Data Processing Agreement
GDPR-Compliant
Última actualización: marzo 2025
1. Sujeto y Duración
Este Acuerdo regula el Procesamiento de Datos Personales por Refybe en nombre del Cliente, de conformidad con el Artículo 28 del GDPR. La duración del Procesamiento es el término del acuerdo principal entre las Partes, o hasta que todos los Datos Personales sean eliminados o devueltos al Cliente.
2. Naturaleza y Propósito del Procesamiento
- Propósito: La prestación de servicios de gamificación a través de Refybe.com.
- Naturaleza: Recolección, almacenamiento, estructuración, análisis y transmisión.
- Tipos de Datos Personales: Nombres, direcciones de correo electrónico, IDs de usuario, Datos de Participantes (como correo electrónico del participante, nombre, dirección, etc.), registros de actividad.
- Categorías de Interesados: Usuarios finales de los servicios del Cliente.
3. Obligaciones del Procesador de Datos
- Procesar Datos Personales solo según las instrucciones documentadas del Cliente.
- Garantizar la confidencialidad del personal que maneja los datos.
- Implementar medidas técnicas y organizativas apropiadas.
- Ayudar al Controlador de Datos a cumplir con los derechos de los interesados.
- Ayudar con seguridad, notificaciones de violaciones de datos y DPIAs.
- Eliminar todos los Datos Personales al finalizar.
4. Sub-procesamiento
El Cliente autoriza a Refybe a contratar Sub-procesadores como se menciona en el Anexo I. Refybe informa al Cliente sobre cambios previstos en la lista y permite objeciones.
5. Transferencias Internacionales de Datos
Refybe garantiza que las transferencias de Datos Personales fuera del EEE estén sujetas a salvaguardas apropiadas de conformidad con el Capítulo V del GDPR.
6. Derechos de los Interesados
Refybe ayuda al Cliente a cumplir con las obligaciones de responder a solicitudes de interesados según los Artículos 12–23 del GDPR.
7. Eliminación o Devolución de Datos
Al finalizar el servicio, Refybe elimina todos los Datos Personales a menos que la retención sea requerida por ley.
8. Responsabilidad
Cada Parte es responsable por sus propias violaciones del GDPR. Nada en este Acuerdo limita los derechos de los interesados o las autoridades regulatorias.
9. Ley Aplicable
Este Acuerdo se rige por la ley de la Unión Europea y la ley de los Países Bajos.
10. Anexo I – Sub-procesadores Autorizados (en inglés)
Sub-Processor | Service | Location | Safeguards |
---|---|---|---|
AWS | Hosting / Email | Germany / Sweden | EEA, ISO 27001 |
Hetzner | Hosting | Germany | EEA, ISO 27001 |
SendGrid | USA / EU | SCCs |