Acuerdo de tratamiento de datos

En cuanto a las disposiciones relativas al procesamiento legítimo de datos personales

Versión: 2018

Partes:

  1. La sociedad de responsabilidad limitada Payt B.V., posteriormente llamada ‘Procesador’; y
  2. Cliente, en lo sucesivo denominado ‘Controlador de Datos’;
  3. En lo siguiente, conjuntamente denominados “Partes” e individualmente como “Parte”.

Considerando que:

  • Procesador ha desarrollado una plataforma en línea para el control de cobros y servicios de cobro;

  • Controlador de Datos hace uso o quiere hacer uso de los servicios de Procesador;

  • Este uso implica que el Procesador procesa o procesará Datos Personales por orden del Controlador de Datos;

  • El Controlador de Datos y el Procesador desean establecer sus derechos, obligaciones y acuerdos mutuos con respecto al Procesamiento de Datos Personales en el contexto de estos servicios en este Acuerdo de Procesador.

  • Los siguientes Apéndices son parte integral de este Acuerdo de Procesador:

    • APÉNDICE 1: Datos Personales; propósito, manera y medios de procesamiento; periodos de retención.
    • ANEXO 2: Medidas de seguridad.
  • Si alguna disposición de un apéndice es incompatible o incumple una disposición del Acuerdo de Procesador, prevalece lo estipulado en el apéndice.

Artículo 1: Definiciones

En este Acuerdo de Procesamiento, los siguientes términos, siempre indicados con mayúscula, tanto en singular como en plural, tienen el siguiente significado:

1.1 Sujeto de Datos: la persona física a la que se refieren los datos personales, o su representante.

1.2 Procesador: la entidad que procesa los Datos Personales en beneficio del Controlador de Datos, sin estar sujeto a la autoridad directa de este último. En este Acuerdo de Procesamiento, es Payt B.V.

1.3 Apéndice: una parte del Acuerdo de Procesamiento en la que se dan más explicaciones e información sobre una parte o componentes específicos de los servicios.

1.4 Datos Personales: cualquier dato relativo a una persona física identificada o identificable.

1.5 Controlador de Datos: la persona física, persona jurídica o cualquier otra entidad que, o el órgano rector que, solo o conjuntamente con otros, establezca el propósito y los medios para el Procesamiento de Datos Personales. En este Acuerdo de Procesamiento es el Cliente.

1.6 Procesamiento: cualquier acción o conjunto de acciones relativas a los Datos Personales, incluyendo en cualquier caso la recogida, ordenación, almacenamiento, actualización, modificación, solicitud, examen, utilización, suministro por vía de remisión, distribución o cualquier otra forma de puesta a disposición, agregación, vinculación, así como el blindaje, eliminación o destrucción de los Datos Personales.

Artículo 2: Duración y terminación

2.1 El presente Acuerdo de Procesamiento se celebra después de que lo hayan firmado las Partes en la fecha de su más reciente firma.

2.2 Este Acuerdo de Procesamiento está en vigor mientras el Procesador procese Datos Personales en beneficio del Controlador de Datos y no puede ser cancelado prematuramente.

2.3 El Procesador proporciona todos los Datos Personales a la primera solicitud del Controlador de Datos, aunque no más tarde de diez días hábiles después de la finalización de este Acuerdo de Procesamiento.

2.4 Tan pronto como este Acuerdo de Procesamiento haya terminado, el Procesador eliminará y/o destruirá todos los Datos Personales y cualquier posible copia de los mismos que estén presentes con ellos.

El Procesador puede apartarse de lo estipulado en las dos secciones anteriores, en la medida en que en relación con los Datos Personales se aplique un período de retención reglamentario o en la medida en que sea necesario para demostrar el cumplimiento de sus compromisos con el Controlador de Datos.

Artículo 3: Objeto

3.1 El Procesador procesará los Datos Personales en beneficio del Controlador de Datos. El Controlador de Datos proporciona Datos Personales al Procesador en ese sentido.

3.2 El Controlador de datos ha establecido los propósitos del Procesamiento de Datos Personales y ha informado al Procesador de estos propósitos de procesamiento.

3.3 El Procesador no procesará los Datos Personales para ningún otro fin que no sea el de procesamiento, tal como se describe en el APÉNDICE 1.

3.4 Los Datos Personales que el Procesador procese por orden del Controlador de Datos, independientemente de cómo se hayan obtenido, seguirán siendo propiedad del Controlador de Datos y/o del Sujeto de Datos en cuestión.

3.5 El Controlador de Datos garantiza al Procesador que el contenido, el uso y/o el procesamiento de los Datos Personales no es ilegítimo y no viola ningún derecho de un Tercero, que estos Datos Personales se recogen y comparten legítimamente y protege al Procesador contra cualquier reclamación legal de un Tercero, por cualquier motivo, en relación con el procesamiento de estos Datos Personales, a menos que el Controlador de Datos demuestre que los hechos en los que se basa la reclamación son atribuibles al Procesador.

Artículo 4: Procesamiento de la implementación

4.1 El Procesador sólo es responsable del tratamiento de los Datos Personales que procesa en el contexto de los servicios propuestos, en las condiciones mencionadas en este Acuerdo de Procesamiento. En cuanto a los demás Procesamientos de Datos Personales, incluida la recopilación de Datos Personales por parte del Controlador de Datos y/o terceros, el Procesador no es en absoluto responsable.

4.2 El Procesador no procesará, a menos que haya obtenido el permiso previo por escrito del Controlador de Datos para ello y se cumplan los requisitos legales, los Datos Personales en países fuera del Espacio Económico Europeo (“EEE”) que no ofrezcan un nivel de protección adecuado. No se permite la transmisión de Datos Personales a países fuera del EEE que no tengan un nivel de seguridad adecuado.

4.3 El Procesador almacenará y procesará los Datos Personales relativos al Controlador de Datos de forma separada de los Datos Personales que procesa para sí mismo o en nombre de terceros.

4.4 El Procesador procesará los Datos Personales de manera adecuada y diligente y de acuerdo con las obligaciones a las que está sujeto como Procesador en virtud de la legislación sobre privacidad, como el Reglamento General de Protección de Datos.

4.5 El Controlador de Datos proporciona al Procesador los datos necesarios para la ejecución de las tareas. El Controlador de Datos sólo proporciona los datos (personales) necesarios para la ejecución de las tareas del Procesador y que pueden ser proporcionados a tal fin por el Controlador de Datos.

Artículo 5: Seguridad de los datos personales

5.1 Las Partes establecen que el Procesador tomará las medidas de seguridad técnicas y organizativas adecuadas que, teniendo en cuenta el estado de la técnica y los costos asociados, estén en línea con la naturaleza de los Datos Personales a procesar, para proteger los Datos Personales contra la pérdida, el conocimiento ilegítimo, la corrupción o el procesamiento ilegítimo, así como para asegurar la disponibilidad (oportuna) de los Datos Personales.

5.2 Las Partes reconocen que los requisitos de seguridad cambian constantemente y que es necesario realizar una evaluación eficaz y frecuente y una mejora regular de las medidas de seguridad obsoletas. Por ello, el Procesador evaluará constantemente las medidas de seguridad para la protección de los Datos Personales y, si es necesario, las reforzará, complementará o mejorará, para seguir cumpliendo con sus obligaciones.

5.3 Además de lo estipulado en este artículo, el Procesador adopta las medidas de seguridad que se especifican en el Apéndice 2.

5.4 El Procesador no garantiza que la seguridad sea efectiva en todas las circunstancias.

Artículo 6: Control

6.1 El Controlador de Datos tiene derecho a (dejar) realizar una prueba (de penetración) una vez al año para controlar las disposiciones del presente Acuerdo de Procesamiento. El Controlador de Datos puede hacer esto por sí mismo o hacerlo por un contador registrado independiente, un técnico de información registrado u otro auditor certificado para ello.

6.2 El Procesador guarda los datos de apoyo necesarios para las pruebas (de penetración) de este artículo, como los registros del sistema.

6.3 Las personas que realicen la prueba cumplirán los procedimientos de seguridad que se apliquen en el Procesador.

6.4 El Procesador se compromete a prestar su asistencia y a proporcionar oportunamente toda la información razonablemente pertinente para la prueba.

6.5 Los gastos de una prueba corren a cargo del Controlador de Datos, a menos que se establezca lo contrario por escrito.

6.6 El Controlador de Datos anunciará por escrito una prueba prevista, tras lo cual el Procesador se asegurará de que esta prueba pueda comenzar en un plazo razonable.

Artículo 7: Deber de informar sobre las fugas de datos y la monitorización

7.1 En caso de que se produzca una violación de los datos personales dentro de la esfera de influencia del Procesador, éste informará al Controlador de Datos inmediatamente después de su detección.

7.2 El deber de informar abarca en cualquier caso la notificación del hecho de que se ha producido una fuga o un incidente, así como la (supuesta) causa de la fuga o el incidente, la consecuencia actualmente conocida y/o prevista y la solución (propuesta).

7.3 El Controlador de Datos, si en su opinión es necesario, informará a los Sujetos de los Datos y a otros terceros, incluida la autoridad de vigilancia “Autoriteit Persoonsgegevens” sobre una fuga de datos u otros incidentes. No se permite al Procesador proporcionar información directamente sobre una fuga de datos u otros incidentes a los Sujetos de Datos u otros terceros, salvo en la medida en que el Procesador esté legalmente obligado a hacerlo o haya obtenido permiso del Controlador de Datos.

Artículo 8: No divulgación

8.1 Todos los Datos Personales que el Procesador recibe del Controlador de Datos y/o que recoge él mismo en el contexto de este Acuerdo de Procesamiento, están sujetos a una obligación de no divulgación hacia terceros.

8.2 El Procesador se asegura de que su personal esté sujeto a la obligación de no divulgación estipulada en este artículo.

8.3 La obligación de no divulgación no es aplicable en la medida en que el Controlador de Datos haya dado permiso expreso para proporcionar la información a terceros, si el suministro de la información a terceros es lógicamente necesario teniendo en cuenta la naturaleza de la asignación concedida y la aplicación de este Acuerdo de Procesamiento, o si existe una obligación legal de proporcionar la información a un tercero. En caso de que se proporcione información a terceros en cumplimiento de una obligación legal, el Procesador informará en consecuencia al Controlador de Datos lo antes posible y, en todo caso, antes de tal provisión.

Artículo 9: Derechos de los Sujetos de Datos

9.1 El Procesador proporciona plena asistencia al Controlador de Datos, de manera que, tras la aprobación y por orden del Controlador de Datos, a:

a) Conceder a los Sujetos de Datos acceso a los Datos Personales que les conciernen en forma estructurada, actualizada y legible por máquina;

b) Limitar el procesamiento de los Datos Personales a su almacenamiento o al procesamiento para el cual el Sujeto de los Datos ha dado permiso, hasta que el Procesador decida que la limitación al procesamiento debe ser retirada;

c) eliminar o corregir los Datos Personales de los Sujetos de Datos;

d) demostrar que los Datos Personales han sido eliminados o corregidos si son incorrectos (o, en caso de que el Controlador de Datos no acepte que los Datos Personales sean incorrectos, establecer el hecho de que el Sujeto de Datos considera que sus Datos Personales son incorrectos).

9.2 Además, el Procesador procederá a la primera solicitud del Controlador de Datos lo antes posible, aunque no más tarde de cinco días hábiles después de que se haya hecho una solicitud a tal efecto:

a) El suministro por escrito de toda la información necesaria que el Controlador de Datos pueda requerir;

b) La mejora, complementación, eliminación o blindaje de los Datos Personales.

9.3 En la medida de lo posible, el Procesador presta plena asistencia al Controlador de Datos para ayudarle a cumplir las obligaciones a las que está sujeto en virtud de la legislación aplicable en el ámbito del tratamiento de Datos Personales.

Artículo 10: Despliegue e intercambio de datos personales con el subprocesador

10.1 El Procesador tiene el derecho de recurrir a terceros para el tratamiento de los Datos Personales si:

a) El Procesador lo ha anunciado por adelantado y por escrito; o

b) El Procesador ha obtenido el permiso para ello del Controlador de Datos; o

c) Si el despliegue de terceros es lógicamente necesario teniendo en cuenta la naturaleza de la asignación y/o la aplicación del presente Acuerdo de Procesamiento.

10.2 El Procesador se asegura de que los terceros pertinentes asuman al menos las mismas obligaciones a las que está sujeto el Procesador en virtud de este Acuerdo de Procesamiento.

10.3 Para la correcta implementación de los servicios, el Procesador emplea a terceros y el Procesador comparte los datos personales recopilados por orden del Controlador de Datos en cualquier caso con (aunque no exclusivamente con) los socios, tal y como se especifica en el APÉNDICE 1.

10.4 En caso de que el tercero que el Procesador desee desplegar esté establecido fuera del EEE, el Procesador asegura, sin perjuicio de lo anterior, que este tercero garantiza un nivel adecuado de protección y seguridad de los Datos Personales en el sentido del Reglamento General de Protección de Datos.

10.5 El Procesador es responsable ante el Controlador de Datos del tercero(s) desplegado por él.

10.6 En caso de que el Controlador de Datos solicite al Procesador que comparta los Datos Personales con un tercero que no figure en la lista con los nombres de las partes con las que el Procesador comparte los datos según lo previsto en el APÉNDICE 1, entonces lo estipulado en este artículo no es aplicable y el Controlador de Datos es totalmente responsable de cualquier posible daño que resulte directa o indirectamente.

10.7 El Procesador también puede proporcionar Datos Personales a terceros si el Procesador, en virtud de una solicitud o una orden competente de un organismo gubernamental o autoridad judicial, o en relación con una obligación legal, debe proporcionar los datos a un tercero.

Artículo 11: Disposiciones finales

11.1 Las modificaciones de este Acuerdo de Procesamiento sólo son efectivas si se han establecido entre las Partes por escrito.

11.2 Este Acuerdo de Procesamiento prevalece sobre todos los demás acuerdos entre el Controlador de Datos y el Procesador en relación con el procesamiento de Datos Personales.

11.3 A este Acuerdo de Procesamiento la legislación de los Países Bajos es exclusivamente aplicable.

11.4 Las disputas sobre o en relación con este Acuerdo de Procesamiento se someten exclusivamente al tribunal de justicia competente en el lugar de establecimiento del Procesador.

Apéndice 1: Datos personales; finalidad, método y medios de tratamiento; períodos de retención

Datos Personales Procesados

Datos sobre los deudores del Controlador de Datos. a) Nombre, dirección, lugar de residencia, número de teléfono, dirección de correo electrónico, sexo, datos del deudor y datos de facturación.

Categorías de Sujetos de Datos a) Deudores

Las finalidades, el método y los medios de procesamiento

Los Datos Personales son procesados por el Procesador con el propósito de: a) obtener el pago por parte del Controlador de Datos de las reclamaciones presentadas a través de Payt; b) determinar, basándose en los datos actuales e históricos relativos a la recogida, un valor de puntuación según el cual se pueda establecer la probabilidad de recuperación; c) Contribuir a la prevención del exceso de crédito, así como de otras situaciones problemáticas de endeudamiento, en que incurran los Sujetos de Datos. d) permitir la implementación de los servicios según lo acordado entre el Controlador de Datos y el Procesador. Estos Datos Personales se procesan y almacenan en los sistemas de software pertinentes del Procesador.

Para la correcta implementación de los servicios, el Procesador contrata a terceros y comparte los Datos Personales recogidos por orden del Controlador de Datos con:

● Partes que proporcionan el alojamiento y mantenimiento del sitio web, partes de las cuales utilizamos cookies, plug-ins, aplicaciones y/u otro software en el sitio web, procesadores de correo, agentes judiciales, proveedores de servicios de reenvío de correo electrónico, SMS y telefónico, y bancos u otras instituciones financieras con las que Payt colabora en el contexto de la provisión de financiación a sus clientes.

Puede solicitarse una lista actualizada con los nombres de las partes con las que Payt comparte datos, así como una interpretación de los mismos y el propósito de compartir esos datos, a través de info@paytsoftware.com.

Apéndice 2: Medidas de seguridad

El Procesador adopta, entre otras cosas, medidas de seguridad, en los siguientes campos, como se indica en su política de seguridad de la información. Payt tiene una certificación ISO 27001 por su política de seguridad de la información.

a) Personal seguro b) Control de los recursos de la empresa c) Seguridad de acceso d) Criptografía. e) Seguridad física. f) Seguridad de las operaciones. g) Seguridad de las comunicaciones. h) Adquisición, etc. de sistemas. i) Relaciones con los proveedores. j) Administración de incidentes de seguridad de la información. k) Aspectos de la administración de la continuidad operacional. l) Cumplimiento.

Póngase en contacto con nosotros si desea recibir, de forma confidencial, cualquier información relativa a la política de seguridad y la declaración de aplicabilidad.

Payt

KvK: 08155915
BTW: NL817576320B01

HeadquartersUbbo Emmiussingel 21
9711 BB Groningen
The Netherlands