Acuerdo sobre el tratamiento de datos
para Linkando Cloud Services

1. introducción, ámbito de aplicación, definiciones

1. Este documento ("Acuerdo sobre Procesamiento de Datos para Servicios en la Nube de Linkando") se incorpora al acuerdo entre Linkando GmbH, Ostbahnstr. 17, 76829 Landau ("Contratista") y el cliente ("Cliente") y forma parte de un contrato principal escrito (también celebrado en forma electrónica), las Condiciones de Uso del Portal Linkando, entre Linkando y el cliente. Este acuerdo regula los derechos y obligaciones del cliente y del contratista (en lo sucesivo, las "partes") en el contexto del tratamiento de datos personales por cuenta de Linkando y sus subprocesadores en relación con la prestación de servicios en la nube.
2. Los anexos 1 y 2 forman parte integrante de la presente DPA. En ellos se definen las medidas técnicas y organizativas que deben aplicarse y los subcontratistas autorizados.
3. Este acuerdo se aplica a todas las actividades en las que los empleados del contratista o subcontratistas encargados por el contratista procesan datos personales del cliente en nombre del cliente.
4. Los términos utilizados en este acuerdo deben entenderse de acuerdo con su definición en el Reglamento General de Protección de Datos de la UE. En este sentido, el Cliente es el "Responsable del tratamiento" y el Contratista es el "Encargado del tratamiento". En la medida en que las declaraciones deban realizarse "por escrito" en lo sucesivo, se entenderá la forma escrita de conformidad con el artículo 126 del Código Civil alemán (BGB). Por lo demás, las declaraciones también podrán realizarse de otra forma, siempre que se garantice una verificabilidad adecuada.

2. objeto y duración del tratamiento

2.1 Objeto

El contratista se encarga del tratamiento siguiente:

• Comunicación por correo electrónico
• Gestión de clientes
• Funcionamiento del sitio web
• Formularios de contacto
• Herramienta de chat
• Videoconferencias
• Salas en la nube

El tratamiento se basa en las condiciones de uso existentes entre las partes (en lo sucesivo, el "contrato principal").

2.2 Duración

La tramitación comenzará al inicio del contrato principal y continuará indefinidamente hasta que una de las partes rescinda el presente acuerdo o el contrato principal.

3. tipo, finalidad y destinatarios del tratamiento de datos:

3.1 Tipo de tratamiento

El tratamiento es de la siguiente naturaleza: recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción de datos.

3.2 Finalidad del tratamiento

El tratamiento tiene la siguiente finalidad:

Suministro de la plataforma Linkando Cloud para el cliente y la tramitación comercial asociada y prestación de asistencia al usuario final.

3.3 Tipo de datos

Se procesan los siguientes datos:

• Saludo
• Nombre y apellidos
• Correo electrónico
• Dirección
• Datos de comunicación
• Datos de uso (direcciones IP, hora de inicio de sesión, nombre de usuario)

3.4 Categorías de interesados

afectados por el tratamiento:

• Clientes del cliente
• Partes interesadas del cliente
• Empleados del cliente

4. obligaciones del contratista

1. El Contratista tratará los datos personales exclusivamente según lo acordado contractualmente o según las instrucciones del Cliente, a menos que el Contratista esté legalmente obligado a llevar a cabo un tratamiento específico. Si existen tales obligaciones para el Contratista, éste las notificará al Cliente antes del tratamiento, a menos que la notificación esté prohibida por ley. Además, el Contratista no utilizará los datos facilitados para su tratamiento con ningún otro fin, en particular no para sus propios fines.
2. El Contratista confirma que conoce la normativa general pertinente en materia de protección de datos. Observa los principios de un tratamiento de datos adecuado.
3. El Contratista se compromete a mantener una estricta confidencialidad durante el tratamiento.
4. Las personas que puedan tener conocimiento de los datos tratados en el pedido deberán comprometerse por escrito a mantener la confidencialidad, salvo que ya estén sujetas por ley a una obligación de confidencialidad pertinente.
5. El Contratista garantiza que las personas empleadas por él para el tratamiento se han familiarizado con las disposiciones pertinentes en materia de protección de datos y con el presente acuerdo antes del inicio del tratamiento. Las medidas de formación y sensibilización adecuadas se repetirán a intervalos regulares. El Contratista se asegurará de que las personas encargadas del tratamiento reciban las instrucciones adecuadas y sean supervisadas de forma continua en lo que respecta al cumplimiento de los requisitos de protección de datos.
6. En relación con el tratamiento encargado, el Contratista apoyará al Cliente en la medida necesaria en el cumplimiento de sus obligaciones en virtud de la ley de protección de datos, en particular en la preparación y actualización de la lista de actividades de tratamiento, en la realización de la evaluación de impacto de la protección de datos y en cualquier consulta necesaria con la autoridad supervisora. La información y documentación requeridas se mantendrán disponibles y se remitirán al Cliente inmediatamente cuando éste lo solicite.
7. Si el cliente es objeto de inspección por parte de las autoridades de control u otros organismos o si los interesados hacen valer sus derechos contra él, el contratista se compromete a apoyar al cliente en la medida necesaria, en la medida en que se vea afectado el tratamiento en el pedido.
8. El Contratista sólo podrá facilitar información a terceros o al interesado con el consentimiento previo del Cliente. Transmitirá sin demora al Cliente cualquier consulta que se le dirija directamente.
9. Cuando así lo exija la ley, el contratista designará a una persona competente y fiable como responsable de la protección de datos. Deberá garantizarse que no existan conflictos de intereses para el representante autorizado. En caso de duda, el cliente podrá ponerse en contacto directamente con el responsable de la protección de datos. El contratista informará inmediatamente al cliente de los datos de contacto del responsable de la protección de datos o explicará por qué no se ha designado a ningún responsable. El contratista informará inmediatamente al cliente de cualquier cambio en la persona o en las tareas internas del representante autorizado.
10. La tramitación de los pedidos se realiza exclusivamente en la UE o en el EEE.
11. Si el Contratista no está establecido en la Unión Europea, deberá designar a una persona de contacto responsable en la Unión Europea de conformidad con el art. 27 del Reglamento General de Protección de Datos. Los datos de contacto de la persona de contacto, así como cualquier cambio en la persona de contacto, deberán comunicarse al Cliente sin demora.

5. seguridad del tratamiento

1. Las medidas de seguridad de los datos descritas en el Apéndice 1 se definen como vinculantes. Definen el mínimo adeudado por el Contratista. La descripción de las medidas debe ser tan detallada que un tercero informado pueda reconocer sin lugar a dudas en cualquier momento cuál debe ser el mínimo adeudado basándose únicamente en la descripción. No se permite hacer referencia a información que no pueda extraerse directamente de este acuerdo o de sus anexos.
2. Las medidas de seguridad de los datos podrán adaptarse en función de la evolución técnica y organizativa siempre que no desciendan por debajo del nivel aquí acordado. El Contratista aplicará inmediatamente cualquier cambio necesario para mantener la seguridad de la información. El Cliente deberá ser informado de cualquier cambio sin demora. Los cambios significativos deberán ser acordados entre las partes.
3. Si las medidas de seguridad adoptadas no cumplen o dejan de cumplir los requisitos del cliente, el contratista informará de ello inmediatamente al cliente.
4. El contratista garantiza que los datos tratados en el pedido estarán estrictamente separados de otras existencias de datos.
5. No se realizarán copias o duplicados sin el conocimiento del cliente. Esto no se aplica a las copias temporales técnicamente necesarias, siempre que se excluya cualquier menoscabo del nivel de protección de datos aquí acordado.
6. Se permite el tratamiento de datos en domicilios particulares. En la medida en que se lleve a cabo dicho tratamiento, el Contratista garantizará que se mantenga un nivel de protección y seguridad de los datos que se corresponda con el presente Acuerdo y que los derechos de control del Cliente especificados en el presente Acuerdo también puedan ejercerse sin restricciones en las residencias privadas en cuestión. El tratamiento de datos por cuenta del Cliente mediante dispositivos privados no está permitido en ningún caso.
7. Los soportes de datos específicos que proceden del cliente o se utilizan para el cliente están especialmente etiquetados y son objeto de una administración permanente. Deben almacenarse adecuadamente en todo momento y no deben ser accesibles a personas no autorizadas. Las entradas y salidas están documentadas.
8. El Contratista proporcionará pruebas periódicas del cumplimiento de sus obligaciones, en particular de la aplicación completa de las medidas técnicas y organizativas acordadas y de su eficacia.

6. normativa sobre rectificación, supresión y bloqueo de datos

1. El contratista sólo corregirá, borrará o bloqueará los datos procesados en el marco del pedido de conformidad con el acuerdo contractual alcanzado o de acuerdo con las instrucciones del cliente.
2. El Contratista deberá cumplir las instrucciones correspondientes del Cliente en todo momento y también más allá de la terminación del presente acuerdo.

7. relaciones de subcontratación

1. El uso de subencargados del tratamiento quedará a discreción del Contratista, siempre que éste informe al Cliente con antelación (por correo electrónico o mediante publicación en el portal de soporte) de cualquier adición o sustitución prevista en la lista de subencargados del tratamiento, y el Cliente podrá oponerse a dichos cambios de conformidad con las disposiciones siguientes. El Contratista seleccionará cuidadosamente al subcontratista, prestando especial atención a la idoneidad de las medidas técnicas y organizativas adoptadas por el subcontratista.
2. Si el Cliente tiene un motivo legítimo en virtud de la ley de protección de datos para oponerse al tratamiento de datos personales por parte de los nuevos subencargados del tratamiento, podrá rescindir el Contrato mediante notificación por escrito al Contratista con efecto a partir de una fecha especificada por el Cliente, pero a más tardar treinta días después de la fecha de notificación del Contratista al Cliente del nuevo subencargado del tratamiento. Si el Cliente no rescinde el Contrato en dicho plazo de treinta días, se considerará que el nuevo subencargado del tratamiento ha sido aprobado por el Cliente.
3. Dentro del plazo de treinta días a partir de la fecha de la notificación del Contratista al Cliente informándole del nuevo Subencargado del Tratamiento, el Cliente podrá solicitar que las partes se reúnan de buena fe para discutir una resolución de la controversia. Dichas conversaciones no prorrogarán el plazo de preaviso y no afectarán al derecho del Contratista a contratar al nuevo Subencargado o Subencargados del tratamiento una vez transcurrido el plazo de preaviso de treinta días. Ambas partes considerarán que cualquier rescisión que se produzca en virtud de la presente sección es sin falta y está sujeta a los términos del Acuerdo.
4. El encargo a subcontratistas que no realicen el tratamiento por cuenta nuestra exclusivamente desde el territorio de la UE o del EEE sólo es posible si se cumplen las condiciones establecidas en el capítulo 4 (10) y (11) del presente acuerdo. En particular, sólo se permite si y siempre que el subcontratista ofrezca garantías adecuadas de protección de datos. El Contratista informará al Cliente de las garantías específicas de protección de datos ofrecidas por el subcontratista y de cómo puede obtenerse prueba de ello. En la medida en que se utilicen como garantías adecuadas cláusulas contractuales estándar actualmente válidas basadas en una decisión de la Comisión de la UE (por ejemplo, de conformidad con la Decisión 2010/87/UE de la Comisión) o cláusulas estándar de protección de datos de conformidad con el artículo 46 del GDPR, el Cliente autoriza al Contratista a tomar todas las medidas necesarias y a realizar y recibir declaraciones de intenciones con respecto al subcontratista, eximiéndolo de la prohibición de doble representación de conformidad con el artículo 181 del BGB. Además, el Contratista está autorizado a ejercer los derechos y poderes del Cliente en virtud del presente acuerdo frente al subcontratista.
5. El Contratista debe llevar a cabo una revisión adecuada del cumplimiento de sus obligaciones por parte del subcontratista de forma periódica, al menos cada 12 meses. La inspección y sus resultados deben documentarse de forma que sean comprensibles para un tercero competente. La documentación deberá presentarse al cliente sin que éste la solicite. El Contratista conservará la documentación sobre las auditorías realizadas al menos hasta el final del tercer año natural posterior a la finalización del tratamiento encargado y deberá presentarla al Cliente en cualquier momento a petición de éste.
6. Si el subcontratista incumple sus obligaciones en materia de protección de datos, será responsable de ello ante el cliente.
7. En la actualidad, los subcontratistas especificados en el Anexo 2 con nombre, dirección y contenido del pedido se dedican al tratamiento de datos personales en la medida especificada en el mismo y autorizada por el Cliente. Las demás obligaciones del Contratista para con los subcontratistas establecidas en el presente documento no se verán afectadas.
8. Las relaciones de subcontratación en el sentido de este acuerdo son sólo aquellos servicios que están directamente relacionados con la prestación del servicio principal. Los servicios auxiliares como el transporte, el mantenimiento y la limpieza, así como el uso de servicios de telecomunicaciones o servicios al usuario no están cubiertos. La obligación del Contratista de garantizar el cumplimiento de la protección y seguridad de los datos en estos casos no se verá afectada.

8. derechos y obligaciones del cliente

1. El cliente es el único responsable de evaluar la licitud del tratamiento encargado y de salvaguardar los derechos de los interesados.
2. El cliente emitirá todos los pedidos, pedidos parciales o instrucciones por escrito. En casos urgentes, las instrucciones podrán darse verbalmente. El cliente confirmará dichas instrucciones por escrito sin demora.
3. El Cliente informará inmediatamente al Contratista si descubre errores o irregularidades en la inspección de los resultados del pedido.
4. El comitente tendrá derecho a supervisar el cumplimiento por parte del contratista de las disposiciones sobre protección de datos y los acuerdos contractuales en la medida adecuada por sí mismo o a través de terceros, en particular mediante la obtención de información y la inspección de los datos almacenados y los programas de tratamiento de datos, así como otras comprobaciones in situ. El Contratista concederá a las personas encargadas de la inspección el acceso y la inspección en la medida necesaria. El Contratista estará obligado a facilitar la información necesaria, demostrar los procesos y proporcionar las pruebas requeridas para llevar a cabo una inspección. El Contratista tendrá derecho a rechazar las inspecciones de terceros si éstos se encuentran en una relación de competencia con el Contratista o si existen razones de importancia similares.
5. Las inspecciones en las instalaciones del Contratista se llevarán a cabo sin interrupción evitable de sus operaciones comerciales. A menos que se indique lo contrario por razones urgentes que deberá documentar el Cliente, las inspecciones tendrán lugar tras un preaviso razonable y durante el horario comercial del Contratista, y con una frecuencia no superior a 12 meses. En la medida en que el Contratista proporcione pruebas de la correcta aplicación de las obligaciones acordadas en materia de protección de datos según lo dispuesto en el apartado 5 (8) del presente Acuerdo, las inspecciones se limitarán a comprobaciones aleatorias.

9 Obligaciones de notificación

1. El Contratista notificará inmediatamente al Cliente cualquier incumplimiento de la protección de los datos personales tratados por cuenta del Cliente. También deberán notificarse las sospechas razonables al respecto. La notificación deberá enviarse a una dirección especificada por el cliente en un plazo de 24 horas desde que el contratista tenga conocimiento del hecho en cuestión. Deberá contener, como mínimo, la siguiente información
1. una descripción de la naturaleza de la violación de los datos personales, que incluya, cuando sea posible, las categorías y el número aproximado de interesados afectados, las categorías afectadas y el número aproximado de registros de datos personales afectados;
2. el nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto para obtener más información;
3. una descripción de las consecuencias probables de la violación de los datos personales;
4. una descripción de las medidas adoptadas o que se propone adoptar el contratista para hacer frente a la violación de los datos personales y, en su caso, medidas para mitigar sus posibles efectos adversos
2. También deberán comunicarse inmediatamente las interrupciones significativas en el cumplimiento del pedido y las infracciones de la normativa sobre protección de datos o de las disposiciones del presente acuerdo por parte del Contratista o de sus empleados.
3. El Contratista informará inmediatamente al Cliente de cualquier inspección o medida por parte de las autoridades supervisoras u otras terceras partes en la medida en que estén relacionadas con la tramitación del pedido.
4. El Contratista garantiza que apoyará al Cliente en el cumplimiento de sus obligaciones en virtud de los artículos 33 y 34 del Reglamento General de Protección de Datos en la medida necesaria.

10. instrucciones

1. El cliente se reserva el derecho a dar instrucciones exhaustivas sobre la tramitación del pedido.
2. El Cliente y el Contratista designarán a las personas exclusivamente autorizadas para emitir y aceptar instrucciones. Si no se nombran personas autorizadas para dar instrucciones, solo las personas autorizadas para representar a la parte respectiva estarán autorizadas para dar instrucciones.
3. En caso de cambio o ausencia prolongada de las personas nombradas, la otra parte deberá ser informada inmediatamente de sus sucesores o representantes.
4. El Contratista notificará inmediatamente al Cliente si, en su opinión, una instrucción emitida por el Cliente infringe las disposiciones legales. El Contratista estará autorizado a suspender la ejecución de la instrucción correspondiente hasta que sea confirmada o modificada por la persona responsable del Cliente.
5. El Contratista documentará todas las instrucciones que reciba y su aplicación.

11. rescisión de la orden

1. Si los datos procesados en el pedido o copias de los mismos siguen estando a disposición del contratista al finalizar la relación contractual, el contratista deberá destruir los datos o entregarlos al cliente a su elección. El Cliente deberá hacer esta elección en el plazo de 2 semanas desde que el Contratista se lo solicite. La destrucción debe llevarse a cabo de tal forma que ya no sea posible restaurar ni siquiera la información residual con un esfuerzo razonable. La destrucción física se llevará a cabo de conformidad con la norma DIN 66399.
2. El Contratista está obligado a disponer la inmediata destrucción o devolución de los bienes, incluso por parte de los subcontratistas.
3. El Contratista deberá aportar la prueba de la correcta destrucción y presentarla al Cliente sin demora.
4. La documentación que sirva como prueba del correcto tratamiento de los datos deberá ser conservada por el Contratista al menos hasta el final del tercer año natural posterior a la finalización del contrato. El Contratista podrá entregarlos al Cliente para su descargo.

12. responsabilidad

1. El cliente y el contratista son responsables solidarios de la indemnización por daños y perjuicios sufridos por una persona debido a un tratamiento de datos no autorizado o incorrecto en el ámbito de la relación contractual.
2. Corresponderá al Contratista la carga de la prueba de que el daño no es consecuencia de una circunstancia de la que sea responsable, en la medida en que los datos en cuestión hayan sido procesados por él en virtud del presente contrato. Mientras no se haya aportado esta prueba, el Contratista indemnizará al Cliente a primer requerimiento por todas las reclamaciones presentadas contra el Cliente en relación con el tratamiento encargado. En estas condiciones, el Contratista reembolsará asimismo al Cliente todos los gastos de defensa jurídica en que haya incurrido.
3. El Contratista será responsable ante el Cliente de cualquier daño causado culpablemente por el Contratista, sus empleados o aquellos a los que haya encargado la ejecución del contrato o los subcontratistas que utilice en relación con la prestación del servicio contractual encargado.
4. Los puntos (2) y (3) no se aplicarán si el daño ha sido causado por la correcta ejecución del servicio encargado o por una instrucción del cliente.

13. derecho especial de anulación

1. El Cliente podrá rescindir el contrato principal y el presente Acuerdo en cualquier momento sin previo aviso ("rescisión extraordinaria") en caso de incumplimiento grave por parte del Contratista de la normativa de protección de datos o de las disposiciones del presente Acuerdo, si el Contratista no puede o no quiere cumplir una instrucción legal del Cliente o si el Contratista se niega a cumplir los derechos de control del Cliente incumpliendo el contrato.
2. Existe incumplimiento grave, en particular, si el Contratista no cumple o no ha cumplido de forma significativa las obligaciones especificadas en este acuerdo, en particular las medidas técnicas y organizativas acordadas.
3. En caso de infracciones insignificantes, el Cliente fijará al Contratista un plazo razonable para la subsanación. Si la subsanación no se lleva a cabo a su debido tiempo, el Cliente tendrá derecho a la cancelación extraordinaria descrita en esta sección.
4. El Contratista reembolsará al Cliente todos los costes en los que éste haya incurrido debido a la terminación prematura del contrato principal o de este acuerdo como resultado de una cancelación extraordinaria por parte del Cliente.

14. otros

1. Ambas partes están obligadas a tratar como confidencial todo conocimiento de secretos comerciales y medidas de seguridad de datos de la otra parte obtenido en el ámbito de la relación contractual, incluso después de la finalización del contrato principal. En caso de duda sobre si la información está sujeta a la obligación de confidencialidad, se tratará como confidencial hasta que la otra parte lo autorice por escrito.
2. En caso de que los bienes del comitente se vean comprometidos por medidas de terceros (como embargo o confiscación), procedimientos de insolvencia o concurso de acreedores u otros acontecimientos, el contratista deberá informar inmediatamente al comitente.
3. Los acuerdos complementarios deben formalizarse por escrito y hacer referencia expresa al presente acuerdo.
4. Queda excluida la defensa del derecho de retención en el sentido del artículo 273 del Código Civil alemán (BGB) con respecto a los datos procesados en el pedido y los soportes de datos asociados.
5. En caso de que algunas partes de este acuerdo no sean válidas, ello no afectará a la validez del resto del acuerdo.

ANEXO 1 - Medidas técnicas y organizativas

Ver página: Medidas técnicas y organizativas