1. Objeto y vigencia del APD

   1.1 Objeto

   • 1.1.1 El objeto del APD resulta de las Condiciones de Uso celebradas entre el Procesador y el Responsable del tratamiento sobre la prestación del Application Beam (en lo sucesivo, "Contrato Principal").

   1.2 Vigencia

   • 1.2.1 La vigencia del presente APD viene determinada por la vigencia del Contrato Principal. El derecho a rescindir este APD sin previo aviso por causa justificada no se verá afectado. Para ser efectivas, las rescisiones deberán hacerse por escrito. El tratamiento de datos en virtud del presente APD solo se llevará a cabo fuera de la Unión Europea y del Espacio Económico Europeo, siempre que se cumplan los requisitos de protección de datos necesarios del artículo 44 y siguientes del GDPR. GDPR.

   
   
   

2. Especificación del ámbito de aplicación del APD

   2.1 Naturaleza y finalidad del tratamiento de datos previsto

   • 2.1.1 Los datos del Responsable serán tratados por el Encargado del tratamiento con el fin de ejecutar el Contrato principal.

   2.2 Tipo de datos y categorías de interesados

   • 2.2.1 El Responsable del tratamiento es el encargado del tratamiento.1 El objeto del tratamiento de datos personales son los tipos/categorías de datos especificados en el Anexo 1 y las categorías de personas especificadas en el mismo.

1. Medidas técnicas y organizativas

   3.1 El Procesador establecerá la seguridad de conformidad con los artículos 28 (3) (c) y 32 GDPR, en particular en relación con el artículo 5 (1), (2) GDPR.

   3.2 El Procesador ha documentado la implementación de las medidas técnicas y organizativas requeridas antes del inicio del procesamiento, en particular con respecto a la ejecución específica de la DPA en Anexo 2. El Responsable del tratamiento está de acuerdo con las medidas enumeradas en el Anexo 2 y las ha aceptado como apropiadas. En la medida en que la inspección/auditoría del Responsable del tratamiento revele la necesidad de adaptación, las adaptaciones necesarias se llevarán a cabo de forma amistosa.

   3.3 Las medidas técnicas y organizativas están sujetas a avances técnicos y desarrollos posteriores. A este respecto, se permitirá al Encargado del tratamiento aplicar medidas alternativas adecuadas. Al hacerlo, no deberá menoscabarse el nivel de seguridad de las medidas especificadas. Se documentarán los cambios significativos.

   3.4 Se permite el tratamiento de datos por parte de empleados del encargado del tratamiento fuera de sus instalaciones (trabajo móvil). El Responsable del tratamiento reconoce que en estos casos las medidas técnicas y organizativas descritas en el Anexo 2 no se ajustan plenamente. No obstante, el Encargado del tratamiento garantiza que también adoptará las medidas técnicas y organizativas adecuadas para el tratamiento de datos en virtud del presente APD fuera de sus propios locales comerciales. El Encargado del tratamiento presentará las directrices propias de la empresa sobre el trabajo móvil al Responsable del tratamiento a petición de este último.

1. Rectificación, limitación y supresión de datos

   4.1 El Encargado del tratamiento no podrá rectificar, suprimir o limitar el tratamiento de los datos tratados en virtud del presente APD por su propia cuenta, sino únicamente de conformidad con las instrucciones del Responsable del tratamiento. En caso de que un interesado se ponga en contacto directamente con el encargado del tratamiento para hacer valer el derecho de rectificación, supresión o limitación, el encargado del tratamiento remitirá la solicitud al responsable del tratamiento.

   
   
   

2. Garantía de calidad y otras obligaciones del encargado del tratamiento

   5. El encargado del tratamiento no podrá rectificar, suprimir o limitar el tratamiento de los datos.1 Además del cumplimiento de las disposiciones del presente APD, el Encargado del tratamiento tiene obligaciones legales de conformidad con los artículos 28 a 33 del RGPD; a este respecto, el Encargado del tratamiento garantizará en particular el cumplimiento de los siguientes requisitos:

   • 5.1.1 El Encargado del tratamiento es consciente de que puede tratar datos de la empresa que requieren una confidencialidad especial y, en su caso, también secretos comerciales del Responsable del tratamiento. Por lo tanto, al realizar el tratamiento, el Encargado del tratamiento sólo empleará a trabajadores que estén obligados a mantener la confidencialidad y que se hayan familiarizado previamente con las disposiciones de protección de datos que les afecten. El Encargado del tratamiento informará a sus empleados del carácter extraordinariamente confidencial de dichos datos y sensibilizará y formará a todos los empleados en consecuencia. El encargado del tratamiento y cualquier persona bajo su control que tenga acceso a datos personales podrán tratar dichos datos exclusivamente de conformidad con las instrucciones del responsable del tratamiento, incluidas las autorizaciones concedidas en el presente APD, a menos que estén obligados por ley a tratarlos. Las obligaciones de confidencialidad de mayor alcance de conformidad con la sección 9 no se verán afectadas.

   • 5.1.2 El Responsable y el Encargado del tratamiento cooperarán, previa solicitud, con la autoridad de control en el desempeño de sus funciones.

   • 5.1.3 El responsable del tratamiento será informado sin demora indebida sobre las acciones y medidas de control de la autoridad de control, en la medida en que estén relacionadas con el presente APD. Esto también se aplicará en la medida en que una autoridad competente investigue en el contexto de una infracción administrativa o de un procedimiento penal en relación con el tratamiento de datos personales en el marco del presente APD por parte del encargado del tratamiento.

   • 5.1.4 En la medida en que el Responsable del tratamiento sea objeto de una inspección por parte de la autoridad de control, de un procedimiento administrativo o penal, de una reclamación de responsabilidad de un interesado o de un tercero o de cualquier otra reclamación en relación con el tratamiento de datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento, el Encargado del tratamiento apoyará al Responsable del tratamiento con sus mejores esfuerzos.

   • 5.1.5 El Responsable del tratamiento supervisará periódicamente el tratamiento de los datos personales en el marco del presente APD por parte del Encargado del tratamiento.5 El Procesador supervisará periódicamente los procesos internos, así como las medidas técnicas y organizativas para garantizar que el tratamiento en el ámbito de responsabilidad del Procesador se lleve a cabo de conformidad con los requisitos de la ley de protección de datos aplicable y que se garantice la protección de los derechos de los interesados.

   5.2 El Procesador apoyará al Controlador en el cumplimiento de las obligaciones estipuladas en los artículos 32 a 36 del GDPR en relación con la seguridad de los datos personales, las obligaciones de notificación de violación de datos, las evaluaciones de impacto de protección de datos y las consultas previas. Esto incluye, entre otras, la obligación de:

   • 5.2.1 Garantizar un nivel adecuado de protección de datos mediante medidas técnicas y organizativas que tengan en cuenta las circunstancias y los fines del tratamiento, así como la probabilidad y gravedad previstas de una posible violación de la seguridad, y permitir una detección inmediata de los incidentes pertinentes.

   • 5.2.2 Informar al Responsable del tratamiento de las violaciones de los datos personales sin demora indebida

   • 5.2.3 Apoyar al Responsable del tratamiento en el cumplimiento de su obligación de proporcionar información al interesado y facilitarle toda la información pertinente en este contexto sin demora indebida

   • 5.2.4 Apoyar al Responsable del tratamiento en el cumplimiento de su obligación de proporcionar información al interesado.2.4 Apoyar al Responsable del tratamiento en las evaluaciones de impacto sobre la protección de datos

   • 5.2.5 Apoyar al Responsable del tratamiento en las consultas previas con la autoridad de control.

   5.3 En el caso de servicios de apoyo no acordados en el Contrato principal o debidos a una conducta indebida del Responsable del tratamiento, este podrá reclamar una indemnización razonable.

   
   
   

3. Subprocesadores

   6.1 Los "Subprocesadores" en el sentido de esta disposición son proveedores de servicios que prestan servicios directamente relacionados con la ejecución del servicio principal en virtud del presente APD. No se incluyen en el término "subencargado del tratamiento" los proveedores de servicios que prestan servicios auxiliares al encargado del tratamiento, por ejemplo, servicios de telecomunicaciones, servicios de correo/transporte, mantenimiento y servicio al usuario o la eliminación de soportes de datos, así como otras medidas para garantizar la confidencialidad, disponibilidad, integridad y resistencia del hardware y software de los sistemas de tratamiento de datos. No obstante, el Responsable del tratamiento estará obligado a aplicar acuerdos contractuales adecuados y conformes con la legislación, así como medidas de control para garantizar la protección de datos y la seguridad de los datos del Responsable del tratamiento, incluso en el caso de servicios auxiliares externalizados.

   6.2 El Responsable del tratamiento acepta la contratación de los Subencargados del tratamiento enumerados en el Anexo 3, siempre que se celebre un acuerdo contractual entre el Responsable del tratamiento y el Subencargado del tratamiento respectivo de conformidad con el artículo 28, apartados 2 a 4, del RGPD.

   6.3 Se permitirá la subcontratación del tratamiento de datos a otros Subencargados o el cambio de los Subencargados encargados, siempre que:

   • 6.3.1 El Encargado del tratamiento notifique al Responsable del tratamiento la subcontratación a Subencargados por escrito o en forma de texto con una antelación razonable

   • 6.3.2 El Responsable del tratamiento no se oponga a la subcontratación.3.2 El Responsable no se opone por escrito y

   • 6.3.3 Se utiliza como base contractual un acuerdo contractual de conformidad con el artículo 28 (2) a (4) del GDPR.

   6.4 La objeción de acuerdo con la sección 6.3.2 debe realizarse en un plazo de un mes después de que se haya proporcionado la información. En caso de objeción, el Responsable del tratamiento asumirá las consecuencias (por ejemplo, imposibilidad subjetiva de ejecución) y los costes adicionales derivados del hecho de que no se pueda encargar al Subencargado del tratamiento. Si el Encargado del tratamiento no puede prestar el servicio acordado en el Contrato principal debido a la objeción o solo puede hacerlo a un costo económicamente irrazonable, el Encargado del tratamiento tendrá un derecho extraordinario de rescisión.

   6.5 La transferencia de datos personales del Responsable al Subencargado del tratamiento y la contratación inicial de los Subencargados del tratamiento solo se permitirán una vez que se hayan cumplido todos los requisitos para la externalización del tratamiento de datos a Subencargados del tratamiento.

   6.6 En caso de que el Subencargado del tratamiento preste el servicio acordado fuera de la UE/EEE, el Responsable del tratamiento se asegurará de que el servicio prestado por el Subencargado del tratamiento cumple la legislación en materia de protección de datos adoptando las medidas oportunas. Lo mismo se aplicará en caso de que se asignen proveedores de servicios que presten servicios auxiliares en el sentido de la Sección 6.1.

   6.7 La subcontratación adicional por parte del Subencargado del tratamiento solo está permitida dentro del ámbito de las disposiciones legales.

   
   
   

4. Derechos de control del Responsable del tratamiento

   7.1 El Responsable del tratamiento tendrá derecho, previa consulta con el Encargado del tratamiento, a realizar inspecciones en los locales comerciales del Encargado del tratamiento o a encargar inspecciones a inspectores que se nombrarán en casos concretos. El responsable del tratamiento tendrá derecho a convencerse del cumplimiento de la presente DPA por parte del encargado del tratamiento en los locales comerciales del encargado durante el horario laboral mediante inspecciones aleatorias, que deberán notificarse con al menos cuatro semanas de antelación. Dichas inspecciones se llevarán a cabo como máximo una vez al año.

   7.2 El Encargado del tratamiento garantizará que el Responsable del tratamiento pueda convencerse del cumplimiento por parte del Encargado del tratamiento de sus obligaciones de conformidad con el art. 28 del RGPD. El Procesador se compromete a proporcionar al Controlador la información necesaria a petición y, en particular, a proporcionar pruebas de la implementación de las medidas técnicas y organizativas acordadas contractualmente.

   7.3 La prueba de esas medidas, no solo en relación con el tratamiento de datos específico en virtud de este APD, puede proporcionarse mediante

   • 7.3.1 Cumplimiento de códigos de conducta aprobados de conformidad con el artículo 40 GDPR

   • 7.3.2 Cumplimiento de códigos de conducta aprobados de conformidad con el artículo 40 GDPR

   • 7.3.2 Cumplimiento de códigos de conducta aprobados de conformidad con el artículo 40 GDPR.3.2 Certificación de conformidad con un procedimiento de certificación aprobado con arreglo al artículo 42 del RGPD

   • 7.3.3 Atestados, informes o extractos de informes actuales de organizaciones independientes (por ejemplo, auditores, responsables de protección de datos, departamentos de seguridad de TI, auditores de protección de datos, auditores de calidad)

   • 7.3.4 Certificación adecuada de auditoría de seguridad de TI o de protección de datos (por ejemplo, conforme a las normas de seguridad informática de la Oficina Federal de Seguridad de la Información)

   7.4 El Encargado del tratamiento podrá reclamar una remuneración razonable por permitir al Responsable del tratamiento llevar a cabo las inspecciones.

   
   
   

5. Autorización al Responsable del tratamiento para dar instrucciones

   8.1 El Responsable del tratamiento confirmará inmediatamente las instrucciones verbales al menos en forma de texto (instrucción documentada). El Responsable del tratamiento no podrá derivar derecho alguno de las instrucciones que no hayan sido confirmadas en forma de texto a su debido tiempo.

   8.2 El Encargado del tratamiento notificará al Responsable del tratamiento en caso de que éste opine que una instrucción infringe la normativa de protección de datos. El Encargado del tratamiento tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que el Responsable del tratamiento haya confirmado o modificado la instrucción.

   8.3 El Encargado del tratamiento estará obligado a tratar de forma confidencial todos los conocimientos sobre datos personales, secretos comerciales y medidas de seguridad de datos del Responsable del tratamiento obtenidos en el marco de la relación contractual.

1. Confidencialidad

   9.1 El Encargado del tratamiento estará obligado a obtener conocimiento de información confidencial únicamente en la medida en que sea necesario para el cumplimiento de sus funciones frente al Responsable del tratamiento. En la medida en que el Encargado del tratamiento emplee a empleados o prestadores de servicios para la ejecución del contrato, el Encargado del tratamiento impondrá a estas personas las mismas obligaciones de la presente DPA. Las declaraciones correspondientes se presentarán al responsable del tratamiento a petición de éste. El Encargado del tratamiento también podrá presentar declaraciones de muestra, siempre que la presentación de todas las declaraciones presentadas resulte desproporcionada por motivos jurídicos o fácticos en el caso concreto y siempre que el Encargado del tratamiento garantice por escrito que todos los empleados / proveedores de servicios pertinentes se han obligado de conformidad con esta muestra. La Sección 6 y, en particular, la Sección 6.1 no se verán afectadas en ningún caso.

   9.2 En la medida en que ya se haya acordado una obligación de confidencialidad entre el Responsable del tratamiento y el Encargado del tratamiento en el Contrato principal o en otro lugar, las disposiciones sobre confidencialidad de esta Sección 9 se aplicarán además de dicha obligación de confidencialidad. En caso de conflicto en relación con una situación concreta, se aplicará al Encargado del tratamiento la disposición más estricta.

   9.3 La obligación de mantener la confidencialidad establecida en esta Sección 9 continuará aplicándose durante un periodo de tiempo ilimitado tras la finalización de la relación contractual.

1. Borrado y devolución de datos personales

   10.1 No se crearán copias o duplicados de los datos sin el conocimiento del Encargado del tratamiento. Esto no se aplicará a las copias de seguridad en la medida en que sean necesarias para garantizar el correcto tratamiento de los datos, así como el tratamiento de datos que sea necesario para cumplir con las obligaciones legales de conservación.

   10.2 Tras la finalización de los servicios acordados contractualmente o antes a petición del Responsable del tratamiento -a más tardar tras la finalización del Contrato principal-, el Encargado del tratamiento estará obligado a devolver al Responsable del tratamiento o, previo consentimiento, a destruir de conformidad con la ley de protección de datos todos los documentos, resultados de tratamiento y utilización creados, así como los archivos de datos relacionados con la relación contractual que hayan llegado a su poder. Lo mismo se aplicará al material de prueba y de rechazo.

   10.3 La documentación que sirva como prueba del correcto tratamiento de los datos de conformidad con el presente APD será conservada por el encargado del tratamiento más allá de la vigencia del APD de conformidad con los respectivos plazos de conservación. El Encargado del tratamiento podrá entregarlos al Responsable del tratamiento al término de la vigencia del APD a fin de liberar al Encargado del tratamiento.

1. Responsabilidad

   11. El Encargado del tratamiento conservará la documentación en su poder.1 En caso de que las reclamaciones por daños y perjuicios en el sentido del artículo 82 del GDPR, multas en el sentido del artículo 83 del GDPR y/u otras sanciones en el sentido del artículo 84 del GDPR sean amenazadas o impuestas contra una Parte en relación con las actividades de tratamiento cubiertas por este DPA, esa Parte respectiva informará a la otra Parte al respecto en forma de texto sin demora indebida. El Responsable y el Encargado del Tratamiento están obligados a apoyarse mutuamente en la defensa contra las reclamaciones mencionadas.

   11.2 El Responsable y el Encargado del Tratamiento serán responsables del tratamiento de datos en la relación externa de conformidad con las leyes pertinentes. La responsabilidad en la relación interna entre el Responsable y el Encargado del tratamiento se regirá por las disposiciones del Contrato principal.

1. Disposiciones finales

   12.1 Las disposiciones del presente APD solo se aplicarán al tratamiento de datos personales de conformidad con el artículo 28 del GDPR y prevalecerán sobre cualquier disposición contradictoria o divergente del Contrato principal en esta medida.

   12.2 Todas las modificaciones del presente APD deberán realizarse por escrito. Esto también se aplicará a cualquier modificación de esta cláusula de forma escrita. La forma escrita también podrá cumplirse mediante un intercambio de cartas (con la excepción de los avisos de rescisión) o mediante firmas transmitidas electrónicamente (fax, transmisión de firmas escaneadas por correo electrónico). No obstante, el artículo 127 (2) y (3) del Código Civil alemán ("BGB") no será de aplicación en todos los demás aspectos.

Anexo 1. Categorías de interesados y categorías de datos personales: Categorías de interesados y categorías de datos personales

a) Categorías de interesados

• Empleados del Responsable del tratamiento

• Accionistas y miembros del Consejo de Administración del responsable del tratamiento

• Socios comerciales del responsable del tratamiento

• Clientes del responsable del tratamiento

• Proveedores/prestadores de servicios (incluidos sus empleados)

b) Pedido-datos relacionados con el pedido

Todos los datos específicos del cliente que sean necesarios para el cumplimiento del pedido principal

Apéndice 2. Datos relacionados con el pedido: Medidas técnicas y organizativas 

Confidencialidad

a) Control de acceso

Ningún acceso no autorizado a los sistemas de procesamiento de datos, garantizado por:

• Tarjetas magnéticas o con chip

• Abrepuertas eléctricos

• Seguridad o portero

• Sistemas de alarma

• Sistemas de vídeo

  • b) Control de acceso

    Sin uso no autorizado del sistema, garantizado por:

    • Contraseñas (seguras)

    • Autenticación de dos factores

    c) Control de acceso

    Sin lectura, copia, modificación o eliminación no autorizadas dentro del sistema, garantizado por:

    • Conceptos de autorización

    • Derechos de acceso basados en las necesidades

    • Registro de accesos

    d) Control de separación

    Tratamiento separado de los datos recogidos para diferentes fines, garantizado por:

    • Capacidad multicliente

    • Sandboxing

    e) Pseudonimización

    El tratamiento de datos personales de forma que los datos ya no puedan atribuirse a un interesado concreto sin recurrir a información adicional, siempre que dicha información adicional se almacene por separado y esté sujeta a medidas técnicas y organizativas adecuadas.

    Integridad

    a) Control de las transferencias

    No lectura, copia, modificación o supresión no autorizadas durante la transmisión o el transporte electrónicos, garantizadas por:

    • Encriptación

    • Redes Privadas Virtuales (VPN)

    • Firma electrónica

    b) Control de entrada

    Determinar si los datos personales han sido introducidos en los sistemas de tratamiento de datos, modificados o eliminados, y quién lo ha hecho, garantizado por:

    • Registro

    • Gestión de documentos

    
    Disponibilidad y resiliencia

    a) Control de disponibilidad

    Protección contra la destrucción o pérdida accidental o intencionada, garantizada por la estrategia de copias de seguridad (en línea/fuera de línea; on-site/off-site)

    • Sistema de alimentación ininterrumpida (SAI)

    • Protección antivirus

    • Firewall

    • Canales de notificación

    • Planes de emergencia

    b) Recuperabilidad rápida

    Rapidez de recuperación garantizada por    

    • Copias de seguridad periódicas y estrategia de copia de seguridad adecuada (online / offline; on-site/off-site).

    
    Procedimientos para la revisión, valoración y evaluación periódicas

    a) Gestión de la protección de datos

    b) Gestión de respuesta a incidentes

    c) Configuración predeterminada respetuosa con la privacidad

    d) Control de contratos

    Ningún tratamiento de datos en el sentido del artículo 4 (8), 28 GDPR sin las instrucciones correspondientes del Responsable del tratamiento, garantizado por:

    • Diseño claro del contrato

    • Gestión formalizada

    • Selección estricta del proveedor de servicios

    • Obligación de convencer por adelantado

    • Inspecciones de seguimiento

    Anexo 3: Subencargados del tratamiento 

    El Responsable del tratamiento acepta el encargo de los Supencargados del tratamiento enumerados en este Anexo 3, siempre que se celebre un acuerdo contractual entre el Subencargado del tratamiento respectivo de conformidad con el artículo 28 (2) - (4) del GDPR.

    • Amazon Web Services - Cloud Hosting- (Estándar) - Alemania

    • Google Cloud Platform - Single-Sign On (Estándar) - Alemania

    • Azure OpenAI Service - Private OpenAI Model Deployments (Estándar) - Suiza, Francia, Suecia, Alemania