CONTRATO DE TRATAMIENTO DE DATOS PARA SERVICIOS DE SOPORTE Y PROFESIONALES DE SAP
CONTRATO DE TRATAMIENTO DE DATOS PARA SERVICIOS DE SOPORTE Y PROFESIONALES DE SAP
1. DEFINICIONES
1.1. "Usuarios Autorizados" es cualquier persona a la que el Cliente concede autorización de acceso de conformidad con una licencia de software de SAP para utilizar el Servicio SAP; es decir, un empleado, agente, contratista o representante de
a) el Cliente;
b) las Filiales del Cliente; o
c) los Partner Empresariales del Cliente y de las Filiales del Cliente (tal como se define en el Contrato de Licencia de Software y Soporte).
1.2. "Responsable del Tratamiento de Datos" es la persona física o jurídica, autoridad pública, agencia u otro organismo que, de manera independiente o mediante colaboración con otros, determina la finalidad y los medios del tratamiento de los Datos Personales; en el contexto de este DPA, cuando el Cliente actúe como Encargado del Tratamiento de Datos para otro Responsable del Tratamiento de Datos, por lo que respecta a SAP, se considerará un Responsable del Tratamiento de Datos adicional e independiente con los derechos y obligaciones correspondientes a un Responsable del Tratamiento de Datos de conformidad con este DPA.
1.3. "Ley de Protección de Datos" es la legislación aplicable que protege los derechos y libertades fundamentales de las personas y su derecho a la privacidad con relación al tratamiento de los Datos Personales en virtud del Contrato.
1.4. "Interesado" es una persona física identificada o identificable, según se define en la Ley de Protección de Datos.
1.5. "My Trust Center" es la información que está disponible en el portal de soporte de SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o el sitio web de contratos de SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o cualquier sitio web que SAP ponga a disposición del Cliente.
1.6. "Transferencia Relevante para las Nuevas Cláusulas Contractuales Tipo" es una transferencia (o una transferencia posterior) de Datos Personales a un Tercer País que está sujeta al RGPD o a la Ley de Protección de Datos aplicable y en la que se puede cumplir cualquier medio de adecuación requerido en virtud del RGPD o la Ley de Protección de Datos aplicable mediante la formalización de las Nuevas Cláusulas Contractuales Tipo.
1.7. "Nuevas Cláusulas Contractuales Tipo" son las cláusulas contractuales tipo no modificadas publicadas por la Comisión Europea, referencia 2021/914, o cualquier versión final posterior de dichas cláusulas que sea de aplicación automática. Para evitar dudas, se aplicarán los Módulos 2 y 3 según lo establecido en la Sección 8.
1.8. "Datos Personales" es cualquier información relacionada con un Interesado que está protegida por la Legislación de Protección de Datos. Para los fines del DPA, incluye solamente los datos personales que se proporcionan a SAP o a los que SAP o sus Subencargados del Tratamiento de Datos acceden para prestar los Servicios de Soporte o Profesionales de SAP en virtud de este Contrato.
1.9. "Incumplimiento de los Datos Personales" se refiere a:
a) la destrucción, pérdida o alteración accidental o ilícita, una divulgación no autorizada o un acceso no autorizado por parte de terceros a Datos Personales; o
b) incidentes similares que impliquen Datos Personales,
en cualquiera de los casos, debe estar confirmado y el Responsable del Tratamiento de Datos debe, en virtud de la Legislación de Protección de Datos, notificarlo a las autoridades de protección de datos competentes o a los Interesados.
1.10. "Servicios Profesionales" son servicios de implementación, servicios de consultoría y/o servicios como los Servicios de Soporte SAP Premium Engagement, Servicios de Soporte para el Desarrollo de Soluciones Empresariales Innovadoras, y Servicios de Desarrollo de Soluciones Empresariales Innovadoras
1.11. "Encargado del Tratamiento de Datos" es una persona física o jurídica, una autoridad pública, agencia u otro organismo que trate Datos Personales en nombre del Responsable del Tratamiento de Datos, ya sea directamente como Encargado del Tratamiento de Datos de un Responsable del Tratamiento de Datos o indirectamente como Subencargado del Tratamiento de Datos de un Encargado del Tratamiento de Datos que trata Datos Personales en nombre del Responsable del Tratamiento de Datos.
1.12. "Anexo" es el Apéndice numerado con respecto a las Cláusulas Contractuales Tipo (2010) y el Anexo numerado con respecto a las Nuevas Cláusulas Contractuales Tipo.
1.13. "Cláusulas Contractuales Tipo (2010)" se refiere a las Cláusulas Contractuales Tipo (encargados del tratamiento de datos) publicadas por la Comisión Europea, referencia 2010/87/UE.
1.14. "Subencargado(s) del Tratamiento de Datos" o "subencargado(s)" son las Filiales de SAP, SAP SE, las Filiales de SAP SE y los terceros contratados por SAP, SAP SE o las Filiales de SAP SE en relación con el Servicio de SAP y que tratan los Datos Personales de conformidad con este DPA.
1.15. "Medidas Técnicas y Organizativas" son las medidas técnicas y organizativas para el Soporte o Servicio Profesional de SAP pertinente publicadas en My Trust Center.
1.16. "Tercer País" es cualquier país, organización o territorio que la Unión Europea no reconoce como un país seguro con un nivel adecuado de protección de datos en virtud del Artículo 45 del RGPD.
2. ANTECEDENTES
2.1. Finalidad y Aplicación
Este documento ("DPA") se integra en el Contrato y pasa a formar parte de un contrato escrito (incluido en formato electrónico) entre SAP y el Cliente. Este DPA se aplica a los Datos Personales proporcionados por el Cliente y cada uno de los Responsables del Tratamiento de Datos en relación con la prestación de los servicios de SAP, tal como se estipula en el Contrato correspondiente ("Servicio(s) de SAP") al que se adjunta el presente DPA, que puede incluir:
a) Soporte de SAP, de conformidad con lo definido en el Contrato de Licencia de Software y Soporte; o
b) Servicios Profesionales, tal como se describe en el contrato de servicios formalizado entre SAP y el Cliente ("Contrato de Servicios").
2.2. Estructura
Los Anexos 1 y 2 están incluidos y forman parte integrante de este DPA. Estipulan el objeto acordado, la naturaleza y la finalidad del tratamiento, el tipo de Datos Personales, las categorías de datos, Interesados y las medidas técnicas y organizativas aplicables.
2.3. Control
2.3.1. De conformidad con el DPA, SAP ejerce de Encargado del Tratamiento y el Cliente y aquellas entidades a las que se les permite el uso del Soporte o los Servicios Profesionales de SAP ejercen de Responsables del Tratamiento.
2.3.2. El Cliente actúa como único punto de contacto y deberá obtener cualquier autorización, consentimiento y permiso pertinente para el tratamiento de los Datos Personales de conformidad con este DPA, incluido, cuando corresponda, la aprobación por parte de los Responsables del Tratamiento de Datos de usar SAP como un Encargado del Tratamiento de Datos. Cuando el Cliente proporcione autorizaciones, consentimientos, instrucciones o permisos, deberá proporcionarlos no solamente en nombre propio, sino también en nombre de cualquier otro Responsable del Tratamiento de Datos. Si SAP informa o notifica al Cliente, dicha información o notificación se considera recibida por aquellos Responsables del Tratamiento a los que el Cliente ha autorizado incluir los Datos Personales. El Cliente deberá reenviar dicha información y notificación a los Responsables del Tratamiento de Datos pertinentes.
3. SEGURIDAD DEL TRATAMIENTO
3.1. Aplicación de las Medidas Técnicas y Organizativas
3.1.1. SAP ha implementado y aplicará las Medidas Técnicas y Organizativas. El Cliente ha revisado dichas medidas y acepta que son adecuadas en base al estado de la técnica más avanzada, los costes de implementación, la naturaleza, el alcance, el contexto y las finalidades del tratamiento de los Datos Personales.
3.1.2. El Anexo 2 se aplica exclusivamente en la medida en que estos Servicios de SAP se prestan en o desde instalaciones de SAP. En caso de que SAP preste los Servicios de SAP en las instalaciones del cliente y a SAP se le proporcione acceso a los sistemas y datos del Cliente, deberá cumplir con las condiciones razonables de carácter administrativo, técnico y físico del Cliente para proteger esos datos y evitar el acceso no autorizado a los mismos. En relación con cualquier acceso al sistema y los datos del Cliente, este será responsable de suministrar al personal de SAP las autorizaciones de usuario y las contraseñas necesarias para acceder a sus sistemas, y revocar dichas autorizaciones y finalizar dicho acceso cuando el Cliente lo considere necesario. El Cliente no concederá a SAP acceso a los sistemas del Licenciatario o la información personal (del Cliente o de un tercero) a menos que dicho acceso sea esencial para la prestar los Servicios de SAP. El Cliente no deberá almacenar Datos Personales en entornos que no sean de producción.
3.2. Cambios
3.2.1. SAP aplica las Medidas Técnicas y Organizativas en toda la base de clientes de SAP que recibe el mismo Servicio SAP. SAP podrá cambiar dichas medidas en cualquier momento sin previo aviso siempre y cuando mantenga un nivel de seguridad comparable o superior. Las medidas individuales se podrán reemplazar por nuevas medidas que tengan la misma finalidad sin que disminuyan el nivel de seguridad que protege los Datos Personales.
3.2.2. SAP publicará versiones actualizadas de las Medidas Técnicas y Organizativas en My Trust Center y, si está disponible, el Cliente podrá suscribirse para recibir una notificación por correo electrónico de las versiones actualizadas.
4. OBLIGACIONES DE SAP
4.1. Instrucciones del Cliente
4.1.1. SAP tratará los Datos Personales únicamente de conformidad con las instrucciones documentadas del Cliente. El Contrato (incluido este DPA) constituye estas instrucciones iniciales documentadas y el Cliente podrá proporcionar instrucciones adicionales durante la prestación del Servicio de SAP.
4.1.2. SAP empleará los esfuerzos razonables en seguir cualquier otra instrucción del Cliente, siempre que la Ley de Protección de Datos la exija, sea técnicamente viable y no requiera realizar ninguna modificación en la prestación del Servicio SAP. Si se aplicase cualquiera de las excepciones anteriormente mencionadas, o si SAP no puede cumplir una instrucción o considera que una instrucción incumple la Ley de Protección de Datos, SAP se lo notificará inmediatamente al Cliente (se permite correo electrónico).
4.2. Tratamiento de Requisitos Legales
SAP también tratará Datos Personales cuando así lo exija la legislación aplicable. En este caso, SAP informará al Cliente sobre ese requisito legal antes del tratamiento salvo que la ley en cuestión prohíba dar esa información por motivos importantes de interés general.
4.3. Personal
Para tratar los Datos Personales, SAP y los Subencargados del Tratamiento de Datos solamente concederán acceso al personal autorizado que se haya comprometido a mantener la confidencialidad. SAP y sus Subencargados del Tratamiento de Datos formarán periódicamente al personal que tenga acceso a los Datos Personales sobre las medidas de seguridad y privacidad de datos aplicables.
4.4. Cooperación
4.4.1. A petición del Cliente, SAP cooperará de forma razonable con el Cliente y los Responsables del Tratamiento de Datos para gestionar las solicitudes de Interesados o de autoridades supervisoras con respecto al tratamiento de Datos Personales por parte de SAP, o en caso de Incumplimiento de los Datos Personales. Si SAP recibe una consulta de un Interesado, en virtud del presente DPA, en relación con el tratamiento de Datos Personales, SAP notificará sin demora al Cliente (siempre que el Interesado haya proporcionado información para identificar al Cliente) por correo electrónico y no responderá a dicha consulta, sino que solicitará al Interesado que redirija su consulta al Cliente.
4.4.2. En caso de disputa con un Interesado en relación con el tratamiento de Datos Personales por parte de SAP en virtud de este DPA, las Partes se mantendrán informadas y, cuando corresponda, cooperarán razonablemente con el objetivo de resolver la disputa de manera amistosa con el Interesado. SAP modificará, eliminará o anonimizará cualquier Dato Personal que tenga en su poder (de haberlo), o restringirá su tratamiento, de conformidad con las instrucciones del Cliente y la Ley de Protección de Datos.
4.5. Notificación de Incumplimiento de Datos Personales
SAP notificará al Cliente de inmediato en cuanto tenga conocimiento de cualquier Incumplimiento de Datos Personales y le proporcionará toda la información razonable de la que disponga para ayudar al Cliente a cumplir con sus obligaciones de informar sobre una Incumplimiento de Datos Personales tal como exige la Ley de Protección de Datos. SAP podrá proporcionar esta información por fases, a medida que vaya disponiendo de ella. Dicha notificación no se interpretará ni considerará como una admisión de un error o responsabilidad por parte de SAP.
4.6. Evaluación del Impacto en la Protección de Datos
Si, de conformidad con la Ley de Protección de Datos, el Cliente (o sus Responsables del Tratamiento de Datos) se ve obligado a realizar una evaluación de impacto de la protección de datos o una consulta previa con un regulador, previa petición del Cliente, SAP proporcionará dichos documentos, según estén disponibles de manera general para el Servicio de SAP (por ejemplo, este DPA, el Contrato, Informes de Auditoría o Certificaciones). Cualquier ayuda adicional se acordará entre las Partes.
5. EXPORTACIÓN Y ELIMINACIÓN DE DATOS
Por via del presente, el Cliente indica a SAP que debe eliminar los Datos Personales que queden en SAP (de haberlos), en un plazo de tiempo razonable, de conformidad con la Ley de Protección de Datos (que no supere los seis meses), cuando los Datos Personales ya no sean necesarios para la ejecución del Contrato, salvo que la ley aplicable exija su conservación.
6. CERTIFICACIONES Y AUDITORÍAS
El Cliente, o su auditor externo independiente razonablemente aceptable por parte de SAP (que no debe ser ningún auditor externo que sea competencia de SAP, que no esté correctamente cualificado o que no sea independiente), podrá auditar los centros de servicios y soporte de SAP, así como las prácticas de seguridad de las IT, relevantes para los Datos Personales tratados por SAP únicamente si:
a) SAP no ha proporcionado pruebas suficientes de su cumplimiento con las Medidas Técnicas y Organizativas, mediante una certificación del cumplimiento de la norma ISO 27001 o de otras normas (su alcance está definido en el certificado). Las certificaciones están disponibles en My Trust Center o a petición del Cliente en caso de que el certificado no esté disponible en línea; o
b) se ha producido una Incumplimiento de Datos Personales; o bien
c) la autoridad responsable de la protección de datos del Cliente solicita formalmente una auditoría; o
d) la Ley de Protección de Datos aplicable confiere al Cliente el derecho directo a realizar auditoría, teniendo en cuenta que el Cliente solamente puede auditar una vez cada doce (12) meses, salvo que la Ley de Protección de Datos aplicable exija auditorías más frecuentes.
6.2. Auditoría por parte de otro Responsable del Tratamiento de Datos
Cualquier otro Responsable del Tratamiento de Datos puede auditar el entorno de control y las prácticas de seguridad de SAP en lo relativo a los Datos Personales tratados por SAP de conformidad con la Sección 6.1, y en la medida que esta lo permita, únicamente si se aplica directamente a cualquier otro Responsable del Tratamiento de Datos. El Cliente debe llevar a cabo esta auditoría a menos que, según la Ley de Protección de Datos, el otro Responsable del Tratamiento de Datos deba ser quien lleve a cabo la auditoría. Si varios Responsables del Tratamiento de Datos cuyos Datos Personales están siendo tratados por SAP sobre la base del Contrato exigen una auditoría, el Cliente pondrá su máximo empeño para combinar las auditorías y evitar realizar varias.
6.3. Alcance de la Auditoría
En caso de auditoría, el Cliente enviará una notificación con al menos sesenta (60) días de antelación salvo que la Ley de Protección de Datos aplicablea o una autoridad de protección de datos competente exija un plazo inferior. Las Partes acordarán, actuando de manera razonable y de buena fe, la frecuencia, el plazo de tiempo y el alcance de cualquier auditoría. Las auditorías del Cliente se limitarán a auditorías en remoto siempre que sea posible. En caso de que sea imprescindibleo realizar una auditoría en las instalaciones, deberá realizarse como máximo durante un (1) día laborable. Más allá de estas limitaciones, las partes utilizarán las certificaciones actuales u otros informes de auditoría para evitar o minimizar las auditorías repetitivas. El Cliente deberá proporcionar a SAP los resultados de cualquier auditoría.
6.4. Coste de las Auditorías
El Cliente asumirá los costes de cualquier auditoría salvo que dicha auditoría revele un incumplimiento material de este DPA por parte de SAP, en cuyo caso SAP asumirá los propios gastos de la auditoría. Si una auditoría determina que SAP ha incumplido sus obligaciones en virtud del DPA, SAP deberá solventar dicho incumplimiento de inmediato asumiendo todos los costes.
7. SUBENCARGADOS DEL TRATAMIENTO DE DATOS
7.1. Uso permitido
De manera general SAP tiene autorización para subcontratar el tratamiento de Datos Personales a Subencargados del Tratamiento de Datos, siempre que:
a) SAP o SAP SE en su nombre formalicen con los Subencargados del Tratamiento de Datos un contrato escrito (incluido en formato electrónico) que sea coherente con los términos de este DPA, en relación con el tratamiento de los Datos Personales por parte del Subencargado del Tratamiento de Datos. SAP será responsable de cualquier infracción que cometa el Subencargado del Tratamiento de Datos de acuerdo con las condiciones de este Contrato;
b) SAP evaluará las prácticas en materia de seguridad, privacidad y confidencialidad de un Subencargado del Tratamiento de Datos antes de seleccionarlo para determinar que es capaz de proporcionar el nivel de protección de los Datos Personales que exige este DPA;
c) Para Soporte de SAP, SAP publique en My Trust Center, en la fecha de entrada en vigor del Contrato, la lista de Subencargados del Tratamiento de Datos, o SAP la ponga a disposición del Cliente previa solicitud, incluido el nombre, la dirección y el papel de cada Subencargado del Tratamiento de Datos que SAP utiliza para prestar el Servicio de SAP;
d) Para Servicios Profesionales, SAP, a petición del Cliente, pondrá la lista a su disposición o identificará a dichos Subencargados del Tratamiento de Datos antes de iniciar los Servicios SAP aplicables.
7.2. Nuevos Subencargados del Tratamiento de Datos
7.2.1. El uso de Subencargados del Tratamiento de Datos por parte de SAP es a su decisión exclusiva, siempre y cuando:
a) SAP informe al Cliente por adelantado de cualquier intención de adición o sustitución en la lista de Subencargados del Tratamiento de Datos, incluido el nombre, la dirección y el papel del nuevo Subencargado del Tratamiento de Datos (i) para Soporte de SAP, publicándolo en Mi Cent ro de
Confianza, o mediante correo electrónico, siempre que el Cliente se haya registrado en Mi Centro de Confianza y (ii) para Servicios Profesionales, mediante una publicación similar en el Mi Centro de Confianza, o mediante correo electrónico o a través de cualquier otro medio por escrito;
b) El Cliente pueda oponerse a dichos cambios, de conformidad con lo especificado en la Sección 7.2.2.
7.2.2. Objeciones a los Nuevos Subencargados del Tratamiento de Datos
7.2.2.1. Soporte de SAP
Si el Cliente tiene un motivo legítimo, conforme a la Ley de Protección de Datos, para objetar el tratamiento de Datos Personales por parte del nuevo Subencargado del Tratamiento de Datos, el Cliente podrá terminar el contrato de Soporte de SAP mediante un aviso por escrito a SAP en un plazo máximo de 30 días desde la fecha en que SAP informa al Cliente del nuevo Subencargado del Tratamiento de Datos. En caso de que el Cliente no proporcione dicho aviso de rescisión dentro de este plazo de 30 días, se entenderá que el Cliente acepta al nuevo Subencargado del Tratamiento de Datos. Dentro del plazo de 30 días a partir de la fecha en que SAP informe al Cliente acerca del nuevo Subencargado del Tratamiento de Datos, el Cliente podrá solicitar a las partes que debatan de buena fe una resolución a la objeción. Estas reuniones no deberían extenderse más allá del plazo especificado para el envío de un aviso de rescisión y no afectan al derecho de SAP a utilizar el nuevo Subencargado del Tratamiento de Datos una vez transcurrido dicho período de 30 días.
7.2.2.2. Servicios profesionales
Si el Cliente tiene un motivo legítimo en virtud de la Legislación de Protección de Datos que está relacionado con el tratamiento de Datos Personales por parte de los Subencargados del Tratamiento de Datos, el Cliente podrá objetar el uso por parte de SAP de un Subencargado del Tratamiento de Datos, notificándoselo por escrito dentro de los 5 días laborables posteriores a la información proporcionada por SAP. Si el Cliente se opone al uso del Subencargado del Tratamiento de Datos, las partes debatirán de buena fe una solución. SAP podrá elegir ente: (i) no usar el Subencargado del Tratamiento de Datos o (ii) adoptar las medidas correctoras solicitadas por el Cliente en su objeción y usar el Subencargado del Tratamiento de Datos o (iiii) si esto no es posible, usar el Subencargado del Tratamiento de Datos. En caso de que ninguna de estas opciones sea razonablemente posible y persista la objeción del Cliente por un motivo legítimo, cualquiera de las partes podrá terminar los servicios correspondientes enviando una notificación escrita en un plazo de 5 días. Si el Cliente no se opone dentro de los 5 días posteriores a la recepción de la notificación, se considerará que ha aceptado el Subencargado del Tratamiento de Datos. Si la objeción del Cliente sigue sin resolverse 30 días después de que se haya planteado, y SAP no ha recibido ninguna notificación de rescisión, se considerará que el Cliente ha aceptado el Subencargado del Tratamiento de Datos.
7.2.3. Cualquier rescisión conforme a esta Sección se considerará sin culpa por cualquiera de las partes y estará sujeta a las condiciones del Contrato.
7.3. Sustitución de Urgencia
8. TRATAMIENTO INTERNACIONAL
8.1. Condiciones para el Tratamiento Internacional
SAP tendrá derecho a tratar los Datos Personales, incluso mediante el uso de Subencargados del Tratamiento de Datos, de conformidad con este DPA fuera del país en el que esté ubicado el Cliente tal como permite la Legislación de Protección de Datos.
8.2. Aplicabilidad de las Cláusulas Contractuales Tipo (2010)
Responsable del Tratamiento de Datos con sede en Suiza o el Xxxxx Unido u otro Responsab le del Tratamiento de Datos se tratan en un Tercer País y dicho tratamiento internacional requiere un medio de adecuación en virtud de las leyes del país del Responsable del Tratamiento de Datos y los medios de adecuación necesarios pueden cumplirse mediante la suscripción de Cláusulas Contractuales Tipo (2010):
a) SAP y el Cliente suscribirán las Cláusulas Contractuales Tipo (2010);
c) otros Responsables del Tratamiento de Datos autorizados por Contrato por el Cliente a incluir Datos Personales pueden formalizar Cláusulas Contractuales Tipo (2010) con SAP y/o los Subencargados del Tratamiento de Datos relevantes de la misma manera que el Cliente, de conformidad con las anteriores Secciones 8.2.1 a) y b). En este caso, el Cliente suscribirá las Cláusulas Contractuales Tipo (2010) en nombre de los otros Responsables del Tratamiento de Datos.
8.2.2. Las Cláusulas Contractuales Tipo (2010) se regirán por la xxx xxx xxxx en el que esté establecido el Responsable del Tratamiento de Datos.
8.3. Aplicabilidad de las Nuevas Cláusulas Contractuales Tipo
8.3.1. Lo siguiente se aplicará con efecto a partir del 27 de septiembre de 2021 y se aplicará únicamente a las Transferencias Relevantes para las Nuevas Cláusulas Contractuales Tipo:
8.3.1.1. En aquellos casos en los que SAP no esté ubicado en un Tercer País y actúe como exportador de datos, SAP (o SAP SE en su nombre) formalizará las Nuevas Cláusulas Contractuales Tipo con cada Subencargado del Tratamiento de Datos como importador de datos. El Módulo 3 (de Encargado a Encargado) de las Nuevas Cláusulas Contractuales Tipo se aplicará a dichas Transferencias Relevantes para las Nuevas Cláusulas Contractuales Tipo.
8.3.1.2. Cuando SAP esté ubicado en un Tercer país:
Por el presente, SAP y el Cliente se adhierena las Nuevas Cláusulas Contractuales Tipo con el Cliente como exportador de datos y SAP como importador de datos, que se aplicarán de la siguiente manera:
a) El Módulo 2 (de Responsable a Encargado) se aplicará cuando el Cliente sea un Responsable del Tratamiento de Datos; y
b) El Módulo 3 (de Encargado a Encargado) se aplicará cuando el Cliente sea un Encargado del Tratamiento de Datos; y Si el Cliente actúa como Encargado del Tratamiento de Datos en virtud del Módulo 3 (de Encargado a Encargado del Tratamiento de Datos) de las Nuevas Cláusulas Contractuales Tipo, SAP reconoce que el Cliente actúa como Encargado del Tratamiento de Datos según las instrucciones de sus Responsables del Tratamiento de Datos.
8.3.2. Otros Responsables o Encargados del Tratamiento de Datos cuyo uso del Soporte o los Servicios Profesionales de SAP haya sido autorizado por el Cliente de acuerdo con el Contrato también pueden formalizar las Nuevas Cláusulas Contractuales Tipo con SAP de la misma manera que el Cliente, de conformidad con la anterior Sección 8.3.1.2 8.3.1.2. En este caso, el Cliente suscribe las Nuevas Cláusulas Contractuales Tipo en nombre de los otros Responsables o Encargados del Tratamiento de Datos.
8.3.3. Con respecto a una Transferencia Relevante para las Nuevas Claúsulas Contractuales Tipo, a petición de un Interesadoal Cliente, el Cliente puede hacer una copia del Módulo 2 o 3 de las Nuevas Cláusulas Contractuales Tipo formalizadas entre el Cliente y SAP (incluidos los Anexos relevantes), a disposición de los Interesados.
8.3.4. La legislación aplicable de las Nuevas Cláusulas Contractuales Tipo será la xxx xx Xxxxxxxx.
8.4. Relación de las Cláusulas Contractuales Tipo con el Contrato
Ninguna de las disposiciones de este Contrato deberá interpretarse como que prevalece sobre cualquier cláusula que entre en conflicto las Cláusulas Contractuales Tipo (2010) o las Nuevas Cláusulas Contractuales Tipo. Para evitar cualquier tipo de duda, cuando este DPA especifique reglas de auditoría y de Subencargado del Tratamiento de Datos, dichas especificaciones también se aplicarán en relación con las Cláusulas Contractuales Tipo (2010) y las Nuevas Cláusulas Contractuales Tipo.
8.5. Derecho xx Xxxxxxx Beneficiario en virtud de las Nuevas Cláusulas Contractuales Tipo
8.5.1. Cuando el Cliente esté ubicado en un Tercer País y actúe como importador de datos en virtud del Módulo 2 o el Módulo 3 de las Nuevas Cláusulas Contractuales Tipo y SAP actúe como subencargado del Cliente en virtud del Módulo correspondiente, el exportador de datos correspondiente tendrá el siguiente derecho xx xxxxxxx beneficiario:
8.5.2. En caso de que el Cliente haya desaparecido, haya dejado de existir por ley o se haya vuelto insolvente (en todos los casos sin una entidad sucesora que haya asumido las obligaciones legales del Cliente por contrato o por ley), el exportador de datos correspondiente tendrá derecho a rescindir el Servicio afectado únicamente en la medida en que se procesen los Datos Personales del exportador de datos. En ese caso, el exportador de datos correspondiente también indicará a SAP que borre o devuelva los Datos Personales.
9. DOCUMENTACIÓN; REGISTROS DEL TRATAMIENTO
Cada una de las partes es responsable del cumplimiento de los requisitos de documentación, en concreto la conservación de registros de tratamiento siempre que lo exija la Legislación de Protección de Datos. Cada una de las partes ayudará de forma razonable a la otra en sus requisitos de documentación, incluido proporcionar a la otra parte la información que necesite de ella cuando se lo solicite de forma razonable la otra parte (como, por ejemplo, utilizando un sistema electrónico) para permitir que la otra parte cumpla con cualquiera de sus obligaciones relacionadas con la conservación de registros del tratamiento.
Anexo 1 Descripción del tratamiento
En este Anexo 1 se describe el Tratamiento de Datos Personales a los efectos de las Cláusulas Contractuales Tipo (2010), las Nuevas Cláusulas Contractuales Tipo y la Ley de Protección de Datos aplicable.
1. A. LISTA DE PARTES
1.1. En virtud de las Cláusulas Contractuales Tipo (2010)
1.1.1. Exportador de Datos
El exportador de datos es el Cliente que ha formalizado un Contrato de Licencia y Soporte de Software y/o un Contrato de Servicios con SAP en virtud del cual se beneficia de los Servicios de SAP tal como se describe en el Contrato pertinente. El exportador de datos permite que otros Responsables del Tratamiento de Datos también usen el Servicio de SAP, y estos otros Responsables del Tratamiento de Datos también son exportadores de datos.
1.1.2. Importador de Datos
SAP y sus Subencargados del Tratamiento de Datos prestan el Servicio de SAP tal como se define en el Contrato pertinente formalizado por el exportador de datos que incluye las Cláusulas Contractuales Tipo (2010) siguientes:
1.2. En virtud de las Nuevas Cláusulas Contractuales Tipo
1.2.1. Módulo 2: Transferencia de Responsable a Encargado del Tratamiento de Datos
Cuando SAP se encuentra en un Tercer País, el Cliente es el Responsable del Tratamiento de Datos y SAP es el Encargado del Tratamiento de Datos, de modo que el Cliente es el exportador de datos y SAP es el importador de datos.
1.2.2. Módulo 3: Transferencia de Encargado a Encargado del Tratamiento de Datos
Cuando SAP se encuentra en un Tercer País, el Cliente es un Encargado del Tratamiento de Datos y SAP es un Encargado del Tratamiento de Datos, de modo que el Cliente es el exportador de datos y SAP es el importador de datos.
2. B. DESCRIPCIÓN DE TRANSFERENCIA
2.1. Interesados
Salvo que el exportador de datos lo estipule de otra forma, los Datos Personales transferidos están relacionados con las categorías de Interesados siguientes: empleados, contratistas, Socios Empresariales u otras personas que tienen Datos Personales almacenados, transmitidos, puestos a disposición, accedidos o tratados de otra forma por el importador de datos.
2.2. Categorías de Datos
Los Datos Personales transferidos afectan a las categorías de datos siguientes:
El Cliente determina las categorías de datos y/o los campos de datos que el Servicio de SAP transferirá según se estipula en el Contrato pertinente. Los Datos Personales transferidos normalmente están relacionados con las categorías de datos siguientes: nombre, números de teléfono, correo electrónico, dirección, datos de la dirección, acceso del sistema/uso/datos de autorización, nombre de la empresa, datos del contrato, datos de la factura, más cualquier dato específico de la aplicación transferido por los Usuarios Autorizados y puede incluir datos financieros como datos de la cuenta bancaria y datos de la tarjeta de crédito o débito.
2.3. Categorías de Datos Especiales (si acordado)
2.3.1. Los Datos Personales transferidos pueden incluir categorías especiales de datos personales estipuladas en el Contrato ("Datos Sensibles"). SAP ha adoptado las Medidas Técnicas y Organizativas como se establece en el Anexo 2 para garantizar un nivel de seguridad adecuado para proteger también los Datos Sensibles.
2.3.2. La transferencia de Datos Sensibles puede desencadenar la aplicación de las siguientes restricciones o protecciones adicionales si es necesario para tener en cuenta la naturaleza de los datos y el riesgo de que varíe la probabilidad y gravedad de los derechos y libertades de las personas físicas (si corresponde):
a) la formación del personal;
b) el cifrado de los datos en tránsito y en reposo;
c) el registro del acceso al sistema y el registro del acceso a datos generales.
2.4. Finalidades de la transferencia de datos y el tratamiento posterior; naturaleza del tratamiento
2.4.1. Los Datos Personales transferidos están sujetos a las actividades de tratamiento básicas tal como se establece en el Contrato, que pueden incluir:
a) uso de Datos Personales para prestar el Servicio de SAP;
b) almacenamiento de Datos Personales;
c) tratamiento informático de los Datos Personales para la transmisión de los datos;
d) mejora continua de las características y funcionalidades del servicio proporcionadas como parte del Soporte y el Servicio Profesional de SAP, incluida la automatización, el procesamiento de transacciones y el aprendizaje automático; y
e) ejecución de instrucciones del Cliente de conformidad con el Contrato.
2.4.2. En virtud del Contrato de Licencia y Soporte de Software: SAP o sus Subencargados del Tratamiento de Datos proporcionan soporte cuando un Cliente envía un ticket de soporte porque el no está disponible o no está funcionando como se esperaba. Atienden las llamadas telefónicas, ofrecen soluciones de problemas básicos y gestionan los tickets de soporte en un sistema de seguimiento.
2.4.3. En virtud del Contrato de Servicios para Servicios Profesionales aplicable: SAP o sus Subencargados del Tratamiento de Datos prestan Servicios en virtud del Formulario de Pedido y el Documento de Alcance aplicable.
2.5. Descripción adicional con respecto a las Nuevas Cláusulas Contractuales Tipo Módulos aplicables de las Nuevas Cláusulas Contractuales Tipo
a) Módulo 2: Transferencia de Responsable a Encargado del Tratamiento de Datos
b) Módulo 3: Transferencia de Encargado a Encargado del Tratamiento de Datos
2.6. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua): Las transferencias se efectuarán de forma continua.
2.7. El período para el que se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período:
Los Datos Personales se conservarán durante el plazo del Contrato y de conformidad con la Sección 5 del DPA.
2.8. Para las transferencias a los (sub)encargados del tratamiento de datos, especifique también el objeto, la naturaleza y la duración del tratamiento:
Con respecto a las Nuevas Cláusulas Contractuales Tipo, las transferencias a los Subencargados del Tratamiento de Datos se realizarán sobre la misma base que la especificada en el DPA.
3. C. AUTORIDAD DE CONTROL COMPETENTE
3.1. Con respecto a las Nuevas Cláusulas Contractuales Tipo:
3.1.1. Módulo 2: Transferencia de Responsable a Encargado del Tratamiento de Datos
3.1.2. Módulo 3: Transferencia de Encargado a Encargado del Tratamiento de Datos
3.2. Si el Cliente es el exportador de datos, la autoridad de control será la autoridad de control competente que tenga control sobre el Cliente de conformidad con la Cláusula 13 de las Nuevas Cláusulas Contractuales Tipo.
Apéndice 2. Medidas Técnicas y Xxxxxxxxxxxxx
Xx xxxx Xxxxx 0 se describen las medidas técnicas y organizativas aplicables a los efectos de las Cláusulas Contractuales Tipo (2010), las Nuevas Cláusulas Contractuales Tipo y la Ley de Protección de Datos aplicable.
SAP aplicará y mantendrá las Medidas Técnicas y Organizativas.