Para clientes particulares

Cláusulas contractuales tipo

A efectos del artículo 28, apartado 3, del Reglamento 2016/679 (el RGPD) 

Entre el usuario (responsable del tratamiento)

EMPRESA
NOMBRE
HORA
IP USUARIO
EMAIL

y

Data & More ApS
Flæsketorvet 68
DK-1711 Copenhague V
CVR-nr.: 38185659 (el procesador de datos)

cada una "parte"; conjuntamente "las partes".

Han acordado las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de cumplir con los requisitos del GDPR y garantizar la protección de los derechos del interesado.

Índice

1. Preámbulo 3
2. Derechos y obligaciones del responsable del tratamiento 3
3. El responsable del tratamiento actúa siguiendo instrucciones 3
4. Confidencialidad 4
5. Seguridad del tratamiento 4
6. Utilización de subencargados del tratamiento 5
7. Transferencia de datos a terceros países u organizaciones internacionales 6
8. Asistencia al responsable del tratamiento 6
9. Notificación de violación de datos personales 7
10. Borrado y devolución de datos 8
11. Auditoría e inspección 8
12. Acuerdo de las partes sobre otras condiciones 8
13. Comienzo y finalización 8
14. Contactos/puntos de contacto del responsable y del encargado del tratamiento 9

Apéndice A Información sobre el tratamiento 10

1. La finalidad del tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento es: 10
2. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se referirá principalmente a (la naturaleza del tratamiento): 10
3. El tratamiento incluye los siguientes tipos de datos personales sobre los interesados: 11
4. El tratamiento incluye las siguientes categorías de interesados 11
5. El tratamiento de los datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento puede llevarse a cabo cuando comiencen a aplicarse las Cláusulas. El tratamiento tiene la siguiente duración 11

Apéndice B Subprocesadores autorizados 13

1. Subtransformadores autorizados 13

Apéndice C Instrucciones relativas al uso de datos personales 14

1. Objeto/instrucción del tratamiento 14
2. Seguridad del tratamiento 14

Seguridad de las organizaciones 14

Seguridad física 14

Seguridad técnica: Acceso y protección de los sistemas informáticos 15

Seguridad técnica: Acceso a los datos personales 15

Seguridad técnica: Cifrado 16

Seguridad técnica: Protección de datos personales durante la transmisión 16

Seguridad técnica: Disponibilidad y robustez 16

3. Asistencia al interventor 16
4. Periodo de almacenamiento/procedimientos de verificación 17
5. Lugar de procesamiento 17
6. Instrucción sobre la transferencia de datos personales a terceros países 17
7. Procedimientos para las auditorías del responsable del tratamiento, incluidas las inspecciones, del tratamiento de datos personales realizado por el encargado del tratamiento. 17
8. Procedimientos de auditoría, incluidas inspecciones, del tratamiento de datos personales realizado por subencargados del tratamiento. 18
9. Apéndice D Condiciones de acuerdo de las Partes sobre otros temas 20
10. Otros asuntos 20
11. El Acuerdo de Tratamiento de Datos no regula otras cuestiones. 20

• Preámbulo

 

1. Las presentes Cláusulas Contractuales (las Cláusulas) establecen los derechos y obligaciones del responsable del tratamiento y del encargado del tratamiento, cuando tratan datos personales por cuenta del responsable del tratamiento.

 

1. Las Cláusulas han sido diseñadas para garantizar el compliance por las partes del artículo 28, apartado 3, del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

 

1. En el contexto de la prestación de Data & More Compliance Server, el encargado del tratamiento tratará los datos personales por cuenta del responsable del tratamiento de conformidad con las Cláusulas.

 

1. Las Cláusulas tendrán prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las partes.

 

1. Cuatro apéndices se adjuntan a las Cláusulas y forman parte integrante de las mismas.

 

1. El Apéndice A contiene detalles sobre el tratamiento de datos personales, incluida la finalidad y la naturaleza del tratamiento, el tipo de datos personales, las categorías de interesados y la duración del tratamiento.

 

1. El apéndice B contiene las condiciones del responsable del tratamiento para el uso de subencargados del tratamiento y una lista de los subencargados autorizados por el responsable del tratamiento.

 

1. El apéndice C contiene las instrucciones del responsable del tratamiento en relación con el tratamiento de datos personales, las medidas de seguridad mínimas que debe aplicar el encargado del tratamiento y cómo deben realizarse las auditorías del encargado del tratamiento y de los posibles subencargados.

 

1. El apéndice D contiene disposiciones para otras actividades no contempladas en las cláusulas. 

 

1. Ambas partes conservarán por escrito, incluso electrónicamente, las Cláusulas junto con los apéndices.

 

1. Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que esté sujeto en virtud del Reglamento General de Protección de Datos (el RGPD) u otra legislación.

• Derechos y obligaciones del responsable del tratamiento

 

1. El responsable del tratamiento es responsable de garantizar que el tratamiento de los datos personales se realice de compliance con el RGPD (véase el artículo 24 del RGPD), las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos y las Cláusulas. aplicables y las Cláusulas.

 

1. El responsable del tratamiento tiene el derecho y la obligación de tomar decisiones sobre los fines y medios del tratamiento de datos personales.

 

1. El responsable del tratamiento será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que se encargue al encargado del tratamiento tenga una base jurídica. 

• El procesador de datos actúa siguiendo instrucciones

 

1. El encargado del tratamiento sólo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado. Dichas instrucciones se especificarán en los apéndices A y C. El responsable del tratamiento también podrá dar instrucciones ulteriores mientras dure el tratamiento de datos personales, pero dichas instrucciones deberán documentarse y conservarse siempre por escrito, incluso por medios electrónicos, en relación con las Cláusulas. 

 

1. El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento, en opinión del encargado del tratamiento, contravienen el RGPD o las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos.

 

1. Además, el responsable del tratamiento ayudará al responsable del tratamiento a garantizar el compliance de las obligaciones del responsable del tratamiento de conformidad con el artículo 32 del RGPD, entre otras cosas, facilitándole información sobre las medidas técnicas y organizativas ya aplicadas por el responsable del tratamiento de conformidad con el artículo 32 del RGPD, junto con cualquier otra información necesaria para que el responsable del tratamiento cumpla con la obligación del responsable del tratamiento de conformidad con el artículo 32 del RGPD.
2. Si posteriormente, según la evaluación del Responsable del tratamiento, la mitigación de los riesgos identificados requiere que el Responsable del tratamiento aplique medidas adicionales a las ya aplicadas por el Responsable del tratamiento de conformidad con el artículo 32 del RGPD, el Responsable del tratamiento especificará estas medidas adicionales que deben aplicarse en el apéndice C.

• Confidencialidad

 

1. El encargado del tratamiento sólo concederá acceso a los datos personales tratados por cuenta del responsable del tratamiento a las personas bajo su autoridad que se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad, y únicamente en la medida en que sea necesario. La lista de personas a las que se ha concedido acceso se revisará periódicamente. Sobre la base de esta revisión, dicho acceso a los datos personales podrá retirarse, si ya no es necesario, y, en consecuencia, dichas personas dejarán de tener acceso a los datos personales.

 

1. El encargado del tratamiento demostrará, a petición del responsable del tratamiento, que las personas afectadas bajo su autoridad están sujetas a la confidencialidad antes mencionada.

• Seguridad del tratamiento 

 

1. El artículo 32 del RGPD establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

 

El responsable del tratamiento evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. En función de su pertinencia, las medidas podrán incluir lo siguiente:

1. Seudonimización y cifrado de datos personales;

 

1. la capacidad de garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento;

 

1. la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;

 

1. un proceso de comprobación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 

1. De conformidad con el artículo 32 del RGPD, el encargado del tratamiento evaluará también -independientemente del responsable del tratamiento- los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. A tal efecto, el responsable del tratamiento facilitará al encargado del tratamiento toda la información necesaria para identificar y evaluar dichos riesgos.

 

1. Además, el encargado del tratamiento ayudará al responsable del tratamiento a garantizar el compliance de las obligaciones del responsable del tratamiento con arreglo al artículo 32 del RGPD, mediante entre otras cosas proporcionando al responsable del tratamiento de datos información relativa a las medidas técnicas y organizativas ya aplicadas por el responsable del tratamiento de datos de conformidad con el artículo 32 del RGPD, junto con cualquier otra información necesaria para que el responsable del tratamiento de datos cumpla con la obligación del responsable del tratamiento de datos en virtud del artículo 32 del RGPD.

 

Si posteriormente, según la evaluación del responsable del tratamiento, la mitigación de los riesgos identificados requiere que el encargado del tratamiento aplique medidas adicionales a las ya aplicadas por el responsable del tratamiento de conformidad con el artículo 32 del RGPD, el responsable del tratamiento especificará dichas medidas adicionales en el apéndice C.

• Uso de subprocesadores

 

1. El encargado del tratamiento de datos deberá cumplir los requisitos especificados en el artículo 28, apartados 2 y 4, del RGPD para poder contratar a otro encargado (un subencargado del tratamiento).

 

1. Por consiguiente, el encargado del tratamiento no contratará a otro encargado (subencargado del tratamiento) para el cumplimiento de las cláusulas sin la previa autorización específica por escrito del responsable del tratamiento.

 

1. El encargado del tratamiento contratará a subencargados únicamente con la autorización específica previa del responsable del tratamiento. El encargado del tratamiento presentará la solicitud de autorización específica al menos 30 días antes de la contratación del subencargado en cuestión. La lista de subencargados del tratamiento ya autorizados por el responsable del tratamiento figura en el apéndice B.

 

1. Cuando el encargado del tratamiento contrate a un subencargado para llevar a cabo actividades de tratamiento específicas por cuenta del responsable del tratamiento, se impondrán a dicho subencargado las mismas obligaciones de protección de datos que se establecen en las Cláusulas mediante un contrato u otro acto jurídico en virtud de la legislación de la UE o de los Estados miembros, en particular proporcionando garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos de las Cláusulas y del GDPR.

 

Por lo tanto, el encargado del tratamiento será responsable de exigir que el subencargado del tratamiento cumpla, como mínimo, las obligaciones a las que está sujeto en virtud de las Cláusulas y del GDPR.

 

1. A petición del responsable del tratamiento, deberá presentarse al responsable del tratamiento una copia de dicho acuerdo de subencargado del tratamiento y de las modificaciones posteriores, dando así al responsable del tratamiento la oportunidad de garantizar que se imponen al subencargado del tratamiento las mismas obligaciones de protección de datos que se establecen en las cláusulas. No será necesario presentar al responsable del tratamiento las cláusulas relativas a cuestiones comerciales que no afecten al contenido jurídico de protección de datos del acuerdo de subencargado del tratamiento.  

 

1. El encargado del tratamiento acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el encargado del tratamiento haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el responsable del tratamiento tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.

 

1. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos, el responsable del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento en lo que respecta al cumplimiento de las obligaciones del subencargado. Esto no afecta a los derechos de los interesados en virtud del RGPD -en particular los previstos en los artículos 79 y 82 del RGPD- frente al responsable del tratamiento y al encargado del tratamiento, incluido el subencargado del tratamiento.

• Transferencia de datos a terceros países u organizaciones internacionales

 

1. Toda transferencia de datos personales a terceros países u organizaciones internacionales por parte del encargado del tratamiento se realizará únicamente sobre la base de instrucciones documentadas del responsable del tratamiento y siempre de compliance con el capítulo V del RGPD. 

 

1. En caso de que las transferencias a terceros países u organizaciones internacionales, que el responsable del tratamiento no haya encargado realizar al encargado del tratamiento, sean exigidas por la legislación de la UE o de los Estados miembros a la que esté sujeto el encargado del tratamiento, éste informará al responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que dicha legislación prohíba dicha información por motivos importantes de interés público.

 

1. Por lo tanto, sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no puede entrar en el marco de las cláusulas:

 

1. transferir datos personales a un responsable o encargado del tratamiento en un tercer país o en una organización internacional

 

1. transferir el tratamiento de datos personales a un subencargado del tratamiento en un tercer país 

 

1. que el encargado del tratamiento trate los datos personales en un tercer país

 

1. Las instrucciones del responsable del tratamiento relativas a la transferencia de datos personales a un tercer país, incluido, si procede, el instrumento de transferencia con arreglo al capítulo V del RGPD en el que se basan, se expondrán en el apéndice C.6.

 

1. Las Cláusulas no se confundirán con las cláusulas tipo de protección de datos en el sentido del artículo 46, apartado 2, letras c) y d) del RGPD, y las partes no podrán invocar las Cláusulas como instrumento de transferencia con arreglo al capítulo V del RGPD.

• Asistencia al responsable del tratamiento

 

1. Teniendo en cuenta la naturaleza del tratamiento, el encargado del tratamiento asistirá al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, en el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidas en el capítulo III del RGPD.

Esto implica que el encargado del tratamiento, en la medida de lo posible, asistirá al responsable del tratamiento en el compliance por parte de éste del ejercicio de los siguientes derechos del interesado:

 

1. derecho a ser informado cuando se recojan datos personales del interesado
2. derecho a ser informado cuando no se hayan obtenido datos personales del interesado
3. derecho de acceso del interesado
4. derecho de rectificación
5. derecho de supresión ("derecho al olvido")
6. derecho a la limitación del tratamiento
7. obligación de notificación relativa a la rectificación o supresión de datos personales o a la limitación de su tratamiento
8. derecho a la portabilidad de los datos
9. derecho de oposición 
10. derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles

 

1. Además de la obligación del encargado del tratamiento de asistir al responsable del tratamiento con arreglo a la cláusula 8.1., el encargado del tratamiento deberá además, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, asistir al responsable del tratamiento para garantizar el compliance de:

 

1. Obligación del responsable del tratamiento de notificar sin dilación indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de ella, la violación de los datos personales a la autoridad de control competente, Se notificará a la Agencia Nacional de Protección de Datos competente -en Dinamarca, la Agencia Danesa de Protección de Datos-, a menos que sea improbable que la violación de los datos personales dé lugar a un riesgo para los derechos y libertades de las personas físicas.

 

1. la obligación del responsable del tratamiento de comunicar sin dilación indebida la violación de los datos personales al interesado, cuando sea probable que la violación de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas;

 

1. la obligación del responsable del tratamiento de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una evaluación de impacto relativa a la protección de datos);

 

1. la obligación del responsable del tratamiento de consultar a la autoridad de control competente, Se notificará a la Agencia Nacional de Protección de Datos competente -en Dinamarca, la Agencia Danesa de Protección de Datos- antes del tratamiento cuando una evaluación de impacto de la protección de datos indique que el tratamiento supondría un alto riesgo en ausencia de medidas adoptadas por el responsable del tratamiento para mitigar el riesgo.

 

1. Las partes definirán en el apéndice C las medidas técnicas y organizativas apropiadas mediante las cuales el encargado del tratamiento de datos deberá asistir al responsable del tratamiento de datos, así como el ámbito y el alcance de la asistencia requerida. Esto se aplica a las obligaciones previstas en la cláusula 9.1. y 9.2.

 

• Notificación de violación de datos personales

 

1. En caso de violación de los datos personales, el encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida tras haber tenido conocimiento de ella, la violación de los datos personales.

 

1. La notificación del encargado del tratamiento al responsable del tratamiento tendrá lugar, si es posible, en un plazo de 24 horas a partir del momento en que el encargado del tratamiento haya tenido conocimiento de la violación de los datos personales, a fin de que el responsable del tratamiento pueda cumplir con la obligación del responsable del tratamiento de notificar la violación de los datos personales a la autoridad de control competente, véase el artículo 33 del RGPD.

 

1. De conformidad con el apartado 2 de la cláusula 9, el encargado del tratamiento ayudará al responsable del tratamiento a notificar la violación de los datos personales a la autoridad de control competente, lo que significa que el encargado del tratamiento deberá ayudar a obtener la información que se enumera a continuación y que, de conformidad con el apartado 3 del artículo 33 del RGPD, deberá figurar en la notificación del responsable del tratamiento a la autoridad de control competente:  

 

1. La naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados; 

 

1. las consecuencias probables de la violación de los datos personales;

 

1. las medidas adoptadas o que se propone adoptar el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. 

 

1. Las partes definirán en el apéndice C todos los elementos que deberá facilitar el encargado del tratamiento cuando asista al responsable del tratamiento en la notificación de una violación de datos personales a la autoridad de control competente.

 

• Borrado y devolución de datos

 

1. Una vez finalizada la prestación de servicios de tratamiento de datos personales, el encargado del tratamiento tendrá la obligación de suprimir todos los datos personales tratados por cuenta del responsable del tratamiento y certificar al responsable del tratamiento que así lo ha hecho.

 

• Auditoría e inspección

 

1. El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el compliance de las obligaciones establecidas en el artículo 28 y en las Cláusulas, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otro auditor encargado por el responsable del tratamiento.

 

1. En los apéndices C.7. y C.8. se especifican los procedimientos aplicables a las auditorías del responsable del tratamiento, incluidas las inspecciones, del encargado del tratamiento y de los subencargados del tratamiento.    

 

1. El encargado del tratamiento estará obligado a facilitar a las autoridades de control que, en virtud de la legislación aplicable, tengan acceso a las instalaciones del responsable y del encargado del tratamiento, o a los representantes que actúen en nombre de dichas autoridades de control, el acceso a las instalaciones físicas del encargado del tratamiento, previa presentación de una identificación adecuada y de conformidad con el Derecho procesal de la Unión o de los Estados miembros. 

• Acuerdo de las partes sobre otras condiciones 

 

1. Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de tratamiento de datos personales en las que se especifique, por ejemplo, la responsabilidad, siempre que no contradigan directa o indirectamente las Cláusulas ni perjudiquen los derechos o libertades fundamentales del interesado y la protección que ofrece el GDPR.

• Inicio y finalización

 

1. Las Cláusulas entrarán en vigor en la fecha de su firma por ambas partes.

 

1. Ambas partes tendrán derecho a exigir la renegociación de las Cláusulas si los cambios en la legislación o la falta de conveniencia de las Cláusulas dieran lugar a dicha renegociación. 

 

1. Las Cláusulas se aplicarán mientras dure la prestación de servicios de tratamiento de datos personales. Durante la duración de la prestación de servicios de tratamiento de datos personales, las Cláusulas no podrán rescindirse a menos que las partes hayan acordado otras Cláusulas que rijan la prestación de servicios de tratamiento de datos personales.

 

• Si se pone fin a la prestación de servicios de tratamiento de datos personales, y los datos personales se suprimen o devuelven al responsable del tratamiento de conformidad con la cláusula 11.1. y el apéndice C.4., cualquiera de las partes podrá rescindir las cláusulas mediante notificación por escrito.

• Firma

 

En nombre del encargado del tratamiento

 

Nombre: Kristian Boe Helweg Hansen

Titel: Gestor de Éxito de Clientes y Compliance

Móvil: +45 60843418

Correo electrónico: kbhh@dataandmore.com

 

Signature Date: {{rawTimestamp}}

 

En nombre del usuario (responsable del tratamiento)

 

EMPRESA

NOMBRE

MARCA DE TIEMPO
IP USUARIO
EMAIL

• Contactos/puntos de contacto del responsable y el encargado del tratamiento

 

1. Las partes podrán ponerse en contacto entre sí utilizando los siguientes contactos/puntos de contacto:

 

1. Las partes estarán obligadas a informarse mutuamente y de forma continua de los cambios que se produzcan en los contactos/puntos de contacto.

 

Nombre: Kristian Boe Helweg Hansen

Titel: Gestor de Éxito de Clientes y Compliance

Móvil: +45 60843418

Correo electrónico: kbhh@dataandmore.com

 

Para asistencia en casos técnicos, póngase en contacto con 

 

Correo electrónico: support@dataandmore.com

 

Apéndice A Información sobre el tratamiento

 

1. La finalidad del tratamiento de datos personales por parte del procesador en nombre del controlador es:

   1. Los siguientes fines constituyen la base del tratamiento de datos personales por parte del procesador en nombre del controlador: El tratamiento de datos personales se lleva a cabo con el fin de limpiar y ayudar a obtener una visión general de los datos que contienen información de identificación personal (PII-datos) que son innecesarios u obsoletos con el fin de eliminar los datos. El encargado del tratamiento proporciona asistencia, mantenimiento y reparación del servidor deCompliance Data & More ubicado en las instalaciones del encargado del tratamiento. 
      1. Además, el tratamiento de datos personales se lleva a cabo para cumplir los siguientes fines: El encargado del tratamiento presta servicios de consultoría para apoyar el mantenimiento y servicio del Servidor deCompliance Data & More ubicado en las instalaciones del encargado del tratamiento o del responsable del tratamiento. 

2. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se referirá principalmente a (la naturaleza del tratamiento):

 

1. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento consistirá principalmente en (la naturaleza del tratamiento): La recuperación y estructuración de diversas categorías de datos personales sensibles recogidos en relación con la prestación del servicio. Dicha recuperación se llevará a cabo de conformidad con las instrucciones del Responsable del tratamiento y se referirá predominantemente a conjuntos de datos no estructurados, incluidos, entre otros, cuentas de correo electrónico, unidades de intercambio de archivos o sistemas equivalentes. 
2. Cuando el encargado del tratamiento presta servicios de consultoría, el tratamiento de datos personales suele implicar actividades limitadas y específicas necesarias para cumplir las obligaciones contractuales acordadas con el responsable del tratamiento. Estas actividades pueden incluir: El encargado del tratamiento proporciona soporte y el mantenimiento y servicio del Servidor deCompliance Data & More ubicado en las instalaciones del encargado del tratamiento. 
3. Acceso a los datos en caso necesario: El encargado del tratamiento podrá acceder a los datos personales para analizar, diagnosticar o resolver problemas relacionados con los sistemas o servicios que estén manteniendo o mejorando, siempre bajo las instrucciones del responsable del tratamiento. 
4. Prestación de asistencia técnica: Los servicios de consultoría pueden requerir que el procesador interactúe con sistemas que almacenan o procesan datos personales para proporcionar orientación, implementar cambios o garantizar la funcionalidad. Este tratamiento se limita a lo estrictamente necesario para prestar el servicio. 
5. Compliance de instrucciones: La función del encargado del tratamiento es únicamente actuar siguiendo las instrucciones documentadas del responsable del tratamiento. El encargado del tratamiento no determina la finalidad ni los medios del tratamiento, sino que garantiza que los servicios prestados se ajustan a las instrucciones del responsable del tratamiento y a lo dispuesto en el presente Acuerdo. 
6. Aplicación de salvaguardias: Los datos personales manejados durante los servicios de consultoría se procesan de forma segura, con medidas implementadas para proteger su confidencialidad, integridad y disponibilidad. Esto incluye controles de acceso seguro, cifrado y otras medidas técnicas y organizativas exigidas por el GDPR y por las disposiciones del presente Acuerdo. 
7. Interacción temporal con los datos: El tratamiento puede ser temporal o incidental, como durante la resolución de problemas o las tareas de configuración. El encargado del tratamiento garantiza que no se conserven datos más allá del alcance del servicio, a menos que se acuerde explícitamente con el responsable del tratamiento. 
8. En general, los servicios de consultoría del procesador implican el procesamiento estrictamente necesario y controlado de datos personales para cumplir con los objetivos definidos por el controlador, en pleno compliance de los principios del GDPR y los acuerdos contractuales. 

1. El tratamiento incluye los siguientes tipos de datos personales sobre los interesados:

   1. dirección, datos bancarios (datos de la tarjeta o información de la cuenta), documentos de facturación y contabilidad, fecha de nacimiento, correo electrónico, información sobre el dispositivo utilizado por los usuarios, dirección IP, nombre, contraseña para uno o varios sistemas, número de teléfono, número de la seguridad social, nombre de usuario para uno o varios sistemas, diversos datos personales sobre los sistemas de los clientes a los que se concede acceso, diversos datos personales proporcionados o registrados por el cliente o los clientes del cliente sin que la organización los procese e identifique activamente, diversos datos personales que se registran en relación con la prestación del servicio y no pueden definirse con precisión
   2. número de la seguridad social, fecha de nacimiento, datos bancarios (datos de la tarjeta o información de la cuenta), documentos de facturación y contabilidad, contraseña para uno o varios sistemas, nombre de usuario para uno o varios sistemas, correo electrónico, dirección, número de teléfono, nombre, dirección IP, información sobre el dispositivo utilizado por los usuarios, diversos datos personales proporcionados o registrados por el cliente o los clientes del cliente sin que la organización los procese e identifique activamente, diversos datos personales sobre los sistemas de los clientes a los que se concede acceso, diversos datos personales que se registran en relación con la prestación del servicio y que no pueden definirse con precisión. 
   3. Diversos datos personales sensibles que se registran en relación con la prestación del servicio y no pueden definirse con precisión. Diversos datos personales relacionados con el salario y el pago que se registran en relación con la prestación del servicio y no pueden definirse con precisión.

2. El tratamiento incluye las siguientes categorías de interesados

   1. Empleados actuales, antiguos empleados, solicitantes o posibles sujetos de reclutamiento y contratación, clientes que sean consumidores o empresarios individuales, empleados y socios de los clientes.
   2. (cuando los clientes son empresas), los clientes de los clientes y sus empleados (por ejemplo a los proveedores de CRM), los proveedores que son personas o empresarios individuales, los empleados de los proveedores (cuando los proveedores son empresas), las filiales que son personas o empresas individuales, los empleados de las filiales (cuando las filiales son empresas), varias categorías que no se pueden identificar de antemano

3. El tratamiento de los datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento puede llevarse a cabo cuando comiencen a aplicarse las Cláusulas. El tratamiento tiene la siguiente duración:

   1. El tratamiento de datos personales se llevará a cabo hasta que finalicen los servicios del procesador, tras lo cual los datos personales se eliminarán de conformidad con la cláusula 10.1. El tratamiento de datos personales por parte del encargado del tratamiento se llevará a cabo mientras consista el acuerdo o acuerdos comerciales subyacentes.

Apéndice B Subtransformadores autorizados

1. Subtransformadores autorizados

 

1.1 A partir de la entrada en vigor de las Cláusulas, el Responsable del tratamiento autoriza la contratación de los siguientes subencargados del tratamiento:

Hetzner Online GmbH

DE812871812 Industriestr. 25,

91710 Gunzenhausen,

Alemania

Copia de seguridad / Centro de alojamiento Es el socio de alojamiento de servidores de Data & More ApS

 

1.2 El Responsable del tratamiento autorizará al inicio de las Cláusulas la utilización de los subencargados del tratamiento antes mencionados para el tratamiento descrito para esa Parte. El Encargado del Tratamiento no tendrá derecho -sin la autorización expresa y por escrito del Responsable del Tratamiento- a contratar a un subencargado para un tratamiento "distinto" del acordado ni a encargar a otro subencargado la realización del tratamiento descrito.

Anexo C Instrucción relativa a la utilización de datos personales

 

• Objeto/instrucción del tratamiento

 

1. El Encargado del tratamiento trata datos personales en calidad de consultor por cuenta del Responsable del tratamiento para facilitar el uso por parte del Responsable del tratamiento del sistema informático Data & More Compliance Server, gestionado por el Encargado del tratamiento. En virtud del presente Acuerdo de tratamiento de datos, el encargado del tratamiento está autorizado a acceder al servidor Data & More Compliance Server para realizar tareas de mantenimiento, configuración y control de calidad (QA) que pueden requerir el tratamiento de datos personales relacionados con los empleados, clientes y socios del responsable del tratamiento, con el único fin de llevar a cabo dichas tareas.

 

• Seguridad del tratamiento

 

1. El nivel de seguridad deberá tener en cuenta:

1. Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines de la actividad de tratamiento, así como el riesgo para los derechos y libertades de las personas físicas, el encargado del tratamiento deberá aplicar un nivel de seguridad adecuado.
2. En lo sucesivo, el encargado del tratamiento tendrá el derecho y la obligación de tomar decisiones sobre las medidas de seguridad técnicas y organizativas que se aplicarán para crear el nivel necesario (y acordado) de seguridad de los datos.
3. No obstante, el encargado del tratamiento aplicará, en cualquier caso y como mínimo, las siguientes medidas acordadas con el responsable del tratamiento:

 

Seguridad de la organización 

El encargado del tratamiento aplicará las siguientes medidas de seguridad organizativas: 

1. Todos los empleados del encargado del tratamiento están sujetos a obligaciones de confidencialidad que se aplican a todo tratamiento de datos personales. 
2. Los empleados con acceso a datos personales sensibles o sistemas informáticos críticos han pasado una habilitación de seguridad antes de ser contratados. 
3. El acceso de los empleados a los datos personales está limitado, de modo que sólo los empleados pertinentes tienen acceso a los datos personales necesarios. 
4. Los empleados del Procesador que tienen acceso a información personal "sensible" o a sistemas informáticos críticos han pasado una habilitación de seguridad antes de ser contratados. 
5. El tratamiento de datos personales realizado por los empleados del encargado del tratamiento queda registrado y puede comprobarse según sea necesario. 
6. El procesador dispone de una política de seguridad informática. 
7. El encargado del tratamiento dispone de descripciones documentables de los procesos relativos a las violaciones de la seguridad de los datos personales, que se revisan al menos una vez al año. 
8. El encargado del tratamiento ha establecido procedimientos que garantizan la eliminación adecuada o la confidencialidad continua cuando el hardware se repara, se mantiene o se elimina. i) El encargado del tratamiento tiene la oportunidad de responder a las infracciones de los empleados en materia de seguridad de los datos del encargado del tratamiento o al incumplimiento de las instrucciones sobre el tratamiento de datos personales de acuerdo con la legislación laboral. 
9. Los empleados del encargado del tratamiento documentan y comunican periódicamente las violaciones de la seguridad de los datos personales o los riesgos que entrañan. 

 

Seguridad física

El encargado del tratamiento aplicará las siguientes medidas de seguridad física:

1. La oficina del tramitador puede cerrarse con llave.
2. El procesador utiliza sistemas de alarma para detectar y prevenir robos.
3. El procesador utiliza alarmas antiincendios y detectores de humo para detectar y prevenir incendios.
4. El transformador ha probado el plan de contingencia y evacuación en caso de emergencia.
5. Los dispositivos del procesador (incluidos PC, servidores, etc.) están protegidos tras puertas cerradas.
6. El tramitador y los visitantes, etc., se identifican mediante el uso de tarjetas de identificación.
7. Los locales e instalaciones o vías de acceso del encargado del tratamiento son objeto de vigilancia por vídeo o imagen.
8. El procesador utiliza un proceso de verificación o un sistema de verificación para controlar la identidad de los visitantes.
9. El procesador utiliza la gestión de claves, es decir, proporciona claves a los empleados pertinentes y necesarios, etc.
10. La recepción está atendida las 24 horas del día o hay una empresa de seguridad fuera del horario de oficina.
11. El edificio o edificios del procesador se dividen en zonas de acceso, tras lo cual se requieren tarjetas de acceso para acceder a las zonas.
12. Se mantiene un protocolo de los visitantes del Procesador.
13. Los empleados del procesador están obligados a llevar documentos de identidad.

El nivel de seguridad tendrá en cuenta la gran magnitud de los datos personales tratados

así como la elevada confidencialidad de la información procesada, por lo que requieren un alto nivel de seguridad.

Seguridad técnica: Acceso y protección de los sistemas informáticos

El encargado del tratamiento aplicará las siguientes medidas técnicas de seguridad en relación con el acceso a sus sistemas y la protección de los mismos:

1. El procesador utiliza un control de acceso lógico con nombre de usuario y contraseña u otra autorización única.
2. El procesador utiliza programas antivirus que se actualizan periódicamente.
3. El procesador registra y controla los intentos de inicio de sesión fallidos no autorizados o repetidos.
4. El procesador exige a los empleados que utilicen contraseñas individuales.
5. Los ordenadores del procesador tienen protección automática de acceso durante la inactividad, es decir.

protector de pantalla bloqueado.

1. El procesador tiene políticas para la composición de contraseñas, incluyendo requisitos mínimos.
2. Existen procedimientos para revocar permisos cuando un empleado deja de trabajar o cambia de departamento.
3. Existen procedimientos para conceder autorizaciones a los sistemas informáticos cuando se contrata a nuevos empleados.

El nivel de seguridad tendrá en cuenta la gran magnitud de los datos personales tratados, así como la elevada confidencialidad de la información tratada, por lo que se requiere un alto nivel de seguridad.

Seguridad técnica: Acceso a los datos personales

El encargado del tratamiento aplicará las siguientes medidas técnicas de seguridad en relación con el acceso a los datos personales:

1. El procesador revisa periódicamente los controles del sistema.
2. El encargado del tratamiento concede autorizaciones a personas o grupos de usuarios para acceder a los datos personales tratados, modificarlos y suprimirlos.
3. El procesador dispone de procedimiento(s) para restaurar los datos desde la copia de seguridad.
4. El procesador revisa y verifica periódicamente las autorizaciones de los usuarios para sistemas específicos.
5. El procesador registra y controla los intentos fallidos no autorizados o repetidos de borrar datos.
6. El procesador registra y controla los intentos fallidos no autorizados o repetidos de acceder a los datos.
7. El encargado del tratamiento tiene trazabilidad del acceso, modificación y supresión de datos por usuarios individuales.

El nivel de seguridad tendrá en cuenta la gran magnitud de los datos personales tratados, así como la elevada confidencialidad de la información tratada, por lo que se requiere un alto nivel de seguridad.

Seguridad técnica: Cifrado

El encargado del tratamiento aplicará las siguientes medidas técnicas de seguridad relativas al cifrado:

1. Las contraseñas almacenadas en los ordenadores del procesador, etc., están encriptadas.
2. El contenido de discos duros externos y llaves USB, etc., se encripta cuando dichos soportes contienen información personal o sensible.
3. La red está encriptada.
4. Los ordenadores del procesador tienen discos duros encriptados.
5. El procesador encripta los datos personales en los sistemas y/o en los dispositivos.
6. El procesador encripta los datos personales sensibles en los sistemas y/o en los dispositivos.
7. Los sitios web y formularios web del procesador utilizan certificados SSL / HTTPS (Hyper Text Transfer Protocol Secure).

Véase el documento adicional sobre la política de seguridad de la red DAM.

Seguridad técnica: Protección de datos personales durante la transmisión

El encargado del tratamiento aplicará las siguientes medidas técnicas de seguridad relativas a la protección de los datos personales durante su transmisión:

1. El procesador utiliza y tiene directrices para el correo electrónico seguro.
2. Los correos electrónicos salientes con datos personales sensibles o información sobre asuntos puramente privados están encriptados.
3. El procesador tiene directrices para el uso de correos electrónicos de trabajo, incluyendo el uso para uso privado, uso apropiado, encriptación, uso seguro, etc.

Seguridad técnica: Disponibilidad y robustez

El encargado del tratamiento aplicará las siguientes medidas técnicas de seguridad relativas a la disponibilidad y solidez:

1. La accesibilidad y solidez de los sistemas y servidores del procesador están asegurados por un tercero con el que el procesador tiene un acuerdo.
2. Sólo los empleados autorizados tienen acceso a los servidores propios del procesador.
3. Las salas de servidores disponen de detectores de humo y extintores.
4. La sala de servidores dispone de sistema de aire acondicionado.
5. Existen normas y directrices para las copias de seguridad de los datos.
6. Existen normas y directrices para restaurar datos a partir de copias de seguridad.
7. Las copias de seguridad se realizan periódicamente (en la empresa o en el proveedor).
8. Alerta activa por intentos no autorizados de acceder a salas de servidores y/o sistemas de procesamiento y datos.
9. Se utiliza un sistema de alimentación ininterrumpida (SAI).
10. Control de la temperatura y la humedad en salas de servidores.
11. El encargado del tratamiento dispone de descripciones de procedimientos para las violaciones de la seguridad de los datos personales que se revisan al menos una vez al año.

1. Asistencia al interventor

 

3.1 En la medida de lo posible, el encargado del tratamiento prestará asistencia al responsable del tratamiento de conformidad con las cláusulas 8.1, 9.1 y 9.2, aplicando las siguientes medidas técnicas y organizativas:

 

1. Si el responsable del tratamiento recibe una solicitud para el ejercicio de uno de los derechos de los interesados de conformidad con la legislación aplicable en materia de protección de datos, y una respuesta adecuada a la solicitud requiere la asistencia del encargado del tratamiento, éste le ayudará con la información y documentación necesarias y pertinentes, así como con las medidas de seguridad técnicas y organizativas apropiadas.
2. Si el responsable del tratamiento necesita la asistencia del encargado del tratamiento para responder a una solicitud de un interesado, el responsable del tratamiento deberá enviar una solicitud de asistencia por escrito al encargado del tratamiento y éste, en respuesta, deberá proporcionar la ayuda o documentación necesarias lo antes posible y, a más tardar, 7 días naturales después de recibir la solicitud.
3. Si el encargado del tratamiento recibe una solicitud para el ejercicio de los derechos con arreglo a la legislación aplicable en materia de protección de datos de personas distintas del responsable del tratamiento, y la solicitud se refiere a datos personales tratados por cuenta del responsable del tratamiento, el encargado del tratamiento remitirá sin demora indebida la solicitud al responsable del tratamiento.

 

4. Periodo de almacenamiento/procedimientos de borrado

4.1 Una vez finalizada la prestación de servicios de tratamiento de datos personales, el encargado del tratamiento suprimirá los datos personales de conformidad con la cláusula 10.1, a menos que el responsable del tratamiento -tras la firma del contrato- haya modificado la elección original del responsable del tratamiento. Dicha modificación se documentará y conservará por escrito, incluso electrónicamente, en relación con las Cláusulas.

5. 5. Lugar de procesamiento

5.1 El tratamiento de los datos personales con arreglo a las Cláusulas no podrá realizarse en otros lugares distintos de los que se indican a continuación sin la autorización previa por escrito del Responsable del Tratamiento:

Hetzner Online GmbH,

CIF Nº: DE812871812 Industriestr. 25

91710 Gunzenhausen en Alemania

6. Instrucciones sobre la transferencia de datos personales a terceros países

6.1 El procesador sólo procesa datos personales en las ubicaciones especificadas en la cláusula C.5. El procesador no transfiere datos personales a terceros países u organizaciones internacionales.

6.2 Si el Responsable del Tratamiento no proporciona una instrucción documentada en las presentes Cláusulas o posteriormente con respecto a la transferencia de datos personales a un tercer país, el Encargado del Tratamiento no estará facultado para llevar a cabo dichas transferencias en el ámbito de aplicación de las presentes Cláusulas.

6.3 La transferencia de datos personales sólo podrá realizarse en todos los casos de conformidad con las presentes Cláusulas, siguiendo instrucciones de El Responsable del Tratamiento y en la medida en que lo permita la legislación aplicable en materia de protección de datos.

6.4 Cuando, de conformidad con estas cláusulas, El Procesador transfiera datos personales a subprocesadores de datos en terceros países fuera de la UE / EEE, el Procesador debe garantizar de forma independiente una base legal para la transferencia de conformidad con el Capítulo 5 del GDPR.

7. Procedimientos para las auditorías del responsable del tratamiento, incluidas las inspecciones, del tratamiento de datos personales realizado por el encargado del tratamiento.

7.1 El encargado del tratamiento, previa solicitud por escrito del responsable del tratamiento, documentará al responsable del tratamiento que el encargado del tratamiento

7.1.1 está cumpliendo con sus obligaciones en virtud de estas Cláusulas y de la Instrucción, y

7.1.2 con los artículos pertinentes del RGPD en relación con los datos personales que se tratan en nombre del Responsable del Tratamiento.

 

7.2 De acuerdo con la cláusula C.7.1 La documentación del encargado del tratamiento se enviará al responsable del tratamiento en un plazo razonable tras la recepción de la solicitud.

 

7.3 El encargado del tratamiento debe proporcionar al responsable del tratamiento documentación que acredite el compliance continuo de las disposiciones. Estos informes de autoauditoría deberán elaborarse al menos una vez al año y seguirán los principios y objetivos de control de la norma de auditoría ISAE 3000, según lo establecido por el Marco Estratégico Común (CSF) - Auditores daneses y la Agencia Danesa de Protección de Datos y la norma ISAE 3402 (y/o, alternativamente, normas reconocidas internacionalmente como ISO/IEC 27701:2019). Los informes de autoauditoría pueden realizarse como parte de la recopilación de información del responsable del tratamiento y deben estar firmados por la dirección del mismo. Para cubrir la necesidad del responsable del tratamiento de conocer y garantizar el tratamiento seguro de los datos personales por parte del encargado del tratamiento, este deberá auditar cada 12 meses el compliance de las cláusulas por parte del encargado del tratamiento, incluidas las medidas de seguridad implementadas especificadas, por parte de un tercero externo independiente, y enviar los registros completos al responsable del tratamiento.

 

7.4 Independientemente de la cláusula C.7.3Además, el encargado del tratamiento facilitará y contribuirá a las auditorías e inspecciones realizadas por auditores designados por el responsable del tratamiento, las autoridades públicas de la jurisdicción competente, en la medida necesaria para verificar el compliance por parte del encargado del tratamiento de las presentes cláusulas y de la legislación aplicable en materia de protección de datos. El auditor en cuestión deberá estar sujeto a confidencialidad en virtud de la ley o de un acuerdo. El Responsable del tratamiento deberá notificar las auditorías por escrito en un plazo de 14 días naturales.

8. Procedimientos de auditoría, incluidas inspecciones, del tratamiento de datos personales realizado por subencargados del tratamiento.

 

8.1 El encargado del tratamiento llevará a cabo, al menos cada 12 meses y a sus expensas, una auditoría de los subencargados del tratamiento del encargado del tratamiento y presentará al responsable del tratamiento la documentación correspondiente a dicha auditoría.

8.2 Las Partes acuerdan que el informe de garantía ISAE 3000 del auditor independiente puede aplicarse a tal efecto.

 

C.8. C.8. [SI PROCEDE] Procedimientos de auditoría, incluidas inspecciones, del tratamiento de datos personales realizado por subencargados del tratamiento.

El encargado del tratamiento obtendrá ANUALMENTE, a expensas de EL ENCARGADO DEL TRATAMIENTO DE DATOS, un [INFORME DEL AUDITOR/INFORME DE INSPECCIÓN] de un tercero independiente sobre el compliance por parte del subencargado del tratamiento del GDPR, de las disposiciones de protección de datos de la UE o de los Estados miembros aplicables y de las Cláusulas.

Las partes han acordado que podrán utilizarse los siguientes tipos de [INFORME DEL AUDITOR/INFORME DE INSPECCIÓN] en compliance de las Cláusulas:

• Informe de auditoría de Hetzner TUEV 
• Certificados ISO/IEC 27001:2013 actualizados
• Hetzner_GDPR compliance Art 28 y 32 documentación

El INFORME DEL AUDITOR se presentará sin demora indebida al responsable del tratamiento para su información. El responsable del tratamiento podrá impugnar el alcance y/o la metodología del informe y, en tal caso, podrá solicitar una nueva auditoría/inspección con un alcance revisado y/o una metodología diferente.

Sobre la base de los resultados de dicha auditoría/inspección, el responsable del tratamiento puede solicitar que se adopten medidas adicionales para garantizar compliance cumplimiento del GDPR, las disposiciones de protección de datos aplicables de la UE o de los Estados miembros y las Cláusulas.

Además, el encargado del tratamiento o su representante tendrán acceso a inspeccionar, incluso físicamente, los lugares en los que el subencargado del tratamiento lleve a cabo el tratamiento de datos personales, incluidas las instalaciones físicas, así como los sistemas utilizados para el tratamiento y relacionados con él. Dicha inspección se realizará cuando el encargado del tratamiento (o el responsable del tratamiento) lo considere necesario.

La documentación de dichas inspecciones se presentará sin demora al responsable del tratamiento para su información. El responsable del tratamiento podrá impugnar el alcance y/o la metodología del informe y, en tal caso, podrá solicitar una nueva inspección con un alcance revisado y/o una metodología diferente."

En caso necesario, el responsable del tratamiento podrá optar por iniciar y participar en una inspección física del subencargado del tratamiento. Esto puede aplicarse si el responsable del tratamiento considera que la supervisión del subencargado por parte del responsable del tratamiento no le ha proporcionado documentación suficiente para determinar que el tratamiento por parte del subencargado se está realizando de conformidad con las Cláusulas.

La participación del responsable del tratamiento en una inspección del subencargado del tratamiento no alterará el hecho de que, en lo sucesivo, el encargado del tratamiento siga siendo plenamente responsable de que el subencargado del tratamiento compliance el GDPR, las disposiciones de protección de datos aplicables de la UE o de los Estados miembros y las Cláusulas."

Los costes del encargado del tratamiento y del subencargado del tratamiento relacionados con la supervisión física/inspección en las instalaciones del subencargado del tratamiento no afectarán al responsable del tratamiento, independientemente de si el responsable del tratamiento ha iniciado y participado en dicha inspección.    

• El Acuerdo de Tratamiento de Datos no regula otras cuestiones.