Acuerdo de Procesamiento de Datos

Celebrado entre:

Harmony Inc. con domicilio social en Estados Unidos, Delaware, 8 The Green, Ste. R., en la Ciudad de Dover, Condado de Kent, código postal 19901, representada por Grzegorz Kazulak

en adelante denominada el "Procesador"

y

Compañía, cualquier cliente de Harmony, Inc.

en adelante denominada el "Responsable"

también denominadas conjuntamente las "Partes".

§1. Definiciones

Los términos utilizados en este Acuerdo tienen los siguientes significados:

1. Harmony – una plataforma que permite transcribir conversaciones (en formatos de audio y video) y unificar y analizar conversaciones en diferentes plataformas de comunicación, disponible en: Harmony

2. GDPR – Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO UE.L 119, p. 1);

3. Acuerdo – el presente acuerdo de procesamiento de datos;

4. Acuerdo Marco – un acuerdo entre el Responsable, que es usuario de Harmony, y el Procesador;

5. Datos Personales Sensibles – tendrá el significado asignado a los términos "datos sensibles", "información sensible", "categorías especiales de datos personales" o términos similares bajo la(s) ley(es) de protección de datos aplicable(s) y, incluirá datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o datos biométricos para el propósito de identificar de manera única a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física.

§2. Objeto del Acuerdo

En virtud del Acuerdo, el Responsable encarga al Procesador, conforme al Artículo 28(3) del GDPR, el procesamiento de datos personales en la medida especificada en §3.

§3. Alcance del encargo

1. El objeto del encargo bajo el Acuerdo es cualquier dato personal que el Procesador procesará en nombre del Responsable en relación con el cumplimiento del Acuerdo Marco, siendo el Administrador el responsable o el procesador de los mismos en el sentido del GDPR.

2. Los datos mencionados en el párrafo 1 incluyen, en particular, datos que son datos ordinarios – es decir, datos personales de empleados, asociados del Responsable y personas autorizadas por el Responsable para utilizar Harmony y clientes finales – cualquier persona física que contacte o sea contactada por el Responsable utilizando los servicios, o cuyos datos personales sean procesados de otra manera por el Responsable a través de los servicios, bajo el Acuerdo Marco, tales como:

a) Datos de Identidad: incluye nombre, apellido, segundo nombre o patronímico, tratamiento;

b) Datos de Contacto: incluye dirección de correo electrónico, número de teléfono;

c) Datos Financieros: incluye información sobre transacciones financieras, como detalles de cuenta bancaria, información de tarjeta de crédito e historial de pagos;

d) Datos Biométricos: incluye grabaciones de voz;

e) Datos Técnicos: incluye información recopilada por medios automatizados, como direcciones IP, información del dispositivo, historial de navegación y cookies;

f) Datos de Empleo: incluye cargo e información del empleador;

g) Datos de Salud: incluye datos personales sobre la salud física o mental de una persona – incluyendo el uso de servicios de atención médica – que revelen información sobre su salud;

h) Preferencias Personales: incluye preferencias personales, intereses y características, como preferencias de idioma y preferencias de marketing;

i) y otros datos resultantes de las especificidades de los servicios proporcionados por el Procesador, que el Responsable utiliza bajo el Acuerdo Marco.

3. El Procesador procesará todas las categorías de datos personales que el Responsable proporcione a Harmony. Dado que la acumulación de datos personales en nuestros servidores ocurre automáticamente durante su uso del servicio, el Procesador no tiene control en tiempo real sobre cómo el Responsable categoriza dicha información personal.

4. El Responsable no enviará Datos Personales Sensibles al Procesador sin el consentimiento previo por escrito del Procesador o sobre la base del Acuerdo Marco.

§4. Determinación del propósito, naturaleza y duración del encargo de procesamiento de datos

1. El procesamiento de datos personales bajo el Acuerdo se encarga con el consentimiento y las instrucciones documentadas del Responsable (según se refiere en el Artículo 28(3)(a) del GDPR y el Artículo 29 del GDPR), con el propósito de que el Responsable utilice los servicios del Procesador bajo el Acuerdo Marco, en particular: utilizar Harmony, manejar solicitudes y quejas relacionadas con el uso de Harmony.

2. La celebración del Acuerdo Marco y del Acuerdo, así como la selección por parte del Responsable de los servicios del Procesador bajo el Acuerdo Marco, serán consideradas por las Partes como el encargo documentado mencionado en el párrafo 1.

3. Los Datos encargados por el Responsable serán procesados por el Procesador durante la vigencia del Acuerdo Marco de forma permanente u ocasional, dependiendo de la naturaleza de la actividad o servicio particular realizado bajo el Acuerdo Marco.

4. Dentro de los tres meses desde la fecha de terminación del Acuerdo o recepción de una solicitud documentada de eliminación de datos personales del Responsable, el Procesador deberá:

a) eliminar los datos encargados, de todos los medios de almacenamiento, programas y aplicaciones, incluyendo cualquier copia de los mismos, o

b) anonimizar de manera irreversible los datos cubiertos por la solicitud de eliminación,

a menos que surja la obligación de procesarlos adicionalmente por ley.

§5. Derechos y obligaciones de las Partes

1. El Responsable se compromete a que cualquier dato personal encargado al Procesador bajo el Acuerdo sea procesado por el Responsable:

a) sobre una de las bases legales relevantes establecidas en el Artículo 6(1) del GDPR, o

b) en nombre de otro responsable, y el Responsable entonces asegura al Procesador que:

1) los datos serán procesados por su responsable sobre una de las bases legales relevantes especificadas en el Artículo 6(1) del GDPR;

2) está autorizado a subcontratar (encargar adicionalmente) el procesamiento de dichos datos personales.

2. El Procesador se compromete a:

a) conforme al Artículo 28(3)(e) del GDPR, cooperar con el Responsable, en la medida posible, a través de medidas técnicas y organizativas apropiadas, en responder a las solicitudes del interesado en ejercer sus derechos establecidos en el Capítulo III del GDPR, en particular respecto a información y comunicación transparente, acceso a datos, obligación de información, derecho a rectificación, supresión, restricción del procesamiento, portabilidad de datos y derecho de oposición; el Procesador tendrá derecho a compensación adicional en caso de dicha cooperación con el Responsable;

b) de conformidad con el Artículo 28(3)(f) del GDPR, asistir al Responsable en el cumplimiento de las obligaciones establecidas en los Artículos 32-36 del GDPR, en particular la obligación de garantizar la seguridad del procesamiento, reportar una violación de datos personales a la autoridad supervisora, notificar al interesado de una violación de datos personales, realizar una evaluación de impacto de protección de datos personales;

c) conforme al Artículo 28(3)(g) del GDPR, al terminar los servicios de procesamiento según la decisión del Responsable, eliminar o devolver al Responsable todos los datos personales y eliminar todas las copias existentes de los mismos, a menos que las disposiciones legales obligatorias requieran el almacenamiento de datos personales, en cuyo caso se aplicará §4(4) del Acuerdo;

d) de conformidad con el Artículo 28(3)(h) del GDPR, poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del GDPR y permitir al Responsable o a un auditor autorizado por el Responsable realizar y contribuir a auditorías, incluyendo inspecciones;

e) informar inmediatamente al Responsable si, en opinión del Procesador, el encargo emitido le constituye una violación del GDPR u otras regulaciones nacionales o de la UE;

f) garantizar que todos los procesadores que utilice el Procesador estén obligados a cumplir con las mismas obligaciones de protección de datos que el Procesador bajo el Acuerdo.

3. El derecho a auditorías mencionado en el párrafo 2.4 puede ejercerse durante el horario comercial del Procesador, es decir, de lunes a viernes, de 9 a.m. a 5 p.m., excluyendo días festivos, y con un aviso mínimo de dos semanas y no debe interferir con el trabajo del Procesador. Durante la auditoría, el Procesador proporcionará al Responsable la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del GDPR. Las auditorías no se realizarán más de una vez por año calendario y no tomarán más de 3 días hábiles. Todos los costos asociados con la realización de estas auditorías serán asumidos por el Responsable.

4. Si se encuentran deficiencias durante las auditorías, el Procesador acepta corregirlas dentro del plazo acordado por las Partes.

5. El Procesador está autorizado a procesar y encargar el procesamiento de datos personales cubiertos por el Acuerdo para subprocesamiento a entidades externas, fuera del Espacio Económico Europeo (EEE):

a) el Responsable dará su consentimiento por correo electrónico para encargar datos a otras entidades para procesamiento fuera del EEE;

b) en el caso de que el Procesador esté obligado a transferir datos personales bajo leyes generalmente aplicables, el Procesador informará al Responsable de dicha obligación antes de la transferencia, a menos que la ley prohíba expresamente al Procesador hacerlo debido a un interés público importante.

6. Dado que el Procesador transfiere datos personales fuera del EEE, el Procesador cumplirá con los requisitos específicos establecidos en el Capítulo V del Reglamento "Transferencias de Datos Personales a Terceros Países u Organizaciones Internacionales", y en particular, garantizará que la transferencia de datos personales tenga lugar sobre la base de mecanismos legales apropiados, en particular, Decisiones de Ejecución de la Comisión, cláusulas contractuales estándar u otros instrumentos legales similares previstos en el GDPR. La lista de cláusulas estándar utilizadas se adjunta como anexo 1 al Acuerdo.

7. El Responsable se compromete, conforme al Artículo 13(1)(f) del GDPR o al Artículo 14(1)(f) del GDPR, a informar a las personas cuyos datos encargará al Procesador de su intención de transferir sus datos personales fuera del EEE.

8. De conformidad con el Artículo 27(1) del GDPR, el Responsable ha designado un representante en el EEE: Agnieszka Pilarska ([email protected], Reja 12/26, 31-216, Cracovia) El Representante está autorizado por el Procesador para ser contactado – además de o en lugar del Procesador – en particular por autoridades supervisoras e interesados, en particular, respecto a todos los asuntos relacionados con el procesamiento, con el propósito de garantizar el cumplimiento del GDPR.

§6. Reporte de incidentes

1. El Procesador se compromete, al descubrir una violación de protección de datos personales, a reportarla al Responsable sin dilación indebida.

2. La información proporcionada al Responsable incluirá al menos:

a) una descripción de la naturaleza de la violación y, si es posible, una indicación de la categoría y número aproximado de personas cuyos datos fueron violados así como la cantidad/tipo de datos afectados;

b) una descripción de las posibles consecuencias de la violación;

c) una descripción de las medidas aplicadas o propuestas para ser aplicadas por el Procesador para remediar la violación, incluyendo minimizar sus efectos negativos.

§7. Uso de subprocesadores

1. El Responsable consiente, es decir, da su consentimiento general mencionado en el Artículo 28(2) del GDPR, al uso por parte del Procesador de otros procesadores (es decir, subprocesadores).

2. El Procesador se compromete a informar al Responsable sobre cualquier cambio previsto respecto a la adición o reemplazo de subprocesadores, dando así al Responsable la oportunidad de oponerse a dichos cambios. El Procesador proporcionará información sobre el cambio mediante un mensaje enviado al Administrador utilizando correo electrónico.

3. El Responsable se compromete a expresar las objeciones mencionadas en el párrafo 2, bajo pena de nulidad, por escrito o en forma documental dentro de 7 días desde la fecha de recepción de la información sobre los cambios mencionados y proporcionando razones para las mismas. Las partes acuerdan que la falta de objeción dentro de este período se considerará como el consentimiento del Responsable al cambio del subprocesador. El Responsable se compromete a no oponerse a los cambios anteriores sin razones válidas.

4. Si el Responsable se opone a un cambio que involucre la adición o sustitución de subprocesadores de conformidad con los párrafos 2 y 3 anteriores, puede no ser posible procesar los datos para los propósitos para los cuales fueron encargados al Procesador. En tal situación, el Procesador tendrá derecho a rescindir el Acuerdo sin previo aviso, y cualquier responsabilidad del Procesador por incumplimiento o cumplimiento indebido del Acuerdo o del Acuerdo Marco causado por la imposibilidad de procesar los datos para los propósitos para los cuales fueron encargados al Procesador está excluida por las Partes.

§8. Medidas técnicas y organizativas declaradas

1. Conforme al Artículo 28(3)(b) del GDPR, el Procesador se compromete a que cualquier persona que ejecute el Acuerdo en su nombre estará obligada a garantizar la confidencialidad de los datos personales procesados a los que tendrá acceso, y en particular que no transferirá, divulgará ni compartirá dichos datos con personas no autorizadas.

2. Conforme al Artículo 28(3)(c) del GDPR, el Procesador se compromete a aplicar las medidas técnicas y organizativas requeridas bajo el Artículo 32 del GDPR, es decir, en particular, adecuadas al riesgo identificado de violación de los derechos o libertades de los datos personales encargados.

§9. Procedimiento de violación de datos. Intercambio mutuo de información

1. Las Partes acuerdan notificarse inmediatamente entre sí sobre posibles violaciones de protección de datos. En la situación de una violación de datos sospechada, las Partes acuerdan cooperar, de conformidad con las disposiciones del GDPR.

2. Las Partes acuerdan que consultarán sobre la necesidad y contenido de las notificaciones de violación de datos a la autoridad supervisora.

3. Siempre que las Partes se proporcionen entre sí información y declaraciones respecto a los datos procesados bajo el Acuerdo, dicha información y declaraciones se proporcionarán a las direcciones de correo electrónico indicadas a continuación:

a) para el Responsable: [dirección de correo electrónico, número de teléfono];

b) para el Procesador: [email protected].

§10. Responsabilidad

La responsabilidad total del Procesador por incumplimiento o cumplimiento indebido del Acuerdo en cualquier caso está limitada a la mitad de la suma de las tarifas netas pagadas por el Responsable con base en el Acuerdo Marco dentro de los últimos 12 meses, precediendo al evento que da origen a la reclamación en cuestión y solo al valor del daño real, es decir, excluyendo pérdida de ganancias (lucrum cessans). Los límites de la responsabilidad del Procesador indicados en el Acuerdo y el Acuerdo Marco no se suman. En el caso de que se requiera al Procesador incurrir en responsabilidad bajo el Acuerdo, la reclamación en cuestión reducirá el límite de responsabilidad indicado en el Acuerdo Marco.

§11. Disposiciones finales. Terminación del Acuerdo

1. El Acuerdo se celebra por la duración del Acuerdo Marco, es decir, el Acuerdo se termina sin necesidad de declaraciones adicionales, como resultado de la terminación o expiración del Acuerdo Marco.

2. El Acuerdo entra en vigor al ejecutarse el Acuerdo Marco.

3. La enmienda, complemento o terminación del Acuerdo bajo pena de nulidad será por escrito o en forma documental.

4. En una situación donde:

a) El Procesador, a pesar de estar obligado a remediar las deficiencias identificadas durante la auditoría, no las remedie dentro del plazo acordado por las Partes, o procese datos personales de manera inconsistente con el Acuerdo Marco, o

b) El Procesador procese los datos personales encargados en violación del Acuerdo o las leyes aplicables (incluido el GDPR),

El Responsable puede rescindir el Acuerdo con efecto inmediato sin previo aviso tras la expiración sin efecto de un período adicional de tiempo para el cese de violaciones, establecido por el Responsable, y no menos de catorce días desde la fecha de recepción del aviso.

5. El Procesador puede rescindir el Acuerdo con efecto inmediato, sin previo aviso, si se determina que el Responsable procesa los datos encargados al Procesador de una manera que viola §5(1) del Acuerdo, en particular, si procesa los datos encargados al Procesador sin la base legal especificada en el Artículo 6(1) del GDPR.

6. El Anexo 1 al Acuerdo – cláusulas contractuales estándar, es parte integral del Acuerdo.

7. El Acuerdo fue guardado en un medio electrónico almacenado en los servidores del Procesador y enviado a la dirección de correo electrónico proporcionada por el Responsable en forma PDF / El Acuerdo fue firmado en dos ejemplares – uno para cada Parte.