Política de Procesamiento de Datos

EC Shops Oü, empresa registrada en Estonia con el número de empresa 14375896, cuyo domicilio social se encuentra en Harju Maakond, Kesklinna Linnaosa, Kiriku Tn 6, Tallin, 10130 (el "Procesador"); y

Cliente de EC Shops Oü (el "Controlador"), persona o empresa que ha aceptado los Términos y condiciones de EC Shops Oü, que incluyen esta Política de procesamiento de datos, para el uso de los servicios de comercio electrónico, páginas web u otros de EC Shops.

Definiciones

Para los fines de este Acuerdo, los términos "sujeto de datos", "datos personales", "procesamiento" y "violación de datos personales" tienen el significado que se les da en el RGPD (o GDPR de sus siglas en inglés). Las referencias a "Artículos" son referencias a artículos del GDPR.

"Ley de Protección de Datos" significa el RGPD, la Ley de Protección de Datos de 2018 y cualquier legislación nacional de privacidad aplicable de vez en cuando;

"RGPD" significa el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46 / CE (Reglamento general de protección de datos);

"Servicios" significa los servicios proporcionados por el Procesador al Controlador bajo este Acuerdo o adjuntos al mismo;

"Acuerdo de servicios" significa el acuerdo entre EC Shops Oü y el Controlador;

“Datos personales suministrados” significa cualquier información personal que el Controlador suministre al Procesador, o copias de los mismos, incluidos en particular los datos enumerados en el Anexo 1.

General

Este Acuerdo se refiere al procesamiento de datos personales por parte del Procesador en nombre del Controlador.

Este Acuerdo se realiza de conformidad con el Artículo 28 del RGPD, para garantizar que el Procesador cumpla con sus obligaciones bajo la Ley de Protección de Datos.

Nada en este Acuerdo relevará al Procesador de sus propias obligaciones y responsabilidades directas bajo la Ley de Protección de Datos, ya sea como procesador o controlador.

Instrucciones

El Procesador procesará los Datos personales suministrados sólo de acuerdo con las instrucciones documentadas del Controlador, incluso con respecto a las transferencias de datos personales a un tercer país u organización internacional.

El Procesador puede procesar los Datos personales suministrados sin instrucciones del Controlador cuando el Procesador esté obligado a hacerlo por ley. En tal caso, el Procesador informará al Controlador de ese requisito legal antes del procesamiento, a menos que la ley pertinente prohíba al Procesador informar al Controlador por motivos importantes de interés público.

Las instrucciones del Controlador para el Procesador deberán cumplir con la Ley de Protección de Datos. El Procesador informará inmediatamente al Controlador si, en su opinión, una instrucción infringe la Ley de Protección de Datos o cualquier otra ley aplicable.

El Controlador confirma que los Datos personales suministrados se han recopilado y divulgado de conformidad con la Ley de protección de datos y que el Controlador y sus directores, empleados y consultores sólo proporcionarán los datos personales que sean necesarios para que el Procesador brinde el Servicio al Controlador.

El Controlador y el Procesador tomarán medidas para garantizar que cualquier persona física que actúe bajo su autoridad respectiva no procese los Datos personales suministrados, excepto en las instrucciones documentadas del Controlador (a menos que la ley aplicable le exija que lo haga).

Detalles de procesamiento

El tema, la duración, la naturaleza y el propósito del procesamiento, así como las categorías de datos personales que se procesan y de los interesados, se establecen en el Anexo 1 de este Acuerdo.

El Procesador puede transferir los Datos personales suministrados fuera del Espacio Económico Europeo solo según lo permitido por los Artículos 44 a 49 del RGPD.

Confidencialidad y seguridad de procesamiento

El Procesador se asegurará de que todas las personas autorizadas para procesar los Datos personales suministrados estén sujetas a obligaciones de confidencialidad o estén bajo una obligación legal de confidencialidad apropiada.

El Procesador tomará todas las medidas requeridas en virtud del Artículo 32 del RGPD para garantizar la seguridad del procesamiento, incluida la implementación de medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. Al evaluar el nivel apropiado de seguridad, el Procesador considerará:

  • el estado del arte y los costos de implementación;
  • la naturaleza, alcance, contexto y propósito del procesamiento; y
  • el riesgo para los derechos y libertades de las personas físicas.

Notificación de incumplimiento de datos personales

El Procesador notificará al Controlador sin demora indebida después de darse cuenta de una violación de datos personales que afecte los Datos personales suministrados (una "Notificación de incumplimiento").

El procesador deberá, cuando sea posible, incluir la siguiente información en una Notificación de incumplimiento, siempre que hacerlo no cause demoras indebidas:

  • la naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos en cuestión;
  • el nombre y los datos de contacto del oficial de protección de datos u otro punto de contacto donde se pueda obtener más información; y
  • las posibles consecuencias de la violación de datos personales.

Al considerar qué información proporcionar junto con una Notificación de incumplimiento, el Procesador tendrá en cuenta la naturaleza del procesamiento y la información disponible.

Uso de subprocesadores

El Procesador no contratará a otro procesador (un "Subprocesador") para procesar los Datos personales suministrados sin previa autorización escrita específica o general del Controlador.

De conformidad con este Acuerdo, el Controlador generalmente autoriza al Procesador a involucrar a los Subprocesadores para procesar los Datos personales suministrados, siempre que el Procesador cumpla con sus obligaciones.

Si el Procesador tiene la intención de hacer algún cambio relacionado con la adición o reemplazo de un Subprocesador, el Procesador deberá notificar por escrito al Controlador la identidad de un Subprocesador potencial (y sus procesadores, si corresponde).

El Controlador puede oponerse al uso de cualquier Subprocesador potencial. Si el Controlador desea objetar, notificará al Procesador la objeción por escrito dentro de los 7 días posteriores a la recepción de la notificación del Procesador.

Cuando el Controlador se haya opuesto en tiempo y forma, el Procesador no designará a ese Subprocesador propuesto hasta que el Procesador haya tomado medidas razonables para abordar las objeciones planteadas por el Controlador y haya proporcionado una explicación por escrito de los pasos a seguir.

Antes de contratar a un Subprocesador para procesar los Datos personales suministrados, el Procesador se asegurará de que la relación entre el Procesador y el Subprocesador se rija por un contrato escrito en virtud del cual:

  • el Subprocesador está sujeto a obligaciones de protección de datos equivalentes a las establecidas en este Acuerdo y que cumplen con el Artículo 28 GDPR;
  • el Subprocesador ofrece garantías suficientes de que implementará medidas técnicas y organizativas apropiadas para cumplir con los requisitos de la Ley de Protección de Datos; y
  • Si el Subprocesador no cumple con sus obligaciones de protección de datos, el Procesador sigue siendo totalmente responsable ante el Controlador por el cumplimiento de las obligaciones del Subprocesador.

Asistir al controlador

Teniendo en cuenta la naturaleza del procesamiento, el Procesador, en la medida de lo posible, ayudará al Controlador a responder a las solicitudes de los sujetos de datos realizadas en virtud de la Ley de Protección de Datos (en particular, de conformidad con los Artículos 12 a 23 del RGPD), mediante la implementación de las técnicas y medidas organizativas.

Cuando el Procesador (o cualquiera de sus Subprocesadores, según corresponda) reciba una solicitud de un interesado en virtud de cualquier Ley de Protección de Datos en relación con los Datos Personales Suministrados, el Procesador deberá:

  • notificar de inmediato al controlador de la solicitud; y
  • no responder a esa solicitud, excepto en las instrucciones documentadas del Controlador o según lo requerido por la Ley de Protección de Datos (en cuyo caso, el Procesador deberá, en la medida permitida por la Ley de Protección de Datos, informar al Controlador de ese requisito legal antes de que el Procesador responda al solicitud).

Teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador, el Procesador ayudará al Controlador a cumplir con las obligaciones del Controlador según los Artículos 32 a 36 del RGPD (seguridad del procesamiento, notificación de violación de datos personales y evaluaciones de impacto de protección de datos )

La obligación del Procesador de ayudar al Controlador está sujeta a que ambas partes acuerden el alcance, el método, el tiempo y las tarifas razonables que cobra el Procesador por dicha asistencia y sobre la base de que las partes trabajarán de buena fe para minimizar interrupción del negocio del procesador al proporcionar dicha asistencia.

Información, auditorías e inspecciones

Luego de una solicitud por escrito del Controlador, el Procesador, según corresponda:

  • pondrá a disposición del Controlador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo en relación con el procesamiento de los Datos personales suministrados por el Procesador; y
  • permitirá y contribuirá a las auditorías e inspecciones realizadas por el Controlador o sus auditores obligatorios.

El Controlador notificará razonablemente al Procesador sobre cualquier inspección o auditoría y hará todos los esfuerzos razonables para evitar (y garantizar que sus auditores obligatorios lo eviten) causar daños o interrupciones excesivas al negocio del Procesador.

Disposiciones de fin de contrato

El Procesador deberá, a su sola discreción y siguiendo instrucciones escritas del Controlador, eliminar o devolver todos los Datos personales suministrados después del final de la prestación de Servicios. El Procesador también procurará la eliminación o devolución de todos los Datos personales suministrados en poder de sus Subprocesadores.

El Procesador deberá cumplir con una instrucción con prontitud y, en cualquier caso, dentro de los 7 días posteriores a la fecha de cese de cualquier Servicio que involucre los Datos personales suministrados.

El Procesador y sus Subprocesadores pueden retener los Datos personales suministrados si así lo requiere la Ley de protección de datos.

Detalles de procesamiento

Asunto: El asunto del procesamiento de los Datos personales suministrados por el Procesador es el desempeño de los Servicios y según las instrucciones adicionales del Controlador.

Duración: El Procesador procesará los Datos personales suministrados durante el presente Acuerdo, a menos que se acuerde lo contrario por escrito.

Naturaleza y propósito: el Procesador procesará los Datos personales suministrados según sea necesario para realizar los Servicios de conformidad con este Acuerdo y según lo indique el Controlador.

Categorías de datos personales: los datos personales suministrados pueden incluir, entre otros, las siguientes categorías de datos personales:

  • Nombre y apellido;
  • Información del contacto;
  • Fecha de nacimiento;
  • Comunicaciones de clientes;
  • Historial de compras; y
  • Información recopilada sobre el uso del cliente de su navegador.

Categorías de sujetos de datos: Los Datos personales suministrados pueden incluir, entre otros, las siguientes categorías de sujetos de datos:

  • Perspectivas;
  • Clientes;
  • Compañeros de negocio;
  • Empleados; y
  • Colaboradores Autónomos