Acuerdo de Procesamiento de Datos PhotoRobot (DPA)

Este documento representa el Acuerdo de Procesamiento de Datos PhotoRobot: Versión 1.0 — Edición PhotoRobot, uni-Robot Ltd., República Checa.

‍

‍

1. Partidos

Este Acuerdo de Procesamiento de Datos ("DPA") se celebra entre:

Controlador (Cliente)
La persona física o jurídica que ha celebrado los Términos de Servicio de PhotoRobot y utiliza el Servicio.

y

Procesador:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
República Checa
ID de la empresa: 01478061
ID de IVA: CZ01478061
Correo electrónico: legal@photorobot.com

En adelante, se denominarán colectivamente las "Partes".

Esta DPA complementa los Términos de Servicio de PhotoRobot y se aplica cuando PhotoRobot procesa datos personales en nombre del Cliente.

‍

‍

2. Materia y naturaleza del procesamiento

PhotoRobot ("Procesador") proporciona servicios en la nube, extensiones de software locales, gestión de firmware e infraestructura de alojamiento necesaria para procesar imágenes, metadatos y contenido digital relacionado subido por el Cliente ("Responsable").

El procesamiento incluye:

• Colección
• Almacenamiento
• Transmisión
• Extracción de metadatos
• sincronización entre CL ↔ Cloud
• alojamiento de contenido subido por clientes
• Creación de registros y diagnósticos
• Operaciones de respaldo

El tratamiento se realiza estrictamente en nombre del Responsable, conforme a sus instrucciones documentadas.

‍

‍

3. Duración

Esta APD permanece vigente durante toda la duración de la relación contractual entre las Partes, y a partir de entonces mientras el Procesador almacene o procese cualquier dato personal en nombre del Responsable.

‍

‍

4. Datos personales y categorías de sujetos de datos

4.1. Tipos de datos personales

Dependiendo de cómo se utilice el Servicio, los datos procesados pueden incluir:

• Datos de identificación (nombre, apellido, empresa)
• Datos de contacto (correo electrónico, teléfono)
• Contenido visual (imágenes, vídeos)
• Metadatos asociados al contenido subido
• datos de registro, direcciones IP, identificadores técnicos
• Datos a nivel de proyecto
• credenciales (hashadas), tokens de acceso

El Procesador no requiere ni procesa intencionadamente categorías especiales de datos (Art. 9 GDPR).

‍

4.2. Categorías de sujetos de datos

• Empleados del cliente
• Clientes o socios del cliente
• Usuarios autorizados
• Cualquier persona presentada en contenido visual subido por el Cliente

El cliente es el único responsable de garantizar la recogida legal de datos de los sujetos de los datos.

‍

‍

5. Instrucciones del Controlador

El procesador procesa solo datos personales:

1. según las instrucciones documentadas del Controlador,
2. según sea necesario para proporcionar el servicio,
3. garantizar la seguridad, integridad y disponibilidad de los sistemas,
4. según lo requiera la legislación de la UE o la República Checa.

Si el Procesador considera que una instrucción es ilegal, debe notificar al Responsable.

‍

‍

6. Confidencialidad

El Procesador garantiza que todas las personas autorizadas para procesar datos personales:

• están sujetas a obligaciones de confidencialidad,
• haber recibido la formación adecuada,
• procesar los datos únicamente bajo instrucciones del Responsable.

‍

‍

7. Subprocesadores

El procesador utiliza ciertos terceros ("Subprocesadores") para soportar el Servicio.

‍

7.1. Subprocesadores aprobados

El Controlador concede autorización general para que el Procesador interactúe con las siguientes categorías de Subprocesadores:

• Proveedores de infraestructura cloud (por ejemplo, Google Cloud Platform)
• Proveedores de entrega de correo electrónico
• Proveedores de análisis
• Sistemas de venta de billetes
• Servicios de monitorización de seguridad
• Sistemas de respaldo y recuperación ante desastres

Se mantiene una lista completa en la Lista de Subprocesadores de PhotoRobot y puede actualizarse.

‍

7.2. Notificación de cambios

El Procesador deberá notificar al Controlador cualquier cambio previsto en los Subprocesadores con al menos 15 días de antelación, permitiendo así que el Controlador se opone por motivos razonables.

‍

‍

8. Transferencias internacionales de datos

Cuando los subprocesadores o la infraestructura están ubicados fuera del EEE, el procesador asegura:

• aplicación de las Cláusulas Contractuales Estándar (SCC 2021),
• salvaguardas técnicas y organizativas suplementarias,
• acceso y cifrado minimizados,
• auditorías de cumplimiento realizadas por el proveedor subyacente.

Google Cloud Platform ofrece:

• ISO 27001, ISO 27017, ISO 27018
• Informes SOC 1/2/3
• Documentación de cumplimiento del RGPD

Detalles disponibles en https://cloud.google.com/security.

‍

‍

9. Medidas de seguridad

El procesador deberá implementar medidas técnicas y organizativas (TOM) estándar de la industria, incluyendo:

‍

9.1. Medidas técnicas

• Cifrado TLS de datos en tránsito
• Almacenamiento seguro con tokens de acceso cifrados
• Entornos de procesamiento aislados
• Hash de contraseñas
• Límites de velocidad y sistemas de detección de intrusiones
• Cortafuegos multicapa
• seguridad física de centros de datos (vía Google Cloud)

‍

9.2. Medidas organizativas

• Control de acceso basado en roles
• Registro y monitorización de acceso
• Políticas internas para el manejo de datos
• Obligaciones de confidencialidad laboral
• Formación periódica en seguridad
• Gestión de riesgos de proveedores

Una lista completa de TOMs está disponible bajo solicitud.

‍

‍

10. Derechos del Sujeto de Datos

El procesador ayuda al controlador a responder a:

• Solicitudes de acceso
• Rectificación
• Eliminación
• Restricción
• Portabilidad de datos
• Objeciones

El Procesador deberá reenviar cualquier solicitud directa de un sujeto de datos al Responsable del Tratamiento sin demora indebida.

‍

‍

11. Notificación de brecha de datos

En caso de una brecha de datos personales, el Responsable deberá notificar al Responsable:

• Sin demora excesiva,
• incluyendo toda la información requerida por el Artículo 33 del RGPD,
• y proporcionar actualizaciones continuas hasta que se complete la remediación.

El controlador sigue siendo responsable de notificar a las autoridades y a las personas afectadas.

‍

‍

12. Eliminación o devolución de datos

Tras la finalización del contrato:

• El procesador elimina los datos del cliente tras 30 días,
• salvo que el Controlador indique lo contrario,
• excepto cuando la retención sea exigida por ley.

Las copias de seguridad se sobrescriben durante su ciclo de vida normal.

‍

‍

13. Auditorías

El controlador tiene derecho a:

• recibir documentación que demuestre el cumplimiento del RGPD
• solicitar un informe sobre los TOMs
• realizar auditorías razonables, limitadas a una vez al año
• depender de certificaciones de terceros (informes ISO/SOC de Google Cloud)

Las auditorías no deben poner en peligro la seguridad ni interrumpir las operaciones.

‍

‍

14. Responsabilidad

La responsabilidad de las Partes sigue los Términos de Servicio.
El Responsable responsable solo es responsable de incumplimientos causados por su propia violación de las obligaciones del RGPD.

‍

‍

15. Derecho y jurisdicción aplicables

Esta DPA está regida por las leyes de la República Checa.

Las disputas serán resueltas por los tribunales de Praga, República Checa.

‍

‍

16. Cláusulas contractuales estándar (SCC)

Cuando sea necesario, el SCC 2021 (Módulo 2: Controlador → Procesador) se aplica como anexo a esta DPA.

PhotoRobot:

• incorpora SCC por referencia,
• incluye todas las cláusulas obligatorias,
• Implementa medidas técnicas suplementarias
• garantiza el cumplimiento de las transferencias a subprocesadores fuera del EEE.

El SCC puede ser proporcionado íntegramente a petición.

‍

‍

17. Contacto

uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
República Checa

Correo electrónico: legal@photorobot.com

‍