Esta traducción se proporciona únicamente por conveniencia. En caso de discrepancia, prevalecerá la versión en inglés de este documento, que es el único texto legalmente vinculante.
Acuerdo de Procesamiento de Datos
Acuerdo de Procesamiento de Datos
Este Acuerdo de Procesamiento de Datos ("APD") se celebra entre:
- Sonetel AB (publ), org.nr. 556486-5847 ("Proveedor"); y
- La empresa o entidad que usted representa, (el "Cliente")
en adelante denominadas conjuntamente como "Partes" o individualmente una "Parte".
1. Antecedentes
1.1 Este APD constituye una parte integral del Acuerdo de Servicios Maestro (el "Acuerdo") entre el Proveedor y el Cliente. 1.2 Al celebrar el Acuerdo, el Proveedor procesará Datos Personales en nombre del Cliente, como Procesador. El Cliente es el Controlador para el procesamiento de los Datos Personales. 1.3 Si el Cliente es Controlador conjunto con otra parte para los Datos Personales relevantes, el Cliente deberá informar al Proveedor en consecuencia. 1.4 El propósito de este Acuerdo es garantizar que el Procesamiento se lleve a cabo de acuerdo con los requisitos aplicables para el procesamiento de datos y las obligaciones bajo las Normas de Protección de Datos y para garantizar la protección adecuada de la integridad personal y los derechos fundamentales de las personas durante la transferencia de Datos Personales del Cliente al Proveedor en el marco de los Servicios que el Proveedor realiza bajo el Acuerdo.
2. Definiciones
| "Procesamiento" | significa cualquier operación o conjunto de operaciones que se realiza sobre datos personales o sobre conjuntos de datos personales, ya sea por medios automatizados o no, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de cualquier otra forma, alineación o combinación, restricción, eliminación o destrucción; |
|---|---|
| "Datos personales" | significa cualquier información relativa a una persona física identificada o identificable ('sujeto de datos'); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física; |
| "Normas de Protección de Datos" | significa las leyes y regulaciones aplicables en cada momento con respecto al Procesamiento de Datos Personales, incluyendo pero no limitado a, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (el "RGPD"), las decisiones vinculantes, regulaciones y recomendaciones de la Autoridad de Supervisión y las adaptaciones y regulaciones locales complementarias con respecto a la protección de datos. |
| "Controlador" | significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del procesamiento de datos personales; cuando los fines y medios de dicho procesamiento están determinados por el derecho de la Unión o de los Estados miembros, el controlador o los criterios específicos para su nombramiento pueden ser establecidos por el derecho de la Unión o de los Estados miembros; |
| "Procesador" | significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador; |
| "Subprocesador" | significa la persona física o jurídica que procesa datos personales como subprocesador en nombre del Proveedor; |
| "Sujeto de datos" | significa la persona física a la que se refieren los Datos personales. |
| "Autoridad de Supervisión" | significa una autoridad pública independiente que es establecida por un Estado miembro de conformidad con el Artículo 51. La Autoridad de Supervisión en Suecia es la Autoridad Sueca de Protección de Datos. |
2.1 A menos que se indique lo contrario, cualquier otro término o concepto utilizado en letras mayúsculas en este APD (excepto en algunos casos como parte de un encabezado) tendrá el significado y la concepción que se establece en las Normas de Protección de Datos y de otra manera en el Acuerdo, a menos que las circunstancias obviamente requieran otra interpretación.
3. Responsabilidades e instrucciones
3.1 El Cliente es Controlador de todos los Datos Personales que el Proveedor Procesa en nombre del Cliente bajo el Acuerdo. Por lo tanto, el Cliente es responsable de cumplir con las Normas de Protección de Datos. El Cliente se compromete a informar al Proveedor de las Normas de Protección de Datos que son relevantes para llevar a cabo el Procesamiento bajo este Acuerdo. Además de los requisitos que se aplican directamente a un Procesador de acuerdo con las Normas de Protección de Datos, el Proveedor estará obligado a cumplir con otros requisitos aplicables según las Normas de Protección de Datos y las recomendaciones de la Autoridad de Supervisión de las cuales el Proveedor haya sido informado por el Cliente. El Cliente también deberá informar continuamente al Proveedor de las acciones de terceros, incluidas las de la Autoridad de Supervisión y del Sujeto de Datos, como resultado del Procesamiento. 3.2 El Proveedor y cualquier persona que actúe bajo la autoridad del Proveedor, que tenga acceso a Datos Personales, no deberá Procesar esos datos para ningún otro propósito que no sea de acuerdo con las instrucciones escritas del Cliente o según las Normas de Protección de Datos. Las instrucciones que se aplican a este APD se establecen en el Apéndice 1. Además de las instrucciones establecidas en el Apéndice 1, este APD y el Acuerdo constituyen las instrucciones del Cliente al Proveedor con respecto al Procesamiento de Datos Personales. El Cliente deberá informar inmediatamente al Proveedor de cualquier cambio que afecte las obligaciones del Proveedor bajo este APD. 3.3 Los Datos Personales bajo este APD también pueden ser Procesados si dicho Procesamiento es requerido por la ley de la Unión o bajo la ley nacional de un Estado miembro al que el Proveedor o el Subprocesador esté sujeto. Si se requiere dicho Procesamiento, el Proveedor o Subprocesador deberá informar al Cliente del requisito legal antes del Procesamiento, a menos que dicha información esté prohibida según un interés público bajo esta ley. 3.4 El Proveedor tiene el derecho de almacenar y Procesar datos derivados del Cliente en formato agregado o anonimizado, que no contengan Datos Personales, bajo este APD.
4. Seguridad
4.1 El Proveedor deberá implementar medidas técnicas y organizativas, según lo requieran las Normas de Protección de Datos, con el fin de garantizar un nivel de seguridad que sea apropiado con respecto al riesgo y para proteger los Datos Personales que se están Procesando de la destrucción, pérdida o alteración accidental o ilegal, o de la divulgación no autorizada de, o acceso a, los Datos Personales que se están Procesando. 4.2 El Proveedor deberá asistir al Cliente para garantizar que se cumplan las obligaciones bajo los Artículos 32-36 del RGPD, teniendo en cuenta el tipo de Procesamiento y la información disponible para el Proveedor. 4.3 El Proveedor deberá notificar al Cliente sin demora indebida después de tener conocimiento de una violación de datos personales.
5. Divulgación de Datos Personales e Información
5.1 En el caso de que el Proveedor reciba una solicitud del Sujeto de Datos, la Autoridad de Supervisión u otro tercero para obtener información sobre Datos Personales que el Proveedor Procesa en nombre del Cliente, el Proveedor deberá sin demora reenviar la solicitud al Cliente. El Proveedor y cualquier persona que actúe bajo la autoridad del Proveedor, no podrán divulgar Datos Personales u otra información sobre el Procesamiento de Datos Personales sin instrucciones explícitas del Cliente a menos que dicha divulgación sea requerida según las Normas de Protección de Datos aplicables. 5.2 El Proveedor deberá asistir al Cliente en el cumplimiento de su obligación de responder a solicitudes relacionadas con el derecho de acceso, rectificación y eliminación de un Sujeto de Datos, tomando medidas técnicas y organizativas, que sean apropiadas teniendo en cuenta la naturaleza del Procesamiento y asistir en la divulgación de Datos Personales cuando sea requerido por la ley nacional aplicable.
6. Contacto con la Autoridad de Supervisión
6.1 El Proveedor deberá informar al Cliente de cualquier contacto de la Autoridad de Supervisión concerniente al Procesamiento de Datos Personales bajo este APD. El Proveedor no tiene derecho a representar al Cliente o actuar en nombre del Cliente en relación con la Autoridad de Supervisión si no es requerido por las Normas de Protección de Datos.
7. Subprocesadores
7.1 Los Datos Personales pueden ser Procesados por un Subprocesador siempre que el Proveedor celebre un acuerdo por escrito con el Subprocesador que les imponga las obligaciones correspondientes al Procesar Datos Personales según este APD. 7.2 El Proveedor se compromete a informar al Cliente de cualquier plan para contratar nuevos Subprocesadores o para reemplazar Subprocesadores. El Cliente tiene derecho a objetar dichos cambios. Dicha objeción solo puede relacionarse con motivos objetivos vinculados al cumplimiento de los requisitos de seguridad técnicos y organizativos al Procesar Datos Personales bajo el APD. 7.3 El Proveedor es responsable de garantizar que se tengan en cuenta los requisitos para el uso de Subprocesadores bajo las Normas de Protección de Datos y de garantizar que dichos Subprocesadores proporcionen garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el Procesamiento cumpla con los requisitos de las Normas de Protección de Datos. 7.4 El Proveedor deberá proporcionar al Cliente una lista correcta y actualizada de los Subprocesadores asignados para el Procesamiento de Datos Personales bajo este APD, junto con la Información de Contacto y la ubicación geográfica para el Procesamiento. Esta lista está disponible para el Cliente en https://sonetel.com/en/help/help-topics/terms-conditions/sub-processors/. El Proveedor se compromete a notificar al Cliente cualquier actualización de la lista de Subprocesadores y garantizar que siempre sea correcta. 7.5 Si un Subprocesador no cumple con las obligaciones bajo el Acuerdo, este APD y/o según las Normas de Protección de Datos, el Proveedor será responsable de cumplir las obligaciones del Subprocesador en relación con el Cliente.
8. Auditorías
8.1 El Proveedor deberá proporcionar al Cliente toda la información requerida para cumplir con las obligaciones según este APD y las Normas de Protección de Datos dentro de un tiempo razonable después de que el Cliente haya hecho dicha solicitud al Proveedor. 8.2 El Proveedor deberá permitir y contribuir a las auditorías, incluidas las inspecciones realizadas por el Cliente o por otro auditor independiente (a expensas del Cliente) seleccionado por el Cliente, y que el Proveedor pueda aceptar razonablemente. El auditor debe firmar acuerdos de confidencialidad suficientes proporcionados por el Proveedor antes de las auditorías. El Cliente tiene derecho a realizar una auditoría por año sin costo. Si el Cliente desea realizar auditorías adicionales, el Cliente debe compensar al Proveedor por todos los costos asociados con la auditoría/auditorías. 8.3 El Proveedor deberá, con respecto a las obligaciones establecidas en la sección 8 de este APD, informar inmediatamente al Cliente si el Proveedor considera que una instrucción viola las Normas de Protección de Datos.
9. Transferencias de Datos Personales fuera de la UE/EEE
9.1 En el caso de que el Proveedor y/o el Subprocesador transfieran Datos Personales a una ubicación fuera de la UE/EEE, el Proveedor y/o los Subprocesadores deberán garantizar que dicha transferencia cumpla con las Normas de Protección de Datos aplicables.
10. Confidencialidad
10.1 El proveedor deberá, cuando corresponda, cumplir con la legislación nacional aplicable a la información clasificada o confidencial. El Proveedor se compromete a garantizar que el personal autorizado para procesar Datos Personales bajo este APD se haya comprometido a observar la confidencialidad para el Procesamiento o esté sujeto al deber legal aplicable de confidencialidad. 10.2 La Sección 10.1 anterior no se aplica a la información solicitada por la Autoridad de Supervisión de acuerdo con las Normas de Protección de Datos u otra obligación legal. 10.3 La obligación de confidencialidad también se aplica después de que el Acuerdo y/o el APD haya dejado de aplicarse.
11. Portabilidad de datos
11.1 El Proveedor deberá garantizar que el Cliente pueda cumplir con cualquier obligación relacionada con la Portabilidad de Datos relacionada con los Datos Personales que el Proveedor Procesa en nombre del Cliente.
12. Compensación
12.1 En el caso de que las obligaciones impuestas al Proveedor de acuerdo con las Secciones 5, 8, 9 y 11 resulten en un trabajo extenso para el Proveedor, el Proveedor tendrá derecho a una compensación razonable del Cliente. 12.2 En el caso de que el Cliente presente una objeción legítima a un nuevo Subprocesador de conformidad con la Sección 7 y el Proveedor no acepte reemplazar al Subprocesador, el Proveedor tendrá derecho a una compensación adicional del Cliente por los costos incurridos por el Proveedor debido al hecho de que el Subprocesador no puede ser utilizado. 12.3 El Proveedor tendrá derecho a una compensación razonable por todo el trabajo y todos los costos que surjan debido a las Instrucciones del Cliente para el Procesamiento si estos exceden las características y el nivel de seguridad basados en los servicios que el Proveedor normalmente proporciona a sus clientes, por ejemplo, en el caso de que el sistema/servicios del Proveedor u otros requieran que el Proveedor realice ajustes especiales en nombre del Cliente.
13. Responsabilidad
13.1 Si el Proveedor, cualquier persona que actúe bajo la autoridad del Proveedor o un Subprocesador, Procesa Datos Personales en violación de este APD o las Instrucciones para el Procesamiento de Datos proporcionadas por el Cliente, el Proveedor deberá, en consideración de la limitación de responsabilidad que surge del Acuerdo, compensar al Cliente por el daño directo sufrido por el Cliente debido al Procesamiento ilícito. Independientemente de la limitación de responsabilidad en este Acuerdo, la responsabilidad del Proveedor bajo el párrafo 13.1 siempre estará limitada a una cantidad equivalente a las tarifas pagadas por el Cliente al Proveedor bajo el Acuerdo durante un período de doce (12) meses antes de que ocurriera el daño. En el caso de que el Acuerdo no haya sido válido durante un año contractual completo, dicha cantidad se calculará sobre los costos que se espera que el Cliente pague durante un año contractual bajo el Acuerdo. 13.2 Durante la vigencia de este APD y posteriormente, el Cliente deberá indemnizar y mantener al Proveedor indemne de cualquier daño directo, incluidas las reclamaciones de Sujetos de Datos y terceros, que el Proveedor haya sufrido debido a instrucciones poco claras, inadecuadas o ilegales del Cliente, o de otra manera, dependiendo de las circunstancias que se deriven del Cliente. 13.3 La obligación del Proveedor de pagar daños, establecida en la sección 13.1 anterior, solo se aplica, siempre que i) el Cliente sin demora indebida informe al Proveedor por escrito de cualquier reclamación contra el Cliente; y ii) el Cliente permita al Proveedor controlar la defensa de la reclamación y tomar decisiones independientes con respecto al acuerdo.
14. Vigencia y Terminación
14.1 Este APD entra en vigor cuando es debidamente firmado por ambas Partes, ya sea por separado como una enmienda al Acuerdo o como parte del Acuerdo y permanece en vigor mientras el Proveedor Procese Datos Personales en nombre del Cliente. 14.2 Al terminar el Acuerdo o este APD (dependiendo de cuál ocurra primero), el Proveedor deberá de acuerdo con las instrucciones del Cliente eliminar o devolver todos los Datos Personales al Cliente y asegurarse de que todos los Subprocesadores hagan lo mismo. 14.3 Si el Cliente no ha solicitado que los Datos Personales sean devueltos, el Proveedor deberá eliminar los datos dentro de los 90 días posteriores a la terminación del APD o el Acuerdo (lo que ocurra primero). El proveedor deberá eliminar cualquier copia existente a menos que el almacenamiento de Datos Personales sea requerido por la ley de la Unión o la ley nacional del Estado miembro.
15. Cambios y adiciones
15.1 Si las Normas de Protección de Datos se modifican durante la vigencia de este APD, o si la Autoridad de Supervisión emite directrices, decisiones o regulaciones concernientes a la aplicación de las Normas de Protección de Datos que resulten en que este APD ya no cumpla con los requisitos para un APD, las Partes deberán realizar los cambios necesarios a este APD, con el fin de cumplir con dichos requisitos nuevos o adicionales. Dichos cambios entrarán en vigor a más tardar treinta (30) días después de que una Parte envíe un aviso de cambio a la otra Parte o de otra manera a más tardar según lo prescrito por las Normas de Protección de Datos, directrices, decisiones o regulaciones de la Autoridad de Supervisión. 15.2 Otros cambios y adiciones a este APD, para ser vinculantes, deben hacerse por escrito y debidamente firmados por ambas Partes.
16. Disposiciones varias
16.1 Este APD reemplaza y sustituye todos los APD anteriores entre las Partes y reemplaza cualquier disposición divergente del Acuerdo concerniente al objeto de este APD, independientemente de si se indica lo contrario en el Acuerdo. 16.2 Este APD se regirá por la misma ley y estará sujeto al mismo foro que el Acuerdo. 16.3 Además, los términos del Acuerdo también se aplicarán al Procesamiento de Datos Personales del Proveedor y las obligaciones bajo este APD. Sin embargo, en caso de contradicciones entre las disposiciones del Acuerdo y este APD, las disposiciones del APD prevalecerán con respecto a todo Procesamiento de Datos Personales. Las disposiciones del Acuerdo no pueden restringir o modificar ninguna de las obligaciones de este APD. 16.4 Este APD se regirá por la misma ley y estará sujeto al mismo foro según lo establecido en el Acuerdo.
Apéndice 1 – Instrucciones de Procesamiento de Datos
En estas instrucciones de procesamiento de datos, todas las palabras en mayúsculas tendrán el mismo significado que se define en el APD, a menos que se indique expresamente lo contrario.
| Propósitos Por favor especifique todos los propósitos para los cuales los Datos Personales serán Procesados por el Proveedor como procesador de datos del Cliente | El Proveedor procesa datos personales con el propósito de cumplir con el servicio bajo el Acuerdo. Los datos personales también pueden ser procesados para soporte de TI y servicios relacionados. Además, el Proveedor procesa datos para la detección de fraude y otras acciones preventivas. |
|---|---|
| Categorías de datos Por favor especifique los Datos Personales que serán Procesados por el Proveedor como procesador de datos | El Proveedor procesa las siguientes categorías de datos personales: |
- Información y datos transferidos por el Cliente al Proveedor al usar los servicios del Proveedor,
- datos de usuario e información relacionada con el uso de los servicios del proveedor,
- contenido generado por el usuario final, y
- otra información relevante para el soporte de TI y servicios relacionados.
El Proveedor no Procesa datos personales sensibles, el Cliente es responsable de garantizar que los datos personales sensibles no se transfieran a los servicios del Proveedor a menos que el Proveedor haya proporcionado al Cliente el consentimiento por escrito con anticipación para dicho Procesamiento. Categorías de sujetos de datos Por favor especifique las categorías de sujetos de datos cuyos Datos Personales serán Procesados por el Proveedor como procesador de datos | El proveedor procesa las siguientes categorías de Sujetos de Datos:
- Información sobre usuarios registrados, y
- Información sobre Sujetos de datos que aparecen en dicho material que el Cliente transfiere al Proveedor mediante el uso de cualquiera de los servicios del Proveedor, y
- Información del usuario final.
Requisitos de retención Por favor especifique el tiempo de retención de los Datos Personales almacenados por el Proveedor | Los datos personales deben ser eliminados a solicitud del Cliente y según las instrucciones del Cliente. El Proveedor tiene un período de retención de 90 días después de la terminación del Acuerdo o APD.