Contrato de Tratamiento de Datos
Versión: 2022
Partes:
- La sociedad de responsabilidad limitada Payt B.V., en lo sucesivo denominada “Encargado”;
y
- El cliente de Payt B.V., en lo sucesivo denominado “Responsable”;
En lo sucesivo se denominarán colectivamente “Partes” e individualmente “Parte”.
Considerando que:
- el Encargado ha desarrollado una plataforma en línea para la gestión de cuentas por cobrar y servicios de cobro de deudas;
- el Responsable usa o desea usar los servicios del Encargado;
- dicho uso tiene como resultado que el Encargado trate o vaya a tratar Datos Personales en nombre del Responsable;
- el Responsable y el Encargado desean establecer en este Contrato de Tratamiento de Datos los derechos, obligaciones y acuerdos mutuos con respecto al Tratamiento de Datos Personales en el marco de estos servicios.
- los siguientes Anexos forman parte integral de este Contrato de Tratamiento de Datos:
-
- ANEXO 1 Datos Personales; fines, forma y medios de tratamiento; periodos de conservación
- ANEXO 2 Medidas de seguridad
- si alguna disposición de un Anexo es incompatible o entra en conflicto con una disposición del Contrato de Tratamiento de Datos, prevalecerá la disposición del Anexo.
1. Definiciones
-
En este Contrato de Tratamiento de Datos, los siguientes términos, siempre indicados con una letra mayúscula, tanto en singular como en plural, tendrán el siguiente significado:
Interesado: persona física a la que se refieren los datos personales o su representante.
- Encargado del Tratamiento o Encargado: la persona que trata Datos Personales en nombre del Responsable, sin estar sujeta a su autoridad directa. En este Contrato de Tratamiento de Datos, se trata de Payt B.V.
- Anexo: parte del Contrato de Tratamiento de Datos en la que se dan más explicaciones e información sobre una parte o sección específica de los servicios.
- Datos Personales: cualquier dato relativo a una persona física identificada o identificable.
- Responsable del Tratamiento o Responsable: la persona física, jurídica o cualquier otra persona, o el órgano de gobierno, que, por sí solo o junto con otros, determina la finalidad y los medios del Tratamiento de Datos Personales.
- Tratamiento: cualquier acción o conjunto de acciones con respecto a Datos Personales, incluyendo, en todo caso, la recopilación, registro, organización, almacenamiento, actualización, modificación, recuperación, consulta, uso, divulgación por medio de transmisión, difusión o cualquier otra forma de puesta a disposición, agrupación, asociación, así como el bloqueo, eliminación o destrucción de Datos Personales.
2. Duración y terminación
- Este Contrato de Tratamiento de Datos estará vigente mientras el Encargado trate Datos Personales en nombre del Responsable, y no podrá rescindirse prematuramente.
- El Encargado pondrá todos los Datos Personales a disposición del Responsable a primer requerimiento de este, pero a más tardar dentro de los diez días hábiles posteriores a la finalización de este Contrato de Tratamiento de Datos.
- Una vez que finalice este Contrato de Tratamiento de Datos, el Encargado eliminará o destruirá todos los Datos Personales en su poder y cualquier copia de los mismos.
- El Encargado podrá desviarse de lo dispuesto en los dos párrafos anteriores, en la medida en que se aplique un periodo de conservación legal con respecto a los Datos Personales o en la medida en que sea necesario para demostrar el cumplimiento de sus obligaciones ante el Responsable.
3. Objeto
- El Encargado tratará Datos Personales en nombre del Responsable. El Responsable proporcionará Datos Personales al Encargado en relación con los mismos.
- El Responsable ha establecido los fines del Tratamiento de Datos Personales y ha informado al Encargado de dichos fines de tratamiento.
- El Encargado no tratará los Datos Personales para ningún otro fin que no sea los establecido como se describen en el Anexo 1.
- Los Datos Personales que tratará el Encargado en nombre del Responsable, obtenidos de cualquier forma, seguirán siendo propiedad del Responsable o del Interesado en cuestión.
- El Responsable garantizará al Encargado que el contenido, el uso o el tratamiento de los Datos Personales no es ilegal y no infringe ningún derecho de un tercero, que estos Datos Personales se obtienen y se comparten de forma legal y eximirá al Encargado con respecto a cualquier reclamación legal de un tercero, por cualquier motivo, en relación con el tratamiento de estos Datos Personales, a menos que el Responsable demuestre que los hechos en los que se basa la reclamación son atribuibles al Encargado.
4. Ejecución del tratamiento
- El Encargado solo será responsable del tratamiento de Datos Personales que realice en el marco de los servicios ofrecidos bajo las condiciones establecidas en este Contrato de Tratamiento de Datos. El Encargado no será expresamente responsable de otros Tratamientos de Datos Personales, incluida la recopilación de Datos Personales por parte del Responsable o de terceros.
- El Encargado, a menos que haya obtenido un consentimiento expreso previo y por escrito del Responsable y se cumplan los requisitos legales, no tratará Datos Personales en países fuera del Espacio Económico Europeo (“EEE”) que no ofrezcan un nivel de protección adecuado. No se permite la transferencia de Datos Personales a países fuera del EEE que no tengan un nivel de protección adecuado.
- El Encargado almacenará y tratará los Datos Personales relacionados con el Responsable por separado de los Datos Personales que trate para sí mismo o en nombre de terceros.
- El Encargado tratará los Datos Personales de manera adecuada y cuidadosa y de acuerdo con sus obligaciones como Encargado en virtud de la legislación sobre privacidad, como el Reglamento General de Protección de Datos.
- El Responsable facilitará al Encargado los datos necesarios para la ejecución de sus funciones. El Responsable únicamente facilitará los Datos (Personales) que sean necesarios para el ejercicio de las funciones del Encargado y que puedan ser proporcionados por el Responsable para tal fin.
5. Seguridad de los datos personales
- Las Partes acuerdan que el Encargado adoptará las medidas de seguridad técnicas y organizativas apropiadas que, teniendo en cuenta el estado actual de la técnica y los respectivos costes, correspondan a la naturaleza de los Datos Personales que se van a tratar, con el fin de proteger los Datos Personales contra pérdida, acceso no autorizado, corrupción o tratamiento ilícito, así como con el fin de garantizar la disponibilidad (oportuna) de los Datos Personales.
- Las Partes reconocen que los requisitos de seguridad cambian constantemente y que se requiere una seguridad eficaz, una evaluación frecuente y una mejora periódica de las medidas de seguridad obsoletas. Por lo tanto, el Encargado evaluará continuamente las medidas de seguridad para proteger los Datos Personales y, si es necesario, las reforzará, complementará o mejorará para seguir cumpliendo sus obligaciones.
- Además de lo dispuesto en este artículo, el Encargado adoptará las medidas de seguridad que se especifican con más detalle en el Anexo 2.
- El Encargado no garantiza que la seguridad sea efectiva en todas las circunstancias.
6. Control
- El Responsable tendrá derecho a realizar (o encargar) una prueba (de penetración) una vez al año para comprobar los acuerdos en virtud de este Contrato de Tratamiento de Datos. El Responsable podrá llevarla a cabo por sí mismo o encargársela a un censor jurado de cuentas independiente, un informático registrado u otro auditor certificado a tal efecto.
- El Encargado conservará los datos de apoyo necesarios para las pruebas (de penetración) de este artículo, como los registros del sistema.
- Las personas que realicen la prueba se ajustarán a los procedimientos de seguridad vigentes del Encargado.
- El Encargado se compromete a cooperar y a facilitar de manera oportuna toda la información razonablemente relevante para la prueba.
- Los costes de la prueba correrán a cargo del Responsable, a menos que se acuerde lo contrario por escrito.
- El Responsable anunciará una propuesta de prueba por escrito, tras lo cual el Encargado se asegurará de que dicha prueba pueda comenzar en un plazo razonable.
7. Obligación de notificar violaciones de datos y supervisión
- En caso de se produzca una violación de datos personales dentro de la esfera de influencia del Encargado, este informará inmediatamente al Responsable tras haberlo comprobado.
- La obligación de informar incluye, en cualquier caso, notificar que se ha producido una filtración o incidente, así como la (supuesta) causa de la filtración o incidente, la consecuencia conocida o esperada y la solución (propuesta).
- El Responsable, si lo considera necesario, informará a los Interesados y otros terceros, incluida la Autoridad neerlandesa de Protección de Datos, sobre una violación de datos u otros incidentes. El Encargado no estará autorizado a proporcionar información sobre una violación de datos u otros incidentes directamente a los Interesados u otros terceros, salvo en la medida en que el Encargado esté legalmente obligado a hacerlo o haya obtenido el consentimiento del Responsable.
8. Confidencialidad
- Todos los Datos Personales que el Encargado reciba del Responsable u obtenga por sí mismo en el marco de este Contrato de Tratamiento de Datos estarán sujetos a una obligación de confidencialidad hacia terceros.
- El Encargado se asegurará de que su personal esté sujeto a la obligación de confidencialidad recogida en este artículo.
- La obligación de confidencialidad no se aplicará en la medida en que el Responsable haya dado consentimiento expreso para facilitar la información a terceros, si la transmisión de la información a terceros resulta lógicamente necesaria en vista de la naturaleza del mandato y la ejecución de este Contrato de Tratamiento de Datos, o si existe una obligación legal de proporcionar la información a un tercero. En caso de facilitar información a terceros en virtud de una obligación legal, el Encargado informará de ello al Responsable lo antes posible y, en todo caso, con anterioridad a dicha transmisión.
9. Derechos de los Interesados
-
El Encargado cooperará plenamente con el Responsable para, con la aprobación y a instancias de este último:
- Permitir a los Interesados acceder a los Datos Personales que les conciernen en un formato estructurado, habitual y legible por máquina;
- Limitar temporalmente el tratamiento de Datos Personales a su almacenamiento, o al tratamiento que el Interesado consienta, hasta que el Responsable determine que se debe levantar la limitación del tratamiento.
- Eliminar o corregir los Datos Personales de los Interesados;
- Demostrar que los Datos Personales se han eliminado o corregido si son incorrectos (o, en caso de que el Responsable no esté de acuerdo con que los Datos Personales son incorrectos, hacer constar el hecho de que el Interesado considera que sus Datos Personales son incorrectos).
-
Además, a primer requerimiento del Responsable, el Encargado procederá lo antes posible, pero a más tardar en los cinco días hábiles siguientes a la presentación de dicho requerimiento, a:
-
- Proporcionar por escrito toda la información necesaria que el Responsable pueda necesitar;
- Mejorar, complementar, eliminar o proteger los Datos Personales.
-
En la medida de lo posible, el Encargado cooperará plenamente con el Responsable para cumplir sus obligaciones en virtud de la legislación aplicable en materia de tratamiento de Datos Personales.
10. Contratación de un subencargado y datos personales compartidos con este
-
El Encargado tendrá derecho a contratar a terceros para el Tratamiento de los Datos Personales si:
-
el Encargado lo ha anunciado previamente por escrito;
-
el Encargado ha obtenido autorización del Responsable a este respecto, o
-
si la contratación de terceros es lógicamente necesaria en vista de la naturaleza del mandato o la ejecución de este Contrato de Tratamiento de Datos.
El Encargado se asegurará de que el/los tercero/s en cuestión asuma/n al menos las mismas obligaciones que las incluidas para el Encargado en este Contrato de Tratamiento de Datos.
-
Para la correcta ejecución de los servicios, el Encargado contratará a terceros y compartirá los Datos Personales obtenidos en nombre del Responsable con al menos (pero no exclusivamente) los socios que se especifican en el ANEXO 1.
-
Si el tercero que el Encargado desea contratar se encuentra fuera del EEE, el Encargado primero deberá obtener el consentimiento del Responsable antes de contratar a este tercero. Sin perjuicio de lo anterior, el Encargado también se asegurará de que este tercero garantice un nivel adecuado de protección y seguridad de los Datos Personales en virtud del Reglamento General de Protección de Datos.
-
El Encargado será responsable ante el Responsable del/de los terceros que contrate.
-
En caso de que el Responsable solicite al Encargado que comparta Datos Personales con un tercero que aún no aparece en la lista de nombres de partes con las que el Encargado comparte datos, tal y como se menciona en el ANEXO 1, las disposiciones de este artículo no se aplicarán y el Responsable será totalmente responsable de cualquier perjuicio que resulte directa o indirectamente de ello.
-
El Encargado también podrá proporcionar Datos Personales a terceros si este está obligado a proporcionar los datos a un tercero en virtud de una solicitud o una orden autorizada emitida por una agencia gubernamental o judicial o en relación con una obligación legal.
-
11. Periodo de conservación
- Payt se esforzará por conservar la menor cantidad posible de datos que ya no sean relevantes. Al mismo tiempo, los datos históricos ofrecen oportunidades para una mejor comprensión, opciones de financiación y guías de referencia para los informes anuales.
- Dada la naturaleza del servicio, el periodo de conservación comenzará tan pronto como se haya pagado una factura.
- El Encargado mantendrá un periodo de conservación estándar de 25 meses.
- Será posible desviarse de lo anterior a través de la aplicación o del servicio de atención al cliente.
12. Disposiciones finales
- Las modificaciones de este Contrato de Tratamiento de Datos solo serán válidas si se han acordado por escrito entre las Partes.
- Este Contrato de Tratamiento de Datos prevalecerá sobre todos los demás acuerdos formalizados entre el Responsable y el Encargado con respecto al tratamiento de Datos Personales.
- Este Contrato de Tratamiento de Datos se regirá exclusivamente por la ley neerlandesa.
- Las disputas sobre este Contrato de Tratamiento de Datos o en relación con el mismo se someterán exclusivamente al tribunal que tenga jurisdicción en el lugar de establecimiento del Encargado.
ANEXO 1 Datos Personales; fines, forma y medios de tratamiento; periodos de conservación
Datos Personales tratados
Datos sobre deudores del Responsable:
- Nombre, dirección, lugar de residencia, número de teléfono, dirección de correo electrónico, sexo, deudores y datos de facturación.
Categorías de Interesados
- Deudores
Fines, forma y medios de tratamiento
El Encargado tratará los Datos Personales con los siguientes fines:
a) poder pagar los créditos ofrecidos por el Responsable a través del Encargado;
b) establecer un valor de puntuación basado en datos actuales e históricos relacionados con el cobro de deudas, con el que se pueda determinar la probabilidad de recuperabilidad;
c) contribuir a prevenir el exceso de crédito y otras situaciones de endeudamiento problemáticas de los Interesados;
d) poder prestar los servicios según lo acordado entre el Responsable y el Encargado.
Estos Datos Personales se tratarán y se almacenarán en los sistemas de software relevantes del Encargado.
Para la correcta prestación de los servicios, el Encargado contratará a terceros y compartirá los Datos Personales obtenidos en nombre del Responsable con:
- Partes que proporcionan alojamiento y mantenimiento del sitio web, partes cuyas cookies, complementos, aplicaciones u otro software utilizamos en el sitio web, procesadores de correo, agentes judiciales, proveedores de servicios de envío de correo electrónico, SMS y teléfono y bancos u otras instituciones financieras con las que el Encargado colabora en el marco de ofrecer financiación a clientes del Encargado.
En servicedesk@payt.nl se puede solicitar una lista actualizada de los nombres de las partes con las que el Encargado comparte datos, así como una explicación de los datos y la finalidad de compartir dichos datos.
ANEXO 2 Medidas de seguridad
El Encargado adopta, entre otros, medidas de seguridad en los siguientes ámbitos, tal como se establece en su política de seguridad de la información. El Encargado cuenta con la certificación ISO 27001 para su política de seguridad de la información.
- personal seguro;
- gestión de activos;
- seguridad de acceso;
- criptografía;
- seguridad física;
- seguridad de la actividad empresarial;
- seguridad de las comunicaciones;
- adquisición, etc., de sistemas;
- relaciones con los proveedores;
- gestión de incidentes de seguridad de la información;
- aspectos de la gestión de la continuidad del negocio,
- cumplimiento.
Estaremos encantados de poner a su disposición la declaración de aplicabilidad de forma confidencial y previa solicitud.
Payt
KvK: 08155915
BTW: NL817576320B01
HeadquartersWaagstraat 4
9712 JX Groningen
The Netherlands