Contrato de procesamiento celebrado entre CLIENTE

Contrato de procesamiento celebrado entre CLIENTE

y

Xxxx Xxxxxx Lack- und Farbenfabrik GmbH & Co. KG Kornwestheimer Str. 49, 70825 Korntal-Münchingen

Preámbulo

Las partes establecen con este contrato de prestación una relación de procesamiento de datos por encargo, conforme a lo dispuesto en el art. 28 RGPD y el responsable encarga al procesador el procesamiento de los datos (denominado, procesamiento por encargo). Para especificar los derechos y obligaciones derivados de la relación de procesamiento por encargo conforme a la obligación legal, concluyen las partes el siguiente contrato.

1 Ámbito de aplicación

El contrato se aplicará a todas las actividades objeto del contrato de prestación y en cuya celebración entren en contacto con datos personales los empleados del procesador o terceros encargados por este en virtud de este contrato, y de los cuales se responsabiliza el responsable (art. 4 Nº 7 RGPD).

2 Definición de términos

2.1 Este contrato solo se refiere al procesamiento de datos personales según las instrucciones dadas por el responsable.

2.2 Procesamiento es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, tales como recopilación, registro, organización, clasificación, almacenamiento, adecuación o modificación, selección, consulta, utilización, publicación, difusión o cualquier otra forma de puesta a disposición, cotejo o vinculación, limitación, eliminación o destrucción.

2.3 Datos personales son cualquier información relativa a una persona física identificada o identificable (en lo sucesivo denominada "persona interesada"). Se considera identificable a este respecto toda persona física que, directa o indirectamente, puede ser identificada con un identificador asignado como un nombre, un número identificativo, datos de ubicación, una ID en línea, o bien una o varias características especiales, que expresan la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

2.4 El procesador una persona física o jurídica, autoridad, agencia u otro organismo, que procesa datos personales en nombre del responsable.

2.5 Instrucción es la orden dada por el responsable al procesador de los datos, para que realice el procesamiento de los datos de un determinado modo (por ejemplo, anonimización, eliminación, entrega). Las instrucciones ya existentes (por ejemplo, en virtud de este acuerdo suplementario) pueden ser posteriormente modificadas, complementadas o sustituidas por instrucciones individuales del responsable (instrucción particular).

3 Determinación del contenido del encargo

3.1 El objeto y la duración de procesamiento del encargo, así como el alcance, la naturaleza y la finalidad del tratamiento previsto de los datos están documentados en el contrato de prestación.

3.2 El tipo de datos personales se describe específicamente en el Anexo 2 ("Determinación de la categoría de datos").

3.3 El grupo de personas interesadas afectado por el manejo de los datos personales se describe específicamente en el Anexo 3 ("Subcontratistas autorizados ").

4 Responsabilidad y facultad de dirección

4.1 El responsable se responsabiliza del cumplimiento de la legislación sobre protección de datos y, en particular, de la legalidad de la transmisión de los datos al procesador y del propio procesamiento de los datos (art. 4 Nº 7 RGPD). El responsable podrá exigir en cualquier momento la publicación, rectificación, eliminación y bloqueo de los datos (art. 28 apartado 3 letra g RGPD) siempre que no exista una obligación legal de almacenamiento de los datos personales. Cuando una persona interesada se dirija directamente al procesador para solicitar la eliminación o la rectificación de sus datos, el procesador transmitirá inmediatamente dicha solicitud al responsable y, mediante la información disponible, le ayudará en el cumplimiento de dicha solicitud (art. 28 apartado 3 letra f RGPD).

4.2 El procesador solo podrá procesar los datos conforme a las instrucciones documentadas del responsable, salvo que esté obligado a ello por la legislación de la UE o de los estados miembros, a la que el procesador esté sometido. En tal caso, antes de encargarse del procesamiento, el procesador informará inmediatamente al responsable acerca de estos requisitos legales. Una instrucción es la orden dada por escrito por el responsable al procesador de los datos, para que realice el procesamiento de los datos de un determinado modo. Las instrucciones serán definidas primero en el contrato de prestación y el responsable podrá modificarlas, complementarlas o sustituirlas mediante una instrucción en forma escrita (art. 28 apartado 3 letra a RGPD).

4.3 El procesador deberá informar inmediatamente al responsable, conforme a lo dispuesto en el art. 28 apartado 3 RGPD, cuando estime que una instrucción vulnere alguna disposición relativa a la protección de datos. El procesador estará autorizado a suspender la ejecución de la instrucción correspondiente, hasta que el responsable la confirme o la modifique.

4.4 Cualquier cambio en el objeto del procesamiento mediante una modificación del procedimiento deberá ser acordada conjuntamente y documentada. El procesador solo podrá informar a terceros o a las personas interesadas previa autorización por escrito del responsable. El procesador no podrá utilizar los datos para ningún otro fin y no está autorizado a transmitirlos a terceros. Sin el conocimiento del responsable, no se podrán realizar copias ni duplicados de los datos. Cualquier otra cosa se aplicará cuando así esté regulado en el contrato o en los casos mencionados en el punto 4.2 de este contrato.

4.5 El responsable gestionará el registro de las actividades de procesamiento conforme a lo dispuesto en el art. 30 apartado 1 RGPD. A solicitud del responsable, el procesador le proporcionará información sobre la inclusión en el registro de las actividades de procesamiento.

4.6 El procesamiento y uso de los datos en nombre de la persona responsable se realiza exclusivamente en el territorio de la Unión Europea o del Espacio Económico Europeo de la República Federal de Alemania. Una transferencia a un estado fuera del territorio de la República Federal de Alemania requiere el consentimiento previo de la persona responsable. Esto no se aplica a las empresas afiliadas con el procesador de conformidad con el § 15 de la Ley de Sociedades de Valores Alemanas, siempre que se hayan acordado con estas empresas normas corporativas vinculantes o cláusulas contractuales estándar de la UE. Los requisitos especiales de los artículos 44 a 49 GDPR no se verán afectados en otros casos.

4.7 El tratamiento de datos personales en las viviendas particulares de los empleados del procesador (teletrabajo, puestos de trabajo en el hogar) solo estará permitido en las siguientes condiciones: Cuando se trate de un hardware del procesador, que es confiado a los empleados con fines de servicio, que es operado detrás de un firewall y que está asegurado mediante un certificado de cliente VPN. No se permitirá el uso por parte de los empleados de su propio hardware.

5 Cumplimiento responsable de las obligaciones legales por parte del procesador

5.1. Además de las disposiciones recogidas en este contrato y en el contrato de prestación, el procesador estará sometido, conforme a lo dispuesto en el art. 28 apartado 3 y art. 30 RGPD, a las siguientes obligaciones legales.

5.2 El procesador deberá garantizar que los empleados encargados del tratamiento de los datos del responsable estén sometidos a lo dispuesto en el art. 5 I c) RGPD y en las disposiciones de protección de la legislación sobre protección de datos. Esto también incluye la instrucción sobre la sujeción existente a las instrucciones y a la finalidad de esta relación de procesamiento por encargo.

5.3 El procesador ha designado, conforme a lo dispuesto en el art. 37 RGPD, a un supervisor corporativo de la protección de datos, quien ejerce su función de acuerdo con lo dispuesto en los art.

38 y 39 RGPD. Los datos de contacto del supervisor de la protección de datos deberán ser comunicados al responsable a efectos de mantenimiento de una comunicación directa.

5.4 El procesador informará inmediatamente al responsable sobre los controles y las medidas de las autoridades de control, conforme a lo dispuesto en el art. 58 RGPD, o cuando una autoridad de control realice indagaciones en el procesador conforme a lo dispuesto en el art. 83 RGPD. Además, el procesador informará inmediatamente al responsable cuando sea demandado por daños y perjuicios por incumplimiento del RGPD y le irá informando regularmente sobre la marcha del proceso.

5.5 Con la entrada en vigor del RGPD, el procesador se compromete a gestionar un registro de las actividades de procesamiento, que contenga todas las categorías de actividades de procesamiento realizadas (art. 30 apartado 2 RGPD). Este registro deberá contener, como mínimo:

(a) el nombre y los datos de contacto del procesador y de cada empleado competente del responsable en cuyo nombre actúa el procesador, así como, en su caso, del representante del responsable o del procesador y de cualquier supervisor de la protección de datos;

(b) las categorías de procesamientos, que se realizan en nombre del responsable;

(c) en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la especificación del tercer país o de la organización internacional interesadas, así como la documentación de las garantías adecuadas, en el caso de las transmisiones de datos recogidas en el art. 49 apartado 1 subapartado 2.

(d) cuando sea posible, una descripción general de las medidas técnicas y organizativas, conforme a lo dispuesto en el art. 32 apartado 1 RGPD.

A solicitud del responsable, el procesador le proporcionará en un plazo de 14 días desde la notificación por escrito, el acceso a la información correspondiente a este procesamiento, contenida en el registro.

6 Seguridad del procesamiento y su control

6.1 Con el fin de garantizar la seguridad del procesamiento encargado, las partes acuerdan unas medidas concretas técnicas y organizativas de seguridad, recogidas en el Anexo 1 "Medidas técnicas y organizativas" de este contrato, conforme a lo establecido en el art. 28 apartado 3 letra c RGPD en relación con el art. 32 apartado 1 RGPD o en el art. 22 LFPD 2018. El anexo es el objeto de este contrato.

6.2 Las medidas técnicas y organizativas tienen en cuenta en el momento de celebración de este contrato el estado de la técnica y están sometidas a los avances técnicos correspondientes. En ese sentido, el procesador podrá aplicar medidas adecuadas alternativas. En todo caso, deberá respetarse el nivel de seguridad de las medidas establecidas en el anexo "Medidas técnicas y organizativas". Los cambios significativos deberán ser documentados.

6.3 El procesador se compromete a revisar y evaluar regularmente la eficacia de las medidas técnicas y organizativas específicas con respecto a la seguridad del procesamiento, y a documentar esta evaluación del riesgo.

6.4 A petición del responsable, el procesador le suministrará, para demostrar el cumplimiento de sus obligaciones, la información necesaria sobre los controles del encargo y le proporcionará las pruebas correspondientes. En virtud de la obligación de realización de controles por parte del responsable conforme a lo dispuesto en el art. 28 apartados 1 y 3 RGPD, antes del inicio del procesamiento de los datos y durante la vigencia del contrato, el procesador garantizará que el responsable quede convencido sobre el cumplimiento de las medidas técnicas y organizativas correspondientes. A este respecto y a petición del responsable, el procesador deberá demostrarle que se han aplicado las medidas técnicas y organizativas recogidas en el art. 32 apartado 1 y que se ha realizado la evaluación del riesgo periódica conforme a lo dispuesto en el punto 6.3. La prueba de la aplicación de tales medidas, que no solo afectan al encargo en concreto, también se puede efectuar mediante la presentación de un certificado actual o de informes de instancias independientes (por ejemplo, auditores de cuentas, agencias de revisión de cuentas, supervisor de la protección de datos, departamento de seguridad IT, auditores especialistas en protección de datos) o mediante un certificado apropiado de un auditor de seguridad TI o de protección de datos (por ejemplo, según la norma técnica de Protección básica BSI, ISO 27001).

6.5 A efectos de control, el responsable podrá convencerse, mediante la inspección en las instalaciones del procesador durante el horario comercial normal y sin perturbar el funcionamiento del mismo, de la adecuación de las medidas para el cumplimiento de los requisitos técnicos y organizativos establecidos en la legislación sobre protección de datos aplicable al procesamiento por encargo (art. 28 inciso 3 letra h RGPD).

7 Notificación de las infracciones cometidas por el procesador

7.1 El procesador deberá informar inmediatamente al responsable si determinara la existencia de graves perturbaciones en el funcionamiento de su actividad empresarial, en el caso de sospecha de infracción de las disposiciones contractuales o legales de la protección de datos, en el caso de infracción de tales disposiciones o de otras irregularidades en el procesamiento de los datos del responsable (art. 28 apartado 3 frase 3, art. 33 y art. 34 RGPD). Esta la información deberá contener como mínimo lo siguiente:

(a) una descripción del tipo de infracción de la protección de los datos personales con indicación, en la medida de lo posible, de las categorías y del número aproximado de personas afectadas, de las categorías afectadas y del número aproximado de registros de datos personales afectados;

(b) una descripción de las posibles consecuencias de la vulneración de la protección de los datos personales;

(c) una descripción de las medidas ya adoptadas o propuestas para reparar la vulneración de la protección de los datos personales y, en su caso, de las medidas destinadas a mitigar sus posibles efectos negativos.

Si no fuera posible proporcionar toda la información indicada en el punto 7.1. letras a hasta c en el momento de la notificación, tal información deberá ser proporcionada inmediatamente o, en su caso, de forma progresiva, después de conocimiento.

7.2 El procesador deberá ponerse de acuerdo con el responsable acerca de las medidas adecuadas para salvaguardar los datos y para mitigar sus posibles consecuencias negativas para las personas afectadas.

8 Eliminación y devolución de los datos

8.1 Los soportes de datos y conjuntos de datos transmitidos seguirán siendo propiedad del responsable.

8.2 A requerimiento del responsable y, a más tardar, a la prescripción de los derechos de reclamación derivados de este contrato de prestación, el procesador deberá entregar al responsable todos los documentos, resultados del procesamiento y uso, y conjuntos de datos (así como sus copias o reproducciones), que estén en su posesión y que se refieran al encargo, o deberá destruirlos conforme a la legislación sobre protección de datos, con el consentimiento previo del responsable (art. 28 apartado 3 letra g RGPD). Lo mismo se aplicará al material de las pruebas y de desecho. A requerimiento del responsable, el procesador deberá presentarle la documentación relativa a la acreditación de la eliminación reglamentaria y el registro de dicha eliminación.

8.3 El procesador podrá seguir conservando, después de la finalización del contrato, la documentación destinada a demostrar que el procesamiento se ha realizado de forma reglamentaria y conforme a lo dispuesto en el encargo, conforme los correspondientes períodos de prescripción o de conservación. O bien, el procesador podrá entregarla al responsable al finalizar el contrato para su liberación.

9 Subcontratistas

9.1 El procesador no podrá contratar a otro procesador sin la previa autorización específica y por escrito del responsable y se compromete a emplear a subcontratistas exclusivamente con arreglo a los siguientes requisitos:

(a) El procesador deberá seleccionar cuidadosamente al subcontratista y asegurarse, antes de realizar el encargo, de que este pueda cumplir los contratos celebrados entre el responsable y el procesador. El procesador deberá supervisar antes y, de manera periódica, durante la vigencia del contrato, que el subcontratista implementa las medidas técnicas y organizativas adecuadas, conforme a lo dispuesto en el art. 32 apartado 1 RGPD, para la protección de los datos personales. Asimismo, el procesador deberá documentar tales controles. El procesador se compromete a que el subcontratista le confirme que ha designado, siempre que así lo exija la legislación, un supervisor de la protección de datos corporativo, conforme a lo dispuesto en el art. 37 RGPD.

(b) El procesador configurará los contratos con el subcontratista o los subcontratistas de manera que se correspondan con las disposiciones de protección de datos establecidas en las relaciones contractuales existentes entre el responsable y el procesador.

9.2 No constituirán subcontrata, en el sentido de lo dispuesto en esta regulación, las prestaciones de servicios, que contrata el procesador con terceros en calidad de servicio accesorio para la asistencia a la ejecución del encargo. Estos servicios serían, por ejemplo, los servicios de telecomunicaciones, servicios de mantenimiento y usuario, personal de limpieza, auditores o la eliminación de los soportes de datos. Para garantizar la protección y la seguridad de los datos del responsable, el procesador estará obligado, incluso en el caso de servicios accesorios ajenos, a celebrar contratos adecuados y conformes a derecho, así como a implementar medidas de control.

9.3 En el momento de la firma del contrato, se documentarán en el Anexo 3 ("Subcontratistas autorizados") los subcontratistas encargados, los lugares donde se va a realizar el procesamiento y el tipo de servicio. Los subcontratistas recogidos en esta lista serán considerados desde el principio legalmente responsables en el sentido de lo dispuesto en el punto 9 apartado 1, que la implementación de los requisitos ahí establecidos esté garantizada por el procesador.

9.4 El subcontratista solo podrá acceder a los datos cuando cumpla con las obligaciones establecidas en este contrato para el procesador o así se lo demuestre al procesador, y este supervise regularmente el cumplimiento de estas obligaciones por parte del subcontratista.

10 Servicios accesorios

Los números 1 a 8 se aplicarán cuando la inspección o el mantenimiento de los procesos automatizados o de las instalaciones de procesamiento de datos sean realizados por otros organismos a los que se ha encargado esta tarea, y no se pudiera excluir un acceso a los datos personales.

11 Confidencialidad y supervisión de la protección de los datos

11.1 El responsable y el procesador se comprometen a mantener la confidencialidad de todos los secretos corporativos y comerciales, que conocen en el marco de su relación contractual. Esta obligación de confidencialidad estará vigente durante el período acordado en el contrato de

prestación e incluso después de la terminación de cada uno de los encargos o de la relación comercial.

11.2 El procesador se compromete a facilitar el acceso al supervisor corporativo de la protección de datos del responsable, en cualquier momento durante el horario comercial normal, para el cumplimiento de sus tareas legales relativas a este contrato.

12 Disposiciones finales

12.1 Cualquier cambio o adición a este sistema y a sus partes, incluida cualquier garantía del procesador, requerirá el acuerdo por escrito y la indicación expresa de que se trata de una modificación o adición a estas condiciones. Esto también se aplicará a la renuncia de este requisito de forma. La forma escrita no se aplicará cuando hubiera sido excluida por las partes contratantes en virtud de un acuerdo expreso e individual.

12.2 Los siguientes anexos forma parte de este contrato:

Anexo 1 "Medidas técnicas y organizativas"

Anexo 2 "Especificación de los tipos y categorías de datos, y de los titulares de los datos"

Anexo 3 " Subcontratistas autorizados”

Anexo 1 del contrato de procesamiento por encargo

A. Medidas organizativas y técnicas conforme a lo dispuesto en el art. 32 apartado 1 a-d del Reglamento europeo de protección de datos

1. Seudonimización (art. 32 apartado 1 letra a del Reglamento general de protección de datos). Aquellos datos, que deban ser evaluados exclusivamente para fines estadísticos, serán seudonimizados y almacenados sin hacer referencia a la persona. Según la jurisprudencia establecida en la sentencia del TJE de 19 de octubre de 2016 (C 582/2014), aquellos datos, que deban ser transmitidos a subcontratistas serán, siempre que sea posible, seudonimizados y no serán datos personales para los subcontratistas,

2. Cifrado (art. 32 apartado 1 letra a del Reglamento general de protección de datos).

En los soportes de datos móviles y dispositivos móviles solo se almacenarán los datos personales en formato cifrado. De acuerdo con lo dispuesto en la Directiva Técnica alemana TR-2102, el acceso a los datos almacenados en el centro de datos solo será posible a través de conexiones cifradas.

3. Garantía de la confidencialidad (art. 32 apartado 1 letra b del Reglamento general de protección de datos).

Se evitará la intrusión no autorizada en el sistema de procesamiento de datos. Los permisos se gestionarán mediante un concepto jurídico basado en roles. Cada empleado dispondrá de un acceso propio al sistema de procesamiento de datos protegido mediante contraseña. La contraseña deberá estar formada por una combinación de números, letras y caracteres especiales y tendrá una longitud mínima de ocho caracteres. Cada sistema de procesamiento de datos estará bloqueado durante los periodos de pausa. El bloqueo solo ser podrá levantar mediante contraseña. Se deberá revisar regularmente la actualidad de los permisos. Numerosas medidas garantizan que los datos personales recopilados para diferentes propósitos puedan procesarse por separado (por ejemplo, mediante la capacidad de múltiples clientes y el concepto de autorización). El acceso a las salas donde se realiza el procesamiento de datos está controlado y denegado a personas no autorizadas. Las oficinas están protegidas por un sistema de bloqueo, los visitantes deben registrarse con los tiempos de asistencia en una lista. Las salas del centro de datos están protegidas por un sistema de acceso electrónico con permisos documentados, solo se permite la estadía de personas no autorizadas en el centro de datos en casos de mantenimiento y solo en compañía de una persona autorizada. Los tiempos de asistencia en el centro de datos se registran electrónicamente. Los procesadores solo se encargan del procesamiento de datos personales si se garantizan medidas técnicas y organizativas equivalentes. Los datos personales son, en la medida en que no es un procesador, solo transmitidos por instrucciones de la persona responsable o sobre una base legal.

4. Garantía de la integridad (art. 32 apartado 1 letra b del Reglamento general de protección de datos).

Solo se otorgarán permisos de escritura restringidos a los datos y se deberá revisar regularmente su integridad. Se deberán realizar regularmente controles de seguridad como, por ejemplo, pruebas de penetración.

5. Garantía de la disponibilidad (art. 32 apartado 1 letra b del Reglamento general de protección de datos).

Los datos deberán estar protegidos contra la pérdida o destrucción accidental. En principio, todos los datos se almacenarán de forma redundante (como mínimo, mediante sistemas RAID a prueba de fallos Nivel 5 o 6). Se realizarán copias enteras de seguridad multiredundantes y/o replicaciones, que deberán almacenarse fuera del edificio de los datos originales. Para garantizar la disponibilidad, deberá haber un suministro elécrico ininterrumpido, un firewall y un antivirus actualizado.

6. Garantía de la capacidad de carga de los sistemas (art. 32 apartado 1 letra b del Reglamento general de protección de datos).

Se deberá garantizar la capacidad de carga de las conexiones de comunicación y la capacidad de cálculo mediante una supervisión continua de la ocupación.

7. Procedimiento para restaurar la disponibilidad de los datos personales después de un incidente físico o técnico (art. 32 apartado 1 letra c del Reglamento general de protección de datos) Realización periódica de pruebas para la restauración de datos de las copias de seguridad para intentar minimizar, mediante un almacenamiento redundante en distintos lugares, los tiempos de inactividad.

8. Procedimiento de verificación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas (art. 32 apartado 1 letra d del Reglamento general de protección de datos) Hay un concepto de seguridad TI y de protección de los datos, que se revisa continuamente según las necesidades de adecuación. Se documentarán los cambios y se revisará periódicamente su eficacia.

B. Medidas técnicas y organizativas adicionales para el caso de procesamiento de datos sensibles, de acuerdo con lo dispuesto en el art. 22 apartado 2 de la Ley federal alemana de protección de datos 2018:

Los empleados serán informados regularmente sobre el estado actual de la protección de datos. Se designará a un supervisor de la protección de datos.

Teniendo en cuenta el estado de la técnica, los gastos de implementación y el tipo, el alcance, las circunstancias y el objetivo del procesamiento, así como la diferente probabilidad de incidencia y la severidad de los riesgos asociados al proceso para los derechos y libertades de las personas físicas, en el procesamiento de datos sensibles, conforme a lo dispuesto en el art. 9 inciso 1 del Reglamento general de protección de datos, se aplicarán las siguientes medidas de seguridad en el ámbito de la proporcionalidad:

S1. Control de la introducción (art. 22 apartado 2 Nº 2 de la Ley federal alemana de protección de datos 2018)

La introducción, modificación y cancelación de datos personales sensibles se registrará con un identificador de edición individualizable.

S2. Restricción del acceso a datos de carácter personal (art. 22 apartado 2 Nº 5 de la Ley federal alemana de protección de datos 2018)

Se bloquearán los datos de carácter personal contra el acceso de aquellos empleados del responsable o del encargado del tratamiento, que, conforme al principio de minimización de los datos establecido en el art. 5 apartado 1 lit. c) del Reglamento general de protección de datos, no requieran el acceso para el tratamiento legal de los datos. Para ello se implementará el concepto de permiso por basado en roles y grupos (consulte también A Nº 3 y Nº 8)

S3. Normas procesales específicas que, en el caso de transmisión o procesamiento para otros fines, garanticen el cumplimiento de las normas de esta ley y del Reglamento (UE) 2016/679

En el caso de requisitos de protección de datos especiales establecidos por disposiciones legales, reglamentarias o contractuales específicas del sector, se discutirán las medidas de protección con la persona responsable en cada caso y se adecuarán al nivel de protección necesario en cada caso. Esto también puede incluir el cumplimiento de determinadas normas y estándares de protección de datos y de seguridad de los datos (ISO 27001, estándares de protección básica de la norma técnica BSI 200-1 a 200-3, ley habilitación de seguridad, divisiones de clase de protección de documentos en el servicio público, etc.)

El resto de puntos del art. 22 inciso 2 Ley federal alemana de protección de datos ya están cubiertos por las disposiciones del Reglamento (véase A Nº 1 a 8).

Anexo 2 del contrato sobre procesamiento por encargo

Especificación de los tipos y categorías de datos, y de los afectados por su procesamiento

1. Especificación de los tipos y categorías de datos:

- Datos maestros de abastacedor (por ejemplo, información de contacto del abastacedor, direcciones, etc.)

- Datos de referencia (por ejemplo, condiciones de pago y de suministro, datos bancarios, etc.)

- Datos de la estructura de la empresa (por ejemplo, productos, servicios, competencias de los empleados, etc.)

- Datos de transacciones (por ejemplo, actividad comercial, etc.)

2. Especificación de los afectados por el procesamiento:

- Abastacedores y sus empleados (persona de contacto)

Anexo 3 del contrato sobre procesamiento por encargo

Subcontratistas autorizados