ANNEXo NO. 1
ACUERDO DE PROCESAMIENTO DE DATOS
Este Acuerdo de procesamiento de datos (en lo sucesivo, “DPA”) se celebra de conformidad con el artículo 28 del Reglamento del Parlamento Europeo y del Consejo (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y sobre la libre circulación de estos datos, por la que se deroga la Directiva 95/46/ES (en adelante, “RGPD”) entre:
Luigi’s Box, s.r.o.
con domicilio social en Tallerova 4, 851 01 Bratislava, Eslovaquia,
número de registro: 50 641 671,
inscrita en el Registro Mercantil del Tribunal de Distrito de Bratislava III, Sección: Sro, Número de entrada: 116273/B,
como el procesador
(en adelante, el “Procesador“)
Y
Cliente como controlador
(en adelante, el “Cliente“)
(en lo sucesivo, el Procesador y el Cliente se denominarán mutuamente “Partes” y cada parte individual también como la “Parte“);
en la siguiente redacción:
-
PREÁMBULO
- El procesador es un proveedor de la aplicación web Luigi’s Box y servicios auxiliares (“Servicios“) que están disponibles a través de su sitio web (luigisbox.com) (“Sitio web“).
- Este DPA establece los términos y condiciones para el procesamiento de los datos personales (en adelante, los “Datos personales“) por parte del Procesador en nombre del Cliente en virtud del acuerdo (en adelante, el “Acuerdo“) celebrado entre las Partes. De conformidad con el Acuerdo, el Cliente adquiere los Servicios como se define en el Acuerdo del Procesador y el Procesador proporciona esos Servicios al Cliente. Esto puede implicar el procesamiento de Datos personales por parte del procesador en nombre del Cliente como parte de la prestación de los Servicios correspondientes.
- El Procesador actúa como un procesador o subprocesador de datos y el Cliente actúa como un controlador de datos o un procesador de datos, de conformidad con las definiciones contenidas en las leyes de protección de datos que significarán todas las leyes de protección de datos aplicables, incluidas, entre otras, las GDPR y Ley No. 18/2018 Coll. Ley de Protección de Datos Personales modificada y las instrucciones y órdenes vinculantes de las autoridades de protección de datos (en lo sucesivo denominados colectivamente como el “Reglamento de Protección de Datos“).
-
EL OBJETO DEL DPA
- El objeto del presente DPA es la autorización del Procesador para procesar los Datos personales proporcionados por el Cliente y en nombre del Cliente para los fines acordados en el Acuerdo y este DPA.
- El Procesador tiene derecho a procesar los Datos personales en el ámbito, en las condiciones y para los fines acordados con el Cliente en el DPA y en la forma permitida por el Reglamento de protección de datos.
-
FINALIDAD Y DESCRIPCIÓN DEL TRATAMIENTO DE DATOS PERSONALES
- El propósito del procesamiento de los Datos personales por parte del Procesador es permitir la prestación de los Servicios acordados de conformidad con el Acuerdo.
- El tratamiento a realizar por el Encargado es el siguiente:
- la duración del procesamiento será durante todo el período dentro del cual el Procesador presta los Servicios pertinentes en virtud del Acuerdo;
- los Datos personales que se procesarán serán cualquier dato personal proporcionado por el Cliente al Procesador y los Datos personales adquiridos y procesados por el Procesador para permitir o facilitar la prestación de los Servicios en virtud del Acuerdo; los tipos de Datos Personales procesados y las categorías de interesados se describen en la quinta parte de la Política de Privacidad para los Servicios del Procesador (ver: https://www.luigisbox.com/privacy-policy/).
- las obligaciones y derechos del responsable del tratamiento en relación con el tratamiento se establecen a continuación.
-
DERECHOS Y OBLIGACIONES DEL CLIENTE
- El Cliente deberá:
- procesar los Datos Personales de conformidad con el Reglamento de Protección de Datos;
- tendrá derecho a dar instrucciones por escrito al Encargado sobre el tratamiento de los Datos personales. Dichas instrucciones serán vinculantes para el Procesador con la condición de que si la finalización de las instrucciones requiere la prestación de los Servicios en virtud del Acuerdo, o resulta en costos emergentes por parte del Procesador, el Cliente pagará simultáneamente los costos de las tarifas de servicio aplicables. El Procesador no cumplirá con ninguna instrucción del Cliente que sea contraria a cualquier Sección de este DPA.
- conservar el control sobre los Datos Personales. Si algún sujeto de datos solicita información sobre el procesamiento de Datos personales o solicita cualquier otro derecho bajo el Capítulo III de GDPR, el Cliente deberá instruir inmediatamente al Procesador para que tome las medidas apropiadas.
-
TRATAMIENTO DE DATOS PERSONALES POR PARTE DEL PROCESADOR
- En relación con el procesamiento de datos personales bajo este DPA, el Procesador deberá:
- procesar los Datos personales (incluso cuando se realiza una transferencia internacional) solo en la medida necesaria para proporcionar los Servicios y solo de acuerdo con los términos de este DPA, el Acuerdo, las buenas prácticas de procesamiento de datos y las instrucciones escritas del Cliente, a menos que se indique lo contrario. requerido por la Normativa de Protección de Datos;
- probará, evaluará y evaluará periódicamente la eficacia de sus medidas técnicas y organizativas;
- notificar inmediatamente al Cliente si, en opinión del Encargado, alguna instrucción dada al Encargado infringe el Reglamento de Protección de Datos;
- cuando corresponda con respecto a cualquier Dato personal procesado bajo este DPA, cooperar y ayudar a garantizar el cumplimiento de:
- Obligaciones del Cliente de responder a las solicitudes de cualquier interesado que desee ejercer sus derechos en virtud del Capítulo III del RGPD, incluida la notificación al Cliente de cualquier solicitud de acceso por escrito que reciba el Procesador en relación con las obligaciones del Cliente en virtud de las Regulaciones de Protección de Datos ;
- las obligaciones del cliente en virtud de los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el procesador;
- proporcionar al Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Cliente establecidas en este DPA y en el Reglamento de Protección de Datos;
- procesar los Datos personales solo durante la vigencia de este DPA.
- Este DPA no impedirá que el Procesador procese los Datos personales según lo exija la ley, el reglamento o un tribunal competente o una Autoridad de control. En caso de que una Autoridad de control o un tribunal competente realice una solicitud con respecto a los Datos personales, incluida una solicitud de bloqueo, eliminación, modificación de los Datos personales, entrega de cualquier información o ejecución de cualquier otra acción, el Procesador deberá, sin demora indebida, informar al Cliente de todas esas solicitudes antes de cualquier respuesta u otra acción relacionada con los Datos personales, o tan pronto como sea razonablemente posible en caso de que alguna ley o reglamento prescriba una respuesta inmediata a la Autoridad de control o a un tribunal competente, a menos que se prohíba dicha notificación al Cliente. por la ley, reglamento u orden respectiva.
- En caso de violación de datos personales, es decir, una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales accidental o ilegalmente, el Procesador notificará sin demora indebida al Cliente por correo electrónico.
- El Procesador tomará las medidas apropiadas para proteger los Datos personales después de haber tenido conocimiento de una violación de datos personales en virtud del art. 5.3 del presente, con el fin de limitar cualquier posible efecto perjudicial para los interesados. El Encargado cooperará con el Cliente para responder a dicha violación de datos personales.
- Ambas Partes se comprometen por el presente a brindarse la cooperación mutua necesaria para el cumplimiento de las disposiciones del presente DPA.
- Si el incumplimiento de la obligación del Cliente estipulada en el DPA y/o las Regulaciones de Protección de Datos resulta en cualquier daño o pérdida para el Procesador, el Cliente está obligado a reembolsar al Procesador tal pérdida en su monto total.
-
SEGURIDAD DE DATOS PERSONALES
- El Encargado garantizará la protección de los Datos personales implementando y documentando las medidas de seguridad de conformidad con el art. 28 (3) (c) y art. 32 del RGPD y el art. 5 (1) y (2) del RGPD. Las medidas de seguridad que se implementen deben garantizar la protección de los Datos Personales con un nivel de seguridad adecuado a los riesgos que presenta el tratamiento de los derechos de los interesados y con el fin de garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas. de los sistemas de tratamiento para evitar cualquier destrucción, pérdida, divulgación no autorizada, publicación, acceso no autorizado o cualquier otra operación de tratamiento no autorizada de los Datos personales.
- El Encargado, sus empleados y demás personas que tengan acceso a los Datos Personales a través del Encargado están obligados a mantener la debida confidencialidad; dicho deber de confidencialidad continuará incluso después de que haya terminado el procesamiento de los datos personales. El Procesador tiene derecho a poner los Datos Personales a disposición de sus empleados u otras personas con las que tenga una relación legal únicamente para garantizar el cumplimiento de los deberes para lograr el Propósito y en los términos y condiciones establecidos en este Acuerdo.
- En el caso de la provisión de los Datos personales a los empleados u otras personas con las que el Encargado tenga una relación legal, el Encargado está obligado a instruir a dichas personas para que cumplan con las disposiciones de este artículo de la DPA y a obligar a dichas personas a estar sujeto a la obligación de confidencialidad en la misma medida que el Encargado, mientras que tal deber de confidencialidad subsistirá incluso después de la relación jurídica con la persona.
- El Encargado no proporcionará los Datos Personales a ningún tercero, excepto cuando tal provisión sea necesaria para:
- los empleados del Procesador,
- los subcontratistas en virtud del artículo 8 de la DPA,
- los terceros, si tal disposición es requerida por la ley o por una decisión judicial legal y ejecutoria u otro organismo de la autoridad pública de la República Eslovaca.
-
OTRAS OBLIGACIONES DE LAS PARTES CONTRATANTES
- Ambas partes contractuales se comprometen a brindarse la cooperación mutua necesaria para el cumplimiento de las disposiciones del presente DPA para garantizar el cumplimiento del RGPD.
- Si el incumplimiento de la obligación del Cliente establecida en el DPA y/o el RGPD resulta en algún daño o pérdida para el Procesador, el Cliente está obligado a reembolsar al Procesador dicha pérdida u otro daño en su monto total.
- Si el incumplimiento de la obligación del Procesador establecida en el DPA y/o el RGPD resulta en algún daño o pérdida, el Procesador está obligado a reembolsar al Cliente dicha pérdida u otro daño en su monto total.
-
SUBCONTRATISTAS (SUB-PROCESADORES)
- El Cliente reconoce y acepta que el Procesador puede contratar subprocesadores de terceros en relación con el procesamiento de Datos personales dentro del ámbito del Acuerdo. El Encargado respeta las condiciones a que se refiere el art. 28 (2) y (3) del RGPD involucrando subprocesadores.
- El Procesador sigue siendo responsable de las actividades de procesamiento de Datos Personales de sus subprocesadores como si las actividades de procesamiento fueran realizadas por el mismo Procesador y, para este fin, deberá celebrar con cada subcontratista un contrato por escrito que imponga a los subcontratistas las mismas obligaciones de protección de datos. como se establece para el Procesador en este DPA.
-
FACULTADES DEL CONTROLADOR DEL CLIENTE
- El Encargado está obligado a proporcionar al Cliente toda la información y documentación necesaria para acreditar el cumplimiento de las obligaciones del Encargado según lo dispuesto en el Reglamento de Protección de Datos.
- En cualquier momento durante la vigencia de este DPA, el Cliente y/o un tercero auditor independiente reconocido designado por el Cliente tendrá derecho a realizar auditorías de las instalaciones del Procesador y sus subprocesadores de conformidad con el Acuerdo. Sin embargo, cualquier auditoría de conformidad con este DPA se limitará a evaluar el cumplimiento del Procesador con sus obligaciones en virtud de este DPA y no se extenderá a otorgar acceso a los datos de otros Clientes procesados por el Procesador o datos relacionados con el uso de medidas de seguridad por parte del Procesador. Procesador.
-
TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES
- El Procesador realiza el procesamiento de Datos personales dentro del área de los estados miembros de la UE/EEE. Si es necesario para la prestación de los Servicios, los Datos personales pueden transferirse fuera del territorio de la UE/EEE siempre que en dicha transferencia respectiva se cumplan las condiciones específicas estipuladas en los artículos 44-50 del RGPD.
-
DURACIÓN DEL TRATAMIENTO DE DATOS
- El Procesador está autorizado a comenzar a procesar los Datos personales en virtud del DPA como muy pronto a partir de la fecha de entrada en vigencia de este DPA, así como el Acuerdo y su autorización de procesamiento será válida durante toda la duración de este DPA.
- Este DPA será válido únicamente durante la vigencia del Acuerdo.
-
DEVOLUCIÓN O ELIMINACIÓN DE DATOS PERSONALES
- Al finalizar el DPA, el Procesador está obligado a eliminar o devolver al Cliente o a un tercero designado por el Cliente todos los Datos personales según las instrucciones específicas del Cliente. En caso de que el Cliente solicite la devolución de los Datos personales, el Cliente deberá reembolsar al Procesador los costos incurridos en relación con la devolución de los Datos personales.
- Si el Cliente no proporciona al Procesador ninguna instrucción con respecto a la eliminación o devolución de los Datos personales dentro de los 15 días calendario posteriores al vencimiento del Acuerdo, el Procesador enviará al Cliente una solicitud por escrito mediante la cual el Procesador solicita el envío de instrucciones para la eliminación o devolución de los Datos Personales dentro de los 15 días calendario. Si el Cliente no proporciona instrucciones por escrito dentro de este período adicional y no paga los costos incurridos en caso de devolución de los Datos personales, entonces el Procesador tiene derecho a eliminar todos los Datos personales.
- La obligación de devolver o eliminar los Datos personales no afecta a los Datos personales que el Procesador debe conservar con el fin de cumplir con las obligaciones legales vinculantes en general, incluso después de la terminación del Acuerdo.
- A solicitud del Cliente, el Procesador confirmará al Cliente por escrito que se ha logrado la eliminación de los Datos personales.
-
PROVISIONES FINALES
- Este DPA se regirá por la misma ley sustantiva y tendrá la misma jurisdicción que la ley sustantiva aplicable y la jurisdicción acordada en el Acuerdo.
- Todos los términos y definiciones utilizados en este DPA tienen el mismo significado que los términos y definiciones utilizados en el Acuerdo a menos que se indique expresamente lo contrario.
- Las Partes declaran que antes de la celebración del presente, han leído cuidadosamente el DPA, entendido su contenido y dan fe de que se ejecuta por su verdadera y libre voluntad y que el DPA no se celebró bajo coacción o en términos extremadamente desfavorables.
- El DPA entra en vigor y será efectivo a partir de la conclusión del Acuerdo.