Acuerdo de procesamiento de datos

Acuerdo de procesamiento de datos

 

 
El controlador de datos
K.V. Stampe & Hijo
CVR 40493719
Ringvejen 60
7900 Nykøbing Mors
Dinamarca

 

 

 

1 preámbulo de acuerdo de procesamiento de datos

  1. Este acuerdo de procesamiento de datos establece los derechos y obligaciones que se aplican al manejo de datos personales del procesador de datos en nombre del controlador de datos.

 

  1. Este acuerdo ha sido diseñado para garantizar el cumplimiento de las partes con el artículo 28, la subsección 3 de Reglamento 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos y la directiva de derogación 95/46/CE (protección de datos general Regulación), que establece requisitos específicos para el contenido de los acuerdos de procesamiento de datos.

 

  1. El procesamiento de datos personales del procesador de datos se llevará a cabo a los efectos del cumplimiento de las partes "Acuerdo maestro". Procesamiento de datos personales que comienzan el 01/04/18.

  2. El Acuerdo de procesamiento de datos y el "Acuerdo Maestro" serán interdependientes y no se pueden cancelar por separado. Sin embargo, el acuerdo de procesamiento de datos puede, sin la terminación del "acuerdo maestro", ser reemplazado por un acuerdo de procesamiento de datos válido alternativo.

 

  1. Este acuerdo de procesamiento de datos tendrá prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las partes, incluido el "Acuerdo Maestro".

 

  1. Se adjuntan cuatro apéndices a este acuerdo de procesamiento de datos. Los apéndices forman una parte integral de este acuerdo de procesamiento de datos.

 

  1. Apéndice Adel acuerdo de procesamiento de datos contiene detalles sobre el procesamiento, así como el propósito y la naturaleza del procesamiento, el tipo de datos personales, las categorías de sujeto de datos y la duración del procesamiento.

 

  1. Apéndice Bdel acuerdo de procesamiento de datos contiene los términos y condiciones del controlador de datos que se aplican al uso del procesador de datos de subprocesadores y una lista de subprocesadores aprobados por el controlador de datos.

 

  1. Apéndice Cdel acuerdo de procesamiento de datos contiene instrucciones sobre el procesamiento que el procesador de datos debe realizar en nombre del controlador de datos (el sujeto del procesamiento), las medidas de seguridad mínimas que se implementarán y cómo la inspección con el procesador de datos y cualquier submarino -Procesadores se deben realizar.

 

  1. Apéndice Ddel acuerdo de procesamiento de datos contiene las disposiciones de las partes para actividades que no están contenidas en este acuerdo de procesamiento de datos o el "acuerdo maestro" de las partes.

 

  1. El acuerdo de procesamiento de datos y sus apéndices asociados serán retenidos por escrito y electrónicamente por ambas partes.

 

  1. Este acuerdo de procesamiento de datos no eximirá al procesador de datos de las obligaciones a las que el procesador de datos está sujeto de conformidad con el Reglamento General de Protección de Datos u otra legislación.

2 Los derechos y obligaciones del controlador de datos

  1. El controlador de datos será responsable ante el mundo exterior (incluido el sujeto de datos) por garantizar que el procesamiento de datos personales tenga lugar dentro del marco de la regulación general de la protección de datos y la Ley de Protección de Datos Danés.

 

  1. Por lo tanto, el controlador de datos tendrá el derecho y la obligación de tomar decisiones sobre los propósitos y medios del procesamiento de datos personales.

 

  1. El controlador de datos será responsable de garantizar que el procesamiento que se instruya al procesador de datos se realiza autorizado en la ley.

3 El procesador de datos actúa de acuerdo con las instrucciones

  1. El procesador de datos solo se permitirá procesar datos personales sobre las instrucciones documentadas del controlador de datos a menos que el procesamiento se requiera bajo la ley de la UE o del estado miembro a la que el procesador de datos está sujeto; En este caso, el procesador de datos informará al controlador de datos de este requisito legal antes del procesamiento a menos que esa ley prohíba dicha información sobre fundamentos importantes de interés público, cf. Artículo 28, subsección 3, párr.

 

  1. El procesador de datos informará inmediatamente al controlador de datos si las instrucciones en opinión del procesador de datos contravengan la regulación general de la protección de datos o las disposiciones de protección de datos contenidas en otra ley de la UE o estados miembros.

4 confidencialidad

  1. El procesador de datos se asegurará de que solo aquellas personas que están autorizadas actualmente para hacerlo puedan acceder a los datos personales que se procesan en nombre del controlador de datos. El acceso a los datos, por lo tanto, sin demora se negará si dicha autorización se elimina o vence.

 

  1. Solo las personas que requieren acceso a los datos personales para cumplir con las obligaciones del procesador de datos al controlador de datos deberán proporcionar autorización.

 

  1. El procesador de datos se asegurará de que las personas autorizadas para procesar datos personales en nombre del controlador de datos se hayan emprendido para observar la confidencialidad o estén sujetas a una obligación legal adecuada de la confidencialidad.

 

  1. El procesador de datos deberá a solicitud del controlador de datos podrá demostrar que los empleados en cuestión están sujetos a la confidencialidad anterior.

5 Seguridad del procesamiento

  1. El procesador de datos tomará todas las medidas requeridas de conformidad con el Artículo 32 del Reglamento General de Protección de Datosque estipula que, con consideración por el nivel actual, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos de procesamiento y el riesgo de probabilidad variable y gravedad para los derechos y libertades de las personas naturales, el controlador de datos y el procesador deberán implementar técnicos apropiados y Medidas organizativas para garantizar un nivel de seguridad apropiado para el riesgo.

 

  1. La obligación anterior significa que el procesador de datos realizará una evaluación de riesgos y, posteriormente, implementará medidas para contrarrestar el riesgo identificado. Dependiendo de su relevancia, las medidas pueden incluir lo siguiente:

 

  1. Seudonimación y cifrado de datos personales
  2. La capacidad de garantizar la confidencialidad continua, la integridad, la disponibilidad y la resistencia de los sistemas y servicios de procesamiento.
  3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
  4. Un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

 

  1. El procesador de datos debe garantizar lo anterior, en todos los casos, implementar el nivel de seguridad y las medidas especificadas en el Apéndice C a este Acuerdo de procesamiento de datos.

 

  1. La posible regulación/acuerdo de las partes sobre remuneración, etc. para el requisito posterior del controlador de datos o del procesador de datos para establecer medidas de seguridad adicionales se especificará en el "acuerdo maestro" de las partes o en el Apéndice D a este Acuerdo de procesamiento de datos.

6 Uso de subprocesadores

  1. El procesador de datos cumplirá con los requisitos especificados en el Artículo 28, Subsección 2 y 4, del Reglamento General de Protección de Datos para involucrar a otro procesador (subprocesador).

 

  1. Por lo tanto, el procesador de datos no debe involucrar a otro procesador (subprocesador) para el cumplimiento de este acuerdo de procesamiento de datos sin el consentimiento previo específico o por escrito general del controlador de datos.

 

  1. En caso de consentimiento general por escrito, el procesador de datos informará al controlador de datos de cualquier cambio planificado con respecto a las adiciones o reemplazo de otros procesadores de datos y, por lo tanto, le dará al controlador de datos la oportunidad de objetar dichos cambios.

 

  1. Los requisitos del controlador de datos para la participación del procesador de datos de otros subprocesadores se especificarán en Apéndice Ba este acuerdo de procesamiento de datos.

 

  1. El consentimiento del controlador de datos para la participación de subprocesadores específicos, si corresponde, se especificará en Apéndice Ba este acuerdo de procesamiento de datos.

 

  1. Cuando el procesador de datos tiene la autorización del controlador de datos para usar un subprocesador, el procesador de datos se asegurará de que el subprocesador esté sujeto a las mismas obligaciones de protección de datos que las especificadas en este Acuerdo de procesamiento de datos sobre la base de un contrato u otro Documento legal según la ley de la UE o la ley nacional de los Estados miembros, en particular, proporcionando las garantías necesarias de que el subprocesador implementará las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos del Reglamento General de Protección de Datos.

 

Por lo tanto, el procesador de datos será responsable, sobre la base de un acuerdo de subprocesador, por exigir que el subprocesador al menos cumpla con las obligaciones con las que el procesador de datos está sujeto de conformidad con los requisitos del Reglamento general de protección de datos y esto Acuerdo de procesamiento de datos y sus apéndices asociados.

 

  1. Una copia de dicho acuerdo de subprocesador y enmiendas posteriores deberán, a solicitud del controlador de datos, presentarse al controlador de datos que tendrá la oportunidad de garantizar que se haya celebrado un acuerdo válido entre el procesador de datos y el sub- Procesador. Los términos y condiciones comerciales, como el precio, que no afectan el contenido de protección de datos legales del Acuerdo de Subprocesador, no requerirán el envío al controlador de datos.

 

  1. El procesador de datos deberá en su acuerdo con el subprocesador incluir al controlador de datos como un tercero en caso de bancarrota del procesador de datos para permitir que el controlador de datos asuma los derechos del procesador de datos e invoque estos con respecto al subprocesador del subprocesador , p.ej. para que el controlador de datos pueda instruir al subprocesador para realizar la eliminación o la retorno de los datos.

 

  1. Si el subprocesador no cumple con sus obligaciones de protección de datos, el procesador de datos permanecerá completamente responsable del controlador de datos en cuanto al cumplimiento de las obligaciones del subprocesador.

7 Transferencia de datos a terceros países o organizaciones internacionales

  1. El procesador de datos solo se permitirá procesar datos personales sobre las instrucciones documentadas del controlador de datos, incluso con respecto a la transferencia(Asignación, divulgación y uso interno) de datos personales a terceros países o organizaciones internacionales, a menos que se requiera procesamiento bajo la ley de la UE o del Estado miembro a la que está sujeto el procesador de datos; En tal caso, el procesador de datos informará al controlador de datos de ese requisito legal antes del procesamiento a menos que esa ley prohíba dicha información sobre fundamentos importantes de interés público, cf. Artículo 28, subsección 3, párr.

 

  1. Sin las instrucciones o aprobación del controlador de datos, el procesador de datos no puede, en el marco de este Acuerdo de procesamiento de datos:

 

  1. divulgar datos personales a un controlador de datos en un tercer país o en una organización internacional
  2. Asignar el procesamiento de datos personales a un subprocesador en un tercer país
  3. tener los datos procesados ​​en otra de las divisiones del procesador de datos que se encuentra en un tercer país

 

  1. Las instrucciones del controlador de datos o la aprobación de la transferencia de datos personales a un tercer país, si corresponde, se establecerán en Apéndice Ca este acuerdo de procesamiento de datos.

8 Asistencia al controlador de datos

  1. El procesador de datos, teniendo en cuenta la naturaleza del procesamiento, deberá, en la medida de lo posible, ayudar al controlador de datos con medidas técnicas y organizativas apropiadas, en el cumplimiento de las obligaciones del controlador de datos de responder a las solicitudes de ejercicio de los sujetos de datos 'Derechos de conformidad con el Capítulo 3 del Reglamento General de Protección de Datos.


Esto implica que el procesador de datos debe ayudar al controlador de datos en el cumplimiento del controlador de datos con:

 

  1. Obligación de notificación Al recopilar datos personales del asunto de los datos
  2. Obligación de notificación Si no se han obtenido datos personales del sujeto de datos
  3. Derecho de acceso por el tema de los datos
  4. el derecho a la rectificación
  5. El derecho a borrar ("el derecho a ser olvidado")
  6. el derecho a restringir el procesamiento
  7. Obligación de notificación con respecto a la rectificación o borrado de datos personales o restricción del procesamiento
  8. El derecho a la portabilidad de los datos
  9. el derecho a objetar
  10. el derecho a objetar el resultado de la toma de decisiones individual automatizada, incluidos los perfiles

 

  1. El procesador de datos ayudará al controlador de datos a garantizar el cumplimiento de las obligaciones del controlador de datos de conformidad con los artículos 32-36 del Reglamento General de Protección de Datos teniendo en cuenta la naturaleza del procesamiento y los datos disponibles para el procesador de datos, cf. Artículo 28, Subsección 3, para f.

 

Esto implica que el procesador de datos debería, teniendo en cuenta la naturaleza del procesamiento, en la medida de lo posible, ayudar al controlador de datos en el cumplimiento del controlador de datos:

 

  1. La obligación de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado para el riesgo asociado con el procesamiento
  2. La obligación de informar violaciones de datos personales a la Autoridad de Supervisión (Agencia Danesa de Protección de Datos) sin retraso indebido y, si es posible, dentro de las 72 horas posteriores al controlador de datos que descubre dicha violación a menos que sea poco probable que la violación de datos personales resulte en un riesgo para los derechos y libertades de personas naturales
  3. La obligación, sin demora indebida, de comunicar la violación de los datos personales al tema de los datos cuando es probable que dicha violación resulte en un alto riesgo para los derechos y libertades de las personas naturales
  4. La obligación de llevar a cabo una evaluación de impacto de protección de datos si es probable que un tipo de procesamiento resulte en un alto riesgo para los derechos y libertades de las personas naturales
  5. La obligación de consultar con la Autoridad de Supervisión (Agencia Danesa de Protección de Datos) antes del procesamiento si una evaluación de impacto de protección de datos muestra que el procesamiento conducirá a un alto riesgo en la falta de medidas tomadas por el controlador de datos para limitar el riesgo

 

  1. La posible regulación/acuerdo de las partes sobre remuneración, etc. para la asistencia del procesador de datos al controlador de datos se especificará en el "acuerdo maestro" de las partes o en el Apéndice D para este Acuerdo de procesamiento de datos.

9 Notificación de violación de datos personales

  1. Al descubrir la violación de datos personales en las instalaciones del procesador de datos o las instalaciones de un subprocesador, el procesador de datos deberá sin notificar al controlador de datos.

 

La notificación del procesador de datos al controlador de datos, si es posible, se llevará a cabo dentro de las 24 horas posteriores a que el procesador de datos haya descubierto la violación para permitir que el controlador de datos cumpla con su obligación, si corresponde, para informar la violación a la autoridad de supervisión dentro de 72 horas.

 

  1. Según la cláusula 9.2., El para B, de este Acuerdo de procesamiento de datos, el procesador de datos tendrá en cuenta la naturaleza del procesamiento y los datos disponibles, ayudará al controlador de datos en el informe de la violación a la autoridad de supervisión.

Esto puede significar que el procesador de datos debe ayudar a obtener la información enumerada a continuación, de conformidad con el Artículo 33, Subsección 3, del Reglamento General de Protección de Datos, se establecerá en el informe del controlador de datos a la Autoridad de Supervisión:

 

  1. La naturaleza de la violación de datos personales, incluida, si es posible, las categorías y el número aproximado de sujetos de datos afectados y las categorías y el número aproximado de registros de datos personales afectados
  2. Consecuencias probables de una violación de datos personales
  3. Las medidas que se han tomado o se proponen para administrar la violación de datos personales, incluidas, si corresponde, medidas para limitar su posible daño

10 Erase y retorno de datos

  1. Al finalizar los servicios de procesamiento, el procesador de datos estará bajo obligación, a discreción del controlador de datos, para borrar o devolver todos los datos personales al controlador de datos y borrar las copias existentes a menos que la ley de la UE o la ley estatal miembro requieran el almacenamiento de la personal. datos.

11 Inspección y auditoría

  1. El procesador de datos pondrá a disposición del controlador de datos toda la información necesaria para demostrar el cumplimiento del Artículo 28 del Reglamento General de Protección de Datos y este Acuerdo de procesamiento de datos, y permitir y contribuir a las auditorías, incluidas las inspecciones realizadas por el controlador de datos u otro auditor ordenado. por el controlador de datos.

 

  1. Los procedimientos aplicables a la inspección del procesador de datos del controlador de datos se especifican en Apéndice Ca este acuerdo de procesamiento de datos.

 

  1. La inspección del controlador de datos de los subprocesadores, si corresponde, se realizará, por regla general, a través del procesador de datos. Los procedimientos para dicha inspección se especifican enApéndice Ca este acuerdo de procesamiento de datos.

 

  1. Se requerirá que el procesador de datos proporcione a las autoridades de supervisión, que de conformidad con la legislación aplicable tienen acceso a las instalaciones del procesador de datos y el procesador de datos, o representantes que actúan en nombre de dichas autoridades de supervisión, con acceso a las instalaciones físicas del procesador de datos sobre la presentación de la presentación de la presentación adecuada identificación.

12 El acuerdo de las partes en otros términos

  1. (Separado) Los términos relacionados con las consecuencias de la incumplimiento de las partes de este acuerdo de procesamiento de datos, si corresponde, se especificarán en el "acuerdo maestro" de las partes o en Apéndice Da este acuerdo de procesamiento de datos.

 

  1. La regulación de otros términos entre las partes se especificará en el "acuerdo maestro" de las partes o enApéndice Da este acuerdo de procesamiento de datos.

13 comienzo y terminación

  1. Este acuerdo de procesamiento de datos entrará en vigencia en la fecha de la firma de ambas partes al acuerdo.

 

  1. Ambas partes tendrán derecho a exigir que este Acuerdo de procesamiento de datos renegociara si los cambios en la ley o la inexpresión de las disposiciones contenidas en este documento deben dar lugar a dicha renegociación.

 

  1. El acuerdo de las partes sobre remuneración, términos, etc. en relación con las enmiendas a este acuerdo de procesamiento de datos, si corresponde, se especificará en el "Acuerdo Master" de las partes o en el Apéndice D a este Acuerdo de procesamiento de datos.

 

  1. Este acuerdo de procesamiento de datos puede finalizarse de acuerdo con los términos y condiciones de terminación, incl. Aviso de terminación, especificado en el "Acuerdo Maestro".

 

  1. Este acuerdo de procesamiento de datos se aplicará siempre que se realice el procesamiento. Independientemente de la terminación del "acuerdo maestro" y/o este acuerdo de procesamiento de datos, el Acuerdo de procesamiento de datos permanecerá vigente hasta la terminación del procesamiento y la eliminación de los datos por parte del procesador de datos y cualquier subprocesador.

 

  1. Firma

 


En nombre del controlador de datos

Nombre:

 

Miguel Stampe

 

Posición:

 

CEO

 

Fecha:

 

 

01/04/18

  

 

14 Controlador de datos y contactos del procesador de datos/puntos de contacto

 

  1. Las partes pueden contactar entre sí utilizando los siguientes contactos/puntos de contacto:

 

  1. Las partes deberán tener la obligación continuamente de informarse mutuamente de los cambios a los contactos/puntos de contacto.

 

 


Nombre:

Micro Stampe

 

Posición:

CEO

 

Número telefónico:

+45 52137210

 

Correo electrónico:

stampe@kv-stampe.dk

 


 

APÉNDICE Una información sobre el procesamiento

 

El propósito del procesamiento del procesador de datos de datos personales en nombre del controlador de datos es:

  • El controlador de datos puede usar Google Analytics que es propiedad y administrado por el procesador de datos para recopilar y procesar datos sobre los miembros del controlador de datos.

 

El procesamiento del procesador de datos de datos personales en nombre del controlador de datos se pertenecerá principalmente a (la naturaleza del procesamiento):

  • El procesador de datos pone a disposición del sistema Shopify para el controlador de datos y por la presente almacena datos personales sobre los miembros del controlador de datos en los servidores de la empresa ".

 

El procesamiento incluye los siguientes tipos de datos personales sobre los sujetos de datos:

  • Nombre, dirección de correo electrónico, número de teléfono, dirección, detalles de pago y países

 

El procesamiento incluye las siguientes categorías de sujeto de datos:

 Personas que han comprado cualquier producto en el sitio web o se han registrado como miembro

 

El procesamiento del procesador de datos de datos personales en nombre del controlador de datos se puede realizar cuando comienza este acuerdo de procesamiento de datos. El procesamiento tiene la siguiente duración:

  • El procesamiento no debe estar limitado por el tiempo y se realizará hasta que este acuerdo de procesamiento de datos sea finalizado o cancelado por una de las partes.

 

 

Instrucción del Apéndice B con respecto al uso de datos personales

 

 

B.1 Período de almacenamiento/Procedimientos de borrado

  • Los datos personales se almacenan durante 3 años, después de lo cual el procesador de datos borrados.

 

B.2 Ubicación de procesamiento

El procesamiento de los datos personales en virtud de este acuerdo de procesamiento de datos no se puede realizar en otros lugares que el siguiente sin el consentimiento previo por escrito del controlador de datos:

  • Indique el procesador o subprocesador de datos utilizando la dirección Ringvejen 60, 7900 Nykøbing Mors