Si Aiki webs procesa datos personales en nombre del Cliente durante la ejecución del contrato, se aplicarán las siguientes condiciones, además de los Términos y Condiciones Generales. Se rechaza expresamente la aplicabilidad de los contratos de procesamiento del Cliente.
Aiki Webs ofrece al cliente la posibilidad de adquirir una suscripción donde Aiki Webs procesa datos personales en nombre y representación del cliente durante la prestación del servicio. En el procesamiento de datos personales, el cliente se considera el Encargado del Tratamiento y Aiki Webs, según su capacidad, se considera el Encargado del Tratamiento o Subencargado del Tratamiento.
Teniendo en cuenta que:
El Agente de Procesamiento ha dado instrucciones al Agente de Procesamiento para que procese los datos personales de conformidad con el acuerdo principal y los términos y condiciones generales adjuntos a este acuerdo;
El encargado del tratamiento acepta la tarea de procesar estos datos personales y no procesa dichos datos para sus propios fines;
El responsable del tratamiento es responsable del tratamiento de los datos por parte del encargado del tratamiento en el sentido del Reglamento General de Protección de Datos;
Las partes desean establecer sus derechos y obligaciones mutuos para el procesamiento de datos personales.
Han acordado:
Definiciones
AVG: el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) desarrollado en la UAVG.
Titular de los Datos: la persona a la que se refieren los Datos Personales, según lo dispuesto en el Artículo 4(1) de la Ley de Protección de Datos (AVG). Contrato Principal: el/los contrato(s) principal(es) celebrado(s) entre el Responsable y el Encargado del Tratamiento, incluidos los anexos, a los que se refiere el presente Contrato de Tratamiento.
Violación de datos personales: una violación de la seguridad que provoca la destrucción, pérdida, alteración o divulgación no autorizada, o el acceso accidental o ilícito, a datos personales transmitidos, almacenados o procesados ​​de otra forma, tal como se menciona en el Artículo 4(12) de la AVG.
Empleados: Personas empleadas por el Responsable o el Encargado del Tratamiento.
Destinatario: persona física o jurídica, organismo público, servicio u otro organismo, sea o no un tercero, a quien se le faciliten los Datos Personales, según lo dispuesto en el Artículo 4(9) de la Ley de Protección de Datos (AVG). Partes: Responsable y Encargado del Tratamiento.
Datos personales: cualquier información en el sentido más amplio sobre una persona física identificada o identificable (el Titular de los Datos) que se procese en el marco del Acuerdo Principal tal como se menciona en el Artículo 4(1) de la AVG; una persona identificable es aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más elementos propios de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona.
Datos de la empresa: toda la información en el sentido más amplio de la palabra sobre la empresa que se procesa en el marco del acuerdo.
UAVG: la ley que implementa el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) de 16 de mayo de 2018.
Encargado del tratamiento: la persona física o jurídica, una organización gubernamental, un servicio u otro organismo que procesa Datos Personales en nombre del Responsable del tratamiento según lo mencionado en el Artículo 4(8) de la AVG.
Subprocesador: otro procesador contratado por el Procesador para Procesar Datos Personales en nombre de un Controlador.
Responsable del tratamiento: la persona física o jurídica que, sola o junto con otras, determina los fines y medios del tratamiento de datos personales en el sentido del artículo 4, apartado 7 de la AVG.
Contrato de Encargado del Tratamiento: el presente Contrato de Encargado del Tratamiento para el establecimiento de los contratos a que se refiere el artículo 28 (3) de la AVG.
Tratamiento: operación o conjunto de operaciones sobre Datos Personales, realizadas o no por medios automatizados, como el registro, la organización, la recogida, la estructuración, la conservación, la modificación, la recuperación, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de puesta a disposición, el cotejo o la combinación, el bloqueo, la supresión o la destrucción de datos tal y como se contempla en el artículo 4(2) de la AVG.
Artículo 1 Finalidad del tratamiento
1.1 El Encargado del Tratamiento se compromete a tratar los datos personales siguiendo las instrucciones del Encargado del Tratamiento, de conformidad con el presente Contrato de Tratamiento. El tratamiento se realizará exclusivamente en el contexto de la ejecución del contrato de encargo y del presente Contrato de Tratamiento, en el sentido del artículo 28(3) de la Ley de Protección de Datos (AVG).
1.2 El Encargado del Tratamiento tiene prohibido tratar los datos personales para cualquier fin distinto del relacionado con la ejecución del contrato, así como para los fines razonablemente relacionados con el contrato o determinados con consentimiento explícito durante la vigencia del mismo. Para ello, el Encargado del Tratamiento ofrece sus Servicios.
1.3 La categoría de interesados ​​cuyos datos personales son tratados (por orden del Responsable) incluye al Cliente, así como a sus clientes y/u otras personas implicadas con las que el Cliente tiene que tratar, incluidos, entre otros: sus (potenciales) clientes, socios de cooperación, relaciones, empleados, visitantes del sitio web, terceros que ponen datos personales a disposición del Responsable, personas incluidas en el entorno de correo web proporcionado por Aiki Webs y otras posibles categorías de interesados ​​cuyos datos personales se tratan a través de los servicios de Aiki Webs.
1.4 La categoría de Datos Personales que se procesan son datos que incluyen en todo caso, pero no se limitan a, detalles de contacto, nombre y dirección, dirección de correo electrónico, datos de ubicación e inicio de sesión, direcciones IP y otras categorías de Datos Personales que incluyen datos personales tanto no personales como especiales.
1.5 El Encargado del Tratamiento no tratará los datos personales con ninguna finalidad distinta a la establecida por el Responsable del Tratamiento. El Responsable del Tratamiento informará al Encargado del Tratamiento sobre las finalidades del tratamiento, siempre que no estén ya establecidas en el presente Acuerdo de Tratamiento.
1.6 El Encargado del Tratamiento no tiene control sobre el tratamiento ni el uso de los datos personales. El Responsable del Tratamiento es responsable de los medios y de determinar la finalidad del tratamiento, y debe establecerlo claramente por escrito. La Entidad Encargada del Tratamiento siempre debe informar al Encargado del Tratamiento sobre la finalidad del tratamiento. El Encargado nunca tomará decisiones independientes sobre el tratamiento de los datos personales, incluyendo la duración del almacenamiento, el uso de los datos personales y la divulgación a terceros.
1.7 La mayor parte del procesamiento será (semi) automatizado, pero también podrá realizarse manualmente.
1.8 Los datos personales que se procesen por encargo del Encargado del Tratamiento seguirán siendo propiedad del Encargado del Tratamiento (siempre que dichos datos no pertenezcan ya a terceros).
Artículo 2 Duración del Acuerdo
2.1 El presente contrato comienza a regir a partir de la firma del mismo y se celebra por la duración del encargo convenido en el contrato principal.
2.2 El presente acuerdo no podrá rescindirse prematuramente.
2.3 Las modificaciones de este acuerdo como resultado de cambios en el contrato de comisión subyacente, leyes o regulaciones u otras circunstancias relevantes sólo son válidas si se agregan al acuerdo de procesamiento después de la consulta y con el consentimiento explícito de las partes.
2.4 El presente Acuerdo finalizará por imperio de la ley si finaliza el Acuerdo Principal.
2.5 Una vez rescindido el contrato, por cualquier motivo y forma, el Responsable del Tratamiento será responsable de eliminar sus datos del sistema del Encargado del Tratamiento de forma oportuna y correcta. Todas las consecuencias de la eliminación de estos datos correrán por cuenta y riesgo del Responsable del Tratamiento, salvo acuerdo explícito en contrario.
2.6 Las disposiciones sobre confidencialidad, responsabilidad y resolución de disputas permanecerán en pleno vigor y efecto después de la terminación de este Acuerdo.
Artículo 3 Obligaciones del encargado del tratamiento
3.1 El Procesador está obligado a cumplir con las condiciones impuestas al procesamiento de datos personales según las leyes y regulaciones aplicables, en particular la AVG y la Ley de Implementación de la AVG.
3.2 El Encargado del Tratamiento tiene prohibido enriquecer sus bases de datos y/o archivos con datos personales o de otro tipo de las bases de datos del Responsable del Tratamiento, salvo si necesita crear bases de datos y/o archivos temporales para el correcto tratamiento de los datos personales. Los archivos temporales se eliminarán inmediatamente en el momento en que dejen de ser necesarios para el tratamiento.
3.3 El Encargado del Tratamiento informará a la Parte Encargada del Tratamiento, a petición de ésta, de las medidas que haya adoptado respecto a sus obligaciones en virtud del presente Contrato de Encargado del Tratamiento.
3.4 El Procesador no está obligado a seguir ninguna instrucción y/o dirección dada por el Procesador.
3.5 Todas las obligaciones que recaen sobre el Procesador también se aplican a las personas que procesan datos personales bajo la autoridad del Procesador, incluidos los empleados y terceros contratados por el Procesador.
3.6 La Entidad de Tratamiento tendrá acceso a los datos (personales) por ella almacenados en todo momento.
3.7 El procesador tiene acceso a los datos (personales) almacenados.
3.8 Este acuerdo no es transferible, a menos que se acuerde explícitamente lo contrario.
Artículo 4 Transferencia de datos personales
4.1 En caso de transferencia de datos personales, el Encargado del Tratamiento informará a la Parte Responsable del país o países involucrados. El Encargado del Tratamiento garantiza que, dadas las circunstancias que afectan a la transferencia de datos personales o a una categoría de transferencias de datos, existe un nivel adecuado de protección en el caso de países fuera de la Unión Europea.
4.2 En particular, al determinar un nivel adecuado de protección, el Encargado del Tratamiento tendrá en cuenta la duración del tratamiento previsto, el país de origen y el país de destino final, las normas generales y sectoriales de derecho aplicables en el país en cuestión, así como las normas de conducta profesional y las medidas de seguridad observadas en dichos países.
Artículo 5 Responsabilidad del encargado del tratamiento
5.1 El Procesador realizará el trabajo para la Parte Procesadora bajo este acuerdo según lo acordado en el acuerdo principal.
5.2 El Encargado del Tratamiento sólo es responsable del tratamiento de los datos personales en virtud del presente Acuerdo de Tratamiento, de acuerdo con las instrucciones del Responsable del Tratamiento y bajo la responsabilidad expresa (final) de este. El Encargado del Tratamiento no es responsable de ningún otro tratamiento de datos personales, incluyendo, entre otros, la recopilación de datos personales por parte del Responsable del Tratamiento, el tratamiento para fines no notificados por este al Encargado del Tratamiento, el tratamiento por terceros o para otros fines.
5.3 El Responsable garantiza que el contenido, el uso y la puesta en servicio del tratamiento de los datos personales a que se refiere el presente Contrato de Tratamiento no son ilícitos ni infringen ningún derecho de terceros.
Artículo 6 Terceros
Las actividades del Encargado del Tratamiento podrán subcontratarse a terceros, los subencargados del tratamiento. Todas las obligaciones derivadas del presente Acuerdo se aplicarán también a estos terceros.
Artículo 7 Medidas de seguridad
7.1 El Encargado del Tratamiento se esforzará en adoptar medidas organizativas y técnicas suficientes y apropiadas contra cualquier forma de tratamiento ilícito en relación con el tratamiento de datos personales que realice, todo ello dentro de las posibilidades razonables ofrecidas por los proveedores (de software) del Encargado del Tratamiento.
7.2 El nivel de seguridad de las medidas debe ser, como mínimo, razonable en relación con los costes, la sensibilidad de los datos personales en cuestión, el estado de la tecnología y los riesgos. El encargado del tratamiento no garantiza que las medidas de seguridad adoptadas en todo momento sean eficaces en todas las circunstancias.
7.3 El responsable del tratamiento es responsable del cumplimiento de los acuerdos celebrados por las partes.
7.4 La propia Entidad de Procesamiento debe tomar todas las medidas (de seguridad) para garantizar que cualquier persona física que actúe bajo la autoridad de la Entidad de Procesamiento y tenga acceso a los Servicios del Procesador, solo procese los datos (personales) almacenados relevantes siguiendo las instrucciones del Procesador.
7.5 En caso de fuga de seguridad o de datos que pueda causar daños o afectar negativamente a la protección de los datos personales, el Encargado del Tratamiento deberá informar al Responsable del Tratamiento inmediatamente, o al menos sin demora injustificada, pero dentro de las 24 horas siguientes a la fecha en que razonablemente se hubiera esperado que el Encargado del Tratamiento tuviera conocimiento de ello. Si la notificación mencionada en la frase anterior no es razonablemente posible dentro de las 24 horas, las partes se consultarán para determinar un plazo razonable en el que el Encargado del Tratamiento pueda informar al Responsable del Tratamiento. El Responsable del Tratamiento informará entonces a la Autoridad de Protección de Datos Personales dentro de las 72 horas y a las partes implicadas lo antes posible sobre la infracción.
7.6 De conformidad con la obligación del Procesador de informar una fuga, el informe de una fuga debe constar al menos de los siguientes componentes:
la naturaleza de la violación de datos personales, indicando, cuando sea posible, las categorías de interesados ​​y datos personales afectados y, aproximadamente, el número de interesados ​​y registros de datos personales afectados;
el nombre y los datos de contacto del responsable de protección de datos o de otro punto de contacto donde pueda obtenerse más información;
las probables consecuencias de la violación de datos personales;
las medidas propuestas o adoptadas por el Encargado del Tratamiento para prevenir la violación en relación con los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
7.7 El Responsable y el Encargado del Tratamiento deberán mantener un registro de Fugas de Datos, de conformidad con el Artículo 33(5) de la Ley de Protección de Datos (AVG). El Encargado del Tratamiento deberá documentar todas las filtraciones de datos, incluyendo los hechos relacionados con la filtración, sus consecuencias y las medidas correctivas adoptadas. El Encargado del Tratamiento permitirá a la Parte Encargada del Tratamiento inspeccionar este registro si así lo solicita.
7.8 Si se produce una violación de seguridad de los datos personales en el Procesador, el Procesador está obligado a tomar las medidas apropiadas a su propio costo para prevenir futuros incidentes y/o violaciones.
Artículo 8 Confidencialidad
El Encargado del Tratamiento y sus empleados, así como el/los tercero(s) contratado(s) por el Encargado del Tratamiento, están obligados a mantener la confidencialidad de todos los datos personales, la información sensible y/o los datos de la empresa obtenidos mediante este acuerdo. Esta obligación de confidencialidad no se aplica si el Procesador ha dado su consentimiento explícito por escrito para compartir estos datos e información con un tercero, o si existe una obligación legal de proporcionarlos a un tercero. Tras la finalización de este acuerdo, las partes seguirán obligadas a cumplir con esta obligación de confidencialidad.
Artículo 9 Derechos de los interesados
9.1 Si el Encargado del Tratamiento recibe una solicitud de inspección de un interesado, un organismo autorizado o una autoridad de control, la remitirá al Responsable del Tratamiento lo antes posible y, en cualquier caso, en un plazo de 7 días hábiles. Si así se le solicita, el Encargado del Tratamiento deberá cooperar en la tramitación de la solicitud. Los costes razonables en que incurra el Encargado del Tratamiento para prestar su cooperación correrán a cargo del Responsable del Tratamiento.
9.2 Las disposiciones del artículo 9.1 se aplicarán en consecuencia si un interesado desea ejercer otros derechos como el derecho de rectificación, supresión de datos, el derecho a la limitación del tratamiento, el derecho a la portabilidad de datos, el derecho de oposición y los derechos en caso de toma de decisiones individuales automatizadas según lo establecido en las secciones 3 y 4 del Reglamento General de Protección de Datos.
Artículo 10 Auditoría
10.1 El Procesador podrá hacer que un experto verifique el cumplimiento de este Acuerdo del Procesador, solo después de que haya resultado evidente que los informes de auditoría del Procesador son insuficientes (ninguna claridad o claridad insuficiente con respecto al cumplimiento del Procesador con el Acuerdo del Procesador) y el contenido de estos informes justifica dicha auditoría.
10.2 El Encargado del Tratamiento está obligado a cooperar en la verificación y deberá proporcionar toda la información pertinente lo antes posible, en un plazo máximo de 14 días naturales tras la recepción de la solicitud de información. El Encargado podrá disponer de una prórroga de hasta un mes para seguir proporcionando la información. Si existe un interés urgente, las partes podrán acordar alternativas. En tal caso, las partes se consultarán para acordar un plazo posiblemente más corto.
10.3 La auditoría se realizará como máximo una vez al año, una vez transcurridas al menos seis semanas desde su anuncio. Las conclusiones de la auditoría serán debatidas por las partes y, si así se desea, implementadas conjuntamente por una o ambas.
10.4 Los costes de la auditoría correrán íntegramente a cargo del Encargado del Tratamiento. Si la auditoría revela que se requieren ajustes en las medidas de seguridad del Encargado del Tratamiento, y el Responsable del Tratamiento también es responsable de ello, los costes de las medidas de seguridad (que se adopten) correrán a cargo proporcionalmente del Encargado del Tratamiento y del Responsable del Tratamiento, a menos que la responsabilidad recaiga íntegramente sobre el Responsable del Tratamiento, en cuyo caso el propio Encargado del Tratamiento asumirá los costes íntegramente.
Artículo 11 Responsabilidad
11.1 El Responsable es el responsable último del tratamiento de los datos personales y garantiza que dicho tratamiento sea lícito y no vulnere los derechos de los interesados. El Encargado no será responsable de ningún daño derivado de sus actos u omisiones, ni del incumplimiento de las leyes y normativas.
11.2 El Procesador no es responsable por daños indirectos, daños consecuentes, pérdida de ganancias, ahorros perdidos, reducción de la buena voluntad, interrupción del negocio y/o daños como resultado de reclamos del Agente de Procesamiento, las partes involucradas y terceros.
11.3 Sin perjuicio de lo dispuesto en este Artículo, el Encargado del Tratamiento solo será responsable de los daños causados ​​por el tratamiento si este no cumple con las obligaciones de la AVG dirigidas específicamente al Encargado del Tratamiento o si contraviene las instrucciones legítimas del Responsable del Tratamiento. En caso de producirse algún daño, la responsabilidad del Encargado del Tratamiento se limita al valor de la factura, sin IVA, de los últimos 12 meses.
11.4 El Responsable garantiza que el orden de tratamiento de los datos personales cumple con las leyes y regulaciones aplicables.
Artículo 12 Indemnización
12.1 El Responsable del Tratamiento indemnizará al Encargado del Tratamiento frente a reclamaciones, multas o sanciones pecuniarias de la Autoridad de Datos Personales u otras autoridades, o en su nombre, cuando se determine que las infracciones son responsabilidad del Responsable del Tratamiento o del Encargado del Tratamiento. El Procesador podrá recuperar las multas o sanciones pecuniarias impuestas al Encargado del Tratamiento si no se le puede exigir responsabilidad por las infracciones.
12.2 El Encargado del Tratamiento indemnizará al Responsable frente a todas las reclamaciones de terceros, incluidos los supervisores y/u otras autoridades, que surjan del incumplimiento de las leyes y normativas aplicables.
Artículo 13 Solución de controversias
13.1 El presente acuerdo se regirá por la legislación española.
13.2 Todas las disputas que surjan entre las partes que surjan de o se relacionen con este Acuerdo de Procesador se resolverán por el tribunal competente donde el Procesador tenga su domicilio social.