fbpx
saltar al contenido

Acuerdo de procesador de datos

Si es cliente de Tappin AS y necesita una versión firmada de nuestro acuerdo de procesamiento de datos, por favor contáctanos

Versión 23.10

De conformidad con la legislación noruega vigente sobre datos personales y el Reglamento (UE) 2016/679 de 27 de abril de 2016, artículos 28 y 29, cf. artículos 32 a 36, se celebra el siguiente acuerdo.

entre

Cliente de Tappin AS

 (responsable del tratamiento)

y

 Tappin AS, organización. N° 999215777

(procesador de datos)

 

Los términos utilizados en el acuerdo siguen una comprensión lingüística natural, se definen en el acuerdo o se leen tal como se definen en el Reglamento (UE) 2016/679 de 27 de abril de 2016, artículo 4.

1. Objeto del acuerdo

Las partes de este Acuerdo de Procesador de Datos celebraron un acuerdo con fecha del 01.06.21 (el "Acuerdo") sobre la base de la compra de asistencia técnica para eventos. Este Acuerdo de Procesador de Datos regula los derechos y obligaciones de las partes para garantizar que todo el procesamiento de datos personales se realice de acuerdo con la legislación aplicable sobre el procesamiento de datos personales, incluido el Reglamento de Protección de Datos Personales 2016/679 de la UE ("GDPR") y la legislación de protección de datos aplicable que implementa esto ("legislación de datos personales").

El acuerdo del procesador de datos debe garantizar que los datos personales no se utilicen ilegalmente, ilegalmente o que los datos se procesen de manera que conduzcan a un acceso no autorizado, cambio, eliminación, daño, pérdida o indisponibilidad.

El contrato de procesador de datos regula la gestión de datos personales por parte del procesador de datos en nombre del controlador, incluida la recopilación, registro, compilación, almacenamiento, procesamiento, divulgación y eliminación o combinaciones de estos, en relación con el uso/procesamiento en caso de asistencia técnica (en adelante denominado "el servicio").

En caso de conflicto, los términos de este acuerdo tendrán prioridad sobre la declaración de privacidad del procesador de datos o los términos de otros acuerdos celebrados entre el controlador de datos y el procesador de datos en relación con el uso/procesamiento en el servicio.

2. Finalidad del tratamiento

La finalidad del tratamiento de los datos personales que realiza el encargado del tratamiento por cuenta del responsable del tratamiento es la prestación de asistencia técnica.

Los datos personales que el encargado del tratamiento gestiona por cuenta del responsable del tratamiento no pueden utilizarse para otros fines sin la aprobación previa del responsable del tratamiento.

El procesador de datos no puede transferir datos personales cubiertos por este acuerdo a socios colaboradores u otros terceros sin la aprobación previa del controlador de datos, cf. punto 10 de este acuerdo.

3. Instrucciones

El responsable del tratamiento, como responsable de los datos personales objeto de tratamiento de conformidad con la legislación en materia de protección de datos, tiene el derecho y el deber de decidir qué finalidades se aplicarán y qué ayudas se utilizarán en el tratamiento.

El responsable del tratamiento debe dar al encargado del tratamiento instrucciones documentadas sobre cómo deben procesarse los datos personales. Si no se dan otras instrucciones, este acuerdo de procesador de datos constituye las instrucciones aplicables.

El procesador de datos solo debe procesar datos personales de acuerdo con las instrucciones escritas del controlador de datos y debe seguir las instrucciones documentadas para administrar datos personales en el servicio que el controlador de datos ha determinado que se aplicará.

El procesador de datos debe registrar todas las actividades de procesamiento y cumplir con todos los deberes de acuerdo con la legislación noruega vigente sobre datos personales que se aplica al utilizar el servicio para procesar datos personales.

El procesador de datos se compromete a notificar al controlador de datos si el procesador de datos recibe instrucciones del controlador de datos que el procesador de datos cree que están en conflicto con las disposiciones de la legislación noruega vigente sobre datos personales.

El encargado del tratamiento, previa solicitud, ayudará al responsable del tratamiento a realizar una evaluación de impacto sobre la privacidad, también conocida como "evaluación de impacto sobre la protección de datos". De la misma manera, el procesador de datos deberá, previa solicitud, ayudar a garantizar que se cumplan los requisitos de privacidad integrada en las soluciones del procesador de datos. Esto incluye la incorporación de funcionalidades para cumplir con los principios de privacidad, así como funcionalidades para garantizar los derechos del interesado, en la medida en que esto pueda esperarse razonablemente con respecto al propósito de la solución.

El procesador de datos debe garantizar que los datos personales que se procesan en nombre del controlador se mantengan física o lógicamente separados de otros datos que el procesador de datos procesa.

4. Tipos de registros y de información

El procesador de datos procesará los datos personales en la medida necesaria para cumplir el Acuerdo. Las categorías de datos personales y las categorías de personas registradas se especifican en el Apéndice 1. 

5. Los derechos de los interesados

El procesador de datos está obligado a ayudar al controlador de datos a salvaguardar los derechos del interesado de acuerdo con la legislación noruega vigente sobre datos personales. 

Los derechos del interesado incluyen el derecho a información sobre cómo se procesan sus datos personales, el derecho a exigir el acceso a sus propios datos personales, el derecho a exigir la corrección o eliminación de sus propios datos personales y el derecho a exigir que el procesamiento de sus propios datos personales.

En la medida en que sea pertinente, el encargado del tratamiento ayudará al responsable del tratamiento a salvaguardar el derecho del interesado a la portabilidad de los datos y el derecho a oponerse a decisiones automáticas, incluida la elaboración de perfiles.

6. Seguridad de la información satisfactoria

El procesador de datos debe implementar medidas de seguridad técnicas, físicas y organizativas satisfactorias para proteger los datos personales cubiertos por este acuerdo contra el acceso, cambio, eliminación, daño, pérdida o indisponibilidad no autorizados o ilegales.

Los procesadores de datos deben documentar su propia organización de seguridad, pautas y rutinas para el trabajo de seguridad, evaluaciones de riesgos y medidas de seguridad técnicas, físicas u organizativas establecidas. La documentación deberá estar a disposición del responsable del tratamiento previa solicitud.

Los encargados del tratamiento deberán establecer planes de continuidad y de contingencia para la gestión eficaz de incidentes graves de seguridad. La documentación deberá estar a disposición del responsable del tratamiento previa solicitud.

El encargado del tratamiento debe proporcionar a sus propios empleados información y formación suficientes sobre la seguridad de la información para que se salvaguarde la seguridad de los datos personales que se procesan por cuenta del responsable.

Una descripción detallada de las medidas para la seguridad de la información se adjunta en el Apéndice 2. 

7. Confidencialidad

Sólo se podrá conceder dicho acceso a los empleados del encargado del tratamiento que tengan una necesidad comercial de acceder a datos personales gestionados en nombre del responsable del tratamiento. El encargado del tratamiento está obligado a documentar pautas y rutinas para la gestión del acceso. La documentación deberá estar a disposición del responsable del tratamiento previa solicitud.

El encargado del tratamiento y los empleados del encargado del tratamiento tienen el deber de confidencialidad y no divulgación respecto de la documentación y los datos personales a los que el interesado tiene acceso de conformidad con el presente acuerdo. La obligación de confidencialidad y no divulgación cubre a los terceros y a sus empleados que realicen tareas como subencargados del tratamiento o lleven a cabo el mantenimiento (o tareas similares) de sistemas, equipos, redes o edificios que el encargado del tratamiento utilice para prestar el servicio. Las obligaciones de confidencialidad y no divulgación también se aplican después de la terminación del Acuerdo.

El encargado del tratamiento está obligado a documentar que quienes están sujetos al deber de confidencialidad han recibido información sobre el deber de confidencialidad y han consentido en obligarse por el mismo. La documentación deberá estar a disposición del responsable del tratamiento previa solicitud.

La ley noruega podrá limitar el alcance del deber de confidencialidad para los empleados de los procesadores de datos y terceros.

8. Acceso a la información y documentación de seguridad

El responsable del tratamiento tiene, salvo pacto en contrario o que resulte de la ley, el derecho de acceder y visualizar los datos personales tratados por el encargado del tratamiento y los sistemas utilizados a tal efecto. El encargado del tratamiento deberá, previa solicitud, poner a disposición del responsable del tratamiento los datos personales tratados y toda la información sobre el tratamiento que sea necesaria para demostrar si se han cumplido o no las obligaciones de las partes. El encargado del tratamiento está obligado a prestar la asistencia necesaria a este respecto.

El procesador de datos debe, previa solicitud, darle acceso al controlador de datos a toda la documentación de seguridad que sea necesaria para que el controlador de datos pueda cumplir con sus obligaciones de acuerdo con la legislación noruega vigente sobre datos personales, así como para cooperar con el controlador de datos y el autoridad supervisora en este sentido.

El responsable del tratamiento tiene el deber de confidencialidad respecto de la documentación confidencial de seguridad que el encargado del tratamiento ponga a disposición del responsable del tratamiento.

9. Deber de notificar en caso de violación de la seguridad

El encargado del tratamiento debe notificar al responsable del tratamiento sin demora indebida si los datos personales gestionados por cuenta del responsable del tratamiento están expuestos a una violación de seguridad.

La notificación al responsable del tratamiento debe contener, como mínimo, información que describa la violación de seguridad, qué interesados se ven afectados por la violación de seguridad, qué datos personales se ven afectados por la violación de seguridad, qué medidas inmediatas se han tomado para hacer frente a la violación de seguridad. incumplimiento y qué medidas preventivas se han establecido, en su caso, para evitar incidentes similares en el futuro.

El responsable del tratamiento es responsable de que se notifique a la Autoridad Noruega de Protección de Datos cuando sea necesario.

10. Subcontratistas

El procesador de datos debe, antes de que comience el procesamiento de datos personales, celebrar acuerdos separados con subcontratistas que regulen la gestión de datos personales por parte de los subcontratistas en relación con este acuerdo.

En los acuerdos entre encargados del tratamiento y subcontratistas, los subcontratistas deben estar obligados a hacerse cargo de todas las obligaciones a las que está sujeto el propio encargado del tratamiento de acuerdo con este acuerdo y la legislación. El encargado del tratamiento está obligado a presentar los acuerdos al responsable del tratamiento cuando así lo solicite.

El encargado del tratamiento debe comprobar que los subcontratistas cumplen con sus obligaciones contractuales, en particular que la seguridad de la información es satisfactoria y que los empleados de los subcontratistas son conscientes de sus obligaciones y las cumplen.

El controlador aprueba que el procesador de datos contrate a los siguientes subcontratistas para cumplir este acuerdo: ver Apéndice 3.

El encargado del tratamiento no puede contratar subcontratistas distintos de los mencionados anteriormente sin que ello sea previamente aprobado por escrito por el responsable del tratamiento.

El encargado del tratamiento es responsable de las acciones y omisiones del subcontratista como si fueran propias.

En los casos en que el controlador de datos haya aprobado el uso de un subcontratista de acuerdo con el Apéndice 3, el procesador de datos debe asegurarse de que el subcontratista cumpla con los requisitos para firmar el acuerdo estándar de la UE y las medidas adicionales de acuerdo con el punto 12 de este acuerdo de procesamiento de datos. . 

El encargado del tratamiento se obliga a no utilizar subcontratistas hasta que se hayan cumplido las condiciones de este punto 10 y punto 12.

11. Planes de tratamiento

Tanto el Procesador de datos como los subcontratistas del Procesador de datos están obligados a elaborar y seguir su propio plan de trabajo/procesamiento de procedimientos que garantice que el procesamiento de datos personales se lleve a cabo de acuerdo con su respectivo acuerdo de procesador de datos celebrado.

Dicho plan de trabajo/tratamiento procesal debe presentarse al Responsable del tratamiento para su control de calidad y aprobación antes de que se pueda implementar el tratamiento.

12. Transferencia a países dentro y fuera de la UE/EEE

Dentro de la UE/EEE

Los datos personales que el encargado del tratamiento gestiona de conformidad con este acuerdo se transferirán a los siguientes países receptores dentro de la UE/EEE: consulte el apéndice 3.

Fuera de la UE/EEE

Para cumplir con los requisitos de la legislación sobre datos personales para la transferencia de datos personales a procesadores/subcontratistas cuando el procesamiento se lleva a cabo fuera de la UE/EEE, el procesador de datos debe garantizar que no se transfieran datos personales a países fuera de la UE. Área del EEE sin base de transferencia de acuerdo con la legislación sobre datos personales y documentación que demuestre que se cumplen las condiciones para utilizar la base de transferencia.

Las transferencias también deben cumplir los requisitos adicionales establecidos por el Tribunal de Justicia Europeo en (UE) C-311/18 (sentencia Schrems II). En tal caso, el procesador de datos debe documentarlo en el Apéndice 3. La identificación y la implementación de medidas adicionales deben correr por cuenta del procesador de datos.

Los datos personales que el encargado del tratamiento gestiona de conformidad con este acuerdo se transferirán a los siguientes países receptores fuera de la UE/EEE: ver apéndice 3.

La base legal para la transferencia de datos personales a los países receptores antes mencionados fuera de la UE/EEE es: ver apéndice 3.

13. Auditorías de seguridad y evaluaciones de impacto

Los procesadores de datos deben realizar periódicamente auditorías de seguridad de su propio trabajo para proteger los datos personales contra el acceso, cambio, eliminación, daño, pérdida o indisponibilidad no autorizados o ilegales.

Las auditorías de seguridad incluirán los objetivos y la estrategia de seguridad del procesador de datos, la organización de la seguridad, las pautas y rutinas para el trabajo de seguridad, las medidas de seguridad técnicas, físicas y organizativas establecidas y el trabajo con la seguridad de la información en los subcontratistas de este acuerdo. También debe incluir rutinas para notificar al responsable del tratamiento en caso de una brecha de seguridad y rutinas para probar los planes de emergencia y continuidad.

El encargado del tratamiento deberá documentar las auditorías de seguridad. El responsable del tratamiento deberá tener acceso a los informes de auditoría si así lo solicita.

Si un tercero independiente lleva a cabo auditorías de seguridad en el procesador de datos, se debe informar al controlador sobre qué auditor se utiliza y se le debe dar acceso a resúmenes de los informes de auditoría si lo solicita.

14. Obligaciones en caso de rescisión/rescisión

Tras la rescisión del Acuerdo, el Procesador de datos está obligado, a elección del Controlador de datos, a devolver o eliminar todos los datos personales que se hayan recibido en nombre del Controlador de datos y que estén cubiertos por este Acuerdo. Al regresar, los datos personales y otros datos deben entregarse en un formato y soporte estandarizados junto con las instrucciones necesarias que permitan al Responsable del tratamiento seguir utilizando los datos.

El Procesador de datos está obligado a eliminar o destruir adecuadamente todos los documentos, datos, medios de almacenamiento, etc., que contengan (copias de) información o datos cubiertos por el Acuerdo y que el Procesador de datos no debe devolver o debe conservar. en virtud de otra ley. Esto también se aplica a cualquier copia de seguridad.

El encargado del tratamiento deberá aportar documentación escrita de que se ha producido la devolución o supresión, de acuerdo con las instrucciones del Responsable.

15. Predeterminado

En caso de incumplimiento de los términos de este acuerdo de procesador de datos debido a errores o negligencia por parte del procesador de datos, el controlador de datos puede rescindir el acuerdo con efecto inmediato. Dicho incumplimiento constituirá un incumplimiento sustancial del Acuerdo. El encargado del tratamiento seguirá estando obligado a devolver y suprimir los datos personales que sean gestionados por cuenta del responsable del tratamiento de conformidad con lo dispuesto en el punto 14 anterior.

16. Duración del acuerdo

Este acuerdo de procesador de datos se aplica hasta la terminación del Acuerdo.

16.1 Cambios a este acuerdo

Tappin AS puede modificar este acuerdo de procesamiento de datos con un aviso de 30 días. Dicho cambio se anunciará en el sitio web de Tappin AS.

17. Personas de contacto

La persona de contacto del procesador de datos para preguntas relacionadas con este acuerdo es: Delegado de Protección de Datos/DPO en Tappin AS, gdpr@tappin.no 

La persona de contacto con el controlador de datos para preguntas relacionadas con este acuerdo es la persona especificada en el acuerdo firmado entre Tappin AS y el controlador de datos.

Las violaciones de la seguridad de los datos personales deberán comunicarse al representante de protección de datos del responsable del tratamiento.

18. Elección de la ley y el lugar

El acuerdo se rige por la legislación noruega y las partes adoptan Oslo como sede. Esto también se aplica después de la terminación del contrato.

APÉNDICE 1 REGISTRADOS Y CATEGORÍAS DE INFORMACIÓN

Registrado

- Participantes en eventos.

· empleados, contratistas, usuarios, participantes, visitantes, visitantes del sitio web, proveedores, ponentes.

Información de categorías

  • Nombre*
  • Número telefónico*
  • Dirección de correo electrónico*
  • DIRECCIÓN
  • Información sobre el empleador
  • Título/puesto
  • Fotos y vídeos personales.
  • Conversaciones entre participantes.
  • Número de nacimiento y seguro social
  • Sexo
  • Notas personales
  • Estadísticas y registros sobre el uso del sistema*
  • Registros de correos electrónicos y SMS enviados*
  • Mensajes publicados en la línea de tiempo o en otro lugar del sistema*

*Estas categorías siempre son registradas, las demás categorías son opcionales según la elección del controlador.

Categorías especiales de información.

  • En algunos casos, se almacena información de salud como alergias y discapacidades.

Información adicional

  • dirección IP
  • Cookies para mejorar la experiencia del usuario
  • Fecha y hora de comunicación entre usuarios
  • Hora de iniciar y cerrar sesión
  • Geodatos → limitado a países
  • Datos sobre el control de acceso en los casos en que lo proporcione Tappin AS → hora, sesión. 

APÉNDICE 2 SEGURIDAD DE LA INFORMACIÓN

APÉNDICE 3 TRANSFERENCIA A PAÍSES FUERA DEL ÁREA DEL EEE Y SUBPROVEEDORES (SUBPROCESADORES DE DATOS)

1.      Transferencia al encargado del tratamiento, país:

Tappin AS, Noruega

2.      Transferencia a subcontratistas (subencargado), nombre y país:

 El encargado del tratamiento utilizará los siguientes subcontratistas:

NombreActividad de tratamientoLugar
Amazon AWS *Almacenamiento de datosDublín, Irlanda
Microsoft Azure*Almacenamiento de datosNoruega
MongoDB*Base de datosEuropa
Jugador de flujoServicios de vídeoEstocolmo, Suecia
Por lo cualServicios de videoconferenciaNoruega
Llamarada de nube *CDNGlobalmente
Google *Herramientas internas (Google Cloud - correo electrónico, procesamiento de textos, hojas de cálculo, presentaciones, almacenamiento de archivos y documentos para procesos internos)Europa

* subcontratistas que se utilizan siempre, los demás son voluntarios y se basan en la voluntad del responsable del tratamiento.

3. Base de la transferencia:

El procesador de datos/subcontratista no transferirá datos personales fuera del EEE ni dará a subcontratistas fuera del EEE acceso a datos personales, sin el consentimiento por escrito del controlador de datos.

Al dar su consentimiento para la transferencia de datos personales a un país fuera del área del EEE, lo que no se considera que garantice el procesamiento adecuado de acuerdo con el artículo 45 del RGPD, el procesador de datos está obligado a celebrar un acuerdo sobre la base de los acuerdos estándar de la UE para transferencia a procesadores de datos en terceros países ((UE) 2021/914) u otro acuerdo estándar similar que pueda haberlo reemplazado.

En estos casos, el encargado del tratamiento deberá comprometerse a garantizar que el acceso o tratamiento de los datos personales no se produzca antes de:

(i) los acuerdos estándar de la UE son firmados por el procesador de datos con sede en el EEE como exportador de datos y el procesador de datos o subcontratista fuera del EEE como importador de datos, y

(ii) El encargado del tratamiento haya recibido la confirmación inequívoca del responsable del tratamiento de que se considera cumplido cualquier requisito de notificación u obtención de la aprobación de las autoridades de control de datos antes de la transferencia.

4. Más información sobre subcontratas

AWS

Llamarada de nube

Por lo cual

Google

Jugador de flujo

MongoDB