Contrato de tramitación de pedidos

entre

Cliente de conformidad con los TCG como Controlador (en adelante "Controlador"),

y

Spreadly GmbH, Forstenrieder Weg 1G, 82065 Baierbrunn, Deutschland en calidad de Encargado del Tratamiento (en lo sucesivo "Encargado del Tratamiento**", Responsable del Tratamiento y Encargado del Tratamiento conjuntamente las "Partes")

Preámbulo

El Responsable del Tratamiento ha encargado al Encargado del Tratamiento en las CGC (en lo sucesivo, el "Contrato Principal") los servicios especificados en las mismas. Parte de la ejecución del contrato es el tratamiento de datos personales. En particular, el Art. 28 GDPR impone requisitos específicos a dicho tratamiento encargado. Para cumplir con estos requisitos, las Partes celebran el siguiente Acuerdo de Tratamiento de Datos (en lo sucesivo, el "Acuerdo"), cuya ejecución no se remunerará por separado a menos que se acuerde expresamente.

§ 1 Definiciones

(1) De conformidad con el Art. 4 (7) del RGPD, el Responsable del tratamiento es la entidad que, sola o conjuntamente con otros Responsables del tratamiento, determina los fines y los medios del tratamiento de los datos personales.

(2) De conformidad con el Art. 4 (8) GDPR, un Procesador de datos es una persona física o jurídica, autoridad, institución u otro organismo que procesa datos personales en nombre del Controlador.

(3) De conformidad con el Art. 4 (1) del RGPD, se entiende por datos personales cualquier información relativa a una persona física identificada o identificable (en lo sucesivo, "Sujeto de Datos"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.

(4) Los datos personales que requieren protección especial son datos personales de conformidad con el Art. 9 GDPR que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical de los Sujetos de Datos, los datos personales de conformidad con el Art. 10 GDPR sobre condenas penales e infracciones penales o medidas de seguridad relacionadas, así como datos genéticos de conformidad con el Art. 4 (13) GDPR, datos biométricos de conformidad con el Art. 4 (14) GDPR, datos sanitarios de conformidad con el Art. 4 (15) GDPR, y datos sobre la vida sexual u orientación sexual de una persona física.

(5) Según el artículo 4, apartado 2, del RGPD, el tratamiento es cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, archivo, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

(6) De conformidad con el artículo 4 (21) del GDPR, la autoridad supervisora es un organismo estatal independiente establecido por un Estado miembro de conformidad con el artículo 51 del GDPR.

§ 2 Objeto del contrato

(1) El Encargado del tratamiento presta los servicios especificados en el Contrato principal para el Responsable del tratamiento. Al hacerlo, el Procesador de datos obtiene acceso a datos personales, que el Procesador de datos procesa para el Responsable exclusivamente en nombre del Responsable y de acuerdo con sus instrucciones. El alcance y la finalidad del tratamiento de datos por parte del Procesador de datos se establecen en el Contrato principal y en cualquier descripción de servicio asociada. El Responsable del tratamiento será responsable de evaluar la admisibilidad del tratamiento de datos.

(2) Las Partes celebran el presente Acuerdo para especificar los derechos y obligaciones mutuos en virtud de la ley de protección de datos. En caso de duda, las disposiciones del presente Acuerdo prevalecerán sobre las disposiciones del Contrato Principal.

(3) Las disposiciones de este contrato se aplicarán a todas las actividades relacionadas con el Contrato Principal en las que el Procesador de Datos y sus empleados o las personas autorizadas por el Procesador de Datos entren en contacto con datos personales procedentes del Responsable del Tratamiento o recopilados para el Responsable del Tratamiento.

(4) La duración de este Acuerdo se regirá por la duración del Contrato Principal, a menos que las siguientes disposiciones den lugar a otras obligaciones o derechos de rescisión.

§ 3 Derecho de instrucción

(1) El Procesador de datos sólo puede recopilar, procesar o utilizar datos dentro del ámbito del Contrato principal y de acuerdo con las instrucciones del Responsable del tratamiento. Si la legislación de la Unión Europea o de los Estados miembros a los que está sujeto el Procesador de datos le exige llevar a cabo un procesamiento adicional, deberá notificar al Responsable del tratamiento estos requisitos legales antes del procesamiento.

(2) Las instrucciones del Interventor se determinarán inicialmente mediante el presente Acuerdo. Posteriormente, podrán ser modificadas, completadas o sustituidas por el Interventor por escrito o en forma de texto mediante instrucciones individuales (Instrucciones Individuales). El Responsable tendrá derecho a emitir dichas instrucciones en cualquier momento. Esto incluye instrucciones relativas a la rectificación, supresión y bloqueo de datos.

(3) Todas las instrucciones emitidas serán documentadas por el Interventor. Las instrucciones que vayan más allá del servicio acordado en el Contrato Principal se tratarán como una solicitud de cambio de servicio.

(4) Si el Procesador de datos opina que una instrucción del Responsable del tratamiento infringe las disposiciones sobre protección de datos, deberá notificarlo al Responsable del tratamiento sin demora injustificada. El responsable del tratamiento tendrá derecho a suspender la ejecución de la instrucción pertinente hasta que el responsable del tratamiento la confirme o modifique. El Procesador de Datos podrá negarse a ejecutar una instrucción manifiestamente ilegal.

§ 4 Tipos de datos tratados, grupo de interesados, tercer país

(1) En el ámbito de la ejecución del Contrato Principal, el Encargado del Tratamiento tendrá acceso a los datos personales que se especifican con más detalle en el Anexo 1..

(2) El grupo de Interesados afectados por el tratamiento de datos figura en el Anexo 1.

(3) Podrá realizarse una transferencia de datos personales a un tercer país en las condiciones del Art. 44 y ss. GDPR.

§ 5 Medidas de protección del Encargado del Tratamiento

(1) El Encargado del tratamiento estará obligado a observar las disposiciones legales sobre protección de datos y a no divulgar a terceros la información obtenida del dominio del Responsable del tratamiento ni exponerla a su acceso. Los documentos y datos se protegerán contra su divulgación a personas no autorizadas, teniendo en cuenta el estado de la técnica.

(2) El Encargado del Tratamiento organizará la organización interna dentro de su ámbito de responsabilidad de forma que cumpla los requisitos especiales de la protección de datos. Deberá haber adoptado las medidas técnicas y organizativas especificadas en el Anexo 2 para proteger adecuadamente los datos del Responsable del tratamiento de conformidad con el Art. 32 GDPR, que el Responsable reconoce como adecuadas. El Responsable del tratamiento se reserva el derecho a modificar las medidas de seguridad adoptadas, garantizando al mismo tiempo que no se rebaje el nivel de protección acordado contractualmente.

(3) Las personas empleadas en el tratamiento de datos por el Procesador de Datos tienen prohibido recoger, procesar o utilizar datos personales sin autorización. El Procesador de datos obligará en consecuencia a todas las personas a las que confíe el procesamiento y la ejecución de este contrato (en adelante, "Empleados") (obligación de confidencialidad, Art. 28 (3) lit. b GDPR) y garantizará el cumplimiento de esta obligación con la debida diligencia.

(4) El Procesador de Datos ha nombrado a un responsable de la protección de datos. El responsable de la protección de datos del Procesador de Datos es heyData GmbH, Schützenstr. 5, 10117 Berlín, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Obligaciones de información del Encargado del Tratamiento

(1) En caso de perturbaciones, sospechas de violaciones de la protección de datos o incumplimientos de las obligaciones contractuales del Procesador de datos, sospechas de incidentes relacionados con la seguridad u otras irregularidades en el procesamiento de datos personales por parte del Procesador de datos, de personas empleadas por él en el ámbito del contrato o de terceros, el Procesador de datos informará al Responsable del tratamiento sin demora indebida. Lo mismo se aplicará a las auditorías del Procesador de datos por parte de la autoridad supervisora de la protección de datos. La notificación de una violación de datos personales contendrá como mínimo la siguiente información:

(a) Una descripción de la naturaleza de la violación de los datos personales, que incluya, en la medida de lo posible, las categorías y el número de interesados afectados, las categorías afectadas y el número de registros de datos personales afectados;

(b) una descripción de las medidas adoptadas o propuestas por el Responsable del Tratamiento para hacer frente a la violación y, en su caso, medidas para mitigar sus posibles efectos adversos;

(c) una descripción de las consecuencias probables de la violación de los datos personales.

(2) El Encargado del Tratamiento tomará inmediatamente las medidas necesarias para asegurar los datos y mitigar cualquier posible consecuencia adversa para los Interesados, informará de ello al Responsable del Tratamiento y solicitará nuevas instrucciones.

(3) Además, el Encargado del Tratamiento estará obligado a proporcionar información al Responsable del Tratamiento en cualquier momento en la medida en que los datos del Responsable del Tratamiento se vean afectados por una violación de conformidad con el apartado 1.

(4) El Procesador de Datos informará al Responsable del Tratamiento de cualquier cambio significativo en las medidas de seguridad de conformidad con la Sección 5 (2).

§ 7 Derechos de control del Responsable del Tratamiento

(1) El Responsable del Tratamiento puede cerciorarse de las medidas técnicas y organizativas del Encargado del Tratamiento antes del inicio del tratamiento de datos y, posteriormente, de forma periódica cada año. Para ello, el Responsable del tratamiento podrá, por ejemplo, recabar información del Responsable del tratamiento, obtener certificados existentes de expertos, certificaciones o auditorías internas o, previa coordinación oportuna, inspeccionar personalmente las medidas técnicas y organizativas del Responsable del tratamiento durante el horario laboral normal o hacer que las inspeccione un tercero competente, siempre que dicho tercero no mantenga una relación de competencia con el Responsable del tratamiento. El Responsable del Tratamiento llevará a cabo las comprobaciones sólo en la medida necesaria y no perturbará desproporcionadamente las operaciones del Encargado del Tratamiento en el proceso.

(2) El Encargado del Tratamiento se compromete a facilitar al Responsable del Tratamiento, a petición verbal o escrita de éste y en un plazo razonable, toda la información y pruebas necesarias para llevar a cabo una comprobación de las medidas técnicas y organizativas del Encargado del Tratamiento.

(3) El Responsable del Tratamiento documentará los resultados de la inspección y los notificará al Encargado del Tratamiento. En caso de errores o irregularidades que el Controlador descubra, en particular durante el control de los resultados de la inspección, el Controlador informará al Procesador de Datos sin demora indebida. Si durante el control se descubren hechos cuya evitación en el futuro requiera cambios en el procedimiento ordenado, el Responsable del Tratamiento notificará sin demora al Encargado del Tratamiento los cambios de procedimiento necesarios.

§ 8 Utilización de proveedores de servicios

(1) Los servicios acordados contractualmente se llevarán a cabo con la participación de los proveedores de servicios mencionados en el Anexo 3 (en adelante, "Subencargados del tratamiento"). El Responsable del Tratamiento concede al Encargado del Tratamiento su autorización general en el sentido del artículo 28 (2) s. 1 GDPR para contratar a Subencargados adicionales en el ámbito de sus obligaciones contractuales o para sustituir a los Subencargados ya contratados.

(2) El Encargado del tratamiento informará al Responsable del tratamiento antes de cualquier cambio previsto en relación con la participación o sustitución de un Subencargado. El Responsable del tratamiento puede oponerse a la participación o sustitución prevista de un Subencargado del tratamiento por un motivo importante en virtud de la legislación sobre protección de datos.

(3) La objeción a la implicación o sustitución prevista de un Subencargado del Tratamiento debe plantearse en el plazo de 2 semanas desde la recepción de la información sobre el cambio. Si no se presenta ninguna objeción, la implicación o sustitución se considerará aprobada. Si existe un motivo importante en virtud de la ley de protección de datos y no es posible una solución amistosa entre el Responsable y el Encargado, el Responsable tiene un derecho especial de rescisión al final del mes siguiente a la objeción.

(4) Cuando contrate a Subencargados del Tratamiento, el Encargado del Tratamiento les obligará de conformidad con lo dispuesto en el presente Acuerdo.

(5) No existe una relación de Subencargado del Tratamiento en el sentido de estas disposiciones si el Encargado del Tratamiento encarga a terceros servicios que se consideran puramente auxiliares. Entre ellos se incluyen, por ejemplo, los servicios postales, de transporte y envío, los servicios de limpieza, los servicios de telecomunicaciones sin ninguna referencia específica a los servicios prestados por el Encargado del tratamiento al Responsable del tratamiento y los servicios de vigilancia. Los servicios de mantenimiento y pruebas constituyen relaciones de Subencargado que requieren consentimiento en la medida en que se prestan para sistemas informáticos que también se utilizan en relación con la prestación de servicios para el Responsable del tratamiento.

§ 9 Solicitudes y derechos de los Interesados

(1) El Encargado del Tratamiento apoyará al Responsable del Tratamiento con medidas técnicas y organizativas adecuadas en el cumplimiento de las obligaciones del Responsable del Tratamiento de conformidad con los artículos 12 a 22 y 32 a 36 del RGPD.

(2) Si una Persona Afectada hace valer derechos, como el derecho de acceso, rectificación o supresión en relación con sus datos, directamente frente al Responsable del Tratamiento, éste no reaccionará de forma independiente, sino que remitirá a la Persona Afectada al Responsable del Tratamiento y esperará las instrucciones de éste.

§ 10 Responsabilidad

(1) En la relación interna con el Encargado del Tratamiento, el Responsable del Tratamiento será el único responsable ante el Interesado de la indemnización por daños y perjuicios sufridos por un Interesado debido a un tratamiento de datos inadmisible o incorrecto en virtud de las leyes de protección de datos o del uso dentro del ámbito del tratamiento encargado.

(2) El Procesador de Datos tendrá responsabilidad ilimitada por daños en la medida en que la causa del daño se base en un incumplimiento intencionado o por negligencia grave del deber por parte del Procesador de Datos, su representante legal o agente indirecto.

(3) El Encargado del tratamiento sólo responderá por conducta negligente en caso de incumplimiento de una obligación cuyo cumplimiento sea un requisito previo para la correcta ejecución del contrato y en cuya observancia confíe y pueda confiar regularmente el Responsable del tratamiento, pero limitada al daño medio típico del contrato. En todos los demás aspectos, la responsabilidad del Encargado del tratamiento -incluidos sus auxiliares ejecutivos- quedará excluida.

(4) La limitación de responsabilidad conforme al § 10.3 no se aplicará a las reclamaciones por daños derivados de lesiones a la vida, el cuerpo, la salud o de la asunción de una garantía.

§ 11 Rescisión del Contrato Principal

(1) Tras la rescisión del Contrato principal, el Procesador de datos devolverá al Responsable del tratamiento todos los documentos, datos y soportes de datos que se le hayan facilitado o -a petición del Responsable del tratamiento, salvo que exista la obligación de conservar los datos personales en virtud del Derecho de la Unión o de la República Federal de Alemania- los eliminará. Esto también se aplicará a cualquier copia de seguridad de datos en el Procesador de Datos. Si se le solicita, el Procesador de datos proporcionará una prueba documentada de la eliminación adecuada de cualquier dato.

(2) El Responsable del Tratamiento tendrá derecho a controlar la devolución o eliminación completa y contractual de los datos en el Procesador de Datos de forma adecuada.

(3) El Procesador de Datos estará obligado a mantener la confidencialidad de los datos de los que haya tenido conocimiento en relación con el Contrato Principal incluso después de la finalización del Contrato Principal. El presente Acuerdo seguirá siendo válido más allá de la finalización del Contrato principal mientras el Procesador de datos disponga de datos personales que le hayan sido transmitidos por el Responsable del tratamiento o que haya recopilado para el Responsable del tratamiento.

§ 12 Disposiciones finales

(1) En la medida en que el Procesador de Datos no realice expresamente acciones de apoyo en virtud de este Acuerdo de forma gratuita, podrá cobrar al Responsable del Tratamiento una tarifa razonable por ello, a menos que las propias acciones u omisiones del Procesador de Datos hayan hecho que dicho apoyo sea directamente necesario.

(2) Las modificaciones y suplementos de este Acuerdo deben hacerse por escrito. Esto también se aplicará a cualquier renuncia a este requisito formal. La prioridad de los acuerdos contractuales individuales no se verá afectada.

(3) Si alguna de las disposiciones de este Acuerdo fuera o llegara a ser total o parcialmente inválida o inaplicable, ello no afectará a la validez del resto de las disposiciones.

(4) Este acuerdo está sujeto a la legislación alemana.

Anexo 2 - Medidas técnicas y organizativas del Responsable del Tratamiento

1. Introducción

Este documento resume las medidas técnicas y organizativas adoptadas por el Procesador en el sentido del Art. 32 párr. 1 GDPR. Se trata de medidas adoptadas por el Procesador para proteger los datos personales. La finalidad del documento es ayudar al Responsable a cumplir sus obligaciones de rendición de cuentas en virtud del Art. 5 párr. 2 GDPR.

2. Confidencialidad (Art. 32 párr. 1 lit. b GDPR)

2.1 Control de entrada

Las siguientes medidas implementadas evitan que personas no autorizadas accedan a los sistemas de procesamiento de datos:

• Trabajar desde casa: las personas no autorizadas no tienen acceso al domicilio de los empleados

• Trabajar en el despacho de casa: instrucciones a los empleados para que trabajen en un despacho separado del salón, si es posible

2.2 Control de admisión

Las siguientes medidas implementadas evitan que personas no autorizadas accedan a los sistemas de procesamiento de datos:

• Autenticación con usuario y contraseña

• Uso de cortafuegos

• Uso de la gestión de dispositivos móviles

• Cifrado de soportes de datos

• Bloqueo automático del escritorio

• Gestión de autorizaciones de usuarios

• Crear perfiles de usuario

• Reglas centrales de contraseña

• Uso de la autenticación de 2 factores

• Política de la empresa sobre contraseñas seguras

• Instrucciones generales para bloquear manualmente el escritorio al abandonar el puesto de trabajo

2.3 Control de acceso

Las siguientes medidas aplicadas garantizan que las personas no autorizadas no tengan acceso a los datos personales:

• Registro del acceso a las aplicaciones (en particular al introducir, modificar y borrar datos)

• El número de administradores se mantiene lo más reducido posible

• Gestión de los derechos de los usuarios por los administradores del sistema

• Instrucción a los empleados de que los datos sólo se eliminarán previa consulta

2.4 Control de separación

Las siguientes medidas garantizan que los datos personales recogidos para distintos fines se traten por separado:

• Almacenamiento físicamente separado en sistemas o soportes de datos separados

• Separación del sistema de producción y prueba

• Separación lógica de clientes (en el lado del software)

• Definición de los derechos de la base de datos

• Instrucción interna de anonimizar/seudonimizar los datos personales en caso de divulgación o tras la expiración del plazo legal de supresión, si es posible.

3. Integridad (Art. 32 párr. 1 lit. b GDPR)

3.1 Control de transferencias

Se garantiza que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión o almacenamiento en soportes de datos y que sea posible comprobar qué personas u organismos han recibido datos personales. Se han aplicado las siguientes medidas para garantizarlo:

• Encriptación WLAN (WPA2 con contraseña segura)

• Registro de accesos y recuperaciones

• Suministro de datos a través de conexiones cifradas como SFTP o HTTPS

• Prohibición de subir datos de la empresa a servidores externos

3.2 Control de entrada

Las siguientes medidas garantizan que sea posible comprobar quién ha tratado datos personales en los sistemas de tratamiento de datos y en qué momento:

• Registrar la introducción, modificación y supresión de datos

• Control manual o automático de los registros

• Trazabilidad de la introducción, modificación y eliminación de datos mediante nombres de usuario individuales (no grupos de usuarios)

• Responsabilidades claras para las supresiones

legal.dpa.latest.annexes.2.3.2.text.6

4. Disponibilidad y resiliencia (Art. 32 párr. 1 lit. b GDPR)

Las siguientes medidas garantizan que los datos personales estén protegidos contra la destrucción o pérdida accidental y que estén siempre a disposición del cliente:

• Extintores en salas de servidores

• Dispositivos para controlar la temperatura y la humedad en salas de servidores

• Aire acondicionado en salas de servidores

• Regletas de enchufes de protección en salas de servidores

• Sistema de alimentación ininterrumpida (SAI)

• Videovigilancia en salas de servidores

• Mensaje de alarma por acceso no autorizado a salas de servidores

• Copias de seguridad periódicas

• Comprobación del proceso de copia de seguridad

• Almacenamiento de las copias de seguridad de los datos en una ubicación segura y externa

• Pruebas periódicas de recuperación de datos y registro de los resultados

• No hay instalaciones sanitarias en la sala de servidores o encima de ella

• Alojamiento (al menos de los datos más importantes) con un hoster profesional

5. Procedimientos de revisión, valoración y evaluación periódicas (Art. 32 párr. 1 lit. d GDPR; Art. 25 párr. 1 GDPR)

5.1 Gestión de la protección de datos

Las siguientes medidas pretenden garantizar que la organización cumple los requisitos básicos de la ley de protección de datos:

• Uso de la plataforma heyData para la gestión de la protección de datos

• Nombramiento del delegado de protección de datos heyData

• Obligación de los empleados de mantener el secreto de los datos

• Formación periódica sobre protección de datos para los empleados

• Mantener una visión general de las actividades de tratamiento (Art. 30 GDPR)

5.2 Gestión de la respuesta a incidentes

Las siguientes medidas tienen por objeto garantizar que se activen los procesos de notificación en caso de violación de la protección de datos:

• Proceso de notificación de violaciones de la protección de datos de acuerdo con el Art. 4 n.º 12 del GDPR a las autoridades supervisoras (art. 33 del GDPR)

• Proceso de notificación de violaciones de datos de conformidad con el Art. 4 nº 12 del RGPD a los interesados (art. 34 del RGPD)

• Participación del delegado de protección de datos en incidentes de seguridad y violaciones de datos

• Uso de cortafuegos

5.3 Ajustes por defecto respetuosos con la protección de datos (Art. 25 párr. 2 GDPR)

Las siguientes medidas tienen por objeto garantizar que se activen los procesos de notificación en caso de violación de la protección de datos:

• Proceso de notificación de violaciones de la protección de datos de acuerdo con el Art. 4 n.º 12 del GDPR a las autoridades supervisoras (art. 33 del GDPR)

• Proceso de notificación de violaciones de datos de conformidad con el Art. 4 nº 12 del RGPD a los interesados (art. 34 del RGPD)

5.4 Control de pedidos

Las siguientes medidas garantizan que los datos personales sólo puedan tratarse de acuerdo con las instrucciones:

• Instrucciones escritas al contratista o instrucciones en forma de texto (por ejemplo, a través de un acuerdo de procesamiento de datos)

• Garantizar la destrucción de los datos tras la finalización del pedido, por ejemplo, solicitando las confirmaciones correspondientes

• Confirmación de los contratistas de que comprometen a sus propios empleados al secreto de los datos (normalmente en el acuerdo de procesamiento de datos).

• Selección cuidadosa de los contratistas (especialmente en lo que respecta a la seguridad de los datos)

• Revisión continua de los contratistas y sus actividades

• Garantizar la destrucción de los datos tras la finalización del pedido, por ejemplo, solicitando las confirmaciones correspondientes

Versión 1.3, en vigor el 10 de abril de 2024