Vistas las disposiciones sobre la protección de datos personales, incluido el Artículo 28 del RGPD, las Partes celebran el siguiente acuerdo:
1. DEFINICIONES
A efectos del presente Acuerdo, los siguientes términos tendrán el significado que se indica a continuación:
1.1. Datos personales – se refiere a cualquier dato del Administrador relativo a una persona física identificada o identificable en la medida en que dicha información esté protegida como datos personales en virtud de la normativa aplicable
1.2. NOZBE – se refiere a la aplicación utilizada en el curso del Acuerdo por el Administrador, proporcionada por el Procesador, en la que se procesan los datos personales confiados por el Administrador
1.3. Reglamentos – se refiere a las leyes de protección de datos personales en vigor en Polonia, en particular: Reglamento (UE) 679/2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (DO L 119 de 2016, p. 1) (en lo sucesivo denominado «RGPD»), y la Ley de 10 de mayo de 2018 sobre protección de datos personales (Diario Oficial de la República de Polonia de 2018, epígrafe1000) (en lo sucesivo denominada la «Ley»)
1.4. Términos de servicio – se refiere a los términos y condiciones de uso de NOZBE disponibles en nozbe.com/terms
1.5. Autorización para el tratamiento – se refiere a este acuerdo incluyendo cualquiera de sus enmiendas, anexos y adjuntos, siempre que se hagan por escrito y estén firmados por ambas partes.
2. REPRESENTACIONES DE LAS PARTES
2.1. El Administrador declara que es el administrador de los datos personales confiados para procesar al Procesador y que recoge y procesa los datos personales de acuerdo con el reglamento.
2.2. Las partes declaran que la Autorización para el tratamiento se celebró con el fin de cumplir las obligaciones especificadas en el reglamento en relación con el uso de NOZBE por el Administrador y aceptar los Términos de servicio por parte del Administrador.
2.3. Cada una de las Partes del acuerdo, actuando como Administrador de datos personales proporcionados en virtud del presente acuerdo, se compromete a no transferir ningún dato personal fuera del Espacio Económico Europeo, a menos que:
2.3.1. la transferencia tenga lugar a un país aprobado por la Comisión Europea por ofrecer protección adecuada de conformidad con el Art. 45 del reglamento RGPD;
2.3.2. existan garantías adecuadas de conformidad con el Art. 46 del RGPD; o
2.3.3. se aplique una de las excepciones para las situaciones específicas enumeradas en el artículo 49 del RGPD para la transferencia de datos.
3. OBJETO DEL ACUERDO
3.1. El Administrador confía al Encargado del tratamiento el tratamiento de datos personales y el Encargado del tratamiento se compromete a tratarlos de acuerdo con los reglamentos y el Acuerdo con el único propósito de usar NOZBE por parte del Administrador.
3.2. El Procesador puede procesar datos personales solo en la medida y para el propósito establecido en: Acuerdo, reglamentos y órdenes documentadas del Administrador.
3.3. Este acuerdo es una instrucción documentada del Administrador a procesar por parte del Encargado del tratamiento los datos personales que el Administrador le proporcione en la ejecución de este acuerdo, incluyendo una instrucción para transferir los datos personales fuera del EEE.
4. EL OBJETIVO, ÁMBITO Y NATURALEZA DEL PROCESAMIENTO
4.1. El Encargado del tratamiento puede procesar en NOZBE datos personales especificados en la definición de datos personales. El Encargado del tratamiento utilizará estos datos para realizar, en particular, las siguientes operaciones: almacenamiento o, tras recibir dicha orden del Administrador, eliminación. El tratamiento de los datos personales tiene por objeto permitir al Administrador el uso de NOZBE.
4.2. El Procesador se compromete a procesar los datos personales en NOZBE de forma permanente.
4.3. El Administrador declara que la naturaleza de los datos personales confiados en este Acuerdo no incluye categorías especiales de datos personales en el sentido del Art. 9.1 del RGPD ni datos sobre condenas e infracciones penales en el sentido del Art. 10 del RGPD.
4.4. Los datos personales serán procesados por el Procesador en forma electrónica en NOZBE.
4.5. El Procesador recibirá los datos personales del Administrador.
4.6. El administrador confiará, en particular, los datos personales de las siguientes categorías de personas: administrador, empleados del administrador, contratistas del administrador.
5. PROCESAMIENTO DE LAS NORMAS DE AUTORIZACION PARA EL TRATAMIENTO
5.1. Al tratar los datos personales que se le confían, el Encargado del tratamiento se compromete a garantizar su seguridad mediante la aplicación de las medidas técnicas y organizativas apropiadas que garanticen un nivel adecuado de seguridad correspondiente con los riesgos relacionados con el tratamiento de datos personales, tal como se contempla en el artículo 32 del Reglamento. En particular, el Encargado del tratamiento declara que la infraestructura del servidor está basada en Amazon AWS y Heroku. Los servidores y sus copias se encuentran en Irlanda, Alemania y Francia. Tanto Amazon AWS como Heroku prestan sus servicios con un nivel de seguridad muy elevado - es posible consultar los detalles en los documentos publicados en https://aws.amazon.com/compliance/gdpr-center/ y https://www.heroku.com/
5.2. De conformidad con el artículo 28(3)(b) del RGPD, el Procesador se compromete a preservar el secreto de los datos personales que le sean confiados por el Administrador.
5.3. El Procesador garantiza que las personas que tienen acceso a los datos personales los conservan en secreto, así como los métodos de su protección. La obligación de preservar el secreto continuará aplicándose después de la finalización de la Autorización para el tratamiento y el cese de empleo del Procesador.
5.4. El Procesador declara que, de conformidad con la obligación de preservar el secreto de los datos confiados, no serán utilizados, divulgados ni puestos a disposición sin el consentimiento por escrito del Administrador para fines distintos de la aplicación del acuerdo de cooperación o los que se deriven de la ley.
5.5. Las Partes harán todo lo posible para que los medios de comunicación que utilicen para recibir, transmitir y almacenar datos personales garanticen la protección contra el acceso no autorizado de terceros que no están autorizados a divulgar, poner a disposición y familiarizarse con su contenido. En particular, el Encargado del tratamiento informa que para garantizar la máxima seguridad de los datos personales, los discos con la base de datos y los ficheros enviados a NOZBE están cifrados con AES-256. Además, para incrementar el nivel de seguridad de los archivos y documentos confidenciales, cada archivo cargado por separado en NOZBE (como comentario u otro archivo adjunto) se cifra con una clave de cifrado individual.
5.6. El Encargado del tratamiento se compromete a realizar periódicamente pruebas de seguridad, tanto internas como encargadas a empresas externas especializadas.
5.7. La persona de contacto en cuestiones relacionadas con la ejecución de este contrato es Tomasz Kapelak, tom@nozbe.com. El cambio de una persona dedicada no requiere un anexo, sino únicamente informar al Administrador por correo electrónico.
6. OTRAS OBLIGACIONES DEL PROCESADOR
6.1. El Encargado del tratamiento se compromete a ayudar al Administrador en el cumplimiento de sus obligaciones de conformidad con los Artículos 32-36 del RGPD. Concretamente, el Encargado del tratamiento ayudará al Administrador a responder a las solicitudes de los interesados, entre las que se incluyen: el derecho a la información, al acceso y a la copia de los datos, a la rectificación, el derecho a la eliminación, el derecho a la limitación del tratamiento, el derecho a la transferencia de los datos, el derecho de oposición al tratamiento de los datos y el derecho a no ser sometido a la toma de decisiones automatizadas, incluida la elaboración de perfiles.
6.2. El Encargado del tratamiento está obligado a proporcionar al Administrador información sobre la comisión de un incidente relacionado con la violación de las normas de tratamiento de datos personales en un plazo de 48 horas desde que se produzca o se sospeche que se ha producido el incidente. El Encargado del tratamiento no informará de la vulneración a la autoridad de supervisión sin consultar al Administrador.
6.3. En caso de un incidente (vulneración), el Encargado del tratamiento se compromete a cooperar con el Administrador hasta donde sea necesario, así como a hacer valer los efectos de la vulneración para la protección de los datos de carácter personal.
6.4. El Encargado del tratamiento está obligado a llevar un registro de las categorías de actividades de tratamiento de datos en nombre del administrador.
6.5. El Encargado del tratamiento está obligado a informar al Administrador de cada caso en que el tratamiento de datos sea exigido por la legislación de la UE o de un Estado miembro, en relación con el tratamiento de datos personales que no sea de acuerdo con la instrucción del Administrador documentada, a menos que la ley prohíba el suministro de dicha información debido a un interés público importante.
6.6. Teniendo en cuenta el estado de los conocimientos técnicos, el coste de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de datos, así como el riesgo de violación de los derechos o la libertad de las personas físicas con diferentes probabilidades y gravedad, el encargado del tratamiento está obligado a implementar todas las medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad correspondiente a este riesgo, en particular la seudonimización y el cifrado de los datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico; la comprobación, medición y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de datos. Al evaluar si el nivel de seguridad es adecuado, se tiene en cuenta el riesgo asociado al tratamiento de datos, en particular el derivado de la destrucción accidental o ilícita, la pérdida, modificación, divulgación no autorizada o acceso no autorizado a los datos personales transmitidos, almacenados o tratados de otro modo.
7. SUBAUTORIZACIÓN DEL CONSENTIMIENTO DEL TRATAMIENTO
7.1. El Encargado del tratamiento puede confiar los datos personales cubiertos por la Autorización para el tratamiento para su posterior procesamiento por parte de los subcontratistas con el fin de cumplir la Autorización para el tratamiento, es decir, garantizar la seguridad de los datos personales y/o de NOZBE. El subtratamiento de datos personales únicamente puede tener lugar sobre la base de un subcontrato de datos personales. El Encargado del tratamiento está obligado a informar al Administrador sobre el subtratamiento de datos personales. Debido a la necesidad de garantizar la seguridad de los datos personales (copia de seguridad), la subautorización no requiere la aprobación previa del Administrador.
7.2. El tratamiento de los datos confiados se realizará de conformidad con los términos y condiciones especificados en la Autorización para el tratamiento de datos y en las Condiciones de servicio.
7.3. El subcontratista al que se hace referencia en la sección 7, párrafo 1, de la Autorización proporcionará las mismas garantías y cumplirá las mismas obligaciones que las impuestas al Encargado del tratamiento en la Autorización para el tratamiento, deben garantizar la implementación de medidas técnicas y organizativas adecuadas de acuerdo con el RGPD y la protección de los derechos de los interesados.
7.4. El Procesador será totalmente responsable ante el Administrador por el incumplimiento de las obligaciones de protección de datos impuestas al subcontratista y establecidas en la Autorización para el tratamiento.
8. RESPONSABILIDAD
8.1. Cada Parte será responsable de los daños causados a la otra Parte y a terceros en relación con la aplicación de la Autorización para el tratamiento.
8.2. El Procesador será responsable de proporcionar o utilizar los datos personales de forma incompatible con la Autorización para el tratamiento y, en particular, de proporcionar a personas no autorizadas acceso a los datos personales autorizados para su tratamiento.
9. AUDITORÍA DEL PROCESADOR
9.1. De conformidad con el artículo 28(3)(h) del RGPD, el Administrador de datos tendrá derecho a examinar si las medidas aplicadas por el Procesador en el tratamiento y la seguridad de los datos personales confiados cumplen con las disposiciones de la Autorización para el tratamiento.
9.2. El Procesador proporcionará al Administrador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD.
9.3. El Procesador notificará inmediatamente al Administrador cuando considere que una orden recibida por él viola las disposiciones reglamentarias.
9.4. Teniendo en cuenta el ámbito de aplicación de la auditoría y los costos asociados con la misma, el Procesador podrá cobrar al Administrador unos honorarios razonables y justificados en relación con la auditoría.
9.5. El Encargado del tratamiento proporciona al Administrador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 del RGPD y permite al Administrador o a un auditor autorizado por el Administrador realizar auditorías, incluidas las inspecciones, y contribuye a ellas.
10. CESE DE LA AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS
10.1. Una vez finalizada la prestación de los servicios relacionados con el procesamiento de datos personales, el Procesador, dependiendo de la decisión del Administrador, eliminará o devolverá todos los datos personales y eliminará todas sus copias existentes en cualquier medio de almacenamiento, lo que no afectará a la legalidad del procesamiento realizado por el Procesador durante la vigencia de la Autorización para el tratamiento.
11. DISPOSICIONES FINALES
11.1. La Autorización para el tratamiento se celebra durante un período de tiempo ilimitado que comienza el 25 de mayo de 2018.
11.2. La finalización del uso de NOZBE mediante la eliminación de la cuenta en NOZBE tiene como resultado la terminación del Autorización para el tratamiento de datos y la eliminación de los datos personales.
11.3. Si alguna de las disposiciones de la Autorización resulta no válida o inaplicable, dicha no validez parcial, ilegalidad o inaplicabilidad de una disposición no afectará a la validez de las demás disposiciones de la Autorización. Las Partes entablarán negociaciones para sustituir las disposiciones no válidas o inaplicables de la Autorización con nuevas disposiciones.
11.4. Cualquier cambio o adición al contenido y a las disposiciones de la Autorización para el tratamiento de datos requiere un formulario por escrito para ser efectiva.
11.5. Las Partes harán todo lo posible para que los medios de comunicación que utilicen para recibir, transmitir y almacenar información confidencial garanticen la protección de los datos confidenciales, incluidos, en particular, los datos personales confiados para su tratamiento, contra el acceso no autorizado de terceros no autorizados para familiarizarse con su contenido.
11.6. Las Partes son administradores mutuos de los datos especificados en la introducción (considerandos) de la Autorización para el tratamiento de datos.
11.7. En los asuntos no regulados por la Autorización, se aplicarán las normas generalmente aplicables de la legislación polaca, incluidas las disposiciones del Código Civil.
11.8. La Autorización se ha preparado en dos ejemplares idénticos, uno para cada Parte.
