Cláusulas y reglamentos para el procesamiento de datos personales.

Anexo nº 1 a los Términos y Condiciones de BitFactura.es

§1 DEFINICIONES

  1. Los conceptos utilizados en las Cláusulas tienen el siguiente significado:
    1. Datos Personales o Datos: datos personales conforme al artículo 4.1 del RGPD es decir, cualquier información sobre una persona física identificada o identificable confiada al Proveedor de Servicios por el Cliente con el fin de ejecutar el Contrato de Servicios;
    2. Cláusulas: las presentes Cláusulas y reglamentos para el procesamiento de Datos Personales, que rigen la entrega y el procesamiento de Datos Personales por parte del Proveedor de Servicios en relación con la ejecución del Contrato de Servicios;
    3. Términos y Condiciones de Bitfactura.es: los Términos y Condiciones disponibles en: https://bitfactura.es/terminos-de-servicio;
    4. RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27/04/2016, en relación a la protección de las personas físicas en lo que respecta al manejo de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos);
    5. Contrato o Contrato por prestación de servicios: el Contrato de Servicios por medios electrónicos acordado entre el Cliente y el Proveedor de Servicios y en conformidad con lo previsto en los Términos y Condiciones de Bitfactura.es.
  2. Los conceptos en mayúsculas no definidos en el apartado anterior 1 tendrán el significado que se les atribuye en los Términos y Condiciones de Fakturownia.pl.

§2 OBJETO DEL ENCARGO

  1. El Cliente, actuando en conformidad con el artículo 28.3 del RGPD, confía al Proveedor de Servicios el manejo de los Datos Personales,bajo los términos y condiciones y para los fines establecidos en las presentes Cláusulas.
  2. El Cliente declara que tiene autorización para procesar Datos Personales en la medida y con los fines para los que el Proveedor de Servicios los requiera en virtud de las Cláusulas
  3. El Proveedor de Servicios se compromete a procesar los Datos Personales que se le confíen en conformidad a estas cláusulas, , el RGPD y las disposiciones de la legislación de aplicación general que protegen los derechos de los titulares de dichos Datos.

§3 ALCANCE Y FINALIDAD DEL TRATAMIENTO

  1. El alcance de los Datos Personales confiados para su procesamiento incluirá los Datos Personales introducidos por el Cliente en el Portal, cuyo procesamiento por parte del Proveedor de Servicios tiene lugar para los fines y propósitos de la prestación de los Servicios requeridos por el Cliente y contemplados en el párrafo 2.2 de los Términos y Condiciones de Bitfactura.es. El procesamiento de Datos Personales puede incluir, en particular, los Datos Personales de los clientes y contrapartes del Cliente y de sus representantes, así como de los empleados y asociados del Cliente que sean Usuarios del Portal, en la medida en que sean revelados al Proveedor de Servicios a través del Portal, incluyendo, entre otros, en el alcance de:
    1. datos básicos de identificación, tales como: nombre, apellidos, empresa, dirección comercial, dirección residencial, NIF, alcance de la autorización, departamento de la empresa asignado;
    2. datos de contacto, como: dirección de correspondencia, número de teléfono, dirección de correo electrónico, fax;
    3. datos financieros y transaccionales, tales como: número de cuenta bancaria, datos relativos a contratos o transacciones realizadas por el Cliente con sus clientes o contrapartes (alcance de los servicios prestados, datos relativos a liquidaciones financieras);
    4. todos los demás Datos en la medida en que hayan sido introducidos por el Cliente en el Portal y su manejo por parte del Proveedor de Servicios sea necesario para efectos de la ejecución del Contrato de Servicios acordado con el Cliente.
  2. El alcance de los Datos Personales confiados para su manejo es el resultado del rango de los Servicios prestados por el Proveedor de Servicios al Cliente y en acuerdo a la funcionalidad del Plan de Suscripción seleccionado por el Cliente. Para evitar dudas, las Partes confirman que un cambio en el Plan de Suscripción equivale a que el Cliente amplíe o limite el alcance de los Datos Personales confiados con la información resultante de la funcionalidad dada, sujeto a las distintas disposiciones de los Términos y Condiciones de Bitfactura.es. Un cambio en el alcance de los Datos Personales confiados al Proveedor de Servicios no constituirá una modificación de los Términos y Condiciones.
  3. El objetivo del procesamiento y manejo de los Datos Personales por parte del Cliente es permitir a las Partes llevar a cabo el objeto del Contrato de Servicios.
  4. El Proveedor de Servicios estará autorizado a procesar Datos Personales como parte de cualquier actividad de procesamiento mencionada en el artículo 4.2 del RGPD que sea necesaria para la correcta ejecución del Contrato de Servicios en conformidad con el Plan de Suscripción seleccionado por el Cliente.
  5. El procesamiento de Datos Personales por parte del Proveedor de Servicios se llevará a cabo exclusivamente a través de sistemas informáticos y no se realizará utilizando archivos en papel.

§4 DERECHOS Y OBLIGACIONES DE LAS PARTES

  1. El Proveedor de Servicios procesará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, considerándose las presentes Cláusulas como tales instrucciones documentadas. El Proveedor de Servicios también podrá procesar Datos Personales en la medida en que esté obligado a hacerlo en virtud de la legislación de la Unión Europea o de Polonia. El Proveedor de Servicios informará inmediatamente al Cliente si, en su opinión, la instrucción que se le ha dado constituye una infracción del RGPD u otra legislación de protección de datos.
  2. El Cliente deberá contar con un fundamento legal para las operaciones de procesamiento de los Datos Personales que confíe al Proveedor de Servicios para su procesamiento en virtud de las presentes Cláusulas.
  3. El Proveedor de Servicios procesará los Datos Personales durante el período necesario para la ejecución de los Servicios solicitados y para el cumplimiento de todas las obligaciones impuestas por el Cliente en virtud del Contrato. Tras la terminación del contrato, sujeto a las disposiciones contrarias de los Términos y Condiciones de BitFactura.es, el Proveedor de Servicios, sujeto a la decisión del Cliente y a las capacidades técnicas del Proveedor de Servicios, eliminará o devolverá los Datos Personales y cualquier copia existente al cliente, a menos que la legislación de la Unión Europea o la legislación polaca impongan la retención de los Datos.
  4. El Proveedor de Servicios actuará con la debida diligencia en el procesamiento de los Datos Personales confiados. Teniendo en cuenta el estado de la técnica, el coste de la implementación, naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de violación de los derechos o libertades de las personas físicas con diferente probabilidad de ocurrencia y gravedad del riesgo, el Proveedor de Servicios está obligado a implementar medidas técnicas y organizativas adecuadas para garantizar un grado de seguridad correspondiente al riesgo.
  5. El Proveedor de Servicios estará obligado a conceder autorizaciones para el procesamiento de Datos Personales a todas las personas que procesen los Datos Personales confiados para la ejecución del Contrato.
  6. El Proveedor de Servicios se asegurará de que la confidencialidad de los Datos Personales confiados, mencionados en el artículo 2.3.d del RGPD, sea mantenida por las personas autorizadas para procesar Datos Personales, tanto durante su empleo (durante su cooperación con el Proveedor de Servicios) como después de su terminación (después del final de su cooperación).
  7. El Proveedor de Servicios, teniendo en cuenta la naturaleza del procesamiento, ayudará al Cliente, en la medida de lo posible, mediante las medidas técnicas y organizativas adecuadas, a cumplir con la obligación de responder a las solicitudes del Titular de los Datos Personales en relación con el ejercicio de sus derechos establecidos en el Capítulo III del RGPD, así como con las obligaciones establecidas en los artículos 32 a 36 del RGPD.
  8. El Proveedor de Servicios, al descubrir algún tipo de violación en la protección de Datos Personales, está obligado a informar al Cliente sin demora indebida. La notificación de dicha violación se realizará a la dirección de correo electrónico del Cliente, correspondiente a su nombre de usuario en el Portal, o a la dirección de correo electrónico utilizada para contactar al Cliente, asignada a su cuenta en el Portal. La notificación de dicha violación deberá contener como mínimo la información indicada en el artículo 33.3 del RGPD.
  9. El Proveedor de Servicios pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD.

§5 NORMAS DE SUBCONTRATACIÓN

  1. El Cliente se declara de acuerdo con subcontratar el procesamiento de los Datos Personales a los subcontratistas del Proveedor de Servicios, indicados en el Anexo 1 de las Cláusulas. La modificación del Anexo nº 1 constituye una modificación de las Cláusulas y se realiza de acuerdo con lo establecido en los Términos y Condiciones de Fakturownia.pl.
  2. Cuando se confían Datos Personales a un subcontratista, se imponen al subcontratista las mismas obligaciones para la protección de Datos Personales que en las Cláusulas establecidas, en particular la obligación de proporcionar garantías suficientes de implementación de medidas técnicas y organizativas adecuadas para que el procesamiento de los Datos cumpla con los requisitos del RGPD. Si un subcontratista al que el Proveedor de Servicios ha subcontratado el manejo de Datos Personales incumple sus obligaciones en materia de protección de Datos, la plena responsabilidad frente al Cliente por el cumplimiento de las obligaciones del subcontratista recae en el Proveedor de Servicios.
  3. El Proveedor de Servicios podrá transferir Datos Personales a un tercer país fuera del Espacio Económico Europeo siempre que se cumplan los requisitos mencionados en el Capítulo V del RGPD (artículos 44-50).

§6 DERECHO DE INSPECCIÓN

  1. El Proveedor de Servicios permitirá y contribuirá a las inspecciones llevadas a cabo por el Cliente o una persona autorizada por el Cliente. Las inspecciones no podrán realizarse más de una vez por año natural y no podrán durar más de un Día Hábil cada una.
  2. Cada Parte correrá con sus propios gastos en relación con las inspecciones.
  3. El auditor del Cliente no podrá ser una entidad que compita con el Proveedor de Servicios o una entidad asociada con la misma, o su empleado o una entidad/persona que coopere con ella, independientemente de la base de empleo o cooperación.
  4. El Cliente está obligado a informar al Proveedor de Servicios sobre la inspección prevista con al menos 30 días de antelación. El Proveedor de Servicios tiene derecho a negarse a realizar la inspección en la fecha indicada por el Cliente si existe una alta probabilidad de que la realización de la inspección en esta fecha perturbe el desarrollo de la actividad del Proveedor de Servicios. En este caso, el Proveedor de Servicios propondrá otra fecha para la inspección, a más tardar 5 Días Hábiles después de la fecha indicada por el Cliente. Las personas que participen en la inspección deberán firmar un acuerdo de confidencialidad o una declaración de confidencialidad, según indique el Proveedor de Servicios, antes de proceder a la inspección.
  5. El Cliente solo ejercerá el derecho de inspección en Días Hábiles, en formato remoto, durante el horario laboral del Proveedor de Servicios (de 9:00 a 17:00 horas) y de la forma menos perturbadora posible. Durante la inspección, el Cliente y su auditor están obligados a cumplir los procedimientos y políticas internas del Proveedor de Servicios o del subcontratista del Proveedor de Servicios en materia de seguridad y confidencialidad.
  6. Con el fin de llevar a cabo la inspección, el Proveedor de Servicios permitirá y contribuirá a las actividades de inspección en la medida en que estas estén directamente relacionadas con la ejecución del Contrato, en particular, proporcionando al Cliente explicaciones escritas u orales sobre el procesamiento de los Datos Personales confiados, con la exclusión de información o actividades que impliquen secretos comerciales del Proveedor de Servicios. La inspección no puede implicar información o documentos relativos a otros Clientes del Proveedor de Servicios, ni tener como objetivo o resultado que el Cliente obtenga acceso a datos personales distintos de los Datos Personales de dicho Cliente o a datos confidenciales del Proveedor de Servicios o de otras entidades.
  7. La inspección realizada concluirá con la elaboración de un informe en el que se presentarán los resultados de la inspección. En caso de que el informe muestre deficiencias relacionadas con infracciones de las Cláusulas, el Cliente tendrá derecho a presentar por escrito al Proveedor de Servicios recomendaciones posteriores a la inspección, junto con un plazo para su implementación, que deberá ser adecuado y no inferior a 30 días hábiles. Las recomendaciones posteriores a la inspección no deberán exceder los requisitos derivados de las presentes Cláusulas o de las leyes de aplicación general, incluido el RGPD, y deberán ser objetivamente razonables y factibles de implementar sin modificar la organización ni afectar la continuidad de la actividad del Proveedor de Servicios o de sus subcontratistas.

§7 ESTIPULACIONES FINALES

  1. El Proveedor de Servicios será responsable del incumplimiento o cumplimiento indebido de las disposiciones de las Cláusulas según los principios establecidos en los Términos y Condiciones de Bitfactura.es. La responsabilidad del Proveedor de Servicios por la implementación de las instrucciones del Cliente y las recomendaciones posteriores a la inspección que sean incompatibles con el RGPD u otras disposiciones de ley de aplicación general queda excluida.
  2. Las disposiciones de las presentes Cláusulas constituyen la totalidad de las obligaciones y condiciones para el procesamiento de los Datos Personales en el marco de ejecución del Contrato de Servicios. Tras la entrada en vigor de las presentes Cláusulas, sus disposiciones sustituirán todos los acuerdos anteriores de las Partes relacionados al procesamiento de Datos Personales, salvo que las Partes acuerden otra cosa.
  3. En los asuntos no cubiertos por estas Cláusulas, se aplicarán las disposiciones pertinentes de los Términos y Condiciones de Bitfactura.es.
  4. En caso de discrepancias entre las disposiciones de las Cláusulas y los Términos y Condiciones de BitFactura.es, serán aplicadas las disposiciones de las presentes Cláusulas.
  5. Estas Cláusulas constituyen otro instrumento jurídico en el sentido del artículo 28.3 de RGPD.

Anexo nº 1 – Listado de subcontratistas

Proveedor de solución Dirección
Sendgrid (Twilio) 1801 California Street Suite 500 Boulder, CO 80202 Estados Unidos
Getresponse Al. Grunwaldzka 413, 80-309 Gdańsk, Polonia
Eskom IT Sp. z o.o. ul. Puławska 543, 02-844 Varsovia, Polonia
Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043
Mouseflow Mouseflow, Inc. 501 Congress Ave Suite 150 Austin, TX 78701 Estados Unidos

Flaesketorvet 68 1711 Copenhagen V, Dinamarca
Radgost sp. z o.o. Sociedad vinculada con el Operador del Portal, con domicilio social en Varsovia, ul. Smulikowskiego 6/8, 00-389 Varsovia, Polonia
Sugester sp. z o.o. Sociedad vinculada con el Operador del Portal, con domicilio social en Varsovia, ul. Smulikowskiego 6/8, 00-389 Varsovia, Polonia
Intum sp. z o.o. Sociedad vinculada con el Operador del Portal, con domicilio social en Varsovia, ul. Smulikowskiego 6/8, 00-389 Varsovia, Polonia
Księgosoft sp. z o.o. Sociedad vinculada con el Operador del Portal, con domicilio social en Varsovia, ul. Smulikowskiego 6/8, 00-389 Varsovia, Polonia