Aquí puedes encontrar el Acuerdo de procesamiento de datos entre tú y SuperSaaS que los clientes ubicados en la Unión Europea pueden necesitar para cumplir con el RGPD. Si has ingresado en el sitio como administrador, los campos de abajo estarán rellenados automáticamente con los datos de tu cuenta.
Versión: 1.0
entre
y
[Nombre]
[Dirección]
[País]
SuperSaaS B.V.
Strawinskylaan 6
1077 XZ Amsterdam
The Netherlands
En adelante, el Responsable del tratamiento
En adelante, el Encargado del tratamiento
1 Introducción, área de aplicación, definiciones
- Este contrato estipula los derechos y obligaciones del Responsable y el Encargado (en adelante, las “partes”) en el contexto del procesamiento de datos personales por cuenta del Responsable.
- Este contrato es aplicable a todas las actividades por las cuales los empleados del Encargado, o cualquier otro subcontratado al que él/ella haya encargado, procesan datos personales por cuenta del Responsable.
- Los términos utilizados en este contrato deben entenderse en conformidad con sus respectivas definiciones en el Reglamento General de Protección de Datos (RGPD). Además, las declaraciones pueden hacerse en otra forma con la condición de que se garantice la adecuada verificación.
2 Ámbito y duración del procesamiento de datos
2.1 Ámbito
El Encargado llevará a cabo los siguientes procesos:
Proveer un servicio web para permitir a los usuarios finales del Responsable programar citas online. Proveer un servicio web que permita al Responsable gestionar esas citas y recoger los datos de los usuarios finales.
2.2 Duración
El procesamiento empezará el [Fecha de creación de la cuenta] y se llevará a cabo durante un período de tiempo no especificado hasta que la cuenta de SuperSaaS sea eliminada por parte del Responsable.
3 Naturaleza y finalidad de la recogida, procesamiento y uso de los datos
3.1 Naturaleza y finalidad del procesamiento de datos
El procesamiento de datos consiste en lo siguiente: recoger, ordenar, guardar, transferir, restringir y borrar datos.
Los datos se procesan con la siguiente finalidad: permitir a los usuarios finales del Responsable programar citas online.
3.2 Tipos de datos
Los siguientes datos deben ser procesados:
- Los datos introducidos por los usuarios finales del Responsable en el proceso del uso del servicio
3.3 Categorías de personas afectadas
Los datos procesados afectan a los siguientes sujetos de datos:
- Usuarios finales de la aplicación de citas online del Responsable.
4 Obligaciones del Encargado del tratamiento
- El Encargado solo procesará datos personales según lo acordado en el contrato, o según lo instruido por el Responsable, a menos que el Encargado esté legalmente obligado a llevar a cabo un tipo específico de procesamiento de datos. En el caso de que el Encargado esté sujeto a tales obligaciones, el Encargado debe informar al Responsable antes de procesar los datos, a menos que tal informe sea ilegal. Además, el Encargado no utilizará los datos proporcionados para su procesamiento con ninguna otra finalidad, específicamente la suya propia.
- El Encargado confirma que él/ella conoce las provisiones legales aplicables de protección de datos. Él es quien debe observar los principios del procesamiento correcto de los datos.
- El Encargado estará obligado a mantener una estricta confidencialidad al procesar los datos.
- Todas las personas que pudiera tener acceso a los datos procesados por cuenta del Responsable estará obligada por escrito a mantener la confidencialidad, a menos que ya están legalmente obligados a hacerlo a través de otro acuerdo por escrito.
- El Encargado asegurará que las personas que trabajan para él, encargadas de procesar los datos, tengan conocimiento de las disposiciones de protección de datos, así como de este contrato, antes de procesar los datos. Las correspondientes medidas de capacitación y sensibilización deberán llevarse a cabo de forma periódica. El Encargado asegurará que las personas encargadas de procesar los datos están adecuadamente instruidos y reciben la supervisión necesaria y continua en término de los requisitos de protección de datos.
- En relación con el procesamiento de datos encargado, el Encargado debe ayudar al Responsable al diseñar y actualizar la lista de actividades de procesamiento e implementar la evaluación de protección de datos. Todos los datos y documentación requerida deberán proporcionarse y ser inmediatamente puestos a disposición del Responsable cuando se soliciten.
- En caso de que el Responsable esté sujeto a la inspección de las autoridades de supervisión o a cualquier otro organismo, o en caso de que las personas afectadas ejerciten sus derechos contra el Responsable, entonces el Encargado estará obligado a ayudar al Responsable en la medida de lo posible, si los datos que han sido procesados por cuenta del Responsable se han visto afectados.
- El Encargado deberá proporcionar información a terceros únicamente con el consentimiento previo del Responsable. Las consultas enviadas directamente al Encargado se enviarán inmediatamente al Responsable.
- Si él/ella está legalmente obligado a hacer eso, el Encargado designará a una persona fiable y profesional como oficial de protección de datos autorizado. Debe estar seguro de que el oficial no tiene ningún conflicto de interés. En la eventualidad de cualquier duda, el Responsable puede contactar al oficial de protección de datos directamente. El Encargado debe entonces notificar inmediatamente al Responsable de los detalles de contacto del oficial de protección de datos o proporcionar una razón sobre por qué no se ha designado un oficial de protección de datos. El Encargado debe informar inmediatamente al Responsable de cualquier cambio en el estado del oficial de protección de datos o de cualquier cambio en sus tareas internas.
- Cualquier procesamiento de datos debe llevarse a cabo en la Unión Europea o el Espacio Económico Europeo. Cualquier cambio a un tercer país podrá tener lugar con el consentimiento del Responsable y de acuerdo con las condiciones estipuladas en el capítulo 5 del Reglamento General de Protección de Datos y su contrato.
5 Medidas técnicas y organizativas
- Las medidas de protección de datos se ajustarán de acuerdo con los continuados avances técnicos y organizativas, siempre que el mínimo acordado se haya cumplido lo suficiente. El Encargado implementará inmediatamente los cambios requeridos con el fin de mantener la seguridad de la información. El Responsable debe ser informado inmediatamente de cualquier cambio. Cualquier cambio significativo debe ser acordado entre las partes.
- En caso de que las medidas de seguridad implementadas por el Encargado no sean suficientes, o no del todo, el Encargado deberá informar al Responsable inmediatamente.
- No se crearán copias o duplicados sin el conocimiento del Responsable. Cualquier duplicado temporal técnicamente necesario está exento, siempre que se puedan descartar los efectos adversos sobre el nivel de protección de datos acordado.
- En caso de que los datos se procesen en una residencia privada, el Responsable debe asegurar que se mantiene un nivel suficiente de protección de datos y seguridad de datos y que los derechos de supervisión del Responsable tal y como se determinan en este contrato pueden también ejercitarse sin restricción en la residencia privada.
- Los medios de datos dedicados, los cuales origina o utiliza el Responsable, deben estar específicamente marcados y estarán sujetos a una administración continua. Estos deben ser almacenados apropiadamente en todo momento y no deben ser accesibles para personas no autorizadas. Cualquier eliminación o modificación debe estar documentada.
6 Estipulaciones sobre corrección, borrado y bloqueo de datos
- En el ámbito de los datos procesados por cuenta del Responsable, el Encargado puede solo corregir, borrar o bloquear los datos de acuerdo con el acuerdo contractual o las instrucciones del Responsable.
- El Encargado cumplirá con las instrucciones respectivas que el Responsable le proporcione en todo momento y también después de la finalización de este contrato.
7 Subcontratación
- Los subcontratistas solo pueden ser designados de forma individual con el consentimiento escrito del Responsable.
- El consentimiento solo es posible si el subcontratista está sujeto a un mínimo contractual de obligaciones de protección de datos, las cuales son comparables con las que se estipulan en este contrato. El Responsable inspeccionará, cuando se solicite, los contratos relevantes entre el Responsable y el subcontratista.
- Los derechos del Responsable deben también poder ejercitarse contra el subcontratista de forma efectiva. En particular, el Responsable debe tener el derecho a llevar a cabo inspecciones, o a que sean llevadas a cabo por terceros en la forma y medida que se especifica aquí.
- Las responsabilidades del subcontratista y del Encargado deben distinguirse claramente.
- No está permitida ninguna subcontratación adicional llevada a cabo por el subcontratista.
- El Encargado elegirá al subcontratista considerando específicamente su adecuación a las medidas técnicas y organizativas que sean tomadas por el subcontratista.
- Cualquier transferencia de los datos procesados por cuenta del Responsable al subcontratista solo serán permitidas después de que el Encargado haya provisto información convincente de que el subcontratista haya cumplido con sus obligaciones en su totalidad.
- El nombramiento de cualquier subcontratista, que debe encargarse de procesar los datos por cuenta del Responsable, que no se encuentre y no opere exclusivamente dentro de la Unión Europea y el Espacio Económico Europeo, solo es posible en cumplimiento con las condiciones estipuladas en el capítulo 4 (10) de este contrato. Específicamente, esto solo se permitirá si el subcontratista proporciona medidas de protección de datos adecuadas. El Encargado debe informar al Responsable de las garantías de protección de datos específicas proporcionadas por el subcontratista y cómo se puede obtener evidencia de esto.
- El Encargado debe revisar el cumplimiento del subcontratista con las obligaciones de forma periódica, al menos cada 12 meses como muy tarde. La inspección y sus resultados se deben documentar de forma que sea entendida por un tercero cualificado. La documentación debe enviarse al Responsable sin que se haya solicitado.
- En caso de que el subcontratista falle en el cumplimiento de sus obligaciones de protección de datos, el Encargado será responsable ante el Responsable de tratamiento por esto.
- La subcontratación, en términos de este contrato, solo se refiere a aquellos servicios que están directamente asociados con la representación del servicio primario. Los servicios adicionales, tales como el transporte, mantenimiento y limpieza, así como los servicios de telecomunicaciones o servicios de usuario, no aplican aquí. La obligación del Responsable de garantizar que se proporcione una protección de datos y seguridad adecuadas en estos casos no se verá afectada.
8 Derechos y obligaciones del Responsable del tratamiento
- El Responsable será el único responsable de evaluar la admisibilidad del procesamiento solicitado y de los derechos de las partes afectadas.
- El Responsable documentará todas las órdenes, órdenes parciales o instrucciones. En los casos urgentes, las instrucciones se pueden dar verbalmente. El Responsable confirmará y documentará estas instrucciones de manera inmediata.
- El Responsable notificará inmediatamente al Encargado si encuentra cualquier error o irregularidad al revisar los resultados del procesamiento.
- El Responsable está autorizado a designar un auditor externo independiente en posesión de las calificaciones profesionales necesarias y obligado por el deber de confidencialidad, y que resulte razonablemente aceptable para el Encargado, para inspeccionar el cumplimiento del Encargado con el presente Acuerdo de Tratamiento de Datos y la legislación de protección de datos requerida para determinar la integridad y veracidad de las declaraciones presentadas por el Encargado bajo este acuerdo. El derecho del Responsable a auditar estará sujeto a la notificación por escrito al Encargado de la auditoría con al menos 4 semanas de anticipación. El Responsable asumirá los costes de la auditoría.
- Las inspecciones de las premisas del Encargado se llevarán a cabo sin ninguna molestia evitable para las operaciones de su negocio. A menos que se indique lo contrario por motivos urgentes, los cuales deben ser documentados por el Responsable, las inspecciones se llevarán a cabo después de que se haga un aviso apropiado por anticipado y durante horas de trabajo, y no con mayor frecuencia de 12 meses. Si el Encargado proporciona evidencia de que las obligaciones de protección de datos acordadas se han implementado correctamente, cualquier inspección se limitará a la toma de muestras.
9 Obligaciones de notificación
- El Encargado notificará inmediatamente al Responsable de cualquier violación de datos personales. Deberá informarse de cualquier incidencia razonablemente sospechosa. El aviso debe hacerse en las direcciones conocidas del Responsable en las 24 horas siguientes desde el momento en el que el Encargado se da cuenta de que ha ocurrido una incidencia. Esta notificación debe contener al menos la siguiente información:
-
- Una descripción del tipo de infracción de protección de datos personales que incluya, si es posible, las categorías y números aproximados de personas afectadas, así como las categorías respectivas y los números aproximados de datos personales establecidos;
- El nombre y datos de contacto del oficial de protección de datos, u otro dato de contacto para más información;
- Una descripción de las probables consecuencias de la infracción de la protección de datos personales;
- Una descripción de las medidas tomadas o propuestas por el Encargado para rectificar la infracción de la protección de datos personales y, donde corresponde, medidas para mitigar sus posibles efectos adversos.
- El Responsable debe también ser informado inmediatamente de cualquier disrupción al llevarse a cabo las tareas, así como violaciones contra las disposiciones de protección de datos legales, o las estipulaciones en este contrato llevadas a cabo por el Encargado o cualquier individuo que trabaje para él/ella.
- El Encargado informará inmediatamente al Responsable de cualquier inspección o medida llevada a cabo por las autoridades supervisoras u otros terceros si están relacionados con el procesamiento de datos encargado.
- El Encargado garantizará que el Responsable recibe ayuda sobre estas obligaciones, de acuerdo con el artículo 33 y 34 del RGPD, en la medida requerida.
10 Instrucciones
- El Responsable se reserva el derecho de plena autoridad de emitir instrucciones concernientes al procesamiento de datos por su cuenta.
- El Encargado informará inmediatamente al Responsable si una instrucción emitida por el Responsable viola, en su opinión, los requisitos legales. El Encargado está autorizado a renunciar a llevar a cabo las instrucciones pertinentes hasta que hayan sido cambiadas o confirmadas por la parte responsable por cuenta del Responsable.
- El Encargado debe documentar las instrucciones emitidas y su implementación.
11 Finalización del proceso encargado
- Al terminar la relación contractual o en cualquier momento por la solicitud del Responsable, el Encargado debe destruir los datos procesados como parte del encargo, o enviar los datos al Responsable a la discreción del Responsable. Todas las copias de los datos que todavía estén presentes deben ser destruidas. Los datos se destruirán de una forma que la restauración o recreación de la información que quede ya no sea posible, incluso con un considerable esfuerzo.
- El Encargado está obligado a garantizar inmediatamente la devolución o eliminación de los datos por los subcontratistas.
- Cualquier documentación que sirva al fin de proporcionar prueba del procesamiento de datos adecuado, debe ser conservada por el Encargado de acuerdo con los períodos de retención respectivos, incluyendo el período legal después de que el contrato haya expirado. El Encargado puede enviar la documentación respectiva al Responsable una vez que sus obligaciones contractuales hayan terminado.
12 Remuneración
La remuneración del Encargado está conclusivamente estipulada en los Términos de uso. No hay remuneración o reembolso separado previsto en este contrato.
13 Responsabilidad
- El Responsable será responsable de compensar a cualquiera por daños causados por cualquier parte no autorizada o por un procesamiento de datos incorrecto dentro del ámbito de este contrato.
- El Responsable asumirá la carga de probar que el daño es el resultado de las circunstancias que dependen del Encargado en la medida en que los datos pertinentes se hayan procesado dentro de este acuerdo. Si no se ha proporcionado esta prueba, el Responsable deberá, cuando se haya pedido así inicialmente, liberar al Encargado de todas las reclamaciones que se le imputan en relación con el procesamiento de los datos.
- El Encargado será responsable ante el Responsable de cualquier daño culpablemente causado por el Encargado, sus empleados o subcontratistas designados, o la agencia ejecutora en relación con la prestación del servicio contractual solicitado.
- La responsabilidad del Encargado se limita a la cantidad pagada al Encargado por el Responsable en los dos años precedentes al incidente que causa la responsabilidad.
- Las secciones 13 (2) y 13 (3) no se aplicarán si el daño ocurrió como resultado de implementar correctamente el servicio solicitado o una instrucción proporcionada por el Responsable.
14 Derecho a rescindir el contrato
- El Responsable puede, en cualquier momento, rescindir este contrato sin avisar (terminación extraordinaria) si se produce una infracción grave de las normas de protección de datos o de las disposiciones de este contrato por parte del Encargado, si el Encargado no puede o no ejecuta las instrucciones legales del cliente, o si el Encargado rechaza aceptar los derechos de supervisión del Responsable, en violación de este contrato.
- Se considerará que se ha producido una violación grave si el Encargado no ha cumplido o ha incumplido sustancialmente sus obligaciones establecidas en este acuerdo, en particular las medidas técnicas y organizativas.
- Para las violaciones insignificantes, el Responsable proporcionará al Encargado un período razonable de tiempo para remediar la situación. En caso de que la situación no se remedie a su debido tiempo, el Responsable estará autorizado a la terminación extraordinaria del contrato como se estipula aquí.
15 Varios
- Ambas partes están obligadas a tratar todo el conocimiento de los secretos comerciales y medidas de seguridad de datos, que hayan sido obtenidas por la otra parte dentro del ámbito de la presente relación contractual, de forma confidencial, incluso después de que el contrato haya expirado. Si hay cualquier duda sobre si la información está sujeta a confidencialidad, se tratará confidencialmente hasta que se reciba una aprobación escrita por la otra parte.
- En caso de que la propiedad del Responsable sea amenazada por el Encargado debido a las medidas de terceros (por ejemplo, confiscación o incautación) por procedimientos de insolvencia y liquidación, u otras eventualidades, el Encargado informará inmediatamente al Responsable.
- En caso de que cualquier parte de este acuerdo sea inválida, eso no afectará a la validez del resto del acuerdo.