CONTRATO DE CONFIDENCIALIDAD POR PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS
CONTRATO DE CONFIDENCIALIDAD POR PRESTACIÓN DE SERVICIOS CON ACCESO A DATOS
En Córdoba, a 29 de enero de 2021
REUNIDOS
De una parte, D. Xxxx Xxxxxx Xxxxx Xxxxxxxxxxx con DNI 00000000-X mayor de edad, que actúa en nombre y representación de la UNIVERSIDAD XX XXXXXXX, en calidad de Rector de la Universidad, domiciliada en Xxxx. Xxxxxx Xxxxxxx, X.X. 00000, Xxxxxxx, con CIF X-0000000X (en adelante el RESPONSABLE),
Y de otra parte, D. Xxxxxx Xxxxxxx Xxxxxx con DNI 00000000-X mayor de edad, que actúa en nombre y representación de la FUNDACION UNIVERSITARIA PARA EL DESARROLLO DE LA PROVINCIA XX
XXXXXXX, con domicilio en X/ Xxxx Xxxxxxxxxx, x/x, Xxxxxxxx Xxxx Xxxxx XXX, X.X. 00000, Xxxxxxx, , con NIF G- (en adelante el ENCARGADO)
Ambas partes se reconocen con la capacidad legal necesaria para contratar y obligarse a tal efecto, mediante el presente contrato redactado de acuerdo con el Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y de la Ley Orgánica 3/2018 de protección de datos de carácter personal y garantías de los derechos digitales.
CLÁUSULAS
1.- Objeto del encargo de tratamiento
Mediante las presentes cláusulas se habilita a la entidad FUNDACION UNIVERSITARIA PARA EL DESARROLLO DE LA PROVINCIA XX XXXXXXX, encargada del tratamiento, para tratar por cuenta de UNIVERSIDAD XX XXXXXXX responsable del tratamiento, los datos de carácter personal necesarios para prestar el servicio de gestión documental de prácticas en empresas. Concretamente el tratamiento consistirá Gestión y tratamiento de los datos de carácter personal para el desarrollo y explotación del software que dará soporte a la gestión documental de prácticas en empresas (GE.DO.PREM).
La concreción de las operaciones de tratamiento a realizar consistirá en: Almacenamiento, Comunicación, Comunicación por transmisión, Conservación, Consulta, Copias de Seguridad, Cotejo, Destrucción, Estructuración, Modificación, Recogida, Registro, Supresión.
2.- Identificación de la información afectada.
Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento pone a disposición del encargado del tratamiento, la información que se describe a continuación: Correo electrónico, Dirección, Imagen, Móvil, Nif o Dni, Nombre y Apellidos,
Teléfono, Edad, Fecha nacimiento, Formación, Historial del Estudiante, Titulaciones, Datos bancarios. Además de la documentación necesaria para la gestión del procedimiento de incorporación de un estudiante en prácticas dentro de una empresa: convenio, anexo y cartas de aceptación.
3.- Duración
El presente acuerdo tiene una duración vinculada con la ejecución del proyecto GEDOPREM. Los datos se conservarán mientras se mantenga la relación contractual o durante los años necesarios para cumplir con las obligaciones legales. Una vez finalice el presente contrato, el encargado del tratamiento debe devolver al responsable o a la empresa que éste designe los datos personales y suprimir cualquier copia que obre en poder del encargado.
4.- Obligaciones del encargado
El encargado del tratamiento y todo su personal se obliga a:
a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable.
c. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
d. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal derecho lo prohíba por razones importantes de interés público.
e. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
f. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
g. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
h. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
i. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
j. Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
k. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.
5.- Subcontratación
El Encargado se obliga a no subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.
Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de tres días, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de una semana.
El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.
6.- Derechos de los interesados
El encargado de tratamiento debe asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos:
a.- De Acceso, rectificación, supresión y oposición. b.- De Limitación del tratamiento.
c.- De Portabilidad de datos.
d.- A no ser objeto de decisiones individualizadas automatizadas incluida la elaboración de perfiles.
El Responsable debe resolver dentro del plazo establecido, las solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, en relación con los datos objeto del encargo.
7.- Derecho de Información
El Responsable en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar.
8.- Notificación de violaciones de seguridad o incidencias
Corresponde al Responsable comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos. Para ello, el encargado de tratamiento debe proporcionar en un plazo de 24 horas o menos, la siguiente información:
a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
b) Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
9.- Medidas de Seguridad
El encargado deberá implantar mecanismos para:
a.- Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
b.- Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
c.- Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
x.- Xxxxxxxxxxxx y cifrar los datos personales, en su caso.
En este sentido, el encargado se obliga a cumplir con las medidas incluidas en el estándar ISO 27001, o bien en el Esquema Nacional de Seguridad (ENS).
10.- Delegado de Protección de Datos
El DPO de la FUNDACION UNIVERSITARIA PARA EL DESARROLLO DE LA PROVINCIA XX
XXXXXXX es Xx Xx Xxxxx Xxxxxxx Xxxxxxx.
El DPO de la Universidad xx Xxxxxxx es D. Xxxxxxxxx Xxxxxxx
11.- Finalización del contrato
El encargado del tratamiento debe proceder a la supresión o a la devolución de los datos personales y de cualquier copia existente, ya sea al responsable o a otro encargado designado por el responsable.
12.- Obligaciones del Responsable
Corresponde al responsable del tratamiento:
a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.
b) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.
c) Realizar las consultas previas que corresponda.
d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.
e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
Ambas partes, con renuncia expresa al fuero que por ley pudiera corresponderles, se someten a la jurisdicción de los Juzgados y Tribunales xx Xxxxxxx, para la resolución de las controversias que surjan con motivo de la interpretación o de la ejecución del presente contrato.
Y para que conste y en prueba de conformidad y aceptación al contenido de este escrito, ambas partes lo firman por duplicado y a un solo efecto en la fecha y lugar indicados en el encabezamiento.
EL RESPONSABLE EL ENCARGADO
30834741K
XXXXXXX XXXXXX XXXXXX -
Firmado digitalmente por XXXXXXX XXXXXX XXXXXX - 30834741K
Fecha: 2021.01.29
14:41:05 +01'00'