Common use of Obligaciones del encargado del tratamiento Clause in Contracts

Obligaciones del encargado del tratamiento. El encargado del tratamiento y el personal a su servicio se obliga a: 4.1.- Utilizar los datos personales objeto de tratamiento solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias. 4.2.- Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. 4.3.- Considerar como confidenciales y mantener el deber xx xxxxxxx sobre la información, datos personales o documentación facilitados por el responsable del tratamiento a los que hayan tenido acceso en ejecución del contrato, no pudiendo ser objeto, total o parcialmente, de publicación, copia, utilización, comunicación, cesión o préstamo a terceros, en los términos del artículo 133.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, sin la autorización expresa del responsable del tratamiento. 4.4.- Custodiar fiel y cuidadosamente la información, datos personales o documentación que se les entreguen para la ejecución del contrato y, con ello, el compromiso de que los mismos no lleguen en ningún caso a poder de terceras personas distintas de las que les sean indicadas expresamente por el responsable del tratamiento. 4.5.- Aplicar las medidas de seguridad implantadas por la Seguridad Social dentro del marco de su Sistema de Gestión de la Seguridad de la Información y garantizar que el personal a su servicio se compromete, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las cuales se les informará convenientemente. 4.6.- Garantizar la formación necesaria en materia de protección de datos personales de las personas a su servicio autorizadas para tratar datos personales. 4.7.- Notificar, al responsable del tratamiento, las violaciones de la seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia, sin más dilación indebida y en cualquier caso antes del plazo máximo de 48 horas. 4.8.- Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el responsable u otro auditor autorizado por él. 4.9.- Asistir al Delegado de Protección de Datos de la Seguridad Social en el cumplimiento de sus obligaciones cuando sea necesario o a petición suya. 4.10.- Facilitar los datos del personal a su servicio de forma que: a. Se pueda garantizar el control de la ejecución del contrato b. Se puedan aplicar las medidas de seguridad física relacionadas con el acceso a las instalaciones de la Seguridad Social. c. Se puedan aplicar las medidas de seguridad lógica en el marco del Sistema de Gestión de la Seguridad de la Información de la Seguridad Social. 4.11.- En el caso de que en el presente contrato sea posible la subcontratación y en relación con el tratamiento de datos personales, a tenor de lo establecido en la Disposición adicional vigésima quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, cuando un tercero trate datos personales por cuenta del contratista se deberá: a) Realizar la comunicación prevista en el art. 215 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, señalando la parte de la prestación que se pretende subcontratar y la identidad, datos de contacto y representante o representantes legales del subcontratista, y justificando suficientemente la aptitud de este para ejecutarla por referencia a los elementos técnicos y humanos de que dispone y a su experiencia, para cumplir con las obligaciones establecidas en esta cláusula. La subcontratación podrá implicar un encargo de tratamiento si, conforme a lo previsto en los Pliegos, la subcontratación ha sido objeto de autorización expresa o no se ha manifestado oposición expresa por el órgano de contratación en el plazo de 20 días hábiles desde que se hubiese cursado la comunicación. b) El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en esta cláusula para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del sub-encargado, el encargado inicial seguirá siendo plenamente responsable ante la Seguridad Social en lo referente al cumplimiento de las obligaciones. 4.12.- El incumplimiento de lo dispuesto en esta cláusula por el contratista y por el personal a su servicio, sin perjuicio de las responsabilidades criminales que les pudiesen ser exigidas en aplicación de lo dispuesto en el artículo 199 del Código Penal y de los efectos previstos en la cláusula de este Pliego donde se establecen las condiciones y efectos de la resolución del contrato, dará lugar a que por el contratista hayan de abonarse las siguientes penalidades: - Por cada información, dato o documentación facilitados por la Seguridad Social para la ejecución del contrato y que hayan sido indebidamente publicados, copiados, utilizados, comunicados, prestados, cedidos o que, por cualquier otro medio hayan llegado a poder de terceras personas distintas de las autorizadas en su caso: 600 euros. - Por cada dato personal al cual haya tenido indebido acceso el contratista o el personal a su servicio, o aun siendo correcto el acceso, haya sido indebidamente utilizado o comunicado a terceras personas distintas del interesado o persona debidamente autorizada por el mismo: 600 euros. 4.13.- En todo caso, el contratista será responsable de los daños y perjuicios que del incumplimiento de las obligaciones enumeradas en esta cláusula pudieran derivarse para la Seguridad Social o para terceras personas. 4.14.- El cumplimiento de esta cláusula tiene carácter esencial conforme a lo dispuesto en el art. 122.3 de la LCSP, por lo que su incumplimiento constituye causa de resolución del contrato conforme dispone el art. 211.1.f de la LCSP siempre que las penalidades impuestas conforme a lo señalado en la cláusula 4.12 anterior alcancen un 5% del precio del contrato, IVA excluido, o cuando dicho incumplimiento implique un alto riesgo para los derechos y libertades del interesado.

Obligaciones del encargado del tratamiento. El encargado 3.1 Sin perjuicio de ningún aspecto en contrario recogido en el Contrato de servicios, en relación con los Datos personales del tratamiento y el personal a su servicio se obliga aCliente, HP habrá de: 4.1.- Utilizar los datos 3.1.1 tratar Datos personales objeto de tratamiento solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias. 4.2.- Tratar los datos del Cliente únicamente de acuerdo con las instrucciones documentadas del responsable del tratamiento. 4.3.- Considerar como confidenciales y mantener el deber xx xxxxxxx sobre la información, datos personales Cliente (que podrán ser de carácter específico o documentación facilitados por el responsable del tratamiento a los que hayan tenido acceso en ejecución del contrato, no pudiendo ser objeto, total o parcialmente, de publicación, copia, utilización, comunicación, cesión o préstamo a terceros, en los términos del artículo 133.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, sin la autorización expresa del responsable del tratamiento. 4.4.- Custodiar fiel y cuidadosamente la información, datos personales o documentación que se les entreguen para la ejecución del contrato y, con ello, el compromiso de que los mismos no lleguen en ningún caso a poder de terceras personas distintas de las que les sean indicadas expresamente por el responsable del tratamiento. 4.5.- Aplicar las medidas de seguridad implantadas por la Seguridad Social dentro del marco de su Sistema de Gestión de la Seguridad de la Información y garantizar que el personal a su servicio se compromete, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las cuales se les informará convenientemente. 4.6.- Garantizar la formación necesaria en materia de protección de datos personales de las personas a su servicio autorizadas para tratar datos personales. 4.7.- Notificar, al responsable del tratamiento, las violaciones de la seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia, sin más dilación indebida y en cualquier caso antes del plazo máximo de 48 horas. 4.8.- Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el responsable u otro auditor autorizado por él. 4.9.- Asistir al Delegado de Protección de Datos de la Seguridad Social en el cumplimiento de sus obligaciones cuando sea necesario o a petición suya. 4.10.- Facilitar los datos del personal a su servicio de forma que: a. Se pueda garantizar el control de la ejecución del contrato b. Se puedan aplicar las medidas de seguridad física relacionadas con el acceso a las instalaciones de la Seguridad Social. c. Se puedan aplicar las medidas de seguridad lógica en el marco del Sistema de Gestión de la Seguridad de la Información de la Seguridad Social. 4.11.- En el caso de que en el presente contrato sea posible la subcontratación y en relación con el tratamiento de datos personales, a tenor de lo establecido en la Disposición adicional vigésima quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, cuando un tercero trate datos personales por cuenta del contratista se deberá: a) Realizar la comunicación prevista en el art. 215 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, señalando la parte de la prestación que se pretende subcontratar y la identidad, datos de contacto y representante o representantes legales del subcontratista, y justificando suficientemente la aptitud de este para ejecutarla por referencia a los elementos técnicos y humanos de que dispone y a su experiencia, para cumplir con las obligaciones establecidas en esta cláusula. La subcontratación podrá implicar un encargo de tratamiento sigeneral, conforme a lo previsto estipulado en el Contrato de servicios o según lo que indique el Cliente). Sin perjuicio de lo anterior, HP podrá tratar Datos personales del Cliente conforme a lo que exija la legislación aplicable. En esta situación, HP adoptará las debidas medidas para informar al Cliente de dicha exigencia antes de tratar los Pliegosdatos, salvo que así lo prohíba la subcontratación ha sido objeto legislación; 3.1.2 asegurarse de autorización expresa que únicamente el personal autorizado, que haya realizado la formación apropiada en la protección y manejo de Datos personales y que esté sujeto al respeto de la confidencialidad de los Datos personales del Cliente, tenga acceso a los mismos; 3.1.3 implementar las medidas técnicas y organizativas apropiadas para protegerse contra la destrucción, pérdida o alteración no autorizadas o ilícitas, así como contra la divulgación o el acceso no autorizados de los Datos personales del Cliente. Estas medidas serán las apropiadas para el perjuicio que pueda resultar de cualquier tratamiento ilícito o no se ha manifestado oposición expresa por el órgano autorizado, de contratación la pérdida, destrucción o daños accidentales o del robo de Datos personales del Cliente, y teniendo en el plazo cuenta la naturaleza de 20 días hábiles desde los Datos personales del Cliente que se hubiese cursado la comunicacióndeban protegerse. b) El subcontratista3.1.4 sin demora injustificada y en la medida permitida por la ley, informar al Cliente de cualesquiera peticiones de Interesados que también tiene pretendan ejercer sus derechos al amparo de las Leyes de privacidad y protección de datos aplicables y, previa solicitud por escrito del Cliente y con cargos x xxxxx de este último, teniendo en cuenta la condición de encargado naturaleza del tratamiento, está obligado igualmente asistir al Cliente mediante la implementación de las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para ayudar al Cliente a cumplir satisfacer su obligación de responder a las obligaciones establecidas referidas peticiones. En la medida en esta cláusula que los Datos personales del Cliente no estén accesibles al Cliente a través de los Servicios que se prestan en virtud del Contrato de servicios, HP, siempre que lo permita la legislación y previa solicitud del Cliente, pondrá su empeño, dentro de lo comercialmente razonable, en asistir al Cliente para el encargado responder a dichas peticiones en caso de que la respuesta a las mismas sea obligatoria a tenor de las Leyes de privacidad y protección de datos aplicables; 3.1.5 previa solicitud por escrito del Cliente y con cargos x xxxxx de este, teniendo en cuenta la naturaleza del tratamiento y las instrucciones que dicte el responsable. Corresponde la información disponible para HP, asistir al encargado inicial regular la nueva relación, Cliente respecto a sus obligaciones en virtud de forma que el nuevo encargado quede sujeto los Artículos 32 a 36 del RGPD o de disposiciones equivalentes con arreglo a las mismas condiciones Leyes de privacidad y con los mismos requisitos formales que élprotección de datos aplicables. HP se reserva el derecho a cobrar una tasa adicional por la asistencia prestada en virtud de la presente cláusula 3.1.5 y de las cláusulas 3.1.3 y 3.1.4; y 3.1.6 previa solicitud por escrito del Cliente, en lo referente al adecuado tratamiento borrar o devolverle cualesquiera Datos personales del Cliente una vez finalizada la prestación de los datos personales y a Servicios, salvo que la garantía legislación aplicable exija el almacenamiento de los derechos de las personas afectadas. En el caso de incumplimiento por parte Datos personales del sub-encargado, el encargado inicial seguirá siendo plenamente responsable ante la Seguridad Social en lo referente al cumplimiento de las obligacionesCliente. 4.12.- El incumplimiento de lo dispuesto en esta cláusula por el contratista y por el personal a su servicio, sin perjuicio de las responsabilidades criminales que les pudiesen ser exigidas en aplicación de lo dispuesto en el artículo 199 del Código Penal y de los efectos previstos en la cláusula de este Pliego donde se establecen las condiciones y efectos de la resolución del contrato, dará lugar a que por el contratista hayan de abonarse las siguientes penalidades: - Por cada información, dato o documentación facilitados por la Seguridad Social para la ejecución del contrato y que hayan sido indebidamente publicados, copiados, utilizados, comunicados, prestados, cedidos o que, por cualquier otro medio hayan llegado a poder de terceras personas distintas de las autorizadas en su caso: 600 euros. - Por cada dato personal al cual haya tenido indebido acceso el contratista o el personal a su servicio, o aun siendo correcto el acceso, haya sido indebidamente utilizado o comunicado a terceras personas distintas del interesado o persona debidamente autorizada por el mismo: 600 euros. 4.13.- En todo caso, el contratista será responsable de los daños y perjuicios que del incumplimiento de las obligaciones enumeradas en esta cláusula pudieran derivarse para la Seguridad Social o para terceras personas. 4.14.- El cumplimiento de esta cláusula tiene carácter esencial conforme a lo dispuesto en el art. 122.3 de la LCSP, por lo que su incumplimiento constituye causa de resolución del contrato conforme dispone el art. 211.1.f de la LCSP siempre que las penalidades impuestas conforme a lo señalado en la cláusula 4.12 anterior alcancen un 5% del precio del contrato, IVA excluido, o cuando dicho incumplimiento implique un alto riesgo para los derechos y libertades del interesado.

Obligaciones del encargado del tratamiento. El encargado del tratamiento y el todo su personal a su servicio se obliga a: 4.1.- a) Utilizar los datos personales objeto de tratamiento tratamiento, o las que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso puede utilizar los datos para finalidades propias. 4.2.- b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento, que es el ICS. 4.3.- Considerar como confidenciales y mantener c) Incorporar los tratamientos que lleva a cabo en ejecución de este encargo a su Registro de las categorías de actividades de tratamiento efectuadas por cuenta del responsable el deber xx xxxxxxx sobre la informaciónICS, con el contenido del artículo 30.2 del RGPD: 1. Datos del responsable del tratamiento: 2. Datos del delegado de protección de datos: 3. Las categorías de tratamientos efectuados por cuenta del responsable. 4. Si procede, las transferencias internacionales de datos personales a un tercer país u organización internacional, incluida la identificación de este país o esta organización internacional, y en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo del RGPD, la documentación facilitados por de garantías adecuadas. 5. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a: • La seudonimización y el responsable del tratamiento cifrado de datos personales. • La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanentes de los sistemas y servicios de tratamiento. • La capacidad de restaurar la disponibilidad y el acceso a los que hayan tenido acceso en ejecución del contrato, no pudiendo ser objeto, total o parcialmente, datos personales de publicación, copia, utilización, comunicación, cesión o préstamo a tercerosforma rápida, en los términos del artículo 133.2 caso de incidente físico o técnico. • El proceso de verificación, evaluación y valoración regulares de la Ley 9/2017eficacia de las medidas técnicas y organizativas que garantizan la eficacia del tratamiento. d) No comunicar los datos a terceras personas, de 8 de noviembre, de Contratos del Sector Público, sin salvo que tenga la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. 4.4.- Custodiar fiel y cuidadosamente la informacióne) Xxxxxxxx el deber xx xxxxxxx respecto de los datos de carácter personal a las cuales haya tenido acceso en virtud de este encargo, incluso después de que finalice el objeto. f) Garantizar que las personas autorizadas para tratar datos personales o documentación que se les entreguen para la ejecución del contrato y, con ello, el compromiso de que los mismos no lleguen en ningún caso a poder de terceras personas distintas de las que les sean indicadas expresamente por el responsable del tratamiento. 4.5.- Aplicar las medidas de seguridad implantadas por la Seguridad Social dentro del marco de su Sistema de Gestión de la Seguridad de la Información y garantizar que el personal a su servicio se comprometecomprometen, de forma expresa y por escritoa seguir las instrucciones del responsable, a respetar la confidencialidad confidencialidad, en los términos que el responsable exija y a cumplir las medidas de seguridad correspondientes, de las cuales se les informará hay que informar estas personas autorizadas convenientemente. 4.6.- g) Mantener a disposición del responsable la documentación que acredita que se cumple la obligación que establece el apartado anterior. h) Garantizar la formación necesaria en materia de protección de datos personales de las personas a su servicio autorizadas para tratar datos personales. 4.7.- Notificar, al responsable del tratamiento, las violaciones de la seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia, sin más dilación indebida y en cualquier caso antes del plazo máximo de 48 horas. 4.8.- Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el responsable u otro auditor autorizado por él. 4.9.- Asistir al Delegado de Protección de Datos de la Seguridad Social en el cumplimiento de sus obligaciones cuando sea necesario o a petición suya. 4.10.- Facilitar los datos del personal a su servicio de forma que: a. Se pueda garantizar el control de la ejecución del contrato b. Se puedan aplicar las medidas de seguridad física relacionadas con el acceso a las instalaciones de la Seguridad Social. c. Se puedan aplicar las medidas de seguridad lógica en el marco del Sistema de Gestión de la Seguridad de la Información de la Seguridad Social. 4.11.- i) En el caso de que en el presente contrato sea posible la subcontratación y en relación con el tratamiento de datos personales, a tenor de lo establecido en la Disposición adicional vigésima quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, cuando un tercero trate datos personales por cuenta del contratista se deberá: a) Realizar la comunicación prevista en el art. 215 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, señalando la parte de la prestación que se pretende subcontratar y la identidad, datos de contacto y representante o representantes legales del subcontratista, y justificando suficientemente la aptitud de este para ejecutarla por referencia a los elementos técnicos y humanos de que dispone y a su experiencia, para cumplir con las obligaciones establecidas en esta cláusula. La subcontratación podrá implicar un encargo de tratamiento si, conforme a lo previsto en los Pliegos, la subcontratación ha sido objeto de autorización expresa o no se ha manifestado oposición expresa por el órgano de contratación en el plazo de 20 días hábiles desde que se hubiese cursado la comunicación. b) El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en esta cláusula para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía ejercicio de los derechos siguientes: j) Derecho de las personas afectadas. En el caso de incumplimiento por parte del sub-encargado, el encargado inicial seguirá siendo plenamente responsable ante la Seguridad Social en lo referente al cumplimiento de las obligaciones. 4.12.- El incumplimiento de lo dispuesto en esta cláusula por el contratista y por el personal a su servicio, sin perjuicio de las responsabilidades criminales que les pudiesen ser exigidas en aplicación de lo dispuesto en el artículo 199 del Código Penal y de los efectos previstos en la cláusula de este Pliego donde se establecen las condiciones y efectos de la resolución del contrato, dará lugar a que por el contratista hayan de abonarse las siguientes penalidades: - Por cada información, dato o documentación facilitados por la Seguridad Social para la ejecución del contrato y que hayan sido indebidamente publicados, copiados, utilizados, comunicados, prestados, cedidos o que, por cualquier otro medio hayan llegado a poder de terceras personas distintas de las autorizadas en su caso: 600 euros. - Por cada dato personal al cual haya tenido indebido acceso el contratista o el personal a su servicio, o aun siendo correcto el acceso, haya sido indebidamente utilizado o comunicado a terceras personas distintas del interesado o persona debidamente autorizada por el mismo: 600 euros. 4.13.- En todo caso, el contratista será responsable de los daños y perjuicios que del incumplimiento de las obligaciones enumeradas en esta cláusula pudieran derivarse para la Seguridad Social o para terceras personas. 4.14.- El cumplimiento de esta cláusula tiene carácter esencial conforme a lo dispuesto en el art. 122.3 de la LCSP, por lo que su incumplimiento constituye causa de resolución del contrato conforme dispone el art. 211.1.f de la LCSP siempre que las penalidades impuestas conforme a lo señalado en la cláusula 4.12 anterior alcancen un 5% del precio del contrato, IVA excluido, o cuando dicho incumplimiento implique un alto riesgo para los derechos y libertades del interesado.

Obligaciones del encargado del tratamiento. El encargado del tratamiento PIPELINE SOFTWARE y el todo su personal a su servicio se obliga a: 4.1.- a) Utilizar los datos personales objeto de tratamiento solo sólo para la finalidad objeto de este encargocontrato y los contratos relacionados con estos ficheros, de acuerdo con el manifiesto segundo. En ningún caso puede podrá utilizar los datos para finalidades propiasfines propios. 4.2.- Tratar b) Realizar el tratamiento de datos según los datos servicios contratados por USUARIO, que puede consistir en la conservación de los mismos, la realización de copias de seguridad y/o la adopción y mantenimiento de las medidas técnicas y de seguridad necesarias. También podrá realizar otros trabajos de tratamiento de acuerdo con las instrucciones del responsable del tratamientofichero y previa aceptación de los mismos. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD y/o cualquier otra disposición en materia de protección de datos, informará inmediatamente al responsable del fichero. 4.3.- Considerar como confidenciales y mantener el deber xx xxxxxxx sobre la informaciónc) No comunicar los datos a terceras personas, datos personales o documentación facilitados por el responsable del tratamiento a los salvo que hayan tenido acceso en ejecución del contrato, no pudiendo ser objeto, total o parcialmente, de publicación, copia, utilización, comunicación, cesión o préstamo a terceros, en los términos del artículo 133.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, sin cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. 4.4.- Custodiar fiel d) Documentar sistemas y cuidadosamente procedimientos. PIPELINE SOFTWARE se compromete a mantener, por escrito, documentación de sus sistemas y procedimientos que documenten las medidas técnicas y de seguridad relativas a: 1. La protección del acceso a los sistemas, incluyendo gestión de claves de los distintos servidores y usuarios y el cifrado de algunos datos. 2. La capacidad de garantizar la informaciónconfidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento. 3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o documentación técnico y siempre que se les entreguen para este servicio forme parte de los servicios contratados por USUARIO. 4. El proceso de verificación, evaluación y valoración regulares de la ejecución del contrato y, con ello, el compromiso de que los mismos no lleguen en ningún caso a poder de terceras personas distintas eficacia de las que les sean indicadas expresamente por el responsable medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 4.5.- Aplicar las medidas e) Realizar copias de seguridad implantadas de los FDCP-USUARIO, si este servicio forma parte de los servicios contratados por la Seguridad Social USUARIO. El procedimiento para las mismas está documentado de acuerdo con lo indicado en el apartado d) anterior. Se realizan copias de seguridad diarias que se almacenan en servidores y dispositivos externos dentro del marco de su Sistema de Gestión de la Seguridad propia empresa. Además se realizan copias de seguridad semanales que se almacenan fuera de la Información empresa (se mantienen fuera de la empresa copias de las dos últimas semanas, destruyéndose las copias anteriores). f) Restaurar el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico y garantizar siempre que deba existir copia de seguridad de acuerdo con lo indicado en el apartado e) anterior. El procedimiento está documentado de acuerdo con lo indicado en el apartado d) anterior. En función del tipo de fallo existen diversas medidas para permitir la recuperación del acceso a los datos en el menor tiempo posible. Estas medidas incluyen el mantenimiento de una réplica de emergencia del servidor de bases de datos MySQL Server, replicada diariamente. g) No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. Sin perjuicio de la total responsabilidad de PIPELINE SOFTWARE en el cumplimiento y ejecución de los servicios objeto de este contrato, en el supuesto en que fuese estrictamente necesario la colaboración de una tercera entidad para el correcto cumplimiento de sus obligaciones, USUARIO autoriza al mismo a recurrir a la subcontratación. Únicamente en relación con el tratamiento de datos de carácter personal, se entenderá que PIPELINE SOFTWARE actúa en nombre y por cuenta de USUARIO. Además, el contrato formalizado entre PIPELINE SOFTWARE y el subcontratista deberá contemplar las obligaciones que la Ley Orgánica 3/2018, de 5 de diciembre, asigna al encargado del tratamiento. h) Xxxxxxxx el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su servicio objeto. i) Garantizar que las personas autorizadas para tratar datos personales se comprometecomprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las cuales se les informará que hay que informarles convenientemente. 4.6.- Garantizar la formación necesaria j) Asistir, en materia de protección de datos personales de las personas a su servicio autorizadas para tratar datos personales. 4.7.- Notificarcaso necesario, al responsable del tratamiento en la respuesta al ejercicio de los derechos de Acceso, rectificación, supresión y oposición. Estos derechos deberán ser ejercidos por los interesados directamente con USUARIO, que será responsable de adoptar las medidas correspondientes. k) Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, las violaciones de la seguridad de los datos personales a su cargo de las cuales que tenga conocimiento, junto juntamente con toda la información relevante para documentar la documentación y comunicar comunicación de la incidencia, sin más dilación indebida y en cualquier caso antes del plazo máximo de 48 horas. 4.8.- Poner a disposición del responsable del tratamiento toda . No será necesaria la información necesaria para demostrar notificación cuando sea improbable que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el responsable u otro auditor autorizado por él. 4.9.- Asistir al Delegado de Protección de Datos dicha violación de la Seguridad Social en el cumplimiento de sus obligaciones cuando sea necesario o a petición suya. 4.10.- Facilitar los datos del personal a su servicio de forma que: a. Se pueda garantizar el control de la ejecución del contrato b. Se puedan aplicar las medidas de seguridad física relacionadas con el acceso a las instalaciones de la Seguridad Social. c. Se puedan aplicar las medidas de seguridad lógica en el marco del Sistema de Gestión de la Seguridad de la Información de la Seguridad Social. 4.11.- En el caso de que en el presente contrato sea posible la subcontratación y en relación con el tratamiento de datos personales, a tenor de lo establecido en la Disposición adicional vigésima quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, cuando constituya un tercero trate datos personales por cuenta del contratista se deberá: a) Realizar la comunicación prevista en el art. 215 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, señalando la parte de la prestación que se pretende subcontratar y la identidad, datos de contacto y representante o representantes legales del subcontratista, y justificando suficientemente la aptitud de este para ejecutarla por referencia a los elementos técnicos y humanos de que dispone y a su experiencia, para cumplir con las obligaciones establecidas en esta cláusula. La subcontratación podrá implicar un encargo de tratamiento si, conforme a lo previsto en los Pliegos, la subcontratación ha sido objeto de autorización expresa o no se ha manifestado oposición expresa por el órgano de contratación en el plazo de 20 días hábiles desde que se hubiese cursado la comunicación. b) El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en esta cláusula para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del sub-encargado, el encargado inicial seguirá siendo plenamente responsable ante la Seguridad Social en lo referente al cumplimiento de las obligaciones. 4.12.- El incumplimiento de lo dispuesto en esta cláusula por el contratista y por el personal a su servicio, sin perjuicio de las responsabilidades criminales que les pudiesen ser exigidas en aplicación de lo dispuesto en el artículo 199 del Código Penal y de los efectos previstos en la cláusula de este Pliego donde se establecen las condiciones y efectos de la resolución del contrato, dará lugar a que por el contratista hayan de abonarse las siguientes penalidades: - Por cada información, dato o documentación facilitados por la Seguridad Social para la ejecución del contrato y que hayan sido indebidamente publicados, copiados, utilizados, comunicados, prestados, cedidos o que, por cualquier otro medio hayan llegado a poder de terceras personas distintas de las autorizadas en su caso: 600 euros. - Por cada dato personal al cual haya tenido indebido acceso el contratista o el personal a su servicio, o aun siendo correcto el acceso, haya sido indebidamente utilizado o comunicado a terceras personas distintas del interesado o persona debidamente autorizada por el mismo: 600 euros. 4.13.- En todo caso, el contratista será responsable de los daños y perjuicios que del incumplimiento de las obligaciones enumeradas en esta cláusula pudieran derivarse para la Seguridad Social o para terceras personas. 4.14.- El cumplimiento de esta cláusula tiene carácter esencial conforme a lo dispuesto en el art. 122.3 de la LCSP, por lo que su incumplimiento constituye causa de resolución del contrato conforme dispone el art. 211.1.f de la LCSP siempre que las penalidades impuestas conforme a lo señalado en la cláusula 4.12 anterior alcancen un 5% del precio del contrato, IVA excluido, o cuando dicho incumplimiento implique un alto riesgo para los derechos y las libertades de las personas físicas. Si se dispone de ella se facilitará, como mínimo, la información siguiente, de forma simultánea o gradual sin dilación indebida, si no es posible facilitarla simultáneamente: 1. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 2. El nombre y los datos de contacto del interesadodelegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

Obligaciones del encargado del tratamiento. 3.1. El encargado Responsable del tratamiento Tratamiento define el propósito del Tratamiento de los Datos Personales del Cliente para la prestación del Servicio. 3.2. Respecto a la prestación del Servicio, el Encargado del Tratamiento se compromete a asumir las siguientes oblicaciones incluyendo las relacionadas en los anexos 1 y el personal a su servicio se obliga a2 al presente: 4.1.- Utilizar a) El Encargado del Tratamiento trata los datos personales objeto Datos Personales del Cliente solo según sea necesario para proporcionar el Servicio, sujeto a las instrucciones escritas del Responsable del Tratamiento en el presente DPA; b) El Encargado del Tratamiento notifica al Responsable del Tratamiento en caso de tratamiento solo para la finalidad objeto que considere que las instrucciones escritas del Responsable del Tratamiento infringen las Leyes de este encargoProtección de Datos aplicables. En ningún caso puede utilizar está el Encargado del Tratamiento obligado a realizar un examen legal detallado respecto de ninguna instrucción escrita del Cliente; c) NOMINALIA como Encargado del Tratamiento notificará al Responsable del Tratamiento sin demora indebida de cualquier contacto o comunicación que reciba de una Autoridad de Supervisión en relación con el Tratamiento de los datos para finalidades propiasDatos Personales del Cliente. En este sentido, las Partes reconocen y acuerdan que la responsabilidad de responder a tales solicitudes recae en el Responsable del Tratamiento y no en el Encargado del Tratamiento. 4.2.- Tratar d) El Encargado del Tratamiento ha implementado medidas operativas, técnicas y organizativas adecuadas, incluidas las descritas en el Anexo 2, para proteger los datos Datos Personales del Cliente. Las Partes reconocen y acuerdan que el Encargado del Tratamiento está específicamente autorizado para implementar medidas alternativas adecuadas o utilizar ubicaciones alternativas siempre que el nivel de acuerdo seguridad de las medidas se mantenga o se refuerce en comparación con las medidas declaradas. e) En caso de que el Encargado del Tratamiento revele Datos Personales del Cliente a su personal involucrado directa y exclusivamente en la ejecución del Servicio, el Encargado del Tratamiento se asegura de que dicho personal: i) tiene suscrito un compromiso de confidencialidad o tiene una obligación legal de confidencialidad y; ii) Procesa Datos Personales del Cliente bajo las instrucciones del responsable Encargado del tratamiento. 4.3.- Considerar como confidenciales y mantener el deber xx xxxxxxx sobre la información, datos personales o documentación facilitados por el responsable del tratamiento a los que hayan tenido acceso Tratamiento en ejecución del contrato, no pudiendo ser objeto, total o parcialmente, de publicación, copia, utilización, comunicación, cesión o préstamo a terceros, en los términos del artículo 133.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, sin la autorización expresa del responsable del tratamiento. 4.4.- Custodiar fiel y cuidadosamente la información, datos personales o documentación que se les entreguen para la ejecución del contrato y, con ello, el compromiso de que los mismos no lleguen en ningún caso a poder de terceras personas distintas de las que les sean indicadas expresamente por el responsable del tratamiento. 4.5.- Aplicar las medidas de seguridad implantadas por la Seguridad Social dentro del marco de su Sistema de Gestión de la Seguridad de la Información y garantizar que el personal a su servicio se compromete, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las cuales se les informará convenientemente. 4.6.- Garantizar la formación necesaria en materia de protección de datos personales de las personas a su servicio autorizadas para tratar datos personales. 4.7.- Notificar, al responsable del tratamiento, las violaciones de la seguridad de los datos personales a su cargo de las cuales tenga conocimiento, junto con toda la información relevante para documentar y comunicar la incidencia, sin más dilación indebida y en cualquier caso antes del plazo máximo de 48 horas. 4.8.- Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar que cumple sus obligaciones, así como para realizar las auditorías o las inspecciones que efectúen el responsable u otro auditor autorizado por él. 4.9.- Asistir al Delegado de Protección de Datos de la Seguridad Social en el cumplimiento de sus obligaciones cuando sea necesario o a petición suyabajo este DPA. 4.10.- Facilitar los datos del personal a su servicio de forma que: a. Se pueda garantizar el control de la ejecución del contrato b. Se puedan aplicar las medidas de seguridad física relacionadas con el acceso a las instalaciones de la Seguridad Social. c. Se puedan aplicar las medidas de seguridad lógica en el marco del Sistema de Gestión de la Seguridad de la Información de la Seguridad Social. 4.11.- En el caso de que en el presente contrato sea posible la subcontratación y en relación con el tratamiento de datos personales, a tenor de lo establecido en la Disposición adicional vigésima quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, cuando un tercero trate datos personales por cuenta del contratista se deberá: a) Realizar la comunicación prevista en el art. 215 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, señalando la parte de la prestación que se pretende subcontratar y la identidad, datos de contacto y representante o representantes legales del subcontratista, y justificando suficientemente la aptitud de este para ejecutarla por referencia a los elementos técnicos y humanos de que dispone y a su experiencia, para cumplir con las obligaciones establecidas en esta cláusula. La subcontratación podrá implicar un encargo de tratamiento si, conforme a lo previsto en los Pliegos, la subcontratación ha sido objeto de autorización expresa o no se ha manifestado oposición expresa por el órgano de contratación en el plazo de 20 días hábiles desde que se hubiese cursado la comunicación. b) El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en esta cláusula para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del sub-encargado, el encargado inicial seguirá siendo plenamente responsable ante la Seguridad Social en lo referente al cumplimiento de las obligaciones. 4.12.- El incumplimiento de lo dispuesto en esta cláusula por el contratista y por el personal a su servicio, sin perjuicio de las responsabilidades criminales que les pudiesen ser exigidas en aplicación de lo dispuesto en el artículo 199 del Código Penal y de los efectos previstos en la cláusula de este Pliego donde se establecen las condiciones y efectos de la resolución del contrato, dará lugar a que por el contratista hayan de abonarse las siguientes penalidades: - Por cada información, dato o documentación facilitados por la Seguridad Social para la ejecución del contrato y que hayan sido indebidamente publicados, copiados, utilizados, comunicados, prestados, cedidos o que, por cualquier otro medio hayan llegado a poder de terceras personas distintas de las autorizadas en su caso: 600 euros. - Por cada dato personal al cual haya tenido indebido acceso el contratista o el personal a su servicio, o aun siendo correcto el acceso, haya sido indebidamente utilizado o comunicado a terceras personas distintas del interesado o persona debidamente autorizada por el mismo: 600 euros. 4.13.- En todo caso, el contratista será responsable de los daños y perjuicios que del incumplimiento de las obligaciones enumeradas en esta cláusula pudieran derivarse para la Seguridad Social o para terceras personas. 4.14.- El cumplimiento de esta cláusula tiene carácter esencial conforme a lo dispuesto en el art. 122.3 de la LCSP, por lo que su incumplimiento constituye causa de resolución del contrato conforme dispone el art. 211.1.f de la LCSP siempre que las penalidades impuestas conforme a lo señalado en la cláusula 4.12 anterior alcancen un 5% del precio del contrato, IVA excluido, o cuando dicho incumplimiento implique un alto riesgo para los derechos y libertades del interesado.