Apéndice de procesamiento de datos

Este Anexo forma parte integrante del Contrato y es suscrito por:

(i) El Cliente (" Exportador de datos ")
(ii) POSTCODEZIP (" Importador de datos ")

Siendo cada uno un " Partido " y comúnmente " Partidos ".

Preámbulo

DONDE el Importador de Datos proporciona servicios profesionales de software, computación y servicios relacionados;

DONDE de conformidad con el Contrato, el Importador de datos ha acordado proporcionar al Exportador de datos los servicios especificados en el Contrato (los " Servicios ");

CUANDO, al proporcionar los Servicios, el Importador de datos recibe o se beneficia del acceso a la información del Exportador de datos o la información de otras personas que tienen una relación (potencial) con el Exportador de datos, dicha información puede calificarse como datos personales en el sentido del Reglamento. (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas en lo que respecta al procesamiento de datos personales y sobre la libre circulación de dichos datos (" RGPD ") y otras leyes de protección de datos aplicables.

DONDE este Apéndice contiene los términos y condiciones aplicables a la recopilación, el procesamiento y el uso de dichos datos personales por parte del Importador de datos en su calidad de agente de procesamiento de datos autorizado del Exportador de datos, para garantizar que las Partes cumplan con la ley de protección de datos aplicable .

POR LO TANTO, y para permitir que las Partes continúen su relación legalmente, las Partes han concluido este Apéndice de la siguiente manera:

Parte 1

1. Estructura del documento y definiciones

1.1 Estructura

Este Apéndice comprende diferentes partes de la siguiente manera:

Parte 1:	contiene disposiciones generales, por ejemplo, en relación con las definiciones utilizadas en este Apéndice, el cumplimiento de las leyes locales, el tiempo y la terminación
Parte 2:	contiene el cuerpo del documento Cláusulas contractuales tipo sin modificar
Apéndice 1.1 de la Parte 2:	contiene los detalles de las operaciones de procesamiento proporcionados por el Importador de datos al Exportador de datos como el agente de procesamiento de datos autorizado (incluido el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías de interesados) bajo este Apéndice
Apéndice 2 de la Parte 2:	contiene una descripción de las medidas de seguridad técnicas y organizativas del importador de datos, que se aplican en relación con todas las actividades de procesamiento descritas en el Apéndice 1.1 de la Parte 2
Parte 3:	contiene las firmas de las Partes vinculadas por este Apéndice e identifica a cada Importador de datos

1.2 Terminología y definiciones

A los efectos de este Apéndice, se aplican la terminología y las definiciones utilizadas por el RGPD (en el cuerpo del documento de la Cláusula contractual tipo en la Parte 2, donde los términos definidos no se escriben con mayúscula).

"Estado miembro"	significa un país perteneciente a la Unión Europea o al Espacio Económico Europeo
"Categorías especiales de datos (personales)"	se refiere a datos personales que revelan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, y datos genéticos, datos biométricos, si se procesan con el fin de identificar de manera única a una persona, datos relativos a la salud, datos relativos al sexo de una persona vida u orientación sexual
"Cláusulas contractuales tipo"	significa las Cláusulas contractuales estándar para la transferencia de datos personales de agentes de procesamiento establecidos en terceros países, en virtud de la Decisión de la Comisión 2010/87/UE del 5 de febrero de 2010, que fue modificada por la Decisión de Ejecución de la Comisión (UE) 2016/2297 del 16 de diciembre 2016
"Procesador de datos"	significa cualquier agente de procesamiento, ubicado dentro o fuera de la UE/EEE, que acepta recibir del Importador de datos o cualquier otro procesador del Importador de datos, datos personales con el propósito exclusivo de procesar las actividades que llevará a cabo el Exportador de datos después de la transferir de acuerdo con las instrucciones del Exportador de datos, los términos de este Apéndice y el Contrato con el Importador de datos

2. Obligaciones del Exportador de Datos

2.1 El Exportador de datos tiene la obligación de garantizar el cumplimiento de todas las obligaciones aplicables en virtud del RGPD y cualquier otra ley de protección de datos aplicable que se aplique al Exportador de datos y de demostrar dicho cumplimiento según lo exige el Artículo 5 (2) del RGPD. El Exportador de datos garantiza que el Importador de datos ha obtenido el consentimiento previo de los interesados de conformidad con el artículo 6 (a) del RGPD y ha cumplido con su obligación de informar a los interesados de conformidad con los artículos 13 y 14 del RGPD.

2.2 El Exportador de datos debe proporcionar al Importador de datos los archivos respectivos de las actividades de procesamiento de acuerdo con el Artículo 30 (1) del RGPD relacionado con los Servicios bajo este Apéndice, en la medida necesaria para que el Importador de datos cumpla con la obligación bajo Artículo 30 (2) del RGPD.

2.3 El Exportador de datos debe designar un oficial de protección de datos o un representante en la medida requerida por la ley de protección de datos aplicable. El Exportador de datos está obligado a proporcionar los datos de contacto del agente o representante de protección de datos, si lo hubiera, al Importador de datos.

2.4. El Exportador de datos confirma antes de completar el procesamiento, mediante la aceptación de este Apéndice, que las medidas de seguridad técnicas y organizativas del Importador de datos, tal como se establece en el Apéndice 2 de la Parte 2, son apropiadas y suficientes para proteger los derechos del interesado. y confirma que el Importador de datos proporciona garantías suficientes a este respecto.

3. Cumplimiento de la legislación local

Para cumplir con los requisitos de implementación de los agentes de procesamiento según el artículo 28 del RGPD, se aplican las siguientes modificaciones:

3.1 Instrucciones

(i) El Exportador de datos le indica al Importador de datos que procese los datos personales solo en nombre del Exportador de datos. Las instrucciones del Exportador de datos se proporcionan en este Apéndice y en el Contrato. El exportador de datos tiene la obligación de asegurarse de que todas las instrucciones dadas al importador de datos cumplan con las leyes de protección de datos aplicables. El Importador de datos debe procesar los datos personales solo de acuerdo con las instrucciones proporcionadas por el Exportador de datos, a menos que la Unión Europea o la ley del Estado miembro exija lo contrario (en este último caso, se aplica la Parte 1, Cláusula 3.2 (iv) (c)) .
(ii) Todas las demás instrucciones que vayan más allá de las instrucciones de este Apéndice o del Contrato deberán incluirse en el objeto de este Apéndice y del Contrato. Si la implementación de esta instrucción adicional implica costos para el Importador de datos, el Importador de datos deberá informar al Exportador de datos sobre dichos costos y brindar una explicación antes de implementar la instrucción. Solo después de que el Exportador de datos haya confirmado la aceptación de estos costos para implementar la instrucción, el Importador de datos implementará esta instrucción adicional. El Exportador de datos debe dar instrucciones adicionales por escrito a menos que la urgencia u otras circunstancias específicas requieran otra forma (por ejemplo, oral, electrónica). Las instrucciones en una forma que no sea por escrito deben ser confirmadas por escrito y sin demora por el exportador de datos.
1. A menos que el Exportador de datos no pueda llevar a cabo la rectificación, el borrado o la restricción de datos personales por sí mismo, las instrucciones también pueden referirse a la rectificación, el borrado y/o la restricción de datos personales como se establece en la Parte 1, Cláusula 3.3.
2. El Importador de datos debe informar inmediatamente al Exportador de datos si, en su opinión, una Instrucción infringe el RGPD u otras disposiciones de protección de datos aplicables de la Unión Europea o de un Estado miembro (" Instrucción en disputa"). Si el Importador de datos cree que una Instrucción infringe el RGPD u otras disposiciones de protección de datos aplicables de la Unión Europea o de un Estado miembro, el Importador de datos no está obligado a seguir la Instrucción impugnada. Si el Exportador de datos confirma la Instrucción impugnada al recepción de información del Importador de datos y reconoce su responsabilidad por la Instrucción impugnada, el Importador de datos implementará la Instrucción impugnada, a menos que la Instrucción impugnada se relacione con (i) la implementación de medidas técnicas y organizativas, (ii) los derechos de los Datos Sujetos o (iii) la contratación de Encargados del tratamiento En los casos (i) a (iii), el Importador de datos podrá dirigirse a una autoridad de control competente para que la Instrucción impugnada sea evaluada legalmente por dicha autoridad.Si la autoridad de control declara que la Instrucción impugnada es legal, el Importador de datos deberá implementar la Instrucción impugnada. La Cláusula 3.1 (ii) de la Parte 1 seguirá siendo aplicable.

3.2 Obligaciones del Importador de Datos

(i) El importador de datos debe asegurarse de que las personas autorizadas por el importador de datos para procesar datos personales en nombre del exportador de datos, en particular los empleados del importador de datos y los empleados de cualquier subcontratista, se han comprometido a observar la confidencialidad o están sujetos a un deber legal apropiado de confidencialidad, y que las personas que tienen acceso a los datos personales los procesen de acuerdo con las instrucciones del exportador de datos.
(ii) El Importador de datos debe implementar las medidas de seguridad técnicas y organizativas establecidas en el Apéndice 2 de la Parte 2 antes de procesar los datos personales en nombre del Exportador de datos. El Importador de datos puede cambiar las medidas de seguridad técnicas y organizativas de vez en cuando si no brindan menos protección que las establecidas en el Apéndice 2 de la Parte 2.
(iii) El Importador de datos pondrá a disposición del Exportador de datos, previa solicitud del Exportador de datos, información para demostrar el cumplimiento de las obligaciones del Importador de datos en virtud de este Apéndice. Las Partes acuerdan que esta obligación de información se cumple proporcionando al Exportador de datos un informe de auditoría (que cubre la seguridad de los principios, la disponibilidad del sistema y la confidencialidad) ("Informe de auditoría"). Si se requieren actividades de auditoría adicionales por ley, el Exportador de datos puede solicitar que las inspecciones sean realizadas por el Exportador de datos u otro auditor designado por el Exportador de datos, sujeto a la ejecución por parte de dicho auditor de un acuerdo de confidencialidad con el Importador de datos a nombre del Importador de datos. satisfacción razonable ("Auditoría"). Esta Auditoría está sujeta a las siguientes condiciones:(i) la previa aceptación formal por escrito del Importador de Datos; y (ii) el Exportador de datos asumirá todos los costos relacionados con la Auditoría in situ para el Exportador de datos y el Importador de datos. El exportador de datos debe crear un informe de auditoría que resuma los resultados y las observaciones de la auditoría in situ ("Informe de auditoría in situ"). Los Informes de auditoría in situ y los Informes de auditoría son información confidencial del Importador de datos y no deben divulgarse a terceros a menos que lo exija la ley de protección de datos aplicable o de conformidad con el consentimiento del Importador de datos.Los Informes de auditoría in situ y los Informes de auditoría son información confidencial del Importador de datos y no deben divulgarse a terceros a menos que lo exija la ley de protección de datos aplicable o de conformidad con el consentimiento del Importador de datos.Los Informes de auditoría in situ y los Informes de auditoría son información confidencial del Importador de datos y no deben divulgarse a terceros a menos que lo exija la ley de protección de datos aplicable o de conformidad con el consentimiento del Importador de datos.
(iv) El Importador de datos tiene la obligación de notificar al Exportador de datos sin demora indebida:
1. una. con respecto a cualquier solicitud legalmente vinculante para la divulgación de datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que esté prohibido, como una prohibición en virtud de la ley penal para proteger la confidencialidad de una investigación policial
2. B. con respecto a cualquier queja y solicitud recibida directamente de un interesado (por ejemplo, con respecto al acceso, rectificación, eliminación, restricción de procesamiento, portabilidad de datos, objeción al procesamiento de datos, toma de decisiones automatizada) sin responder a esa solicitud, a menos que el Importador de datos haya sido autorizado para hazlo
3. C. si el Importador de datos o el Encargado de datos está obligado, en virtud de la legislación de la Unión Europea o del Estado miembro al que está sujeto el Importador de datos o Encargado de datos, a tratar los datos personales más allá de las instrucciones del Exportador de datos, antes de llevar a cabo dicho tratamiento más allá de las instrucciones, a menos que las leyes de la Unión Europea o del Estado miembro prohíban dicho procesamiento por motivos de interés público vital, en cuyo caso la notificación al Exportador de datos deberá especificar el requisito legal bajo esa ley de la Unión Europea o del Estado miembro; o
4. D. si el Importador de datos realiza una infracción de datos personales, por su propia cuenta o la de su subcontratista, que afectaría los datos personales del Exportador de datos cubiertos por el presente contrato, en cuyo caso el Importador de datos asistirá al Exportador de datos en su obligación, de conformidad con la ley de protección de datos aplicable, para informar a los interesados y, en su caso, a las autoridades de control, proporcionando la información a su disposición, de conformidad con el artículo 33 (3) del RGPD.
5. (v) A solicitud del Exportador de datos, el Importador de datos estará obligado a asistir al Exportador de datos en su obligación de realizar una evaluación de impacto de protección de datos que puede ser requerida por el artículo 35 del RGPD y una consulta previa que puede ser requerido por el Artículo 36 del RGPD con respecto a los servicios proporcionados por el Importador de Datos al Exportador de Datos bajo este Apéndice, proporcionando la información necesaria al Exportador de Datos. El Importador de datos solo estará obligado a proporcionar dicha asistencia si el Exportador de datos no puede cumplir con su obligación por otros medios. El importador de datos informará al exportador de datos sobre el costo de dicha asistencia. Tan pronto como el Exportador de datos haya confirmado que puede asumir este costo, el Importador de datos proporcionará esta ayuda al Exportador de datos.
6. (vi) Al final de la prestación de los servicios, el Exportador de datos puede solicitar la devolución de los datos personales procesados por el Importador de datos en virtud de este Apéndice dentro de un mes después de los servicios. A menos que la legislación del Estado miembro o de la Unión Europea requiera que el Importador de datos almacene o conserve dichos datos personales, el Importador de datos eliminará todos los datos personales o no personales después del período de un mes, ya sea que hayan sido devueltos a el Exportador de datos a su solicitud o no.

3.3 Derechos de las personas interesadas

1. (i) El Exportador de datos gestiona y responde a las solicitudes realizadas por los interesados. El importador de datos no está obligado a responder directamente a los interesados.
2. (ii) Si el Exportador de datos requiere la asistencia del Importador de datos para procesar y responder a las solicitudes del Sujeto de datos, el Exportador de datos deberá emitir una instrucción adicional de acuerdo con la Cláusula 3.1 (ii) de la Parte 1. El Importador de datos ayudará al Exportador de datos con las siguientes medidas organizativas técnicas y adecuadas para responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el Capítulo III del RGPD de la siguiente manera:
3. una. En cuanto a las solicitudes de información, el Importador de Datos sólo proporcionará al Exportador de Datos la información requerida por el artículo 13 y 14 del PGRD que pueda tener a su disposición en caso de que el Exportador de Datos no pueda encontrarla por sí mismo.
4. B. En cuanto a las solicitudes de acceso (artículo 15 del RGPD), el Importador de datos solo proporcionará al Exportador de datos la información que se supone debe proporcionar a un interesado para dicha solicitud de acceso, que puede tener a su disposición si el este último no puede encontrarlo solo.
5. C. En cuanto a las solicitudes de rectificación (artículo 16 del RGPD), solicitudes de supresión (artículo 17 del RGPD), restricción de solicitudes de procesamiento (artículo 18 del RGPD), o solicitudes de portabilidad (artículo 20 del RGPD), y solo si el Exportador de datos no puede rectificar o borrar, limitar o transmitir los datos personales a otro tercero, el Importador de datos ofrecerá al Exportador de datos la posibilidad de rectificar o borrar, limitar o transmitir los datos personales en cuestión a otro tercero, o de no ser posible, prestará la asistencia para rectificar o suprimir, limitar o transmitir al otro tercero los datos personales de que se trate.
6. D. Con respecto a la notificación relacionada con la rectificación, el borrado o la restricción del procesamiento (artículo 19 del RGPD), el Importador de datos ayudará al Exportador de datos notificando a todos los destinatarios de los datos personales contratados por el Importador de datos como procesadores si el Exportador de datos así lo solicita y si el exportador de datos no puede remediar la situación por sí solo.
7. mi. Respecto al derecho de oposición ejercido por un interesado (Artículo 21 y 22 del RGPD) el Exportador de Datos determinará si la oposición es legítima y cómo tratarla.
8. (iii) Las obligaciones de asistencia del Importador de datos se limitan a los datos personales procesados dentro de su infraestructura (p. ej., bases de datos, sistemas, aplicaciones propiedad del Importador de datos o proporcionados por este).
9. (iv) El Exportador de datos determinará si un Sujeto de datos puede ejercer los derechos de Sujetos de datos establecidos en la Cláusula 3.1 de esta Parte 1 y deberá informar al Importador de datos sobre el alcance de la asistencia especificada en las Cláusulas 3.3 (ii), ( iii) de la Parte 1 es necesario.
10. (v) Si el Exportador de datos solicita medidas técnicas y organizativas adicionales o modificadas para cumplir con los derechos de los interesados que van más allá de la asistencia proporcionada por el Importador de datos en virtud de la Subcláusula 3.3 (ii), (iii) de la Parte 1, los Datos El Importador informará al Exportador de datos de los costos de implementar dichas medidas técnicas y organizativas adicionales o modificadas. Tan pronto como el Exportador de datos haya confirmado que puede cubrir estos costos, el Importador de datos implementará dichas medidas técnicas y organizativas adicionales o modificadas para ayudar al Exportador de datos a responder a las solicitudes de los Sujetos de datos.
11. (vi) Sin limitar el alcance de la Cláusula 3.3 (v) de la Parte 1, el Exportador de datos estará obligado a reembolsar al Importador de datos los gastos razonables incurridos para responder a las solicitudes de los Sujetos de datos.

3.4 Subprocesamiento

1. (i) El Exportador de datos autoriza el uso de subcontratistas por parte del Importador de datos para la prestación de servicios en virtud de este Apéndice. El importador de datos seleccionará cuidadosamente dichos procesadores de datos. El exportador de datos aprueba los procesadores de datos enumerados en el Apéndice 1.1 al final de la Parte 2.
2. (ii) El Importador de datos transferirá sus obligaciones en virtud de este Apéndice al (los) procesador (es) de datos en la medida aplicable a los servicios subcontratados.
3. (iii) El Importador de datos puede despedir, reemplazar o designar otro(s) procesador(es) de datos apropiado(s) y confiable(s) a su discreción. Si así lo solicita por escrito el Exportador de datos, el Importador de datos debe seguir el procedimiento que se establece a continuación:

1. una. El Importador de datos informará al Exportador de datos antes de cualquier cambio en la lista de Procesadores de datos a los que se hace referencia en la Cláusula 3.4 (i) de la Parte 1. Si el Exportador de datos no se opone en virtud de la Cláusula 3.4. (b) de la Parte 1 treinta días después de recibir la notificación del Importador de datos, los procesadores de datos adicionales se considerarán aceptados.
2. B. Si el exportador de datos tiene una razón legítima para oponerse a un procesador de datos adicional, lo notificará previamente por escrito al importador de datos dentro de los treinta días posteriores a la recepción de la notificación del importador de datos y antes de que el servicio del importador de datos se ponga en funcionamiento. Si el exportador de datos se opone al uso de un procesador de datos adicional, el importador de datos puede eliminar la objeción mediante una de las siguientes opciones (elegidas a su discreción): (A) el importador de datos cancelará sus planes de usar un procesador adicional con respecto a los datos personales del exportador de datos; (B) el Importador de datos tomará las medidas correctivas solicitadas por el Exportador de datos en su objeción (cancelar la objeción) y utilizará el procesador adicional con respecto a los datos personales del Exportador de datos;(C) el Importador de datos puede dejar de proporcionar o el Exportador de datos puede acordar no usar (temporal o permanentemente) un aspecto particular del servicio que implicaría el uso del procesador adicional del Exportador de datos de los datos personales del Exportador de datos.
1. (iv) si el procesador de datos tiene su sede fuera de la UE-EEE en un país que no ofrece un nivel adecuado de protección de datos después de una decisión de la Comisión Europea, el importador de datos tomará las medidas para cumplir con un nivel adecuado de protección de datos de conformidad con el RGPD (tales medidas pueden incluir, entre otras, el uso de contratos de procesamiento de datos basados en las cláusulas del Modelo de la UE, la transferencia a procesadores de datos autocertificados en el marco del Escudo de protección UE-EE. UU. , o un programa similar).

3.5 Caducidad

El vencimiento de este Apéndice es idéntico a la fecha de vencimiento del Contrato correspondiente. Salvo que se disponga lo contrario en este Apéndice, los derechos y deberes relacionados con la rescisión serán los mismos que los contenidos en el Contrato.

4. Limitación de responsabilidad

4.1 Cada parte maneja sus obligaciones bajo este Apéndice y la legislación de protección de datos aplicable.

4.2 Cualquier responsabilidad relacionada con el incumplimiento de las obligaciones en virtud de este Apéndice o la legislación aplicable en materia de protección de datos estará sujeta y se regirá por las disposiciones de responsabilidad establecidas en el Contrato o aplicables al mismo, salvo disposición en contrario en este Apéndice. Si la responsabilidad se rige por las disposiciones de responsabilidad establecidas o aplicables al Contrato, para calcular los límites de responsabilidad o determinar la aplicación de otras limitaciones de responsabilidad, cualquier responsabilidad que surja de este Apéndice se considerará que surge del Contrato.

5. Disposiciones generales

5.1 Si hay inconsistencias o discrepancias entre las Partes 1 y 2 de este Apéndice, prevalecerá la Parte 2. Específicamente, incluso en tal caso, la Parte 1 que simplemente va más allá de la Parte 2 (es decir, los términos de las cláusulas tipo) sin contradecirla seguirá siendo válida.

5.2 Si surgiera alguna discrepancia entre las disposiciones de este Anexo y las de otros contratos que vinculan a las partes, este Anexo prevalecerá respecto de las obligaciones de protección de datos de las partes. En caso de duda sobre si las cláusulas de otros contratos se refieren a las obligaciones de protección de datos de las partes, prevalecerá el presente Anexo.

5.3 Si alguna disposición de este Apéndice es inválida o inaplicable, el resto de este Apéndice permanecerá en pleno vigor y efecto. La disposición inválida o inaplicable será (i) modificada para asegurar su validez y exigibilidad, preservando en la medida de lo posible la intención de las partes, o -si esto no es posible- (ii) interpretada como si la parte inválida o inaplicable hubiera nunca ha sido parte del contrato. Lo anterior también se aplicará si hay una omisión en este Apéndice.

5.5 En la medida necesaria, las Partes podrán solicitar enmiendas a la Parte 1, Cláusula 3 (Cumplimiento de la legislación local) u otras partes del Apéndice a fin de cumplir con interpretaciones, directivas u órdenes emitidas por las autoridades competentes de la Unión o del Estados miembros, disposiciones nacionales de ejecución o cualquier otro desarrollo legal relacionado con el RGPD u otras condiciones de delegación a cualquier entidad involucrada en el procesamiento de datos y específicamente con respecto al uso de las Cláusulas contractuales tipo en el RGPD. Los términos de las Cláusulas Contractuales Tipo no pueden ser modificados o reemplazados a menos que la Comisión Europea lo apruebe expresamente (por ejemplo, por nuevas cláusulas adecuadas y estándares de protección de datos).

5.6 Cualquier referencia en este Apéndice a las "Cláusulas" se entenderá hecha a todas las disposiciones de este Apéndice a menos que se indique lo contrario.

5.7 La elección de la ley en la Parte 2, Cláusula 9 se aplica a todo el Contrato.

6. Datos personales transmitidos y tratados por las partes con fines personales (transferencia del responsable del tratamiento al responsable del tratamiento)

6.1 Las Partes saben plenamente que ciertos datos personales se transferirán del Exportador de datos al Importador de datos y viceversa, y que cada Parte procesará dichos datos para sus propios fines. En cuanto a tales datos personales, no afecta las demás disposiciones de este Anexo (excepto por esta cláusula 6).

6.2 El Exportador de datos puede transferir datos personales relacionados con el personal del Importador de datos al Importador de datos, incluida información sobre incidentes de seguridad, o cualquier otro documento o archivo creado o establecido por el Exportador de datos en relación con los Servicios prestados por el personal de el importador de datos. El Importador de datos puede procesar dichos datos personales para sus propios fines, en particular en sus relaciones profesionales con el personal del Importador de datos, para control de calidad y capacitación, o para fines comerciales.

6.3. El Importador de datos puede transferir datos personales al Exportador de datos, incluidos el nombre y los datos de contacto del personal del Importador de datos. El exportador de datos puede procesar dichos datos personales para sus propios fines.

6.4 Ambas partes cumplirán con las leyes de protección de datos aplicables, incluido el RGPD, al recopilar, procesar y utilizar los datos personales recibidos de la otra parte en virtud de la cláusula 1 de la Parte 1. En particular, ambas Partes tomarán las medidas de seguridad adecuadas, proporcionando un nivel de protección similar a las medidas de seguridad establecidas en el Apéndice 2 de la Parte 2. Cualquier acceso a dichos datos personales se limitará a la necesidad de conocerlos.

6.5 Ambas Partes deben eliminar dichos datos personales tan pronto como sea posible después de que se hayan logrado los objetivos.

Parte 2

DECISIÓN DE LA COMISIÓN

el 5 de febrero de 2010

sobre cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo

Cláusula 1

Definiciones

En el sentido de las cláusulas:

a) 'datos personales', 'categorías especiales de datos', 'procesamiento/tratamiento', 'responsable', 'procesador', 'interesado' y 'autoridad de control' tendrán el mismo significado que en la 95/46/EC Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos (1);

b) el 'Exportador de datos' es el controlador de datos que transfiere los datos personales;

c) el 'Importador de datos' es el procesador de datos que acepta recibir del Exportador de datos datos personales destinados a ser procesados en nombre del Exportador de datos después de la transferencia de acuerdo con sus instrucciones y bajo los términos de estas cláusulas y que no es sujeto al mecanismo de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE; (d) 'Procesador de datos' significa el procesador de datos contratado por el importador de datos o por cualquier otro procesador de datos del importador de datos que acepta recibir del importador de datos o cualquier otro procesador de datos del importador de datos datos personales exclusivamente para actividades de procesamiento para llevarse a cabo en nombre del exportador de datos después de la transferencia de acuerdo con las instrucciones del exportador de datos,en las condiciones establecidas en estas Cláusulas y en los términos de la subcontratación por escrito del contrato de procesamiento de datos;

e) "ley de protección de datos aplicable" significa la legislación que protege los derechos y libertades fundamentales de las personas, incluido el derecho a la privacidad con respecto al procesamiento de datos personales, y que se aplica a un controlador en el Estado miembro donde está establecido el Exportador de datos;

f) “medidas técnicas y organizativas relativas a la seguridad” se refiere a las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el procesamiento implique la transmisión de datos a través de redes, y contra todas las demás formas ilegales de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, incluyendo, en su caso, categorías especiales de datos personales, se especifican en el Anexo 1, que forma parte integrante de estas cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1. El interesado puede hacer valer contra el Exportador de datos esta Cláusula, Cláusula 4 (b) a (i), Cláusula 5 (a) a (e) y (g) a (j), Cláusula 6 (1) y (2) ), Cláusula 7, Cláusula 8(2) y Cláusulas 9 a 12 como tercero beneficiario

2. El interesado puede hacer cumplir esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12 contra el Importador de datos donde el Exportador de datos tiene físicamente desaparecido o haya dejado de existir legalmente, a menos que todas sus obligaciones legales hayan sido transferidas, por contrato o por ministerio de la ley, a la entidad sucesora, a la que recaen, por lo tanto, los derechos y obligaciones del Exportador de datos, y contra la cual los datos por lo tanto, el sujeto puede hacer cumplir dichas cláusulas.

El interesado puede hacer cumplir esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12 contra el procesador de Datos, pero solo en los casos en que los Datos El Exportador y el Importador de datos hayan desaparecido físicamente, hayan dejado de existir legalmente o se hayan declarado insolventes, a menos que todas las obligaciones legales del Exportador de datos hayan sido transferidas, por contrato o por ministerio de la ley, al sucesor legal, a quien se le otorgan los derechos y obligaciones del Exportador de datos, por lo tanto, contra quien el titular de los datos puede, por lo tanto, hacer valer tales cláusulas. Dicha responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento en virtud de estas cláusulas.

4. Las partes no se oponen a que el interesado esté representado por una asociación u otro organismo si así lo desea y si la legislación nacional lo permite.

Cláusula 4

Obligaciones del Exportador de Datos

El Exportador de Datos acepta y garantiza lo siguiente:

a) el procesamiento, incluida la transferencia real de datos personales, se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando corresponda, se ha notificado a las autoridades competentes del Estado miembro en el que se basa el Exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;

b) han instruido, e instruirán durante la duración de los servicios de procesamiento de datos personales, al Importador de datos para procesar los datos personales transferidos en nombre exclusivo del Exportador de datos y de conformidad con la ley de protección de datos aplicable y estas cláusulas;

c) el Importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

d) después de la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilegal o pérdida accidental, alteración, divulgación no autorizada o acceso, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento y garantizar un nivel de seguridad adecuado a los riesgos que representa el procesamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta el nivel de tecnología y el costo de implementación;

e) velarán por el cumplimiento de las medidas de seguridad;

f) si la transferencia se refiere a categorías especiales de datos, el interesado ha sido informado o será informado antes de la transferencia, o tan pronto como sea posible después de la transferencia, que sus datos pueden transferirse a un tercer país que no ofrece un nivel adecuado de protección en el sentido de la Directiva 95/46/CE;

g) reenviarán cualquier notificación recibida del Importador de datos o cualquier procesador de datos en virtud de las Cláusulas 5 (b) y 8 (3) a la autoridad de control de protección de datos si decide continuar con la transferencia o levantar su suspensión;

h) pondrán a disposición de los interesados, si así lo solicitan, una copia de estas Cláusulas, excepto el Apéndice 2, y una descripción resumida de las medidas de seguridad, y una copia de cualquier otro acuerdo de subcontratación, celebrado en virtud de estas Cláusulas a menos que el Las cláusulas o el contrato contienen información comercial, en cuyo caso podrá retirar dicha información;

i) en caso de subcontratar el proceso de procesamiento de datos, la actividad de procesamiento se lleva a cabo de conformidad con la Cláusula 11 por un Procesador de datos que proporciona al menos el mismo nivel de protección de los datos personales y los derechos del interesado que el Importador de datos en virtud de estas Cláusulas ; y

j) velará por el cumplimiento de la Cláusula 4 (a) a (i).

Cláusula 5

Obligaciones del Importador de Datos

El Importador de Datos acepta y garantiza lo siguiente:

a) procesarán los datos personales solo en nombre del Exportador de datos y bajo las instrucciones del Exportador de datos y estas cláusulas; si no puede cumplir por cualquier motivo, acepta informar al Exportador de datos de su incapacidad lo antes posible, en cuyo caso el Exportador de datos puede suspender la transferencia de datos y/o rescindir el contrato;

b) no tienen motivos para creer que la ley que les es aplicable les impide cumplir las instrucciones dadas por el Exportador de datos y las obligaciones que le incumben en virtud del contrato, y si dicha ley está sujeta a un cambio que podría tener un efecto materialmente adverso efecto de las garantías y obligaciones bajo las Cláusulas, deberá notificar al Exportador de Datos el cambio sin demora después de tener conocimiento del mismo, en cuyo caso el Exportador de Datos podrá suspender la transferencia de datos y/o rescindir el contrato; (c) han implementado las medidas de seguridad técnicas y organizativas especificadas en el Anexo 2 antes de procesar los datos personales transferidos;

d) notificarán al Exportador de datos sin demora:

i) cualquier solicitud vinculante de divulgación de datos personales de una autoridad encargada de hacer cumplir la ley, a menos que se especifique lo contrario, como una prohibición penal destinada a preservar el secreto de una investigación policial;

ii) cualquier acceso incidental o no autorizado; y

iii) cualquier solicitud recibida directamente de las personas interesadas sin responder a la misma a menos que haya sido autorizado para hacerlo; administradores

e) atenderán con prontitud y de manera adecuada todas las consultas del Exportador de datos con respecto al procesamiento de los datos personales que se transfieren y actuarán bajo la opinión de la autoridad de control con respecto al procesamiento de los datos transferidos;

f) a solicitud del Exportador de datos, someterán sus instalaciones de procesamiento de datos a una auditoría de las actividades de procesamiento cubiertas por estas cláusulas que llevará a cabo el Exportador de datos o un organismo de supervisión compuesto por miembros independientes con las calificaciones profesionales requeridas, sujetos a una obligación de secreto y elegidos por el Exportador de Datos, en su caso con el acuerdo de la autoridad de control;

g) pondrán a disposición del interesado, si éste lo solicita, una copia de las presentes Cláusulas, o de cualquier subcontratación existente del contrato de tratamiento de datos, salvo que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá retirar dicha información, excepto el Apéndice 2, que será reemplazado por una descripción resumida de las medidas de seguridad, cuando el interesado no pueda obtener una copia del Exportador de datos;

h) en el caso de una subcontratación adicional confidencial del procesamiento de datos, se asegurará de informar al Exportador de datos por adelantado y obtener el consentimiento por escrito del Exportador de datos;

i) los servicios de procesamiento proporcionados por el Procesador de datos deberán cumplir con la Cláusula 11;

j) enviarán de inmediato una copia de cualquier subcontratación del acuerdo de procesamiento de datos celebrado por él en virtud de estas Cláusulas al Exportador de Datos.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier sujeto de datos que haya sufrido un daño debido al incumplimiento de las obligaciones mencionadas en la Cláusula 3 o la Cláusula 11 por una de las partes o por un procesador de datos puede obtener una compensación del Exportador de datos por el daño sufrido.

2. Si se impide que un sujeto de datos presente una acción por daños y perjuicios como se menciona en el párrafo 1 contra el Exportador de datos por incumplimiento por parte del Importador de datos o su procesador de datos de cualquiera de sus obligaciones en virtud de la Cláusula 3 o la Cláusula 11 porque los Datos El Exportador ha desaparecido físicamente, ha dejado de existir legalmente o se ha declarado insolvente, el Importador de datos acepta que el interesado puede presentar una queja contra él como si fuera el Exportador de datos, a menos que todas las obligaciones legales del Exportador de datos hayan sido transferidas, por contrato. o de pleno derecho, a su entidad sucesora, frente a la cual el interesado podrá entonces hacer valer sus derechos. El importador de datos no puede basarse en el incumplimiento de sus obligaciones por parte de un procesador de datos para evitar su propia responsabilidad.

3. Si un sujeto de datos no puede iniciar la acción mencionada en los párrafos 1 y 2 contra el Exportador de datos o el Importador de datos por incumplimiento por parte del procesador de datos de sus obligaciones en virtud de la Cláusula 3 o la Cláusula 11 porque el Exportador de datos y el Importador de datos han desaparecido físicamente, han dejado de existir legalmente o se han declarado insolventes, el Procesador de datos acepta que el interesado puede presentar una queja contra él con respecto a sus propias actividades de procesamiento de acuerdo con estas cláusulas como si fuera el Exportador de datos o Importador de datos a menos que todos las obligaciones legales del Exportador de datos o del Importador de datos se han transferido, por contrato o por ministerio de la ley, al sucesor legal, contra quien el interesado puede entonces hacer valer sus derechos.La responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento de acuerdo con estas cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El Importador de datos acepta que si en virtud de las cláusulas, el titular de los datos invoca contra él el derecho del tercero beneficiario y/o reclama una indemnización por el perjuicio sufrido, aceptará la decisión del titular de los datos:

a) someter la controversia a mediación de una persona independiente o, en su caso, de la autoridad de control;

b) llevar la disputa ante los tribunales del Estado miembro donde tiene su sede el Exportador de datos.

2. Las partes acuerdan que la elección realizada por el titular de los datos no afectará el derecho procesal o sustantivo del titular de los datos a obtener reparación de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El Exportador de Datos se compromete a depositar una copia del presente contrato ante la autoridad de control si esta última así lo requiere o si tal depósito está previsto por la ley de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control puede realizar controles en el Importador de datos y cualquier procesador de datos en la misma medida y en las mismas condiciones que los controles realizados en el Exportador de datos de conformidad con la ley de protección de datos aplicable.

3. El Importador de datos informará al Exportador de datos lo antes posible de la existencia de legislación relativa al Importador de datos o cualquier procesador de datos que impida la verificación en el Importador de datos o cualquier procesador de datos de conformidad con el párrafo 2. En tal caso, el El Exportador de datos puede tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Ley aplicable

Las cláusulas se aplican y se rigen por la ley del Estado miembro donde tiene su sede el Exportador de datos.

Cláusula 10

Modificación del contrato

Las partes se comprometen a no modificar las presentes cláusulas. Las partes quedan en libertad de incluir otras cláusulas comerciales que estimen necesarias, siempre que no contradigan las presentes cláusulas.

Cláusula 11

Subcontratación posterior

1. El Importador de datos no subcontratará ninguna de sus actividades de procesamiento realizadas en nombre del Exportador de datos en virtud de estas cláusulas sin el consentimiento previo por escrito del Exportador de datos. El Importador de datos solo podrá subcontratar sus obligaciones en virtud de estas Cláusulas, con el consentimiento del Exportador de datos, mediante un acuerdo por escrito con el Encargado del tratamiento que imponga al Encargado del tratamiento las mismas obligaciones que las impuestas al Importador de datos en virtud de estas Cláusulas. Si el Procesador de datos no puede cumplir con sus obligaciones de protección de datos en virtud de ese acuerdo escrito, el Importador de datos seguirá siendo completamente responsable ante el Exportador de datos por el cumplimiento de esas obligaciones.

2. El acuerdo previo por escrito entre el Importador de datos y el Procesador de datos también incluirá una cláusula de tercero beneficiario como se establece en la Cláusula 3 para los casos en que el interesado no pueda presentar la reclamación por daños a que se refiere la Cláusula 6 (1 ), contra el Exportador de datos o el Importador de datos porque el Exportador de datos o el Importador de datos ha desaparecido físicamente, ha dejado de existir legalmente o se ha declarado insolvente y todas las obligaciones legales del Exportador de datos o Importador de datos no han sido transferidas, por contrato o por operación. de derecho, a otra entidad sucesora. La responsabilidad del procesador de datos debe limitarse a sus propias actividades de procesamiento de acuerdo con estas cláusulas.

3. Las disposiciones relativas a los aspectos de protección de datos de la subcontratación del procesamiento de datos del contrato mencionado en el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

4. El Exportador de datos mantendrá una lista de los acuerdos de subcontratación de procesamiento de datos celebrados en virtud de estas Cláusulas y notificados por el Importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. Esta lista se pondrá a disposición de la autoridad de control de protección de datos del Exportador de datos.

Cláusula 12

Obligación después de la terminación de los servicios de procesamiento de datos personales

1. Las partes acuerdan que al finalizar los servicios de procesamiento de datos, el Importador de datos y el Procesador de datos, a conveniencia del Exportador de datos, devolverán todos los datos personales transferidos y copias de los mismos al Exportador de datos, o destruirán todos esos datos y proporcionarán pruebas. la destrucción al Exportador de Datos, a menos que la legislación impuesta al Importador de Datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el Importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente los datos.

2. El importador de datos y el procesador de datos se asegurarán de que, si así lo solicita el exportador de datos y/o la autoridad de control, someterán sus medios de procesamiento de datos a la verificación de las medidas mencionadas en el párrafo 1.

Apéndice 1.1 a la Parte 2

Detalles de la transferencia

Exportador de datos

El Exportador de Datos es el Cliente definido en el Acuerdo Contractual.

Importador de datos

El Importador de datos es POSTCODEZIP y está asignado para procesar los datos, brindando servicios al Exportador de datos.

Sujetos de los datos

Los datos personales transferidos se refieren a las siguientes categorías de interesados:

¿¿a?? abonados telefónicos que figuran en el directorio universal

â˜' Otros, incluyendo:

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos:

Categorías de datos personales de los interesados del Exportador de datos en particular,

¿¿a?? Nombre completo

â˜' Dirección postal

¿¿a?? Datos de contacto (correo electrónico, teléfono, dirección IP, etc.)

¿¿a?? Detalles de las actividades de marketing relacionadas con el abonado telefónico

â˜' Otros, incluido el tipo de vivienda, los ingresos y las edades promedio de la ciudad hecha de forma anónima

Categorías especiales de datos (si corresponde)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos:

â˜' No está prevista la cesión de categorías especiales de datos

¿¿a?? Raza u origen étnico

¿¿a?? Creencias religiosas o filosóficas

¿¿a?? Afiliación sindical

¿¿a?? Puntos de vista políticos

¿¿a?? Información genética

¿¿a?? Información biométrica

¿¿a?? Información sobre orientación sexual o vida sexual

¿¿a?? Datos de salud

Actividades de procesamiento

Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento:

- â€¢ Finalidad del tratamiento

El procesamiento realizado en nombre del Exportador de datos se basa en los siguientes temas, en particular:

â˜' Hacerse cargo de los productos o servicios ofrecidos por el Exportador de Datos

â˜' La oferta de un producto o servicio que la persona llamada puede solicitar

â˜' Órdenes tomadas de las personas llamadas y posterior procesamiento de estas órdenes

â˜' Cuestionarios y análisis de estudio

â˜' telemercadeo

¿¿a?? Otros, incluyendo:

- â€¢ Naturaleza y finalidad del tratamiento

El Importador de datos procesa los datos personales de los interesados en nombre del Exportador de datos, con el fin de proporcionar los siguientes servicios, y en particular:

â˜' Completado automático de formularios
â˜' Formulario de validaciÃ³n de direcciones

â˜' Ventas y Marketing

â˜' Otros, incluida la actualización de bases de datos de ayuntamientos y partidos políticos

- â€¢ ProvisiÃ³n de servicios y contrataciÃ³n de proveedores de servicios

POSTCODEZIP principalmente combina, centraliza y proporciona servicios al exportador de datos. Los servicios prestados por el prestador de servicios designado podrán estructurarse (entre otros, según corresponda) en torno a los siguientes servicios auxiliares: (i) provisión de aplicaciones, herramientas, sistemas e infraestructura informática en relación con los centros de procesamiento de datos utilizados, con el fin de proporcionar y respaldar los servicios, incluido el procesamiento de los datos personales de los interesados como se describe anteriormente, a través de dichas aplicaciones, herramientas y sistemas, (ii) la provisión de soporte de TI, mantenimiento y otros servicios relacionados con dichas aplicaciones, herramientas, sistemas e infraestructura de TI, incluido el acceso potencial a datos personales almacenados en dichas aplicaciones, herramientas y sistemas, y (iii) la prestación de servicios de protección de datos, monitoreo de protección y servicios de respuesta a incidentes,incluido el acceso potencial a los datos personales al proporcionar dichos servicios de protección. POSTCODEZIP puede contratar procesadores de datos como se establece a continuación para proporcionar los servicios, incluidos los servicios auxiliares.

- â€¢ Terceros proveedores de servicios externos como subentidades asignadas al procesamiento de datos

POSTCODEZIP contrata proveedores de servicios externos y de terceros, que no son subsidiarias de POSTCODEZIP, para respaldar la prestación de servicios al exportador de datos. El exportador de datos aprueba dichos proveedores de servicios externos como subentidades asignadas al procesamiento de datos.

Si una subentidad involucrada en el procesamiento de datos se encuentra fuera de la UE/EEE, en un país que se considera que no tiene un nivel adecuado de protección de datos según una decisión de la Comisión Europea, el importador de datos tomará medidas para obtener un nivel adecuado de protección de datos. protección de datos de acuerdo con el RGPD y la sección 3.4 (iv) de la Parte 1.

Apéndice 2, Parte 2

Medidas de protección técnicas y organizativas

El Importador de datos tomará las siguientes medidas técnicas y organizativas de protección confirmadas por el Exportador de datos, a fin de garantizar un nivel adecuado de seguridad para los derechos y libertades de las personas, según los riesgos. Al evaluar el nivel de protección en cuestión, el Exportador de datos ha considerado, en particular, los riesgos involucrados en el procesamiento, incluida la destrucción accidental o ilegal, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o procesados de otra manera. Aclaración: Estas medidas de protección técnicas y organizativas no se aplican a las aplicaciones, herramientas, sistemas y/o infraestructura de TI proporcionada por el Exportador de datos.

1 Medidas generales de protección técnicas y organizativas

1.1 Información general y estrategias de protección de datos

Se deben tomar los siguientes pasos para seguir las estrategias generales de protección de datos e información:

a) tomar medidas para evaluar las tomadas en materia de protección técnica y organizativa;

b) proporcionar formación para sensibilizar a los empleados;

c) tener una descripción de los sistemas en cuestión y permitir el acceso a los empleados;

d) establecer un proceso de documentación formal cada vez que se implementen o modifiquen sistemas;

e) documentar la estructura organizacional, procesos, responsabilidades y respectivas evaluaciones;

1.2 Organización de la protección de la información

Se deben tomar las siguientes medidas para coordinar las actividades de protección de datos e información:

a) responsabilidades definidas para la protección de la información y los datos (por ejemplo, a través de la política de gestión de la protección de datos);

b) la experiencia necesaria en la protección de la información y los datos que quedan disponibles;

c) todos los empleados se comprometen a garantizar la confidencialidad de los datos personales y han sido informados de las posibles consecuencias del incumplimiento de este compromiso.

1.3 Control de acceso a las áreas de procesamiento

Se deben tomar las siguientes medidas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos (en particular software y hardware) cuando se procesan, almacenan o transmiten datos personales:

a) establecer áreas seguras;

b) proteger y restringir el acceso a los sistemas de procesamiento de datos;

c) establecer autorizaciones de acceso para empleados y terceros, incluyendo los documentos respectivos;

d) se registrará cualquier acceso a los centros de procesamiento de datos en los que se almacenen datos personales.

1.4 Control de acceso a los sistemas de procesamiento de datos

Se deben tomar las siguientes medidas para evitar el acceso no autorizado a los sistemas de procesamiento de datos:

a) políticas y procedimientos de autenticación de usuarios;

b) el uso de contraseñas en todos los sistemas informáticos;

c) el acceso remoto a la red requiere autenticación de múltiples factores y se otorga a la persona interesada de acuerdo con sus responsabilidades y previa autorización;

d) el acceso a funciones específicas se basa en funciones laborales y/o atributos asignados individualmente a la cuenta de un usuario;

e) los derechos de acceso relacionados con los datos personales se revisan periódicamente;

f) se mantienen actualizados los registros de cambios en los derechos de acceso.

1.5 Controlar el acceso a áreas particulares de uso de los sistemas de procesamiento de datos

Se deben tomar las siguientes medidas para garantizar que las personas autorizadas con derecho a usar el sistema de procesamiento de datos solo puedan acceder a los datos dentro de sus respectivas responsabilidades y autorizaciones de acceso y que los datos personales no se puedan leer, copiar, modificar o eliminar sin autorización:

1.
1. a) políticas, instrucciones y capacitación de los empleados, en relación con las obligaciones de cada uno de ellos sobre confidencialidad, derechos de acceso a datos personales y el alcance del procesamiento de datos personales;

b) medidas disciplinarias contra las personas que accedan a datos personales sin autorización;

c) el acceso a los datos personales se concederá únicamente a las personas autorizadas, en función de la necesidad de conocerlos;

d) mantener una lista de administradores del sistema y tomar las medidas apropiadas para monitorear a los administradores del sistema;

e) no copiar ni reproducir datos personales en ningún sistema de almacenamiento para permitir que personas no autorizadas eliminen la información del originador;

f) eliminación o destrucción controlada y documentada de datos;

g) almacenar de forma segura todos los datos personales que deban conservarse por motivos legales o reglamentarios (p. ej., obligaciones de conservación de datos), y solo durante el tiempo que exija la ley.

1.6 Control de transmisiones

Se deben tomar las siguientes medidas para evitar que terceros no autorizados lean, copien, modifiquen o eliminen datos personales durante la transmisión o el transporte de dispositivos de almacenamiento de datos (dependiendo del procesamiento de datos personales realizado):

1.
1. a) uso de cortafuegos;

b) evitar el almacenamiento de datos personales en dispositivos móviles de almacenamiento con fines de transporte, o cifrar los dispositivos;
c) uso en computadoras portátiles y otros dispositivos móviles solo después de que se haya activado la protección de cifrado;

d) registro de transmisiones de datos personales.

1.7 Control de entrada de datos

Se deben tomar las siguientes medidas para garantizar que sea posible verificar y determinar si los datos personales han sido ingresados o eliminados de los sistemas de procesamiento de datos y por quién:

1.
1. a) una política para autorizar la lectura, alteración y eliminación de los datos almacenados;

b) medidas de protección relativas a la lectura, alteración y supresión de los datos almacenados.

1.8 Control de trabajo

En el caso de tratamiento delegado de datos personales, se deberán tomar las siguientes medidas para asegurar que dichos datos sean tratados de acuerdo con las instrucciones del Responsable:

1.
1. a) entidades o subentidades asignadas al procesamiento de datos, elegidas con cuidado (proveedores de servicios que procesan datos personales en nombre del controlador);

b) instrucciones sobre el alcance de cualquier procesamiento de datos personales a los empleados, entidades o subentidades asignadas al procesamiento de datos;

c) derechos de auditoría acordados con las entidades o subentidades asignadas al tratamiento de datos;

d) acuerdos vigentes con las entidades o subentidades encargadas del tratamiento de los datos.

1.9 Separación del procesamiento para otros fines

Se deben tomar las siguientes medidas para garantizar que los datos recopilados para otros fines se puedan procesar por separado:

1.
1. a) acceso separado a los datos personales de acuerdo con los derechos existentes de los usuarios;

b) las interfaces, el procesamiento por lotes y los informes son para otros fines y funciones, de modo que los datos recopilados para otros fines puedan procesarse por separado.

1.10 Seudonimización

Se deben tomar las siguientes medidas con respecto a la seudonimización de los datos personales:

1.
1. a) Si el Exportador de datos ordena una operación de procesamiento específica o si el Importador de datos lo considera apropiado de acuerdo con las leyes de protección de datos vigentes con respecto a ciertas actividades de procesamiento, el procesamiento de datos personales se llevará a cabo de tal manera que el los datos ya no se pueden atribuir a una persona específica sin el uso de información adicional. Esta información adicional se mantendrá por separado;

b) uso de técnicas de seudonimización, incluida la aleatorización de listas de asignación; creación de valores en forma de sostenidos.

1.11 Cifrado

Se deben seguir los siguientes pasos para cifrar datos personales en aplicaciones y transmisiones que admitan el cifrado:

1. a) uso de técnicas de cifrado;

b) establecimiento de gestión de encriptación para soportar las técnicas de encriptación autorizadas para ser utilizadas;

c) apoyar el uso de la criptografía a través de procedimientos y protocolos para generar, modificar, revocar, destruir, distribuir, certificar, almacenar, capturar, usar y archivar claves criptográficas para proteger contra modificaciones y divulgaciones no autorizadas.

1.12 Integridad de los sistemas y servicios de procesamiento de datos

Se deben tomar las siguientes medidas para garantizar la integridad de los sistemas y servicios de procesamiento de datos:

1. a) protección de los sistemas de procesamiento de datos contra la manipulación o destrucción por los medios apropiados (por ejemplo, software antivirus, software de prevención de pérdida de datos y software contra malware, parches de software, firewalls y protección de escritorio administrada);

b) prohibir la instalación de cualquier servicio o software dañino para los sistemas de procesamiento de datos, los servicios o la manipulación de datos personales;

c) uso de un sistema de detección y prevención de intrusiones en la red en la estructura de la propia red.

1.13 Disponibilidad de los sistemas y servicios de tratamiento de datos y posibilidad de restablecer el acceso y uso de los datos personales en caso de incidencia material o técnica

Se deben tomar las siguientes medidas para garantizar la disponibilidad de los sistemas de procesamiento de datos, así como para poder restablecer rápidamente la disponibilidad y el acceso a los datos personales, en caso de incidente material o técnico (en particular, asegurando que los datos personales están protegidos contra la destrucción o pérdida accidental):

a) tener medios de control para mantener copias de seguridad y restaurar datos perdidos o borrados;

b) redundancia de infraestructura y pruebas de desempeño;

c) protección física de los recursos informáticos;

d) uso de herramientas para monitorear el estado y disponibilidad de la red interna;

e) las políticas de notificación y respuesta a incidentes que rigen el procedimiento de gestión de incidentes, y la reiteración del cumplimiento de estas políticas como parte de la capacitación regular;

f) copias de seguridad (a veces fuera del sitio) para restaurar el sistema y permitirle realizar sus funciones nuevamente;

g) planes de continuidad del negocio/recuperación ante desastres

1.14 Resiliencia de los sistemas y servicios de procesamiento de datos

Se deben tomar las siguientes medidas para garantizar la resiliencia de los sistemas y servicios de procesamiento de datos:

a) sistemas y configurados armónicamente, utilizando parámetros de seguridad aprobados;

b) redundancia de la red;

c) protección de contención de sistemas críticos.

1.15 Procedimiento para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de datos

Procedimiento para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para proteger el procesamiento de datos.

a) tomar las medidas necesarias para evaluar los riesgos y las estrategias de mitigación;

b) reuniones de análisis de servicios del departamento de TI para abordar temas de actualidad;

c) los planes de continuidad del negocio/recuperación ante desastres se actualizan periódicamente.

parte 3

Firmas de las partes y lista de Importadores de Datos

Al cumplimentar el formulario de pedido online y validarlo marcando la casilla de aceptación de las condiciones generales de uso, se establece el contrato que rige la relación entre el Cliente y POSTCODEZIP.

El envío del pago a POSTCODEZIP considerará el contrato pactado y establecido.

Tome nota: este texto ha sido traducido del francés. La versión original en francés, que es válida y legalmente restrictiva, está disponible aquí .