Acuerdo de Encargo de Tratamiento

Anexo al contrato de prestación de Cronoria. Reglamento (UE) 2016/679 (RGPD), artículos 28 y siguientes. Forma parte de las Condiciones y se acepta al contratar el servicio.

1. Partes

• Responsable: la empresa o entidad Cliente identificada en el pedido.
• Encargado: Beartez — Manuel Jurado Reula, NIF/CIF 20911817X, domicilio Quebrantahuesos, n.º 3, 49004, Zamora, Zamora, España.

2. Objeto, duración, naturaleza y finalidad

El Encargado tratará datos personales por cuenta del Responsable para prestar, mantener, proteger y dar soporte al servicio Cronoria. El tratamiento durará mientras se mantenga la prestación y, tras finalizar, durante el periodo necesario para devolver, exportar, bloquear o suprimir los datos conforme a este acuerdo y la ley. Las operaciones pueden comprender recogida, registro, estructuración, conservación, consulta, transmisión autorizada, generación de informes, limitación, exportación y supresión.

3. Interesados y datos

Interesados: trabajadores, extrabajadores y colaboradores del Responsable; administradores y usuarios autorizados; personas relacionadas con tickets o justificantes. Datos: identificativos y de contacto profesional, roles y preferencias; horarios, jornada, pausas, observaciones y ausencias; localización cuando el Responsable active la función; documentos justificativos y posibles datos de salud; comunicaciones y soporte; registros de acceso, auditoría e integridad.

4. Instrucciones documentadas

El Encargado tratará los datos únicamente siguiendo instrucciones documentadas del Responsable, incluidas las configuraciones efectuadas por administradores, salvo obligación legal. Si considera que una instrucción infringe la normativa, lo informará y podrá suspender su ejecución. El Responsable reconoce que activar geolocalización o conservar documentos sensibles constituye una instrucción de tratamiento que debe justificar.

5. Obligaciones del Responsable

El Responsable garantiza una base jurídica válida y el cumplimiento de los deberes de información; configura el servicio conforme a minimización y proporcionalidad; controla usuarios, permisos, plazos y exportaciones; atiende derechos y decisiones laborales; y realiza las evaluaciones de impacto necesarias.

6. Personal y confidencialidad

El Encargado garantizará que las personas autorizadas se comprometen a la confidencialidad y acceden únicamente en la medida necesaria para sus funciones.

7. Seguridad

El Encargado aplicará medidas adecuadas conforme al art. 32 RGPD (control de accesos, protección de comunicaciones, cifrado de documentos sensibles, trazabilidad, copias y gestión de incidentes). El Responsable aplicará medidas apropiadas en sus cuentas, dispositivos y usuarios.

8. Subencargados

El Responsable concede autorización general para utilizar los subencargados publicados en la lista vigente. El Encargado informará de incorporaciones o sustituciones con antelación razonable cuando puedan afectar al tratamiento, y el Responsable podrá oponerse por motivos razonables de protección de datos. El Encargado impondrá al subencargado obligaciones equivalentes y seguirá siendo responsable frente al Responsable.

9. Transferencias internacionales

No se realizarán transferencias fuera del EEE sin instrucción o garantía válida. Cuando proceda, se informará de la ubicación y del mecanismo utilizado.

10. Derechos de los interesados

El Encargado notificará al Responsable, sin demora indebida, las solicitudes que reciba relativas a datos tratados por cuenta de este, y prestará asistencia razonable mediante las funciones disponibles. No responderá en nombre del Responsable salvo instrucción o exigencia legal.

11. Asistencia y evaluaciones de impacto

Teniendo en cuenta la naturaleza del tratamiento y la información disponible, el Encargado ayudará al Responsable con seguridad, brechas, evaluaciones de impacto y consultas previas. La decisión sobre necesidad, proporcionalidad y licitud de la geolocalización laboral corresponde al Responsable.

12. Brechas de datos personales

El Encargado notificará al Responsable las brechas que afecten a datos tratados por su cuenta sin dilación indebida desde que tenga constancia, incluyendo la información disponible necesaria, y colaborará en su investigación y contención. El Responsable decide y realiza las notificaciones a autoridades e interesados, salvo obligación directa distinta.

13. Supresión, devolución y copias

Al finalizar, el Encargado, a elección del Responsable y salvo obligación legal, devolverá o suprimirá los datos. Los datos legalmente bloqueados (p. ej. registro de jornada) solo se conservarán para atender posibles responsabilidades durante el plazo aplicable. Las copias de seguridad quedarán aisladas y se eliminarán según su ciclo ordinario.

14. Información, auditorías y evidencias

El Encargado pondrá a disposición información razonablemente necesaria para demostrar cumplimiento. Las auditorías se realizarán con preaviso, alcance proporcionado, confidencialidad y sin comprometer datos de otros clientes ni la seguridad.

15. Responsabilidad y prioridad

Cada parte responde de sus obligaciones conforme al RGPD. En caso de conflicto entre este acuerdo y las condiciones generales respecto del tratamiento de datos personales, prevalece este acuerdo.

Contactos

• Contacto de privacidad del Encargado: info@beartez.es
• Contacto de privacidad del Responsable: se completa en el pedido.