entre
Cliente - el Responsable del Tratamiento - en adelante denominado el "Cliente" o Suscriptor del Servicio,
y
Transfon Ltd - el Encargado del Tratamiento - en adelante denominado el "Proveedor".
El objeto y la duración del Acuerdo o Contrato se determinarán en su totalidad conforme a la información proporcionada en la relación contractual respectiva. El Proveedor procesará datos personales para el Cliente de conformidad con el Art. 4 No. 2 y el Art. 28 del RGPD sobre la base de este Acuerdo.
El objeto, la naturaleza y la finalidad de cualquier posible recopilación, procesamiento o uso de datos personales, la naturaleza de los datos y las Personas Afectadas serán descritos al Proveedor por el Cliente de conformidad con el Apéndice 1 de este documento según lo completado por el Cliente, en la medida en que esto no esté regulado por las relaciones contractuales descritas en el contenido de la Sección 1 de este documento.
La prestación del procesamiento de datos acordado contractualmente se llevará a cabo exclusivamente en un estado miembro de la Unión Europea o en otro estado miembro parte del Acuerdo sobre el Espacio Económico Europeo. Cualquier transferencia a un tercer país requerirá el consentimiento previo del Cliente y solo podrá realizarse si se cumplen las condiciones especiales definidas en los Artículos 44 y siguientes del RGPD.
(1) Antes del inicio del procesamiento de datos, el Proveedor documentará la ejecución de las medidas técnicas y organizativas necesarias definidas con anterioridad a la adjudicación del Pedido o Contrato, específicamente en lo que respecta a la ejecución detallada del Acuerdo o Contrato, y presentará estas medidas documentadas al Cliente para su inspección (Véase el Apéndice 2 de este documento). Una vez aceptados dichos documentos por el Cliente, las medidas documentadas se convierten en la base del contrato. En la medida en que la inspección/auditoría por parte del Cliente muestre la necesidad de modificaciones, dichas modificaciones se implementarán de mutuo acuerdo.
(2) El Proveedor establecerá la seguridad de los datos de conformidad con el Art. 28 Párr. 3 Frase 2 Cláusula c, y el Art. 32 del RGPD, en particular en relación con el Art. 5 Párr. 1 y Párr. 2 del RGPD. Las medidas a tomar son medidas de seguridad de datos y medidas que garanticen un nivel de protección adecuado al riesgo en lo que respecta a la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. Se deben tener en cuenta el estado de la tecnología; los costes de implementación; la naturaleza, el alcance y las finalidades del procesamiento; así como la probabilidad de ocurrencia y la gravedad del riesgo para los derechos y libertades de las personas físicas en el ámbito del Art. 32 Párr. 1 del RGPD.
(3) Las medidas técnicas y organizativas estarán sujetas al progreso técnico y al desarrollo posterior. En este sentido, el Proveedor tiene permitido implementar medidas alternativas adecuadas. El nivel de seguridad de las medidas especificadas no debe verse comprometido. Los cambios sustanciales deben documentarse.
(1) El Proveedor no está autorizado por su propia autoridad a eliminar o restringir el procesamiento de datos procesados en nombre de terceros. En la medida en que una Persona Afectada contacte directamente al Proveedor a este respecto, el Proveedor reenviará inmediatamente esta solicitud al Cliente sin demora.
(2) En la medida en que el alcance de los servicios lo incluya, lo siguiente deberá ser garantizado sin demora indebida por el Proveedor de conformidad con las instrucciones documentadas del Cliente: una política de eliminación, el "derecho al olvido", la corrección de datos, la portabilidad de datos y la divulgación de datos.
Además de cumplir con las disposiciones de este acuerdo, el Proveedor cumplirá con las obligaciones legales de conformidad con los Artículos 28 a 33 del RGPD; en este sentido, el Proveedor garantizará particularmente el cumplimiento de los siguientes requisitos:
5.1 Confidencialidad de conformidad con el Art. 28 Párr. 3 Frase 2 Cláusula b, Art. 29 y Art. 32 Párr. 4 del RGPD. El Proveedor confía únicamente a aquellos empleados que hayan sido obligados a mantener la confidencialidad y que previamente hayan sido familiarizados con las disposiciones de protección de datos relevantes para su trabajo el procesamiento de datos definido en este acuerdo. El Proveedor y cualquier persona que actúe bajo su autoridad que tenga acceso a datos personales solo podrá procesar dichos datos de conformidad con las instrucciones del Cliente (lo cual incluye los poderes otorgados en este Acuerdo) a menos que la ley lo exija de otro modo.
5.2 La implementación y observancia de todas las medidas técnicas y organizativas necesarias para este Acuerdo de conformidad con el Art. 28 Párr. 3 Frase 2 Cláusula c, Art. 32 del RGPD se especifican en el Apéndice 2 de este Acuerdo.
5.3 El Proveedor y el Cliente, previa solicitud, cooperarán con la autoridad de supervisión en el desempeño de sus funciones.
5.4 El Cliente será informado inmediatamente de cualquier inspección y medida realizada por la autoridad de supervisión, en la medida en que se relacionen con este Acuerdo o Contrato. Esto también se aplica en la medida en que el Proveedor esté bajo investigación o sea parte de una investigación por parte de una autoridad competente en relación con infracciones a cualquier ley civil o penal, norma administrativa o regulación relativa al procesamiento de datos personales en conexión con el procesamiento de este Acuerdo o Contrato.
5.5 En la medida en que el Cliente esté sujeto a una inspección por parte de la autoridad de supervisión, un procedimiento de infracción administrativa o penal, una reclamación de responsabilidad de una Persona Afectada o de un tercero, o cualquier otra reclamación en conexión con el procesamiento del Acuerdo o Contrato por parte del Proveedor, el Proveedor hará todo lo posible por apoyar al Cliente en la medida de sus capacidades.
5.6 El Proveedor supervisará regularmente los procesos internos, así como las medidas técnicas y organizativas, para garantizar que el procesamiento en su área de responsabilidad se ejecute de conformidad con los requisitos de la legislación de protección de datos aplicable y que se protejan los derechos de las Personas Afectadas.
5.7 El Cliente podrá solicitar documentación para verificar la ejecución de las medidas técnicas y organizativas adoptadas por el Proveedor de conformidad con la sección 3 de este Acuerdo.
A efectos de este Acuerdo, las relaciones de subcontratación se definen como aquellos servicios que se relacionan directamente con la prestación del encargo principal. Esto no incluye servicios auxiliares que el Proveedor utilice, por ejemplo, servicios de telecomunicaciones; servicios postales/de transporte; servicios de mantenimiento y soporte al usuario; así como otras medidas para garantizar la confidencialidad, disponibilidad, integridad y resiliencia del hardware y software de los sistemas de procesamiento de datos. Sin embargo, el Proveedor está obligado a establecer acuerdos contractuales apropiados y legalmente vinculantes e implementar medidas de inspección apropiadas para garantizar la protección de datos y la seguridad de los datos del Cliente, incluso en el caso de servicios auxiliares subcontratados.
(1) El Cliente tendrá derecho a implementar inspecciones en consulta con el Proveedor o a que sean implementadas por inspectores designados en casos individuales. El Cliente tendrá derecho a verificar el cumplimiento de este Acuerdo por parte del Proveedor en sus operaciones comerciales mediante inspecciones puntuales, que como norma general serán anunciadas con la debida antelación.
(2) El Proveedor garantizará que el Cliente pueda verificar el cumplimiento por parte del Proveedor de las obligaciones en virtud del Artículo 28 del RGPD. El Proveedor está obligado a proporcionar al Cliente la información necesaria previa solicitud y, en particular, a proporcionar pruebas de la implementación de las medidas técnicas y organizativas.
(3) La evidencia de tales medidas que no se refieran únicamente a este Acuerdo o Contrato específico podrá proporcionarse mediante el cumplimiento de códigos de conducta aprobados de conformidad con el Artículo 40 del RGPD; certificación según un procedimiento de certificación aprobado de conformidad con el Artículo 42 del RGPD; certificados de auditoría actuales, informes o extractos de informes proporcionados por organismos independientes (por ejemplo, un auditor, Delegado de Protección de Datos, departamento de seguridad informática, auditor de privacidad de datos, auditor de calidad); o una certificación adecuada por auditoría de seguridad informática o protección de datos.
(4) El Proveedor podrá reclamar una remuneración por permitir las inspecciones del Cliente.
(1) El Proveedor asistirá al Cliente en el cumplimiento de las obligaciones relativas a la seguridad de los datos personales, los requisitos de notificación de violaciones de datos, las evaluaciones de impacto de protección de datos y las consultas previas mencionadas en los Artículos 32 a 36 del RGPD. Estos incluyen:
8.1.1. Garantizar un nivel adecuado de protección con las medidas técnicas y organizativas que tengan en cuenta las circunstancias y finalidades del procesamiento de datos, la probabilidad proyectada y la gravedad de posibles violaciones de la ley debido a vulnerabilidades de seguridad, y las medidas que permitan detectar inmediatamente las violaciones relevantes de la ley.
8.1.2. La obligación de informar inmediatamente al Cliente sobre violaciones de datos personales.
8.1.3. El deber de asistir al Cliente con respecto a la propia obligación del Cliente de proporcionar información a las Personas Afectadas y, en este contexto, informar inmediatamente al Cliente de sus propias obligaciones.
8.1.4. Asistir al Cliente con su evaluación de impacto de protección de datos.
8.1.5. Asistir al Cliente con respecto a la consulta previa con la autoridad de supervisión.
(2) El Proveedor podrá reclamar una compensación por servicios de soporte que no estén incluidos en la descripción de los servicios y que no sean atribuibles a fallos por parte del Proveedor.
(1) El Cliente confirmará inmediatamente las instrucciones orales (como mínimo en forma de texto).
(2) El Proveedor informará al Cliente inmediatamente si considera que una instrucción viola las regulaciones de protección de datos. El Proveedor tendrá entonces derecho a suspender la ejecución de las instrucciones relevantes hasta que el Cliente confirme o modifique dichas instrucciones.
(1) No se crearán copias o duplicados de los datos sin el conocimiento del Cliente, con la excepción de las copias de seguridad en la medida en que sean necesarias para garantizar un procesamiento de datos adecuado, así como los datos requeridos para el cumplimiento de las obligaciones legales de almacenamiento.
(2) Tras la conclusión del trabajo contratado, o antes a solicitud del Cliente, a más tardar a la terminación del Acuerdo de Servicio, el Proveedor entregará al Cliente o, sujeto a consentimiento previo, destruirá todos los documentos, resultados de procesamiento y utilización, y conjuntos de datos relacionados con el contrato que hayan llegado a su posesión de conformidad con la legislación de protección de datos. Lo mismo se aplica a cualquier material de prueba y desecho relacionado. Previa solicitud, el Proveedor proporcionará al Cliente información sobre la naturaleza y el momento de la eliminación de los datos.
(3) El Proveedor conservará la documentación que pruebe que los datos fueron procesados de manera ordenada y contractual después de que haya transcurrido el respectivo período contractual, de conformidad con los respectivos períodos de retención más allá del final del contrato. Alternativamente, el Proveedor podrá quedar eximido de esta obligación transfiriendo dicha documentación al Cliente a la terminación del contrato.
(1) UniConsent solo divulgará Datos Personales a subencargados del tratamiento para los fines específicos de llevar a cabo el Servicio. UniConsent no vende ni divulga Datos Personales a terceros con fines comerciales.
(2) UniConsent mantendrá una lista de subencargados del tratamiento en https://www.uniconsent.com/dpa-subprocessors y añadirá los nombres de nuevos subencargados del tratamiento y sus reemplazos a la lista al menos treinta (30) días antes de la fecha en que dichos subencargados comiencen a procesar Datos Personales. Si el Cliente se opone a cualquier subencargado del tratamiento nuevo o de reemplazo por motivos razonables relacionados con la protección de datos, deberá notificar a UniConsent de dichas objeciones por escrito dentro de los diez (10) días posteriores a la notificación y las partes buscarán resolver el asunto de buena fe.
(3) UniConsent garantizará que cualquier subencargado del tratamiento que contrate para proporcionar un aspecto del Servicio en su nombre en relación con este APD lo haga únicamente sobre la base de un contrato escrito que imponga a dicho subencargado del tratamiento términos (es decir, obligaciones de protección de datos) que no sean menos protectores de los Datos Personales que los impuestos a UniConsent en este APD.
No se requiere una tarifa por este contrato.
Si el Cliente requiere asistencia para responder a consultas de las Personas Afectadas como se describe en la sección 4 de este Acuerdo, el Cliente estará obligado a reembolsar al Proveedor por dicha asistencia.
Si el Cliente ejerce los derechos de supervisión como se describe en la sección 7 de este Acuerdo, el monto de la remuneración a acordar se basará en la tarifa horaria fija del empleado del Proveedor que sea instruido para supervisar al auditor.
Si el Cliente emite instrucciones al Proveedor como se describe en la sección 9 de este Acuerdo, el Cliente estará obligado a pagar cualquier coste que resulte de estas instrucciones.
Este Acuerdo depende de la existencia de una relación contractual principal como se describe en la sección 1 de este documento. La cancelación u otra terminación de la relación contractual principal como se describe en la sección 1 invalidará simultáneamente este Acuerdo.
El derecho a un aviso extraordinario aislado de cancelación permanece intacto, así como los derechos legales de rescisión.
Get started to make your website and application compliant for EU GDPR, US CPRA, CA PIPEDA etc
Sign up