el cliente
Contrato sobre el tratamiento de datos personales en nombre de conformidad
con el artículo 28, apartado 3, del RGPD
entre
el cliente
- en lo sucesivo, el "Cliente" -.
y
Timly Software AG, Xxxxxxxxxxxxxx 0, 0000 Xxxxxx, Xxxxx
- en lo sucesivo denominado "Procesador" - denominados conjuntamente "las partes".
1. Objeto de la orden
1.1 Como parte de la ejecución del contrato de servicios, es necesario que el encargado del tratamiento trate datos personales respecto de los cuales el cliente actúa como responsable del tratamiento en el sentido del art. 4 n.º 7 del RGPD (en lo sucesivo, "datos del cliente"). El presente contrato contiene las disposiciones, en particular los derechos y obligaciones de las partes en virtud de la legislación sobre protección de datos, relativas al tratamiento por parte del encargado del tratamiento de los datos del cliente para la ejecución del contrato de servicios. El pedido incluye los servicios descritos en el contrato de servicios.
1.2 No obstante lo dispuesto en el apartado 3, el encargado del tratamiento tratará los datos personales exclusivamente en un Estado miembro de la Unión Europea o en un Estado signatario del Acuerdo sobre el Espacio Económico Europeo.
1.3 Si el encargado del tratamiento trata datos personales en un tercer país (es decir, fuera de la Unión Europea/un Estado signatario del Acuerdo sobre el Espacio Económico Europeo), se requiere el consentimiento previo por escrito del cliente y sólo tiene lugar si y en la medida en que se cumplan los requisitos especiales del art. 44 y siguientes del RGPD.
2. Información sobre el contenido de la orden
2.1 El procesador procesa los datos del cliente exclusivamente en nombre del cliente (§ 1 párrafo 1 de este contrato) y de acuerdo con las instrucciones documentadas del cliente en el sentido del Art. 28 párrafo 3 lit. a GDPR.
2.2 El encargado del tratamiento tratará los datos del cliente exclusivamente en la forma, medida y con los fines que resulten necesarios para la prestación de los servicios de conformidad con el contrato de servicios. Todo tratamiento que se desvíe o vaya más allá de este
El encargado del tratamiento tiene prohibido tratar los datos de los clientes y, en particular, utilizarlos para sus propios fines.
2.3 El encargado del tratamiento también procesa los siguientes datos sensibles, como datos de comunicación (por ejemplo, teléfono, correo electrónico), datos maestros del contrato (relación contractual, producto o interés contractual), historial del cliente, datos de facturación y pago del contrato, datos de planificación y control, datos de información (de terceros, por ejemplo, agencias de crédito, o de directorios públicos), así como apellidos, nombres y direcciones de correo electrónico, en la medida en que sean almacenados por el cliente.
2.4 Las categorías de interesados afectados por el tratamiento por parte del cliente incluyen clientes, partes interesadas, suscriptores, empleados, proveedores, representantes de ventas y personas de contacto.
3. Autorización del cliente para dar instrucciones, tratamiento sujeto a instrucciones
3.1 El Cliente emitirá todas las instrucciones y órdenes por escrito o en un formato electrónico documentado. Si el Cliente emite una instrucción verbalmente, deberá confirmarla inmediatamente por escrito o en un formato electrónico documentado. El Cliente tendrá un derecho general a dar instrucciones al Encargado del Tratamiento en relación con el tipo, el alcance y el método de tratamiento de datos utilizado.
3.2 Los datos sólo podrán tratarse de conformidad con las disposiciones del presente acuerdo y las instrucciones del cliente. Se prohíbe al encargado del tratamiento utilizar los datos para otros fines y, en particular, comunicarlos a terceros. No podrán realizarse copias o duplicados sin el conocimiento del Cliente. Quedan excluidas las copias de seguridad, en la medida en que sean necesarias para garantizar el correcto tratamiento de los datos, así como todos los datos necesarios para cumplir las obligaciones legales de conservación.
3.3 Todos los cambios en el objeto y el procedimiento del tratamiento se acordarán y documentarán conjuntamente. El encargado del tratamiento solo podrá revelar los datos personales tratados en virtud del presente Acuerdo a terceros o al interesado con el consentimiento previo por escrito del Cliente.
3.4 Si el encargado del tratamiento considera que una instrucción del cliente infringe las disposiciones legales sobre protección de datos, deberá informar de ello inmediatamente al cliente. El encargado del tratamiento podrá entonces suspender la ejecución de la instrucción en cuestión hasta que el representante del cliente la haya confirmado o modificado.
4. Derechos y obligaciones del cliente
4.1 El Cliente es el único responsable externo, en particular frente a terceros y a los interesados, de evaluar la licitud del tratamiento de los datos personales de conformidad con el art. 6, apdo. 1 del RGPD y de salvaguardar los derechos de los interesados de conformidad con el art. 12-22 del RGPD. No obstante, el encargado del tratamiento está obligado, en la medida en que lo permita la ley, a responder a todas las solicitudes de los i nteresados,
si van dirigidas de forma reconocible al cliente, al cliente. El encargado del tratamiento apoyará al cliente en una medida razonable a la hora de responder a las solicitudes de los interesados (por ejemplo, rectificación, supresión y bloqueo de datos).
4.2 El cliente es el propietario de los datos del cliente y, en la relación entre las partes, el propietario de todos los posibles derechos sobre los datos del cliente.
4.3 El cliente es responsable de facilitar al encargado del tratamiento los datos del cliente con la debida antelación para la prestación de los servicios de conformidad con el contrato de servicios. Además, el Cliente será responsable de la calidad y licitud de la recogida de los Datos del Cliente. El Cliente deberá informar al Encargado del tratamiento de forma inmediata y completa si descubre errores o irregularidades en relación con la normativa de protección de datos o sus instrucciones al comprobar los resultados de los pedidos del Encargado del tratamiento.
4.4 En el caso de que un tercero o un sujeto de datos haga valer un reclamo directamente contra el Procesador debido a violaciones de los derechos del sujeto de datos y/o reclamos relacionados, el Principal se compromete a indemnizar al Procesador por todos los daños, costos/tarifas, incluyendo honorarios legales, u otros gastos o pérdidas que surjan del reclamo, siempre y cuando y en la medida en que el Procesador haya informado al Principal de la afirmación del reclamo y esta violación no haya sido causada por un procesamiento contrario a las instrucciones del Principal y no se haya informado al Principal de la violación, derivada de la reclamación, si y en la medida en que el Procesador haya informado al Mandante de la afirmación de la reclamación y esta infracción no haya sido causada por un procesamiento contrario a las instrucciones del Mandante y haya dado al Mandante la oportunidad de cooperar con el Procesador en la defensa de la reclamación.
5. Obligaciones del encargado del tratamiento
5.1 El encargado del tratamiento está obligado a tratar los datos personales exclusivamente en el marco de los acuerdos celebrados y de conformidad con las instrucciones del cliente. Esto no se aplica si el encargado del tratamiento está obligado por la legislación de la Unión o de los Estados miembros a los que está sujeto a realizar otro tipo de tratamiento (por ejemplo, investigaciones de las autoridades estatales, autoridades policiales). En este caso, el encargado del tratamiento notificará al cliente estos requisitos legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha notificación debido a un interés público importante (cf. Art. 28 apartado 3 frase 2 lit. a GDPR).
5.2 El Procesador no utilizará los datos personales facilitados por el Cliente para su procesamiento con otros fines, en particular no para sus propios fines. El Procesador no podrá realizar ninguna copia o duplicado de los datos del Cliente sin el consentimiento previo por escrito del Cliente, a menos y durante el tiempo que sean necesarios para garantizar el correcto procesamiento de los datos, para prestar adecuadamente los servicios de conformidad con el acuerdo de servicio (incluida la copia de seguridad de los datos) o para cumplir con las obligaciones legales de conservación.
5.3 El encargado del tratamiento no podrá ceder los datos del cliente a terceros u otros destinatarios sin el consentimiento previo por escrito del cliente.
Esto no se aplica a la transferencia de datos a subencargados del tratamiento cuya puesta en servicio haya sido aprobada por el cliente.
5.4 El Encargado del Tratamiento sólo facilitará a terceros o a las autoridades información sobre los datos personales de esta relación contractual, en la medida en que esté legalmente permitido, siguiendo instrucciones previas por escrito o documentadas electrónicamente o con el consentimiento del Cliente.
5.5 Si el Cliente está obligado a proporcionar información sobre los Datos de Cliente o su procesamiento a una agencia gubernamental, a un sujeto de datos o a otra persona, el Procesador estará obligado a ayudar al Cliente a proporcionar dicha información a la primera solicitud, en particular proporcionando inmediatamente toda la información y los documentos sobre el procesamiento contractual de los Datos de Cliente, incluidas las medidas técnicas y organizativas adoptadas por el Procesador, sobre el proceso técnico de uso de los Datos de Cliente, los lugares donde se utilizan los Datos de Cliente y sobre los empleados implicados en el procesamiento.
5.6 El procesador se compromete a cooperar en la medida necesaria en el cumplimiento de los derechos de los interesados de conformidad con el Art. 12-22 GDPR, en la preparación de los registros de las actividades de procesamiento, en cualquier evaluación de impacto de protección de datos necesaria del cliente, así como en el cumplimiento de las obligaciones del cliente con respecto a la seguridad del procesamiento y, en la medida de lo posible, proporcionar al cliente el apoyo adecuado (cf. Art. 28 párrafo 3 frase 2 lit. e, f GDPR).
5.7 El encargado del tratamiento está obligado a rectificar, suprimir o limitar el tratamiento de los datos personales de esta relación contractual si el cliente lo solicita mediante una instrucción escrita o documentada electrónicamente y los intereses legítimos del encargado del tratamiento, en particular el cumplimiento de las disposiciones legales, no se oponen a ello.
5.8 El cliente y el encargado del tratamiento acordarán un cambio en el objeto de tratamiento o un cambio en el proceso. El cambio se registrará por escrito o en un formato electrónico documentado.
5.9 Tras la finalización de los trabajos acordados contractualmente o antes a petición del comitente - a más tardar con la rescisión del contrato de servicios - el contratista entregará al comitente, a su elección, todos los documentos, resultados de procesamiento y utilización y datos relativos a la relación contractual que hayan llegado a su poder o, con el consentimiento previo del comitente, los destruirá de conformidad con la normativa de protección de datos. Lo mismo se aplica al material de prueba y de desecho. El registro de eliminación deberá presentarse a petición del Cliente. La documentación que sirva como prueba del correcto tratamiento de los datos de conformidad con el pedido deberá ser conservada por el Contratista una vez finalizado el contrato de conformidad con los respectivos periodos de conservación. El Contratista podrá entregarlos al Cliente al finalizar el contrato para su descargo.
6. Medidas técnicas y organizativas
6.1 El encargado del tratamiento está obligado a adoptar y mantener durante la vigencia del contrato las medidas técnicas y organizativas necesarias para garantizar un nivel de protección adecuado al riesgo para los derechos y libertades de las personas físicas afectadas por el tratamiento para el tratamiento de pedidos específicos. Para minimizar cualquier riesgo durante la vigencia del contrato, se tienen en cuenta los objetivos de protección del artículo 32, apartado 1 del RGPD, como la confidencialidad, la integridad y la disponibilidad de los sistemas y servicios, así como su capacidad de recuperación en relación con el tipo, el alcance, las circunstancias y la finalidad del tratamiento.
6.2 El concepto de protección de datos del procesador (medidas técnicas y organizativas (XXX)) de Timly Software AG describe en detalle la selección de medidas apropiadas para el riesgo identificado, teniendo en cuenta los objetivos de protección de acuerdo con el estado de la técnica y con especial consideración de los sistemas de TI y los procedimientos de procesamiento utilizados por el procesador. El Cliente confirma que las medidas técnicas y organizativas ofrecen un nivel adecuado de protección de los Datos del Cliente, teniendo en cuenta los riesgos del tratamiento de los Datos del Cliente.
6.3 Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo ulterior. A este respecto, se permite al encargado del tratamiento aplicar medidas alternativas adecuadas. Al hacerlo, no debe menoscabarse el nivel de seguridad de las medidas definidas. Los cambios significativos deben documentarse.
7. Rectificación, supresión y bloqueo de datos
7.1 El encargado del tratamiento sólo podrá rectificar, suprimir o bloquear los datos tratados por cuenta del cliente de acuerdo con las instrucciones de éste.
7.2 Si un interesado se pone en contacto directamente con el encargado del tratamiento para rectificar o suprimir sus datos personales, el encargado remitirá esta solicitud al Cliente.
8. Controles y otras obligaciones del encargado del tratamiento
El transformador cumplirá los siguientes requisitos:
a) Cuando así lo exija la ley, el encargado del tratamiento designará por escrito a un responsable de la protección de datos, que llevará a cabo sus actividades de conformidad con las disposiciones legales. El encargado del tratamiento no está obligado a proporcionar un responsable de la protección de datos. El Sr. Xxxxx Xxxxxxx (xxxxx.xxxxxxx@xxxxx.xxx, Cofundador Xxxxx.xxx) ha sido designado como persona de contacto en el encargado del tratamiento. Si la persona de contacto cambia o se designa a un responsable de la protección de datos, el Cliente deberá ser informado inmediatamente.
b) El Encargado del Tratamiento y cualquier persona subordinada al Encargado del Tratamiento que tenga acceso a datos personales del Mandante sólo podrán tratar dichos datos de conformidad con las instrucciones del Mandante con arreglo a la Cláusula 9 del presente Acuerdo, incluidas las autorizaciones concedidas en el presente Acuerdo, a menos que estén obligados a hacerlo por la legislación de la Unión Europea o de los Estados miembros a los que esté sujeto el Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento notificará al Responsable del Tratamiento estos requisitos legales, a menos que la ley en cuestión prohíba dicha notificación debido a un interés público importante.
c) Al realizar el trabajo, el encargado del tratamiento sólo empleará a personas que estén obligadas a mantener la confidencialidad y que se hayan familiarizado previamente con las disposiciones de protección de datos que les afecten.
d) Los clientes y los encargados del tratamiento cooperarán con la autoridad de control en el cumplimiento de sus funciones si así se les solicita.
e) El encargado del tratamiento informará inmediatamente al responsable del tratamiento de las inspecciones y medidas adoptadas por la autoridad de control en la medida en que estén relacionadas con esta orden. Esto también se aplicará si una autoridad competente investiga al encargado del tratamiento en el contexto de una infracción administrativa o de un procedimiento penal en relación con el tratamiento de datos personales durante el tratamiento encargado.
f) El encargado del tratamiento apoyará al responsable del tratamiento en caso de que éste sea objeto de una inspección por parte de la autoridad de control, de un procedimiento por infracción o penal, de una reclamación de responsabilidad por parte de un interesado o de un tercero o de cualquier otra reclamación relacionada con el tratamiento encargado en el encargado del tratamiento.
g) El encargado del tratamiento supervisará periódicamente sus procesos internos y las medidas técnicas y organizativas para garantizar que el tratamiento en su ámbito de responsabilidad cumple los requisitos de la legislación aplicable en materia de protección de datos y que se protegen los derechos del interesado.
h) El encargado del tratamiento facilitará al Cliente pruebas de las medidas técnicas y organizativas adoptadas en el ámbito de sus facultades de supervisión de conformidad con la sección 7 del presente Acuerdo.
9. Relaciones de subcontratación
9.1 Las relaciones de subcontratación en el sentido del presente Reglamento son los servicios que están directamente relacionados con la prestación del servicio principal. No se incluyen los servicios auxiliares que utilice el encargado del tratamiento, por ejemplo, en forma de servicios de telecomunicaciones, servicios postales o de transporte o la cesión de soportes de datos. No obstante, el encargado del tratamiento está obligado a garantizar la protección y seguridad de los datos del cliente.
adoptar acuerdos contractuales y medidas de control adecuados y conformes a la legislación, incluso para los servicios auxiliares subcontratados.
9.2 El procesador está autorizado a utilizar los subprocesadores enumerados en el Anexo 3 para procesar datos personales con el fin de ejecutar el pedido. El encargo a otros u otros subencargados del tratamiento de los datos personales del Cliente sólo se autorizará previa notificación por escrito al Cliente de la identidad del subencargado del tratamiento y del objeto del contrato de subtratamiento, a menos que el Cliente se oponga a este cambio en un plazo razonable de al menos 10 días laborables. En caso contrario, se aplicará lo siguiente:
a) La transferencia de datos personales del cliente al subencargado del tratamiento y las actividades iniciales del subencargado sólo se permitirán una vez que se hayan cumplido todos los requisitos para la subcontratación.
b) Si el subencargado del tratamiento presta el servicio acordado fuera de la UE/EEE con el consentimiento del cliente de conformidad con el apartado 2.1, el encargado del tratamiento se asegurará de que el servicio sea admisible en virtud de la legislación sobre protección de datos de conformidad con la normativa sobre protección de datos aplicable a la ejecución del pedido.
c) El subencargado del tratamiento estará sujeto a las mismas obligaciones de protección de datos establecidas en el presente contrato mediante un contrato, en particular proporcionando garantías suficientes de que se aplican las medidas técnicas y organizativas apropiadas de forma que el tratamiento se lleve a cabo de conformidad con los requisitos legales.
10. Derechos de control del cliente
10.1 El Cliente tendrá derecho, previa consulta con el Encargado del tratamiento, a realizar inspecciones o a encargar su realización a auditores que se designarán en casos concretos y que estarán sujetos al secreto profesional. Tendrá derecho a cerciorarse del cumplimiento del presente Acuerdo por parte del Encargado del tratamiento en sus operaciones comerciales mediante controles aleatorios, que deberán notificarse con la debida antelación.
10.2 El encargado del tratamiento velará por que el cliente pueda cerciorarse de que el encargado del tratamiento cumple sus obligaciones legales y contractuales. El Encargado del Tratamiento se compromete a facilitar al Cliente la información necesaria previa solicitud y, en particular, a proporcionar pruebas de la aplicación de las medidas técnicas y organizativas.
10.3 La prueba de tales medidas, que no sólo se refieren al pedido concreto, puede consistir en certificados vigentes, informes o extractos de informes de organismos independientes (por ejemplo, auditores, auditoría interna, responsable de protección de datos, departamento de seguridad informática, auditores de protección de datos, auditores de calidad), certificaciones adecuadas (auditoría de seguridad informática o de protección de datos, por ejemplo, según BSI basic protection) u otras medidas previstas por la ley.
11. Apoyo al cliente, notificación de incumplimientos por parte del encargado del tratamiento
El encargado del tratamiento apoyará al cliente en el cumplimiento de sus obligaciones legales en materia de protección y seguridad de los datos personales y lo documentará de forma adecuada. Esto incluye
a) garantizar un nivel adecuado de protección a través de medidas técnicas y organizativas que tengan en cuenta las circunstancias y los fines del tratamiento, así como la probabilidad y gravedad previstas de una posible vulneración de los derechos a través de brechas de seguridad y permitan la detección inmediata de los casos de vulneración pertinentes,
b) la obligación de documentar las violaciones de los datos personales e informar de ellas al cliente sin demora. El encargado del tratamiento debe tomar las medidas adecuadas de acuerdo con el cliente para asegurar los datos y minimizar cualquier efecto potencialmente adverso sobre los interesados,
c) la obligación de apoyar al cliente adoptando las medidas adecuadas, en la medida en que el cliente deba notificar la violación de los datos personales a la autoridad de control competente o al interesado,
d) la obligación de apoyar al cliente en el contexto de su deber de informar al interesado y de facilitarle toda la información pertinente inmediatamente después de que la solicite.
12. Disposiciones varias y finales
12.1 La duración de este contrato coincide con la del contrato de servicios. En consecuencia, se aplicarán las disposiciones relativas a la rescisión ordinaria del contrato de servicios. La rescisión del contrato de servicios conllevará automáticamente la rescisión del presente contrato. Queda excluida la anulación aislada de este contrato.
12.2 Si una disposición actual o futura del acuerdo fuera o llegara a ser inválida o inaplicable en su totalidad o en parte, o si existiera una laguna en el presente acuerdo, ello no afectará a la validez de las restantes disposiciones. En lugar de la disposición inválida o inaplicable, se considerará acordada la disposición válida que más se aproxime al sentido y finalidad económicos de la disposición inválida o inaplicable. En caso xx xxxxxx, se considerará acordada la disposición que corresponda a lo que se habría acordado de acuerdo con el sentido económico y la finalidad de este acuerdo si las partes hubieran considerado la laguna desde el principio.
12.3 Las Partes se comprometen a modificar y/o completar el presente Acuerdo a petición de cualquiera de ellas si ello fuera necesario debido a una modificación de la legislación en materia de protección de datos aplicable a las Partes o porque la Comisión Europea y/o las autoridades de control responsables de las Partes hayan emitido declaraciones o publicaciones de carácter general (por ejemplo, proporcionando
cláusulas contractuales tipo de conformidad con el art. 28 (7), (8) GDPR) o en forma de declaraciones o instrucciones en casos individuales de que el presente acuerdo en su forma existente no cumple los requisitos de las leyes de protección de datos aplicables.