sauvegardes pendant une période limitée, conformément à ses politiques de sauvegarde, à condition que

  1. Ces données restent protégées.

  2. Il ne fait l'objet d'aucun traitement actif, hormis le stockage, et

  3. Il sera supprimé en temps voulu.

9. AUDIT ET INFORMATION

9.1. Le sous-traitant doit mettre à la disposition du client les informations raisonnablement nécessaires pour démontrer la conformité au présent accord de protection des données.

9.2. Le Client (ou un auditeur indépendant mandaté par lui) peut procéder à un audit de la conformité du Sous-traitant au présent Accord de Protection des Données (APD) une fois par an au maximum (sauf en cas de violation de données personnelles ou sur instruction d'une autorité compétente), sous réserve d'un préavis raisonnable, d'engagements de confidentialité et d'une perturbation minimale de l'activité du Sous-traitant. Le Sous-traitant peut répondre aux demandes d'audit en fournissant, le cas échéant, des rapports d'assurance ou des certifications de tiers.

10. DONNÉES AGRÉGÉES/ANONYMISÉES

Rien dans le présent accord de protection des données ne restreint l'utilisation par le processeur de données agrégées et/ou anonymisées qui n'identifient ni ne rendent identifiable aucune personne, comme décrit dans les conditions générales.

11. ORDRE DE PRÉCÉDENCE

En cas de conflit entre le présent accord de protection des données et les conditions relatives au traitement des données personnelles du client, le présent accord prévaudra.

12. HORAIRES

12.1. ANNEXE 1 – DÉTAILS DU TRAITEMENT

A. Objet : Fourniture de la plateforme et des services (hébergement, stockage, activation des comptes utilisateurs, configuration client, assistance et traitements associés).

B. Durée : Pour la durée des Services conformément aux Conditions, plus toute période de conservation requise par la Loi Applicable.

C. Nature et finalité : Traitement nécessaire pour fournir, sécuriser, maintenir et prendre en charge les Services conformément aux Conditions et aux instructions documentées du Client.

D. Catégories de personnes concernées : Les utilisateurs finaux dont les données sont téléchargées ou mises à disposition par le Client sur la Plateforme (par exemple, les étudiants/professionnels), les employés/représentants du Client utilisant la Plateforme et toute autre personne dont les données sont soumises par le Client aux Services.

E. Types de données personnelles : données d’identification et de contact ; données de compte et d’authentification ; données de profil éducatif/professionnel (CV, expérience, compétences) ; communications et contenus soumis via la Plateforme ; données d’utilisation technique nécessaires à la fourniture des Services ; toutes autres données soumises par le Client.

F. Catégories particulières : Ces données ne sont pas destinées à être traitées. Si le Client soumet des données de catégories particulières, il lui incombe de s’assurer de l’existence d’une base juridique valable et de garanties appropriées. Le Sous-traitant ne traitera ces données que sur instruction documentée du Client.

12.2. ANNEXE 2 – MESURES DE SÉCURITÉ (NIVEAU ÉLEVÉ)

- Contrôle d'accès (principe du moindre privilège, authentification multifacteur pour les comptes administrateurs lorsque disponible)

- Séparation logique des environnements clients

- Chiffrement en transit et au repos, le cas échéant

- Journalisation et surveillance de la sécurité

- Gestion des vulnérabilités et application des correctifs

- Sauvegardes et reprise après sinistre

- Procédures de réponse aux incidents

- Formation du personnel à la confidentialité et à la sécurité

(Le sous-traitant peut fournir des mesures plus détaillées sur demande, conformément à l'accord de confidentialité.)

12.3. ANNEXE 3 – SOUS-PROCESSEURS

Le fournisseur fait appel au sous-traitant suivant pour la fourniture d'infrastructures cloud, de services de traitement de données et de services d'intelligence artificielle :

Sous-traitant : Google Cloud EMEA Limited

Adresse enregistrée : Velasco, Clanwilliam Place, Dublin 2, Irlande

Numéro de TVA : IE3668997OH

Services fournis :

  • infrastructure d'hébergement cloud

  • Stockage de données (y compris le stockage de documents)

  • Services de base de données (Firestore)

  • Services et traitement en arrière-plan

  • Services d'authentification

  • services de messagerie électronique

  • Services de traitement d'intelligence artificielle fournis par Vertex AI (Google Cloud), notamment l'utilisation de grands modèles de langage (par exemple, Gemini) pour la génération et l'analyse de contenu.

Emplacement des données :

Toutes les données personnelles sont stockées et traitées exclusivement au sein de l' Europe. Économique Zone (EEE).

 

Conditions de traitement des données :

Google Cloud traite les données client conformément à son avenant relatif au traitement des données, en vertu duquel les données client ne sont pas utilisées pour entraîner ou améliorer les modèles d'apprentissage automatique sous-jacents.

bottom of page