Acuerdo de procesador de datos

A los efectos del artículo 28, apartado 3, del Reglamento 2016/679 (RGPD).

Este acuerdo regula el procesamiento de datos realizado por Simply Consulting ApS, registro de empresa no. DK 33970080, Gammel Kongevej 1, 1610 Copenhague V, Dinamarca (el procesador de datos), en nombre del cliente (el controlador de datos) y se adjunta como apéndice A de la suscripción principal, en la que las partes han acordado términos y condiciones para la Los procesadores de datos entregan servicios (Simply CRM) al controlador de datos.

Las partes HAN ACORDADO las siguientes Cláusulas Contractuales con el fin de cumplir con los requisitos del GDPR y garantizar la protección de los derechos del interesado.

  1. Tabla de contenido
  2. Preámbulo. 3
  3. Los derechos y obligaciones del responsable del tratamiento 3
  4. El encargado del tratamiento actúa según instrucciones. 4
  5. Confidencialidad 4
  6. Seguridad del procesamiento. 4
  7. Uso de subprocesadores. 5
  8. Transferencia de datos a terceros países u organizaciones internacionales. 6
  9. Asistencia al responsable del tratamiento 7
  10. Notificación de violación de datos personales. 8
  11. Borrado y devolución de datos. 8
  12. Auditoría e inspección. 9
  13. Acuerdo de las partes sobre otros términos. 9
  14. Inicio y terminación. 9
  15. Contactos/puntos de contacto del responsable y del encargado del tratamiento 10

Apéndice A Información sobre el tratamiento. 11

Apéndice B Subprocesadores autorizados. 12

Apéndice C Instrucción relativa al uso de datos personales. 13

Apéndice D Términos de acuerdo de las partes sobre otros temas. 18

 

 

2. Preámbulo

 

  1. Estas Cláusulas Contractuales (las Cláusulas) establecen los derechos y obligaciones del responsable del tratamiento y del encargado del tratamiento, cuando procesan datos personales por cuenta del responsable del tratamiento.

 

  1. Las Cláusulas han sido diseñadas para garantizar el cumplimiento por las partes del artículo 28(3) del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

 

  1. En el contexto de la prestación de Simply CRM y servicios relacionados, el procesador de datos procesará datos personales en nombre del controlador de datos de acuerdo con las Cláusulas.

 

  1. Las Cláusulas tendrán prioridad sobre cualesquiera disposiciones similares contenidas en otros acuerdos entre las partes.

 

  1. Se adjuntan cuatro apéndices a las Cláusulas y forman parte integral de las Cláusulas.

 

  1. El Apéndice A contiene detalles sobre el procesamiento de datos personales, incluido el propósito y la naturaleza del procesamiento, el tipo de datos personales, las categorías de interesados ​​y la duración del procesamiento.

 

  1. El Apéndice B contiene las condiciones del controlador de datos para el uso de subprocesadores por parte del procesador de datos y una lista de subprocesadores autorizados por el controlador de datos.

 

  1. El Apéndice C contiene las instrucciones del controlador de datos con respecto al procesamiento de datos personales, las medidas de seguridad mínimas que debe implementar el procesador de datos y cómo se deben realizar las auditorías del procesador de datos y de cualquier subprocesador.

 

  1. El Apéndice D contiene disposiciones para otras actividades que no están cubiertas por las Cláusulas.

 

  1. Ambas partes conservarán las Cláusulas junto con los apéndices por escrito, incluso electrónicamente.

 

  1. Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que está sujeto en virtud del Reglamento General de Protección de Datos (RGPD) u otra legislación.

3. Los derechos y obligaciones del responsable del tratamiento

 

  1. Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que está sujeto en virtud del Reglamento General de Protección de Datos (RGPD) u otra legislación.

 

  1. El responsable del tratamiento tiene el derecho y la obligación de tomar decisiones sobre las multas y medios del tratamiento de los datos personales.

 

  1. El responsable del tratamiento será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que el encargado del tratamiento debe realizar tenga una base jurídica.

4. El encargado del tratamiento actúa según instrucciones

 

  1. El procesador de datos procesará datos personales únicamente siguiendo instrucciones documentadas del controlador de datos, a menos que así lo exija la legislación de la Unión o de los Estados miembros a la que esté sujeto el procesador. Dichas instrucciones se especificarán en los apéndices A y C. El responsable del tratamiento también puede dar instrucciones posteriores durante todo el tratamiento de los datos personales, pero dichas instrucciones siempre deberán documentarse y conservarse por escrito, incluso electrónicamente, en relación con el Cláusulas.

 

  1. El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento, en opinión del encargado del tratamiento, contravienen el RGPD o las disposiciones aplicables en materia de protección de datos de la UE o de los Estados miembros.

 

5. Confidencialidad

 

  1. El procesador de datos solo otorgará acceso a los datos personales que se procesan en nombre del controlador de datos a personas bajo la autoridad del procesador de datos que se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad y solo cuando sea necesario saberlo. La lista de personas a las que se ha concedido el acceso se mantendrá bajo revisión periódica. Sobre la base de esta revisión, dicho acceso a los datos personales puede retirarse si el acceso ya no es necesario y, en consecuencia, los datos personales ya no serán accesibles para esas personas.

 

  1. El encargado del tratamiento deberá, a petición del responsable del tratamiento, demostrar que las personas interesadas bajo su autoridad están sujetas a la confidencialidad antes mencionada.

6. Seguridad del procesamiento

 

  1. El artículo 32 del RGPD establece que, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el El responsable del tratamiento y el encargado del tratamiento implementarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

 

El responsable del tratamiento evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento e implementará medidas para mitigarlos. Dependiendo de su relevancia, las medidas pueden incluir lo siguiente:

 

  1. Seudonimización y cifrado de datos personales;

 

  1. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;

 

  1. la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico;

 

  1. un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

 

  1. Según el artículo 32 del RGPD, el encargado del tratamiento también deberá, independientemente del responsable del tratamiento, evaluar los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento e implementar medidas para mitigar esos riesgos. A estos efectos, el responsable del tratamiento deberá proporcionar al encargado del tratamiento toda la información necesaria para identificar y evaluar dichos riesgos.

 

  1. Además, el encargado del tratamiento ayudará al responsable del tratamiento a garantizar el cumplimiento de las obligaciones del responsable del tratamiento de conformidad con el artículo 32 del RGPD, mediante Entre otros proporcionar al controlador de datos información sobre las medidas técnicas y organizativas ya implementadas por el procesador de datos de conformidad con el artículo 32 del RGPD junto con toda otra información necesaria para que el controlador de datos cumpla con su obligación en virtud del artículo 32 del RGPD.

 

Si posteriormente (en la evaluación del responsable del tratamiento) la mitigación de los riesgos identificados requiere que el encargado del tratamiento aplique medidas adicionales además de las que ya ha aplicado el encargado del tratamiento de conformidad con el artículo 32 del RGPD, el responsable del tratamiento especificará estas medidas adicionales para implementarse en el Apéndice C.

7. Uso de subprocesadores

 

  1. El procesador de datos deberá cumplir con los requisitos especificados en el artículo 28 (2) y (4) del RGPD para poder contratar a otro procesador (un subprocesador).

 

  1. Por lo tanto, el encargado del tratamiento no contratará a otro encargado (subencargado) para el cumplimiento de las Cláusulas sin la previa autorización general por escrito del responsable del tratamiento.

 

  1. El encargado del tratamiento cuenta con la autorización general del responsable del tratamiento para la contratación de subencargados. El encargado del tratamiento deberá informar por escrito al responsable del tratamiento de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados con al menos 20 días de antelación, dando así al responsable del tratamiento la oportunidad de oponerse a dichos cambios antes de la contratación del subencargado en cuestión. -procesador(es). En el Apéndice B se pueden proporcionar períodos de notificación previa más largos para servicios de subprocesamiento específicos. La lista de subprocesadores ya autorizados por el controlador de datos se puede encontrar en el Apéndice B.

 

  1. Cuando el encargado del tratamiento contrata a un subencargado para llevar a cabo actividades de procesamiento específicas en nombre del responsable del tratamiento, se impondrán a ese subencargado las mismas obligaciones de protección de datos establecidas en las Cláusulas mediante un contrato u otro acto jurídico. conforme a la legislación de la UE o de los Estados miembros, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de las Cláusulas y el RGPD.

 

Corresponderá, por tanto, al encargado del tratamiento exigir que el subencargado cumpla al menos con las obligaciones a las que está sujeto el encargado del tratamiento de conformidad con las Cláusulas y el RGPD.

 

  1. Una copia de dicho acuerdo de subencargado y sus modificaciones posteriores se presentarán, a petición del responsable del tratamiento, al responsable del tratamiento, dándole así la oportunidad de garantizar que se impongan las mismas obligaciones de protección de datos establecidas en las Cláusulas. en el subprocesador. Las cláusulas sobre cuestiones comerciales que no afecten al contenido jurídico de protección de datos del contrato de subencargado, no requerirán presentación al responsable del tratamiento.

 

  1. El procesador de datos deberá acordar una cláusula de tercero beneficiario con el subprocesador donde, en caso de quiebra del procesador de datos, el controlador de datos será un tercero beneficiario del acuerdo de subprocesador y tendrá derecho a hacer cumplir el acuerdo contra el subencargado contratado por el encargado del tratamiento, p.e. permitir al responsable del tratamiento ordenar al subencargado que elimine o devuelva los datos personales.

 

  1. Si el subencargado no cumple con sus obligaciones en materia de protección de datos, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento en lo que respecta al cumplimiento de las obligaciones del subencargado. Esto no afecta a los derechos de los interesados ​​en virtud del RGPD (en particular, los previstos en los artículos 79 y 82 del RGPD) frente al responsable del tratamiento y al encargado del tratamiento, incluido el subencargado.

8. Transferencia de datos a terceros países u organizaciones internacionales

 

  1. Cualquier transferencia de datos personales a terceros países u organizaciones internacionales por parte del encargado del tratamiento sólo se producirá sobre la base de instrucciones documentadas del responsable del tratamiento y siempre se realizará de conformidad con el Capítulo V del RGPD.

 

  1. En caso de que las transferencias a terceros países u organizaciones internacionales, para las cuales el responsable del tratamiento no haya recibido instrucciones del responsable del tratamiento, sean necesarias en virtud de la legislación de la UE o de los Estados miembros a las que está sujeto el encargado del tratamiento, el encargado del tratamiento informará al responsable del tratamiento de los datos. ese requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.

 

  1. Por lo tanto, sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no puede, en el marco de las Cláusulas:

 

  1. transferir datos personales a un responsable del tratamiento o a un encargado del tratamiento en un tercer país o en una organización internacional

 

  1. transferir el procesamiento de datos personales a un subprocesador en un tercer país

 

  1. hacer que los datos personales sean procesados ​​por el procesador de datos en un tercer país

 

  1. Las instrucciones del responsable del tratamiento en relación con la transferencia de datos personales a un tercer país, incluida, en su caso, la herramienta de transferencia del Capítulo V del RGPD en la que se basan, se establecerán en el Anexo C.6.

 

  1. Las Cláusulas no deben confundirse con las cláusulas estándar de protección de datos en el sentido del Artículo 46(2)(c) y (d) del RGPD, y las partes no pueden confiar en las Cláusulas como una herramienta de transferencia según el Capítulo V del RGPD.

9. Asistencia al responsable del tratamiento

 

  1. Teniendo en cuenta la naturaleza del tratamiento, el encargado del tratamiento ayudará al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidos. en el Capítulo III del RGPD.

Esto implica que el encargado del tratamiento, en la medida de lo posible, ayudará al responsable del tratamiento a cumplir con:

 

  1. el derecho a ser informado al recoger datos personales del interesado
  2. el derecho a ser informado cuando los datos personales no hayan sido obtenidos del interesado
  3. el derecho de acceso por parte del interesado
  4. el derecho a la rectificación
  5. el derecho a la supresión (“el derecho al olvido”)
  6. el derecho a la restricción del procesamiento
  7. obligación de notificación sobre la rectificación o supresión de datos personales o la restricción del procesamiento
  8. el derecho a la portabilidad de los datos
  9. el derecho a oponerse
  10. el derecho a no estar sujeto a una decisión basada únicamente en el procesamiento automatizado, incluida la elaboración de perfiles

 

  1. Además de la obligación del procesador de datos de ayudar al controlador de datos de conformidad con la Cláusula 6.3., el procesador de datos deberá además, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el procesador de datos, ayudar al controlador de datos a garantizar el cumplimiento de:

 

  1. La obligación del responsable del tratamiento de datos de notificar sin demora indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de ello, la violación de datos personales a la autoridad supervisora ​​competente, la Agencia Danesa de Protección de Datos, a menos que sea poco probable que la violación de datos personales resultar en un riesgo para los derechos y libertades de las personas físicas;

 

  1. la obligación del responsable del tratamiento de comunicar sin demora indebida la violación de los datos personales al interesado, cuando la violación de los datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas;

 

  1. la obligación del responsable del tratamiento de realizar una evaluación del impacto de las operaciones de procesamiento previstas en la protección de datos personales (una evaluación de impacto de la protección de datos);

 

  1. la obligación del controlador de datos de consultar a la autoridad supervisora ​​competente, la Agencia Danesa de Protección de Datos, antes del procesamiento cuando una evaluación de impacto de la protección de datos indique que el procesamiento resultaría en un alto riesgo en ausencia de medidas tomadas por el controlador de datos para mitigar el riesgo.

 

  1. Las partes definirán en el Apéndice C las medidas técnicas y organizativas apropiadas mediante las cuales el procesador de datos debe ayudar al controlador de datos, así como el alcance y la extensión de la asistencia requerida. Esto se aplica a las obligaciones previstas en la Cláusula 9.1. y 9.2.

10. Notificación de violación de datos personales

 

  1. En caso de cualquier violación de datos personales, el procesador de datos deberá, sin demora indebida después de haber tenido conocimiento de ello, notificar la violación de datos personales al controlador de datos.

 

  1. La notificación del encargado del tratamiento al responsable del tratamiento tendrá lugar, si es posible, dentro de las 72 horas siguientes a que el encargado del tratamiento haya tenido conocimiento de la violación de los datos personales para permitir al responsable del tratamiento cumplir con su obligación de notificar la violación de los datos personales al autoridad de control competente, cf. Artículo 33 RGPD.

 

  1. De conformidad con la Cláusula 9(2)(a), el procesador de datos deberá ayudar al controlador de datos a notificar la violación de datos personales a la autoridad de control competente, lo que significa que el procesador de datos debe ayudar a obtener la información que se enumera a continuación que, de conformidad con al artículo 33, apartado 3, del RGPD, se indicará en la notificación del responsable del tratamiento a la autoridad de control competente:

 

  1. La naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados ​​en cuestión y las categorías y el número aproximado de registros de datos personales en cuestión;

 

  1. las probables consecuencias de la violación de datos personales;

 

  1. las medidas adoptadas o propuestas a adoptar por el responsable del tratamiento para abordar la violación de datos personales, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.

 

  1. Las partes definirán en el Apéndice C todos los elementos que deberá proporcionar el encargado del tratamiento al ayudar al responsable del tratamiento en la notificación de una violación de datos personales a la autoridad de control competente.

11. Borrado y devolución de datos

 

  1. Al finalizar la prestación de servicios de procesamiento de datos personales, el procesador de datos tendrá la obligación de eliminar todos los datos personales procesados ​​en nombre del controlador de datos y certificar al controlador de datos que lo ha hecho, a menos que la legislación de la Unión o de los Estados miembros exija el almacenamiento de los datos personales.

 

El encargado del tratamiento se compromete a tratar los datos personales exclusivamente con las finalidades y durante la duración previstas en esta ley y en las estrictas condiciones aplicables.

12. Auditoría e inspección

 

  1. El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y las Cláusulas y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento u otro auditor autorizado por el responsable del tratamiento. controlador.

  1. Los procedimientos aplicables a las auditorías del responsable del tratamiento, incluidas las inspecciones, del encargado del tratamiento y de los subencargados del tratamiento se especifican en los apéndices C.7. y C.8.

 

  1. El encargado del tratamiento estará obligado a proporcionar a las autoridades de control, que de conformidad con la legislación aplicable tienen acceso a las instalaciones del responsable y del encargado del tratamiento, o a los representantes que actúen en nombre de dichas autoridades de control, acceso a las instalaciones físicas del encargado del tratamiento, previa presentación de la documentación adecuada. identificación.

13. Acuerdo de las partes sobre otros términos

 

  1. Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de procesamiento de datos personales especificando, por ejemplo, responsabilidad, siempre que no contradigan directa o indirectamente las Cláusulas ni perjudiquen los derechos o libertades fundamentales del interesado y la protección que le confiere el RGPD.

14. Inicio y terminación

 

  1. Las Cláusulas entrarán en vigor en la fecha de la firma de ambas partes.

 

  1. Ambas partes tendrán derecho a exigir la renegociación de las Cláusulas si cambios en la ley o la falta de conveniencia de las Cláusulas dieran lugar a dicha renegociación.

 

  1. Las Cláusulas se aplicarán mientras dure la prestación de los servicios de tratamiento de datos personales. Mientras dure la prestación de servicios de procesamiento de datos personales, las Cláusulas no podrán rescindirse a menos que se hayan acordado entre las partes otras Cláusulas que regulen la prestación de servicios de procesamiento de datos personales.

  1. Si se da por terminada la prestación de servicios de procesamiento de datos personales y los datos personales se eliminan o se devuelven al responsable del tratamiento de conformidad con la Cláusula 11.1. y Apéndice C.4., las Cláusulas podrán rescindirse mediante notificación escrita de cualquiera de las partes.

 

15. Contactos/puntos de contacto del responsable y del encargado del tratamiento

 

  1. Las partes podrán ponerse en contacto entre sí utilizando los siguientes contactos/puntos de contacto:

 

  1. Las partes estarán obligadas a informarse continuamente sobre los cambios en los contactos/puntos de contacto.

 

Teléfono +45 70 235 230

Correo electrónico [email protected]

 

 

 

Apéndice A Información sobre el procesamiento

 

A.1. La finalidad del tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento es:

 

La finalidad del tratamiento de datos personales por parte de Simply CRM es proporcionar una plataforma CRM (Customer Relationship Management) con servicios relacionados, como tickets de soporte, formularios web, correos electrónicos, tareas de proyectos, entradas de calendario, etc. Simply CRM también ofrece integraciones con varias plataformas como correo, calendario y Finanzas/ERP, entre otras. Todos estos servicios se ofrecen para cumplir con las obligaciones bajo los términos de servicios acordados entre Simply CRM y el Cliente.

 

Además, los datos personales también se pueden utilizar en los servicios de soporte de Simply CRM para el Cliente (el controlador de datos) y sus usuarios.

 

 

A.2. El procesamiento de datos personales por parte del procesador de datos en nombre del controlador de datos se referirá principalmente a (la naturaleza del procesamiento):

 

El procesamiento de datos personales por parte de Simply CRM se realiza principalmente según las instrucciones del Cliente (el controlador de datos) según sea necesario para cumplir con las obligaciones bajo los términos de servicios acordados entre Simply CRM y el Cliente (el controlador de datos):

 

Almacenar, utilizar, añadir, modificar, editar, estructurar, analizar, presentar, exportar y eliminar los datos en nombre del Cliente (el responsable del tratamiento).

 

Los datos pueden importarse a través de herramientas de importación integradas o integraciones con herramientas de terceros, o pueden ser ingresados ​​por el Cliente (el controlador de datos) manualmente, así como también pueden recopilarse en función de las interacciones de los usuarios con la plataforma Simply CRM, utilizando tecnologías como cookies y herramientas de registro.

A.3. El procesamiento incluye los siguientes tipos de datos personales sobre los interesados:

 

Todos los tipos de datos personales sobre los interesados ​​están relacionados con los servicios como proveedor de CRM, lo que significa que los datos están relacionados con servicios de ventas y marketing.

 

El procesamiento de los datos del Cliente es configurable por el Cliente, pero Simply CRM tiene el siguiente tipo estándar de procesamiento de datos personales:

 

Nombres, direcciones de correo electrónico, números de teléfono, direcciones, asistencia a reuniones, información de segmentación con fines de marketing, solicitudes de soporte, información de membresía, facturas, tareas de proyectos relacionadas, análisis del uso del sitio web y del portal de clientes, datos de localización (dirección IP), ID relacionados en plataformas integradas como EP e información similar.

 

 

A.4. El procesamiento incluye las siguientes categorías de interesados:

 

 

Simply CRM procesará datos personales relacionados con las siguientes categorías de interesados:

 

  • Usuarios de Simply CRM, autorizados a utilizar el servicio por el Cliente (el responsable del tratamiento).
  • Empleados que trabajan para el Cliente (el responsable del tratamiento), con quienes Simply CRM ha tenido o podría potencialmente mantener diálogo.
  • Contactos gestionados por el Cliente (el responsable del tratamiento) a través de Simply CRM y servicios relacionados.
  • Proveedores de servicios autorizados por el Cliente (el responsable del tratamiento de datos) para utilizar la plataforma y los servicios de Simply CRM.

 

A.5. El procesamiento de datos personales por parte del procesador de datos en nombre del controlador de datos podrá realizarse cuando comiencen las Cláusulas. El tratamiento tiene la siguiente duración:

 

Se hace referencia a la sección de los Términos y condiciones de Simply CRM, que cubre la duración de una suscripción. Una vez que caduque una suscripción, incluido un período de gracia posterior a la suscripción, los datos tampoco se procesarán más.

 

Los términos y condiciones se pueden leer en su totalidad en https://simply-crm.com/terms-and-conditions/

 

Apéndice B Subprocesadores autorizados

 

B.1. Subprocesadores aprobados

Al inicio de las Cláusulas, el responsable del tratamiento autoriza la contratación de los siguientes subencargados.

NOMBRE CVR Dirección DESCRIPCIÓN DEL TRATAMIENTO
Hetzner Online GmbH Reg. IVA No. DE 812871812 Industriastr. 25 91710 Gunzenhausen Alemania Proveedor de alojamiento principal para clientes europeos (GDPR)

 

El responsable del tratamiento deberá, al inicio de las Cláusulas, autorizar el uso de los subencargados antes mencionados para el procesamiento descrito para esa parte. El procesador de datos no tendrá derecho, sin la autorización explícita por escrito del controlador de datos, a contratar a un subencargado para un procesamiento “diferente” al que ha sido acordado o a que otro subencargado realice el procesamiento descrito.

 

 

Apéndice C Instrucción relativa al uso de datos personales.

 

C.1. El objeto/instrucción para el procesamiento

 

El Procesador de datos procesa datos personales en nombre del Controlador de datos para permitir que el Controlador de datos utilice la plataforma Simply CRM para ventas, gestión de relaciones con los clientes, información relacionada con proyectos y tareas, comunicación interna y otras formas de intercambio de conocimientos, propiedad y administrada por el Procesador de datos. El controlador de datos (el cliente) utilizará la plataforma para ventas, gestión de relaciones con el cliente, información relacionada con proyectos y tareas, comunicación interna en su empresa para empleados seleccionados o para todos.

 

C.2. Seguridad del procesamiento

 

C.2.1 El nivel de seguridad tendrá en cuenta:

Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines de la actividad de procesamiento, así como el riesgo para los derechos y libertades de las personas físicas, el Procesador de datos debe implementar un nivel de seguridad adecuado.

En lo sucesivo, el Procesador de datos tendrá el derecho y la obligación de tomar decisiones sobre las medidas de seguridad técnicas y organizativas que se aplicarán para crear el nivel necesario (y acordado) de seguridad de los datos.

Sin embargo, el Procesador de datos deberá, en cualquier caso y como mínimo, implementar las siguientes medidas que hayan sido acordadas con el Responsable del tratamiento:
Seguridad física

El Encargado del Tratamiento deberá implementar las siguientes medidas de seguridad física:

a) El espacio de oficina del encargado del tratamiento podrá estar cerrado con llave.
b) El encargado del tratamiento utiliza sistemas de alarma para detectar y prevenir robos.
c) El encargado del tratamiento utiliza alarmas contra incendios y detectores de humo para detectar y prevenir incendios.
d) Los dispositivos del procesador de datos (incluidas PC, servidores, etc.) están asegurados detrás de puertas cerradas.
e) Los locales e instalaciones del encargado del tratamiento o vías de acceso sean objeto de vigilancia por vídeo o imagen.
f) El procesador de datos utiliza la gestión de claves, es decir, proporciona claves a los empleados relevantes y necesarios, etc.

Seguridad organizacional

El Encargado del Tratamiento deberá implementar las siguientes medidas de seguridad organizativas:

a) Todos los empleados del encargado del tratamiento están sujetos a obligaciones de confidencialidad que se aplican a todo tratamiento de datos personales.
b) El acceso de los empleados a los datos personales es limitado, de modo que sólo los empleados relevantes tienen acceso a los datos personales necesarios.
c) El encargado del tratamiento dispone de una política de seguridad informática.
d) El procesador de datos cuenta con descripciones de procesos documentados para violaciones a la seguridad de los datos personales, las cuales son revisadas al menos anualmente.

Además de los puntos anteriores, el Procesador de datos tiene descripciones de procesos documentadas para el procesamiento de Datos personales.

Seguridad técnica: Acceso a datos personales

El Encargado del Tratamiento implementará las siguientes medidas técnicas de seguridad en relación con el acceso a los datos personales:

a) El encargado del tratamiento utiliza control de acceso lógico con nombre de usuario y contraseña u otra autorización única.
b) El encargado del tratamiento exige a los empleados el uso de contraseñas individuales.
c) Los ordenadores del encargado del tratamiento disponen de protección automática de acceso durante la inactividad, es decir. protector de pantalla bloqueado.
d) El encargado del tratamiento cuenta con políticas de composición de contraseñas, incluyendo requisitos mínimos.
e) Existen procedimientos para revocar permisos cuando un empleado cesa o cambia de departamento.
f) Existen procedimientos para el otorgamiento de autorizaciones a los sistemas informáticos en la contratación de nuevos empleados.

Seguridad técnica: Acceso y protección de los sistemas informáticos

El Encargado del Tratamiento implementará las siguientes medidas técnicas de seguridad en materia de acceso y protección de sus sistemas:

a) El encargado del tratamiento otorga autorizaciones a personas físicas o colectivas para acceder, modificar y eliminar los datos personales tratados.
b) El procesador de datos tiene procedimientos para restaurar los datos desde la copia de seguridad.
c) El encargado del tratamiento revisa periódicamente los controles del sistema.

Además, el Procesador de datos ha implementado la autenticación de dos factores.

Seguridad técnica: cifrado

El Encargado del Tratamiento implementará las siguientes medidas técnicas de seguridad en materia de cifrado:

a) Las contraseñas almacenadas en los ordenadores del procesador, etc. están cifradas.etc. are encrypted.
b) El contenido de discos duros externos y llaves USB, etc. se cifra cuando dichos medios contienen información personal o sensible.
c) El encargado del tratamiento cifra los datos personales en sistemas y/o dispositivos.
d) Los sitios web y formularios web del encargado del tratamiento utilizan certificados SSL/HTTPS (Protocolo seguro de transferencia de hipertexto).

Seguridad técnica: Protección de datos personales durante la transmisión

El Encargado del Tratamiento deberá implementar las siguientes medidas técnicas de seguridad en materia de protección de datos personales durante la transmisión:

a) El encargado del tratamiento cuenta con lineamientos para el uso de los correos electrónicos laborales, incluyendo el uso para uso privado, uso adecuado, cifrado, uso seguro, etc.

Seguridad técnica: seudonimización

El encargado del tratamiento implementará las siguientes medidas técnicas de seguridad en materia de seudonimización:

El encargado del tratamiento utiliza seudonimización de los datos personales. La seudonimización garantiza que la información que puede ayudar a identificar a la persona registrada se separe y se almacene en un sistema informático separado y protegido.
Cuando un usuario es eliminado de la plataforma, todos sus datos personales se anonimizan.

Seguridad técnica: Disponibilidad y robustez

El Encargado del Tratamiento implementará las siguientes medidas técnicas de seguridad en materia de disponibilidad y robustez:

a) La accesibilidad y robustez de los sistemas y servidores del encargado del tratamiento están aseguradas por un tercero con el que el encargado del tratamiento tiene un acuerdo.
b) Sólo los empleados autorizados tienen acceso a los servidores propios del encargado del tratamiento.
c) Las salas de servidores cuentan con alarmas de humo y extintores.
d) La sala de servidores cuenta con sistema de aire acondicionado.
e) Existen reglas y lineamientos para el respaldo de datos.
f) Existen reglas y pautas para restaurar datos desde una copia de seguridad.
g) Se realizan copias de seguridad periódicamente (ya sea internamente o en el proveedor).
h) Monitoreo de temperatura y humedad en salas de servidores.
i) Alertas activas por intentos no autorizados de acceso a salas de servidores y/o sistemas de procesamiento y datos.
j) Se utiliza sistema de alimentación ininterrumpida (UPS).

C.3. Asistencia al responsable del tratamiento

3.1 El Procesador de datos deberá, en la medida de lo posible (dentro del alcance y la extensión de la asistencia especificada a continuación), ayudar al Controlador de datos de conformidad con las Cláusulas 9.1 y 9.2 mediante la implementación de las siguientes medidas técnicas y organizativas:

3.1.1 Si el Controlador de datos recibe una solicitud para el ejercicio de uno de los derechos de los interesados ​​de conformidad con la ley de protección de datos aplicable, y una respuesta adecuada a la solicitud requiere asistencia del Procesador de datos, el Procesador de datos ayudará al Responsable del tratamiento con la información y documentación necesaria y relevante así como con las medidas de seguridad técnicas y organizativas adecuadas.

3.1.2 Si el Controlador de datos necesita la asistencia del Procesador de datos para responder a una solicitud de un interesado, el Controlador de datos debe enviar una solicitud de asistencia por escrito al Procesador de datos y el Procesador de datos en respuesta proporcionará la ayuda necesaria o documentación a la mayor brevedad posible y a más tardar 7 días naturales después de recibida la solicitud.

3.1.3 Si el Procesador de datos recibe una solicitud para el ejercicio de los derechos de conformidad con la ley de protección de datos aplicable de otras personas distintas del Controlador de datos, y la solicitud se refiere a datos personales procesados ​​en nombre del Controlador de datos, el Procesador de datos deberá, sin indebido, retrasar el envío de la solicitud al Responsable del tratamiento.

C.4. Periodo de almacenamiento/procedimientos de borrado

4.1 Al finalizar la prestación de servicios de procesamiento de datos personales, el Procesador de datos eliminará o devolverá los datos personales de conformidad con la Cláusula 11.1, a menos que el Controlador de datos, después de la firma del contrato, haya modificado la elección original del Controlador de datos. Dicha modificación deberá documentarse y conservarse por escrito, incluso electrónicamente, en relación con las Cláusulas.

C.5. Ubicación de procesamiento

5.1 El procesamiento de datos personales conforme a las Cláusulas no se puede realizar en otros lugares que no sean los siguientes sin la autorización previa por escrito del Controlador de datos:

En la propia sede del Procesador de datos o en la sede de los subencargados aprobados como se especifica en el Apéndice B.

C.6. Instrucción sobre la transferencia de datos personales a terceros países

6.1 Los datos personales solo serán procesados ​​por el Procesador de datos en las ubicaciones especificadas en la Cláusula C.5. El Encargado del Tratamiento no transfiere datos personales a terceros países u organizaciones internacionales.

6.2 Si la transferencia de datos personales a terceros países fuera de la UE/EEE se lleva a cabo en relación con la transferencia del Procesador de datos a subprocesadores, el Procesador de datos está autorizado, según las disposiciones del acuerdo, a celebrar las disposiciones contractuales estándar adoptadas por la Comisión Europea con los subencargados del Procesador de datos en nombre del Controlador de datos, siempre que se cumplan todas las normas de la Ley danesa de protección de datos para la transmisión y el procesamiento. Si el propio responsable del tratamiento es el encargado del tratamiento y el encargado del tratamiento es un subencargado de los datos en relación con el socio contractual final del responsable del tratamiento, el responsable del tratamiento debe obtener autorización de la parte contratante última del encargado del tratamiento. en las condiciones estándar del contrato.

6.3 Si la transferencia de datos personales a terceros países fuera de la UE/EEE se lleva a cabo en relación con la transferencia del Procesador de datos a controladores de datos independientes, el Procesador de datos está autorizado, según las disposiciones del acuerdo, a celebrar las disposiciones contractuales estándar adoptadas por la Comisión Europea con controladores de datos independientes en nombre del Controlador de datos, siempre que se cumplan todas las normas de la legislación de protección de datos para la transmisión y el procesamiento. Si el propio responsable del tratamiento es el encargado del tratamiento y el encargado del tratamiento es un subencargado de los datos en relación con el socio contractual final del responsable del tratamiento, el responsable del tratamiento debe obtener autorización de la parte contratante última del encargado del tratamiento. en las condiciones estándar del contrato.

6.4 En todos los casos, la transferencia de datos personales sólo podrá realizarse de conformidad con estas Cláusulas, siguiendo las instrucciones del Responsable del tratamiento y en la medida permitida por la ley de protección de datos aplicable.

6.5 Si el Responsable del tratamiento no proporciona instrucciones documentadas en estas Cláusulas o posteriormente con respecto a la transferencia de datos personales a un tercer país, el Procesador de datos no tiene derecho a realizar dichas transferencias dentro del alcance de estas Cláusulas.

C.7. Procedimientos para las auditorías del Controlador de datos, incluidas inspecciones, del procesamiento de datos personales que realiza el Procesador de datos

7.1 El Procesador de datos deberá, previa solicitud por escrito del Controlador de datos, documentar al Controlador de datos que el Procesador de datos

7.1.1 está cumpliendo con sus obligaciones bajo estas Cláusulas y la Instrucción, y

7.1.2 con los artículos pertinentes del RGPD con respecto a los datos personales que se procesan en nombre del Responsable del tratamiento.

7.2 De acuerdo con la Cláusula C.7.1 la documentación del Encargado del Tratamiento deberá ser enviada al Responsable del Tratamiento dentro de un plazo razonable después de recibir la solicitud.

7.3 El Procesador de datos no pondrá a disposición del Controlador de datos informes de autoauditoría de acuerdo con los principios de la Declaración de Garantía ISAE 3000 como parte de la documentación de los Procesadores de datos para el cumplimiento de estas Cláusulas. El Procesador de datos no está obligado a iniciar y realizar auditorías externas de su cumplimiento de las Cláusulas por iniciativa propia.

Apéndice D Términos de acuerdo de las partes sobre otros temas

 

No existen términos de acuerdo acordados sobre otros temas, a menos que ambas Partes lo acuerden expresamente por escrito en otros apéndices.
[1] Las referencias a “Estados miembros” realizadas a lo largo de las Cláusulas se entenderán como referencias a “Estados miembros del EEE”.