Acuerdo de Procesamiento de Datos de Base7

Con el fin de especificar los derechos y obligaciones derivados de la relación contractual de tratamiento de datos de conformidad con la obligación legal en virtud del Art. 28 del RGPD, las Partes contratantes celebran el siguiente acuerdo.

• el asunto objeto del tratamiento se deriva de los Términos y condiciones (en lo sucesivo, "Acuerdo principal"), a los que se refiere. No está previsto un tratamiento adicional de los datos personales del controlador por parte del procesador.
• El tratamiento de datos personales tiene lugar exclusivamente en el territorio de la República Federal de Alemania, en un Estado miembro de la Unión Europea, en Suiza o en otro Estado contratante del Acuerdo sobre el Espacio Económico Europeo. Cualquier transferencia a un tercer país requiere la instrucción previa y documentada del controlador (Art. 28 párr. 3 lit. a RGPD) y sólo podrá tener lugar si se cumplen los requisitos especiales del Art. 44 - 49 RGPD se cumplen.

• Datos maestros personales
• Datos de comunicaciones (por ejemplo, teléfono, correo electrónico)
• Datos contractuales (relación contractual, producto o intereses contractuales)
• Historial de cliente/cliente
• Información de facturación del contrato e información de pagos
• Información facilitada por terceros (por ejemplo, agencias de crédito o directorios públicos)

• Clientes (cliente comercial)
• Clientes (consumidor)
• Clientes potenciales
• Empleados
• Proveedores
• El periodo de validez de esta comisión ("Periodo de validez") corresponde a la duración del Contrato Principal.
• Independientemente de lo dispuesto en el Contrato Principal, el Controlador puede rescindir este Contrato en cualquier momento sin previo aviso si el Procesador ha cometido un incumplimiento grave de las disposiciones de este Contrato, si el Procesador no puede o no desea cumplir las instrucciones del Controlador, o si el Procesador se niega a proporcionar información o a conceder acceso al Controlador en el contexto de las inspecciones, en contra de lo estipulado en el contrato. Tras la rescisión, el procesador ya no podrá procesar ningún dato personal del controlador.

• El controlador es responsable del cumplimiento de las normas de protección de datos, en particular de la legalidad de la transferencia de datos al procesador y de la legalidad del tratamiento de datos (Art. 4 nº 7 RGPD). El procesador no utilizará los datos para ningún otro fin y, en particular, no tendrá derecho a transmitirlos a terceros. No se harán copias ni duplicados sin el conocimiento del controlador. Las excepciones sólo se aplicarán en la medida especificada en el apartado 2 de esta cláusula.
• El procesador sólo procesa datos personales siguiendo instrucciones documentadas del controlador, a menos que se requiera lo contrario en virtud del Derecho de la Unión o del Derecho del Estado miembro al que esté sujeto el procesador. En caso de obligación contraria, el procesador informará inmediatamente al controlador de los requisitos legales correspondientes antes del tratamiento.
• Si el procesador opina que una instrucción infringe las normas de protección de datos, deberá informar al controlador sin demora, de conformidad con el artículo 28, párrafo. 3 frase 3 RGPD. El procesador tendrá derecho a suspender la ejecución de la instrucción hasta que dicha instrucción haya sido confirmada o modificada.

El procesador sólo empleará para la ejecución del trabajo a personas que se hayan comprometido a mantener la confidencialidad de acuerdo con el Art. 28 párr. 3 frase 2 lit. b RGPD y que se hayan familiarizado previamente con las disposiciones de protección de datos relevantes para ellos. El procesador y cualquier persona bajo el control del procesador que tenga acceso a datos personales podrán procesar dichos datos exclusivamente de acuerdo con las instrucciones del controlador, incluidas las facultades conferidas en el presente acuerdo, a menos que tengan la obligación legal de procesar los datos.

• El procesador adoptará las medidas técnicas y organizativas apropiadas para la adecuada protección de los datos personales, de conformidad con el Art. 28 párr. 3 lit. c RGPD en relación con el Art. 32 párr. 1 RGPD, con el fin de garantizar la seguridad del tratamiento por parte del procesador. Para ello, el procesador deberá
• garantizar la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios relacionados con el tratamiento a largo plazo,
• garantizar la capacidad de restablecer rápidamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico; y
• mantener un procedimiento de revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El estado de la técnica, los costes de implementación y la naturaleza, alcance y finalidad del tratamiento, así como la probabilidad y gravedad variables del riesgo para los derechos y libertades de las personas físicas en el sentido del Art. 32 párr. 1 Debe tenerse en cuenta el RGPD.

• Las Partes contratantes acuerdan las medidas de seguridad de los datos establecidas en el Anexo 1 "Medidas técnicas y organizativas" del presente Contrato.
• Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. A este respecto, se permite al procesador implementar medidas alternativas adecuadas. El nivel de seguridad no puede ser inferior a las medidas especificadas. Los cambios significativos deben documentarse y comunicarse al controlador por escrito.

• A efectos de esta disposición, los subcontratistas serán procesadores encargados por el Procesador cuyos servicios estén relacionados directamente con la prestación del servicio principal. Esto no incluye los servicios auxiliares utilizados por el procesador, por ejemplo, servicios de telecomunicaciones, servicios postales/de transporte y limpieza. No obstante, el procesador está obligado a adoptar acuerdos contractuales y medidas de control adecuados y conformes a la ley para garantizar la protección de datos y la seguridad de los datos del controlador, incluso en el caso de servicios auxiliares subcontratados.
• La externalización a subcontratistas o el cambio del subcontratista existente está permitido, siempre que:
• • el procesador notifique previamente al controlador con un periodo de tiempo razonable por escrito o en forma de texto dicha externalización a subcontratistas, y
  • el Controlador no presenta ninguna objeción contra la externalización prevista por escrito o en forma de texto hasta la fecha de entrega de los datos al procesador.
• Debe celebrarse un acuerdo contractual con el subcontratista de conformidad con el Art. 28 párr. 3 y 4 del RGPD, que cumple los requisitos de confidencialidad, protección de datos y seguridad de los datos del presente Acuerdo. El controlador tendrá derecho a inspeccionar los contratos del procesador con los subcontratistas y a exigir que el procesador le envíe una copia de dichos contratos.
• Si el subcontratista presta el servicio acordado fuera de la UE/EEE, el procesador garantizará la admisibilidad con respecto a la ley de protección de datos mediante las medidas adecuadas.
• La subcontratación posterior por parte del subcontratista requiere el consentimiento expreso del controlador (al menos en forma de texto). Todas las disposiciones contractuales de la cadena de contratos deben imponerse también a los demás subcontratistas.

• El procesador está obligado a apoyar al controlador con las medidas técnicas y organizativas adecuadas para proteger los derechos de los sujetos de los datos, tal y como se especifica en el Art. 12 a 22 RGPD (Art. 28 párr. 3 frase 2 lit. e RGPD). En particular, el procesador apoyará al controlador en el cumplimiento de las reclamaciones de los sujetos de los datos para la supresión de sus datos personales de conformidad con el artículo 17 del RGPD.
• Si los sujetos de los datos pueden ejercer el derecho a la portabilidad de los datos frente al controlador, el procesador garantizará que puedan recibir los datos, que hayan facilitado al controlador, en un formato estructurado, de uso común y legible por máquina.
• El procesador sólo puede corregir, eliminar o restringir el tratamiento de datos personales de acuerdo con las instrucciones documentadas del controlador (Art. 28 párr. 3 frase 2 lit. g RGPD). El Contratista sólo podrá facilitar información a terceros o a las personas afectadas previo consentimiento por escrito del Controlador.
• Si un sujeto de los datos se pone en contacto directamente con el procesador para hacer valer sus derechos de conformidad con los artículos 12 a 22 del RGPD, el procesador remitirá el pedido al controlador sin demora.

• Si, según el Art. 37 RGPD, sección 37 BDSG-nuevo, el encargado del tratamiento está legalmente obligado a designar un responsable de protección de datos, el encargado del tratamiento informará al responsable del tratamiento de los datos de contacto del responsable de protección de datos a efectos de contacto directo. Un cambio del Responsable de Protección de Datos debe ser informado inmediatamente al Controlador.

Como Responsable de Protección de Datos del procesador,

Sr. Felix Hudy, intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburgo, Tel: +49 40 790 235 - 278 | Móvil: +49 151 619 419 76 | E-Mail: FHudy@intersoft-consulting.de

ha sido nombrado. La persona de contacto para cuestiones de protección de datos debe estar en condiciones, a petición del controlador, de proporcionar pruebas de que el procesador cumple los requisitos de las leyes internacionales y nacionales de protección de datos.

• Si el procesador tiene concienciación de una violación de la protección de datos personales, notificará inmediatamente dicha violación al controlador de conformidad con el Art. 28 párr. 3 lit. f, Art. 33 párr. 2 RGPD. Lo mismo se aplica si las personas empleadas por el contratista infringen este Acuerdo.
• Tras consultar con el controlador, el procesador tomará inmediatamente las medidas necesarias para asegurar los datos y minimizar cualquier posible consecuencia adversa para los sujetos de los datos.
• El procesador apoyará al controlador con toda la información de que disponga en el cumplimiento de las obligaciones de información en relación con la autoridad de control competente de conformidad con el Art. 33 RGPD y, en su caso, en relación con los sujetos de los datos afectados por la violación de la protección de datos personales de conformidad con el Art. 34 RGPD.
• El procesador apoyará al controlador con toda la información a su disposición en la evaluación del impacto de la protección de datos de conformidad con el Art. 35 RGPD y, si es necesario, en consulta previa con la autoridad de control competente de conformidad con el Art. 36 RGPD.
• El procesador informará sin demora al controlador de las comprobaciones y medidas adoptadas por la autoridad supervisora en la medida en que estén relacionadas con el presente Acuerdo.

• A elección del controlador, el procesador elimina o devuelve todos los datos personales al controlador después del aprovisionamiento de servicios relacionados con el procesamiento, y elimina las copias existentes a menos que la legislación de la Unión o del Estado miembro requiera el almacenamiento de los datos personales;
• El procesador deberá, sin solicitud explícita, demostrar al controlador en forma de texto con indicación de fecha que ha devuelto todos los soportes de datos y otros documentos al controlador o que los ha destruido o borrado de acuerdo con las normativas de protección de datos y que, por lo tanto, no ha conservado ningún dato del controlador.
• El procesador conservará toda la documentación que sirva como prueba del tratamiento ordenado y legal de los datos para el controlador más allá de la finalización del contrato. El procesador puede devolverlos al controlador al final del contrato para su descargo.

• El controlador tiene derecho a comprobar periódicamente las medidas técnicas y organizativas, así como el cumplimiento de este Acuerdo y de la normativa de protección de datos antes y durante la prestación de servicios relacionados con el procesamiento. Con este fin, el controlador o un auditor autorizado pueden inspeccionar el equipo de procesamiento de datos y los sistemas de procesamiento de datos del procesador.
• A tal efecto, el encargado del tratamiento estará obligado a conceder al responsable del tratamiento, durante el horario laboral normal y con un periodo razonable de notificación previa, acceso a los locales en los que se traten física o electrónicamente los datos del responsable del tratamiento. El controlador coordina las inspecciones con el procesador de forma que los procedimientos operativos del procesador se vean afectados lo menos posible.
• El procesador proporcionará al controlador toda la información necesaria para demostrar las medidas técnicas y organizativas, así como el cumplimiento de este acuerdo y de la normativa de protección de datos. Esta información incluye especialmente atestados actuales, informes o extractos de informes de organismos independientes (p. ej. auditores financieros, expertos externos, auditores de seguridad informática o de protección de datos) y una certificación adecuada (por ejemplo. según la Protección Básica de la BSI (Oficina Federal Alemana de Seguridad de la Información). El contratista proporciona inmediatamente al controlador información específica en cada caso.

• De conformidad con el Art. 82 párr. 1 RGPD, el controlador y el procesador son responsables en su relación externa de los daños materiales e inmateriales sufridos por una persona debido a una infracción del RGPD. Si tanto el controlador como el procesador son responsables de dichos daños de conformidad con el Art. 82 párr. 2 RGPD, las Partes serán responsables internamente de dichos daños en proporción a su cuota de responsabilidad. Si, en tal caso, una persona hace valer una reclamación por daños y perjuicios, en todo o en parte, contra una de las Partes, la otra parte podrá exigirle una indemnización o compensación en la medida en que sea proporcional a su parte de responsabilidad.
• El procesador también es responsable ante el controlador del cumplimiento de la normativa de protección de datos por parte de los subcontratistas, a los que recurre para realizar sus tareas. La culpa de los subcontratistas se atribuirá al procesador como si fuera culpa suya.
• El encargado del tratamiento asistirá al responsable del tratamiento con toda la información de que disponga en caso de que el responsable del tratamiento esté sujeto a procedimientos administrativos o penales, a la responsabilidad de una persona afectada o de terceros o a cualquier otra reclamación en relación con el tratamiento de datos con el encargado del tratamiento.

• Los soportes y registros de datos facilitados al procesador siguen siendo propiedad del controlador.
• Si una o varias cláusulas de este Acuerdo fueran ineficaces, la eficacia del acuerdo restante no se verá afectada. En caso de que una o varias disposiciones del contrato sean inválidas, las Partes sustituirán inmediatamente la disposición inválida por una disposición que se asemeje lo más posible a la disposición inválida en términos de intereses comerciales y protección de datos.
• En caso de contradicción entre el Acuerdo Principal y el presente Acuerdo, prevalecerá el presente Acuerdo en la medida en que la contradicción afecte al tratamiento de datos personales.
• Todos los servicios prestados por el Procesador en relación con el cumplimiento de sus obligaciones en virtud del presente Acuerdo se liquidarán con la remuneración del Acuerdo Principal.
• Los siguientes Adjuntos forman parte integrante del presente Acuerdo
• Adjunto 1 "Medidas técnicas y organizativas".
• Adjunto 2 "Subcontratistas aprobados"