Condiciones de uso para talleres Autorizados Mer- cedes-Benz para B2B Connect Seller Center y WebParts Dealer Client
Condiciones de uso para talleres Autorizados Mer- cedes-Benz para B2B Connect Seller Center y WebParts Dealer Client
Entre Mercedes-Benz España, S.A.U., Xxxx xx Xxxxxxxx, 00, 00000, Xxxxxxxxxx (Xxxxxx) (en lo sucesivo, "MBE") y el taller Autorizado Mer- cedes-Benz (en lo sucesivo, el "Taller Autorizado") que participa en B2B Connect y los servicios relacionados (B2B Connect Seller Center y WebParts Dealer Client) que se denominan en lo sucesivo colectiva- mente los "B2B Connect".
Los clientes en este contexto son empresarios independientes Busi- ness to Business (en adelante, B2B) que llevan a cabo servicios de reparación y mantenimiento de automóviles (proveedores de servicios individuales y clientes de flotas) (en lo sucesivo denominados "Cliente").
MBE y el Taller Autorizado también se denominarán en adelante indi- vidual e indistintamente como la “Parte” y conjuntamente como las "Partes".
Preámbulo
§ 1 Requisitos del sistema
Para mostrar la disponibilidad de piezas del Taller Autorizado al Cliente, el Taller Autorizado debe estar conectado a Logistikbus, que MBE proporciona en cooperación con MBAG. De lo contrario, la dis- ponibilidad de información es limitada.
§ 2 Servicios MBE, finalización de contratos, Cambio, Participa- ción y 5StarRater
MBE proporciona al taller Autorizado B2B Connect Seller Center y WebParts Dealer Client que permiten el pedido online de piezas origi- nales para los clientes del Taller Autorizado.
A través de MBE, B2B Connect Seller Center y WebParts Dealer Client permiten al taller Autorizado:
- ver los clientes activados,
- ajustar las listas de precios,
- definir las tasas de descuento,
- definir códigos de descuento de cliente propios,
- asignar el código de descuento de cliente seleccionado,
- definir grupos de descuento propios,
- definir la información sobre en tiempo estimado de entrega
- asistencia a solicitudes de clientes
- recibir comentarios de sus productos, servicios y valoración general de los clientes a través del sistema de evaluación 5Star Rater,
- recibir propuestas de campañas personalizadas y servicios de apoyo a las campañas basados en información relacionada con las transacciones ejecutadas a través de B2B Connect con los clientes (es decir, nombre del cliente, información re- lacionada con el pedido, etc.).
Al participar en B2B Connect, los clientes pueden calificar los pro- ductos, los servicios y el desempeño general del taller Autorizado a través del sistema de evaluación 5Star Rater. Al participar y hacer uso de B2B Connect Seller Center y WebParts Dealer Client, el Ta- ller Autorizado reconoce y acepta el hecho de que el cliente propor- ciona comentarios y que MBE recibirá esta información de forma agregada (no contiene ninguna información relacionada con transac- ciones particulares) y tendrá derecho a utilizarla para llevar a cabo análisis del desempeño xxx xxxxxxx y del Taller Autorizado y para el análisis del rendimiento general y la colaboración con los Talleres Autorizados. En el Apéndice 1 de estas Condiciones de uso se pro- porcionan más detalles con respecto a la utilización de datos perso- nales en este contexto.
Una vez el Cliente introduce sus datos, el mismo, puede realizar un pedido a través de Internet al Taller Autorizado, mediante el cual se muestran el precio específico del Cliente y la disponibilidad de la pieza original Mercedes-Benz que corresponda. El requisito previo para esto es que el Cliente se haya registrado en WebParts a través de B2B Connect y que haya sido activado por parte del taller Autori- zado en WebParts Dealer Client. El pedido del Cliente se transfiere al taller Autorizado a través de B2B Connect. Puede ser leído por el taller Autorizado a través de un formato de exportación estándar y puede ser importado en el sistema de gestión del taller Autorizado (DMS).
El Taller Autorizado es libre respecto a la aceptación de pedidos y respecto a cuáles de los pedidos recibidos desea aceptar. Salvo que el Taller Autorizado y el Cliente hayan llegado a algún acuerdo, un contrato se considerará formalizado en el momento en que el taller Autorizado acepte el pedido de un Cliente mediante el envío de una aceptación del pedido. La ejecución de los contratos realizados a tra- vés de B2B Connect es un asunto que es responsabilidad exclusiva del taller Autorizado. Con respecto a los contratos gestionados a tra- vés de B2B Connect, MBE no asume ninguna garantía para el cum- plimiento de los contratos realizados entre el Taller Autorizado y los Clientes a través de B2B Connect. MBE no tendrá obligación alguna de garantizar el cumplimiento de los contratos que se hayan firmado entre el taller Autorizado y los Clientes.
MBE tiene derecho a cambiar las funciones proporcionadas a través de B2B Connect si dicho cambio no requiere un cambio en estos Tér- minos y Condiciones de Uso. MBE notificará al Taller Autorizado por escrito al menos un mes antes de dicho cambio, a menos que se acuerde lo contrario.
A menos que se acuerde lo contrario, MBE tendrá derecho a modifi- car unilateralmente estos Términos de Uso en la medida en que di- cho cambio sea neutral o beneficioso para el Taller Autorizado en cualquier momento. De lo contrario, MBE notificará el cambio al Ta- ller Autorizado por escrito al menos seis (6) semanas antes de la eje- cución del cambio. Si el Taller Autorizado no se opone a dichos cam- bios por escrito (incluido el correo electrónico) dentro de las cuatro
(4) semanas posteriores a haber recibido dicha notificación, los cam- bios propuestos serán vinculantes para las Partes seis (6) meses después de la notificación. MBE notificará al Taller Autorizado el efecto de no oponerse a dichos cambios junto con dicha notificación. El Taller Autorizado tendrá derecho a oponerse a dichos cambios. Si el Taller Autorizado se opone, MBE tendrá derecho a rescindir el uso por parte del Taller Autorizado de los servicios afectados por dicho cambio por causa justificada.
En caso de que MBE integre WebParts Dealer Client directamente en B2B Connect Seller Center, estas Condiciones de Uso seguirán siendo aplicables, sin perjuicio de las modificaciones necesarias que puedan implementarse en este contexto de acuerdo con las regulaciones anteriores.
§ 3 Uso de B2B Connect Seller Center y WebParts Dealer Client
El Taller Autorizado recibe a los Clientes interesados y activará los pedidos online, a través de WebParts Dealer Client sin demoras in- debidas.
Es responsabilidad del Taller Autorizado garantizar el cumplimiento de los requisitos contractuales (en particular los especificados en el Acuerdo de Taller Autorizado y en los Estándares de Marca).
Los datos maestros, por ejemplo, la definición de las tasas de des- cuento para las clases de descuento de cliente definidas, la asigna- ción de piezas originales de Mercedes-Benz a grupos de descuento, campañas definidas, etc., deben ser introducidos en el sistema por el Taller Autorizado.
El Taller Autorizado es libre en establecer sus precios, concesión de descuentos y etiquetado de descuentos de clientes. Los precios, des- cuentos, códigos de descuento de usuarios o campañas almacena- dos en el sistema o introducidos por el Taller Autorizado, se muestran al Cliente cuando establece el pedido, asegurándose de que los da- tos estén actualizados, que es responsabilidad del Taller Autorizado.
El Taller Autorizado está obligado a introducir sus términos y condi- ciones generales, así como sus propios requisitos aplicables a los clientes en materia de protección de datos en WebParts Dealer Client (y obtener la respectiva aceptación en la medida necesaria). Los tér- minos y condiciones generales del Taller Autorizado deben estable- cer suficientemente claro que el Taller Autorizado es el vendedor de las piezas originales. Las regulaciones de protección de datos deben establecer suficientemente claro que el Taller Autorizado es Respon- sable de Tratamiento con respecto a los datos de sus Clientes en relación con la realización de un pedido. Además, las regulaciones de protección de datos del Taller Autorizado deben contemplar los requisitos de protección de datos aplicables (incluidas las obligacio- nes de información), en particular las del Reglamento General de Protección de Datos (GDPR). Si en cualquier momento durante la vigencia de estos Términos y Condiciones de Uso, el Taller Autori- zado no puede ofrecer las piezas originales de conformidad con los requisitos de privacidad de datos aplicables, el Taller Autorizado de- berá notificarlo a MBE. El taller Autorizado tendrá la opción de pro- poner una solución en un plazo razonable exigido por MBE. Si una solución propuesta por el Taller Autorizado no es razonablemente aceptable para MBE, MBE tendrá el derecho de rescindir estos Tér- minos y Condiciones de Uso en su totalidad o en parte con efecto inmediato.
El objetivo de B2B Connect es la presentación online de las ofertas de piezas originales por parte del Taller Autorizado. Los clientes solo pueden usar B2B Connect con esta finalidad.
El uso de B2BConnect no confiere ningún derecho sobre B2B Con- nect, las URL utilizadas o las documentaciones que lo acompañan (manual, visita guiada, etc.), excepto el derecho de uso de acuerdo con estos Términos y condiciones de uso.
El Taller Autorizado se compromete a garantizar que el hardware y el software empleados por él en el uso de B2B Connect Seller Center y WebParts Dealer Client, en la medida en que sea aplicable), inclui- dos los ordenadores de los centros de trabajo, las tablets, los routers, los sistemas de comunicación de datos, etc., estén libres de virus, gusanos, troyanos, etc. Con respecto a cualquier dato cargado por el
Taller Autorizado, se compromete a asegurarse de que es el que po- see todos los derechos sobre los datos cargados y puede disponer libremente sobre su uso, incluido que dichos datos cargados no están gravados con derechos de terceros, que se oponen a dicho uso.
El Taller Autorizado puede ayudar a los Clientes Profesionales a través de B2B Connect Seller Center con solicitudes dirigidas a MBE u otras solicitudes relacionadas con B2B Connect a petición del Cliente. Dicho soporte se producirá de forma gratuita (sin dere- cho a reclamar compensación o reembolso de costes o gastos con- tra MBE) y se proporcionará únicamente bajo la propia responsabi- lidad y relación de Xxxxxx Autorizado hacia el Cliente y sin que MBE asuma ninguna responsabilidad por el uso del Centro de ventas por parte del taller o soporte adicional proporcionado a los Clientes. Esto también se aplicará al suministro de cualquier otra información relacionada con la transacción proporcionada por el taller Autori- zado a los Clientes (por ejemplo, información sobre el tiempo esti- mado de estrega) en WebParts Dealer Client.
§ 4 Flujo de datos
El Cliente introduce sus datos a través del auto registro en B2B Con- nect. Estos datos son autentificados y almacenados por el proveedor MBE.
Estos datos también se proporcionan al Taller Autorizado en B2B Connect.
§ 5 Confidencialidad
Las Partes tratarán como confidencial toda la información técnica y económica, incluidos los datos de uso por parte de los Clientes, que serán directa o indirectamente accesibles para ellos durante la xxxxx- cia de estos Términos y Condiciones en relación con el uso de B2B Connect. Estos datos solo serán accesibles por terceros por MBE si esto es necesario para el cumplimiento contractual o de lo contrario se establece en este documento y si existe un acuerdo de confiden- cialidad correspondiente con dichos terceros. Los datos sobre los Clientes activados por el Taller Autorizado o los datos de uso del Cliente solo serán utilizados por MBE para el cumplimiento de estos Términos y Condiciones de Uso y serán anonimizados por Mercedes- Benz AG para el desarrollo de la plataforma.
La información y los documentos que no están clasificados como in- formación confidencial son:
- información generalmente conocida o información que llega a ser conocida sin infracción de las obligaciones contenidas en estos Términos y Condiciones de Uso,
- Información que una Parte haya creado u obtenido de manera verificable como parte de su propia labor, o
- Información que MBE recibió legalmente de terceros de manera verificable.
Cada una de las Partes estarán exentas de la obligación de tratar la información confidencialmente si las mismas tienen que divulgar la información debido a las normas legales o disposiciones de las auto- ridades competentes
§ 6 Protección de datos
Con respecto a las ventas y procesos de venta de Recambios Origi- nales/ Servicios a través de B2BConnect, las Partes tratarán los da- tos personales como Responsables de Tratamiento independientes. MBE será Responsable de Tratamiento de Datos en lo que respecta a la aplicación B2B Connect. Las Partes no tienen la intención de
establecer un sistema de corresponsabilidad conjunta con respecto al tratamiento de los datos de carácter personal de los clientes. En la medida en que la relación entre MBE, Mercedes-Benz AG (y/o sus filiales) y/o Talleres Autorizados se defina en términos de correspon- sabilidad tal y como se indica en el artículo 26 del RGPD, las Partes celebrarán o acordarán celebrar en el futuro acuerdos de correspon- sabilidad apropiados determinando éstos las responsabilidades de las Partes de conformidad con el artículo anteriormente citado.
Dicho esto, MBE trata los datos personales del Taller Autorizado y de los Clientes del Taller Autorizado:
(i) como Encargado de Tratamiento del Taller Autorizado, en las actividades de soporte a usuarios y realización de cam- pañas de marketing a petición del Taller Autorizado.
(ii) como Responsable de Tratamiento en las actividades de tratamiento relacionadas con 5 Star Rater, para asistencia a través de B2B Connect Seller Center, o para actividades de tratamiento relacionadas con análisis xx xxxxxxx y ser- vicios de campañas de marketing.
Las disposiciones sobre protección de datos acordadas entre las Par- tes se establecen en el Apéndice 1 de estos Términos y Condiciones de Uso.
§ 7 Calidad de los datos, obligaciones del Taller Autorizado
El Taller Autorizado es responsable de mantener actualizada la infor- mación necesaria requerida para la oferta/visualización de las piezas originales a través de WebParts Dealer Client (precios, descuentos, disponibilidad, plazos de entrega, etc.).
El Taller Autorizado comprobará periódicamente online o después de la notificación por medios electrónicos si los Clientes han realizado un pedido de piezas originales. El Taller Autorizado exportará estos pedidos al sistema de gestión del taller y continuará con la gestión de los mismos. El Taller Autorizado gestionará los pedidos en un tiempo adecuado e informará al Cliente sobre su estado. Asimismo, enviará la confirmación de pedido al Cliente indicando si los plazos de en- trega solicitados por el Cliente son factibles.
MBE proporciona un sistema de protección de accesos adecuado y, previa solicitud, asigna la autorización de acceso al taller Autorizado. El Taller Autorizado se compromete a garantizar el uso del sistema para su correcta aplicación. El Taller Autorizado se compromete a no revelar la autorización de acceso que se le haya asignado a ninguna persona no autorizada.
El Taller Autorizado se compromete a responder a las solicitudes de aceptación de registro entrantes de los Clientes dentro de un tiempo adecuado y a proporcionar en coordinación con MBE soporte de 1er y 2do nivel para WebParts Dealer Client. MBE excluye cualquier res- ponsabilidad por el mal uso del ID de usuario y la contraseña en la unidad organizativa del Taller Autorizado y sus Clientes.
MBE se reserva el derecho de bloquear al usuario en cuestión en caso de signos de uso indebido. El Taller Autorizado será informado directamente a este respecto.
Dealer Client es una solución técnica disponible en todo el mundo. El Taller Autorizado es responsable de verificar regularmente las condi- ciones legales aplicables en su país con respecto al proceso de co- mercialización y venta de piezas originales a través de los Sistemas de Venta de Piezas Online, mientras que MBE sigue siendo respon- sable de verificar regularmente las condiciones legales aplicables para el funcionamiento de sus Sistemas de Venta de Piezas Online.
§ 8 Disponibilidad
Debido al estado actual de la tecnología, la provisión y el uso de WebParts también pueden estar sujetos a ciertas restricciones e inexactitudes más allá del control de MBE. Esto se aplica en particu- lar a la disponibilidad de acceso a Internet. Las interrupciones tam- bién pueden ser causadas por fuerza mayor, incluyendo huelgas, cie- rres patronales u órdenes de las autoridades, o como resultado de medidas técnicas o de otro tipo (por ejemplo, reparaciones, manteni- miento, actualizaciones de software y mejoras) que deben llevarse a cabo en sistemas de MBE o en los de los proveedores de servicios, que son necesarias para garantizar que WebParts se proporcione o mejore correctamente.
§ 9 Responsabilidad e indemnización
Las Partes responderán cuando medie dolo o negligencia grave que les sea imputable, así como cuando medie negligencia leve en caso de muerte o lesiones corporales.
Además, las Partes responderán por negligencia leve solo en caso de incumplimiento de las obligaciones contractuales esenciales,. "obligaciones contractuales esenciales" son aquellas cuyo cumpli- miento es de importancia esencial para la correcta ejecución del acuerdo (obligaciones principales). Esta responsabilidad se limita al daño directo típico previsible en el momento de la celebración del contrato. En la medida en que el daño esté cubierto por una póliza de seguro suscrita por alguna de las Partes (excluyendo el seguro de responsabilidad total), las mismas solo serán responsables del em- peoramiento de las condiciones de la póliza contratada, por ejemplo, subidas en las primas de seguro en los tipos de interés, hasta que se liquide el seguro.
El Taller Autorizado está obligado a indemnizar a MBE por todos los daños, pérdidas, responsabilidades, reclamaciones (incluidas las re- clamaciones de terceros) y costes (incluidos los honorarios y costes legales correspondientes) que surjan de un incumplimiento culpable de estos términos y las transacciones aquí mencionadas (incluido, entre otros, el uso del Seller Center por parte del Taller Autorizado).
§ 10 Duración y terminación de los Términos y Condiciones de Uso
Las presentes Condiciones de Uso sustituyen a los anteriores Térmi- nos y Condiciones de Uso cuyo objeto asea el mismo con efectos a partir de 2023, comenzando a ser de aplicación a partir de la acepta- ción de los mismos.
Ambas Partes pueden rescindir estos Términos y Condiciones de Uso por escrito (la forma escrita es suficiente con respecto a todas las terminaciones en virtud de este § 10) con un período de notifica- ción de tres meses hasta el final de un mes. En cualquier caso, estos Términos y Condiciones de Uso terminan con la terminación del Acuerdo de Taller Autorizado entre las Partes.
Después de la terminación de los Términos y Condiciones de Uso, las disposiciones sobre protección de datos y confidencialidad a las que se hace referencia en § 4, 5 y 6 seguirán existiendo.
En caso de incumplimientos graves de estos Términos y Condiciones de Uso, como la transferencia de datos que constituyan una violación de la obligación de confidencialidad de conformidad con el § 5, cada Parte puede rescindir estos Términos y Condiciones de Uso sin pre- vio aviso. En caso de rescisión debida a un incumplimiento grave del contrato por una Parte, la otra Parte se reserva el derecho de hacer valer un daño adicional.
Terminación en caso de interrupción de la licencia principal: Los de- rechos de MBE para proporcionar WebParts al Taller Autorizado se
derivan de un acuerdo entre MBAG y MBE. MBE puede rescindir es- tos Términos y Condiciones de Uso previa notificación por escrito al Taller Autorizado si MBAG termina o no continúa con sus propios de- rechos para proporcionar WebParts.
§ 11 Impuestos
En caso de que MBE sea responsable del pago de impuestos y dere- chos de aduana debidamente atribuibles a la venta de productos pu- blicados en WebParts Dealer Client y B2B Connect por el Taller Auto- rizado o a los servicios publicados en WebParts Dealer Client y B2B Connect por el Taller Autorizado y prestados al Cliente, como por ejemplo los impuestos sobre servicios digitales, el Taller Autorizado cubrirá todos los gastos de MBE derivados de dichos impuestos y de- rechos de aduana. Lo mismo se aplica al impuesto sobre el valor xxx- dido adeudado y no pagado por el Taller Autorizado, del que MBE fuera responsable.
§ 12 Lugar de jurisdicción
Los presentes Términos y Condiciones de Uso se rigen por la legisla- ción común española. A todos los efectos, el domicilio contractual es la localidad xx Xxxxxxxxxx (Madrid). Las Partes, con formal renuncia a cualquier fuero que pudiera corresponderles o les fuera dado invo- car, se someten expresamente a los Juzgados xx Xxxxxxxxxx (Ma- drid).
Apéndices a estos Términos de Uso
Apéndice 1 - Acuerdo de protección de datos Apéndice 2 – Reglas de la plataforma
Acuerdo de Protección de Datos Plataforma B2B Connect y servicios relacionados
entre
Mercedes-Benz España, S.A.U. ("MBE")
y
Taller Autorizado de la Red Mercedes-Benz ("Taller Autorizado (ASP)")
(cada uno una "Parte", y juntos las "Partes").
Mercedes-Benz España, S.A.U. CIF X-00000000 Xxxx. xx Xxxxxxxx 00, 00000. Alcobendas. Madrid
Inscrita en el Registro Mercantil de Madrid, T. 34.892, Folio 60, Hoja M-627.50 Inscr. 1ª.
y Mercedes-Benz son marcas registradas de Mercedes-Benz AG, Stuttgart, Alemania.
CONSIDERANDOS
(A) MBE es una empresa dedicada a la distribución de automóviles de las Marcas Mercedes-Benz y smart fabricados por Mercedes-Benz AG y a la comercialización de servicios (en adelante “Servicios”) a los clientes (incluyendo a los clientes profesionales ISP ("ISP") y a los Talleres Autorizados ("ASP")), en Alemania, Europa (UE) y el resto del mundo ("RoW") a través de la Red de Talleres Autorizados Xxxxx- des-Benz.
(B) Ofrecer y proporcionar los Servicios anteriormente citados a los ASP implica la comunicación y el tratamiento de Datos de carácter personal a y por MBE.
(C) La normativa aplicable de protección de datos establece ciertos requisitos con respecto a la comuni- cación y al tratamiento de datos personales dentro de grupos de empresas o redes de distribución o postventa, entre otras cosas.
(D) Este Acuerdo tiene por objeto proporcionar garantías y protección adecuadas en el curso de la comu- nicación y el tratamiento de datos personales a nivel nacional, transfronterizo, en la UE y a nivel mundial en virtud de las leyes de protección de datos aplicables, tal como se define a continuación.
(E) Por lo tanto, las Partes celebran el siguiente Acuerdo (en lo sucesivo denominado "El Acuerdo").
1.1 En este acuerdo, los siguientes términos tendrán los siguientes significados:
(b) Por "Acuerdo" debe entenderse este Acuerdo de Protección de Datos.
(f) Por "MBAG" debe entenderse Mercedes-Benz AG, Xxxxxxxxxxxxxx 000, 00000 Xxxxxxxxx, Xxxxxxxx.
(m) Por "Estado miembro" se entenderá un país que sea un Estado miembro de la UE.
a) las referencias a una disposición legal incluyen cualquier legislación subordinada;
b) las referencias al presente Acuerdo incluirán los anexos y apéndices;
c) al interpretar el presente Acuerdo, se hará caso omiso de los encabezamientos; y
2.3 Cada Parte, en su calidad de Responsable o Encargado de Tratamiento, obligará a los Subencargados (en su caso) a proporcionar al menos un nivel similar de protección de datos y además se asegurará de que el Subencargado cumpla con las directrices y requisitos de seguridad y privacidad de MBE antes de celebrar un acuerdo con el mismo.
3. Modificaciones y variaciones
Las Partes podrán actualizar o completar el presente Acuerdo, de conformidad con el mismo, con- forme a lo establecido en documento “Términos y condiciones de uso para Talleres Autorizados Mer- cedes-Benz para la utilización de B2B Connect” (en adelante Términos y Condiciones de Uso).
4.1 Este Acuerdo de Protección de Datos entrará en vigor a partir de la aceptación del mismo por ambas Partes mediante aceptación electrónica (como parte de los correspondientes términos y condiciones). Las partes estarán obligadas por Términos y Condiciones de Uso a partir de la fecha de aceptación.
4.2 El Acuerdo estará en vigor mientras la relación contractual de la que forma parte el mismo no se extinga o los Servicios dejen de prestarse, dependiendo de qué acontecimiento se produzca en el futuro, en- tendiéndose que las obligaciones de las Partes en virtud del presente continuarán mientras los datos personales de una Parte sean tratados por la otra.
5.1 Cualquier aviso dado bajo este Acuerdo ("Aviso") deberá ser por escrito.
6. Asignación
ASP no puede ceder ni transferir ninguno de los derechos u obligaciones en virtud de este Acuerdo sin el consentimiento previo por escrito de MBE.
8.1 Si alguna de las cláusulas del Contrato o sus posteriores modificaciones fuese ilegal, ineficaz o quedase sin efecto, el resto del Contrato conservará plenamente su validez, obligándose ambas Partes a susti- tuir la parte contractual afectada de ineficacia por otra que, siendo válida, produzca efectos lo más similares posibles. Las disposiciones anteriores se aplicarán mutatis mutandis en caso de que el acuerdo sea incompleto.
9. Ley aplicable y jurisdicción competente
Este Acuerdo se rige por la legislación común española. A todos los efectos, el domicilio contractual es la localidad xx Xxxxxxxxxx (Madrid). Las Partes, con formal renuncia a cualquier fuero que pudiera corresponderles o les fuera dado invocar, se someten expresamente a los Juzgados xx Xxxxxxxxxx (Madrid).
Las Partes acuerdan excluir la aplicación de la ley uniforme de las Naciones Unidas (ONU) sobre ventas que se basa en la Convención de las Naciones Unidas sobre los Contratos de Compraventa Interna- cional de Mercaderías de 11 xx xxxxx de 1980.
10. Relación con otros acuerdos
10.1 Este Acuerdo reemplaza todas las regulaciones de protección de datos previamente existentes entre las Partes en relación con las actividades de tratamiento de datos reguladas explícitamente en este documento.
10.2 Cualquier asunto que no se aborde expresamente en este documento, incluida la responsabilidad de las Partes al proporcionar o utilizar los respectivos Servicios o transmitir los datos que correspondan para los fines indicados, se regirá por los términos de cualquier otro acuerdo (derivado de la relación contractual según lo establecido en la sección 4.2) existente entre las Partes.
10.3 En caso de discrepancias entre los términos de este Acuerdo y dichos acuerdos como se menciona en la sección 10.2, prevalecerán los términos de este Acuerdo.
PARTE A
CLÁUSULAS DE CORRESPONSABILIDAD
Preámbulo
Los Responsables de Tratamiento colaboran con respecto al alcance establecido a continuación ("Colabora- ción") y pueden, por lo tanto, proporcionarse mutuamente acceso y tratar ciertos datos personales.
Las Partes determinan en estas Cláusulas de Corresponsabilidad el alcance de su Colaboración, las obligacio- nes mutuas de las Partes y, posteriormente, sus respectivos roles y responsabilidades para el cumplimiento de las obligaciones en virtud de las Leyes de Protección de Datos Aplicables.
En este contexto, las Partes celebran el siguiente Acuerdo:
1. Objetivo del Acuerdo
El presente Acuerdo regula los derechos y obligaciones de las Partes (en adelante, también "Responsables") al tratar datos personales en calidad de Corresponsables.
2. Alcance del tratamiento bajo control conjunto
2.1 A lo largo de la Colaboración, las Partes tratan los datos personales en calidad de corresponsables del tratamiento en el sentido del artículo 26 del RGPD. Las disposiciones del presente Acuerdo se aplicarán a todas las actividades de tratamiento llevadas a cabo en el marco de una corresponsabilidad en la que los empleados de los responsables del tratamiento o los encargados del tratamiento traten datos personales en nombre de los responsables del tratamiento. En el anexo 1 se establece el alcance del tratamiento como corresponsables del tratamiento, incluidas las funciones, responsabilidades y competencias respectivas, así como otros detalles del tratamiento.
2.2 La información que figura en el Anexo 1 se corrobora con las descripciones de procesos y actividades en los contratos celebrados en paralelo por las Partes (por ejemplo, contratos de servicios), incluidos los textos informativos facilitados, a los que se hace referencia.
3. Deberes de los Responsables
3.1 Los Responsables de tratamiento llevarán a cabo el tratamiento de datos personales de acuerdo con las disposiciones pertinentes de las leyes de protección de datos aplicables y serán conjuntamente respon- sables del cumplimiento de las disposiciones del RGPD aplicables para los Corresponsables del tratamiento con respecto a las actividades de tratamiento cubiertas por el presente Acuerdo y según lo establecido en el mismo. En particular, se asegurarán de que solo se recojan los datos personales necesarios para las operaciones de tratamiento y los fines descritos en el Anexo 1. Además, los Responsables de tratamiento respetarán el principio de minimización de datos (cf. Art. 5, apdo. 1, letra c) del RGPD).
4. Medidas técnicas y organizativas
4.1 Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de dejar desprotegidos los derechos y libertades de las personas físicas, los Responsables de Tratamiento aplicarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, entre otras cosas, según proceda los siguientes:
• la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios relacionados con el tratamiento de forma continua;
• la capacidad de restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de un incidente físico o técnico;
• un procedimiento para revisar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento; y
• Un procedimiento para el cumplimiento adecuado de los principios de protección de datos a través de la tecnología y a través de una configuración predeterminada favorable a la protección de datos de conformidad con (cf. Art. 25 del RGPD).
Los Responsables del tratamiento podrán especificar otros requisitos por separado.
5. Responsabilidades por el cumplimiento de las leyes de protección de datos aplicables y respecto al ejer- cicio de derechos de los sujetos afectados
con el interesado, seguirá siendo el punto de contacto central para los interesados y apoyará al Responsable del tratamiento sujeto al RGPD con sus responsabilidades en relación con el cumplimiento de los los derechos de los interesados de conformidad con los artículos 12 a 22 del RGPD en la relación interna. Dicho apoyo se prestará de manera que permita al otro responsable del tratamiento cumplir plenamente esos derechos.
reclamar ninguna remuneración al otro Responsable del tratamiento por el cumplimiento de dichas obligaciones.
6.1 Cada Responsable del tratamiento tiene derecho a utilizar Encargados de Tratamiento.
7. Tratamiento dentro y fuera del Espacio Económico Europeo
9. Poder legal
9.1 MBE ha sido autorizada por MBAG para ejecutar estas Cláusulas de Corresponsabilidad también en nombre y por cuenta de MBAG y, por lo tanto, para convertir a MBAG en parte de estas Cláusulas de Correspon- sabilidad como otro Responsable del Tratamiento con la función especificada en el Anexo 1. Si MBAG no se indica como Responsable del Tratamiento en el Anexo 1 a continuación, MBAG no se convertirá en Parte del presente Acuerdo a este respecto. Por la presente, ASP confirma y da su consentimiento para que MBAG se convierta en una Parte en virtud del presente, se le otorguen todos y cada uno de los dere- chos y obligaciones como Responsable de Tratamiento en virtud de esta Parte A, incluidos sus Anexos (excluyendo otras partes del Acuerdo a menos que se estipule lo contrario en este documento) y, por lo tanto, se convierta en un Responsable de Tratamiento.
9.2 MBE tendrá derecho a informar a MBAG sobre los ASP con los que se hayan establecido las respectivas relaciones contractuales, incluyendo el nombre de la empresa, la dirección y el contenido del acuerdo respectivo, y a proporcionar pruebas suficientes de ello a petición de MBAG, por ejemplo, proporcionando copias del acuerdo celebrado y de esta parte A en particular.
Anexo 1: Roles, tareas y alcance de la colaboración
1. Actividades de tratamiento relacionadas con Business Analytics
Tratamiento | Finalidad / Ámbito de aplicación | Roles y tareas | Categorías de datos y sujetos afectados |
Soporte de tickets para ISP en el Seller Center | Proporcionar a los proveedores de servicios de Internet la opción de apoyar a los proveedores de servicios de Internet con tickets en el Seller Center y solicitudes de apertura de cuentas. | MBE: Responsable de Trata- miento Proporciona la opción para que ASP apoye a los ISP con tickets en el Seller Center y pone a dis- posición de ASP información so- bre tickets y solicitudes previa notificación al ISP; es responsa- ble del Tratamiento técnico de la información de los tickets ASP: Responsable de Trata- miento Admite ticket / solicitud para ISP en colaboración con ISP; es res- ponsable del manejo adecuado de la información proporcionada y del correcto tratamiento | Datos del ISP: Nombre de la em- presa ISP, nombre de usuario, ID de usuario, dirección, correo electrónico, teléfono, ticket o de- talles de la solicitud (fecha, asunto) Datos de ASP: nombre de la em- presa, nombre de usuario, ID de usuario, dirección, correo elec- trónico, teléfono |
Análisis del negocio | Los datos de ventas obtenidos a través de la plataforma B2B Con- nect se utilizarán para analizar las operaciones comerciales y pro- porcionar informes agregados a MBAG, MBE y ASP. Los informes se crean normal- mente mediante cálculos auto- matizados (basados en aplicacio- nes). En casos excepcionales, los da- tos se fusionan con datos de otras fuentes (por ejemplo, otra base de datos de otro departa- mento de MBAG) para realizar análisis adicionales. MBAG y sus empleados operan estrictamente de acuerdo con el principio de “need to know”. | MBAG: Responsable Opera la lógica de negocios y alo- ja la base de datos con datos co- merciales crea evaluaciones /in- formes agregados basados en los datos proporcionados para sí mismo, MBE y ASP. MBE: Responsable Permite la transmisión de datos relacionados con transacciones de la plataforma B2B que se utili- zarán para los procesos anterio- res y recibe informes agregados. ASP: Responsable Permite la transmisión de datos relacionados con transacciones de la plataforma B2B que se utili- zarán para los procesos anterio- res y recibe informes agregados. | Datos del ISP: Nombre de la em- presa del ISP, nombre de usuario, ID de usuario, dirección, correo electrónico, teléfono, detalles del pedido (fecha del pedido, piezas / servicios solicitados, cantidad del pedido, ventas, pedidos no realizados (ventas perdidas), fre- cuencia de uso de la plataforma B2B Connect/ servicios post- venta relacionados, tiempos de entrega). Datos del ASP: nombre de la em- presa, nombre de usuario, ID de usuario, dirección, correo elec- trónico, teléfono. |
2. Destinatarios
Personas restringidas con funciones dedicadas a las que los Datos personales solo se comunicarán según sea necesario para llevar a cabo sus respectivas responsabilidades (por ejemplo, contratistas, incluidos los de re- cursos humanos, TI y finanzas (cuando corresponda)); empresas del grupo, consultores, auditores, contables; organizaciones financieras; despachos de abogados, organismos públicos, autoridades reguladoras.
Cláusulas sobre el tratamiento de datos en nombre de un Responsable
Preámbulo
Estas Cláusulas sobre el tratamiento de datos en nombre de un responsable ("Cláusulas Parte B") especifican las obligaciones de las Partes con respecto a la protección de datos que resultan del tratamiento de datos en nombre de un responsable como se describe a continuación. Estas Cláusulas Parte B se aplican a cualquier actividad que se relacione con estas actividades de tratamiento y durante las cuales, los empleados del Encargado de Tratamiento o terceros encargados por el Encargado puedan acceder a los Datos Personales del Responsable. Sin embargo, estas Cláusulas se limitarán en su aplicación a circunstancias en las que una de las Partes actúe como Encargado de Tratamiento en el sentido del Art. 28 de RGPD frente a la otra Parte. Fuera de este ámbito, estas Cláusulas no se aplicarán.
1. Funciones y responsabilidades
El Responsable lleva a cabo el tratamiento de datos personales para desarrollar su negocio de posventa. Con este fin, el Encargado de Tratamiento proporciona servicios al Responsable como se describe en el Anexo 1.
2. Objeto y responsabilidad
El Encargado de Tratamiento procesa los Datos personales en nombre del Responsable para las actividades especificadas a continuación o dentro de cualquier acuerdo de servicio adicional o solicitud de pedido. Dentro del alcance de estas Cláusulas Parte B, el Responsable será el único responsable del cumplimiento de la Ley de Protección de Datos Aplicable, en particular de que la comunicación de datos al Encargado de Tratamiento se lleve a cabo de acuerdo a la legislación vigente, del tratamiento de los datos por parte del Encargado y de cualquier otro tratamiento posterior de datos durante el desarrollo de los Servicios, mientras que el Encargado de tratamiento será responsable del cumplimiento de las disposiciones legales sobre protección de datos que se aplican a un encargado.
3. Especificación de la puesta en marcha
3.1 La finalidad, el tipo y el alcance del recabo, el tratamiento y/o el uso de los Datos personales por el Encargado se describen con más detalle en el Anexo 1.
3.2 El tipo y las categorías de los Datos personales recabados y/o utilizados, así como los sujetos cuyos datos son objeto de tratamiento se describen con más detalle en el Anexo 1.
4. Derecho del Responsable a emitir instrucciones
4.1 El Responsable se reserva el derecho de emitir instrucciones sobre el tipo, el alcance y las actividades objeto de tratamiento de datos mediante la emisión de instrucciones individuales. Todo lo anterior debe ponerse en marcha a través de los ajustes y funciones en las aplicaciones y sistemas. Las instrucciones que conducen a cambios en el objeto de tratamiento acordado y los procedimientos para llevarlos a cabo deben acordarse y documentarse.
4.2 El Encargado informará al Responsable de cualquier instrucción que considere que infringe los requisitos de protección de datos. El Encargado puede posponer la ejecución de la instrucción pertinente hasta que sea confirmada o cambiada por el Responsable por escrito (incluido el correo electrónico).
4.3 Cualquier desviación/ instrucción respecto de lo inicialmente especificado, tiene que ser documentada por escrito (incluido el correo electrónico).
4.4 El Coordinador de Protección de Datos del Encargado está autorizado a recibir instrucciones.
5. Obligaciones del Encargado
5.1 El Encargado recabará o llevará a cabo el tratamiento de datos solo según lo especificado por el Responsable y de conformidad con las instrucciones del mismo, a menos que el Encargado esté obligado a hacerlo por la legislación de la Unión Europea o de los Estados miembros a la que está sujeto o cualquier otra ley de protección de datos aplicable; en tal caso, el Encargado informará al Responsable de ese requisito legal antes del tratamiento de datos, a menos que esa ley prohíba dicha información por motivos de interés público.
El Encargado rectificará, eliminará o bloqueará los datos tratados en nombre del Responsable solo según las instrucciones del mismo. Si un interesado se pone en contacto con el Encargado con una solicitud de rectificación o eliminación de sus datos, el Encargado enviará la solicitud al Responsable.
5.2 A menos que lo prohíba la legislación aplicable o una solicitud legalmente vinculante en aplicación de la ley, el Encargado notificará de inmediato al Responsable de cualquier solicitud de una autoridad supervisora de protección de datos, autoridad de aplicación de la ley u otra autoridad pública para el acceso o la incautación de datos personales. Además, en la medida permitida por la ley, el Encargado podrá utilizar todas las medidas razonablemente disponibles para defenderse contra dicha acción o permitir que el Responsable lo haga en lugar y en nombre del Encargado, y si así lo decide, contar con la defensa de un tercero o permitir que el Responsable lo haga en nombre del Respensable. En cualquier caso, el Encargado cooperará razonablemente con el Responsable en dicha defensa.
5.3 Antes de conceder el acceso a los Datos Personales, el Encargado informarán a los empleados que participarán en el tratamiento de Datos Personales sobre su deber secreto y a mantener la confidencialidad de los datos y las familiarizará con las disposiciones establecidas en estas Cláusulas Parte B y las obligaciones de protección de datos aplicables. En la medida en que el Encargado esté tratando Datos Personales sujetos a secreto profesional u otras obligaciones especiales de confidencialidad (por ejemplo, datos sujetos al secreto de las telecomunicaciones), dicha obligación también incluirá estas circunstancias específicas y obligaciones relacionadas.
5.4 En la medida en que lo exija la Ley de Protección de Datos Aplicable, el Procesador nombrará a un responsable de protección de datos y enviará sus datos de contacto al Responsable y sin demora indebida informará al mismo sobre cualquier cambio y actualización durante la vigencia de este Acuerdo.
5.5 El Encargado notificará sin demora indebida al Responsable las violaciones de las instrucciones o de las disposiciones en relación a la protección de los Datos Personales del Responsable por parte del Encargado o una persona empleada por el mismo.
El Encargado reconoce que el Responsable puede estar obligado a documentar los incidentes en materia de protección de datos personales y, si es necesario, a informar a una autoridad supervisora y al interesado dentro de las 72 horas desde dicha violación. En la medida en que haya sido responsable de tales incumplimientos, el Encargado ayudará al Responsable de acuerdo con el Art. 28 para. 3 lit. f RGPD con el cumplimiento de las obligaciones de presentación de informes de una manera adecuada para permitir que el Responsable cumpla oportunamente sus obligaciones en virtud del presente Acuerdo. El Encargado informará del incidente al Responsable sin retrasos indebidos y le dará al menos la siguiente información en la medida en que esté disponible para el Encargado: a) descripción del tipo de incidente, la categoría y la cantidad aproximada de sujetos afectados y conjuntos de datos implicados, b) nombre y datos de contacto de una persona de su organización para obtener más información, c) descripción de las consecuencias probables de la infracción, d) descripción de las medidas adoptadas para remediar o reducir la infracción.
Además, el Encargado informará sin demora indebida al Responsable de las interrupciones graves del curso normal de las operaciones, sobre cualquier sospecha de violaciones/ incidentes de protección de datos u otras irregularidades en el tratamiento de los datos del Responsable.
5.6 El Encargado informará al Responsable de cualquier actividad de supervisión y medidas tomadas por la autoridad supervisora con respecto al tratamiento de datos personales del Responsable.
5.7 El Encargado ayudará al Responsable de acuerdo con el Art. 28 para. 3 lit. e del RGPD mediante la implantación de las medidas técnicas y organizativas adecuadas, en la medida en que esto sea posible y razonable, para el cumplimiento de la obligación del Responsable con los sujetos afectados (incluso con arreglo al capítulo II del RGPD), por ejemplo, en lo que a la información y el acceso de éstos se refiere,
en los procesos de rectificación y eliminación de los datos, en la limitación del tratamiento o en el derecho a la portabilidad de los datos y el derecho a oponerse, si procede.
5.8 El Encargado ayudará de acuerdo con el Art. 28 para. 3 lit. f del RGPD con la preparación de una evaluación de impacto de protección de datos de acuerdo con el Art. 35 del RGPD y, cuando xxxxxxx, ayudará con la consulta de la autoridad supervisora según el Art. 36 del RGPD. A petición del Responsable, el Encargado revelará la información y los documentos requeridos al mismo.
5.9 Las Partes llegarán a un acuerdo con respecto a los costes adicionales que se estipulen de conformidad con los puntos 5.7 y 5.8. MBE no tendrá obligación de asumir los costes de dichos servicios prestados independientemente de que estuviera obligado en virtud de una obligación legal.
5.10 El Encargado supervisará el cumplimiento de las obligaciones especificadas anteriormente durante la ejecución del tratamiento de datos.
5.11 El Encargado mantendrá un registro de las actividades de tratamiento de datos llevadas a cabo en nombre del Responsable.
6. Seguridad del tratamiento
6.1 El Encargado llevará a cabo todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y ayudará al Responsable a garantizar el cumplimiento de las leyes de protección de datos aplicables.
Por lo tanto, dentro de su ámbito de responsabilidad, el Encargado definirá su organización interna de acuerdo con todos los requisitos aplicables de protección y seguridad de datos. El Encargado tomará, mantendrá y controlará las medidas técnicas y organizativas para garantizar una protección apropiada de los datos del Responsable contra el uso indebido y el incumplimento de los requisitos legales aplicables.
6.2 A este respecto, el Encargado proporcionará un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad respecto al incumplimiento de los derechos y libertades de las personas físicas. Esto incluye medidas apropiadas sobre, por ejemplo, el control de entrada, el control de usuarios, el control de acceso, el control de transmisión, el control de accesos, el control de puestos de trabajo, el control de disponibilidad, así como la separación por finalidad y, entre otras cosas, según proceda, la seudonimización y el cifrado de los datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento, la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en el caso de incidente físico o técnico y un proceso para probar, evaluar y revisar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
6.3 El Anexo 2 contiene más especificaciones sobre las medidas técnicas y organizativas.
6.4 Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo. El Encargado podrá implementar medidas alternativas adecuadas. Sin embargo, éstas no deben quedar por debajo del nivel de seguridad que proporcionan las medidas especificadas. Cualquier cambio significativo debe ser documentado.
7. Derechos y obligaciones del Responsable
7.1 El Responsable y el Encargado serán responsables del cumplimiento de la legislación sobre protección de datos, ya que se aplica a uno u otro con respecto a los datos personales que se tratan en virtud del presente Acuerdo.
7.2 Los interesados podrán ejercitar sus derechos respecto a los datos en poder del Responsable (y del Encargado de Tratamiento). Aunque será el Responsable quien tenga una relación directa con el interesado, el Encargado garantizará el cumplimiento adecuado de los derechos pertinentes de los interesados, en particular en lo referente a informar adecuadamente a los interesados sobre las funciones y tareas realizadas por las partes de acuerdo con las leyes de protección de datos aplicables, por ejemplo, proporcionando acceso a los clientes a la versión en vigor de la política de privacidad.
7.3 El Responsable especificará las medidas para devolver los datos proporcionados y / o eliminar los datos registrados después de la terminación del Acuerdo. Si no se emiten especificaciones, los datos se entregarán al Responsable o se destruirán. En la medida en que los datos se eliminen de acuerdo con especificaciones particulares, el Encargado confirmará dicha eliminación al Responsable especificando la fecha en que dicha eliminación se ha efectuado a petición del Responsable.
8. Auditoría
8.1 El Responsable o su representante designado tienen el derecho de controlar el cumplimiento de todas y cada una de las instrucciones y requisitos establecidos en este Acuerdo, así como en virtud de la Ley de Protección de Datos Aplicable, incluidas las inspecciones regulares. El Encargado se compromete a permitir dichos controles y a apoyar al Responsable, así como a proporcionar la información necesaria.
8.2 El Responsable perseguirá principalmente sus obligaciones de control exigiendo auditorias internas a llevar a cabo por el Responsable de Protección de Datos y/o certificaciones de auditores independientes. El Responsable se reserva el derecho de llevar a cabo inspecciones adicionales in situ si es necesario de acuerdo con la Ley de Protección de Datos Aplicable.
8.3 Las auditorías realizadas por el Responsable de conformidad con las secciones 8.1 y 8.2 anteriores se llevarán a cabo durante el horario de trabajo y no perturbarán las operaciones internas estándar y se notificarán con razonable antelación.
8.4 Previa solicitud por escrito del Responsable, el Encargado proporcionará al Responsable dentro de un período de tiempo razonable cualquier información y pondrá la documentación necesaria a su disposición según sea necesario para la auditoría.
9. Subencargados de Tratamiento
9.1 El Encargado tendrá derecho a utilizar Subencargados de Tratamiento para cumplir con sus obligaciones contractuales.
9.2 El Encargado se asegurará al celebrar acuerdos con los Subencargados de imponer al menos las mismas obligaciones a los mismos que el Procesador ha asumido de acuerdo con estas Cláusulas Parte B antes de que al Subencargado se le conceda acceso a los Datos Personales del Responsable.
9.3 En la medida en que el Encargado involucre a Subencargados, el Anexo 1 contiene más información sobre los Subencargados involucrados. Además, los subencargados implicados se enumeran en el Anexo
3. El Encargado informará al Responsable de cualquier cambio previsto en relación con la adición o sustitución de otros Subencargados, dando así al Responsable la oportunidad de oponerse a dichos cambios, mientras que el Responsable tiene que presentar motivos razonables para dicha objeción. Si el Responsable aún no aprueba un nuevo Subencargado, el Responsable y el Encargado pueden terminar las partes afectadas de los Servicios sin penalización, quedando por escrito reflejada la citada terminación.
9.4 Esta sección 9 no se aplicará en los casos en que el Encargado subcontrate servicios auxiliares a terceros; dichos servicios auxiliares incluirán, entre otros, servicios de correo, comunicación, envío y recepción y servicios de asistencia.
10. Territorio y transferencia de datos
10.1 Como norma general, el tratamiento se producirá en un Estado miembro de la Unión Europea, en un país del Espacio Económico Europeo o en un País Adecuado. Se permitirán actividades de tratamiento en otro país ("Tercer país") si se cumplen los requisitos aplicables para la transferencia internacional de datos personales.
10.2 En la medida en que las transferencias internacionales de datos (incluidas las transferencias de datos en relación con los Subencargados) no estén cubiertas por la Directriz de Protección de Datos de Mercedes- Benz EU A 17, las Partes (aplicable también a los Subencargados) firmarán las respectivas Cláusulas contractuales estándar de la UE.
10.3 Los términos de las Cláusulas Contractuales Estándar de la UE (incluidos sus Anexos) prevalecerán sobre cualquier cláusula que pudiera llevar a conflicto contempladas en la Parte B y en todo el Acuerdo. Para evitar dudas, seguirán siendo válidas las disposiciones que vayan más allá de los términos de las Cláusu- las Contractuales Estándar de la UE, si las hubiera, sin contradecirlas, incluidas en el resto de estas Cláusulas Parte B, así como en el Acuerdo completo.
11. Responsabilidad
Sin perjuicio de lo dispuesto en la Sección 7 dentro del cuerpo principal de este Acuerdo, el Responsable será responsable de los daños e indemnizará al Encargado contra cualquier reclamación de terceros u otros daños y responsabilidades, incluidas las consecuencias de las órdenes o multas de la autoridad supervisora, que resulten de (i) el incumplimiento por parte del Responsable de sus obligaciones en virtud de este Acuerdo y / u otras infracciones de las leyes de protección de datos aplicables, y / o (ii) el incumplimiento por parte del Encargado de las leyes de protección de datos aplicables, en la medida en que se basen en la correcta ejecución de las disposiciones de este Acuerdo u otras instrucciones del Responsable. Esto no se aplicará si el Responsable no lo es de las circunstancias que dan lugar a la responsabilidad.
Anexo 1: Roles, tareas y alcance de la colaboración
1. Actividades de tratamiento relacionadas con B2B Connect Platform
Tratamiento | Finalidad / Ámbito de aplicación | Roles y tareas | Categorías de datos y sujetos afectados |
Soporte a los servicios de la pla- taforma B2B Connect | Proporcionar soporte al usuario y a los empleados de ASP (a través de la aplicación de soporte/ Call Center5) | MBE: Encargado de Tratamiento MBAG: Subencargado de Trata- miento Proporciona soporte a los ASP respectivamente. ASP: Responsable Utilización de WebParts incluida la funcionalidad de soporte a usuarios. | Datos ASP: datos de la cuenta, in- cluido el nombre del cliente / nombre de la empresa, el nombre del empleado del cliente y los da- tos de contacto del cliente, la di- rección del cliente, el ticket de soporte / información relacio- nada con incidentes, la informa- ción sobre los servicios de pos- venta, incluidos los datos de uso del ISP, incluidos los datos transaccionales y relacionados con el ISP, el nombre de la em- presa del ISP, los nombres de los empleados o los datos relaciona- dos con la orden de compra (cuando sea necesario). |
2. Análisis del negocio
Tratamiento | Finalidad / Ámbito de aplicación | Roles y tareas | Categorías de datos y sujetos afectados |
Visualización, informes y análisis | Mostrar los datos de las transac- ciones del ISP en el Seller Center de B2B Connect, proporcionando informes y análisis | MBE: Encargado de Tratamiento (MBAG: Subencargado) Muestra los datos de las transac- ciones del ISP en el Centro de vendedores de B2B Connect y proporciona informes y análisis a petición del ASP ÁSP: Responsable de Tratamien- to Uso de WebParts, incluida la vi- sualización de datos, la genera- ción de informes y el análisis | Datos del ISP: Nombre de la em- presa ISP, nombre de usuario, ID de usuario, detalles del pedido (fecha del pedido, piezas/servi- cios solicitados, cantidad del pe- dido, ventas, pedidos no realiza- dos (ventas perdidas), frecuencia de uso de la plataforma B2B Con- nect / servicios relacionados con la posventa, plazos de entrega), análisis e informes basados en las cifras de ventas anteriores Datos de ASP: nombre de la em- presa, nombre de usuario, ID de usuario |
Servicios de propuesta de cam- pañas (en caso de que dicho ser- vicio sea solicitado por MBE y/o ASP; en caso contrario, no es aplicable) | MBAG y MBE (si procede) utilizan los datos proporcionados para realizar análisis comerciales y crear campañas de marketing re- lacionadas para MBE y los ASP, así como para apoyar el funciona- miento de las campañas de mar- keting. Esto incluye normalmente que MBAG proporcione materiales de marketing, incluyendo listas de ISP (por ejemplo, con clientes po- | MBAG: Encargado de Trata- miento Alberga una base de datos con datos de análisis de negocio; opera aplicaciones y crea xxxxx- ñas de marketing basadas en los datos proporcionados para MBE y los ASP para que puedan contac- tar con los ISP a través de dife- rentes canales de marketing di- recto. Traslada a MBE y/o a los | Datos del ISP: Nombre de la em- presa del ISP, nombre del em- pleado-usuario, identificación del usuario, dirección, correo elec- trónico, teléfono, detalle de los pedidos (fecha del pedido, pie- zas/servicios solicitados, canti- dad del pedido, ventas, pedidos no realizados (ventas perdidas), frecuencia de uso de los servicios relacionados con la plataforma B2B Connect y los servicios rela- cionados, información adicional |
tenciales) a MBE o ASP para per- mitirles contactar con los ISP a través de diferentes canales de marketing directo (si es aplicable en el mercado particular), inclu- yendo la transmisión de materia- les de marketing + listas de distri- buidores a MBE o ASP para este fin. | ASP las listas de marketing y de ISP con este fin. MBE: Responsable de Trata- miento Recibe listas de ISP + materiales de marketing para campañas de marketing (las campañas de mar- keting serán operadas por MBE bajo su exclusiva responsabili- dad, si procede) | relacionada con los plazos de en- trega) Datos de la ASP: nombre de la empresa, nombre del usuario, identificación del usuario, direc- ción, correo electrónico, teléfono | |
Puede prestar servicios similares a los ASP (en este caso actuando también como procesador para los ASP) | |||
ASP: Responsable de Trata- miento | |||
Recibe listas de ISP + materiales de marketing para campañas de marketing (las campañas de mar- keting serán operadas por el ASP bajo su exclusiva responsabili- dad) | |||
Servicios de campañas xx xxxxx- ting directo (en caso de que dicho servicio sea solicitado por ASP; en caso contrario, no es aplica- ble) | Opcionalmente, cuando un ASP lo solicita, MBE puede apoyar el envío de material de marketing a los clientes proporcionando un servicio web dedicado para que los ASP carguen los datos de contacto de los clientes finales y MBE distribuya las campañas en nombre y por cuenta del ASP. También MBE puede dar soporte a los ASP con servicios xx xxxxx- ting para contactar con los ISP a través del Call Center de MB. | MBE: Encargado de Tratamiento MBE puede enviar campañas de marketing (correos electrónicos) en nombre y por cuenta de ASP (o con la participación de MBAG u otro subencargado). En este caso, MBE proporcionará una in- terfaz a través de la cual ASP po- drá transmitir los datos de los clientes finales (nombres, direc- ción de correo electrónico) a MBE. MBE procesará los datos transmi- tidos para el envío de correos electrónicos de marketing (tam- bién a través de terceros provee- dores de servicios de MBE). | Datos del ASP: nombre de la em- presa, nombre del empleado, identificación del usuario, direc- ción del anuncio, correo electró- nico, teléfono Datos del ISP: nombre de la em- presa, datos de contacto, nom- bres de los empleados, correo electrónico, detalles del pedido (fecha del pedido, piezas/servi- cios solicitados, cantidad del pe- dido, ventas, pedidos no realiza- dos (ventas perdidas), frecuencia de uso de los servicios relaciona- dos con la plataforma B2B Con- nect/posventa, más información relacionada con los clientes po- tenciales |
Opcionalmente, MBE puede con- tactar con los ISP a través del Call Center de MB y hacer segui- miento de los contactos realiza- dos. | |||
ASP: Responsable de Trata- miento | |||
Opera campañas de marketing |
3. Destinatarios
Personas restringidas con funciones dedicadas a las que los Datos personales solo se comunicarán según sea necesario para llevar a cabo sus respectivas responsabilidades (por ejemplo, contratistas, incluidos los de re- cursos humanos, IT y finanzas (cuando corresponda)); empresas del grupo, consultores, auditores, contables; organizaciones financieras; despachos de abogados, organismos públicos, autoridades reguladoras.
Anexo 2: Medidas técnicas y organizativas (TOMs)
Las siguientes medidas técnicas y organizativas reflejan las medidas aplicadas en los distintos componentes funcionales del entorno pertinente. Dependiendo de la subfunción y la aplicación, no todas las medidas que se indican a continuación pueden aplicarse plenamente (por ejemplo, medidas especiales de control de acceso para aplicaciones que ya funcionan en entornos especialmente protegidos, como los centros de datos espe- cialmente protegidos). Se facilitarán, a petición, descripciones detalladas específicas de las medidas técnicas y organizativas adoptadas para cada componente del producto, subfunción o aplicación (parcial).
Para las actividades de tratamiento relacionadas con B2B Connect (incluyendo Business Analytics y apoyo a campañas/marketing) se aplicarán los siguientes TOMs:
1. Control de acceso (físico) | Sí | No | No aplica |
Las áreas con sistemas donde las aplicaciones procesan datos personales se dividen en diferentes zonas de seguridad | ☒ | ☐ | ☐ |
Especificación de las personas autorizadas, incluido el alcance de la autoridad con respecto al acceso físico a las habitaciones o áreas relevantes | ☒ | ☐ | ☐ |
Control de accesos con identificadores únicos | ☒ | ☐ | ☐ |
Reglas y regulaciones para los visitantes | ☒ | ☐ | ☐ |
Implantadas reglas sobre el uso de claves | ☒ | ☐ | ☐ |
Control de accesos: entrada y salidas registradas | ☒ | ☐ | ☐ |
Medidas de seguridad perimetral (por ejemplo, vallas, muros exteriores, puestos de control) | ☒ | ☐ | ☐ |
Medias de seguridad en el control de accesos (por ejemplo, sistema de bloqueo, lectores de identi- ficación) | ☒ | ☐ | ☐ |
Ventanas antirrobo | ☒ | ☐ | ☐ |
Instalación de vigilancia (por ejemplo, sistema de alarma, CCTV) | ☒ | ☐ | ☐ |
Sistema de separación (por ejemplo, torniquetes, sistema xx xxxxx puerta) | ☒ | ☐ | ☐ |
Documentación de las medidas de protección física | ☒ | ☐ | ☐ |
2. Control de acceso (sistemas) | Sí | No | No aplicable |
Concepto de seguridad para iniciar sesión en la aplicación documentado | ☒ | ☐ | ☐ |
Uso del Servicio de autenticación global (GAS) | ☒ | ☐ | ☐ |
Sincronización regular con el Directorio Corporativo | ☒ | ☐ | ☐ |
Uso de Secure Application Gateway (SAGW/WCP) | ☐ | ☐ | ☒ |
Autoridad de acceso especificada y comprobada | ☒ | ☐ | ☐ |
Usuario identificado y autorización verificada | ☒ | ☐ | ☐ |
Sistema de gestión de identidad de usuario implementado | ☒ | ☐ | ☐ |
Proceso de autenticación especial (por ejemplo, tarjetas con chip, control de acceso biométrico) | ☐ | ☐ | ☒ |
Protección adecuada con contraseña (requisitos de enlace para contraseñas seguras, almacena- miento cifrado) | ☒ | ☐ | ☐ |
Intentos de acceso supervisados, incluida la respuesta a problemas de seguridad | ☒ | ☐ | ☐ |
Aislamiento de la red interna (por ejemplo, mediante VPN, firewalls) | ☒ | ☐ | ☐ |
Eliminación inmediata de cuentas de ex empleados | ☐ | ☒ | ☐ |
Software de seguridad especial (por ejemplo, antimalware, detección de intrusiones) | ☒ | ☐ | ☐ |
Reglas y regulaciones para los visitantes | ☒ | ☐ | ☐ |
Reglas y regulaciones de acceso remoto | ☒ | ☐ | ☐ |
3. Control de acceso (derechos de usuario) | Sí | No | No aplicable |
Concepto de autorización y roles implementado para aplicaciones | ☒ | ☐ | ☐ |
Cuentas de usuario necesarias para el acceso a los datos | ☒ | ☐ | ☐ |
Revisión periódica de las autorizaciones | ☐ | ☒ | ☐ |
Las autorizaciones y restricciones de acceso siguen los principios de "need-to-know" y "least privi- lege" | ☒ | ☐ | ☐ |
Contraseñas adicionales (basadas en el principio de 4 ojos) para funciones particularmente impor- tantes (por ejemplo, administrador del sistema) | ☒ | ☐ | ☐ |
Protección de la capacidad multicliente del sistema | ☒ | ☐ | ☐ |
Bases de datos separadas y con capacidad para múltiples clientes | ☒ | ☐ | ☐ |
Separación del entorno de desarrollo, prueba, integración y productivo | ☒ | ☐ | ☐ |
Separación del entorno productivo y de archiving | ☒ | ☐ | ☐ |
Acceso de lectura registrado | ☒ | ☐ | ☐ |
Acceso de escritura registrado | ☒ | ☐ | ☐ |
Intentos de acceso no autorizados registrados | ☒ | ☐ | ☐ |
Implementación de períodos de retención de datos | ☒ | ☐ | ☐ |
4. Control de divulgación | Sí | No | No aplicable |
Transferencia de datos cifrada | ☒ | ☐ | ☐ |
Retención de datos cifrada | ☐ | ☒ | ☐ |
Terminales móviles cifrados (por ejemplo, cifrado de disco duro) | ☐ | ☐ | ☒ |
Reenvío o transferencia de datos registrados | ☒ | ☐ | ☐ |
Formas de reenvío de datos completamente documentadas (por ejemplo, impresión, medios de da- tos, transferencia automatizada) | ☐ | ☐ | ☒ |
Interfaces documentadas | ☒ | ☐ | ☐ |
Restricción de los derechos de transferencia de datos | ☒ | ☐ | ☐ |
Verificaciones de plausibilidad, integridad y exactitud de los datos realizados | ☒ | ☐ | ☐ |
Desactivación de la interfaz USB | ☐ | ☐ | ☒ |
Implementación de regulaciones de manejo de dispositivos móviles | ☐ | ☐ | ☒ |
Implementación de regulaciones de eliminación de portadores de datos implementadas | ☒ | ☐ | ☐ |
Protección contra la manipulación de datos (protección contra malware) | ☒ | ☐ | ☐ |
5. Control de entrada | Sí | No | No aplicable |
Registro/grabación del sistema garantizado | ☒ | ☐ | ☐ |
Evaluación periódica de archivos de registro/protocolos | ☐ | ☒ | ☐ |
Segregación de Funciones (SoD) asegurada (matriz de SoD definida y procedimientos implementa- dos) | ☒ | ☐ | ☐ |
Autorización para introducir, modificar o eliminar datos documentados | ☒ | ☐ | ☐ |
Entrada/Alteración de datos completamente registrados/registrados | ☐ | ☐ | ☒ |
Entrada/Alteración de datos parcialmente registrados/registrados | ☒ | ☐ | ☐ |
Alteración/Eliminación de datos prohibida | ☒ | ☐ | ☐ |
Firma electrónica para garantizar la autenticidad de la alteración de los datos | ☐ | ☐ | ☒ |
6. Control de trabajos | Sí | No | No aplicable |
Firmado el Acuerdo de Encargado de Tratamiento estándar Mercedes-Benz | ☒ | ☐ | ☐ |
Firmados Acuerdos de Encargados de Tratamiento con terceras partes en caso de aplicar | ☒ | ☐ | ☐ |
Firmadas las cláusulas contractuales tipo de la Comisión de la UE para el tratamiento de datos por Encargados en caso de aplicar | ☒ | ☐ | ☐ |
Las responsabilidades del Responsable de Tratamiento y del Encargado de Tratamiento están estric- tamente definidas | ☒ | ☐ | ☐ |
Reglas especificadas para ajustar/ cambiar las instrucciones dadas al Encargado de Tratamiento | ☒ | ☐ | ☐ |
Los controles in situ han sido realizados y documentados por el Responsable de Tratamiento | ☐ | ☒ | ☐ |
El Encargado de Tratamiento de datos presentó autoevaluaciones | ☐ | ☒ | ☐ |
El Encargado de Tratamiento presentó certificaciones aprobadas | ☐ | ☒ | ☐ |
El Encargado de Tratamiento presentó lista de subcontratistas | ☒ | ☐ | ☐ |
Controles de los subcontratistas por parte del Responsable de Tratamiento | ☐ | ☒ | ☐ |
7. Control de disponibilidad | Sí | No | No aplicable |
Comprobación periódica del estado del sistema (supervisión) | ☒ | ☐ | ☐ |
Plan de copias de seguridad y recuperación establecido (copias de seguridad de datos periódicas) | ☒ | ☐ | ☐ |
Estrategia de archivado de datos implementada | ☒ | ☐ | ☐ |
Planes de contingencia documentados (continuidad del negocio, recuperación ante desastres) | ☒ | ☐ | ☐ |
Planes de contingencia probados regularmente | ☐ | ☒ | ☐ |
Presencia de sistemas de TI redundantes evaluados (servidores, almacenamiento, etc.) | ☒ | ☐ | ☐ |
Sistemas de protección física totalmente operativos (protección contra incendios, energía, aire acon- dicionado) | ☒ | ☐ | ☐ |
8. Procedimientos para la revisión, evaluación y evaluación periódicas de la eficacia de las medidas técnicas y organizativas adoptadas | Sí | No | No aplicable |
Comprobaciones periódicas del estado del sistema (supervisión) | ☒ | ☐ | ☐ |
Revisión de la aplicación de las medidas descritas | ☒ | ☐ | ☐ |
Descripción de los requisitos de protección de datos aplicables en directrices e instrucciones vincu- lantes | ☒ | ☐ | ☐ |
Participación del delegado de protección de datos en los nuevos procedimientos de tratamiento de datos pertinentes | ☒ | ☐ | ☐ |
Para las actividades de tratamiento relacionadas con Webparts (incluidos Business Analytics y Soporte de Campañas de Marketing) se aplicarán los siguientes XXX:
1. Control de acceso (físico) | Sí | No | No aplicable |
Las áreas con sistemas donde las aplicaciones procesan datos personales se dividen en diferentes zonas de seguridad | ☒ | ☐ | ☐ |
Especificación de las personas autorizadas, incluido el alcance de la autoridad con respecto al acceso físico a las habitaciones o áreas relevantes | ☒ | ☐ | ☐ |
Control de accesos con identificadores únicos | ☒ | ☐ | ☐ |
Reglas y regulaciones para los visitantes | ☒ | ☐ | ☐ |
Implantadas reglas sobre el uso de claves | ☒ | ☐ | ☐ |
Control de accesos: entrada y salidas registradas | ☒ | ☐ | ☐ |
Medidas de seguridad perimetral (por ejemplo, vallas, muros exteriores, puestos de control) | ☒ | ☐ | ☐ |
Medias de seguridad en el control de accesos (por ejemplo, sistema de bloqueo, lectores de identi- ficación) | ☒ | ☐ | ☐ |
Ventanas antirrobo | ☐ | ☐ | ☒ |
Instalación de vigilancia (por ejemplo, sistema de alarma, CCTV) | ☒ | ☐ | ☐ |
Sistema de separación (por ejemplo, torniquetes, sistema xx xxxxx puerta) | ☒ | ☐ | ☐ |
Documentación de las medidas de protección física | ☒ | ☐ | ☐ |
2. Control de acceso (sistemas) | Sí | No | No aplicable |
Concepto de seguridad para iniciar sesión en la aplicación documentado | ☐ | ☒ | ☐ |
Uso del Servicio de autenticación global (GAS) | ☒ | ☐ | ☐ |
Sincronización regular con el Directorio Corporativo | ☒ | ☐ | ☐ |
Uso de Secure Application Gateway (SAGW/WCP) | ☒ | ☐ | ☐ |
Autoridad de acceso especificada y comprobada | ☒ | ☐ | ☐ |
Usuario identificado y autorización verificada | ☒ | ☐ | ☐ |
Sistema de gestión de identidad de usuario implementado | ☒ | ☐ | ☐ |
Proceso de autenticación especial (por ejemplo, tarjetas con chip, control de acceso biométrico) | ☐ | ☒ | ☐ |
Protección adecuada con contraseña (requisitos de enlace para contraseñas seguras, almacena- miento cifrado) | ☒ | ☐ | ☐ |
Intentos de acceso supervisados, incluida la respuesta a problemas de seguridad | ☒ | ☐ | ☐ |
Aislamiento de la red interna (por ejemplo, mediante VPN, firewalls) | ☒ | ☐ | ☐ |
Eliminación inmediata de cuentas de ex empleados | ☒ | ☐ | ☐ |
Software de seguridad especial (por ejemplo, antimalware, detección de intrusiones) | ☒ | ☐ | ☐ |
Reglas y regulaciones para los visitantes | ☒ | ☐ | ☐ |
Reglas y regulaciones de acceso remoto | ☒ | ☐ | ☐ |
3. Control de acceso (derechos de usuario) | Sí | No | No aplicable |
Concepto de autorización y roles implementado para aplicaciones | ☒ | ☐ | ☐ |
Cuentas de usuario necesarias para el acceso a los datos | ☒ | ☐ | ☐ |
Revisión periódica de las autorizaciones | ☒ | ☐ | ☐ |
Las autorizaciones y restricciones de acceso siguen los principios de "need-to-know" y "least privi- lege" | ☒ | ☐ | ☐ |
Contraseñas adicionales (basadas en el principio de 4 ojos) para funciones particularmente impor- tantes (por ejemplo, administrador del sistema) | ☐ | ☒ | ☐ |
Protección de la capacidad multicliente del sistema | ☒ | ☐ | ☐ |
Bases de datos separadas y con capacidad para múltiples clientes | ☐ | ☒ | ☐ |
Separación del entorno de desarrollo, prueba, integración y productivo | ☒ | ☐ | ☐ |
Separación del entorno productivo y de archiving | ☒ | ☐ | ☐ |
Acceso de lectura registrado | ☒ | ☐ | ☐ |
Acceso de escritura registrado | ☒ | ☐ | ☐ |
Intentos de acceso no autorizados registrados | ☐ | ☐ | ☒ |
Implementación de períodos de retención de datos | ☐ | ☒ | ☐ |
4. Control de divulgación | Sí | No | No aplicable |
Transferencia de datos cifrada | ☒ | ☐ | ☐ |
Retención de datos cifrada | ☒ | ☐ | ☐ |
Terminales móviles cifrados (por ejemplo, cifrado de disco duro) | ☐ | ☐ | ☒ |
Reenvío o transferencia de datos registrados | ☒ | ☐ | ☐ |
Formas de reenvío de datos completamente documentadas (por ejemplo, impresión, medios de da- tos, transferencia automatizada) | ☒ | ☐ | ☐ |
Interfaces documentadas | ☒ | ☐ | ☐ |
Restricción de los derechos de transferencia de datos | ☒ | ☐ | ☐ |
Verificaciones de plausibilidad, integridad y exactitud de los datos realizados | ☒ | ☐ | ☐ |
Desactivación de la interfaz USB | ☐ | ☐ | ☒ |
Implementación de regulaciones de manejo de dispositivos móviles | ☐ | ☐ | ☒ |
Implementación de regulaciones de eliminación de portadores de datos implementadas | ☐ | ☐ | ☒ |
Protección contra la manipulación de datos (protección contra malware) | ☐ | ☐ | ☒ |
5. Control de entrada | Sí | No | No aplicable |
Registro/grabación del sistema garantizado | ☒ | ☐ | ☐ |
Evaluación periódica de archivos de registro/protocolos | ☒ | ☐ | ☐ |
Segregación de Funciones (SoD) asegurada (matriz de SoD definida y procedimientos implementa- dos) | ☒ | ☐ | ☐ |
Autorización para introducir, modificar o eliminar datos documentados | ☐ | ☐ | ☒ |
Entrada/Alteración de datos completamente registrados/registrados | ☐ | ☒ | ☐ |
Entrada/Alteración de datos parcialmente registrados/registrados | ☒ | ☐ | ☐ |
Alteración/Eliminación de datos prohibida | ☐ | ☐ | ☒ |
Firma electrónica para garantizar la autenticidad de la alteración de los datos | ☐ | ☒ | ☐ |
6. Control de trabajos | Sí | No | No aplicable |
Firmado el Acuerdo de Encargado de Tratamiento estándar Mercedes-Benz | ☐ | ☒ | ☐ |
Firmados Acuerdos de Encargados de Tratamiento con terceras partes en caso de aplicar | ☐ | ☒ | ☐ |
Firmadas las cláusulas contractuales tipo de la Comisión de la UE para el tratamiento de datos por Encargados en caso de aplicar | ☐ | ☒ | ☐ |
Las responsabilidades del Responsable de Tratamiento y del Encargado de Tratamiento están estric- tamente definidas | ☒ | ☐ | ☐ |
Reglas especificadas para ajustar/ cambiar las instrucciones dadas al Encargado de Tratamiento | ☒ | ☐ | ☐ |
Los controles in situ han sido realizados y documentados por el Responsable de Tratamiento | ☐ | ☒ | ☐ |
El Encargado de Tratamiento de datos presentó autoevaluaciones | ☐ | ☒ | ☐ |
El Encargado de Tratamiento presentó certificaciones aprobadas | ☐ | ☒ | ☐ |
El Encargado de Tratamiento presentó lista de subcontratistas | ☒ | ☐ | ☐ |
Controles de los subcontratistas por parte del Responsable de Tratamiento | ☐ | ☐ | ☒ |
7. Control de disponibilidad | Sí | No | No aplicable |
Comprobación periódica del estado del sistema (supervisión) | ☒ | ☐ | ☐ |
Plan de copia de seguridad y recuperación establecido (copias de seguridad de datos periódicas) | ☒ | ☐ | ☐ |
Estrategia de archivado de datos implementada | ☒ | ☐ | ☐ |
Planes de contingencia documentados (continuidad del negocio, recuperación ante desastres) | ☒ | ☐ | ☐ |
Planes de contingencia probados regularmente | ☐ | ☒ | ☐ |
Presencia de sistemas de TI redundantes evaluados (servidores, almacenamiento, etc.) | ☒ | ☐ | ☐ |
Sistemas de protección física totalmente operativos (protección contra incendios, energía, aire acon- dicionado) | ☒ | ☐ | ☐ |
8. Procedimientos para la revisión, evaluación y evaluación periódicas de la eficacia de las medidas técnicas y organizativas adoptadas | Sí | No | No aplicable |
Comprobaciones periódicas del estado del sistema (supervisión) | ☒ | ☐ | ☐ |
Revisión de la aplicación de las medidas descritas | ☒ | ☐ | ☐ |
Descripción de los requisitos de protección de datos aplicables en directrices e instrucciones de ac- ción vinculantes | ☒ | ☐ | ☐ |
Participación del delegado de protección de datos en los nuevos procedimientos de tratamiento de datos pertinentes | ☒ | ☐ | ☐ |
Anexo 3: Subencargados de Tratamiento
# | Subencargado de MBE incluyendo dirección / ubicación | Objeto y naturaleza del trata- miento | Duración |
1. | Xxxxxxxx Xxxx Group AG | Funcionamiento técnico de la plataforma B2B y soporte al usuario | Hasta fin del Acuerdo durante el cual el ASP hace uso de la plataforma B2B y WebParts |