Acuerdo de tratamiento de datos

El presente Acuerdo de Tratamiento de Datos («Acuerdo») forma parte de los Términos y Condiciones entre:

El presente Acuerdo se aplica cuando el Encargado del tratamiento trata datos personales en nombre del Responsable del tratamiento en relación con la plataforma OverToo («Servicio»). Al aceptar los Términos y Condiciones, el Responsable del tratamiento acepta los términos de este Acuerdo.

1. Objeto y alcance

El presente Acuerdo regula el tratamiento de datos personales por parte del Encargado del tratamiento en nombre del Responsable del tratamiento, de conformidad con el artículo 28 del RGPD (UE) 2016/679. El tratamiento se limita a lo necesario para prestar el Servicio.

2. Funciones de las partes

• El responsable del tratamiento determina los fines y los medios del tratamiento de los datos personales.
• El encargado del tratamiento trata los datos personales únicamente por cuenta del responsable.

El encargado del tratamiento no tratará los datos personales para sus propios fines.

3. Naturaleza y finalidad del tratamiento

Las actividades de tratamiento realizadas por el encargado por cuenta del responsable incluyen:

• Alojamiento y almacenamiento de datos
• Gestión de cuentas de usuario
• Programación y gestión de sesiones
• Comunicación y notificaciones
• Facilitación del procesamiento de pagos
• Soporte técnico y mantenimiento del sistema

4. Categorías de datos y de interesados

5. Instrucciones

El encargado del tratamiento solo tratará los datos personales:

• siguiendo instrucciones documentadas del responsable,
• según sea necesario para prestar el Servicio,
• o cuando lo exija la legislación aplicable (en cuyo caso el encargado del tratamiento informará al responsable, salvo que la ley lo prohíba).

6. Confidencialidad

El Encargado del tratamiento garantiza que todo el personal autorizado a tratar datos personales está sujeto a las correspondientes obligaciones de confidencialidad y recibe formación adecuada en materia de protección de datos.

7. Medidas de seguridad

El encargado del tratamiento implementa medidas técnicas y organizativas apropiadas, entre ellas:

• Cifrado en tránsito (TLS/HTTPS)
• Hashing seguro de contraseñas
• Controles de acceso basados en roles
• Separación lógica de los datos de cada inquilino
• Monitorización y registro
• Evaluaciones de seguridad periódicas

8. Subencargados del tratamiento

El Responsable del tratamiento autoriza al Encargado del tratamiento a contratar las siguientes categorías de subencargados:

Categoría	Ejemplos
Alojamiento e infraestructura	Proveedor de servidores y alojamiento en la nube
Procesamiento de pagos	Stripe, PayPal, Przelewy24
Entrega de correo electrónico	Proveedor SMTP configurado por la escuela (p. ej. Gmail, Outlook 365)

El Encargado del tratamiento garantiza que los subencargados están vinculados por obligaciones equivalentes de protección de datos. Una lista actualizada de subencargados está disponible previa solicitud en support@overtoo.com.

9. Transferencias internacionales

Cuando los datos personales se transfieren fuera del EEE, el Encargado del tratamiento garantiza las salvaguardas adecuadas, incluidas las Cláusulas Contractuales Tipo (CCT) u otros mecanismos de transferencia legales conforme al Capítulo V del RGPD.

10. Asistencia al responsable

El Encargado del tratamiento asistirá al Responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento, en:

• responder a las solicitudes de los interesados (acceso, rectificación, supresión, portabilidad, oposición),
• garantizar el cumplimiento de las obligaciones del RGPD relativas a la seguridad y la notificación de violaciones,
• evaluaciones de impacto relativas a la protección de datos (DPIA) cuando proceda.

11. Violación de datos personales

El encargado del tratamiento deberá:

• notificar al responsable del tratamiento sin dilación indebida tras tener conocimiento de una violación de datos personales que afecte a los datos del responsable,
• facilitar toda la información pertinente para apoyar el cumplimiento del responsable con los artículos 33 y 34 del RGPD.

12. Conservación y eliminación de datos

Tras la terminación del Servicio:

• los datos personales se eliminarán o, a solicitud por escrito del responsable, se devolverán al responsable,
• salvo que la conservación sea exigida por la ley aplicable.

El Responsable del tratamiento es responsable de solicitar una exportación de datos antes de la terminación. Las solicitudes de exportación deben enviarse a support@overtoo.com.

13. Derechos de auditoria

El Encargado del tratamiento pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento del presente Acuerdo. Las auditorías serán razonables y proporcionadas, sujetas a notificación previa por escrito, y no comprometerán la seguridad de otros clientes.

14. Responsabilidad

Cada parte sigue siendo responsable de su propio cumplimiento del RGPD. El encargado del tratamiento es responsable únicamente de los daños causados por incumplimientos de sus obligaciones específicas en virtud del presente Acuerdo o de la legislación aplicable en materia de protección de datos.

15. Legislacion aplicable

El presente Acuerdo se rige por las leyes de Polonia, sin perjuicio del derecho aplicable de la UE en materia de protección de datos, incluido el RGPD.

16. Relación con los Términos

El presente Acuerdo forma parte y se incorpora a los Términos y Condiciones que rigen el uso del Servicio. En caso de conflicto entre el presente Acuerdo y los Términos y Condiciones, el presente Acuerdo prevalecerá en lo que respecta a la protección de datos.

17. Contacto

Para consultas sobre protección de datos o para solicitar una copia firmada de este Acuerdo:

OverToo
Correo: support@overtoo.com
Dirección: Warsaw, Poland | London, United Kingdom