Acuerdo de procesamiento

Fiestas:

1. La empresa privada de responsabilidad limitada Skully Care BV, con domicilio social en Driebergen (3971 PA) y sede principal de negocios en Diederichslaan 17, por la presente debidamente representada por el Sr. FR Noz, director, en lo sucesivo denominado " Procesador ";

 

y

2. El terapeuta, en lo sucesivo denominado " Cliente " o " Controlador ".

 

en lo sucesivo denominados conjuntamente como: “ Partes ”,

Considera lo siguiente:

 

a. El Encargado realizará servicios en nombre del Controlador, consistentes, entre otras cosas, en poner a disposición la aplicación Skully Care, tal como se describe en los Términos y Condiciones Generales.

 

b. Esto significa que el Procesador procesa datos personales en nombre del Controlador (en adelante: " Datos personales " o el " Procesamiento " o " Procesamiento de (los) Datos personales "), en el sentido de las leyes y reglamentos de privacidad aplicables, incluido el Reglamento General de Protección de Datos (“RGPD”).  

 

C. En parte en vista de las disposiciones de las leyes y regulaciones de privacidad aplicables, como el Artículo 28 del RGPD, las partes desean registrar sus derechos y obligaciones mutuos para el Procesamiento de Datos Personales en este Acuerdo de Procesador.

 

De acuerdo con lo siguiente:

 

Artículo 1: Acuerdo de Encargado de Objeto y Cesión

  1. Este Acuerdo de Procesador se aplica al Procesamiento de Datos Personales en el contexto de la implementación del Acuerdo de Productos y Servicios.
     

  2. El Controlador instruye al Procesador para Procesar Datos Personales para la prestación de los servicios.
     

  3. El Procesador procesará los Datos personales de manera adecuada y cuidadosa y de conformidad con las leyes y reglamentos aplicables con respecto al procesamiento de datos personales, incluido el RGPD.

 

Artículo 2: División de funciones

  1. Con respecto al Procesamiento de Datos Personales que se llevará a cabo en su nombre, el Controlador es el controlador en el sentido de las leyes y regulaciones de privacidad aplicables, como AVG. El procesador es el procesador en el sentido de las leyes y regulaciones de privacidad aplicables, como AVG. Controlador  tiene y retiene un control independiente sobre el propósito y los medios del Procesamiento de los Datos Personales, a diferencia del Procesador. El Procesador seguirá todas las instrucciones del Controlador a este respecto (sujeto a obligaciones legales diferentes) y no tomará ninguna decisión sobre el Procesamiento de Datos Personales.
     

  2. El Procesador se asegura de que el Controlador esté adecuadamente informado antes de celebrar este Acuerdo de Procesador sobre los servicios proporcionados por el Procesador y el Procesamiento a realizar. La información dada debe  permitirles elegir los servicios ofrecidos.
     

  3. Los servicios mencionados en el párrafo 2 deben describirse en un lenguaje comprensible en el Apéndice 1 de este Acuerdo de Procesador, después de lo cual el Controlador  consentimiento informado para la compra de estos servicios. El Controlador y el Procesador se brindan mutuamente toda la información necesaria para permitir el cumplimiento adecuado de las leyes y regulaciones de privacidad relevantes.

 

Artículo 3: Uso de Datos Personales

  1. El Encargado se compromete a no utilizar los Datos Personales obtenidos del Encargado del Tratamiento para otros fines o de forma distinta a la finalidad y la forma para la que los datos le han sido facilitados o le han llegado a conocer. Por lo tanto, el Procesador no está autorizado a llevar a cabo un procesamiento de datos que no sea el que el Controlador le haya instruido (oralmente, por escrito o electrónicamente). Esta obligación se aplica tanto durante la vigencia del Contrato de Procesador y/o el Contrato de Producto y Servicio como después de su expiración.
     

  2. En el Apéndice 2 de este Acuerdo de Procesador se incluye una descripción general de los Datos Personales a los que se relaciona el Procesamiento de Datos Personales.
     

  3. El Encargado se abstiene de proporcionar Datos Personales a un tercero, a menos que este intercambio se realice en nombre del Encargado o cuando sea necesario para cumplir con una obligación legal que incumbe al Encargado. En caso de obligación legal, el Encargado verifica el fundamento de la solicitud y la identidad del solicitante antes de la prestación. Además, el Encargado informará al Responsable -si la ley lo permite- de forma inmediata, si es posible antes de la prestación.

 

Artículo 4: Confidencialidad

  1. El Procesador se asegura de que todos, incluidos sus empleados, representantes y/o subprocesadores, que estén involucrados en el Procesamiento de los Datos Personales, traten estos datos de manera confidencial. Se entiende por subprocesador la parte contratada por el Procesador como Procesador para el procesamiento de datos personales en el contexto de este Acuerdo de procesamiento (" Subprocesador "). El Procesador asegura que se ha celebrado un acuerdo o cláusula de confidencialidad para todos los involucrados en el Procesamiento de los Datos Personales.
     

  2. El deber de confidencialidad a que se refiere este artículo no se aplica en la medida en que el Encargado del Tratamiento haya dado permiso explícito para proporcionar los Datos Personales a un tercero, si la provisión de los Datos Personales a un tercero es necesaria en vista de la naturaleza de los servicios a ser prestados por el Encargado al Encargado del Tratamiento, o si existe una obligación legal de proporcionar los Datos Personales a un tercero.

 

Artículo 5: Seguridad y control

  1. El procesador garantizará las medidas técnicas y organizativas apropiadas para proteger los Datos personales contra pérdida o cualquier forma de procesamiento ilegal. Teniendo en cuenta el estado de la técnica y los costos involucrados en la implementación y ejecución de las medidas, estas medidas garantizarán un nivel adecuado de protección, teniendo en cuenta los riesgos asociados con el procesamiento de Datos Personales y la naturaleza del mismo.
     

  2. Las medidas a que se refiere el artículo 5, apartado 1, incluyen en todo caso:

    1. medidas para garantizar que solo el personal autorizado tenga acceso a los Datos personales procesados en el contexto del Acuerdo del procesador;

    2. medidas para proteger los Datos personales contra, en particular, la destrucción accidental o ilegal, la pérdida, la alteración accidental, el almacenamiento, el acceso o la divulgación no autorizados o ilegales;

    3. medidas para identificar vulnerabilidades con respecto al Tratamiento de Datos Personales en los sistemas utilizados para prestar servicios al Responsable; y

    4. una política de seguridad de la información adecuada para el Tratamiento de los Datos Personales.
       

  3. El procesador evaluará y reforzará, complementará o mejorará las medidas de seguridad de la información que haya tomado en la medida en que los requisitos o desarrollos (tecnológicos) lo motiven.
     

  4. En el Apéndice 3 ,  se describen las medidas técnicas y organizativas de seguridad.
     

  5. El Procesador permite al Controlador cumplir con sus  obligación legal de supervisar el cumplimiento por parte del Encargado de las medidas de seguridad técnicas y organizativas, así como el cumplimiento de las obligaciones a que se refiere el artículo 6 con respecto a las filtraciones de datos (es decir, una violación de datos personales a que se refieren las leyes y reglamentos de privacidad aplicables, tales como Artículo 33 (1) del RGPD ("Fuga de datos"), que el Procesador puede informar sobre la base de una certificación válida o verificación o evidencia equivalente.
     

  6. Además del artículo 5, párrafo 5, el Controlador tiene derecho en todo momento, en consulta con el Encargado y con la debida observancia de un plazo razonable, a sus expensas, a que las medidas de seguridad técnicas y organizativas tomadas por el Encargado sean verificadas por un auditor independiente del Registro EDP. Las partes pueden acordar mutuamente que la auditoría será realizada por un auditor certificado e independiente que será contratado por el Encargado y que emitirá una declaración de terceros (TPM). El controlador es informado sobre los resultados de la auditoría.
     

Artículo 6: Fugas de datos

  1. El procesador tiene una política adecuada para tratar con las fugas de datos.
     

  2. Si el Encargado descubre una Fuga de datos u otro incidente con respecto a la seguridad de los Datos personales, informará inmediatamente al Encargado del tratamiento al respecto. Procesador  proporciona toda la información relevante al controlador con respecto a la fuga de datos, incluida información sobre cualquier desarrollo relacionado con la fuga de datos u otro incidente, y las medidas tomadas por el procesador para limitar las consecuencias de la fuga de datos tanto como sea posible y para evitar una reaparición. Además, el Procesador informará al Controlador sin demora si parece que la violación de datos personales puede presentar un alto riesgo para los derechos y libertades de los Sujetos de datos, como se menciona en las leyes y regulaciones de privacidad aplicables. como el artículo 34, apartado 1, del RGPD.
     

  3. En el caso de una Violación de datos u otro incidente relacionado con la seguridad de los Datos personales, el Procesador tomará todas las medidas razonablemente necesarias para terminar, prevenir y limitar esta y otras Violaciones de datos u otros incidentes relacionados con la seguridad de los Datos personales. El Procesador también permite que el Controlador tome las medidas de seguimiento adecuadas, si así lo desea, con respecto a la Fuga de datos u otro incidente de seguridad.
     

  4. El Procesador cooperará completamente con el Controlador para cumplir con la obligación de informar de las leyes y regulaciones de privacidad aplicables, incluidos los Artículos 33 y 34 AVG, a la Autoridad de Protección de Datos de los Países Bajos y al (los) Interesado(s) de los Datos.
     

  5. Cualquier costo relacionado con el Artículo 6, párrafos 1 a 3, correrá a cargo del Controlador. Los costos involucrados en el Artículo 6, párrafo 4 son por cuenta del Procesador, en la medida en que la Fuga de datos u otro incidente de seguridad sea el resultado de un incumplimiento por parte del Procesador de sus obligaciones de este Acuerdo de Procesador.

 

Artículo 7: Procedimiento para los derechos de los Interesados

  1. Una queja o solicitud de un sujeto de datos (es decir, la persona con la que se relacionan los Datos personales (" Sujeto de datos ")) con respecto al procesamiento de los Datos personales será enviada por el Procesador sin demora indebida al Controlador responsable de manejar la solicitud.
     

  2. El Procesador otorga al Controlador, en la medida de lo razonablemente posible, su plena cooperación para cumplir con las obligaciones en virtud de las leyes y reglamentos aplicables en el campo de la privacidad, incluido el AVG, dentro de los plazos legales, más en particular los derechos de los Interesados como un solicitud de acceso, rectificación, supresión, limitación del tratamiento, transferencia u oposición al tratamiento de Datos Personales.
     

Artículo 8: Tratamiento fuera del Espacio Económico Europeo

  1. El Encargado garantiza que, en la medida en que los Datos Personales sean Procesados fuera del Espacio Económico Europeo (en adelante: EEE), esto solo se lleva a cabo de conformidad con las normas legales y las obligaciones que recaen sobre el Controlador en este sentido. Si los datos se procesan fuera del EEE, esto se indica en el Anexo 1 , incluida una declaración de los países donde se procesan los Datos personales.

 

 

Artículo 9: Contratación del Subprocesador

  1. El procesador puede contratar a un subprocesador, cuyos detalles de identidad y ubicación se incluirán en el Apéndice 1 . El Procesador no puede contratar Subprocesadores distintos de los enumerados en el Apéndice 1 sin el consentimiento del Controlador.
     

  2. El Encargado obliga contractualmente a cada Subencargado a cumplir con obligaciones de confidencialidad, obligaciones de notificación y medidas de seguridad con respecto al Procesamiento de Datos Personales, cuyas obligaciones y medidas deben cumplir al menos con las disposiciones de este Acuerdo de Encargado.
     

  3. El Procesador obliga contractualmente a cada Subprocesador a no procesar Datos Personales más allá del contexto de este Acuerdo de Procesador.  hizo un acuerdo.

 

Artículo 10: Plazos de conservación y destrucción de Datos Personales

  1. Los datos personales y las imágenes del Controlador se conservan mientras el Controlador compre los servicios del Procesador. Una vez finalizada esa relación, el Tratamiento anonimizará los Datos Personales y las imágenes del Responsable. Esto se aplica a menos que el Controlador ya solicite la eliminación de los Datos personales y el material visual.
     

  2. A menos que las Partes hayan acordado lo contrario, el Encargado no está obligado a realizar una copia de seguridad de los Datos personales y las imágenes.

 

Artículo 11: Responsabilidad

  1. El procesador es responsable de los daños que surjan o estén relacionados con el incumplimiento de este Acuerdo de procesador o que actúen en violación de las leyes y regulaciones aplicables en el campo de la privacidad, incluido el RGPD.
     

  2. El procesador solo es responsable de los daños directos que  El Controlador sufre debido a una deficiencia atribuible en el cumplimiento del Acuerdo de Procesador. La responsabilidad del Encargado se limitará en todo momento a la cantidad que la aseguradora de responsabilidad (profesional) del Encargado pague por este concepto. Si el asegurador no paga por cualquier motivo, la responsabilidad del Encargado se limitará en todo momento a un máximo de la cantidad (sin IVA) que el Encargado haya cobrado al Cliente en el año anterior al hecho causante del daño ( s) y que por parte del Cliente haya sido pagado. Si ocurren varios eventos causantes de daños, la compensación total con respecto a todos los eventos en conjunto se limitará a la cantidad descrita en la oración anterior.
     

  3. El procesador no es responsable bajo ninguna circunstancia por daños indirectos y/o consecuentes, incluidos, entre otros, el lucro cesante, los daños debidos a retrasos y los daños como resultado de reclamaciones de clientes/pacientes del Cliente. También se excluye la responsabilidad del Encargado por la pérdida de Datos Personales.
     

  4. Además, una condición para la existencia de cualquier derecho a compensación es que el Controlador informe el daño por escrito al Encargado tan pronto como sea posible después de que haya ocurrido. Cualquier reclamo de compensación contra el Procesador sobre la base de este Acuerdo de Procesador caduca por el mero lapso de dos meses después de que se haya producido el daño.

Artículo 12: Duración y extinción

  1. El término de este Acuerdo de Procesador es igual al término del Acuerdo de Producto y Servicio celebrado entre las Partes, incluyendo cualquier extensión del mismo.
     

  2. Este Acuerdo de Procesador finaliza por ministerio de la ley al rescindir el Acuerdo de Productos y Servicios, es decir, al completar la entrega del producto y servicio acordado por parte del Procesador. La terminación de este Acuerdo de Procesador no liberará a las Partes de sus obligaciones derivadas de este Acuerdo de Procesador, que por su naturaleza se considera que continúan después de la terminación.

 

Artículo 14: Ley aplicable

  1. Solo se aplica la ley holandesa a este Acuerdo de Procesador.
     

  2. Todas las disputas que surjan de o estén relacionadas con este Acuerdo de Procesador se presentarán exclusivamente ante el tribunal competente.

ANEXO 1: PRODUCTO Y/O SERVICIO

 

Información general

Nombre del producto y/o servicio: Aplicación Skully Care.

Breve explicación y funcionamiento del producto y servicio: método de medida para determinar la deformación del cráneo mediante fotodetección.

Enlace a la página del proveedor y/o producto: https://www.skullycare.com

subprocesadores

El procesador utiliza los siguientes subprocesadores:

 

Yukon Software Ltd en Ucrania.

Tarea/servicio: desarrollo y actualización de la App.

 

ANEXO 2: DATOS PERSONALES

Descripción Datos personales, naturaleza del procesamiento y, etc.

Este Acuerdo de Procesador se relaciona con el siguiente procesamiento de Datos Personales. Ver horario en la página siguiente.

ANEXO 3: MEDIDAS DE SEGURIDAD TÉCNICA Y ORGANIZATIVA

 

Descripción de las medidas a que se refiere el artículo 5, párrafo 2 Acuerdo de procesamiento

  1. Descripción de las medidas para garantizar que solo el personal autorizado tenga acceso al Tratamiento de Datos Personales.

La aplicación móvil 'Skully Care' es una herramienta digital desarrollada para asistir al terapeuta en el tratamiento de bebés con deformidad craneal. Con la aplicación Skully Care, el terapeuta puede realizar una medición, monitorear el progreso y compartir la información del tratamiento con los padres o cuidadores del bebé de manera fácil y rápida. Esta información compartida solo se intercambia entre el terapeuta y los padres o tutores. El terapeuta puede invitar a los padres o tutores del niño a ver los datos. La aplicación se ejecuta en un servidor, donde también se almacenan los datos. Al fotografiar la parte superior de la cabeza, el terapeuta mide el grado de aplanamiento. Uno de nuestros empleados realiza el cálculo de la deformación del cráneo. Los bebés no son reconocibles en las fotos.

 

El terapeuta (profesional de atención) crea un perfil con detalles de contacto (por ejemplo, nombre, organización, dirección, número de teléfono y dirección de correo electrónico). Los padres o tutores (no profesionales sanitarios) pueden crear un perfil con los datos de contacto (por ejemplo, nombre y número de teléfono). El terapeuta puede crear un perfil para su bebé tratado (por ejemplo, nombre, primera letra del apellido, fecha de nacimiento y sexo). Al usar la aplicación Skully Care, el terapeuta puede agregar información al perfil del bebé, como resultados de mediciones, consejos de tratamiento y fotos de la parte superior de la cabeza. Skully Care concluye un Acuerdo de Procesamiento con los terapeutas afiliados. En este se acuerda que el tratamiento de los datos personales debe realizarse siempre de conformidad con las directrices de la legislación sobre privacidad.

 

Durante el estudio de confiabilidad, solo se utiliza la funcionalidad de medición de la aplicación Skully Care. Se asigna un número a cada medida. Como resultado, no se almacenan datos personales del bebé o del probador. Por lo tanto, no se utiliza el seguimiento del progreso y el intercambio de un plan de tratamiento.

 

Debido a que esta es una versión básica, cualquier desarrollo posterior de la aplicación Skully Care conducirá a una aplicación lista para el mercado (disponible públicamente en la tienda de aplicaciones) y se tomarán los pasos formales necesarios para la certificación. Esto está en línea con el procedimiento habitual en el desarrollo de productos médicos (de acuerdo con el Reglamento de Dispositivos Médicos MDR), mediante el cual la validación y certificación se lleva a cabo con el producto final, en la forma en que realmente se comercializa.

 

Seguridad de información

Skully Care utiliza un servidor. La aplicación se ejecuta en un servidor y los datos se almacenan.

 

El servidor donde se ejecuta la aplicación Skully Care y donde se almacenan los datos se ejecuta en AWS Amazon Lightsail en Frankfurt, Alemania. AWS proporciona copias de seguridad diarias (PITR de recuperación de un punto en el tiempo) y cuenta con cifrado SSL de extremo a extremo. La conexión entre el servidor y el cliente (teléfono móvil) está protegida mediante SSH.

 

La comunicación entre la aplicación y el servidor está protegida por HTTPS y se basa en "firma en cada solicitud" Oauth. Es posible acceder al servidor a través del 'back office'. El back office se configura como una herramienta de control y gestión. Solo el equipo de Skully Care puede acceder a la oficina administrativa. Esto está asegurado por las medidas anteriores y está protegido por nombre de usuario y contraseña.

 

 

Reporte

Además de la notificación a que se refiere el artículo 6, párrafo 2, el procesador informa al controlador  sobre las medidas adoptadas por el Encargado con respecto a las medidas técnicas y organizativas de seguridad adoptadas, siempre que en las mismas se produzcan cambios, adiciones u otros puntos de atención.

Datos de contacto: FR Noz, info@skullycare.com .