Acuerdo de procesamiento de datos

Actualizado: 3 de junio de 2021‍

1. 1. Índice

  1. Preámbulo
  2. Derechos y obligaciones del responsable del tratamiento
  3. El procesador de datos actúa siguiendo instrucciones
  4. Confidencialidad
  5. Seguridad del tratamiento
  6. Uso de subprocesadores
  7. Transferencia de datos a terceros países u organizaciones internacionales
  8. Asistencia al responsable del tratamiento
  9. Notificación de violación de datos personales
  10. Borrado y devolución de datos
  11. Auditoría e inspección
  12. Acuerdo de las partes sobre otras condiciones
  13. Inicio y finalización
  14. Contactos/puntos de contacto del responsable y el encargado del tratamiento

Apéndice A - Información sobre el tratamiento
Apéndice B - Subencargados del tratamiento autorizados
Apéndice C - Instrucciones relativas al uso de datos personales
Apéndice D - Condiciones del acuerdo de las partes sobre otros temas

2. Preámbulo

  1. Las presentes Cláusulas Contractuales (las Cláusulas) establecen los derechos y obligaciones del responsable del tratamiento y del encargado del tratamiento, cuando tratan datos personales por cuenta del responsable del tratamiento.
  2. Las Cláusulas han sido diseñadas para garantizar el cumplimiento por las partes del artículo 28, apartado 3, del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  3. En el contexto de la prestación de la Plataforma de Personalización, el encargado del tratamiento tratará los datos personales por cuenta del responsable del tratamiento de conformidad con las Cláusulas.
  4. Las Cláusulas tendrán prioridad sobre cualquier disposición similar contenida en otros acuerdos entre las partes.
  5. Cuatro apéndices se adjuntan a las Cláusulas y forman parte integrante de las mismas.
  6. El Apéndice A contiene detalles sobre el tratamiento de datos personales, incluida la finalidad y la naturaleza del tratamiento, el tipo de datos personales, las categorías de interesados y la duración del tratamiento.
  7. El apéndice B contiene las condiciones del responsable del tratamiento para el uso de subencargados del tratamiento y una lista de los subencargados autorizados por el responsable del tratamiento.
  8. El apéndice C contiene las instrucciones del responsable del tratamiento en relación con el tratamiento de datos personales, las medidas de seguridad mínimas que debe aplicar el encargado del tratamiento y cómo deben realizarse las auditorías del encargado del tratamiento y de los posibles subencargados.
  9. El apéndice D contiene disposiciones relativas a otras actividades no contempladas en las cláusulas.
  10. Ambas partes conservarán por escrito, incluso electrónicamente, las Cláusulas junto con los apéndices.
  11. Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que esté sujeto en virtud del Reglamento General de Protección de Datos (el RGPD) u otra legislación.

3. Derechos y obligaciones del responsable del tratamiento

  1. El responsable del tratamiento es responsable de garantizar que el tratamiento de los datos personales se realice de conformidad con el RGPD (véase el artículo 24 del RGPD), las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos y las Cláusulas.
  2. El responsable del tratamiento tiene el derecho y la obligación de tomar decisiones sobre los fines y medios del tratamiento de datos personales.
  3. El responsable del tratamiento será responsable, entre otras cosas, de garantizar que el tratamiento de datos personales que se encargue al encargado del tratamiento tenga una base jurídica.

4. El procesador de datos actúa según instrucciones

  1. El encargado del tratamiento sólo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado. Dichas instrucciones se especificarán en los apéndices A y C. El responsable del tratamiento también podrá dar instrucciones ulteriores mientras dure el tratamiento de datos personales, pero dichas instrucciones deberán documentarse y conservarse siempre por escrito, incluso por medios electrónicos, en relación con las Cláusulas.
  2. El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento, en opinión del encargado del tratamiento, contravienen el RGPD o las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos.

5. Confidencialidad

  1. El encargado del tratamiento sólo concederá acceso a los datos personales tratados por cuenta del responsable del tratamiento a las personas bajo su autoridad que se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad, y únicamente en la medida en que sea necesario. La lista de personas a las que se ha concedido acceso se revisará periódicamente. Sobre la base de esta revisión, dicho acceso a los datos personales podrá retirarse, si ya no es necesario, y, en consecuencia, dichas personas dejarán de tener acceso a los datos personales.
  2. El encargado del tratamiento demostrará, a petición del responsable del tratamiento, que las personas afectadas bajo su autoridad están sujetas a la confidencialidad antes mencionada.

6. Seguridad del tratamiento

  1. El artículo 32 del RGPD establece que, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

    El responsable del tratamiento evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. En función de su pertinencia, las medidas podrán incluir lo siguiente
  2. Seudonimización y cifrado de datos personales;
  3. la capacidad de garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios de procesamiento;
  4. la capacidad de restablecer oportunamente la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico;
  5. un proceso de comprobación, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  6. De conformidad con el artículo 32 del RGPD, el encargado del tratamiento evaluará también -independientemente del responsable del tratamiento- los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigar dichos riesgos. A tal efecto, el responsable del tratamiento facilitará al encargado del tratamiento toda la información necesaria para identificar y evaluar dichos riesgos.
  7. Además, el responsable del tratamiento de datos ayudará al responsable del tratamiento de datos a garantizar el cumplimiento de las obligaciones del responsable del tratamiento de datos de conformidad con el artículo 32 del RGPD, entre otras cosas, proporcionando al responsable del tratamiento de datos información sobre las medidas técnicas y organizativas ya aplicadas por el responsable del tratamiento de datos de conformidad con el artículo 32 del RGPD, junto con toda la demás información necesaria para que el responsable del tratamiento de datos cumpla con la obligación del responsable del tratamiento de datos en virtud del artículo 32 del RGPD.

    Si posteriormente -en la evaluación del responsable del tratamiento de datos- la mitigación de los riesgos identificados requiere que el responsable del tratamiento de datos aplique medidas adicionales a las ya aplicadas por el responsable del tratamiento de datos de conformidad con el artículo 32 del RGPD, el responsable del tratamiento de datos especificará estas medidas adicionales que deben aplicarse en el apéndice C.

7. Utilización de subencargados del tratamiento

  1. El encargado del tratamiento de datos deberá cumplir los requisitos especificados en el artículo 28, apartados 2 y 4, del RGPD para poder contratar a otro encargado (un subencargado del tratamiento).
  2. Por lo tanto, el encargado del tratamiento no contratará a otro encargado (subencargado del tratamiento) para el cumplimiento de las Cláusulas sin la autorización general previa por escrito del responsable del tratamiento.
  3. El encargado del tratamiento cuenta con la autorización general del responsable del tratamiento para la contratación de subencargados del tratamiento. El encargado del tratamiento informará por escrito al responsable del tratamiento de cualquier cambio previsto en relación con la adición o sustitución de subencargados del tratamiento con al menos 30 días de antelación, dando así al responsable del tratamiento la oportunidad de oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. En el apéndice B pueden establecerse plazos de preaviso más largos para determinados servicios de subtratamiento. La lista de subencargados del tratamiento ya autorizados por el responsable del tratamiento figura en el apéndice B.
  4. Cuando el encargado del tratamiento contrate a un subencargado para llevar a cabo actividades de tratamiento específicas por cuenta del responsable del tratamiento, se impondrán a dicho subencargado las mismas obligaciones de protección de datos que se establecen en las Cláusulas mediante un contrato u otro acto jurídico con arreglo al Derecho de la UE o de los Estados miembros, en particular la aportación de garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas de manera que el tratamiento cumpla los requisitos de las Cláusulas y del RGPD.

    Por lo tanto, el encargado del tratamiento será responsable de exigir que el subencargado del tratamiento cumpla al menos las obligaciones a las que está sujeto el encargado del tratamiento de conformidad con las Cláusulas y el RGPD.
  5. A petición del responsable del tratamiento, deberá presentarse al responsable del tratamiento una copia de dicho acuerdo de subencargado del tratamiento y de las modificaciones posteriores, dando así al responsable del tratamiento la oportunidad de garantizar que se imponen al subencargado del tratamiento las mismas obligaciones de protección de datos que se establecen en las cláusulas. No será necesario presentar al responsable del tratamiento las cláusulas relativas a cuestiones comerciales que no afecten al contenido jurídico de protección de datos del acuerdo de subencargado del tratamiento.
  6. El encargado del tratamiento acordará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de quiebra del encargado del tratamiento, el responsable del tratamiento será un tercero beneficiario del acuerdo de subencargo y tendrá derecho a hacer cumplir el acuerdo al subencargado contratado por el encargado del tratamiento, por ejemplo, permitiendo al responsable del tratamiento ordenar al subencargado que suprima o devuelva los datos personales.
  7. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos, el responsable del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento en lo que respecta al cumplimiento de las obligaciones del subencargado. Esto no afecta a los derechos de los interesados en virtud del RGPD -en particular los previstos en los artículos 79 y 82 del RGPD- frente al responsable del tratamiento y al encargado del tratamiento, incluido el subencargado del tratamiento.

8. Transferencia de datos a terceros países u organizaciones internacionales

  1. Toda transferencia de datos personales a terceros países u organizaciones internacionales por parte del encargado del tratamiento se realizará únicamente sobre la base de instrucciones documentadas del responsable del tratamiento y siempre de conformidad con el capítulo V del RGPD.
  2. En caso de que las transferencias a terceros países u organizaciones internacionales, que el responsable del tratamiento no haya encargado realizar al encargado del tratamiento, sean exigidas por la legislación de la UE o de los Estados miembros a la que esté sujeto el encargado del tratamiento, éste informará al responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que dicha legislación prohíba dicha información por motivos importantes de interés público.
  3. Por lo tanto, sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no puede entrar en el marco de las cláusulas:
  4. transferir datos personales a un responsable o encargado del tratamiento en un tercer país o en una organización internacional
  5. transferir el tratamiento de datos personales a un subencargado del tratamiento en un tercer país
  6. que el encargado del tratamiento trate los datos personales en un tercer país
  7. Las instrucciones del responsable del tratamiento relativas a la transferencia de datos personales a un tercer país, incluido, si procede, el instrumento de transferencia con arreglo al capítulo V del RGPD en el que se basan, se expondrán en el apéndice C.6.
  8. Las Cláusulas no se confundirán con las cláusulas tipo de protección de datos en el sentido del artículo 46, apartado 2, letras c) y d) del RGPD, y las partes no podrán invocar las Cláusulas como instrumento de transferencia con arreglo al capítulo V del RGPD.

9. Asistencia al responsable del tratamiento

  1. Teniendo en cuenta la naturaleza del tratamiento, el encargado del tratamiento asistirá al responsable del tratamiento con medidas técnicas y organizativas apropiadas, en la medida en que ello sea posible, en el cumplimiento de las obligaciones del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidas en el capítulo III del RGPD.

    Esto implica que el encargado del tratamiento asistirá, en la medida en que ello sea posible, al responsable del tratamiento en el cumplimiento de:
  2. derecho a ser informado cuando se recojan datos personales del interesado
  3. derecho a ser informado cuando no se hayan obtenido datos personales del interesado
  4. derecho de acceso del interesado
  5. derecho de rectificación
  6. derecho de supresión ("derecho al olvido")
  7. derecho a la limitación del tratamiento
  8. obligación de notificación relativa a la rectificación o supresión de datos personales o a la limitación de su tratamiento
  9. derecho a la portabilidad de los datos
  10. derecho de oposición
  11. derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles
  12. Además de la obligación del encargado del tratamiento de asistir al responsable del tratamiento con arreglo a la cláusula 6.3., el encargado del tratamiento deberá además, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, asistir al responsable del tratamiento para garantizar el cumplimiento de:
  13. La obligación del responsable del tratamiento de notificar la violación de los datos personales a la autoridad de control competente, la Agencia Danesa de Protección de Datos, sin dilación indebida y, cuando sea factible, a más tardar 72 horas después de haber tenido conocimiento de ella, a menos que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas;
  14. la obligación del responsable del tratamiento de comunicar sin dilación indebida la violación de los datos personales al interesado, cuando sea probable que la violación de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas;
  15. la obligación del responsable del tratamiento de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una evaluación de impacto relativa a la protección de datos);
  16. la obligación del responsable del tratamiento de consultar a la autoridad de control competente, la Agencia Danesa de Protección de Datos, antes del tratamiento cuando una evaluación de impacto de la protección de datos indique que el tratamiento supondría un alto riesgo en ausencia de medidas adoptadas por el responsable del tratamiento para mitigarlo.
  17. Las partes definirán en el apéndice C las medidas técnicas y organizativas apropiadas mediante las cuales el encargado del tratamiento de datos deberá asistir al responsable del tratamiento de datos, así como el ámbito y el alcance de la asistencia requerida. Esto se aplica a las obligaciones previstas en la cláusula 9.1. y 9.2.

10. Notificación de violación de datos personales

  1. En caso de violación de los datos personales, el encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida tras haber tenido conocimiento de ella, la violación de los datos personales.
  2. La notificación del encargado del tratamiento al responsable del tratamiento tendrá lugar, si es posible, en el plazo de 36 horas a partir del momento en que el encargado del tratamiento haya tenido conocimiento de la violación de los datos personales, a fin de que el responsable del tratamiento pueda cumplir con la obligación del responsable del tratamiento de notificar la violación de los datos personales a la autoridad de control competente, véase el artículo 33 del RGPD.
  3. De conformidad con la cláusula 9, apartado 2, letra a), el encargado del tratamiento de datos ayudará al responsable del tratamiento de datos a notificar la violación de los datos personales a la autoridad de control competente, lo que significa que el encargado del tratamiento de datos está obligado a ayudar a obtener la información que se enumera a continuación y que, de conformidad con el artículo 33, apartado 3, del RGPD, se hará constar en la notificación del responsable del tratamiento de datos a la autoridad de control competente:
  4. La naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
  5. las consecuencias probables de la violación de los datos personales;
  6. las medidas adoptadas o que se propone adoptar el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.
  7. Las partes definirán en el apéndice C todos los elementos que deberá facilitar el encargado del tratamiento cuando asista al responsable del tratamiento en la notificación de una violación de datos personales a la autoridad de control competente.

11. Borrado y devolución de datos

  1. A la finalización de la prestación de servicios de tratamiento de datos personales, el encargado del tratamiento estará obligado a suprimir todos los datos personales tratados por cuenta del responsable del tratamiento y a certificar al responsable del tratamiento que así lo ha hecho, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales.

    El encargado del tratamiento se compromete a tratar exclusivamente los datos personales para los fines y durante el plazo previstos en esta ley y en las estrictas condiciones aplicables.

12. Auditoría e inspección

  1. El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y en las Cláusulas y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el responsable del tratamiento o por otro auditor encargado por el responsable del tratamiento.
  2. En los apéndices C.7. y C.8. se especifican los procedimientos aplicables a las auditorías del responsable del tratamiento, incluidas las inspecciones, del encargado del tratamiento y de los subencargados del tratamiento.
  3. El encargado del tratamiento estará obligado a facilitar a las autoridades de control que, con arreglo a la legislación aplicable, tengan acceso a las instalaciones del responsable y del encargado del tratamiento, o a los representantes que actúen en nombre de dichas autoridades de control, el acceso a las instalaciones físicas del encargado del tratamiento previa presentación de la identificación adecuada.

13. El acuerdo de las partes sobre otros términos

  1. Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de tratamiento de datos personales en las que se especifique, por ejemplo, la responsabilidad, siempre que no contradigan directa o indirectamente las Cláusulas ni perjudiquen los derechos o libertades fundamentales del interesado y la protección otorgada por el GDPR.

14. Inicio y terminación

  1. Las Cláusulas entrarán en vigor en la fecha en que los responsables del tratamiento accedan por primera vez al servicio.
  2. Ambas partes tendrán derecho a exigir la renegociación de las Cláusulas si los cambios en la legislación o la falta de conveniencia de las Cláusulas dieran lugar a dicha renegociación.
  3. Las Cláusulas se aplicarán mientras dure la prestación de servicios de tratamiento de datos personales. Durante la duración de la prestación de servicios de tratamiento de datos personales, las Cláusulas no podrán rescindirse a menos que las partes hayan acordado otras Cláusulas que rijan la prestación de servicios de tratamiento de datos personales.
  4. Si se pone fin a la prestación de servicios de tratamiento de datos personales, y los datos personales se suprimen o devuelven al responsable del tratamiento de conformidad con la cláusula 11.1. y el apéndice C.4., cualquiera de las partes podrá rescindir las cláusulas mediante notificación por escrito.

15. Contactos/puntos de contacto del responsable y el encargado del tratamiento

  1. Las partes podrán ponerse en contacto utilizando los siguientes contactos/puntos de contacto: support@clerk.io
  2. Las partes estarán obligadas a informarse mutuamente y de forma continua de los cambios que se produzcan en los contactos/puntos de contacto.

Apéndice A - Información sobre el tratamiento

A.1. La finalidad del tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento es:

Cuando la plataforma de personalización, que es propiedad del responsable del tratamiento y está gestionada por él, se pone a disposición del responsable del tratamiento, el responsable del tratamiento trata los datos personales de los clientes y clientes potenciales del responsable del tratamiento, con el fin de poder combinar los clientes y clientes potenciales del responsable del tratamiento con los productos del responsable del tratamiento en el entorno en línea del responsable del tratamiento y, además, permitir al responsable del tratamiento obtener información sobre los productos, los intereses de compra, etc.

A.2. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se referirá principalmente a (la naturaleza del tratamiento):

El Procesador de Datos recibe datos automatizados del Controlador de Datos sobre los clientes del Controlador de Datos en la Plataforma de Personalización Los datos se analizan y se pone a disposición del Controlador de Datos un análisis de los intereses de compra de los clientes del Controlador de Datos. La plataforma de personalización sólo es aplicable a las tiendas propias del responsable del tratamiento (se aplica la misma definición que en las condiciones de servicio).

A.3. El tratamiento incluye los siguientes tipos de datos personales sobre los interesados:

El Responsable del Tratamiento puede tratar potencialmente todo tipo de datos personales no sensibles sobre los interesados al Encargado del Tratamiento.Los datos personales exactos vienen determinados por la forma en que el Responsable del Tratamiento utiliza el Servicio tienda por tienda.El Encargado del Tratamiento proporciona una herramienta de conocimiento de los datos personales para identificar a los subencargados del tratamiento y los datos personales utilizados en una tienda concreta. Consulte clerk.io/dpa-details para conocer los datos personales procesados en la tienda específica del responsable deltratamiento.‍

A.4. El tratamiento incluye las siguientes categorías de interesados:

  • Personas que han realizado una compra al Responsable del Tratamiento
  • Clientes potenciales del responsable del tratamiento

A.5. El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento podrá realizarse cuando comiencen las Cláusulas. El tratamiento tiene la siguiente duración:

El Encargado del Tratamiento tratará los datos personales mientras estén en vigor las "CDS" acordadas y mientras el Responsable del Tratamiento utilice la Plataforma de Personalización del Encargado del Tratamiento.

Apéndice B - Subtransformadores autorizados

B.1. Subtransformadores autorizados

A partir de la entrada en vigor de las Cláusulas, el responsable del tratamiento autoriza la contratación de los siguientes subencargados del tratamiento: Consulte clerk.io/dpa-detalles Enel momento de la entrada en vigor de las Cláusulas, el responsable del tratamiento autorizará el uso de los subencargados del tratamiento mencionados anteriormente para el tratamiento descrito para esa parte. El encargado del tratamiento no tendrá derecho -sin la autorización explícita por escrito del responsable del tratamiento- a contratar a un subencargado para un tratamiento "distinto" del acordado o a encargar a otro subencargado la realización del tratamiento descrito.

B.2. Notificación previa para la autorización de subencargados del tratamiento

El Encargado del Tratamiento cuenta con la autorización general del Responsable del Tratamiento para la contratación de subencargados. Consulte el apartado 7.3 del presente Acuerdo de Tratamiento de Datos para obtener información sobre la notificación previa a los cambios relativos a la adición o sustitución de subencargados del tratamiento.

Apéndice C - Instrucción relativa al uso de datos personales

C.1. Objeto/instrucción del tratamiento

El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se llevará a cabo de la siguiente manera:

  • Analizar los datos introducidos por el Responsable del Tratamiento para predecir los intereses e intenciones de los clientes del Responsable del Tratamiento mediante aprendizaje automático. El resultado del tratamiento de los datos por parte del responsable del tratamiento permitirá al responsable del tratamiento ofrecer búsquedas inteligentes, recomendaciones pertinentes y ofertas de productos personalizadas por correo electrónico a los clientes del responsable del tratamiento, así como dirigirse a nuevos clientes pertinentes.

C.2. Seguridad del tratamiento

El nivel de seguridad deberá tener en cuenta:

  • que el responsable del tratamiento utilice, siempre que sea posible, la seudonimización en el tratamiento de datos personales

En lo sucesivo, el responsable del tratamiento estará facultado y obligado a tomar decisiones sobre las medidas de seguridad técnicas y organizativas que deban aplicarse para crear el nivel necesario (y acordado) de seguridad de los datos. No obstante, el responsable del tratamiento aplicará -en cualquier caso y como mínimo- las siguientes medidas que se hayan acordado con el responsable del tratamiento (sobre la base de la evaluación de riesgos que haya realizado el responsable del tratamiento):

  1. El Encargado del Tratamiento informará al Responsable del Tratamiento sin dilación indebida y de forma exhaustiva sobre cualquier error o irregularidad relacionados con las disposiciones legales sobre el Tratamiento de Datos Personales detectados durante una verificación de los resultados de dicho Tratamiento.
  2. En caso de rescisión o expiración de las condiciones de servicio, el responsable del tratamiento de datos, mediante la emisión de una instrucción, estipulará, en un plazo fijado por el responsable del tratamiento de datos, las medidas razonables para devolver los soportes de datos o eliminar los datos almacenados.
  3. Cualquier coste adicional derivado de la devolución o eliminación de Datos Personales tras la rescisión o expiración de las Condiciones de servicio correrá a cargo del Responsable del tratamiento.

C.3. Asistencia al responsable del tratamiento

En la medida de lo posible, el encargado del tratamiento -dentro del ámbito y el alcance de la asistencia que se especifican a continuación- asistirá al responsable del tratamiento de conformidad con la cláusula 9.1. y 9.2. aplicando las siguientes medidas técnicas y organizativas:El responsable del tratamiento tiene acceso permanente a todos los datos personales a través de la plataforma de personalización. El responsable del tratamiento puede prestar asistencia y apoyo al responsable del tratamiento todos los días laborables dentro del horario normal de trabajo.

C.4. Período de almacenamiento/procedimientos de verificación

Mientras estén en vigor las condiciones de servicio y mientras el responsable del tratamiento utilice la plataforma de personalización del responsable del tratamiento, los datos personales se conservarán en poder del responsable del tratamiento hasta que el responsable del tratamiento solicite la supresión o la devolución de los datos.En caso de rescisión de las condiciones de servicio, los datos personales se suprimirán en un plazo de 30 días tras la expiración del acuerdo, a menos que existan motivos legales que exijan el mantenimiento de estos datos personales en el servidor de la empresa.

C.5. Lugar de procesamiento

El tratamiento de los datos personales con arreglo a las Cláusulas no podrá realizarse en otros lugares distintos de los indicados a continuación sin la autorización previa por escrito del responsable del tratamiento: Consulte clerk.io/dpa-detalles para conocer los datos personales tratados en la Tienda específicadel responsable del tratamiento.‍

C.6. Instrucciones sobre la transferencia de datos personales a terceros países

El Encargado del Tratamiento está autorizado a transferir datos personales a los subencargados del tratamiento autorizados en los terceros países enumerados en el apartado C.5. La base jurídica para esta transferencia son las Cláusulas Contractuales Tipo de la Comisión Europea. Si se van a transferir datos personales a terceros países en otros casos, el responsable del tratamiento está obligado a notificar debidamente y solicitar el consentimiento del responsable del tratamiento en relación con la transferencia de datos personales a un tercer país. La transferencia de datos personales a un tercer país sólo puede tener lugar siguiendo las normas del Reglamento General de Protección de Datos, y el responsable del tratamiento está obligado a garantizar una base jurídica para la transferencia.

C.7. Procedimientos para las auditorías del responsable del tratamiento, incluidas las inspecciones, del tratamiento de datos personales que realiza el encargado del tratamiento.

Las Partes han acordado que podrán utilizarse los siguientes tipos de informes de inspección:El Responsable del Tratamiento tiene acceso a todos los datos personales y puede controlarlos en cualquier momento a través de la Plataforma de Personalización.Una vez al año, el Responsable del tratamiento podrá exigir que el Encargado del tratamiento responda a las preguntas de un cuestionario escrito sobre el cumplimiento de las Cláusulas por parte del Encargado del tratamiento, yUna vez al año, el Responsable del tratamiento o su representante tendrán la posibilidad de realizar una inspección física de los lugares en los que el Encargado del tratamiento lleve a cabo el tratamiento de datos personales, incluidas las instalaciones físicas, así como los sistemas utilizados para el tratamiento y relacionados con él, a fin de determinar el cumplimiento por parte del Encargado del tratamiento del GDPR, de las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos y de las Cláusulas.Los costes del responsable del tratamiento, en su caso, relativos a la inspección física serán sufragados por el responsable del tratamiento. No obstante, el responsable del tratamiento estará obligado a reservar los recursos (principalmente tiempo) necesarios para que el responsable del tratamiento pueda realizar la inspección.

C.8. Procedimientos de auditoría, incluidas inspecciones, del tratamiento de datos personales realizado por subencargados del tratamiento.

Las Partes han acordado que podrán utilizarse los siguientes tipos de informes de inspección:El Responsable del Tratamiento tiene acceso a todos los datos personales y puede controlarlos en cualquier momento a través de la Plataforma de Personalización.Una vez al año, el Responsable del tratamiento podrá exigir que el Encargado del tratamiento responda a las preguntas de un cuestionario escrito sobre el cumplimiento de las Cláusulas por parte del Encargado del tratamiento, yUna vez al año, el Responsable del tratamiento o su representante tendrán la posibilidad de realizar una inspección física de los lugares en los que el Encargado del tratamiento lleve a cabo el tratamiento de datos personales, incluidas las instalaciones físicas, así como los sistemas utilizados para el tratamiento y relacionados con él, a fin de determinar el cumplimiento por parte del Encargado del tratamiento del GDPR, de las disposiciones aplicables de la UE o de los Estados miembros en materia de protección de datos y de las Cláusulas.Los costes del responsable del tratamiento, en su caso, relativos a la inspección física serán sufragados por el responsable del tratamiento. No obstante, el responsable del tratamiento estará obligado a reservar los recursos (principalmente tiempo) necesarios para que el responsable del tratamiento pueda realizar la inspección.

Apéndice D - Condiciones de acuerdo de las partes sobre otros temas

Sin contenido