Naar de hoofdinhoud
Data Processing Agreement (Spain)
Mikkel D. Bertelsen avatar
Geschreven door Mikkel D. Bertelsen
Meer dan een jaar geleden bijgewerkt

Acuerdo de tratamiento de datos


Entre

El responsable del tratamiento de los datos:

Usuario del software de Players 1st según lo especificado en el acuerdo principal entre el responsable del tratamiento de los datos y el encargado del tratamiento de los datos

y

El encargado del tratamiento de los datos

Players 1st

CVR 34694222

Stadion Allé 70

8000 Aarhus C

Dinamarca

1 Índice

2 Fundamentos para el acuerdo de tratamiento de datos

3 Los derechos y obligaciones del responsable del tratamiento de los datos

4 El encargado del tratamiento de los datos actuará de acuerdo con sus instrucciones

5 Confidencialidad

6 Seguridad del tratamiento

7 Utilización de encargados del tratamiento de los datos subcontratados

8 Transferencia de información a terceros países u organizaciones internacionales

9 Ayuda al responsable del tratamiento de los datos

10 Aviso de las violaciones de la seguridad de datos personales

11 Eliminación y devolución de datos

12 Supervisión y auditorías

13 Los acuerdos entre las partes sobre otros asuntos

14 Comienzo y terminación

15 Personas/puntos de contacto con el encargado del tratamiento de los datos

Anexo A Información sobre el tratamiento

Anexo B Condiciones relativas a la utilización por parte del encargado del tratamiento de
los datos de encargados subcontratados y lista de encargados subcontratados
autorizados

B.1 Condiciones relativas a la utilización por parte del encargado del tratamiento de
los datos de encargados subcontratados

B.2 Encargados del tratamiento de los datos subcontratados autorizados

Anexo C Instrucciones relativas al tratamiento de datos personales

C.1 Objeto/instrucciones para el tratamiento

C.2 Seguridad del tratamiento

C.3 Período de conservación/procedimientos de eliminación

C.4 Ubicación del tratamiento

C.5 Instrucciones o autorización para la transferencia de datos personales a
terceros países 19

C.6 Procedimientos para la supervisión por parte del responsable del tratamiento de
los datos de las actividades realizadas en las instalaciones del encargado del
tratamiento

C.7 Procedimientos para la supervisión del tratamiento realizado en las
instalaciones del encargado del tratamiento de los datos subcontratado

Anexo D La gobernanza de las partes en otros asuntos

D.1 Acuerdo principal

D.2 Solicitudes para establecer medidas de seguridad adicionales

2 Fundamentos para el acuerdo de tratamiento de datos

  1. Este acuerdo establece los derechos y obligaciones que se aplican cuando el encargado del tratamiento de los datos trata los datos personales en representación del responsable del tratamiento de los datos.

  2. El acuerdo ha sido preparado a los efectos de garantizar el cumplimiento de las partes del Artículo 28, subsección 3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas físicas en relación con el tratamiento de datos personales y el libre intercambio de dichos datos, y sobre la derogación de la Directiva 95/46/UE (Reglamento general de protección de datos), que establece los requisitos específicos relativos al contenido de un acuerdo de tratamiento de datos.

  3. El tratamiento de los datos personales por parte del encargado del tratamiento de los datos se realizará a los efectos de cumplir el «acuerdo principal» entre las partes, que es el acuerdo que el responsable del tratamiento de los datos ha celebrado con el encargado del tratamiento de los datos u otra entidad deportiva central que represente al responsable del tratamiento de los datos.

  4. El acuerdo de tratamiento de datos y el «acuerdo principal» son mutuamente dependientes entre sí y no se pueden rescindir individualmente. Sin embargo, el acuerdo de tratamiento de datos puede, sin que se produzca la rescisión del «acuerdo principal», sustituirse por otro acuerdo de tratamiento de datos válido.

  5. Este acuerdo de tratamiento de datos prevalecerá sobre cualquier disposición similar existente en otros acuerdos entre las partes, incluido el «acuerdo principal».

  6. En este acuerdo hay cuatro anexos, que constituyen partes integrales del acuerdo de tratamiento de datos.

  7. El contenido del Anexo A del acuerdo de tratamiento de datos contiene información adicional sobre el tratamiento, incluidas la finalidad y la naturaleza del tratamiento, el tipo de datos personales, la categoría de los sujetos de los datos y la duración del tratamiento.

  8. El Anexo B del acuerdo de tratamiento de datos incluye las condiciones del responsable del tratamiento de los datos respecto al encargado del tratamiento que utilice encargados subcontratados, así como una descripción general de los encargados subcontratados aprobados por el responsable del tratamiento de los datos.

  9. El Anexo C del acuerdo de tratamiento de datos incluye instrucciones adicionales sobre el tratamiento que el encargado del tratamiento de los datos llevará a cabo en nombre del responsable del tratamiento de los datos (objeto de tratamiento) y las mínimas medidas de seguridad que deben tomarse, además de contemplar cómo se llevará a cabo la supervisión del encargado del tratamiento y de los encargados subcontratados.

  10. El Anexo D del acuerdo de tratamiento de datos cubre la gobernanza de las partes respecto a aquellas circunstancias que puedan no figurar en el acuerdo de tratamiento de datos o en el «acuerdo principal» entre las partes.

  11. El acuerdo de tratamiento de datos y los anexos asociados serán archivados por ambas partes, también en formato electrónico.

  12. Este acuerdo de tratamiento de datos no eximirá al encargado del tratamiento de los datos de ninguna obligación que surja directamente en virtud del Reglamento general de protección de datos (RGPD) o cualquier otra legislación.

3 Los derechos y obligaciones del responsable del tratamiento de los datos

  1. El responsable del tratamiento de los datos es generalmente quien debe garantizar que el tratamiento de los datos personales se realice dentro de las restricciones que imponen el RGPD y la Ley de Protección de Datos de España.

  2. Por lo tanto, el responsable del tratamiento de los datos tiene el derecho y la obligación de tomar decisiones con respecto a los fines para los cuales se llevará a cabo el tratamiento y las herramientas que se utilizarán.

  3. El responsable del tratamiento de los datos es, entre otras cosas, responsable de garantizar que existe una base legal para el tratamiento que el encargado del tratamiento de los datos debe realizar.

4 El encargado del tratamiento de los datos actuará de acuerdo con sus instrucciones

  1. El encargado del tratamiento de los datos solo tratará los datos personales de acuerdo con las instrucciones por escrito del responsable del tratamiento de los datos, a menos que se requiera lo contrario de acuerdo con la legislación de la UE o la legislación nacional de los Estados miembros en los que tenga su sede el encargado del tratamiento; en tal caso, el encargado del tratamiento de los datos notificará al responsable del tratamiento de los datos dichos requisitos legales antes del tratamiento, a menos que la legislación en cuestión impida dicha notificación por razones de interés social importante; véase el artículo 28, subsección 3, punto a.

  2. El encargado del tratamiento de los datos deberá notificar de inmediato al responsable del tratamiento de los datos si considera que una instrucción contraviene el Reglamento general de protección de datos o las disposiciones en materia de protección de datos previstas en otra legislación de la UE o legislación nacional de los Estados miembros.

5 Confidencialidad

  1. El encargado del tratamiento de los datos garantizará que solo tengan acceso a los datos personales tratados en representación del responsable del tratamiento de los datos aquellas personas autorizadas para hacerlo. Por lo tanto, el acceso a la información será denegado de inmediato en caso de que la autorización sea revocada o venza.

  2. Solo se dará dicha autorización a las personas que necesiten acceder a los datos personales para cumplir con las obligaciones del encargado del tratamiento de los datos para con el responsable del tratamiento de los datos.

  3. El encargado del tratamiento de los datos garantizará que las personas autorizadas para tratar los datos personales en representación del responsable del tratamiento de los datos hayan aceptado respetar su confidencialidad o estén sujetas a los requisitos legales de no divulgación pertinentes.

  4. El encargado del tratamiento de los datos, a petición del responsable del tratamiento de los datos, deberá poder demostrar que los empleados correspondientes están sujetos a la disposición en materia de confidencialidad antes mencionada.

6 Seguridad del tratamiento

  1. El encargado del tratamiento de los datos aplicará todas las medidas necesarias en relación con el artículo 32 del Reglamento general de protección de datos, que, entre otras cosas, establece que, después de tener en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y propósito del tratamiento, así como el riesgo de que varíen la probabilidad y la gravedad de los derechos y libertades de las personas físicas, el responsable y el encargado deben aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo.

  2. Las obligaciones antes mencionadas significan que el encargado del tratamiento de los datos debe llevar a cabo una evaluación de riesgos y, posteriormente, implantar las medidas para gestionar los riesgos identificados. Esto podría, según su importancia, incluir las medidas siguientes:

    a. La seudonimización y el cifrado de los datos personales.

    b. La capacidad de garantizar la confidencialidad, integridad, accesibilidad y resiliencia
    duraderas de los sistemas y servicios de tratamiento.

    c. La capacidad para restaurar la disponibilidad y el acceso a los datos personales de
    manera oportuna en caso de un incidente físico o técnico

    d. Un procedimiento para comprobar, valorar y evaluar periódicamente la eficacia de las
    medidas técnicas y organizativas que garantizan la seguridad del tratamiento.

  3. En relación con lo anterior y, en todos los casos, el encargado del tratamiento de los datos deberá, como mínimo, implantar los niveles de seguridad y las medidas indicadas más detalladamente en el Anexo C de este acuerdo.

  4. Cualquier gobernanza/acuerdo sobre la remuneración de las partes o similar, en relación con el responsable del tratamiento de los datos o las solicitudes posteriores del encargado del tratamiento de los datos para establecer nuevas medidas de seguridad, se incluirá en el «acuerdo principal» entre las partes o en el Anexo D de este acuerdo.

7 Utilización de encargados del tratamiento de los datos subcontratados

  1. Para utilizar otro encargado del tratamiento de los datos (encargado del tratamiento de los datos subcontratado), el encargado del tratamiento de los datos debe cumplir con las condiciones contempladas en el artículo 28, subsección 2 y 4 del RGPD.

  2. Por tanto, el encargado del tratamiento de los datos no puede utilizar otro encargado del tratamiento de los datos (encargado del tratamiento de los datos subcontratado) para cumplir el acuerdo de tratamiento de datos sin la aprobación previa específica o general por escrito del responsable del tratamiento de los datos.

  3. En el caso de una aprobación general por escrito, el encargado del tratamiento de los datos notificará al responsable del tratamiento de los datos cualquier cambio previsto respecto a la incorporación o sustitución de otros encargados del tratamiento de los datos, lo que proporciona al responsable del tratamiento de los datos la oportunidad de oponerse a dichos cambios.

  4. En el Bilag B de este acuerdo figuran otras condiciones del responsable del tratamiento de los datos respecto a la utilización por parte del encargado del tratamiento de los datos de encargados subcontratados.

  5. La aprobación específica por parte del responsable del tratamiento de los datos de encargados del tratamiento de los datos subcontratados figura en el Bilag B de este acuerdo.

  6. Una vez que el encargado del tratamiento de los datos haya obtenido la aprobación por parte del responsable del tratamiento de los datos respecto a la utilización de un encargado del tratamiento de los datos subcontratado, el encargado del tratamiento de los datos garantizará que el encargado subcontratado esté sujeto a las mismas obligaciones en materia de protección de datos que las que se establecen en este acuerdo de tratamiento de datos, mediante la utilización de un contrato u otro documento legal de acuerdo con la legislación de la UE o la legislación nacional de los Estados miembros, en el que se proporcionen las garantías necesarias para asegurar que el encargado subcontratado implantará las medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla con los requisitos establecidos en el RGPD.

    Como tal, el encargado del tratamiento de los datos es responsable, mediante la ejecución de un acuerdo de tratamiento de datos subcontratado, de asegurar que el encargado del tratamiento de los datos subcontratado esté sujeto, como mínimo, a las obligaciones a las que está sujeto el propio encargado del tratamiento de los datos en virtud de las normas en materia de protección de datos, así como de este acuerdo de tratamiento de datos y los anexos asociados.

    7. Deberá entregarse una copia del acuerdo de tratamiento de datos del subcontratista y cualquier cambio posterior al mismo, previa solicitud del responsable del tratamiento de los datos, al responsable del tratamiento de los datos, quien tendrá así la oportunidad de verificar que se ha celebrado un acuerdo válido entre el encargado del tratamiento de los datos y el encargado del tratamiento de los datos subcontratado. Los términos comerciales, por ejemplo, los precios, que no afecten al contenido legislativo en materia de protección de datos del acuerdo de tratamiento de datos del subcontratista no se entregarán al responsable del tratamiento de los datos.

    8. En su acuerdo con los encargados del tratamiento de los datos subcontratados, el encargado del tratamiento de los datos incluirá al responsable del tratamiento de los datos como un tercero beneficiario en caso de quiebra por parte del encargado del tratamiento de los datos, para que el responsable del tratamiento de los datos pueda asumir los derechos del encargado del tratamiento de los datos e invocarlos contra el encargado del tratamiento de los datos subcontratado, por ejemplo, de modo que el responsable del tratamiento de los datos pueda dar instrucciones al encargado subcontratado para que borre o devuelva alguna información.

    9. En el caso de que el encargado del tratamiento de los datos subcontratado no cumpla con sus obligaciones en materia de protección de datos, el encargado del tratamiento de los datos será totalmente responsable ante el responsable del tratamiento de los datos del cumplimiento de las obligaciones del encargado del tratamiento de los datos subcontratado.

8 Transferencia de información a terceros países u organizaciones internacionales

  1. El encargado del tratamiento de los datos solo tratará datos personales de acuerdo con las instrucciones por escrito del responsable del tratamiento de los datos, incluida la transferencia (transferencia, divulgación y uso interno) de datos personales a terceros países u organizaciones internacionales, a menos que se exija lo contrario de conformidad con la legislación de la UE o la legislación nacional en vigor de los Estados miembros a la que está sujeto el encargado del tratamiento de los datos; en tal caso, el encargado del tratamiento de los datos notificará al responsable del tratamiento de los datos dichos requisitos legales antes del tratamiento, a menos que la legislación en cuestión impida dicha notificación por razones de interés social importante; véase el artículo 28, subsección 3, punto a.

  2. Por consiguiente, dentro de las restricciones del acuerdo de tratamiento de datos, sin las instrucciones o la aprobación por parte del responsable del tratamiento de los datos, el encargado del tratamiento de los datos no puede:

    a. divulgar datos personales a un responsable del tratamiento de los datos en un tercer
    país o en una organización internacional,

    b. transferir el tratamiento de los datos personales a un encargado del tratamiento de
    los datos subcontratado en un tercer país,

    c. tratar los datos en otra sucursal del encargado del tratamiento de los datos ubicada
    en un tercer país.

  3. En el Anexo C de este acuerdo figuran todas las instrucciones o aprobaciones por parte del responsable del tratamiento de los datos con respecto a la transferencia de datos personales a un tercer país.

9 Ayuda al responsable del tratamiento de los datos

  1. El encargado del tratamiento de los datos ayudará, en función de la naturaleza del tratamiento y en la medida de lo posible al responsable del tratamiento de los datos haciendo uso de las medidas técnicas y organizativas adecuadas para cumplir con la obligación por parte del responsable del tratamiento de los datos de responder a las solicitudes en el ejercicio de derechos de los interesados según lo establecido en capítulo 3 del Reglamento general de protección de datos.


    Esto significa que el encargado del tratamiento de los datos debe, en la medida de lo posible, ayudar al responsable del tratamiento de los datos a garantizar el cumplimiento de:

    a. el deber de informar acerca de la recopilación de datos personales del interesado;

    b. el deber de informar en el caso de que no se hayan recopilado datos personales del interesado;

    c. el derecho de acceso del interesado;

    d. el derecho a la corrección;

    e. el derecho al olvido;

    f. el derecho a solicitar un tratamiento limitado;

    g. el deber de informar acerca de la corrección o eliminación de datos personales o un tratamiento limitado;

    h. el derecho a la portabilidad de los datos;

    i. el derecho a oposición;

    j. el derecho a la oposición a los resultados de decisiones individuales automáticas, incluida la elaboración de perfiles.

  2. El encargado del tratamiento de los datos ayudará al responsable del tratamiento de los datos a garantizar el cumplimiento de las obligaciones por parte del encargado del tratamiento de los datos de conformidad con los artículos 32-36 del RGPD con respecto a la naturaleza del tratamiento y los datos puestos a disposición del encargado del tratamiento de los datos; véase el artículo 28, subsección 3, punto f.

    Esto significa que el encargado del tratamiento de los datos, en función de la naturaleza del tratamiento, ayudará al responsable del tratamiento de los datos a garantizar el cumplimiento de:

    a. el deber de implantar las medidas técnicas y organizativas adecuadas para garantizar los niveles de seguridad adecuados según los riesgos asociados con el tratamiento;

    b. el deber de informar sobre las violaciones de la seguridad de datos personales a las autoridades de supervisión (Agencia Española de Protección de Datos) sin demoras indebidas y no más tarde de 72 horas después de que el responsable del tratamiento de los datos haya tenido conocimiento de la violación, a menos que sea improbable que la violación de la seguridad de los datos personales implique un riesgo para los derechos y libertades de las personas físicas;

    c. el deber de notificar, sin demoras indebidas, a los interesados acerca de las violaciones de la seguridad de datos personales cuando dicha violación conlleve un alto riesgo para los derechos y libertades de las personas físicas;

    d. el deber de aplicar un análisis de los efectos relacionados con la protección de datos si es probable que un tipo de tratamiento conlleve un alto riesgo para los derechos y libertades de las personas físicas;

    e. el deber de consultar a la autoridad de supervisión (Agencia Española de Protección de Datos) antes del tratamiento si un análisis de los efectos relacionados con la protección de datos determina que el tratamiento generaría un alto riesgo por ser inadecuadas las medidas tomadas por el responsable del tratamiento de los datos para reducir el riesgo.

    3. Cualquier gobernanza/acuerdo sobre la remuneración de las partes o similar, en relación con la ayuda del encargado del tratamiento de los datos hacia el responsable del tratamiento de los datos, se incluirá en el «acuerdo principal» entre las partes o en el Anexo D de este acuerdo.

10 Aviso de las violaciones de la seguridad de datos personales

  1. El encargado del tratamiento de los datos notificará al responsable del tratamiento de los datos sin demoras indebidas en caso de que haya tenido conocimiento de una violación de la seguridad de datos personales que afecte al encargado del tratamiento de los datos o a un encargado del tratamiento de los datos subcontratado.

    La notificación del encargado del tratamiento de los datos al responsable del tratamiento de los datos se realizará, si es posible, no más tarde de 36 horas después de haber tenido conocimiento de ella, a fin de garantizar que el responsable del tratamiento de los datos pueda cumplir con su obligación de notificársela a las autoridades de supervisión en el plazo de 72 horas.

  2. De acuerdo con la sección 10.2, artículo b de este acuerdo, el encargado del tratamiento de los datos, en función de la naturaleza del tratamiento y la información disponible, ayudará al responsable del tratamiento de los datos a informar de las violaciones a las autoridades de supervisión.

    Esto puede implicar que el encargado del tratamiento de los datos deba ayudar a obtener la siguiente información, que, según el artículo 33, subsección 3 del RGPD, debe incluirse en el informe del responsable del tratamiento de los datos a la autoridad de supervisión:

    a. La naturaleza de la violación de la seguridad de datos personales, lo que incluye, cuando sea posible, las categorías y el número estimado de personas afectadas, así como las categorías y el número estimado de registros de datos personales afectados;

    b. Las consecuencias probables de la violación de la seguridad de datos personales;

    c. Las medidas adoptadas o propuestas para hacer frente a la violación de la seguridad de datos personales, incluidas las medidas para limitar el posible daño, si procede.

11 Eliminación y devolución de datos

  1. Tras finalizar los servicios relacionados con el tratamiento, el encargado del tratamiento de los datos estará obligado a eliminar o devolver todos los datos personales al responsable del tratamiento de los datos, según lo decida el responsable del tratamiento de los datos, y a eliminar todas las copias existentes, a menos que la legislación de la UE o la legislación nacional requiera el almacenamiento de los datos personales.

12 Supervisión y auditorías

  1. El encargado del tratamiento de los datos pondrá a disposición del responsable del tratamiento de los datos toda la información necesaria para demostrar que el encargado del tratamiento de los datos cumple con el artículo 28 del Reglamento general de protección de datos y este acuerdo, y facilitará y participará en las auditorías, incluidas las inspecciones realizadas por el responsable del tratamiento de los datos u otro auditor autorizado por el responsable del tratamiento de los datos.

  2. En el Anexo C de este acuerdo figura el procedimiento para la supervisión del encargado del tratamiento de los datos por parte del responsable del tratamiento de los datos.

  3. La supervisión de los encargados del tratamiento de los datos subcontratados por parte del responsable del tratamiento de los datos generalmente tendrá lugar a través del encargado del tratamiento de los datos. En el Anexo C de este acuerdo se describe el procedimiento para ello.

  4. El encargado del tratamiento de los datos estará obligado a proporcionar a las autoridades que, en virtud de la legislación aplicable en cualquier momento, tengan acceso a las instalaciones del responsable del tratamiento de los datos y del encargado del tratamiento de los datos, o a los representantes que actúen en nombre de las autoridades, acceso a las instalaciones físicas del encargado del tratamiento de los datos previa presentación de la identificación adecuada.

13 Los acuerdos entre las partes sobre otros asuntos

  1. El «acuerdo principal» entre las partes o el Anexo D de este acuerdo contemplan cualquier gobernanza (específica) sobre las consecuencias de la violación de las partes del acuerdo de tratamiento de datos.

  2. El «acuerdo principal» entre las partes o el Anexo D de este acuerdo contemplan cualquier gobernanza sobre otros asuntos entre las partes.

14 Comienzo y terminación

  1. Este acuerdo entrará automáticamente en vigor cuando el responsable del tratamiento de los datos utilice el software Players 1st.

  2. Ambas partes tendrán derecho a solicitar la renegociación del acuerdo en caso de que diesen lugar a ello cambios legislativos o inconveniencias en el acuerdo.

  3. El acuerdo de tratamiento de datos se puede rescindir con arreglo a las condiciones de terminación, incluido el plazo de preaviso, según se especifica en el «acuerdo principal».

  4. El acuerdo será de aplicación mientras se lleve a cabo el tratamiento. Independientemente de la terminación del «acuerdo principal» y/o el acuerdo de tratamiento de datos, el acuerdo de tratamiento de datos permanecerá en vigor hasta el final del tratamiento y la eliminación de los datos por parte del encargado del tratamiento de los datos y los encargados subcontratados. .

15 Personas/puntos de contacto con el encargado del tratamiento de los datos

  1. Todo contacto relativo al tratamiento de datos con el encargado del tratamiento de los datos se realizará a través de: privacy@players1stgroup.com

Anexo A Información sobre el tratamiento

La finalidad del tratamiento de datos personales por parte del encargado del tratamiento de los datos en nombre del responsable del tratamiento de los datos es:

  • El responsable del tratamiento de los datos desea implantar una medición continua de las experiencias de los miembros y/o invitados en el club. Así pues, los datos relacionados con los miembros y/o invitados se transferirán para que el encargado del tratamiento de los datos pueda emitir cuestionarios electrónicos acerca de la experiencia del miembro o invitado en el club. Las respuestas se documentarán y se pondrán a disposición del responsable del tratamiento de los datos en un formato agregado a través de un panel electrónico gestionado por el encargado del tratamiento de los datos.

  • El responsable del tratamiento de los datos también recibirá comentarios abiertos individuales de las respuestas. Esto se hará exclusivamente en los casos en que el encuestado haya dado su consentimiento activo para que el responsable del tratamiento de los datos vea el comentario, y cuando el encuestado haya proporcionado su información de contacto para que el responsable del tratamiento de los datos pueda comunicarse con el encuestado de acuerdo con su consentimiento expreso.

El tratamiento de datos personales por parte del encargado del tratamiento de los datos en nombre del responsable del tratamiento de los datos se relaciona principalmente con (la naturaleza del tratamiento):

  • El envío de correos electrónicos con un enlace a un cuestionario electrónico.

  • La exposición de los resultados de una encuesta en un panel de control en línea y mediante informes. Los resultados se reproducen en formato agregado y/o anónimo.

El tratamiento incluye los siguientes tipos de datos personales relacionados con los interesados:

  • Nombre, tipo de pertenencia, sexo, edad, dirección de correo electrónico e información sobre la hora y el lugar de la visita al club en caso de que se relacione con una actividad vinculada a una actividad específica del encuestado en el club. Solo se tratan datos personales generales.

El tratamiento incluye las siguientes categorías de temas de interesados:

  • Personas que son miembros del club o que han participado en alguna actividad organizada por el club o en colaboración con él.

El tratamiento de los datos personales por parte del encargado del tratamiento de los datos en representación del responsable del tratamiento de los datos podrá iniciarse en el momento de entrada en vigor de este acuerdo. La duración del tratamiento es la siguiente:

  • El tratamiento no estará limitado en el tiempo y permanecerá en vigor hasta que cualquiera de las partes ponga fin a todos los períodos de licencia.

Anexo B Condiciones relativas a la utilización por parte del encargado del tratamiento de los datos de encargados subcontratados y lista de encargados subcontratados autorizados

B.1 Condiciones relativas a la utilización por parte del encargado del tratamiento de los datos de encargados subcontratados

El encargado del tratamiento de los datos tiene la aprobación general del responsable del tratamiento de los datos para utilizar encargados subcontratados. Sin embargo, el encargado del tratamiento de los datos debe notificar al responsable del tratamiento de los datos cualquier cambio previsto respecto a la incorporación o sustitución de otros encargados del tratamiento de los datos, para que el responsable del tratamiento de los datos tenga la oportunidad de oponerse a dichos cambios. Dicha notificación será recibida por el responsable del tratamiento de los datos a más tardar 30 días antes de que entre en vigor la incorporación o sustitución. En el caso de que el responsable del tratamiento de los datos se oponga a los cambios, lo comunicará al encargado del tratamiento de los datos en el plazo de 14 días tras haber recibido la notificación. El responsable del tratamiento de los datos solo podrá oponerse si tiene motivos razonables y específicos para hacerlo.

B.2 Encargados del tratamiento de los datos subcontratados autorizados

Al comenzar el acuerdo de tratamiento de datos, el responsable del tratamiento de los datos ha aprobado la utilización de los siguientes encargados del tratamiento de los datos subcontratados:

Nombre

N.º de registro mercantil

Dirección

Descripción del tratamiento

Microsoft Azure

Centros de datos de Azure en Irlanda, Países Bajos, Virginia (EE. UU.), Texas (EE. UU.), California (EE. UU.), Canberra (Australia)

El alojamiento y almacenamiento de datos se realiza en: Europa para los clientes europeos del en-cargado del tratamiento de los datos, los Estados Unidos para los clientes norte-americanos del encargado del tratamiento de los datos, Australia para los clientes australianos del encargado del tratamiento de los datos

MailJet

FR67524536992

Mailjet SAS 37 bis Rue du Sentier 75002 París Francia

Servicio de correo electrónico

Zendesk

Zendesk, Inc. 1019 Market St. San Francisco CA 94103, Estados Unidos

Gestión de consultas de asistencia

Google Analytics

1600 Amphitheatre Parkway, Mountain View, CA, 94043

Los datos de uso del sitio web se recopilan en Google Analytics

Una vez iniciado el acuerdo de tratamiento de datos, el responsable del tratamiento de los datos ha aprobado específicamente la utilización de los encargados del tratamiento de los datos subcontratados antes mencionados para el tratamiento descrito para cada parte. El encargado del tratamiento de los datos no puede, sin la aprobación específica por escrito del responsable del tratamiento de los datos, utilizar encargados subcontratados para «otro» tratamiento que no sea el acordado, ni permitir que otro encargado subcontratado realice el tratamiento indicado.

Anexo C Instrucciones relativas al tratamiento de datos personales

C.1 Objeto/instrucciones para el tratamiento

El tratamiento de datos personales por parte del encargado del tratamiento de los datos en representación del responsable del tratamiento de los datos será llevado a cabo por el encargado que realice una o más de las siguientes acciones:

  • Registrar la información necesaria sobre el tipo de pertenencia respecto a los miembros vinculados con el responsable del tratamiento de los datos si se seleccionan las encuestas de dichos miembros.

  • Tratar la información sobre las rondas de «green fee» jugadas con el responsable del tratamiento de los datos si se seleccionan las encuestas de invitados.

  • El encargado del tratamiento de los datos tratará la información según sea necesario y pertinente para cumplir con las instrucciones del responsable del tratamiento de los datos. La información se recopilará directamente del responsable del tratamiento de los datos o de otro encargado del tratamiento de los datos (encargado del tratamiento de terceros) especificado por el responsable del tratamiento de los datos. El responsable del tratamiento de los datos celebrará acuerdos con los encargados de terceros sobre la divulgación de los datos necesarios al encargado del tratamiento de los datos en virtud de este acuerdo.

C.2 Seguridad del tratamiento

El nivel de seguridad deberá reflejar:

  • El tratamiento de datos personales generales.

El encargado del tratamiento de los datos tendrá el derecho y la obligación de tomar decisiones sobre las medidas de seguridad técnicas y organizativas que se utilizarán para crear el nivel de seguridad necesario (y acordado) con respecto a la información. No obstante, el encargado del tratamiento de los datos estará obligado a garantizar lo siguiente:

  • Todos los datos en comunicación con el sistema Players 1st se transmitirán encriptados a través del estándar «https».

  • Players 1st almacenará y tratará todos los datos con compañías de TI reconocidas internacionalmente.

  • El alojamiento de Players 1st será encriptado y confidencial.

  • Players 1st tiene documentación completa relacionada con la funcionalidad, el seguimiento y la seguridad de datos.

  • Players 1st trata solo trata los datos personales siguiendo instrucciones del responsable del tratamiento de los datos.

  • Players 1st deberá garantizar que todas las personas que gestionan datos personales hayan suscrito acuerdos de confidencialidad.

C.3 Período de conservación/procedimientos de eliminación

Los datos personales serán almacenados por el encargado del tratamiento de los datos hasta que el responsable del tratamiento de los datos solicite su eliminación o devolución.

Transcurridos 24 meses, el encargado del tratamiento de los datos realizará automáticamente la seudonimización de todos los datos personales recibidos por parte del responsable del tratamiento de los datos. Junto con la seudonimización, se eliminarán todos los datos personales que ya no sean pertinentes.

Transcurridos 10 años, el encargado del tratamiento de los datos eliminará automáticamente todos los datos personales.

C.4 Ubicación del tratamiento

El tratamiento de los datos personales que engloba este acuerdo no puede, sin el consentimiento previo por escrito del responsable del tratamiento de los datos, realizarse en lugares distintos a los siguientes:

Nombre

Dirección

Comentarios

Microsoft Azure

Centros de datos de Azure en Irlanda, Países Bajos, Virginia (EE. UU.), Texas (EE. UU.), California (EE. UU.), Canberra (Australia)

El alojamiento y almacenamiento de datos se realiza en: Europa para los clientes europeos del encargado del tratamiento de los datos, los Estados Unidos para los clientes norteamericanos del encargado del tratamiento de los datos, Australia para los clientes australianos del encargado del tratamiento de los datos

MailJet

Mailjet SAS, 37 bis Rue du Sentier, 75002 París, Francia

Zendesk

Zendesk, Inc. 1019 Market St. San Francisco CA 94103, Estados Unidos

Google Analytics

1600 Amphitheatre Parkway, Mountain View, CA, 94043

Players 1st

Stadion Allé, 8000 Aarhus C, Dinamarca

C.5 Instrucciones o autorización para la transferencia de datos personales a terceros países

El encargado del tratamiento de los datos transferirá, a través de los encargados del tratamiento de los datos subcontratados, datos personales a terceros, ya que las direcciones de correo electrónico se transfieren a un proveedor estadounidense (SendGrid) que se utiliza para enviar correos electrónicos (no es aplicable a las direcciones de correo electrónico alemanas y español donde se utiliza MailJet). Zendesk se utilizará para gestionar las consultas de asistencia de los jugadores (no es aplicable a las direcciones de correo electrónico alemanas y español donde se utiliza MailJet) y clubes que puedan ponerse en contacto con la asistencia de Players 1st por correo electrónico. La dirección de correo electrónico del solicitante se transfiere a Zendesk en el momento del contacto. Google Analytics se utiliza a un nivel agregado para supervisar los navegadores y dispositivos utilizados por los usuarios. La información se utiliza para optimizar la experiencia del usuario en los cuestionarios.

El encargado del tratamiento de los datos será responsable de garantizar que los encargados subcontratados en terceros países cumplan con las obligaciones del encargado del tratamiento de los datos según lo especificado en este acuerdo.

C.6 Procedimientos para la supervisión por parte del responsable del tratamiento de los datos de las actividades realizadas en las instalaciones del encargado del tratamiento

Una vez al año, el encargado del tratamiento de los datos obtendrá un informe de auditoría de un tercero independiente relativa al cumplimiento por parte del encargado del tratamiento de los datos respecto a este acuerdo de tratamiento de datos y los anexos asociados. El informe de auditoría se obtendrá por primera vez en 2019 y se pondrá a disposición del responsable del tratamiento de los datos.

Hasta que el informe de auditoría antes mencionado esté disponible, el responsable del tratamiento de los datos podrá llevar a cabo una vez al año una supervisión física o por escrito del cumplimiento de este acuerdo de tratamiento de datos.

Además de la supervisión programada, la supervisión del encargado del tratamiento de los datos también se puede llevar a cabo cuando el responsable del tratamiento de los datos considere que sea necesario hacerlo.

Los gastos en los que incurra el responsable del tratamiento de los datos en relación con la supervisión física o por escrito correrán a cargo del propio responsable del tratamiento de los datos. Sin embargo, el encargado del tratamiento de los datos estará obligado a asignar los recursos (principalmente el tiempo) que sean razonables y necesarios para que el responsable del tratamiento de los datos lleve a cabo dicha supervisión.

C.7 Procedimientos para la supervisión del tratamiento realizado en las instalaciones del encargado del tratamiento de los datos subcontratado

Una vez al año, el encargado del tratamiento de los datos obtendrá un informe de auditoría de un tercero independiente relativa el cumplimiento por parte del encargado subcontratado respecto a este acuerdo de tratamiento de datos y los anexos asociados.

Las partes han acordado que se pueden utilizar los siguientes tipos de informes de auditoría: Informes ISAE 3402 tipo 2

La declaración de auditoría se pondrá a disposición del responsable del tratamiento de los datos a través del panel del encargado del tratamiento de los datos.

Anexo D La gobernanza de las partes en otros asuntos

D.1 Acuerdo principal

Los casos que queden fuera de este acuerdo se regirán por el acuerdo principal entre las partes.

D.2 Solicitudes para establecer medidas de seguridad adicionales

La remuneración o similar en relación con las solicitudes posteriores del responsable del tratamiento de los datos o el encargado del tratamiento de los datos para establecer otras medidas de seguridad además de las contempladas en este acuerdo será pagada por la parte que realiza la solicitud. La remuneración generalmente cubrirá el tiempo empleado para establecer las medidas de seguridad ampliadas.

Was dit een antwoord op uw vraag?