Contratoencargo de tratamiento de datos personales
Conforme a lo previsto por el art. 28 III.1. RGPD
- – en adelante contrato de tratamiento de datos –
Entre (el)
- Usuario de la página web paginawebgratis.es
- – En adelante denominado el „responsable“ –
Y (la)
- Denominación/empresa:webme GmbH
- Calle y nr.:Strassburger Strasse 55
- Código postal, lugar, región:10405 Berlin, Alemania
- Número de registro mercantil:Juzgado de primera instancia de Charlottenburg, HRB 244053 B
- Administrador:Sven Lubek
- – En adelante el „Encargado“ –
- – El Responsable y el Encargado se denominan de forma conjunta las partes contractuales –
Anexos
- Anexo 1 „Concepto de seguridad“
- Anexo 2 „Subcontrataciones“
1. Objeto del encargo, categorías de datos, afectados, tipo, alcance y objetivo del tratamiento (art. 28 III, 30 II RGPD)
1.1. El objeto del contrato de encargo de tratamiento de datos entre las partes, el tratamiento de datos personales (art. 4 RGPD en adelante „datos“, las personas afectadas por el tratamiento („afectados“) así como el tipo, alcance y finalidad del tratamiento se determinan por las siguientes condiciones legales entre las partes (en adelante „el contrato principal“):
Contrato sobre el uso del sistema modular de páginas web y los servicios y funciones asociados al mismo.
Los acuerdos de este contrato de encargo de tratamiento prevalecen sobre el contrato principal.
1.2. Tipo de datos:
- Datos básicos (por ejemplo, nombre, direcciones).
- Datos de contacto (por ejemplo, e-mail, números de teléfono).
- Datos de contenido (por ejemplo, textos fotografías, vídeos).
- Datos contractuales (objeto del contrato, duración, categoría de cliente).
- Datos de pago (por ejemplo, datos bancarios, historial de pagos).
- Datos de uso (por ejemplo, intereses, páginas web visitadas, comportamiento de compras, tiempo de acceso, datos de protocolo).
- Metadatos / datos de comunicación (por ejemplo,IDs de los dispositivos, direcciones IP).
1.3. Tratamiento de categorías especiales de datos (art. 9.I RGPD):
- En principio no se tratan datos de categorías especiales salvo que el responsable /sus clientes, usuarios o empleados hayan provocado el tratamiento.
1.4. Categoría de los afectados:
- Clientes / interesados
- Usuarios y visitantes de las páginas web creadas con el sistema modular.
1.5. Finalidad del tratamiento:
- Espacio de almacenamiento (webhosting).
- Servicios de software as a Services (SaaS).
- Registro de dominios.
- Administración del servidor / mantenimiento del hardware.
2. Responsabilidad y derecho de instrucción
2.1. El Responsable, es responsable de acuerdo con. Art. 4 No. 7 RGPD para con el cumplimiento de las normas de protección de datos, en particular para la selección del encargado, los datos transferidos a este y las instrucciones emitidas. (art. 28. III letra a, 29 y 32.IV RGPD).
2.2. El Encargado sólo puede tratar datos en el marco del contrato principal o conforme a las instrucciones del Responsable (lo que se aplica especialmente en relación a la corrección, supresión o limitación del tratamiento) y el tratamiento resulte necesario a tal efecto, salvo que el Encargado tenga la obligación legal de realizar el tratamiento conforme al Derecho de la Unión Europea o de los Estados miembros que se aplica al Encargado. En este caso, el Encargado informará al responsable de los requisitos legales que exigen el tratamiento siempre y cuando la normativa aplicable prohíba dicha comunicación por un motivo de interés público importante (art. 28.III.2 letra a RGPD).
2.3. El Responsable tiene derecho a impartir instrucciones adicionales en relación al tratamiento de los datos y las medidas de seguridad.
2.4. Si el Encargado considera que una instrucción del Responsable infringe la normativa de protección de datos aplicable, informará al Responsable de inmediato. En este caso, el Encargado tiene derecho a suspender la ejecución de la instrucción hasta la confirmación de la instrucción por parte del responsable y rechazarla en caso de instrucciones obviamente ilegales.
2.5. El Encargado puede rechazar las instrucciones, si éstas no resultan viables o resultan irrazonables para el Encargado (en particular, porque su cumplimiento sería desproporcionado en términos de esfuerzo o falta de posibilidades técnicas). La denegación solo puede tener lugar con la debida consideración de la protección de los datos de las personas involucradas y da derecho al Responsable a la rescisión extraordinaria del contrato de encargo de tratamiento de datos, si no se espera que el Responsable continúe haciéndolo. Si la rescisión se produce antes de la finalización del período contractual establecido, el Responsable está obligado a continuar pagando el precio acordado, a menos que y en la medida en que la razón de la instrucción que dio lugar a la rescisión fuera atribuible al Encargado o estuviera en la esfera de riesgo del Encargado.
2.6. Si las instrucciones del Responsable van más allá de la obligación de prestación de servicio del Encargado conforme al contrato principal y no se derivan de un comportamiento erróneo del Encargado, el Responsable tendrá que abonar al Encargado el sobrecoste generado.
2.7. Las partes pueden determinar personas autorizadas para impartir y recibir instrucciones (en especial cuando éstas no se desprendan del contrato principal) y están obligadas a notificar su modificación a la mayor brevedad.
3. Plan de seguridad y las obligaciones relacionadas con el mismo
3.1. El Encargado diseñará su organización empresarial interna en su esfera de responsabilidad conforme a los requisitos legales y en especial aplicará medidas técnicas y organizativas (en adelante „MTOs“) para garantizar la confidencialidad, integridad y disponibilidad de los datos del Responsable, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas (art. 28.III y 32-39 junto con el art. 5 RGPD). Entre las MTOs se incluye en particular el control de acceso, control de entrada, control de acceso, control de cesión, control de introducción, control de encargo, control de disponibilidad, control de separación y aseguramiento de los derechos de los Afectados.
3.2. Las MTOs derivadas de este contrato de encargo se desprenden del „Anexo 1 plan de seguridad“. Éstas se pueden desarrollar o sustituir por medidas de seguridad adecuadas conforme al avance de la técnica siempre y cuando no se reduzca el nivel de seguridad de las medidas de seguridad determinadas y que se comuniquen al Responsable las modificaciones sustanciales.
3.3. El Encargado garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria; (artículo 28 (3) (2) (b) y (29), 32 (4) RGPD) y hayan sido instruidas en las disposiciones de protección de RGPD o están sujetos a una obligación legal de confidencialidad apropiada.
3.4. Los datos y soportes de datos entregados y cualquier copia realizada en el marco del contrato de encargo permanecerán en propiedad del Responsable y deben ser conservados con precaución por el Encargado con protección frente al acceso por parte de terceros no autorizados y sólo podrán ser destruidos con la autorización del Responsable y conforme a la normativa de protección de datos. Sólo se podrán realizar copias para cumplir con las obligaciones de servicio u obligaciones accesorias frente al Responsable (por ejemplo back ups).
3.5. El Encargado nombrará un delegado de protección de datos conforme a lo previsto por la ley si así lo determina el RGPD o la normativa nacional e informará al Responsable (art. 37 a 39 RGPD).
4. Obligaciones de información y obligaciones de participación
4.1. Los derechos de los afectados deberán hacerse valer frente al Responsable, si bien el Encargado apoyará al Responsable en el sentido del Art. 28.3.2 letra e RGPD y le informará sobre las consultas que lleguen de cualquier afectado.
4.2. El Responsable informará al Encargado a la mayor brevedad y de forma completa, cuando en relación al tratamiento de datos personales constate un error o irregularidad en relación al cumplimiento de las condiciones del presente contrato de encargo de tratamiento de datos o de las normas de protección de datos aplicables.
4.3. En el caso de que el Encargado constate hechos que permitan concluir que se han lesionado los derechos relativos a los datos tratados para el Responsable, deberá informar al Responsable a la mayor brevedad y de forma completa, adoptar medidas de protección necesarias y apoyar al Responsable en el cumplimiento de las obligaciones previstas en el art. 33 y 34 RGPD.
4.4. Si la seguridad de los datos del Responsable estuviese en riesgo debido a medidas de terceros (acreedores, administración, tribunales etc) (embargo, ejecución, procedimiento de insolvencia, etc) el Encargado informará a los terceros a la mayor brevedad sobre la titularidad y la propiedad de los datos en favor del Responsable y adoptará en su caso, las correspondientes medidas de protección (por ejemplo oposición, solicitudes etc).
4.5. El Encargado informará al Responsable a la mayor brevedad si una autoridad de supervisión actúa frente al Encargado y su actuación afecta a los datos tratados para el Responsable. El Encargado apoyará al Responsable en el cumplimiento de sus obligaciones (en especial información y toleración de controles) frente a las autoridades de supervisión (art. 31 RGPD).
4.6. El Encargado pondrá a disposición del Responsable la información sobre el tratamiento de datos en el marco de este contrato de encargo de tratamiento y que sean necesarios para el cumplimiento de las obligaciones legales (entre las que se encuentra en particular consultas de afectados o de la administración y del cumplimiento de sus obligaciones de reporte conforme al art. 5.II RGPD así como la evaluación de riesgos y consecuencias de protección de datos conforme al art. 35 RGPD), siempre y cuando el Responsable no pueda obtener esta información por sus propios medios. La información tiene que estar a disposición del Encargado y no tienen que ser puestas a disposición por terceros, si bien los empleados, subcontratistas y encargados del Encargado no se consideran terceros a estos efectos.
4.7. Si la provisión de la información necesaria y la participación en la obligación de servicio del Encargado va más allá del contrato principal y no se derivan de un comportamiento erróneo del Encargado, el Responsable, tendrá que abonar al Encargado el sobrecoste generado.
5. Permisos de acceso
5.1. El Responsable tiene derecho de controlar el cumplimiento de los requisitos legales y de las condiciones del presente contrato de tratamiento de datos y en especial de las MTOs en cualquier momento y en la forma necesaria (art. 28.III letra h RGPD).
5.2. Los controles in situ se realizarán en horario de oficina y deberán ser anticipados por el Responsable con un plazo apropiado (mínimo de 14 días salvo en emergencias) y el Encargado deberá prestar su apoyo (por ejemplo poniendo personal a su disposición).
5.3. Los controles quedan limitados al alcance necesario y deben respetar los secretos comerciales y comerciales del Encargado, así como la protección de datos personales de terceros (como otros clientes o empleados del Encargado). Solo las personas con conocimientos necesarios están autorizadas para llevar a cabo el control, quienes pueden legitimarse y también están obligadas a mantener la confidencialidad con respecto a los secretos y procesos comerciales y comerciales del Encargado y los datos personales de terceros.
5.4. El Encargado puede remitir al Responsable a un control equivalente por ejemplo por terceros independientes (por ejemplo auditores de protección de datos neutrales), cumplimiento de un código de conducta aprobado (articulo 40 RGPD) o certificaciones de protección de datos o de seguridad de la información conforme al artículo 42 RGPD. Esto se aplica especialmente cuando los controles pudiesen poner en peligro los secretos comerciales o de negocio del Encargado o los datos personales de terceros.
5.5. Si el consentimiento y cooperación en los controles o las medidas apropiadas alternativas del Responsable exceden la obligación de servicio del Encargado conforme al Contrato Principal y no se basan en un comportamiento incorrecto del Encargado, el Responsable deberá compensar el sobrecoste generado al Encargado.
6. Regimen de subcontratación
6.1. Si el Encargado utiliza los servicios de un encargado sucontratado (es decir, subcontratista) para realizar ciertas actividades de tratamiento en nombre del responsable, debe otorgar al subcontratista las mismas obligaciones de protección de datos en virtud de un contrato u otro instrumento legal permitido por el RGPD. bajo este contrato de encargo (en particular con respecto al cumplimiento de las instrucciones, el cumplimiento de las MTOs, la información y la tolerancia de los controles). Además, el Encargado debe seleccionar cuidadosamente el subcontratista, verificar su fiabilidad y monitorizar su cumplimiento con los requisitos contractuales y legales.
6.2. Sin perjuicio de las limitaciones impuestas por el Contrato Principal, el Responsable acepta expresamente que el Encargado puede utilizar subcontratistas como parte de la ejecución del encargo.
6.3. Las relaciones con subcontratistas anteriores al presente contrato de encargo se detallan en el „Anexo 2 subcontrataciones“ y se consideran autorizadas por el Responsable.
6.4. El Encargado informará al Responsable sobre los cambios en los subcontratistas que son responsables del encargo de tratamiento. El Responsable ejercerá su derecho a objetar los cambios o nuevos subcontratistas solo de acuerdo con los principios de buena fe y su adecuación y equidad.
6.5. No se consideran subcontrataciones en el sentido de los acuerdos del presente contrato las relaciones contractuales por las que el Encargado recibe servicios como meras actividades secundarias para poder ejercer su actividad (por ejemplo, limpieza, vigilancia o servicios de transporte). Sin perjuicio de lo anterior el Encargado deberá asegurarse, por ejemplo, mediante acuerdos contractuales, instrucciones o advertencias que no se pone en peligro la seguridad de los datos y que se respetan las condiciones del presente contrato de encargo y de la normativa de protección de datos.
7. Tratamiento en tercerospaíses
7.1. El tratamiento de datos acordado contractualmente se presta exclusivamente en un Estado miembro de la Unión Europea o en otro Estado parte del Espacio Económico Europeo.
7.2. El tratamiento mediante encargo en un tercer estado incluso a través de un subcontratista deberá ser aprobado previamente por el Responsable y sólo se podrá realizar cuando se cumplan los requisitos especiales de los artículos 44 RGPD y siguientes, a no ser que el Encargado esté obligado al tratamiento en un tercer Estado en virtud del derecho de la Unión Europea o de los Estados miembros que se aplique al Encargado. En estos casos el encargado comunicará al responsable los requisitos legales con anterioridad al tratamiento siempre y cuando el derecho aplicable no prohíba por un interés público importante dicha comunicación (art. 28. III letra a RGPD).
7.3. Se considera que el Responsable consiente el tratamiento en un tercer estado en relación a los tratamientos indicados en el „Anexo 2 Subcontrataciones“.
8. Duración del encargo, finalización del contrato y supresión de los datos
8.1. Este contrato de encargo de tratamiento de datos entra en vigor con su firma y es de duración indeterminada y terminará a más tardar con la terminación del contrato principal.
8.2. Las partes se reservan el derecho de rescisión extraordinaria en caso de incumplimientos graves del presente contrato de encargo y del derecho de protección de datos vigente. Con anterioridad a la rescisión extraordinaria se deberá reclamar los incumplimientos con un plazo razonable, si bien esta reclamación no será necesaria cuando se pueda asumir que los incumplimientos se pueden solucionar o que su gravedad es tal que la continuidad del contrato no resulta asumible para la parte que rescinde.
8.3. Tras la terminación de las prestaciones de tratamiento en el marco de este contrato de encargo, a elección del responsable, el Encargado eliminará o devolverá todos los datos personales y sus copias (así como todos los documentos que se encuentren en su posesión así como los resultados del tratamiento y del uso y las relaciones de datos), siempre y cuando no exista una obligación de archivar estos datos personales conforme al derecho de la Unión o de los Estados miembros (art. 28.I.2 letra g RGPD). Se excluye la excepción del derecho de retención en relación a los datos tratados y de los correspondientes soportes de datos. Los derechos de información, acreditación y control del responsable en virtud del presente contrato de encargo se aplican igualmente a la supresión o devolución.
8.4. Por lo demás, las obligaciones derivadas de este contrato de encargo con respecto a los datos tratados en el marco del encargo continuarán en vigor incluso después de la terminación del contrato de encargo.
8.5. El Responsable deberá compensar al Encargado por el sobrecoste que se pueda generar cuando la eliminación, devolución por parte del encargado cuando estas obligaciones excedan lo acordado en el contrato principal y no se deban a un comportamiento erróneo del encargado.
9. Retribución
9.1. La remuneración acordada en este Contrato de encargo también incluye la compensación por el tiempo de trabajo del personal requerido por el Encargado y cualquier gasto necesario (por ejemplo, costes de viaje o materiales). En la medida de lo posible, previsible y razonable, el encargado informará al cliente del importe de la remuneración mediante una estimación adecuada.
9.2. Si el Encargado tiene derecho a una remuneración de acuerdo con este contrato de encargo de tratamiento, se le cobrará una tarifa por hora de 100,00 EUR netos. Por lo demás se aplicarán las condiciones de retribución estipuladas en el contrato principal.
10. Responsabilidad
10.1. El Responsable es el único responsable en la relación interna frente al Afectado por los daños que haya generado un tratamiento de datos ilegal o incorrecto o de un uso en el marco de un tratamiento por encargo siempre y cuando haya causado el daño o que deba asumir la responsabilidad en virtud de un contrato o por imperativo legal.
10.2. Las Partes se liberan mutuamente de cualquier responsabilidad cuando una parte pueda acreditar que no es responsable bajo ningún concepto de las circunstancias por las que se ha provocado el daño al afectado.
11. Acuerdos finales, prioridad, modificaciones, forma de comunicación, derecho aplicable, jurisdicción
11.1. Las modificaciones, acuerdos accesorios y complementos del presente contrato de encargo de tratamiento de datos deberán fijarse por escrito y previa advertencia expresa sobre la modificación del contrato de encargo de tratamiento de datos. Esto incluye la renuncia a la forma escrita.
11.2. Este contrato de encargo de tratamiento sólo vincula al Encargado en el cumplimiento de las obligaciones legales y en particular en cumplimiento de los artículos 28 y ss RGPD y no impone al Encargado obligaciones adicionales.
11.3. Sin perjuicio de la obligación por escrito en este contrato o en el contrato principal, la comunicación entre el Encargado y el Responsable en el marco de este contrato (en especial en relación a instrucciones e información) por lo menos por escrito (por ejemplo por e-mail). Una forma más informal (por ejemplo, verbalmente) será sólo posible cuando las circunstancias lo permitan (por ejemplo, emergencia) pero tendrá que ser confirmada a la mayor brevedad por escrito en el sentido del RGPD.
11.4. Se aplica el Derecho de la República Federal Alemana siempre y cuando el responsable sea un empresario y no un consumidor o su domicilio o residencia habitual se encuentre fuera de la Unión Europea. Cualquier disputa derivada del presente contrato de encargo será competencia exclusiva de los tribunales del domicilio del encargado siempre y cuando el responsable sea un empresario, entidad pública o patrimonio público especial o que el responsable no tenga ningún foro en la República Federal Alemana. El encargado se reserva el derecho de ejercer sus derechos en el foro determinado por Ley.
Contrato de encargo de tratamiento de datos personales
Anexo 1: Plan de seguridad
Medidas técnicas y organizativas conforme al art. 32 RGPD
1. Concepto de protección de datos, derechos de los afectados, tecnología y protección de datos al nivel de empleados
Medidas básicas para asegurar los derechos de los afectados, reacción inmediata en caso de emergencias que se corresponden con el estado de la técnica y que se emplean para la protección de datos al nivel de los empleados:
- La empresa dispone de un plan de gestión de protección de datos cuyo cumplimiento se vigila constantemente y que se evalúa cuando resulte necesario y como mínimo cada seis meses.
- Se aplica un plan, que garantiza el respeto de los derechos de los afectados dentro de los plazos previstos por la Ley (información, corrección, supresión, limitación del tratamiento, portabilidad de los datos, revocación y oposición). Este plan incluye modelos, instrucciones y un procedimiento implantado, así como el nombramiento de las personas encargadas de la implantación.
- Se aplica un plan que garantiza una reacción inmediata y conforme a los requisitos legales en caso de infracciones de la protección de datos (revisión, documentación, comunicación). Este plan incluye modelos, instrucciones y un procedimiento implantado, así como el nombramiento de las personas encargadas de la implantación.
- La protección de datos personales se realiza teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, desde el diseño, selección de hardware y software así como de procesos, conforme al principio de la privacidad desde el diseño y mediante ajustes previos beneficiosos para la protección de datos (art. 25 RGPD).
- Los empleados están obligados a mantener la confidencialidad de los datos, se les informa e instruye sobre sus obligaciones y sobre las posibles responsabilidades. Si los empleados trabajan fuera de las instalaciones de la empresa o utilizan dispositivos privados para actividades empresariales, se aplicarán las directrices internas especiales para la protección de datos en estos supuestos y para garantizar los derechos de los responsables de un encargo de tratamiento.
- Las llaves, tarjetas de acceso y códigos así como los permisos otorgados para el tratamiento de datos personales, se retiran o cancelan cuando la persona se marcha de la empresa o cambia de competencias.
- El personal de limpieza, seguridad y otros prestadores de servicios que asisten con tareas auxiliares se selecciona con cuidado y se garantiza el respeto a la protección de los datos personales.
2. Control de entrada
Medidas para evitar el acceso de personas no autorizadas a las instalaciones de tratamiento de datos con las que se tratan o se usan datos personales:
- En los locales de la empresa sólo se dispone de los PCs de trabajo y dispositivos móviles, no hay otras instalaciones de tratamiento de datos. Los datos del responsable se almacenan en un proveedor de hosting con sujeción a los requisitos aplicables al tratamiento bajo encargo.
- Normas de acceso para personas ajenas a la empresa.
- Los visitantes deben presentarse en la recepción, reciben una acreditación y son recogidos por un empleado (cuartos de servidores).
- Protocolización de los visitantes a los cuartos de servidores.
- El acceso de personas no autorizadas a las instalaciones de tratamiento de datos (cuartos de servidores) del Encargado no es posible y sólo está permitido a los empleados autorizados.
- Sistema de alarmas en los cuartos de servidores.
- El acceso se asegura con un sistema de cierre manual con candados de seguridad.
- Directriz sobre llaves y tarjetas de acceso (protocolización de la entrega).
- Los accesos se controlan por videovigilancia (cuartos de servidores).
3. Control de acceso
Medidas que eviten el uso de los sistemas de tratamiento de datos por parte de personas no autorizadas:
- Plan de permisos y de competencias que determina los permisos de acceso de los empleados, encargados u otras personas (por ejemplo, usuarios dentro del sistema) que sólo permiten el acceso en la medida en que resulten necesarios para el uso determinado.
- Todas instalaciones de protección de datos están protegidas con claves.
- Plan de claves que determina que las claves tienen que corresponderse al estado de la técnica y cumplen con los requisitos de seguridad en relación a la longitud y complejidad mínimas.
- Uso de un software de gestión de claves.
- Protocolización de los accesos a los sistemas de tratamiento de datos.
- Uso de software antivirus.
- Uso de Hardware Firewalls.
- Uso de Software Firewalls.
- Protección de la página web y/o acceso a ofertas de software online con un cifrado TLS/SSL.
- Protección frente al acceso no autorizado a los sistemas internos con firewall, nombre de usuario y clave y/o certificados de clientes.
- Cifrado de los soportes móviles de datos.
4. Control de acceso y control de entrada
Medidas para garantizar que la persona autorizada para usar un sistema de tratamiento de datos tan sólo accede a los datos para los que tiene una autorización de acceso y que los datos personales durante el tratamiento, uso o tras su almacenamiento no se pueden leer, copiar, modificar o eliminar sin permiso,así como medidas que permiten revisar las operaciones de procesamiento con posterioridad:
- Plan de permisos y roles que define los derechos de acceso de los empleados, encargados u otras personas (por ejemplo, usuarios dentro de un sistema) con un alcance limitado en la medida en que resultan necesarios para el uso establecido.
- Protocolización de cada paso del tratamiento de datos, en especial de los accesos y aplicaciones, en particular sobre la entrada, modificación y supresión de datos.
- El acceso de los empleados a los datos en zonas de seguridad criticas se protocoliza. Si no se protocoliza cada acceso, se asegura que se pueda determinar quien ha accedido en un determinado momento (por ejemplo, protocolización del uso de software o deducción a partir de los momentos de acceso y el plan de permisos.
- Protocolización de cada paso, en especial de los accesos a las aplicaciones, en particular sobre la introducción, modificación y supresión de datos.
- Conservación segura de los soportes de datos con información de seguridad crítica o datos personales.
- Plan de supresión o eliminación con competencias determinadas y obligaciones de protocolización. Información a los empleados sobre los requisitos legales, plazos de supresión y condiciones para la destrucción de datos o la destrucción de dispositivos por parte de un prestador de servicios.
- El tratamiento de los datos que no se pueden eliminar (por ejemplo, por una obligación legal de archivo) queda limitado con un marcado de bloqueo y separación.
- Conservación de los formularios de los que se han tomado datos para el tratamiento automatizado sobre la base de una instrucción del responsable o que el formato papel resulte legalmente relevante.
5. Control de cesión
Medidas que garantizan que los datos personales no pueden ser leídos, copiados, modificados o suprimidos por personas no autorizadas durante su transporte o su almacenamiento en soportes de datos y que se puede revisar y comprobar en que puntos está prevista la cesión mediante dispositivos para la cesión de datos:
- Determinación de las personas autorizadas para la entrega y recepción de soportes de datos.
- Relación de existencias y control de existencias de los soportes de datos.
- Determinación del tiempo en el que será posible el acceso a los datos.
- En caso de transporte físico de los datos, se seleccionan recipientes de transporte o embalajes seguros que garanticen la seguridad de los datos con la vigilancia personalizada siempre y cuando estas medidas sean suficientes para los riesgos existentes para los datos.
- En caso de acceso remoto a los datos se asegura con medidas y protocolos que permitan trazar la cesión de datos o la revelación.
- Relación de los procedimientos de consulta y cesión habituales y control.
- En la medida en que resulte necesario, posible y razonable se ceden los datos de forma anónima o seudónima.
6. Control del encargo
Medidas que garantizan que los datos personales objeto del encargo sólo se tratan conforme a las instrucciones del Responsable:
- Obligación de los empleados y de los encargados de respetar instrucciones.
- Forma escrita y documentación de las instrucciones.
- Respeto de los acuerdos contractuales y las obligaciones legales para el encargo en el caso de subcontrataciones mediante la celebración de contratos de encargo de tratamiento de datos y aseguramiento con las correspondientes garantías y su control.
- A la finalización del encargo se devuelven o se destruyen los datos.
7. Control de disponibilidad
Medidas que garantizan la protección de los datos de carácter personal frente a la destrucción o pérdida:
- Uso de sistemas de servidores y servicios dobles o múltiples sometidos a pruebas de resistencia y pruebas de hardware y que disponen de protección DDoS y alimentación eléctrica ininterrumpida (por ejemplo, RAID o fuente de alimentación HA)
- Uso de sistemas de servidores y servicios que disponen de sensores de humedad, de fuego y humo así como dispositivos o aparatos de extinción de incendios en el área de PCs.
- Uso de servidores y servicios que disponen de un sistema de backup y recuperación fiable y seguro. Copias de seguridad diarias.
- Realización de copias de seguridad (back ups) y control para el tratamiento de datos en los PCs de cada puesto de trabajo (servidor y almacenamiento en la nube, cloud)
- Vigilancia permanente de la disponibilidad de los sistemas de tratamiento de datos.
8. Garantía de la limitación de la finalidad, principio de separación
Medidas que garantizan que los datos recabados para finalidades distintas se tratan por separado:
- Siempre y cuando sea razonable, los datos se separan físicamente (por ejemplo empleando servidores distintos). Si no se realiza una separación física, los datos se separan de forma lógica (por ejemplo, con bases de datos diferentes y con la denominación con atributos de finalidad o campos de datos).
- El acceso a través de personas no autorizadas o procesos se evita con un sistema de permisos.
- Separación de sistemas productivos y de pruebas siempre y cuando esto sea necesario para la limitación de la finalidad.
Encargo de tratamiento de datos personales
Anexo 2 „Subcontrataciones“
-
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland;
Finalidad: Google Analytics, Google Suite;
Base contractual: Contrato de encargo de 26.3.2018;
Garantía en caso de países terceros: PrivacyShield. -
IP Exchange GmbH, Am Tower 5, 90475 NĆ¼rnberg, Alemania;
Finalidad: localización de servidores web propios, conexión a internet, seguridad, mantenimiento técnico;
Base contractual: encargo de tratamiento de datos de 25.03.2018; -
LeaseWeb Deutschland GmbH, Kleyerstraße 75-87, 60326 Frankfurt am Main, Alemania;
Finalidad: espacio de almacenamiento y servicios de bases de datos, seguridad y prestaciones de mantenimiento;
Base contractual: encargo de tratamiento de datos de 16.4.2018; -
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Alemania;
Finalidad: espacio de almacenamiento y servicios de bases de datos, seguridad y prestaciones de mantenimiento;
Base contractual: encargo de tratmiento de datos de 16.03.2018; -
Binect GmbH, Robert-Koch-Str. 9, 64331 Weiterstadt, Alemania;
Objeto: Envío de envíos postales;
Base contractual: encargo de tratamiento de datos de 17.04.2018; -
InterNetX GmbH, Johanna-Dachs-Str. 55, 93055 Regensburg, Alemania;
Objeto: Domain-Provider;
Base contractual: encargo de tratamiento de datos de 05.06.2018;