entre el controlador y
INGENIOUS TECHNOLOGIES AG
- en lo sucesivo denominado el Procesador -
Französische Str. 48
10117 Berlin
Alemania
1 Objeto del Contrato
(1) En el ámbito del uso de la tecnología de Ingenious conforme a los Términos y condiciones generales de Ingenious (en adelante, el "Contrato principal"), es necesario que el Procesador almacene y procese los datos recopilados por el Controlador en el curso del uso de la tecnología de Ingenious. No puede descartarse que estos datos representen datos personales en el sentido del art. 4, n.º 1, GDPR. Este Acuerdo de procesamiento de datos encargado se aplica exclusivamente a estos datos (en adelante, "Datos del Controlador").
(2) El presente Contrato establece de forma concreta los derechos y deberes de las partes en materia de protección de datos en relación con el tratamiento de los Datos del Responsable del tratamiento por parte del Encargado del tratamiento en ejecución del Contrato principal.
2. naturaleza, alcance, finalidad y duración del tratamiento encargado
(1) El Procesador procesará los Datos del Controlador en nombre y de acuerdo con las instrucciones del Controlador en el sentido del Art. 28 GDPR (Procesamiento Encargado). El Responsable sigue siendo el organismo responsable en el sentido de las disposiciones de protección de datos de conformidad con el art. 4, n.º 7, GDPR.
(2) El tratamiento de los Datos del Responsable en el ámbito del Tratamiento Encargado se llevará a cabo de conformidad con las estipulaciones relativas a la naturaleza, alcance y finalidad del tratamiento de datos contenidas en el Anexo 1 del presente Contrato. Esto se refiere a la naturaleza de los Datos del Responsable que figuran en el Anexo 1, la finalidad del tratamiento de datos y el círculo de interesados que allí se especifica.
(3) Los datos del Responsable del tratamiento se tratarán en el territorio de la República Federal de Alemania, en cualquier otro Estado miembro de la Unión Europea o en cualquier otro Estado contratante del Acuerdo sobre el Espacio Económico Europeo. Cualquier transferencia a un tercer país requerirá el consentimiento previo del Responsable del Tratamiento y sólo podrá tener lugar si se cumplen las condiciones especiales del art. 44 y siguientes del GDPR.
(4) La duración y la rescisión del presente Contrato se regirán por las disposiciones relativas a la duración y la rescisión del Contrato principal. Toda rescisión del Contrato principal tendrá automáticamente por efecto la rescisión del presente Contrato. Queda excluida la rescisión aislada del presente Contrato.
3. poderes del controlador para dar instrucciones
(1) Los Datos del Responsable del tratamiento serán tratados por el Encargado del tratamiento exclusivamente en el ámbito de los acuerdos celebrados y de conformidad con las instrucciones documentadas del Responsable del tratamiento de conformidad con el art. 28, párr. 3, frase 2 (a) GDPR, a menos que el Encargado del tratamiento esté obligado a tratar los mismos de conformidad con la legislación de la Unión o de los Estados miembros a la que esté sujeto. En tal caso, el Encargado del tratamiento informará al responsable de estos requisitos legales antes de llevar a cabo el tratamiento, a menos que dicha ley prohíba el suministro de dicha información por motivos importantes de interés público.
(2) Dentro del ámbito de la descripción del encargo establecida en el presente contrato, el Responsable del tratamiento se reserva el derecho a impartir instrucciones relativas a la naturaleza, el alcance, los medios y los fines del tratamiento de datos, que podrá especificar con mayor detalle mediante instrucciones individuales. En caso de que el Encargado imparta instrucciones individuales en relación con el tratamiento de los Datos del Encargado que vayan más allá del ámbito de ejecución acordado contractualmente, los costes en que se incurra por ello correrán a cargo del Encargado.
(3) Cualquier modificación del objeto del tratamiento o cualquier cambio en los procesos deberá acordarse y documentarse conjuntamente. El encargado del tratamiento sólo podrá facilitar información a terceros o al interesado previo consentimiento por escrito del responsable del tratamiento. El encargado del tratamiento no está autorizado a transmitir los datos del responsable del tratamiento a terceros y no utilizará los datos para ningún otro fin, en particular no para fines propios.
(4) El encargado del tratamiento no está obligado a comprobar la legitimidad de las instrucciones del responsable del tratamiento con arreglo a las disposiciones legales (sobre protección de datos). El encargado del tratamiento informará inmediatamente al responsable del tratamiento de conformidad con el artículo 28, apartado 3, frase 3, del GDPR si, en su opinión, una instrucción emitida por el responsable del tratamiento infringe las disposiciones legales. El encargado del tratamiento tendrá derecho a suspender la aplicación de la instrucción correspondiente hasta que haya sido confirmada o modificada por el funcionario responsable del responsable del tratamiento.
4 Funciones del interventor
(1) El Responsable del Tratamiento es el único responsable de la legalidad del tratamiento de datos por parte del Encargado del Tratamiento y también de salvaguardar los derechos de los interesados, por lo que es el "responsable del tratamiento" en el sentido del n.º 7 del artículo 4 del RGPD.
(2) El Responsable del Tratamiento es el titular de todos y cada uno de los derechos relativos a los Datos del Responsable del Tratamiento.
(3) El Responsable del tratamiento informará inmediatamente al Encargado del tratamiento si descubre errores o irregularidades en relación con el tratamiento de los Datos del Responsable del tratamiento por parte del Encargado del tratamiento.
(4) En caso de que terceros presenten reclamaciones contra el encargado del tratamiento a causa del tratamiento de los datos del responsable del tratamiento, el responsable del tratamiento indemnizará al encargado del tratamiento por todas esas reclamaciones al primer requerimiento.
5 Funciones del tramitador
(1) El Encargado del tratamiento garantizará y comprobará periódicamente que el tratamiento de los Datos del Responsable del tratamiento en el ámbito de la prestación de servicios en virtud del Contrato principal en su área de responsabilidad, que incluye a los subcontratistas en virtud de la Cláusula 9 del presente Contrato, se lleva a cabo de conformidad con las disposiciones del presente Contrato.
(2) El encargado del tratamiento ha designado al responsable de la protección de datos
Walter Meng, Ingenious Technologies AG, Französische Strasse 48, 10117 Berlín, Alemania.
El encargado del tratamiento deberá informar inmediatamente al responsable del tratamiento en caso de cambio del responsable de la protección de datos.
(3) De conformidad con el Art. 28, párr. 3, frase 2 (b), GDPR, el Procesador impondrá una obligación de secreto de los datos mediante acuerdo por escrito a todas las personas autorizadas a acceder a los datos personales del Controlador, y les informará de las obligaciones particulares de protección de datos derivadas de esta comisión y también del compromiso existente de observar las instrucciones y de la restricción al propósito especificado.
(4) Sin el consentimiento previo del Responsable del tratamiento, el Encargado del tratamiento no podrá realizar ninguna copia o duplicado de los Datos del Responsable del tratamiento en el ámbito del Tratamiento encargado. No obstante, se exceptúan las copias que sean necesarias para garantizar el tratamiento ordenado de los datos y la prestación ordenada de los servicios de conformidad con el Contrato principal (incluidas las copias de seguridad de los datos), así como las copias que sean necesarias para cumplir las obligaciones legales de conservación.
(5) El encargado del tratamiento está obligado a apoyar al responsable del tratamiento, dentro de los límites razonables y necesarios y contra reembolso de los gastos y costes en que incurra como consecuencia de ello, en el cumplimiento de las obligaciones que le incumben en virtud de los artículos 12 a 22 y 32 a 36 del RGPD. El apoyo se prestará teniendo en cuenta el tipo de tratamiento y la información de que disponga el responsable del tratamiento, así como, cuando sea posible, las medidas técnicas y organizativas adecuadas, en particular en respuesta a las solicitudes de ejercicio de los derechos del interesado especificados en los artículos 12 a 22 del RGPD.
(6) El Encargado del Tratamiento estará obligado a facilitar al Responsable del Tratamiento toda la información necesaria, incluidas las certificaciones y los resultados de las revisiones e inspecciones, que sirvan como prueba documental del cumplimiento de las obligaciones establecidas en el presente Contrato.
6. medidas técnicas y organizativas
(1) Antes de comenzar con el tratamiento de los Datos del Responsable, el Encargado deberá implantar las medidas técnicas y organizativas enumeradas en el Anexo 2 del presente Contrato y mantenerlas vigentes durante la vigencia del mismo.
(2) Dado que las medidas técnicas y organizativas se regirán por el progreso técnico y el desarrollo tecnológico ulterior, el encargado del tratamiento está autorizado a aplicar medidas alternativas y adecuadas, siempre que el nivel de seguridad no descienda por debajo de las medidas estipuladas en el anexo 2. El encargado del tratamiento deberá documentar cualquier modificación de este tipo. Los cambios significativos de las medidas requieren el consentimiento previo del responsable del tratamiento y deben ser documentados por el encargado del tratamiento y facilitados al responsable del tratamiento a petición de éste.
7. infracciones notificables por el encargado del tratamiento
(1) El Procesador informará sin demora al Controlador si descubre que él o cualquier empleado ha contravenido las disposiciones de protección de datos o las estipulaciones en virtud de este Contrato en el procesamiento de los Datos del Controlador cuando exista el riesgo de una violación de los datos personales del Controlador en el sentido del Art. 4, no. 12, GDPR.
(2) Cuando el Responsable del tratamiento tenga la obligación legal de facilitar información a raíz de un incidente con arreglo al apartado (1) debido a una divulgación ilícita de Datos del Responsable del tratamiento (en particular con arreglo a los arts. 33 y 34 del RGPD), el Encargado del tratamiento, a petición del Responsable del tratamiento, prestará apoyo a este último, en la medida en que sea razonable y necesario, en el cumplimiento de sus obligaciones de facilitar información, a reserva del reembolso de los gastos y costes en que incurra por ello el Encargado del tratamiento.
8. derechos de control del responsable del tratamiento
(1) Antes del inicio del tratamiento de datos y, posteriormente, a intervalos regulares, el responsable del tratamiento se cerciorará, corriendo con los gastos, de las medidas técnicas y organizativas adoptadas por el encargado del tratamiento de conformidad con el anexo 2, y documentará el resultado. A tal fin, podrá recabar información del propio encargado del tratamiento, solicitar la presentación de un certificado de un experto o, previa concertación de una cita con la debida antelación, cerciorarse personalmente, sin interrumpir las operaciones comerciales y respetando la más estricta confidencialidad en relación con los secretos industriales y comerciales del encargado del tratamiento. El encargado del tratamiento se compromete a apoyar las inspecciones del responsable del tratamiento de forma adecuada y a tolerar todas las medidas de control necesarias.
(2) El encargado del tratamiento se compromete, previa solicitud por escrito del responsable del tratamiento, a facilitar a este último, en un plazo razonable, toda la información necesaria para llevar a cabo una inspección.
(3) El encargado del tratamiento tendrá derecho, a su discreción y teniendo en cuenta las obligaciones legales del responsable del tratamiento, a no revelar información que sea delicada en relación con la actividad del encargado del tratamiento, o si el encargado del tratamiento infringiera disposiciones legales u otras disposiciones contractuales al revelar dicha información. El responsable del tratamiento no tendrá derecho a acceder a datos o información sobre otros clientes del encargado del tratamiento, a información relativa a costes, control de calidad e informes de gestión de contratos o a cualquier otro dato confidencial del encargado del tratamiento que no sea directamente relevante para los fines de control acordados.
(4) El Controlador informará al Transformador con la debida antelación (por regla general, al menos con dos semanas de antelación) de todas las circunstancias relativas a la realización de la inspección. Por regla general, el responsable del tratamiento podrá realizar una inspección por año natural. El derecho del responsable del tratamiento a realizar más inspecciones en caso de incidentes especiales no se verá afectado por el presente Reglamento.
(5) En caso de que el Responsable del tratamiento encargue a un tercero la realización de la inspección, el Responsable del tratamiento impondrá al tercero, mediante acuerdo por escrito, las mismas obligaciones que el propio Responsable del tratamiento tiene para con el Encargado del tratamiento en virtud de la presente cláusula 8 del presente Contrato. Además, el Responsable del tratamiento impondrá al tercero una obligación de confidencialidad y secreto, a menos que el tercero esté sujeto a un deber de secreto profesional. A petición del Encargado del tratamiento, el Responsable del tratamiento presentará sin demora al Encargado del tratamiento los acuerdos celebrados con el tercero que contengan estos compromisos. El responsable del tratamiento no podrá encargar a ningún competidor del encargado del tratamiento que lleve a cabo la inspección.
(6) A elección del encargado del tratamiento, la prueba documental del cumplimiento de las medidas técnicas y organizativas de conformidad con el anexo 2 también podrá aportarse, en lugar de mediante una inspección in situ, mediante la presentación de un certificado actual adecuado, de informes o extractos de informes de organismos independientes (por ejemplo, de contables públicos certificados, auditores, responsables de protección de datos, un departamento de seguridad de TI, auditores de protección de datos o auditores de calidad) o una certificación adecuada mediante una auditoría de seguridad de TI o de protección de datos - p. ej.p. ej. en virtud de la protección de referencia BSI [protección de referencia emitida por la Oficina Federal Alemana de Seguridad de la Información] - ("Informe de auditoría"), siempre que el informe de auditoría permita al Responsable del tratamiento cerciorarse de manera adecuada del cumplimiento de las medidas técnicas y organizativas de conformidad con el Anexo 2 del presente Contrato.
9. subcontratación
(1) El Encargado del tratamiento sólo podrá establecer relaciones de subcontratación en relación con el tratamiento de Datos del Responsable del tratamiento previo consentimiento por escrito de éste. Dicho consentimiento previo sólo podrá ser denegado por el responsable del tratamiento por razones convincentes, de las que deberá aportar pruebas al encargado del tratamiento. Previa solicitud, el encargado del tratamiento entregará al responsable del tratamiento una relación actualizada de los subencargados del tratamiento implicados. Cuando se haya concedido una autorización por escrito, el encargado del tratamiento informará siempre al responsable del tratamiento de cualquier cambio previsto en relación con la contratación o sustitución de otros encargados del tratamiento.
(2) Los subencargados del tratamiento mencionados en el Anexo 3 se consideran aprobados por el Responsable del Tratamiento.
(3) En caso de contratación de un subencargado del tratamiento, el responsable del tratamiento impondrá al subencargado, mediante contrato o cualquier otro instrumento jurídico con arreglo al Derecho de la Unión Europea o del Estado miembro pertinente, las mismas obligaciones en materia de protección de datos que se estipulan en el presente Contrato. En caso de que un subencargado del tratamiento incumpla las obligaciones estipuladas en el presente Contrato o contravenga cualquier disposición en materia de protección de datos, el Encargado del tratamiento será responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones del subencargado del tratamiento.
(4) Los servicios de los que el Encargado del tratamiento se sirve de terceros como prestación accesoria a efectos de apoyo en la ejecución del encargo no se entienden como relaciones de subcontratación en el sentido de la presente disposición y, por tanto, no requieren el consentimiento del Responsable del tratamiento. Se trata, en particular, de servicios de telecomunicaciones, servicios de seguridad, mantenimiento y atención al usuario, personal de limpieza, auditores y eliminación de soportes de datos. No obstante, para garantizar la protección y la seguridad de los datos del Responsable del tratamiento, éste estará obligado, también en el caso de los servicios auxiliares externalizados, a celebrar acuerdos contractuales conformes con la ley y a aplicar medidas de control.
10. derechos de los interesados
(1) Los derechos de las personas afectadas por el tratamiento de datos se harán valer frente al responsable del tratamiento.
(2) En caso de que un interesado solicite directamente al responsable del tratamiento la protección de sus derechos relativos a los datos personales de conformidad con los arts. 12 a 22 del RGPD, el encargado del tratamiento remitirá al interesado al responsable del tratamiento.
(3) En caso de que un interesado haga valer sus derechos en virtud de los arts. 12 a 22 del RGPD, el responsable del tratamiento ayudará al responsable del tratamiento a satisfacer estas reclamaciones dentro de un alcance razonable y dentro del alcance necesario para el responsable del tratamiento en la medida en que el responsable del tratamiento no pueda satisfacer las reclamaciones sin la cooperación del responsable del tratamiento. El responsable del tratamiento reembolsará al encargado del tratamiento cualquier gasto adicional.
(4) El Encargado del Tratamiento permitirá al Responsable del Tratamiento rectificar, borrar o bloquear los Datos del Responsable del Tratamiento o, a petición del Responsable del Tratamiento, llevará a cabo la rectificación, el bloqueo o la supresión por sí mismo si, y en la medida en que, el Responsable del Tratamiento no pueda hacerlo por sí mismo.
11. devolución y supresión de los datos del responsable del tratamiento facilitados
(1) Una vez finalizada la prestación de los servicios objeto del Contrato (en particular, en caso de rescisión o de cualquier otra finalización del Contrato principal), el Responsable del tratamiento, a elección del Responsable del tratamiento, devolverá o borrará todos los Datos del Responsable del tratamiento y destruirá las copias existentes, salvo cuando exista la obligación de conservar los datos en virtud de una disposición legal.
(2) El Encargado del Tratamiento elaborará un protocolo de borrado o destrucción de los Datos del Responsable del Tratamiento y lo facilitará al Responsable del Tratamiento a petición de éste.
(3) La documentación que sirva como prueba documental del tratamiento ordenado de los datos de conformidad con los términos del encargo o que deba conservarse durante los periodos de conservación legales deberá ser almacenada por el encargado del tratamiento una vez finalizado el Contrato en cumplimiento de los respectivos periodos de conservación.
12 Relación con el contrato principal
Salvo disposiciones especiales contenidas en el presente Contrato, se aplicarán las disposiciones del Contrato principal. En caso de discrepancia entre el presente Contrato y las disposiciones de otros acuerdos, en particular del Contrato principal, prevalecerán las disposiciones del presente Contrato en lo que respecta al tratamiento de los Datos del Responsable.