Saltar al contenido principal
Fecha de la última revisión: 16 de mayo de 2023

Acuerdo de tratamiento de datos.

Encantados de ver tu interés en nuestra letra pequeña sobre el tratamiento de datos. Aquí encontrarás todos los detalles sobre cómo tratamos los datos, así como algunas explicaciones detalladas sobre las denominaciones y definiciones. Si deseas ponerte en contacto, haz clic en 'Empezar' y rellena el formulario de contacto correspondiente. ¡Esperamos tener noticias tuyas!

Nuestro tratamiento de datos.

everstox GmbH, Ganghoferstr. 68b, 80339 Múnich, Alemania ("everstox") opera la plataforma digital https://everstox.com, un portal online para adquisición, consultoría y soluciones de software para almacenamiento, fulfillment, envío y servicios logísticos asociados ("Plataforma").

Los siguientes acuerdos de tratamiento de datos ("ATD") se aplicarán al uso de la Plataforma por parte de comerciantes y proveedores logísticos.

everstox, el comerciante y/o el proveedor logístico pueden ser referidos individualmente como una "Parte" o colectivamente como "las Partes".

Acuerdo de tratamiento de datos ("ATD")

Entre

Referido a la parte a la que se dirige la oferta comercial (en adelante denominado "Responsable del tratamiento", en el sentido del Art. 4 No. 7 RGPD)

Y

everstox (en adelante denominado el "Encargado del tratamiento / Contratista en el sentido del Art. 4 No. 8 RGPD)

(cada uno una "Parte" y colectivamente las "Partes")

1. Objeto y duración del encargo o contrato

El objeto del encargo o contrato resulta del Acuerdo de Servicio de Software, que se denomina aquí como Acuerdo Principal. Este Acuerdo (en lo sucesivo también el o este "Acuerdo" o "Contrato") es jurídicamente independiente y tendrá el mismo destino jurídico que el Acuerdo Principal; la finalización del Acuerdo Principal resultará en la finalización automática de este Acuerdo. Las partes contratantes son conscientes de que cualquier tratamiento de datos no puede realizarse sin un acuerdo de tratamiento de datos válido. No será admisible una finalización aislada de este acuerdo.

2. Especificación del contenido

2.1 Tipo de tratamiento

Como parte del encargo, los datos personales serán organizados/estructurados, almacenados, leídos, utilizados, comunicados, alineados, vinculados o eliminados.

2.2 Finalidad del tratamiento

Los datos se tratan para la siguiente finalidad:

  • Permitir el control, la gestión, la optimización y la ejecución de pedidos de fulfillment y envío.

2.3 Lugar del tratamiento

La realización del tratamiento de datos acordado contractualmente se llevará a cabo exclusivamente dentro de un Estado miembro de la UE o dentro de un Estado miembro del EEE. Cualquier transferencia de datos a un Estado que no sea miembro ni de la UE ni del EEE requiere la aprobación documentada del cliente y solo se producirá si se han cumplido las condiciones específicas de los artículos 44 y siguientes del RGPD.

2.4 Tipo de datos

Se tratan los siguientes tipos/categorías de datos personales:

  • Datos maestros personales
  • Datos de contacto/comunicación (por ejemplo, teléfono, email)
  • Datos maestros contractuales

2.5 Categorías de interesados

Las categorías de interesados incluyen:

  • Clientes del responsable del tratamiento
  • Empleados del responsable del tratamiento
  • Proveedores del responsable del tratamiento
  • Proveedores de logística de almacén y servicios de envío del responsable del tratamiento

3 Medidas técnicas y organizativas

  1. Antes de iniciar el tratamiento, particularmente en relación con la ejecución del encargo específico, el contratista documentará la implementación de las medidas técnicas y organizativas necesarias que se establecieron antes de la asignación del encargo y las transmitirá al responsable del tratamiento para su revisión. Tras la aceptación por parte del responsable del tratamiento, las medidas documentadas constituirán la base del encargo. Si se requieren cambios tras la revisión o una auditoría por parte del responsable del tratamiento, estos se implementarán de mutuo acuerdo.
  2. El contratista garantizará la seguridad conforme al Art. 28 (3)(c) y (e) subcláusula 1, Art. 32 RGPD, particularmente en relación con el Art. 5 (1) y (2) RGPD. Las medidas a tomar son medidas para asegurar los datos y garantizar un nivel adecuado de seguridad para el riesgo en relación con la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios. Se tendrán en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, en el sentido del Art. 32(1) RGPD.
  3. Las medidas técnicas y organizativas están sujetas a avances técnicos y desarrollos posteriores. En este sentido, el contratista está autorizado a implementar medidas alternativas adecuadas. El nivel de seguridad de las medidas definidas debe mantenerse. Los cambios significativos se documentarán.

4. Aseguramiento de la calidad y otras obligaciones del contratista conforme al Art. 28 (3)(1) RGPD

Además del cumplimiento de las disposiciones de este encargo, el contratista también tiene obligaciones legales como encargado del tratamiento; por lo tanto, el contratista garantizará el cumplimiento de los siguientes requisitos:

  1. Cuando la ley lo exija, el contratista designará a una persona competente y fiable como delegado de protección de datos, que desempeñará las funciones conforme a los Art. 38 y 39 RGPD. La información de contacto del delegado de protección de datos designado se proporcionará al responsable del tratamiento a efectos de establecer contacto directo. Si el contratista no está obligado a designar un delegado de protección de datos, se designará un punto de contacto para asuntos de protección de datos, cuya información de contacto se proporcionará al responsable del tratamiento a efectos de establecer contacto directo. Se notificará al responsable del tratamiento sin demora indebida de cualquier cambio en el delegado de protección de datos o punto de contacto.
  2. Conforme al Art. 28(3)(2)(b) RGPD, el contratista garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido con la confidencialidad o estén bajo una obligación legal de confidencialidad apropiada y hayan sido informadas previamente de las disposiciones de protección de datos que les son relevantes.
  3. El contratista y cualquier persona que actúe bajo la autoridad del contratista que tenga acceso a datos personales no tratará dichos datos excepto bajo las instrucciones (Art. 29, 32(4) RGPD) del responsable del tratamiento, incluida la autorización otorgada en virtud de este contrato, a menos que la ley le obligue a hacerlo.
  4. El contratista garantizará la implementación y el cumplimiento de todas las medidas técnicas y organizativas requeridas para este encargo conforme al Art. 28(3)(2)(c), Art. 32 (RGPD).
  5. El responsable del tratamiento y el contratista (y, en su caso, sus representantes) cooperarán, a petición, con la autoridad de control en el desempeño de sus funciones (Art. 31 RGPD).
  6. El contratista se compromete a informar al responsable del tratamiento inmediatamente de las inspecciones y medidas de supervisión en la medida en que se apliquen a este encargo. Esto también se aplica si una autoridad competente lleva a cabo una investigación del contratista como parte de un procedimiento administrativo sancionador o penal en relación con el tratamiento de datos personales.
  7. Si el responsable del tratamiento está sujeto a supervisión por parte de la autoridad de control, un procedimiento administrativo sancionador o penal, una reclamación de responsabilidad de un interesado o un tercero u otra reclamación relacionada con el tratamiento por parte del contratista, el contratista apoyará al responsable del tratamiento en la medida de sus posibilidades.
  8. El contratista supervisará regularmente los procesos internos y las medidas técnicas y organizativas para garantizar que los datos de los que es responsable se traten de acuerdo con los requisitos de la legislación de protección de datos aplicable y se protejan los derechos del interesado.
  9. El contratista garantizará que puede demostrar las medidas técnicas y organizativas acordadas al responsable del tratamiento como parte de sus derechos de supervisión de acuerdo con el § 6 de este contrato.

5. Subcontratación de acuerdo con el Art. 28(3)(2)(d) RGPD en relación con el Art. 28(2) y (4) RGPD

  1. Los servicios de subcontratación son servicios que se relacionan directamente con la prestación del servicio principal. Los servicios que el contratista utiliza meramente como servicios auxiliares de terceros para realizar su actividad empresarial no se consideran subcontratación.
    Estos incluyen, por ejemplo, servicios de limpieza, servicios de telecomunicaciones puros sin relación específica con los servicios prestados por el contratista para el responsable del tratamiento, servicios postales y de mensajería, servicios de transporte o servicios de seguridad.
    El contratista también está obligado, incluso para servicios adicionales prestados por terceros, a garantizar que se hayan acordado las precauciones adecuadas y las medidas técnicas y organizativas para asegurar la protección de los datos personales.
    El mantenimiento y cuidado de sistemas o aplicaciones de TI se considera subcontratación que requiere aprobación y tratamiento en el sentido del Art. 28 RGPD si el mantenimiento y la inspección se refieren a sistemas que se utilizan en relación con la prestación de servicios para el responsable del tratamiento, y se puede acceder a datos personales que se tratan en nombre del responsable del tratamiento durante el mantenimiento.
  2. De acuerdo con la regulación del Art. 28(2)(1) RGPD, el contratista no utilizará otros encargados del tratamiento (subcontratistas, sub-subcontratistas) sin el consentimiento previo por separado o general por escrito del responsable del tratamiento; las disposiciones de subcontratación se aplican (en consecuencia) tanto al subcontratista como a todos los demás (sub)subcontratistas contratados.
  3. El responsable del tratamiento consiente por la presente la contratación de los siguientes subcontratistas:

Servicios de alojamiento en la nube e infraestructura

Amazon Web Services, Inc. (AWS)
410 Terry Avenue Nord
Seattle WA 98109
Estados Unidos

Plataforma de computación en la nube y servicios de alojamiento

Google Cloud EMEA Ltd.
Gordon House, Barrow Street
Dublin 4
Irlanda

Servicios de seguridad web, protección DDoS y CDN

Cloudflare Deutschland GmbH
Rosental 7, c/o Mindspace
80331 Múnich
Alemania

Herramientas de monitorización en la nube, seguimiento del rendimiento y observabilidad

Datadog, Inc.
620 8TH AVE FL 45
Nueva York
NY 10018
Estados Unidos

Software de seguimiento de envíos y experiencia post-compra

Automizely Pte. Ltd. (Aftership)
120 ROBINSON ROAD #13-01
068913
Singapur

Plataforma de información sobre datos de última milla

Senvo GmbH
Müllenhoffstr. 2
10967 Berlin
Germany

Plataforma de información sobre datos de última milla

Parcel Perform Europe PPE
Brunnenstrasse 194
10119 Berlin
Alemania

Software de contabilidad, nóminas e impuestos para empresas

DATEV eG
Paumgartnerstr. 6-14
90429 Nürnberg
Alemania

Software de CRM y automatización de marketing

HubSpot Germany GmbH
Am Postbahnhof 17
10243 Berlin
Alemania

CRM empresarial

salesforce.com Germany GmbH
Erika-Mann-Straße 31-37
80636 Múnich
Alemania

Software de facturación en la nube

easybill GmbH
Düsselstr. 21
41564 Kaarst
Alemania

  1. El responsable del tratamiento aprueba con carácter general la contratación de otros encargados del tratamiento (subcontratistas) por parte del contratista. El contratista notificará al responsable del tratamiento los cambios previstos respecto a la incorporación o sustitución de otros encargados del tratamiento. El responsable del tratamiento tiene derecho, en casos individuales, a oponerse a la contratación de un posible encargado del tratamiento adicional por escrito o en forma de texto. El responsable del tratamiento solo podrá plantear una objeción por causa justificada que deberá demostrar al contratista. Si el responsable del tratamiento no plantea una objeción en el plazo de 14 días desde la recepción de la notificación, su derecho de objeción respecto al encargo correspondiente expirará. Si el responsable del tratamiento deniega el consentimiento mediante su objeción por razones distintas a las importantes, el contratista podrá rescindir este contrato así como el contrato principal, en su caso, en el momento del uso previsto del subcontratista.
  2. Los datos personales del responsable del tratamiento solo podrán transmitirse al subcontratista, y utilizando a dicho subcontratista por primera vez, si se han cumplido todas las condiciones para la subcontratación. En particular, el contratista es responsable de transferir sus obligaciones de protección de datos establecidas en este contrato de acuerdo con el Art. 28(4)(1) RGPD al otro encargado del tratamiento.
  3. Si el subcontratista presta el servicio acordado fuera de la UE/EEE, el contratista tomará las medidas adecuadas para garantizar la admisibilidad en virtud de la legislación de protección de datos de acuerdo con los Art. 44 y siguientes del RGPD. Lo mismo se aplicará si se van a utilizar proveedores de servicios en el sentido del párrafo 1, frase 2. El contratista ha incluido en el contrato con los subcontratistas de terceros países las cláusulas contractuales tipo de la UE para la transferencia de datos personales de acuerdo con la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021.
  4. El contratista proporcionará al cliente información sobre el contenido esencial del contrato (servicios excluyendo precios) y la implementación de las obligaciones relevantes para la protección de datos del respectivo subcontratista previa solicitud por escrito de este último (forma de texto suficiente).
  5. Cualquier externalización adicional por parte del subcontratista requerirá el consentimiento previo expreso del contratista principal (al menos en forma de texto); todas las disposiciones contractuales de la cadena contractual también se impondrán al subcontratista adicional.

6. Derechos de supervisión del responsable del tratamiento conforme al Art. 28(3)(2)(h) RGPD

  1. En consulta con el contratista, el responsable del tratamiento tiene derecho a realizar auditorías o a hacer que las realicen auditores designados en cada caso; estos auditores no deben ser competidores del contratista. El responsable del tratamiento tiene derecho a asegurarse de que el contratista cumple con las disposiciones de este contrato en sus operaciones comerciales mediante inspecciones aleatorias; el contratista será notificado de dichas inspecciones con la debida antelación.
  2. El contratista garantizará que el responsable del tratamiento pueda convencerse del cumplimiento por parte del contratista de sus obligaciones de acuerdo con el Art. 28 RGPD. El contratista se compromete a proporcionar la información necesaria al responsable del tratamiento a petición y particularmente a demostrar la implementación de las medidas técnicas y organizativas.
  3. Dichas medidas que no se refieran únicamente al encargo específico podrán demostrarse mediante:
  • cumplimiento del código de conducta aprobado conforme al Art. 40 RGPD;
  • certificación de acuerdo con un mecanismo de certificación aprobado conforme al Art. 42 RGPD;
  • certificados, informes o extractos de informes actuales de autoridades independientes (por ejemplo, auditores, departamento de auditoría, delegado de protección de datos, departamento de seguridad informática, auditores de protección de datos, auditores de calidad) y/o
  • certificación adecuada mediante una auditoría de seguridad informática o protección de datos (por ejemplo, de acuerdo con la protección básica del BSI).

7. Obligaciones de apoyo y notificación del contratista conforme al Art. 28(3)(2)(e) y (f) RGPD - Deber de notificación de violaciones de datos

  1. El responsable del tratamiento es responsable de salvaguardar los derechos del interesado. Teniendo en cuenta la naturaleza del tratamiento, el contratista está obligado a asistir al responsable del tratamiento mediante medidas técnicas y organizativas adecuadas, en la medida en que esto sea posible, para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III del RGPD; esto significa responder a las solicitudes de los interesados en relación con las obligaciones del responsable del tratamiento de proporcionar información a los interesados, su derecho de acceso, derecho de rectificación, supresión, limitación del tratamiento, portabilidad de datos, así como las obligaciones de notificación relacionadas del responsable del tratamiento, el derecho de oposición o a la toma de decisiones automatizadas incluida la elaboración de perfiles, si el interesado hace valer dichos derechos. Si el interesado contacta directamente al contratista para hacer valer un derecho, el contratista transmitirá las solicitudes del interesado inmediatamente al responsable del tratamiento.
  2. El contratista asistirá al responsable del tratamiento para garantizar el cumplimiento de las obligaciones conforme a los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el contratista; esto significa el cumplimiento de las obligaciones legales del responsable del tratamiento de asegurar los datos, notificar las violaciones de datos a las autoridades de control y a los interesados, llevar a cabo evaluaciones de impacto de protección de datos, así como consultar con la autoridad de control responsable de antemano si es necesario como parte de la evaluación de impacto de protección de datos. El contratista y el responsable del tratamiento cooperarán, a petición, con la autoridad de control responsable en el desempeño de sus funciones.

8. Autoridad del responsable del tratamiento para emitir instrucciones

  1. El contratista trata datos personales únicamente dentro del alcance de los acuerdos realizados y según las instrucciones documentadas del responsable del tratamiento, a menos que el Derecho de la Unión o de los Estados miembros al que está sujeto el contratista le obligue a hacerlo (Art. 28(3)(3)(a) RGPD, Art. 29 RGPD). En tal caso, el contratista informará al responsable del tratamiento del requisito legal antes del tratamiento, a menos que dicha ley prohíba tal información por motivos importantes de interés público.
  2. El contratista garantizará que los datos se traten de acuerdo con las instrucciones del responsable del tratamiento. Si el contratista considera que una instrucción emitida por el responsable del tratamiento vulnera este contrato o la legislación de protección de datos aplicable, el contratista informará al responsable del tratamiento inmediatamente; tras informar al responsable del tratamiento, el contratista está autorizado a suspender la ejecución de la instrucción hasta que la instrucción haya sido confirmada o modificada por el responsable del tratamiento. Las partes acuerdan que el responsable del tratamiento es el único responsable del tratamiento realizado de acuerdo con la instrucción.
  3. Las instrucciones del responsable del tratamiento se emiten por escrito o en forma de texto. Si es necesario, el responsable del tratamiento puede emitir instrucciones verbalmente (por teléfono). El responsable del tratamiento confirmará las instrucciones emitidas verbalmente o por teléfono sin demora indebida por escrito o en forma de texto.

9. Supresión y devolución de datos personales conforme al Art. 28(3)(2)(g) RGPD

  1. No se crearán copias o duplicados de datos sin el conocimiento del responsable del tratamiento. Se excluyen las copias de seguridad, siempre que estas sean necesarias para garantizar un tratamiento de datos adecuado, así como los datos que se requieran para cumplir con las obligaciones legales de conservación.
  2. Tras la finalización del trabajo acordado contractualmente o antes a petición del responsable del tratamiento, pero no más tarde de la finalización del acuerdo de servicio, el contratista devolverá al responsable del tratamiento todos los documentos en su posesión, los resultados creados del tratamiento y uso, así como los archivos de datos relacionados con el encargo, o los destruirá de acuerdo con los requisitos de protección de datos tras obtener el consentimiento previo del responsable del tratamiento. Lo mismo se aplica al material de prueba y de desecho. El registro de la supresión se presentará a petición.
  3. La documentación que sirve para demostrar el tratamiento adecuado de datos de acuerdo con el encargo será almacenada por el contratista más allá del final del contrato de acuerdo con los respectivos períodos de retención. Puede ser entregada al responsable del tratamiento al final del contrato.

10. Responsabilidad

  1. La responsabilidad del contratista en virtud de este acuerdo se regirá por las exclusiones y limitaciones de responsabilidad previstas en el Acuerdo de Servicio de Software. En la medida en que terceros formulen reclamaciones contra el contratista causadas por el incumplimiento culpable del responsable del tratamiento de este acuerdo o de una de sus obligaciones como responsable del tratamiento en el sentido de la legislación de protección de datos que le afecte, el responsable del tratamiento indemnizará y mantendrá indemne al contratista de estas reclamaciones a primer requerimiento.
  2. El responsable del tratamiento se compromete a indemnizar al contratista a primer requerimiento contra todas las posibles multas impuestas al contratista correspondientes a la parte de responsabilidad del responsable del tratamiento en la infracción sancionada por la multa.

11. Otras disposiciones

  1. Ambas partes están obligadas a mantener confidencial todo conocimiento de secretos comerciales y medidas de seguridad de datos de la otra parte obtenido durante la relación contractual, incluso después de la finalización del contrato. En caso de duda sobre si la información está sujeta a confidencialidad, se tratará como confidencial hasta que haya sido liberada por la otra parte por escrito.
  2. Si la propiedad del responsable del tratamiento en poder del contratista está en riesgo debido a medidas de terceros (como embargo o incautación), procedimientos de insolvencia o eventos similares, u otros eventos, el contratista notificará al responsable del tratamiento sin demora indebida.
  3. Se requiere la forma escrita para los acuerdos accesorios. Esto se aplica igualmente a la renuncia a este requisito de forma escrita.
  4. La defensa del derecho de retención, independientemente del motivo legal, quedará excluida con respecto a los datos tratados en nombre del responsable del tratamiento y al soporte de datos utilizado.
  5. Este contrato se aplicará también si y en la medida en que las autoridades o tribunales acepten un acuerdo de corresponsabilidad entre las partes de acuerdo con el Art. 26 RGPD.
  6. Si disposiciones individuales de este contrato resultan ser inválidas o inaplicables, ya sea total o parcialmente, o se vuelven inválidas o inaplicables como resultado de cambios en la legislación después de la celebración del contrato, esto no afectará a las disposiciones restantes del contrato ni a la validez del contrato en su conjunto. La disposición inválida o inaplicable será sustituida por una disposición válida y aplicable que se acerque lo más posible a la intención y finalidad de la disposición inválida. Si el contrato contiene lagunas, se considerarán acordadas las disposiciones que cumplan con la intención y finalidad del contrato y que se habrían acordado si las partes hubieran considerado la laguna.
  7. El contrato se regirá exclusivamente por el derecho de la República Federal de Alemania, excluyendo sus disposiciones sobre conflicto de leyes.
  8. El lugar exclusivo de jurisdicción para todas las disputas derivadas de o en relación con este contrato es el domicilio social del contratista.

DATEV eG
Paumgartnerstr. 6-14
90429 Núremberg
Alemania

Software de CRM y automatización de marketing

HubSpot Germany GmbH
Am Postbahnhof 17
10243 Berlin
Alemania

CRM empresarial

salesforce.com Germany GmbHE
rika-Mann-Straße 31-37
80636 Múnich
Alemania

Software de facturación en la nube

easybill GmbH
Düsselstr. 21
41564 Kaarst
Alemania

  1. El responsable del tratamiento aprueba con carácter general la contratación de otros encargados del tratamiento (subcontratistas) por parte del contratista. El contratista notificará al responsable del tratamiento los cambios previstos respecto a la incorporación o sustitución de otros encargados del tratamiento. El responsable del tratamiento tiene derecho, en casos individuales, a oponerse a la contratación de un posible encargado del tratamiento adicional por escrito o en forma de texto. El responsable del tratamiento solo podrá plantear una objeción por causa justificada que deberá demostrar al contratista. Si el responsable del tratamiento no plantea una objeción en el plazo de 14 días desde la recepción de la notificación, su derecho de objeción respecto al encargo correspondiente expirará. Si el responsable del tratamiento deniega el consentimiento mediante su objeción por razones distintas a las importantes, el contratista podrá rescindir este contrato así como el contrato principal, en su caso, en el momento del uso previsto del subcontratista.
  2. Los datos personales del responsable del tratamiento solo podrán transmitirse al subcontratista, y utilizando a dicho subcontratista por primera vez, si se han cumplido todas las condiciones para la subcontratación. En particular, el contratista es responsable de transferir sus obligaciones de protección de datos establecidas en este contrato de acuerdo con el Art. 28(4)(1) RGPD al otro encargado del tratamiento.
  3. Si el subcontratista presta el servicio acordado fuera de la UE/EEE, el contratista tomará las medidas adecuadas para garantizar la admisibilidad en virtud de la legislación de protección de datos de acuerdo con los Art. 44 y siguientes del RGPD. Lo mismo se aplicará si se van a utilizar proveedores de servicios en el sentido del párrafo 1, frase 2. El contratista ha incluido en el contrato con los subcontratistas de terceros países las cláusulas contractuales tipo de la UE para la transferencia de datos personales de acuerdo con la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021.
  4. El contratista proporcionará al cliente información sobre el contenido esencial del contrato (servicios excluyendo precios) y la implementación de las obligaciones relevantes para la protección de datos del respectivo subcontratista previa solicitud por escrito de este último (forma de texto suficiente).
  5. Cualquier externalización adicional por parte del subcontratista requerirá el consentimiento previo expreso del contratista principal (al menos en forma de texto); todas las disposiciones contractuales de la cadena contractual también se impondrán al subcontratista adicional.

6. Derechos de supervisión del responsable del tratamiento conforme al Art. 28(3)(2)(h) RGPD

  1. En consulta con el contratista, el responsable del tratamiento tiene derecho a realizar auditorías o a hacer que las realicen auditores designados en cada caso; estos auditores no deben ser competidores del contratista. El responsable del tratamiento tiene derecho a asegurarse de que el contratista cumple con las disposiciones de este contrato en sus operaciones comerciales mediante inspecciones aleatorias; el contratista será notificado de dichas inspecciones con la debida antelación.
  2. El contratista garantizará que el responsable del tratamiento pueda convencerse del cumplimiento por parte del contratista de sus obligaciones de acuerdo con el Art. 28 RGPD. El contratista se compromete a proporcionar la información necesaria al responsable del tratamiento a petición y particularmente a demostrar la implementación de las medidas técnicas y organizativas.
  3. Dichas medidas que no se refieran únicamente al encargo específico podrán demostrarse mediante:
  • cumplimiento del código de conducta aprobado conforme al Art. 40 RGPD;
  • certificación de acuerdo con un mecanismo de certificación aprobado conforme al Art. 42 RGPD;
  • certificados, informes o extractos de informes actuales de autoridades independientes (por ejemplo, auditores, departamento de auditoría, delegado de protección de datos, departamento de seguridad informática, auditores de protección de datos, auditores de calidad) y/o
  • certificación adecuada mediante una auditoría de seguridad informática o protección de datos (por ejemplo, de acuerdo con la protección básica del BSI).

7. Obligaciones de apoyo y notificación del contratista conforme al Art. 28(3)(2)(e) y (f) RGPD - Deber de notificación de violaciones de datos

  1. El responsable del tratamiento es responsable de salvaguardar los derechos del interesado. Teniendo en cuenta la naturaleza del tratamiento, el contratista está obligado a asistir al responsable del tratamiento mediante medidas técnicas y organizativas adecuadas, en la medida en que esto sea posible, para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III del RGPD; esto significa responder a las solicitudes de los interesados en relación con las obligaciones del responsable del tratamiento de proporcionar información a los interesados, su derecho de acceso, derecho de rectificación, supresión, limitación del tratamiento, portabilidad de datos, así como las obligaciones de notificación relacionadas del responsable del tratamiento, el derecho de oposición o a la toma de decisiones automatizadas incluida la elaboración de perfiles, si el interesado hace valer dichos derechos. Si el interesado contacta directamente al contratista para hacer valer un derecho, el contratista transmitirá las solicitudes del interesado inmediatamente al responsable del tratamiento.
  2. El contratista asistirá al responsable del tratamiento para garantizar el cumplimiento de las obligaciones conforme a los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el contratista; esto significa el cumplimiento de las obligaciones legales del responsable del tratamiento de asegurar los datos, notificar las violaciones de datos a las autoridades de control y a los interesados, llevar a cabo evaluaciones de impacto de protección de datos, así como consultar con la autoridad de control responsable de antemano si es necesario como parte de la evaluación de impacto de protección de datos. El contratista y el responsable del tratamiento cooperarán, a petición, con la autoridad de control responsable en el desempeño de sus funciones.

8. Autoridad del responsable del tratamiento para emitir instrucciones

  1. El contratista trata datos personales únicamente dentro del alcance de los acuerdos realizados y según las instrucciones documentadas del responsable del tratamiento, a menos que el Derecho de la Unión o de los Estados miembros al que está sujeto el contratista le obligue a hacerlo (Art. 28(3)(3)(a) RGPD, Art. 29 RGPD). En tal caso, el contratista informará al responsable del tratamiento del requisito legal antes del tratamiento, a menos que dicha ley prohíba tal información por motivos importantes de interés público.
  2. El contratista garantizará que los datos se traten de acuerdo con las instrucciones del responsable del tratamiento. Si el contratista considera que una instrucción emitida por el responsable del tratamiento vulnera este contrato o la legislación de protección de datos aplicable, el contratista informará al responsable del tratamiento inmediatamente; tras informar al responsable del tratamiento, el contratista está autorizado a suspender la ejecución de la instrucción hasta que la instrucción haya sido confirmada o modificada por el responsable del tratamiento. Las partes acuerdan que el responsable del tratamiento es el único responsable del tratamiento realizado de acuerdo con la instrucción.
  3. Las instrucciones del responsable del tratamiento se emiten por escrito o en forma de texto. Si es necesario, el responsable del tratamiento puede emitir instrucciones verbalmente (por teléfono). El responsable del tratamiento confirmará las instrucciones emitidas verbalmente o por teléfono sin demora indebida por escrito o en forma de texto.

9. Supresión y devolución de datos personales conforme al Art. 28(3)(2)(g) RGPD

  1. No se crearán copias o duplicados de datos sin el conocimiento del responsable del tratamiento. Se excluyen las copias de seguridad, siempre que estas sean necesarias para garantizar un tratamiento de datos adecuado, así como los datos que se requieran para cumplir con las obligaciones legales de conservación.
  2. Tras la finalización del trabajo acordado contractualmente o antes a petición del responsable del tratamiento, pero no más tarde de la finalización del acuerdo de servicio, el contratista devolverá al responsable del tratamiento todos los documentos en su posesión, los resultados creados del tratamiento y uso, así como los archivos de datos relacionados con el encargo, o los destruirá de acuerdo con los requisitos de protección de datos tras obtener el consentimiento previo del responsable del tratamiento. Lo mismo se aplica al material de prueba y de desecho. El registro de la supresión se presentará a petición.
  3. La documentación que sirve para demostrar el tratamiento adecuado de datos de acuerdo con el encargo será almacenada por el contratista más allá del final del contrato de acuerdo con los respectivos períodos de retención. Puede ser entregada al responsable del tratamiento al final del contrato.

10. Responsabilidad

  1. La responsabilidad del contratista en virtud de este acuerdo se regirá por las exclusiones y limitaciones de responsabilidad previstas en el Acuerdo de Servicio de Software. En la medida en que terceros formulen reclamaciones contra el contratista causadas por el incumplimiento culpable del responsable del tratamiento de este acuerdo o de una de sus obligaciones como responsable del tratamiento en el sentido de la legislación de protección de datos que le afecte, el responsable del tratamiento indemnizará y mantendrá indemne al contratista de estas reclamaciones a primer requerimiento.
  2. El responsable del tratamiento se compromete a indemnizar al contratista a primer requerimiento contra todas las posibles multas impuestas al contratista correspondientes a la parte de responsabilidad del responsable del tratamiento en la infracción sancionada por la multa.

11. Otras disposiciones

  1. Ambas partes están obligadas a mantener confidencial todo conocimiento de secretos comerciales y medidas de seguridad de datos de la otra parte obtenido durante la relación contractual, incluso después de la finalización del contrato. En caso de duda sobre si la información está sujeta a confidencialidad, se tratará como confidencial hasta que haya sido liberada por la otra parte por escrito.
  2. Si la propiedad del responsable del tratamiento en poder del contratista está en riesgo debido a medidas de terceros (como embargo o incautación), procedimientos de insolvencia o similares, u otros eventos, el contratista notificará al responsable del tratamiento sin demora indebida.
  3. Se requiere la forma escrita para los acuerdos accesorios. Esto se aplica igualmente a la renuncia a este requisito de forma escrita.
  4. La defensa del derecho de retención, independientemente del motivo legal, quedará excluida con respecto a los datos tratados en nombre del responsable del tratamiento y al soporte de datos utilizado.
  5. Este contrato se aplicará también si y en la medida en que las autoridades o tribunales acepten un acuerdo de corresponsabilidad entre las partes de acuerdo con el Art. 26 RGPD.
  6. Si disposiciones individuales de este contrato resultan ser inválidas o inaplicables, ya sea total o parcialmente, o se vuelven inválidas o inaplicables como resultado de cambios en la legislación después de la celebración del contrato, esto no afectará a las disposiciones restantes del contrato ni a la validez del contrato en su conjunto. La disposición inválida o inaplicable será sustituida por una disposición válida y aplicable que se acerque lo más posible a la intención y finalidad de la disposición inválida. Si el contrato contiene lagunas, se considerarán acordadas las disposiciones que cumplan con la intención y finalidad del contrato y que se habrían acordado si las partes hubieran considerado la laguna.
  7. El contrato se regirá exclusivamente por el derecho de la República Federal de Alemania, excluyendo sus disposiciones sobre conflicto de leyes.
  8. El lugar exclusivo de jurisdicción para todas las disputas derivadas de o en relación con este contrato es el domicilio social del contratista.