Acuerdo del procesador de datos
de conformidad con el artículo 28 del GDPR
Por y entre
“Cliente”
Responsable del tratamiento
y
Cultura Explota AS
Procesador de datos
Culture Exploit AS, Gaustadalléen 21, 0349 Oslo, Noruega, Org.no. 918 415 823, en lo sucesivo “CE”, y los afiliados de CE reconocen la importancia de asegurar y proteger cualquier dato recopilado de las personas a través de nuestra plataforma, y sus productos relacionados, servicios y cualquier otra funcionalidad que se encuentre en www.xientia.com (colectivamente la “Plataforma”).
1. Objeto y duración del tratamiento
Este acuerdo se aplica al tratamiento de datos personales por parte de Culture Exploit AS como procesador (en lo sucesivo, el Procesador) en nombre del Cliente (en lo sucesivo, el Controlador) en relación con el acuerdo de servicio entre ambas partes de fecha xx.xx.xxxx.
El objetivo de este acuerdo de encargado del tratamiento de datos (el Acuerdo) es garantizar el cumplimiento de los requisitos del GDPR y regular el tratamiento de datos personales por parte del Encargado del tratamiento en nombre del Responsable del tratamiento, incluida la recopilación, el registro, la alineación, el almacenamiento y la divulgación o una combinación de los mismos.
El Encargado del tratamiento podrá tratar datos personales por cuenta del Responsable del tratamiento mientras sea válido el acuerdo de servicio entre las partes. En caso de incumplimiento del presente Acuerdo o del GDPR, el Responsable del tratamiento podrá ordenar al Encargado del tratamiento que interrumpa el tratamiento de los datos personales con efecto inmediato.
2. Naturaleza y finalidad del tratamiento
El Responsable del Tratamiento ha suscrito un contrato de servicios con el Procesador con fecha xx.xx.xxxx, que cubre la evaluación Cultural en Culture Exploit.
El acuerdo de servicio implica el tratamiento de datos personales por parte del Procesador en nombre del Controlador. La finalidad del tratamiento de los datos personales objeto de este acuerdo es el desarrollo de los empleados de la organización.
3. Tipo de datos personales y categorías de interesados
Al realizar los servicios según lo acordado en el contrato de Servicios, el Procesador puede procesar datos personales de nombre y direcciones de correo electrónico
Los siguientes tipos de datos personales pueden ser tratados en virtud del presente Acuerdo;
NOTA: ESTA LISTA NO ES EXHAUSTIVA Y DEBE RELLENARSE SEGÚN PROCEDA. ADEMÁS, ALGUNOS DE LOS TIPOS DE DATOS PERSONALES PUEDEN NO SER APLICABLES A ESTE ACUERDO, Y DEBEN ELIMINARSE DE LA LISTA.
- Nombre
- Datos de contacto (correo electrónico)
- Nacido (año)
- Antigüedad (empezó a trabajar para cliente año)
4. Obligaciones y derechos del responsable del tratamiento
El Encargado del tratamiento no podrá tratar datos personales de forma distinta a la regulada en el presente acuerdo. El Encargado del tratamiento sólo tratará los datos personales siguiendo instrucciones documentadas del Responsable del tratamiento, a menos que así lo exija la legislación de la Unión o de un Estado miembro a la que esté sujeto el Encargado del tratamiento. En tal caso, el Encargado del tratamiento informará al Responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público.
El Encargado del Tratamiento está obligado a dar acceso al Responsable del Tratamiento a las medidas de seguridad técnicas y organizativas por escrito y a prestarle asistencia para que el Responsable del Tratamiento pueda cumplir sus responsabilidades de conformidad con el RGPD.
Salvo acuerdo en contrario o en virtud de las disposiciones legales, el Responsable del tratamiento tiene derecho a acceder a todos los datos personales que procese el Encargado del tratamiento por cuenta del Responsable del tratamiento y a los sistemas utilizados a tal fin. El Procesador proporcionará la asistencia necesaria para ello.
El Encargado del Tratamiento debe respetar el secreto profesional sobre la documentación y los datos personales a los que tenga acceso en virtud del presente acuerdo. Esta disposición también se aplica una vez finalizado el acuerdo.
El Encargado del tratamiento asistirá al Responsable del tratamiento mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de la obligación del Responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado conforme al RGPD. Las solicitudes de acceso, supresión y/o rectificación que reciba el Encargado del tratamiento se transmitirán sin demora injustificada al Responsable del tratamiento.
Los datos personales no se almacenarán más tiempo del necesario para llevar a cabo la finalidad del tratamiento. Cada empleado tiene la posibilidad de eliminar toda la información personal cuando lo desee.
En caso de violación de datos personales, el Encargado del Tratamiento deberá notificar dicha violación al Responsable del Tratamiento sin dilación indebida y, siempre que sea posible, a más tardar 24 horas después de haber tenido conocimiento de la misma. El Responsable del Tratamiento es responsable de informar de la violación a la Inspección de Datos nacional correspondiente.
5. Uso de un subcontratista
Elimina la sección no relevante:
*El Responsable del Tratamiento concede al Encargado del Tratamiento una autorización general para contratar a otro encargado, con la condición de que el Encargado del Tratamiento informe al Responsable del Tratamiento de cualquier cambio previsto relativo a la adición o sustitución de otros encargados del tratamiento, dando así al Responsable del Tratamiento la oportunidad de oponerse a dichos cambios.
Cualquiera que realice tareas en nombre del Encargado del Tratamiento que incluyan el tratamiento posterior de los datos personales relevantes que estén cubiertos por este acuerdo, deberá estar familiarizado con las obligaciones contractuales y legales del Encargado del Tratamiento y cumplir los requisitos de las mismas.
El Encargado del Tratamiento cumplirá los requisitos de seguridad del tratamiento estipulados en el artículo 32 del RGPD. La documentación estará disponible a petición del Responsable del tratamiento.
El Encargado del Tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras cosas, según proceda:
NOTA: ESTA LISTA NO ES EXHAUSTIVA Y DEBE COMPLETARSE SEGÚN PROCEDA
- La seudonimización y encriptación de datos personales;
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento.
- La capacidad de restablecer a tiempo la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
- Un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
El Encargado del Tratamiento proporcionará seguridad física para impedir el acceso no autorizado a las zonas en las que se almacenen datos personales. Además, el encargado del tratamiento se asegurará de que se establezcan los controles de acceso necesarios a todos los datos personales y a los sistemas informáticos pertinentes. El acceso debe basarse en la necesidad de acceso de los empleados, teniendo en cuenta las tareas laborales pertinentes. Se registrará el uso de los sistemas informáticos cubiertos por este acuerdo. La información almacenada electrónicamente que contenga datos personales se protegerá con contraseñas y otras medidas técnicas de seguridad similares para garantizar que la información almacenada electrónicamente no esté disponible para personal no autorizado ni exista riesgo de alteración/eliminación no deseada de los datos. La seguridad debe cumplir los métodos generalmente reconocidos, o mejores.
7. Auditorías de seguridad
El Procesador realizará auditorías de seguridad de los sistemas, etc. cubiertos por este acuerdo cada año El Controlador recibirá, previa solicitud, la documentación de estas auditorías de seguridad.
La auditoría puede incluir una revisión de rutinas y políticas, comprobaciones aleatorias, inspecciones más amplias de las instalaciones y otras medidas de control adecuadas. El Responsable del Tratamiento tiene derecho a acceder a la documentación en poder del Encargado del Tratamiento que sea relevante para el presente Acuerdo. Por lo tanto, el Encargado del Tratamiento está obligado, previo aviso con una antelación razonable, a poner esta documentación a disposición del Responsable del Tratamiento.
En los casos en que el Responsable del tratamiento desee realizar una inspección in situ o comprobaciones aleatorias, se notificará por escrito al Encargado del tratamiento, avisándole con una antelación razonable a la inspección in situ.
El acuerdo será válido mientras el encargado del tratamiento trate datos personales por cuenta del responsable del tratamiento. En caso de incumplimiento de este acuerdo o de la Ley de Datos Personales, el responsable del tratamiento podrá ordenar al encargado del tratamiento que deje de tratar la información con efecto inmediato.
9. Terminación
Tras la rescisión de este acuerdo, el encargado del tratamiento está obligado a eliminar todos los datos personales recibidos en nombre del responsable del tratamiento y cubiertos por este acuerdo en el plazo de un día laborable. Esto también se aplica a cualquier copia de seguridad. El encargado del tratamiento documentará por escrito que la supresión ha tenido lugar de conformidad con el acuerdo.
10. Notificaciones
Las notificaciones en virtud de este acuerdo se presentarán por escrito a:
Controlador:
Procesadora: Explotación cultural por el director general
11. Elección de la ley y jurisdicción
El acuerdo está sujeto a la jurisdicción noruega y las partes acuerdan que el tribunal de distrito de Oslo sea la sede legal. Esto también se aplica tras la rescisión del acuerdo.
***
Este acuerdo se ha redactado en 2 – dos ejemplares, de los que las partes conservan un ejemplar cada una.
Oslo, Mes xx – 20xx
Controlador Procesador
Xxxx Xxxx por prokura
CEO
Cultura Explota AS
Culture Exploit AS Gaustadalléen 21, Startup Lab – 0349 Oslo – Noruega