Apéndice 2 - Acuerdo para el tratamiento de datos de conformidad
Apéndice 2 - Acuerdo para el tratamiento de datos de conformidad
con el Art. 28 (3) GDPR
entre
El cliente
- en lo sucesivo "Cliente" -.
y
Timly Software AG, Xxxxxxxxxx 00, 0000 Xxxxxx, Xxxxx
- en lo sucesivo denominado "Proveedor" -. conjuntamente denominadas también las "Partes".
1. Objeto de la orden
1.1. Dentro del ámbito del Contrato de Servicio, es necesario que el Proveedor maneje datos personales para los que el Cliente actúa como controlador en el sentido del Art. 4 Nº 7 GDPR (en lo sucesivo, "Datos del Cliente"). Este contrato contiene las disposiciones, en particular los derechos y obligaciones de las partes en virtud de la ley de protección de datos, en relación con el tratamiento de los Datos del Cliente por parte del Proveedor para la ejecución del Contrato de Servicio. El pedido incluye los servicios descritos en el contrato de servicios.
1.2. El Proveedor tratará los Datos Personales exclusivamente en un Estado miembro de la Unión Europea o en un Estado parte del Acuerdo sobre el Espacio Económico Europeo, sin perjuicio de lo dispuesto en el apartado 3.
1.3. Si el Proveedor procesa Datos Personales en un tercer país (es decir, fuera de la Unión Europea/un estado parte del Acuerdo sobre el Espacio Económico Europeo), requerirá el consentimiento previo por escrito del Cliente y solo lo hará si y en la medida en que se cumplan los requisitos específicos del Art. 44 y siguientes del RGPD.
2. Información sobre el contenido de la orden
2.1. El Proveedor procesará los Datos del Cliente exclusivamente en nombre del Cliente (Sección 1 (1) del presente Acuerdo) y de acuerdo con las instrucciones documentadas del Cliente en el sentido del Artículo 28 (3) a del GDPR.
2.2. El Proveedor procesará los Datos del Cliente exclusivamente de la manera, en la medida y para los fines que sean concluyentemente necesarios para la prestación del Servicio de conformidad con el Contrato de Servicio. Se
prohíbe al Proveedor procesar los Datos del Cliente de cualquier otro modo o para cualquier otro fin, en particular utilizar los Datos del Cliente para sus propios fines.
2.3. El Proveedor también procesa los siguientes datos sensibles, como datos de comunicación (por ejemplo, teléfono, correo electrónico), datos maestros del contrato (relación contractual, producto o interés contractual), historial del Cliente, datos de facturación y pago del contrato, datos de planificación y control, datos de información (de terceros, por ejemplo, agencias de crédito, o de directorios públicos), así como apellidos, nombres y direcciones de correo electrónico, en la medida en que el Cliente los haya almacenado.
2.4. Las categorías de personas afectadas por el tratamiento por parte del cliente incluyen Clientes, partes interesadas, suscriptores, empleados, proveedores, representantes de ventas, personas de contacto. El Proveedor documentará el tratamiento de las categorías de tratamiento en un directorio en el sentido del artículo 28 (2) y lo pondrá a disposición del cliente de forma adecuada si éste lo solicita.
3. Autoridad del cliente para dar instrucciones, procesamiento sujeto a instrucciones
3.1. El Cliente emitirá todas las instrucciones y pedidos por escrito o en un formato electrónico documentado. Si el Cliente da una instrucción verbalmente, el Cliente deberá confirmarla inmediatamente por escrito o en un formato electrónico documentado. El Comitente tiene el derecho general de dar instrucciones al Proveedor sobre el tipo, el alcance y el método de procesamiento de datos utilizado.
3.2. Los datos podrán ser procesados exclusivamente de conformidad con las disposiciones del presente Contrato y las instrucciones del Cliente. Se prohíbe al Proveedor utilizar los datos para otros fines y, en particular, divulgarlos a terceros. No se podrán realizar copias o duplicados sin el conocimiento del Cliente. Quedan excluidas las copias de seguridad, en la medida en que sean necesarias para garantizar el correcto tratamiento de los datos, así como todos los datos necesarios para cumplir con las obligaciones legales de conservación.
3.3. Todos los cambios en el objeto y el procedimiento del tratamiento se acordarán y documentarán conjuntamente. El Proveedor podrá revelar los datos personales tratados en virtud del presente Contrato a terceros o al Titular de los datos únicamente con el consentimiento previo por escrito del Cliente.
3.4. Si el Proveedor opina que una instrucción del Mandante viola las disposiciones legales sobre protección de datos, lo notificará al Mandante sin demora injustificada. Entonces podrá suspender la ejecución de la instrucción en cuestión hasta que haya sido confirmada o modificada por el representante del Mandante.
4. Derechos y obligaciones del cliente
4.1. El cliente será el único responsable externo, en particular frente a terceros y a los interesados, de evaluar la permisibilidad del tratamiento de datos personales de conformidad con el artículo 6 (1) del GDPR y de salvaguardar los derechos de los interesados de conformidad con los artículos 12-22 del GDPR. No obstante, el Proveedor está obligado, en la medida en que lo
permita la ley, a remitir todas las solicitudes de los Interesados al Cliente si están dirigidas de forma reconocible al Cliente. El Proveedor ayudará al Cliente en la medida de lo razonable a responder a
solicitudes de los interesados (por ejemplo, rectificación, supresión y bloqueo de datos) y tendrá derecho a cobrar una compensación razonable por ello.
4.2. El Cliente es el propietario de los Datos del Cliente y, en la relación entre las Partes, el propietario de todos los derechos, si los hubiera, sobre los Datos del Cliente.
4.3. El Cliente será responsable de poner a disposición del Proveedor los Datos del Cliente en el momento oportuno para la prestación de los servicios previstos en el Contrato de Servicios. Además, el Comitente será responsable de la calidad y de la recogida legal de los Datos del Cliente. El Cliente informará al Proveedor inmediatamente y en su totalidad si descubre errores o irregularidades con respecto a las disposiciones de protección de datos o sus instrucciones durante el examen de los resultados del pedido del Proveedor.
4.4. En caso de que un tercero o un interesado presente una reclamación directamente contra el Proveedor debido a violaciones de los derechos del interesado y/o reclamaciones relacionadas, el Cliente se compromete a indemnizar al Proveedor por todos los daños, costes/tasas, incluidos los honorarios de abogados, u otros gastos o pérdidas, derivados de la reclamación, siempre y cuando y en la medida en que el Proveedor haya informado al Cliente de la presentación de la reclamación y dicha infracción no se haya producido como resultado de operaciones de procesamiento contrarias a las instrucciones del Cliente y haya dado al Cliente la oportunidad de cooperar con el Proveedor en la defensa de la reclamación.
5. Obligaciones del proveedor
5.1. El Proveedor está obligado a procesar los datos personales exclusivamente en el marco de los acuerdos celebrados y de conformidad con las instrucciones del Cliente. Esto no se aplicará en la medida en que el Proveedor esté obligado a procesar de otro modo por la legislación de la Unión o de los Estados miembros a la que esté sujeto el Proveedor (por ejemplo, investigaciones por parte de las autoridades estatales, organismos encargados de hacer cumplir la ley). En este caso, el Proveedor notificará al Cliente estos requisitos legales antes del procesamiento, a menos que la ley pertinente prohíba dicha notificación debido a un interés público importante (cf. Art. 28 (3) frase 2 lit. a GDPR).
5.2. El Proveedor no utilizará los datos personales facilitados por el Cliente para su procesamiento con otros fines, en particular no para sus propios fines. El Proveedor no podrá realizar copias o duplicados de los Datos del Cliente sin el consentimiento previo por escrito del Cliente, en la medida y mientras no sean necesarios para garantizar el correcto procesamiento de los datos, para prestar adecuadamente los servicios de conformidad con el Contrato de Servicios (incluida la copia de seguridad de los datos) o para cumplir con las obligaciones legales de conservación.
5.3. El Proveedor tampoco podrá revelar los Datos del Cliente a terceros u otros destinatarios sin el consentimiento previo por escrito del Cliente. Esto no se aplica a la transferencia de datos a subproveedores cuyo encargo haya sido aprobado por el Cliente.
5.4. El Proveedor proporcionará a terceros o a las autoridades información sobre los datos personales de esta relación contractual, en la medida en que la ley
lo permita, sólo tras la previa instrucción o consentimiento por escrito o documentado electrónicamente por parte del Cliente.
5.5. Si el Cliente está obligado a proporcionar información sobre los Datos del Cliente o su tratamiento a un organismo gubernamental, a un interesado o a otra persona, el
El Proveedor estará obligado a ayudar al Cliente a proporcionar dicha información a la primera solicitud, en particular proporcionando inmediatamente toda la información y documentos sobre el procesamiento contractual de los Datos del Cliente, incluidas las medidas técnicas y organizativas adoptadas por el Proveedor, sobre el proceso técnico de uso de los Datos del Cliente, los lugares donde se utilizan los Datos del Cliente y sobre los empleados que participan en el procesamiento.
5.6. El Proveedor se compromete a cooperar en la medida necesaria en el cumplimiento de los derechos de los interesados de conformidad con el Art. 12-22 GDPR, en la preparación de las listas de actividades de procesamiento, en cualquier evaluación de impacto de protección de datos requerida del Cliente, así como en el cumplimiento de las obligaciones del Cliente con respecto a la seguridad del procesamiento y para proporcionar al Cliente el apoyo adecuado en la medida de lo posible (cf.
Art. 28
(3) frase 2 lit. e, f GDPR).
5.7. El proveedor está obligado a corregir, borrar o restringir el procesamiento de datos personales de esta relación contractual si el cliente lo solicita mediante una instrucción escrita o documentada electrónicamente y si los intereses legítimos del proveedor, en particular el cumplimiento de las disposiciones legales, no entran en conflicto con esto.
5.8. El Cliente y el Proveedor acordarán la aplicación de un cambio en el objeto del tratamiento o un cambio en el procedimiento. El cambio se registrará por escrito o en un formato electrónico documentado.
5.9. El Proveedor tendrá derecho a cobrar una compensación razonable por los actos de apoyo en virtud del presente § 5.
5.10. Tras la finalización del trabajo acordado contractualmente o antes a petición del comitente - a más tardar tras la rescisión del contrato de servicios - el contratista deberá, a discreción del comitente, entregar al comitente o, previo consentimiento, destruir de forma que se respete la protección de datos todos los documentos, resultados de procesamiento y utilización creados, así como los archivos de datos relacionados con la relación contractual que hayan llegado a su posesión. Lo mismo se aplicará al material de prueba y de rechazo. El registro de la eliminación se presentará previa solicitud. La documentación que sirva como prueba del tratamiento ordenado y correcto de los datos será conservada por el Contratista de acuerdo con los respectivos periodos de conservación más allá de la finalización del contrato. El Contratista podrá entregarlos al Cliente al final del contrato con el fin de liberar al Contratista.
6. Medidas técnicas y organizativas
6.1. El Proveedor está obligado a aplicar y mantener durante la vigencia del contrato las medidas técnicas y organizativas necesarias para garantizar un nivel de protección para el tratamiento específico encargado que sea adecuado al riesgo para los derechos y libertades de las personas físicas afectadas por el tratamiento. Los objetivos de protección del Art. 32 (1) GDPR, como la confidencialidad, la integridad y la disponibilidad de los sistemas y servicios, así como su resistencia en relación con el tipo, el alcance, las circunstancias y la finalidad de las operaciones de tratamiento, se tendrán en
cuenta para minimizar cualquier riesgo durante la vigencia del contrato.
6.2. El concepto de protección de datos del Ordenante (Medidas Técnicas y Organizativas (XXX)) de Timly Software AG presenta en detalle la selección de medidas adecuadas para el riesgo identificado, teniendo en cuenta los objetivos de protección de acuerdo con el estado de la técnica y con especial consideración de los sistemas de TI y los procedimientos de procesamiento utilizados en el Ordenante. El Cliente confirma que las medidas técnicas y organizativas proporcionan un nivel adecuado de protección de los Datos del Cliente, teniendo en cuenta los riesgos del tratamiento de los Datos del Cliente.
6.3. Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. En este sentido, el Proveedor está autorizado a aplicar medidas alternativas adecuadas. Al hacerlo, el nivel de seguridad de las medidas especificadas no debe verse mermado. Los cambios significativos deberán documentarse.
7. Rectificación, supresión y bloqueo de datos
7.1. El Proveedor puede corregir, eliminar o bloquear los datos procesados en nombre del Cliente sólo de acuerdo con las instrucciones del Cliente.
7.2. En caso de que un interesado se ponga en contacto directamente con el Proveedor con el fin de corregir o eliminar sus datos personales, el Proveedor transmitirá esta solicitud al Cliente.
8. Controles y otras obligaciones del Proveedor
El Proveedor cumplirá lo siguiente:
a) En la medida prevista por la ley, el Proveedor designará por escrito a un responsable de la protección de datos que desempeñará sus actividades de conformidad con los requisitos legales. El responsable de la protección de datos será designado por el Proveedor (actualmente no está previsto por la ley). El Cliente será informado inmediatamente de cualquier cambio de responsable de protección de datos.
b) El Proveedor y cualquier persona subordinada al Proveedor que tenga acceso a datos personales del Cliente podrán procesar dichos datos exclusivamente de conformidad con las instrucciones del Cliente en virtud de la Cláusula 9 del presente Contrato, incluidas las facultades otorgadas en el presente Contrato, a menos que estén obligados a procesar dichos datos por la legislación de la Unión Europea o de los estados miembros a los que esté sujeto el Proveedor. En tal caso, el Proveedor notificará al Cliente dichos requisitos legales, a menos que la ley pertinente prohíba dicha notificación debido a un interés público importante.
c) En la realización de los trabajos, el Proveedor sólo recurrirá a personas que estén obligadas a la confidencialidad y que se hayan familiarizado previamente con las disposiciones de protección de datos que les afecten.
d) Los poderes adjudicadores y los proveedores cooperarán con la autoridad de control en el ejercicio de sus funciones cuando ésta lo solicite.
e) El Proveedor informará al Cliente sin demora indebida sobre las acciones y medidas de control de la autoridad de control en la medida en que estén relacionadas con este encargo. Esto también se aplicará en la medida en que una autoridad competente esté investigando al Proveedor en el marco de un procedimiento administrativo o penal relacionado con el tratamiento de datos personales en el curso de la tramitación del pedido.
f) El Proveedor apoyará al Cliente en la medida en que éste sea objeto de una inspección por parte de la autoridad de control, de una infracción administrativa o de un procedimiento penal, de la reclamación de responsabilidad de un Titular de los Datos o de un tercero o de cualquier otra reclamación en relación con el Procesamiento de Pedidos en el Proveedor.
g) El Proveedor supervisará periódicamente sus procesos internos, así como las medidas técnicas y organizativas para garantizar que el tratamiento en su ámbito de responsabilidad se lleve a cabo de conformidad con los requisitos de la legislación aplicable en materia de protección de datos y que se garantice la protección de los derechos del Titular de los datos.
h) El Proveedor proporcionará al Cliente pruebas de las medidas técnicas y organizativas adoptadas en el ámbito de sus facultades de control de conformidad con la Sección 7 del presente Contrato.
9. Relaciones de subcontratación
9.1. Las relaciones de subcontratación en el sentido de este reglamento son aquellos servicios que se relacionan directamente con la prestación del servicio principal. Esto no incluye los servicios auxiliares de los que hace uso el Proveedor, por ejemplo, en forma de servicios de telecomunicaciones, servicios postales/de transporte o la disposición de soportes de datos. No obstante, el Proveedor estará obligado a suscribir acuerdos contractuales y medidas de control adecuados y conformes a derecho para garantizar la protección y seguridad de los datos del Mandante también en el caso de servicios auxiliares subcontratados.
9.2. El Proveedor tendrá derecho a utilizar los subproveedores enumerados en el Anexo 3 para el tratamiento de los Datos Personales con el fin de ejecutar el Pedido. La contratación de otros u otros subproveedores para el procesamiento de los datos personales del Cliente sólo se permitirá previa información por escrito al Cliente sobre la identidad del subproveedor y el objeto del subprocesamiento, a menos que el Cliente se oponga a este cambio en un plazo razonable de al menos 10 días laborables. En todos los demás aspectos se aplicará lo siguiente:
a) La transferencia de datos personales del Cliente al subproveedor y su actividad inicial sólo se permitirán una vez se hayan cumplido todas
las condiciones para la subcontratación.
b) Si el Subproveedor presta el servicio acordado fuera de la UE/EEE con el consentimiento del Mandante conforme a la Sección 2.1, el Proveedor garantizará la admisibilidad conforme a la ley de protección de datos de acuerdo con la normativa de protección de datos aplicable a la ejecución del contrato.
c) El subproveedor estará sujeto a las mismas obligaciones de protección de datos por vía contractual que las establecidas en el presente Acuerdo, en particular proporcionando garantías suficientes de que se aplicarán las medidas técnicas y organizativas apropiadas de forma que el tratamiento se lleve a cabo de conformidad con los requisitos legales.
10. Derechos de control del cliente
10.1. El Comitente tendrá derecho a realizar inspecciones en consulta con el Proveedor o a encargarlas a auditores que se nombrarán en cada caso y que estarán obligados al secreto profesional. El Comitente tendrá derecho a cerciorarse del cumplimiento del presente Contrato por parte del Proveedor en sus operaciones comerciales mediante controles aleatorios que deberán notificarse con la debida antelación. El Proveedor podrá exigir una compensación razonable por los gastos en que incurra (por ejemplo, horas de trabajo de los empleados desplazados).
10.2. El Proveedor se asegurará de que el Cliente pueda cerciorarse del cumplimiento por parte del Proveedor de sus obligaciones legales y contractuales. El Proveedor se compromete a proporcionar al Comitente la información necesaria cuando éste lo solicite y, en particular, a aportar pruebas de la aplicación de las medidas técnicas y organizativas.
10.3. Las pruebas de tales medidas, que no sólo se refieren al pedido concreto, pueden aportarse mediante certificados de prueba vigentes, informes o extractos de informes de organismos independientes (por ejemplo, auditores, auditoría, responsables de protección de datos, departamento de seguridad informática, auditores de protección de datos, auditores de calidad), certificaciones adecuadas (auditoría de seguridad informática o de protección de datos, por ejemplo, conforme a "BSI-Grundschutz") u otras medidas previstas por la ley.
11.Apoyo al cliente, notificación en caso de infracciones por parte del Proveedor.
El Proveedor apoyará al Cliente en el cumplimiento de sus obligaciones de protección y seguridad de los datos personales, tal y como establece la ley, y lo documentará de forma adecuada. Esto incluye:
a) garantizar un nivel adecuado de protección mediante medidas técnicas y organizativas que tengan en cuenta las circunstancias y los fines del tratamiento, así como la probabilidad y gravedad previstas de una posible vulneración de los derechos debido a vulnerabilidades de seguridad, y permitan la detección inmediata de los casos de vulneración pertinentes,
b) la obligación de documentar las violaciones de la protección de datos
personales y de informar de ellas al Cliente sin demora indebida. El Proveedor deberá, en
de acuerdo con el Cliente, tomar las medidas adecuadas para proteger los datos y minimizar cualquier posible efecto adverso sobre los interesados,
c) la obligación de apoyar al Cliente adoptando las medidas adecuadas, en la medida en que el Cliente deba notificar la violación de los datos personales a la autoridad de control competente o al interesado,
d) la obligación de apoyar al Cliente en el ámbito de su deber de informar al interesado y, en este contexto, de facilitarle sin demora toda la información pertinente cuando lo solicite.
12. Disposiciones varias y finales
12.1. La vigencia del presente acuerdo se corresponde con la del acuerdo de servicios. Se aplicarán en consecuencia las disposiciones relativas a la rescisión ordinaria del contrato de servicios. La rescisión del acuerdo de servicio conllevará automáticamente la rescisión del presente acuerdo. Queda excluida la rescisión aislada del presente Contrato.
12.2. Si alguna de las disposiciones presentes o futuras del acuerdo fuera o llegara a ser inválida o inaplicable en su totalidad o en parte, o si existiera alguna laguna en el presente acuerdo, ello no afectará a la validez de las restantes disposiciones. En lugar de la disposición inválida o inaplicable, se considerará acordada la disposición válida que más se aproxime al sentido y finalidad económicos de la disposición inválida o inaplicable. En caso xx xxxxxx, se considerará acordada la disposición que corresponda a lo que se habría acordado de acuerdo con el sentido económico y la finalidad de este acuerdo si las partes hubieran considerado la laguna desde el principio.
12.3. Las Partes se comprometen a modificar y/o complementar el presente Acuerdo a petición de una de las Partes si ello fuera necesario debido a un cambio en las leyes de protección de datos aplicables a las Partes o porque la Comisión Europea y/o las autoridades de control responsables de las Partes indiquen mediante declaraciones generales o publicaciones (por ejemplo, facilitando cláusulas contractuales tipo de conformidad con el art. 28 (7), (8) del GDPR) o en forma de declaraciones u órdenes en casos individuales que este Acuerdo en su forma existente no cumple con los requisitos de las leyes de protección de datos aplicables.