Acuerdo Procesador de datos

Esta APD se celebra entre nosotros y el Cliente y se incorpora y se rige por los términos de los términos del cliente.

1. Definiciones

Cualquier término en mayúscula no definido en esta APD tendrá el significado que se le otorga en los Términos del Cliente.

“Términos de los Clientes”

significa el acuerdo entre nosotros y el Cliente para la prestación de los Servicios;

“Controlador”

El Cliente

“Sujeto de Datos”

tendrá el mismo significado que en la Directiva 95/46 / CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 (modificada periódicamente, o sustituida por legislación posterior);

“APD”

Es este acuerdo de procesador de datos, conjuntamente con documentación de seguridad;

“Datos Personales”

tendrá el mismo significado que en la Directiva 95/46 / CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 (modificada periódicamente, o sustituida por legislación posterior);

“Procesador”

Nosotros

“Documentación de Seguridad”

Significa que el documento que se encuentra en https:/asistentecomercial.com/seguridad-datos estará siempre actualizado con los datos que el Procesador pondrá a disposición del controlador.

“Cláusulas Contractuales Estándar”

las cláusulas modelo de la UE para la transferencia de datos personales de los controladores a los procesadores c2010-593 - Decisión 2010 / 87EU;

“Subsidiario”

significa cualquier entidad que directa o indirectamente controla, es controlada por, o está bajo el control común de una parte. "Control", a los fines de esta definición, significa propiedad o control directo o indirecto de más del 50% de los intereses con derecho a voto de una de las partes;

“Subprocesador”

significa cualquier persona o entidad contratada por nosotros (incluida una Subsidiaria) para procesar Datos Personales en la prestación de los Servicios al Cliente.

2. Propósito

 

El Procesador ha acordado proporcionar los Servicios al Controlador de acuerdo con los términos de los Términos del Cliente. Al proporcionar los Servicios, el Procesador procesará los Datos del Cliente en nombre del Controlador. Los datos del cliente pueden incluir datos personales. El Procesador procesará y protegerá dichos Datos Personales de acuerdo con los términos de este APD.

3. Alcance

Al proporcionar los Servicios al Controlador conforme a los términos del Cliente, el Procesador procesará los Datos Personales solo en la medida necesaria para proporcionar los Servicios de acuerdo con los términos de los Términos del Cliente y las instrucciones del Controlador documentadas en los Términos del Cliente y esta APD.

4. Obligaciones del Procesador

El procesador puede recopilar, procesar o usar datos personales solo dentro del alcance de esta APD.

El Procesador confirma que procesará Datos Personales en nombre del Controlador y tomará las medidas necesarias para garantizar que ninguna persona física que actúe bajo la autoridad del Procesador y que tiene acceso a Datos Personales no procese los Datos Personales, excepto bajo instrucciones del Controlador.

El Procesador informará sin demora al Controlador, si en opinión del Procesador, alguna de las instrucciones relativas al procesamiento de los Datos Personales provistos por el Controlador, infringe las leyes de protección de datos aplicables.

El procesador se asegurará de que todos los empleados, agentes, funcionarios y contratistas involucrados en el manejo de datos personales: (i) tienen conocimiento de la naturaleza confidencial de los datos personales y están obligados por contrato a mantener la confidencialidad de los datos personales; (ii) han recibido capacitación adecuada sobre sus responsabilidades como procesador de datos; y (iii) están sujetos a los términos de esta APD.

El Procesador deberá implementar los procedimientos técnicos y organizativos apropiados para proteger los Datos Personales, teniendo en cuenta el estado de la tecnología, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de variabilidad y severidad para el derechos y libertades de las personas físicas.

El Procesador deberá implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluya, entre otros, según corresponda: (i) la seudonimización y el cifrado de los Datos Personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y flexibilidad constantes de los sistemas y servicios de procesamiento; (iii) la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico; (iv) un proceso para testar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento. Al acceder al nivel de seguridad apropiado, se tendrán en cuenta, en particular, los riesgos que presenta el procesamiento, en particular, de destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados ​​de otra manera. .

Las medidas técnicas y organizativas detalladas en la Documentación de Seguridad se cumplirán en todo momento como un estándar de seguridad mínimo. El Controlador acepta que las medidas técnicas y organizativas están sujetas a desarrollo y revisión, y que el Procesador puede utilizar medidas alternativas adecuadas a las detalladas en los archivos adjuntos a esta APD, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad de los Servicios.

Cuando los datos personales relacionados con un sujeto de datos de la UE se transfieran fuera del EEE, solo serán procesados ​​por entidades que: (i) estén ubicadas en un tercer país o territorio reconocido por la Comisión de la UE para tener un nivel adecuado de protección; o (ii) han celebrado Cláusulas contractuales estándar con el procesador; o (iii) tenga otras salvaguardas apropiadas reconocidas legalmente, como el Escudo de privacidad UE-EE. UU. o las Reglas Corporativas Vinculantes.

Teniendo en cuenta la naturaleza del procesamiento y la información disponible para el procesador, el procesador asistirá al controlador teniendo en cuenta las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del controlador de responder a las solicitudes de ejercer los derechos del Sujeto de Datos y el cumplimiento por parte del Contralor de las obligaciones de protección de datos del Contralor con respecto al procesamiento de Datos Personales.

5. Obligaciones del Controlador

El Controlador declara y garantiza que cumplirá con los términos de los Términos del Cliente, esta APD y todas las leyes de protección de datos aplicables.

El Controlador representa y garantiza que ha obtenido todos los permisos y autorizaciones necesarios para permitir que el Procesador, sus Subsidiarias y Subprocesadores ejecuten sus derechos o cumplan con sus obligaciones bajo esta APD.

El controlador es responsable del cumplimiento de toda la legislación de protección de datos aplicable, incluidos los requisitos con respecto a la transferencia de datos personales en virtud de esta APD y los términos del cliente.

Todas las Subsidiarias del Controlador que usen los Servicios deberán cumplir con las obligaciones del Controlador establecidas en esta APD.

El Controlador tiene sus propias obligaciones de implementar sus propios procedimientos técnicos y organizativos apropiados para proteger los Datos Personales, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de variabilidad y gravedad de los derechos y libertades de las personas físicas. El Contralor implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo, incluidos, entre otros, según corresponda: (i) la seudonimización y el cifrado de los Datos Personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y flexibilidad constantes de los sistemas y servicios de procesamiento; (iii) la capacidad de restablecer la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico; (iv) un proceso para probar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento. Al acceder al nivel de seguridad adecuado, se tendrán en cuenta, en particular, los riesgos que presenta el procesamiento, en particular, la destrucción accidental o ilegal, la pérdida, alteración, divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o procesados.

El Controlador deberá tomar medidas para garantizar que cualquier persona física que actúe bajo la autoridad del Controlador y que tiene acceso a los Datos Personales no procese los Datos Personales, excepto bajo instrucciones del Controlador.

El Controlador puede requerir corrección, eliminación, bloqueo y / o poner a disposición los Datos Personales durante o después de la terminación del Acuerdo. El Procesador procesará la solicitud en la medida en que sea legal, y cumplirá razonablemente dicha solicitud de acuerdo con sus procedimientos operativos estándar en la medida de lo posible.

El Controlador reconoce y acepta que algunas instrucciones del Controlador, incluida la destrucción o la devolución de datos del Procesador, pueden generar tarifas adicionales. En tal caso, el Procesador notificará al Controlador de dichas tarifas por adelantado a menos que se acuerde lo contrario.

6. Subprocesadores

El Controlador reconoce y acepta que: (i) Las Subsidiarias del Procesador pueden ser utilizadas como Subprocesadores; y (ii) el Procesador y sus Subsidiarias respectivamente pueden contratar Subprocesadores en relación con la prestación de los Servicios.

Todos los Subprocesadores que procesan Datos Personales en la provisión de los Servicios al Controlador cumplirán con las obligaciones del Procesador similares a las establecidas en esta APD.

Cuando los subprocesadores se encuentran fuera del EEE, el Procesador confirma que dichos subprocesadores: (i) están ubicados en un tercer país o territorio reconocido por la Comisión de la UE para tener un nivel adecuado de protección; o (ii) han celebrado Cláusulas contractuales estándar con el procesador; o (iii) tenga otras salvaguardas apropiadas reconocidas legalmente, como el Escudo de privacidad UE-EE. UU. o las Reglas Corporativas Vinculantes.

El procesador pondrá a disposición del controlador la lista actual de subprocesadores (en https://asistentecomercial.com/subprocesadores) que incluirá las identidades de los subprocesadores y su país de ubicación. Durante la vigencia de esta APD, el Procesador deberá proporcionar al Controlador al menos 30 días de notificación previa, por correo electrónico (o notificación en la aplicación), de cualquier cambio en la lista de los Subprocesadores que puedan procesar Datos Personales antes autorizar a cualquier (s) Subprocesador (s) nuevo (s) o de reemplazo para procesar Datos Personales en relación con la prestación de los Servicios.

Si el Controlador se opone a un Subprocesador nuevo o de reemplazo, el Controlador podrá rescindir los Términos del Cliente con respecto a los Servicios que el Procesador no pueda proporcionar sin el uso del Subprocesador nuevo o de reemplazo. El Procesador reembolsará al Concesionario cualquier tarifa prepaga que cubra el resto del Plazo de los Términos del Cliente después de la fecha de vigencia de la terminación con respecto a dichos Servicios rescindidos.

7. Responsabilidad

Las limitaciones de responsabilidad establecidas en los Términos del cliente se aplican a todos los reclamos realizados en virtud de cualquier incumplimiento de los términos de esta APD.

Las partes acuerdan que el Procesador será responsable por cualquier incumplimiento de esta APD causado por los actos y omisiones o negligencia de sus Subprocesadores en la misma medida en que el Procesador sería responsable si realiza los servicios de cada Subprocesador directamente bajo los términos de la APD, sujeto a cualquier limitación de responsabilidad establecida en los términos de los Términos del Cliente.

Las partes acuerdan que el Controlador será responsable de cualquier incumplimiento de esta APD causado por los actos y omisiones o negligencia de sus Subsidiarias como si tales actos, omisiones o negligencia hubieran sido cometidos por el propio Controlador.

El Controlador no tendrá derecho a recuperar más de una vez con respecto a la misma reclamación.

8. Auditoría

El procesador deberá poner a disposición del controlador toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones de procesamiento y permitir y contribuir a las auditorías e inspecciones.

Toda auditoría realizada en virtud de esta APD consistirá en el examen de los informes, certificados y / o extractos más recientes preparados por un auditor independiente vinculados por disposiciones de confidencialidad similares a las establecidas en el Acuerdo. En el caso de que la provisión de la misma no se considere suficiente en la opinión razonable del Controlador, el Controlador podrá realizar, a su propio costo, una auditoría más amplia que: (i) tendrá un alcance limitado a asuntos específicos del Controlador y acordado de antemano con el procesador; (ii) llevado a cabo durante el horario comercial de España y con un aviso razonable que no será inferior a 4 semanas, a menos que haya surgido un problema material identificable; y (iii) conducido de una manera que no interfiera con el negocio diario del Procesador. El procesador puede cobrar una tarifa (basada en su tiempo y costos razonables) para ayudar con cualquier auditoría. El Procesador proporcionará al Controlador más detalles de cualquier tarifa aplicable y la base de su cálculo, antes de dicha auditoría.

Esta cláusula no modificará ni limitará los derechos de auditoría del Controlador, sino que pretende aclarar los procedimientos con respecto a cualquier auditoría emprendida conforme a la misma.

 

9. Eliminación de Datos

El Controlador habilitará el Procesador para borrar Datos Personales usando la funcionalidad provista por el Servicio. Después de cualquier período de recuperación, el Procesador eliminará permanentemente los Datos Personales de los sistemas.

Al finalizar, el Controlador tiene la opción de solicitar la devolución o eliminación de Datos Personales. Esta solicitud debe hacerse dentro de los 14 días posteriores a la finalización. El procesador pondrá a disposición los datos para descargarlos en un formato legible por máquina. A partir de entonces, el Procesador eliminará permanentemente los Datos Personales de los sistemas en vivo en cualquier caso.

Tras la eliminación permanente de los sistemas en vivo, los datos parciales se encuentran en los sistemas de archivo del procesador por un período de hasta 35 días. Si así lo solicita el Controlador, el Procesador puede ayudar con la recuperación de datos parciales de estos archivos durante este período. Se cobrará una tarifa por este servicio.

10. Notificación de intrusión no autorizada en el sistema

El Procesador deberá notificar al Controlador sin demora después de conocer (y en cualquier caso dentro de las 72 horas posteriores al descubrimiento) cualquier destrucción, pérdida, alteración o divulgación no autorizada o ilegal, o el acceso a Datos Personales ("Infracción de Datos").

El Procesador tomará todas las medidas comercialmente razonables para proteger los Datos Personales, limitar los efectos de cualquier Incumplimiento de Datos y ayudar al Controlador a cumplir con las obligaciones del Controlador según la ley aplicable.

La notificación del Procesador o su respuesta a una Infracción de Datos bajo esta Sección 10 no se interpretará como un reconocimiento por parte del Procesador de cualquier fallo u obligación con respecto a la Infracción de Datos.

El Procesador no evaluará el contenido de los datos del Controlador para identificar información sujeta a cualquier incumplimiento de datos específico del Controlador. El controlador es el único responsable de cumplir con las leyes de notificación de violación de datos aplicables al controlador y cumplir con las obligaciones de notificación de terceros relacionadas con cualquier incumplimiento de datos.

11. Cumplimiento, Cooperación y respuesta

En el caso de que el Procesador reciba una solicitud de un Sujeto de Datos en relación con Datos Personales, el Procesador remitirá el Sujeto de Datos al Controlador, a menos que la ley lo prohíba. El Controlador deberá reembolsar al Procesador por todos los costos incurridos que resulten de proporcionar asistencia razonable al tratar con una solicitud del Sujeto de Datos o ayudar al Controlador a cumplir con sus obligaciones. En el caso de que el Procesador esté legalmente obligado a responder al Sujeto de Datos, el Controlador cooperará completamente con el Procesador según corresponda.

El Procesador notificará al Controlador de manera oportuna cualquier solicitud o reclamo relacionado con el procesamiento de Datos Personales, lo que tendrá un impacto adverso en el Controlador, a menos que tal notificación no esté permitida por la ley aplicable o por una orden judicial relevante.

El Procesador puede hacer copias y / o retener Datos Personales para cumplir con sus requisitos legales o reglamentarios, incluidos, entre otros, los requisitos de retención.

Las partes reconocen que es obligación del Controlador notificar al Procesador dentro de un plazo razonable de cualquier cambio a las leyes, códigos o reglamentaciones de protección de datos aplicables que puedan afectar las obligaciones contractuales del Procesador. El Procesador deberá responder dentro de un plazo razonable con respecto a cualquier cambio que deba hacerse a los términos de esta APD o a las medidas técnicas y organizativas para mantener el cumplimiento. Si las partes acuerdan que se requieren enmiendas, pero el Procesador no puede acomodar los cambios necesarios, el Controlador puede rescindir la parte o partes de los Servicios que dan lugar al incumplimiento. En la medida en que otras partes de los Servicios proporcionados no se vean afectadas por dichos cambios, la prestación de dichos Servicios no se verá afectada.

El Controlador y el Procesador y, cuando corresponda, sus representantes, cooperarán, previa solicitud, con una autoridad supervisora ​​de protección de datos en el desempeño de sus respectivas obligaciones bajo esta APD.

Las partes acuerdan que el Procesador tendrá derecho a cobrar al Controlador tarifas adicionales para reembolsar al Procesador por el tiempo, los costos y los gastos de su personal para ayudar al Controlador, cuando el Controlador solicite al Procesador que brinde asistencia conforme a esta APD. En tales casos, el Procesador notificará al Controlador de sus tarifas para proporcionar asistencia, por adelantado.

12. Término y terminación

El término de esta APD coincidirá con el comienzo del Acuerdo y esta APD terminará automáticamente junto con la terminación o expiración del Acuerdo.

13. General

Esta APD establece la comprensión completa de las partes con respecto al tema en este documento.

Si una disposición de esta APD no es válida o deja de ser válida, el efecto legal de las demás disposiciones no se verá afectado. Se considera que se ha acordado una disposición válida que se acerca más a lo que las partes pretendían comercialmente y debe reemplazar la disposición inválida. Lo mismo se aplicará a cualquier omisión.

Esta APD se regirá por las leyes de España. Los tribunales de España tendrán jurisdicción exclusiva para la resolución de todas las disputas que surjan bajo esta APD.