Acuerdo de procesamiento de datos
Este Acuerdo de Procesamiento de Datos se celebra entre EasyLMS B.V. (“Procesador”) y sus clientes (el cliente es el “Controlador”) para los cuales procesa datos personales como procesador;
En adelante, cada uno de ellos una “Parte” y colectivamente las “Partes”;
Mientras que:
A. Este Acuerdo de Procesamiento de Datos forma una parte integral de los Términos y Condiciones de Easy LMS (“Términos y Condiciones”), así como el acuerdo entre el Procesador y el Controlador, con respecto al sistema de gestión del aprendizaje online ofrecido por el Procesador al Controlador (“El/Los Servicio(s)”);
B. Para que el Controlador y sus participantes puedan hacer uso de los Servicios, el Procesador debe procesar los datos personales (“Datos Personales”) de los empleados del Controlador y/u otros participantes (conjuntamente: “Titulares de los Datos”) que utilizan el contenido creado por el Controlador en los Servicios;
C. Las categorías de Datos Personales, así como otros detalles con respecto al procesamiento de los Datos Personales, se describen en el Anexo 1 de este Acuerdo de Procesamiento de Datos;
D. El Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL AYUNTAMIENTO del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga La Directiva 95/46/EC, “RGPD”) es aplicable al procesamiento de los Datos Personales;
E. Sobre la base del RGPD, las Partes deben celebrar este Acuerdo de Procesamiento de Datos.
1. Definiciones
1.1.Además de los términos en mayúscula definidos anteriormente, los siguientes términos en mayúscula tendrán los siguientes significados:
1.2. “APD”: una Autoridad de Protección de Datos competente.
1.3. “EEE”: El Espacio Económico Europeo.
1.4. “Violación de Datos Personales”: una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, accidental o ilegal, a los Datos Personales.
1.5. “Procesamiento”: aquellas acciones de procesamiento realizadas con los Datos Personales tal como se definen en el RGPD que incluyen, sin limitarse a, almacenarlos, visualizarlos, dividirlos, eliminarlos, modificarlos y reenviarlos.
1.6. “Anexo”: un anexo a este Acuerdo de Procesamiento de Datos..
1.7. “Acuerdo de Servicios”: el acuerdo en base al cual se prestan los Servicios, que puede consistir en los Términos y Condiciones y/u otro tipo de acuerdo.
1.8. “Sub-procesador”: un tercero a quien el Procesador subcontrata el Procesamiento de los Datos Personales, ya sea total o parcialmente.
2. General obligations
2.1. Con respecto a los Datos Personales, el Procesador toma las medidas técnicas y organizativas adecuadas para garantizar el cumplimiento del RGPD y la protección de los derechos de los Titulares de los Datos.
2.2. El Controlador declara que cumple con el RGPD con respecto a los Datos Personales que son Procesados por el Procesador. Es responsabilidad del Controlador cumplir con la legislación de datos personales aplicable con respecto a los Datos Personales creados o cargados en el Servicio. Esto incluye, sin limitarse a, tener una base legal para el Procesamiento, (por ejemplo, consentimiento válido si así se requiere), de los Datos Personales, informar a los Titulares de los Datos sobre el Procesamiento de sus Datos Personales y asegurarse de que los Titulares de los Datos tengan la edad legal para presentar sus datos personales, si corresponde.
3. Procesamiento únicamente según instrucciones del Controlador
3.1.El propósito del Procesamiento por parte del Procesador es permitirle al Procesador proporcionar los Servicios.
3.2. El Procesador sólo Procesará los Datos Personales siguiendo las instrucciones escritas del Controlador, que son las actividades de Procesamiento establecidas en el Anexo 1, o aquellas instrucciones razonables dadas por el Controlador por escrito (que pueden incluir por correo electrónico). El Procesador sólo Procesará los Datos Personales fuera de las instrucciones del Controlador si es necesario para cumplir con una obligación legal aplicable. En este caso, se aplica el artículo 3.3 siguiente.
3.3 En caso de que el Procesador se vea obligado legalmente en virtud de la legislación europea a revelar cualquiera de los Datos Personales, el Procesador deberá notificar al Controlador con prontitud y notificar el requisito legal pertinente, a menos que el requisito legal prohíba al Procesador dicha notificación por motivos importantes de interés público. Si al Procesador no se le prohíbe notificar al Controlador, el Procesador se abstendrá de revelar cualquier Dato Personal hasta que el Controlador haya tomado medidas para obtener una orden de protección u otro recurso apropiado. Si no se obtiene dicha orden de protección, el Procesador proporcionará únicamente los Datos Personales que se le indiquen necesarias mediante notificación oportuna por escrito al controlador o, en ausencia de dicha notificación oportuna, el procesador proporcionará los Datos Personales que considere necesarios de conformidad con el requisito legal.
3.4 El Procesador notificará al Controlador si, en su opinión, una instrucción dada por el Controlador infringe el RGPD, en cuyo caso el Procesador no tendrá que cumplir con la instrucción.
4. Ayudar al Controlador
4.1. El Procesador proporcionará la asistencia razonablemente solicitada por el Controlador para:
(i) teniendo en cuenta la naturaleza del Procesamiento, ayudar al Controlador mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones del Controlador de responder a las solicitudes de los Titulares de los Datos para ejercer sus derechos, en la medida en que el Procesador pueda hacerlo, a la luz de los Servicios. En caso de que el Procesador reciba una solicitud de un Titular de los Datos, enviará dicha solicitud al Controlador y el Controlador se encargará de la solicitud;
(ii) teniendo en cuenta la naturaleza del Procesamiento y la información disponible para el Procesador, ayudar al Controlador a cumplir con Sus obligaciones relacionadas con la seguridad, notificando Violaciones de Datos Personales (ver artículo 5.4), investigaciones por parte de la APD, evaluaciones de impacto de la protección de datos y consulta previa si fuese requerido.
5. Medidas de Seguridad y Violaciones de Datos Personales
5.1. Teniendo en cuenta los avances de la tecnología, los costos de implementación y la naturaleza, alcance, contexto y propósitos del Procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Procesador implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo involucrado en el Procesamiento.
5.2. El Controlador garantiza que no solicitará a los Titulares de los Datos que envíen Datos Personales al Servicio que se consideren una categoría especial o datos personales sensibles según las leyes aplicables. Se trata, por ejemplo, de datos relacionados con la salud, creencias religiosas, opiniones políticas, raza, origen étnico, preferencia o comportamiento sexual, afiliación sindical, antecedentes penales, datos biométricos con fines de identificación, datos genéticos. Las medidas de seguridad de los Servicios no son adecuadas para este tipo de Datos Personales.
5.3. El Procesador ha implementado medidas técnicas y organizativas apropiadas para garantizar que sólo puedan acceder a los Datos Personales aquellas personas dentro de su organización que deban acceder a ellos con el fin de proporcionar los Servicios, por ejemplo, limitando el número de personas con derechos de acceso.
5.4. En su sitio web, el Procesador pone a disposición información sobre sus medidas de seguridad. Además, a pedido del Controlador, el Procesador presentará una descripción general de las medidas de seguridad vigentes en el momento de la solicitud. El Controlador podrá presentar dicha solicitud una vez por año calendario, a menos que exista una razón bien fundada para presentar la solicitud con mayor frecuencia, por ejemplo, el caso de una Violación de Datos Personales.
5.5. El Procesador deberá notificar al Controlador sin retraso indebido después de tomar conocimiento de una Violación de Datos Personales. Dicha notificación deberá:
(i) contener la información disponible con respecto a la Violación de Datos Personales, incluyendo pero no limitándose a, una descripción de la Violación de Datos Personales, la causa de la misma; las categorías naturaleza y cantidad (estimada) de Datos Personales y de Titulares de los Datos afectados y el alcance de la Violación de Datos Personales;
(ii) explicar el efecto de la Violación de Datos Personales sobre el Controlador y los Titulares de los Datos relevantes;
(iii) explicar la acción correctiva tomada o por tomar por el Procesador, el Controlador y o los Titulares de los Datos y el cronograma para completar dicha acción.
5.6. El Procesador brindará la cooperación razonablemente solicitada por el Controlador y enviará la información que esté bajo su control, en relación con la notificación de la Violación de Datos Personales y APD y, según corresponda, a los Titulares de los Datos.
5.7. No se puede exigir al Procesador que notifique una Violación de Datos Personales a ningún APD, ni a los Titulares de los Datos, a menos que el Procesador acepte explícitamente por escrito hacerlo en caso de una Violación de Datos Personales específica.
5.8. Para hacer uso de los Servicios, el Controlador debe utilizar los datos de inicio de sesión para acceder a su cuenta. El Controlador debe mantener estos datos de inicio de sesión seguros y confidenciales, ya que dan acceso a los Datos Personales. También es responsabilidad del Controlador asegurarse de que los Titulares de los Datos que utilizan los Servicios mantengan su propia información de inicio de sesión segura y confidencial ya que esta da acceso a sus propios Datos Personales.
6. Confidencialidad
6.1. El Procesador tendrá en cuenta la confidencialidad con respecto a los Datos Personales.
6.2. Con respecto a lo anterior, el Procesador:
(i) no divulgará los Datos Personales a ningún tercero, a menos que esto esté explícitamente permitido en este Acuerdo de Procesamiento de Datos;
(ii) hha implementado medidas técnicas y organizativas apropiadas para garantizar que cualquier persona que tenga acceso a los Datos Personales sea informada y esté sujeta a la confidencialidad.
7. Subcontratistas
7.1. El Procesador utiliza Subprocesadores que Procesan los Datos Personales. A solicitud del Controlador, el Procesador enviará los nombres y ubicaciones de los Subprocesadores. Si el Procesador tiene la intención de contratar a otro Subprocesador o a otro Subprocesador adicional para Procesar los Datos Personales, deberá notificarlo al Controlador con anticipación incluida la fecha de inicio de las actividades del Procesamiento del Subprocesador. En caso de que el Controlador se oponga oportunamente y el Procesador no pueda modificar los Servicios para ajustarse a la objeción del Controlador dentro de los catorce (14) días de dicha objeción, el Controlador y/o el Procesador podrán rescindir los Servicios y el Acuerdo de Servicios y el Procesador reembolsará los honorarios que el Controlador haya pagado por adelantado, si corresponde, durante el período de suscripción restante durante el cual se suspendió el Servicio. Según la fecha del inicio de las actividades de Procesamiento del Subprocesador, se actualizará el Anexo 2 (o se considerará actualizado) con la información notificada sobre el nuevo; si se trata de un Subprocesador que Procesa Datos Personales fuera del EEE, también se aplica el artículo 8.
7.2. El Procesador garantiza que los Subprocesadores:
(i) declarar haber implementado medidas técnicas y organizativas apropiadas para garantizar el cumplimiento del RGPD y la protección de los derechos de los Titulares de los Datos;
(ii) están obligados por escrito a cumplir con las mismas obligaciones establecidas en este Acuerdo de Procesamiento de Datos que son relevantes en relación con las actividades del Procesamiento del Subprocesador.
7.3. Para evitar dudas: si el Controlador utiliza funcionalidad a través de los Servicios donde se realiza una conexión con servicios que son ofrecidos al Controlador por terceros, dichos terceros no son los Subprocesadores del Procesador; el Controlador tiene una relación jurídica directa con dichos terceros. A modo de ejemplo, estos terceros pueden ser plataformas de redes sociales, proveedores de correo electrónico y proveedores de servicio del Controlador donde el Controlador tiene su propia cuenta que recibe datos mediante integraciones en la plataforma.
8. Exportación de Datos (transferencias fuera del EEE)
El Procesador transfiere Datos Personales al país o países (si los hubiera) enumerado(s) en el Anexo 2.
8.2. El Procesador garantiza que los países o terceros a los que se transfieren los Datos Personales ofrecen un nivel adecuado de protección. En ausencia de esto, si se requiere la cooperación del Controlador, el Controlador se compromete a proporcionar la cooperación solicitada por el Procesador para organizar uno de los mecanismos de transferencia establecidos en el RGPD para la transferencia a dicho país sin un nivel adecuado de protección, en tal caso, el Procesador y/o Subprocesador, si es necesario, implementan medidas complementarias para salvaguardar los Datos Personales.
9. Informes, derechos de auditoría
9.1. El Procesador permitirá al Controlador, bajo los términos y condiciones establecidos en este artículo, acceder a su administración para que el Controlador pueda auditar el cumplimiento por parte del Procesador de los términos y condiciones de este Acuerdo de Procesamiento de Datos. El Procesador no permite que el Controlador acceda a datos personales de titulares de los datos que no sean los Titulares de los Datos.
9.2. El Controlador podrá designar a un tercero para realizar la auditoría. En este caso, el Controlador se asegurará de que el tercero esté obligado a mantener confidencial la información del Procesador a la que el tercero tiene acceso en relación con la auditoría y no revelarla a ningún tercero.
9.3. El Controlador no hará uso de sus derechos de auditoría conforme a esta cláusula más de una vez por año calendario. El Controlador notificará al Procesador al menos dos semanas antes de la auditoría para permitir al Procesador prepararse para la misma.
9.4. Si la auditoría evidencia que el Procesador no cumple con sus obligaciones conforme a este Acuerdo de Procesamiento de Datos, el Procesador tomará las medidas razonablemente solicitadas por el Controlador para cumplir con esas obligaciones.
10. Término y terminación
10.1. Este Acuerdo de Procesamiento de Datos tendrá el mismo término que el Acuerdo de Servicios. Por lo tanto, este Acuerdo de Procesamiento de Datos terminará cuando finalice el Acuerdo de Servicios.
10.2. Si el Acuerdo de Servicios no prevé la rescisión del mismo (y por lo tanto posteriormente de este Acuerdo de Procesamiento de Datos) se aplican los siguientes motivos de rescisión: cada Parte tiene derecho a rescindir este Acuerdo de Procesamiento de Datos para el futuro sin obligación de pagar daños y perjuicios en caso de que:
(i) La otra Parte solicita protección por quiebra, o esta es solicitada por un tercero;
(ii) La otra Parte solicita o se le concede la suspensión de pagos;
(iii) La otra Parte solicita un procedimiento de insolvencia o similar conforme a la ley aplicable, o se designa un síndico para ello;
(iv) La otra Parte cesa de realizar sus negocios.
10.3. Las Partes podrán en cualquier momento decidir conjuntamente rescindir este Acuerdo de Procesamiento de Datos mediante un acuerdo escrito.
11. Asistencia de salida
11.1. El Procesador Procesará los Datos Personales durante el uso de los Servicios por parte del Controlador.
11.2. El Controlador debe asegurarse de haber extraído y eliminado los Datos Personales de su cuenta antes de finalizar el Acuerdo de Servicios. Si el Procesador bloquea la cuenta del Controlador debido al incumplimiento del Acuerdo de Servicios, el Procesador, a solicitud del Controlador, que debe realizarse dentro de un período de diez (10) días después del bloqueo de la cuenta y previo pago de las tarifas aún adeudadas en virtud del Acuerdo de Servicios, entregará al Controlador los Datos Personales o, a discreción del Procesador, permitirá que el Controlador acceda a su cuenta durante un período de tres (3) días únicamente para extraer y eliminar los Datos Personales. Si después de estos períodos, el Controlador no ha eliminado los Datos Personales, el Procesador se reserva el derecho de hacerlo unilateralmente y eliminará los Datos Personales después de dos (2) años, a menos que las leyes aplicables exijan al Procesador conservar ciertos Datos Personales. En este último caso, el Procesador eliminará los Datos Personales una vez transcurrido el plazo legal de conservación.
12. Misceláneas
12.1. Las disposiciones del Acuerdo de Servicios se aplican al Procesamiento de los Datos Personales y prevalecerán respecto de las cláusulas que no se refieren a la protección de datos, tales como la responsabilidad. Si el Acuerdo de Servicios contiene disposiciones de protección de datos, este Acuerdo de Procesamiento de Datos prevalece sobre dichas disposiciones.
12.2. En caso de que las actividades del Procesador en relación con este Acuerdo de Procesamiento de Datos excedan las actividades normales del Procesador para los Servicios, el Procesador tiene derecho a una compensación razonable basada en la tarifa regular del Procesador en ese momento. El Procesador proporcionará una especificación de la compensación facturada.
12.3. Este acuerdo de procesamiento de datos puede ser cambiado o modificado por el Procesador de conformidad con las disposiciones del Acuerdo de Servicios.
12.4. Si cualquier disposición de este Acuerdo de Procesamiento de Datos es considerada inválida o inaplicable por un tribunal de jurisdicción competente, dicha decisión de ninguna manera afectará la validez o aplicabilidad de cualquier otra disposición del presente, y este Acuerdo de Procesamiento de Datos será interpretará como si dicho término o disposición no estuviese incluído en él.
12.5. Las consideraciones contenidas en “Considerando”, así como los Anexos, forman una parte integral de este Acuerdo de Procesamiento de Datos.
13. Ley aplicable, resolución de disputas
13.1. Este Acuerdo de Procesamiento de Datos se rige exclusivamente por las leyes de los Países Bajos, excluyendo las leyes en conflicto.
13.2. La cláusula de resolución de disputas del Acuerdo de Servicios se aplica a cualquier disputa que surja entre las Partes.
ANEXO 1 - Información sobre el Procesamiento
1. Descripción de los Servicios y actividades del Procesamiento:
Tipo de Servicio: sistema de gestión del aprendizaje online.
Actividades del Procesamiento: almacenamiento, acceso, modificación y eliminación a petición del Controlador.
2. Categorías de Datos Personales::
The Controller can choose the types of Personal Data that are requested from the Data Subjects, such as:
- nombre
- número de teléfono
- puesto de trabajo
- género
- fecha de nacimiento
- calle
- código postal
- ciudad
- país
- documento del empleado
- respuestas de los Titulares de los Datos a preguntas de texto libre
- respuesta de los Titulares de los Datos a preguntas de un menú desplegable
Los propios Titulares de los Datos también pueden crear Datos Personales como resultado del acceso y uso del contenido creado por el Controlador en el sistema de Easy LMS tales como:
- resultados de pruebas
- resultados de exámenes
- comentarios agregados al sistema
- documentos de certificación
El Controlador no debe pedir a los Titulares de los Datos que ingresen categorías especiales de Datos Personales, ni cargar dichos Datos Personales, que se refieran a: datos relacionados con la salud, creencias religiosas, opiniones políticas, raza, origen étnico, preferencia o comportamiento sexual, afiliación sindical, antecedentes penales, datos biométricos con fines de identificación, datos genéticos.
ANEXO 2 - Subprocesadores
Los Datos Personales se transfieren a los siguientes subprocesadores:
Subprocesadores |
|
|
|
Subprocesador |
País |
¿País fuera del EEE sin un nivel adecuado de protección?: |
Mecanismo de transferencia / dispositivos de seguridad apropiados |
Amazon Web Services (AWS) (servicios de almacenamiento y correo electrónico) |
Alemania |
No, país del EEE |
No aplica |
Intercom (chat de soporte) |
Irlanda |
No, país del EEE |
No aplica |
Este Anexo se considera actualizado después de la notificación de los cambios previstos en el artículo 7.1.