Contrato de prestación de servicio online

De conformidad con la normativa vigente y aplicable en protección de datos de carácter personal, le informamos que sus datos serán incorporados al sistema de tratamiento titularidad de FIDELTOUR SL con CIF B16519019 y domicilio social sito en GREMI FUSTERS 33 PISO 3 PUERTA 14 07009 PALMA DE MALLORCA (ILLES BALEARS), con la finalidad de atender los compromisos derivados del contrato suscrito entre ambas partes. La base que legitima el tratamiento de los datos es la ejecución del contrato. Sus datos podrán ser cedidos a las entidades bancarias necesarias para realizar la facturación de dicho servicio y a la administración pública en los casos previstos por la ley Los datos personales serán conservados durante el plazo estrictamente necesario para cumplir con la finalidad del contrato, salvo obligación legal. El ejercicio de los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento de los datos puede interponerse a la dirección indicada con anterioridad. Podrá dirigirse a la Autoridad de Control competente para presentar la reclamación que considere oportuna.

Asimismo, según lo establecido en el artículo 28 del RGPD: “El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable”.


I. FIDELTOUR SL informa al usuario que la aceptación del presente contrato de prestación de servicios seguirá vigente entre ambas partes mientras se mantenga la relación contractual. II. Que para la correcta prestación de los servicios relacionados, el Responsable del Tratamiento pondrá a disposición del Encargado del Tratamiento datos de carácter personal automatizados y/o no automatizados que contienen datos personales. III. Que en cumplimiento de la normativa vigente en Protección de Datos de Carácter Personal, ambas partes acuerdan libremente regular el acceso y tratamiento de los datos de carácter personal mencionados, en base a las siguientes:


Cláusulas

PRIMERA.- Objeto: el tratamiento de los datos de carácter personal que el Responsable de Tratamiento pone a disposición del Encargado del Tratamiento para que este pueda prestar los servicios encomendados.


SEGUNDA.- Finalidad del tratamiento: el acceso por parte del Encargado del Tratamiento a los datos de carácter personal que se encuentran en los sistemas de tratamiento del Responsable del Tratamiento, será única y exclusivamente para dar cumplimiento a las finalidades establecidas en el presente contrato.


TERCERA.- El Encargado del Tratamiento podrá acceder a aquellos datos personales de los colectivos de interesados necesarios para la prestación de los servicios.


CUARTA.- Obligaciones y derechos del Responsable del Tratamiento: según lo establecido en la normativa vigente en Protección de Datos de Carácter Personal el Responsable del Tratamiento deberá:


a) Aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme a la legislación vigente y aplicable. b) Adoptar las políticas en materia de protección de datos c) Garantizar que el Delegado de Protección de Datos o, en su defecto el Responsable de Privacidad participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales d) Llevar un registro de actividades de tratamiento en caso de tratar datos personales que supongan un riesgo para los derechos y libertades del interesado y/o de manera no ocasional, o que implique el tratamiento de categorías especiales de datos y/o datos relativos a condenas e infracciones e) Poner a disposición de los interesados los aspectos esenciales del presente acuerdo f) Atender indistintamente los ejercicios de derecho establecidos en la normativa vigente en Protección de Datos de Carácter Personal y cumpliendo las estipulaciones que se indican en la cláusula SEXTA aunque dicho ejercicio se dirija ante el Encargado del Tratamiento g) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado, cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas. Así como realizar consultas previas a la Autoridad de Control, cuando proceda. h) Ejercer de forma diligente derecho de información frente al interesado, en el momento de la recogida delos datos. i) Entregar al encargado del tratamiento los datos a los que se refiere la cláusula CUARTA del presente contrato. j) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la normativa aplicable y vigente en materia de protección de datos por parte del encargado del tratamiento. k) Supervisar el tratamiento por parte del encargado del tratamiento, incluida la realización de inspecciones y auditorías.


QUINTA.- Obligaciones y derechos del Encargado del Tratamiento: según lo establecido en la normativa vigente en Protección de Datos de Carácter Personal, el Encargado del Tratamiento y todo su personal deberá:

Derecho de portabilidad: El derecho a recibir los datos personales que el usuario, haya facilitado, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable.


a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. b) Tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento. c) Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria, así como se hayan comprometido al cumplimiento estricto de las medidas de seguridad previstas para la provisión del servicio previsto en el OBJETO del presente contrato. d) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. e) Tomar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. En todo caso, deberá implantar mecanismos para: a. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. b. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento. d. Seudonimizar y cifrar los datos personales, en su caso. f) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admisibles. El Encargado del Tratamiento puede comunicar los datos a otros encargados del tratamiento del mismo Responsable del Tratamiento, de acuerdo con las instrucciones del Responsable del Tratamiento. En este caso, el Responsable del Tratamiento identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. g) Respetar las condiciones para recurrir a otro Encargado del Tratamiento, según lo establecido en la normativa vigente y aplicable en Protección de Datos de Carácter Personal. El Encargado del Tratamiento no podrá subcontratar ninguna de las prestaciones que formen parte del objeto del presente contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del Encargado del Tratamiento. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al Responsable del Tratamiento, con una antelación de 15 días hábiles, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido. El subcontratista, que también tendrá la condición de Encargado del Tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el responsable. Corresponde al Encargado del Tratamiento inicial regular la nueva relación contractual de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad), previstas en la presente cláusula, y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del sub encargado, el Encargado del Tratamiento inicial seguirá siendo plenamente responsable ante el responsable del Tratamiento en lo referente al cumplimiento de las obligaciones. h) Dar apoyo al Responsable del Tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. Así como en la realización de las consultas previas a la autoridad de control, cuando proceda. i) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable. j) Asistir al Responsable del Tratamiento en cuanto a la detección de violaciones de seguridad de los datos, el Encargado del Tratamiento, notificará al Responsable del Tratamiento, sin dilación indebida, con un plazo máximo de 24 Horas a través del correo electrónico que se haya indicado, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. k) Tratar los datos personales puestos a disposición del Encargado de Tratamiento de manera que garantice que el personal a su cargo sigue con las instrucciones del Responsable de Tratamiento l) Garantizar que el Delegado de Protección de Datos o, en su defecto el Responsable de Privacidad participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. m) Llevar un registro, en caso de tratar datos personales que supongan un riesgo para los derechos y libertades del interesado o de manera no ocasional, o que implique el tratamiento de categorías especiales de datos y/o datos relativos a condenas e infracciones, de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable. n) Asistir al Responsable del Tratamiento en cuanto al ejercicio de derechos del interesado y cumpliendo las estipulaciones que se indican en la cláusula SÉPTIMA. Cuando las personas afectadas ejerzan cualquiera de estos derechos frente al Encargado del Tratamiento, relativos a los tratamientos previstos en el objeto del presente contrato, éste debe comunicarlo por correo electrónico a la dirección indicada. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.


FIDELTOUR SL realizará las siguientes actuaciones:
Acceso a la información pública del perfil.
Publicación en el perfil del usuario de toda aquella información ya publicada en la página de FIDELTOUR SL.
Enviar mensajes personales e individuales a través de los canales de la Red Social.
Actualizaciones del estado de la página que se publicarán en el perfil del usuario.
El usuario siempre puede controlar sus conexiones, eliminar los contenidos que dejen de interesarle y restringir con quién comparte sus conexiones, para ello deberá acceder a su configuración de privacidad.


SEXTA.- Ejercicio de derechos por parte del interesado: 1. Acceso, rectificación, supresión (“Derecho al olvido”) y oposición, 2. Limitación del tratamiento, 3. Portabilidad de datos, 4. A no ser objeto de decisiones individualizadas automatizadas): si el interesado dirige alguna solicitud o ejerce alguno de los derechos establecidos en la normativa vigente y aplicable en Protección de Datos de Carácter Personal, el Responsable de Tratamiento, y con el diligente soporte del Encargado de Tratamiento, deberá facilitarle la información sobre las actuaciones solicitadas y realizadas, sin demora y, a más tardar, en el plazo de un mes a partir de la recepción de la solicitud, el cual podrá prorrogarse un máximo de otros dos meses en caso necesario, teniendo en cuenta la complejidad de la solicitud y el número de las solicitudes. En el mismo sentido, pero en el caso de que el Responsable del Tratamiento y/o el Encargado del Tratamiento no dé curso a la solicitud del interesado, le informará sin demora, y a más tardar al mes de la recepción de la solicitud, de las razones por las que no ha actuado y de la posibilidad de presentar una reclamación ante una Autoridad de Control y de interponer recurso judicial. La respuesta a la solicitud al ejercicio de derecho se realizará en el mismo formato que haya utilizado el interesado, a menos que solicite que se proceda de otro modo.


SÉPTIMA.- Transferencia Internacional de Datos: las Transferencias Internacionales de Datos personales sólo podrán realizarse si se cumplen con las exigencias recogidas por la Agencia Española de Protección de Datos, o cualesquiera otra normativa nacional o comunitaria que las regulen. En el caso de que se realicen o se tenga previsto realizar alguna Transferencia Internacional de Datos se deberá regular este tipo de tratamiento de forma independiente al presente contrato de prestación de servicios, el cual será vinculante entre las partes desde el momento de su firma. Dicha regulación se referenciará como Anexo y se adjuntará al presente contrato. En el caso de que el Encargado del Tratamiento decidiera realizar Transferencias Internacionales de Datos, sin el beneplácito del Responsable del Tratamiento, será considerado también Responsable del Tratamiento, respondiendo personalmente de las infracciones en las que hubiese incurrido.


OCTAVA.- Violación de seguridad de los datos: tanto en cuanto exista una instrucción de la autoridad de control, un desarrollo legislativo nacional que regule estas comunicaciones o un acto delegado, en caso de violación de la seguridad de los datos personales, el Responsable del Tratamiento y/o el Encargado de Tratamiento la notificará a la Autoridad de Control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.


NOVENA.- Rescisión, resolución y extinción: la rescisión, resolución o extinción de la relación contractual de prestación de servicios entre el Responsable del Tratamiento y el Encargado del Tratamiento, obligará a este último a la devolución de los soportes y de todos los datos contenidos en los mismos, entregados por parte del Responsable del Tratamiento al Encargado del Tratamiento para la adecuada prestación del servicio, así como todos aquellos datos personales y soportes generados durante la prestación del servicio, serán devueltos al Responsable del Tratamiento en un plazo máximo de 60 días hábiles a contar desde la recisión del contrato mercantil entre las partes. Esta información será devuelta en el formato en el cual se encuentre en el momento de la resolución del contrato, exceptuando cuando por motivos de volumen requiera un esfuerzo extraordinario por parte del Encargado del Tratamiento, esta situación requerirá una acuerdo entre Responsable del Tratamiento y Encargado del tratamiento a fin de consensuar el formato en el cual se devolverá a información. En todo caso ésta se devolverá en las oficinas del Responsable del tratamiento notificadas como sede social del Responsable del Tratamiento. La rescisión o extinción de la relación contractual de prestación de servicios obligará a Encargado de Tratamiento a conservar los datos de carácter personal facilitados por el primero, siempre que exista la obligación legal de conservación. Una vez transcurrido el plazo establecido para cubrir las responsabilidades legales, los datos de carácter personal deberán ser destruidos, al igual que cualquier soporte o documento en que conste algún dato de carácter personal.


DÉCIMA.- Penalización: En caso de incumplimiento de las cláusulas establecidas en este contrato se iniciaran las acciones disciplinarias pertinentes dispuestas en el acuerdo mercantil ratificado entre las partes


DUODÉCIMA.- Legislación aplicable y Jurisdicción: La relación entre las partes se regirá por la normativa vigente y de aplicación en el territorio español. De surgir cualquier controversia las partes podrán acudir a la jurisdicción ordinaria cumpliendo con las normas sobre jurisdicción y competencia al respecto.


El aceptante declara ser el representante legal y tener capacidad legal para la aceptación de la presente cláusula. Asimismo, se informa que la aceptación de la presente cláusula, acredita la aceptación de cada uno de los puntos expuestos en la misma.