Contrato de tratamiento de datos personales

celebrado de conformidad con lo dispuesto en el art. 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 / CE (en lo sucesivo, “el Reglamento”), resp. de conformidad con lo dispuesto en el art. 34 de la Ley n.º 18/2018 Recop. relativa a la protección de datos personales, en su versión modificada (en lo sucesivo, “la Ley”) entre el Operador y el Intermediario.

Este Contrato sobre el tratamiento de datos personales es un anexo y forma parte del Contrato de Servicios entre Luigi’s Box (“Luigi’s Box” e “Intermediario”) y la parte identificada como Cliente en el Contrato de Servicios (“Cliente” u “Operador”). Este Contrato establece los términos que se aplican a las partes en el tratamiento de datos personales en relación con la prestación de los Servicios.

1. PREÁMBULO

1.1 El presente Contrato de Tratamiento de Datos (en adelante, el “Contrato“) estipula las condiciones para el tratamiento de datos personales por parte del Intermediario por cuenta del Operador en cumplimiento de las obligaciones derivadas del Contrato de prestación de servicios celebrado entre las Partes Contratantes (en adelante, el “Acuerdo de Servicios“).

1.2 El objeto del Contrato es la obligación del Intermediario de prestar al Operador servicios relacionados con las tecnologías de marketing digital, cuyo alcance se acuerda en el Contrato de Servicios. En la prestación de estos servicios, los datos personales de las personas físicas pueden ser tratados sobre la base de una instrucción del Operador y la obligación del Operador de pagar la tarifa acordada al Intermediario por estos servicios.

2. OBJETO DEL CONTRATO

2.1 El objeto del presente Contrato es la autorización al Intermediario para procesar datos personales de personas físicas en nombre del Operador, exclusivamente en relación con la prestación de servicios del Intermediario, que se definen en el Acuerdo de Prestación de Servicios y/o en pedidos individuales del Operador.

2.2 El Intermediario tiene derecho a procesar datos personales para el Operador sólo en la medida, bajo las condiciones y para el propósito acordado con el Operador y en la forma determinada por el Reglamento, la Ley y otras normas legales generalmente vinculantes (en lo sucesivo denominadas colectivamente “Normas de Protección de Datos Personales“).

3. PROPÓSITO Y ALCANCE DEL TRATAMIENTO DE DATOS PERSONALES

3.1 El propósito del tratamiento de los datos personales por parte del Intermediario es la correcta prestación de los servicios acordados de conformidad con el Acuerdo de Servicios y/o la orden individual de servicios (en lo sucesivo, el “Propósito“).

3.2 Las categorías de interesados a los que se refieren los datos personales tratados en virtud del presente Contrato se enumeran en el Anexo nº 1 del Contrato.

3.3 El objeto del tratamiento incluye datos personales de los interesados, que son necesarios para el cumplimiento del Propósito y cuyo alcance exacto depende de la naturaleza del servicio prestado de conformidad con el Acuerdo de Servicios (en lo sucesivo, “Datos Personales“); el objeto del tratamiento no es una categoría especial de datos personales de conformidad con el Art. 9 del Reglamento. Los tipos de datos personales se enumeran en el Anexo nº 1 del Contrato.

3.4 El Intermediario tiene derecho a procesar Datos Personales sólo para el Propósito especificado y a realizar con Datos Personales para el Operador sólo aquellas operaciones que sean necesarias para la prestación de servicios y de acuerdo con el Acuerdo de Servicio o pedido individual, y a procesar Datos Personales para el Propósito especificado de acuerdo con instrucciones documentadas e instrucciones del Operador.

4. DERECHOS Y OBLIGACIONES DEL OPERADOR

4.1 Operador:

4.1.1 está obligado a tratar los datos personales de conformidad con el Reglamento de Protección de Datos Personales;

4.1.2 tiene derecho a confiar al Intermediario el tratamiento únicamente de aquellos Datos Personales que hayan sido obtenidos y tratados por el Operador de conformidad con la Normativa de Protección de Datos Personales;

4.1.3 tiene derecho a proporcionar al Intermediario instrucciones por escrito (en papel o electrónicamente) en relación con el tratamiento de datos personales para lograr el Propósito. Dichas instrucciones son vinculantes para el Intermediario siempre que la ejecución de estas instrucciones requiera la prestación de servicios de conformidad con el Acuerdo de Servicios o la orden de servicio individual o si la ejecución de estas instrucciones requiere costes adicionales por parte del Intermediario en relación con la ejecución de estas instrucciones y el Operador paga todos los costes incurridos. El Intermediario no ejecutará las instrucciones del Operador que estén en conflicto con cualquier disposición de este Contrato o que estén en conflicto con la Normativa Legal de Protección de Datos Personales;

4.1.4 es siempre responsable del tratamiento de los datos personales. Si el interesado solicita el suministro de información sobre el tratamiento de Datos Personales, la corrección o supresión de Datos Personales, se opone a la licitud del tratamiento de Datos Personales o solicita de otro modo la finalización del tratamiento de Datos Personales o el bloqueo de Datos Personales, el Operador está obligado a dar instrucciones por escrito (en papel o electrónicamente) al Intermediario para que tome las medidas necesarias.

5. DERECHOS Y OBLIGACIONES DEL INTERMEDIARIO

5.1 El intermediario está obligado a:

5.1.1 procesar los Datos Personales sólo de acuerdo con las instrucciones escritas (en papel o electrónicamente) del Operador, que tienen como objetivo cumplir el Propósito y el Acuerdo de Servicio; estas instrucciones son vinculantes para el Intermediario a menos que se indique lo contrario en el Contrato;

5.1.2 no utilizar los Datos Personales para fines distintos de los especificados en el presente Contrato y en el Acuerdo de Prestación de Servicios y a no combinar los Datos Personales con otros datos personales obtenidos, registrados o tratados de otro modo por el Intermediario sin la instrucción previa por escrito del Operador, incluso con el fin de lograr el mismo propósito (por ejemplo, asignación de datos de bases de datos propias/públicas, etc.);

5.1.3 tratar únicamente aquellos Datos Personales que, por su alcance y contenido, se correspondan con la Finalidad perseguida y sean necesarios para su consecución;

5.1.4 procesar los Datos Personales de acuerdo con las prácticas de procesamiento de datos personales establecidas y las normas vigentes en el ámbito de la gestión de la información y de conformidad con el Reglamento de Protección de Datos Personales;

5.1.5 en el caso de que obtenga Datos Personales por cuenta del Operador, proporcionar información a las personas afectadas de conformidad con los Art. 13 y 14 del Reglamento; si el Operador solicita el uso de sus propios materiales de información con el fin de cumplir con la obligación de información, deberá proporcionar estos materiales al Intermediario sin demora indebida tras la celebración del presente Contrato o tras la instrucción de obtener Datos Personales en su nombre;

5.1.6 proporcionar al Operador cooperación en el cumplimiento de sus obligaciones en relación con las solicitudes de las personas afectadas y ayudar al Operador a garantizar el cumplimiento de las obligaciones de conformidad con el Art. 32 a 36 del Reglamento, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el Intermediario;

5.1.7 informar inmediatamente al Operador de cualquier solicitud o ejercicio de los derechos de la persona afectada y, al mismo tiempo, enviar inmediatamente al Operador la presentación pertinente de la persona afectada y la documentación relacionada;

5.1.8 en caso de violación de la protección de datos personales, es decir, en caso de violación de las medidas de seguridad que provoque la destrucción, pérdida, alteración, divulgación o revelación accidental o ilícita de Datos Personales, el Intermediario está obligado a notificar al Operador cualquier violación de la protección de Datos Personales sin demora indebida tras tener conocimiento de la violación. La notificación por escrito en virtud de esta sección contendrá una descripción de la naturaleza de la violación de los datos personales, la categoría y el número aproximado de interesados y registros de datos personales afectados, una descripción de las consecuencias probables de la violación de los datos personales y una descripción de las medidas adoptadas para remediar la violación de los datos personales. Si no es posible facilitar toda la información anterior al mismo tiempo, esta información podrá facilitarse por etapas sin más demora indebida.

5.1.9 informar inmediatamente al Operador sobre inspecciones y medidas tomadas por la autoridad de control contra el Intermediario, así como sobre la realización de procedimientos civiles, penales o administrativos contra el Intermediario, si se refieren a la relación contractual entre el Operador y el Intermediario y/o al tratamiento de Datos Personales en virtud del Contrato;

5.1.10 supervisar periódicamente los procesos internos y las medidas técnicas y organizativas para garantizar que el tratamiento en el ámbito de responsabilidad del intermediario cumple los requisitos del Reglamento de Protección de Datos Personales;

5.1.11 procesar los Datos Personales únicamente durante la vigencia del presente Contrato.

5.2 El Intermediario también tiene derecho a procesar Datos Personales para fines que se deriven de normativas legales especiales o dicho procesamiento sea exigido por el tribunal o la autoridad administrativa competente. En el caso de que un tribunal o autoridad administrativa ordene al Intermediario cualquier medida u operación con Datos Personales, el Intermediario está obligado a informar al Operador sin demora indebida de la entrega de cualquier solicitud de este tipo antes de responder a esta solicitud o realizar otra acción relativa a los Datos Personales procesados, o tan pronto como sea razonablemente esperado, en el caso de que el Intermediario esté obligado a proporcionar una respuesta inmediata al tribunal o autoridad administrativa competente a menos que la notificación al Operador sea contraria a la legislación especial o a una decisión de un tribunal o autoridad administrativa.

6. SEGURIDAD DE DATOS PERSONALES

6.1 El Intermediario garantizará la protección de los Datos Personales aplicando y documentando medidas de seguridad de conformidad con el Art. 28 par. 3 letra c), y Art. 32 del Reglamento en relación con el Art. 5 par. 1 y par. 2 del Reglamento. Las medidas de seguridad que se adopten deberán garantizar la protección de los Datos Personales con un nivel de seguridad acorde con el riesgo que entraña el tratamiento para los derechos de los interesados y con vistas a garantizar la continuidad de la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento, a fin de evitar la destrucción accidental o ilícita, la pérdida, la puesta a disposición no autorizada, la comunicación de Datos Personales, el acceso no autorizado a los mismos o cualquier otra operación de tratamiento no autorizada.

6.2 El Intermediario está obligado a haber establecido una gestión de riesgos con respecto a las personas afectadas en el sentido del Reglamento y también una gestión de riesgos de seguridad de la información con respecto a los medios técnicos en los que se procesan los Datos Personales. El Intermediario tiene derecho a solicitar que se le proporcione documentación sobre las medidas técnicas y organizativas adoptadas, en un plazo máximo de 30 días a partir del envío de la solicitud del Intermediario.

6.3 El Intermediario, sus empleados y otras personas que conozcan Datos Personales a través del Intermediario están obligados a mantener la confidencialidad sobre los mismos; el deber de confidencialidad continúa incluso después de la finalización del tratamiento de Datos Personales. El Intermediario tiene derecho a poner los Datos Personales a disposición de los empleados u otras personas con las que tenga una relación jurídica únicamente para garantizar sus obligaciones en el cumplimiento del Propósito y en las condiciones establecidas en el presente Contrato.

6.4 En el caso de proporcionar Datos Personales a empleados u otras personas con las que el Intermediario tenga una relación jurídica, el Intermediario está obligado a informar a estas personas de la obligación de cumplir con lo dispuesto en este Artículo del Contrato y a obligar a dichas personas continuará incluso después de la finalización de la relación jurídica de dicha persona.

6.5 El Intermediario no proporcionará Datos Personales a terceros a menos que dicha divulgación sea necesaria para:

6.5.1 empleados del Intermediario,

6.5.2 subcontratistas según el Art. 8 del Contrato,

6.5.3 terceros, si así lo exige la ley o una decisión válida y ejecutable de un tribunal u otra autoridad pública de la República Eslovaca.

7. OTRAS OBLIGACIONES DE LAS PARTES CONTRATANTES

7.1 Las Partes Contratantes se comprometen a prestarse mutuamente la colaboración necesaria para el cumplimiento de lo dispuesto en el Contrato y para garantizar el cumplimiento de la Normativa de Protección de Datos de Carácter Personal.

7.2 Si en relación con el incumplimiento de la obligación del Operador derivada del Contrato y/o del Reglamento de Protección de Datos Personales, el Intermediario incurre en algún daño u otro perjuicio, el Operador está obligado a compensar al Intermediario por este daño u otro perjuicio en su totalidad.

7.3 Si se produce algún daño u otro perjuicio en relación con el incumplimiento de la obligación del Bróker derivada del Contrato y/o del Reglamento de Protección de Datos Personales, el Bróker está obligado a indemnizar al Operador por este daño u otro perjuicio en su totalidad.

8. SUBCONTRATISTAS

8.1 El Operador acepta que el Intermediario pueda involucrar a otros intermediarios en la realización de actividades de procesamiento que realice para el Operador dentro de la prestación de servicios basados en el Acuerdo de Servicios o en base a un pedido individual (en adelante, el “Subcontratista“).

8.2 El Intermediario tiene derecho a involucrar al Subcontratista en la realización de actividades de tratamiento en virtud de la cláusula 8.1 del Contrato si celebra un acuerdo por escrito con él, que imponga al Subcontratista las mismas obligaciones en materia de protección de datos personales que el Intermediario para con el Operador en virtud del presente Contrato. Si el Subcontratista incumple las obligaciones que le impone el presente Contrato en materia de protección de datos personales, el Intermediario será plenamente responsable ante el Operador por el incumplimiento de dichas obligaciones por parte del Subcontratista.

8.3 El Intermediario notificará al Operador con antelación cualquier cambio relacionado con la adición o sustitución de otros Subcontratistas. Si el Operador no manifiesta su desacuerdo por escrito en un plazo de 15 días naturales tras ser informado del cambio en cuestión, el Intermediario podrá utilizar un nuevo Subcontratista. Si el Operador no está de acuerdo en el plazo indicado, el Intermediario hará esfuerzos razonables para cambiar de Subcontratista. Si el Intermediario no puede realizar dichos cambios en un plazo de 60 días naturales, el Operador podrá rescindir este Contrato por escrito en un plazo de 30 días a partir de la notificación del no cambio de Subcontratista (o a partir de la fecha de notificación del cambio de Subcontratista si el Intermediario no ha informado al Operador sobre la obtención de un Subcontratista sustituto). El Operador podrá rescindir el presente Contrato mediante notificación por escrito con un plazo de preaviso de un mes a partir de la fecha de entrega de la notificación. Si el Operador no notifica al Intermediario la rescisión del Contrato en el plazo indicado, se considerará que está de acuerdo con el uso del Subcontratista propuesto inicialmente.

9. PODERES DE CONTROL DEL OPERADOR

9.1 Si el Operador lo solicita, el Intermediario permitirá que el Operador o el Tercero Auditor Independiente autorizado por el Operador realice el control en los Sistemas de Tratamiento de Datos Personales; este control se limita a la evaluación del cumplimiento de las obligaciones previstas en este Contrato y en ningún caso podrá abarcar el acceso a cualquier dato de otros clientes del intermediario. La fecha de la inspección deberá acordarse siempre con antelación, al menos diez (10) días hábiles antes de la inspección prevista.

9.2 El Intermediario informa al Operador si, en su opinión, las instrucciones del Operador violan la Normativa de Protección de Datos Personales. Si el Operador insiste en el cumplimiento de una instrucción que, en opinión del Intermediario, viola la Normativa de Protección de Datos Personales, el Intermediario se reserva el derecho a no ejecutar dicha instrucción, así como el derecho a rescindir el Contrato.

10. TRANSFERENCIA DE DATOS PERSONALES A PAÍSES TERCEROS

10.1 El tratamiento de Datos Personales acordado contractualmente es realizado por el Intermediario en un Estado miembro de la Unión Europea o en un Estado que forma parte del Espacio Económico Europeo.

10.2 La transferencia de Datos Personales a un estado situado en el territorio de un estado distinto del estado especificado en la cláusula 10.1 del Contrato sólo puede tener lugar con el consentimiento previo por escrito del Operador y sujeto a las condiciones especiales establecidas en el Art. 44 a 50 del Reglamento.

11. TIEMPO DE TRATAMIENTO DE LOS DATOS PERSONALES

11.1 El Intermediario tiene derecho a iniciar el tratamiento de los Datos Personales de conformidad con el Contrato lo antes posible a partir de la fecha de entrada en vigor del presente Contrato y también del Acuerdo de Servicio, y su autorización para el tratamiento dura toda la duración del presente Contrato.

11.2 Este Contrato dura hasta que expira el Contrato de Servicio.

12. DEVOLVER O SUPRIMIR DATOS PERSONALES

12.1 Tras la finalización del Contrato, el Intermediario está obligado a eliminar o devolver al Operador o a un tercero designado por el Operador todos los Datos Personales basándose en instrucciones especiales del Operador. Si el Operador solicita la devolución de los Datos Personales, está obligado a reembolsar al Intermediario los costes incurridos en relación con la devolución de los Datos Personales.

12.2 Si el Operador no proporciona al Intermediario ninguna instrucción en relación con la eliminación o devolución de los Datos Personales en un plazo de 15 días naturales a partir de la expiración del Contrato, el Intermediario enviará una solicitud por escrito al Operador pidiéndole que envíe instrucciones para eliminar o devolver los Datos Personales en un plazo de 15 días naturales. Si el Operador no proporciona instrucciones por escrito dentro de este plazo adicional y no reembolsa los costes incurridos en el caso de devolución de Datos Personales, es válido que el Intermediario tiene derecho a eliminar todos los Datos Personales.

12.3 La obligación de devolver o borrar los Datos Personales no afecta a la información que el Intermediario está obligado a conservar en base a la normativa legal generalmente vinculante incluso después de la expiración del Contrato y del Acuerdo de Servicio.

12.4 A petición del Operador, el Intermediario confirmará por escrito la eliminación o devolución de los Datos Personales.

13. PROVISIONES FINALES

13.1 El presente Contrato sustituye a todos los acuerdos anteriores entre el Operador y el Intermediario relativos a la protección de datos personales.

13.2 Las relaciones jurídicas de las partes contratantes, que no estén reguladas adicionalmente por el presente Contrato, se regirán por las disposiciones pertinentes del Reglamento, la Ley y la Ley nº 513/1991 Recop. del Código de Comercio, en su versión modificada, y otras normas jurídicas pertinentes de la República Eslovaca.

13.3 Las Partes Contratantes declaran que han leído atentamente el Contrato antes de su celebración, que comprenden su contenido y, confirman que el Contrato corresponde a su real y libre voluntad, y que el Contrato no se ha celebrado bajo coacción o en condiciones notablemente desfavorables.