Anexo para
la tramitación de pedidos Las normas para la tramitación de pedidos complementan las Condiciones Generales de Jungherz GmbH, en su calidad de operador de la marca AppConfector (en lo sucesivo, «el contratista»). Al establecer una relación comercial, usted, en su calidad de cliente (en lo sucesivo, «el cliente»), acepta automáticamente este anexo como parte integrante de dichas condiciones. En caso de contradicción entre estas disposiciones y las condiciones generales, prevalecerán estas disposiciones para el procesamiento de pedidos.
En lo sucesivo, se hará referencia al Contratista y al Cliente con el término común «las Partes».
Las Partes acuerdan que, al entrar en vigor el presente Acuerdo de tratamiento por encargo, el Acuerdo de tratamiento de datos por encargo existente entre las Partes de conformidad con el artículo 11 de la Ley Federal de Protección de Datos de Alemania, así como cualquier otro acuerdo de tratamiento de datos por encargo, quedará rescindido de mutuo acuerdo y sustituido por el presente nuevo Acuerdo de tratamiento por encargo.
1. Generalidades
(1) El encargado del tratamiento trata datos personales por cuenta del cliente en el sentido del artículo 4, apartado 8, y del artículo 28 del Reglamento (UE) 2016/679 —Reglamento General de Protección de Datos (RGPD). El presente contrato regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales.
(2) En la medida en que se utilice en el presente contrato el término «tratamiento de datos» o «tratamiento» (de datos), se aplicará la definición de «tratamiento» en el sentido del artículo 4, apartado 2, del RGPD.
(3) Todas las referencias en el presente contrato al RGPD (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)) se entenderán referidas al RGPD en su versión vigente.
2. Objeto del encargo
El objeto del tratamiento, la naturaleza y la finalidad del mismo, el tipo de datos personales y las categorías de interesados se establecen en el anexo 1 del presente contrato.
3. Derechos y obligaciones del cliente
(1) El cliente es el responsable, en el sentido del art. 4, n.º 7 del RGPD, del tratamiento de datos por cuenta de los encargados del tratamiento. De conformidad con el art. 4, apartado 5, del presente contrato, estos últimos tendrán derecho a informar al cliente si el encargo y/o una instrucción tienen por objeto un tratamiento de datos que, en su opinión, sea legalmente inaceptable.
(2) El cliente es responsable de la protección de los derechos de los interesados. El
encargado
del tratamiento informará al cliente sin demora si los interesados hacen valer sus derechos frente al encargado del tratamiento.
(3) El cliente tiene derecho a dar instrucciones adicionales al encargado del tratamiento en cualquier momento en relación con el tipo, el alcance y el procedimiento del tratamiento de datos. Las instrucciones pueden darse por escrito (por ejemplo, por correo electrónico).
(4) No se verán afectadas las disposiciones relativas a una posible remuneración de los gastos adicionales en que incurra el encargado del tratamiento como consecuencia de las instrucciones complementarias dadas por el cliente.
5. El cliente informará sin demora al encargado del tratamiento si detecta errores o irregularidades en relación con el tratamiento de datos personales por parte del encargado del tratamiento.
(6) En caso de que exista la obligación de informar a terceros de conformidad con los artículos 33 y 34 del RGPD o cualquier otra obligación legal de notificación aplicable al cliente, este será responsable del cumplimiento de dicha obligación.
4. Obligaciones generales del encargado del tratamiento
(1) El encargado del tratamiento tratará los datos personales exclusivamente en el marco de los acuerdos celebrados y/o de conformidad con las instrucciones complementarias emitidas por el cliente. Quedan excluidas de ello las disposiciones legales que puedan obligar al encargado del tratamiento a tratar los datos de otra manera. En tal caso, el encargado del tratamiento notificará al responsable de estos requisitos legales antes del tratamiento, a menos que la ley en cuestión prohíba dicha notificación por un interés público importante. Por lo demás, la finalidad, la naturaleza y el alcance del tratamiento de datos se regirán exclusivamente por el presente Acuerdo y/o las instrucciones del responsable. Queda prohibido al encargado cualquier tratamiento de datos que se desvíe de lo anterior,
salvo
que el encargado haya dado su consentimiento por escrito.
(2) El encargado se compromete a llevar a cabo el tratamiento de datos por cuenta del cliente únicamente dentro del Espacio Económico Europeo, salvo que se requiera lo contrario por motivos técnicos.
(3) En el ámbito del tratamiento de datos personales de conformidad con el encargo, el encargado garantiza la ejecución contractual de todas las medidas acordadas
. (4) El encargado está obligado a organizar su empresa y sus procedimientos operativos de tal manera que los datos tratados por él en nombre del cliente estén protegidos en la medida necesaria en cada caso y a salvo del acceso no autorizado por parte de terceros. Este último acordará previamente con el cliente los cambios en la organización del tratamiento de datos por cuenta del cliente que sean significativos para la seguridad de los datos.
(5) El encargado del tratamiento informará sin demora al cliente si, en su opinión, una instrucción emitida por el cliente infringe las disposiciones legales. El encargado del tratamiento tendrá derecho a suspender la ejecución de la instrucción en cuestión hasta que sea confirmada o modificada por el cliente. Si el encargado del tratamiento puede demostrar que el tratamiento de conformidad con las instrucciones del cliente puede dar lugar a la responsabilidad del encargado del tratamiento con arreglo al art. 82 del RGPD, el encargado del tratamiento tendrá derecho a suspender el tratamiento posterior a este respecto hasta que se aclare la responsabilidad entre las partes.
(6) El tratamiento de datos
por cuenta del
cliente fuera de las instalaciones comerciales del
encargado
del tratamiento o del subcontratista solo se permite con el consentimiento del cliente por escrito o en forma de texto. El tratamiento de datos para el cliente en domicilios particulares solo se permite con el consentimiento del cliente por escrito o en forma de texto en casos individuales.
(7) El encargado del tratamiento tratará los datos que procese por cuenta del cliente de forma separada de otros datos. No es obligatoria una separación física.
5.
Delegado
de
protección de
datos del
encargado
del tratamiento
(1) El encargado del tratamiento confirma que ha designado a un delegado de protección de datos de conformidad con el art. 37 del RGPD. El encargado del tratamiento se asegurará de que el delegado de protección de datos cuente con las cualificaciones y los conocimientos necesarios. El encargado del tratamiento informará al cliente por separado, en forma de texto, del nombre y los datos de contacto de su delegado de protección de datos.
(2) La obligación de designar un delegado de protección de datos con arreglo al apartado 1 podrá no aplicarse, a discreción del responsable del tratamiento, si el encargado del tratamiento puede demostrar que no está legalmente obligado a designar un delegado de protección de datos y que existen medidas operativas que garantizan que los datos personales se tratan de conformidad con las disposiciones legales, las disposiciones del presente contrato y cualquier otra instrucción del responsable del tratamiento.
6. Obligaciones de notificación del encargado del tratamiento
(1) El encargado del tratamiento estará obligado a notificar al cliente sin demora cualquier infracción de las normas de protección de datos o de los acuerdos contractuales celebrados y/o de las instrucciones dadas por el cliente que se haya producido en el curso del tratamiento de datos por su parte o por parte de otras personas que participen en el tratamiento. Lo mismo se aplica a cualquier infracción de la protección de los datos personales tratados por el encargado del tratamiento por cuenta del cliente.
(2) Además, el encargado del tratamiento informará al cliente sin demora si una autoridad de control, de conformidad con el art. 58 del RGPD, emprende acciones contra el encargado del tratamiento y esto pudiera referirse también a un control del tratamiento que el encargado del tratamiento realiza por cuenta del cliente.
(3) El encargado del tratamiento es consciente de que el cliente puede estar sujeto a una obligación de notificación con arreglo a los artículos 33 y 34 del RGPD, que prevén la notificación a la autoridad de control en un plazo de 72 horas desde su detección. El encargado del tratamiento prestará apoyo al cliente en el cumplimiento de las obligaciones de notificación. En particular, el encargado del tratamiento notificará al cliente sin demora cualquier acceso no autorizado a los datos personales tratados por cuenta del cliente, a más tardar en un plazo de 48 horas desde que tenga conocimiento de dicho acceso. La notificación de los encargados del tratamiento al cliente deberá contener, en particular, la siguiente información:
- una descripción de la naturaleza de la violación de la protección de datos personales, a ser posible con una indicación de las categorías y el número aproximado de personas afectadas, las categorías afectadas y el número aproximado de registros de datos personales afectados;
- una descripción de las medidas adoptadas o propuestas por el encargado del tratamiento para subsanar la violación de la protección de datos personales y, cuando proceda, de las medidas para mitigar sus posibles efectos adversos.
7. Obligaciones de cooperación del
encargado
del tratamiento
(1) El encargado del tratamiento prestará apoyo al cliente en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados de conformidad con los artículos 12 a 23 del RGPD. Se aplicarán las disposiciones del artículo 11 del presente contrato.
(2) El encargado del tratamiento participará en la elaboración de las listas de actividades de tratamiento por parte del responsable del tratamiento. El encargado del tratamiento facilitará al cliente la información necesaria de forma adecuada.
(3) Teniendo en cuenta el tipo de tratamiento y la información de que disponga, el encargado del tratamiento asistirá al cliente en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD.
(4) El encargado del tratamiento tiene derecho a exigir al cliente una remuneración adecuada en función de los gastos incurridos por estos servicios.
8. Facultades de control
(1) El cliente tiene derecho a comprobar en cualquier momento, en la medida en que sea necesario, que el encargado del tratamiento cumple las disposiciones legales en materia de protección de datos y/o las disposiciones contractuales acordadas entre las partes y/o que el encargado del tratamiento cumple las instrucciones del cliente.
La prueba del cumplimiento de las obligaciones que incumben a un encargado del tratamiento de datos de conformidad con el RGPD deberá aportarse principalmente mediante informes de pruebas independientes y certificaciones.
Si el cliente, basándose en pruebas objetivas, tiene dudas fundadas de que los informes de pruebas o las certificaciones sean insuficientes o incorrectos, o si lo justifican incidentes especiales en el sentido del art. 33, apartado 1, del RGPD en relación con la ejecución del tratamiento por encargo del cliente, este podrá llevar a cabo inspecciones de conformidad con el apartado 8. (2).
(2) A fin de permitir al cliente llevar a cabo una inspección del encargo y, en particular, comprobar las medidas técnicas y organizativas adoptadas por el encargado del tratamiento antes del inicio y periódicamente durante el tratamiento de datos, el encargado del tratamiento permitirá la inspección por parte de un tercero neutral (auditor jurado) designado por el cliente. El encargado del tratamiento tendrá derecho a fijar las fechas de la inspección en función de las posibilidades operativas. La inspección deberá poder realizarse en un plazo razonable tras la solicitud. Alternativamente, el encargado
del tratamiento
también podrá satisfacer el derecho de inspección del cliente mediante la presentación de un informe de inspección elaborado por un auditor jurado independiente en nombre del encargado del tratamiento. El ejercicio del derecho de inspección no perturbará indebidamente las operaciones comerciales del encargado del tratamiento ni será abusivo.
(3) El encargado del tratamiento tendrá derecho a exigir al cliente una remuneración razonable por las inspecciones en el sentido del apartado 8. (2).
9. Proporciones de subcontratación
(1) La contratación de subcontratistas por parte del encargado del tratamiento solo se permite con el consentimiento del cliente por escrito. El encargado del tratamiento deberá especificar todas las relaciones de subcontratación ya existentes en el momento de la celebración del contrato en el Anexo 2 del presente contrato.
(2) El encargado del tratamiento seleccionará cuidadosamente al subcontratista y comprobará, antes de realizar el encargo, que este sea capaz de cumplir los acuerdos establecidos entre el cliente y el encargado del tratamiento. En particular, el subcontratista comprobará de antemano y periódicamente durante la vigencia del contrato que ha adoptado las medidas técnicas y organizativas exigidas por el artículo 32 del RGPD para la protección de los datos personales. El resultado de la comprobación deberá ser documentado por el subcontratista y puesto a disposición del cliente cuando este lo solicite.
(3) El encargado del tratamiento estará obligado a obtener del subcontratista la confirmación de que este ha designado a un delegado de protección de datos de la empresa de conformidad con el artículo 37 del RGPD. En caso de que el subcontratista no haya designado a ningún delegado de protección de datos, el encargado del tratamiento informará de ello al cliente y le facilitará información que demuestre que el subcontratista no está legalmente obligado a designar a un delegado de protección de datos.
(4) El
encargado del tratamiento
se asegurará de que las disposiciones acordadas en el presente contrato y las instrucciones complementarias del cliente, si las hubiera, se apliquen también al subcontratista.
(5) El encargado del tratamiento celebrará con el subcontratista un contrato que cumpla los requisitos del artículo 28 del RGPD. Además, el encargado del tratamiento impondrá al subcontratista las mismas obligaciones en materia de protección de datos personales que las establecidas entre el responsable y el encargado del tratamiento.
(6) En particular, la parte que trate el encargo estará obligada a garantizar mediante disposiciones contractuales que las facultades de control (cláusula 8 del presente contrato) del cliente y de las autoridades de control se apliquen también al subcontratista y que el cliente y las autoridades de control acuerden los correspondientes derechos de control. Además, se acordará contractualmente que el subcontratista tolerará estas medidas de control y cualquier inspección in situ.
(7) Las relaciones de subcontratación en el sentido de los apartados 1 a 6 no se considerarán servicios que el encargado del tratamiento obtenga de terceros como un servicio puramente accesorio para llevar a cabo la actividad empresarial. Dichos servicios incluyen, por ejemplo, servicios de limpieza, servicios de telecomunicaciones puros sin ninguna referencia específica a los servicios que el encargado del tratamiento presta al responsable, servicios postales y de mensajería, servicios de transporte y servicios de seguridad. No obstante, el encargado del tratamiento está obligado a garantizar, también en el caso de los servicios auxiliares prestados por terceros, que se hayan tomado las precauciones y medidas técnicas y organizativas adecuadas para garantizar la protección de los datos personales. El mantenimiento y la reparación de sistemas o aplicaciones informáticas constituyen una relación de subcontratación y un tratamiento por encargo en el sentido del art. 28 del RGPD, que requiere autorización si el mantenimiento y las pruebas se refieren a sistemas informáticos que también se utilizan en relación con la prestación de servicios para el cliente y si durante el mantenimiento se puede acceder a datos personales tratados
por cuenta del
cliente.
10. Obligación de confidencialidad
(1) Al tratar datos por cuenta del cliente, el encargado del tratamiento estará obligado a mantener la confidencialidad de los datos que reciba o de los que tenga conocimiento en relación con el encargo. El
encargado del tratamiento
se compromete a observar las mismas normas de
protección
del secreto que las que incumben al responsable del tratamiento. El responsable del tratamiento está obligado a informar al encargado del tratamiento de cualquier norma especial de
protección
del secreto.
(2) El encargado del tratamiento garantiza que conoce la normativa de protección de datos aplicable y que está familiarizado con su aplicación. El contratista garantiza además que ha familiarizado a sus empleados con las disposiciones de protección de datos que les son aplicables y les ha obligado a mantener la confidencialidad. El contratista garantiza además que ha obligado, en particular, a sus empleados que participan en la ejecución del trabajo a mantener la confidencialidad y les ha informado de las instrucciones del cliente.
(3) La obligación de los empleados según el apartado 2 deberá acreditarse ante el cliente si este lo solicita.
11. Protección de los derechos de los interesados
(1) El cliente es el único responsable de salvaguardar los derechos de los interesados. El encargado del tratamiento está obligado a apoyar al cliente en su obligación de tramitar las solicitudes de los interesados de conformidad con los artículos 12 a 23 del RGPD. En particular, el encargado del tratamiento se asegurará de que la información requerida a este respecto se facilite al cliente sin demora, de modo que este pueda cumplir sus obligaciones en virtud del artículo 12, apartado 3, del RGPD.
(2) En la medida en que la cooperación del encargado del tratamiento sea necesaria para la protección de los derechos de los interesados —en particular, el derecho de información, rectificación, bloqueo o supresión— por parte del cliente, el encargado del tratamiento adoptará las medidas necesarias de conformidad con las instrucciones del cliente. Si es posible, el encargado del tratamiento prestará apoyo al cliente mediante medidas técnicas y organizativas adecuadas para cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados. El encargado del tratamiento tendrá derecho a exigir al cliente una remuneración razonable por estos servicios.
(3) Esto se entenderá sin perjuicio de las disposiciones relativas a la posible remuneración de los gastos adicionales en que incurra el encargado del tratamiento como consecuencia de los servicios de cooperación en relación con el ejercicio de los derechos de los interesados frente al cliente.
12. Obligaciones de confidencialidad
(1) Ambas partes se comprometen a tratar toda la información recibida en relación con la ejecución del presente contrato como confidencial por un período de tiempo ilimitado y a utilizarla únicamente para la ejecución del contrato. Ninguna de las partes tendrá derecho a utilizar esta información, en su totalidad o en parte, para fines distintos de los mencionados anteriormente, ni a ponerla a disposición de terceros.
(2) La obligación anterior no se aplicará a la información que una de las partes haya recibido de forma demostrable de terceros sin estar obligada a mantenerla en secreto o que sea de dominio público.
13. Recubrimiento
El encargado
del tratamiento
no percibirá remuneración alguna por el presente contrato.
14. Medidas técnicas y organizativas para la seguridad de los datos
(1) El encargado del tratamiento se compromete ante el cliente a cumplir con las medidas técnicas y organizativas necesarias para cumplir con la normativa de protección de datos aplicable. Esto incluye, en particular, los requisitos del art. 32 del RGPD.
(2) El estado de las medidas técnicas y organizativas existentes en el momento de la celebración del contrato se adjunta al presente contrato como Anexo 3. Las partes acuerdan que pueden ser necesarios cambios en las medidas técnicas y organizativas para adaptarse a las condiciones técnicas y legales. Los cambios significativos que puedan afectar a la integridad, confidencialidad o disponibilidad de los datos personales serán acordados previamente por el encargado del tratamiento con el cliente. Las medidas que solo impliquen cambios técnicos u organizativos menores y que no afecten negativamente a la integridad, confidencialidad y disponibilidad de los datos personales podrán ser implementadas por el encargado del tratamiento sin consultar al cliente. El cliente podrá solicitar en cualquier momento una versión actualizada de las medidas técnicas y organizativas
adoptadas
por el encargado del tratamiento.
(3) El encargado del tratamiento comprobará la eficacia de las medidas técnicas y organizativas adoptadas por él de forma periódica y también cuando sea necesario. En caso de que sea necesario realizar una optimización y/o modificación, el encargado del tratamiento informará al cliente.
15. Duración del encargo
(1) El contrato entrará en vigor en el momento de la adjudicación y se celebrará por tiempo indefinido.
(2) El contrato finalizará con la rescisión del contrato principal (un paquete de aplicaciones o cualquier servicio) sin necesidad de una rescisión separada.
Las obligaciones de supresión y devolución tras la rescisión del presente contrato se rigen por el artículo 16.
(3) El cliente podrá rescindir el contrato en cualquier momento y sin previo aviso si se produce un incumplimiento grave de las disposiciones de protección de datos aplicables al encargado del tratamiento o de las obligaciones derivadas del presente contrato, si el encargado del tratamiento no puede o no quiere cumplir una instrucción dada por el cliente o si el encargado del tratamiento deniega el acceso al cliente o a la autoridad de control competente, incumpliendo el contrato.
16. Rescisión
(1) Tras la rescisión del contrato, el encargado del tratamiento devolverá al cliente o suprimirá todos los documentos, datos y resultados de tratamiento o uso creados que hayan llegado a su poder en relación con la relación contractual, a elección del cliente. La supresión se documentará de forma adecuada. Quedan sin perjuicio las obligaciones legales de conservación u otras obligaciones de almacenamiento de los datos. En el caso de los soportes de datos, estos deberán destruirse en caso de que el cliente solicite su supresión, debiéndose cumplir como mínimo el nivel de seguridad 3 de la norma DIN 66399; el cliente deberá aportar pruebas de la destrucción con referencia al nivel de seguridad de conformidad con la norma DIN 66399.
(2) El cliente tiene derecho a comprobar la devolución y supresión completas y contractuales de los datos por parte del encargado del tratamiento. Esto también puede realizarse mediante la inspección del equipo de tratamiento de datos en las instalaciones del encargado del tratamiento. La inspección in situ deberá ser anunciada por el cliente con un plazo de preaviso razonable.
17. Derecho de retención
Las partes acuerdan que queda excluida la invocación del derecho de retención por parte del encargado del tratamiento en virtud del artículo 273 del Código Civil alemán (BGB) en relación con los datos tratados y los soportes de datos asociados.
18. Disposiciones finales
(1) Si la propiedad del cliente se ve amenazada en las instalaciones del encargado del tratamiento por medidas de terceros (como el embargo o la incautación), por procedimientos de insolvencia o por otros acontecimientos, el encargado del tratamiento informará al cliente sin demora. El encargado del tratamiento informará sin demora a los acreedores de que los datos se están tratando en el marco del encargo.
(2) Los acuerdos complementarios deberán constar por escrito.
(3) En caso de que alguna parte de este contrato sea inválida, ello no afectará a la validez de las demás disposiciones del contrato.
Anexo 1 - Objeto del encargo
1. Objeto y finalidad del tratamiento
El encargo del cliente al encargado del tratamiento comprende los siguientes trabajos y/o servicios: Suministro de aplicaciones móviles (descritas con más detalle en la descripción de servicios vigente correspondiente), así como páginas web con contenido similar. Esto incluye la recogida, el tratamiento y la transmisión de los datos registrados.
2. Tipos de datos personales
Se tratan habitualmente los siguientes tipos de datos: Datos de tráfico, datos de contenido, datos de contacto, datos personales maestros y datos de comunicación (nombre, dirección, número de teléfono, número de fax, dirección de correo electrónico).
3. Círculo de personas afectadas
Círculo de personas afectadas por el tratamiento de datos: Usuarios de su cuenta, participantes que realizan o reciben llamadas o remitentes/destinatarios de SMS/fax, empleados, clientes, socios comerciales, partes interesadas y proveedores de servicios del cliente.
Si el cliente es socio del encargado del tratamiento: Datos de contacto, datos personales maestros y datos de comunicación (nombre, dirección, número de teléfono, número de fax, dirección de correo electrónico) de los contratistas/empresas recomendados por el socio que ha realizado el pedido.
El cliente está obligado a informar a los usuarios de la cuenta y, si es necesario, al comité de empresa o a representantes equivalentes sobre el tratamiento de los datos mencionados en el punto 2.
4. Lugar del tratamiento de datos:
Todos los datos se tratan en servidores ubicados dentro del Espacio Económico Europeo.
Anexo 2 - Subcontratistas
Para el tratamiento de datos por cuenta del responsable, el encargado recurre a los servicios de terceros que tratan datos en su nombre («subcontratistas»).
El encargado recurre a diversos subcontratistas para prestar sus servicios.
Estos subcontratistas son, en un primer momento, las siguientes empresas del encargado y realizan trabajos preliminares para la prestación de los servicios del encargado. Existen los acuerdos contractuales necesarios entre las empresas para el tratamiento de estos datos.
Se trata de las siguientes empresas:
Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001
Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlín,
netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe
OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Francia
Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim
CopeCart GmbH, Ufnaustrasse 10, 10553 Berlín
Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublín, D02 H210, Irlanda
Anexo 3 - Medidas técnicas y organizativas del encargado del tratamiento
El encargado del tratamiento adoptará las siguientes medidas técnicas y organizativas para la seguridad de los datos en el sentido del art. 32 del RGPD.
1. Confidencialidad
Control de acceso
Con el fin de impedir el acceso no autorizado a los sistemas de tratamiento de datos con los que se procesan o utilizan los datos, el encargado del tratamiento y sus subcontratistas, como Netcup y la división Google Cloud, han implementado exhaustivos procesos formales de control de acceso.
Las instalaciones utilizadas albergan salas de servidores y una sala de tecnología de servidores. Para el acceso, se expiden llaves electrónicas a empleados seleccionados del subcontratista. Las llaves solo autorizan al empleado del subcontratista correspondiente a abrir/cerrar puertas individuales que hayan sido aprobadas para este fin. Todas las operaciones de apertura y cierre de una llave se registran electrónicamente junto con el ID único de la llave. Solo los empleados del subcontratista autorizados directamente por la dirección son responsables de la administración de las llaves.
La sala de servidores permanece cerrada con
llave
en todo momento y solo pueden acceder a ella determinados empleados del subcontratista.
Dentro del edificio de la ubicación correspondiente, los derechos de acceso de los empleados del subcontratista —incluso aquellos que disponen de una llave— se limitan al alcance necesario para la tarea específica que deben realizar.
Durante el horario laboral, se lleva a cabo un control de las personas que acceden al edificio en la recepción, que cuenta con personal de guardia permanente. Fuera del horario laboral, todas las entradas al edificio permanecen cerradas con llave y protegidas por alarma. El edificio cuenta además con la protección de un servicio de seguridad. Todas las alarmas del sistema de alarma se comunican directamente a un servicio de seguridad.
En todos los centros de datos se aplican medidas de seguridad estándar. Estas se ajustan al estado actual de la técnica y a las mejores prácticas del sector de las tecnologías de la información. Entre ellas se incluyen sistemas electrónicos de control de acceso con registro, mediante los cuales solo se permite la entrada al edificio a personas autorizadas, sistemas de alarma, videovigilancia interior y exterior, personal de seguridad las 24 horas del día, los 7 días de la semana, sistemas de alarma, protección del edificio con alambre de púas y protección por parte de servicios de seguridad externos a los que se informa automáticamente a través de una línea de alarma dedicada en caso de que se active una alarma.
Las llaves de las salas y jaulas individuales del centro de datos deben recogerse siempre del personal de seguridad.
Control de acceso
Con el fin de garantizar que las personas autorizadas a utilizar un sistema para el tratamiento de datos solo puedan acceder a los datos sujetos a su autorización de acceso y que los datos almacenados o en proceso de tratamiento no puedan ser leídos, copiados, modificados o eliminados por personas no autorizadas, el encargado del tratamiento utiliza un sistema central para gestionar las autorizaciones de acceso. Todos los accesos se almacenan localmente y en el servidor de registros central. Los derechos administrativos solo pueden ejercerse a través de un programa de administración central.
El acceso a todos los datos se limita en la medida necesaria para que todas las personas autorizadas puedan cumplir con sus tareas específicas. Se cumplen los requisitos legales de protección de datos, en particular los del Reglamento General de Protección de Datos (RGPD) y la TKG.
Separación
El encargado
del tratamiento
procesa los datos en sistemas de servidores que están separados lógicamente mediante un sistema de controles de acceso lógicos y físicos en la red.
2. Integridad
Control de entrada
Para garantizar que el encargado del tratamiento pueda comprobar y determinar posteriormente si se han introducido, modificado o eliminado datos en los sistemas de tratamiento de datos, y quién lo ha hecho, todos los accesos a los datos almacenados del cliente se registran localmente y en el servidor de registros central.
Control
de
reenvío
Con el fin de garantizar que personas no autorizadas no puedan leer, copiar, modificar o eliminar los datos durante la transmisión electrónica, el transporte o el almacenamiento, y que sea posible verificar a dónde se pretende transferir los datos mediante sistemas de transferencia de datos, el acceso a todos los sistemas que procesan datos de clientes está sujeto a controles de acceso eficaces. Estos mecanismos de control de acceso ya se han descrito con más detalle anteriormente en el punto 3.
3. Disponibilidad y resiliencia
El encargado del tratamiento utiliza una combinación de sistemas redundantes y soluciones de copia de seguridad en todos los sistemas con el fin de proteger los datos almacenados y poder restaurarlos en caso necesario. Estos sistemas se operan exclusivamente en instalaciones protegidas y equipadas de acuerdo con el estado actual de la técnica, que cuentan con los sistemas necesarios de climatización, alarma contra incendios y humo, y para las que existen planes de emergencia detallados.
4. Procedimientos para la revisión, valoración y evaluación periódicas
Todos nuestros empleados y los del subcontratista reciben formación periódica sobre cuestiones de protección de datos. Estas formaciones se imparten íntegramente a nivel interno, de modo que es posible adaptarlas exactamente a las cuestiones relevantes para el encargado del tratamiento. Durante estas sesiones de formación también se tratan en detalle cuestiones específicas.
Todos los empleados del encargado del tratamiento que entren en contacto con el tratamiento de datos personales en el curso de su trabajo están obligados a tratar los datos personales de forma confidencial. Esto se lleva a cabo regularmente cuando se contrata a nuevos empleados mediante una declaración contractual de compromiso, que cada empleado debe realizar.
El encargado del tratamiento ha designado a un delegado de protección de datos. Junto con sus adjuntos, el delegado de protección de datos se asegurará de que las consultas de los interesados se respondan de manera oportuna.
El encargado del tratamiento llevará un registro de las actividades de tratamiento en el sentido del artículo 30, apartados 1 y 2, del RGPD. Esta lista de actividades de tratamiento no es pública.
(a fecha de 16 de febrero de 2022)