Acuerdo de tratamiento de datos

Esta versión es una traducción de la versión en inglés solo para fines informativos. En caso de discrepancias, prevalece la versión en inglés.

Controlador de datos: Cliente ubicado dentro de la UE (el “Controlador de datos”) y

Empresa:N.° de registro:Ciudad:País de registro:

(el “Procesador de datos“) (denominados por separado como una “Parte” y colectivamente las “Partes”)

han concluido lo siguiente:

Acuerdo de tratamiento de datos

(en lo sucesivo, el «Acuerdo»)

relativo al tratamiento de datos personales por parte del Encargado del Tratamiento en nombre del Responsable del Tratamiento.

1. Los datos personales procesados

1.1 El presente contrato (el “Acuerdo”) se ha celebrado en relación con el uso por parte del Controlador de datos de los servicios del Encargado del tratamiento como parte de la suscripción y los servicios adicionales descritos en las condiciones generales de One.com (el “Acuerdo Principal”).

1.2 El Procesador de datos procesa los tipos de datos personales en nombre del Controlador de datos en relación con los sujetos de datos relevantes según lo especificado en Anexo 1. Los datos personales se refieren a los sujetos de datos enumerados en Anexo 1.

1.3 El Procesador de datos puede iniciar el procesamiento de datos personales en nombre del Controlador de datos después de que el Acuerdo Principal entre en vigor. Al finalizar el Acuerdo Principal, el procesamiento cesará y los datos personales se eliminarán de acuerdo con las instrucciones en Anexo 1 del Acuerdo.

1.4 El Acuerdo y el Acuerdo Principal son interdependientes y no pueden rescindirse por separado. No obstante, el Acuerdo puede sustituirse por otro acuerdo de tratamiento de datos válido sin rescindir el Acuerdo Principal.

2. Fin

2.1 El Encargado del Tratamiento solo debe tratar los datos personales para los fines que sean necesarios para cumplir con las obligaciones del Encargado del Tratamiento y, en esto, para prestar los servicios establecidos en el Acuerdo Principal.

3. Obligaciones del Responsable del Tratamiento

3.1 El Responsable del Tratamiento garantiza que los datos personales se tratan con fines legítimos y objetivos, y que el Encargado del Tratamiento no trata más datos personales de los necesarios para cumplir con dichos fines.

3.2 El Responsable del Tratamiento es responsable de asegurar que existe una base jurídica válida para el tratamiento en el momento de transferir los datos personales al Encargado del Tratamiento. A petición del Encargado del Tratamiento, el Responsable del Tratamiento se 2 compromete, por escrito, a rendir cuentas y/o a proporcionar documentación sobre la base del tratamiento.

3.3 Además, el Responsable del Tratamiento garantiza que los interesados a los que pertenecen los datos personales han recibido información suficiente sobre el tratamiento de sus datos personales.

4. Obligaciones del Encargado del Tratamiento

4.1 Todo el tratamiento por parte del Encargado del Tratamiento de los datos personales proporcionados por el Responsable del Tratamiento debe ser de conformidad con las instrucciones preparadas por el Responsable del Tratamiento, y el Encargado del Tratamiento está obligado, además, a cumplir con toda la legislación en materia de protección de datos vigente en dicho momento. Si el Derecho de la Unión o de un Estado miembro de la UE a la que esté sujeto el Encargado del Tratamiento estipula que este debe tratar los datos personales enumerados en el Anexo 1, el Encargado del Tratamiento deberá informar al Responsable del Tratamiento de ese requisito legal antes de proceder al tratamiento. No obstante, esto no se aplica si esta legislación prohíbe dicha información por razones importantes de interés público. El Encargado del Tratamiento debe informar inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción infringe el Reglamento General de Protección de Datos u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

4.2 El Encargado del Tratamiento deberá adoptar todas las medidas de seguridad técnicas y organizativas necesarias, incluida cualquier medida adicional, para garantizar que los datos personales no se destruyan, pierdan o deterioren de manera accidental o ilegal, ni se pongan en conocimiento de terceros no autorizados, ni se utilicen de manera abusiva o de cualquier otra forma que sea contraria a la legislación en materia de protección de datos vigente en dicho momento. Estas medidas se describen con más detalle en el Anexo 2.

4.3 El Encargado del Tratamiento deberá garantizar que los empleados autorizados para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;

4.4 Si así lo solicita el Responsable del Tratamiento, el Encargado del Tratamiento debe declarar y/o documentar que cumple con los requisitos de la legislación aplicable en materia de protección de datos, incluida la documentación relativa a los flujos de datos del Encargado del Tratamiento, así como con los procedimientos/políticas de tratamiento de datos personales.

4.5 Teniendo cuenta la naturaleza del tratamiento, el Encargado del Tratamiento asistirá al Responsable, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento General de Protección de Datos.

4.6 El Encargado del Tratamiento u otro encargado del tratamiento (en lo sucesivo, el «subencargado del tratamiento») debe enviar las solicitudes y objeciones de los interesados al Responsable del Tratamiento, para el tratamiento posterior del Responsable del Tratamiento, a menos que el Encargado del Tratamiento tenga derecho a tramitar dicha solicitud por sí mismo. Si el Responsable del Tratamiento lo solicita, el Encargado del Tratamiento deberá ayudar al Responsable del Tratamiento a responder a dichas solicitudes y/u objeciones.

4.7 Si el Encargado del Tratamiento trata datos personales en otro estado miembro de la UE, el Encargado del Tratamiento debe cumplir con la legislación relativa a las medidas de seguridad en dicho Estado miembro.

4.8 El Procesador de datos debe notificar al Controlador de datos donde haya una interrupción en la operación, una sospecha de que se han violado las normas de protección de datos u otras irregularidades en relación con el procesamiento de los datos personales. El plazo del Procesador de datos para notificar al Controlador de datos sobre una violación de seguridad es de 48 horas desde el momento en que el Procesador de datos se entera de la violación de seguridad. Si lo solicita el Controlador de datos, el Procesador de datos debe ayudar al Controlador de datos en relación con la clarificación del alcance de la violación de seguridad, incluyendo la preparación de cualquier notificación a la Agencia de Protección de Datos correspondiente y/o a los sujetos de datos.

4.9 El Procesador de datos debe poner a disposición del Controlador de datos toda la información necesaria para demostrar el cumplimiento del artículo 28 del Reglamento General de Protección de Datos y del Acuerdo. En este sentido, el Procesador de datos permite y contribuye a auditorías, incluidas inspecciones, realizadas por el Controlador de datos o por otro auditor designado por el Controlador de datos. El Controlador de datos asume el costo de cualquier auditoría o inspección.

4.10 Además de lo anterior, el Encargado del Tratamiento debe asistir al Responsable del Tratamiento a la hora de garantizar el cumplimiento de las obligaciones del Responsable del Tratamiento en virtud de los arts. 32-36 del Reglamento General de Protección de Datos. Esta asistencia tendrá en cuenta la naturaleza del tratamiento y la información disponible para el Encargado del Tratamiento.

5. Transferencia de datos a subencargados o terceros

5.1 El Encargado del Tratamiento debe cumplir con las condiciones establecidas en el artículo 28, apartado 2 y 4 del Reglamento General de Protección de Datos para recurrir a otro encargado del tratamiento (subencargado del tratamiento). Esto implica que el Encargado del Tratamiento no recurrirá a otro Encargado del Tratamiento (subencargado del tratamiento) para la ejecución del Acuerdo sin la aprobación previa específica o general y por escrito del Responsable del Tratamiento.

5.2 El Responsable del Tratamiento otorga por la presente al Encargado del Tratamiento un poder general para celebrar acuerdos con subencargados del tratamiento. El Encargado del Tratamiento debe notificar al Responsable del Tratamiento cualquier cambio relativo a la adición o sustitución de subencargados del tratamiento a más tardar 30 días antes de que un nuevo subencargado comience a tratar los datos personales. El Responsable del Tratamiento puede objetar de manera razonable y pertinente contra dichos cambios en un plazo de 14 días a partir de la recepción de la notificación. Si el Encargado del Tratamiento sigue deseando recurrir a un subencargado del tratamiento al que el Controlador de Datos ha objetado, las Partes tienen derecho a rescindir el Acuerdo (véase el art. 7).

5.3 Cuando el Responsable del Tratamiento haya aprobado que el Encargado del Tratamiento puede recurrir a un subencargado del tratamiento, este deberá imponer al subencargado las mismas obligaciones que se establecen en el Acuerdo. Esto se ejecuta a través de un contrato u otro acto jurídico en virtud de la legislación europea o de un Estado miembro. Debe asegurarse, por ejemplo, que el subencargado del tratamiento de datos ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de manera que el tratamiento cumpla con los requisitos del Reglamento General de Protección de Datos (términos «back-to-back»).

5.4 Si el subencargado del tratamiento incumple sus obligaciones en materia de protección de datos, el Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento por el cumplimiento de las obligaciones del subencargado.

5.5 La divulgación y la transferencia a terceros países u organizaciones internacionales de los datos personales del Responsable del Tratamiento y el uso interno por parte de estos solo puede tener lugar de conformidad con las instrucciones documentadas del Responsable del Tratamiento, a menos que lo estipule la legislación de la UE o de un Estado miembro al que esté sujeto el Responsable del Tratamiento. En este caso, el Encargado del Tratamiento debe 4 notificar al Responsable del Tratamiento de este requisito legal antes del tratamiento, a menos que la ley prohíba dicha notificación por razones importantes de interés público.

5.6 Si los datos personales estipulados en el Anexo 1 se transfieren a subencargados fuera de la UE/del EEE, deberá indicarse en dicho acuerdo que la legislación en materia de protección de datos aplicable en el país del Responsable del Tratamiento se aplica a los subencargados. Además, si el subencargado del tratamiento receptor está establecido dentro de la UE/del EEE, debe indicarse en dicho acuerdo de tratamiento de los datos que deben cumplirse los requisitos legales específicos del país receptor de la UE relativos a los encargados del tratamiento, por ejemplo, en lo que respecta a las exigencias de notificación a las autoridades nacionales.

5.7 El Procesador de datos está obligado a celebrar acuerdos de procesamiento de datos por escrito con subencargados del tratamiento dentro de la UE/EEE. En cuanto a los subencargados del tratamiento fuera de la UE/EEE, el Procesador de datos debe garantizar las salvaguardias adecuadas, por ejemplo, la última versión de las Cláusulas Contractuales Estándar de la Comisión de la UE y celebrar un acuerdo de procesamiento de datos.

5.8 En el momento de la firma de este Acuerdo, el Encargado del Tratamiento recurre a los subencargados enumerados en el Anexo 3.

6. Responsabilidad

6.1 La responsabilidad de las Partes se rige por el Acuerdo Principal.

6.2 La responsabilidad de las Partes en caso de daños y perjuicios según este Acuerdo se rige por el Acuerdo Principal.

7. Fecha de entrada en vigor y terminación

7.1 Este Acuerdo entra en vigor al mismo tiempo que el Acuerdo Principal. En caso de terminación del Acuerdo Principal, este Acuerdo también terminará. No obstante, el Encargado del Tratamiento seguirá estando sujeto a las obligaciones estipuladas en este Acuerdo, siempre y cuando el Encargado del Tratamiento trate datos personales en nombre del Responsable del Tratamiento.

7.2 Una vez finalizados los servicios de tratamiento, el Encargado del Tratamiento está obligado, a petición del Responsable del Tratamiento, a eliminar o devolver todos los datos personales al Responsable del Tratamiento, así como a eliminar las copias existentes, a menos que la retención de los datos personales esté prescrita por la legislación nacional o de la UE.

8. Legislación aplicable y jurisdicción

8.1 Cualquier reclamación o disputa que surja de o en relación con este Acuerdo debe resolverse por un juzgado competente de primera instancia en la misma jurisdicción y con la misma elección de la legislación que se establece en el Acuerdo Principal.

9. Firmas

Anexo 1

Categorías de sujetos de datos, Tipos de datos personales e Instrucciones

1. Categorías de sujetos de datos:

• El Procesador de datos procesará la información de contacto de los visitantes del sitio web del Controlador de datos y de clientes actuales, potenciales o anteriores y/o miembros, empleados, proveedores, socios comerciales y de colaboración y afiliados.
• El Procesador de datos pone su sistema a disposición del Controlador de datos como un servicio alojado, y no es posible para el Procesador de datos determinar todas las categorías de sujetos de datos. Si el Controlador de datos aloja datos sobre más categorías de sujetos de datos con el Procesador de datos, es obligación del Controlador de datos registrar esta información.

2. Tipos de datos personales:

En general, todos los datos personales procesados a través del espacio web del Controlador de datos son procesados por el Procesador de datos. La lista no exhaustiva a continuación incluye los tipos más comunes de datos personales procesados a través de espacios web. El Controlador de datos decide qué datos personales elige procesar a través de la infraestructura del Procesador de datos. Esto puede incluir categorías especiales de datos personales enumeradas en el Artículo 9 del GDPR.

• Información de contacto e identificación, incluyendo correo electrónico
• Direcciones IP
• Nombres de dominio
• Nombres de usuario
• Información de membresía
• Datos de análisis y uso
• Historial de pedidos e información
• Contratos
• Comunicación
• Ayuda
• Imágenes
• Estado del consentimiento de marketing
• Datos personales incluidos en correos electrónicos
• Pueden ocurrir tipos adicionales de datos personales

3. Instrucciones

Servicio

El Procesador de datos puede procesar datos personales de los interesados con el propósito de entregar, desarrollar, gestionar, administrar y manejar los servicios del Acuerdo Principal, incluyendo asegurar la estabilidad y el tiempo de actividad de nuestros servidores y cumplir con los requisitos legales.

Plazo de conservación

Los datos personales almacenados/hosteados en nuestros sistemas se eliminan o anonimizan dentro de un tiempo razonable después de que el Controlador de datos haya terminado completamente el Acuerdo Principal.

Ubicación del procesamiento

El procesamiento de datos personales cubiertos por el Acuerdo no debe realizarse sin el consentimiento previo por escrito del Controlador de datos en ubicaciones distintas al centro de datos del Procesador de datos en Copenhague y la ubicación de los subencargados del tratamiento como se indica en el Anexo 3.

Anexo n.° 2

Medidas de seguridad

Anexo n.° 3

Lista de subencargados

Producto de alojamiento masivo

VPS no gestionado

VPS administrado

Editor web

Premium Care

WP.one

*Las entidades marcadas con * son parte de Group.one