CONTRATO DE TRATAMIENTO DE DATOS PARA LOS SERVICIOS CLOUD
CONTRATO DE TRATAMIENTO DE DATOS PARA LOS SERVICIOS CLOUD
1. DEFINICIONES
1.1. "Responsable del Tratamiento de Datos" es la persona física o jurídica, autoridad pública, agencia u otro organismo que, de manera independiente o mediante colaboración con otros, determina la finalidad y los medios del tratamiento de los Datos Personales; en el contexto de este DPA, cuando el Cliente actúe como Encargado del Tratamiento de Datos para otro Responsable del Tratamiento de Datos, por lo que respecta a SAP, se considerará un Responsable del Tratamiento de Datos adicional e independiente con los derechos y obligaciones correspondientes a un Responsable del Tratamiento de Datos de conformidad con este DPA.
1.2. "Ley de Protección de Datos" es la legislación aplicable que protege los derechos y libertades fundamentales de las personas y su derecho a la privacidad con relación al tratamiento de los Datos Personales en virtud del Contrato.
1.3. "Interesado" es una persona física identificada o identificable, según se define en la Ley de Protección de Datos.
1.4. "EEE" es el Espacio Económico Europeo y, específicamente, los Estados Miembros de la Unión Europea junto con Islandia, Liechtenstein y Noruega.
1.5. "RGPD" es el Reglamento General de Protección de Datos 2016/679.
1.6. "My Trust Center" es la información que está disponible en el portal de soporte de SAP (consulte: xxxxx://xxxxxxx.xxx.xxx/xx/xx-xxxxxxx/xxxxx-xxxxxx.xxxx) o el sitio web de contratos de SAP (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx-xxxxxx/xxxxxxxxxx.xxxx) o cualquier sitio web que SAP ponga a disposición del Cliente.
1.7. "Transferencia Relevante para las Nuevas Claúsulas Contractuales Tipo" es una transferencia (o una transferencia posterior) de Datos Personales a un Tercer País que está sujeta al RGPD o a la Ley de Protección de Datos aplicable y en la que se puede cumplir cualquier medio de adecuación requerido en virtud del RGPD o la Ley de Protección de Datos aplicable mediante la formalización de las Nuevas Cláus ulas Contractuales Tipo.
1.8. "Nuevas Cláusulas Contractuales Tipo" son las cláusulas contractuales tipo no modificadas publicadas por la Comisión Europea, referencia 2021/914, o cualquier versión final posterior de dichas cláusulas que sea de aplicación automática. Para evitar dudas, se aplicarán los Módulos 2 y 3 según lo establecido en la Sección 8.
1.9. "Datos Personales" es cualquier información relacionada con un Interesado que está protegida por la Legislación de Protección de Datos. Para los fines del DPA, solo incluye datos personales que:
a) los introduce el Cliente o sus Usuarios Autorizados o que se obtienen a raíz del uso del Servicio Cloud; o
b) se proporcionan a SAP o a los que SAP, o sus Subencargados del tratamiento de datos, acceden para prestar soporte de acuerdo con el Contrato Los Datos Personales son un subconjunto de Datos del Cliente (conforme a lo definido en el Contrato).
1.10. "Incumplimiento de los Datos Personales" se refiere a lo siguiente:
a) la destrucción, pérdida o alteración accidental o ilícita, una divulgación no autorizada o un acceso no autorizado por parte de terceros a Datos Personales; o
b) Incidentes similares que impliquen Datos Personales, en cualquiera de los casos debe estar confirmado y el Responsable del Tratamiento de Datos debe, en virtud de la Legislación de Protección de Datos, notificarlo a las autoridades de protección de datos competentes o a los Interesados.
1.11. "Encargado del Tratamiento de Datos" es una persona física o jurídica, una autoridad pública, agencia u otro organismo que trate Datos Personales en nombre del Responsable del Tratamiento de Datos, ya sea directamente como Encargado del Tratamiento de Datos de un Responsable del Tratamiento de Datos o
indirectamente como Subencargado del Tratamiento de Datos de un Encargado del Tratamiento de Datos que trata Datos Personales en nombre del Responsable del Tratamiento de Datos.
1.12. "Anexo" es el Apéndice numerado con respecto a las Cláusulas Contractuales Tipo (2010) y el Anexo numerado con respecto a las Nuevas Cláusulas Contractuales Tipo.
1.13. "Cláusulas Contractuales Tipo (2010)" se refiere a las Cláusulas Contractuales Tipo (encargados del tratamiento de datos) publicadas por la Comisión Europea, referencia 2010/87/UE.
1.14. "Subencargado(s) del Tratamiento de Datos" o "subencargado(s)" son las Filiales de SAP, SAP SE, las Filiales de SAP SE y los terceros contratados por SAP, SAP SE o las Filiales de SAP SE en relación con el Servicio Cloud y que tratan los Datos Personales de conformidad con este DPA.
1.15. "Medidas Técnicas y Organizativas" son las medidas técnicas y organizativas para el Servicio Cloud pertinente publicado en My Trust Center (consulte: xxxxx://xxx.xxx.xxx/xxxxx/xxxxx- center/agreements/cloud/cloud-services.html?search=Technical%20Organizational%20Measures).
1.16. "Tercer País" es cualquier país, organización o territorio que la Unión Europea en virtud del Artículo 45 del RGPD no reconoce como un país seguro con un nivel adecuado de protección de datos.
2. ANTECEDENTES
2.1. Finalidad y Aplicación
2.1.1. Este documento ("DPA") se integra en el Contrato y pasa a formar parte de un contrato escrito (incluido en formato electrónico) entre SAP y el Cliente.
2.1.2. Este DPA se aplica a los Datos Personales que SAP y sus Subencargados del Tratamiento de Datos tratan durante la prestación del Servicio Cloud.
2.1.3. Este DPA no se aplica a los entornos de no producción del Servicio Cloud si dichos entornos los proporciona SAP. El Cliente no almacenará Datos Personales en estos entornos.
2.2. Estructura
Los Anexos 1 y 2 están incluidos y forman parte integrante de este DPA. Especifican el objeto acordado, la naturaleza y la finalidad del tratamiento, el tipo de Datos Personales, las categorías de los interesados (Anexo 1) y las Medidas Técnicas y Organizativas aplicables (Anexo 2).
2.3. Control
2.3.1. De conformidad con el DPA, SAP ejerce de Encargado del Tratamiento y el Cliente y aquellas entidades a las que se les permite el uso del Servicio Cloud ejercen de Responsables del Tratamiento.
2.3.2. El Cliente actúa como único punto de contacto y deberá obtener cualquier autorización, consentimiento y permiso pertinente para el tratamiento de los Datos Personales de conformidad con este DPA, incluido, cuando corresponda, la aprobación por parte de los Responsables del Tratamiento de Datos de usar SAP como un Encargado del Tratamiento de Datos. Cuando el Cliente proporciona su autorización, consentimiento, instrucciones o permiso, no lo hace solo en su nombre, sino también en el nombre de cualquier otro Responsable del Tratamiento que utilice el Servicio Cloud. Si SAP informa o notifica al Cliente, dicha información o notificación se considera recibida por aquellos Responsables del Tratamiento a los que el Cliente ha autorizado a utilizar el Servicio Cloud. El Cliente deberá reenviar dicha información y notificación a los Responsables del Tratamiento de Datos pertinentes.
3. SEGURIDAD DEL TRATAMIENTO
3.1. Aplicación de las Medidas Técnicas y Organizativas
SAP ha implementado y aplicará las Medidas Técnicas y Organizativas. El Cliente ha revisado estas medidas y acepta que, en lo relativo al Servicio Cloud elegido por el Cliente en el Formulario de Pedido, las medidas son adecuadas en base al grado de vanguardia, los costes de implementación, la naturaleza, el alcance, el contexto y las finalidades del tratamiento de los Datos Personales.
3.2. Cambios
3.2.1. SAP aplica las Medidas Técnicas y Organizativas especificadas a toda la base de clientes de SAP que se encuentra alojada en el mismo centro de datos o recibe el mismo Servicio Cloud. SAP podrá cambiar dichas medidas en cualquier momento sin previo aviso siempre y cuando mantenga un nivel de seguridad comparable o superior. Las medidas individuales se podrán reemplazar por nuevas medidas que tengan la misma finalidad sin que disminuya el nivel de seguridad que protege los Datos Personales.
3.2.2. SAP publicará versiones actualizadas de las Medidas Técnicas y Organizativas en My Trust Center y, si está disponible, el Cliente podrá suscribirse para recibir una notificación por correo electrónico de las versiones actualizadas.
4. OBLIGACIONES DE SAP
4.1. Instrucciones del Cliente
SAP tratará los Datos Personales solamente de conformidad con las instrucciones documentadas por el Cliente. El Contrato (incluido este DPA) constituye dichas instrucciones iniciales documentadas y cada uso del Servicio Cloud constituirá instrucciones adicionales. SAP empleará los esfuerzos razonables para seguir cualquier otra instrucción del Cliente, siempre que la Ley de Protección de Datos así lo exija, sea técnicamente viable y no requiera realizar ninguna modificación en el Servicio Cloud. En caso de aplicarse cualquiera de las excepciones anteriormente mencionadas, o si SAP no puede cumplir una instrucción o considera que una instrucción incumple la Legislación de Protección de Datos, SAP lo notificará de inmediato al Cliente (se permite el envío por correo electrónico).
4.2. Tratamiento en base a Requisitos Legales
SAP también tratará Datos Personales cuando así lo exija la legislación aplicable. En este caso, SAP informará al Cliente sobre ese requisito legal antes del tratamiento salvo que la ley en cuestión prohíba dar esa información por motivos importantes de interés general.
4.3. Personal
Para tratar los Datos Personales, SAP y los Subencargados del Tratamiento de Datos solamente concederán acceso al personal autorizado que se haya comprometido a mantener la confidencialidad. SAP y sus Subencargados del Tratamiento de Datos formarán periódicamente al personal que tenga acceso a los Datos Personales sobre las medidas de seguridad y privacidad de datos aplicables.
4.4. Cooperación
4.4.1. A petición del Cliente, SAP cooperará de forma razonable con el Cliente y los Responsables del Tratamiento de Datos para gestionar las solicitudes de los Interesados o de las autoridades supervisoras con respecto al tratamiento de Datos Personales por parte de SAP.
4.4.2. Si SAP recibe una consulta de un Interesado, en virtud del presente DPA, en relación con el tratamiento de Datos Personales, SAP notificará sin demora al Cliente (siempre que el Interesado haya proporcionado información para identificar al Cliente) por correo electrónico y no responderá a dicha consulta, sino que solicitará al Interesado que redirija su consulta al Cliente.
4.4.3. En caso de disputa con un Interesado en relación con el tratamiento de Datos Personales por parte de SAP en virtud de este DPA, las Partes se mantendrán informadas y, cuando corresponda, cooperarán razonablemente con el objetivo de resolver la disputa de manera amistosa con el Interesado.
4.4.4. SAP proporcionará funcionalidades para sistemas de producción que ayuden al Cliente a corregir, eliminar o anonimizar los Datos Personales de un Servicio Cloud, o a limitar su tratamiento de conformidad con la Ley de Protección de Datos. En aquellos casos en que no se proporcionen estas funcionalidades, SAP corregirá, eliminará o anonimizará dichos Datos Personales, o limitará su tratamiento, de conformidad con las instrucciones del Cliente y la Ley de Protección de Datos.
4.5. Notificación de Incumplimiento de Datos Personales
SAP notificará al Cliente de inmediato en cuanto tenga conocimiento de cualquier Incumplimiento de Datos Personales y le proporcionará toda la información razonable de la que disponga para ayudar al Cliente a cumplir con sus obligaciones de informar sobre una Incumplimiento de Datos Personales tal como exige la Ley de Protección de Datos. SAP podrá proporcionar esta información por fases, a medida que vaya disponiendo de ella. Dicha notificación no se interpretará ni considerará como una admisión de un error o responsabilidad por parte de SAP.
4.6. Evaluación del Impacto en la Protección de Datos
Si, de conformidad con la Ley de Protección de Datos, el Cliente (o sus Responsables del Tratamiento de Datos) se ven obligados a realizar una evaluación de impacto de la protección de datos o una consulta previa con un regulador, previa petición del Cliente, SAP proporcionará dichos documentos, según están disponibles de manera general para el Servicio Cloud (por ejemplo, este DPA, el Contrato, Informes de Auditoría o Certificaciones). Cualquier ayuda adicional se acordará entre las Partes.
5. EXPORTACIÓN Y ELIMINACIÓN DE DATOS
5.1. Exportación y Recuperación por parte del Cliente
Durante el Plazo de Suscripción, y sujeto al Contrato, el Cliente puede acceder a sus Datos Personales en cualquier momento. El Cliente puede exportar y recuperar sus Datos Personales en un formato estándar. La exportación y la recuperación pueden estar sujetas a limitaciones técnicas, en cuyo caso SAP y el Cliente buscarán un método razonable para permitir al Cliente el acceso a los Datos Personales.
Antes de que venza el Plazo de Suscripción, el Cliente puede utilizar las herramientas de autoservicio de exportación de SAP (según disponibilidad) para realizar una exportación final de los Datos Personales, desde el Servicio Cloud (lo que constituiría una "devolución" de los Datos Personales). Al finalizar el Plazo de Suscripción, mediante el presente el Cliente indica a SAP que debe eliminar los Datos Personales que queden en los servidores que alojan el Servicio Cloud en un período de tiempo razonable conforme a la Ley de Protección de Datos (que no supere los seis (6) meses), salvo que la ley aplicable exija su conservación.
6. CERTIFICACIONES Y AUDITORÍAS
El Cliente, o su auditor externo independiente razonablemente aceptable por parte de SAP (que no debe ser ningún auditor externo que sea competencia de SAP, que no esté correctamente cualificado o que no sea independiente), podrá auditar el entorno de control y las prácticas de seguridad de SAP en lo relativo a los Datos Personales tratados por SAP, únicamente si:
a) SAP no ha proporcionado pruebas suficientes del cumplimiento de las Medidas Técnicas y Organizativas que protegen los sistemas de producción del Servicio Cloud mediante: (i) una certificación del cumplimiento de la norma ISO 27001 o de otras normas (su alcance está definido en el certificado); o (ii) un informe válido de certificación de ISAE3402 y/o ISAE3000, o SOC1-3. Previa solicitud del Cliente, los informes de auditoría o las certificaciones ISO están disponibles a través del auditor externo o SAP;
b) se ha producido un Incumplimiento de los Datos Personales;
c) la autoridad de protección de datos del Cliente solicita formalmente una auditoría; o
d) con arreglo a la Legislación de Protección de Datos Obligatoria confiere al Cliente el derecho de auditoría directa, teniendo en cuenta que el Cliente solamente se puede auditar una vez cada 12 meses, salvo que la Legislación de Protección de Datos obligatoria exija auditorías más frecuentes.
6.2. Auditoría por parte de otro Responsable del Tratamiento de Datos
Cualquier otro Responsable del Tratamiento de Datos puede asumir los derechos del Cliente en virtud de la Sección 6.1 solo si se aplica directamente al Responsable del Tratamiento de Datos y si dicha auditoría está permitida y coordinada por el Cliente. El Cliente deberá utilizar todos los medios razonables para combinar
las auditorías de varios Responsables del Tratamiento de Datos para evitar auditorías múltiples, a menos que la auditoría deba ser realizada por el otro Responsable del Tratamiento de Datos en virtud de la Ley de Protección de Datos. Si varios Responsables del Tratamiento de Datos cuyos Datos Personales están siendo tratados por SAP sobre la base del Contrato exigen una auditoría, el Cliente pondrá su máximo empeño para combinar las auditorías y evitar realizar varias.
6.3. Alcance de la Auditoría
En caso de auditoría, el Cliente enviará una notificación con al menos sesenta (60) días de antelación salvo que la Legislación de Protección de Datos obligatoria o una autoridad de protección de datos competente exija un plazo inferior. Las partes, de manera razonable y de buena fe, deben acordar la frecuencia y el alcance de cualquier auditoría. Las auditorías del Cliente estarán limitadas, en lo relativo al tiempo, a un máximo de tres (3) días laborables. Más allá de estas restricciones, las partes utilizarán las certificaciones actuales u otros informes de auditoría para evitar o reducir las auditorías repetitivas. El Cliente deberá proporcionar a SAP los resultados de cualquier auditoría.
6.4. Coste de las Auditorías
El Cliente asumirá los costes de cualquier auditoría salvo que dicha auditoría revele un incumplimiento material de este DPA por parte de SAP, en cuyo caso SAP asumirá los propios gastos de la auditoría. Si una auditoría determina que SAP ha incumplido sus obligaciones en virtud del DPA, SAP deberá solventar dicho incumplimiento de inmediato asumiendo todos los costes.
7. SUBENCARGADOS DEL TRATAMIENTO DE DATOS
7.1. Uso permitido
Se concede a SAP una autorización general para subcontratar el tratamiento de Datos Personales a Subencargados del Tratamiento de Datos, siempre y cuando:
a) SAP o SAP SE en su nombre contraten Subencargados del Tratamiento de Datos en virtud de un contrato escrito (incluido en formato electrónico) que sea coherente con los términos de este DPA en relación con el tratamiento de los Datos Personales por parte del Subencargado del Tratamiento de Datos. SAP será responsable de cualquier infracción que cometa el Subencargado del Tratamiento de Datos de acuerdo con las condiciones de este Contrato;
b) SAP evaluará las prácticas de seguridad, privacidad y confidencialidad de un Subencargado del Tratamiento de Datos antes de decidir si es capaz de proporcionar el nivel de protección de Datos Personales exigido por este DPA; y
c) SAP publique en Mi Centro de Confianza, en la fecha de entrada en vigor del Contrato, la lista de Subencargados del Tratamiento de Datos, o SAP la ponga a disposición del Cliente previa solicitud, incluido el nombre, la dirección y el papel de cada Subencargado del Tratamiento de Datos que SAP utiliza para prestar el Servicio Cloud.
7.2. Nuevos Subencargados del Tratamiento de Datos
El uso de Subencargados del Tratamiento de Datos por parte de SAP es a su decisión exclusiva, siempre y cuando:
a) SAP informe al Cliente por adelantado (por correo electrónico o mediante publicación en Mi Centro de Confianza) acerca de cualquier intención de añadir o sustituir entradas de la lista de Subencargados del Tratamiento de Datos, incluyendo el nombre, la dirección y el papel del nuevo Subencargado del Tratamiento de Datos; y
b) El Cliente pueda oponerse a dichos cambios, de conformidad con lo especificado en la Sección 7.3.
7.3. Objeciones a los Nuevos Subencargados del Tratamiento de Datos
7.3.1. Si el Cliente tiene un motivo legítimo, según la Ley de Protección de Datos, para oponerse al tratamiento de los Datos Personales por parte del nuevo Subencargado del Tratamiento de Datos, el Cliente podrá terminar el Contrato (únicamente por lo que respecta al Servicio Cloud para el cual se iba a utilizar el nuevo Subencargado del Tratamiento de Datos) previo aviso por escrito a SAP. Dicha rescisión tendrá efecto en el
momento especificado por el Cliente, que nunca será superior a los treinta (30) días a partir de la fecha del aviso de SAP que informa al Cliente acerca del nuevo Subencargado del Tratamiento de Datos. En caso de que el Cliente no termine el Contrato dentro de este plazo de treinta (30) días, se entenderá que el Cliente acepta al nuevo Subencargado del Tratamiento de Datos.
7.3.2. Dentro del plazo de 30 días a partir del aviso de SAP que informa al Cliente acerca del nuevo Subencargado del Tratamiento de Datos, el Cliente podrá solicitar a las partes que debatan de buena fe una resolución a la objeción. Estos debates no deberían extenderse más allá del período de rescisión y no afectan al derecho de SAP a usar el nuevo Subencargado del Tratamiento de Datos una vez transcurrido este período de 30 días.
7.3.3. Cualquier rescisión conforme a esta Sección 7.3 se considerará sin culpa por cualquiera de las partes y estará sujeta a las condiciones del Contrato.
7.4. Sustitución de Urgencia
8. TRATAMIENTO INTERNACIONAL
8.1. Condiciones para el Tratamiento Internacional
SAP tendrá derecho a tratar los Datos Personales, incluso mediante el uso de Subencargados del Tratamiento de Datos, de conformidad con este DPA fuera del país en el que esté ubicado el Cliente tal como permite la Legislación de Protección de Datos.
8.2. Aplicabilidad de las Cláusulas Contractuales Tipo (2010)
a) SAP y el Cliente suscribirán las Cláusulas Contractuales Tipo (2010);
c) otros Responsables del Tratamiento de Datos cuyo uso de los Servicios Cloud haya sido autorizado por el Cliente de acuerdo con el Contrato podrán formalizar Cláusulas Contractuales Tipo (2010) con SAP o los Subencargados del Tratamiento de Datos relevantes de la misma manera que el Cliente, de conformidad con la anterior Sección 8.2.1 a) y b). En este caso, el Cliente suscribirá las Cláusulas Contractuales Tipo (2010) en nombre de los otros Responsables del Tratamiento de Datos.
8.2.2. Las Cláusulas Contractuales Tipo (2010) se regirán por la xxx xxx xxxx en el que esté establecido el Responsable del Tratamiento de Datos.
8.3. Aplicabilidad de las Nuevas Cláusulas Contractuales Tipo
8.3.1. Lo siguiente se aplicará con efecto a partir del 27 de septiembre de 2021 y se aplicará únicamente a las Transferencias Relevantes para las Nuevas Cláusulas Contractuales Tipo:
8.3.1.1. En aquellos casos en los que SAP no esté ubicado en un Tercer País y actúe como exportador de datos, SAP (o SAP SE en su nombre) formalizará las Nuevas Cláusulas Contractuales Tipo con cada Subencargado del Tratamiento de Datos como importador de datos. El Módulo 3 (de Encargado a Encargado) de las Nuevas Cláusulas Contractuales Tipo se aplicará a dichas Transferencias Relevantes para las Nuevas Cláusulas Contractuales Tipo.
8.3.1.2. Cuando SAP esté ubicado en un Tercer país:
Por el presente, SAP y el Cliente celebran las Nuevas Cláusulas Contractuales Tipo con el Cliente como exportador de datos y SAP como importador de datos, que se aplicarán de la siguiente manera:
a) El Módulo 2 (de Responsable a Encargado) se aplicará cuando el Cliente sea un Responsable del Tratamiento de Datos; y
b) El Módulo 3 (de Encargado a Encargado) se aplicará cuando el Cliente sea un Encargado del Tratamiento de Datos; y Si el Cliente actúa como Encargado del Tratamiento de Datos en virtud del Módulo 3 (de Encargado a Encargado del Tratamiento de Datos) de las Nuevas Cláusulas Contractuales Tipo, SAP reconoce que el Cliente actúa como Encargado del Tratamiento de Datos según las instrucciones de sus Responsables del Tratamiento de Datos.
8.3.2. Otros Responsables o Encargados del Tratamiento de Datos cuyo uso de los Servicios Cloud haya sido autorizado por el Cliente de acuerdo con el Contrato también pueden formalizar las Nuevas Cláusulas Contractuales Tipo con SAP de la misma manera que el Cliente, de conformidad con la anterior Sección 8.3.1.28.3.1.2. En este caso, el Cliente suscribe las Nuevas Cláusulas Contractuales Tipo en nombre de los otros Responsables o Encargados del Tratamiento de Datos.
8.3.3. Con respecto a una Transferencia Relevante para las Nuevas Claúsulas Contractuales Tipo, a petición de un Interesado al Cliente, el Cliente puede hacer una copia del Módulo 2 o 3 de las Nuevas Cláusulas Contractuales Tipo formalizadas entre el Cliente y SAP (incluidos los Anexos relevantes), a disposición de los Interesados.
8.3.4. La legislación aplicable de las Nuevas Cláusulas Contractuales Tipo será la xxx xx Xxxxxxxx.
8.4. Relación de las Cláusulas Contractuales Tipo con el Contrato
Ninguna de las disposiciones de este Contrato deberá interpretarse como que prevalece sobre cualquier cláusula que entre en conflicto las Cláusulas Contractuales Tipo (2010) o las Nuevas Cláusulas Contractuales Tipo. Para evitar cualquier tipo de duda, cuando este DPA especifique reglas de auditoría y de Subencargado del Tratamiento de Datos, dichas especificaciones también se aplicarán en relación con las Cláusulas Contractuales Tipo (2010) y las Nuevas Cláusulas Contractuales Tipo.
8.5. Derecho xx Xxxxxxx Beneficiario en virtud de las Nuevas Cláusulas Contractuales Tipo
8.5.1. Cuando el Cliente esté ubicado en un Tercer País y actúe como importador de datos en virtud del Módulo 2 o el Módulo 3 de las Nuevas Cláusulas Contractuales Tipo y SAP actúe como subencargado del Cliente en virtud del Módulo correspondiente, el exportador de datos correspondiente tendrá el siguiente derecho xx xxxxxxx beneficiario:
8.5.2. En caso de que el Cliente haya desaparecido, haya dejado de existir por ley o se haya vuelto insolvente (en todos los casos sin una entidad sucesora que haya asumido las obligaciones legales del Cliente por contrato o por ley), el exportador de datos correspondiente tendrá derecho a rescindir el Servicio Cloud afectado únicamente en la medida en que se procesen los Datos Personales del exportador de datos. En ese caso, el exportador de datos correspondiente también indicará a SAP que borre o devuelva los Datos Personales.
9. DOCUMENTACIÓN; REGISTROS DEL TRATAMIENTO
9.1. Cada una de las partes es responsable del cumplimiento de los requisitos de documentación, en concreto la conservación de registros de tratamiento siempre que lo exija la Legislación de Protección de Datos. Cada una de las partes ayudará de forma razonable a la otra en sus requisitos de documentación, incluido proporcionar a la otra parte la información que necesite de ella cuando se lo solicite de forma razonable la
otra parte (como, por ejemplo, utilizando un sistema electrónico) para permitir que la otra parte cumpla con cualquiera de sus obligaciones relacionadas con la conservación de registros del tratamiento.
Anexo 1 Descripción del tratamiento
En este Anexo 1 se describe el Tratamiento de Datos Personales a los efectos de las Cláusulas Contractuales Tipo (2010), las Nuevas Cláusulas Contractuales Tipo y la Ley de Protección de Datos aplicable.
1. A. LISTA DE PARTES
1.1. En virtud de las Cláusulas Contractuales Tipo (2010)
1.1.1. Exportador de Datos
El exportador de datos en virtud de las Cláusulas Contractuales Tipo (2010) es el Cliente suscrito a un Servicio Cloud que permite a los Usuarios Autorizados grabar, modificar, utilizar, eliminar o tratar de cualquier otra forma los Datos Personales. Cuando el Cliente permita a otros Responsables del Tratamiento de Datos utilizar también el Servicio Cloud, estos otros Responsables del Tratamiento de Datos serán también exportadores de datos.
1.1.2. Importador de Datos
SAP y sus Subencargados del Tratamiento de Datos que proporcionan y prestan soporte al Servicio Cloud son importadores de datos en virtud de las Cláusulas Contractuales Tipo (2010).
1.2. En virtud de las Nuevas Cláusulas Contractuales Tipo
1.2.1. Módulo 2: Transferencia de Responsable a Encargado del Tratamiento de Datos
Cuando SAP se encuentra en un Tercer País, el Cliente es el Responsable del Tratamiento de Datos y SAP es el Encargado del Tratamiento de Datos, de modo que el Cliente es el exportador de datos y SAP es el importador de datos.
1.2.2. Módulo 3: Transferencia de Encargado a Encargado del Tratamiento de Datos
Cuando SAP se encuentra en un Tercer País, el Cliente es un Encargado del Tratamiento de Datos y SAP es un Encargado del Tratamiento de Datos, de modo que el Cliente es el exportador de datos y SAP es el importador de datos.
2. B. DESCRIPCIÓN DE TRANSFERENCIA
2.1. Interesados
Salvo que el exportador de datos lo estipule de otra forma, los Datos Personales transferidos están relacionados con las categorías de Interesados siguientes: empleados, contratistas, socios empresariales u otras personas que tienen Datos Personales almacenados en el Servicio Cloud, transmitidos, puestos a disposición, accedidos o tratados de otra forma por el importador de datos.
2.2. Categorías de Datos
Los Datos Personales transferidos afectan a las categorías de datos siguientes:
El Cliente determina las categorías de datos por Servicio Cloud suscrito. El Cliente puede configurar los campos de datos proporcionados por el Servicio Cloud durante la implementación del Servicio Cloud o de cualquier otra manera. Los Datos Personales transferidos normalmente hacen referencia a las siguientes categorías de datos: nombre, números de teléfono, direcciones de correo electrónico, datos de dirección, datos de acceso / uso / autorización del sistema, nombre de la empresa, datos de contratos, datos de factura, además de otros datos específicos de la aplicación que los Usuarios Autorizados introducen en el Servicio Cloud y que pueden incluir datos sobre cuentas bancarias o tarjetas de crédito o débito.
2.3. Categorías de Datos Especiales (si acordado)
2.3.1. Los Datos Personales transferidos pueden incluir categorías especiales de datos personales estipuladas en el Contrato ("Datos Sensibles"). SAP ha adoptado las Medidas Técnicas y Organizativas como se establece en el Anexo 2 para garantizar un nivel de seguridad adecuado para proteger también los Datos Sensibles.
2.3.2. La transferencia de Datos Sensibles puede desencadenar la aplicación de las siguientes restricciones o protecciones adicionales si es necesario para tener en cuenta la naturaleza de los datos y el riesgo de que varíe la probabilidad y gravedad de los derechos y libertades de las personas físicas (si corresponde):
a) la formación del personal;
b) el cifrado de los datos en tránsito y en reposo;
c) el registro del acceso al sistema y el registro del acceso a datos generales.
2.3.3. Además, los Servicios Cloud proporcionan medidas para el tratamiento de los Datos Sensibles tal como se describe en la Documentación.
2.4. Finalidades de la transferencia de datos y el tratamiento posterior; naturaleza del tratamiento
2.4.1. Los Datos Personales transferidos están sujetos a las siguientes actividades básicas de tratamiento:
a) uso de los Datos Personales para configurar, utilizar, supervisar y prestar el Servicio Cloud (incluido el soporte operativo y técnico);
b) mejora continua de las características y funcionalidades del servicio proporcionadas como parte del Servicio Cloud, incluida la automatización, el procesamiento de transacciones y el aprendizaje automático;
c) prestación de Servicios Profesionales integrados;
d) comunicación con Usuarios Autorizados;
e) almacenamiento de los Datos Personales en centros de datos específicos (arquitectura para varios tenants);
f) lanzamiento, desarrollo y carga de correcciones o mejoras en el Servicio Cloud;
g) copias de seguridad y restauración de los Datos Personales almacenados en el Servicio Cloud;
h) tratamiento informático de Datos Personales, incluida la transmisión, la recuperación y el acceso de datos;
i) acceso a la red para permitir la transferencia de Datos Personales;
j) supervisión, administración y solución de problemas de la infraestructura y la base de datos subyacente del Servicio Cloud;
k) control de la seguridad, soporte para la detección de intrusiones en la red, realización de pruebas de penetración; y
l) ejecución de instrucciones del Cliente de conformidad con el Contrato.
2.4.2. El objetivo de la transferencia es proporcionar y prestar soporte al Servicio Cloud. SAP y sus Subencargados del Tratamiento de Datos pueden prestar soporte de forma remota a los centros de datos del Servicio Cloud. SAP y sus Subencargados del Tratamiento de Datos brindan soporte cuando un Cliente envía un ticket de soporte como se establece en el Contrato.
2.5. Descripción adicional con respecto a las Nuevas Cláusulas Contractuales Tipo:
2.5.1. Módulos aplicables de las Nuevas Cláusulas Contractuales Tipo
a) Módulo 2: Transferencia de Responsable a Encargado del Tratamiento de Datos,
b) Módulo 3: Transferencia de Encargado a Encargado del Tratamiento de Datos.
2.5.2. Para las transferencias a los (sub)encargados del tratamiento de datos, especifique también el objeto, la naturaleza y la duración del tratamiento:
Con respecto a las Nuevas Cláusulas Contractuales Tipo, las transferencias a los Subencargados del Tratamiento de Datos se realizarán sobre la misma base que la especificada en el DPA.
2.5.3. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua). Las transferencias se efectuarán de forma continua.
2.5.4. El período para el que se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período.
Los Datos Personales se conservarán durante el plazo del Contrato y de conformidad con la Sección 5.2 del DPA.
3. C. AUTORIDAD DE CONTROL COMPETENTE
3.1. Con respecto a las Nuevas Cláusulas Contractuales Tipo:
3.1.1. Módulo 2: Transferencia de Responsable a Encargado del Tratamiento de Datos
3.1.2. Módulo 3: Transferencia de Encargado a Encargado del Tratamiento de Datos
3.2. Si el Cliente es el exportador de datos, la autoridad de control será la autoridad de control competente que tenga control sobre el Cliente de conformidad con la Cláusula 13 de las Nuevas Cláusulas Contractuales Tipo.
Apéndice 2. Medidas Técnicas y Xxxxxxxxxxxxx
Xx xxxx Xxxxx 0 se describen las medidas técnicas y organizativas aplicables a los efectos de las Cláusulas Contractuales Tipo (2010), las Nuevas Cláusulas Contractuales Tipo y la Ley de Protección de Datos aplicable.
SAP aplicará y mantendrá las Medidas Técnicas y Organizativas.
En la medida en que la prestación del Servicio Cloud incluya Transferencias Relevantes para las Nuevas Cláusulas Contractuales Tipo, las Medidas Técnicas y Organizativas establecidas en el Anexo 2 describen las medidas y protecciones que se han adoptado para tener en cuenta completamente la naturaleza de los datos personales y los riesgos involucrados. Si las leyes locales pueden afectar el cumplimiento de las cláusulas, esto puede desencadenar la aplicación de protecciones adicionales aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino (si corresponde: cifrado de datos en tránsito, cifrado de datos en reposo, anonimización, seudonimización).