Acuerdo de procesamiento de datos (DPA)
Entre
El controlador de datos:
Usuario del software Atobi, tal y como se especifica en el acuerdo principal entre el Controlador de Datos y el Procesador de Datos
Cada cliente individual para el que Atobi ApS procese datos y que no haya firmado un acuerdo de procesamiento de datos válido con Atobi ApS y el procesador de datos.
Atobi ApS
CVR 35239901
Klosterstræde 9, 1157 Copenhague, Dinamarca
1. INTRODUCCIÓN
El presente Acuerdo de Tratamiento de Datos ("APD") especifica las obligaciones de las Partes en materia de protección de datos, que se derivan del tratamiento de datos personales por parte del Procesador de Datos en nombre del Controlador de Datos en virtud del presupuesto, el acuerdo de servicio u otro acuerdo entre las Partes ("el Acuerdo").
El APD se adopta como apéndice del Acuerdo. En caso de que alguna disposición del presente APD sea incompatible con alguna(s) cláusula(s) del Acuerdo, prevalecerá el APD.
2. OBJETIVO, ALCANCE Y RESPONSABILIDADES
2.1 El procesador de datos sólo procesará los datos personales de acuerdo con los términos de esta DPA.
2.2 El Procesador de Datos procesará los datos personales con el propósito limitado de cumplir con las obligaciones establecidas en el Acuerdo. Para ello, los datos podrán ser tratados por cualquiera de las entidades del Procesador de Datos.
2.3 El tratamiento de datos por parte del Procesador de Datos incluirá las acciones que se especifiquen en el Acuerdo.
2.4 La vigencia del presente APD continuará hasta lo último de lo siguiente: la terminación del Acuerdo, o la fecha en que el Procesador de Datos deje de procesar datos personales para el Controlador de Datos.
2.5 Los datos personales que tratará el Proveedor se refieren a las categorías de datos, a las categorías de interesados y a los fines del tratamiento establecidos en el Anexo 1.
2.6 A excepción de los datos descritos en el Anexo 1, los datos tratados por el Procesador de Datos no incluirán en ningún caso (los ejemplos no son exhaustivos):
i) Datos personales según lo establecido en el art. 9 o 10 del Reglamento 2016/679 de 27 de abril de 2016
ii) Datos financieros,
iii) Datos personales relativos a infracciones penales, o
iv) Datos relativos a la economía de las personas, los impuestos, las deudas, las relaciones familiares, las circunstancias residenciales.
3. PLATAFORMA ATOBI
3.1. El acuerdo permite al responsable del tratamiento utilizar la "plataforma Atobi", una herramienta informática desarrollada por el responsable del tratamiento. La "plataforma Atobi" permite a los empleados del responsable del tratamiento (con acceso de administrador) cargar información sin la participación o el conocimiento del responsable del tratamiento.
3.2. El Procesador de Datos no asume ninguna responsabilidad por los datos cargados por el Controlador de Datos en la "plataforma Atobi".
3.3. En la medida en que dicha carga de datos constituye un tratamiento de datos personales, el responsable del tratamiento garantiza:
i) que el responsable del tratamiento dispone de la base jurídica pertinente para tener y tratar los datos personales, incluyendo, en su caso, los permisos pertinentes del interesado; y
ii) que, si la transferencia implica categorías sensibles de datos, véase la sección 3.3, el interesado ha sido informado o será informado antes de la transferencia, o tan pronto como sea posible, de que sus datos podrían ser transmitidos a un tercer país que no ofrece una protección adecuada en el sentido de la legislación sobre protección de datos.
4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
El Procesador de Datos garantiza que el Procesador de Datos:
i) cumplir con la Legislación de Protección de Datos aplicable en cada momento a las obligaciones del Procesador de Datos en virtud del Acuerdo ("Legislación de Protección de Datos"),
ii) procesar cualquier dato personal transferido o recogido por el Procesador de Datos sólo como "procesador", tal como se definen estos términos en la Legislación de Protección de Datos, en nombre del Controlador de Datos,
iii) aplicar las medidas técnicas y organizativas apropiadas de manera que el tratamiento cumpla los requisitos de la legislación aplicable en materia de protección de datos y garantice la protección de los derechos de los interesados,
iv) garantizar que los subprocesadores se comprometan a tratar los datos personales de acuerdo con la legislación sobre protección de datos,
v) teniendo en cuenta la naturaleza del tratamiento, asistir al responsable del tratamiento mediante las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado de acuerdo con la legislación sobre protección de datos,
vi) en la medida pertinente, ayudar al responsable del tratamiento a garantizar el cumplimiento de los requisitos de seguridad de los datos personales,
vii) poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente APD y permitir y contribuir a las auditorías, incluidas las inspecciones de las instalaciones bajo el control del responsable del tratamiento, realizadas por el responsable del tratamiento o por un auditor encargado por el responsable del tratamiento.
5. MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS
5.1. El Procesador de Datos implementará y mantendrá durante la vigencia del APD y procurará que sus Subprocesadores implementen y mantengan durante la vigencia del APD, las medidas de seguridad técnicas y organizativas apropiadas para proteger los datos personales contra la destrucción, pérdida, daño o alteración accidental o ilegal y contra la divulgación no autorizada, el abuso u otro procesamiento que viole los requisitos de la Legislación de Protección de Datos.
5.2. El Procesador de Datos se asegurará de que tanto él como sus subprocesadores involucrados en el procesamiento de datos personales cumplan en todo momento con los requisitos mínimos de seguridad de datos establecidos en el Anexo 2.
6. PERSONAL
6.1. El Procesador de Datos procurará que todo el personal del Procesador de Datos que deba acceder a los datos personales se haya comprometido a la obligación de confidencialidad establecida en el Acuerdo o esté bajo una obligación legal de confidencialidad.
6.2. El Procesador de Datos procurará que todo el personal del Procesador de Datos que deba acceder a los datos personales sea informado de la naturaleza confidencial de los datos personales y de los procedimientos de seguridad aplicables al procesamiento de los datos personales o al acceso a los mismos.
6.3. El compromiso del personal del Procesador de Datos de respetar dichos requisitos de confidencialidad continuará después de la finalización del presente APD.
7. ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO DE DATOS
7.1 El encargado del tratamiento proporcionará una asistencia razonable y oportuna al responsable del tratamiento para que éste pueda responder:
(i) cualquier solicitud de un interesado para ejercer cualquiera de sus derechos en virtud de la legislación aplicable en materia de protección de datos (incluidos sus derechos de acceso, rectificación, oposición, supresión y portabilidad de datos, según proceda); y
(ii) cualquier otra correspondencia, consulta o reclamación que se reciba de un interesado, un regulador u otro tercero en relación con el tratamiento de los datos. En caso de que dicha solicitud, correspondencia, consulta o reclamación se dirija directamente al responsable del tratamiento, éste informará sin demora al responsable del tratamiento proporcionándole todos los detalles de la misma.
7.2 El encargado del tratamiento proporcionará al responsable del tratamiento una cooperación razonable para que el responsable del tratamiento pueda llevar a cabo cualquier evaluación de impacto sobre la protección de datos que deba realizar en virtud de la legislación aplicable en materia de protección de datos.
8. SUBPROCESADORES
8.1. El Encargado del Tratamiento deberá cumplir los requisitos especificados en el artículo 28, apartados 2 y 4, del RGPD para poder contratar a otro encargado del tratamiento (un subencargado).
8.2. Con el presente APD, el Procesador de Datos cuenta con la autorización general del Controlador de Datos para la contratación de Subprocesadores con el fin de cumplir con las obligaciones establecidas en el Acuerdo. Los subprocesadores, aprobados por el responsable del tratamiento mediante la firma del presente APD, se enumeran en el Anexo 3. El Procesador de Datos deberá;
i) mantener una lista actualizada de sus subprocesadores en el sitio web del procesador de datos en https://www.atobi.io/ (o en cualquier sitio web futuro utilizado por el procesador de datos);
ii) actualizar con los detalles de cualquier cambio en los subprocesadores con al menos 30 días de antelación a dicho cambio (excepto en la medida en que no sea posible un aviso de 30 días debido a una emergencia) y notificar al responsable del tratamiento dicho cambio a través del proceso habitual de notificación por correo electrónico del responsable del tratamiento;
iii) proporcionar una copia, previa solicitud, del acuerdo o acuerdos de procesamiento de datos entre el procesador de datos y los subprocesadores en cualquier momento al controlador de datos.
8.3. El responsable del tratamiento podrá oponerse a ese nuevo subencargado por razones justificadas relacionadas con la protección de datos. En el caso de una objeción justificada, las Partes negociarán de buena fe para encontrar una solución alternativa. Si no se puede encontrar dicha solución alternativa y el Encargado del Tratamiento decide seguir adelante con dicho Subencargado, el Responsable del Tratamiento podrá rescindir el Acuerdo con un preaviso de 30 días. Ninguna de las partes se considerará en incumplimiento de contrato en caso de dicha rescisión.
9. TRANSFERENCIA DE DATOS A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
9.1. Cualquier transferencia de datos personales a terceros países u organizaciones internacionales por parte del Procesador de Datos sólo se producirá sobre la base de instrucciones documentadas del Controlador de Datos y siempre se llevará a cabo en cumplimiento del Capítulo V del GDPR.
9.2. Si los datos del responsable de los datos proceden de un país (que no sea un país del EEE) con una o varias leyes que impongan restricciones o prohibiciones a la transferencia de datos y el responsable de los datos ha informado al encargado del tratamiento de dichas restricciones o prohibiciones a la transferencia de datos, el responsable de los datos y el encargado del tratamiento de los datos se asegurarán de que existe un mecanismo de transferencia adecuado (que satisfaga los requisitos de transferencia de datos del país), según lo solicite razonablemente el responsable de los datos y lo acuerden ambas partes, antes de transferir o acceder a los datos del responsable de los datos fuera de dicho país. Para evitar dudas, esta restricción de transferencia no afecta al responsable del tratamiento ni a los usuarios autorizados de sus filiales que tengan acceso al software y a los datos del responsable del tratamiento, y el responsable del tratamiento no será responsable de las acciones del responsable del tratamiento o de los usuarios autorizados de sus filiales. Ni el Controlador de Datos ni sus Usuarios Autorizados tendrán derecho a utilizar el Software o los Servicios de Suscripción en ningún país con leyes de localización de datos que requieran que el entorno del Controlador de Datos esté alojado en dicho país.
10. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS
10.1. El Controlador de Datos y el Procesador de Datos serán responsables por separado de cumplir con la Legislación de Protección de Datos que les sea aplicable.
10.2. El responsable del tratamiento será responsable, entre otras cosas, de garantizar que el tratamiento de los datos personales, que el encargado del tratamiento debe realizar, tenga una base legal.
10.3. El responsable del tratamiento informará por escrito al encargado del tratamiento, sin demora indebida, cuando descubra un incumplimiento de la legislación en materia de protección de datos con respecto al tratamiento de los datos personales de conformidad con el presente APD.
10.4. El Responsable del Tratamiento será responsable de proporcionar datos de contacto precisos y pertinentes tras la celebración del Acuerdo y posteriormente para ayudar en las obligaciones de notificación del Procesador de Datos.
11. NOTIFICACIÓN DE LA VIOLACIÓN DE DATOS
11.1. El encargado del tratamiento notificará por escrito al responsable del tratamiento, sin demora indebida y a más tardar en 36 horas, cualquier violación identificada o potencial de los datos personales tratados en virtud de la APD.
11.2. La notificación mencionada en el apartado 10.1. deberá, en la medida de lo posible:
i) describir la naturaleza de la violación de los datos personales, incluyendo cuando sea posible (por ejemplo, pérdida, robo, copia), las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados,
ii) comunicar el nombre y los datos de contacto de la persona con el responsable del tratamiento donde se puede obtener más información,
iii) describir las consecuencias probables de la violación de los datos personales, y
iv) describir las medidas adoptadas o que se propone adoptar el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
12. TAREAS ADICIONALES
12.1. El Procesador de Datos asumirá todos los costes asociados al cumplimiento del presente APD en su calidad de Procesador de Datos.
12.2. El responsable del tratamiento asumirá todos los costes asociados al cumplimiento del presente APD en su calidad de responsable del tratamiento.
12.3. En lo que respecta a las tareas del encargado del tratamiento que no constituyan una obligación en virtud del presente APD, véanse los apartados anteriores, el encargado del tratamiento tendrá derecho a cobrar al responsable del tratamiento los recursos, el tiempo y el material adicionales necesarios para cumplir la(s) tarea(s) requerida(s), a menos que dichos servicios ya estén incluidos en los servicios prestados en virtud del Acuerdo.
12.4. El encargado del tratamiento notificará al responsable del tratamiento con antelación dichos gastos adicionales y, en la medida de lo posible, le facilitará un presupuesto de los costes previstos.
12.5. Si el responsable del tratamiento no puede aceptar los costes, el encargado del tratamiento tendrá derecho a no realizar la cesión adicional y a rescindir el contrato con un preaviso de 30 días. En este caso, no se considerará que el Encargado del Tratamiento haya incumplido el contrato.
13. SUPRESIÓN Y DEVOLUCIÓN DE DATOS PERSONALES
13.1. Tras la finalización del contrato o la rescisión del mismo, el procesador de datos retendrá los datos del cliente que permanezcan almacenados en el inquilino del controlador de datos en una cuenta de función limitada durante 90 días después de la expiración o la terminación de la suscripción del controlador de datos. Una vez finalizado el período de retención de 90 días, el Procesador de Datos desactivará la cuenta del Controlador de Datos y eliminará los Datos Personales, a menos que el Procesador de Datos esté permitido o requerido por la ley aplicable, o autorizado bajo este DPA, a retener dichos datos. En todo momento durante la vigencia de la suscripción del Responsable de los Datos, éste tendrá la capacidad de acceder, extraer y eliminar los Datos del Cliente almacenados en su inquilino.
13.2. A petición del responsable del tratamiento, el encargado del tratamiento certificará por escrito la destrucción de los datos personales.
14. RESPONSABILIDAD
14.1. La responsabilidad de cada parte por uno o más incumplimientos del presente APD estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo. En ningún caso la responsabilidad de ninguna de las partes por el incumplimiento del presente APD superará el límite de responsabilidad establecido en el Acuerdo. Ninguna de las partes limita ni excluye ninguna responsabilidad que no pueda limitarse o excluirse en virtud de la legislación aplicable (por ejemplo, por fraude).
15. LUGAR DE CELEBRACIÓN Y LEY APLICABLE
15.1. El presente APD se regirá por la legislación danesa.
15.2. Cualquier reclamación o disputa que surja del Acuerdo de Procesamiento de Datos o esté relacionada con él deberá ser resuelta por el Tribunal de la Ciudad de Copenhague como primera instancia.
ANEXO 1: INFORMACIÓN SOBRE EL TRATAMIENTO
1. La finalidad del tratamiento de datos personales por parte del Procesador de Datos en nombre del Controlador de Datos es:
El Encargado del Tratamiento es una empresa de desarrollo de software, encargada por el Responsable del Tratamiento de poner a disposición del Responsable del Tratamiento un software como servicio de apoyo a la creación de documentos empresariales. El contenido de este APD refleja la cantidad limitada de datos personales que el procesador de datos maneja para el controlador de datos.
2. El tratamiento de datos personales por parte del procesador de datos en nombre del controlador de datos se refiere principalmente a (la naturaleza del tratamiento):
La prestación de los Servicios por parte de Atobi al Cliente.
3. El tratamiento incluye los siguientes tipos de datos personales sobre los interesados:
Nombre, dirección de correo electrónico de la empresa, número de teléfono de la empresa, cargo, ubicación de la oficina; así como documentos, imágenes y otros contenidos o datos en formato electrónico almacenados o transmitidos por los Usuarios Finales a través de los Servicios.
4. El tratamiento incluye el siguiente tipo de categorías especiales de datos sobre los interesados:
Ninguna.
5. El tratamiento incluye las siguientes categorías de interesados:
Los empleados del Controlador de Datos. O según lo determine el Cliente a través de su uso de la "Plataforma Atobi".
6. El tratamiento de los datos personales por parte del Procesador de Datos se realiza en la(s) siguiente(s) ubicación(es), incluyendo el nombre del país/países de tratamiento:
- Pilestraede 28, 1112 Copenhague K, Dinamarca
- Kareivių g. 11B, Vilnius 09109, Lituania
7. El tratamiento de los datos personales por parte del Encargado del Tratamiento puede realizarse a partir del inicio de las Cláusulas. El tratamiento tiene la siguiente duración:
Los datos personales se almacenan en el procesador de datos hasta que el controlador de datos solicita que los datos sean borrados o devueltos, cf. cláusula 13.1 de esta DPA.
ANEXO 2: DESCRIPCIÓN DE LA SEGURIDAD MÍNIMA DE LOS DATOS
Atobi ApS ha implementado y mantendrá las salvaguardas administrativas, técnicas y físicas apropiadas para proteger los datos personales y que se exponen adicionalmente a continuación. Contacto de seguridad: Las solicitudes relativas a la seguridad de la información pueden dirigirse al director general de Atobi en jan@atobi.io.
Medidas técnicas y organizativas de referencia
1. Controles de acceso físico
El procesador de datos adoptará medidas razonables para impedir el acceso físico, como edificios seguros, para evitar que personas no autorizadas accedan a los datos personales.
2. Controles de acceso al sistema
El encargado del tratamiento adoptará medidas razonables para evitar que los datos personales se utilicen sin autorización. Estos controles variarán en función de la naturaleza del tratamiento realizado y podrán incluir, entre otros controles, la autenticación mediante contraseñas y/o la autenticación de dos factores, procesos de autorización documentados, procesos de gestión de cambios documentados y/o, el registro del acceso en varios niveles.
3. Controles de acceso a los datos
El Procesador de Datos tomará medidas razonables para que los datos personales sean accesibles y manejables sólo por el personal debidamente autorizado, se restrinja el acceso a la consulta directa de la base de datos y se establezcan y apliquen los derechos de acceso a la aplicación para garantizar que las personas con derecho a utilizar un sistema de procesamiento de datos sólo tengan acceso a los datos personales a los que tienen privilegio de acceso; y, que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización en el curso del procesamiento. El responsable del tratamiento de datos adoptará medidas razonables para aplicar una política de acceso en virtud de la cual el acceso a su entorno de sistemas, a los datos personales y a otros datos sea realizado únicamente por personal autorizado.
4. Controles de la transmisión
El procesador de datos adoptará medidas razonables para garantizar que sea posible comprobar y establecer a qué entidades se prevé la transferencia de datos personales mediante instalaciones de transmisión de datos, de modo que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión o el transporte electrónicos.
5. Controles de entrada
El procesador de datos adoptará medidas razonables para que sea posible comprobar y establecer si los datos personales han sido introducidos en los sistemas de procesamiento de datos, modificados o eliminados, y por quién. El procesador de datos adoptará medidas razonables para garantizar que (i) la fuente de datos personales esté bajo el control del exportador de datos; y (ii) los datos personales integrados en los sistemas del procesador de datos se gestionen mediante la transferencia segura de archivos del procesador de datos y del interesado.
ANEXO 3: SUBPROCESADORES AUTORIZADOS
Subprocesador | Actividades de subprocesamiento | Ubicación (país) |
Amazon Web Services EMEA SARL | Proveedor de servicios en la nube | Irlanda |
Microsoft Azure, Inc. | Proveedor de servicios en la nube | Irlanda, Países Bajos |
SolutionLab | Subcontratista para las operaciones | Lituania |