Fecha de la última actualización: 17.04.2022

Contrato de procesamiento de datos personales Operador (Cliente)– Encargado (PYNBOOKING)
El presente anexo establece las reglas específicas en lo que respecta al procesamiento de datos de carácter personal enviados por el Beneficiario, en calidad de Operador, a S.C. PYNBOOKING NET SRL, en calidad de encargado de conformidad con el Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal y a la libre circulación de estos datos (denominado en lo sucesivo ”GDPR”), así como cualquier legislación nacional subsecuente relativa al ámbito de la protección de datos de carácter personal.

Art 1. Términos

En el contenido de este anexo, los términos utilizados serán interpretados de conformidad con el GDPR, y cuando corresponda, los términos utilizados tendrán las definiciones estipuladas en el art. 4 del GDPR.

Art 2. Objeto del procesamiento

El objeto del procesamiento de datos personales lo constituye el procesamiento por parte del Encargado de los datos personales enviados por el Operador con el fin de proporcionar los servicios estipulados en el contrato principal de servicios PYNBOOKING.

Art 3. Datos recopilados

Los datos personales puestos a disposición por el Operador procesados en virtud de este contrato son:

Los datos personales de los huéspedes (Clientes) del Operador necesarios para la contratación, facturación, obligaciones legales del Operador u otros fundamentos legales identificados por el Operador, recopilados directa o indirectamente y procesados a través de los servicios PYNBOOKING, tales como nombre, apellidos, datos de identificación y cualquier otro dato personal adicional necesario para los fines antes mencionados.

Los datos de tráfico que incluyen información técnica (por ejemplo, dirección IP) considerados datos personales de los visitantes de las páginas web o aplicaciones del Operador, creados a través de los servicios PYNBOOKING, si corresponde.

Los datos de tarjeta de los huéspedes, solo en caso de que estos datos sean completados por los huéspedes del Operador, exclusivamente en las condiciones establecidas por la plataforma de reservas, el procesador de pagos integrado y/o el banco.

Nombre, apellidos, dirección de correo electrónico, número de teléfono y otros datos personales de los empleados del Operador – establecidos exclusivamente por el Operador - utilizados para acceder a ciertos servicios PYNBOOKING o para ser integrados en la información procesada por los servicios PYNBOOKING (por ejemplo, facturas, etc.)

Art.4 Categorías de personas afectadas

Las categorías de personas afectadas son:
- huéspedes (clientes) del Operador
- visitantes de los sitios web del Operador
- empleados del Operador

Art. 5. Instrucciones específicas

En virtud de este contrato, el Operador da las siguientes instrucciones específicas al Encargado:

Procesar los datos de carácter personal especificados en el artículo 3 con el fin previsto en el art. 7 de las siguientes formas: datos introducidos directamente por el Operador; datos introducidos por el Operador desde otros prestadores mediante su integración (a través de API) con los servicios PYNBOOKING (por ejemplo, importación de reservas desde otros sistemas de reservas, servicios de pago online); datos recopilados directa o indirectamente por el Prestador a través de los servicios PYNBOOKING en nombre del Operador (por ejemplo, el servicio de Booking Engine, GuestApp o cualquier Servicio accesible directamente a los huéspedes del Cliente).

Transmitir los datos personales procesados a otros encargados del Operador, mediante la selección de las categorías de datos a transmitir y la provisión de credenciales de acceso (según corresponda) para el envío de datos a aquellos prestadores donde el Operador tiene una cuenta.

Enviar mensajes por correo electrónico o SMS en nombre del Operador, para el servicio de envío de mensajes por correo electrónico o SMS (si este servicio es utilizado por el Operador);

Mostrar los datos de las tarjetas en la cuenta del Operador, solo en caso de que estos datos sean completados por los huéspedes del Operador, exclusivamente en las condiciones establecidas por la plataforma de reservas, el procesador de pagos integrado y/o el banco;

Art. 6. Duración del procesamiento

La duración del procesamiento de datos de carácter personal es idéntica a la duración del contrato principal de prestación de servicios.

Art. 7 Naturaleza y finalidad del procesamiento

La naturaleza y la finalidad del procesamiento son las establecidas por el Operador en virtud del contrato principal, a saber, la prestación de los servicios PYNBOOKING, en función del paquete de servicios adquirido.

Art. 8 Sub-encargados

En caso de que el procesamiento de datos del Operador o ciertas partes del procesamiento sean realizados por el Encargado a través de otras personas, denominadas sub-encargados, este debe respetar los siguientes principios:

8.1. En virtud de este artículo, el Operador entiende autorizar al Encargado a procesar sus datos a través de los siguientes sub-encargados para las siguientes actividades:
- Amazon (Irlanda/EE.UU.) - para alojamiento, servicio de envío de correo electrónico, SMS
- DataTrans (Suiza) – para el servicio de alojamiento de datos de tarjeta
8.2. Para futuros sub-encargados, el Encargado recibe una autorización general para subcontratar con cualquier otro proveedor de la UE, EEA o país con nivel adecuado de protección reconocido por decisión de la Comisión Europea, que sea necesario para ciertas partes del procesamiento de datos conforme al presente contrato y que ofrezca un nivel de seguridad adecuado, al menos al nivel del presente contrato. Esta autorización incluye la obligación de informar al Operador, mediante un mensaje a través de la cuenta en el sitio web del Encargado o por correo electrónico. El Operador tiene la posibilidad de formular objeciones en un plazo de 2 días hábiles y de rescindir el contrato conforme al art. 10 de los Términos y Condiciones.

Art. 9. Derechos y obligaciones del Operador

El derecho a recibir información del Encargado o a verificar mediante auditor autorizado si el Encargado tiene e implementa medidas técnicas y organizativas adecuadas, de modo que el procesamiento cumpla con los requisitos del GDPR; la verificación se realizará sobre la base de una notificación escrita previa, transmitida con al menos 14 días hábiles de antelación antes de la verificación, tras cubrir los costes estimados por el Encargado;

El derecho a recibir asistencia del Encargado, especialmente para cumplir con su obligación de responder a las solicitudes de las personas afectadas con respecto al ejercicio de sus derechos previstos por el GDPR, excepto cuando los datos estén disponibles directamente en la interfaz PYNBOOKING accesible al Operador;

El derecho a formular objeciones con respecto a otros sub-encargados conforme al art. 8.2;

Respetar sus obligaciones conforme al GDPR en calidad de Operador con respecto a los datos de carácter personal recopilados o procesados por el Encargado en su nombre;

La obligación de informar a las personas afectadas conforme al GDPR, incluyendo la información sobre el procesamiento de datos por parte del Encargado en virtud de este contrato o a través de sus servicios (especialmente en el caso del servicio de Booking Engine, GuestApp o cualquier Servicio accesible directamente a los huéspedes del Cliente);

La obligación de responder exclusivamente por el establecimiento del fundamento legal para el procesamiento de datos de carácter personal objeto del presente contrato;

La obligación de implementar medidas técnicas y organizativas adecuadas conforme al GDPR, incluyendo la securización de la transferencia de datos desde las personas afectadas u otros prestadores hacia el Encargado;

El Operador entiende que desde el momento de la eliminación de los datos después del cese de la prestación de servicios por parte del Encargado conforme a las obligaciones del GDPR y al art. 10 de este contrato, los datos ya no pueden ser recuperados y es responsabilidad exclusiva del Operador asegurarse de haber realizado una copia completa de los mismos.

En todas las situaciones en que el Operador es quien debe ejecutar una obligación, como por ejemplo la información a la persona afectada sobre la violación de la seguridad de los datos de carácter personal, el Encargado no puede ser responsabilizado por las inacciones del Operador en el ámbito de dicha obligación.

Art. 10. Derechos y obligaciones del Encargado:

La obligación de informar al Operador en un plazo máximo de 10 días, en caso de que, en opinión del Encargado, una instrucción infrinja el GDPR y/u otra disposición legal relativa al procesamiento de datos de carácter personal;

La obligación de informar al Operador sin demoras injustificadas de una violación de la seguridad de los datos personales del Operador durante el procesamiento realizado por el Encargado;

La obligación de asistir al Operador con toda la información necesaria para la notificación, si corresponde, a la Autoridad competente por la violación de la seguridad de los datos, pero sin sustituir al Operador en su obligación de notificación;

La obligación de prestar asistencia al Operador para asegurar el cumplimiento de las obligaciones previstas en los artículos 32-36 del GDPR, con la cobertura de los costes adicionales del Encargado en este sentido;

La obligación de asistir al Operador en la resolución de las solicitudes de las personas afectadas o de transmitir al Operador cualquier solicitud recibida de las personas afectadas, en relación con los datos personales que hayan sido recopilados y procesados por el Encargado, en un plazo máximo de 5 días naturales desde su recepción. Esta asistencia no se aplica en la situación en que el Operador ya disponga en las herramientas técnicas proporcionadas por el Encargado de la posibilidad de resolver directamente la solicitud de la persona afectada (por ejemplo, derecho de acceso – donde el Operador ya tiene toda la información sobre qué datos recopila);

La obligación de no transmitir datos de carácter personal y/o información confidencial, que pueda constituir datos de carácter personal, de la que haya tenido conocimiento durante la ejecución del contrato;

La obligación de asegurar la formación del personal propio autorizado para procesar los datos de carácter personal, con respecto a la confidencialidad de estos datos;

La obligación de incluir obligaciones de confidencialidad contractuales hacia empleados y sub-encargados;

El derecho a revelar ciertos datos de carácter personal a solicitud de una autoridad, institución pública o tribunal, o de otro tercero autorizado conforme a la legislación, en virtud de una obligación legal o de otra condición prevista por la legislación.

El derecho a reclutar sub-encargados conforme al art. 8 o en la situación en que haya recibido aprobación del Operador;

El derecho a la cobertura de los costes generados por la asistencia al Operador en las situaciones previstas por el GDPR conforme al art. 9, si estos superan el coste mensual de los servicios prestados por el Encargado.

El derecho a utilizar información estadística anonimizada como resultado de las actividades realizadas en virtud de este contrato o de toda su actividad.

La obligación de eliminar todos los datos recopilados en virtud de este contrato en calidad de Encargado en un plazo máximo de 15 días desde la terminación del contrato entre ambas partes, salvo que el Operador imponga por escrito un plazo más corto;

El Encargado no puede establecer fines o medios de procesamiento de los datos de carácter personal, siendo estos establecidos exclusivamente por el Operador.

Art.11 Seguridad del procesamiento

11.1 El Encargado debe cumplir con medidas técnicas y organizativas adecuadas para asegurar las medidas de seguridad adecuadas en relación con el riesgo, conforme a las buenas prácticas de la industria. Al establecer el nivel adecuado de seguridad, el Encargado debe tener en cuenta el estado actual del desarrollo, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo con diferentes grados de probabilidad y gravedad para los derechos y libertades de las personas físicas, así como los riesgos derivados del procesamiento, especialmente los que puedan dar lugar, de forma accidental o ilegal, a la destrucción, pérdida, modificación o divulgación no autorizada de datos de carácter personal transmitidos, almacenados o procesados de otro modo, o al acceso no autorizado a los mismos.

Art.12 Limitación de responsabilidad

El Operador acepta exonerar al Encargado de toda responsabilidad por los daños que pudieran derivarse de:
- el incumplimiento del contrato debido a eventos que excedan cualquier responsabilidad del Encargado;
- el cumplimiento de las instrucciones del Operador o el incumplimiento de las instrucciones del Operador justificado previamente mediante una notificación referente a su ilegalidad;
- la falta o el vicio del consentimiento de las personas afectadas o del uso de un fundamento legal erróneo por parte del Operador;
- el incumplimiento del contrato debido a acciones del Operador.

Art.13 Delimitación de responsabilidad

El Operador y el Encargado delimitan sus responsabilidades con respecto a la protección de los datos de carácter personal (por ejemplo, asegurar la confidencialidad o la seguridad del procesamiento), en función del acceso y el control efectivo ejercido sobre los datos, tanto desde el punto de vista contractual como técnico.

Art.14 Entrada en vigor y modificaciones

Este anexo entra en vigor el 17 de abril de 2022 y es válido hasta su modificación por PYNBOOKING e información a los clientes en este sentido. El uso de la cuenta después de informar a los clientes significa el acuerdo de estos con respecto a este documento.