The Talkaholics

This website uses cookies to provide you the best experience. By continuing to use this website, you agree to the use of cookies. For more information, read the Cookie Policy

ONLINECOURSEHOST.COM'S DATA PROCESSING AGREEMENT

This Data Processing Agreement (DPA) forms part of OnlineCourseHost.com's Terms of Use between VASCO CAVALHEIRO IT SERVICES SPRL (under the brand name OnlineCourseHost.com) and BELÉN VILA MARQUÉS as the customer (under the brand name TheTalkaholics.com).

This DPA is supplemental to the Terms and sets out the roles and obligations that apply when OnlineCourseHost.com processes Personal Data on behalf of Customer in connection with Customer's use of OnlineCourseHost.com’s services including in connection with:

a) The generation of policies, legal agreements, disclaimers, and other documents generated by the Services using information related to Customer's business or organization.

b) The management of cookie consent for Customer's website, mobile application, platform and/or digital media.

c) The management of “Do Not Sell My Information” and other DSAR forms provided to visitors and users of Customer's Platform.

If there is any conflict between the Terms and this DPA, the terms of this DPA shall prevail to the extent of such conflict. Any capitalized terms not defined in this DPA shall have the meanings given to them in the Terms.

Definitions for the purposes of this DPA:

Data Protection Law means all data protection and privacy laws and regulations applicable to the processing of Covered Data, including (but not limited to) European Data Protection Law and the California Consumer Privacy Act of 2018 (California Civil Code §§ 1798.100 et seq.) and its implementing regulations (together, the “CCPA").

Covered Data means the Personal Data that OnlineCourseHost.com processes on behalf of Customer in connection with the Services, including Personal Data relating to visitors to and users of Customer's Platform that OnlineCourseHost.com collects in connection with the Services.

Customer's Platform means the website, mobile application, platform and/or digital media property owned or operated by Customer and via which Covered Data is collected and processed by OnlineCourseHost.com.

Europe means, for the purposes of this DPA, the member states of the European Economic Area plus Switzerland and the United Kingdom.

European Data Protection Law means all data protection and privacy laws and regulations enacted in Europe applicable to the processing of Covered Data, including (but not limited to) (i) Regulation (EU) 2016/679 (the "GDPR"); (ii) Directive 2002/58/EC (the "e-Privacy Directive"); (iii) the GDPR as it forms part of UK law by virtue of Section 3 of the European Union (Withdrawal) Act 2018 ("UK GDPR"); and (iv) the Swiss Federal Data Protection Act of 19 June 1992 and its corresponding ordinances ("Swiss DPA"); in each case, as may be amended, superseded, expanded or replaced from time to time.

Personal Data means any information that relates to an identified or identifiable natural person and which is protected as "personal data", "personal information" or "personally identifiable information" under Data Protection Law.

Security Incident means any accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Covered Data. "Security Incident" shall not include unsuccessful attempts or activities that do not compromise the security of Covered Data, including unsuccessful log-in attempts, pings, port scans, denial of service attacks, and other network attacks on firewalls or networked systems.

SCCs means the standard contractual clauses annexed to the European Commission’s Decision (EU) 2021/914 of 4 June 2021, as described at Section 12 and as may be amended, superseded or replaced.

The terms "controller", "processor" and "processing" shall have the meanings given to them in the GDPR, and "process", "processes" and "processed" shall be interpreted accordingly; and the terms "business", "service provider" and "consumer" shall have the meanings given to them in the CCPA.

Scope of DPA.

This DPA applies to the extent that OnlineCourseHost.com collects and processes Covered Data on behalf of Customer in connection with the Services, as more particularly described in Annex 1 ("Data Processing Description”).

Roles of the parties.

As between OnlineCourseHost.com and Customer, Customer is the controller of Covered Data and OnlineCourseHost.com shall process the Covered Data as a processor (or service provider) acting on behalf of Customer.

OnlineCourseHost.com's processing of Covered Data.

OnlineCourseHost.com shall process Covered Data in accordance with the lawful, documented instructions of Customer (as set out in the Terms, this DPA or otherwise in writing) and solely for the purposes of providing the Services, including (without limitation)

a) Generating and hosting any policies, legal agreements, disclaimers, and other documents generated by the Services.

b) Managing End Users' cookie preferences.

c) Managing End Users' subject’s “Do Not Sell My Information” and DSAR requests;

d) Providing and improving OnlineCourseHost.com's software and products (collectively, the "Permitted Purposes"). OnlineCourseHost.com agrees that it shall not, except to the extent required under applicable law, retain, use, or disclose Covered Data for any purposes other than for the Permitted Purposes or sell Covered Data to a third party for monetary or other valuable consideration within the meaning of the CCPA or otherwise.

Customer responsibilities.

Customer shall be responsible for complying with all necessary transparency and lawfulness requirements under Data Protection Law in order for OnlineCourseHost.com to collect and process Covered Data for the Permitted Purposes.

Without limiting the generality of the foregoing, Customer acknowledges and agrees that OnlineCourseHost.com will use certain tracking technologies (including cookies) to collect and process data from End User devices through the Cookie Consent Manager and Customer represents and warrants that it shall provide and maintain all notices and (where applicable) obtain all necessary consents required by Data Protection Law to enable OnlineCourseHost.com to deploy such tracking technologies lawfully.

OnlineCourseHost.com shall provide all information reasonably requested by Customer (including details about the tracking technologies it serves) to enable Customer to satisfy provide such notice and (where applicable) obtain such consents.

Security.

OnlineCourseHost.com shall implement appropriate technical and organisational measures to protect Covered Data from Security Incidents, including as described in Annex 2 ("Security Measures").

OnlineCourseHost.com may update or modify the Security Measures from time to time, provided that such updates and modifications do not result in the degradation of the overall security of the Services. OnlineCourseHost.com shall ensure that any personnel that it authorizes to process Covered Data are subject to a duty of confidentiality.

Security Incidents.

OnlineCourseHost.com shall notify Customer without undue delay upon becoming aware of a Security Incident. OnlineCourseHost.com shall make reasonable efforts to identify the cause of the Security Incident and take such steps as OnlineCourseHost.com deems necessary and reasonable to mitigate the effects of the Security Incident. OnlineCourseHost.com shall make reasonable efforts to provide such information as Customer may reasonably require to enable Customer to fulfil any data breach reporting obligations under Data Protection Law.

Audits.

OnlineCourseHost.com shall make all information available to Customer that is reasonably necessary to verify OnlineCourseHost.com's compliance with this DPA, including (on a confidential basis) a summary copy of its most recent third party certifications or audit report(s).

OnlineCourseHost.com shall also permit Customer (or its appointed third party auditors) to carry out an audit of OnlineCourseHost.com's processing under this DPA following a confirmed Security Incident or upon the instruction of a data protection authority.

Customer must, where possible, give OnlineCourseHost.com reasonable prior notice of such intention to audit, conduct its audit during normal business hours and take all reasonable measures to prevent unnecessary disruption to OnlineCourseHost.com's operations. Customer shall exercise its rights under Clauses 8.9 of the SCCs by instructing OnlineCourseHost.com to comply with the audit measures described in this Section 8.

International transfers.

In order to provide the Services, OnlineCourseHost.com may transfer (directly or via onward transfer) Covered Data to the United States and other locations where OnlineCourseHost.com or its Sub-processors maintain data processing operations.

Data subject rights.

OnlineCourseHost.com shall, taking into account the nature of the processing, provide reasonable assistance to Customer insofar as this is possible, to enable Customer to respond to requests from data subjects seeking to exercise their rights under Data Protection Law.

Deletion/return of data.

Upon termination or expiry of the Terms, OnlineCourseHost.com shall delete or return to Customer the Covered Data (including copies) in its possession. This requirement shall not apply to the extent that OnlineCourseHost.com is required by applicable law to retain some or all of the Covered Data or to Covered Data archived on backup systems, which OnlineCourseHost.com shall (where reasonably possible) delete within 12 months of termination or expiry of the Terms.

European terms.

The following terms apply to the extent the Covered Data is subject to European Data Protection Law:

a) Sub-processors.

Customer agrees that OnlineCourseHost.com may engage third party processors ("Sub-processors") to process Covered Data on OnlineCourseHost.com's behalf, including OnlineCourseHost.com's current Sub-processors listed at Annex 3 ("List of Sub-processors"), provided that OnlineCourseHost.com shall (a) maintain an up-to-date list of Sub-processors and make such list available to Customer on request; b) impose on Sub-processors data protection terms that offer at least the same level of protection for Covered Data as required by this DPA; c) remain liable for any breach of the DPA caused by its Sub-processors; and (d) provide Customer with ten (10) days' notice of any changes to its Sub-processors. For the avoidance of doubt, Sub-processors shall not include OnlineCourseHost.com employees or contractors. The parties agree and acknowledge that by complying with this sub-section OnlineCourseHost.com fulfils its obligations under Sections 9(a) and (b) of the SCCs, and that OnlineCourseHost.com may be restricted from disclosing Sub-processor agreements under Clause 9(c) of the SCCs but shall use reasonable efforts to require any Sub-processor it appoints to permit it to disclose the Sub-processor agreement and shall provide (on a confidential basis) all information it reasonably can.

b) Objection to Sub-processors.

Customer may object to OnlineCourseHost.com's engagement of a Sub-processor within five (5) days of receiving notice provided that such objection is based on reasonable grounds relating to data protection. The parties shall cooperate in good faith to reach a resolution and, if such resolution cannot be reached, then OnlineCourseHost.com may either not engage the Sub-processor or Customer will be permitted to suspend or terminate the processing of Covered Data by OnlineCourseHost.com (without prejudice to any fees incurred by Customer prior to suspension or termination).

c) Standard Contractual Clauses.

The SCCs are incorporated by reference in full and form an integral part of this DPA. For the purposes of the SCCs (i) Customer is the "data exporter" and OnlineCourseHost.com is the "data importer"; (ii) Module Two of the SCCs will apply; (iii) in Clause 7, the optional docking clause will apply; (iv) in Clause 9, Option 2 will apply; (v) in Clause 11, the optional language will be deleted; (vi) in Clause 17, Option 1 will apply and the SCCs will be governed by Irish law; (vii) in Clause 18(b), disputes shall be resolved before the courts of Ireland; and (viii) the Annexes of the SCCs are populated with the information from Annexes 1 and 2 of this DPA. In relation to Covered Data that is subject to the UK GDPR or Swiss DPA, the SCCs are modified as follows: (ix) references to "Regulation (EU) 2016/679" and specific articles therein are interpreted as references to the UK GDPR or Swiss DPA and the equivalent articles or sections therein; (x) references to "EU", "Union" and "Member State" are replaced with references to the "UK" or "Switzerland"; (xii) references to the "competent supervisory authority" and "competent courts" are replaced with references to the "Information Commissioner" and the "courts of England and Wales" or the "Swiss Federal Data Protection Information Commissioner" and "competent courts of Switzerland"; and (xiii) in Clause 17 and Clause 18(b), the SCCs are governed by the laws of and disputes shall be resolved before the courts of England and Wales or Switzerland. To extent that and for so long as the SCCs as modified herein cannot be relied on to lawfully process Covered Data in compliance with the UK GDPR, the standard data protection clauses issued, adopted or permitted under the UK GDPR are incorporated by reference, and the annexes, appendices or tables of such clauses shall be shall be deemed populated with the relevant information set out in Annexes 1 and 2 of this DPA.

d) Data protection impact assessments.

OnlineCourseHost.com shall, taking into account the nature of the processing and the information available to it, provide reasonable assistance needed to fulfil Customer's obligation to carry out data protection impact assessments and prior consultations with supervisory authorities, to the extent required under European Data Protection Law.

Changes in law.

In the event of a change in Data Protection Law affecting the processing of Covered Data under this DPA the parties shall work together in good faith to make any amendments to this DPA or to execute any additional written agreements as are reasonably necessary to ensure continued compliance with Data Protection Law. Each party acknowledges that this DPA and any privacy-related provisions in the Terms (with any commercially sensitive information redacted) may be shared with the U.S. Department of Commerce or European regulator on request.

Miscellaneous.

Except as amended by this DPA, the Terms will remain in full force and effect. If there is a conflict between this DPA and the Terms, the DPA will control. Any claims brought under this DPA shall be subject to the Terms, including but not limited to the exclusions and limitations of liability set forth in the Terms.

IN WITNESS WHEREOF, the parties have caused this DPA to be executed by their authorized representative and this DPA shall be effective on the date both parties sign this DPA:

OnlineCourseHost.com Inc. The Talkaholics

Signature: Vasco Cavalheiro. Signature: Belén Vila Marqués

Name: Vasco Cavalheiro. Name: Belén Vila Marqués

Title: Founder. Title: Founder

Date: 2022-10-05. Date: 2025 - 06 - 01

Annex 1: Data Processing Description

This Annex 1 forms part of the DPA and describes the processing that OnlineCourseHost.com will perform on behalf of Customer.

1(A): List of parties

1(B): Description of transfer

Annex 2: Technical and Organizational Security Measures

This Annex 2 forms part of the DPA and describes the minimum technical and organizational measures implemented by OnlineCourseHost.com to protect Covered Data from Security Incidents:

1.Measures of pseudonymization and encryption of personal data:

a) Encryption at rest using an industry standard AES-256 encryption algorithm

b) Encryption in transit using Transport Layer Security 1.2 (TLS) with an industry-standard AES-256 cipher

2. Measures for ensuring ongoing confidentiality, integrity, availability, and resilience of processing systems and services:

a) Virtual Private Network (VPN) and Multi-Factor Authentication (MFA) to access OnlineCourseHost.com cloud data centers.

b) Differentiated rights system based on security groups and access control lists.

c) Secure transmission of credentials using TLS 1.2 (or greater).

d) Use of approved password management software.

e) Guidelines for handling passwords.

f) Passwords require a defined minimum complexity.

g) Hashed passwords.

h) Automatic account locking.

i) Access controls to infrastructure that is hosted by cloud service provider

j) Access right management including implementation of access restrictions and managing of individual access rights.

k) Training for employees and contractors.

l) Network separation

m) Segregation of responsibilities and duties

n) Secure network interconnections ensured by firewalls etc.

o) Logging of transmissions of data from IT systems that store personal data.

p) Logging authentication and monitored logical system access

q) Logging of data access including, but not limited to access, modification, entry and deletion of data

r) Documentation of data entry rights and logging security related entries

s) Customer data is backed up to multiple durable data stores in offsite data centers.

3.Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident:

a) OnlineCourseHost.com’s cloud service provider provides Distributed Denial of Service (DDoS) protection services that safeguards applications on OnlineCourseHost.com Servers including always-on detection and automatic inline mitigations that minimize application downtime and latency

b) OnlineCourseHost.com’s data backups are conducted on OnlineCourseHost.com’s cloud service provider’s offsite data centers.

c) Data is backed up to multiple durable data stores in offsite data centers.

d) All data is backed up hourly in incremental segments and daily as a full backup. All backups are kept redundant and in encrypted form (AES-256).

e) Procedures for handling and reporting incidents (incident management) including the detection and reaction to possible security incidents.

4. Processes for regularly testing, assessing, and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing

a) Security checks (e.g., penetration tests) conducted by external parties.

b) Regular network and application security testing via cloud service provider.

c) Testing emergency equipment via OnlineCourseHost.com’s cloud service provider.

5. Measures for user identification and authorisation:

a) Access to data necessary for the performance of the particular task is ensured within the systems and applications by corresponding identity access management and authorization concept.

b) Virtual Private Network (VPN) and Multi-Factor Authentication (MFA) to access OnlineCourseHost.com data centers.

c) Secure network interconnections ensured by VPN, MFA, firewalls etc.

d) Logging of transmissions of data from IT system that stores or processes personal data

e) Logging authentication and monitored system access.

6. Measures for the protection of data during transmission

a) Encryption in transit using Transport Layer Security 1.2 (TLS) with an industry-standard AES-256 cipher.

b) Remote access to the network via VPN tunnel and end-to-end encryption.

7. Measures for the protection of data during storage.

a) Encryption at rest using an industry standard AES-256 encryption algorithm.

b) Virtual Private Network (VPN) and Multi-Factor Authentication (MFA) to access data centers.

c) Use of Access Control Lists.

8. Measures for ensuring physical security of locations at which personal data are processed.

a. Cloud service provider implements physical and environmental controls such as secure design (site selection, redundancy, availability, and capacity planning), business continuity & disaster recovery (business continuity plan, pandemic response), physical access controls, monitoring and logging (data center access review, logs, and monitoring), surveillance and detection (CCTV, data center entry points, intrusion detection), device management (asset management, media destruction), operational support systems (power, climate and temperature, fire detection and suppression, leakage detection), infrastructure maintenance (equipment maintenance, environment management), and governance & risk (ongoing data center risk management, security attestation)

9. Measures for ensuring events logging

a) Cloud service provider enables logging on accounts and records account activity from account creation.

b) Cloud service provider uses methods like the following to ensure the verifiability of event log files: remote logging, hash chaining, repliciation, Central Security Event and Information Management (SIEM) system.

10. Measures for ensuring system configuration, including default configuration.

a) System configuration from the source code that is predetermined per Application/Infrastructure as Code (IaC)

b) Access Control Policy and Procedures

c) Baseline configuration identification

d) Configuration Planning and Management.

11. Measures for internal IT and IT security governance and management.

a) Dedicated and identified person to oversee the company's information security and compliance program

12. Measures for ensuring data minimisation.

a) Privacy by design/default (privacy impact assessment process)

13. Measures for ensuring data quality.

a) Process for the exercise of data protection rights (right to amend and update information).

14. Measures for ensuring limited data retention.

a) Annual review of data retention policy and processes

b) Operational mechanisms to ensure deletion (e.g., automatic deletion of data after a predefined time period)

15) Measures for ensuring accountability.

a) Assigned responsibility to ensure end-user privacy throughout the product lifecycle and through applicable business processes.

b) Data protection impact assessments as an integral part of any new processing initiative.

16. Measures for allowing data portability and ensuring erasure

a) Documented processes in relation to the exercise by users of their privacy rights (e.g. right of erasure or right to data portability)

b) Use of open formats such as CSV, XML or JSON.

Annex 3: List of Sub-processors

This Annex 3 forms part of the DPA and describes OnlineCourseHost.com’s current sub-processors.

ACUERDO DE PROCESAMIENTO DE DATOS DE ONLINECOURSEHOST.COM

Las versiones traducidas de contratos y políticas legales se proporcionan únicamente para facilitar la lectura y comprensión de las versiones en inglés. El propósito de proporcionar traducciones de contratos y políticas legales no es crear un contrato legalmente vinculante ni sustituir la validez legal de las versiones en inglés. En caso de cualquier disputa o conflicto, las versiones en inglés de los contratos y políticas legales gobiernan nuestra relación en cualquier caso y prevalecerán sobre los términos en cualquier otro idioma.

Este Acuerdo de Procesamiento de Datos (DPA) forma parte de los Términos de Uso de OnlineCourseHost.com entre VASCO CAVALHEIRO IT SERVICES SPRL bajo la marca OnlineCourseHost.com y BELÉN VILA MARQUÉS como cliente bajo la marca TheTalkaholics.com.

Este DPA complementa los Términos y establece los roles y obligaciones que se aplican cuando OnlineCourseHost.com procesa Datos Personales en nombre del Cliente en relación con el uso de los servicios de OnlineCourseHost.com por parte del Cliente, incluso en relación con:

a) La generación de políticas, acuerdos legales, avisos legales y otros documentos generados por los Servicios utilizando información relacionada con el negocio u organización del Cliente.

b) La gestión del consentimiento de cookies para el sitio web, aplicación móvil, plataforma y/o medios digitales del Cliente.

c) La gestión de los formularios "No Vender Mi Información" y otras solicitudes de derechos de los interesados (DSAR) proporcionados a los visitantes y usuarios de la Plataforma del Cliente.

Si existe algún conflicto entre los Términos y este DPA, los términos de este DPA prevalecerán en la medida de dicho conflicto. Cualquier término en mayúsculas no definido en este DPA tendrá el significado que se le asigna en los Términos.

Definiciones para los fines de este DPA:

Ley de Protección de Datos significa todas las leyes y regulaciones de protección de datos y privacidad aplicables al procesamiento de Datos Cubiertos, incluidas (pero no limitadas a) la Ley Europea de Protección de Datos y la Ley de Privacidad del Consumidor de California de 2018 (Código Civil de California §§ 1798.100 y siguientes) y sus reglamentos de implementación (en conjunto, la "CCPA").

Datos Cubiertos significa los Datos Personales que OnlineCourseHost.com procesa en nombre del Cliente en relación con los Servicios, incluidos los Datos Personales relacionados con los visitantes y usuarios de la Plataforma del Cliente que OnlineCourseHost.com recopila en relación con los Servicios.

Plataforma del Cliente significa el sitio web, aplicación móvil, plataforma y/o propiedad de medios digitales propiedad del Cliente u operada por este y a través de la cual OnlineCourseHost.com recopila y procesa Datos Cubiertos.

Europa significa, para los fines de este DPA, los estados miembros del Espacio Económico Europeo más Suiza y el Reino Unido.

Ley Europea de Protección de Datos significa todas las leyes y regulaciones de protección de datos y privacidad promulgadas en Europa aplicables al procesamiento de Datos Cubiertos, incluidas (pero no limitadas a) (i) el Reglamento (UE) 2016/679 (el RGPD); (ii) la Directiva 2002/58/CE (la Directiva de privacidad electrónica); (iii) el RGPD en su forma parte del derecho del Reino Unido en virtud de la Sección 3 de la Ley de (Retirada) de la Unión Europea de 2018 (RGPD del Reino Unido); y (iv) la Ley Federal de Protección de Datos de Suiza del 19 de junio de 1992 y sus correspondientes ordenanzas (DPA Suiza); en cada caso, según puedan ser modificadas, reemplazadas, ampliadas o sustituidas de vez en cuando.

Datos Personales significa cualquier información que se relacione con una persona física identificada o identificable y que esté protegida como "datos personales", "información personal" o "información de identificación personal" según la Ley de Protección de Datos.

Incidente de Seguridad significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos Cubiertos. "Incidente de Seguridad" no incluirá intentos o actividades infructuosas que no comprometan la seguridad de los Datos Cubiertos, incluidos intentos de inicio de sesión fallidos, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

CCE significa las cláusulas contractuales estándar anexas a la Decisión (UE) 2021/914 de la Comisión Europea del 4 de junio de 2021, como se describe en la Sección 12 y que pueden ser modificadas, reemplazadas o sustituidas.

Los términos “responsable del tratamiento", "encargado del tratamiento" y “tratamiento" tendrán los significados que se les asignan en el RGPD, y "tratar", "trata" y "tratado" se interpretarán en consecuencia; y los términos "empresa", "proveedor de servicios" y "consumidor" tendrán los significados que se les asignan en la CCPA.

Ámbito del DPA.

Este DPA se aplica en la medida en que OnlineCourseHost.com recopila y procesa Datos Cubiertos en nombre del Cliente en relación con los Servicios, como se describe más específicamente en el Anexo 1 ("Descripción del Procesamiento de Datos").

Roles de las partes.

Entre OnlineCourseHost.com y el Cliente, el Cliente es el responsable del tratamiento de los Datos Cubiertos y OnlineCourseHost.com procesará los Datos Cubiertos como encargado del tratamiento (o proveedor de servicios) actuando en nombre del Cliente.

Procesamiento de Datos Cubiertos por parte de OnlineCourseHost.com.

OnlineCourseHost.com procesará los Datos Cubiertos de acuerdo con las instrucciones legales y documentadas del Cliente (como se establece en los Términos, este DPA o de otra manera por escrito) y únicamente con el fin de proporcionar los Servicios, incluidos (sin limitación)

a) Generar y alojar políticas, acuerdos legales, avisos legales y otros documentos generados por los Servicios.

b) Gestionar las preferencias de cookies de los Usuarios Finales.

c) Gestionar las solicitudes de "No Vender Mi Información" y DSAR de los Usuarios Finales;

d) Proporcionar y mejorar el software y los productos de OnlineCourseHost.com (colectivamente, los "Fines Permitidos"). OnlineCourseHost.com acepta que no retendrá, utilizará ni divulgará Datos Cubiertos para ningún fin que no sea los Fines Permitidos, excepto en la medida requerida por la ley aplicable, ni venderá Datos Cubiertos a un tercero a cambio de una contraprestación monetaria u otra contraprestación valiosa en el sentido de la CCPA o de otro modo.

Responsabilidades del Cliente.

El Cliente será responsable de cumplir con todos los requisitos necesarios de transparencia y legalidad según la Ley de Protección de Datos para que OnlineCourseHost.com recopile y procese Datos Cubiertos para los Fines Permitidos.

Sin limitar la generalidad de lo anterior, el Cliente reconoce y acepta que OnlineCourseHost.com utilizará ciertas tecnologías de seguimiento (incluidas cookies) para recopilar y procesar datos de los dispositivos de los Usuarios Finales a través del Administrador de Consentimiento de Cookies, y el Cliente declara y garantiza que proporcionará y mantendrá todos los avisos y (cuando corresponda) obtendrá todos los consentimientos necesarios requeridos por la Ley de Protección de Datos para permitir que OnlineCourseHost.com implemente dichas tecnologías de seguimiento de manera legal.

OnlineCourseHost.com proporcionará toda la información razonablemente solicitada por el Cliente (incluidos detalles sobre las tecnologías de seguimiento que proporciona) para permitir que el Cliente satisfaga y proporcione dicho aviso y (cuando corresponda) obtenga dichos consentimientos.

Seguridad.

OnlineCourseHost.com implementará medidas técnicas y organizativas apropiadas para proteger los Datos Cubiertos de Incidentes de Seguridad, incluidas las descritas en el Anexo 2 ("Medidas de Seguridad").

OnlineCourseHost.com puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Servicios. OnlineCourseHost.com garantizará que cualquier personal que autorice para procesar Datos Cubiertos esté sujeto a un deber de confidencialidad.

Incidentes de Seguridad.

OnlineCourseHost.com notificará al Cliente sin demora indebida al tener conocimiento

de un Incidente de Seguridad. OnlineCourseHost.com hará esfuerzos razonables para

identificar la causa del Incidente de Seguridad y tomar las medidas que OnlineCourseHost.com considere necesarias y razonables para mitigar los efectos del Incidente de Seguridad. OnlineCourseHost.com hará esfuerzos razonables para proporcionar la información que el Cliente pueda requerir razonablemente para permitir que el Cliente cumpla con cualquier obligación de notificación de violación de datos según la Ley de Protección de Datos.

Auditorías.

OnlineCourseHost.com pondrá a disposición del Cliente toda la información razonablemente necesaria para verificar el cumplimiento de este DPA por parte de OnlineCourseHost.com , incluida (de manera confidencial) una copia resumida de sus certificaciones o informes de auditoría de terceros más recientes.

OnlineCourseHost.com también permitirá que el Cliente (o sus auditores externos designados) lleven a cabo una auditoría del procesamiento de OnlineCourseHost.com bajo este DPA después de un Incidente de Seguridad confirmado o bajo instrucción de una autoridad de protección de datos.

El Cliente debe, cuando sea posible, dar a OnlineCourseHost.com un aviso previo razonable de dicha intención de auditoría, realizar su auditoría durante el horario comercial normal y tomar todas las medidas razonables para evitar interrupciones innecesarias en las operaciones de OnlineCourseHost.com. El Cliente ejercerá sus derechos en virtud de las Cláusulas 8.9 de las CCE instruyendo a OnlineCourseHost.com para que cumpla con las medidas de auditoría descritas en esta Sección 8.

Transferencias internacionales.

Para proporcionar los Servicios, OnlineCourseHost.com puede transferir (directamente o mediante transferencia posterior) Datos Cubiertos a los Estados Unidos y otras ubicaciones donde OnlineCourseHost.com o sus Subencargados mantienen operaciones de procesamiento de datos.

Derechos de los interesados.

OnlineCourseHost.com, teniendo en cuenta la naturaleza del procesamiento, proporcionará asistencia razonable al Cliente en la medida en que sea posible, para permitir que el Cliente responda a las solicitudes de los interesados que buscan ejercer sus derechos según la Ley de Protección de Datos.

Eliminación/devolución de datos.

Tras la terminación o vencimiento de los Términos, OnlineCourseHost.com eliminará o devolverá al Cliente los Datos Cubiertos (incluidas las copias) en su posesión. Este requisito no se aplicará en la medida en que OnlineCourseHost.com esté obligado por la ley aplicable a conservar algunos o todos los Datos Cubiertos o a los Datos Cubiertos archivados en sistemas de respaldo, que OnlineCourseHost.com (cuando sea razonablemente posible) eliminará dentro de los 12 meses posteriores a la terminación o vencimiento de los Términos.

Términos europeos.

Los siguientes términos se aplican en la medida en que los Datos Cubiertos estén sujetos a la Ley Europea de Protección de Datos:

a) Subencargados.

El Cliente acepta que OnlineCourseHost.com puede contratar a procesadores terceros ("Subencargados") para procesar Datos Cubiertos en nombre de OnlineCourseHost.com, incluidos los Subencargados actuales de OnlineCourseHost.com listados en el Anexo 3 ("Lista de Subencargados"), siempre que OnlineCourseHost.com (a) mantenga una lista actualizada de Subencargados y ponga dicha lista a disposición del Cliente cuando lo solicite; b) imponga a los Subencargados términos de protección de datos que ofrezcan al menos el mismo nivel de protección para los Datos Cubiertos que el requerido por este DPA; c) siga siendo responsable de cualquier incumplimiento del DPA causado por sus Subencargados; y (d) proporcione al Cliente un aviso de diez (10) días de cualquier cambio en sus Subencargados. Para evitar dudas, los Subencargados no incluirán a los empleados o contratistas de OnlineCourseHost.com. Las partes acuerdan y reconocen que al cumplir con esta subsección, OnlineCourseHost.com cumple con sus obligaciones según las Secciones 9(a) y (b) de las CCE, y que OnlineCourseHost.com puede estar restringido de divulgar acuerdos de Subencargados según la Cláusula 9(c) de las CCE, pero hará esfuerzos razonables para exigir a cualquier Subencargado que designe que le permita divulgar el acuerdo del Subencargado y proporcionará (de manera confidencial) toda la información que razonablemente pueda.

b) Objeción a Subencargados.

El Cliente puede objetar la contratación de un Subencargado por parte de OnlineCourseHost.com dentro de los cinco (5) días posteriores a la recepción del aviso, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. Las partes cooperarán de buena fe para llegar a una resolución y, si no se puede llegar a dicha resolución, entonces OnlineCourseHost.com puede no contratar al Subencargado o se le permitirá al Cliente suspender o terminar el procesamiento de Datos Cubiertos por parte de OnlineCourseHost.com (sin perjuicio de las tarifas incurridas por el Cliente antes de la suspensión o terminación).

c) Cláusulas Contractuales Estándar.

Las CCE se incorporan por referencia en su totalidad y forman parte integral de este DPA. Para los fines de las CCE (i) el Cliente es el "exportador de datos" y [OnlineCourseHost.com](http://onlinecoursehost.com/) es el "importador de datos"; (ii) se aplicará el Módulo Dos de las CCE; (iii) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional; (iv) en la Cláusula 9, se aplicará la Opción 2; (v) en la Cláusula 11, se eliminará el lenguaje opcional; (vi) en la Cláusula 17, se aplicará la Opción 1 y las CCE se regirán por la ley irlandesa; (vii) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda; y (viii) los Anexos de las CCE se completan con la información de los Anexos 1 y 2 de este DPA. En relación con los Datos Cubiertos que están sujetos al RGPD del Reino Unido o al DPA Suizo, las CCE se modifican de la siguiente manera: (ix) las referencias al "Reglamento (UE) 2016/679" y artículos específicos del mismo se interpretan como referencias al RGPD del Reino Unido o al DPA Suizo y los artículos o secciones equivalentes en los mismos; (x) las referencias a "UE", "Unión" y "Estado Miembro" se reemplazan con referencias al "Reino Unido" o "Suiza"; (xii) las referencias a la "autoridad supervisora competente" y "tribunales competentes" se reemplazan con referencias al "Comisionado de Información" y los "tribunales de Inglaterra y Gales" o el "Comisionado Federal de Protección de Datos e Información de Suiza" y "tribunales competentes de Suiza"; y (xiii) en la Cláusula 17 y la Cláusula 18(b), las CCE se rigen por las leyes y las disputas se resolverán ante los tribunales de Inglaterra y Gales o Suiza. En la medida en que y mientras las CCE modificadas en este documento no puedan ser utilizadas para procesar legalmente los Datos Cubiertos en cumplimiento con el RGPD del Reino Unido, las cláusulas estándar de protección de datos emitidas, adoptadas o permitidas bajo el RGPD del Reino Unido se incorporan por referencia, y los anexos, apéndices o tablas de dichas cláusulas se considerarán completados con la información relevante establecida en los Anexos 1 y 2 de este DPA.

d) Evaluaciones de impacto de protección de datos.

OnlineCourseHost.com deberá, teniendo en cuenta la naturaleza del procesamiento y la información disponible para él, proporcionar la asistencia razonable necesaria para cumplir con la obligación del Cliente de realizar evaluaciones de impacto de protección de datos y consultas previas con las autoridades supervisoras, en la medida requerida bajo la Ley Europea de Protección de Datos.

Cambios en la ley.

En caso de un cambio en la Ley de Protección de Datos que afecte el procesamiento de Datos Cubiertos bajo este DPA, las partes trabajarán juntas de buena fe para realizar cualquier enmienda a este DPA o para ejecutar cualquier acuerdo escrito adicional que sea razonablemente necesario para garantizar el cumplimiento continuo de la Ley de Protección de Datos. Cada parte reconoce que este DPA y cualquier disposición relacionada con la privacidad en los Términos (con cualquier información comercialmente sensible redactada) pueden compartirse con el Departamento de Comercio de EE. UU. o el regulador europeo si lo solicitan.

Disposiciones varias.

Excepto según lo modificado por este DPA, los Términos permanecerán en pleno vigor y efecto. Si existe un conflicto entre este DPA y los Términos, el DPA prevalecerá. Cualquier reclamo presentado bajo este DPA estará sujeto a los Términos, incluidas, entre otras, las exclusiones y limitaciones de responsabilidad establecidas en los Términos.

EN TESTIMONIO DE LO CUAL, las partes han hecho que este DPA sea ejecutado por su representante autorizado y este DPA entrará en vigencia en la fecha en que ambas partes firmen este DPA:

OnlineCourseHost.com. The Talkaholics.com

Firma: Vasco Cavalheiro. Firma: Belén Vila Marqués

Nombre: Vasco Cavalheiro. Nombre: Belén Vila Marqués

Cargo: Fundador. Cargo: Fundadora

Fecha: 2022-10-05. Fecha: 2025 - 06 - 01

Anexo 1: Descripción del Procesamiento de Datos

Este Anexo 1 forma parte del APD y describe el procesamiento que OnlineCourseHost.com realizará en nombre del Cliente.

1(A): Lista de las partes

Anexo 2: Medidas de Seguridad Técnicas y Organizativas

Este Anexo 2 forma parte del DPA y describe las medidas técnicas y organizativas mínimas implementadas por OnlineCourseHost.com para proteger los Datos Cubiertos de Incidentes de Seguridad:

1.Medidas de seudonimización y cifrado de datos personales:

a) Cifrado en reposo utilizando un algoritmo de cifrado AES-256 estándar de la industria.

b) Cifrado en tránsito utilizando Transport Layer Security 1.2 (TLS) con un cifrado AES-256 estándar de la industria

2.Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento:

a) Red Privada Virtual (VPN) y Autenticación Multi-Factor (MFA) para acceder a los centros de datos en la nube de OnlineCourseHost.com

b) Sistema de derechos diferenciados basado en grupos de seguridad y listas de control de acceso.

c) Transmisión segura de credenciales utilizando TLS 1.2 (o superior).

d) Uso de software de gestión de contraseñas aprobado.

e) Directrices para el manejo de contraseñas.

f) Las contraseñas requieren una complejidad mínima definida.

g) Contraseñas hasheadas.

h) Bloqueo automático de cuentas.

i) Controles de acceso a la infraestructura alojada por el proveedor de servicios en la nube

j) Gestión de derechos de acceso, incluida la implementación de restricciones de acceso y la gestión de derechos de acceso individuales.

k) Formación para empleados y contratistas.

l) Separación de redes

m) Segregación de responsabilidades y deberes

n) Interconexiones de red seguras garantizadas por firewalls, etc.

o) Registro de transmisiones de datos desde sistemas de TI que almacenan datos personales.

p) Registro de autenticación y acceso lógico al sistema monitoreado

q) Registro de acceso a datos que incluye, entre otros, acceso, modificación, entrada y eliminación de datos

r) Documentación de derechos de entrada de datos y registro de entradas relacionadas con la seguridad

s) Los datos de los clientes se respaldan en múltiples almacenes de datos duraderos en centros de datos externos.

3. Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico:

a) El proveedor de servicios en la nube de OnlineCourseHost.com proporciona servicios de protección contra Ataques Distribuidos de Denegación de Servicio (DDoS) que salvaguardan las aplicaciones en los Servidores de OnlineCourseHost.com, incluyendo detección siempre activa y mitigaciones automáticas en línea que minimizan el tiempo de inactividad y la latencia de la aplicación.

b) Las copias de seguridad de datos de OnlineCourseHost.com se realizan en los centros de datos externos del proveedor de servicios en la nube de OnlineCourseHost.com

c) Los datos se respaldan en múltiples almacenes de datos duraderos en centros de datos externos.

d) Todos los datos se respaldan cada hora en segmentos incrementales y diariamente como una copia de seguridad completa. Todas las copias de seguridad se mantienen redundantes y en forma cifrada (AES-256).

e) Procedimientos para el manejo y reporte de incidentes (gestión de incidentes) incluyendo la detección y reacción a posibles incidentes de seguridad.

4. Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

a) Comprobaciones de seguridad (por ejemplo, pruebas de penetración) realizadas por partes externas.

b) Pruebas regulares de seguridad de red y aplicaciones a través del proveedor de servicios en la nube.

c) Pruebas de equipos de emergencia a través del proveedor de servicios en la nube de OnlineCourseHost.com.

5. Medidas para la identificación y autorización de usuarios:

a) El acceso a los datos necesarios para el desempeño de la tarea particular se garantiza dentro de los sistemas y aplicaciones mediante el correspondiente concepto de gestión de acceso de identidad y autorización.

b) Red Privada Virtual (VPN) y Autenticación Multi-Factor (MFA) para acceder a los centros de datos de OnlineCourseHost.com

c) Interconexiones de red seguras garantizadas por VPN, MFA, firewalls, etc.

d) Registro de transmisiones de datos desde el sistema de TI que almacena o procesa datos personales

e) Registro de autenticación y acceso al sistema monitoreado.

6. Medidas para la protección de datos durante la transmisión

a) Cifrado en tránsito utilizando Transport Layer Security 1.2 (TLS) con un cifrado AES-256 estándar de la industria.

b) Acceso remoto a la red a través de túnel VPN y cifrado de extremo a extremo.

7. Medidas para la protección de datos durante el almacenamiento.

a) Cifrado en reposo utilizando un algoritmo de cifrado AES-256 estándar de la industria.

b) Red Privada Virtual (VPN) y Autenticación Multi-Factor (MFA) para acceder a los centros de datos.

c) Uso de Listas de Control de Acceso.

8. Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan datos personales.

a. El proveedor de servicios en la nube implementa controles físicos y ambientales como diseño seguro (selección del sitio, redundancia, disponibilidad y planificación de capacidad), continuidad del negocio y recuperación ante desastres (plan de continuidad del negocio, respuesta a pandemias), controles de acceso físico, monitoreo y registro (revisión de acceso al centro de datos, registros y monitoreo), vigilancia y detección (CCTV, puntos de entrada al centro de datos, detección de intrusiones), gestión de dispositivos (gestión de activos, destrucción de medios), sistemas de soporte operativo (energía, clima y temperatura, detección y supresión de incendios, detección de fugas), mantenimiento de infraestructura (mantenimiento de equipos, gestión ambiental) y gobernanza y riesgo (gestión continua de riesgos del centro de datos, certificación de seguridad).

9. Medidas para garantizar el registro de eventos.

a) El proveedor de servicios en la nube habilita el registro en las cuentas y registra la actividad de la cuenta desde la creación de la cuenta.

b) El proveedor de servicios en la nube utiliza métodos como los siguientes para garantizar la verificabilidad de los archivos de registro de eventos: registro remoto, encadenamiento hash, replicación, Sistema Central de Gestión e Información de Eventos de Seguridad (SIEM).

10. Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada.

a) Configuración del sistema desde el código fuente que está predeterminado por Aplicación/Infraestructura como Código (IaC)

b) Política y Procedimientos de Control de Acceso

c) Identificación de configuración base

d) Planificación y Gestión de Configuración

11. Medidas para la gobernanza y gestión interna de TI y seguridad de TI.

a) Persona dedicada e identificada para supervisar el programa de seguridad de la información y cumplimiento de la empresa.

12. Medidas para garantizar la minimización de datos.

a) Privacidad por diseño/por defecto (proceso de evaluación de impacto de privacidad).

13. Medidas para garantizar la calidad de los datos.

a) Proceso para el ejercicio de los derechos de protección de datos (derecho a modificar y actualizar información).

14. Medidas para garantizar la retención limitada de datos.

a) Revisión anual de la política y los procesos de retención de datos.

b) Mecanismos operativos para garantizar la eliminación (por ejemplo, eliminación automática de datos después de un período de tiempo predefinido).

15) Medidas para garantizar la responsabilidad.

a) Responsabilidad asignada para garantizar la privacidad del usuario final durante todo el ciclo de vida del producto y a través de los procesos comerciales aplicables.

b) Evaluaciones de impacto de protección de datos como parte integral de cualquier nueva iniciativa de procesamiento.

16. Medidas para permitir la portabilidad de datos y garantizar el borrado.

a) Procesos documentados en relación con el ejercicio por parte de los usuarios de sus derechos de privacidad (por ejemplo, derecho de borrado o derecho a la portabilidad de datos).

b) Uso de formatos abiertos como CSV, XML o JSON.

Anexo 3: Lista de Subprocesadores

Este Anexo 3 forma parte del DPA y describe los subprocesadores actuales de OnlineCourseHost.com