Actualizado el 2024-05-28
1 Introducción
2 Acuerdos Documentos
3 Tratamiento de datos personales
4 Medidas de seguridad
5 Traslado fuera de la UE/EEE
6 Utilización de subprocesadores
7 Funciones del tramitador
8 Vulneración de datos personales
9 Confidencialidad
10 Remuneración
11 Responsabilidad
12 Duración y rescisión
13 Devolución y destrucción de datos personales
14 Ley aplicable y resolución de litigios
Apéndice I - Lista de partes y descripción del tratamiento
Apéndice II - Medidas técnicas y organizativas
Anexo III - Lista de subprocesadores
El presente acuerdo de tratamiento de datos ("APD") forma parte del Acuerdo entre 360Player AB ("Responsable del tratamiento"), como encargado del tratamiento, y el cliente que es parte del Acuerdo ("Responsable del tratamiento"), como responsable del tratamiento. En caso de conflicto entre el presente APD y el Acuerdo, prevalecerá el presente APD en relación con el tratamiento de los datos personales.
Controlador y Procesador se denominan conjuntamente las "Partes"y cada uno de ellos como una "Parte".
1.1 Para cumplir sus obligaciones en virtud del Acuerdo, el Procesador procesará datos personales en nombre del Controlador. El presente APD es un apéndice del Acuerdo y regula el tratamiento de datos personales de conformidad con las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos "RGPD") y cualquier legislación nacional o de la Unión Europea aplicable en cada momento ("Legislación aplicable en materia de protección de datos").
1.2 En caso de conflicto o incoherencia entre el Acuerdo y la presente DPA en relación con el tratamiento de datos personales, prevalecerán las disposiciones de la DPA.
2.1 Los siguientes apéndices se incorporan por referencia al presente APD:
Apéndice I - "Descripción del tratamiento
Apéndice II - Medidas técnicas y organizativas
Anexo III - Lista de subtransformadores
3.1 El objeto, la duración, la naturaleza y la finalidad del tratamiento figuran en el Anexo I (Descripción del tratamiento).
3.2 El Responsable del Tratamiento es responsable de garantizar que el tratamiento se lleva a cabo de conformidad con la legislación aplicable en materia de protección de datos y de proporcionar al Encargado del Tratamiento instrucciones precisas y suficientes.
3.3 El Procesador se compromete a procesar los datos personales únicamente de conformidad con las instrucciones establecidas en el presente APD, el Acuerdo y las instrucciones documentadas que el Controlador imparta en cada momento, a menos que el procesamiento sea exigido por la Legislación Aplicable sobre Protección de Datos. En tal caso, el encargado del tratamiento informará al responsable del tratamiento del tratamiento y de los requisitos legales en los que se basa el tratamiento, antes de proceder al tratamiento de los datos personales, a menos que proporcionar dicha información esté prohibido en virtud de la legislación aplicable en materia de protección de datos.
3.4 El procesador informará sin demora al controlador si:
(i) El encargado del tratamiento no puede cumplir sus obligaciones en virtud de la APD;
(ii) el encargado del tratamiento considere que las instrucciones facilitadas por el responsable del tratamiento infringen la legislación aplicable en materia de protección de datos; o
(iii) El encargado del tratamiento considera que las instrucciones facilitadas por el responsable del tratamiento son inadecuadas o incorrectas.
En tal caso, el controlador ajustará sus instrucciones.
4.1 Las Partes adoptarán las medidas de seguridad técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado a los riesgos que presenta el tratamiento de datos personales y, cuando sea necesario, aplicarán y mantendrán las medidas de seguridad técnicas y organizativas establecidas en el artículo 32 del RGPD.
4.2 Las medidas de seguridad técnicas y organizativas acordadas entre las Partes figuran en el Apéndice II (Medidas técnicas y organizativas). El Responsable del Tratamiento velará por que dichas medidas se ajusten a lo dispuesto en la Legislación Aplicable en materia de Protección de Datos.
5.1 En ocasiones, el encargado del tratamiento podrá transferir datos personales a un país situado fuera de la UE o del EEE de conformidad con las instrucciones proporcionadas por el responsable del tratamiento, tal como se establece en los apéndices del presente APD, actualizados periódicamente. Si los datos personales se transfieren a un país fuera de la UE o del EEE, las Partes se asegurarán de que la transferencia esté sujeta a un mecanismo de transferencia adecuado de conformidad con el capítulo V del RGPD, por ejemplo mediante la ejecución del módulo aplicable de las cláusulas contractuales tipo aprobadas por la Comisión de la UE o normas corporativas vinculantes. En la medida en que sea necesario para garantizar una protección adecuada de los datos personales, las Partes acordarán salvaguardias adicionales en el Apéndice III (Lista de subencargados del tratamiento).
6.1 Por la presente, el Responsable del tratamiento obtiene una autorización general por escrito del Responsable para utilizar subencargados del tratamiento de datos personales en nombre del Responsable. La lista de subencargados del tratamiento autorizados por el responsable del tratamiento para el tratamiento de datos personales en la fecha de entrada en vigor del presente APD figura en el apéndice III (Lista de subencargados del tratamiento). El responsable del tratamiento informará por escrito al responsable del tratamiento de la adición o sustitución de subencargados del tratamiento al menos 30 días antes de que se produzca el cambio, con el fin de dar al responsable del tratamiento la oportunidad de oponerse al cambio.
6.2 El Responsable del tratamiento tendrá derecho a oponerse por escrito en un plazo de 20 días a partir del momento en que el Encargado del tratamiento le informe del cambio. El Responsable sólo podrá oponerse a la utilización de un subencargado del tratamiento si hay motivos para creer que éste no cumple los requisitos de la legislación aplicable en materia de protección de datos, y exponer los motivos de la oposición. El encargado del tratamiento facilitará al responsable del tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.
6.3 El encargado del tratamiento se asegurará de que un acuerdo escrito imponga a los subencargados del tratamiento obligaciones al menos equivalentes, en relación con el tratamiento de datos personales, a las impuestas al encargado del tratamiento en virtud del presente APD. El encargado del tratamiento será plenamente responsable ante el responsable del tratamiento del cumplimiento por parte del subencargado de sus obligaciones, al igual que de las suyas propias en virtud del presente APD.
7.1 Previa solicitud razonable del responsable del tratamiento, el encargado del tratamiento asistirá al responsable del tratamiento, en la medida de lo razonablemente posible y teniendo en cuenta la naturaleza del tratamiento, en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos en virtud de la legislación aplicable en materia de protección de datos. El encargado del tratamiento notificará al responsable del tratamiento en un plazo de 30 días si recibe alguna solicitud de los interesados. El encargado del tratamiento no podrá responder a ninguna solicitud sin recibir previamente instrucciones específicas por escrito del responsable del tratamiento.
'7.2 El Procesador, en la medida de lo posible, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador, ayudará al Controlador a cumplir con las obligaciones del Controlador en virtud de los artículos 32-36 GDPR.
7.3 "El encargado del tratamiento facilitará al responsable del tratamiento, a petición razonable de éste, la información necesaria para demostrar el cumplimiento de las obligaciones de la APD.
7.4 "En caso de que el encargado del tratamiento, de conformidad con la legislación aplicable en materia de protección de datos, deba revelar a las autoridades de supervisión los datos personales que trate por cuenta del responsable del tratamiento, el encargado del tratamiento informará de ello al responsable del tratamiento y solicitará confidencialidad en relación con la revelación de la información solicitada.
7.5 "A petición razonable del responsable del tratamiento o de un auditor externo designado por el responsable del tratamiento, el encargado del tratamiento permitirá una auditoría con el fin de verificar que el tratamiento de datos personales por parte del encargado del tratamiento se lleva a cabo de conformidad con la legislación aplicable en materia de protección de datos y la presente DPA. Cualquier auditor externo correrá a cargo del responsable del tratamiento.
8.1 El encargado del tratamiento notificará por escrito al responsable del tratamiento, sin demora injustificada, la existencia de una violación de datos personales en relación con los datos personales tratados por el encargado del tratamiento por cuenta del responsable del tratamiento. En la medida en que dicha violación haya tenido lugar en el Procesador, el Procesador proporcionará al Controlador una descripción de la violación, su naturaleza, sus consecuencias probables e información sobre las medidas adoptadas o propuestas para remediar y mitigar las consecuencias de la violación.
8.2 Si el responsable del tratamiento notifica una infracción a la autoridad de control, el encargado del tratamiento, previa solicitud razonable del responsable del tratamiento, prestará asistencia al responsable del tratamiento y facilitará la información solicitada.
9.1 El encargado del tratamiento se compromete a no divulgar ni poner a disposición de terceros los datos personales tratados en virtud del presente APD sin el consentimiento previo por escrito del responsable del tratamiento, con excepción de los subencargados del tratamiento contratados de conformidad con el presente APD.
9.2 El encargado del tratamiento se asegurará de que sólo el personal y otros representantes que necesiten acceder a los datos personales tengan acceso a dicha información. El encargado del tratamiento velará por que dichas personas estén vinculadas por compromisos de confidencialidad o sujetas a una obligación legal de confidencialidad.
9.3 El encargado del tratamiento se compromete a garantizar la existencia de acuerdos de confidencialidad con todos los subencargados del tratamiento contratados en virtud del presente APD.
10.1 El Procesador tiene derecho a una remuneración razonable por los costes y el trabajo en que incurra como resultado de sus obligaciones, tal y como se especifica a continuación:
(i) El controlador ajusta sus instrucciones conforme a la sección 3.1 anterior.
(ii) El controlador ajusta sus instrucciones conforme a la sección 4.2 anterior.
(iii) El encargado del tratamiento asiste al responsable del tratamiento en una auditoría de conformidad con el apartado 7.5 anterior.
11.1 Las Partes reconocen que cada una de ellas es responsable, debe rendir cuentas y es responsable en sus respectivas funciones como Controlador y Procesador en virtud de los requisitos establecidos en el GDPR y este DPA. Cualquier multa administrativa, tasa o sanción impuesta por la autoridad supervisora y/o compensación a los interesados estará sujeta a las disposiciones de responsabilidad establecidas en los artículos 82-84 del GDPR. Si una de las Partes trata datos personales infringiendo el presente APD o la legislación aplicable en materia de protección de datos, la Parte indemnizará a la otra por los daños directos sufridos debido a dicho tratamiento ilícito y/o a la infracción del presente APD de conformidad con las limitaciones de responsabilidad establecidas en el Acuerdo.
12.1 El presente APD entra en vigor en el momento de la firma del Acuerdo por ambas Partes y seguirá vigente mientras el encargado del tratamiento trate datos personales por cuenta del responsable del tratamiento.
12.2 El encargado del tratamiento tiene derecho a rescindir inmediatamente el APD mediante notificación por escrito al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento infringen la legislación aplicable en materia de protección de datos y el responsable del tratamiento, tras ser notificado de tales circunstancias, insiste posteriormente en aplicar dichas instrucciones.
13.1 A la terminación o expiración del presente APD, el procesador dejará de procesar los datos personales sin demora indebida y, a petición escrita del controlador, eliminará todos los datos personales del controlador y borrará cualquier copia restante, a menos que así lo exija la legislación aplicable en materia de protección de datos.
14.1 El APD se regirá por la legislación sueca, con exclusión de las normas aplicables en materia de conflictos de leyes.
14.2 Cualquier disputa que surja de o en relación con el APD se resolverá definitivamente de conformidad con la disposición de resolución de disputas establecida en el Acuerdo.
1 Introducción
El Apéndice I (Descripción del tratamiento) describe el tratamiento de datos personales con arreglo a la DPA.
2 Descripción del tratamiento
Para los Controladores con legislación local sobre política de privacidad, es vital que el Controlador comprenda qué datos tienen una clasificación especial en la legislación local sobre privacidad. Se recomienda minimizar la recopilación de datos sensibles y 360Player siempre tendrá el consentimiento de los usuarios a los términos de usuario y la política de privacidad.
Categorías de interesados
Se incluirán en el tratamiento las siguientes categorías de interesados:
☐ Empleados/personal del interventor.
☐ Miembros del controlador y tutor/es legal/es de los miembros
Categorías de datos personales que tratará el responsable del tratamiento
Se tratarán los siguientes datos personales:
☐ Nombre
☐ Fecha de nacimiento
☐ Correo electrónico
☐ Número de teléfono
☐ Dirección
Categorías especiales de datos personales que pueden tratar los responsables del tratamiento
En el tratamiento se incluirán las siguientes categorías especiales de datos personales:
Datos genéticos
☐ Datos biométricos
☐ Datos relativos a la salud
☐ Otros datos que el controlador necesita recopilar (campos de datos personalizados)
Naturaleza y finalidad del tratamiento
El responsable del tratamiento trata los datos personales para los siguientes fines:
Los datos personales se tratarán para que el responsable del tratamiento pueda utilizar el sistema de acuerdo con la finalidad de la plataforma.
Duración del tratamiento
Los datos personales se tratarán de acuerdo con lo siguiente:
La duración del tratamiento corresponde a la duración del Acuerdo o hasta que el responsable del tratamiento elimine los datos. Posteriormente, los datos personales se tratarán durante el tiempo que exija la legislación aplicable en materia de protección de datos.
1 Introducción
El Apéndice II (Medidas técnicas y organizativas) especifica las medidas técnicas y organizativas adoptadas para garantizar un alto nivel de seguridad en el tratamiento de datos personales.
2 Lista de medidas técnicas y organizativas
Las Partes han acordado explícitamente las siguientes medidas de seguridad:
1 Introducción
En el apéndice III (Lista de subencargados del tratamiento) figuran los subencargados del tratamiento aprobados por el Responsable. CCE stnas por "Cláusulas Contractuales Tipo" y significa la última versión de las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países en virtud del RGPD.
2 Lista de subprocesadores
El Responsable del tratamiento ha autorizado a los subencargados del tratamiento que figuran en el cuadro siguiente en la fecha de entrada en vigor del APD. El cuadro se actualiza periódicamente: