Anexo 1 – Acuerdo sobre protección de datos según el artículo 28 RGPD
Anexo 1 – Acuerdo sobre protección de datos según el artículo 28 RGPD
entre XXXXXXXXXXXXXXXXXXXXX- responsable- en lo sucesivo denominado cliente
y Fairmas GmbH, EUREF-Campus 13, 10829 Berlín - encargado – en lo sucesivo denominado contratista
1. Objeto y duración del encargo
(1) Objeto
El objeto y la duración del encargo resulta del contrato citado anteriormente (en lo sucesivo denominado acuerdo de prestaciones).
(2) Duración
La duración de este CONTRATO (plazo) se corresponde con el plazo de cada uno de los acuerdos de prestaciones, pero en todo caso durante el tiempo en el que el contratista procese datos de carácter personal del cliente (incluyendo copias de seguridad).
(3) En caso de que como consecuencia de otros acuerdos entre el cliente y el contratista se haya acordado algo distinto por lo que se refiere a la protección de datos de carácter personal, este CONTRATO deberá ser prioritario en el procesamiento de datos encargado, a no ser que las partes acuerden explícitamente algo distinto.
2. Concretización del contenido contractual
(1) Tipo y objetivo del procesamiento de datos estipulado
El tipo y objetivo del procesamiento de datos de carácter personal por parte del contratista para el cliente están concretamente descritos en los acuerdos de prestaciones nombrados en el punto 1.
(2) Tipo de datos
El objeto del procesamiento de los datos de carácter personal consistirá en los siguientes tipos/categorías de datos (enumeración/descripción de las categorías de datos)
• Datos personales (tratamiento, nombre, apellidos)
• Datos de comunicación (teléfono, correo electrónico)
• Datos contractuales (relación contractual, interés del producto o contractual)
• Historial del cliente
• Facturación contractual y datos de pago
• Datos de planificación y fiscales
• Datos financieros de la empresa
• Informaciones de sueldos y salarios
(3) Categorías de personas interesadas
Las categorías de las personas interesadas en el procesamiento incluyen:
• Clientes
• Empleados
• Personas de contacto
3. Medidas técnico-organizativas
(1) Dentro de su campo de responsabilidad, el contratista utilizará todas las medidas técnico-organizativas necesarias según el artículo 32 RGPD sobre la protección de datos de carácter personal y transmitirá al cliente la documentación para su comprobación. En caso de aceptación por parte del cliente, las medidas documentadas constituirán la base de este CONTRATO.
(2) Si la evaluación /auditoría del cliente necesita una adaptación, ésta deberá llevarse a cabo consensualmente.
(3) Las medidas técnicas y organizativas acordadas están sujetas al avance técnico y al desarrollo posterior. Está permitido que el contratista implemente en un futuro medidas alternativas adecuadas. Para ello. el nivel de seguridad acordado en el anexo 1 no podrá ser inferior al de las medidas determinadas. Las modificaciones esenciales que tengan que ser documentadas por parte del contratista deberán ser inmediatamente comunicadas al cliente.
(4) Trabajo móvil
Trabajo en casa y teletrabajo: El procesamiento de datos, que dependan de este CONTRATO, estará permitido fuera de la(s) oficina(s) del contratista y en viviendas privadas.
El contratista se compromete a adoptar medidas para garantizar la confidencialidad de los datos, así como la seguridad y la posibilidad de control del tratamiento en la misma medida, mediante normas y medidas de seguridad adecuadas, que si el servicio se prestara desde la sede del Contratista. En caso de cualquier desviación, se requiere obtener un consentimiento por escrito separado del Cliente.
4. Derechos de las personas interesadas
(1) El contratista apoyará al cliente en su campo de responsabilidad y siempre que sea posible, a través de medidas técnico-organizativas adecuadas, en la contestación y ejecución de solicitudes de personas interesadas por lo que respecta a la protección de sus datos de carácter personal. No podrá, arbitrariamente proveer información, transferir, rectificar, cancelar o limitar el procesamiento de datos que hayan sido procesados por encargo, sino únicamente de acuerdo con las instrucciones documentadas del cliente. Si una persona interesada se dirige directamente al contratista en un caso como este, el contratista transmitirá inmediatamente esta solicitud al cliente.
(2) Siempre que el volumen de la prestación lo comprenda, los derechos a información, rectificación, limitación del procesamiento y cancelación, así como la portabilidad de datos, deberán ser garantizados inmediatamente por parte del contratista según instrucciones documentadas del cliente.
5. Control de calidad y otras obligaciones del contratista
(1) El contratista tiene, además del cumplimiento de las disposiciones de este contrato, obligaciones legales según el RGPD; en este sentido, garantizará el cumplimiento de los siguientes requisitos:
a) Nombramiento por escrito de un responsable de protección de datos que desempeñe sus funciones de conformidad con los artículos 38 y 39 del RGPD. Los datos de contacto del responsable de protección de datos se comunicarán al Cliente con el fin de poder establecer comunicación directa si así lo solicita previamente. Los respectivos datos de contacto actuales son fácilmente accesibles en la página de inicio del contratista (xxxxx://xxxxxxx.xxx/xx/xxxxxxx-xxxxxx/?xxxxxxxxxxxxx-XX).
Las preguntas y consultas relativas a la protección de datos también pueden enviarse directamente a la siguiente dirección de correo electrónico: xxxxxxxxxxx@xxxxxxx.xxx
b) La salvaguardia de la confidencialidad según el artículo 28, párrafo 3, frase 2, letra b y los artículos 29 y 32, párrafo 4 RGPD. El contratista encargará para la ejecución del trabajo únicamente a empleados que estén obligados a la confidencialidad y a los que previamente se les hayan expuesto las disposiciones relativas a la protección de datos que sean relevantes para ellos. El contratista y cualquier persona subordinada a él que tenga un derecho justificado al acceso a los datos de carácter personal, podrán procesar estos datos exclusivamente según las instrucciones del cliente, incluyendo las autorizaciones concedidas en este CONTRATO, a no ser que estén obligados legalmente al procesamiento.
c) Si así es solicitado, el contratista y el cliente colaborarán con las autoridades supervisoras en el cumplimiento de sus funciones.
d) Información inmediata del cliente sobre acciones de control y medidas de las autoridades supervisoras, siempre que se refieran a este CONTRATO. Esto también será válido si las autoridades pertinentes investigan al contratista durante la gestión del contrato, en el marco de un procedimiento administrativo de infracciones o penal por lo que respecta al procesamiento de datos de carácter personal.
e) Si el cliente está sujeto a un control por parte de las autoridades de supervisión, a un procedimiento administrativo de infracciones o penal, al reclamo de la responsabilidad de una persona interesada o de un tercero, a otro derecho o a la solicitud de información en relación con la gestión del encargo por parte del contratista, el contratista deberá prestarle ayuda en la mejor forma posible.
f) El contratista controlará regularmente los procesos internos, así como las medidas técnicas y organizativas, para garantizar que el procesamiento de datos en su área de responsabilidad esté conforme con los requisitos del derecho vigente de la protección de datos y para asegurar la protección de los derechos de la persona interesada.
g) Verificabilidad de las medidas técnicas y organizativas tomadas con respecto al cliente en el marco de sus facultades de control según la cifra 8 de este CONTRATO.
h) El contratista comunicará inmediatamente las violaciones de la protección de datos de carácter personal al cliente de tal forma que el cliente pueda cumplir sus obligaciones legales, especialmente según los artículos 33 y 34 RGPD. Durante todo el proceso elaborará la documentación pertinente que pondrá a disposición del cliente para otras medidas.
i) El contratista apoyará al cliente en su área de responsabilidad y siempre que sea posible en el marco de las obligaciones de información existentes frente a las autoridades supervisoras y personas interesadas y pondrá inmediatamente a su disposición todas las informaciones relevantes a este respecto.
j) Si el cliente está obligado a la ejecución de una evaluación de impacto de la protección de datos, el contratista le apoyará teniendo en cuenta el tipo de procesamiento y de las informaciones que estén a su disposición. Lo mismo será válido para una posible obligación de consulta por parte de las autoridades supervisoras de la protección de datos.
(2) Este CONTRATO no libera al contratista del cumplimiento de otras obligaciones del RGPD.
6. Relaciones de subcontrato
(1) Se entenderán como relaciones de subcontrato en el sentido de esta normativa aquellos servicios que estén relacionados directamente con el cumplimiento de la prestación principal. No pertenecen a ellas las prestaciones accesorias que el contratista utilice, por ejemplo, las prestaciones de telecomunicación, las prestaciones de envío postal y de transporte, las prestaciones de limpieza o de vigilancia. Las prestaciones de mantenimiento y de comprobación se considerarán relaciones de subcontrato si son utilizadas para sistemas informáticos que sean utilizados en relación con una prestación del contratista según este CONTRATO. El contratista estará sin embargo obligado a garantizar también la protección de datos y la seguridad de los datos del cliente en caso de prestaciones accesorias subcontratadas y a tomar acuerdos legales adecuados a conformes a la ley, así como a llevar a cabo medidas de control.
(2) Para ello, el cliente otorga por la presente, de acuerdo con el artículo 28, párrafo 2, frase 2 RGPD, la autorización general al contratista para contratar a otros contratistas (subcontratistas) por lo que se refiere al procesamiento de datos del cliente (subcontratista).
La vista general actual de otros contratistas será publicada por el contratista en la siguiente página web y podrá ser consultada en cualquier momento en su versión actualizada
xxxxx://xxxxxxx.xxx/xx/xxxx-xxxxxxxxxx-xxxxxxxx/
Adicionalmente, la lista de los otros contratistas (subcontratistas) podrá ser solicitada a través del cliente por correo electrónico en cualquier momento en xxxxxxxxxxx@xxxxxxx.xxx.
Opcionalmente el cliente podrá ser informado activamente por parte del contratista sobre las modificaciones de la lista de otros contratistas (subcontratistas). Para ello, será necesaria la aportación de una dirección de correo electrónico genérica:
La obligación de información citada anteriormente desaparece si no se ha proporcionado ninguna dirección de correo electrónico o si la dirección de correo electrónico es inaccesible.
El acuerdo contractual individual tomado con los otros contratistas (subcontratistas) podrá ser presentado al cliente si este lo solicita, pero aquí quedarán excluidas las cláusulas comerciales que estén relacionadas con la protección de datos.
(3) La transmisión de datos de carácter personal del cliente a los subcontratistas y a su primera actividad será permitida únicamente tras el cumplimiento de todos los requisitos para la concesión de un subcontrato. El cumplimiento y la ejecución de las medidas técnicas-organizativas por parte de los subcontratistas serán controlados teniendo en cuenta el riesgo para el subcontratista antes del procesamiento de los datos de carácter personal y controlados regularmente por el contratista. El contratista pondrá a disposición del cliente los resultados del control si este los requiere. El contratista garantizará que el cliente pueda ejercitar siempre sus derechos de este acuerdo (especialmente sus derechos de control) también directamente con respecto a los subcontratistas.
(4) En caso de que un subcontratista preste los servicios acordados desde fuera de la UE/EEE, el proveedor tomará las medidas adecuadas para garantizar que dicha prestación de servicios sea admisible en virtud de la legislación sobre protección de datos. Lo mismo se aplicará si se utilizan proveedores de servicios en el sentido del apartado 1, frase 2
(5) Cualquier subcontratación por parte de un Subcontratista requerirá el consentimiento expreso del contratista. (al menos en forma de texto).
Todas las disposiciones contractuales en la cadena contractual serán también impuestas a otros subcontratistas.
7. Transmisión internacional de datos
(1) Cada transmisión de datos de carácter personal a un tercer país o a una organización internacional necesitará de las instrucciones documentadas del cliente y será necesario el cumplimiento de las reglas relativas a la transmisión de datos de carácter personal a terceros países según el capítulo V del RGPD.
La ejecución del procesamiento de datos acordada contractualmente tendrá únicamente lugar en un país miembro de la Comunidad Europea o en otro país miembro del Acuerdo del Espacio Económico Europeo.
(2) Si el cliente ordena una transmisión de datos a terceros en un tercer país, será responsable del cumplimiento del capítulo 5 del RGPD.
8. Derechos de control del cliente
(1) El cliente tendrá derecho a realizar controles en su relación con el contratista o, en casos concretos, a ordenar que los lleve a cabo un auditor que será designado para ello. Tiene derecho a cerciorarse del cumplimiento de este acuerdo por parte del contratista en sus locales a través de inspecciones aleatorias que, por lo general, deberán anunciarse con el debido tiempo.
(2) El contratista hará lo posible para que el cliente pueda cerciorarse del cumplimiento de las obligaciones del contratista según el artículo 28 RGPD. El contratista estará obligado a facilitar al cliente, a solicitud de él, la información necesaria y especialmente, a demostrar la ejecución de las medidas técnicas y organizativas.
(3) La prueba de las medidas técnicas-organizativas para el cumplimiento de las necesidades especiales de la protección de datos en general, así como, de aquellas relacionadas con el encargo podrá tener lugar a través de:
• el cumplimiento de reglas de comportamiento autorizadas según el artículo 40 RGPD;
• la certificación según un proceso de certificación autorizado de acuerdo con el artículo 42 RGPD;
• certificados actuales, informes o extractos de informes de instancias independientes (p.ej. auditores, revisión, encargados de la protección de datos, departamento de seguridad informática, auditores de la protección de datos, auditores de calidad);
• un certificado apropiado elaborado por una auditoría de seguridad informática o de protección de datos (p.ej. según protección básica BSI).
9. Poder directivo del cliente
(1) El contratista procesará los datos de carácter personal únicamente en base a las instrucciones documentadas por parte del cliente, a no ser que, según el derecho del país miembro o el Derecho de la Unión Europea, esté obligado a un procesamiento de datos. El cliente confirmará inmediatamente (por lo menos, en forma escrita) las instrucciones orales. Las instrucciones iniciales del cliente serán determinadas en este acuerdo.
(2) El contratista deberá informar inmediatamente al cliente si cree que una instrucción viola las reglas relativas a la protección de datos. El cliente estará autorizado a interrumpir la ejecución de la instrucción pertinente hasta que el cliente la confirme o la modifique.
10. Cancelación y devolución de datos de carácter personal
(1) Las copias y duplicados de los datos no serán expedidos sin el conocimiento del cliente. Quedarán excluidas las copias de seguridad siempre que sean necesarias para garantizar un procesamiento adecuado de datos, así como los datos que sean necesarios para el cumplimiento de los deberes legales de custodia.
(2) Tras la finalización de los trabajos acordados contractualmente o anteriormente, mediante solicitud del cliente
– a más tardar con la finalización del CONTRATO o del acuerdo de prestaciones-, el contratista deberá en- tregar al cliente, o destruir adecuadamente a la protección de datos, y con autorización propia, toda la docu- mentación que esté en su poder y los resultados del procesamiento y uso, así como las bases de datos que estén relacionadas con la relación contractual. Lo mismo será válido para el material de ensayo y de desecho. Si así se solicita, deberá presentarse el protocolo de la cancelación.
(3) El Encargado conservará después de finalizado el contrato documentaciones destinadas a demostrar el trata- miento debido y según lo convenido de los datos en cumplimiento de los plazos de conservación respectivos, pudiendo entregarlas para su descargo al fin del contrato al Responsable.
Anexo 1 al Acuerdo de Protección de Datos – Medidas técnicas y organizativas
1. Confidencialidad (art. 32.1 lit. b del RGPD)
(1) Control de acceso I:
Prevención del acceso no autorizado a equipos de tratamiento de datos, por ejemplo: tarjetas magnéticas o inteligentes, llaves, porteros automáticos, servicio de seguridad o portero, sistemas de alarma, sistemas de videovigilancia;
(2) Control de acceso II:
Prevención del uso no autorizado de sistemas, por ejemplo: contraseñas (seguras), mecanismos de bloqueo automáticos, autenticación xx xxxxx factor, cifrado de soportes de datos;
(3) Control de acceso III:
Prevención de la lectura, reproducción, modificación o eliminación de datos no autorizada dentro del sistema, por ejemplo: sistemas de autorización y derechos de acceso acordes a las necesidades, registro de accesos;
(4) Control de separación:
Tratamiento separado de datos recogidos para fines distintos, por ejemplo: función multicliente, aislamiento de procesos (sandboxing);
(5) Seudonimización (art. 32.1 lit. a del RGPD; art. 25.1 del RGPD)
El tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas correspondientes.
2. Integridad (art. 32.1 lit. b del RGPD)
(1) Control de cesión:
Prevención de la lectura, reproducción, modificación o eliminación de datos no autorizada durante la transmisión electrónica o el transporte, por ejemplo: cifrado, redes privadas virtuales (RPV), firma electrónica;
(2) Control de entrada:
Comprobar si se han introducido, modificado o eliminado datos personales en sistemas de tratamiento de datos y por quién, por ejemplo: registro, gestión documental.
3. Disponibilidad y resiliencia (art. 32.1 lit. b del RGPD)
(1) Control de la disponibilidad:
Protección contra la destrucción o pérdida accidental o intencionada, por ejemplo: estrategia de back-up (online/offline, on-site/off-site), sistema de alimentación ininterrumpida (UPS), antivirus, cortafuegos, vías de información y planes de emergencia;
(2) Restauración rápida (art. 32.1 lit. c del RGPD).
4. Procesos de verificación, evaluación y valoración regulares (art. 32.1 lit. d del RGPD; art. 25.1 del RGPD)
(1) Gestión de protección de datos;
(2) Gestión de respuestas ante incidencias;
(3) Protección de datos por defecto (art. 25.2 del RGPD);
(4) Control por cuenta
Prevención del tratamiento de datos por cuenta a efectos del art. 28 del RGPD sin una instrucción correspondiente del responsable, por ejemplo: redacción inequívoca de contratos, gestión formalizada de encargos, selección rigurosa del prestador de servicios, convencimiento previo obligatorio, controles posteriores.
Anexo 2 – Subcontratista
Según el punto 6 (1) del acuerdo sobre el encargo del procesamiento de datos, el contratista, a petición, pondrá a disposición, en la dirección de correo electrónico allí proporcionada, una lista actualizada de los subcontratistas. Así pues, la siguiente lista es únicamente válida en el momento de la firma y será sustituida por la versión actual.
Según el punto 6 del contrato de ejecución del encargo entre el cliente y el contratista, , son subcontratistas a
01.02.2024:
Subcontratista | Dirección/País | Prestación |
Host Europe GmbH | Hansestr. 111 51149 Colonia Alemania | Puesta a disposición, venta y mantenimiento de hardware informático (servidor) y cables de datos |
Xxxxxxx Online GmbH | Xxxxxxxxxxxxxxx 00 00000 Xxxxxxxxxxxx Xxxxxxxx | Puesta a disposición, venta y mantenimiento de hardware informático (servidor) y cables de datos |
Microsoft Corporation | One Microsoft Way Xxxxxxx, Washington 98052 EEUU | Puesta a disposición, venta y mantenimiento de hardware informático (servidor) y cables de datos, incluyendo puesta a disposición de aplicaciones de software para el procesamiento y presentación de datos , así como prestaciones de apoyo y asesoramiento |
Responsable en Europa: Microsoft Xxxxxx Operations Ltd. | Attn: Data Protection One Microsoft Xxxxx Xxxxx Xxxxxx Xxxxxxxx Xxxx, Xxxxxxxxxxxx Xxxxxx 00, X00 X000 Xxxxxxx | |
Sendinblue GmbH („Brevo“) | Köpenicker Str. 126 10179 Berlín Alemania | Transmisión de mensajes de sistema e informes a usuarios de software y destinatarios registrados por correo electrónico o SMS. |
IONOS SE | Xxxxxxxxxxx Xxxxxx 00 00000 Xxxxxxxxx Xxxxxxxx | Recepción, almacenamiento y transmisión de datos empresariales, así como la transmisión de mensajes de sistema e informes a usuarios de software y destinatarios registrados por correo electrónico o SMS. |