Volver a Inicio / Términos y condiciones generales/ Apéndice de procesamiento de datos

Apéndice de procesamiento de datos

 

Este Apéndice forma parte integral del Contrato y lo celebran:

 

  1. (i) El Cliente (" Exportador de datos ")
  2. (ii) POSTCODEZIP (" Importador de datos ")

 

Cada uno es un " Partido " y comúnmente " Partes ".

 

Preámbulo

DONDE el Importador de datos proporciona servicios profesionales de software, computadoras y servicios relacionados;

DONDE, de conformidad con el Contrato, el Importador de datos ha acordado proporcionar al Exportador de datos los servicios especificados en el Contrato (los " Servicios ");

DONDE, al proporcionar los Servicios, el Importador de datos recibe o se beneficia del acceso a la información del Exportador de datos o la información de otras personas que tienen una relación (potencial) con el Exportador de datos, dicha información puede ser calificada como datos personales en el sentido del Reglamento. (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos (" GDPR ") y otras leyes de protección de datos aplicables.

DONDE este Apéndice contiene los términos y condiciones aplicables a la recopilación, procesamiento y uso de dichos datos personales por parte del Importador de datos en su calidad de agente de procesamiento de datos autorizado del Exportador de datos, para garantizar que las Partes cumplan con la ley de protección de datos aplicable. .

 

POR LO TANTO, y para permitir que las Partes continúen su relación legalmente, las Partes han concluido este Apéndice de la siguiente manera:

Parte 1

 

1. Estructura del documento y definiciones

1.1 Estructura

Este Apéndice consta de las siguientes partes:

 

Parte 1:

contiene disposiciones generales, por ejemplo, relativas a las definiciones utilizadas en este Apéndice, el cumplimiento de las leyes locales, el calendario y la rescisión

Parte 2:

contiene el cuerpo del documento de Cláusulas Contractuales Estándar sin modificaciones

Apéndice 1.1 de la Parte 2:

contiene los detalles de las operaciones de procesamiento proporcionados por el Importador de datos al Exportador de datos como el agente de procesamiento de datos autorizado (incluido el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías de sujetos de datos) bajo este Apéndice

Apéndice 2 de la Parte 2:

contiene una descripción de las medidas de seguridad técnicas y organizativas del Importador de datos, que se aplican en relación con todas las actividades de procesamiento descritas en el Apéndice 1.1 de la Parte 2

Parte 3:

contiene las firmas de las Partes vinculadas por este Apéndice e identifica a cada Importador de datos

 

1.2 Terminología y definiciones

Para los propósitos de este Apéndice, la terminología y las definiciones utilizadas por el GDPR son aplicables (en el cuerpo del documento de la Cláusula Contractual Estándar en la Parte 2, donde los términos definidos no están en mayúscula). 

 

"Estado miembro"

significa un país perteneciente a la Unión Europea o al Espacio Económico Europeo

"Categorías especiales de datos (personales)"

se refiere a datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y datos genéticos, datos biométricos, si se procesan con el propósito de identificar de manera única a una persona, datos relacionados con la salud, datos relacionados con el sexo de una persona vida u orientación sexual

"Cláusulas contractuales estándar"

significa las Cláusulas Contractuales Tipo para la transferencia de datos personales de agentes de procesamiento establecidos en terceros países, en virtud de la Decisión 2010/87 / UE de la Comisión el 5 de febrero de 2010, que fue modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión el 16 de Diciembre de 2016

"Procesador de datosâ € ??

significa cualquier agente de procesamiento, ubicado dentro o fuera de la UE / EEE, que acepta recibir del Importador de datos o cualquier otro procesador del Importador de datos, datos personales con el propósito exclusivo de las actividades de procesamiento que el Exportador de datos debe llevar a cabo después de la transferir de acuerdo con las instrucciones del Exportador de datos, los términos de este Apéndice y el Contrato con el Importador de datos

 

 

2. Obligaciones del exportador de datos

2.1 El exportador de datos tiene la obligación de garantizar el cumplimiento de todas las obligaciones aplicables en virtud del RGPD y cualquier otra ley de protección de datos aplicable que se aplique al exportador de datos y de demostrar dicho cumplimiento según lo requiere el artículo 5 (2) del RGPD. El Exportador de datos garantiza que el Importador de datos ha obtenido el consentimiento previo de los interesados ​​de acuerdo con el Artículo 6 (a) del RGPD y ha cumplido con su obligación de informar a los interesados ​​de acuerdo con los Artículos 13 y 14 del RGPD.

2.2 El Exportador de Datos debe proporcionar al Importador de Datos los archivos respectivos de las actividades de procesamiento de acuerdo con el Artículo 30 (1) del GDPR relacionado con los Servicios bajo este Apéndice, en la medida necesaria para que el Importador de Datos cumpla con la obligación bajo Artículo 30 (2) del RGPD.

2.3 El exportador de datos debe nombrar a un oficial o representante de protección de datos en la medida requerida por la ley de protección de datos aplicable. El Exportador de datos está obligado a proporcionar los datos de contacto del agente o representante de protección de datos, si lo hubiera, al Importador de datos.

2.4. El Exportador de datos confirma antes de la finalización del procesamiento, mediante la aceptación de este Apéndice, que las medidas de seguridad técnicas y organizativas del Importador de datos, como se establece en el Apéndice 2 de la Parte 2, son adecuadas y suficientes para proteger los derechos del interesado. y confirma que el Importador de datos proporciona suficientes garantías a este respecto.

 

3. Cumplimiento de la legislación local

Para cumplir con los requisitos de implementación de los agentes de procesamiento según el artículo 28 del RGPD, se aplican las siguientes enmiendas:

 

3.1 Instrucciones

  1. (i) El exportador de datos le indica al importador de datos que procese los datos personales solo en nombre del exportador de datos. Las instrucciones del Exportador de datos se proporcionan en este Apéndice y en el Contrato. El exportador de datos tiene la obligación de asegurarse de que todas las instrucciones que se le hayan dado al importador de datos cumplan con las leyes de protección de datos aplicables. El Importador de datos debe procesar los datos personales solo de acuerdo con las instrucciones proporcionadas por el Exportador de datos a menos que la Unión Europea o la ley del Estado miembro exijan lo contrario (en este último caso, se aplica la Cláusula 3.2 (iv) (c) de la Parte 1) .
  2. (ii) Todas las demás instrucciones que vayan más allá de las instrucciones de este Apéndice o del Contrato deben incluirse en el objeto de este Apéndice y del Contrato. Si implementar esta instrucción adicional implica costos para el importador de datos, el importador de datos informará al exportador de datos de dichos costos y proporcionará una explicación antes de implementar la instrucción. Solo después de que el exportador de datos haya confirmado la aceptación de estos costos para implementar la instrucción, el importador de datos implementará esta instrucción adicional. El exportador de datos debe dar instrucciones adicionales por escrito a menos que la urgencia u otras circunstancias específicas requieran otro formulario (por ejemplo, oral, electrónico). Las instrucciones que no sean por escrito deben ser confirmadas por escrito y sin demora por el exportador de datos.
  3. 1. A menos que el Exportador de datos no pueda llevar a cabo la rectificación, el borrado o la restricción de datos personales por sí mismo, las instrucciones también pueden relacionarse con la rectificación, borrado y / o restricción de datos personales como se establece en la Cláusula 3.3 de la Parte 1.
  4. 2. El Importador de datos debe informar inmediatamente al Exportador de datos si, en su opinión, una Instrucción viola el GDPR u otras disposiciones de protección de datos aplicables de la Unión Europea o un Estado miembro (" Instrucción en disputa"). Si el Importador de datos cree que una Instrucción infringe el RGPD u otras disposiciones de protección de datos aplicables de la Unión Europea o un Estado miembro, el Importador de datos no está obligado a seguir la Instrucción en disputa. Si el Exportador de datos confirma la Instrucción en disputa en recepción de información del importador de datos y reconoce su responsabilidad por la instrucción impugnada, el importador de datos implementará la instrucción impugnada, a menos que la instrucción impugnada se relacione con (i) la implementación de medidas técnicas y organizativas, (ii) los derechos de los datos Sujetos o (iii) la contratación de los procesadores de datos En los casos (i) a (iii), el Importador de datos puede ponerse en contacto con una autoridad supervisora ​​competente para que la Instrucción impugnada sea evaluada legalmente por dicha autoridad.Si la autoridad supervisora ​​declara que la Instrucción impugnada es legal, el Importador de datos deberá implementar la Instrucción impugnada. La Cláusula 3.1 (ii) de la Parte 1 seguirá siendo aplicable.

 

3.2 Obligaciones del importador de datos

  1. (i) El importador de datos debe asegurarse de que las personas autorizadas por el importador de datos para procesar datos personales en nombre del exportador de datos, en particular los empleados del importador de datos y los empleados de cualquier subcontratista, se hayan comprometido a respetar la confidencialidad o estén sujetos a un deber legal apropiado de confidencialidad, y que las personas que tienen acceso a los datos personales los procesen de acuerdo con las instrucciones del Exportador de datos.
  2. (ii) El Importador de datos debe implementar las medidas de seguridad técnicas y organizativas establecidas en el Apéndice 2 de la Parte 2 antes de procesar los datos personales en nombre del Exportador de datos. El Importador de datos puede cambiar las medidas de seguridad técnicas y organizativas de vez en cuando si no brindan menos protección que las establecidas en el Apéndice 2 de la Parte 2.
  3. (iii) El Importador de Datos pondrá a disposición del Exportador de Datos, a solicitud del Exportador de Datos, información para demostrar el cumplimiento de las obligaciones del Importador de Datos bajo este Apéndice. Las Partes acuerdan que esta obligación de información se cumple proporcionando al exportador de datos un informe de auditoría (que cubra la seguridad de los principios, la disponibilidad del sistema y la confidencialidad) ("Informe de auditoría"). Si se requieren legalmente actividades de auditoría adicionales, el exportador de datos puede solicitar que las inspecciones sean realizadas por el exportador de datos u otro auditor designado por el exportador de datos, sujeto a la ejecución por dicho auditor de un acuerdo de confidencialidad con el importador de datos para el importador de datos. satisfacción razonable ("Auditoría"). Esta Auditoría está sujeta a las siguientes condiciones:(i) la previa aceptación formal por escrito del Importador de Datos; y (ii) el exportador de datos asumirá todos los costos relacionados con la auditoría in situ para el exportador de datos y el importador de datos. El exportador de datos debe crear un informe de auditoría que resuma los resultados y las observaciones de la auditoría in situ ("Informe de auditoría in situ"). Los informes de auditoría in situ y los informes de auditoría son información confidencial del importador de datos y no deben divulgarse a terceros a menos que así lo exija la ley de protección de datos aplicable o de acuerdo con el consentimiento del importador de datos.Los informes de auditoría in situ y los informes de auditoría son información confidencial del importador de datos y no deben divulgarse a terceros a menos que así lo exija la ley de protección de datos aplicable o de acuerdo con el consentimiento del importador de datos.Los informes de auditoría in situ y los informes de auditoría son información confidencial del importador de datos y no deben divulgarse a terceros a menos que así lo exija la ley de protección de datos aplicable o de acuerdo con el consentimiento del importador de datos.
  4. (iv) El Importador de Datos tiene la obligación de notificar al Exportador de Datos sin demoras indebidas:
    1. una. con respecto a cualquier solicitud legalmente vinculante para la divulgación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido de otra manera, como una prohibición bajo la ley penal para proteger la confidencialidad de una investigación policial
    2. B. con respecto a cualquier queja y solicitud recibida directamente de un sujeto de datos (por ejemplo, con respecto al acceso, rectificación, eliminación, restricción de procesamiento, portabilidad de datos, objeción al procesamiento de datos, toma de decisiones automatizada) sin responder a esa solicitud, a menos que el Importador de datos haya sido autorizado a hazlo
    3. C. si el importador de datos o el procesador de datos está obligado, en virtud de la legislación de la Unión Europea o del Estado miembro al que está sujeto el importador de datos o el procesador de datos, a procesar los datos personales más allá de las instrucciones del exportador de datos, antes de llevar a cabo dicho procesamiento más allá de las instrucciones, a menos que las leyes de la Unión Europea o del Estado miembro prohíban dicho procesamiento por motivos de interés público vital, en cuyo caso la notificación al exportador de datos especificará el requisito legal en virtud de esa ley de la Unión Europea o del Estado miembro; o
    4. D. si el Importador de datos se da cuenta de una infracción de datos personales, únicamente por su propia cuenta o su subcontratista, que afectaría los datos personales del Exportador de datos cubiertos por el presente contrato, en cuyo caso el Importador de datos asistirá al Exportador de datos en su obligación, vis-Ã -vis la ley de protección de datos aplicable, para informar a los interesados ​​y, en su caso, a las autoridades de control proporcionando la información a su disposición, de conformidad con el artículo 33 (3) de la GDPR.
    5. (v) A solicitud del exportador de datos, el importador de datos estará obligado a ayudar al exportador de datos en su obligación de llevar a cabo una evaluación de impacto de protección de datos que puede ser requerida por el artículo 35 del RGPD y una consulta previa que puede ser requerido por el Artículo 36 del GDPR con respecto a los servicios prestados por el Importador de Datos al Exportador de Datos en virtud de este Apéndice, proporcionando la información necesaria al Exportador de Datos. El Importador de datos solo estará obligado a proporcionar dicha asistencia si el Exportador de datos no puede cumplir con su obligación por otros medios. El importador de datos informará al exportador de datos sobre el costo de dicha asistencia. Tan pronto como el exportador de datos haya confirmado que puede asumir este costo, el importador de datos proporcionará esta ayuda al exportador de datos.
    6. (vi) Al final de la prestación de los servicios, el Exportador de datos puede solicitar la devolución de los datos personales procesados ​​por el Importador de datos en virtud de este Apéndice dentro de un mes después de los servicios. A menos que la legislación del Estado miembro o de la Unión Europea requiera que el Importador de datos almacene o retenga dichos datos personales, el Importador de datos eliminará todos esos datos personales o no personales después del período de un mes, ya sea que hayan sido devueltos a el exportador de datos a petición suya o no.

 

3.3 Derechos de las personas interesadas

  1.  
    1. (i) El exportador de datos gestiona y responde a las solicitudes realizadas por los interesados. El Importador de datos no está obligado a responder directamente a los interesados.
    2. (ii) Si el Exportador de datos requiere la asistencia del Importador de datos para procesar y responder a las solicitudes del Sujeto de datos, el Exportador de datos emitirá una instrucción adicional de acuerdo con la Cláusula 3.1 (ii) de la Parte 1. El Importador de datos asistirá al Exportador de datos con las siguientes medidas organizativas adecuadas y técnicas para dar respuesta a las solicitudes de ejercicio de los derechos de los interesados ​​recogidas en el Capítulo III del RGPD de la siguiente manera:
    3. una. Con respecto a las solicitudes de información, el Importador de Datos solo proporcionará al Exportador de Datos la información requerida por los Artículos 13 y 14 del PGRD que pueda tener a su disposición si el Exportador de Datos no puede encontrarla por sí solo.
    4. B. En lo que respecta a las solicitudes de acceso (artículo 15 del RGPD), el Importador de datos solo proporcionará al Exportador de datos la información que se supone debe proporcionar a un interesado para dicha solicitud de acceso, que puede tener a su disposición si el este último no puede encontrarlo solo.
    5. C. Con respecto a las solicitudes de rectificación (artículo 16 del RGPD), las solicitudes de borrado (artículo 17 del RGPD), la restricción de solicitudes de procesamiento (artículo 18 del RGPD) o las solicitudes de portabilidad (artículo 20 del RGPD), y solo si el exportador de datos no puede rectificar o borrar, limitar o transmitir los datos personales a otro tercero, el importador de datos ofrecerá al exportador de datos la posibilidad de rectificar o borrar, limitar o transmitir los datos personales en cuestión al otro tercero, o si esto no es posible, prestará la asistencia para rectificar o borrar, limitar o transmitir al otro tercero los datos personales en cuestión.
    6. D. Con respecto a la notificación relacionada con la rectificación, el borrado o la restricción del procesamiento (artículo 19 del RGPD), el importador de datos ayudará al exportador de datos notificando a todos los destinatarios de los datos personales contratados por el importador de datos como procesadores si el exportador de datos así lo solicita y si el exportador de datos no puede remediar la situación por sí solo.
    7. mi. Con respecto al derecho de oposición ejercido por un interesado (artículos 21 y 22 del RGPD), el exportador de datos determinará si la oposición es legítima y cómo tratarla.
    8. (iii) Las obligaciones de asistencia del Importador de datos se limitan a los datos personales procesados ​​dentro de su infraestructura (por ejemplo, bases de datos, sistemas, aplicaciones propiedad del Importador de datos o proporcionadas por él).
    9. (iv) El Exportador de Datos determinará si un Interesado puede ejercer los derechos de los Interesados ​​establecidos en la Cláusula 3.1 de esta Parte 1 y notificará al Importador de Datos en qué medida la asistencia especificada en las Cláusulas 3.3 (ii), ( iii) de la Parte 1 es necesario.
    10. (v) Si el exportador de datos solicita medidas técnicas y organizativas adicionales o modificadas para cumplir con los derechos de los interesados ​​que van más allá de la asistencia proporcionada por el importador de datos en virtud de la subcláusula 3.3 (ii), (iii) de la parte 1, los datos El Importador informará al Exportador de Datos de los costos de implementar tales medidas técnicas y organizativas adicionales o modificadas. Tan pronto como el exportador de datos haya confirmado que puede cubrir estos costos, el importador de datos implementará tales medidas técnicas y organizativas adicionales o modificadas para ayudar al exportador de datos a responder a las solicitudes de los interesados.
    11. (vi) Sin limitar el alcance de la Cláusula 3.3 (v) de la Parte 1, el Exportador de Datos estará obligado a reembolsar al Importador de Datos los gastos razonables incurridos para responder a las solicitudes de los Interesados.

 

3.4 Subprocesamiento

  1.  
    1. (i) El Exportador de datos autoriza el uso de subcontratistas por parte del Importador de datos para la prestación de servicios en virtud de este Apéndice. El Importador de datos seleccionará cuidadosamente dichos procesadores de datos. El exportador de datos aprueba los procesadores de datos enumerados en el Apéndice 1.1 al final de la Parte 2.
    2. (ii) El Importador de Datos transferirá sus obligaciones bajo este Apéndice al Procesador (es) de Datos en la medida que sea aplicable a los servicios subcontratados.
    3. (iii) El Importador de datos puede despedir, reemplazar o nombrar a otro procesador de datos apropiado y confiable a su discreción. Si así lo solicita por escrito el exportador de datos, el importador de datos debe seguir el procedimiento que se describe a continuación:
  1.  
    1. una. El Importador de datos informará al Exportador de datos antes de cualquier cambio en la lista de procesadores de datos a la que se hace referencia en la Cláusula 3.4 (i) de la Parte 1. Si el Exportador de datos no objeta en virtud de la Cláusula 3.4. (b) de la Parte 1 treinta días después de recibir la notificación del Importador de Datos, los procesadores de Datos adicionales se considerarán aceptados.
    2. B. Si el exportador de datos tiene una razón legítima para oponerse a un procesador de datos adicional, notificará previamente por escrito al importador de datos dentro de los treinta días posteriores a la recepción de la notificación del importador de datos y antes de que el servicio del importador de datos se ponga en funcionamiento. Si el exportador de datos se opone al uso de un procesador de datos adicional, el importador de datos puede eliminar la objeción mediante una de las siguientes opciones (elegidas a su discreción): (A) el importador de datos cancelará sus planes de utilizar un procesador adicional con respecto a los datos personales del exportador de datos; (B) el Importador de Datos tomará las medidas correctivas solicitadas por el Exportador de Datos en su objeción (cancelando la objeción) y utilizará el procesador adicional con respecto a los datos personales del Exportador de Datos;(C) el Importador de datos puede dejar de proporcionar o el Exportador de datos puede acordar no usar (temporal o permanentemente) un aspecto particular del servicio que implicaría el uso del procesador adicional del Exportador de datos de los datos personales del Exportador de datos.
  2.  
    1. (iv) si el procesador de datos tiene su sede fuera de la UE-EEE en un país que no está reconocido por ofrecer un nivel adecuado de protección de datos después de una decisión de la Comisión Europea, el importador de datos tomará las medidas para cumplir con un nivel adecuado de protección de datos de acuerdo con el RGPD (tales medidas pueden incluir, entre otras y, el uso de contratos de procesamiento de datos basados ​​en las cláusulas del Modelo de la UE, transferencia a procesadores de datos autocertificados en el marco del Escudo de Protección UE-EE. UU. , o un programa similar).

 

3.5 Caducidad

El vencimiento de este Apéndice es idéntico a la fecha de vencimiento del Contrato correspondiente. Salvo que se disponga lo contrario en este Apéndice, los derechos y deberes relacionados con la rescisión serán los mismos que los contenidos en el Contrato.

 

4. Limitación de responsabilidad

4.1 Cada parte maneja sus obligaciones bajo este Apéndice y la legislación de protección de datos aplicable.

4.2 Cualquier responsabilidad relacionada con el incumplimiento de las obligaciones en virtud de este Apéndice o de la legislación de protección de datos aplicable estará sujeta y regida por las disposiciones de responsabilidad establecidas en el Contrato o aplicables al mismo, salvo que se disponga lo contrario en este Apéndice. Si la responsabilidad se rige por las disposiciones de responsabilidad establecidas en el Contrato o aplicables al mismo, para calcular los límites de responsabilidad o determinar la aplicación de otras limitaciones de responsabilidad, cualquier responsabilidad que surja en virtud de este Apéndice se considerará derivada del Contrato.

 

5. Disposiciones generales

5.1 Si existen inconsistencias o discrepancias entre las Partes 1 y 2 de este Apéndice, prevalecerá la Parte 2. Específicamente, incluso en tal caso, la Parte 1 que simplemente va más allá de la Parte 2 (es decir, los términos de las cláusulas estándar) sin contradecirla, seguirá siendo válida.

5.2 Si surge alguna discrepancia entre las disposiciones de este Apéndice y las de otros contratos que obligan a las partes, este Apéndice prevalecerá con respecto a las obligaciones de protección de datos de las partes. En caso de duda sobre si las cláusulas de otros contratos se refieren a las obligaciones de protección de datos de las partes, prevalecerá este Apéndice.

5.3 Si alguna disposición de este Apéndice es inválida o inaplicable, el resto de este Apéndice permanecerá en pleno vigor y efecto. La disposición inválida o inaplicable será (i) enmendada para asegurar su validez y aplicabilidad, preservando en la medida de lo posible la intención de las partes, o - si esto no es posible - (ii) interpretada como si la parte inválida o inaplicable hubiera nunca ha sido parte del contrato. Lo anterior también se aplicará si hay una omisión en este Apéndice.

5.5 En la medida necesaria, las Partes podrán solicitar enmiendas a la Parte 1, Cláusula 3 (Cumplimiento de la legislación local) u otras partes del Apéndice con el fin de cumplir con interpretaciones, directivas u órdenes emitidas por las autoridades competentes de la Unión o del Estados miembros, disposiciones de aplicación nacional o cualquier otro desarrollo legal relacionado con el GDPR u otras condiciones de delegación a cualquier entidad involucrada en el procesamiento de datos y específicamente con respecto al uso de las Cláusulas Contractuales Estándar en el GDPR. Los términos de las Cláusulas Contractuales Estándar no pueden ser modificados o reemplazados a menos que la Comisión Europea lo apruebe expresamente (por ejemplo, mediante nuevas cláusulas adecuadas y estándares de protección de datos).

5.6 Cualquier referencia en este Apéndice a las "Cláusulas" se entenderá que se refiere a todas las disposiciones de este Apéndice a menos que se indique lo contrario.

5.7 La elección de la ley en la Parte 2, Cláusula 9 se aplica a todo el Contrato.

 

6.  Datos personales transmitidos y procesados ​​por las partes para fines personales (transferencia del controlador de datos al controlador de datos)

6.1 Las Partes saben plenamente que ciertos datos personales serán transferidos del Exportador de Datos al Importador de Datos y viceversa, y que dichos datos son procesados ​​por cada Parte para sus propios fines. Con respecto a dichos datos personales, no afecta las otras disposiciones de este Apéndice (excepto esta cláusula 6).

6.2 El Exportador de datos puede transferir datos personales relacionados con el personal del Importador de datos al Importador de datos, incluida información sobre incidentes de seguridad, o cualquier otro documento o archivo creado o establecido por el Exportador de datos en relación con los Servicios proporcionados por el personal de el Importador de datos. El Importador de datos puede procesar dichos datos personales para sus propios fines, en particular en sus relaciones profesionales con el personal del Importador de datos, para el control de calidad y la capacitación, o para fines comerciales.

6.3. El importador de datos puede transferir datos personales al exportador de datos, incluido el nombre y los datos de contacto del personal del importador de datos. El exportador de datos puede procesar dichos datos personales para sus propios fines.

6.4 Ambas partes cumplirán con las leyes de protección de datos aplicables, incluido el RGPD, al recopilar, procesar y utilizar dichos datos personales recibidos de la otra parte en virtud de la cláusula 1 de la Parte 1. En particular, ambas Partes tomarán las medidas de seguridad adecuadas, siempre que un nivel de protección similar al de las medidas de seguridad establecidas en el apéndice 2 de la parte 2. Todo acceso a dichos datos personales se limitará a la necesidad de conocerlos.

6.5 Ambas Partes deben eliminar dichos datos personales lo antes posible después de que se hayan logrado los objetivos.

Parte 2

 

DECISIÓN DE LA COMISIÓN

el 5 de febrero de 2010

sobre cláusulas contractuales estándar para la transferencia de datos personales a procesadores de datos establecidos en terceros países en virtud de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo

 

 

 

Cláusula 1

Definiciones

En el sentido de las cláusulas:

a) 'datos personales', 'categorías especiales de datos', 'procesamiento / procesamiento', 'controlador', 'procesador', 'sujeto de datos' y 'autoridad supervisora' tendrán el mismo significado que en el 95/46 / EC Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (1);

b) el 'Exportador de datos' es el controlador de datos que transfiere los datos personales;

c) el 'Importador de datos' es el procesador de datos que acepta recibir del Exportador de datos datos personales destinados a ser procesados ​​en nombre del Exportador de datos después de la transferencia de acuerdo con sus instrucciones y bajo los términos de estas cláusulas y que no es sujeto al mecanismo de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46 / CE; (d) 'Procesador de datos' significa el procesador de datos contratado por el importador de datos o por cualquier otro procesador de datos del importador de datos que acepta recibir del importador de datos o cualquier otro procesador de datos del importador de datos datos personales exclusivamente para actividades de procesamiento para llevarse a cabo en nombre del exportador de datos después de la transferencia de acuerdo con las instrucciones del exportador de datos,en las condiciones establecidas en estas Cláusulas y en los términos de la subcontratación escrita del contrato de procesamiento de datos;

e) "ley de protección de datos aplicable": la legislación que protege los derechos y libertades fundamentales de las personas, incluido el derecho a la privacidad en relación con el procesamiento de datos personales, y que se aplica a un controlador en el Estado miembro donde está establecido el exportador de datos;

f) "medidas tà © cnicas y organizativas relativas a la seguridadâ € ?? significa medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de redes, y contra todas las demás formas ilegales de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, incluidas, en su caso, categorías especiales de datos personales, se especifican en el Apéndice 1, que forma parte integrante de estas cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1. El interesado puede hacer cumplir contra el Exportador de datos esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) y (g) a (j), Cláusula 6 (1) y (2 ), Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12 como tercero beneficiario

2. El interesado puede hacer cumplir esta Cláusula, Cláusula 5 (a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12 contra el Importador de datos cuando el Exportador de datos haya desaparecido o ha dejado de existir en la ley, a menos que todas sus obligaciones legales hayan sido transferidas, por contrato o por operación de ley, a la entidad sucesora, a la que los derechos y obligaciones del Exportador de datos revierten, y contra la cual los datos Por tanto, el sujeto puede hacer cumplir dichas cláusulas.

El interesado puede hacer cumplir esta Cláusula, Cláusula 5 (a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8 (2) y Cláusulas 9 a 12 contra el Procesador de Datos, pero solo en los casos en los que los Datos El Exportador y el Importador de Datos han desaparecido físicamente, han dejado de existir legalmente o se han vuelto insolventes, a menos que todas las obligaciones legales del Exportador de Datos hayan sido transferidas, por contrato o por operación de ley, al sucesor legal, a quien los derechos y Por lo tanto, se confieren obligaciones al Exportador de datos y, por lo tanto, el interesado puede hacer cumplir dichas cláusulas. Dicha responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento en virtud de estas cláusulas.

4. Las partes no se oponen a que el interesado sea representado por una asociación u otro organismo si así lo desea y si la legislación nacional así lo permite.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acepta y garantiza lo siguiente:

a) el procesamiento, incluida la transferencia real de datos personales, se ha realizado y continuará realizándose de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando corresponda, se ha notificado a las autoridades competentes del Estado miembro en el que tiene su sede el Exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;

b) han instruido, e instruirán durante la duración de los servicios de procesamiento de datos personales, al Importador de datos para procesar los datos personales transferidos en nombre exclusivo del Exportador de datos y de acuerdo con la ley de protección de datos aplicable y estas cláusulas;

c) el Importador de Datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

d) después de la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación no autorizada o acceso, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y garantizar un nivel de seguridad adecuado a los riesgos que representa el procesamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta el nivel de tecnología y el costo de implementación;

e) velarán por el cumplimiento de las medidas de seguridad;

f) si la transferencia se refiere a categorías especiales de datos, el interesado ha sido informado o será informado antes de la transferencia, o tan pronto como sea posible después de la transferencia, que sus datos pueden ser transferidos a un tercer país que no ofrece un nivel de protección adecuado en el sentido de la Directiva 95/46 / CE;

g) enviarán cualquier notificación recibida del Importador de datos o cualquier Encargado del tratamiento en virtud de las Cláusulas 5 (b) y 8 (3) a la autoridad supervisora ​​de protección de datos si decide continuar con la transferencia o levantar su suspensión;

h) pondrán a disposición de los interesados, si así lo solicitan, una copia de estas Cláusulas, excepto el Apéndice 2, y una descripción resumida de las medidas de seguridad, y una copia de cualquier otro acuerdo de subcontratación, celebrado en virtud de estas Cláusulas, a menos que el Las cláusulas o el contrato contienen información comercial, en cuyo caso podrá retirar dicha información;

i) en caso de subcontratar el proceso de procesamiento de datos, la actividad de procesamiento se lleva a cabo de acuerdo con la Cláusula 11 por un procesador de datos que proporciona al menos el mismo nivel de protección de datos personales y derechos del interesado que el importador de datos en virtud de estas cláusulas ; y

j) garantizará el cumplimiento de la Cláusula 4 (a) a (i).

Cláusula 5

Obligaciones del importador de datos

El Importador de datos acepta y garantiza lo siguiente:

a) procesarán los datos personales solo en nombre del exportador de datos y según las instrucciones del exportador de datos y estas cláusulas; si no puede cumplir por cualquier motivo, acuerdan informar al Exportador de datos de su incapacidad lo antes posible, en cuyo caso el Exportador de datos puede suspender la transferencia de datos y / o terminar el contrato;

b) no tienen motivos para creer que la ley que les es aplicable le impide cumplir con las instrucciones dadas por el Exportador de Datos y las obligaciones que le incumben en virtud del contrato, y si dicha ley está sujeta a un cambio que podría tener un efecto material adverso efecto sobre las garantías y obligaciones bajo las Cláusulas, notificará al Exportador de Datos el cambio sin demora después de tener conocimiento de ello, en cuyo caso el Exportador de Datos podrá suspender la transferencia de datos y / o terminar el contrato; (c) han implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

d) notificarán al exportador de datos sin demora:

i) cualquier solicitud vinculante de divulgación de datos personales de una autoridad encargada de hacer cumplir la ley, a menos que se especifique lo contrario, como una prohibición penal destinada a preservar el secreto de una investigación policial;

ii) cualquier acceso incidental o no autorizado; y

iii) cualquier solicitud recibida directamente de las personas interesadas sin responder a ella, a menos que haya sido autorizado para hacerlo; administradores

e) atenderán con prontitud y de manera adecuada todas las consultas del Exportador de datos sobre el procesamiento de los datos personales que se transfieren y actuarán bajo la opinión de la autoridad de control con respecto al procesamiento de los datos transferidos;

f) a solicitud del Exportador de Datos, someterán sus instalaciones de procesamiento de datos a una auditoría de las actividades de procesamiento cubiertas por estas cláusulas que será llevada a cabo por el Exportador de Datos o un organismo supervisor compuesto por miembros independientes con las calificaciones profesionales requeridas, sujeto a una obligación de secreto y elegido por el Exportador de Datos, en su caso con el acuerdo de la autoridad supervisora;

g) pondrán a disposición del interesado, si así lo solicita, una copia de estas Cláusulas, o de cualquier subcontratación existente del contrato de tratamiento de datos, salvo que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información, a excepción del Apéndice 2, que será reemplazado por una descripción resumida de las medidas de seguridad, cuando el interesado no pueda obtener una copia del Exportador de Datos;

h) en el caso de la subcontratación confidencial adicional del procesamiento de datos, se asegurará de informar al exportador de datos con anticipación y obtener el consentimiento por escrito del exportador de datos;

i) los servicios de procesamiento proporcionados por el procesador de datos deberán cumplir con la cláusula 11;

j) enviarán sin demora una copia de cualquier subcontratación del acuerdo de procesamiento de datos celebrado por él bajo estas Cláusulas al Exportador de Datos.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier interesado que haya sufrido daños debido al incumplimiento de las obligaciones mencionadas en la Cláusula 3 o la Cláusula 11 por una parte o por un procesador de datos puede obtener una compensación del Exportador de datos por el daño sufrido.

2. Si un interesado no puede entablar una acción por daños y perjuicios como se indica en el párrafo 1 contra el Exportador de datos por incumplimiento por parte del Importador de datos o su procesador de datos de cualquiera de sus obligaciones en virtud de la Cláusula 3 o la Cláusula 11 porque los Datos El exportador ha desaparecido físicamente, ha dejado de existir legalmente o se ha vuelto insolvente, el importador de datos acepta que el interesado puede presentar una queja contra él como si fuera el exportador de datos a menos que todas las obligaciones legales del exportador de datos hayan sido transferidas, por contrato. o por aplicación de la ley, a su entidad sucesora, contra la cual el interesado podrá hacer valer sus derechos. El Importador de datos no puede basarse en un incumplimiento de sus obligaciones por parte de un procesador de datos para evitar su propia responsabilidad.

3. Si un interesado no puede iniciar la acción mencionada en los párrafos 1 y 2 contra el Exportador de Datos o el Importador de Datos por incumplimiento por parte del Procesador de Datos de sus obligaciones bajo la Cláusula 3 o la Cláusula 11 porque el Exportador de Datos y el Importador de Datos haya desaparecido físicamente, haya dejado de existir legalmente o se haya vuelto insolvente, el procesador de datos acepta que el interesado puede presentar una queja en su contra con respecto a sus propias actividades de procesamiento de acuerdo con estas cláusulas como si fuera el exportador de datos o el importador de datos a menos que todos Las obligaciones legales del exportador de datos o del importador de datos se han transferido, por contrato o por aplicación de la ley, al sucesor legal, contra quien el interesado puede entonces hacer valer sus derechos.La responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento de acuerdo con estas cláusulas.

 

Cláusula 7

Mediación y jurisdicción

1. El Importador de Datos acepta que si en virtud de las cláusulas, el interesado invoca contra él el derecho del tercero beneficiario y / o reclama una indemnización por el perjuicio sufrido, aceptará la decisión del interesado:

a) someter la controversia a la mediación de una persona independiente o, en su caso, de la autoridad de control;

b) llevar el litigio ante los tribunales del Estado miembro en el que tiene su sede el exportador de datos.

2. Las partes acuerdan que la elección realizada por el interesado no afectará al derecho procesal o sustantivo del interesado a obtener reparación de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades supervisoras

1. El Exportador de Datos se compromete a depositar una copia del presente contrato con la autoridad supervisora ​​si esta última así lo requiere o si dicho depósito está previsto por la ley de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control puede realizar controles en el Importador de datos y en cualquier procesador de datos en la misma medida y en las mismas condiciones que los controles realizados en el Exportador de datos de acuerdo con la ley de protección de datos aplicable.

3. El importador de datos informará al exportador de datos lo antes posible de la existencia de legislación relativa al importador de datos o cualquier procesador de datos que impida la verificación en el importador de datos o cualquier procesador de datos de conformidad con el párrafo 2. En tal caso, el El Exportador de datos puede tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Ley aplicable

Las cláusulas se aplican y se rigen por la ley del Estado miembro en el que tiene su sede el exportador de datos.

Cláusula 10

Modificación del contrato

Las partes se comprometen a no modificar las presentes cláusulas. Las partes quedan libres de incluir otras cláusulas comerciales que consideren necesarias, siempre que no contradigan las presentes cláusulas.

Cláusula 11

Subcontratación posterior

1. El Importador de datos no subcontratará ninguna de sus actividades de procesamiento realizadas en nombre del Exportador de datos en virtud de estas cláusulas sin el consentimiento previo por escrito del Exportador de datos. El Importador de Datos solo subcontratará sus obligaciones bajo estas Cláusulas, con el consentimiento del Exportador de Datos, a través de un acuerdo escrito con el Procesador de Datos que imponga al Procesador de Datos las mismas obligaciones que las impuestas al Importador de Datos bajo estas Cláusulas. Si el procesador de datos no puede cumplir con sus obligaciones de protección de datos en virtud de ese acuerdo escrito, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos del cumplimiento de esas obligaciones.

2. El acuerdo previo por escrito entre el Importador de datos y el Encargado del tratamiento también incluirá una cláusula de tercero beneficiario como se establece en la Cláusula 3 para los casos en que el interesado no pueda presentar la reclamación por daños y perjuicios a que se refiere la Cláusula 6 (1 ), contra el Exportador de Datos o el Importador de Datos porque el Exportador de Datos o el Importador de Datos ha desaparecido físicamente, ha dejado de existir en la ley o se ha vuelto insolvente y todas las obligaciones legales del Exportador de Datos o Importador de Datos no han sido transferidas, por contrato o por operación. de la ley, a otra entidad sucesora. La responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento de acuerdo con estas cláusulas.

3. Las disposiciones relativas a los aspectos de protección de datos de la subcontratación del tratamiento de datos del contrato mencionado en el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

4. El Exportador de Datos mantendrá una lista de los subcontratantes de los acuerdos de procesamiento de datos celebrados bajo estas Cláusulas y notificados por el Importador de Datos de acuerdo con la Cláusula 5 (j), que se actualizará al menos una vez al año. Esta lista se pondrá a disposición de la autoridad supervisora ​​de protección de datos del exportador de datos.

Cláusula 12

Obligación tras la terminación de los servicios de tratamiento de datos personales

1. Las partes acuerdan que una vez finalizados los servicios de procesamiento de datos, el Importador de datos y el Procesador de datos, a conveniencia del Exportador de datos, devolverán todos los datos personales transferidos y copias de los mismos al Exportador de datos, o destruirán todos esos datos y proporcionarán pruebas la destrucción al exportador de datos, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el Importador de Datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no los procesará activamente.

2. El importador de datos y el procesador de datos se asegurarán de que, si así lo solicitan el exportador de datos y / o la autoridad supervisora, someterán sus medios de procesamiento de datos a la verificación de las medidas mencionadas en el párrafo 1.

 

 

 

 

Apéndice 1.1 de la Parte 2

Detalles de la transferencia

 

 

Exportador de datos

El exportador de datos es el cliente definido en el acuerdo contractual.

 

Importador de datos

El Importador de datos es POSTCODEZIP y está asignado para procesar los datos, brindando servicios al Exportador de datos.

 

Sujetos de los datos

Los datos personales transferidos se refieren a las siguientes categorías de interesados:

¿¿a?? suscriptores telefónicos incluidos en el directorio universal

☠' Otros, incluidos:

 

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos:

 

Categorías de datos personales de los interesados ​​del exportador de datos en particular,

¿¿a?? Nombre completo

☠' Dirección postal

¿¿a?? Datos de contacto (correo electrónico, teléfono, dirección IP, etc.)

¿¿a?? Detalles de las actividades de marketing relativas al abonado telefónico

☠' Otros, incluido el tipo de vivienda, los ingresos y las edades medias de la ciudad realizados de forma anónima

 

Categorías especiales de datos (si corresponde)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos:

☠' No se prevé la transferencia de categorías especiales de datos

¿¿a?? Raza u origen étnico

¿¿a?? Creencias religiosas o filosóficas

¿¿a?? Afiliación sindical

¿¿a?? Puntos de vista políticos

¿¿a?? Información genética

¿¿a?? Información biométrica

¿¿a?? Información sobre orientación sexual o vida sexual

¿¿a?? Datos de salud

 

Actividades de procesamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento:

 

  •  
    • â € ¢  Finalidad del tratamiento

El procesamiento realizado en nombre del Exportador de datos se basa en los siguientes temas, en particular:

☠' Hacerse cargo de los productos o servicios ofrecidos por el Exportador de datos

☠' La oferta de un producto o servicio que la persona llamada puede solicitar

☠' Órdenes tomadas de las personas llamadas y procesamiento posterior de estas órdenes

' Estudio de cuestionarios y análisis

☠' Telemarketing

¿¿a?? Otros, incluyendo:

 

  •  
    • â € ¢  Naturaleza y finalidad del tratamiento

El Importador de datos procesa los datos personales de los interesados ​​en nombre del Exportador de datos, con el fin de proporcionar los siguientes servicios, y en particular:

  • ☠' Completar formulario automático
  • ☠' Formulario de validación de direcciones

☠' Ventas y marketing

' Otros, incluida la actualización de bases de datos de ayuntamientos y partidos políticos

 

  •  
    • â € ¢  Prestación de servicios y empleo de prestadores de servicios.

 

POSTCODEZIP principalmente combina, centraliza y brinda servicios al exportador de datos. Los servicios prestados por el proveedor de servicios designado pueden estructurarse (entre otros, según corresponda) en torno a los siguientes servicios auxiliares: (i) provisión de aplicaciones, herramientas, sistemas e infraestructura de TI en relación con los centros de procesamiento de datos utilizados, con el fin de proporcionar y respaldar los servicios, incluido el procesamiento de los datos personales de los interesados ​​como se describe anteriormente, a través de dichas aplicaciones, herramientas y sistemas, (ii) la provisión de soporte de TI, mantenimiento y otros servicios relacionados con dichas aplicaciones, herramientas y sistemas e infraestructura de TI, incluido el acceso potencial a los datos personales almacenados en dichas aplicaciones, herramientas y sistemas, y (iii) la provisión de servicios de protección de datos, monitoreo de protección y servicios de respuesta a incidentes,incluido el acceso potencial a los datos personales al proporcionar dichos servicios de protección. POSTCODEZIP puede contratar a procesadores de datos como se establece a continuación para proporcionar los servicios, incluidos los servicios auxiliares.

 

  •  
    • â € ¢ Proveedores de servicios externos externos como subentidades asignadas al procesamiento de datos

 

POSTCODEZIP contrata a proveedores de servicios externos y de terceros, que no son subsidiarias de POSTCODEZIP, para respaldar la prestación de servicios al exportador de datos. El exportador de datos aprueba a dichos proveedores de servicios externos como subentidades asignadas al procesamiento de datos.

 

Si una subentidad involucrada en el procesamiento de datos se encuentra fuera de la UE / EEE, en un país que se considere que no tiene un nivel adecuado de protección de datos según una decisión de la Comisión Europea, el Importador de datos tomará las medidas necesarias para obtener un nivel adecuado de protección de datos. protección de datos de acuerdo con el RGPD y la sección 3.4 (iv) de la Parte 1.

 

 

Apéndice 2, Parte 2

Medidas de protección técnicas y organizativas

 

El Importador de Datos adoptará las siguientes medidas técnicas y organizativas de protección confirmadas por el Exportador de Datos, con el fin de garantizar un nivel adecuado de seguridad de los derechos y libertades de las personas, en función de los riesgos. Al evaluar el nivel de protección en cuestión, el Exportador de datos ha considerado, en particular, los riesgos involucrados en el procesamiento, incluida la destrucción accidental o ilegal, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados ​​de otra manera. Por aclaración: estas medidas de protección técnicas y organizativas no se aplican a las aplicaciones, herramientas, sistemas y / o infraestructura de TI proporcionada por el exportador de datos.

1 Medidas de protección técnicas y organizativas generales

1.1 Información general y estrategias de protección de datos

Se deben tomar los siguientes pasos para seguir las estrategias generales de protección de datos e información:

  • a) tomar medidas para evaluar las tomadas en materia de protección técnica y organizativa;
  • b) impartir formación para sensibilizar a los empleados;
  • c) tener una descripción de los sistemas en cuestión y otorgar acceso a los empleados;
  • d) establecer un proceso de documentación formal siempre que se implementen o modifiquen sistemas;
  • e) documentar la estructura organizacional, procesos, responsabilidades y evaluaciones respectivas;

1.2 Organización de la protección de la información

Se deben tomar las siguientes medidas para coordinar las actividades de protección de datos e información:

  • a) responsabilidades definidas para la protección de información y datos (por ejemplo, a través de la política de gestión de protección de datos);
  • b) la experiencia necesaria para proteger la información y los datos que permanezcan disponibles;
  • c) todos los empleados se comprometen a garantizar que los datos personales se mantengan confidenciales y han sido informados de las posibles consecuencias de incumplir este compromiso.

1.3 Control de acceso a las áreas de procesamiento

Se deben tomar las siguientes medidas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos (en particular, software y hardware) cuando se procesan, almacenan o transmiten datos personales:

  • a) establecer áreas seguras;
  • b) proteger y restringir el acceso a los sistemas de procesamiento de datos;
  • c) establecer autorizaciones de acceso para empleados y terceros, incluyendo los documentos respectivos;
  • d) Se registrará cualquier acceso a los centros de procesamiento de datos en los que se almacenan datos personales.

1.4 Control de acceso a los sistemas de procesamiento de datos

Se deben tomar las siguientes medidas para evitar el acceso no autorizado a los sistemas de procesamiento de datos:

  • a) políticas y procedimientos de autenticación de usuarios;
  • b) el uso de contraseñas en todos los sistemas informáticos;
  • c) el acceso remoto a la red requiere autenticación multifactor y se otorga al interesado de acuerdo con sus responsabilidades y previa autorización;
  • d) el acceso a funciones específicas se basa en funciones laborales y / o atributos asignados individualmente a la cuenta de un usuario;
  • e) los derechos de acceso relacionados con los datos personales se revisan periódicamente;
  • f) se mantienen actualizados los registros de cambios en los derechos de acceso.

1.5 Controlar el acceso a áreas particulares de uso de los sistemas de procesamiento de datos

Se deben tomar las siguientes medidas para garantizar que las personas autorizadas con derecho a utilizar el sistema de procesamiento de datos solo puedan acceder a los datos dentro de sus respectivas responsabilidades y autorizaciones de acceso y que los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización:

  1. 1. 
    1. a) políticas, instrucciones y formación de los empleados, sobre las obligaciones de cada uno de ellos sobre la confidencialidad, los derechos de acceso a los datos personales y el alcance del tratamiento de los datos personales;
  • b) medidas disciplinarias contra las personas que acceden a datos personales sin autorización;
  • c) el acceso a los datos personales se concederá únicamente a las personas autorizadas, en función de la necesidad de conocerlos;
  • d) mantener una lista de administradores del sistema y tomar las medidas apropiadas para monitorear a los administradores del sistema;
  • e) no copiar ni reproducir datos personales en ningún sistema de almacenamiento para permitir que personas no autorizadas eliminen la información del autor;
  • f) eliminación o destrucción de datos controlada y documentada;
  • g) almacenar de forma segura todos los datos personales que deben conservarse por motivos legales o reglamentarios (por ejemplo, obligaciones de conservar datos), y solo durante el tiempo que exija la ley.

1.6 Control de transmisiones

Se deben tomar las siguientes medidas para evitar que los datos personales sean leídos, copiados, modificados o eliminados por terceros no autorizados durante la transmisión o transporte de dispositivos de almacenamiento de datos (dependiendo del procesamiento de datos personales realizado):

  1. 1. 
    1. a) uso de cortafuegos;
  • b) evitar el almacenamiento de datos personales en dispositivos de almacenamiento móviles con fines de transporte o cifrar los dispositivos;
  • c) usar en computadoras portátiles y otros dispositivos móviles solo después de que se haya activado la protección de cifrado;
  • d) registro de transmisiones de datos personales.

1.7 Control de entrada de datos

Se deben tomar las siguientes medidas para garantizar que sea posible verificar y determinar si los datos personales se han ingresado o eliminado de los sistemas de procesamiento de datos y por quién:

  1. 1. 
    1. a) una política para autorizar la lectura, alteración y eliminación de datos almacenados;
  • b) medidas de protección relativas a la lectura, alteración y supresión de los datos almacenados.

1.8 Control de trabajo

En el caso de procesamiento delegado de datos personales, se deben tomar las siguientes medidas para garantizar que dichos datos se procesen de acuerdo con las instrucciones del Supervisor:

  1. 1. 
    1. a) entidades o subentidades asignadas al procesamiento de datos, elegidas con cuidado (proveedores de servicios que procesan datos personales en nombre del controlador);
  • b) instrucciones sobre el alcance de cualquier procesamiento de datos personales a los empleados, entidades o subentidades asignadas al procesamiento de datos;
  • c) derechos de auditoría acordados con las entidades o subentidades asignadas al tratamiento de datos;
  • d) acuerdos vigentes con las entidades o subentidades asignadas para procesar los datos.

1.9 Separación del procesamiento para otros fines

Se deben tomar las siguientes medidas para garantizar que los datos recopilados para otros fines se puedan procesar por separado:

  1. 1. 
    1. a) acceso separado a los datos personales de acuerdo con los derechos existentes de los usuarios;
  • b) las interfaces, el procesamiento por lotes y los informes tienen otros fines y funciones, de modo que los datos recopilados para otros fines se pueden procesar por separado.

1.10 Seudonimización

Se deben tomar las siguientes medidas con respecto a la seudonimización de los datos personales:

  1. 1. 
    1. a) Si el Exportador de datos ordena una operación de procesamiento específica o si el Importador de datos lo considera apropiado de acuerdo con las leyes de protección de datos vigentes con respecto a ciertas actividades de procesamiento, el procesamiento de datos personales se llevará a cabo de tal manera que el los datos ya no se pueden atribuir a una persona específica sin el uso de información adicional. Esta información adicional se mantendrá por separado;
  • b) uso de técnicas de seudonimización, incluida la asignación al azar de la lista de asignación; creación de valores en forma de objetos punzantes.

1.11 Cifrado

Se deben seguir los siguientes pasos para cifrar datos personales en aplicaciones y transmisiones que admiten cifrado:

  1.  
    1. a) uso de técnicas de encriptación;
  • b) establecimiento de una gestión de cifrado para soportar las técnicas de cifrado autorizadas para su uso;
  • c) apoyar el uso de criptografía a través de procedimientos y protocolos para generar, modificar, revocar, destruir, distribuir, certificar, almacenar, capturar, usar y archivar claves criptográficas para proteger contra modificaciones y divulgaciones no autorizadas.

1.12 Integridad de los sistemas y servicios de procesamiento de datos

Se deben tomar las siguientes medidas para garantizar la integridad de los sistemas y servicios de procesamiento de datos:

  1. 1. a) protección de los sistemas de procesamiento de datos contra la manipulación o destrucción por medios apropiados (por ejemplo, software antivirus, software de prevención de pérdida de datos y software contra malware, parches de software, cortafuegos y protección de escritorio administrada);
  • b) prohibir la instalación de cualquier servicio o software dañino para los sistemas de procesamiento de datos, servicios o la manipulación de datos personales;
  • c) uso de un sistema de detección y prevención de intrusiones en la red en la estructura de la propia red.

1.13 Disponibilidad de sistemas y servicios de procesamiento de datos y posibilidad de restaurar el acceso y uso de los datos personales en caso de incidente material o técnico

Se deben tomar las siguientes medidas para garantizar la disponibilidad de los sistemas de procesamiento de datos, así como para poder restaurar rápidamente la disponibilidad y el acceso a los datos personales, en caso de un incidente material o técnico (en particular, asegurándose de que los datos personales están protegidos contra la destrucción o pérdida accidental):

  • a) disponer de medios de control para conservar copias de seguridad y restaurar los datos perdidos o eliminados;
  • b) pruebas de rendimiento y redundancia de la infraestructura;
  • c) protección física de los recursos informáticos;
  • d) uso de herramientas para monitorear el estado y disponibilidad de la red interna;
  • e) las políticas de respuesta y notificación de incidentes que rigen el procedimiento de gestión de incidentes y la reiteración del cumplimiento de estas políticas como parte de la capacitación periódica;
  • f) copias de seguridad (a veces fuera del sitio) para restaurar el sistema y permitirle realizar sus funciones nuevamente;
  • g) planes de continuidad del negocio / recuperación ante desastres

1.14 Resistencia de los sistemas y servicios de procesamiento de datos

Se deben tomar las siguientes medidas para garantizar la resiliencia de los sistemas y servicios de procesamiento de datos:

  • a) sistemas y configurados armoniosamente, utilizando parámetros de seguridad aprobados;
  • b) redundancia de la red;
  • c) protección de contención de sistemas críticos.

1.15 Procedimiento para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de datos

Procedimiento para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para proteger el procesamiento de datos.

  • a) tomar las medidas necesarias para evaluar los riesgos y las estrategias de mitigación;
  • b) reuniones de análisis de servicios del departamento de TI para abordar temas de actualidad;
  • c) los planes de continuidad del negocio / recuperación ante desastres se actualizan periódicamente.

 

Parte 3

Firmas de las partes y lista de importadores de datos

 

Al cumplimentar el formulario de pedido online y validarlo marcando la casilla de aceptación de las condiciones generales de uso, se establece el contrato que regula la relación entre el Cliente y POSTCODEZIP.

El envío del pago a POSTCODEZIP considerará el contrato pactado y establecido.

Toma nota: este texto ha sido traducido del francés. La versión original en francés, que es válida y legalmente restrictiva, está disponible  aquí .