Este Acuerdo de Procesamiento de Datos («APD») es la base de la relación entre tú, el cliente, como controlador de datos y Ayuda-T , el proveedor del servicio, como procesador de datos bajo la legislación de protección de datos, más concretamente, el Reglamento General de Protección de Datos («RGPD»).
Este es un acuerdo importante que constituye la base contractual para que procesemos los datos en tu nombre. Explica cómo pueden procesarse tus datos y su propósito. Procesamos tus datos personales sólo según lo requerido y según tus indicaciones, tal como se describe en este acuerdo.
Debido a nuestro volumen de clientes, sería imposible celebrar acuerdos firmados individualmente con todos nuestros usuarios. También es nuestro deseo que, al facilitar la celebración de este acuerdo (APD), se asegure que la aceptación de los nuevos Términos, en cumplimiento del RGPD, te tome menos tiempo como propietario que debe su principal ocupación a un negocio.
Este APD te asegura que nosotros, como tu procesador de datos, cumplimos con los requisitos estipulados en el RGPD. Además, puedes estar seguro de que mantenemos los acuerdos necesarios con terceras partes. Los detalles de tu empresa se completan automáticamente en tu cuenta cuando aceptas los Términos y Condiciones y la Política de Privacidad, incluido este APD. Tus datos siempre representarán la información más actualizada que nos hayas proporcionado. El APD se detalla a continuación para tu información.
Acuerdo de Procesamiento de Datos
entre:
Nombre del cliente (“el cliente” o “controlador de datos”, en adelante) [Esta información se completará automáticamente una vez que hayas completado el registro]
y
“ Ayuda T Soluciones Profesionales S.L.” , con CIF: B72384936, domicilio en Polígono industrial salinas de San José, Avenida Isaac Newton Edif. 287, CP. 11.500, El Puerto de Santa María (CÁDIZ) (“ Ayuda-T ” o “procesador de datos”, en adelante)
cada uno una «parte»; juntos «las partes»,
HAN ACORDADO los términos de este Acuerdo de Procesamiento de Datos (en adelante «APD» o «Acuerdo») sobre protección de datos personales con respecto al procesamiento de datos personales cuando el cliente actúa como controlador de datos y Ayuda-T como procesador de datos para cumplir con las obligaciones de servicio descritas en el acuerdo de servicios (detallado más abajo). Como parte del cumplimiento de estas obligaciones de servicio, Ayuda-T procesará ciertos datos personales en nombre del controlador de datos, de conformidad con los términos de este contrato. Cada parte acuerda y se asegurará de que los términos de este contrato también sean plenamente aplicables a sus filiales, las cuales puedan estar involucradas en las operaciones de procesamiento de datos personales para el proyecto definido en el acuerdo de servicios. Específicamente, Ayuda-T se asegurará de que todos los subprocesadores operen dentro de los mismos términos que este Acuerdo al procesar los datos personales del cliente.
Introducción y definiciones:
Los datos personales se definen como cualquier información relacionada con un interesado por la que se puede identificar en particular, directa o indirectamente, por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física o jurídica (cuando corresponda).
Todas las demás definiciones mencionadas en este documento, incluidos los términos controlador de datos y procesador de datos, están determinadas por las leyes de protección de datos correspondientes, incluido el Reglamento General de Protección de Datos de la UE 2016/679 de 27 de abril de 2016 (en adelante, «RGPD»).
Los datos personales confidenciales no se consideran procesados bajo el servicio de aplicación ofrecido por el procesador de datos y, por lo tanto, están excluidos de los términos de este Acuerdo. .
Al suscribirte para utilizar el programa Ayuda-T y aceptar los Términos y Condiciones, incluida la Política de Privacidad y este APD, las partes acuerdan bajo todas las leyes nacionales de protección de datos y bajo el RGPD que este Acuerdo rige la relación entre el controlador de datos y el procesador de datos, determinando el procesamiento de los datos personales por parte de Ayuda-T de los datos del cliente. Este Acuerdo tiene prioridad, a menos que haya sido reemplazado por otro APD firmado que comunica su primacía sobre este Acuerdo.
El propósito del procesamiento de Ayuda-T de datos personales para el cliente es garantizar el pleno uso del servicio por parte del cliente y permitir que este Acuerdo se cumpla. Ayuda-T garantizará que se mantenga la seguridad suficiente de los datos personales en todo momento.
Ambas partes confirman su autoridad para firmar el Acuerdo al hacerlo.
Responsabilidades del procesador de datos:
El procesador de datos debe tratar todos los datos personales en nombre del controlador de datos y seguir sus instrucciones. Al celebrar este Acuerdo, Ayuda-T (y cualquier subprocesador con el que el procesador de datos tenga un acuerdo legal para ofrecer los servicios) tiene instrucciones de procesar los datos personales del cliente de la siguiente manera:
i) De acuerdo con todas las leyes nacionales y europeas; ii) cumplir con sus obligaciones bajo los términos de la aplicación de servicio; iii) según instrucciones del controlador de datos; iv) como se describe en este Acuerdo.
Como parte que provee la aplicación, se requiere que el procesador de datos siempre proporcione al cliente las soluciones adecuadas para acompañar el desarrollo continuo de su negocio mediante el uso del servicio. El procesador de datos rastrea cómo el cliente usa la aplicación para hacer las mejores sugerencias, proporcionar servicios relevantes en todo momento y comprometerse a enviar las comunicaciones más precisas con el fin de lograr la facilidad de uso y la satisfacción del cliente. En la medida en que el procesamiento de los datos personales de la aplicación forma parte de esto, se procesan solo de acuerdo con este APD y la ley aplicable y se comparten solo cuando sea necesario para proporcionar una mejor experiencia al cliente.
Teniendo en cuenta la tecnología disponible y el coste de implementación, así como el alcance, el contexto y el propósito del procesamiento, se requiere que el procesador de datos tome todas las medidas razonables, incluidas medidas técnicas y organizativas, para garantizar un nivel suficiente de seguridad en relación con el riesgo y la categoría de datos personales a proteger. El procesador de datos deberá ayudar al controlador de datos con las medidas técnicas y organizativas apropiadas según sea necesario y teniendo en cuenta la naturaleza del tratamiento y la categoría de información disponible para el procesador de datos para garantizar el cumplimiento de las obligaciones del controlador de datos bajo las leyes de protección de datos aplicables.
El procesador de datos notificará al controlador de datos sin demora indebida si el procesador de datos tiene conocimiento de una violación de la seguridad.
Además, el procesador de datos debe, en la medida de lo posible y de forma legal, informar al controlador de datos si se eleva una solicitud de datos (solicitud de acceso a datos) por parte de los organismos que deben proporcionarla. El procesador de datos responderá a tales solicitudes una vez que el controlador de datos lo autorice a hacerlo. El procesador de datos tampoco divulgará información sobre este Acuerdo a menos que el procesador de datos esté obligado por ley a hacerlo, como por orden judicial.
Si el controlador de datos requiere información o ayuda con respecto a la seguridad de los datos, la documentación o la información sobre cómo el procesador de datos procesa los datos personales en general, puede solicitar esta información del procesador.
El procesador de datos, sus empleados y cualquier afiliado o socio garantizará la confidencialidad en relación con los datos personales procesados en virtud del Acuerdo. Esta disposición continúa aplicándose después de la terminación del Acuerdo, independientemente de la causa de su terminación.
Responsabilidades del controlador de datos:
El controlador de datos confirma, al firmar este Acuerdo, que, al utilizar la aplicación, podrá procesar libremente sus datos según todos los requisitos legales de protección de datos, incluido el RGPD. El controlador da su consentimiento explícito para el procesamiento de sus datos personales en todo momento al utilizar el servicio.
El controlador de datos puede revocar este consentimiento en cualquier momento, pero al hacerlo termina el Acuerdo vigente y el procesador de datos ya no podrá ofrecer el servicio.
El cliente tiene una base legal para procesar los datos personales con el procesador de datos (incluidos los subprocesadores) con el uso de los servicios de Ayuda-T.
El controlador de datos es responsable en todo momento de la precisión, integridad, contenido y fiabilidad de los datos personales procesados por el procesador de datos. Ambos has cumplido todos los requisitos obligatorios en relación con la notificación u obtención de permiso de las autoridades públicas pertinentes con respecto al procesamiento de datos personales. Además, ambos han cumplido sus obligaciones de divulgación con las autoridades pertinentes con respecto al procesamiento de datos personales de acuerdo con toda la legislación de protección de datos aplicable.
El controlador de datos debe tener una lista precisa de las categorías de datos personales que procesa, particularmente si dicho procesamiento difiere de las categorías enumeradas por el procesador de datos en el Anexo A.
Acuerdo para la transferencia de datos y el uso de subcontratistas:
Para proporcionar el servicio al controlador de datos, el procesador de datos usa subcontratistas. Estos subcontratistas pueden ser proveedores externos tanto dentro como fuera de la UE / EEE. El procesador de datos garantiza que todos los subcontratistas cumplan con las obligaciones y los requisitos de este Acuerdo; específicamente, que su nivel de protección de datos cumple con el estándar requerido por las leyes de protección de datos relevantes. Si una jurisdicción queda fuera de la UE / EEE y no está en la lista aprobada por la Comisión Europea de niveles de protección de datos satisfactorios bajo el RGPD, entonces se establece un acuerdo específico entre Ayuda-T y dicho subcontratista para asegurar que mantendrá todos los datos personales según los requisitos de las leyes vigentes de protección de datos de la UE.
Este Acuerdo constituye el consentimiento previo específico y explícito del controlador de datos para el uso por parte del procesador de datos de subcontratistas de procesadores de datos, que a veces pueden estar fuera de la UE / EEE o de territorios aprobados por la Comisión Europea.
El controlador de datos puede revocar este consentimiento en cualquier momento, pero al hacerlo termina la vigencia del Acuerdo y el procesador de datos ya no podrá ofrecer el servicio.
Si se establece un subdirector o almacena datos personales fuera de los territorios aprobados por la UE / EEE o la Comisión Europea, el procesador de datos tiene la responsabilidad de garantizar una base satisfactoria para transferir datos personales a un tercer país en nombre del controlador de datos, incluido el uso de los contratos estándar de la Comisión Europea o medidas específicas que hayan sido aprobadas previamente por la Comisión Europea.
El controlador de datos debe ser informado antes de que el procesador de datos reemplace a sus subcontratistas. El controlador de datos puede oponerse a un nuevo subprocesador que procesa sus datos personales en nombre del procesador de datos, pero solo si el subprocesador no procesa los datos de acuerdo con la legislación de protección de datos vigente. El procesador de datos puede demostrar el cumplimiento proporcionando al controlador de datos dando acceso a la evaluación de protección de datos realizada por el procesador de datos.
Si el controlador de datos aún se opone al uso del subcontratista, puede finalizar su suscripción al servicio, sin el período de notificación habitual requerido, y luego asegurarse de que el subcontratista no deseado no procese sus datos personales.
Duración del Acuerdo:
El Acuerdo sigue siendo válido siempre que el procesador de datos procese datos personales con el uso del procesador de datos de la aplicación de servicio y a menos que sea reemplazado por otro APD firmado que comunique su primacía sobre este Acuerdo.
Terminación del Acuerdo:
Tras la finalización de cualquier suscripción, cuando el Acuerdo finalice, el procesador de datos eliminará todos los datos personales, excepto aquellos que se requiera que conserve según los requisitos legales aplicables y en tal caso se guardarán de acuerdo con las garantías técnicas y organizativas.
El controlador de datos tiene capacidad completa para recuperar todos sus datos personales de la aplicación de servicio. Si el controlador de datos solicita asistencia para la recuperación de datos, los costes asociados se determinarán de común acuerdo entre las partes y se basarán en la complejidad del proceso solicitado y el tiempo para cumplirlo en el formato elegido.
Cambios en el Acuerdo:
Los cambios en el Acuerdo deben adjuntarse en un anexo separado del Acuerdo. Si alguna de las disposiciones del Acuerdo se considera inválida, esto no afecta las disposiciones restantes. Las partes reemplazarán las disposiciones inválidas con una disposición legal que refleje el propósito de la disposición inválida.
Auditorías:
El controlador de datos tiene derecho a iniciar una revisión de las obligaciones del procesador de datos bajo el acuerdo una vez al año. Si se requiere que el procesador de datos lo haga conforme a la legislación aplicable, las auditorías pueden repetirse una vez al año. Se debe proporcionar un plan de auditoría detallado que describa el alcance, la duración y la fecha de inicio al menos cuatro semanas antes de la fecha de inicio propuesta. Las partes deciden juntas si un tercero debe realizar la auditoría. Sin embargo, el controlador de datos puede permitir que el procesador de datos tenga la revisión de seguridad realizada por un tercero neutral a elección del procesador de datos, si se trata de un entorno de procesamiento donde se procesan datos de múltiples controladores de datos.
Si el alcance propuesto de la auditoría sigue un informe de certificación ISAE, ISO o similar realizado, dentro de los doce meses anteriores, por un auditor tercero calificado y el procesador de datos confirma que no ha habido cambios importantes en las medidas bajo revisión, esto satisfará cualquier solicitud recibida dentro de dicho plazo. Las auditorías no pueden interferir irracionalmente con las actividades habituales del procesador de datos. El controlador de datos es responsable de todos los costes asociados con su solicitud de revisión de auditoría.
Responsabilidades y jurisdicciones:
La responsabilidad por acciones derivadas del incumplimiento de las disposiciones de este Acuerdo se rige por las disposiciones de responsabilidad e indemnización en los términos de la suscripción en la sección 13. Esto también se aplica a cualquier violación por parte de los subprocesadores del procesador de datos.
Este Acuerdo se rige por los tribunales del Reino de España, que tendrán jurisdicción exclusiva para determinar cualquier disputa sobre el mismo.
Anexo A. Categorías de información personal y categorías de procesamiento habitual
A. Categorías de información personal (la lista no es exhaustiva):
Nombre.
Dirección.
Número(s) de teléfono.
Dirección(es) de correo electrónico.
Dirección(es).
Cualquier número de cuenta y/o detalles bancarios.
B. Categorías de procesamiento habituales (la lista no es exhaustiva):
Los empleados del controlador de datos.
Contactos del controlador de datos (teléfono / correo electrónico / direcciones / etc.).
Los clientes del controlador de datos.
La información bancaria del controlador de datos.
Los empleados de sus clientes.
Contactos de sus clientes (teléfono / correo electrónico / direcciones / etc.).
Los clientes de sus clientes.
Información bancaria de los clientes de sus clientes.