Este Apéndice de Procesamiento de Datos, introducido por Skyfii ("Procesador de Datos") y el Cliente ("Controlador de Datos"), cumple con los requisitos del Reglamento General de Protección de Datos (EU) 2016/679 ("GDPR"), en vigor desde el 25 de mayo de 2018.
Este Apéndice de Procesamiento de Datos ("DPA"), incluyendo las Cláusulas Contractuales Estándar, complementa el Acuerdo de Cliente de Skyfii (definido a continuación) cuando el GDPR se aplica a su uso de los Servicios de Skyfii para procesar Datos Personales. Esta DPA es un acuerdo entre usted y la entidad que representa ("Cliente", "usted" o "su"). y Skyfii Group Pty Ltd (ACN 165 152 241) y sus filiales ("Skyfii", "nosotros" o "nos") o un revendedor de los Servicios (según corresponda), y refleja el acuerdo de las partes con respecto a los términos que rigen el Tratamiento de Datos Personales en virtud del Acuerdo de Cliente de Skyfii. En la presente DPA, una referencia al Acuerdo de Cliente de Skyfii es una referencia a uno de los siguientes:
- Contrato de Servicio Maestro de Skyfii (MSA);
- Acuerdo de servicios de Skyfii;
- Acuerdo de revendedor de Skyfii;
- Términos de la licencia de cliente de Skyfii - www.skyfii.io/customer-termso
- Cualquier otro acuerdo entre el Cliente y Skyfii que regule el uso de los Servicios Skyfii por parte del Cliente,
cada uno de ellos un "Acuerdo con el Cliente de Skyfii" y denominado genéricamente en la presente DPA como el "Acuerdo".
ESTE DPA INCLUYE:
- Lista de Sub-Procesadores, adjunta como Anexo 1.
- Cláusulas contractuales tipo, que se adjuntan como Anexo 2.
- el apéndice 1 de las cláusulas contractuales tipo, que incluye detalles sobre los datos personales transferidos por el exportador de datos al importador de datos.
- el apéndice 2 de las cláusulas contractuales tipo, que incluye una descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos a las que se hace referencia.
1. Definiciones
"Responsable" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, por sí sola o conjuntamente con otros, determina los fines y medios del Tratamiento de Datos Personales y en esta DPA el Cliente (según se define en el Acuerdo) es el Responsable.
"Ley de Protección de Datos" significa toda la legislación aplicable relativa a la protección de datos y la privacidad, incluyendo sin limitación el GDPR, junto con cualquier ley nacional de aplicación en cualquier Estado miembro de la Unión Europea o, en la medida de lo posible, en cualquier otro país, según sea enmendado, derogado, consolidado o reemplazado de vez en cuando.
Por"Sujeto de los datos" se entiende la persona natural y viva a la que se refieren los Datos Personales.
"Documentación" significa el registro de instrucciones, incluyendo todas las especificaciones, colocadas por o en nombre del Cliente para los Servicios sujetos al Contrato.
"Usuarios finales" se refiere a los visitantes de los Lugares cuyos dispositivos móviles son detectados por WiFi y cuyos dispositivos detallados son registrados y monitoreados por Skyfii; y a las personas que se registran para utilizar los servicios de WiFi para huéspedes proporcionados por el Cliente en sus instalaciones, lugares y ubicaciones.
Por"GDPR" se entenderá el Reglamento general de protección de datos (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Por"instrucción" se entiende la instrucción escrita y documentada, emitida por el responsable del tratamiento al encargado del tratamiento, por la que se le ordena realizar una acción específica con respecto a los datos personales (incluida, entre otras cosas, la despersonalización, el bloqueo, la supresión y la puesta a disposición).
"Datos personales" se refiere a cualquier información relativa a una persona física identificada o identificable cuando dicha información esté contenida en los datos del cliente y esté protegida de forma similar como datos personales o información personal identificable en virtud de la Ley de protección de datos aplicable.
"Violación de Datos Personales" significa una violación de la seguridad que lleva a la destrucción accidental o ilegal, pérdida, alteración, revelación o acceso no autorizado a los Datos Personales transmitidos, almacenados o procesados de otro modo.
"Plataforma" significa la plataforma tecnológica desarrollada y operada por Skyfii y utilizada por los Clientes con fines de análisis de la ubicación de los visitantes, para recoger información de los Usuarios Finales e interactuar con los Usuarios Finales.
"Tratamiento" significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales, que abarque la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción o supresión de Datos Personales. Los términos "proceso", "procesos" y "procesado" se interpretarán en consecuencia.
"Responsable del tratamiento": toda persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento. En la presente DPA, Skyfii (tal como se define en el Acuerdo) es el procesador.
"Servicios" se refiere a los servicios que Skyfii debe prestar al Cliente según lo establecido en el Contrato.
"Cláusulas contractuales tipo": las cláusulas que se adjuntan como anexo 2 de conformidad con la Decisión de la Comisión Europea (C(2010)593), de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.
"Lugares" se refiere a las instalaciones del Cliente, los lugares y las ubicaciones en las que se ofrecen servicios WiFi a las personas que utilizan la Plataforma.
"Servicio WiFi" significa el acceso inalámbrico a Internet ofrecido por el Cliente en un Recinto Ferial utilizando su red inalámbrica junto con la Plataforma.
2. Detalles del tratamiento
2.1. |
Categorías de temas de datos: Las categorías de Sujetos de Datos cuyos Datos Personales serán tratados cubren:
|
2.2. |
Categorías de datos personales: Categorías de datos personales que están siendo procesados por Skyfii cubre:
|
2.3. |
Naturaleza y finalidad del tratamiento: Skyfii procesará los Datos Personales con el fin de proporcionar los Servicios al Cliente. |
2.4. |
Duración del tratamiento: Skyfii procesará los Datos Personales hasta que el Servicio sea cancelado por el Cliente. |
3. Responsabilidad del cliente
3.1. |
Las partes reconocen y aceptan que el Cliente es el Responsable del tratamiento de los Datos Personales y Skyfii es el Responsable del tratamiento de dichos datos. En lo que respecta a la utilización de los Servicios, el Responsable será el único responsable del cumplimiento de los requisitos legales relativos a la protección de datos y a la privacidad, en particular en lo que se refiere a la divulgación y transferencia de Datos Personales al Responsable y al Tratamiento de Datos Personales. |
3.2. |
Para evitar dudas, las instrucciones del responsable del tratamiento para el tratamiento de datos personales se ajustarán a la Ley de Protección de Datos. Esta DPA es la instrucción completa y final del Cliente a Skyfii en relación con los Datos Personales y que las instrucciones adicionales fuera del alcance de DPA requerirían un acuerdo previo por escrito entre las partes. Las instrucciones se especificarán inicialmente en el Acuerdo y, posteriormente, podrán ser modificadas, ampliadas o sustituidas por el responsable del tratamiento en instrucciones escritas separadas (en forma de instrucciones individuales). |
3.3. |
El responsable del tratamiento informará al responsable del tratamiento, sin demoras indebidas y de forma exhaustiva, de cualquier error o irregularidad relacionados con las disposiciones legales sobre el tratamiento de datos personales. |
4. Obligaciones del procesador
4.1. |
Cumplimiento de las instrucciones: El procesador recogerá, procesará y utilizará los datos personales únicamente dentro del alcance de las instrucciones del controlador. Si el responsable del tratamiento considera que una instrucción del responsable del tratamiento infringe la Ley de protección de datos, informará inmediatamente al responsable del tratamiento sin demora. Si el Procesador no puede procesar los Datos Personales de acuerdo con las Instrucciones debido a un requisito legal en virtud de cualquier ley aplicable de la Unión Europea o de un Estado Miembro, el Procesador (i) notificará inmediatamente al Responsable de dicho requisito legal antes del Procesamiento correspondiente en la medida en que lo permita la Ley de Protección de Datos; y (ii) cesará todo Procesamiento (que no sea el mero almacenamiento y mantenimiento de la seguridad de los Datos Personales afectados) hasta el momento en que el Responsable de la Ficha emita nuevas instrucciones que el Procesador sea capaz de cumplir. Si se invoca esta disposición, el Procesador no será responsable ante el Contralor en virtud del Contrato por cualquier incumplimiento de los servicios aplicables hasta que el Contralor emita nuevas instrucciones con respecto al Procesamiento. |
4.2. |
Seguridad: El procesador tomará las medidas técnicas y organizativas adecuadas para proteger adecuadamente los datos personales contra la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados a los datos personales, descritos en el apéndice 2 de las cláusulas contractuales tipo. Tales medidas incluyen, pero no se limitan a:
El Procesador facilitará al Controlador el cumplimiento de su obligación de implementar medidas de seguridad con respecto a los Datos Personales (incluyendo, si procede, las obligaciones del Controlador de conformidad con los Artículos 32 a 34 (inclusive) del GDPR), mediante (i) la implementación y mantenimiento de las medidas de seguridad descritas en el Apéndice 2, (ii) el cumplimiento de los términos de la Sección 4.4 (Violaciones de Datos Personales); y (iii) el suministro de información al Controlador en relación con el Tratamiento de acuerdo con la Sección 5 (Auditorías). |
4.3. |
Confidencialidad: El Procesador se asegurará de que todo el personal al que el Procesador autorice a procesar Datos Personales en su nombre esté sujeto a obligaciones de confidencialidad con respecto a dichos Datos Personales. El compromiso de confidencialidad se mantendrá tras la finalización de las actividades anteriormente mencionadas. |
4.4. |
Violaciones de datos personales: El Procesador notificará al Controlador tan pronto como sea posible después de que tenga conocimiento de cualquier violación de los Datos Personales que afecte a los Datos Personales. A petición del responsable del tratamiento, el responsable del tratamiento proporcionará inmediatamente al responsable del tratamiento toda la asistencia razonable necesaria para que pueda notificar las violaciones de datos personales pertinentes a las autoridades competentes y/o a las personas afectadas, si el responsable del tratamiento está obligado a hacerlo en virtud de la Ley de protección de datos. |
4.5. |
Solicitudes de sujetos de datos: El Responsable del tratamiento prestará una asistencia razonable, incluso mediante las medidas técnicas y organizativas adecuadas y teniendo en cuenta la naturaleza del tratamiento, para que el Responsable pueda responder a cualquier solicitud de los interesados que deseen ejercer sus derechos en virtud de la Ley de protección de datos con respecto a los datos personales (incluido el acceso, la rectificación, la restricción, la supresión o la conservación de los datos personales, según proceda), en la medida en que lo permita la ley. Si dicha solicitud se hace directamente al Procesador, el Procesador informará de inmediato al Controlador y aconsejará a los Sujetos de Datos que presenten su solicitud al Controlador. El responsable del tratamiento será el único responsable de responder a las solicitudes de los interesados. El responsable del tratamiento reembolsará al transformador los costes derivados de esta ayuda. |
4.6. |
Subprocesadores: El transformador sólo tendrá derecho a contratar a los subencargados para que cumplan las obligaciones del transformador definidas en el Acuerdo con el consentimiento escrito del responsable del tratamiento. A estos efectos, el Contralor consiente la contratación como Subprocesadores de las empresas filiales del Procesador y de los terceros enumerados en el Anexo 1. Para evitar dudas, la autorización anterior constituye el consentimiento previo por escrito del responsable del tratamiento para el subtratamiento por parte del transformador a efectos de la cláusula 11 de las cláusulas contractuales tipo. Si el Procesador tiene la intención de dar instrucciones a Subprocesadores que no sean las empresas enumeradas en el Anexo 1, el Procesador notificará al Controlador por escrito (mediante notificación in-app en el portal web de Skyfii IO) y dará al Controlador la oportunidad de oponerse a la contratación de los nuevos Subprocesadores dentro de los 30 días siguientes a la notificación. La objeción debe basarse en motivos razonables (por ejemplo, si el responsable del tratamiento demuestra que existen riesgos significativos para la protección de sus datos personales en el subencargado del tratamiento). Si el Procesador y el Controlador no pueden resolver dicha objeción, cualquiera de las partes puede terminar el Contrato mediante notificación por escrito a la otra parte. El controlador recibirá un reembolso de cualquier tarifa prepagada pero no utilizada durante el período posterior a la fecha efectiva de terminación. Cuando el Procesador contraiga Subprocesadores, el Procesador celebrará un contrato con el Subprocesador que imponga al Subprocesador las mismas obligaciones que se aplican al Procesador bajo este DPA. Cuando el Subencargado del tratamiento incumpla sus obligaciones en materia de protección de datos, el encargado del tratamiento seguirá siendo responsable ante el responsable del tratamiento del cumplimiento de dichas obligaciones de los Subencargados del tratamiento. Cuando se contrate a un subencargado del tratamiento, el responsable del tratamiento tendrá derecho a supervisar e inspeccionar las actividades del subencargado del tratamiento de conformidad con la presente DPA y la Ley de protección de datos, incluida la obtención de información del encargado del tratamiento, previa solicitud por escrito, sobre el contenido del contrato y el cumplimiento de las obligaciones de protección de datos con arreglo al contrato de subencargado del tratamiento, inspeccionando, en su caso, los documentos contractuales pertinentes. Las disposiciones de la presente Sección 4.6 se aplicarán mutuamente si el Responsable del tratamiento contrata a un Subencargado del tratamiento en un país fuera del Espacio Económico Europeo ("EEE") no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales. Si, en cumplimiento de la presente DPA, Skyfii transfiere cualquier dato personal a un subencargado del tratamiento situado fuera del EEE, Skyfii garantizará, antes de dicha transferencia, la existencia de un mecanismo legal para lograr la adecuación con respecto a dicho tratamiento. |
4.7. |
Transferencias de datos: El controlador reconoce y acepta que, en relación con la prestación de los servicios en virtud del Acuerdo, los Datos Personales serán transferidos a Skyfii Group Pty Ltd (ACN 165 152 241) y a otras filiales en Australia. Las cláusulas contractuales estándar del Anexo 2 se aplicarán con respecto a los datos personales que se transfieran fuera del EEE, ya sea directamente o a través de una transferencia posterior, a Australia y a cualquier país que no esté reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales (como se describe en la Ley de Protección de Datos). |
4.8. |
Borrado o recuperación de datos personales: Salvo en la medida en que sea necesario para cumplir con la Ley de Protección de Datos, tras la terminación o expiración del Acuerdo, el Procesador eliminará todos los Datos Personales (incluidas las copias de los mismos) procesados de conformidad con la presente DPA. Si el Procesador no puede eliminar los Datos Personales por razones técnicas o de otro tipo, el Procesador aplicará medidas para asegurar que los Datos Personales queden bloqueados de cualquier otro Procesamiento. El responsable del tratamiento estipulará, en caso de rescisión o expiración del contrato y mediante la emisión de una instrucción, las medidas razonables para devolver o eliminar los datos almacenados dentro del plazo fijado por el procesador. Cualquier coste adicional que surja en relación con la devolución o eliminación de datos personales tras la rescisión o expiración del Contrato será sufragado por el responsable del tratamiento. |
5. Auditorías
5.1. |
El responsable del tratamiento podrá, antes del inicio de la transformación y posteriormente a intervalos regulares, auditar las medidas técnicas y organizativas adoptadas por el transformador. A tal efecto, el responsable del tratamiento podrá:
|
5.2. |
El Procesador, previa solicitud por escrito del Controlador y dentro de un plazo razonable, proporcionará al Controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté bajo su control y el Procesador no esté impedido de divulgarla por la ley aplicable, por un deber de confidencialidad o por cualquier otra obligación que tenga con un tercero. |
6. 1. Disposiciones generales
En caso de conflicto, este Acuerdo de Paz de Darfur tendrá prioridad sobre las normas del Acuerdo. Cuando las disposiciones individuales de la presente DPA sean inválidas o inaplicables, la validez y aplicabilidad de las demás disposiciones de la presente DPA no se verán afectadas.
Tras la incorporación de la presente DPA al Acuerdo, las partes indicadas en la Sección 7 siguiente (Partes en la presente DPA) acuerdan las cláusulas contractuales tipo (en su caso) y todos los apéndices adjuntos a la misma. En caso de conflicto o inconsistencia entre esta DPA y las Cláusulas Contractuales Estándar del Anexo 2, prevalecerán las Cláusulas Contractuales Estándar.
7. Partes en el presente Acuerdo de Paz de Darfur
El presente Acuerdo de Paz de Darfur es una modificación del Acuerdo y forma parte del mismo. Tras la incorporación de la presente DPA al Acuerdo, el Contralor y Skyfii Group Pty Ltd (ACN 165 152 241) son parte de la presente DPA.
La persona jurídica que acepte este Acuerdo de Paz de Darfur como Contralor declara que está autorizada a aceptarlo y a concertarlo, y que está de acuerdo con él únicamente en nombre del Contralor.
EXPOSICIÓN 1
Los sub-procesadores de Skyfii están listados en:
EXPOSICIÓN 2
Cláusulas contractuales estándar (procesadores)
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE, para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos,
El Cliente, tal y como se define en el Acuerdo de Cliente de Skyfii (el "exportador de datos")
Y
Skyfii Group Pty Ltd (ACN 165 152 241), Level 2, 100 William Street, Woolloomooloo, SYDNEY NSW 2011, AUSTRALIA (el "importador de datos"),
cada uno una'parte'; juntos 'las partes',
HAN CONVENIDO en las siguientes cláusulas contractuales (en lo sucesivo denominadas "las cláusulas") con el fin de ofrecer garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el apéndice 1.
Cláusula 1
Definiciones
A los efectos de las cláusulas:
- Por "datos personales", "categorías especiales de datos", "tratamiento/tratamiento", "responsable del tratamiento", "encargado del tratamiento", "encargado del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control" se entenderá el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
- el exportador de datos": el responsable del tratamiento que transfiere los datos personales;
- importador de datos": el encargado del tratamiento que acepte recibir del exportador de datos datos datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y con lo dispuesto en las cláusulas, y que no esté sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
- el subencargado del tratamiento": todo encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento de datos personales destinados exclusivamente a actividades de tratamiento que deban llevarse a cabo en nombre del exportador de datos después de la transferencia, de conformidad con sus instrucciones, con las cláusulas de las cláusulas y con las condiciones del subcontrato escrito;
- la legislación aplicable en materia de protección de datos": la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad en relación con el tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que esté establecido el exportador de datos;
- medidas de seguridad técnicas y organizativas": las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el apéndice 1, que forma parte integrante de las cláusulas.
Cláusula 3
Cláusula de tercero beneficiario
- El interesado podrá hacer cumplir al exportador de datos la presente cláusula, la cláusula 4, letras b) a i), la cláusula 5, letras a) a e) y g) a j), la cláusula 6, apartados 1 y 2, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en su calidad de tercero beneficiario.
- El interesado podrá hacer cumplir al importador de datos la presente cláusula, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que la entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, de resultas de lo cual asumirá los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlas cumplir frente a dicha entidad.
- El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o se hayan declarado insolventes, a menos que la entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley como consecuencia de las cuales asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. Esta responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.
- Las partes no se oponen a que un interesado esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
- que el tratamiento, incluida la transferencia propiamente dicha, de los datos personales se ha llevado a cabo y seguirá llevándose a cabo de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades pertinentes del Estado miembro en el que esté establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
- que haya dado instrucciones y durante toda la duración de los servicios de tratamiento de datos personales dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y las cláusulas;
- que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;
- que, una vez evaluados los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento, y que estas medidas garantizan un nivel de seguridad adecuado a los riesgos que entraña el tratamiento y a la naturaleza de los datos que deben protegerse, teniendo en cuenta el estado actual de la técnica y el coste de su aplicación;
- que garantizará el cumplimiento de las medidas de seguridad;
- que, si la transferencia implica categorías especiales de datos, el interesado ha sido informado o será informado, antes o lo antes posible después de la transferencia, de que sus datos podrían transmitirse a un tercer país que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;
- remitir cualquier notificación recibida del importador de datos o de cualquier subencargado del tratamiento con arreglo a la letra b) de la cláusula 5 y al apartado 3 de la cláusula 8 a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
- poner a disposición de los interesados, previa solicitud, una copia de las cláusulas, con excepción del apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de todo contrato de servicios de subprocesamiento que deba celebrarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
- que, en caso de subprocesamiento, la actividad de tratamiento sea llevada a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos con arreglo a las cláusulas; y
- que garantizará el cumplimiento de lo dispuesto en las letras a) a i) de la cláusula 4.
Cláusula 5
Obligaciones del importador de datos
El importador de datos acepta y garantiza:
- tratar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las cláusulas; si no puede garantizar dicho cumplimiento por cualquier motivo, acepta informar rápidamente al exportador de datos de su incapacidad para cumplirlo, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos o a rescindir el contrato;
- que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las cláusulas, notificará inmediatamente el cambio al exportador de datos tan pronto como tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a rescindir el contrato;
- que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 antes del tratamiento de los datos personales transferidos;
-
que notificará de inmediato al exportador de datos:
- cualquier solicitud jurídicamente vinculante de divulgación de datos personales por parte de una autoridad policial, a menos que se prohíba de otro modo, como por ejemplo la prohibición penal de preservar la confidencialidad de una investigación policial;
- cualquier acceso accidental o no autorizado; y
- cualquier solicitud recibida directamente de los interesados sin responder a dicha solicitud, a menos que se le haya autorizado a hacerlo de otro modo;
- responder rápida y adecuadamente a todas las preguntas del exportador de datos relativas al tratamiento de los datos personales objeto de la transferencia y acatar el dictamen de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
- a petición del exportador de datos, someterá sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento contempladas en las cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y que posea las cualificaciones profesionales requeridas, sujetas a un deber de confidencialidad, seleccionadas por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
- poner a disposición del interesado, previa solicitud, una copia de las cláusulas o de cualquier contrato de subtratamiento existente, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en los casos en que el interesado no pueda obtener una copia del exportador de datos;
- que, en caso de subprocesamiento, haya informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;
- que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la cláusula 11;
- enviar sin demora al exportador de datos una copia de cualquier acuerdo de subprocesador que celebre en virtud de las cláusulas.
Cláusula 6
Responsabilidad
- Las partes acuerdan que cualquier interesado que haya sufrido un perjuicio como consecuencia del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tiene derecho a recibir una indemnización del exportador de datos por el perjuicio sufrido.
- 4. Si un interesado no puede presentar una reclamación de indemnización con arreglo al apartado 1 contra el exportador de datos por el incumplimiento por parte del importador de datos o de su subencargado de cualquiera de las obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que el exportador de datos ha desaparecido de hecho, ha dejado de existir legalmente o se ha declarado insolvente, el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que la entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad.
El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades. - 4. Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2 por incumplimiento por parte del subencargado del tratamiento de datos de cualquiera de las obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho, han dejado de existir legalmente o se han declarado insolventes, el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento de datos en relación con sus propias operaciones de tratamiento con arreglo a las cláusulas como si fuera el exportador de datos o el importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador o importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.
Cláusula 7
Mediación y jurisdicción
-
El importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las cláusulas, el importador de datos aceptará la decisión del interesado:
- someter el litigio a mediación por una persona independiente o, en su caso, por la autoridad supervisora;
- someter el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
- Las partes acuerdan que la elección del interesado no afectará a sus derechos sustantivos o procesales a interponer recursos de conformidad con otras disposiciones del Derecho nacional o internacional.
Cláusula 8
Cooperación con las autoridades de supervisión
- El exportador de datos se compromete a depositar una copia del presente contrato ante la autoridad supervisora si así lo solicita o si dicho depósito es exigido por la legislación aplicable en materia de protección de datos.
- Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos y de cualquier subencargado del tratamiento, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos con arreglo a la legislación aplicable en materia de protección de datos.
- 3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado de impedir la realización de una auditoría del importador de datos, o de cualquier subencargado de tratamiento, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9
Ley aplicable
Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar las cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones comerciales cuando sea necesario, siempre que no contradigan la cláusula.
Cláusula 11
Subprocesamiento
- El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos con arreglo a las cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, sólo lo hará mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que las que se imponen al importador de datos con arreglo a las cláusulas. Si el subencargado del tratamiento incumple sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.
- El contrato escrito previo entre el importador de datos y el subencargado del tratamiento incluirá también una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda presentar la reclamación de indemnización mencionada en el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber desaparecido de hecho o haber dejado de existir legalmente o haberse declarado insolvente, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Esta responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.
- 2. Las disposiciones relativas a los aspectos de protección de datos para el tratamiento parcial del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
- El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud de las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Cláusula 12
Obligación tras la terminación de los servicios de tratamiento de datos personales
- Las partes acuerdan que, al finalizar la prestación de servicios de tratamiento de datos, el importador y el subencargado del tratamiento, a elección del exportador de datos, devolverán todos los datos personales transferidos y sus copias al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente los datos personales transferidos.
- 2. El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos o de la autoridad de control, someterá sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.
APÉNDICE 1 DE LAS CLÁUSULAS CONTRACTUALES TIPO
Este apéndice forma parte de las cláusulas. Los Estados miembros podrán completar o especificar, con arreglo a sus procedimientos nacionales, cualquier información adicional necesaria que deba figurar en el presente apéndice.
Exportador de datos
El exportador de datos es el Cliente, tal y como se define en los Contratos de Clientes de Skyfii.
Importador de datos
El importador de datos es Skyfii Group Pty Ltd, un proveedor global de análisis de localización de visitantes inalámbricos, acceso de invitados WiFi y software de marketing para clientes.
Sujetos de los datos
Las categorías de interesados establecidas en la sección 2 del acuerdo de tratamiento de datos a las que se adjuntan las cláusulas.
Categorías de datos
Categorías de datos personales establecidas en la sección 2 del Acuerdo sobre tratamiento de datos a las que se adjuntan las cláusulas.
Categorías especiales de datos (si procede)
Las partes no prevén la transferencia de categorías especiales de datos.
Operaciones de tratamiento
Las actividades de tratamiento establecidas en la sección 2 del Contrato de tratamiento de datos al que se adjuntan las cláusulas.
APÉNDICE 2 DE LAS CLÁUSULAS CONTRACTUALES TIPO
Este apéndice forma parte de las cláusulas.
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con la letra d) del punto 4 y la letra c) del punto 5 (o documento/legislación adjunto):
Skyfii observa actualmente las prácticas de seguridad descritas en el presente apéndice 2 de las cláusulas. A pesar de cualquier disposición en contrario acordada por el exportador de datos, Skyfii podrá modificar o actualizar estas prácticas a su discreción, siempre que dicha modificación y actualización no dé lugar a una degradación material de la protección ofrecida por estas prácticas.