Acuerdo de procesamiento de datos para los servicios en la nube de Linkando

1 Introducción, ámbito de aplicación, definiciones

1. Este documento ("Acuerdo sobre el Procesamiento de Datos para los Servicios en la Nube de Linkando") se incorpora al acuerdo entre Linkando GmbH, Ostbahnstr. 17, 76829 Landau ("Contratista") y el cliente ("Principal") y es parte de un acuerdo principal escrito (también concluido en forma electrónica), las Condiciones de Uso del Portal Linkando, entre Linkando y el Cliente. Este Acuerdo regula los derechos y obligaciones del Mandante y del Cliente (en adelante, las "Partes") en el contexto de un tratamiento de datos personales en nombre de Linkando y sus subprocesadores en relación con la prestación de Servicios en la Nube.
2. Los anexos 1 y 2 son parte integrante de esta DPA. Especifican las medidas técnicas y organizativas que deben aplicarse, así como los proveedores de subservicios autorizados.
3. Este Acuerdo se aplica a todas las actividades en las que los empleados del Contratista o los subcontratistas contratados por él procesan datos personales del Cliente en su nombre.
4. Los términos utilizados en este acuerdo se entenderán según su definición en el Reglamento General de Protección de Datos de la UE. En este sentido, el Cliente es el "controlador de datos" y el Contratista es el "procesador de datos". En la medida en que las declaraciones deben hacerse "por escrito" en lo que sigue, se entiende la forma escrita según el artículo 126 del Código Civil alemán (BGB). En caso contrario, las declaraciones también pueden hacerse de otra forma, siempre que se garantice una verificabilidad adecuada.

2. objeto y duración del tratamiento

2.1 Asunto 

El contratista se encargará de las siguientes operaciones de tratamiento: 

• Comunicación por correo electrónico
• Gestión de clientes  
• Funcionamiento del sitio web
• Formularios de contacto 
• Herramienta de chat 
• Videoconferencias
• Habitaciones en la nube 

El tratamiento se basa en las condiciones de uso existentes entre las partes (en adelante "Contrato Principal").

2.2 Duración 

La tramitación comenzará al inicio del Contrato Principal y continuará por un período indefinido hasta la terminación de este Acuerdo o del Contrato Principal por cualquiera de las partes.

3. la naturaleza, la finalidad y los destinatarios del tratamiento de datos:

3.1 Naturaleza del tratamiento

El tratamiento es de la siguiente naturaleza: recogida, registro, organización, archivo, almacenamiento, adaptación o alteración, recuperación, consulta, uso, revelación por transmisión, difusión o puesta a disposición de otra manera, alineación o combinación, restricción, borrado o destrucción de datos.

3.2 Finalidad del tratamiento

El tratamiento tiene la siguiente finalidad: 

Suministro de la plataforma Linkando Cloud para el cliente y la tramitación comercial asociada, así como la prestación de asistencia al usuario final.

3.3 Tipo de datos

Se procesan los siguientes datos:

• Saludo
• Nombre y apellidos
• Dirección de correo electrónico
• Dirección
• Datos de comunicación
• Datos de uso (direcciones IP, hora de inicio de sesión, nombre de inicio de sesión)

3.4 Categorías de interesados

sobre el tratamiento:

• Clientes del director
• Partes interesadas del principal
• Empleados del cliente

4. obligaciones del contratista

1. El Contratista tratará los Datos Personales únicamente según lo acordado contractualmente o según las instrucciones del Cliente, a menos que el Contratista esté legalmente obligado a llevar a cabo una operación de tratamiento específica. En caso de que existan tales obligaciones para el Contratista, éste deberá notificarlas al Cliente antes de la tramitación, salvo que la ley le prohíba dicha notificación. Además, el contratista no utilizará los datos facilitados para su tratamiento con otros fines, en particular no para sus propios fines.
2. El contratista confirma que conoce la normativa general de protección de datos correspondiente. Observará los principios de un tratamiento de datos adecuado.
3. El contratista se compromete a mantener estrictamente la confidencialidad durante el tratamiento.
4. Las personas que puedan tener conocimiento de los datos tratados por cuenta del Cliente se comprometerán por escrito a mantener la confidencialidad, en la medida en que no estén ya sujetas a una obligación de confidencialidad pertinente por ley.
5. El Contratista garantiza que las personas empleadas por él para el tratamiento se han familiarizado con las disposiciones pertinentes de la protección de datos y el presente Acuerdo antes de comenzar el tratamiento. Las medidas de formación y sensibilización correspondientes se repetirán con la periodicidad adecuada. El Contratista se asegurará de que las personas desplegadas para el tratamiento por encargo reciban las instrucciones adecuadas y sean supervisadas con respecto al cumplimiento de los requisitos de protección de datos de forma continua.
6. En relación con el tratamiento encargado, el Contratista apoyará al Cliente en la medida necesaria en el cumplimiento de sus obligaciones en virtud de la ley de protección de datos, en particular en la creación y actualización de la lista de actividades de tratamiento, en la realización de la evaluación de impacto de la protección de datos y en cualquier consulta necesaria con la autoridad de supervisión. La información y la documentación requeridas se mantendrán disponibles y se enviarán al Cliente sin demora cuando lo solicite.
7. Si el cliente es objeto de una inspección por parte de las autoridades de control u otros organismos, o si los interesados hacen valer sus derechos contra el cliente, el contratista se compromete a apoyar al cliente en la medida necesaria, en la medida en que el tratamiento en virtud del contrato se vea afectado.
8. El contratista sólo podrá facilitar información a terceros o al interesado con el consentimiento previo del cliente. El Contratista transmitirá inmediatamente al Cliente cualquier consulta dirigida directamente a él.
9. En la medida en que lo exija la ley, el Contratista designará a una persona competente y fiable como responsable de la protección de datos. Debe garantizarse que no haya conflictos de intereses para el comisario. En caso de duda, el Cliente puede ponerse en contacto directamente con el responsable de la protección de datos. El contratista informará inmediatamente al cliente de los datos de contacto del responsable de la protección de datos o explicará los motivos por los que no se ha designado ningún responsable. El Contratista informará al Cliente sin demora de cualquier cambio en la persona o en las tareas internas del Comisario.
10. La tramitación del pedido se realiza exclusivamente en la UE o en el EEE. 
11. Si el Contratista no está establecido en la Unión Europea, designará a una persona de contacto responsable en la Unión Europea, de conformidad con el artículo 27 del Reglamento General de Protección de Datos. Los datos de la persona de contacto, así como cualquier cambio en la persona de contacto, serán notificados al Cliente sin demora.

5. seguridad del tratamiento

1. Las medidas de seguridad de los datos descritas en el Anexo 1 se definen como vinculantes. Definen el mínimo que debe el contratista. La descripción de las medidas debe hacerse de forma tan detallada que un tercero conocedor pueda reconocer en cualquier momento, sin lugar a dudas, cuál es el mínimo adeudado basándose únicamente en la descripción. No se permite la referencia a información que no pueda extraerse directamente de este acuerdo o de sus anexos.
2. Las medidas de seguridad de los datos podrán adaptarse en función de la evolución técnica y organizativa, siempre que no se rebaje el nivel aquí acordado. El Contratista aplicará sin demora los cambios necesarios para mantener la seguridad de la información. Cualquier cambio será notificado al Cliente sin demora. Los cambios significativos se acordarán entre las partes.
3. En la medida en que las medidas de seguridad adoptadas no cumplan o dejen de cumplir los requisitos del Cliente, el Contratista lo notificará al Cliente sin demora.
4. El contratista asegura que los datos procesados en el pedido están estrictamente separados de otros archivos de datos.
5. No se harán copias o duplicados sin el conocimiento del cliente. Quedan exceptuadas las duplicaciones temporales técnicamente necesarias, en la medida en que se excluya un menoscabo del nivel de protección de datos aquí acordado.
6. Se permite el tratamiento de datos en domicilios particulares. Si se lleva a cabo dicho tratamiento, el Contratista se asegurará de que se mantenga un nivel de protección de datos y de seguridad de los datos correspondiente al presente Acuerdo y de que los derechos de control del Cliente especificados en el presente Acuerdo también puedan ejercerse sin restricciones en los domicilios privados en cuestión. El tratamiento de datos por cuenta del Cliente mediante dispositivos privados no está permitido en ningún caso.
7. Los soportes de datos dedicados que se originen o se utilicen para el Cliente estarán especialmente marcados y serán objeto de una gestión continua. Se guardarán adecuadamente en todo momento y no serán accesibles a personas no autorizadas. Las entradas y salidas deberán estar documentadas.
8. El Contratista deberá aportar pruebas periódicas del cumplimiento de sus obligaciones, en particular de la plena aplicación de las medidas técnicas y organizativas acordadas y de su eficacia.

6. normas de rectificación, supresión y bloqueo de datos

1. El Contratista sólo corregirá, borrará o bloqueará los datos procesados en el ámbito del pedido de acuerdo con el acuerdo contractual alcanzado o de acuerdo con las instrucciones del Cliente. 
2. El Contratista deberá cumplir con las instrucciones pertinentes del Cliente en todo momento y también más allá de la terminación de este Acuerdo.

7. relaciones de subcontratación

1. El uso de subprocesadores será a discreción del Contratista, siempre y cuando el Contratista informe al Cliente con antelación (por correo electrónico o mediante la publicación en el Portal de Soporte) de cualquier adición o sustitución prevista dentro de la lista de subprocesadores y el Cliente podrá oponerse a dichos cambios de acuerdo con las siguientes reglas. El Contratista seleccionará cuidadosamente al subprocesador, prestando especial atención a la idoneidad de las medidas técnicas y organizativas adoptadas por el subprocesador.
2. Si el Cliente tiene una razón legítima en virtud de la ley de protección de datos para oponerse al tratamiento de los datos personales por parte de los nuevos subprocesadores, podrá rescindir el Acuerdo mediante notificación escrita al Contratista con efecto a partir de una fecha especificada por el Cliente, pero a más tardar en el plazo de treinta días a partir de la fecha de notificación del Contratista al Cliente del nuevo subprocesador. Si el Cliente no rescinde el contrato en este plazo de treinta días, se considerará que el nuevo subprocesador ha sido aprobado por el Cliente.
3. Dentro del período de treinta días a partir de la fecha de la notificación del Contratista al Mandante informando al Mandante del nuevo subprocesador, el Mandante puede solicitar que las partes se reúnan de buena fe y discutan una resolución de la disputa. Dichas conversaciones no prolongarán el plazo de preaviso y no afectarán al derecho del Contratista a poner en servicio al nuevo o nuevos subprocesadores tras la expiración del plazo de treinta días. Cualquier rescisión en virtud de esta sección se considerará sin culpa por parte de cualquiera de las partes y estará sujeta a los términos del Acuerdo.
4. La contratación de subcontratistas que realicen operaciones de tratamiento por cuenta no exclusivamente del territorio de la UE o del EEE sólo es posible si se respetan las condiciones establecidas en los apartados 10 y 11 del capítulo 4 del presente Acuerdo. En particular, sólo se permite en la medida y mientras el subcontratista ofrezca garantías adecuadas de protección de datos. El Contratista informará al Cliente de las garantías específicas de protección de datos que ofrece el subcontratista y de cómo puede obtenerse la prueba de ello. En la medida en que las cláusulas contractuales estándar actualmente válidas basadas en una decisión de la Comisión de la UE (por ejemplo, de acuerdo con la Decisión de la Comisión 2010/87/UE) o las cláusulas estándar de protección de datos de acuerdo con el artículo 46 del GDPR se utilicen como garantías apropiadas, el Mandante autoriza al Contratista, sujeto a la liberación de la prohibición de doble representación de acuerdo con la Sección 181 del Código Civil alemán (BGB), a tomar todas las acciones necesarias para este fin y a emitir y recibir declaraciones de intenciones frente al Subcontratista. Además, el Contratista estará facultado para ejercer los derechos y poderes del Cliente en virtud del presente Contrato frente al Subcontratista.
5. El Contratista comprobará adecuadamente el cumplimiento de las obligaciones del Subcontratista de forma periódica, a más tardar cada 12 meses. La inspección y su resultado se documentarán de manera que sean comprensibles para un tercero competente. La documentación se presentará al Cliente sin que se le solicite. El Contratista conservará la documentación relativa a las auditorías realizadas al menos hasta el final del tercer año natural posterior a la finalización del tratamiento encargado y la presentará al Cliente en cualquier momento que lo solicite.
6. Si el subcontratista no cumple con sus obligaciones en materia de protección de datos, el contratista será responsable ante el cliente.
7. Actualmente, los subcontratistas especificados en el Anexo 2 con el nombre, la dirección y el contenido del pedido participan en el tratamiento de los datos personales en la medida especificada en el mismo y son aprobados por el Cliente. Las demás obligaciones del Contratista con respecto a los subcontratistas establecidas en el presente documento no se verán afectadas.
8. Las relaciones de subcontratación en el sentido de este acuerdo son sólo aquellos servicios que tienen una conexión directa con la prestación del servicio principal. Los servicios auxiliares, como el transporte, el mantenimiento y la limpieza, así como el uso de los servicios de telecomunicaciones o los servicios para usuarios, no están cubiertos. La obligación del Contratista de garantizar el cumplimiento de la protección y seguridad de los datos también en estos casos no se verá afectada.

8. derechos y obligaciones del mandante

1. El cliente será el único responsable de evaluar la permisibilidad del tratamiento encargado y de salvaguardar los derechos de los interesados.
2. El cliente emitirá todos los pedidos, pedidos parciales o instrucciones de forma documentada. En casos urgentes, las instrucciones pueden darse verbalmente. El cliente deberá confirmar inmediatamente dichas instrucciones de forma documentada.
3. El Cliente deberá informar al Contratista sin demora si descubre errores o irregularidades en el examen de los resultados del pedido.
4. El Cliente tendrá derecho a controlar el cumplimiento de las disposiciones sobre protección de datos y los acuerdos contractuales por parte del Contratista en una medida razonable por sí mismo o a través de terceros, en particular mediante la obtención de información y la inspección de los datos almacenados y los programas de procesamiento de datos, así como otras comprobaciones in situ. Las personas encargadas del control deberán tener acceso y conocimiento por parte del contratista en la medida en que sea necesario. El contratista estará obligado a proporcionar la información necesaria, a demostrar los procesos y a aportar las pruebas necesarias para llevar a cabo un control. El contratista tendrá derecho a rechazar las inspecciones de terceros si están en una relación de competencia con él o si existen razones de peso similares.
5. Las inspecciones en los locales del Contratista se llevarán a cabo sin perturbar de forma evitable sus operaciones comerciales. Salvo que se indique lo contrario por razones de urgencia que deberá documentar el Cliente, las inspecciones se llevarán a cabo tras un aviso previo razonable y durante el horario de trabajo del Contratista, y con una frecuencia no superior a 12 meses. En la medida en que el Contratista proporcione pruebas del correcto cumplimiento de las obligaciones acordadas en materia de protección de datos, tal como se establece en el capítulo 5 (8) del presente Acuerdo, la comprobación se limitará a muestras aleatorias.

9. obligaciones de notificación

1. El Contratista notificará al Cliente sin demora cualquier incumplimiento de la protección de los datos personales tratados por cuenta del Cliente. También se notificarán las sospechas razonables al respecto. La notificación se hará a más tardar dentro de las 24 horas siguientes a que el Contratista tenga conocimiento del evento en cuestión, a una dirección especificada por el Cliente. Debe contener al menos la siguiente información:
   1. una descripción de la naturaleza de la violación de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados, las categorías afectadas y el número aproximado de registros de datos personales afectados;
   2. el nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto para obtener más información;
   3. una descripción de las consecuencias probables de la violación de los datos personales;
   4. una descripción de las medidas adoptadas o propuestas por el contratista para hacer frente a la violación de los datos personales y, en su caso, las medidas para mitigar sus posibles efectos adversos 
2. También se informará inmediatamente de las interrupciones significativas en la ejecución del pedido, así como de las violaciones de las disposiciones de protección de datos o de las estipulaciones de este acuerdo por parte del Contratista o de las personas empleadas por el mismo.
3. El Contratista informará al Cliente sin demora de las inspecciones o medidas de las autoridades de supervisión o de otras terceras partes, en la medida en que estén relacionadas con el tratamiento encargado.  
4. El Contratista se compromete a apoyar al Cliente en sus obligaciones de conformidad con los artículos 33 y 34 del Reglamento General de Protección de Datos en la medida necesaria.

10. instrucciones

1. El Cliente se reserva el derecho integral de dar instrucciones con respecto al procesamiento en nombre del Cliente.
2. El Cliente y el Contratista nombrarán a las personas exclusivamente autorizadas para emitir y aceptar instrucciones. Si no se nombran personas autorizadas para dar instrucciones, sólo las personas autorizadas para representar a la parte respectiva estarán autorizadas para dar instrucciones.
3. En caso de cambio o impedimento de larga duración de las personas designadas, la otra parte deberá ser informada inmediatamente de sus sucesores o representantes.
4. El Contratista llamará inmediatamente la atención del Cliente sobre cualquier instrucción emitida por el Cliente que, en opinión del Contratista, viole las disposiciones legales. El Contratista tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que sea confirmada o modificada por el responsable del Cliente.
5. El contratista deberá documentar las instrucciones que reciba y su aplicación.

11. terminación de la orden

1. Si, al finalizar la relación contractual, los datos procesados en el pedido o las copias de los mismos siguen estando en poder del Contratista, éste deberá, a discreción del Cliente, destruir los datos o entregarlos al Cliente. El Cliente deberá realizar esta elección en un plazo de 2 semanas desde que el Contratista se lo solicite. La destrucción se llevará a cabo de tal manera que ya no sea posible recuperar ni siquiera la información residual con un esfuerzo razonable. La destrucción física se llevará a cabo de acuerdo con la norma DIN 66399. 
2. El contratista está obligado a organizar la destrucción o devolución inmediata de los bienes, también en el caso de los subcontratistas.
3. El Contratista deberá aportar la prueba de la correcta destrucción y presentarla al Cliente sin demora.
4. La documentación que sirva de prueba del correcto tratamiento de los datos deberá ser conservada por el contratista al menos hasta el final del tercer año natural tras la finalización del contrato. Puede entregarlos al Cliente para que los descargue.

12. Responsabilidad

1. El comitente y el contratista serán responsables solidarios de la indemnización de los daños y perjuicios sufridos por una persona debido a un tratamiento de datos no autorizado o incorrecto en el ámbito de la relación contractual.
2. El Contratista asumirá la carga de la prueba de que cualquier daño no es el resultado de una circunstancia de la que es responsable, en la medida en que los datos pertinentes fueron procesados por él en virtud de este Acuerdo. Mientras no se haya aportado esta prueba, el Contratista indemnizará al Cliente a primer requerimiento por todas las reclamaciones presentadas contra el Cliente en relación con el tratamiento encargado. En estas condiciones, el Contratista también deberá reembolsar al Cliente todos los gastos de defensa legal en los que haya incurrido. 
3. El Contratista será responsable ante el Cliente de los daños causados culpablemente por el Contratista, sus empleados o los subcontratistas contratados por él para la ejecución del contrato o los subcontratistas contratados por él en relación con la prestación del servicio contractual encargado.
4. Los números (2) y (3) no se aplican en la medida en que el daño haya sido causado por la correcta ejecución del servicio encargado o por una instrucción emitida por el Cliente.

13. derecho especial de rescisión

1. El Mandante podrá rescindir el Contrato de Mandante y este Acuerdo en cualquier momento sin previo aviso ("rescisión extraordinaria") en caso de que el Contratista infrinja gravemente las normas de protección de datos o las disposiciones de este Acuerdo, si el Contratista no puede o no quiere llevar a cabo una instrucción legal del Mandante o si el Contratista rechaza los derechos de control del Mandante en incumplimiento del Acuerdo. 
2. Se considerará que se ha producido un incumplimiento grave, en particular, si el Contratista no cumple o ha dejado de cumplir de forma significativa las obligaciones determinadas en el presente Acuerdo, en particular las medidas técnicas y organizativas acordadas.
3. En caso de infracciones insignificantes, el Cliente fijará al Contratista un plazo razonable para la adopción de medidas correctoras. Si el remedio no se proporciona a tiempo, el Cliente tendrá derecho a la terminación extraordinaria como se describe en esta sección.
4. El Contratista reembolsará al Cliente todos los costes en los que éste haya incurrido como consecuencia de la terminación prematura del contrato principal o de este Acuerdo como resultado de una terminación extraordinaria por parte del Cliente.

14. varios

1. Ambas partes están obligadas a tratar como confidenciales todos los conocimientos de los secretos comerciales y las medidas de seguridad de los datos de la otra parte respectivos obtenidos en el marco de la relación contractual, incluso después de la terminación del contrato principal. Si hay alguna duda sobre si la información está sujeta a la obligación de confidencialidad, se tratará como confidencial hasta que la otra parte la haya liberado por escrito. 
2. En caso de que los bienes del comitente con el contratista estén en peligro por medidas de terceros (por ejemplo, por embargo o incautación), por procedimientos de insolvencia o concurso de acreedores o por otros acontecimientos, el contratista deberá notificar al comitente sin demora.
3. Los acuerdos complementarios deben hacerse por escrito y deben hacer referencia expresa a este acuerdo.
4. Queda excluida la defensa del derecho de retención en el sentido del artículo 273 del Código Civil alemán con respecto a los datos procesados en el pedido y los soportes de datos asociados.
5. En caso de que algunas partes de este acuerdo no sean válidas, esto no afectará a la validez del resto del acuerdo.

Anexo 1 - Medidas técnicas y organizativas

Véase la página: Medidas técnicas y organizativas

Anexo 2 - Subcontratistas autorizados

Nos complace enviar a todos nuestros clientes una lista de nuestros subcontratistas autorizados. Envíenos un correo electrónico a
datenschutz@linkando.com y le proporcionaremos esta información de forma confidencial.