Ahora sus empleados pueden presentar su declaración de impuestos personal sin costo.

Ahora sus empleados pueden presentar su declaración de impuestos personal sin costo.

Acuerdo canadiense de tratamiento de datos

Este Acuerdo Canadiense de Procesamiento de Datos (“DPA”) complementa el Acuerdo Maestro de Servicios, los Formularios de Pedido, los Anexos y cualquier Apéndice de Servicio aplicable (colectivamente, el “Acuerdo”) entre PaymentEvolution (“PaymentEvolution”, “nosotros”, “nos”, “nuestro”) y el Cliente identificado en el Pedido (“Cliente”, “usted”, “su”).
Este DPA se aplica cuando PaymentEvolution procesa Información Personal en nombre del Cliente en relación con los Servicios. Este DPA prevalece sobre el MSA pero no sobre el Beta Agreement para Materiales de Prelanzamiento.

1. Propósito y Alcance

1.1 Rol de PaymentEvolution.
Para los fines de la PIPEDA, leyes provinciales de privacidad sustancialmente similares (incluyendo Alberta PIPA, BC PIPA, Quebec Law 25), y otras Leyes de Privacidad Aplicables, PaymentEvolution actúa como:

Proveedor de Servicios / Encargado del Tratamiento / Gestor de Información / Agente,
procesando Información Personal únicamente en nombre del Cliente y de acuerdo con este DPA y el Acuerdo.

1.2 Alcance.
Este DPA rige el procesamiento de Información Personal por parte de PaymentEvolution en relación con:

  • administración y cálculos de nómina,

  • remesas gubernamentales,

  • pagos y desembolsos,

  • flujos de trabajo de RR. HH., beneficios, programación y registros de empleo,

  • verificación de identidad,

  • seguridad y prevención de fraude,

  • integraciones de API y de la plataforma, y

  • cualquier Servicio adicional solicitado por el Cliente.

1.3 Interpretación.
Si este DPA entra en conflicto con cualquier término del Acuerdo, este DPA prevalece en la medida necesaria para cumplir con la Ley de Privacidad Aplicable. Para mayor claridad, las obligaciones de protección al consumidor de Quebec relativas a la cancelación de contratos y avisos de precios no se aplican a este DPA.

2. Definiciones Clave

Ley de Privacidad Aplicable significa todas las leyes canadienses federales y provinciales de privacidad y protección de datos, incluyendo PIPEDA, Quebec Law 25, Alberta PIPA, BC PIPA, leyes del sector salud cuando corresponda, y regulaciones y guías asociadas.

Información Personal significa cualquier información relacionada con una persona identificable que PaymentEvolution procese en nombre del Cliente, incluyendo información de nómina, documentos de identidad, direcciones, compensación, detalles fiscales, información bancaria, registros laborales e Información de Salud Personal cuando sea necesaria para los Servicios.

Datos Desidentificados significa datos que han sido alterados, agregados, anonimizados o transformados de manera que ya no identifiquen a una persona y no puedan ser razonablemente reidentificados.

Registros significa cualquier dato, documento, registro, informe o información almacenada o procesada por PaymentEvolution en nombre del Cliente, excluyendo Información Excluida.

Propósito Permitido significa procesar Información Personal según sea necesario para prestar los Servicios, garantizar la funcionalidad de la plataforma, mantener la seguridad, cumplir con la ley, mejorar el rendimiento del sistema y cumplir con las instrucciones documentadas del Cliente.

Orden Extranjera en Conflicto tiene el significado establecido en su acuerdo original.

3. Roles y Responsabilidades

3.1 Cliente como Responsable del Tratamiento.
El Cliente sigue siendo responsable de:

  • determinar la base legal para el procesamiento;

  • obtener todos los consentimientos necesarios;

  • proporcionar los avisos requeridos;

  • la exactitud de la Información Personal enviada a PaymentEvolution; y

  • cumplir con sus propias obligaciones legales como empleador o custodio de datos.

3.2 PaymentEvolution como Encargado / Proveedor de Servicios.
PaymentEvolution procesará Información Personal:

  • solo para Propósitos Permitidos;

  • de acuerdo con las instrucciones documentadas del Cliente;

  • en cumplimiento de la Ley de Privacidad Aplicable;

  • utilizando Personal sujeto a obligaciones de confidencialidad.

4. Recolección, Uso y Divulgación

4.1 Procesamiento Permitido.
PaymentEvolution recopilará, accederá, usará, almacenará, divulgará, modificará o procesará Información Personal solo según sea necesario para:

  • prestar los Servicios;

  • mantener, solucionar problemas y proteger la plataforma;

  • detectar y prevenir fraude o acceso no autorizado;

  • cumplir con obligaciones legales o regulatorias;

  • detectar fraude

  • cumplir con RPAA, PCMLTFA

  • mejorar el sistema

  • proporcionar soporte, análisis, optimización del servicio y aseguramiento de calidad;

  • desarrollar y mejorar los Servicios de PaymentEvolution, siempre que dichas mejoras utilicen Datos Desidentificados.

4.2 Procesos Automatizados.
El Cliente autoriza a PaymentEvolution a utilizar sistemas automatizados, flujos de trabajo, motores de reglas y procesos basados en API según sea necesario para prestar los Servicios.

4.3 Procesamiento Prohibido.
Salvo cuando la ley lo exija, PaymentEvolution no:

  • venderá Información Personal;

  • usará Información Personal para marketing dirigido a los titulares de los datos;

  • usará Información Personal excepto según lo permitido en este DPA.

5. Procesamiento Transfronterizo e Infraestructura en la Nube

5.1 Alojamiento en la Nube.
El Cliente reconoce y consiente que PaymentEvolution puede almacenar o procesar Información Personal:

  • dentro de Canadá,

  • en Estados Unidos,

  • o en otras jurisdicciones con medidas contractuales, de seguridad y privacidad adecuadas.

5.2 Obligaciones del Cliente.
El Cliente confirma que ha proporcionado todos los avisos requeridos y obtenido todos los consentimientos requeridos de los titulares de los datos para el procesamiento internacional.

5.3 Protecciones Adecuadas.
PaymentEvolution utiliza controles de seguridad líderes en la industria, medidas contractuales, cifrado y salvaguardas organizativas para asegurar que cualquier procesamiento en el extranjero cumpla con PIPEDA y otras Leyes de Privacidad Aplicables.

6. Medidas de Seguridad

6.1 Salvaguardas.
PaymentEvolution implementará y mantendrá salvaguardas administrativas, técnicas y físicas apropiadas para la sensibilidad de la Información Personal, incluyendo:

  • cifrado en tránsito y en reposo;

  • controles de acceso, MFA, permisos basados en roles;

  • pruebas regulares de penetración y escaneo de vulnerabilidades;

  • detección y monitoreo de intrusiones;

  • minimización de datos y procesos seguros de respaldo/restauración;

  • ciclo de vida de desarrollo de software seguro (SDLC).

6.2 Acceso del Personal.
PaymentEvolution limita el acceso al Personal con una necesidad operativa legítima y garantiza que estén sujetos a acuerdos de confidencialidad y capacitación en privacidad.

6.3 Subencargados de Terceros.
PaymentEvolution puede utilizar proveedores de servicios en la nube, procesadores de pago y proveedores de infraestructura verificados, e impondrá obligaciones contractuales equivalentes a este DPA. Una lista de subencargados está disponible para el Cliente previa solicitud.

7. Solicitudes de Personas y Autoridades

7.1 Solicitudes de Titulares de Datos.
Si PaymentEvolution recibe una solicitud de acceso, corrección o eliminación directamente de una persona, PaymentEvolution:

  • remitirá al solicitante al Cliente, y

  • notificará al Cliente de inmediato.

7.2 Cooperación con el Cliente.
PaymentEvolution ayudará al Cliente a responder solicitudes legítimas dentro de plazos razonables.

7.3 Exigencias de Autoridades o del Extranjero.
Si PaymentEvolution recibe una exigencia de divulgación (incluida una Orden Extranjera en Conflicto):

  • PaymentEvolution notificará al Cliente, salvo que la ley lo prohíba;

  • las partes buscarán protecciones o revisión por un tribunal canadiense;

  • PaymentEvolution solo divulgará Información Personal cuando esté legalmente obligado en virtud de la ley canadiense.

8. Exactitud, Corrección y Retención

8.1 Exactitud.
PaymentEvolution hará esfuerzos razonables para mantener Información Personal exacta cuando recopile o actualice dichos datos en nombre del Cliente.

8.2 Retención.
PaymentEvolution conserva los Registros según sea necesario para prestar los Servicios o cumplir obligaciones legales (p. ej., CRA, normas laborales). El Cliente puede solicitar la destrucción cuando esté legalmente permitido.

8.3 Destrucción Segura.
Tras la terminación o instrucción por escrito, PaymentEvolution eliminará de forma segura o devolverá la Información Personal, salvo que la ley exija su retención.

9. Notificación de Incidentes

9.1 Notificación.
PaymentEvolution notificará al Cliente sin demora indebida de cualquier incidente que involucre:

  • acceso no autorizado,

  • divulgación,

  • pérdida,

  • modificación, o

  • otra violación
    de Información Personal.

9.2 Cooperación.
PaymentEvolution ayudará con:

  • investigación y remediación;

  • notificaciones regulatorias;

  • informes de incidentes; y

  • comunicaciones según lo exija la Ley de Privacidad Aplicable.

10. Datos Desidentificados y Agregados

10.1 Derechos de PaymentEvolution.
PaymentEvolution puede crear y usar Datos Desidentificados para:

  • análisis,

  • modelos de aprendizaje automático,

  • mejora del sistema,

  • solución de problemas,

  • benchmarking,

  • investigación y desarrollo,

  • reportes,

  • mejorar la exactitud y el rendimiento de los Servicios.

10.2 Propiedad.
Los Datos Desidentificados son propiedad de PaymentEvolution y dejan de estar sujetos a este DPA.

10.3 No Reidentificación.
PaymentEvolution no reidentificará Datos Desidentificados salvo que sea necesario por seguridad, detección de fraude o cumplimiento legal.

11. Subcontratistas

PaymentEvolution puede utilizar subcontratistas y subencargados para respaldar los Servicios. PaymentEvolution garantiza:

  • contratos escritos con obligaciones de privacidad y seguridad;

  • supervisión adecuada;

  • protecciones equivalentes a las de este DPA.

PaymentEvolution sigue siendo responsable del cumplimiento de los subcontratistas.

12. Responsabilidades del Cliente

El Cliente debe:

  • obtener todos los consentimientos y avisos requeridos;

  • proporcionar datos exactos;

  • cumplir las leyes de privacidad y laborales;

  • configurar adecuadamente los controles de acceso;

  • no hacer un uso indebido de los Servicios de una manera que viole la ley de privacidad.

PaymentEvolution no es responsable por la configuración incorrecta del Cliente ni por envíos de datos ilícitos.

13. Auditoría y Supervisión

13.1 Asistencia a Reguladores.
PaymentEvolution cooperará razonablemente con consultas de reguladores canadienses de privacidad relacionadas con los Servicios prestados para el Cliente.

13.2 Derechos de Auditoría del Cliente.
Con un aviso razonable y sujeto a requisitos de confidencialidad y seguridad, PaymentEvolution proporcionará:

  • resúmenes de auditorías de terceros (p. ej., SOC 2),

  • documentación de seguridad,

  • políticas de privacidad,

  • resúmenes de incidentes.

14. Terminación y Vigencia Posterior

14.1 Derechos de Terminación.
Un incumplimiento material de este DPA otorga al Cliente el derecho de terminar el Acuerdo subyacente si no se subsana dentro de 30 días, sujeto al MSA.

14.2 Vigencia Posterior.
Las obligaciones de PaymentEvolution continúan hasta que toda la Información Personal sea devuelta o eliminada, salvo cuando la retención sea legalmente obligatoria.

15. Disposiciones Generales

  • Este DPA puede divulgarse cuando la ley de privacidad lo requiera.

  • Si alguna disposición entra en conflicto con la ley de privacidad, prevalece la ley.

  • Si alguna disposición entra en conflicto con el Acuerdo, este DPA prevalece.

  • Este DPA no limita los derechos de PaymentEvolution de conservar o usar Datos Desidentificados.

Volver al índice legal