Anexo al Contrato de adhesión a Trusted Shops
Anexo al Contrato de adhesión a Trusted Shops
Acuerdo para el tratamiento de datos personales por encargo
entre el adherido indicado en el Contrato de adhesión —Responsable—
—en lo sucesivo, denominado Cliente— y Trusted Shops GmbH, Xxxxxxxxxxxx Xxx. 00X, 00000 Xxxx (Xxxxxxxx) —Encargado del tratamiento—
—en lo sucesivo, denominado Proveedor—
—en lo sucesivo, denominados conjuntamente las Partes—
Las Partes han celebrado un contrato relativo a la adhesión a Trusted Shops del comerciante (en lo sucesivo, denominado el Contrato Principal) en cuyo marco el Proveedor podrá procesar datos de carácter personal por encargo del Cliente (el Procesamiento del encargo). Este anexo concretiza las obligaciones de las partes contractuales de protección de datos derivadas del procesamiento del encargo y que se describen en detalle en el Contrato Principal. Se aplica a las actividades citadas a continuación que están relacionadas con el contrato y en el marco de las cuales se efectúa un tratamiento de datos de carácter personal (en lo sucesivo, denominados «los Datos») por parte de empleados o encargados del Proveedor:
• la representación gráfica del logotipo Trustbadge como contenido de terceros en el marco de la presencia en Internet del adherido objeto del contrato (archivos de registro);
• la recopilación de direcciones de correo electrónico y el envío de recordatorios de valoración por correo electrónico, en la medida en que no estén justificados mediante un acuerdo contractual aparte entre Trusted Shops y el interesado (en especial, la adhesión a Trusted Shops para compradores); esto se refiere en especial al uso de las funciones opcionales «Review Collection» y
«AutoCollection» y «Interfaz de programación de aplicaciones»;
• La recopilación de Datos de contacto y otra información de la empresa (si procede, nombre, correo electrónico, dirección postal y número de teléfono) cuando se usa el Generador de textos legales de Trusted Shops.
Los apéndices de este anexo pueden consultarse en la dirección xxxx://xxxxxxx.xxxxxxxxxxxx.xxx/xx/xx/xxxxx_xxxxx_xxxxxxxxxx_xxxxxxxxxx. Se informará al miembro adherido de cualquier cambio en los Apéndices, incluidos los cambios en los subcontratistas utilizados, y en este Anexo, de la manera descrita en la Sección A8 del Acuerdo Principal.
Definiciones
En el caso de usarse en el presente acuerdo términos para los cuales el art. 4 del Reglamento General de Protección de Datos, en adelante (RGPD) prevea una definición, dicha definición legal también se aplicará al presente contrato.
A Objeto y duración del encargo
A1 El objeto y la duración del encargo, así como el carácter y la finalidad del tratamiento de los datos, se indican en el Contrato Principal, incluidos todos sus anexos y complementos. La duración de contrato principal está determinada en las Condiciones generales de venta (CGV).
A2 Los datos que forman parte del tratamiento de datos y las categorías de personas interesadas se indican en el Apéndice 1 al presente acuerdo.
A3 La vigencia de este anexo se regirá por la vigencia del Contrato Principal, siempre que de las disposiciones de este anexo no se deriven obligaciones que vayan más allá de las estipuladas en el Contrato Principal.
B Obligaciones del Proveedor
B1
B1.1 El Proveedor y todo subordinado suyo que tenga acceso a los datos personales podrá tratar datos de las personas en cuestión exclusivamente en el marco del encargo y de acuerdo con las instrucciones documentadas del Cliente, salvo casos excepcionales en el sentido del artículo 28, apartado 3, letra a), del reglamento RGPD.
B1.2 El Proveedor informará al Cliente inmediatamente en el caso de que considere que alguna de sus instrucciones es
contraria a la legislación aplicable. En tal caso, el Proveedor podrá suspender la aplicación de dicha instrucción hasta que el Cliente la haya confirmado o modificado.
B1.3 En principio, las instrucciones se establecerán mediante el Contrato Principal, pudiendo ser transmitidas otras instrucciones más adelante por el Cliente enviando una notificación por escrito o mediante un soporte electrónico (en forma de texto) a la dirección indicada por el Proveedor. Las instrucciones transmitidas de forma oral deberán ser confirmadas inmediatamente por escrito o en forma de texto.
B1.4 Las instrucciones que no se ajusten a lo acordado contractualmente se tratarán como una solicitud de modificación de las prestaciones. Los costes justificados derivados de dicha situación correrán por cuenta del Cliente.
B2
El Proveedor dispondrá la organización interna de su empresa dentro de su ámbito de responsabilidad de manera que se cumplan los requisitos especiales de protección de datos. Adoptará las medidas técnicas y organizativas necesarias para garantizar una protección razonable de los datos del Cliente de acuerdo con los requisitos establecidos por el artículo 32 del reglamento RGPD. El Proveedor deberá tomar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad,
disponibilidad y resistencia a largo plazo de los sistemas y servicios en relación con el tratamiento de datos.
B2.1 El Proveedor deberá documentar la aplicación de sus medidas técnicas y organizativas desde el principio del tratamiento, en especial en lo relativo a la ejecución concreta del encargo, y deberá facilitar al Cliente dicha documentación para que este pueda examinarla.
B2.2 Las medidas técnicas y organizativas acordadas y documentadas se adjuntan en el Apéndice 2 y se consideran parte del presente contrato. El Cliente tiene conocimiento de estas medidas técnicas y organizativas y asume la responsabilidad de que estas ofrezcan un nivel de protección razonable frente a los riesgos de los datos a tratar.
B2.3 Las medidas técnicas y organizativas están sujetas a los progresos y avances técnicos. El Proveedor está autorizado a aplicar medidas alternativas adecuadas en función de dichos avances. No obstante, las medidas alternativas que adopte no podrán ofrecer un nivel de protección inferior al establecido para las medidas originales. Los cambios sustanciales deberán documentarse.
B3 El Proveedor no podrá rectificar, cancelar ni restringir el tratamiento de los datos procesados por encargo por iniciativa propia, sino únicamente por instrucción documentada del Cliente.
B3.1 Queda excluida dicha instrucción en el caso en el que una persona interesada se ponga en contacto directamente con el proveedor para solicitar el ejercicio de sus derechos. En este caso, el proveedor se pondrá en contacto con el Cliente sin demora culposa para aclarar si las reclamaciones de las partes afectadas deberán ser atendidas por el cliente o por el proveedor. Después de la aprobación por parte del cliente, el Proveedor tiene derecho a tomar todas las medidas necesarios para proteger los derechos de los interesados dentro del alcance de sus posibilidades.
B3.2 El Proveedor colaborará con el Cliente en la tramitación y contestación de las peticiones de las personas interesadas adoptando las medidas técnicas y organizativas pertinentes en la medida de lo posible. Los costes justificados derivados de dichas tareas correrán por cuenta del Cliente.
B3.3 Siempre que esté comprendido en el alcance de las prestaciones, el Proveedor deberá garantizar inmediatamente a petición por escrito por parte del Cliente la política de cancelación, el derecho al olvido, la rectificación, la portabilidad de los datos y la información.
B4 Además de estar obligado al cumplimiento de las disposiciones de este encargo, el Proveedor tiene obligaciones legales con arreglo a los artículos 28 a 33 del reglamento RGPD. A este respecto, garantizará en especial el cumplimiento de las siguientes disposiciones:
B4.1 El Proveedor comunicará al Cliente los datos de contacto del delegado empresarial para protección de datos en la medida en que sea obligatorio designar a uno de acuerdo con el art.
37 del reglamento RGPD. El delegado empresarial para protección de datos ejercerá sus funciones de acuerdo con el art. 38 del reglamento RGPD.
Si el Proveedor no estuviese obligado a designar un delegado empresarial para protección de datos, comunicará al Cliente una persona de contacto para los asuntos relacionados con el tratamiento de los datos personales.
B4.2 Con objeto de garantizar la confidencialidad con xxxxxxx xx xxx. 00, xxxxxxxx 0, xxxxxxx 2, letra b), y al art. 32, apartado 4, del reglamento RGPD, a efectos de la ejecución de las tareas el Proveedor solo recurrirá a empleados que hayan asumido el compromiso de mantener el secreto profesional y a los que se haya informado previamente de las disposiciones en materia de protección de datos pertinentes a su trabajo. El Proveedor garantizará que los empleados encargados de llevar a cabo el tratamiento de los datos del Cliente y otras personas que trabajen para el Proveedor tengan prohibido procesar los datos fuera del contexto de las instrucciones que se les hayan transmitido.
B4.3 El Proveedor colaborará con el Cliente en la medida de lo posible con el fin de satisfacer las peticiones de las autoridades reguladoras o las peticiones y pretensiones de los interesados con arreglo al capítulo III y al art. 82 del reglamento RGPD, así como en lo relativo al cumplimiento
de las obligaciones estipuladas en los artículos 32 a 36 del mismo reglamento. Los costes derivados de dicha situación correrán por cuenta del Cliente, a menos que el Contratista sea responsable de hacer valer sus derechos, realizar consultas y cumplir con sus obligaciones de información. Además tendrá la obligación de asumir los costes que no se aplican al suministro de información para el cumplimiento de las obligaciones de transparencia.
B4.4 El Proveedor informará sin demora al Cliente en el caso de que se produzcan interrupciones graves en sus actividades empresariales o incumplimientos graves por parte del Proveedor, o de las personas que haya empleado en el marco del encargo, de las disposiciones en materia de protección de datos personales del Cliente o de las disposiciones estipuladas en el presente contrato, o en el caso de producirse cualquier otro tipo de irregularidades en relación con el tratamiento de los datos del Cliente. Tomará las medidas necesarias para garantizar la seguridad de los datos y minimizar las posibles consecuencias adversas para los interesados.
B4.5 El Proveedor informará al Cliente sin demora de las operaciones de control y las medidas de las autoridades reguladoras en la medida en que estén relacionadas con este encargo. Esto también se aplicará en el caso de que una autoridad competente remita comunicaciones al Proveedor en el marco de procedimientos por infracciones administrativas o penales en relación con el tratamiento de los datos personales para la tramitación del encargo.
B4.6 En la medida en que el Cliente, por su parte, se someta a un control de las autoridades reguladoras, a un procedimiento por infracción administrativa o penal, a una demanda de responsabilidad de un interesado o de un tercero o a la demanda de otra pretensión en relación con el procesamiento del encargo por parte del Proveedor, deberá el Proveedor colaborarle al cliente en la medida de lo posible. Los costes justificados derivados de dichas tareas correrán por cuenta del Cliente.
B4.7 El Proveedor controlará regularmente los procesos internos y las medidas técnicas y organizativas con el fin de garantizar que el tratamiento se lleve a cabo dentro de su ámbito de responsabilidad conforme a los requisitos de la legislación aplicable sobre protección de datos, y que se garantice la protección de los derechos del interesado.
C Obligaciones del Cliente
C1 El Cliente es el responsable, en el marco del presente contrato, del cumplimiento de las disposiciones legales en materia de protección de datos, en especial de la legalidad de la transmisión de los datos al Proveedor y de la legalidad del tratamiento de los datos (entendiéndose el término «responsable» en el sentido del art. 4, n.º 7, del reglamento RGPD). En especial, el Cliente se responsabilizará de obtener de forma efectiva todas las autorizaciones de los interesados que sean necesarias en el marco de la ejecución del encargo.
C2 El Cliente deberá informar íntegra e inmediatamente al Proveedor en el caso de que observase errores o irregularidades con respecto a las disposiciones legales sobre protección de datos en los resultados del encargo.
C3 El Cliente comunicará al Proveedor los datos de una persona de contacto para cuestiones de protección de datos que puedan surgir en el marco del contrato.
D Subcontratistas
D1 Se entenderán como relaciones de subcontratación en el sentido del presente acuerdo aquellos servicios acordados en el contrato cuya ejecución total o parcial encargue el Proveedor, a su vez, a otros proveedores.
D1.1 Esto no incluye los servicios accesorios que el Proveedor pueda contratar, como por ej. Servicios de telecomunicaciones, servicios postales o de transporte, servicios de mantenimiento y atención al usuario, o la eliminación de soportes de datos y otras medidas destinadas a garantizar la confidencialidad, disponibilidad, integridad y resistencia del hardware y software de las instalaciones de tratamiento de datos, a menos que el subcontratista pueda tener acceso a los datos personales. No obstante, con objeto de garantizar la protección y la seguridad de los datos del
Cliente, incluso en lo que respecta a los servicios accesorios externalizados, el Proveedor estará obligado a adoptar acuerdos contractuales y medidas de control razonables y conformes con la legislación, incluso en el caso de servicios auxiliares en los que no exista acceso a datos personales.
D2 El Proveedor solo podrá contratar a subcontratistas (otros encargados del tratamiento) con el previo consentimiento expreso y por escrito o con una autorización documentada del Cliente.
D2.1 El Cliente autorizará la contratación de los subcontratistas indicados en el Apéndice 3 con la condición de que se haya celebrado un acuerdo contractual entre el Proveedor y el subcontratista para el tratamiento de datos personales por cuenta de otro encargado del tratamiento, mediante un contrato u otro instrumento jurídico de Derecho de la Unión o del Estado miembro de que se trate, que imponga a dicho encargado del tratamiento las mismas obligaciones de protección de datos que las establecidas en el contrato u otro instrumento jurídico entre el responsable del tratamiento y el encargado del tratamiento con xxxxxxx xx xxxxxxxx 00, xxxxxxx 3 RGPD.
D2.2 Se permite la externalización a más subcontratistas o un cambio de los subcontratistas actuales siempre que:
• el Proveedor avise al Cliente por escrito y con 30 días de antelación de su intención de efectuar dicha externalización a otros subcontratistas;
• el Cliente no manifieste por escrito o en forma de texto al Proveedor hasta el momento de la transferencia de los datos su disconformidad con la externalización prevista; y
• se base en un acuerdo contractual con arreglo al artículo 28, apartados 2-4, del reglamento RGPD. Apartado D2.1 se aplicará en consecuencia.
D2.3 Si no se manifiesta ninguna disconformidad dentro del plazo previsto, se considerará el cambio de subcontratista como aceptado. Si se manifestase disconformidad y no fuese posible alcanzar una solución amistosa entre las partes, las partes dispondrán hasta el momento de la transferencia de los datos a los subcontratistas de un derecho especial de rescisión en relación con la totalidad del Contrato Principal.
D2.4 No se permitirá la transmisión de datos personales del Cliente a los subcontratistas ni la primera intervención de estos hasta que no se cumplan todos los requisitos relativos a la subcontratación.
D3 Si el subcontratista presta el servicio acordado fuera de la Unión Europea/del Espacio Económico Europeo, se aplicarán además los requisitos del apartado E. La misma normativa será aplicable en el caso de que se desee contratar a proveedores de servicios en el sentido del apartado D.1.1, párrafo 2.
E Lugar del tratamiento
E1 El Proveedor solo llevará a cabo la recopilación, el tratamiento y el uso de los datos en un Estado miembro de la Unión Europea o en otro Estado parte en el Acuerdo sobre el Espacio Económico Europeo.
E2 En casos excepcionales, el Proveedor podrá llevar a cabo estas actividades en otros Estados siempre que haya garantizado que la comunicación de los datos a países terceros cumple con los requisitos en materia de protección de datos, tomando las medidas pertinentes con arreglo al art. 44 y sucesivos del reglamento RGPD. Los apartados D2.1 y D2.2 se aplicarán en consecuencia.
F Derechos de control del Cliente
F1 El Proveedor demostrará al Cliente el cumplimiento de las obligaciones establecidas en el presente contrato con los medios apropiados.
F2 La demostración de las medidas que no respondan exclusivamente al encargo en cuestión podrá llevarse a cabo, a elección del Proveedor, mediante:
F2.1 la realización de una auditoría propia;
F2.2 la aplicación de un código de conducta empresarial, facilitando asimismo un justificante externo de cumplimiento del mismo;
F2.3 el cumplimiento del código de conducta autorizado con arreglo al art. 40 del reglamento RGPD;
F2.4 la certificación de acuerdo con un procedimiento de certificación autorizado con arreglo al art. 42 del reglamento RGPD;
F2.5 dictámenes, informes o extractos de informes actuales emitidos por organismos independientes (por ej. auditores de cuentas, delegados para protección de datos, departamentos de seguridad informática, auditores de protección de datos, auditores de calidad, otros auditores, etc.);
F2.6 una certificación adecuada mediante la superación de una auditoría de seguridad informática o de protección de datos (por ej. el nivel de protección básica de la Oficina federal de Seguridad en las Tecnologías de la información en Alemania).
F3 En casos individuales, las inspecciones por parte del cliente o de un inspector encargado por el cliente son necesarias porque las pruebas especificadas en los apartados F1 y F2 no son suficientes, las inspecciones se llevarán a cabo durante el horario laboral normal sin interrumpir el curso de las operaciones después de la inscripción, teniendo en cuenta un plazo de entrega razonable. En caso de que el inspector encargado por el cliente tenga una relación competitiva con el contratista, éste tendrá derecho a oponerse a ello.
G Eliminación y devolución de los datos personales
G1 G1 No se realizarán copias o duplicados de los datos sin el conocimiento del Cliente. Se excluyen a este respecto las copias de seguridad que sean estrictamente necesarias para garantizar un tratamiento de datos adecuado, así como los datos que sean necesarios para cumplir con las obligaciones legales de conservación.
G2 Al término de las tareas acordadas contractualmente o antes, si así lo solicita el Cliente —a más tardar, al vencimiento del contrato de prestación de servicios—, el Proveedor deberá, en relación a la elección del Cliente, devolverle o destruir todos los documentos, resultados del tratamiento y del uso de los datos que se hayan producido y todos los archivos de datos relativos al encargo que estén en su posesión, siempre que no exista una obligación de conservación de los datos personales con arreglo al Derecho comunitario o a otro Derecho aplicable de los Estados miembros. Esta disposición también se aplicará al material de prueba y descartado. El protocolo de eliminación deberá facilitarse a petición expresa.
G3 Los registros de datos transmitidos para el envío de invitaciones de evaluación se eliminarán tres meses después del envío de la invitación correspondiente.
G4 Una vez finalizado el período de vigencia del contrato, la documentación destinada a probar el tratamiento de los datos con arreglo al encargo y a las disposiciones normativas deberá ser conservada por el Proveedor de acuerdo con los períodos de conservación aplicables en cada caso. Al término del contrato, el Proveedor podrá transferirlos al Cliente, de manera que este último se responsabilizará de ellos.
G5 Si en el momento de la entrega o eliminación de los datos se produjeran costes adicionales como consecuencia de especificaciones divergentes del cliente, éstos correrán a cargo del cliente.
H Responsabilidad e indemnizaciones por daños y perjuicios
El Cliente y el Proveedor responderán ante las personas interesadas (incluso si esto supusiese una desviación de las disposiciones sobre responsabilidad acordadas en el Contrato Principal) con arreglo a lo dispuesto en el art. 82 del reglamento RGPD.