Acuerdo de procesamiento de datos

INDICE

  1. OBJETIVOS
  2. ALCANCE
  3. DURACIÓN
  4. OBLIGACIONES DEL PROCESADOR DE DATOS
  5. OBLIGACIONES DEL RESPONSABLE DE DATOS
  6. TERCEROS PROCESADORES DE DATOS
  7. TERCEROS PAISES Y ORGANIZACIONES INTERNACIONALES
  8. PROCESAMIENTO DE DATOS FUERA DEL ALCANCE DE LAS INSTRUCCIONES
  9. INCUMPLIMIENTO DE CONTRATO
  10. RESPONSABILIDADES Y LIMITACIÓN DE RESPONSABILIDADES
  11. FORCE MA JEURE
  12. TERMINACIÓN Y REVOCACIÓN
  13. EFECTO DE LA TERMINACIÓN
  14. PRECEDENCIA

APPENDIX 1 – SERVICIOS PRINCIPALES

APPENDIX 2 – OBLIGACIONES DEL RESPONSIBLE DE DATOS

APPENDIX 3 – TERCEROS PROCESADORES DE DATOS

Entre:

El cliente (empresa, fundación o asociación) (de aquí en adelante el ”Responsible de Datos”)

Y:

MarketingPlatform Spain SL
Calle Vallirana 41
08006 Barcelona
NIF B67238048

(de aquí en adelante ”Procesador de Datos”)

(El Responsable de los Datos y el Procesador de Datos también se denominarán en lo sucesivo “Parte”, y juntos como “las Partes”)
{Insertar fecha aquí} es la fecha del siguiente acuerdo de procesamiento de datos.

1. OBJETIVOS

1.1 Las Partes han acordado la entrega de servicios especificados del Procesador de Datos a los Responsables de la Información, como se describe en los Términos del Procesador de Datos, que son aceptados por el Cliente y que se adjuntan como Apéndice 1 a este Acuerdo (en adelante, el Servicios principales”).

1.2 En este sentido, el Procesador de Datos procesa los datos personales en nombre del Responsable de los Datos, para lo cual las Partes han celebrado este acuerdo de procesamiento de datos, con la documentación adjunta (en adelante, el “Acuerdo de Procesamiento de Datos”).

1.3 El Acuerdo de Procesamiento de Datos tiene como objetivo garantizar que el Procesador de Datos cumpla con la regulación pertinente actualmente en vigor, que incluye específicamente:

  • Ley de Protección de Datos (2000-05-31 nr. 429 y posteriores cambios) {La Ley danesa de datos personales (Ley 2000-05-31 n. ° 429, enmendada)}, y
  • Reglamiento de Privacidad (Parlamento Europeo (EU) 2016 / 679 el 27. abril 2016) {Reglamento de datos personales (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016)}, cuando entre en vigor.

2. ALCANCE

2.1 El Procesador de Datos está autorizado a procesar datos personales en nombre del Responsable de los Datos bajo los términos establecidos en el Acuerdo de Procesamiento de Datos.

2.2 El Procesador de Datos solo puede procesar datos personales de acuerdo con una instrucción documentada del Responsable de los Datos (de aquí en adelante “Instrucciones”). El Acuerdo de procesamiento de datos, incluidos los Apéndices, constituyen las Instrucciones en el momento de la firma.

2.3 Las Instrucciones pueden en cualquier momento ser modificadas o aclaradas por los Datos Responsables.

2.4 En la medida en que el Contrato de procesamiento de datos no especifique lo contrario, el procesador de datos puede usar todas las ayudas pertinentes, incluidos los sistemas informáticos.

3. DURACIÓN

3.1 El Acuerdo de procesamiento de datos es válido hasta que:

a) cesa el / los acuerdo (s) relacionado (s) con la entrega de los Servicios Principales, o
b) El Contrato de procesamiento de datos se termina o se anula.

4. OBLIGACIONES DEL PROCESADOR DE DATOS

4.1 Medidas de seguridad técnicas y organizativas

4.1.1 El Procesador de Datos es responsable de implementar los requisitos técnicos y
medidas organizativas para garantizar un nivel adecuado de seguridad. Las medidas deben aplicarse teniendo en cuenta el nivel técnico actual, los costos de implementación y la naturaleza, alcance, composición y propósito del tratamiento en cuestión, así como los riesgos de diversa probabilidad y gravedad de los derechos y libertades de una persona o personas reales. El Procesador de datos deberá, entre otras cosas, tomar en consideración la categoría de datos personales descrita en el Apéndice 1.1 al determinar estas medidas.

4.1.2 El Procesador de Datos deberá implementar las medidas técnicas y organizativas apropiadas de tal forma que el procesamiento de datos personales del Procesador de Datos cumpla con los requisitos de la regulación pertinente actualmente en vigencia.

4.2 Obligaciones del empleado

4.2.1 El procesador de datos debe garantizar que los empleados que procesan datos personales para el procesador de datos se hayan comprometido con total confidencialidad o estén sujetos a la confidencialidad legal apropiada.
4.2.2 El procesador de datos debe garantizar que el acceso a los datos personales se limite a los empleados para los cuales es necesario procesar los datos personales a fin de cumplir con las obligaciones del procesador de datos con los responsables de los datos.
4.2.3 El procesador de datos debe garantizar que los empleados que manejan datos personales para el procesador de datos solo los procesen de acuerdo con las instrucciones.

4.3 Documentación y cumplimiento de obligaciones

4.3.1 El Procesador de Datos debe, previa solicitud por escrito, documentar a los Datos Responsables que el Procesador de Datos es:
a) En cumplimiento de sus obligaciones en virtud del Acuerdo de procesamiento de datos y las Instrucciones, y
b) En cumplimiento de lo establecido en la normativa vigente vigente en materia de datos personales procesados en nombre del Responsable de los Datos.
4.3.2 La documentación estándar del Procesador de datos se puede encontrar en Servicios principales (Apéndice 1). Si el Cliente desea recibir más documentación después del punto 4.3.1 de este acuerdo, el Cliente deberá aclarar y especificar qué documentación se requiere.

4.4 Violación de la seguridad

4.4.1 El Procesador de Datos notificará al responsable de los Datos de cualquier violación de datos personales que pueda conducir a la destrucción accidental o ilegal, pérdida, cambio, divulgación no autorizada o acceso a los datos personales procesados para el Responsable de los Datos (en adelante, “Infracción de Seguridad”).
4.4.2 Una infracción de seguridad debe ser notificada a los responsables de los datos sin demoras innecesarias.
4.4.3 El procesador de datos debe mantener un registro de todas las violaciones de seguridad. El inventario tal registro debe documentar lo siguiente como mínimo:
a) Los hechos relacionados con la infracción de seguridad,

b) El impacto de la infracción de seguridad, y

c) La acción correctiva tomada como consecuencia del incumplimiento de seguridad.

4.4.4. El registro debe ponerse a disposición del Responsable de los Datos o de cualquier Autoridad de Supervisión u Ombudsman relevante previa solicitud por escrito.

4.5 Asistencia

4.5.1 El Procesador de Datos deberá, según corresponda y con la debida diligencia, ayudar al Responsable de los Datos a cumplir sus obligaciones en el procesamiento de los datos personales cubiertos por el Acuerdo de Tratamiento de Datos, incluyendo y en relación con:
a) responder a las personas registradas que ejercen sus derechos pertinentes,

b) Infracción de seguridad,

c) Evalución de impacto, y

d) Consultas previas con las autoridades supervisoras y los defensores del pueblo.

4.5.2 El Procesador de Datos deberá, entre otras cosas, proporcionar la información que se incluirá en una notificación a la Autoridad de Supervisión en la medida en que El Procesador de Datos sea el más cercano a este.
4.5.3 El Procesador de Datos tiene derecho al pago debido por el tiempo y los materiales consumidos por la asistencia prestada conforme a esta sección (4.5).

5. OBLIGACIONES DEL RESPONSABLE DE LOS DATOS

5.1 El responsable de los datos tiene las obligaciones establecidas en el apéndice 2.

6. PROCESADORES DE DATOS DE TERCEROS

6.1 El Procesador de Datos puede usar un tercero para el procesamiento de datos personales para el Responsable de los Datos (“Procesador de Datos de Terceros”) en la medida en que esto se establezca en:
a) Apéndice 3 de este Acuerdo de procesamiento de datos, o

b) Instrucción del responsable de los datos.

6.2 El Procesador de datos de terceros debe celebrar un acuerdo por escrito que imponga al Procesador de datos de terceros las mismas obligaciones de protección de datos que el Procesador de datos (incluidos los apendices en el Acuerdo de procesamiento de datos).

6.3 El responsable de los datos deberá proporcionar, previa solicitud por escrito, todos los acuerdos cubiertos por la sección 6.2, incluidos aquellos con cualquier procesador de datos de terceros.

6.4 El Procesador de Datos de Terceros solo actúa específicamente de acuerdo con, y en relación con, las Instrucciones acordadas con el Responsable de los Datos. A menos que se acuerde específicamente lo contrario, todas las comunicaciones con el Procesador de Datos de Terceros son manejadas por el Procesador de Datos. Cualquier cambio o aclaración a las Instrucciones del Responsable de los Datos será pasado inmediatamente por el Procesador de Datos al Procesador de Datos de Terceros.

6.5 El procesador de datos es directamente responsable de garantizar el procesamiento de los datos personales del procesador de datos de terceros de la misma manera que si fuera procesado por el propio procesador de datos.

7. TERCER PAÍS O ORGANIZACIONES INTERNACIONALES

7.1 El Procesador de Datos solo puede transferir datos personales a terceros países u organizaciones internacionales en la medida en que así lo indiquen las Instrucciones del Responsable de los Datos.

7.2 La transferencia de datos personales solo puede permitirse en todos los casos en la medida permitida por la reglamentación vigente actualmente en vigor.

8. PROCESAMIENTO DE DATOS FUERA DEL ÁMBITO DE LAS INSTRUCCIONES

8.1 El Procesador de Datos puede procesar información personal fuera del alcance de las Instrucciones en los casos en que lo exija la legislación de la UE o la legislación nacional pertinente a la que esté sujeto el Procesador de Datos.

8.2 Al procesar los datos personales más allá del alcance de las Instrucciones, el Procesador de Datos debe notificar a los Datos al responsable de la razón de esto. La notificación debe hacerse antes de que la operación sea afectada y debe contener una referencia a las obligaciones legales que requieren la operación.

8.3 La notificación no debe hacerse si dicha notificación es contraria a la legislación de la UE o al derecho nacional pertinente.

9. INCUMPLIMIENTO DEL CONTRATO

9.1 El incumplimiento de contrato(s) con respecto a la prestación de los Servicios Principales se aplica a este Acuerdo de Procesamiento de Datos como si este Acuerdo de Procesamiento de Datos fuera una parte integral del mismo. En el caso de que los contratos para la entrega de los Servicios Principales no se mantengan, la(s) potencia(s) general(es) de la legislación local aplicable se aplicarán por defecto a este Acuerdo de Procesamiento de Datos.

10. RESPONSABILIDADES Y LIMITACIÓN DE RESPONSABILIDADES

La regulación de las limitaciones de responsabilidad y responsabilidad en los Términos acordados (ApéndicE 1) se aplica también para este Acuerdo de procesamiento de datos como si este Acuerdo de procesamiento de datos fuera una parte integral del mismo.

11. FUERZA MAJOR

11.1 La regulación de fuerza mayor en los Términos acordados (Apéndice 1) también se aplica a este Acuerdo de procesamiento de datos como si este Acuerdo de procesamiento de datos fuera una parte integral del mismo.

12. TERMINACIÓN Y REVOCACIÓN

12.1 Este Acuerdo de procesamiento de datos solo puede rescindirse o revocarse de acuerdo con los términos de terminación y revocación de los Términos y condiciones (Apéndice 1).

13. EFECTO DE LA TERMINACIÓN

13.1 La autorización del Procesador de datos para procesar datos personales en nombre del responsable de los datos caduca al final del Acuerdo de procesamiento de datos, por el motivo que sea. La terminación se rige por el aviso de terminación y ejecución que se rige por los Términos (Apéndice 1).

13.2 El Procesador de datos devolverá, como en la práctica, y según se rige por los Términos (Apéndice 1), todos los datos personales (excepto la información enriquecida en la Plataforma del procesador de datos y estadísticas y datos de comportamiento) que el Procesador de datos haya procesado en este Procesamiento de datos Acuerdo con los responsables de la información al finalizar este Acuerdo de procesamiento de datos, en la medida en que el responsable de los datos ya no esté en posesión de dichos datos personales. El procesador de datos está obligado a eliminar todos los datos personales del responsable de los datos dentro de los plazos definidos en los términos (apéndice 1). El responsable de los datos puede solicitar la documentación requerida para esto. En la práctica, esta eliminación se afecta borrando y revocando el acceso del responsable de los datos a la plataforma del procesador de datos.

No incluye el proceso continuo de backup de 10 días llevado a cabo por el Procesador de Datos y el Procesador de Datos de Terceros.

14. PRECEDENCIA

14.1 Si hay algún conflicto entre este Acuerdo de procesamiento de datos y los Términos (Apéndice 1) con respecto a la Entrega de los Servicios principales, los Términos (Apéndice 1) prevalecerán, a menos que el Contrato de procesamiento de datos disponga lo contrario.

APÉNDICE 2 – OBLIGACIONES DEL RESPONSABLE DE LOS DATOS

1. Obligaciones

1.1 El responsable de los datos tiene las siguientes obligaciones:

a) Asegurar que el procesamiento de los datos personales cumpla totalmente con la legislación y de conformidad con la Ley de Datos Personales, y que los Términos acordados (Apéndice 1) se respeten en todo momento.

APÉNDICE 3 – PROCESADORES DE DATOS DE TERCEROS

1. Condiciones generales

1.1 El (los) Responsable (es) de Datos aceptan (n) que el Procesador de Datos utilice el siguiente Procesador de Datos de Terceros.:

a) Sentia Solutions A/S, Smedeland 32 2600 Glostrup, Dinamarca, CVR.nr. 25464737 (proporciona infraestructura física y alojamiento, incluidos servidores y seguridad).

1.2 Con el Acuerdo de Procesamiento de Datos, el Responsable de los Datos indica la aprobación general previa por escrito para que el Procesador de Datos haga uso de un Procesador de Datos de Terceros. El Procesador de Datos debe notificar por escrito al Responsable de los Datos el uso de un Procesador de Datos de Terceros antes del comienzo de la operación. En consecuencia, el Procesador de Datos deberá notificar a los Datos Responsables de la terminación del uso de un Procesador de Datos de Terceros.

1.3 El responsable de los datos puede oponerse a dicho procesador de datos de terceros en la medida en que existan motivos razonables para ello.

2. Términos y condiciones especiales

2.1 El Responsable de los Datos acepta que el Procesador de Datos utiliza aplicaciones, soluciones y hardware estándar de la industria de, por ejemplo, Apple, Google y Microsoft.


Actualizado 13 de diciembre 2019.