Contrato de tramitación de pedidos de alojamiento y mantenimiento a distancia

 

Entre

ColorGATE Digital Output Solutions GmbH, Große Düwelstraße 1, 30171 Hannover

  • en lo sucesivo denominado "contratista" -.

y

al cliente final

  • en lo sucesivo denominado "cliente" -

 

Preámbulo

El cliente desea confiar al contratista los servicios descritos con más detalle en el ámbito del contrato. Parte de la ejecución del contrato es el tratamiento de datos personales. En particular, el artículo 28 del GDPR establece ciertos requisitos para dicho procesamiento de pedidos. Para cumplir con estos requisitos, las partes celebrarán el siguiente acuerdo:

 

  1. Definiciones
    1. De conformidad con el artículo 4, apartado 7, del RGPD, el responsable del tratamiento es el organismo que decide, solo o conjuntamente con otros responsables del tratamiento, los fines y los medios del tratamiento de los datos personales.
    2. De conformidad con el artículo 4 (8) del RGPD, el encargado del tratamiento es una persona física o jurídica, una autoridad, un organismo u otra entidad que procesa datos personales en nombre del responsable del tratamiento.
    3. Los datos personales son, de conformidad con el artículo 4, apartado 1, del RGPD, cualquier información relativa a una persona física identificada o identificable (en lo sucesivo, el interesado); identificable es una persona física que puede ser identificada, directa o indirectamente, en particular mediante la asociación con un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o una o varias características específicas que constituyen una expresión de la identidad física, fisiológica, genética, psicológica, económica, cultural o social de dicha persona física.
    4. Los datos personales especialmente sensibles son los datos personales de conformidad con el artículo 9 del RGPD, que dan lugar al origen racial y étnico, las opiniones políticas, las creencias religiosas o ideológicas o la pertenencia a un sindicato de los interesados, los datos personales de conformidad con el artículo. 10 GDPR sobre condenas e infracciones penales o garantías relacionadas, así como datos genéticos de acuerdo con el Art. 4 sec. 13 GDPR, datos biométricos de acuerdo con el Art. 4 sec. 14 GDPR, datos de salud de acuerdo con el Art. 4 sec. 15 GDPR y datos sobre la vida sexual o la orientación sexual de una persona física.
    5. De conformidad con el artículo 4, apartado 2, del RGPD, el tratamiento es cualquier operación o serie de operaciones realizadas con o sin ayuda de procedimientos automatizados en relación con los datos personales, como la recogida, la organización, la ordenación, el almacenamiento, la adaptación o la modificación, la lectura, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la comparación o el enlace, la limitación, la supresión o la destrucción.
    6. De conformidad con el artículo 4, apartado 21, del RGPD, la autoridad de control es un organismo público independiente establecido por un Estado miembro de conformidad con el artículo 51 del RGPD.
  1. Indicación de la autoridad de control competente en materia de protección de datos
    1. La autoridad de control competente para el contratista y el cliente son los respectivos representantes nacionales para la protección de datos.
    2. El cliente y el contratista cooperarán con la autoridad de control a petición suya en el desempeño de sus funciones.
  1. Alcance del contrato
    1. El Cliente ha dado instrucciones al Contratista para que proporcione el software, cuya licencia ha sido otorgada por el Contratista al Cliente en virtud de un Acuerdo de Licencia de Software a través de su servidor ("Alojamiento").
    2. El Contratista llevará a cabo únicamente las actividades necesarias para la realización de los servicios encomendados. Las llevará a cabo exclusivamente en el marco de los acuerdos celebrados y de acuerdo con las instrucciones del cliente. Los cambios en el campo de actividad y los cambios de procedimiento deberán acordarse por escrito. El Contratista almacena o procesa datos personales exclusivamente en nombre y bajo la dirección del Cliente.
    3. El tratamiento sólo tendrá lugar en la medida en que se haya acordado entre las partes. Esto también incluye las actividades en las que los datos migran de un sistema a otro.
  1. Derecho de instrucción
    1. El Contratista sólo podrá recoger, procesar o utilizar los datos dentro del ámbito del acuerdo con el Cliente; esto se aplica en particular a la transferencia de datos personales a un tercer país o a una organización internacional. Si el Contratista está obligado por la legislación de la Unión Europea o de los Estados miembros a los que está sujeto a un tratamiento posterior, notificará a la entidad contratante estos requisitos legales antes del tratamiento.
    2. Las instrucciones del cliente se determinan en este acuerdo y pueden ser modificadas, complementadas o sustituidas por el cliente en forma escrita o de texto en cualquier momento por instrucciones individuales. El cliente tiene derecho a dar instrucciones adecuadas en cualquier momento. Esto incluye instrucciones relativas a la corrección, eliminación y bloqueo de datos.
    3. Si el Contratista considera que una instrucción del Cliente viola las normas de protección de datos, deberá informar al Cliente inmediatamente. El Contratista tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que el Cliente la confirme o modifique. El contratista podrá negarse a ejecutar una instrucción manifiestamente ilegal.
  1. Tipo de datos tratados y círculo de interesados
    1. En el marco de la ejecución del contrato principal, el Contratista tendrá acceso a los siguientes datos personales

- nombre completo

- país

- nombre de la empresa

- Dirección de correo electrónico

    1. El tratamiento afecta a las siguientes categorías de personas

- Empleados del poder adjudicador

 

  1. Medidas de protección del contratista
    1. El contratista está obligado a cumplir las disposiciones legales sobre protección de datos y a no transmitir la información obtenida del área del cliente a terceros o a suspender su acceso. Los documentos y datos deben estar asegurados contra el conocimiento de personas no autorizadas, teniendo en cuenta el estado de la técnica.
    2. El contratista, en su área de responsabilidad, diseñará la organización interna de tal manera que cumpla con los requisitos especiales de protección de datos. Adoptará todas las medidas técnicas y organizativas necesarias para proteger adecuadamente los datos del contratista de conformidad con el artículo 32 del RGPD, en particular, al menos las medidas de

a) control de entrada

b) control de acceso físico

c) control de acceso

d) control de las comunicaciones

e) control de entrada/verificación de plausibilidad

f) supervisión de órdenes

g) control de disponibilidad

h) control de separación de datos

El Contratista se reserva el derecho de modificar las medidas de seguridad adoptadas, garantizando que no se supere el nivel de protección acordado contractualmente.

    1. Se prohíbe a las personas empleadas en el tratamiento de datos por el contratista recoger, tratar o utilizar datos personales sin autorización. El contratista obligará en consecuencia a todas las personas a las que haya encomendado el tratamiento y la ejecución del presente contrato (en lo sucesivo, "empleados") y velará por el cumplimiento de esta obligación con la debida diligencia. Estas obligaciones deberán ser tales que se mantengan incluso después de la finalización de este contrato o de la relación laboral entre el empleado y el contratista. El órgano de contratación acreditará las obligaciones de forma adecuada cuando se le solicite.
  1. Obligaciones de información del contratista
    1. En caso de mal funcionamiento, de sospecha de violación de datos o de incumplimiento de las obligaciones contractuales del contratista, de sospecha de incidentes relacionados con la seguridad o de otras irregularidades en el tratamiento de datos personales por parte del contratista, de las personas empleadas por él en el marco del contrato o de terceros, el contratista deberá informar al cliente inmediatamente por escrito o en forma de texto. Lo mismo se aplica a las auditorías del contratista por parte de la autoridad supervisora de la protección de datos. La notificación de una violación de la protección de datos personales deberá contener, como mínimo, la siguiente información

a) una descripción de la naturaleza de la violación de la protección de datos personales, incluyendo, cuando sea posible, las categorías y el número de interesados, las categorías afectadas y el número de conjuntos de datos personales afectados;

b) una descripción de las medidas adoptadas o propuestas por el contratista para subsanar la infracción y, en su caso, medidas para mitigar sus posibles efectos adversos.

    1. El contratista adoptará inmediatamente las medidas necesarias para asegurar los datos y reducir las posibles consecuencias adversas de los interesados, informará al cliente y solicitará nuevas instrucciones.
    2. El contratista también está obligado a proporcionar al cliente información en cualquier momento, en la medida en que sus datos son objeto de una violación de conformidad con El tercero de la otra. 7.1 se vean afectados.
    3. En caso de que los datos del cliente estén en peligro por embargo o incautación, por procedimientos de insolvencia o liquidación o por otros hechos o medidas de terceros, el contratista deberá informar al cliente inmediatamente, a menos que esto esté prohibido por orden judicial u oficial. En este contexto, el contratista informará inmediatamente a todas las autoridades competentes de que la autoridad para tomar decisiones sobre los datos recae exclusivamente en la entidad contratante como "persona responsable" en el sentido del GDPR.
    4. El contratista debe informar al cliente inmediatamente de cualquier cambio material en las medidas de seguridad de acuerdo con la sección 6(2).
  1. Derechos de control del cliente
    1. El Contratista se compromete a proporcionar al Cliente, en un plazo razonable, toda la información y las pruebas necesarias para llevar a cabo una revisión de las medidas técnicas y organizativas del contratista.
    2. El cliente documenta el resultado de la inspección e informa al contratista.
  1. Uso de subcontratistas

Los servicios acordados contractualmente o los servicios parciales descritos a continuación se llevan a cabo con la ayuda del siguiente subcontratista: ColorLogic GmbH, Robberkamp 40, 48432 Rheine. El contratista está autorizado, en el marco de sus obligaciones contractuales, a establecer otras relaciones de subcontratación con los subcontratistas. El contratista está obligado a seleccionar cuidadosamente a los subcontratistas en función de su idoneidad y fiabilidad. El Contratista, cuando contrate a los subcontratistas, los obligará de acuerdo con las disposiciones del presente Contrato, garantizando que el Cliente también pueda ejercer sus derechos en virtud del presente Contrato, en particular sus derechos de auditoría y control, directamente frente a los subcontratistas. Cuando los subcontratistas vayan a intervenir en un tercer país, el contratista se asegurará de que el subcontratista en cuestión garantice un nivel adecuado de protección de datos.

 

  1. Responsabilidad
    1. Los contratistas y los mandantes serán solidariamente responsables de la indemnización de los daños y perjuicios sufridos por una persona como consecuencia de un tratamiento de datos incorrecto o inadmisible en el curso de la ejecución del presente contrato.
    2. Si el Contratista alega que los daños no son el resultado de una circunstancia de la que es responsable, le corresponde la carga de la prueba en la medida en que los datos pertinentes fueron procesados por él en el contexto de la relación contractual. El Contratista eximirá al Cliente de todas las reclamaciones presentadas contra el Contratista en relación con el Contrato, mientras el Contratista no haya aportado la prueba mencionada en la p. 1, y le reembolsará todos los gastos derivados de la defensa jurídica.
    3. En la relación interna, el Contratista será responsable ante el Cliente de los daños que el Contratista o el subcontratista encargado por él cause culpablemente en el curso de la ejecución del presente Contrato.
  1. Duración del contrato y derecho extraordinario de rescisión
    1. La duración del presente Contrato se regirá por los términos del Contrato de Licencia de Software celebrado entre las partes.
    2. El cliente podrá rescindir el contrato principal en su totalidad o en parte sin previo aviso si el contratista no cumple con sus obligaciones en virtud de este contrato, viola intencionalmente o por negligencia grave las disposiciones del GDPR o si el cliente no puede o no quiere llevar a cabo cualquier instrucción del cliente. En caso de infracciones simples, es decir, no intencionadas ni por negligencia grave, el cliente fijará al contratista un plazo razonable para que este pueda renunciar a la infracción.
  1. Rescisión del contrato
    1. El contratista devolverá al cliente después de la terminación del contrato o en cualquier momento a petición suya todos los documentos, datos y soportes de datos que se le hayan proporcionado o - a petición del cliente, a menos que exista una obligación en virtud de la legislación de la Unión o federal de la República Federal de Alemania para almacenar los datos personales. Esto también se aplica a cualquier copia de seguridad de datos en el contratista. Los documentos a eliminar deben ser destruidos con una trituración de acuerdo con la norma DIN 32757-1. Los soportes de datos que se eliminen deben destruirse de acuerdo con la norma DIN 66399.
    2. El cliente tiene derecho a comprobar la devolución completa y contractualmente adecuada o la eliminación de los datos en el contratista de forma adecuada.
    3. El contratista está obligado a tratar confidencialmente los datos de los que tenga conocimiento en relación con el contrato principal, incluso después de la finalización del contrato. Este acuerdo seguirá siendo válido después de la finalización del contrato principal mientras el Contratista tenga datos personales que le hayan sido transmitidos o que haya recogido para él.
  1. Disposiciones finales
    1. Las partes acuerdan que queda excluida la objeción del derecho de retención por parte del contratista en el sentido del artículo 273 del Código Civil alemán (BGB) con respecto a los datos de procesamiento y los soportes de datos asociados.
    2. Las modificaciones y adiciones al presente Acuerdo deberán realizarse por escrito. Esto también se aplica a la renuncia a este requisito formal. Esto no afecta a la primacía de los acuerdos contractuales individuales.
    3. En caso de que alguna de las disposiciones de este Acuerdo no sea o resulte total o parcialmente ineficaz o inaplicable desde el punto de vista jurídico, ello no afectará a la validez del resto de las disposiciones.
    4. El presente Acuerdo se rige por la legislación alemana. La jurisdicción exclusiva es Hannover, Alemania.