CONTRATO DE PROCESAMIENTO DE DATOS PARA CLOUD SERVICES
CONTRATO DE PROCESAMIENTO DE DATOS PARA CLOUD SERVICES
1. DEFINICIONES
1.1. “Controlador” se refiere a una persona física o jurídica, una autoridad pública, una agencia u otro organismo que, de forma independiente o en conjunto con otros, determina los medios y los objetivos del procesamiento de Datos Personales; a los fines de este DPA, cuando el Cliente actúa como procesador de otro controlador, se considerará, en relación con SAP, un Controlador adicional e independiente con los derechos y obligaciones pertinentes en virtud de este DPA.
1.2. “Ley de Protección de Datos” se refiere a la legislación aplicable que protege los derechos y libertades fundamentales de las personas y el derecho a la privacidad, con respecto al procesamiento de Datos Personales, en virtud del Contrato.
1.3. “Sujeto de Datos” se refiere a una persona física identificada o identificable según se define en la Ley de Protección de Datos.
1.4. “AEE" se refiere al Área Económica Europea, a saber los Estados Miembros de la Unión Europea junto con Islandia, Liechtenstein y Noruega.
1.5. “GDPR” se refiere al Reglamento General de Protección de Datos 2016/679.
1.6. “My Trust Center” se refiere a la información disponible en el portal de soporte de SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o el sitio web de contratos de SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o cualquier sitio web posterior que SAP ponga a disposición del Cliente.
1.7. “Transferencia relevante para las nuevas SCC” se refiere a una transferencia (o una transferencia posterior) a un Tercer País de Datos Personales que está sujeta al GDPR o a la Ley de Protección de Datos aplicable y en la que se puede cumplir cualquier medio de adecuación requerido en virtud del GDPR o la Ley de Protección de Datos aplicable mediante la formalización de las Nuevas Cláusulas Contractuales Estándar.
1.8. “Nuevas Cláusulas Contractuales Estándar” se refiere a las cláusulas contractuales estándar no modificadas publicadas por la Comisión Europea, referencia 2021/914, o cualquier versión final posterior de estas que se aplicará automáticamente. Para evitar dudas, se aplicarán los Módulos 2 y 3 según lo establecido en la Sección 8.
1.9. “Datos Personales” se refiere a cualquier información relacionada con un Sujeto de Datos que está protegida por la Ley de Protección de Datos. A los fines del DPA, solo se incluyen datos personales que son:
a) ingresados por el Cliente o sus Usuarios Autorizados o derivados de su uso del Servicio Cloud; o
b) proporcionados a SAP o a sus subprocesadores, o a los que estos acceden, con el fin de prestar asistencia en virtud del Contrato. Los Datos Personales son un subconjunto de Datos del Cliente (tal como se define en el Contrato).
1.10. “Incumplimiento de los Datos Personales” se refiere a:
a) la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación o el acceso sin autorización por parte de terceros a los Datos Personales, o
b) a un incidente similar que involucre Datos Personales; en cada caso, el Controlador, en virtud de la Ley de Protección de Datos, debe dar aviso a las autoridades de protección de datos competentes o a Sujetos de Datos.
1.11. “Procesador” se refiere a una persona física o jurídica, una autoridad pública, una agencia u otro organismo que procesa datos personales en nombre del controlador, ya sea directamente como procesador del controlador o indirectamente como subprocesador de un procesador que posee datos personales en nombre del controlador.
1.12. “Anexo” es el Apéndice numerado con respecto a las Cláusulas Contractuales Estándar (2010) y el Anexo numerado con respecto a las Nuevas Cláusulas Contractuales Estándar.
1.13. “Cláusulas Contractuales Estándar (2010)” se refiere a los (procesadores) de las Cláusulas Contractuales Estándar publicadas por la Comisión Europea, referencia 2010/87/EU.
1.14. “Subprocesador” o “subprocesador” se refiere a las Afiliadas de SAP, SAP SE, las Afiliadas de SAP SE, y terceros contratados por SAP, SAP SE o las Afiliadas de SAP SE en relación con el Servicio Cloud y que procesan Datos Personales de acuerdo con este DPA.
1.15. “Medidas Técnicas y Organizativas” se refiere a las Medidas Técnicas y Organizativas para el Servicio Cloud relevante publicado en My Trust Center (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx- center/agreements/cloud/cloud-services.html?search=Technical%20Organizational%20Measures).
1.16. “Tercer País” se refiere a cualquier país, organización o territorio no reconocido por la Unión Europea en virtud del Artículo 45 del GDPR como país seguro con un nivel adecuado de protección de datos.
2. INTRODUCCIÓN
2.1. Objetivo y Aplicación
2.1.1. Este documento (“DPA”) se incorpora al Contrato y forma parte de un contrato escrito (y electrónico) entre SAP y el Cliente.
2.1.2. Este DPA se aplica a los Datos Personales procesados por SAP y sus Subprocesadores en relación con la prestación del Servicio Cloud.
2.1.3. Este DPA no se aplica a los entornos no productivos del Servicio Cloud si SAP proporciona dichos entornos. El Cliente no almacenará Datos Personales en dichos entornos.
2.2. Estructura
Los Anexos 1 y 2 se incorporan al DPA y forman parte de este. Establecen el objeto acordado, la naturaleza y el objetivo del procesamiento, el tipo de Datos Personales, las categorías de los sujetos datos (Anexo 1) los sujetos de datos y las Medidas Organizativas y Técnicas aplicables (Anexo 2).
2.3. Control
2.3.1. SAP actúa como Procesador y el Cliente y aquellas entidades que permite que use el Servicio Cloud actúan como Controladores en virtud de este DPA.
2.3.2. El Cliente actúa como punto de contacto único y deberá obtener las autorizaciones, los consentimientos y los permisos relevantes para el procesamiento de Datos Personales de acuerdo con este DPA, incluida, según corresponda, la aprobación de los Controladores para usar a SAP como Procesador. Cuando el Cliente brinda autorizaciones, consentimientos, instrucciones o permisos, estos se proporcionan no solo en nombre del Cliente sino también en nombre de cualquier otro Controlador que utilice el Servicio Cloud. Si SAP informa o notifica al Cliente, dicha información o aviso se considerará recibido por aquellos Controladores a los que el Cliente haya autorizado a utilizar el Servicio Cloud. El Cliente deberá reenviar dicha información y avisos a los Controladores pertinentes.
3. SEGURIDAD DEL PROCESAMIENTO
3.1. Aplicabilidad de las Medidas Técnicas y Organizativas
SAP ha implementado y aplicará las Medidas Técnicas y Organizativas. El Cliente ha revisado dichas medidas y acepta que, en lo que respecta al Servicio Cloud seleccionado por el Cliente en el Formulario de Pedido, dichas medidas son adecuadas considerando la tecnología de última generación, los costos de implementación, la naturaleza, el alcance, el contexto y la finalidad del procesamiento de los Datos Personales.
3.2. Modificaciones
3.2.1. SAP aplica las Medidas Técnicas y Organizativas a toda la base de clientes de SAP alojados en el mismo centro de datos o que recibe el mismo Servicio Cloud. SAP puede modificar las Medidas Técnicas y Organizativas en cualquier momento, sin previo aviso, siempre y cuando se mantenga un nivel de seguridad
similar o mejor. Pueden reemplazarse las medidas individuales por medidas nuevas que tengan la misma finalidad, sin reducir el nivel de seguridad para la protección de los Datos Personales.
3.2.2. SAP publicará versiones actualizadas de las Medidas Técnicas y Organizativas en My Trust Center y, si está disponible, el Cliente podrá suscribirse para recibir una notificación por correo electrónico de dichas versiones actualizadas.
4. OBLIGACIONES DE SAP
4.1. Instrucciones del Cliente
SAP procesará Datos Personales solo de acuerdo con las instrucciones documentadas del Cliente. El Contrato (incluido este DPA) representa dichas instrucciones iniciales documentadas y cada uso del Servicio Cloud supone instrucciones adicionales. SAP hará los esfuerzos razonables para seguir cualquier otra instrucción del Cliente, siempre y cuando sean requeridos por la Ley de Protección de Datos, sean técnicamente viables y no requieran modificaciones al Servicio Cloud. Si se aplicara cualquiera de las excepciones mencionadas anteriormente, o si SAP no pudiera cumplir con una instrucción o cree que una instrucción infringe la Ley de Protección de Datos, SAP notificará al Cliente de inmediato (correo electrónico permitido).
4.2. Procesamiento por Requisito Legal
SAP también puede procesar Datos Personales si así lo exige la ley aplicable. En dicho caso, SAP informará al Cliente sobre ese requisito legal antes del procesamiento, a menos que la ley prohíba dicha información por motivos importantes de interés público.
4.3. Personal
Para procesar Datos Personales, SAP y sus Subprocesadores solo otorgarán acceso al personal autorizado que se haya comprometido a mantener la confidencialidad. SAP y sus Subprocesadores capacitarán periódicamente al personal con acceso a Datos Personales en materia de medidas de privacidad de datos y seguridad de datos pertinentes.
4.4. Cooperación
4.4.1. A pedido del Cliente, SAP cooperará razonablemente con el Cliente y los Controladores en el abordaje de solicitudes de Sujetos de Datos o autoridades regulatorias en relación con el procesamiento de Datos Personales de SAP o cualquier Violación de Datos Personales.
4.4.2. Si SAP recibe una solicitud de un Sujeto de Datos en relación con el tratamiento de Datos Personales en virtud del presente, SAP notificará de inmediato al Cliente (cuando el Sujeto de Datos haya proporcionado información para identificar al Cliente) por correo electrónico y no responderá a dicha solicitud, sino que solicitará al Titular de los Datos que redirija su solicitud al Cliente.
4.4.3. En caso de disputa con un Sujeto de Datos en relación con el procesamiento de Datos Personales por parte de SAP en virtud de este DPA, las Partes se mantendrán informadas y, cuando corresponda, cooperarán razonablemente con el objetivo de resolver la disputa de manera amistosa con el Sujeto de Datos.
4.4.4. SAP proporcionará funcionalidad para los sistemas de producción que respalde la capacidad del Cliente de corregir, eliminar o anonimizar los Datos Personales de un Servicio Cloud, o restringir su procesamiento de acuerdo con la Ley de Protección de Datos. Cuando no se proporcione dicha funcionalidad, SAP corregirá, eliminará o anonimizará cualquier Dato Personal, o restringirá su procesamiento, de acuerdo con las instrucciones del Cliente y la Ley de Protección de Datos.
4.5. Notificación de Violación de Datos Personales
SAP notificará al Cliente sin demoras innecesarias luego de haber tomado conocimiento de cualquier Violación de Datos Personales, y brindará la información razonable que posea para asistir al Cliente en el cumplimiento de su obligación de informar una Violación de Datos Personales según lo requiera la Ley de Protección de Datos. SAP puede brindar dicha información en etapas a medida que se encuentre disponible. Dicha notificación no se interpretará como declaración de falta o responsabilidad por parte de SAP.
4.6. Evaluación del Impacto de la Protección de Datos
Si, conforme a la Ley de Protección de Datos, se requiere que el Cliente (o sus Controladores) realicen una evaluación de impacto de protección de datos o una consulta previa con un regulador, a pedido del Cliente, SAP brindará dichos documentos según se encuentren generalmente disponibles para el Servicio Cloud (por ejemplo, este DPA, el Contrato, Informes de Auditoría o Certificaciones). Cualquier asistencia adicional se acordará entre las partes.
5. EXPORTACIÓN Y ELIMINACIÓN DE DATOS
5.1. Exportación y recuperación por parte del cliente
El Cliente puede acceder a sus Datos Personales en cualquier momento durante el Período de Suscripción y según lo estipule el Contrato. El Cliente puede exportar y recuperar los Datos Personales en un formato estándar. Es posible que la exportación y la recuperación estén sujetas a limitaciones técnicas, en cual caso SAP y el Cliente encontrarán un método razonable para permitir que el Cliente acceda a los Datos Personales.
Antes de que venza el Período de Suscripción, el Cliente puede utilizar las herramientas de exportación de autoservicio de SAP (según disponibilidad) para realizar la exportación final de Datos Personales del Servicio Cloud desde el Servicio Cloud (que constituirá una “devolución” de los Datos Personales). Al final del Período de Suscripción, el Cliente instruye a SAP por el presente para que elimine los Datos Personales que queden en los servidores que alojan el Servicio Cloud dentro de un período de tiempo razonable (no superior a 6 meses) en conformidad a la Ley de Protección de Datos, a menos que la ley aplicable exija su retención.
6. CERTIFICACIONES Y AUDITORÍAS
El Cliente o auditor externo independiente razonablemente aceptable para SAP (que no incluirá auditores externos que sean competidores de SAP o que no tengan las cualificaciones adecuadas o que sean independientes) puede auditar el entorno de control y las prácticas de seguridad de SAP relevantes para Datos Personales procesados por SAP solo si:
a) SAP no ha proporcionado pruebas suficientes de su cumplimiento de las Medidas Técnicas y Organizativas que protegen los sistemas de producción del Servicio Cloud mediante: (i) una certificación del cumplimiento de la norma ISO 27001 u otras normas (alcance definido en el certificado); o (ii) un informe de certificación válido de ISAE3402 o ISAE3000 u otro SOC1-3. Ante la solicitud del Cliente, los informes de auditoría o certificaciones ISO están disponibles a través del auditor independiente o SAP;
b) se produjo una Violación de Datos Personales;
c) una autoridad de protección de datos del Cliente solicita formalmente una auditoría; o
d) conforme a la Ley de Protección de Datos obligatoria que confiere al Cliente un derecho de auditoría directo y siempre que ese Cliente audite solo una vez en cualquier período de 12 meses a menos que la Ley de Protección de Datos obligatoria exija auditorías más frecuentes.
6.2. Auditoría de Otro Controlador
Cualquier otro Controlador puede asumir los derechos del Cliente bajo la Sección 6.1 solo si se aplica directamente al Controlador y si dicha auditoría está permitida y coordinada por el Cliente. El Cliente deberá utilizar todos los medios razonables para combinar las auditorías de otros Controladores para evitar auditorías múltiples. A menos que la auditoría deba realizarla el otro Controlador en virtud de la Ley de Protección de Datos. Si varios Controladores cuyos Datos Personales son procesados por SAP sobre la base del Contrato requieren una auditoría, el Cliente empleará todos los medios razonables para combinar las auditorías e impedir que haya múltiples auditorías.
6.3. Alcance de la Auditoría
El Cliente dará aviso con al menos 60 días de anticipación sobre cualquier auditoría, a menos que la Ley de Protección de Datos obligatoria o una autoridad de protección de datos competente exija un período de
notificación más breve. La frecuencia y el alcance de cualquier auditoría se acordarán entre las partes, que deben actuar razonablemente y de buena fe. Las auditorías del Cliente se limitarán a un máximo de 3 días hábiles. Más allá de dichas restricciones, las partes usarán las certificaciones actuales u otros informes de auditoría para evitar o reducir al mínimo auditorías repetitivas. El Cliente proporcionará los resultados de cualquier auditoría a SAP.
6.4. Costo de las Auditorías
El Cliente asumirá los costos de cualquier auditoría a menos que esta revele un incumplimiento material de este DPA por parte de SAP, en cuyo caso SAP asumirá los gastos de la auditoría. Si una auditoría determina que SAP incumplió sus obligaciones en virtud del DPA, SAP remediará de inmediato el incumplimiento a su propio costo.
7. SUBPROCESADORES
7.1. Uso Permitido
Se le otorga a SAP autorización general para subcontratar el procesamiento de Datos Personales a Subprocesadores, siempre y cuando:
a) SAP o SAP SE en su nombre contrate Subprocesadores en virtud de un contrato por escrito (incluido en formato electrónico) en conformidad con los términos de este DPA en relación con el procesamiento de Datos Personales por parte del Subprocesador. SAP sea responsable de cualquier incumplimiento por parte del Subprocesador de acuerdo con los términos del Contrato;
b) SAP evalúe la seguridad, la privacidad y las prácticas de confidencialidad del Subprocesador antes de la selección para establecer que es capaz de brindar el nivel de protección de Datos Personales que requiere este DPA y
c) SAP publique la lista de Subprocesadores de SAP a partir de la fecha de entrada en vigencia del Contrato en My Trust Center y la ponga a disposición del Cliente a pedido e incluya el nombre, la dirección y el rol de cada Subprocesador que use SAP para brindar el Servicio Cloud.
SAP utilizará Subprocesadores según su exclusivo criterio, siempre y cuando:
a) SAP informará al Cliente por adelantado (por correo electrónico o mediante la publicación en My Trust Center) de cualquier adición o sustitución prevista a la lista de Subprocesadores, incluyendo el nombre, la dirección y la función del nuevo Subprocesador; y
b) El Cliente puede oponerse a dichos cambios según se estipula en la Sección 7.3.
7.3. Objeción a Nuevos Subprocesadores
7.3.1. Si el Cliente tiene un motivo legítimo en virtud de la Ley de Protección de Datos para oponerse al procesamiento de los Datos Personales por parte del nuevo Subprocesador, el Cliente podrá terminar el Contrato (limitado al Servicio Cloud para el que está previsto que se utilice el nuevo Subprocesador) mediante notificación por escrito a SAP. Dicha terminación entrará en vigencia en el momento determinado por el Cliente, que no podrá ser posterior a 30 días a partir de la fecha en que SAP notifique al Cliente sobre el nuevo Subprocesador. Si el Cliente no termina el Contrato dentro de este período de 30 días, se considera que el Cliente aceptó al nuevo Subprocesador.
7.3.2. Dentro del período de 30 días desde la fecha en que SAP le informa al Cliente sobre el nuevo Subprocesador, el Cliente puede solicitar que las partes discutan de buena fe una resolución a la objeción. Dichas discusiones no superarán el período de terminación y no afectarán el derecho de SAP de utilizar los nuevos Subprocesadores luego del período de 30 días.
7.3.3. Cualquier terminación en virtud de esta Sección 7.3 se considerará libre de incumplimiento de cualquier parte y estará sujeta a los términos del Contrato.
7.4. Reemplazo de Emergencia
8. PROCESAMIENTO INTERNACIONAL
8.1. Condiciones para el Procesamiento Internacional
SAP tendrá derecho a procesar Datos Personales, incluyendo el uso de Subprocesadores, de acuerdo con este DPA fuera del país en que se encuentre el Cliente según lo permita la Ley de Protección de Datos.
8.2. Aplicabilidad de las Cláusulas Contractuales Estándar (2010)
a) SAP y el Cliente acuerdan las Cláusulas Contractuales Estándar (2010);
a) y la Sección b) anterior. En dicho caso, el Cliente acordará las Cláusulas Contractuales Estándar (2010) en nombre de los otros Controladores.
8.2.2. Las Cláusulas Contractuales Estándar (2010) se regirán por la xxx xxx xxxx en el que se establece en el Controlador relevante.
8.3. Aplicabilidad de las Nuevas Cláusulas Contractuales Estándar
8.3.1. Lo siguiente se aplicará con vigencia a partir del 27 de septiembre de 2021 y se aplicará únicamente a las Transferencias relevantes para las nuevas SCC:
8.3.1.1. Cuando SAP no está ubicada en un Tercer País y actúa como exportador de datos, SAP (o SAP SE en su nombre) suscribe las Nuevas Cláusulas Contractuales Estándar con cada Subprocesador como importador de datos. El Módulo 3 (Procesador a Procesador) de las Nuevas Cláusulas Contractuales Estándar se aplicará a dichas Transferencias relevantes para las nuevas SCC.
8.3.1.2. En aquellos casos en los que SAP está ubicada en un Tercer País:
SAP y el Cliente por medio del presente documento suscriben las Nuevas Cláusulas Contractuales Estándar con el Cliente como exportador de datos y SAP como importador de datos que se aplicarán de la siguiente manera:
a) El Módulo 2 (Controlador a Procesador) se aplicará cuando el Cliente sea un Controlador; y
b) El Módulo 3 (Procesador a Procesador) se aplicará cuando el Cliente sea un Procesador. Si el Cliente actúa como Procesador en virtud del Módulo 3 (Procesador a Procesador) de las Nuevas Cláusulas Contractuales Estándar, SAP reconoce que el Cliente actúa como Procesador según las instrucciones de sus Controladores.
8.3.2. Otros Controladores o Procesadores cuyo uso de los Servicios Cloud haya sido autorizado por el Cliente en virtud del Contrato, también podrán suscribir las Nuevas Cláusulas Contractuales Estándar con SAP de la misma manera que el Cliente, de acuerdo con la Sección 8.3.1.28.3.1.2 anterior. En dicho caso, el Cliente suscribe las Cláusulas Contractuales Estándar en nombre de los otros Controladores.
8.3.3. Con respecto a una Transferencia relevante para las nuevas SCC, a pedido de un Sujeto de Datos al Cliente, el Cliente puede hacer una copia del Módulo 2 o 3 de las Nuevas Cláusulas Contractuales Estándar suscritas entre el Cliente y SAP (incluidos los Anexos relevantes), y ponerla a disposición de los Sujetos de Datos.
8.3.4. La legislación aplicable de las Nuevas Cláusulas Contractuales Estándar será la xxx xx Xxxxxxxx.
8.4. Relación de las Cláusulas Contractuales Estándar con el Contrato
Ninguna disposición del Contrato prevalecerá por sobre ninguna de las Cláusulas Contractuales Estándar (2010) o las Nuevas Cláusulas Contractuales Estándar. Para evitar cualquier tipo de duda, cuando este DPA especifique reglas de auditoría y de Subprocesador, dichas especificaciones también se aplicarán en relación con las Cláusulas Contractuales Estándar (2010) y las Nuevas Cláusulas Contractuales Estándar.
8.5. Derecho xx Xxxxxxx Beneficiario en virtud de las Nuevas Cláusulas Contractuales Estándar
8.5.1. Cuando el Cliente esté ubicado en un Tercer País y actúe como importador de datos en virtud del Módulo 2 o el Módulo 3 de las Nuevas Cláusulas Contractuales Estándar y SAP actúe como subprocesador del Cliente en virtud del Módulo correspondiente, el exportador de datos correspondiente tendrá el siguiente derecho xx xxxxxxx beneficiario:
8.5.2. En caso de que el Cliente haya desaparecido de hecho, haya dejado de existir por ley o se haya vuelto insolvente (en todos los casos sin una entidad sucesora que haya asumido las obligaciones legales del Cliente por contrato o por el funcionamiento de la ley), el exportador de datos correspondiente tendrá derecho a terminar el Servicio Cloud afectado únicamente en la medida en que se procesen los Datos Personales del exportador de datos. En ese caso, el exportador de datos correspondiente también indica a SAP que elimine o devuelva los Datos Personales.
9. DOCUMENTACIÓN; REGISTROS DE PROCESAMIENTO
9.1. Cada parte es responsable del cumplimiento de los requisitos de documentación, sobre todo con la actualización de registros de procesamiento según se requiera según la Ley de Protección de Datos. Cada parte asistirá razonablemente a la otra parte con sus requisitos de documentación, brindando la información que la otra parte necesite de esta en la manera razonablemente solicitada por la otra parte (como por medio de un sistema electrónico) para permitir que la otra parte cumpla con cualquier obligación relacionada con la actualización de los registros de procesamiento.
Anexo 1 Descripción del procesamiento
Este Anexo 1 se incluye para describir el Procesamiento de los Datos Personales a los fines de las Cláusulas Contractuales Estándar (2010), las Nuevas Cláusulas Contractuales Estándar y la Ley de Protección de Datos correspondiente.
1. A. LISTA DE PARTES
1.1. En virtud de las Cláusulas Contractuales Estándar (2010)
1.1.1. Exportador de Datos
El exportador de datos en virtud de las Cláusulas Contractuales Estándar (2010) es el Cliente que se suscribió a un Servicio Cloud que permite a los Usuarios Autorizados ingresar, modificar, utilizar, eliminar o procesar de cualquier otro modo los Datos Personales. Si el Cliente permite que otros Controladores también utilicen el Servicio Cloud, estos otros Controladores también son exportadores de datos.
1.1.2. Importador de Datos
SAP y sus Subprocesadores que proporcionan y prestan soporte al Servicio Cloud son importadores de datos en virtud de las Cláusulas Contractuales Estándar (2010).
1.2. En virtud de las Nuevas Cláusulas Contractuales Estándar
1.2.1. Módulo 2: Transferencia Controlador a Procesador
Cuando SAP se encuentra en un Tercer País, el Cliente es el Controlador y SAP es el Procesador, el Cliente es el exportador de datos y SAP es el importador de datos.
1.2.2. Módulo 3: Transferencia Procesador a Procesador
Cuando SAP se encuentra en un Tercer País, el Cliente es un Procesador y SAP es un Procesador, el Cliente es el exportador de datos y SAP es el importador de datos.
2. B. DESCRIPCIÓN DE TRANSFERENCIA
2.1. Sujetos de Datos
A menos que el exportador de datos lo disponga de otra forma, los Datos Personales transferidos se relacionan con las siguientes categorías de Sujetos de Datos: empleados, contratistas, socios comerciales u otros individuos cuyos Datos Personales se han almacenado en el Servicio Cloud, se han transmitido, puesto a disposición, accedido o procesado de otro modo por el importador de datos.
2.2. Categorías de Datos
Los Datos Personales transferidos se refieren a las siguientes categorías de datos:
El Cliente determina las categorías de datos por Servicio Cloud suscrito. El Cliente puede configurar los campos de datos durante la implementación del Servicio Cloud o según lo disponga el Servicio Cloud. Los Datos Personales transferidos usualmente se relacionan con las siguientes categorías de datos: nombre, números de teléfono, dirección de correo electrónico, datos de dirección, datos de autorización / uso / acceso al sistema, nombre de la empresa, datos del contrato, datos de facturación, más cualquier otro dato específico de la aplicación que los Usuarios Autorizados ingresen en el Servicio Cloud, como datos de cuenta bancaria, tarjeta de crédito o tarjeta de débito.
2.3. Categorías de Datos Especiales (si las partes lo acuerdan)
2.3.1. Los Datos Personales transferidos pueden incluir categorías especiales de datos personales estipuladas en el Contrato ("Datos Confidenciales"). SAP tomó Medidas Técnicas y Organizativas como se establece en el Anexo 2 para garantizar un nivel de seguridad adecuado para proteger también los Datos Confidenciales.
2.3.2. La transferencia de Datos Confidenciales puede iniciar la aplicación de las siguientes restricciones o protecciones adicionales, si es necesario, teniendo en cuenta la naturaleza de los datos y el riesgo de variación de probabilidad y gravedad de los derechos y libertades de las personas físicas (si corresponde):
a) formación del personal;
b) cifrado de los datos en tránsito y en reposo;
c) registro de acceso al sistema y registro de acceso a datos generales.
2.3.3. Además, los Servicios Cloud proporcionan medidas para el procesamiento de los Datos Confidenciales, tal como se describe en la Documentación.
2.4. Finalidad de la transferencia de datos y el procesamiento posterior; naturaleza del procesamiento
2.4.1. Los Datos Personales transferidos están sujetos a las siguientes actividades básicas de procesamiento:
a) uso de Datos Personales para configurar, operar, supervisar y proporcionar el Servicio Cloud (incluso soporte técnico y operativo);
b) mejora continua de las características y funcionalidades del servicio proporcionadas como parte del Servicio Cloud, incluida la automatización, el procesamiento de transacciones y el aprendizaje automático;
c) prestación de Servicios Profesionales integrados;
d) comunicación con Usuarios Autorizados;
e) almacenamiento de los Datos Personales en centros de datos exclusivos (arquitectura para varios arrendatarios);
f) lanzamiento, desarrollo y carga de correcciones o actualizaciones del Servicio Cloud;
g) copia de seguridad y restauración de Datos Personales almacenados en el Servicio Cloud;
h) procesamiento informático de Datos Personales, incluida la transmisión, la recuperación y el acceso de datos;
i) acceso en red para permitir la transferencia de Datos Personales;
j) supervisión, solución de problemas y administración de la infraestructura y la base de datos del Servicio Cloud subyacente;
k) monitoreo de seguridad, soporte para detección de intrusión basado en la red, pruebas de penetración y
l) ejecución de instrucciones del Cliente de acuerdo con el Contrato.
2.4.2. El objetivo de la transferencia es proporcionar y prestar soporte al Servicio Cloud. SAP y sus Subprocesadores pueden prestar soporte de forma remota a los centros de datos del Servicio Cloud. SAP y sus Subprocesadores brindan soporte cuando un Cliente envía un ticket de soporte según se establece en el Contrato.
2.5. Descripción adicional con respecto a las Nuevas Cláusulas Contractuales Estándar:
2.5.1. Módulos aplicables de las Nuevas Cláusulas Contractuales Estándar
a) Módulo 2: Transferencia Controlador a Procesador
b) Módulo 3: Transferencia Procesador a Procesador
2.5.2. Para las transferencias a (sub)procesadores, se especificará también el objeto, la naturaleza y la duración del procesamiento
Con respecto a las Nuevas Cláusulas Contractuales Estándar, las transferencias a los Subprocesadores se realizarán sobre la misma base que la estipulada en el DPA.
2.5.3. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua). Las transferencias se realizarán de forma continua.
2.5.4. El período para el que se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período.
Los Datos Personales se conservarán mientras dure el Contrato y estarán sujetos a la Sección 5.2 del DPA.
3. C. AUTORIDAD SUPERVISORA COMPETENTE
3.1. Con respecto a las Nuevas Cláusulas Contractuales Estándar:
3.1.1. Módulo 2: Transferencia Controlador a Procesador
3.1.2. Módulo 3: Transferencia Procesador a Procesador
3.2. Si el Cliente es el exportador de datos, la autoridad supervisora será la autoridad competente que tenga la responsabilidad de supervisión sobre el Cliente de conformidad con la Cláusula 13 de las Nuevas Cláusulas Contractuales Estándar.
Anexo 2 Medidas Técnicas y Xxxxxxxxxxxxx
Xxxx Xxxxx 0 se incluye para describir las medidas técnicas y organizativas aplicables a los fines de las Cláusulas Contractuales Estándar (2010), las Nuevas Cláusulas Contractuales Estándar y la Ley de Protección de Datos correspondiente.
SAP aplicará y mantendrá las Medidas Técnicas y Organizativas.
En la medida en que la prestación del Servicio Cloud incluya Transferencias relevantes para las nuevas SCC, las Medidas Técnicas y Organizativas establecidas en el Anexo 2 describen las medidas y protecciones que se han tomado para tener en cuenta completamente la naturaleza de los datos personales y los riesgos involucrados. Si las leyes locales pueden afectar el cumplimiento de las cláusulas, esto puede iniciar la aplicación de protecciones adicionales aplicadas durante la transmisión y al procesamiento de los datos personales en el país de destino (si corresponde: cifrado de datos en tránsito, cifrado de datos en reposo, anonimización, seudonimización).