Acuerdo sobre el tratamiento de datos por cuenta (DPA)

3. Derechos y obligaciones del cliente

(1) El cliente es responsable en el sentido del Art. 4 No. 7 GDPR por el procesamiento de datos en nombre del contratista. De acuerdo con la Cláusula 4, Párrafo 5, el contratista tiene derecho a notificar al cliente si, en su opinión, el procesamiento de datos legalmente inadmisible es objeto de la orden y / o una instrucción.

(2) Como responsable, el cliente es responsable de salvaguardar los derechos de los afectados. El contratista informará inmediatamente al cliente si los afectados hacen valer sus derechos frente al contratista.

(3) El cliente tiene derecho a dar instrucciones adicionales al contratista sobre el tipo, alcance y procedimiento del procesamiento de datos en cualquier momento. Las instrucciones deben estar en forma de texto (por ejemplo, correo electrónico).

(4) Las normas sobre cualquier reembolso de gastos adicionales incurridos por el contratista como resultado de instrucciones adicionales del cliente no se verán afectadas.

(5) El cliente puede nombrar personas autorizadas para dar instrucciones. En caso de designarse personas autorizadas para impartir instrucciones, éstas deberán comunicarse por escrito al contratista. En caso de que cambien las personas autorizadas para impartir instrucciones por parte del cliente, éste lo comunicará por escrito al contratista.

(6) El cliente informará al contratista inmediatamente si descubre errores o irregularidades en relación con el procesamiento de datos personales por parte del contratista.

(7) En caso de que exista una obligación de proporcionar información a terceros de conformidad con el Art. 33, 34 RGPD o cualquier otra obligación legal de informar aplicable al cliente, el cliente es responsable de su cumplimiento.

4. Obligaciones generales del contratista

(1) El contratista procesa los datos personales exclusivamente en el marco de los acuerdos realizados y/o en cumplimiento de cualquier instrucción adicional dada por el cliente. Esto no se aplica a las disposiciones legales que pueden obligar al contratista a procesar los datos de cualquier otra manera. En tal caso, el contratista notificará al cliente estos requisitos legales antes del procesamiento, a menos que la ley pertinente prohíba dicha comunicación debido a un interés público importante. El propósito, el tipo y el alcance del procesamiento de datos se basan exclusivamente en este contrato y/o en las instrucciones del cliente. Cualquier procesamiento de datos que se desvíe de esto está prohibido por el contratista a menos que el cliente haya dado su consentimiento por escrito.
(2) El contratista se compromete a llevar a cabo el procesamiento de datos en nombre únicamente de los estados miembros de la Unión Europea (UE) o del Espacio Económico Europeo (EEE).
(3) En el área del procesamiento de datos personales de acuerdo con el pedido, el contratista garantiza que todas las medidas acordadas se llevarán a cabo de acuerdo con el contrato.
(4) El contratista está obligado a diseñar su empresa y sus procesos operativos de tal manera que los datos que procesa en nombre del cliente estén protegidos en la medida necesaria y protegidos contra el acceso no autorizado por parte de terceros. El contratista coordinará de antemano con el cliente los cambios en la organización del procesamiento de datos en el orden que sean significativos para la seguridad de los datos.
(5) El contratista informará al cliente inmediatamente si una instrucción dada por el cliente viola las normas legales en su opinión. El contratista tiene derecho a suspender la ejecución de la instrucción pertinente hasta que el cliente la confirme o modifique. Si el contratista puede demostrar que el procesamiento de acuerdo con las instrucciones del cliente puede generar responsabilidad por parte del contratista de acuerdo con el Art. 82 GDPR, el contratista es libre de suspender el procesamiento adicional hasta que se aclare la responsabilidad entre las partes.

(6) El procesamiento de datos en nombre del cliente fuera de las instalaciones del contratista o subcontratista solo está permitido con el consentimiento del cliente por escrito o en forma de texto. El procesamiento de datos para el cliente en apartamentos privados solo está permitido con el consentimiento del cliente por escrito o en forma de texto en casos individuales.
(7) El contratista procesará los datos que procesa en nombre del cliente por separado de otros datos. Una separación física no es absolutamente necesaria.
(8) El contratista puede nombrar a la(s) persona(s) autorizada(s) para recibir instrucciones del cliente. En caso de que se deban nombrar personas autorizadas para recibir instrucciones, el cliente informará de ello al contratista en forma de texto. En caso de que cambien las personas autorizadas para recibir instrucciones en el contratista, el contratista también notificará al cliente de estos cambios por escrito.
(9) En la medida en que lo exija la ley, el contratista designará a una persona competente y fiable como delegado de protección de datos. Se debe asegurar que no existan conflictos de interés para el agente. En caso de duda, el cliente puede contactar directamente con el delegado de protección de datos. El contratista proporcionará inmediatamente al cliente los datos de contacto del delegado de protección de datos o justificará por qué no se ha designado ningún delegado. El contratista notificará inmediatamente al cliente cualquier cambio en la persona o en las tareas internas del agente.

5. Obligaciones de información del contratista

(1) El contratista está obligado a notificar inmediatamente al cliente cualquier incumplimiento de las normas de protección de datos o de los acuerdos contractuales realizados y / o las instrucciones emitidas por el cliente en el curso del procesamiento de datos por él o por otras personas involucradas en el procesamiento comunicar. Lo mismo se aplica a cualquier violación de la protección de datos personales que el contratista procese en nombre del cliente. (2) Además, el contratista informará al cliente de inmediato si una autoridad de control toma medidas contra el contratista de conformidad con el Art. 58 RGPD y esto también puede afectar el control del procesamiento realizado por el contratista en nombre del cliente. (3) El contratista es consciente de que el cliente puede estar obligado a informar en virtud del Art. 33, 34 GDPR, que prevé un informe a la autoridad de control dentro de las 72 horas posteriores a su conocimiento. El contratista apoyará al cliente en la implementación de las obligaciones de información. En particular, el contratista notificará al cliente de cualquier acceso no autorizado a los datos personales que se procesan en nombre del cliente de inmediato, pero a más tardar dentro de las 48 horas posteriores a la toma de conocimiento del acceso. El informe del contratista al cliente deberá contener, en particular, la siguiente información: una descripción de la naturaleza de la violación de datos personales, indicando, en la medida de lo posible, las categorías y el número aproximado de personas afectadas, las categorías afectadas y el número aproximado de registros de datos personales afectados; una descripción de las medidas tomadas o propuestas por el contratista para remediar la violación de datos personales y, si es necesario, medidas para mitigar sus posibles efectos adversos.

6. Obligaciones de cooperar del contratista

(1) El contratista respalda al cliente en su deber de responder a las solicitudes para el ejercicio de los derechos de los interesados de acuerdo con el Art. 12-23 del RGPD. Se aplica lo dispuesto en la Cláusula 11 de este contrato.
(2) El contratista participa en la creación de las listas de actividades de procesamiento por parte del cliente. Deberá facilitar al cliente la información requerida en cada caso de forma adecuada.
(3) El contratista apoya al cliente teniendo en cuenta el tipo de procesamiento y la información disponible para él en cumplimiento de las obligaciones especificadas en el Art. 32-36 GDPR.

7. Poderes de control

(1) El cliente tiene derecho a controlar el cumplimiento de las disposiciones legales sobre protección de datos y/o el cumplimiento de las disposiciones contractuales entre las partes y/o el cumplimiento de las instrucciones del cliente por parte del contratista en cualquier momento en la medida requerida .
(2) El contratista está obligado a proporcionar al cliente información, en la medida en que sea necesaria para llevar a cabo el control en el sentido del párrafo 1.
(3) El cliente puede solicitar una inspección de los datos procesados por el contratista para el cliente, así como los sistemas y programas de procesamiento de datos utilizados.
(4) Después de una notificación previa y dentro de un período de tiempo razonable, el cliente puede realizar la inspección en el sentido del párrafo 1 en las instalaciones comerciales del contratista durante el horario comercial normal. El cliente se asegurará de que los controles se lleven a cabo solo en la medida necesaria para no interrumpir de manera desproporcionada los procesos operativos del contratista a través de los controles.
(5) En caso de medidas tomadas por la autoridad de control hacia el cliente en el sentido del Art. 58 GDPR, en particular con respecto a las obligaciones de información y control, el contratista está obligado a proporcionar al cliente la información necesaria y llevar realizar una inspección in situ a la autoridad de control pertinente para permitir. El contratista deberá informar al cliente de las medidas previstas.

8. Subcontratación

(1) La puesta en marcha de subcontratistas por parte del contratista solo está permitida con el consentimiento del cliente por escrito. El contratista indicará todas las relaciones de subcontratación que ya existían en el momento de la celebración del contrato en el Anexo 1 de este contrato.
(2) El contratista debe seleccionar cuidadosamente al subcontratista y, antes de la puesta en servicio, verificar que pueda cumplir con los acuerdos realizados entre el cliente y el contratista. En particular, el contratista debe comprobar con antelación y periódicamente durante la vigencia del contrato que el subcontratista ha tomado las medidas técnicas y organizativas requeridas según el Art. 32 RGPD para proteger los datos personales. El resultado de la inspección debe ser documentado por el contratista y transmitido al cliente a pedido.
(3) El contratista está obligado a que el subcontratista confirme que ha designado a un delegado de protección de datos de la empresa de conformidad con el Art. 37 del RGPD. En caso de que el subcontratista no haya designado un delegado de protección de datos, el contratista deberá informar de ello al cliente y proporcionar información al respecto, que demuestre que el subcontratista no está legalmente obligado a nombrar un delegado de protección de datos.
(4) El contratista debe asegurarse de que las disposiciones acordadas en este contrato y cualquier instrucción adicional del cliente también se apliquen al subcontratista.
(5) El contratista debe celebrar un contrato de procesamiento de pedidos con el subcontratista que cumpla con los requisitos del Art. 28 GDPR. Además, el contratista deberá imponer al subcontratista las mismas obligaciones de protección de datos personales que se definan entre el cliente y el contratista. Se debe enviar una copia del contrato de procesamiento de datos del pedido al cliente que lo solicite.

(6) En particular, el contratista está obligado a garantizar mediante acuerdos contractuales que los poderes de control (Cláusula 8 de este contrato) del cliente y de las autoridades de control también se apliquen al subcontratista y que los derechos de control correspondientes se acuerden entre el cliente y las autoridades de control. También debe regularse contractualmente que el subcontratista debe tolerar estas medidas de control y cualquier control in situ.
(7) Los servicios que el contratista utiliza de terceros como puros servicios auxiliares para llevar a cabo la actividad comercial no se considerarán relaciones de subcontratación en el sentido de los párrafos 1 a 6. Estos incluyen, por ejemplo, servicios de limpieza, servicios puros de telecomunicaciones sin ninguna referencia específica a los servicios que el contratista brinda al cliente, servicios postales y de mensajería, servicios de transporte, servicios de seguridad. No obstante, el contratista está obligado a asegurarse de que se han tomado las precauciones y las medidas técnicas y organizativas apropiadas para garantizar la protección de los datos personales, incluso en el caso de servicios auxiliares prestados por terceros. El mantenimiento y cuidado de sistemas o aplicaciones de TI representa una relación de subcontratación que requiere aprobación y procesamiento de pedidos en el sentido del Art. 28 RGPD si el mantenimiento y las pruebas se refieren a sistemas de TI que también se utilizan en relación con la prestación de servicios para el cliente y para mantenimiento puede acceder a los datos personales que se procesan en nombre del cliente.

9. Obligación de confidencialidad

(1) Al procesar datos para el cliente, el contratista está obligado a mantener la confidencialidad de los datos que reciba o de los que tenga conocimiento en relación con el pedido. El contratista se compromete a observar las mismas reglas de protección del secreto que incumben al cliente. El cliente está obligado a informar al contratista de cualquier regla especial para proteger el secreto.
(2) El contratista garantiza que está familiarizado con las normas de protección de datos aplicables y que está familiarizado con su aplicación. El contratista también garantiza que ha familiarizado a sus empleados con las disposiciones de protección de datos que son relevantes para ellos y que los ha comprometido a la confidencialidad. El contratista asegura además que ha comprometido en particular a los empleados involucrados en la ejecución del trabajo a la confidencialidad y les ha informado de las instrucciones del cliente.
(3) La obligación de los empleados de acuerdo con el párrafo 2 debe probarse ante el cliente previa solicitud.

10. Preservación de los derechos de los interesados

(1) El cliente es el único responsable de salvaguardar los derechos de los afectados. El contratista está obligado a apoyar al cliente en su deber de procesar las solicitudes de los interesados de acuerdo con el Art. 12-23 GDPR. En particular, el contratista debe asegurarse de que la información requerida a este respecto se proporcione inmediatamente al cliente para que pueda cumplir con sus obligaciones en virtud del Art. 12, párrafo 3 del RGPD.
(2) En la medida en que se requiera la cooperación del contratista para salvaguardar los derechos de los interesados, en particular a la información, corrección, bloqueo o eliminación, por parte del cliente, el contratista tomará las medidas necesarias de acuerdo con las instrucciones del cliente. Si es posible, el contratista apoyará al cliente con las medidas técnicas y organizativas adecuadas para cumplir con su obligación de responder a las solicitudes para el ejercicio de los derechos de los interesados.
(3) Las regulaciones sobre cualquier remuneración por gastos adicionales incurridos por el contratista a través de servicios de cooperación en relación con la afirmación de los derechos de los interesados frente al cliente no se verán afectadas.

11. Geheimhaltungspflichten

(1) Ambas partes se comprometen a tratar toda la información que reciban en relación con la ejecución de este contrato como confidencial por un período de tiempo ilimitado y a utilizarla únicamente para la ejecución del contrato. Ninguna de las partes tiene derecho a utilizar esta información en su totalidad o en parte para fines distintos a los que se acaban de mencionar, ni a poner esta información a disposición de terceros.
(2) La obligación anterior no se aplica a la información que una de las partes haya recibido de manera demostrable de terceros sin estar obligada a mantener la confidencialidad o que sea de dominio público.

12. Compensación

(1) No se requiere una tarifa por separado para este acuerdo.
Si el cliente necesita apoyo para responder consultas de los afectados, debe reembolsar los costos resultantes.
En la medida en que el cliente ejerza los derechos de control de acuerdo con la Sección 8, el monto de la tarifa a acordar por adelantado se basa en una tarifa por hora que se determinará para el empleado asignado al servicio por el contratista.
Si el cliente da instrucciones al contratista, debe reembolsar los costos incurridos como resultado de estas instrucciones

13. Medidas técnicas y organizativas para la seguridad de los datos

(1) El contratista se compromete a cumplir con las medidas técnicas y organizativas necesarias para cumplir con las normas de protección de datos aplicables. Esto incluye en particular los requisitos del Art. 32 GDPR.
(2) El estado de las medidas técnicas y organizativas existentes en el momento de la celebración del contrato se adjunta a este contrato como Anexo TOM. Las partes acuerdan que pueden ser necesarios cambios en las medidas técnicas y organizativas para adaptarse a las circunstancias técnicas y legales. El contratista coordinará previamente con el cliente cualquier cambio significativo que pudiera afectar la integridad, confidencialidad o disponibilidad de los datos personales. El contratista puede implementar medidas que solo impliquen cambios técnicos u organizativos menores y que no afecten negativamente la integridad, confidencialidad y disponibilidad de los datos personales sin consultar al cliente. El cliente puede solicitar una versión actualizada de las medidas técnicas y organizativas tomadas por el contratista en cualquier momento.
(3) El contratista comprobará la eficacia de las medidas técnicas y organizativas adoptadas por él con regularidad y también de forma ad hoc. En caso de que exista necesidad de optimización y/o cambios, el contratista informará al cliente.

14. Duración de la asignación

(1) Este acuerdo depende de la existencia de la relación contractual principal de acuerdo con los términos de uso. La terminación u otra terminación de la relación contractual principal finaliza este acuerdo al mismo tiempo.
El derecho a la rescisión aislada y extraordinaria de este acuerdo, así como el ejercicio de los derechos legales de desistimiento específicamente para el acuerdo, no se ven afectados.

15. Terminación

(1) Después de la terminación del contrato, el contratista debe devolver o eliminar todos los documentos, datos y resultados de procesamiento o uso que lleguen a su poder y que estén relacionados con la relación contractual, a discreción del cliente. Cualquier obligación legal de retención u otras obligaciones para almacenar los datos no se verán afectadas.
(2) La documentación que sirva como prueba de un procesamiento de datos correcto y ordenado debe ser conservada por el contratista más allá de la finalización del contrato de acuerdo con los períodos de retención respectivos. Puede entregárselos al cliente al final del contrato para su desahogo.

16. Derecho de retención

Las partes acuerdan que se excluye la objeción del derecho de retención por parte del contratista en el sentido del artículo 273 BGB con respecto a los datos procesados y los soportes de datos asociados.

17. Provisiones finales

(1) Si la propiedad del cliente en las instalaciones del contratista está en peligro por medidas de terceros (como incautación o confiscación), procedimientos de quiebra u otros eventos, el contratista debe informar al cliente de inmediato. El contratista informará inmediatamente a los acreedores del hecho de que los datos están siendo procesados en el pedido.
(2) Se requiere la forma escrita para acuerdos paralelos.
(3) En caso de que partes individuales de este contrato sean ineficaces, esto no afectará la efectividad de las disposiciones restantes del contrato.
(4) El idioma original de este acuerdo es el alemán. Si las disposiciones individuales de esta traducción contradicen la versión original en alemán y/o son ambiguas, se aplicará automáticamente la redacción original de la versión original en alemán.