Partes
HONNE TECHNOLOGIES LTD, una empresa constituida en Irlanda del Norte bajo el número de empresa NI703624 y cuya dirección registrada de oficina es 37 Letter Road, Aghnablaney, Leggs, Enniskillen, Fermanagh, Reino Unido, BT93 2BB (el Proveedor); y
[∙] una empresa registrada en [∙] (el Cliente).
Antecedentes
El Cliente y el Proveedor celebraron un Acuerdo de Licencia de Software (Acuerdo Principal) en o alrededor de la fecha de este acuerdo que puede requerir que el Proveedor procese Datos Personales en nombre del Cliente.
Este Acuerdo de Procesamiento de Datos Personales (Acuerdo) establece los términos, requisitos y condiciones adicionales bajo los cuales el Proveedor procesará los Datos Personales al proporcionar servicios según el Acuerdo Principal. Este Acuerdo contiene las cláusulas obligatorias requeridas por el Artículo 28(3) de la versión de la ley de la UE del Reglamento General de Protección de Datos ((UE) 2016/679) para los contratos entre responsables y encargados del tratamiento y el Reglamento General de Protección de Datos ((UE) 2016/679).
Términos Acordados
Definiciones e Interpretación
Las siguientes definiciones y reglas de interpretación se aplican en este Acuerdo.
Definiciones:
Personas Autorizadas
las personas o categorías de personas que el Cliente autoriza para dar instrucciones escritas de procesamiento de datos personales al Proveedor, como se identifica en el Apéndice A y de quienes el Proveedor acuerda aceptar únicamente tales instrucciones.
Fines Empresariales
los servicios que el Proveedor debe proporcionar al Cliente, tal como se describe en el Acuerdo Principal y cualquier otro propósito específicamente identificado en el Apéndice A.
Comisionado: el Comisionado de Información (véase el Artículo 4(A3), RGPD del Reino Unido y la sección 114, DPA 2018).
Responsable del Tratamiento, Encargado del Tratamiento, Interesado, Datos Personales, Incidente de Datos Personales y Tratamiento: tienen los significados que se les otorgan en la Legislación de Protección de Datos.
Responsable del Tratamiento: tiene el significado que se le da en la sección 6, DPA 2018.
Legislación de Protección de Datos
En la medida en que se aplique el RGPD del Reino Unido, la ley del Reino Unido o de una parte del Reino Unido relacionada con la protección de Datos Personales.
En la medida en que se aplique el RGPD de la UE, la ley de la Unión Europea o de cualquier estado miembro de la Unión Europea al que el Cliente o el Proveedor estén sujetos, relacionada con la protección de Datos Personales.
Interesado
la persona identificada o identificable, viva, a la que se refieren los Datos Personales.
RGPD de la UE
el Reglamento General de Protección de Datos ((UE) 2016/679).
EEE
el Espacio Económico Europeo.
Datos Personales
significa cualquier información relacionada con una persona identificada o identificable, viva, que sea procesada por el Proveedor en nombre del Cliente como resultado de, o en conexión con, la prestación de los servicios bajo el Acuerdo Principal; una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante la referencia a un identificador como un nombre, número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de la persona.
Tratamiento, trata, tratado, procesar
cualquier actividad que implique el uso de los Datos Personales. Incluye, pero no se limita a, cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales o sobre conjuntos de Datos Personales, ya sea de manera automatizada o no, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, divulgación mediante transmisión, difusión o de cualquier otra forma, alineación o combinación, restricción, eliminación o destrucción. El Tratamiento también incluye la transferencia de los Datos Personales a terceros.
Incidente de Datos Personales
una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación accidental, no autorizada o ilegal de, o acceso a, los Datos Personales.
Encargado del Tratamiento
una persona natural o jurídica, autoridad pública, agencia u otro organismo que procesa los datos personales en nombre del Responsable del Tratamiento.
Registros
tiene el significado que se le da en la Cláusula 12.
Plazo
el plazo de este Acuerdo tal como se define en la Cláusula 10.Partes
HONNE TECHNOLOGIES LTD, una empresa constituida en Irlanda del Norte bajo el número de empresa NI703624 y cuya dirección registrada de oficina es 37 Letter Road, Aghnablaney, Leggs, Enniskillen, Fermanagh, Reino Unido, BT93 2BB (el Proveedor); y
[∙] una empresa registrada en [∙] (el Cliente).
Antecedentes
El Cliente y el Proveedor celebraron un Acuerdo de Licencia de Software (Acuerdo Principal) en o alrededor de la fecha de este acuerdo que puede requerir que el Proveedor procese Datos Personales en nombre del Cliente.
Este Acuerdo de Procesamiento de Datos Personales (Acuerdo) establece los términos, requisitos y condiciones adicionales bajo los cuales el Proveedor procesará los Datos Personales al proporcionar servicios según el Acuerdo Principal. Este Acuerdo contiene las cláusulas obligatorias requeridas por el Artículo 28(3) de la versión de la ley de la UE del Reglamento General de Protección de Datos ((UE) 2016/679) para los contratos entre responsables y encargados del tratamiento y el Reglamento General de Protección de Datos ((UE) 2016/679).
Términos Acordados
Definiciones e Interpretación
Las siguientes definiciones y reglas de interpretación se aplican en este Acuerdo.
Definiciones:
Personas Autorizadas
las personas o categorías de personas que el Cliente autoriza para dar instrucciones escritas de procesamiento de datos personales al Proveedor, como se identifica en el Apéndice A y de quienes el Proveedor acuerda aceptar únicamente tales instrucciones.
Fines Empresariales
los servicios que el Proveedor debe proporcionar al Cliente, tal como se describe en el Acuerdo Principal y cualquier otro propósito específicamente identificado en el Apéndice A.
Comisionado: el Comisionado de Información (véase el Artículo 4(A3), RGPD del Reino Unido y la sección 114, DPA 2018).
Responsable del Tratamiento, Encargado del Tratamiento, Interesado, Datos Personales, Incidente de Datos Personales y Tratamiento: tienen los significados que se les otorgan en la Legislación de Protección de Datos.
Responsable del Tratamiento: tiene el significado que se le da en la sección 6, DPA 2018.
Legislación de Protección de Datos
En la medida en que se aplique el RGPD del Reino Unido, la ley del Reino Unido o de una parte del Reino Unido relacionada con la protección de Datos Personales.
En la medida en que se aplique el RGPD de la UE, la ley de la Unión Europea o de cualquier estado miembro de la Unión Europea al que el Cliente o el Proveedor estén sujetos, relacionada con la protección de Datos Personales.
Interesado
la persona identificada o identificable, viva, a la que se refieren los Datos Personales.
RGPD de la UE
el Reglamento General de Protección de Datos ((UE) 2016/679).
EEE
el Espacio Económico Europeo.
Datos Personales
significa cualquier información relacionada con una persona identificada o identificable, viva, que sea procesada por el Proveedor en nombre del Cliente como resultado de, o en conexión con, la prestación de los servicios bajo el Acuerdo Principal; una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante la referencia a un identificador como un nombre, número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de la persona.
Tratamiento, trata, tratado, procesar
cualquier actividad que implique el uso de los Datos Personales. Incluye, pero no se limita a, cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales o sobre conjuntos de Datos Personales, ya sea de manera automatizada o no, como la recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, divulgación mediante transmisión, difusión o de cualquier otra forma, alineación o combinación, restricción, eliminación o destrucción. El Tratamiento también incluye la transferencia de los Datos Personales a terceros.
Incidente de Datos Personales
una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación accidental, no autorizada o ilegal de, o acceso a, los Datos Personales.
Encargado del Tratamiento
una persona natural o jurídica, autoridad pública, agencia u otro organismo que procesa los datos personales en nombre del Responsable del Tratamiento.
Registros
tiene el significado que se le da en la Cláusula 12.
Plazo
el plazo de este Acuerdo tal como se define en la Cláusula 10.
UK GDPR
Tiene el significado que se le da en la sección 3(10) (según lo suplementado por la sección 205(4)) de la DPA 2018.
Este Acuerdo está sujeto a los términos del Acuerdo Marco y se incorpora al Acuerdo Marco. Las interpretaciones y los términos definidos establecidos en el Acuerdo Marco se aplican a la interpretación de este Acuerdo.
Los Anexos forman parte de este Acuerdo y tendrán efecto como si estuvieran establecidos íntegramente en el cuerpo de este Acuerdo. Cualquier referencia a este Acuerdo incluye los Anexos.
Una referencia a "escrito" o "escrito" incluye faxes y correos electrónicos.
En caso de conflicto o ambigüedad entre:
- cualquier disposición contenida en el cuerpo de este Acuerdo y cualquier disposición contenida en los Anexos, prevalecerá la disposición en el cuerpo de este Acuerdo;
- los términos de cualquier factura acompañante u otros documentos anexados a este Acuerdo y cualquier disposición contenida en los Anexos, prevalecerá la disposición contenida en los Anexos; y
- cualquiera de las disposiciones de este Acuerdo y las disposiciones del Acuerdo Marco, prevalecerán las disposiciones de este Acuerdo.
Tipos de datos personales y fines del procesamiento
El Cliente y el Proveedor acuerdan y reconocen que, a efectos de la legislación sobre protección de datos:
- el Cliente es el Responsable y el Proveedor es el Encargado.
- el Cliente mantiene el control de los Datos Personales y sigue siendo responsable de sus obligaciones de cumplimiento bajo la legislación de protección de datos, incluyendo, pero no limitándose a, proporcionar los avisos requeridos y obtener los consentimientos necesarios, y por las instrucciones de procesamiento escritas que le da al Proveedor.
El Anexo A describe el objeto, la duración, la naturaleza y el propósito del procesamiento, así como las categorías de Datos Personales y tipos de Sujetos de Datos respecto de los cuales el Proveedor puede procesar los Datos Personales para cumplir con los Fines Comerciales.
Obligaciones del Proveedor
El Proveedor solo procesará los Datos Personales en la medida y de la manera necesaria para los Fines Comerciales de acuerdo con las instrucciones escritas del Cliente. El Proveedor no procesará los Datos Personales para ningún otro propósito o de una manera que no cumpla con este Acuerdo o con la legislación sobre protección de datos. El Proveedor debe notificar rápidamente al Cliente si, en su opinión, las instrucciones del Cliente no cumplen con la legislación de protección de datos.
El Proveedor debe cumplir rápidamente con cualquier instrucción escrita del Cliente que requiera que el Proveedor modifique, transfiera, elimine o de otro modo procese los Datos Personales, o que detenga, mitigue o remedie cualquier procesamiento no autorizado.
El Proveedor mantendrá la confidencialidad de los Datos Personales y no los divulgará a terceros, salvo que el Cliente o este Acuerdo autoricen específicamente la divulgación, o según lo exija la ley nacional o de la UE, un tribunal o un regulador (incluido el Comisionado). Si una ley nacional o de la UE, un tribunal o un regulador (incluido el Comisionado) exige que el Proveedor procese o divulgue los Datos Personales a un tercero, el Proveedor debe informar primero al Cliente de dicho requisito legal o regulador y dar al Cliente la oportunidad de objetar o impugnar el requisito, a menos que la ley nacional o de la UE prohíba dar tal notificación.
El Proveedor asistirá razonablemente al Cliente, sin costo adicional para el Cliente, para cumplir con las obligaciones de cumplimiento del Cliente bajo la legislación de protección de datos, teniendo en cuenta la naturaleza del procesamiento del Proveedor y la información disponible para el Proveedor, incluyendo en relación con los derechos de los Sujetos de Datos, las evaluaciones de impacto sobre la protección de datos y los informes al Comisionado y la consulta con él bajo la legislación de protección de datos.
El Proveedor debe notificar al Cliente rápidamente cualquier cambio en la legislación de protección de datos que razonablemente pueda interpretarse como que afecta negativamente al desempeño del Proveedor del Acuerdo Marco o de este Acuerdo.
Empleados del Proveedor
El Proveedor se asegurará de que todos sus empleados:
- estén informados de la naturaleza confidencial de los Datos Personales y estén sujetos a obligaciones de confidencialidad escritas y restricciones de uso respecto a los Datos Personales;
- hayan recibido capacitación sobre la legislación de protección de datos y cómo se relaciona con el manejo de los Datos Personales y cómo se aplica a sus deberes particulares; y
- estén conscientes tanto de los deberes del Proveedor como de los deberes y obligaciones personales bajo la legislación de protección de datos y este Acuerdo.
Seguridad
El Proveedor deberá en todo momento implementar medidas técnicas y organizativas apropiadas contra el procesamiento accidental, no autorizado o ilegal, acceso, copia, modificación, reproducción, exhibición o distribución de los Datos Personales, y contra la pérdida accidental o ilegal, destrucción, alteración, divulgación o daño de los Datos Personales.
El Proveedor implementará tales medidas para garantizar un nivel de seguridad apropiado al riesgo involucrado, incluyendo, según sea apropiado:
- la seudonimización y encriptación de los Datos Personales;
- la capacidad de garantizar la confidencialidad continua, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico; y
- un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas de seguridad.