Acuerdo de procesamiento de datos
Cláusulas contractuales estándar (SCC) del EEE: CCS (haga clic aquí)
Este Acuerdo de procesamiento de datos ("Acuerdo") forma un contrato legalmente vinculante entre usted y Zenevo SRL (con sede en Rumania) y se aplica en la medida en que Zenevo SRL procese Datos personales del cliente en su nombre cuando usted sea el Controlador de datos.
MIENTRAS
(A) La Empresa actúa como Responsable del Tratamiento.
(B) La Compañía desea subcontratar ciertos Servicios, que implican el procesamiento de datos personales, al Procesador de datos.
(C) Las Partes buscan implementar un acuerdo de procesamiento de datos que cumpla con los requisitos del marco legal vigente en materia de procesamiento de datos y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(D) Las Partes desean establecer sus derechos y obligaciones.
AHORA, POR LO TANTO, SE ACUERDA lo siguiente:
1. Definiciones e interpretación
1.1 A menos que se defina lo contrario en el presente, los términos en mayúscula utilizados en este Acuerdo tendrán el siguiente significado:
1.1.1 "Acuerdo" significa este Acuerdo de procesamiento de datos y todos los Anexos;
1.1.2 "Datos personales de la empresa" significa cualquier dato personal procesado por un subprocesador en nombre de la empresa de conformidad con el Acuerdo principal o en relación con él;
1.1.3 "Procesador contratado" significa un Subprocesador;
1.1.4 "Leyes de protección de datos" significa las leyes de protección de datos de la UE y, en la medida aplicable, las leyes de protección de datos o privacidad de cualquier otro país;
1.1.5 "EEE" significa el Espacio Económico Europeo;
1.1.6 "Leyes de protección de datos de la UE" significa la Directiva de la UE 95/46/CE transpuesta a la legislación nacional de cada Estado miembro y modificada, reemplazada o reemplazada periódicamente, incluido el RGPD y las leyes que implementan o complementan el RGPD;
1.1.7 "GDPR" significa el Reglamento general de protección de datos de la UE 2016/679;
1.1.8 "Transferencia de datos" significa:
1.1.8.1 una transferencia de Datos personales de la Compañía de la Compañía a un Procesador contratado; o
1.1.8.2 una transferencia posterior de Datos personales de la Compañía de un Procesador contratado a un Subprocesador, o entre dos establecimientos de un Procesador contratado, en cada caso en el que dicha transferencia estaría prohibida por las Leyes de protección de datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de protección de datos);
1.1.9 "Servicios" significa la Plataforma SaaS en línea proporcionada por la Compañía.
1.1.10 "Subprocesador" significa cualquier persona designada por o en nombre de un Procesador para procesar Datos personales en nombre de la Compañía en relación con el Acuerdo.
1.2 Los términos "Comisión", "Responsable del tratamiento", "Interesado", "Estado miembro", "Datos personales", "Violación de datos personales", "Tratamiento" y "Autoridad de control" tendrán el mismo significado que en el RGPD, y los términos relacionados se interpretarán en consecuencia.
2. Tratamiento de Datos Personales de la Empresa
2.1 El Procesador deberá:
2.1.1 cumplir con todas las leyes de protección de datos aplicables en el procesamiento de datos personales de la empresa; y
2.1.2 no procesar Datos personales de la Compañía que no sean las instrucciones documentadas pertinentes de la Compañía.
2.2 La Compañía instruye al Procesador para que procese los Datos personales de la Compañía.
3. Personal del procesador
El Procesador tomará medidas razonables para garantizar la confiabilidad de cualquier empleado, agente o contratista de cualquier Procesador contratado que pueda tener acceso a los Datos personales de la Compañía, garantizando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesitan conocer/acceder a los Datos personales de la Compañía relevantes, según sea estrictamente necesario para los fines del Acuerdo Principal y para cumplir con las Leyes Aplicables en el contexto de los deberes de esa persona para con el Procesador Contratado, asegurando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.
4. Seguridad
4.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Procesador implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluidas, según corresponda, las medidas mencionadas en el Artículo 32 (1) del RGPD.
4.2 Al evaluar el nivel adecuado de seguridad, el Procesador deberá tener en cuenta en particular los riesgos que presenta el Procesamiento, en particular los derivados de una Violación de Datos Personales.
5. Subprocesamiento
5.1 El Procesador no contratará (ni revelará Datos personales de la Compañía) a ningún Subprocesador a menos que lo requiera o autorice la Compañía.
6. Derechos del interesado
6.1 Teniendo en cuenta la naturaleza del Procesamiento, el Procesador ayudará a la Compañía implementando medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones de la Compañía, según las entienda razonablemente la Compañía, para responder a las solicitudes de ejercer los derechos de los Sujetos de Datos conforme a las Leyes de Protección de Datos.
6.2 El Procesador deberá:
6.2.1 notificar de inmediato a la Compañía si recibe una solicitud de un Interesado en virtud de cualquier Ley de Protección de Datos con respecto a los Datos personales de la Compañía; y
6.2.2 asegurarse de que no responde a esa solicitud excepto según las instrucciones documentadas de la Compañía o según lo exijan las Leyes Aplicables a las que está sujeto el Procesador, en cuyo caso el Procesador deberá, en la medida permitida por las Leyes Aplicables, informar a la Compañía de ese requisito legal antes de responder a la solicitud.
7. Violación de datos personales
7.1 El Procesador notificará a la Compañía sin demora indebida al tener conocimiento de una Violación de Datos Personales que afecte los Datos Personales de la Compañía, proporcionando a la Compañía información suficiente para permitirle cumplir con cualquier obligación de informar o informar a los Interesados de la Violación de Datos Personales según las Leyes de Protección de Datos.
7.2 El Procesador cooperará con la Compañía y tomará medidas comerciales razonables según las indicaciones de la Compañía para ayudar en la investigación, mitigación y remediación de cada una de dichas violaciones de datos personales.
8. Evaluación de Impacto en Protección de Datos y Consulta Previa
El Procesador brindará asistencia razonable a la Compañía con cualquier evaluación de impacto de la protección de datos y consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos que la Compañía considere razonablemente requeridas según el Artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales de la Compañía por parte de los Procesadores Contratados y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para ellos.
9. Eliminación o devolución de datos personales de la empresa
9.1 Sujeto a esta Sección 9, el Procesador deberá de inmediato y en cualquier caso dentro de los 10 días hábiles posteriores a la fecha de terminación de cualquier Servicio que implique el Procesamiento de Datos personales de la Compañía (la "Fecha de terminación"), eliminar y procurar la eliminación de todas las copias de dichos Datos personales de la Compañía.
10. Derechos de auditoría
10.1 Sujeto a esta Sección 10, el Procesador pondrá a disposición de la Compañía, previa solicitud, toda la información necesaria para demostrar el cumplimiento de este Acuerdo y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por la Compañía o un auditor designado por la Compañía en relación con el Procesamiento de Datos personales de la Compañía por parte de los Procesadores contratados.
10.2 Los derechos de información y auditoría de la Compañía solo surgen según la Sección 10.1 en la medida en que el Acuerdo no les otorgue derechos de información y auditoría que cumplan con los requisitos pertinentes de la Ley de Protección de Datos.
11. Transferencia de datos
11.1 El Procesador no podrá transferir ni autorizar la transferencia de Datos a países fuera de la UE y/o del EEE sin el consentimiento previo por escrito de la Compañía. Si los datos personales procesados en virtud de este Acuerdo se transfieren de un país dentro del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo, las Partes se asegurarán de que los datos personales estén adecuadamente protegidos. Para lograr esto, las Partes, a menos que se acuerde lo contrario, se basarán en cláusulas contractuales estándar aprobadas por la UE para la transferencia de datos personales.
12. Términos generales
12.1 Confidencialidad. Cada Parte debe mantener confidencial este Acuerdo y la información que recibe sobre la otra Parte y su negocio en relación con este Acuerdo ("Información Confidencial") y no debe usar ni revelar esa Información Confidencial sin el consentimiento previo por escrito de la otra Parte, excepto en la medida en que:
(a) la divulgación es requerida por ley;
b) la información pertinente ya es de dominio público.
12.2 Avisos. Todas las notificaciones y comunicaciones realizadas en virtud de este Acuerdo deben realizarse por escrito y se entregarán personalmente, se enviarán por correo postal o por correo electrónico a la dirección o dirección de correo electrónico establecida en el encabezado de este Acuerdo y a cualquier otra dirección notificada por las Partes de vez en cuando.
13. Ley aplicable y jurisdicción
13.1 Este Acuerdo se rige por las leyes de Rumania.
13.2 Cualquier disputa que surja en relación con este Acuerdo y que las Partes no puedan resolver amistosamente estará sujeta a la jurisdicción exclusiva de los tribunales de Brașov.