Adenda sobre procesamiento de datos TracPlus (IP Operacional)
Adenda sobre procesamiento de datos TracPlus (IP Operacional)
1. APLICACIÓN DE ESTE ADENDA
1. Este Adenda de Procesamiento de Datos (Adenda) es aplicable si el Procesamiento (como se define a continuación) de la IP operacional (como se define a continuación) está regido por el GDPR (como se define a continuación).
2. Si este Adenda es aplicable, forma parte de los términos y las condiciones de TracPlus (en conjunto, el Contrato) entre TracPlus y usted (tal y como se define en los términos y las condiciones de TracPlus) y establece el acuerdo de las partes en relación con el procesamiento de la IP Operacional de acuerdo con los requisitos de las leyes y reglamentos de protección de datos de la Unión Europea.
3. Estamos ubicados en Nueva Zelandia, donde la Comisión Europea ha determinado que existe una protección adecuada de acuerdo con el Artículo 45 del GDPR. Sin embargo, dado que nuestros servidores principales están ubicados en Australia, este Adenda también incluye Cláusulas Contractuales Estándar (tal como se definen a continuación), las cuales han sido firmadas previamente por nosotros. Si desea optar por las Cláusulas Contractuales Estándar, por favor complete los detalles necesarios, firme las Cláusulas Contractuales Estándar y envíenos una copia firmada a xxxxxxx@xxxxxxxx.xxx.
4. Salvo que se modifiquen en este Adenda (incluso las Cláusulas Contractuales Estándar, si procede), todos los términos y las condiciones establecidos en el Contrato seguirán siendo válidos.
2. INTERPRETACIÓN
1. A menos que el contexto requiera lo contrario:
a. los términos en mayúsculas utilizados, pero no definidos, en este Adenda tendrán el significado que se les da en el GDPR (o, si no se definen en el GDPR, en el Contrato);
b. las reglas de interpretación establecidas en el Contrato se aplican a este Adenda; y
c. las referencias a las cláusulas son referencias a las cláusulas de este Adenda.
2.2 En este Adenda:
1. Leyes de Protección de Datos Aplicables significa Leyes de Protección de Datos de la UE y cualquier ley de protección de datos o de privacidad aplicable de cualquier otro país.
2. EEE significa Espacio Económico Europeo.
3. Leyes de Protección de Datos de la UE significa todas las leyes y regulaciones, incluidas las leyes y regulaciones de la Unión Europea, el EEE y sus estados miembros y (si el Xxxxx Unido deja de ser un estado miembro) el Xxxxx Unido, que se aplican al Procesamiento de IP Operacional, incluido (cuando sea aplicable) el GDPR.
4. GDPR significa el Reglamento General de Protección de Datos de la Unión Europea 2016/679.
5. Instrucción significa las instrucciones establecidas en la cláusula 3.3 o acordadas conforme a la cláusula 3.4.
6. IP Operacional significa Datos (como se define en los términos y las condiciones de TracPlus) que son datos personales.
7. Procesamiento significa cualquier operación o conjunto de operaciones que se realice con la IP Operacional, ya sea por medios automatizados o no, como la recolección, el registro, la organización, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o la combinación, el bloqueo, la supresión o la destrucción. El proceso tiene un significado congruente.
8. Cláusulas Contractuales Estándar significa las cláusulas contractuales estándar establecidas en el Anexo 3, que pueden ser modificadas en virtud de la cláusula 12.1.
9. Subprocesador significa cualquier persona designada por nuestra empresa o en nuestro nombre para Procesar IP Operacional en su nombre en relación con el Contrato.
2.3 Si hubiera algún conflicto entre cualquiera de los siguientes, tendrán precedencia en el orden de prioridad descendente que se establece a continuación:
a. las Cláusulas Contractuales Estándar;
b. este Adenda; y
c. el Contrato.
3. PROCESAMIENTO DE LA IP OPERACIONAL
1. Con respecto al Procesamiento de la IP Operacional de acuerdo con el Contrato:
a. usted actúa como el Controlador de los Datos;
b. nosotros actuamos como el Procesador de los Datos; y
c. sujeto a la cláusula 6, podremos contratar a los Subprocesadores enumerados en el Anexo 2.
3.2 Cumpliremos con todas las Leyes de Protección de Datos Aplicables que correspondan a nuestro Procesamiento de IP Operacional en vuestro nombre, incluidas todas las Leyes de Protección de Datos de la UE aplicables a los Procesadores de Datos.
3.3 Al utilizar TracPlus (tal y como se define en los términos y las condiciones de TracPlus), deberá cumplir con todas las Leyes de Protección de Datos Aplicables que correspondan a su Procesamiento de IP Operacional, incluidas todas las Leyes de Protección de Datos de la UE que se aplican a los Controladores de Datos.
3.4. Usted nos ordena Procesar IP Operacional y en particular, sujeto a la cláusula 6, transferir la IP Operacional a cualquier país o territorio:
a. en la medida en que sea razonablemente necesario para proporcionar a TracPlus de conformidad con el Contrato;
b. en la forma iniciada mediante el uso de TracPlus por usted, su Personal y otros usuarios finales a los que usted autoriza a utilizar TracPlus; y
c. para cumplir con cualquier instrucción adicional de su parte (incluso por correo electrónico o a través de nuestros canales de soporte) conforme al Contrato y a este Adenda.
5. Este Adenda y el Contrato son sus instrucciones completas y finales para el Procesamiento de la IP Operacional en el momento en que este Adenda entre en vigor. Cualquier instrucción adicional o alternativa deberá ser acordada entre usted y nosotros por separado y por escrito.|
6. No procesaremos el IP Operacional de ninguna otra manera que no se de acuerdo a sus Instrucciones a menos que sea exigido por alguna ley a la cual estemos sujetos, en cuyo caso, en la medida que lo permita la ley aplicable, le informaremos de dicha exigencia legal antes de procesar dicha IP Operacional.
7. De conformidad con el artículo 28(3) del GDPR (y, si procede, con los requisitos equivalentes de otras Leyes de Protección de Datos Aplicables), la naturaleza y el propósito del Procesamiento, los tipos de IP Operacional y las categorías de los propietarios de los datos conforme a este Adenda se establecen en el Anexo 1. Podemos enmendar el Anexo 1 de vez en cuando notificándole debidamente por escrito cuando lo consideremos razonablemente necesario para cumplir con los requisitos del GDPR (y las exigencias equivalentes aplicables de otras Leyes de Protección de Datos Aplicables).
8. La duración del Procesamiento se limita a la duración del Contrato. Nuestras obligaciones en relación con el Procesamiento continuarán hasta que la IP Operacional haya sido debidamente eliminada o devuelta de acuerdo con la cláusula 11 de este Adenda.
9. Usted es el único responsable de asegurar que sus Instrucciones cumplan con las Leyes de Protección de Datos Aplicables. También es su responsabilidad celebrar contratos de procesamiento de datos con otros Controladores de Datos relevantes para permitirnos a nosotros y a nuestros Subprocesadores Procesar IP Operacional de acuerdo con este Adenda.
10. Si, en nuestra opinión razonable, una Instrucción infringe las Leyes de Protección de Datos Aplicables, le notificaremos tan pronto como sea razonablemente posible.
4. SOLICITUDES DE PROPIETARIOS DE DATOS
4.1 En la medida en que lo permita la ley, le notificaremos con prontitud si recibimos una solicitud de un Propietario de Datos para ejercer los derechos del Propietario de Datos de acuerdo con las Leyes de Protección de Datos Aplicables relacionadas con cualquier IP Operacional (Solicitud de Propietario de Datos).
4.2 Teniendo en cuenta la naturaleza del Procesamiento, le ayudaremos a implementar las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con su obligación de responder a una Solicitud de un Propietario de Datos conforme a las Leyes de Protección de Datos Aplicables.
4.3 En la medida en que usted no tenga la capacidad de responder a una Solicitud de un Propietario de Datos, nosotros, a su solicitud escrita, le proporcionaremos asistencia razonable de acuerdo con las Leyes de Protección de Datos Aplicables para facilitar esa Solicitud de un Propietario de Datos. Usted nos reembolsará los costos derivados de esta ayuda.
4.4 No responderemos a una Solicitud de un Propietario de Datos excepto si usted lo solicita por escrito o si así lo exige la ley aplicable.
5. NUESTRO PERSONAL
1. Nos encargaremos de:
a. tomar las medidas razonables para asegurar la confiabilidad de nuestro Personal dedicado al Procesamiento de IP Operacional;
b. asegurar que el acceso a IP Operacional se limite a nuestro Personal que necesite dicho acceso según sea estrictamente necesario con el propósito de ejercer nuestros derechos y cumplir con nuestras obligaciones conforme con el Contrato;
c. asegurar que nuestro Personal involucrado en el Procesamiento de IP Operacional esté sujeto a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad; y
d. asegurar que nuestro Personal involucrado en el Procesamiento de IP Operacional sea informado de la naturaleza confidencial de la IP Operacional y reciba la capacitación adecuada sobre sus responsabilidades.
5.2 Hemos nombrado a un encargado de la protección de datos con el cual se puede comunicar en xxxxxxx@xxxxxxxx.xxx.
6. SUBPROCESADORES
1. Usted reconoce y acepta que podemos contratar a Subprocesadores de terceros en relación con el suministro de TracPlus.
2. Hemos celebrado (y celebraremos, con cualquier nuevo Subprocesador) contratos escritos con cada Subprocesador que contienen las obligaciones de protección de datos que ofrecen al menos el mismo nivel de protección para IP Operacional que se establece en este Adenda y que cumple con los requisitos del Artículo 28(3) del GDPR, según sea aplicable a la naturaleza de los servicios prestados por ese Subprocesador.
3. Usted puede solicitar copias de nuestros contratos escritos con los Subprocesadores (los cuales pueden ser redactados para eliminar información confidencial que no sea relevante para este Adenda).
4. El Anexo 2 presenta una lista de Subprocesadores de TracPlus al 1° xx xxxxxx de 2018. Es posible que actualicemos la lista de Subprocesadores cada cierto tiempo y, de acuerdo con la cláusula 6.5, daremos aviso por escrito con al menos 30 días de anticipación de cualquier nuevo Subprocesador.
5. Podemos contratar a Subprocesadores según sea necesario para servir como un Reemplazo de Emergencia con el fin de mantener y apoyar a TracPlus. Reemplazo de Emergencia significa un reemplazo repentino de un Subprocesador en el que el cambio está fuera de nuestro control razonable. En este caso, le informaremos del Subprocesador de reemplazo tan pronto como sea razonablemente posible.
6. Si usted se opone a cualquier nuevo Subprocesador, podrá, a pesar de cualquier disposición en contrario en el Contrato, poner término al Contrato y a su derecho de
acceder y utilizar TracPlus sin penalización mediante notificación por escrito, siempre y cuando (en el caso de un nuevo Subprocesador notificado conforme a la cláusula 6.4) recibamos su notificación de terminación antes de la fecha de entrada en vigor de nuestra notificación conforme a la cláusula 6.4 o (en el caso de un nuevo Subprocesador notificado conforme a la cláusula 6.5) recibamos su notificación de terminación dentro de los 30 días siguientes a la notificación del nuevo Subprocesador. Si no cancela el Contrato y su derecho de acceso y uso de TracPlus de acuerdo con esta cláusula, se considerará que ha aceptado al nuevo Subprocesador.
7. Somos responsables de los actos y omisiones de nuestros Subprocesadores en la misma medida en que lo seríamos si prestáramos los servicios de cada Subprocesador directamente conforme a los términos de este Adenda, salvo que se establezca lo contrario en el mismo.
7. SEGURIDAD
Mantendremos las medidas técnicas y organizacionales para proteger la confidencialidad, integridad y seguridad (incluida la protección contra el Procesamiento no autorizado o ilegal y contra la destrucción accidental o ilegal, pérdida o alteración o daño, divulgación o acceso no autorizado a los Datos) de IP Operacional, y para gestionar los incidentes de seguridad de los datos que afecten a IP Operacional, de acuerdo con el Apéndice 2 de las Cláusulas Contractuales Estándar.
8. GESTIÓN DE INCUMPLIMIENTO DE SEGURIDAD
1. Cumpliremos con todas las leyes aplicables que exijan la notificación de cualquier destrucción accidental o ilegal, pérdida, alteración, revelación no autorizada de, o acceso a, IP Operacional Procesada por nosotros o nuestros Subprocesadores de los que tengamos conocimiento (Incidente de Incumplimiento).
2. Haremos esfuerzos razonables para identificar la causa de ese Incidente de Incumplimiento, le notificaremos oportunamente para permitirle cumplir con sus obligaciones de informar sobre un Incidente de Incumplimiento, y tomaremos las medidas que consideremos necesarias y razonables para remediar la causa del Incidente de Incumplimiento, en la medida en que la reparación esté dentro de nuestro control razonable.
9. EVALUACIÓN DEL IMPACTO DE LA PROTECCIÓN DE DATOS
Si nos lo solicita por escrito, le proporcionaremos la asistencia razonable necesaria para cumplir con su obligación en virtud del GDPR de llevar a cabo una evaluación de impacto de la protección de datos en relación con su uso de TracPlus, en la medida en que usted no tenga acceso de otro modo a la información pertinente.
10. AUDITORÍA Y CUMPLIMIENTO
Tras su solicitud por escrito, nos someteremos a sus auditorías e inspecciones y le proporcionaremos toda la información necesaria para demostrar que tanto usted
como nosotros estamos cumpliendo con nuestras respectivas obligaciones bajo las Leyes de Protección de Datos Aplicables (incluidas sus y nuestras respectivas obligaciones bajo el Artículo 28 del GDPR).
11. DEVOLUCIÓN Y ELIMINACIÓN DE IP OPERACIONAL
11.1 Sujeto a las cláusulas 11.2 y 11.3, después de la terminación del Contrato eliminaremos toda la IP Operacional dentro de un período razonable a partir de la terminación del Contrato.
11.2 Sujeto a la cláusula 11.3, usted puede presentarnos una solicitud por escrito en un plazo de 10 días hábiles a partir de la terminación del Contrato pidiéndonos que dentro de un plazo de 20 días hábiles a partir de su solicitud por escrito:
a. le devolvamos una copia completa de todos la IP Operacional mediante transferencia segura de archivos en un formato común; y
b. borrar todas las demás copias de IP Operacional Procesada por nosotros o por cualquier Subprocesador.
11.3 Nosotros, o cualquier Subprocesador, podremos retener IP Operacional en la medida en que lo exija la legislación aplicable, siempre que garanticemos la confidencialidad de toda la IP Operacional y nos aseguremos de que dicha IP Operacional sólo se procese según sea necesario para los fines exigidos por las leyes aplicables que requieran su Procesamiento y para ningún otro fin.
11.4 Usted está de acuerdo en que podemos satisfacer cualquier exigencia de eliminar IP Operacional bajo esta cláusula 10 haciendo que la IP Operacional sea anónima para que deje de constituir Datos Personales.
12. CAMBIOS EN LAS LEYES DE PROTECCIÓN DE DATOS
1. Podremos, con una antelación de al menos 30 días, notificarle por escrito cada cierto tiempo sobre cualquier modificación de este Adenda (incluidas las Cláusulas Contractuales Estándar) que consideremos (actuando de forma razonable) como resultado de cualquier cambio o decisión de una autoridad competente en virtud de la Ley de Protección de Datos Aplicable, para permitir que las transferencias y el procesamiento de IP Operacional continúen sin infringir la Ley de Protección de Datos Aplicable.
12.2 Si usted se opone a cualquier modificación en virtud de la cláusula 12.1, podrá, a pesar de cualquier disposición en contrario en el Contrato, poner término al Contrato y a su derecho de acceso y uso de TracPlus sin penalización mediante notificación por escrito, siempre que recibamos su notificación de terminación antes de la fecha de entrada en vigor de nuestra notificación. Si usted no pone término al Contrato y a su derecho de acceso y uso de TracPlus de acuerdo con esta cláusula, se considera que usted está de acuerdo con la modificación.
13. LIMITACIÓN DE RESPONSABILIDAD
La responsabilidad de cada parte frente a la otra parte en virtud de este Adenda o en relación con él está sujeta a las limitaciones y exclusiones establecidas en el Contrato, y
cualquier referencia en el Contrato a la responsabilidad de una parte significa la responsabilidad total de esa parte en virtud del Contrato y de este Adenda en su conjunto.
14. GENERAL
Si alguna disposición de este Adenda es, o se hiciera inaplicable, ilegal o inválida por cualquier razón, se considera que la disposición pertinente se modificará en la medida necesaria para remediar la inaplicabilidad, ilegalidad o invalidez. Si no su modificación no fuera posible, la disposición se considerará excluida de este Adenda sin que ello afecte a ninguna otra disposición del mismo.
ANEXO 1
DETALLES DEL PROCESAMIENTO
Naturaleza y finalidad del procesamiento
Procesaremos la IP Operacional según sea necesario para proporcionar el servicio TracPlus de acuerdo con el Contrato, según se especifica en nuestra documentación en línea relacionada con TracPlus, y de acuerdo con las instrucciones adicionales dadas por usted, su personal y otros usuarios finales a los que usted permita utilizar TracPlus.
Duración del procesamiento
Sujeto a la cláusula 10 de este Adenda, Procesaremos la IP Operacional durante la vigencia del Contrato, a menos que se acuerde por escrito lo contrario.
Categorías of Propietarios de Datos
Usted puede enviar IP Operacional a TracPlus, cuya extensión es determinada y controlada por usted a su entera discreción, y que puede incluir, pero no se limita a, IP Operacional relacionada con las siguientes categorías de propietarios de datos:
• sus funcionarios, empleados, contratistas y agentes (Personal) que sean personas naturales
• los contactos de emergencia nominados por su Personal que sean personas naturales
Tipo de IP Operacional
Usted puede enviar IP Operacional a TracPlus, y usted determina y controla la extensión de esta información a su entera discreción, la cual puede incluir, pero no está limitada a, las siguientes categorías de datos personales:
• nombre y apellido
• cargo
• información de contacto (empresa, correo electrónico, teléfono, dirección física de la empresa)
• información de contacto en caso de emergencia
• ubicación
• cualquier información personal contenida en los mensajes enviados a través de TracPlus
ANEXO 2
LISTA DE SUBPROCESADORES AL 1° XX XXXXXX DE 2018
Terceros / proveedores de servicios | Objetivo | Ubicaci ón del subproc esador | Páginas de políticas |
Tech Data Corporation | Hosting de datos | Australia | xxxxx://xxxx.xxxxxxxx.xxx/xxxx-xxxxxxx-xxxxxxxxx |
M2M One NZ | Servicios SMS | Nueva Zelandia | xxxxx://xxx.x0xxxx.xx.xx/x0x-xxx-xxxxxxx- policy/ |
M2M One AU | Servicios SMS | Australia | xxxxx://xxx.x0xxxx.xxx.xx/x0x-xxx-xxxxxxx- policy/ |
Aeris, Inc. | Servicios SMS | EE.UU. | xxxxx://xxx.xxxxx.xxx/xxxxx/xxxxxxx-xxxxxx/ |
Bulletin Connect Ltd | Servicios SMS | Nueva Zelandia | xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/ |
Iridium Communications Inc | Servicios satelitales | EE.UU. | xxxxx://xxx.xxxxxxx.xxx/xxxxxxx-xxxxxx/ |
Inmarsat PLC | Servicios satelitales | EE.UU. | xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx-xxxxxx/ |
GEOS Response LLC | Servicios de respuesta a emergenci as | EE.UU. | |
ZenDesk, Inc | Sitio web proveedor de chat en vivo | EE.UU. | xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xxxxxxxxx- partners/privacy-policy/ |
The Rocket Science Group LLC | Servicios de correo electrónic o | EE.UU. | xxxxx://xxxxxxxxx.xxx/xxxxx/xxxxxxx/ |
Mailgun Technologies, Inc. | Servicios de correo electrónic o | EE.UU. |
ANEXO 3
CLÁUSULAS CONTRACTUALES ESTÁNDAR (PROCESADORES)
Para los fines del artículo 26(2) de la Directiva 95/46/CE relativa a la transferencia de datos personales a los Procesadores establecidos en terceros países que no garanticen un nivel adecuado de protección de datos.
[El cliente deberá completar la información siguiente]
Nombre de la organización exportadora de datos: ……………………………………………
Dirección: ……………………………………………………………………………………..
Tel.: ……………… ; Fax: …………………; Correo electrónico: …………………………………
Otros datos necesarios para la identificación de la organización……………………………………
(el exportador de datos)
Y
Nombre de la organización importadora de datos: TracPlus Global Limited Dirección: Xxxxx 0, 0 Xxxx Xxxxxx, Xxxxxxx, 0000, Xxxxx Xxxxxxxx
Correo electrónico: xxxxxxx@xxxxxxxx.xxx
Otra información necesaria para identificar a la organización: Compañía neozelandesa, número de compañía 2097409
(el importador de datos)
Cada una una parte, juntas las partes
han acordado las siguientes Cláusulas Contractuales Estándar (Cláusulas) con el fin de proporcionar las garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del Exportador de Datos al Importador de Datos de los datos personales especificados en el Apéndice 0 xxx xxxx Xxxxx 0.
Cláusula 1: Definiciones
Para los efectos de las cláusulas:
(a) datos personales, categorías especiales de datos, proceso/procesamiento, controlador, procesador y autoridad supervisora tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995, relativa a la protección de las personas naturales en lo que respecta al procesamiento de datos personales y a la libre circulación de tales datos;
(b) el exportador de datos significa el controlador que transfiere los datos personales;
(c) importador de datos será el procesador que acepte recibir del exportador de datos, datos personales destinados a ser procesados en su nombre tras la transferencia, de conformidad con sus instrucciones y con lo dispuesto en las Cláusulas, y que no esté sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del artículo 25(1) de la Directiva 95/46/CE;
(d) subprocesador significa todo procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de cualquier otro subprocesador de datos, datos personales destinados exclusivamente a actividades de procesamiento que deban llevarse a cabo en nombre del exportador de datos después de la transferencia, de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
(e) legislación de protección de datos aplicable significa la legislación que protege los derechos y las libertades fundamentales de las personas y, en particular, su derecho a la privacidad en relación con el procesamiento de datos personales aplicable a un controlador de datos en el Estado miembro en el que esté establecido el exportador de datos;
(f) medidas de seguridad técnicas y organizacionales significa las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el procesamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de procesamiento.
Cláusula 2: Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el Apéndice 1, que forma parte integral de las Cláusulas.
Cláusula 3: Cláusula xx xxxxxxx beneficiario
1. El propietario de los datos podrá hacer cumplir al exportador de datos esta cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), Cláusula 6(1) and (2), Cláusula 7, Cláusula 8(2), and Clausulas 9 a 12 como terceros beneficiarios.
2. El propietario de los datos podrá hacer valer frente al importador de datos la presente Cláusula, la Cláusula 5, letras a) a e) y g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2), y las Cláusulas 9 a 12, en los casos en que el propietario de los datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que la entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del propietario de los datos por contrato o ministerio de la ley, como consecuencia de lo cual haya asumido los derechos y obligaciones del propietario de los datos, en cuyo caso el propietario de los datos podrá hacerlos valer frente a dicha entidad.
3. El propietario de los datos podrá hacer cumplir al subprocesador la presente Cláusula, la Cláusula 5, letras a) a e) y g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2), y las Cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o se hayan declarado insolventes, a menos que la entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley como consecuencia de las cuales asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. Esta responsabilidad frente a terceros del subprocesador se limitará a sus propias operaciones de procesamiento de conformidad con las Cláusulas.
4. Las partes no se oponen a que un propietario de los datos esté representado por una asociación u otro organismo si el propietario de los datos así lo desea expresamente y si lo permite la legislación nacional.
Cláusula 4: Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
(a) que el procesamiento, incluida la transferencia propiamente tal, de los datos personales se ha llevado a cabo y se seguirá llevando a cabo de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades pertinentes del Estado miembro en el que esté establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
(b) que ha dado instrucciones y a lo largo de la duración de los servicios de procesamiento de datos personales instruirá al importador de datos para que procese los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos y las Cláusulas aplicables;
(c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;
(d) que, una vez evaluados los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita, o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el procesamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de procesamiento, y que estas medidas garantizan un nivel de seguridad adecuado a los riesgos que entraña el procesamiento y a la naturaleza
de los datos que deben protegerse, teniendo en cuenta el estado de la técnica y el costo de su aplicación;
(e) que garantizará el cumplimiento de las medidas de seguridad;
(f) que, si la transferencia implica categorías especiales de datos, se ha informado o se informará al propietario de los datos antes, o lo antes posible después, de la transferencia que sus datos podrían ser transmitidos a un tercer país que no ofrezca la protección adecuada en conformidad con la Directiva 95/46/CE;
(g) remitir cualquier notificación recibida del importador de datos o de cualquier subprocesador conforme a la letra b) de la Cláusula 5(b) y Cláusula 8(3) a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
(h) poner a disposición de los propietarios de los datos que lo soliciten, una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de todo contrato de servicios de subprocesamiento que deba celebrarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;
(i) que, en caso de subprocesamiento, la actividad de procesamiento sea llevada a cabo de conformidad con la Cláusula 11 por un subprocesador que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del propietario de los datos que el importador de datos conforme a las Cláusulas; y
(j) que garantizará el cumplimiento de lo dispuesto en las letras a) a i) de la Cláusula 4.
Cláusula 5: Obligaciones del importador de datos
El importador de datos acepta y garantiza:
(a) procesar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si, por cualquier motivo, no puede garantizar dicho cumplimiento, se compromete a informar rápidamente al exportador de datos de su incapacidad para cumplirlo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a poner término al contrato;
(b) que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en esta legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará inmediatamente el cambio al exportador de datos tan pronto como tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a poner término al contrato;
(c) que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes del procesamiento de los datos personales transferidos;
(d) que notificará sin demora al exportador de datos sobre:
(i) toda solicitud jurídicamente vinculante de divulgación de datos personales por parte de una autoridad encargada de la aplicación de la ley, salvo que se prohíba de otro modo, como la prohibición penal de preservar la confidencialidad de una investigación policial,
(ii) todo acceso accidental o no autorizado, y
(iii) cualquier solicitud recibida directamente de los propietarios de los datos sin responder a dicha solicitud, a menos que se le haya autorizado a hacerlo de otro modo;
(e) responder rápida y adecuadamente a todas las preguntas del exportador de datos en relación con su procesamiento de los datos personales objeto de la transferencia y acatar el dictamen de la autoridad de control en lo que respecta al procesamiento de los datos transferidos;
(f) a petición del exportador de datos, someter sus instalaciones de procesamiento de datos a la auditoría de las actividades de procesamiento a que se refieren las Cláusulas, que será llevada a cabo por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y que posean las calificaciones profesionales requeridas, sujeto a un deber de confidencialidad, seleccionado por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
(g) poner a disposición del propietario de los datos, previa solicitud, una copia de las Cláusulas o de cualquier contrato existente para el procesamiento posterior, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del Apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en los casos en que el propietario de los datos no pueda obtener una copia del exportador de datos;
(h) que, en caso de subprocesamiento, haya informado previamente al exportador de datos y obtenido su consentimiento escrito;
(i) que los servicios de procesamiento que preste el subprocesador se lleven a cabo de conformidad con la Cláusula 11;
(j) que enviará sin demora al exportador de datos una copia de cualquier contrato de subprocesamiento que celebre conforme a las Cláusulas.
Cláusula 6: Responsabilidad
1. Las partes acuerdan que cualquier propietario de datos que haya sufrido un perjuicio como consecuencia del incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquiera de las partes o por el subprocesador, tendrá derecho a recibir una indemnización del exportador de datos por el perjuicio sufrido.
2. Si un interesado no puede reclamar una indemnización, de conformidad con el párrafo 1, al exportador de datos por el incumplimiento por parte del importador de datos o de su subprocesador de cualquiera de las obligaciones a que se refieren la Cláusula 3 o la Cláusula 11, debido a que el exportador de datos ha desaparecido de hecho, ha dejado de existir legalmente o se ha declarado insolvente, el importador de datos acepta que el propietario de los datos pueda presentar una reclamación contra el importador de datos
como si éste fuera el exportador de datos, a menos que la entidad sucesora haya asumido todas las obligaciones legales del propietario de los datos por contrato o por el ministerio de la ley, en cuyo caso el propietario de los datos podrá hacer valer sus derechos frente a dicha entidad.
El importador de datos no podrá invocar el incumplimiento del subprocesador de sus obligaciones para eludir sus propias responsabilidades.
3. Si un propietario de datos no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los párrafos 1 y 2, como consecuencia del incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho, han dejado de existir legalmente o se han declarado insolventes, el subprocesador acepta que el propietario de los datos pueda presentar una reclamación contra el subprocesador de los datos en relación con sus propias operaciones de procesamiento de acuerdo con las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador o importador de datos por contrato o por el ministerio de la ley, en cuyo caso el propietario de los datos podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento conforme a las Cláusulas.
Cláusula 7: Mediación y jurisdicción
1. El importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del propietario de los datos de:
(a) someter el litigio a mediación, por una persona independiente o, en su caso, por la autoridad supervisora;
(b) someter el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
2. Las partes acuerdan que la elección del propietario de los datos no afectará a sus derechos sustantivos o procesales de recurso de conformidad con otras disposiciones del Derecho nacional o internacional.
Cláusula 8: Cooperación con las autoridades de supervisión
1. El exportador de datos se compromete a depositar una copia del presente contrato ante la autoridad supervisora si así lo solicitara ésta o si dicho depósito es exigido por la legislación aplicable en materia de protección de datos.
2. Las Partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador que tenga el mismo alcance y esté sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos de conformidad con la legislación aplicable en materia de protección de datos.
3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subprocesador de datos que impida la realización de
una auditoría del importador de datos, o de cualquier subprocesador de datos, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la Cláusula 5.
Cláusula 9: Derecho aplicable
Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Cláusula 10: Modificación del contrato
Las partes se comprometen a no alterar o modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones comerciales cuando sea necesario, siempre que no contradigan la Cláusula.
Cláusula 11: Subprocesamiento
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos de conformidad con las Cláusulas sin el consentimiento escrito previo del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones conforme a las Cláusulas, con el consentimiento del exportador de datos, sólo lo hará mediante un contrato escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que las que se imponen al importador de datos de acuerdo con las Cláusulas. En caso de que el subprocesador no cumpla con sus obligaciones de protección de datos de conformidad con dicho contrato escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subprocesador en virtud de dicho contrato.
2. El contrato escrito previo entre el importador de datos y el subprocesador incluirá también una cláusula xx xxxxxxx beneficiario, tal como se establece en la Cláusula 3, para los casos en que el interesado no pueda presentar la reclamación de indemnización mencionada en el párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho o hayan dejado de existir legalmente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador o importador de datos por contrato o por el ministerio de la ley. Esta responsabilidad frente a terceros del subprocesador se limitará a sus propias operaciones de tratamiento conforme a las Cláusulas.
3. Las disposiciones del contrato relativas a los aspectos de protección de datos para el subprocesamiento a que se refiere el párrafo 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los contratos de subprocesamiento celebrados de acuerdo con las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la Cláusula 5, la que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Cláusula 12: Obligación tras la terminación de los servicios de procesamiento de datos personales
1. Las Partes acuerdan que, al término de la prestación de servicios de procesamiento de datos, el importador y el subprocesador, a elección del exportador de datos, devolverán todos los datos personales transferidos y sus copias al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos asegura que garantizará la confidencialidad de los datos personales transferidos y no procesará activamente los datos personales transferidos.
2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos o de la autoridad de control, someterán sus instalaciones de procesamiento de datos a una auditoría de las medidas mencionadas en el párrafo 1.
En nombre del exportador de datos:
[El cliente deberá completar los detalles siguientes]
Nombre (completo):
Cargo:
Dirección:
Firma
En nombre del importador de datos:
Nombre (completo): Xxxxxxxxxxx Xxxxxxx Xxxxx Cargo: Director General de Innovación
Dirección: Xxxxx 0, 0 Xxxx Xxxxxx, Xxxxxxx 0000, Xxxxx Xxxxxxxx
Firma
APÉNDICE 1 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR
Este Apéndice forma parte de las Cláusulas y deberá ser completado y firmado por las partes.
Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información adicional necesaria que deba figurar en este Apéndice.
Exportador de datos
El exportador de datos es:
[El cliente deberá completar los datos siguientes]
Nombre:………………………………………………
(Especifique brevemente sus actividades relacionadas con la transferencia):
……………………………………………………………………………………………………
Importador de datos
El importador de datos es:
TracPlus Global Limited, una compañía de Nueva Zelandia, compañía número 2097409 (TPG)
(Especifique brevemente sus actividades relacionadas con la transferencia):
TPG proporciona una solución basada en la nube que su cliente puede utilizar para rastrear ciertos activos y almacenar los datos de forma centralizada (TracPlus). El suministro de TracPlus se rige por los términos y las condiciones establecidos en xxx.xxxxxxxx.xxx/ termsandconditions, incluido el Adenda de Procesamiento de Datos establecido en xxx.xxxxxxxx.xxx/xxxxxxxxxxxxxxxxxx (Contrato).
Propietarios de los datos
Los datos personales transferidos se refieren a las siguientes categorías de propietarios de datos:
El exportador de datos puede enviar datos personales a TracPlus, cuyo alcance será determinado y controlado por el exportador de datos a su entera discreción, y que puede incluir, entre otros, datos personales relativos a las siguientes categorías de propietarios de datos:
• los agentes, empleados, contratistas y agentes (Personal) del exportador de datos que sean personas naturales
• los contactos de emergencia designados por el personal del exportador de datos que son personas naturales
Categorías de datos
El exportador de datos puede enviar datos personales a TracPlus, cuyo alcance será determinado y controlado por el exportador de datos a su entera discreción, y que puede incluir, entre otras, las siguientes categorías de datos personales:
• nombre y apellido
• cargo
• información de contacto (empresa, correo electrónico, teléfono, dirección física de la empresa)
• información de contacto en caso de emergencia
• ubicación
• cualquier información personal contenida en los mensajes enviados a través de TracPlus
Categorías especiales de datos (si procede)
Los datos personales transferidos se refieren a las siguientes categorías especiales de datos:
El exportador de datos podrá presentar datos personales a TracPlus, cuyo alcance será determinado y controlado por el exportador de datos a su entera discreción, y que son en aras de tener mayor claridad, ellos son datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la pertenencia a sindicatos, los datos genéticos, los datos biométricos con el fin de identificar de forma única a una persona natural, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona natural.
Operaciones de procesamiento
Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de procesamiento:
El importador de datos procesará los datos personales para ejercer sus derechos y cumplir sus obligaciones en virtud del Contrato.
EXPORTADOR DE DATOS
[El cliente deberá completar los detalles siguientes]
Nombre: .……………………………………………………………..
Firma: ………………………………………………………………..
IMPORTADOR DE DATOS
Nombre: Xxxxxxxxxxx Xxxxxxx Xxxxx
Firma