Acuerdo de tratamiento de datos
ACUERDO SOBRE TRATAMIENTO DE DATOS PERSONALES
Somos Jobbatical OÜ, una empresa estonia con código de registro 12671900 (Jobbatical, nosotros, nos y nuestro). Operamos una plataforma en línea en https://app.jobbatical.com (la Plataforma) para prestar determinados servicios relacionados con la reubicación de empleados/futuros empleados, así como de los miembros de sus familias de un país al lugar de trabajo en otro país (los Servicios).
El término "Cliente" o "usted" se refiere a una entidad legal nombrada como Cliente en el acuerdo de servicio firmado por Jobbatical y el Cliente (el Acuerdo de Servicio). Este acuerdo de procesamiento de datos personales (el DPA) es parte de un Acuerdo de Servicio entre Jobbatical y el Cliente (cada uno también una Parte y colectivamente las Partes).
En relación con la prestación de los Servicios bajo el Acuerdo de Servicio, Jobbatical procesa ciertos datos personales en nombre del Cliente. Para garantizar el procesamiento seguro, correcto y legal de los datos personales, las Partes han acordado complementar el Acuerdo de Servicio y entrar en este DPA como parte del Acuerdo de Servicio.
En caso de conflicto entre cualquier otro documento que forme parte del Contrato de Servicio y la presente DPA en relación con el tratamiento de datos personales, prevalecerá y se aplicará la DPA.
1. DISPOSICIONES GENERALES
1.1 Los términos utilizados en el APD se utilizan en el sentido que se les da en el artículo 4 del Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo (el RGPD) o en el sentido que se les da en el Acuerdo de Servicio.
1.2 En el contexto del Artículo 28 del GDPR, el Cliente es el controlador de datos de los datos personales transferidos o puestos a disposición de Jobbatical en el curso de la provisión de los Servicios y Jobbatical es el procesador de datos.
2. OBLIGACIONES GENERALES DE JOBBATICAL
2.1 Jobbatical procesará los datos personales sólo de acuerdo con la ley aplicable, los términos del Acuerdo de Servicio, incluyendo los términos de esta DPA.
2.2 Jobbatical procesará datos personales sólo para los propósitos descritos en el Anexo A de esta DPA.
2.3 Jobbatical procesará los datos personales de acuerdo con las instrucciones documentadas del Cliente, incluyendo aquellas en esta DPA.
2.4 Si lo requiere la ley aplicable, Jobbatical designará un responsable de protección de datos competente de acuerdo con la ley aplicable.
2.5 Jobbatical mantendrá registros de todas las actividades de procesamiento de datos llevadas a cabo en nombre del Cliente. Los registros de las actividades de procesamiento de datos cumplirán con los requisitos establecidos en el artículo 30 (2) del GDPR.
2.6 A la respectiva petición del Cliente, Jobbatical pondrá a disposición del Cliente los registros descritos en la sección 2.5 en relación con los datos personales procesados en nombre del Cliente de forma inmediata y gratuita, pero no más tarde de 15 (quince) días laborables desde la respectiva petición del Cliente.
2.7 Jobbatical deberá, teniendo en cuenta la naturaleza del procesamiento, proporcionar una cooperación razonable para asistir al Cliente mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para responder a cualquier petición de individuos o autoridades de protección de datos aplicables relacionadas con el procesamiento de datos personales bajo la DPA. En el caso de que tal petición sea hecha directamente a Jobbatical, Jobbatical no responderá a tal comunicación directamente sin la autorización previa del Cliente, a menos que sea legalmente obligado a hacerlo. Si Jobbatical está obligado a responder a tal petición, Jobbatical lo notificará inmediatamente al Cliente y le proporcionará una copia de la petición, a menos que esté legalmente prohibido hacerlo.
2.8 Jobbatical asistirá al Cliente para asegurar el cumplimiento de las obligaciones de acuerdo con los Artículos 32 a 36 del GDPR teniendo en cuenta la naturaleza del procesamiento y la información disponible para Jobbatical.
3. OBLIGACIONES GENERALES DEL CLIENTE
3.1 El Cliente garantiza que al transferir cualquier dato personal a Jobbatical, el Cliente tiene una base legal apropiada para enviar dichos datos personales a Jobbatical.
3.2 El Cliente garantiza que al transferir cualquier dato personal a Jobbatical, Jobbatical está autorizado a procesar dichos datos personales con el propósito de llevar a cabo el Acuerdo de Servicio.
3.3 El Cliente garantiza que al transferir cualquier dato personal a Jobbatical, todos los datos personales enviados por el Cliente a Jobbatical son exactos, verdaderos, relevantes y necesarios con referencia a la ejecución del Acuerdo de Servicio.
4. CONFIDENCIALIDAD
4.1 Jobbatical asegurará la confidencialidad de los datos personales procesados en nombre del Cliente.
4.2 Jobbatical se asegurará de que ningún tercero no autorizado pueda acceder a los datos personales procesados en nombre del Cliente.
4.3 Jobbatical se asegurará de que todos los representantes, empleados de Jobbatical y otras personas que a través de Jobbatical entren en contacto con los datos personales procesados en nombre del Cliente estén sujetos a la obligación de confidencialidad asumida bajo un contrato o la ley y Jobbatical se asegurará de que sus representantes, empleados y otras personas que actúen en su beneficio mantengan la total confidencialidad de los datos personales.
4.4 Jobbatical se asegurará de que todos los representantes y empleados de Jobbatical que entren en contacto con los datos personales procesados en nombre del Cliente hayan recibido la formación y las instrucciones apropiadas para el procesamiento de datos personales de acuerdo con el Acuerdo de Servicio, la DPA y la ley aplicable.
5. MEDIDAS DE SEGURIDAD
5.1 Jobbatical garantizará la seguridad del procesamiento de datos personales con el fin de proteger los datos personales contra el procesamiento accidental o no autorizado, divulgación o destrucción mediante la aplicación de las medidas requeridas en virtud del artículo 32 del GDPR.
5.2 Teniendo en cuenta el estado de la técnica y los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento de datos personales, así como el riesgo para los derechos y libertades de las personas físicas, de probabilidad y gravedad variables, que puedan derivarse del tratamiento de datos personales, Jobbatical aplicará las medidas técnicas y organizativas apropiadas al tratamiento de datos personales para garantizar la seguridad de los datos personales. En el Anexo B de la presente DPA se ofrece una descripción más detallada de las medidas técnicas y organizativas.
6. AUDITORÍA
6.1 El Cliente tendrá el derecho, una vez cada doce (12) meses, de auditar las operaciones de Jobbatical relevantes para el cumplimiento del DPA, previa notificación por escrito con quince (15) días hábiles de antelación. Si la fecha propuesta por el Cliente no es adecuada para Jobbatical, el Cliente puede designar otra fecha que no puede ser posterior a quince (15) días hábiles desde la fecha original. La metodología de auditoría se especificará entre las Partes antes de que se lleve a cabo la auditoría. El Cliente será responsable de los costes de la auditoría.
6.2 La auditoría debe realizarse en un día laborable durante las horas de trabajo de Jobbatical, y no debe perturbar irrazonablemente el curso de los negocios de Jobbatical o poner en peligro la confidencialidad de la información de terceros en posesión de Jobbatical. Jobbatical se compromete a cooperar de buena fe con el Cliente, contribuir a las inspecciones y auditorías por parte del Cliente, y proporcionar al Cliente la información relativa a esta DPA que el Cliente pueda solicitar razonablemente con el fin de demostrar que ha actuado de conformidad con el GDPR.
7. VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES
7.1 En caso de una violación de datos personales, Jobbatical notificará lo más inmediatamente posible al cliente. Jobbatical enviará al Cliente una notificación sobre la violación de datos personales, que incluirá la siguiente información:
7.1.1 una descripción de la naturaleza de la violación de los datos personales, que incluya, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
7.1.2 el nombre y los datos de contacto del responsable de la protección de datos u otra persona de contacto de Jobbatical, si procede;
7.1.3 las consecuencias probables de la violación de los datos personales, incluidas las consecuencias probables para el interesado;
7.1.4 medidas adoptadas o propuestas por Jobbatical para hacer frente a la violación de datos personales o medidas para mitigar sus posibles efectos adversos.
7.2. Jobbatical enviará la notificación especificada en la sección 7.1 al Cliente inmediatamente y si es posible, no más tarde de 48 horas desde la ocurrencia de la violación de los datos personales.
7.3. En el caso y en la medida en que Jobbatical no sea capaz de presentar la información descrita en la sección 7.1 al Cliente dentro del plazo establecido en la sección 7.2, Jobbatical puede presentar la información al Cliente en fases pero sin más retraso indebido acompañado de una justificación del retraso.
7.4. Jobbatical cooperará completamente con el cliente con el propósito de prevenir la violación de datos personales. Si se produce una violación de datos personales, Jobbatical cooperará plenamente con el Cliente para hacer frente a la violación de datos personales de la manera más eficiente y rápida posible y/o mitigar sus posibles efectos adversos.
7.5. Jobbatical documentará todas las violaciones de datos personales, incluidos los hechos relativos a la violación de datos personales, sus efectos y las medidas correctoras adoptadas.
8. DEVOLUCIÓN, SUPRESIÓN Y DESTRUCCIÓN DE DATOS PERSONALES
1. En cada petición del Cliente y/o después de la terminación del Acuerdo de Servicio, Jobbatical borrará todos los datos personales procesados en nombre del Cliente dentro de catorce (14) días naturales, a menos que Jobbatical tenga una base legal para retener ciertos datos.
9. SUBENCARGADOS DEL TRATAMIENTO Y TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES
9.1. El Cliente concede a Jobbatical una autorización general para subcontratar el procesamiento de datos personales llevado a cabo bajo este DPA a subprocesadores siempre que:
9.1.1. la contratación del subprocesador es necesaria para la prestación de los Servicios;
9.1.2. Jobbatical ha entrado en un acuerdo escrito que contiene obligaciones de protección de datos no menos protectoras que aquellas en este DPA. Jobbatical será responsable de cualquier incumplimiento por parte del subprocesador de acuerdo con los términos de este DPA;
9.1.3. Jobbatical evaluará las prácticas de seguridad, privacidad y confidencialidad de un subprocesador antes de su selección para establecer que es capaz de proporcionar el nivel de protección de datos personales requerido por esta DPA. Cuando los datos personales se transfieran fuera del Espacio Económico Europeo, Jobbatical se asegurará de que, o bien los datos personales se transfieren a un país en relación con el cual la Comisión Europea ha decidido que el país garantiza un nivel adecuado de protección, o bien, si no existe una decisión de adecuación sobre el país, territorio o sector para la transferencia, Jobbatical se asegurará de que la transferencia está sujeta a las salvaguardias apropiadas enumeradas en el GDPR.
9.2. La lista de subprocesadores aprobados por el Cliente en el momento de la conclusión de este DPA se establece en el Anexo C de este DPA. Jobbatical informará al Cliente de cualquier cambio previsto relativo a la adición o sustitución de otros subprocesadores, dando así al Cliente la oportunidad de oponerse a tales cambios. Se considerará que el Cliente está de acuerdo con los cambios en los subprocesadores siempre que el Cliente no haya presentado su objeción en el plazo de diez (10) días hábiles desde la recepción de la notificación.
9.3. Si Jobbatical utiliza subprocesadores, Jobbatical asumirá toda la responsabilidad de que el subprocesador procese los datos personales de acuerdo con la ley aplicable y esta DPA.
10. RESPONSABILIDAD JA INDEMNIZACIÓN POR DAÑOS
1. Jobbatical asumirá la responsabilidad por daños, multas administrativas o cualquier otra reclamación con respecto a la violación por parte de Jobbatical del Acuerdo de Servicio, la DPA o los requisitos de la ley aplicable.
2. Jobbatical no será responsable en ningún caso de una multa administrativa impuesta al Cliente, daños causados al Cliente o una reclamación presentada con respecto al Cliente si estos se basan en una violación por parte del Cliente y/o si Jobbatical no ha cometido dicha violación.
3. El Cliente asumirá la responsabilidad por daños, multas administrativas o cualquier otra reclamación en relación con el incumplimiento por parte del Cliente del Contrato de Servicio, la DPA o los requisitos de la legislación aplicable.
11. VALIDEZ
1. El APD será válido desde el momento de la conclusión del Acuerdo de Servicio hasta que Jobbatical esté procesando datos personales en nombre del Cliente o hasta el final del plazo del Acuerdo de Servicio, lo que ocurra más tarde.
12. DISPOSICIONES FINALES
1. El APD se regirá por la legislación de la República de Estonia.
2. Los litigios derivados del APD se resolverán mediante negociaciones o en los tribunales estonios, siendo el Tribunal del Condado de Harju el tribunal de primera instancia.
________________
ANEXO A de la DPA
1. FINALIDAD DEL TRATAMIENTO DE DATOS
Prestación de los servicios de traslado al Cliente de conformidad con el Contrato de Servicios.
2. DATOS SUJETOS
Los usuarios de la Plataforma designados por el Cliente.
3. CATEGORÍAS DE DATOS PERSONALES
Nombre, apellidos, dirección de correo electrónico.
4. OPERACIONES DE TRATAMIENTO
Jobbatical procesa los datos personales en la Plataforma para permitir que los empleados del Cliente y otros contratistas utilicen la Plataforma en relación con el cumplimiento del Acuerdo de Servicio.
5. PERÍODO DE TRAMITACIÓN
La duración del Acuerdo de Servicio y un máximo de catorce (14) días después de la terminación del Acuerdo de Servicio, a menos que de conformidad con la legislación aplicable Jobbatical tenga el derecho o la obligación de conservar los datos durante un período más largo.
________________
ANEXO B de la DPA - Medidas técnicas y organizativas
1. PRÁCTICAS Y PRINCIPIOS DE SEGURIDAD DE LA INFORMACIÓN
1. Jobbatical garantizará una gestión de la seguridad de la información metodológica y orientada a objetivos en su organización, preferiblemente basada en un estándar ampliamente aceptado (como ISO/IEC 27001, CIS Security Controls, Estonian national information security standard E-ITS), garantizando:
1. gestión de riesgos para la seguridad de la información;
2. funciones y responsabilidades asignadas en materia de seguridad de la información;
3. gestión del acceso;
4. gestión de incidentes de seguridad de la información;
5. gestión de la seguridad de los puntos finales;
6. gestión de la criptografía;
7. revisión periódica de las medidas de seguridad de la información.
2. El personal de Jobbatical debe haber completado la formación en seguridad de la información al menos una vez al año o garantizar la competencia en seguridad de la información de otras maneras (como el mantenimiento de certificados de seguridad de la información).
3. Jobbatical aplicará los requisitos de gestión de la seguridad de la información en toda su cadena de suministro pertinente en la medida en que pueda afectar a los datos personales del Cliente.
4. El Cliente tiene derecho a auditar el sistema de gestión de seguridad de la información de Jobbatical y las medidas de seguridad de la información en la medida en que puedan afectar a los datos personales del Cliente.
2. GESTIÓN DE LA INFORMACIÓN Y DEL ACCESO
1. Jobbatical debe impedir el acceso no autorizado a información confidencial.
2. La documentación deberá marcarse con etiquetas de clasificación si se han recibido instrucciones específicas del Cliente.
3. La información almacenada en los sistemas de información del Cliente y destinada a ser procesada estrictamente allí no podrá ser copiada en los sistemas de Jobbatical a menos que se acuerde lo contrario.
4. La gestión del acceso a la información confidencial debe basarse en la necesidad de conocer y en el principio del menor privilegio.
5. La información confidencial sólo podrá transmitirse por Internet de forma encriptada (como archivos adjuntos de correo electrónico encriptados, sesiones web HTTPS, herramientas de colaboración protegidas por TLS, conexiones VPN).
6. La información confidencial sólo puede almacenarse de forma encriptada (como encriptación total del disco duro, archivos encriptados, base de datos encriptada).
7. Jobbatical notificará inmediatamente al Cliente de la necesidad de cerrar la cuenta de usuario si algún miembro del personal de Jobbatical ya no está involucrado en la ejecución de los Servicios.
3. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
1. Jobbatical deberá notificar al Cliente en el plazo de 48 horas cualquier incidente de seguridad de la información registrado que pueda afectar a los datos personales del Cliente.
2. La notificación contendrá información detallada sobre la naturaleza, el alcance y las características técnicas del incidente que permita al Cliente aplicar medidas adicionales para proteger los datos personales.
3. La información sobre incidentes de seguridad de la información se considera confidencial y debe transmitirse cifrada.
4. Jobbatical no realizará acciones de comunicación pública en la medida que permitan identificar al Cliente y sus medidas de seguridad.
5. Jobbatical cooperará plenamente con el Cliente en el manejo de incidentes de seguridad de la información, incluyendo el análisis, aislamiento y restauración de la situación normal.
6. Las personas de contacto para informar de incidentes de seguridad de la información y transmitir mensajes encriptados son: dpo@jobbatical.com para Jobbatical, y [...] para el Cliente.