acuerdo de procesamiento de datos
Acuerdo de procesamiento de datos de conformidad con la legislación de protección de datos, Reglamento General de Protección de Datos (en adelante, RGPD) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la gestión de identidades en los servicios en la nube entre el Cliente (clientes de KapitalKontroll ) y Proveedor ( KapitalKontroll COMO):
La base de este acuerdo de procesamiento de datos es un acuerdo entre el Cliente y el Proveedor sobre el uso de KK2 como herramienta de cobro. Los datos procesados de acuerdo con este acuerdo son los datos que el Cliente ingresa en KK2 para su uso en el cobro de reclamaciones monetarias. Este acuerdo se aplica mientras el Cliente utilice KK2. También se aplicará a Kapitalkontroll AS para los datos que permanecen registrados en KK2 después de que finalice el acuerdo de uso real.
1. Objeto del Acuerdo
El objetivo del presente acuerdo es regular los derechos y obligaciones establecidos en la Ley de 20 de julio de 2018 sobre el Tratamiento de Datos Personales (Ley de Protección de Datos Personales). El acuerdo garantizará que los datos personales de los interesados no se utilicen de forma ilícita ni caigan en manos no autorizadas, salvaguardará los derechos de los interesados y protegerá los principios de privacidad conforme al artículo 5.
El acuerdo regula el uso que el encargado del tratamiento haga de los datos personales en nombre del responsable del tratamiento, incluyendo la recopilación, el registro, la compilación, el almacenamiento, la divulgación o cualquier combinación de los mismos.
2. Propósito
Declaración de la finalidad del acuerdo de tratamiento de datos:
El tratamiento de datos personales realizado por el encargado del tratamiento en nombre del responsable del tratamiento consiste en proporcionar un sistema de recogida y realizar el mantenimiento necesario del mismo. El sistema se utilizará para almacenar los datos de los clientes del responsable del tratamiento.
La finalidad del tratamiento de datos personales es gestionar los casos de cobro de deudas, garantizando la facturación de las cuentas por cobrar pendientes y realizando un seguimiento de los casos de cobro de deudas en curso del municipio.
Los tipos de datos personales que el encargado del tratamiento procesa en relación con la prestación y administración de la experiencia del proveedor son principalmente:
Género (prefijo SR/EM)
Nombre de pila
Apellido
Fecha de nacimiento
Correo electrónico
Teléfono de oficina/privado/móvil
Número de empleado, centro de costos, departamento
Dirección postal
Información de la tarjeta de crédito
Información del pasaporte
Este acuerdo abarca el procesamiento de datos en relación con el cobro de cuentas por cobrar pendientes, incluyendo, entre otros:
Cálculo de intereses de la reclamación
Elaboración de medidas de cobro como recordatorios, SMS, correos electrónicos y solicitudes de cumplimiento.
Seguimiento a largo plazo en caso de incumplimiento de los requisitos.
Medidas de cobro contra codeudores
3. Deberes del controlador
En este acuerdo, el cliente es el responsable del tratamiento de los datos.
El responsable del tratamiento está obligado a contar con un sistema de gestión de la seguridad de la información que cumpla con los requisitos establecidos en las leyes y reglamentos relativos al tratamiento de datos personales.
El responsable del tratamiento solo podrá adquirir sistemas que tengan la privacidad integrada y configurada por defecto, de conformidad con el artículo 25 del RGPD.
El controlador decide qué reclamaciones se pueden cobrar al usar KK2. También decide qué ayudas, como máquinas, etc., utiliza. Decide qué funciones adicionales elige usar.
4. Obligaciones del encargado del tratamiento de datos
En este acuerdo, el proveedor es el encargado del tratamiento de datos.
El Encargado del Tratamiento confirma que implementará las medidas técnicas y organizativas adecuadas para garantizar que todo el tratamiento de datos en virtud del presente Acuerdo cumpla con los requisitos de la Ley de Protección de Datos Personales y la protección de los derechos del interesado, incluido el cumplimiento de todos los requisitos del artículo 32 del Reglamento General de Protección de Datos.
El encargado del tratamiento de datos debe seguir las rutinas e instrucciones de procesamiento que el responsable del tratamiento haya determinado que se aplican en cada momento.
El encargado del tratamiento de datos está obligado a facilitar al responsable del tratamiento el acceso a su documentación de seguridad y a prestarle asistencia para que este pueda cumplir con sus propias responsabilidades de acuerdo con la ley y la normativa vigente.
El encargado del tratamiento de datos está obligado a ayudar al responsable del tratamiento a cumplir con las obligaciones previstas en los artículos 32 a 36 que sean pertinentes en esta relación contractual.
El encargado del tratamiento debe notificar inmediatamente al responsable del tratamiento la violación de datos personales que se haya producido o esté produciéndose (véase el artículo 33, apartado 2). Cuando la violación suponga un riesgo para los derechos y libertades de los interesados, la notificación al responsable del tratamiento deberá contener la información necesaria para que este pueda proporcionar una descripción detallada de la violación a la autoridad de control (véase el artículo 33, apartado 3). Cuando la violación requiera que el responsable del tratamiento notifique a los interesados (véase el artículo 34), el encargado del tratamiento deberá proporcionar la información necesaria para que el responsable del tratamiento pueda cumplir su obligación de realizar dicha notificación de forma clara y de conformidad con el artículo 33, apartado 3, letras b), c) y d).
Salvo pacto en contrario o disposición legal, el responsable del tratamiento tiene derecho a acceder e inspeccionar los datos personales que se procesan y los sistemas utilizados para tal fin. El encargado del tratamiento está obligado a prestar la asistencia necesaria para ello.
El responsable del tratamiento de datos está obligado a mantener la confidencialidad de la documentación y los datos personales a los que el interesado tenga acceso, de conformidad con este acuerdo. El responsable del tratamiento de datos está obligado a garantizar que solo las personas autorizadas y con una necesidad comercial tengan acceso a la información. Todo el personal del responsable del tratamiento de datos ha firmado una declaración de confidencialidad respecto a la información a la que se le ha concedido acceso. Kapitalkontroll AS ha realizado una evaluación de riesgos de seguridad. Las medidas de seguridad se describen en un apéndice aparte de este acuerdo. Esta disposición seguirá vigente tras la finalización del acuerdo.
El encargado del tratamiento de datos no divulgará a terceros los datos o la información que procesa para el responsable del tratamiento sin la autorización expresa de este último. El encargado del tratamiento remitirá las solicitudes de acceso a los datos registrados al responsable del tratamiento.
El encargado del tratamiento deberá poner a disposición del responsable del tratamiento toda la información necesaria para demostrar que se han cumplido las obligaciones establecidas en el artículo 28.
El encargado del tratamiento de datos debe permitir y contribuir a las auditorías (como las inspecciones) realizadas por el responsable del tratamiento o por otro inspector autorizado por este.
El encargado del tratamiento de datos debe ofrecer un sistema que incorpore la privacidad como configuración predeterminada, de conformidad con el artículo 25 del RGPD.
Al finalizar el acuerdo o por instrucción del responsable del tratamiento, el encargado del tratamiento de datos deberá garantizar la eliminación de los datos personales registrados.
5. Uso de subcontratistas
Si el encargado del tratamiento de datos utiliza subcontratistas u otras personas que no suelen estar empleadas por él, esto debe acordarse por escrito con el responsable del tratamiento antes de que comience el tratamiento de los datos personales.
Kapitalkontroll tiene un programador asociado que tiene acceso al sistema. Ha firmado un acuerdo para la prestación de servicios a Kapitalkontroll Como único cliente, se le considera empleado y ha firmado un acuerdo de confidencialidad.
KK2 cuenta con integraciones con otros sistemas. La mayoría de ellos proporcionan información a KK2, entre los que se incluyen:
· Registros de Brønnøysund
· La Administración Tributaria
Folleto noruego
KK2 tiene algunos proveedores a los que se les proporciona información. Estos incluyen:
· SvarUt mediante el acuerdo del cliente sobre el envío de documentos
· Digipost mediante un acuerdo separado al que se adhiere el cliente
· La Administración Tributaria
Estas presentaciones no son consideradas una filtración por el Responsable del Tratamiento, sino que se ajustan a los acuerdos que este ha suscrito.
6. Acuerdo con subcontratistas
Dicho acuerdo se formaliza como un anexo al presente acuerdo.
Todas las personas que, en nombre del responsable del tratamiento, realicen tareas que impliquen el uso de los datos personales pertinentes, deberán conocer las obligaciones contractuales y legales del responsable del tratamiento y cumplir con los términos y condiciones establecidos en ellas. El responsable del tratamiento es plenamente responsable de garantizar que el o los subcontratistas cumplan con sus obligaciones en materia de protección de datos personales.
7. Seguridad y desviaciones
El encargado del tratamiento de datos adoptará todas las medidas necesarias para garantizar la seguridad de la información, de conformidad con lo dispuesto en el artículo 32 del RGPD. El encargado del tratamiento documentará los procedimientos y demás medidas adoptadas para cumplir con estos requisitos. Dicha documentación estará a disposición del responsable del tratamiento si este la solicita.
Los datos personales no se transferirán a países fuera del EEE sin el consentimiento previo por escrito del responsable del tratamiento. Esto no se aplica si la legislación noruega exige que el encargado del tratamiento procese específicamente datos personales.
La notificación de incumplimientos conforme a la legislación de protección de datos deberá realizarse mediante la comunicación del incumplimiento al responsable del tratamiento sin dilación indebida, para que este pueda cumplir con sus obligaciones, de conformidad con los artículos 33 y 34 del RGPD, y la notificación del incumplimiento a la Autoridad Noruega de Protección de Datos en un plazo de 72 horas, e inmediatamente en caso de alto riesgo para el interesado. Esto se aplica a los incidentes que afecten a la confidencialidad, la integridad y la disponibilidad de los datos.
8 auditorías de seguridad
El responsable del tratamiento acordará con el encargado del tratamiento que se realicen auditorías de seguridad periódicas de los sistemas y demás elementos cubiertos por este acuerdo. El encargado del tratamiento facilitará y colaborará en las auditorías e inspecciones realizadas por el responsable del tratamiento o por un tercero en su nombre.
8.1 Auditoría
La auditoría podrá incluir una revisión de los procedimientos, controles aleatorios, inspecciones in situ más exhaustivas y otras medidas de control pertinentes. La auditoría se revisará continuamente en lo que respecta a los requisitos de protección de datos, los principios de protección de datos y los derechos de los interesados.
9. Duración del acuerdo
El acuerdo se mantiene vigente mientras el encargado del tratamiento procese datos personales en nombre del responsable del tratamiento.
En caso de incumplimiento de este acuerdo o de la política de privacidad, el responsable del tratamiento podrá ordenar al encargado del tratamiento que cese de inmediato el tratamiento de la información.
El acuerdo podrá ser rescindido por cualquiera de las partes mediante un preaviso mutuo de 3 meses.
10 Terminación
Tras la finalización de este acuerdo, el encargado del tratamiento de datos está obligado a eliminar todos los datos personales recibidos en nombre del responsable del tratamiento y que estén cubiertos por este acuerdo.
El procesador de datos almacena poca información; los datos provienen de los sistemas del controlador, por lo que no procede la devolución.
Se acuerda que el encargado del tratamiento de datos deberá eliminar o destruir adecuadamente todos los documentos, datos, etc., que contengan información amparada por el acuerdo. Esto también se aplica a las copias de seguridad, que se sobrescribirán al cabo de unos meses.
Los datos se destruyen borrándolos y sobrescribiendo los discos con nueva información a lo largo del tiempo. La destrucción más exhaustiva con múltiples sobrescrituras debe acordarse por separado y tendrá un coste adicional.
El responsable del tratamiento de datos deberá documentar por escrito que la eliminación y/o destrucción se ha llevado a cabo de conformidad con el acuerdo en un plazo razonable tras la finalización del mismo.
11 Mensajes
Las notificaciones en virtud del presente Acuerdo deberán enviarse por escrito a:
Cliente responsable del procesamiento
Atención: Gerente de Contratos del Cliente
12. Ley aplicable y jurisdicción
El presente acuerdo se rige por la legislación noruega y las partes acuerdan que el Tribunal de Distrito de Oslo será el competente. Esta disposición se mantendrá incluso después de la rescisión del acuerdo.
13 Validez
Este acuerdo se aplica a todos los clientes de KapitalKontroll AS cuando no se haya suscrito un acuerdo de procesamiento de datos independiente.