ACUERDO DE TRATAMIENTO DE DATOS SOLAR B.V.

VERSIÓN 1.1

Con efecto a partir de 17 de octubre de 2019

Artículo 0. Alcance y contenido del acuerdo.

Este Acuerdo se aplica a todas las formas de Tratamiento de Datos Personales que la empresa Solar Monkey B.V., registrada en la Cámara de Comercio de Holanda con el número 64301400 y en adelante: Procesador, realiza en beneficio de la parte a la que presta servicios, en adelante: Controlador. Denominados colectivamente como las Partes.

Artículo 1. Definiciones

En este Acuerdo de Tratamiento de Datos (ATD), se aplican las siguientes definiciones:

a. «Datos Personales» se refiere a cualquier información relacionada con una persona física identificada o identificable («sujeto de la información o interesado»);
b. «Cliente», «Controlador» o «usted» se refiere a la persona física o jurídica, autoridad pública, agencia u otro ente que sólo o en conjunto con otros, determina los propósitos y medios del procesamiento de los Datos Personales;
c. «Procesador», «Solar Monkey» o «nosotros» se refiere a una sociedad que procesa Datos Personales en representación del Controlador;
d. «Procesar/procesamiento» se refiere a cualquier operación o conjunto de operaciones que se realice con Datos Personales o conjuntos de Datos Personales, de manera manual o automática e incluye (en cualquier caso) la recopilación, el registro, la organización, el almacenamiento, la actualización, la modificación, la recuperación, la consulta, el uso, el suministro por transmisión, distribución o cualquier otra forma o disposición que relacione entre sí lo previamente expuesto, así como proteger, eliminar o destruir dichos datos;
e. «Sub-procesador» o «Sub-contratista» se refiere a un tercero contratado por el procesador que, como parte de la función del subcontratista de prestar un servicio, procesa Datos Personales de los clientes;
f. Brecha de seguridad: Traspaso de la seguridad de los datos personales que accidental o ilegalmente conduce o donde no se puede descartar razonablemente que podría conducir, o a la destrucción, pérdida, alteración o divulgación no autorizada o el acceso no autorizado a los datos personales transmitidos, almacenado o procesado de otra manera, y que probablemente constituya un riesgo para los derechos y libertades del (de los) sujeto (s) de los datos;
g. «Interesado o Sujeto de la Información» la persona a quien se refieren los datos personales
h. «Leyes de protección de datos» se refiere a todas las leyes y regulaciones de la Unión Europea, el Área Económica Europea y sus estados miembros, aplicable para el tratamiento de Datos Personales bajo el Acuerdo;
i. Acuerdo o Acuerdo de Tratamiento de datos (ATD): este acuerdo legal;
j. Acuerdo Principal: el acuerdo de servicio celebrado entre las Partes y/o los Términos y Condiciones de Servicio de Solar Monkey B.V.

Artículo 2.   Ámbito de aplicación de este acuerdo.

2.1 Este Acuerdo se aplica al tratamiento realizado por Solar Monkey de los datos del Controlador, en el contexto de los servicios provistos, según se especifican en los acuerdos llevados entre las partes, (incluyendo el ATD).
2.2 El Controlador determina que Datos Personales serán procesados por el Procesador bajo las condiciones del acuerdo. Existe una descripción más detallada de los Datos personales a procesar, incluida en el Apéndice A de este Acuerdo.

2.3 Las partes reconocen que Solar Monkey también procesa datos personales en el contexto de los servicios para los cuales determina su propósito y recursos. Esto se aplica, por ejemplo, a los datos de contacto del Controlador existentes en este Acuerdo. Este Acuerdo no se aplica al Procesamiento de dichos Datos Personales, que deben cumplir con las Leyes de Protección de Datos vigentes.

2.4 El Procesamiento de Datos Personales bajo este Acuerdo no da como resultado que el Controlador transfiera ningún derecho de propiedad intelectual u otros reclamos de los Datos Personales al Procesador, ni pretende perjudicar de ninguna manera los derechos existentes del Interesado.

Artículo 3. Responsabilidad de solar monkey.

3.1 Procesar y usar los Datos Personales para los propósitos establecidos en este Acuerdo, sólo con instrucciones documentadas por el Cliente y para ningún otro propósito que no sea lo expresamente aprobados por escrito por el Cliente.

3.2 El Procesador notificará inmediatamente al Controlador si, en su opinión algún comando o instrucción es contrario a las Leyes de protección de datos.

3.3 No divulgar información a terceros excepto para los empleados, agentes y subcontratistas que están involucrados en el procesamiento de los datos y están sujetos a las obligaciones vinculantes (este mismo Acuerdo de Tratamiento de Datos), o excepto en los casos en los que se requiera por alguna ley o regulación.

3.4 El Procesador, en el cumplimiento de sus obligaciones y en la medida en que esté bajo sus
posibilidades, ayudará al Controlador:

i) Para responder a las solicitudes del interesado que ejercen sus derechos en virtud de las leyes en vigor;
ii) Respecto a la seguridad del procesamiento de datos personales, notificando fugas de datos a la autoridad competente y al interesado;
iii) Realizando una evaluación de impacto de protección de datos («Evaluación de Impacto de Privacidad») posiblemente requerida y bajo consulta previa a la Autoridad competente.

3.5 Los costos asociados con esta asistencia no están incluidos en las tarifas acordadas con el Procesador. El
Procesador tiene derecho a cobrar los costos razonables por proporcionar esta asistencia al Controlador. Si hay tales costos, el Procesador, si es posible, lo indicará por adelantado.

3.6 Informar al Controlador tan pronto como sea posible en el caso de que algún Interesado ejercite
cualquiera de sus derechos bajo las leyes de protección de datos personales y, si es necesario, ayudar al Controlador a cumplir con la obligación de responder a tales solicitudes considerando las garantías establecidas en el punto 3.4 del artículo 3.

Artículo 4. Obligaciones del controlador.

4.1 El Controlador notificará al Procesador la identidad del responsable asignado para la protección de datos. Cualquier cambio debe comunicarse inmediatamente al Procesador. Si el Controlador no especifica un responsable el Procesador asumirá que el Controlador no lo ha designado.

4.2. El Controlador garantiza que el contenido, el uso y las instrucciones para procesar los Datos personales a los que se hace referencia en este Acuerdo de procesamiento no son ilegales y no infringen ningún derecho de terceros.

4.3 El Controlador es responsable de determinar los períodos de retención con respecto a los Datos personales. En la medida en que los Datos personales estén bajo el control del Controlador, el Controlador es el único responsable de eliminar dichos Datos personales.

Artículo 5. Subprocesamiento.

5.1. El Procesador puede subcontratar el procesamiento de datos a terceros en virtud de este Acuerdo. A tal fin pone a disposición del Controlador una lista actualizada de los subprocesadores contratados por el Procesador para el procesamiento de datos personales. El Controlador declara haber tomado nota de la lista actual de subprocesadores y está de acuerdo en la subcontratación de los mismos.

5.2. El Controlador por la presente autoriza al Procesador, durante la vigencia del Acuerdo, a externalizar partes del procesamiento de los Datos personales a otros Subprocesadores que se incluyen en el Anexo B.

5.3. Si se iniciase un nuevo subproceso, el Procesador informará al Controlador. El Controlador puede objetar si la actividad de un tercero es inaceptable para él. Si es posible y razonable, el Procesador consultará con el Controlador sobre las alternativas.

5.4. El Procesador impondrá, a todos los Subprocesadores que contrate y que desempeñen un papel en el cumplimiento del Acuerdo, las obligaciones del Procesador según las leyes y regulaciones aplicables y según lo contenido en este ADP. Si un Subprocesador no desea aceptar (ciertas) obligaciones de este ADP, el Controlador puede, en la medida que lo permita la ley, decidir liberar al Procesador de esas obligaciones para los procesamientos relevantes, de modo que el Procesador pueda concluir un acuerdo con el Subprocesador correspondiente. En ese caso, el Controlador no responsabilizará al Procesador por el incumplimiento del Subprocesador de las obligaciones relevantes derivadas de este Acuerdo.

5.5. El Procesador puede procesar los datos personales en países dentro del Espacio Económico Europeo (EEE). Una transferencia a países fuera del EEE solo está permitida si la Comisión Europea reconoce que estos países tienen «protección adecuada». Consulte dicha lista en el siguiente enlace https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en para ver la lista más reciente.

5.6. Los subprocesadores tienen un plazo de tiempo para el borrado de datos, periodo tras el cual eliminaran todos los datos personales que estén incluidos en sus sistemas. Para algunos subprocesadores, este período puede durar hasta 180 días. Dicho plazo comienza en el momento en que el Procesador marca los datos como eliminados permanentemente en el subprocesador.

5.7. Si el Controlador solicita el intercambio de Datos Personales con otro procesador, el Controlador es responsable de acordar un Acuerdo de Procesamiento con el Procesador correspondiente. En este sentido, el otro Procesador no es explícitamente un subprocesador bajo este ATD.

Artículo 6. Seguridad.

6.1. El Procesador, teniendo en cuenta los avances informáticos, los costos de ejecución y la naturaleza de los fines de procesamiento, tomará las medidas técnicas y organizativas apropiadas con respecto al procesamiento de datos personales, contra pérdida o contra cualquier forma de procesamiento ilegal (como accesos no autorizados o ataque no autorizado, cambio o provisión de datos personales).

6.2. El Procesador realizará su trabajo bajo estándares actuales que se consideren aptos para el cumplimiento de los requisitos de seguridad.

Artículo 7. Gestión de incidentes y notificación de infracciones.

7.1. El Controlador en caso de una violación de seguridad, es en todo momento responsable de la notificación (legalmente requerida) a la Autoridad Competente y/o al sujeto cuyos datos han sido violados.

7.2. Para permitir que el controlador cumpla con esta obligación legal, el procesador informará al controlador inmediatamente y, al ser posible, dentro de los dos días hábiles posteriores a la determinación de que se ha producido una fuga de datos. La notificación se realiza a través de los canales de comunicación habituales destinados a este fin y mediante los datos de contacto conocidos por el procesador.

7.3. El procesador informará que ha habido una violación de datos e emitirá informe en el que describirá:

a. La naturaleza de la violación de datos, las categorías de personas involucradas y, aproximadamente, la duración y el alcance de la violación de datos;
b. El nombre y los datos de contacto del responsable de protección de datos u otro contacto donde se pueda obtener más información;
c. Las probables consecuencias de la violación de datos;
d. Las medidas propuestas o tomadas por el Procesador para abordar la fuga de datos, incluidas, cuando corresponda, las medidas para limitar cualquier consecuencia adversa de la misma.

Artículo 8. Confidencialidad.

8.1 En virtud de este ATD, el Procesador siempre está obligado a mantener en secreto los Datos personales, a menos que la ley o las normas aplicables de cualquier agencia gubernamental exijan lo contrario. En ese caso, el Procesador consultará, en la medida de lo posible, al Controlador con respecto a la fecha y el contenido del comunicado a realizar.

8.2  El procesador se asegurará de que las personas autorizadas para procesar los datos personales, incluidos sus empleados, estén sujetas a obligaciones de confidencialidad.

Artículo 9. Auditoría.

9.1.  El Controlador tiene el derecho de verificar el cumplimiento de las obligaciones asumidas por el Procesador derivadas de este ATD, las leyes y regulaciones aplicables con respecto al procesamiento y protección de datos personales, verificando una vez al año, por un experto independiente sujeto a la obligaciones de confidencialidad (una auditoría).

9.2  Previa solicitud, el Procesador proporcionará al Controlador la información necesaria requerida para permitirle formarse una opinión sobre el cumplimiento, por parte del Procesador, con las disposiciones del ATD y las leyes y regulaciones aplicables. En este punto el Procesador informará inmediatamente al Controlador si, en opinión del Procesador, una instrucción relacionada con una auditoría constituye una violación de las leyes y regulaciones aplicables con respecto al procesamiento y protección de Datos Personales.

9.3. La Auditoría se limitará a los sistemas del Procesador utilizados para el tratamiento de los datos. El Controlador mantendrá confidencial la información encontrada en la Auditoría y sólo la usará para verificar el cumplimiento del Procesador con las obligaciones derivadas de este ATD y las leyes y regulaciones aplicables, el Controlador eliminará esta información tan pronto como sea posible. El Controlador se asegurará de que los terceros que participan en la auditoría cumplan con estas obligaciones.

9.4. Todos los costos relacionados con la auditoría corren a cargo del Controlador. Los costos asociados a la cooperación del Procesador no están incluidos en los precios y tarifas acordados por el Procesador. El Procesador tiene derecho a cobrar los costos razonables por proporcionar esta asistencia al Controlador. Estos costos, en la medida de lo posible, se indicarán por adelantado.

Artículo 10. Responsabilidad.

10.1 El Controlador es el único responsable del Procesamiento, del uso y contenido de los datos personales y del suministro de datos personales a terceros.

10.2  El Controlador es responsable de los períodos de retención de los Datos personales, entendiéndose y acordando que el Procesador necesita hasta 60 días para eliminar los Datos personales de todas las copias de seguridad y que posteriormente los datos pueden estar presentes durante un período más largo con los subprocesadores, como se establece en la Cláusula 5.6.

10.3 El Controlador garantiza al Procesador que el tratamiento de datos se lleva a cabo de conformidad con la ley. Es el Controlador quien indemniza al Procesador por los costos y daños si un Sujeto de datos recurre al Procesador por un procesamiento ilegal. El Controlador indemniza al Procesador frente a cualquier reclamación de terceros, incluidos los supervisores explícitos, como la Autoridad de Protección de Datos y el Sujeto de Datos, en base a una violación de la Ley de Protección de Datos, u otras leyes y regulaciones aplicables en el campo de procesamiento y protección de datos personales y / o una deficiencia en el cumplimiento de este ATD que puede atribuirse al Controlador.

10.4 En relación con este ATD, el Procesador solo es responsable frente al Controlador por un defecto atribuible al Procesador en el cumplimiento de este Acuerdo.

Artículo 11. Duración y terminación.

11.1  Este Acuerdo se formalizará mediante la firma del Acuerdo Principal por las partes o mediante el consentimiento activo e inequívoco obtenido digitalmente por el Procesador del Controlador. La fecha de inicio será, respectivamente, la fecha de inicio del Acuerdo Principal o la fecha en que se prestó el  consentimiento del cliente.

11.2 Este ATD se suscribe por la duración especificada en el Acuerdo Principal firmado entre las partes y, en ausencia del mismo, por la duración de la colaboración, es decir, mientras que el Controlador use los servicios del Procesador en los que procesa Datos personales para la parte responsable del procesamiento.

11.3  Tras la finalización del ATD, por cualquier motivo o manera, el Procesador proporcionará al Controlador un tiempo razonable para hacer una copia electrónica de todos los Datos Personales que estén presentes. El Procesador eliminará los datos personales relevantes dentro de los 30 días posteriores a la finalización del Acuerdo. El Procesador tiene derecho a realizar copias de seguridad o copias para garantizar una entrega continua de servicios. Las copias de seguridad y las copias que contienen datos personales se eliminarán en un plazo máximo de 60 días tras la creación. Por lo tanto, los datos personales pueden estar presentes en el Procesador hasta un máximo de 90 días, después de la finalización del Acuerdo del Procesador.

Artículo 12. Otras disposiciones.

12.1  Este ATD expresa los únicos acuerdos aplicables entre el Controlador y el Procesador con respecto al procesamiento de Datos Personales por parte de este último y reemplaza todos los acuerdos anteriores, escritos u orales y correspondencia sobre ese tema.

12.2 En caso de conflicto entre las disposiciones de este ATD y los Términos y Condiciones Generales del procesador, prevalecerá este ATD.

12.3 Las comunicaciones relacionadas con este ATD se proporcionarán en forma escrita, incluida la forma electrónica.

12.4 Este ATD se ha celebrado con el fin de cumplir con los requisitos establecidos por la Ley para el procesamiento de datos personales por parte del Procesador para el Controlador. Si los requisitos legales requieren que se modifique este ATD, cualquiera de las partes puede hacer una propuesta de modificación, tras lo cual las Partes entablarán negociaciones de buena fe para llegar a un acuerdo y así garantizar el cumplimiento de la ley aplicable.

12.5 El Procesador tiene derecho a revisar unilateralmente este ATD con la frecuencia que estime oportuna, notificándolo al Controlador con al menos un mes de anticipación, pudiendo el Controlador cancelar a finales de dicho mes si no puede aceptar los cambios. Si bien el Procesador y el Controlador de datos pueden acordar las condiciones modificadas incluso electrónicamente. Si el Controlador utiliza los servicios del Procesador con los que se relaciona el ATD un mes después del anuncio de las condiciones modificadas, se entenderá que ha aceptado las condiciones modificadas.

Artículo 13. Transferencia de responsabilidad de datos personales.

13.1 El Procesador ofrece servicios que, si se acuerdan, pueden ser ofrecidos por el Controlador al interesado, por ejemplo, SolarGarant. Al ofrecer estos servicios, el propio Procesador se convierte en el Controlador del sujeto de datos con respecto a estos servicios.

13.2 El Controlador es responsable de contar con el consentimiento del interesado para que el Procesador ofrezca el servicio o servicios relevantes.

Artículo 14. Ley aplicable y resolución de disputas.

14.1 El ATD y su implementación se rigen por la ley Holandesa.

14.2 Todas las disputas que puedan surgir entre las Partes en relación con el ATD, se presentarán ante el tribunal competente del distrito en el que se encuentra el Procesador.

 

Anexo a. Descripción general del procesamiento

Este anexo describe el procesamiento de las actividades realizadas llevado a cabo por el Procesador en nombre del Controlador.

El Procesador procesa datos para los clientes o potenciales clientes del Controlador (los interesados), con el objetivo de poder ofrecer una instalación de paneles solares aplicable o emitir un informe comparable de uno o más sistemas de paneles solar. El Procesador proporciona al Controlador la opción de almacenar, editar y descargar datos relacionados con dicho presupuesto o informe. Esto puede incluir los siguientes datos del interesado:

  1. Nombre, dirección, ciudad
  2. Número de teléfono
  3. Dirección de correo electrónico
  4. Fecha de nacimiento
  5. Habla a
  6. Datos sobre la posible compra de sistemas de paneles solares y servicios relacionados

Anexo b. Descripción general de las categorías de subprocesadores y subprocesador

No todos los subprocesadores entran en contacto con la misma (cantidad de) datos personales.

Subprocesadores en uso:

  • CloudVPS (cloudvps.nl)
  • Google Cloud Platform (cloud.google.com)
  • Postmarkapp (postmarkapp.com)
  • Intercom (www.intercom.com) (sólo en la medida en que los usuarios del controlador de datos introduzcan datos personales aquí)
  • Pipedrive (pipedrive.com) *
  • Zapier, Inc. (zapier.com) *

* El procesador usa estos subprocesadores para datos del sujeto, únicamente de los datos a solicitud del controlador de datos.

Categorías de subprocesadores que Solar Monkey puede utilizar en el futuro, de conformidad con el artículo 5:

  • Proveedores de alojamiento y plataformas en la nube.
  • Otros proveedores de servicios a solicitud del controlador.