Acuerdo de Procesamiento de Datos (DPA)
Plantilla para un acuerdo de procesamiento de datos (Auftragsverarbeitung) de acuerdo con el Art. 28 GDPR. Personalice las partes y anexos para su situación.
1. Sujeto y duración
Este acuerdo regula el tratamiento de datos personales por parte del Procesador en nombre del Controlador en relación con la prestación de los servicios acordados en el contrato principal. La duración del tratamiento corresponde al término del contrato principal.
2. Naturaleza y propósito del tratamiento
El Procesador trata los datos personales según sea necesario para proporcionar los servicios contratados (por ejemplo, cuentas de usuario, facturación, soporte, uso de API). La naturaleza y el alcance se establecen en el contrato principal y en el Anexo 1 (objeto y duración del tratamiento, naturaleza y propósito, tipos de datos, categorías de sujetos de datos).
3. Obligaciones del Controlador y el Procesador
El Procesador solo tratará los datos personales según las instrucciones documentadas del Controlador, incluida la transferencia a un país tercero, a menos que así lo exija la ley de la Unión o del Estado miembro. El Procesador deberá garantizar que las personas autorizadas para tratar los datos estén sujetas a confidencialidad. Se implementarán medidas técnicas y organizativas adecuadas (Art. 32 GDPR). El Procesador ayudará al Controlador a responder a las solicitudes de los sujetos de datos y a garantizar el cumplimiento de los Artículos 32 a 36 del GDPR. Al final del contrato, el Procesador deberá eliminar o devolver los datos personales y eliminar las copias existentes a menos que la ley exija su conservación.
4. Subprocesadores
El Procesador solo puede contratar subprocesadores con el consentimiento previo del Controlador (general o específico). Las mismas obligaciones de protección de datos que en este acuerdo se impondrán a los subprocesadores por contrato. El Procesador sigue siendo responsable ante el Controlador por el cumplimiento de las obligaciones de los subprocesadores.
5. Auditorías
El Procesador deberá poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento y deberá permitir y contribuir a auditorías e inspecciones, de acuerdo con el contrato principal y la legislación aplicable.
Este es un modelo. Hágalo revisar por su asesor legal antes de usarlo. El Anexo 1 (detalles del tratamiento) y el Anexo 2 (medidas técnicas y organizativas) deben completarse y adjuntarse.