ACUERDO DE PROTECCIÓN DE DATOS SOPORTE TÉCNICO Y MANTENIMIENTO
ACUERDO DE PROTECCIÓN DE DATOS SOPORTE TÉCNICO Y MANTENIMIENTO
El presente Acuerdo de Protección de Datos y sus apéndices (en lo sucesivo, el «APD») estable las medidas mínimas en materia de protección de datos y ciberseguridad y los requisitos correspondientes y forma parte del contrato, como un acuerdo comercial, un acuerdo de servicios o un pedido (en lo sucesivo, el «Contrato») (con la excepción del Acuerdo de Usuario de Cepheid C360). El presente APD se celebra entre el Cliente (tal como se define en el Contrato) y Cepheid (tal como se define en el Contrato) y continuará en plena vigencia y efecto durante el periodo de vigencia del Contrato. En lo sucesivo, Cepheid y el Cliente se denominarán individualmente como una «Parte» o conjuntamente como las «Partes».
Las Partes acuerdan que cuando se lleve a cabo el Tratamiento de Datos personales en virtud del Contrato, las condiciones del presente APD se aplicarán a dicho Contrato, independientemente de que se haga refe- rencia expresa o no al mismo en dicho Contrato.
Por tanto, teniendo en cuenta las premisas expuestas anteriormente y los pactos mutuos contenidos en este APD, las Partes acuerdan lo siguiente:
1. Definiciones.
(A) Por «Legislación aplicable» se entenderá toda ley (incluidas todas las leyes y reglamentos en ma- teria de protección de datos y privacidad de todo el mundo aplicables a los Datos personales en cuestión, como, cuando proceda, la Legislación en materia de protección de datos de la UE o la POPIA), norma o reglamento aplicable al Contrato, los Servicios o las Partes y las normas aplicables del sector relativas a la privacidad, la protección de datos, la confidencialidad, la seguridad, dispo- nibilidad e integridad de la información, o la gestión o el Tratamiento (como la retención y divul- gación) de datos personales, tal como se modifiquen, regulen, reformulen o sustituyan en su mo- mento.
(B) «Responsable del tratamiento», «Encargado del tratamiento», «Interesado», «Datos personales o Información personal», «tratar», «Tratamiento», «Categorías especiales de Datos personales» e
«Información personal sensible» tendrán el mismo significado que en la Legislación aplicable.
(C) Por «Violación de la seguridad de los datos» se entenderá: (i) la pérdida o uso indebido (por cual- quier medio) de los Datos personales; (ii) la comunicación, el acceso, la modificación, la corrupción, la transferencia, la venta, el alquiler, la destrucción o el uso de los Datos personales de forma acci- dental, no autorizada o ilícita; (iii) cualquier otro acto u omisión que comprometa o pueda com- prometer la seguridad, la confidencialidad o la integridad de los Datos personales, o (iv) toda vio- lación de las garantías de seguridad.
(D) Por «Legislación en materia de protección de datos de la UE / del Reino Unido / de Suiza» se en- tenderá (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, en lo sucesivo, el «RGPD de la UE»);
(ii) el RGPD de la UE tal como se ha incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley sobre (la retirada de) la Unión Europea de 2018 del Reino Unido [European Union (Withdrawal) Act 2018] (en lo sucesivo, el «RGPD del Reino Unido»); (iii) en Suiza la Ley federal de protección de datos [Federal Act on Data Protection] de 19 xx xxxxx de 1992 (versión revisada) (en lo sucesivo, la «FADP»); (iv) la Directiva de privacidad electrónica de la UE (Directiva
v. 230117
2002/58/CE); y (v) todas las leyes nacionales en materia de protección de datos aplicables elabo- radas en virtud de o con arreglo a (i), (ii) o (iii); en cada caso tal y como se modifiquen o sustituyan en su momento.
(E) Por «Datos personales» se entenderá, en cualquier forma, formato o medio, (a) toda la informa- ción confidencial del Cliente; y/o (b) todos los datos que permitan identificar a una persona. Para mayor claridad, por Datos personales también nos referimos a la Información personal.
(F) Por «POPIA» se entenderá la Ley de protección de la información personal de Sudáfrica [Protection of Personal Information Act], una ley que aborda la protección y regulación del tratamiento de información personal en la República de Sudáfrica, promulgada el 13 de noviembre de 2013 y que entró en vigor el 1 de julio de 2020.
(G) Por «Transferencia restringida» se entenderá (i) cuando se aplique el RGPD de la UE, una transfe- rencia de Datos personales a un país que no pertenece al Espacio Económico Europeo y no está sujeto a una decisión de adecuación por parte de la Comisión Europea; (ii) cuando se aplique el RGPD del Reino Unido, una transferencia de Datos personales a cualquier otro país que no se base en la normativa de adecuación de conformidad con el artículo 17A de la Ley de protección de datos de 2018 del Reino Unido [Data Protection Xxx 0000]; (iii) cuando se aplique la FADP, una divulga- ción transfronteriza en ausencia de legislación que garantice una protección adecuada de confor- midad con el Artículo 6 de la FADP; y (iv) cuando se aplique la POPIA, una transferencia, divulgación o intercambio transfronterizo de información fuera de la República de Sudáfrica.
(H) Por «Cláusulas contractuales tipo» se entenderá (i) cuando se aplique el RGPD de la UE, las cláusu- las contractuales incluidas en el Anexo de la Decisión de ejecución 2021/914 de la Comisión Euro- pea de 4 xx xxxxx de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (en lo sucesivo, las «CCT de la UE»); y (ii) cuando se aplique el RGPD del Reino Unido, el «Anexo de transferencia internacional de datos a las Cláusulas contractuales tipo de la Comisión Europea» emitido por el Comisionado de información en virtud del apartado 1 del artículo 119A de la Ley de protección de datos de 2018 (en lo sucesivo, el «Anexo del Reino Unido»); (iii) cuando se aplique la FADP, los contratos tipo y las cláusulas contractuales tipo reco- nocidos por el Comisionado federal suizo de información y protección de datos (en lo sucesivo, el
«FDPIC») en virtud del Artículo 6, párrafo 2, letra a, de la FADP de conformidad con la declaración del FDPIC de 27 xx xxxxxx de 2021 (originalmente disponible en xxxxx://xxx.xxxxx.xx- xxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xx- per%20SCC%20def.en%2024082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.p df) (en lo sucesivo, el «Anexo de Suiza»); y (iv) cuando se aplique la POPIA, las cláusulas contrac- tuales relativas a la protección, tratamiento y transferencia de información personal formalizadas por dos o más partes en relación con dicha información.
(I) Por «Servicios» se entenderán los servicios que Cepheid preste en virtud del Contrato.
(J) Por «Subencargado del tratamiento» se entenderá cualquier entidad o persona a quien el Encar- gado del tratamiento subcontrate sus responsabilidades.
(K) Si procede, los demás términos con mayúscula inicial tendrán el significado que se les asigna en el Contrato.
v. 230117
2. Relación de las Partes:
2.1 El Cliente (en lo sucesivo, el «Responsable del tratamiento») designa a Cepheid como Encargado del tratamiento para tratar los Datos personales descritos en el Apéndice 1 de este APD para los fines establecidos en el mismo (o tal y como las Partes acuerden de otro modo por escrito) (en lo sucesivo, la «Finalidad permitida»). Cada Parte cumplirá las obligaciones que le correspondan con arreglo a la Legislación aplicable.
El Cliente reconoce y acepta que Xxxxxxx podrá contratar a sus filiales y/o a terceros subencargados del tratamiento en relación con la prestación de los Servicios. Cepheid seguirá siendo plenamente responsable de dicho tercero ante el Cliente y celebrará con dicho tercero un contrato por escrito exigible que incluya unas condiciones que no sean menos restrictivas que las obligaciones aplicables al Cliente en virtud de este APD.
2.2 Cepheid recoge y trata los datos identificativos necesarios con el fin de formalizar y concluir el Contrato y, de forma más amplia, para la gestión de la relación comercial de las Partes, para el envío de información sobre productos, artículos y servicios o productos, artículos y servicios relacionados de sus filiales.
El Cliente se compromete a informar a todos los interesados sobre las actividades de tratamiento de Cepheid y a facilitarles el aviso de privacidad de Cepheid en consecuencia.
3. Requisitos generales.
3.1 Cuando Cepheid trate Datos personales en nombre del Cliente, Cepheid:
i) cumplirá todas las leyes aplicables, incluida la Legislación aplicable, cuando trate Datos perso- nales;
ii) salvo cuando lo quiera la legislación aplicable, tratará los Datos personales solo en nombre del Cliente y exclusivamente en la medida en que sea necesario para prestar los Servicios al Cliente y de conformidad con todas las leyes aplicables, como la Legislación aplicable, y las instruccio- nes documentadas del Cliente;
iii) aplicará y mantendrá medidas de seguridad técnicas y organizativas apropiadas y razonables para garantizar un nivel de seguridad adecuado al riesgo, que incluya, en su caso, las medidas mencionadas en el apartado 1 del Artículo 32 del RGPD de la UE y del Reino Unido (como los requisitos de la norma relativa a la seguridad de los datos del sector de las tarjetas de pago si Cepheid trata datos de titulares de tarjetas u otras cuentas financieras) para la protección de los Datos personales (i) frente a la destrucción accidental o ilícita, y (ii) la pérdida, la alteración, la comunicación no autorizada o el acceso a los Datos personales. Como mínimo, dichas medi- das incluirán las medidas identificadas en el Apéndice 2;
iv) solo permitirá el acceso a los Datos personales al personal de Cepheid que necesite acceder a los Datos personales correspondientes en la medida en que sea razonablemente necesario para los fines del Contrato, estando todas estas personas sujetas a un deber de confidenciali- dad;
v) proporcionará toda la asistencia razonable y oportuna (como mediante la aplicación de medi- das técnicas y organizativas apropiadas y razonables) para ayudar al Cliente a responder a: (i)
v. 230117
toda solicitud de un Interesado para ejercer cualquiera de sus derechos en virtud de la Legis- lación aplicable (como sus derechos de acceso, rectificación, oposición, supresión y portabili- dad de los datos, cuando proceda); y (ii) cualquier otra correspondencia, consulta o reclama- ción recibida de un Interesado, autoridad de control u otro tercero en relación con el trata- miento de los Datos personales. Si dicha solicitud, correspondencia, consulta o reclamación se realiza directamente a Cepheid, Cepheid lo notificará inmediatamente al Cliente facilitando todos los detalles de la misma;
vi) informará sin demora al Cliente de:
a) toda solicitud, consulta, reclamación, notificación o comunicación recibida de cualquier tercero, incluido un Interesado o una autoridad de control, con respecto a los Datos per- sonales, y cumplirá las instrucciones del Cliente cuando responda a dicha solicitud, con- sulta, reclamación, notificación o comunicación; y
b) toda instrucción por parte del Cliente que Xxxxxxx considere que supone una violación de las leyes aplicables, incluida la Legislación aplicable;
vii) en caso de una transferencia internacional, las Partes acuerdan que cuando la transferencia de Datos personales sea una Transferencia restringida dicha transferencia estará sujeta a las Cláusulas contractuales tipo apropiadas tal como se establece en el Apéndice 3.
viii) a petición razonable del Cliente y con una antelación razonable, someterá sus instalaciones de Tratamiento de Datos personales y/o los Datos personales a una auditoría, la cual será llevada a cabo por representantes del Cliente o por un organismo de auditoría acordado por ambas Partes, asumiendo exclusivamente el Cliente los costes asociados con dicha auditoría;
ix) mantendrá unos registros apropiados que permitan el cumplimiento de sus obligaciones en virtud de este APD y los pondrá a disposición del Cliente en relación con las auditorías men- cionadas en el apartado (viii) anterior;
x) salvo cuando Cepheid haya establecido Cláusulas contractuales tipo con respecto a cualquier Transferencia restringida de Datos personales, no transferirá datos personales de una juris- dicción a otra sin contar con el consentimiento previo y por escrito del Cliente;
xi) ayudará y cooperará razonablemente con el Cliente, por ejemplo, ayudará al Cliente con cual- quier evaluación de impacto relativa a la protección de datos o la privacidad (que sea reque- rida por la Legislación aplicable) y con las consultas previas a las autoridades competentes, a fin de ayudar al Cliente a cumplir con sus obligaciones en virtud de la Legislación aplicable;
xii) conservará los Datos personales únicamente mientras sea necesario para prestar los Servicios y, al finalizar la prestación de los Servicios, a elección del Cliente, eliminará o devolverá los Datos personales al Cliente (a menos que la Legislación aplicable requiera expresamente lo contrario) y, si se solicita, proporcionará al Cliente una certificación por escrito en la que se indique que ha cumplido este requisito;
xiii) cuando Xxxxxxx tenga sospechas razonables o conocimiento de una Violación de la seguridad de los datos:
a) informará de ello por escrito al Cliente sin dilaciones indebidas y, como máximo, en un plazo de veinticuatro (24) horas desde el momento en que tenga conocimiento de dicha Violación de la seguridad de los datos presunta o confirmada;
v. 230117
b) proporcionará al Cliente información que le permita notificar o informar a los Interesados de la Violación de la seguridad de los datos, cuando sea necesario;
c) realizará una investigación de dicha Violación de la seguridad de los datos y cooperará razonablemente con el Cliente, las autoridades de regulación y los organismos policiales;
d) no realizará ningún anuncio público en relación con dicha Violación de la seguridad de los datos sin contar con el consentimiento previo y por escrito del Cliente, el cual no se dene- gará injustificadamente; y
e) adoptará medidas correctivas razonables de manera oportuna para ayudar a la investiga- ción, mitigación y subsanación de la Violación de la seguridad de los datos, así como para subsanar y mitigar el riesgo de que se vuelva a producir dicha Violación de la seguridad de los datos; y
xiv) se someterá a la jurisdicción estipulada en el Contrato con respecto a todas las controversias o reclamaciones que surjan en virtud de este APD, como las controversias relativas a su exis- tencia, validez o rescisión, o las consecuencias de su nulidad; y este APD y todas las obligacio- nes no contractuales y demás obligaciones que se deriven del mismo o en relación con el mismo se regirán por la legislación del país o territorio estipulado para este fin en el Contrato.
3.2 Las Partes no participarán (ni permitirán que ningún subencargado del tratamiento participe) en otras Transferencias restringidas de Datos personales (ya sea en calidad de exportador o importador de los Datos personales) a menos que la Transferencia restringida se realice cumpliendo íntegramente la Legislación aplicable y de conformidad con las Cláusulas contractuales tipo aplicadas entre el expor- tador y el importador correspondientes de los Datos personales.
3.3 El Cliente autoriza a Cepheid a designar Subencargados del tratamiento (y permite que cada Suben- cargado del tratamiento designado designe a otros Encargados del tratamiento) de conformidad con lo establecido en la cláusula 3.3 y las restricciones del Contrato.
3.3.1 El Cliente por medio del presente otorga un consentimiento general para que Cepheid recurra a los Subencargados del tratamiento ya contratados a la fecha de este APD siempre y cuando Cepheid siga siendo plenamente responsable de dicho tercero ante el Cliente y, en cada caso tan pronto como sea posible, celebre con dicho tercero un contrato por escrito exigible que incluya unas condiciones que no sean menos restrictivas que las obligaciones aplicables a Cepheid en virtud de este APD.
3.3.2 Cepheid mantiene una lista de sus Subencargados del tratamiento autorizados que está disponi- ble previa solicitud.
4. Disposiciones varias.
Si procede, las Cláusulas contractuales tipo, incluidos los Apéndices 1-4, prevalecerán en caso de que haya alguna contradicción o incoherencia entre las condiciones de este APD y las Cláusulas contractuales tipo.
v. 230117
Apéndice 1:
Descripción del tratamiento de datos
El presente Apéndice 1 forma parte del APD y describe el Tratamiento que el Encargado del tratamiento llevará a cabo en nombre del Responsable del tratamiento.
Lista de partes
Encargado del tratamiento:
1. | Nombre: | Cepheid, entidad identificada en el Contrato |
Dirección: | Como se define en el Contrato | |
Nombre, cargo y datos de contacto de la persona de contacto: | Como se define en el Contrato o como definan las Partes | |
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: | Descritas en este Apéndice 1 | |
Cargo: | Encargado del tratamiento |
Responsable del tratamiento:
1. | Nombre: | Cliente, entidad identificada en el Contrato |
Dirección: | Como se define en el Contrato | |
Nombre, cargo y datos de contacto de la persona de contacto: | Como se define en el Contrato o como definan las Partes | |
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: | Descritas en este Apéndice 1 | |
Cargo: | Responsable del tratamiento |
Descripción de la transferencia Objeto del Tratamiento
Los Datos personales se tratan para siguientes fines:
Asistencia técnica, optimización del flujo de trabajo asistencia de alto nivel, reducción de los tiempos de inactividad del Cliente, responder a comentarios del Cliente, cuestiones normativas, mediciones, análisis del Cliente, comprobación de la conectividad (resolución de problemas, implementación / LIS (sistema in- formático de laboratorio)), control posterior a la comercialización, auditorías
v. 230117
Duración del Tratamiento
Los Datos personales se tratarán hasta:
Análisis del Cliente: Se tratarán siempre que sea necesario para cumplir los fines y prestar los servicios solicitados en virtud del Contrato, a menos que se acuerde otra cosa por escrito.
Asistencia técnica, asistencia de alto nivel, reducción de los tiempos de inactividad del Cliente, responder a comentarios del Cliente, cuestiones normativas, mediciones, comprobación de la conectividad: hasta que se resuelva el problema
Todos los datos pueden almacenarse en archivos con fines de control posterior a la comercialización o auditorías durante un periodo de conservación que dependerá de la normativa.
Frecuencia de la transferencia
Los Datos personales se tratarán manera continua.
Naturaleza del tratamiento:
Operaciones de tratamiento
Los Datos personales se someterán a las operaciones básicas de Tratamiento que se indican a continuación: Registro, almacenamiento, consulta, uso, divulgación por transmisión, combinación, restricción, supresión o destrucción, anonimización, seudonimización, y tal como se especifique en el Contrato.
Categorías de interesados
Los Datos personales que se tratarán se refieren a las siguientes categorías de interesados: Pacientes del Cliente
El Cliente y sus empleados
Categorías de datos personales
Los Datos personales que se tratarán se refieren a las siguientes categorías de datos:
Dependiendo de los datos introducidos por el Cliente en la consola del instrumento y/o recibidos por el sistema de información del laboratorio, los siguientes datos se pueden tratar para los distintos fines enu- merados más arriba: ID de la muestra, datos de telemetría del instrumento (temperatura, voltajes, presión, alertas y alarmas del sistema, resultados de la prueba, nombre, apellidos, ID de paciente (los datos pueden incluir categorías sensibles o especiales de datos personales)
Autoridad competente
Será la autoridad de control del Estado miembro de la UE en el que esté establecido el exportador, la Comisión de Información si el exportador está establecido en el Xxxxx Unido o el FDPIC si el exportador está establecido en Suiza. Cuando el exportador no esté establecido en un Estado miembro de la UE, en el Xxxxx Unido o en Suiza, pero esté sujeto a la Legislación en materia de protección de datos de la UE / del Reino Unido / de Suiza, será la autoridad de control de la jurisdicción en la que esté establecido el repre- sentante de Cepheid (tal como se requiere en la Legislación en materia de protección de datos de la UE / del Reino Unido / de Suiza). Cuando el nombramiento de un representante no sea necesario en virtud de la Legislación en materia de protección de datos de la UE / del Reino Unido / de Suiza, la autoridad de control será la CNIL en Francia si las personas cuyos datos se van a transferir residen en la UE o el Informa- tion Commissioner si las personas residen en el Xxxxx Unido, o el FDPIC si las personas residen en Suiza. Si los Datos personales proceden de Canadá, la autoridad de control será uno de los Comisionados que tenga jurisdicción sobre la cuestión tal como determine la Legislación aplicable en materia de protección de da- tos.
v. 230117
Apéndice 2:
Descripción de las medidas técnicas y organizativas aplicadas por Cepheid
El presente Apéndice 2 forma parte del APD y describe las medidas técnicas y organizativas que Cepheid ha aplicado de conformidad con el apartado 1 del Artículo 32 del RGPD y otra Legislación aplicable en materia de protección de datos.
1- In situ:
El personal de Cepheid podrá utilizar una memoria USB cifrada para extraer los datos necesarios de los instrumentos del Cliente con el fin de solucionar los problemas técnicos y el rendimiento de los instrumen- tos.
Para las visitas de determinación y optimización del rendimiento de los instrumentos el personal de Cepheid solo accede a los datos mínimos necesarios, que no contienen ningún dato de salud de los pacien- tes. Los datos se transfieren al portátil del personal, se tratan con el fin de generar informes para el cliente con recomendaciones y, posteriormente, se eliminan de conformidad con las políticas de trabajo estándar y de conservación de datos de Cepheid.
2- En remoto:
Función de acceso: Solo el personal de Asistencia técnica y de Asistencia de campo de Cepheid tiene acceso seguro a los instrumentos.
En el caso de la asistencia a distancia para la gestión de reclamaciones, los agentes de Cepheid pueden utilizar sesiones de uso compartido remoto de escritorio (Remote Desktop Sharing, RDS), pero tan solo una vez que la sesión haya sido autorizada por el cliente en cada caso.
Transmisión de datos: De conformidad con la política de Cepheid, los datos se transmiten mediante un método cifrado seguro a los servidores internos de Cepheid para que el personal realice las actividades de asistencia al cliente (se utilizan protocolos TLS 1.2+ para transacciones seguras).
3- Datos enviados por el Cliente:
Enviados por correo electrónico, a través de la plataforma web, o por fax: el Cliente envía los datos a través de un método seguro de cifrado al personal interno de Cepheid en la región. El Cliente, en calidad de Res- ponsable del tratamiento, tiene la responsabilidad de anonimizar los Datos personales y de subir única- mente los datos mínimos necesarios antes de enviarlos a Cepheid (el software de los instrumentos de Cepheid permite al Cliente ocultar los datos personales y de salud específicos en su informe del instru- mento antes de exportarlo).
4- Transferencias de datos dentro de las funciones de asistencia de Cepheid:
Si se requiere asistencia adicional fuera de la región de residencia del Cliente, solo se transmitirá la infor- mación necesaria, los Datos personales y de salud que no sean necesarios se eliminarán o anonimizarán cuando sea posible* y se enviarán a través de un método seguro de intercambio. Los datos en reposo se cifran y se destruyen de conformidad con la política de atención al cliente apropiada de Cepheid.
5- Política y práctica:
Cepheid garantiza la continua confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento. Para ello, tiene la capacidad de restablecer la disponibilidad y el acceso a los datos pertinentes de soporte de servicios y gestión de casos de reclamaciones en los sistemas de Cepheid de manera oportuna en caso de un incidente físico o técnico.
6- Procesos:
Cepheid cuenta con un proceso para probar, evaluar y examinar la efectividad de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.
* El procedimiento para anonimizar / despersonalizar es específico para cada instrumento.
v. 230117
Apéndice 3:
Disposiciones en materia de transferencias del Reino Unido, la UE y Suiza
1. Cuando se considere que las CCT de la UE se han celebrado e incorporado a este APD por referen- cia entre las Partes, las CCT de la UE se completarán de la siguiente manera:
(ii) En la cláusula 7, se aplicará la cláusula de incorporación opcional;
(iii) En la cláusula 9, se aplicará la opción 2, y el plazo de notificación previa de los cambios del Subencargado del tratamiento será el establecido en la cláusula 3.2 de este APD;
(iv) En la cláusula 11, el texto opcional no se aplicará;
(vii) Se considerará que el Anexo I de las CCT de la UE se ha completado:
(A) Parte A: con la información incluida en el Apéndice 1 del presente APD;
(C) Parte C: de conformidad con los criterios establecidos en el apartado
(a) de la cláusula 13 de las CCT de la UE;
(viii) Anexo II: con las medidas de seguridad mínimas; y
2. Cuando se considere que el Anexo del Reino Unido se ha celebrado e incorporado a este APD por referencia entre las Partes, el Anexo del Reino Unido se completará de la siguiente manera:
b. Las tablas 1 a 3 del Anexo del Reino Unido se considerarán completadas con la informa- ción relevante de las CCT de la UE, completadas tal como se estable más arriba, y se con- siderará que la opción «ninguna parte» se ha marcado en la Tabla 4. La fecha de inicio
v. 230117
del Anexo del Reino Unido (tal como se establece en la Tabla 1) será la Fecha de entrada en vigor.
a. Las CCT de la UE, completadas tal como se establece anteriormente en la cláusula 1 de este Apéndice 3, también se aplicarán a las transferencias de dichos Datos personales, sujeto a lo dispuesto en la subcláusula 3, apartado b, del presente Apéndice 3 que figura a continuación;
b. las Cláusulas contractuales tipo incorporadas por referencia protegerán los Datos personales de las personas jurídicas en Suiza hasta la entrada en vigor de la FADP revisada.
v. 230117
Apéndice 4:
4.1 Requisitos adicionales para la transferencia de Datos personales fuera del Espacio Económico Europeo
Los siguientes requisitos adicionales se aplicarán a todas las Transferencias restringidas:
1. El Cliente pondrá periódicamente a disposición de Cepheid información relativa a las solicitudes de acceso a los Datos personales por parte de autoridades públicas y la forma en que se respondió a las mismas (si lo permite la legislación).
2. El Cliente garantiza que no ha creado a propósito puertas traseras tecnológicas ni procesos inter- nos para facilitar el acceso directo a los Datos personales por parte de las autoridades públicas y que, en virtud de la legislación aplicable o la práctica, no está obligado a crear ni mantener puertas traseras;
3. El Cliente deberá preguntar a toda autoridad pública que realice una solicitud de acceso a Datos personales si está colaborando con otras autoridades estatales en relación con esa cuestión;
4. El Cliente deberá proporcionar una asistencia razonable a los interesados cuando ejerzan sus de- rechos con respecto a los Datos personales en la jurisdicción receptora;
5. El Cliente cooperará con Cepheid en caso de que una autoridad de control o tribunal relevante determine que una transferencia de Datos personales debe estar sujeta a garantías adicionales específicas;
6. El Cliente aplicará el cifrado u otras medidas técnicas que sean suficientes para proteger de forma razonable los Datos personales frente a la interceptación durante el tránsito, u otro acceso no autorizado, por parte de las autoridades públicas; y
7. El Cliente contará con políticas y procedimientos apropiados, como la formación, de modo que las solicitudes de acceso a los Datos personales por parte de las autoridades públicas se dirijan a la función adecuada y se gestionen de forma apropiada.
4.2 Requisitos adicionales para la transferencia de Datos personales fuera de la República de Sudáfrica
Los siguientes requisitos adicionales se aplicarán a las transferencias de Datos personales fuera de la Re- pública de Sudáfrica:
1. Las transferencias de Datos personales fuera de Sudáfrica deberán cumplir los siguientes paráme- tros:
(A) la Parte que sea la destinataria de la información estará sujeta a una ley, normas corporativas vinculantes o un acuerdo vinculante que proporcionen un nivel adecuado de protección que:
1. defienda de forma efectiva unos principios para el tratamiento razonable de la in- formación que sean sustancialmente similares a las condiciones para el trata- miento legítimo de la información personal relativa a un interesado que sea una persona física y, cuando proceda, una persona jurídica; y
2. cuente con disposiciones relativas a la transferencia posterior de información per- sonal del destinatario a terceros que se encuentren en un país extranjero;
(B) el interesado debe dar su consentimiento para la transferencia;
v. 230117
(C) la transferencia es necesaria para la ejecución de un contrato entre el interesado y la parte responsable, o para la aplicación de medidas precontractuales adoptadas en respuesta a la petición del interesado;
(D) la transferencia es necesaria para la conclusión o celebración de un contrato en interés del interesado entre la parte responsable y un tercero; o
(E) la transferencia se realiza para beneficio del interesado; y:
1. no es razonablemente posible obtener el consentimiento del interesado para di- cha transferencia; y
2. si fuera razonablemente posible obtener dicho consentimiento, el interesado pro- bablemente lo daría.
2. A los efectos de este apartado:
(A) Por «normas corporativas vinculantes» se entenderán las políticas de tratamiento de la infor- mación personal, en un grupo de empresas, que cumple una parte responsable u operador que pertenece a ese grupo de empresas cuando transfiere información personal a una parte responsable u operador que pertenece al mismo grupo de empresas en un país extranjero; y
(B) Por «grupo de empresas» se entenderá una empresa que ejerce el control y las empresas controladas por ella.
v. 230117