Acuerdo de Procesamiento de Datos
Acuerdo de Procesamiento de Datos
Entre
El CLIENTE (El responsable de los datos) y
"Tjekvik"
Autoinnovation ApS
Xxxxxxxxxxxxxxxxx 0
0000 Xxxxxxxxxx X Xxxxxxxxx IVA: DK37211192
(x00) 0000 0000
(el encargado del tratamiento de datos)
cada una de ellas "parte"; juntas "las partes"
HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) para cumplir con los requisitos del GDPR y garantizar la protección de los derechos del interesado.
1. PREÁMBULO
1.1. Las presentes Cláusulas Contractuales (las Cláusulas) establecen los derechos y las obligaciones del responsable del tratamiento y del encargado del tratamiento, al tratar datos personales por cuenta del responsable del tratamiento.
1.2. Las Cláusulas han sido diseñadas para garantizar el cumplimiento por las partes del artículo 28.3 del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
1.3. En el marco de la prestación de "Tjekvik, recepción de servicios digitales", el encargado del tratamiento tratará los datos personales por cuenta del responsable del tratamiento de conformidad con las Cláusulas.
1.4. Las Cláusulas tendrán prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las partes.
1.5. Tres apéndices se adjuntan a las Cláusulas y forman parte integrante de las mismas.
1.6. El Apéndice A contiene detalles sobre el tratamiento de datos personales, incluyendo la finalidad y la naturaleza del tratamiento, el tipo de datos personales, las categorías de datos interesados y la duración del tratamiento.
1.7. El Apéndice B contiene las condiciones del responsable del tratamiento para el uso de subencargados y una lista de subencargados autorizados por el responsable del tratamiento.
1.8. El Apéndice C contiene las instrucciones del responsable del tratamiento en relación con el tratamiento de los datos personales, las medidas de seguridad mínimas que debe aplicar el encargado del tratamiento y la forma en que deben realizarse las auditorías del encargado y de los subencargados del tratamiento.
1.9. Las Cláusulas, junto con los apéndices, serán conservadas por escrito, incluso electrónicamente, por ambas partes.
1.10. En caso de que este Acuerdo de Procesamiento de Datos se ejecute en dos o más idiomas, la versión en inglés representa la de entendimiento de ambas Partes. Cualquier otra versión se proporciona como una traducción. En caso de conflicto entre ambas, prevalecerá la versión inglesa.
1.11. Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que esté sujeto en virtud del Reglamento General de Protección de Datos (el RGPD) u otra legislación.
2. LOS DERECHOS Y OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS
2.1. El responsable del tratamiento es el encargado de garantizar que el tratamiento de los datos personales se realice de conformidad con el RGPD (véase el artículo 24 del RGPD), las disposiciones de protección de datos
de la UE o de los Estados miembros aplicables y las Cláusulas.
2.2. El responsable del tratamiento tiene el derecho y la obligación de tomar decisiones sobre los fines y los medios del tratamiento de los datos personales.
2.3. El responsable del tratamiento será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que se encargue al encargado del tratamiento tenga una base legal.
3. EL ENCARGADO DEL TRATAMIENTO DE DATOS ACTÚA SEGÚN LAS INSTRUCCIONES
3.1. El encargado del tratamiento solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, salvo que el derecho de la Unión o de los Estados miembros al que esté sujeto el encargado lo exija. Dichas instrucciones se especificarán en los apéndices A y C. Las instrucciones posteriores también pueden
ser dadas por el responsable del tratamiento durante todo el tiempo que dure el tratamiento de los datos personales, pero dichas instrucciones deberán ser siempre documentadas y conservadas por escrito, incluso electrónicamente, en relación con las Cláusulas.
3.2. El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento, en opinión del encargado, contravienen el RGPD o las disposiciones de protección de datos de la UE o de los Estados miembros aplicables.
4. CONFIDENCIALIDAD
4.1. El encargado del tratamiento de datos solo concederá acceso a los datos personales tratados por cuenta del responsable del tratamiento de datos a las personas que estén bajo la autoridad del encargado del tratamiento de datos y que se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal de confidencialidad adecuada, y solo en caso de necesidad de conocimiento. La lista de personas a las que se ha concedido acceso se mantendrá bajo revisión periódica. Sobre la base de esta revisión, dicho acceso a los datos personales puede ser retirado, si el acceso ya no es necesario, y, en consecuencia, los datos personales dejarán de ser accesibles para esas personas.
4.2. El encargado del tratamiento demostrará, previa petición del responsable del tratamiento, que las personas afectadas bajo la autoridad del encargado del tratamiento están sujetas a la mencionada confidencialidad
5. SEGURIDAD DEL TRATAMIENTO
5.1. El artículo 32 del RGPD establece que, teniendo en cuenta la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
El responsable del tratamiento evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. Dependiendo de su relevancia, las medidas pueden incluir lo siguiente:
a. Seudoanonimización y cifrado de datos personales;
b. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;
c. la capacidad de restablecer la disponibilidad y el acceso a los datos personales en el momento oportuno en caso de incidente físico o técnico;
d. un proceso para comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
5.2. Según el artículo 32 del RGPD, el encargado del tratamiento también deberá
—independientemente del responsable del tratamiento— evaluar los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicar medidas para mitigarlos. A tal efecto, el responsable del tratamiento facilitará al encargado del tratamiento toda la información necesaria para identificar y evaluar dichos riesgos.
5.3. Además, el encargado del tratamiento ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones del responsable del tratamiento en virtud del artículo 32 del RGPD, entre otras cosas, proporcionando al responsable del tratamiento información relativa a las medidas técnicas y organizativas ya aplicadas por el
encargado del tratamiento en virtud del artículo 32 del RGPD, junto con cualquier otra información necesaria para que el responsable del tratamiento cumpla con la obligación del responsable del tratamiento en virtud del artículo 32 del RGPD.
Si posteriormente —según la evaluación del responsable del tratamiento de datos
—la mitigación de los riesgos identificados requiere que el encargado del tratamiento aplique medidas adicionales a las ya aplicadas por el encargado del tratamiento de conformidad con el artículo 32 del RGPD, el responsable del tratamiento especificará estas medidas adicionales que deben aplicarse en el Apéndice C.
6. USO DE SUBENCARGADOS
6.1. El encargado del tratamiento deberá cumplir los requisitos especificados en el artículo 28, apartados 2 y 4, del RGPD para contratar a otro encargado del tratamiento (un subencargado).
6.2. Por lo tanto, el encargado del tratamiento no podrá contratar a otro encargado (subencargado) para el cumplimiento de las cláusulas sin la autorización general previa por escrito del responsable del tratamiento de los datos.
6.3. El encargado del tratamiento cuenta con la autorización general del responsable del tratamiento para la contratación de subencargados. El encargado del tratamiento informará por escrito al responsable del tratamiento de cualquier cambio previsto en relación con la adición o sustitución de subencargados con una antelación mínima de 6 semanas, dando así al responsable del tratamiento la oportunidad de oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. En el Apéndice B se pueden facilitar plazos más largos de notificación previa para determinados servicios de subprocesamiento. La lista de subencargados ya autorizados por el responsable del tratamiento se encuentra en el Apéndice B.
6.4. Cuando el encargado del tratamiento contrate a un subencargado para llevar a cabo actividades de tratamiento específicas por cuenta del responsable del tratamiento, se impondrán a dicho subencargado las mismas obligaciones de protección de datos que se establecen en las Cláusulas mediante un contrato u otro acto jurídico en virtud de la legislación de la UE o de los Estados miembros, en particular proporcionando garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas de manera que el tratamiento cumpla los requisitos de las Cláusulas y del RGPD.
Por lo tanto, el encargado del tratamiento será responsable de exigir que el subencargado del tratamiento cumpla, como mínimo, las obligaciones a las que está sujeto el encargado del tratamiento en virtud de las cláusulas y del RGPD.
6.5. A petición del responsable del tratamiento, se presentará una copia de dicho acuerdo de subencargado y de las modificaciones posteriores, lo que dará al responsable del tratamiento la oportunidad de garantizar que se impongan al subencargado las mismas obligaciones de protección de datos que se establecen en las Cláusulas. Las Cláusulas sobre cuestiones relacionadas con el negocio que no afecten al contenido legal de protección de datos del acuerdo del subencargado, no requerirán ser presentadas al responsable del tratamiento.
6.6. El encargado del tratamiento acordará con el subencargado una cláusula xx xxxxxxx beneficiario en la que, en caso de quiebra del encargado, el responsable del tratamiento será un tercero beneficiario del acuerdo de subencargado y tendrá derecho a hacer cumplir el acuerdo al subencargado contratado por el encargado del tratamiento, por ejemplo, permitiendo que el responsable del tratamiento ordene al subencargado que elimine o devuelva los datos personales.
6.7. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento en lo que respecta al cumplimiento de las obligaciones del subencargado. Esto no afecta a los derechos de los interesados en virtud del RGPD —los previstos en los artículos 79 y 82 del RGPD— contra el responsable del tratamiento y el encargado del tratamiento, incluido el subencargado.
7. TRANSFERENCIA DE DATOS A TERCEROS PAÍSES U ORGANIZACIONES INTERNACIONALES
7.1. Cualquier transferencia de datos personales a terceros países u organizaciones internacionales por parte del encargado del tratamiento de datos solo se producirá sobre la base de instrucciones documentadas del responsable del tratamiento y siempre se llevará a cabo de conformidad con el capítulo V del RGPD.
7.2. En caso de que las transferencias a terceros países u organizaciones internacionales, que el responsable del tratamiento no haya ordenado realizar, sean necesarias en virtud de la legislación de la UE o de los Estados
miembros a la que esté sujeto el responsable del tratamiento, el responsable del tratamiento informará al responsable del tratamiento de ese requisito legal antes del tratamiento, a menos que dicha legislación prohíba dicha información por motivos importantes de interés público.
a. Por lo tanto, sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no puede, en el marco de las cláusulas:
b. transferir datos personales a un responsable o a un encargado del tratamiento en un tercer país o en una organización internacional
c. transferir el tratamiento de datos personales a un subencargado en un tercer país
d. que los datos personales sean tratados por el encargado del tratamiento en un tercer país
7.3. Las instrucciones del responsable del tratamiento relativas a la transferencia de datos personales a un tercer país, incluido, si procede, el instrumento de transferencia previsto en el capítulo V del RGPD en el que se basan, se expondrán en el apéndice C.6.
7.4. Las cláusulas no se confundirán con las cláusulas estándar de protección de datos en el sentido del artículo 46.2, letras c) y d) del RGPD, y las partes no podrán invocar las Cláusulas como instrumento de transferencia en virtud del capítulo V del RGPD.
8. ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO DE DATOS
8.1. Teniendo en cuenta la naturaleza del tratamiento, el encargado del tratamiento asistirá al responsable del mismo mediante las medidas técnicas y organizativas adecuadas, en la medida en que ello sea posible, en el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidas en el capítulo III del RGPD.
Esto implica que el encargado del tratamiento deberá, en la medida de lo posible, asistir al responsable del tratamiento en el cumplimiento del mismo:
a. el derecho a ser informado cuando se recojan datos personales del interesado
b. el derecho a ser informado cuando no se hayan obtenido los datos personales del interesado
c. el derecho de acceso del interesado
d. el derecho de rectificación
e. el derecho a la supresión ("derecho al olvido")
f. derecho a la limitación del tratamiento
g. obligación de notificación sobre la rectificación o supresión de datos personales o la limitación del tratamiento
h. derecho a la portabilidad de los datos
i. el derecho de oposición
j. el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles
8.2. Además de la obligación del encargado del tratamiento de asistir al responsable del mismo en virtud de la cláusula 6.3., el encargado del tratamiento también deberá, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone, asistir al responsable del mismo para garantizar el cumplimiento de:
a. La obligación del responsable del tratamiento de notificar la violación de los datos personales sin demora indebida y, cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ella
a la autoridad de control competente que corresponda al responsable del tratamiento, a menos que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas; la obligación del responsable del tratamiento de comunicar sin demora indebida la violación de los datos personales al interesado, cuando sea probable que la violación de los datos personales suponga un alto riesgo para los derechos y libertades de las personas físicas;
b. la obligación del responsable del tratamiento de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (unaevaluación de impacto sobre la protección de datos);
c. la obligación del responsable del tratamiento de consultar a la autoridad de control competente, pertinente para el responsable del tratamiento, antes del tratamiento, cuando una evaluación de impacto sobre la protección de datos indique que el tratamiento supondría un alto riesgo en ausencia de medidas adoptadas por el responsable del tratamiento para mitigarlo.
8.3. Las partes definirán en el Apéndice C las medidas técnicas y organizativas apropiadas por las que el encargado del tratamiento debe asistir al responsable del tratamiento, así como el alcance y la extensión de la asistencia requerida. Esto se aplica a las obligaciones previstas en la Cláusula 9.1. y 9.2.
9. NOTIFICACIÓN DE VIOLACIÓN DE DATOS PERSONALES
9.1. En caso de que se produzca una violación de los datos personales, el encargado del tratamiento notificará al responsable del tratamiento la violación de los datos personales sin demora indebida tras haber tenido conocimiento de la misma.
9.2. La notificación del encargado del tratamiento al responsable del mismo tendrá lugar, a ser posible, en el plazo de 24 HORAS desde que el encargado haya tenido conocimiento de la violación de los datos personales para
permitir que el responsable del tratamiento cumpla con la obligación de notificar la violación de los datos personales a la autoridad de control competente, véase el Artículo 33 del RGPD.
9.3. De conformidad con la Cláusula 9.2.a), el encargado del tratamiento ayudará al responsable del tratamiento a notificar la violación de los datos personales a la autoridad de control competente, lo que significa que el encargado del tratamiento está obligado a ayudar a obtener la información que se indica a continuación y que, de conformidad con el Artículo 33.3 del RGPD, deberá figurar en la notificación del responsable del tratamiento a la autoridad de control competente:
a. La naturaleza de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
b. las probables consecuencias de la violación de los datos personales;
c. las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
9.4. Las partes definirán en el Apéndice C todos los elementos que debe proporcionar el encargado del tratamiento cuando asista al responsable del tratamiento en la notificación de una violación de los datos personales a la autoridad de control competente.
10. SUPRESIÓN Y DEVOLUCIÓN DE DATOS
10.1. Al finalizar la prestación de servicios de tratamiento de datos personales, el encargado del tratamiento tendrá la obligación de suprimir todos los datos personales tratados por cuenta del responsable del tratamiento y de certificar al responsable del tratamiento que lo ha hecho, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales.
El encargado del tratamiento se compromete a tratar los datos personales exclusivamente para los fines y la duración previstos por esta ley y en las estrictas condiciones aplicables.
11. AUDITORÍA E INSPECCIÓN
11.1. El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y en las Cláusulas, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otro auditor encargado por el responsable del tratamiento.
11.2. Los procedimientos aplicables a las auditorías del responsable del tratamiento, incluidas las inspecciones, del encargado y los subencargados del tratamiento se especifican en el apéndice C.7.
11.3. El encargado del tratamiento estará obligado a facilitar a las autoridades de control que, en virtud de la legislación aplicable, tengan acceso a las instalaciones del responsable y del encargado del tratamiento, o a los representantes que actúen en nombre de dichas autoridades de control, el acceso a las instalaciones físicas del encargado del tratamiento, previa presentación de una identificación adecuada.
12. EL ACUERDO DE LAS PARTES SOBRE OTROS TÉRMINOS
12.1. Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de tratamiento de datos personales en las que se especifique, por ejemplo, la responsabilidad, si no contradicen directa o indirectamente las cláusulas ni perjudican los derechos o libertades fundamentales del interesado y la protección que ofrece el RGPD.
13. INICIO Y TERMINACIÓN
13.1. Las Cláusulas entrarán en vigor en la fecha de la firma de ambas partes.
13.2. Ambas partes tendrán derecho a exigir la renegociación de las Cláusulas si los cambios en la legislación o la falta de conveniencia de las mismas dieran lugar a dicha renegociación.
13.3. Las Cláusulas se aplicarán mientras dure la prestación de los servicios de tratamiento de datos personales. Mientras dure la prestación de servicios de tratamiento de datos personales, las Cláusulas no podrán ser rescindidas a menos que las partes hayan acordado otras Cláusulas que regulen la prestación de servicios de tratamiento de datos personales.
13.4. Si se pone fin a la prestación de servicios de tratamiento de datos personales, y los datos personales se eliminan o se devuelven al responsable del tratamiento de acuerdo con la Cláusula 11.1. y el Apéndice C.4., las Cláusulas podrán ser rescindidas mediante notificación escrita por cualquiera de las partes.
14. PUNTO DE CONTACTO DEL RESPONSABLE DE LA PROTECCIÓN DE DATOS
14.1. El responsable del tratamiento puede dirigirse en cualquier momento al Responsable de la Protección de Datos de Tjekvik en relación con el tratamiento de datos personales realizado por el encargado del tratamiento. El Responsable de la Protección de Datos puede ser contactado por correo electrónico: xxxxx@xxxxxxx.xxx.
15. FIRMA
En nombre del responsable del tratamiento se aplica el Acuerdo de Protección de Datos de acuerdo con lo especificado en los términos y condiciones.
En nombre del encargado del tratamiento de datos Nombre Xxxxxxxxx Xxxx
Posición Director general
Firma
APÉNDICE A
INFORMACIÓN
sobre el tratamiento
El tratamiento de datos personales por parte de Tjekvik, el encargado del tratamiento de datos, para el Responsable, se limita al art. 6 datos.
Los datos personales, relativos a los clientes del responsable del tratamiento, se eliminan generalmente en un plazo de 9 días.
En raras ocasiones, los datos pueden almacenarse durante más tiempo (hasta 15 días), si la tramitación de la cita lo requiere.
Los datos personales de los empleados del Responsable del tratamiento (nombres, direcciones de correo electrónico y funciones del usuario) son tratados por Tjekvik para garantizar que el usuario individual tenga el acceso correcto al back-end de Tjekvik. Los usuarios y sus datos pueden ser mantenidos directamente por el administrador de la cuenta (de forma centralizada en varios talleres) o por los gestores de los talleres (gestor local del taller). Los datos se almacenan mientras el responsable del tratamiento los necesite.
A.1.
LA FINALIDAD DEL TRATAMIENTO DE DATOS PERSONALES POR PARTE DEL ENCARGADO DEL TRATAMIENTO POR CUENTA DEL RESPONSABLE DEL MISMO ES:
Los datos se tratan con el fin de:
• Permitir que el cliente comience a realizar registros antes del inicio de la cita programada
• Permitir que el cliente utilice el autoservicio durante el registro
• Permitir que el cliente utilice el autoservicio durante la salida
A.2.
EL TRATAMIENTO DE DATOS PERSONALES POR PARTE DEL ENCARGADO DEL TRATAMIENTO POR CUENTA DEL RESPONSABLE DEL MISMO SE REFERIRÁ PRINCIPALMENTE A (LA NATURALEZA DEL TRATAMIENTO):
• Recopilación,
• grabación,
• organización,
• estructuración,
• almacenamiento,
• recuperación,
• uso,
• alineación o combinación,
• restricción,
• supresión o destrucción.
A.3.
EL TRATAMIENTO INCLUYE LOS SIGUIENTES TIPOS DE DATOS PERSONALES SOBRE LOS INTERESADOS:
• Nombre,
• dirección,
• correo electrónico,
• número de teléfono,
• número de registro
• Número VIN
• detalles sobre el vehículo específico, es decir, marca, modelo
• Detalles del pedido, es decir, el contenido del trabajo previsto y, en algunos casos, el precio
A.4.
EL TRATAMIENTO INCLUYE LAS SIGUIENTES CATEGORÍAS DE INTERESADOS:
• Clientes actuales del taller del responsable del tratamiento.
• Empleados del responsable del tratamiento.
A.5.
EL TRATAMIENTO DE DATOS PERSONALES POR PARTE DEL ENCARGADO DEL TRATAMIENTO POR CUENTA DEL RESPONSABLE DEL MISMO PUEDE REALIZARSE CUANDO LAS CLÁUSULAS COMIENZAN. EL TRATAMIENTO TIENE LA SIGUIENTE DURACIÓN:
La duración de cada tratamiento para el interesado es, por lo general, de 9 días, desde que el encargado del tratamiento importa los datos de una API. Después de 9 días, el sistema borra los datos personales.
En algunos casos, procesamos los datos durante un máximo de 15 días. Esto ocurre cuando el encargado importa los datos desde un sistema CSV, y no desde una solución API.
APÉNDICE B
AUTORIZADO
subencargados
B.1.
SUBENCARGADOS AUTORIZADOS
A partir de la entrada en vigor de las Cláusulas, el responsable del tratamiento autoriza la contratación de los siguientes subencargados:
NOMBRE
CVR
DIRECCIÓN
DESCRIPCIÓN DEL TRATAMIENTO
FUNDAMENTO JURÍDICO
HEROKU Número de identificación fiscal de EE.UU:
00-0000000
Número de la empresa:
Heroku es una parte de Salesforce, y la sede central se encuentra aquí:
Alojamiento en la nube de la aplicación Tjekvik (en servidores de AWS)
El servidor está situado dentro de la UE en Dublín (Irlanda) y Frankfurt (Alemania).
Cláusulas Contractuales Tipo (CCT), de acuerdo con la norma 2021/914.
C3096268 000 Xxxxxxx Xxxxxx Xxxxx 000 Xxx
Xxxxxxxxx, XX 00000 Los datos personales de
sus clientes no salen de la UE.
AMAZON Número de la empresa:
C3568304
SEDE:
000 Xxxxx Xxxxxx Xxxxx, Xxxxxxx, XX 00000-0000
Alojamiento en la nube del servidor SFTP utilizado para la importación de citas mediante archivos CSV
El servidor está situado dentro de la UE en Dublín (Irlanda) y Frankfurt (Alemania).
Cláusulas Contractuales Tipo (CCT), de acuerdo con la norma 2021/914.
Los datos personales de sus clientes no salen de la UE.
TWILIO Número de la empresa:
10994798-0143
SEDE:
000 Xxxxx Xxxxxx
Xxxxx 000 Xxx Xxxxxxxxx, XX
00000 XXXXXXX XXXXXX
Operaciones de SMS Cláusulas Contractuales Tipo (CCT), de acuerdo con la norma 2021/914.
El servidor se encuentra en Estados Unidos.
El servidor se trasladará a la UE durante el otoño de 2022/primavera de 2023.
Los datos personales de sus clientes no salen de la UE.
O
SINCH SWEDEN
556747-5495 Lindhagensgatan 74
El servidor está ubicado dentro de la Los datos personales de
AB 112 18 Estocolmo
Suecia
UE/EEE en Xxxxxx, Xxxxxxx y Frankfurt, Alemania.
sus clientes no salen de la UE.
Mailgun 55-Número de empresa:
000 X Xxxxx Xx. #0000 Xxx Xxxxxxx,
Operaciones de correo electrónico Cláusulas Contractuales
Tipo (CCT), de acuerdo
0802653513
XX 00000, XXX con la norma 2021/914.
El servidor está ubicado dentro de la UE en Xxxxxx, Xxxxxxx.
Los datos personales de sus clientes no salen de la UE.
El responsable del tratamiento autorizará, a partir de la entrada en vigor de las Cláusulas, el uso de los subencargados antes mencionados para el tratamiento descrito para esa parte.
En ausencia de una decisión de conformidad con el Artículo 45.3, un responsable o un encargado del tratamiento podrá transferir datos personales a un tercer país o a una organización internacional solo si el responsable o el encargado del tratamiento ha proporcionado las garantías apropiadas, y a condición de que se disponga de derechos exigibles de los interesados y de recursos legales efectivos para los mismos, véase el artículo 46.1 del Reglamento. Se han aplicado las salvaguardias adecuadas con los subencargados mencionados, para garantizar los derechos del interesado.
El 4 xx xxxxx de 2021, la Comisión publicó las Cláusulas Contractuales Tipo (CCT) modernizadas en el marco del RGPD para las transferencias de datos de responsables o encargados del tratamiento en la UE/EEE (o sujetos al RGPD) a responsables o encargados del tratamiento establecidos fuera de la UE/EEE (y no sujetos al RGPD). Véase la DECISIÓN DE APLICACIÓN DE LA COMISIÓN (UE) 2021/914.
Todos los datos personales tratados por cuenta del responsable del tratamiento se procesan en el territorio de la UE/EEE.
B.2.
AVISO PREVIO PARA LA AUTORIZACIÓN DE SUBENCARGADOS
Si Tjekvik añade un subencargado para realizar tareas en las que Tjekvik es el encargado de datos en nombre del responsable de datos especificado en este contrato, se notificará previamente al responsable de datos, en un plazo máximo de 6 semanas, antes de que se produzca el cambio del subencargado de datos.
Si el responsable del tratamiento tiene objeciones al cambio, la objeción debe hacerse lo antes posible y en un plazo máximo de 21 días después de que el responsable del tratamiento haya recibido la notificación.
APÉNDICE C
INSTRUCCIÓN RELATIVA A
la utilización de datos personales
C.1.
EL OBJETO DE LAS INSTRUCCIONES PARA EL TRATAMIENTO
El tratamiento de datos personales por parte del encargado del tratamiento se llevará a cabo por el encargado del tratamiento realizando lo siguiente:
El encargado del tratamiento trata los datos personales con el fin de proporcionar "Tjekvik, recepción de servicios digitales" al responsable del tratamiento de acuerdo con los Términos de Servicio.
Los datos que recoge Tjekvik proceden del sistema DMS de los controladores o de la API. En raras ocasiones se recogen datos del interesado, lo que garantiza el derecho de rectificación y que los datos tratados sean correctos.
Los datos personales serán objeto de varias actividades de tratamiento, entre las que se encuentran:
C.2.
SEGURIDAD DEL TRATAMIENTO
El nivel de seguridad deberá tener en cuenta:
Que el tratamiento implica una cantidad significativa de datos personales, que están sujetos al Artículo 6 del Reglamento. No se tratan datos del Artículo 9 o 10. Existe un bajo riesgo de que se vulneren los derechos y libertades del interesado, lo que se refleja en el nivel de seguridad.
En lo sucesivo, el encargado del tratamiento tendrá el derecho y la obligación de tomar decisiones sobre las medidas de seguridad técnicas y organizativas que deben aplicarse para crear el nivel necesario (y acordado) de seguridad de los datos.
No obstante, el encargado del tratamiento deberá, en cualquier caso y como mínimo, aplicar las siguientes medidas acordadas con el responsable del tratamiento:
C.2.1. De la protección de datos se encarga el RPD de Tjekvik indicado en este documento.
Tjekvik educa a los empleados en la protección de los datos personales dentro de la organización.
C.2.2. Requisitos para la encriptación de datos personales:
Por defecto, Tjekvik utiliza HTTPS entre una API y para las cuentas de usuario. Las contraseñas de los usuarios también se encriptan en la base de datos.
Cuando los datos se transfieren entre sistemas, se encriptan en tránsito (SFTP/HTTPS), existe la opción de que los distribuidores adquieran una mayor encriptación (datos encriptados en reposo dentro de la base de datos).
C.2.3. Requisitos para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento:
• Recopilación,
• grabación,
• organización,
• estructuración,
• almacenamiento,
• recuperación,
• uso,
• alineación o combinación,
• restricción,
• supresión o destrucción.
Tjekvik ha hecho posible que los interesados rectifiquen la información, como por ejemplo los datos de contacto.
Tjekvik ha hecho posible que los administradores de la tienda y de la cuenta puedan añadir, rectificar o eliminar información.
C.2.4. Requisitos para la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico:
Tjekvik solo almacena una cantidad muy limitada de datos durante un periodo muy limitado. Si es necesario, debido a un evento físico o técnico, los datos perdidos pueden volver a importarse y estar disponibles de nuevo.
C.2.5. Requisitos para los procesos de comprobación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento:
De forma recurrente se realiza una prueba de penetración, para garantizar que todos los datos personales se almacenan de forma segura en el sistema.
Todos los empleados son instruidos en las directrices relativas al tratamiento de datos personales.
C.2.6. Requisitos de seguridad física de los lugares en los que se tratan los datos personales:
La oficina central de Tjekvik está protegida con un control de acceso mediante "tarjeta de crédito", con un código PIN personal.
C.2.7. Requisitos para el uso del trabajo a domicilio o a distancia:
Tjekvik ha publicado unas directrices para los empleados que trabajan desde casa o a distancia.
C.3.
ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO DE DATOS
El encargado del tratamiento, en la medida de lo posible —dentro del ámbito y el alcance de la asistencia que se especifica a continuación—, ayudará al responsable del tratamiento de acuerdo con la Cláusula 9.1. y 9.2. aplicando las siguientes medidas técnicas y organizativas:
Tjekvik notificará al responsable del tratamiento, si es posible, dentro de las 24 HORAS siguientes a que Tjekvik haya tenido conocimiento de la violación de los datos personales para que el responsable del tratamiento cumpla con la obligación del responsable de notificar la violación de los datos personales a la autoridad de control competente, véase Artículo 33 del GDPR.
C.4.
PERÍODO DE ALMACENAMIENTO/PROCEDIMIENTOS DE SUPRESIÓN
El periodo de almacenamiento general es de 14 días. Si un interesado no ha recogido la llave de su vehículo, sus datos no se borran antes de que su llave se recoja.
El periodo puede ampliarse si la fuente de importación de citas procede de un archivo CSV, ya que entonces mantenemos las citas utilizadas para el registro durante 25 días, para asegurar la disponibilidad para la salida.
C.5.
LUGAR DE PROCESAMIENTO
El tratamiento de los datos personales en virtud de las Cláusulas se llevará a cabo en los lugares indicados en el apartado B.1 y en la oficina de Tjekvik.
C.6.
INSTRUCCIONES SOBRE LA TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES
Al transferir los datos a un tercer país, que tiene un nivel de protección adecuado (un tercer país seguro) o a un tercer país sin nivel de seguridad de acuerdo con el Reglamento General de Protección de Datos, todas las transferencias tienen una base legal de transferencia.
En lo que respecta a las transferencias de datos personales a terceros países que no están en la lista de terceros países seguros, Tjekvik hará un seguimiento continuo y al menos anual para comprobar que el encargado del tratamiento de los datos sigue cumpliendo los requisitos de seguridad en lo que respecta a la transferencia de datos personales a terceros países, establecidos en el Reglamento General de Protección de Datos. Si se diera el caso de que no se cumplieran los requisitos del reglamento, Tjekvik pondría fin inmediatamente a la cooperación con el subencargado e informaría al Responsable del tratamiento de la
decisión de poner fin a la cooperación. Cuando se cambie un subencargado, Tjekvik utilizará el procedimiento acordado establecido en el apartado B.2
C.7.
PROCEDIMIENTOS PARA LAS AUDITORÍAS DEL RESPONSABLE DEL TRATAMIENTO, INCLUIDAS LAS INSPECCIONES, DEL TRATAMIENTO DE DATOS PERSONALES QUE REALIZA EL ENCARGADO DEL TRATAMIENTO
El responsable del tratamiento o el representante del responsable del tratamiento tendrá derecho a realizar una inspección física anual de los lugares en los que el encargado del tratamiento lleva a cabo el tratamiento de datos personales, incluidas las instalaciones físicas, así como los sistemas utilizados para el tratamiento y relacionados con el mismo, a fin de comprobar que el encargado del tratamiento cumple con el RGPD, las disposiciones de protección de datos de la UE o de los Estados miembros aplicables y las Cláusulas.
Además de la inspección prevista, el responsable del tratamiento podrá realizar una inspección del encargado del tratamiento cuando lo considere necesario.