Preámbulo
1.1 El Contratista procesa datos personales en nombre y por instrucción del Cliente en el sentido del artículo 4 n.º 8 y el artículo 28 del Reglamento (UE) 2016/679 - Reglamento General de Protección de Datos (GDPR). El presente Acuerdo de Procesamiento de Datos regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales.
2.1 De acuerdo con el Art. 4 para. 7 del GDPR, el "responsable del procesamiento" es el organismo que, solo o conjuntamente con otros responsables del tratamiento, decide los fines y los medios del tratamiento de los datos personales.
2.2 De acuerdo con el Art. 4 párrafo 8 del GDPR, el "Procesador" es una persona física o jurídica, autoridad, institución u otro organismo que procesa datos personales en nombre del Controlador.
2.3 De acuerdo con el Art. 4 para. 1 de la Ley de Protección de Datos, se entenderá por "Datos Personales" cualquier información relativa a una persona física identificada o identificable (en lo sucesivo denominada "sujeto de los datos"); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, un dato de localización, un identificador en línea, o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
2.4 "Datos Personales Especialmente Sensibles" son los datos personales de conformidad con el art. 9 GDPR, de los que se puede deducir el origen racial o étnico, las opiniones políticas, las convicciones religiosas o ideológicas o la afiliación sindical de las personas afectadas, los datos personales de conformidad con el Art. 10 GDPR sobre condenas e infracciones penales o medidas de seguridad relacionadas, así como datos genéticos de acuerdo con el Art. 4 Para. 13 GDPR, datos biométricos de acuerdo con el Art. 4 Para. 14 GDPR, datos de salud de acuerdo con el Art. 4 Para. 15 del GDPR y datos relativos a la vida sexual o la orientación sexual de una persona física.
2.5 De conformidad con el art. 4, para. 2 GDPR, "Procesamiento" se define como cualquier operación o conjunto de operaciones, realizadas con o sin la ayuda de procedimientos automatizados, con respecto a datos personales, tales como la recolección, registro, organización, archivo, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, eliminación o destrucción.
2.6 Según el Art. 4 para. 21 del GDPR, la "Autoridad de Control" es un organismo estatal independiente establecido por un Estado miembro de acuerdo con el Art. 51 DEL RGPD.
3.1 El Contratista prestará servicios para el Cliente en el ámbito del "suministro de software" sobre la base del Contrato Principal celebrado entre las partes. Dentro del ámbito del Contrato Principal, el Contratista tendrá acceso a los datos personales y tratará dichos datos exclusivamente en nombre del Cliente y de acuerdo con sus instrucciones. El objeto del tratamiento, la naturaleza y la finalidad del mismo, el tipo de datos personales y las categorías de interesados se recogen en el Anexo 1 del presente Acuerdo de Procesamiento de Datos. Es responsabilidad del Cliente evaluar la permisibilidad del tratamiento de datos.
3.2 Las partes celebran el presente Acuerdo de Procesamiento de Datos con el fin de concretar los derechos y obligaciones mutuos en materia de protección de datos. En caso de duda, las disposiciones del presente Acuerdo tendrán prioridad sobre las disposiciones del Contrato Principal.
3.3 Las disposiciones del presente Acuerdo de Procesamiento de Datos se aplicarán a todas las actividades relacionadas con el Contrato Principal en las que el Contratista y sus empleados o agentes encargados por el Contratista entren en contacto con datos personales originados o recogidos para el Cliente.
3.4 El presente Acuerdo de Procesamiento de Datos comenzará en el momento de la firma; la duración de este Acuerdo de Procesamiento de Datos se basará en la duración del Contrato Principal, a menos que las siguientes disposiciones impongan obligaciones o derechos de terminación que vayan más allá.
4.1 El Contratista sólo podrá recoger, procesar o utilizar los datos en el marco del Contrato Principal y de acuerdo con las instrucciones del Cliente; esto se aplica en particular a la transferencia de datos personales a un tercer país o a una organización internacional. Si la legislación de la Unión Europea o de los Estados miembros a los que está sujeto el Contratista exige un tratamiento posterior, el Contratista notificará al Cliente estos requisitos legales antes del tratamiento.
4.2 Las instrucciones del Cliente se recogen inicialmente en este contrato y pueden ser modificadas, complementadas o sustituidas posteriormente por instrucciones individuales por escrito o en forma de texto (instrucciones individuales). El Cliente tiene derecho a dar las instrucciones correspondientes en cualquier momento. Esto incluye instrucciones relativas a la corrección, eliminación y bloqueo de datos. Las instrucciones verbales deben confirmarse inmediatamente por escrito o en forma de texto.
4.3 Todas las instrucciones emitidas deben ser documentadas tanto por el Cliente como por el Contratista. Las instrucciones que vayan más allá de las prestaciones acordadas en el Contrato Principal se tratarán como una solicitud de cambio de prestaciones.
4.4 Si el Contratista opina que una instrucción del cliente viola las normas de protección de datos, el contratista debe informar al cliente inmediatamente. El Contratista tiene derecho a suspender la ejecución de la instrucción en cuestión hasta que el Cliente la confirme o modifique. El Contratista podrá negarse a ejecutar una instrucción manifiestamente ilegal.
5.1 En el curso de la ejecución del Contrato Principal, el Contratista tendrá acceso a los datos personales especificados en el Apéndice 1. Los interesados afectados por el procesamiento de datos también se definen en el Apéndice 1.
6.1 El Contratista está obligado a observar las disposiciones legales sobre protección de datos y a no transmitir a terceros la información obtenida en el ámbito del Cliente ni a conceder a terceros el acceso a dicha información. Los documentos y datos deben estar asegurados contra el acceso no autorizado, teniendo en cuenta el estado de la técnica.
6.2 Dentro de su ámbito de responsabilidad, el Contratista diseñará la organización interna de tal manera que cumpla con los requisitos especiales de protección de datos. El Contratista adoptará todas las medidas técnicas y organizativas necesarias para la adecuada protección de los datos del Cliente de acuerdo con el Art. 32 del GDPR, en particular, al menos las medidas enumeradas en el Anexo 2. El Contratista se reserva el derecho de modificar las medidas de seguridad adoptadas, por lo que garantizará que el nivel de protección acordado contractualmente no se vea comprometido.
6.3 Las personas empleadas por el Contratista en el procesamiento de datos tienen prohibido recoger, procesar o utilizar datos personales sin autorización. El Contratista impondrá la correspondiente obligación a todas las personas a las que confíe el tratamiento y el cumplimiento de este contrato (en adelante, empleados) (obligación de confidencialidad, art. 28, apartado 3, letra b del GDPR) y garantizará el cumplimiento de esta obligación con la debida atención. Estas obligaciones deben formularse de manera que permanezcan en vigor después de la terminación de este contrato o de la relación laboral entre el empleado y el Contratista. Previa solicitud, el Cliente debe recibir pruebas adecuadas de las obligaciones de manera adecuada.
7.1 En caso de mal funcionamiento, de sospecha de violaciones de la protección de datos o de incumplimiento de las obligaciones contractuales por parte del Contratista, de sospecha de incidentes relacionados con la seguridad o de otras irregularidades en el tratamiento de datos personales por parte del Contratista, de las personas empleadas por el Contratista en el marco del encargo o de terceros, el Contratista deberá informar al Cliente inmediatamente por escrito o en forma de texto. Lo mismo se aplica a las auditorías del Contratista por parte de una autoridad supervisora de la protección de datos.
La notificación de una violación de la protección de datos personales deberá contener al menos la siguiente información:
a) una descripción de la naturaleza de la violación de la protección de datos personales, incluyendo, en la medida de lo posible, las categorías y el número de interesados, las categorías y el número de registros de datos personales afectados
b) una descripción de las medidas adoptadas o propuestas por el Contratista para remediar el incumplimiento y, en su caso, las medidas para mitigar sus posibles efectos adversos
7.2 El Contratista tomará inmediatamente las medidas necesarias para asegurar los datos y mitigar las posibles consecuencias adversas de los afectados, informará al Cliente al respecto y solicitará nuevas instrucciones.
7.3 Además, el Contratista está obligado a proporcionar al Cliente información en cualquier momento, en la medida en que los datos del Cliente se vean afectados por una violación de conformidad con la cláusula 7.1.
7.4 Si los datos del Cliente están en peligro en el Contratista por incautación o confiscación, por procedimientos de insolvencia o concurso de acreedores o por otros eventos o medidas de terceros, el contratista tiene que informar al Cliente inmediatamente, a menos que esté prohibido por orden judicial u oficial. En este contexto, el Contratista informará inmediatamente a todas las autoridades competentes de que la autoridad para decidir sobre los datos corresponde exclusivamente al Cliente como responsable del tratamiento.
7.5 El Contratista informará al Cliente sin demora de cualquier cambio significativo en las medidas de seguridad conforme a la cláusula 6.2.
7.6 El Cliente debe ser informado inmediatamente de cualquier cambio en la persona del responsable de la protección de datos/persona de contacto para la protección de datos.
7.7 El Contratista y, en su caso, su representante, mantendrá un registro de las actividades de procesamiento realizadas en nombre del Cliente, que contendrá toda la información requerida por el Art. 30, apartado 2, del GDPR. La lista se pondrá a disposición del Cliente si lo solicita.
7.8 El Contratista deberá cooperar en la medida adecuada en la preparación de la lista de procedimientos por parte del Cliente. El Contratista deberá proporcionar al Cliente la información necesaria de forma adecuada.
8.1 El Cliente tiene derecho a comprobar en cualquier momento, en la medida necesaria, que el Contratista cumple con las disposiciones legales sobre protección de datos y/o las disposiciones contractuales acordadas entre las partes y/o el cumplimiento del Contratista con las instrucciones del Cliente. El Contratista tiene derecho a demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo de Procesamiento de Datos por medios adecuados, incluyendo auto-auditorías, certificados, etc.
8.2 El Contratista está obligado a proporcionar información al Cliente en la medida en que ésta sea necesaria para llevar a cabo la inspección definida en el apartado 1 anterior.
8.3 Si es necesario en casos individuales, el Cliente puede exigir una inspección de los datos procesados por el Contratista para el Cliente y de los sistemas y programas de procesamiento de datos utilizados.
8.4 Previa notificación y con un plazo razonable de antelación, el comitente podrá llevar a cabo la inspección en el sentido del apartado 1 en las instalaciones del contratista durante el horario comercial normal. Al hacerlo, el Cliente se asegurará de que las inspecciones sólo se lleven a cabo en la medida necesaria para evitar perturbar desproporcionadamente las operaciones comerciales del Contratista. Las partes asumen que se requiere una inspección como máximo una vez al año. Las inspecciones adicionales deberán ser justificadas por el Cliente, indicando el motivo. En el caso de las inspecciones in situ, el Cliente reembolsará al Contratista los gastos incurridos, incluidos los costes de personal, para la supervisión y el acompañamiento de los inspectores in situ en una medida razonable. Las bases para el cálculo de los costes serán comunicadas al cliente por el Contratista antes de la realización de la inspección. El Contratista podrá supeditar los controles a una notificación previa con un plazo adecuado y a la firma de un acuerdo de confidencialidad. Si el inspector encargado por el Cliente tiene una relación de competencia con el Contratista, éste tiene derecho de objeción.
8.5 A elección del Contratista, la prueba del cumplimiento de las medidas técnicas y organizativas también puede aportarse, en lugar de una inspección in situ, mediante la presentación de un certificado de auditoría adecuado y actualizado, informes o extractos de informes de organismos independientes (por ejemplo, auditores, revisión, responsable de la protección de datos, departamento de seguridad informática, auditores de protección de datos o auditores de calidad) o una certificación adecuada, si el informe de auditoría permite al Cliente cerciorarse de manera razonable de que se cumplen las medidas técnicas y organizativas de acuerdo con el Apéndice 2 de este Acuerdo de Procesamiento de Datos. Si el cliente tiene dudas razonables sobre la idoneidad del documento de prueba en el sentido de la frase 1, el cliente puede realizar una inspección in situ. El Cliente es consciente de que una inspección in situ en los centros de datos no es posible o sólo es posible en casos excepcionales justificados.
8.6 En caso de que la autoridad de control tome medidas contra el Cliente en el sentido del Art. 58 del GDPR, en particular en lo que respecta a los deberes de información y control, el Contratista estará obligado a proporcionar al Cliente la información necesaria y a permitir que la respectiva autoridad de control competente lleve a cabo una inspección in situ. El Contratista informará al Cliente sobre las medidas previstas correspondientes.
8.7 El Contratista demostrará al Comitente la obligación de los empleados según la Cláusula 5.3 a petición del mismo.
9.1 El Contratista tiene derecho a utilizar subcontratistas para el tratamiento de los datos del Cliente. El Contratista deberá seleccionar cuidadosamente a los subcontratistas y comprobar, antes de realizar el pedido, que pueden cumplir los acuerdos establecidos entre el Cliente y el Contratista. En particular, el Contratista deberá comprobar por adelantado y regularmente durante la vigencia del contrato que el subcontratista ha adoptado las medidas técnicas y organizativas requeridas en virtud del Art. 32 del GDPR para la protección de los datos personales
9.2 El Cliente acepta que el Contratista utilice más subcontratistas o sustituya a los subcontratistas si es necesario. El Contratista informará al Cliente de dichos cambios con un plazo razonable de antelación en formato electrónico. El Cliente podrá oponerse al cambio por causa justificada dentro de un plazo razonable determinado por el Contratista a su discreción. Si no se presenta ninguna objeción dentro de este período, se considerará que se ha dado el consentimiento al cambio.
9.3 El Contratista está obligado a obtener la confirmación del subcontratista de que este ha designado un responsable de la protección de datos de conformidad con el art. 37 del GDPR, siempre que el subcontratista esté legalmente obligado a designar un responsable de la protección de datos.
9.4 El Contratista se asegurará de que las disposiciones acordadas en este Acuerdo de Procesamiento de Datos y cualquier instrucción suplementaria del Cliente también se apliquen al subcontratista.
9.5 El contratista está obligado, en particular, a garantizar mediante disposiciones contractuales que los derechos de auditoría del comitente y de las autoridades de supervisión también se apliquen al subcontratista y que los derechos de control correspondientes sean acordados por el comitente y las autoridades de supervisión. Además, se estipulará en el contrato que el subcontratista tolerará estas medidas de control y los posibles controles sobre el terreno.
9.6 No se considerarán relaciones de subcontratación en el sentido de los apartados 1 a 5 los servicios que el Contratista utilice de terceros como servicio puramente auxiliar para el desarrollo de la actividad empresarial. Entre ellos se encuentran, por ejemplo, los servicios de limpieza, los servicios de telecomunicaciones puros sin ninguna referencia específica a los servicios que el Contratista presta al Cliente, los servicios postales y de mensajería, los servicios de transporte, los servicios de seguridad. No obstante, el Contratista está obligado a garantizar, también en el caso de los servicios auxiliares prestados por terceros, que se han tomado las precauciones y medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales. El mantenimiento y la prestación de servicios de sistemas o aplicaciones informáticas constituyen una relación de subcontratación y un tratamiento de datos por encargo en el sentido del art. 28 del GDPR que requiere aprobación si el mantenimiento y las pruebas se refieren a dichos sistemas de TI que también se utilizan en relación con la prestación de servicios para el Cliente y si se puede acceder a los datos personales procesados en nombre del Cliente durante el mantenimiento.
9.7. El Cliente reconoce y acepta que el Contratista puede transferir y procesar los datos del Cliente a y en terceros países, incluidos aquellos fuera del EEE sin una declaración de adecuación de la Comisión Europea, a sus subprocesadores, a saber, OpenAI LLC, 3180 18th St, San Francisco, California, 94110, EE.UU.. El Contratista se asegurará de que dichas transferencias se realicen de conformidad con la legislación aplicable en materia de protección de datos y con el presente Acuerdo de Tratamiento de Datos. A saber, el Contratista suscribirá cláusulas contractuales tipo u otras garantías adecuadas (como normas corporativas vinculantes) reconocidas en virtud del artículo 45 del GDPR.
10.1 El Cliente es el único responsable de salvaguardar los derechos de los interesados. El Contratista apoya al Cliente, en la medida de lo posible, con medidas técnicas y organizativas adecuadas en el cumplimiento de las obligaciones del Cliente de acuerdo con el Art. 12 - 22 así como 32 y 36 del GDPR.
10.2 Si un interesado hace valer sus derechos, como el derecho de acceso/información, rectificación o supresión de sus datos, directamente contra el Contratista, éste no reacciona de forma independiente, sino que remite inmediatamente al interesado al Cliente y espera las instrucciones de éste.
11.1 Ambas partes se comprometen a tratar toda la información recibida en relación con la ejecución de este Acuerdo de Procesamiento de Datos como confidencial por un período de tiempo ilimitado y a utilizarla únicamente para la ejecución de este Acuerdo de Procesamiento de Datos y/o el Contrato Principal. Ninguna de las partes tendrá derecho a utilizar esta información, en su totalidad o en parte, para fines distintos de los que se acaban de mencionar ni a ponerla a disposición de terceros.
11.2 La obligación anterior no se aplicará a la información que una de las partes haya obtenido de forma demostrable de terceros sin estar obligada a mantener el secreto o que sea de conocimiento público.
12.1 Tras la finalización del Contrato Principal o en cualquier momento a petición del Cliente, el Contratista devolverá al Cliente todos los documentos, datos y soportes de datos proporcionados al Contratista o -a petición del Cliente, a menos que exista una obligación de almacenar datos personales en virtud del derecho de la Unión o de la Legislación de la República Federal de Alemania- los eliminará. La supresión deberá documentarse de forma adecuada y deberá aportarse una prueba cuando se solicite.
13.1 Las partes acuerdan que queda excluida la defensa del derecho de retención por parte del Contratista (según el artículo 273 del BGB) con respecto a los datos que se van a procesar y los soportes de datos asociados.
13.2 Los cambios y modificaciones de este Acuerdo de Procesamiento de Datos y de todos sus componentes -incluyendo cualquier garantía dada por el Contratista- requieren un acuerdo por escrito, que también puede ser en formato electrónico (forma de texto), y la indicación expresa de que se trata de un cambio o modificación de este Acuerdo de Procesamiento de Datos. Esto también se aplica a la renuncia a este requisito formal.
13.3 En caso de que alguna de las disposiciones de este acuerdo sea o llegue a ser inválida o inaplicable en su totalidad o en parte, la validez de las restantes disposiciones no se verá afectada.
13.4 Este acuerdo está sujeto a la legislación Alemana.
Apéndice 1: Descripción del Procesamiento
Apéndice 2: Medidas Técnicas y Organizativas
a. Control de Acceso Físico
Medidas adecuadas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos con los que se procesan o utilizan los datos personales:
b. Control de Acceso al Sistema
Medidas adecuadas para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas:
c. Control de Acceso a los Datos
Medidas que garantizan que las personas autorizadas a utilizar un sistema de procesamiento de datos sólo puedan acceder a los datos sujetos a su autorización de acceso y que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante el tratamiento, el uso y después del almacenamiento:
d. Control de Separación
Medidas para garantizar que los datos recogidos para diferentes fines puedan ser tratados por separado:
a. Control de Transferencias
Medidas para garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados sin autorización durante la transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que sea posible comprobar y establecer a qué organismos deben transmitirse los datos personales mediante equipos de transmisión de datos:
b. Control de Entrada
Medidas para garantizar que pueda comprobarse y establecerse posteriormente si se han introducido, modificado o eliminado datos personales de los sistemas de procesamiento de datos y quién lo ha hecho:
a. Control de Disponibilidad
Medidas para garantizar la protección de los datos personales contra la destrucción o pérdida accidental:
b. Recuperabilidad (Art. 32 (1) lit. c) GDPR)
Medidas para garantizar que los datos personales puedan restaurarse inmediatamente en caso de pérdida o interrupción:
a. Protección de Datos y Gestión de la Seguridad de la Información
En ATLAS.ti se aplica un sistema de gestión de la protección de datos. Existe una directriz sobre la protección y la seguridad de los datos, así como directrices para garantizar la aplicación de los objetivos de la directriz. Todas las directrices se evalúan regularmente y se ajustan en cuanto a su eficacia.
Se ha creado un equipo de protección de datos y seguridad de la información para planificar, aplicar, evaluar y ajustar las medidas de protección y seguridad de los datos. Se ha nombrado un responsable de la protección de datos. Todos los empleados reciben formación periódica en materia de protección de datos y seguridad de la información.
b. Gestión de la Respuesta a Incidentes
Todos los empleados reciben instrucciones y formación para garantizar que todos los empleados reconozcan los incidentes relacionados con la privacidad de los datos y los comuniquen sin demora al Equipo de Protección de Datos y Seguridad de la Información. El Equipo de Protección de Datos y Seguridad de la Información investigará el incidente inmediatamente. En lo que respecta a los datos que se procesan en nombre de los clientes, se garantiza que se les informa inmediatamente sobre la naturaleza y el alcance del incidente.
c. Privacidad por Diseño y por Defecto (Art. 25 (2) GDPR)
En ATLAS.ti, nos aseguramos de que el principio de necesidad y minimización de datos se tenga en cuenta desde la fase de desarrollo del software.
d. Control de Pedidos
Medidas para garantizar que los datos personales tratados por encargo sólo puedan ser tratados de acuerdo con las instrucciones del cliente: