Contrato de tratamiento de datos personales
en nombre del Art. 28 del Reglamento General de Protección de Datos
entre el cliente y el
TECNOLOGÍAS INGENIOSAS AG
- en lo sucesivo denominado "transformador " -
Friedrichstraße 171
10117 Berlin
Alemania
1. objeto del contrato
(1) Como parte del uso de la tecnología Ingenious, es necesario que el procesador almacene y procese los datos recopilados por el cliente en el curso del uso de la tecnología Ingenious. No se puede descartar que estos datos sean datos personales en el sentido del art. 4 n.º 1 del GDPR. Este Acuerdo de procesamiento de datos se aplica exclusivamente a estos datos (en lo sucesivo, "Datos del cliente").
(2) Este contrato especifica los derechos y obligaciones de las partes en virtud de la ley de protección de datos en relación con el tratamiento de los datos del cliente por parte del encargado del tratamiento en cumplimiento del contrato principal.
2. tipo, alcance, finalidad y duración del tratamiento del pedido
(1) El Procesador procesará los Datos del Cliente en nombre y de acuerdo con las instrucciones del Cliente en el sentido del Art. 28 GDPR (procesamiento encargado). El Cliente seguirá siendo el controlador en el sentido de la ley de protección de datos de conformidad con el Art. 4 No. 7 GDPR.
(2) El tratamiento de los Datos del cliente en el ámbito del tratamiento de datos encargado se llevará a cabo de conformidad con las disposiciones sobre el tipo, el alcance y la finalidad del tratamiento de datos que figuran en el Anexo 1 del presente Acuerdo. Se refiere al tipo de datos del cliente especificados en el Anexo 1, a la finalidad del tratamiento de datos y al grupo de interesados especificados en el mismo.
(3) El tratamiento de los datos del cliente tendrá lugar en el territorio de la República Federal de Alemania, en otro Estado miembro de la Unión Europea o en otro Estado parte en el Acuerdo sobre el Espacio Económico Europeo. Cualquier traslado a un tercer país requiere el consentimiento previo del cliente y sólo podrá tener lugar si se cumplen los requisitos especiales del art. 44 y ss. GDPR.
(4) La duración y la rescisión del presente contrato se rigen por las disposiciones relativas a la duración y la rescisión del contrato principal. La rescisión del contrato principal conllevará automáticamente la rescisión del presente contrato. Queda excluida la rescisión aislada de este contrato.
3. autoridad del cliente para dar instrucciones
(1) El encargado del tratamiento tratará los datos del cliente exclusivamente en el marco de los acuerdos celebrados y de conformidad con las instrucciones documentadas del cliente de conformidad con el artículo 28, apartado 3, frase 2, letra a) del RGPD, a menos que el encargado esté obligado a tratar los datos en virtud del Derecho de la Unión o del Derecho de los Estados miembros al que esté sujeto. En tal caso, el encargado del tratamiento notificará al responsable del tratamiento estos requisitos legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha notificación debido a un interés público importante.
(2) El cliente se reserva el derecho a emitir instrucciones exhaustivas sobre el tipo, el alcance, los medios y los fines del tratamiento de datos en el ámbito de la descripción del encargo establecida en el presente contrato, que podrá especificar en instrucciones individuales. Si el cliente emite instrucciones individuales relativas al tratamiento de datos del cliente que vayan más allá del alcance de los servicios acordados contractualmente, los costes resultantes correrán a cargo del cliente.
(3) Los cambios en el objeto del tratamiento y los cambios de procedimiento deben acordarse y documentarse conjuntamente. El encargado del tratamiento sólo podrá facilitar información a terceros o al interesado con el consentimiento previo por escrito del cliente. El encargado del tratamiento no está autorizado a transmitir los datos del cliente a terceros y no utilizará los datos para otros fines, en particular para fines propios.
(4) El Procesador no está obligado a revisar las instrucciones del Cliente en términos de la ley (de protección de datos). El Procesador informará inmediatamente al Controlador de conformidad con el Art. 28 párrafo 3 frase 3 GDPR si, en su opinión, una instrucción emitida por el Controlador viola las disposiciones legales. El Encargado del tratamiento está autorizado a suspender la ejecución de la instrucción correspondiente hasta que el Responsable del tratamiento la confirme o modifique ante el Mandante.
4. obligaciones del cliente
(1) El cliente es el único responsable de la legalidad del tratamiento de datos por parte del encargado del tratamiento y de salvaguardar los derechos de los interesados y, por lo tanto, es el "responsable del tratamiento" en el sentido del art. 4 n.º 7 del RGPD.
(2) El cliente es el titular de todos los posibles derechos relativos a los datos del cliente.
(3) El Cliente informará inmediatamente al Procesador si descubre errores o irregularidades en relación con el procesamiento de los Datos del Cliente por parte del Procesador.
(4) En caso de que terceros presenten reclamaciones contra el Encargado del tratamiento debido al tratamiento de los Datos del cliente, el Cliente indemnizará al Encargado del tratamiento por todas esas reclamaciones al primer requerimiento.
5 Obligaciones del encargado del tratamiento
(1) El Procesador garantizará y supervisará periódicamente que el procesamiento de los Datos del Cliente en el ámbito de la prestación de servicios en virtud del Acuerdo Principal en su área de responsabilidad, que incluye a los subcontratistas de conformidad con la Sección 9 del presente Acuerdo, se lleve a cabo de conformidad con las disposiciones del presente Acuerdo.
(2) El responsable de la protección de datos del encargado del tratamiento es
Walter Meng, Ingenious Technologies AG, Französische Strasse 48, 10117 Berlín, Alemania
ha sido nombrado. El Cliente deberá ser informado inmediatamente de cualquier cambio de responsable de protección de datos.
(3) De conformidad con el art. 28 párr. 3 frase 2 lit. b GDPR, el procesador debe obligar por escrito a todas las personas que puedan acceder a los datos personales del cliente de acuerdo con la orden de mantener el secreto de los datos e informarles de las obligaciones especiales de protección de datos derivadas de esta orden y de la instrucción o limitación de propósito existente.
(4) El encargado del tratamiento no podrá realizar copias o duplicados de los datos del cliente sin el consentimiento previo de éste en el marco de la tramitación del pedido. Sin embargo, esto no se aplica a las copias que sean necesarias para garantizar el tratamiento adecuado de los datos y la correcta prestación de los servicios de conformidad con el contrato principal (incluida la copia de seguridad de los datos), así como las copias que sean necesarias para cumplir las obligaciones legales de conservación.
(5) El encargado del tratamiento estará obligado a apoyar al responsable del tratamiento en el cumplimiento de sus obligaciones en virtud de los artículos 12 a 22 y 32 a 36 del RGPD en la medida en que sea razonable y necesario y contra el reembolso de los gastos y costes resultantes. El apoyo se prestará teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado y, en la medida de lo posible, las medidas técnicas y organizativas adecuadas, en particular para responder a las solicitudes de ejercicio de los derechos del interesado a que se refieren los artículos 12 a 22 del RGPD.
(6) El Procesador está obligado a proporcionar al Cliente toda la información necesaria, incluidas las certificaciones, así como los resultados de las revisiones e inspecciones, que sirvan como prueba del cumplimiento de las obligaciones establecidas en el presente Acuerdo.
6. medidas técnicas y organizativas
(1) El Encargado del tratamiento aplicará las medidas técnicas y organizativas enumeradas en el Anexo 2 del presente Acuerdo antes de iniciar el tratamiento de los Datos del cliente y las mantendrá durante la vigencia del Acuerdo.
(2) Dado que las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo tecnológico, se permite al encargado del tratamiento aplicar medidas alternativas y adecuadas, siempre que no se menoscabe el nivel de seguridad de las medidas establecidas en el Anexo 2. El encargado del tratamiento documentará dichos cambios. Los cambios significativos de las medidas requerirán el consentimiento previo del cliente y deberán ser documentados por el encargado del tratamiento y puestos a disposición del cliente a petición de éste.
7 Notificación de infracciones por parte del encargado del tratamiento
(1) El Procesador informará al Cliente con prontitud si descubre que él o un empleado ha violado las regulaciones de protección de datos o las disposiciones de este Acuerdo al procesar los datos del Cliente, siempre que exista un riesgo de violación de la protección de los datos personales del Cliente en el sentido del Art. 4 No. 12 GDPR.
(2) En la medida en que el Cliente esté sujeto a obligaciones legales de información debido a la adquisición ilícita de datos del Cliente (en particular, de conformidad con el Art. 33 y 34 GDPR) como resultado de un incidente de conformidad con el párrafo (1), el Procesador apoyará al Cliente en el cumplimiento de las obligaciones de información a petición del Cliente dentro del alcance de lo razonable y necesario contra el reembolso de los gastos y costes incurridos por el Procesador como resultado.
8. derechos de control del cliente
(1) El Cliente se cerciorará, corriendo con los gastos, de las medidas técnicas y organizativas del Encargado del Tratamiento de conformidad con el Anexo 2 antes de iniciar el tratamiento de datos y, posteriormente, con regularidad, y documentará el resultado. Para ello, podrá recabar información del propio Encargado del tratamiento, obtener un certificado de un experto o, tras concertar una cita con la debida antelación, convencerse personalmente sin interrumpir las operaciones y bajo estricta confidencialidad de los secretos comerciales y empresariales del Encargado del tratamiento. El Procesador se compromete a apoyar las inspecciones del Cliente de forma adecuada y a tolerar todas las medidas de inspección necesarias.
(2) El procesador se compromete a proporcionar al cliente, previa solicitud por escrito y en un plazo razonable, toda la información necesaria para llevar a cabo una inspección.
(3) El Procesador tendrá derecho, a su propia discreción, teniendo en cuenta las obligaciones legales del Cliente, a no revelar información que sea sensible con respecto al negocio del Procesador o si el Procesador incumpliera disposiciones legales u otras disposiciones contractuales al revelarla. El Mandante no está autorizado a obtener acceso a datos o información sobre otros clientes del Procesador, a información relativa a costes, a informes de auditoría de calidad y gestión de contratos y a cualquier otro dato confidencial del Procesador que no sea directamente relevante para los fines de control acordados.
(4) El Mandante informará al Tramitador con la debida antelación (generalmente con al menos dos semanas de antelación) de todas las circunstancias relacionadas con la realización de la inspección. Por regla general, el Cliente podrá realizar una inspección por año natural. Esto no afecta al derecho del Cliente a realizar más inspecciones en caso de incidentes especiales.
(5) Si el Cliente encarga a un tercero la realización de la inspección, el Cliente obligará al tercero por escrito de la misma forma que el Cliente está obligado frente al Procesador en virtud de la presente Sección 10 del presente Acuerdo. Además, el Cliente obligará al tercero a mantener la confidencialidad y el secreto, salvo que el tercero esté sujeto a una obligación profesional de confidencialidad. A petición del Procesador, el Mandante presentará inmediatamente al Procesador los acuerdos de obligación con el tercero. El mandante no podrá encargar la inspección a un competidor del encargado del tratamiento.
(6) A discreción del encargado del tratamiento, la prueba del cumplimiento de las medidas técnicas y organizativas de conformidad con el anexo 2 también podrá presentarse en lugar de una inspección in situ mediante la presentación de un certificado, informes o extractos de informes adecuados y actualizados de organismos independientes (por ejemplo, auditores, responsables de protección de datos, departamento de seguridad de TI, auditores de protección de datos o auditores de calidad) o una certificación adecuada mediante una auditoría de seguridad de TI o de protección de datos -por ejemplo, de conformidad con BSI-Grund. auditor, responsable de protección de datos, departamento de seguridad de TI, auditores de protección de datos o auditores de calidad) o una certificación adecuada mediante una auditoría de seguridad de TI o de protección de datos -por ejemplo, de conformidad con la protección básica de BSI- ("informe de auditoría"), si el informe de auditoría permite al Cliente cerciorarse del cumplimiento de las medidas técnicas y organizativas de conformidad con el Anexo 2 del presente Contrato de forma razonable.
9. relaciones de subcontratación
(1) El Encargado del tratamiento sólo podrá establecer relaciones de subcontratación en relación con el tratamiento de los Datos del cliente con el consentimiento previo por escrito del Cliente. Dicho consentimiento previo sólo podrá ser denegado por el Cliente por causa justificada que deberá demostrarse al Encargado del Tratamiento. Previa solicitud, el Encargado del tratamiento facilitará al Cliente una relación actualizada de los subencargados del tratamiento contratados. En caso de autorización por escrito, el Encargado del tratamiento informará siempre al Cliente de cualquier cambio previsto en relación con la participación o sustitución de otros encargados del tratamiento.
(2) Se considerará que los subencargados del tratamiento mencionados en el Anexo 3 ya han sido autorizados por el Cliente.
(3. Cuando se contrate a un subencargado del tratamiento, el encargado del tratamiento le impondrá, mediante un contrato u otro instrumento jurídico con arreglo al Derecho de la Unión o del Estado miembro de que se trate, las mismas obligaciones en materia de protección de datos que las establecidas en el presente contrato. Si un subencargado del tratamiento no cumple las obligaciones establecidas en el presente contrato o infringe la normativa de protección de datos, el encargado del tratamiento será responsable ante el cliente del cumplimiento de las obligaciones del subencargado.
(4) Los servicios que el Procesador utilice de terceros como servicio auxiliar para apoyar la ejecución del pedido no deben entenderse como relaciones de subcontratación en el sentido de esta disposición y, por lo tanto, no requieren el consentimiento del Cliente. Se trata, en particular, de servicios de telecomunicaciones, servicios de seguridad, servicios de mantenimiento y de atención al usuario, personal de limpieza, auditores y eliminación de soportes de almacenamiento de datos. No obstante, el encargado del tratamiento está obligado a celebrar acuerdos contractuales adecuados y conformes a la ley y a adoptar medidas de control para garantizar la protección y la seguridad de los datos del cliente, incluso en el caso de los servicios auxiliares subcontratados.
10 Derechos de los interesados
(1) Los derechos de las personas afectadas por el tratamiento de datos se harán valer frente al cliente.
(2) Si un interesado se pone en contacto directamente con el responsable del tratamiento para ejercer los derechos que le confieren los artículos 12 a 22 del RGPD en relación con los datos que le conciernen, el responsable del tratamiento remitirá al interesado al responsable del tratamiento.
(3) En caso de que un interesado haga valer sus derechos de conformidad con los artículos 12 a 22 del RGPD, el encargado del tratamiento apoyará al responsable del tratamiento en el cumplimiento de estas reclamaciones en la medida en que sea razonable y necesario para el responsable del tratamiento, a menos que el responsable del tratamiento pueda cumplir las reclamaciones sin la cooperación del encargado del tratamiento. El Cliente reembolsará al Encargado del tratamiento todos los gastos adicionales.
(4) El procesador permitirá al cliente corregir, eliminar o bloquear los datos del cliente o, a petición del cliente, llevar a cabo la corrección, el bloqueo o la eliminación si y en la medida en que esto sea imposible para el propio cliente.
11. devolución y supresión de los datos facilitados por los clientes
(1) El encargado del tratamiento devolverá o borrará, a elección del cliente, todos los datos del cliente una vez finalizada la prestación de servicios contractual (en particular, en caso de cancelación u otro tipo de rescisión del contrato principal) y destruirá las copias existentes, a menos que exista una obligación legal de conservar los datos.
(2) El Encargado del Tratamiento preparará un registro de la supresión o destrucción de los Datos del Cliente, que se presentará al Cliente cuando éste lo solicite.
(3) El encargado del tratamiento conservará la documentación que sirva como prueba del tratamiento adecuado de los datos de conformidad con el contrato o los periodos de conservación legales una vez finalizado el contrato de conformidad con los periodos de conservación respectivos.
12. relación con el contrato principal
En la medida en que el presente contrato no contenga disposiciones especiales, se aplicarán las disposiciones del contrato principal. En caso de contradicción entre el presente contrato y las disposiciones de otros acuerdos, en particular del contrato principal, prevalecerán las disposiciones del presente contrato en lo que respecta al tratamiento de los datos del cliente.
Descarga en PDF del acuerdo de tratamiento de datos: