CONTRATO DE PROCESAMIENTO DE DATOS PARA SOPORTE Y SERVICIOS PROFESIONALES DE SAP
CONTRATO DE PROCESAMIENTO DE DATOS PARA SOPORTE Y SERVICIOS PROFESIONALES DE SAP
1. DEFINICIONES
1.1. "Usuarios Autorizados" se refiere a cualquier individuo al que el Cliente otorga autorización de acceso conforme a la licencia de software de SAP para utilizar el Servicio de SAP que sea empleado, agente, contratista o representante de
a) el Cliente;
b) las Afiliadas del Cliente, o
c) los Socios Comerciales del Cliente o de las Afiliadas del Cliente (según se define en la Licencia de Software y el Contrato de Soporte).
1.2. “Controlador” se refiere a una persona física o jurídica, una autoridad pública, una agencia u otro organismo que, de forma independiente o en conjunto con otros, determina los medios y los objetivos del procesamiento de Datos Personales; a los fines de este DPA, cuando el Cliente actúa como Procesador de otro Controlador, se considerará, en relación con SAP, un Controlador adicional e independiente con los derechos y obligaciones pertinentes en virtud de este DPA.
1.3. “Ley de Protección de Datos” se refiere a la legislación aplicable que protege los derechos y libertades fundamentales de las personas y el derecho a la privacidad, con respecto al procesamiento de Datos Personales, en virtud del Contrato.
1.4. “Sujeto de Datos” se refiere a una persona física identificada o identificable según se define en la Ley de Protección de Datos.
1.5. “My Trust Center” se refiere a la información disponible en el portal de soporte de SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o el sitio web de contratos de SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o cualquier sitio web posterior que SAP ponga a disposición del Cliente.
1.6. “Transferencia relevante para las nuevas SCC” se refiere a una transferencia (o una transferencia posterior) a un Tercer País de Datos Personales que está sujeta a GDPR o a la Ley de Protección de Datos aplicable y en la que se puede cumplir cualquier medio de adecuación requerido en virtud deGDPR o la Ley de Protección de Datos aplicable mediante la formalización de las Nuevas Cláusulas Contractuales Estándar.
1.7. “Nuevas Cláusulas Contractuales Estándar” se refiere a las cláusulas contractuales estándar no modificadas publicadas por la Comisión Europea, referencia 2021/914, o cualquier versión final posterior de estas que se aplicará automáticamente. Para evitar dudas, se aplicarán los Módulos 2 y 3 según lo establecido en la Sección 8.
1.8. “Datos Personales” se refiere a cualquier información relacionada con un Sujeto de Datos que está protegida por la Ley de Protección de Datos. A los fines del DPA, incluye solo los datos personales que se suministran a SAP o sus Subprocesadores o a los que estos acceden para proporcionar el Soporte o los Servicios Profesionales de SAP en virtud del Contrato.
1.9. “Incumplimiento de los Datos Personales” se refiere a:
a) la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación o el acceso sin autorización por parte de terceros a los Datos Personales, o
b) a un incidente similar que involucre Datos Personales; en cada caso, el Controlador, en virtud de la Ley de Protección de Datos, debe dar aviso a las autoridades de protección de datos competentes o a Sujetos de Datos.
1.10. “Servicios Profesionales” se refiere a servicios de implementación, servicios de consultoría o servicios tales como Servicios de Soporte SAP Premium Engagement, Servicios de Desarrollo de Innovative Business Solutions, o Servicios de Soporte de Desarrollo de Innovative Business Solutions.
1.11. “Procesador” se refiere a una persona física o jurídica, una autoridad pública, una agencia u otro organismo que procesa Datos Personales en nombre del Controlador, ya sea directamente como Procesador del
Controlador o indirectamente como Subprocesador de un Procesador que posee Datos Personales en nombre del Controlador.
1.12. “Anexo” es el Apéndice numerado con respecto a las Cláusulas Contractuales Estándar (2010) y el Anexo numerado con respecto a las Nuevas Cláusulas Contractuales Estándar.
1.13. “Cláusulas Contractuales Estándar (2010)” se refiere a los ((procesadores) de las Cláusulas Contractuales Estándar) publicadas por la Comisión Europea, referencia 2010/87/EU.
1.14. “Subprocesador” o “subprocesador” se refiere a las Afiliadas de SAP, SAP SE, las Afiliadas de SAP SE, y terceros contratados por SAP, SAP SE o las Afiliadas de SAP SE en relación con el Servicio de SAP y que procesan Datos Personales de acuerdo con este DPA.
1.15. “Medidas Técnicas y Organizativas” se refiere a las medidas técnicas y organizativas para el Soporte o los Servicios Profesionales de SAP relevantes publicadas en My Trust Center.
1.16. “Tercer País” se refiere a cualquier país, organización o territorio no reconocido por la Unión Europea en virtud del Artículo 45 del GDPR como país seguro con un nivel adecuado de protección de datos.
2. INTRODUCCIÓN
2.1. Objetivo y Aplicación
Este documento (“DPA”) se incorpora al Contrato y forma parte de un contrato escrito (y electrónico) entre SAP y el Cliente. Este DPA se aplica a los Datos Personales que proporcionó el Cliente y cada Controlador relacionado con la prestación de los servicios de SAP según se estipula en el Contrato pertinente (“Servicios de SAP”), al que se adjunta el presente DPA, que puede incluir:
a) Soporte de SAP, según se define en el Contrato de Soporte y Licencia de Software, o
b) Servicios Profesionales, según se describe en el contrato de servicios celebrado entre SAP y el Cliente (“Contrato de Servicios”).
2.2. Estructura
Los Anexos 1 y 2 se incorporan al DPA y forman parte de este. Establecen el objeto acordado, la naturaleza y el objetivo del procesamiento, el tipo de Datos Personales, las categorías de los datos, los sujetos de datos y las medidas organizativas y técnicas aplicables.
2.3. Control
2.3.1. SAP actúa como Procesador y el Cliente y aquellas entidades que permite que use el Soporte o los Servicios Profesionales de SAP actúan como Controladores en virtud de este DPA.
2.3.2. El Cliente actúa como punto de contacto único y deberá obtener las autorizaciones, los consentimientos y los permisos relevantes para el procesamiento de Datos Personales de acuerdo con este DPA, incluida, según corresponda, la aprobación de los Controladores para usar a SAP como Procesador. Cuando el Cliente brinda autorizaciones, consentimientos, instrucciones o permisos, estos se proporcionan no solo en nombre del Cliente sino también en nombre de cualquier otro Controlador. Si SAP informa o notifica al Cliente, dicha información o aviso se considerará recibido por aquellos Controladores a los que el Cliente haya autorizado a incluir Datos Personales. El Cliente deberá reenviar dicha información y avisos a los Controladores pertinentes.
3. SEGURIDAD DEL PROCESAMIENTO
3.1. Aplicabilidad de las Medidas Técnicas y Organizativas
3.1.1. SAP ha implementado y aplicará las Medidas Técnicas y Organizativas. El Cliente revisó dichas medidas y acepta que estas son apropiadas teniendo en cuenta la tecnología de última generación, los costos de implementación, la naturaleza, el alcance, el contexto y los objetivos del procesamiento de Datos Personales.
3.1.2. El Anexo 2 se aplica solo en la medida que dichos Servicios de SAP se realicen en establecimientos de SAP o desde estos. Si SAP presta los Servicios de SAP en los establecimientos del Cliente y SAP obtiene acceso a los sistemas y datos del cliente, SAP cumplirá las condiciones físicas, técnicas y administrativas razonables
del Cliente para proteger dichos datos y evitar el acceso no autorizado. Con relación a cualquier acceso al sistema y los datos del Cliente, el Cliente será responsable de proporcionar al personal de SAP las autorizaciones de usuario y las contraseñas para acceder a sus sistemas, y de revocar dichas autorizaciones y dar por terminado el acceso, según considere apropiado el Cliente periódicamente. El Cliente no concederá a SAP acceso a los sistemas o información personal (del Cliente o de un tercero) del Licenciatario, a menos que dicho acceso sea esencial para la prestación de los Servicios de SAP. El Cliente no almacenará Datos Personales en entornos no productivos.
3.2. Modificaciones
3.2.1. SAP aplica las Medidas Técnicas y Organizativas en toda la base de clientes de SAP que reciba el mismo Servicio de SAP. SAP puede modificar las Medidas Técnicas y Organizativas en cualquier momento, sin previo aviso, siempre y cuando se mantenga un nivel de seguridad similar o mejor. Pueden reemplazarse las medidas individuales por medidas nuevas que tengan la misma finalidad, sin reducir el nivel de seguridad para la protección de los Datos Personales.
3.2.2. SAP publicará versiones actualizadas de las Medidas Técnicas y Organizativas en My Trust Center y, si está disponible, el Cliente podrá suscribirse para recibir una notificación por correo electrónico de dichas versiones actualizadas.
4. OBLIGACIONES DE SAP
4.1. Instrucciones del Cliente
4.1.1. SAP procesará Datos Personales solo de acuerdo con las instrucciones documentadas del Cliente. El Contrato (incluido este DPA) representa dichas instrucciones iniciales documentadas y el Cliente puede brindar más instrucciones durante la prestación del Servicio de SAP.
4.1.2. SAP hará los esfuerzos razonables para seguir cualquier otra instrucción del Cliente, siempre y cuando sean requeridos por la Ley de Protección de Datos, sean técnicamente viables y no requieran la modificación de la prestación del Servicio de SAP. Si se aplicara cualquiera de las excepciones mencionadas anteriormente, o si SAP no pudiera cumplir con una instrucción o cree que una instrucción infringe la Ley de Protección de Datos, SAP notificará al Cliente de inmediato (correo electrónico permitido).
4.2. Procesamiento por Requisito Legal
SAP también puede procesar Datos Personales si así lo exige la ley aplicable. En dicho caso, SAP informará al Cliente sobre ese requisito legal antes del procesamiento, a menos que la ley prohíba dicha información por motivos importantes de interés público.
4.3. Personal
Para procesar Datos Personales, SAP y sus Subprocesadores solo otorgarán acceso al personal autorizado que se haya comprometido a mantener la confidencialidad. SAP y sus Subprocesadores capacitarán periódicamente al personal con acceso a Datos Personales en materia de medidas de privacidad de datos y seguridad de datos pertinentes.
4.4. Cooperación
4.4.1. A pedido del Cliente, SAP cooperará razonablemente con el Cliente y los Controladores en el abordaje de solicitudes de Sujetos de Datos o autoridades regulatorias en relación con el procesamiento de Datos Personales de SAP o cualquier violación de Datos Personales. Si SAP recibe una solicitud de un Sujeto de Datos en relación con el tratamiento de Datos Personales en virtud del presente, SAP notificará de inmediato al Cliente (cuando el Sujeto de Datos haya proporcionado información para identificar al Cliente) por correo electrónico y no responderá a dicha solicitud, sino que solicitará al Titular de los Datos que redirija su solicitud al Cliente.
4.4.2. En caso de disputa con un Sujeto de Datos en relación con el procesamiento de Datos Personales por parte de SAP en virtud de este DPA, las Partes se mantendrán informadas y, cuando corresponda, cooperarán razonablemente con el objetivo de resolver la disputa de manera amistosa con el Sujeto de Datos. SAP
corregirá, eliminará o anonimizará cualquier Dato Personal que posea SAP (si hubiera), o restringirá su procesamiento, de acuerdo con la instrucción del Cliente y la Ley de Protección de Datos.
4.5. Notificación de Violación de Datos Personales
SAP notificará al Cliente sin demoras innecesarias luego de haber tomado conocimiento de cualquier Violación de Datos Personales, y brindará la información razonable que posea para asistir al Cliente en el cumplimiento de su obligación de informar una Violación de Datos Personales según lo requiera la Ley de Protección de Datos. SAP puede brindar dicha información en etapas a medida que se encuentre disponible. Dicha notificación no se interpretará como declaración de falta o responsabilidad por parte de SAP.
4.6. Evaluación del Impacto de la Protección de Datos
Si, conforme a la Ley de Protección de Datos, se requiere que el Cliente (o sus Controladores) realicen una evaluación de impacto de protección de datos o una consulta previa con un regulador, a pedido del Cliente, SAP brindará dichos documentos según se encuentren generalmente disponibles para el Servicio de SAP (por ejemplo, este DPA, el Contrato, Informes de Auditoría o Certificaciones). Cualquier asistencia adicional se acordará entre las partes.
5. ELIMINACIÓN DE DATOS
Por el presente, el Cliente instruye a SAP para que elimine los Datos Personales que queden en SAP (si hubiera) dentro de un período de tiempo razonable (no superior a seis meses) en conformidad con la Ley de Protección de Datos cuando los Datos Personales ya no se requieran para la ejecución del Contrato, a menos que la ley aplicable exija su retención.
6. CERTIFICACIONES Y AUDITORÍAS
El Cliente o auditor externo independiente razonablemente aceptable para SAP (que no incluirá auditores externos que sean competidores de SAP o que no tengan las cualificaciones adecuadas o que sean independientes) puede auditar los centros de entrega de soporte y servicio y las prácticas de seguridad de TI relevantes para Datos Personales procesados por SAP solo si:
a) SAP no brindó suficiente evidencia de su cumplimiento de las Medidas Técnicas y Organizativas mediante la provisión de certificación de cumplimiento de la norma ISO 27001 u otra (alcance definido en el certificado). Las certificaciones están disponibles en My Trust Center o bajo solicitud si la certificación no está disponible en línea; o
b) se produjo una Violación de Datos Personales; o
c) una autoridad de protección de datos del Cliente solicita formalmente una auditoría; o
d) la Ley de Protección de Datos obligatoria confiere al Cliente un derecho de auditoría directo, siempre que ese Cliente audite solo una vez en cualquier período de 12 meses a menos que la Ley de Protección de Datos obligatoria exija auditorías más frecuentes.
6.2. Auditoría de Otro Controlador
Cualquier otro Controlador puede auditar el entorno de control de SAP y las prácticas de seguridad relevantes para los Datos Personales procesados por SAP, en conformidad y en la medida permitida por la Sección 6.1, si aplica directamente a ese otro Controlador. Dicha auditoría debe estar a cargo del Cliente, a menos que el otro Controlador deba hacerse cargo de la auditoría en virtud de la Ley de Protección de Datos. Si varios Controladores cuyos Datos Personales son procesados por SAP sobre la base del Contrato requieren una auditoría, el Cliente empleará todos los medios razonables para combinar las auditorías e impedir que haya múltiples auditorías.
6.3. Alcance de la Auditoría
El Cliente dará aviso con al menos 60 días de anticipación sobre cualquier auditoría, a menos que la Ley de Protección de Datos obligatoria o una autoridad de protección de datos competente exija un período de notificación más breve. La frecuencia, el marco de tiempo y el alcance de cualquier auditoría se acordarán
entre las partes, que deben actuar razonablemente y de buena fe. Las auditorías del Cliente se limitarán a auditorías remotas cuando sea posible. Si se requiere una auditoría local, su duración no superará 1 día hábil. Más allá de dichas restricciones, las partes usarán las certificaciones actuales u otros informes de auditoría para evitar o reducir al mínimo las auditorías repetitivas. El Cliente proporcionará los resultados de cualquier auditoría a SAP.
6.4. Costo de las Auditorías
El Cliente asumirá los costos de cualquier auditoría a menos que esta revele un incumplimiento material de este DPA por parte de SAP, en cuyo caso SAP asumirá los gastos de la auditoría. Si una auditoría determina que SAP incumplió sus obligaciones en virtud del DPA, SAP remediará de inmediato el incumplimiento a su propio costo.
7. SUBPROCESADORES
7.1. Uso Permitido
Se le otorga a SAP autorización general para subcontratar el procesamiento de Datos Personales a Subprocesadores, siempre y cuando:
a) SAP o SAP SE en su nombre contrate Subprocesadores en virtud de un contrato por escrito (incluido en formato electrónico) en conformidad con los términos de este DPA en relación con el procesamiento de Datos Personales por parte del Subprocesador. SAP sea responsable de cualquier incumplimiento por parte del Subprocesador de acuerdo con los términos del Contrato;
b) SAP evalúe la seguridad, la privacidad y las prácticas de confidencialidad del Subprocesador antes de la selección para establecer que es capaz de brindar el nivel de protección de Datos Personales que requiere este DPA;
c) Para el Soporte de SAP, SAP publique la lista de Subprocesadores de SAP a partir de la fecha de entrada en vigencia del Contrato en My Trust Center y la ponga a disposición del Cliente a pedido e incluya el nombre, la dirección y el rol de cada Subprocesador que use SAP para brindar el Servicio Cloud; y
d) Para los Servicios Profesionales, SAP, a pedido del Cliente, pondrá a disposición la lista o identificará a dichos subprocesadores antes del inicio de los Servicios de SAP correspondientes.
7.2.1. SAP utilizará Subprocesadores según su exclusivo criterio, siempre y cuando:
a) SAP informe al Cliente con anticipación sobre cualquier adición o reemplazo previstos de la lista de Subprocesadores, que incluye el nombre, la dirección y el rol del nuevo Subprocesador (i) para el Soporte de SAP, por medio de una publicación en My Trust Center, o por correo electrónico cuando el Cliente se registre en My Trust Center, y (ii) para los Servicios Profesionales, por medio de una publicación similar en My Trust Center, por correo electrónico o en otro formulario por escrito;
b) El Cliente puede oponerse a dichos cambios según se estipula en la Sección 7.2.2.
7.2.2. Objeción a Nuevos Subprocesadores
7.2.2.1. Soporte de SAP
Si el Cliente tiene un motivo legítimo en virtud de la Ley de Protección de Datos para oponerse al procesamiento de Datos Personales por parte de los nuevos Subprocesadores, el Cliente puede rescindir el Soporte de SAP mediante una notificación por escrito dirigida a SAP, que deberá entregar a SAP con no menos de 30 días a partir de la fecha en que SAP informe al Cliente sobre el nuevo Subprocesador. Si el Cliente no brinda a SAP una notificación de terminación dentro de este período de 30 días, se considera que el Cliente aceptó al nuevo Subprocesador. Dentro del período de 30 días desde la fecha en que SAP le informa al Cliente sobre el nuevo Subprocesador, el Cliente puede solicitar que las partes discutan de buena fe una resolución a la objeción. Dichas discusiones no superarán el período para brindar una notificación de terminación a SAP y no afectarán el derecho de SAP de utilizar los nuevos Subprocesadores luego del período de 30 días.
7.2.2.2. Servicios profesionales
Si el Cliente tiene un motivo legítimo en virtud de la Ley de Protección de Datos que se relaciona con el procesamiento de Datos Personales por parte de los Subprocesadores, el Cliente puede oponerse al uso de un Subprocesador por parte de SAP, notificandolo por escrito en un plazo de 5 días hábiles a partir de la información de SAP. Si el Cliente se opone al uso de un Subprocesador, las partes discutirán de buena fe una resolución. SAP puede optar por: (i) no utilizar un Subprocesador o (ii) tomar las medidas correctivas que solicite el Cliente en su objeción y usar el Subprocesador, o (iii) si esto no es posible, usar el Subprocesador. Si ninguna de estas opciones es razonablemente posible y el Cliente sigue oponiéndose por un motivo legítimo, cualquier parte puede rescindir los servicios correspondientes mediante notificación por escrito con 5 días de anticipación. Si el Cliente no se opone dentro de los 5 días a partir de la recepción de la notificación, se considera que el Cliente aceptó al Subprocesador. Si la objeción del Cliente no se resuelve en el plazo de 30 días después de haberse planteado, y SAP no ha recibido ningún aviso de terminación, se considera que el Cliente aceptó al Subprocesador.
7.2.3. Cualquier terminación en virtud de esta Sección se considerará libre de incumplimiento de cualquier parte y estará sujeta a los términos del Contrato.
7.3. Reemplazo de Emergencia
8. PROCESAMIENTO INTERNACIONAL
8.1. Condiciones para el Procesamiento Internacional
SAP tendrá derecho a procesar Datos Personales, incluyendo el uso de Subprocesadores, de acuerdo con este DPA fuera del país en que se encuentre el Cliente según lo permita la Ley de Protección de Datos.
8.2. Aplicabilidad de las Cláusulas Contractuales Estándar (2010)
a) SAP y el Cliente acuerdan las Cláusulas Contractuales Estándar (2010);
c) Otros Controladores que hayan sido autorizados por el Cliente a incluir Datos Personales en virtud del Contrato también pueden acordar Cláusulas Contractuales Estándar (2010) con SAP y/o los Subprocesadores correspondientes de la misma manera que el Cliente de acuerdo con las Secciones
8.2.1 a) y b) anteriores. En dicho caso, el Cliente acordará las Cláusulas Contractuales Estándar (2010) en nombre de los otros Controladores.
8.2.2. Las Cláusulas Contractuales Estándar (2010) se regirán por la xxx xxx xxxx en el que se establece en el Controlador relevante.
8.3. Aplicabilidad de las Nuevas Cláusulas Contractuales Estándar
8.3.1. Lo siguiente se aplicará con vigencia a partir del 27 de septiembre de 2021 y se aplicará únicamente a las Transferencias relevantes para las nuevas SCC:
8.3.1.1. Cuando SAP no está ubicada en un Tercer País y actúa como exportador de datos, SAP (o SAP SE en su nombre) suscribe las Nuevas Cláusulas Contractuales Estándar con cada Subprocesador como importador de datos. El Módulo 3 (Procesador a Procesador) de las Nuevas Cláusulas Contractuales Estándar aplicarán a dichas Transferencias relevantes para las nuevas SCC.
8.3.1.2. En aquellos casos en los que SAP está ubicada en un Tercer País:
SAP y el Cliente por medio del presente documento suscriben las Nuevas Cláusulas Contractuales Estándar con el Cliente como exportador de datos y SAP como importador de datos que se aplicarán de la siguiente manera:
a) El Módulo 2 (Controlador a Procesador) se aplicará cuando el Cliente sea un Controlador; y
b) El Módulo 3 (Procesador a Procesador) se aplicará cuando el Cliente sea un Procesador. Si el Cliente actúa como Procesador en virtud del Módulo 3 (Procesador a Procesador) de las Nuevas Cláusulas Contractuales Estándar, SAP reconoce que el Cliente actúa como Procesador según las instrucciones de sus Controladores.
8.3.2. Otros Controladores o Procesadores cuyo uso del Soporte o los Servicios Profesionales de SAP haya sido autorizado por el Cliente en virtud del Contrato, también podrán suscribir las Nuevas Cláusulas Contractuales Estándar con SAP de la misma manera que el Cliente, de acuerdo con la Sección 8.3.1.2 8.3.1.2 anterior. En dicho caso, el Cliente suscribe las Cláusulas Contractuales Estándar en nombre de los otros Controladores.
8.3.3. Con respecto a una Transferencia relevante para las nuevas SCC, a pedido de un Sujeto de Datos al Cliente, el Cliente puede hacer una copia del Módulo 2 o 3 de las Nuevas Cláusulas Contractuales Estándar suscritas entre el Cliente y SAP (incluidos los Anexos relevantes), y ponerla a disposición de los Sujetos de Datos.
8.3.4. La legislación aplicable de las Nuevas Cláusulas Contractuales Estándar será la xxx xx Xxxxxxxx.
8.4. Relación de las Cláusulas Contractuales Estándar con el Contrato
Ninguna disposición del Contrato prevalecerá por sobre ninguna de las Cláusulas Contractuales Estándar (2010) o las Nuevas Cláusulas Contractuales Estándar. Para evitar cualquier tipo de duda, cuando este DPA especifique reglas de auditoría y de Subprocesador, dichas especificaciones también se aplicarán en relación con las Cláusulas Contractuales Estándar (2010) y las Nuevas Cláusulas Contractuales Estándar.
8.5. Derecho xx Xxxxxxx Beneficiario en virtud de las Nuevas Cláusulas Contractuales Estándar
8.5.1. Cuando el Cliente esté ubicado en un Tercer País y actúe como importador de datos en virtud del Módulo 2 o el Módulo 3 de las Nuevas Cláusulas Contractuales Estándar y SAP actúe como subprocesador del Cliente en virtud del Módulo correspondiente, el exportador de datos correspondiente tendrá el siguiente derecho xx xxxxxxx beneficiario:
8.5.2. En caso de que el Cliente haya desaparecido de hecho, haya dejado de existir por ley o se haya vuelto insolvente (en todos los casos sin una entidad sucesora que haya asumido las obligaciones legales del Cliente por contrato o por el funcionamiento de la ley), el exportador de datos correspondiente tendrá derecho a terminar el Servicio afectado únicamente en la medida en que se procesen los Datos Personales del exportador de datos. En ese caso, el exportador de datos correspondiente también indicará a SAP que elimine o devuelva los Datos Personales.
9. DOCUMENTACIÓN; REGISTROS DE PROCESAMIENTO
Cada parte es responsable del cumplimiento de los requisitos de documentación, sobre todo con la actualización de registros de procesamiento según se requiera según la Ley de Protección de Datos. Cada parte asistirá razonablemente a la otra parte con sus requisitos de documentación, brindando la información que la otra parte necesite de esta en la manera razonablemente solicitada por la otra parte (como por medio
de un sistema electrónico) para permitir que la otra parte cumpla con cualquier obligación relacionada con la actualización de los registros de procesamiento.
Anexo 1 Descripción del procesamiento
Este Anexo 1 se incluye para describir el Procesamiento de los Datos Personales a los fines de las Cláusulas Contractuales Estándar (2010), las Nuevas Cláusulas Contractuales Estándar y la Ley de Protección de Datos correspondiente.
1. A. LISTA DE PARTES
1.1. En virtud de las Cláusulas Contractuales Estándar (2010)
1.1.1. Exportador de Datos
El exportador de datos es el Cliente que celebró una Licencia de Software y Contrato de Soporte y/o Contrato de Servicios con SAP por medio del cual se beneficia del Servicio de SAP según se describe en el Contrato pertinente. El exportador de datos permite que otros Controladores también utilicen el Servicio de SAP; estos otros Controladores también son exportadores de datos.
1.1.2. Importador de Datos
SAP y sus Subprocesadores brindan el Servicio de SAP según se define en el Contrato pertinente celebrado por el exportador de datos que incluye las Cláusulas Contractuales Estándar (2010).
1.2. En virtud de las Nuevas Cláusulas Contractuales Estándar
1.2.1. Módulo 2: Transferencia Controlador a Procesador
Cuando SAP se encuentra en un Tercer País, el Cliente es el Controlador y SAP es el Procesador, el Cliente es el exportador de datos y SAP es el importador de datos.
1.2.2. Módulo 3: Transferencia Procesador a Procesador
Cuando SAP se encuentra en un Tercero País, el Cliente es un Procesador y SAP es un Procesador, el Cliente es el exportador de datos y SAP es el importador de datos.
2. B. DESCRIPCIÓN DE TRANSFERENCIA
2.1. Sujetos de Datos
A menos que el exportador de datos lo disponga de otra forma, los Datos Personales transferidos se relacionan con las siguientes categorías de Sujetos de Datos: empleados, contratistas, Socios Comerciales u otros individuos cuyos Datos Personales se han almacenado, transmitido, puesto a disposición, accedido o procesado de otro modo por el importador de datos.
2.2. Categorías de Datos
Los Datos Personales transferidos se refieren a las siguientes categorías de datos:
El Cliente determina las categorías de datos y/o los campos de datos que podrían transferirse mediante el Servicio de SAP según se establece en el Contrato correspondiente. Los Datos Personales transferidos usualmente se relacionan con las siguientes categorías de datos: nombre, números de teléfono, dirección de correo electrónico, datos de dirección, datos de autorización / uso / acceso al sistema, nombre de la empresa, datos del contrato, datos de facturación, más cualquier otro dato específico de la aplicación transferido por los Usuarios Autorizados, incluidos los datos financieros, como datos de cuenta bancaria, tarjeta de crédito o tarjeta de débito.
2.3. Categorías de Datos Especiales (si las partes lo acuerdan)
2.3.1. Los Datos Personales transferidos pueden incluir categorías especiales de datos personales estipuladas en el Contrato ("Datos Confidenciales"). SAP tomó Medidas Técnicas y Organizativas como se establece en el Anexo 2 para garantizar un nivel de seguridad adecuado para proteger también los Datos Confidenciales.
2.3.2. La transferencia de Datos Confidenciales puede iniciar la aplicación de las siguientes restricciones o protecciones adicionales, si es necesario, teniendo en cuenta la naturaleza de los datos y el riesgo de variación de probabilidad y gravedad de los derechos y libertades de las personas físicas (si corresponde):
a) formación del personal;
b) cifrado de los datos en tránsito y en reposo;
c) registro de acceso al sistema y registro de acceso a datos generales.
2.4. Finalidad de la transferencia de datos y el procesamiento posterior; naturaleza del procesamiento
2.4.1. Los Datos Personales transferidos están sujetos a las actividades de procesamiento básicas según se estipula en el Contrato, que pueden incluir:
a) uso de Datos Personales para brindar el Servicio de SAP;
b) almacenamiento de Datos Personales;
c) procesamiento informático de Datos Personales para transmisión de datos;
d) mejora continua de las características y funcionalidades del servicio proporcionadas como parte del Soporte o los Servicios Profesionales de SAP, incluida la automatización, el procesamiento de transacciones y el aprendizaje automático; y
e) ejecución de instrucciones del Cliente de acuerdo con el Contrato.
2.4.2. En virtud de la Licencia de Software y Contrato de Soporte: SAP o sus Subprocesadores brindan soporte cuando un Cliente envía un ticket de soporte porque el Software no está disponible o no funciona como se esperaba. Estos atienden llamadas telefónicas, resuelven problemas básicos y gestionan los tickets de soporte en un sistema de seguimiento.
2.4.3. En virtud del Contrato de Servicios para Servicios Profesionales: SAP o sus Subprocesadores brindan Servicios sujetos a los Servicios del Formulario de Pedido y el Documento de Alcance pertinente.
2.5. Descripción adicional con respecto a las Nuevas Cláusulas Contractuales Estándar Módulos aplicables de las Nuevas Cláusulas Contractuales Estándar
a) Módulo 2: Transferencia Controlador a Procesador
b) Módulo 3: Transferencia Procesador a Procesador
2.6. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua): Las transferencias se realizarán de forma continua.
2.7. El período para el que se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período:
Los Datos Personales se conservarán mientras dure el Contrato y estarán sujetos a la Sección 5 del DPA.
2.8. Para las transferencias a (sub)procesadores, se especificará también el objeto, naturaleza y la duración del procesamiento:
Con respecto a las Nuevas Cláusulas Contractuales Estándar, las transferencias a los Subprocesadores se realizarán sobre la misma base que la estipulada en el DPA.
3. C. AUTORIDAD SUPERVISORA COMPETENTE
3.1. Con respecto a las Nuevas Cláusulas Contractuales Estándar:
3.1.1. Módulo 2: Transferencia Controlador a Procesador
3.1.2. Módulo 3: Transferencia Procesador a Procesador
3.2. Si el Cliente es el exportador de datos, la autoridad supervisora será la autoridad competente que tenga la responsabilidad de supervisión sobre el Cliente de conformidad con la Cláusula 13 de las Nuevas Cláusulas Contractuales Estándar.
Anexo 2 Medidas Técnicas y Xxxxxxxxxxxxx
Xxxx Xxxxx 0 se incluye para describir las medidas técnicas y organizativas aplicables a los fines de las Cláusulas Contractuales Estándar (2010), las Nuevas Cláusulas Contractuales Estándar y la Ley de Protección de Datos correspondiente.
SAP aplicará y mantendrá las Medidas Técnicas y Organizativas.