Acuerdo de Tratamiento de Datos

Los términos en mayúsculas no definidos aquí tendrán el significado del RGPD o el RGPD del Reino Unido. 'Cliente' significa la entidad que ha aceptado los Términos del Servicio de Randvu. 'Datos Personales del Cliente' son los datos personales que Randvu trata por cuenta del Cliente. 'Subencargado' es cualquier tercero contratado por Randvu para tratar Datos Personales del Cliente.

El Cliente es el responsable del tratamiento de los Datos Personales del Cliente. Randvu es el encargado del tratamiento y solo trata los Datos Personales del Cliente conforme a las instrucciones documentadas del Cliente, incluidas las relativas a transferencias a un tercer país, salvo que la ley aplicable exija lo contrario.

Randvu trata los Datos Personales del Cliente para prestar el Servicio descrito en los Términos del Servicio y cualquier orden. El tratamiento abarca gestión de reservas, comunicaciones, facturación, soporte y la analítica necesaria para operar el Servicio. Las categorías de interesados incluyen al personal del Cliente y a sus clientes/huéspedes. Las categorías de datos personales incluyen identificadores, datos de contacto y datos relacionados con las reservas.

El Cliente autoriza a Randvu a contratar Subencargados para tratar los Datos Personales del Cliente, sujeto a:

• Un contrato escrito que imponga obligaciones de protección de datos no menos protectoras que las de este DPA.
• Que Randvu siga siendo responsable del desempeño de cada Subencargado.
• Que Randvu mantenga una lista de Subencargados actuales y notifique las altas o sustituciones, con una oportunidad razonable para oponerse por motivos legítimos de protección de datos.

Randvu aplica medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente frente a destrucción, pérdida, alteración, divulgación o acceso no autorizados, accidentales o ilícitos. Las medidas incluyen:

• Cifrado en tránsito y en reposo para campos sensibles.
• Controles de acceso y principio de mínimo privilegio.
• Registro, monitorización y revisión periódica de eventos de seguridad.
• Obligaciones de confidencialidad y formación en seguridad para el personal.
• Gestión del riesgo de proveedores y procedimientos de respuesta ante incidentes.

Teniendo en cuenta la naturaleza del tratamiento, Randvu prestará asistencia razonable para que el Cliente pueda atender solicitudes de los interesados que ejerzan sus derechos conforme a las leyes de protección de datos aplicables (acceso, rectificación, supresión, limitación, portabilidad y oposición). Si Randvu recibe una solicitud directamente, redirigirá al interesado al Cliente.

Randvu notificará al Cliente sin demora indebida tras tener conocimiento de una Brecha de Datos Personales que afecte a los Datos Personales del Cliente y proporcionará la información razonablemente disponible para que el Cliente cumpla sus obligaciones de notificación según las leyes aplicables.

Cuando Randvu transfiera Datos Personales del Cliente a un país fuera del EEE, el Reino Unido o Suiza que no haya sido considerado adecuado, las partes recurrirán a las Cláusulas Contractuales Tipo u otro mecanismo de transferencia legal, incorporado por referencia a este DPA.

Randvu pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de este DPA. El Cliente podrá, a su costa y no más de una vez al año (salvo que lo exija un regulador o tras una Brecha de Datos Personales), auditar el cumplimiento de Randvu, con aviso previo razonable y en horario laboral, sujeto a confidencialidad.

A la terminación o expiración del Servicio, Randvu, a elección del Cliente, eliminará o devolverá los Datos Personales del Cliente y eliminará las copias existentes, salvo que la conservación sea exigida por la ley aplicable.

Este DPA entra en vigor cuando el Cliente acepta los Términos del Servicio y permanece vigente mientras Randvu trate Datos Personales del Cliente por cuenta del Cliente.