Actualizado el 3 de marzo de 2022.
Descargar pdf

Acuerdo de Tratamiento de Datos (APD)

Programa 2

PREÁMBULO

Anexo a las «Condiciones generales de suscripción

Este Acuerdo de Procesamiento de Datos es un anexo al Acuerdo celebrado entre Konsolidator y el Cliente en relación con el uso por parte del Cliente de la plataforma SaaS de Konsolidator (la Plataforma) y forma parte integrante del mismo.

Los términos y expresiones en mayúsculas tendrán el significado que se les atribuye en el presente Acuerdo de Procesamiento de Datos y en el Acuerdo.

El siguiente Acuerdo de Procesamiento de Datos se celebra entre el controlador de datos «Cliente» o «controlador» (la persona jurídica denominada Cliente en el Acuerdo (como se estipula en la Orden de Pedido) y el procesador de datos:

Konsolidator A/S

Número de registro de la empresa: 36078383

Dinamarca

Denominadas colectivamente «Partes» y separadamente «Parte».

ANEXO

Cláusulas contractuales tipo

SECCIÓN I

Artículo 1

Objetivo y ámbito de aplicación

(a) El objeto de las presentes Cláusulas Contractuales Tipo (las Cláusulas) es garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

(b) Los responsables y encargados del tratamiento enumerados en el anexo I han aceptado las presentes Cláusulas para garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 y/o del artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725.

(c) Las presentes Cláusulas se aplican al tratamiento de los datos personales especificados en el Anexo II.

(d) Los Anexos I a IV forman parte integrante de las Cláusulas.

(e) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el responsable del tratamiento en virtud del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725.

(f) Las presentes Cláusulas no garantizan por sí mismas el cumplimiento de las obligaciones relacionadas con las transferencias internacionales de conformidad con el Capítulo V del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.

Artículo 2

Invariabilidad de las cláusulas

(a) Las Partes se comprometen a no modificar las Cláusulas, salvo para añadir información a los Anexos o actualizar la información contenida en los mismos.

(b) Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en estas Cláusulas en un contrato más amplio o añadir otras cláusulas o garantías adicionales siempre que no contradigan directa o indirectamente las Cláusulas ni menoscaben los derechos o libertades fundamentales de los interesados.

Artículo 3

Interpretación

(a) Cuando en las presentes Cláusulas se utilicen los términos definidos en el Reglamento (UE) 2016/679 o en el Reglamento (UE) 2018/1725, respectivamente, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679 o en el Reglamento (UE) 2018/1725, respectivamente.

(c) Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679 / Reglamento (UE) 2018/1725 o de forma que perjudique los derechos o libertades fundamentales de los interesados.

Artículo 4

Jerarquía

En caso de contradicción entre las presentes Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes existentes en el momento en que se acuerden las presentes Cláusulas o celebrados con posterioridad, prevalecerán las presentes Cláusulas.

Artículo 5

Cláusula de atraque

(a) Cualquier entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de todas las Partes, adherirse a las mismas en cualquier momento como responsable o encargado del tratamiento cumplimentando los Anexos.

(b) Una vez que el Cliente y el encargado del tratamiento hayan firmado un acuerdo, los anexos en (a) se hayan completado, la entidad adherente será tratada como Parte de estas Cláusulas y tendrá los derechos y obligaciones de un responsable o encargado del tratamiento, de conformidad con su designación en el Anexo I.

(c) La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas desde el periodo anterior a convertirse en Parte.

SECCIÓN II

Obligaciones de las partes

Artículo 6

Descripción de la(s) transformación(es)

Los detalles de las operaciones de tratamiento, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del responsable del tratamiento, se especifican en el anexo I.

Artículo 7

Obligaciones de las partes

7.1. Instrucciones

(a) El encargado del tratamiento tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable del tratamiento, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado del tratamiento. En este caso, el encargado del tratamiento informará al responsable del tratamiento de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El responsable del tratamiento también podrá dar instrucciones posteriores mientras dure el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.

(b) El encargado del tratamiento informará inmediatamente al responsable si, en opinión del encargado, las instrucciones dadas por el responsable infringen el Reglamento (UE) 2016/679 / Reglamento (UE) 2018/1725 o las disposiciones de protección de datos de la Unión o de los Estados miembros aplicables.

7.2. Limitación de la finalidad

El encargado del tratamiento tratará los datos personales únicamente para la finalidad o finalidades específicas del tratamiento, establecidas en el anexo I, salvo que reciba instrucciones adicionales del responsable del tratamiento.

7.3. Duración del tratamiento de datos personales

El tratamiento por parte del encargado del tratamiento sólo tendrá lugar mientras dure el acuerdo entre el Cliente y el encargado del tratamiento.

7.4. Seguridad del tratamiento

(a) El encargado del tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque su destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso no autorizado (violación de datos personales). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de aplicación, la naturaleza, el alcance, el contexto, los fines del tratamiento y los riesgos que entraña para los interesados.

(b) El encargado del tratamiento sólo concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. El encargado del tratamiento velará por que las personas autorizadas a tratar los datos personales recibidos se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.

7.5. Datos sensibles

Si el tratamiento implica datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado del tratamiento aplicará restricciones específicas y/o garantías adicionales.

7.6. Documentación y conformidad

(a) Las Partes deberán poder demostrar el cumplimiento de las presentes Cláusulas.

(b) El encargado del tratamiento atenderá rápida y adecuadamente las consultas del responsable del tratamiento sobre el tratamiento de datos de conformidad con las presentes Cláusulas.

(c) El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en las presentes Cláusulas y se derivan directamente del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725. A petición del responsable del tratamiento, el encargado del tratamiento también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el responsable del tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el encargado del tratamiento.

(d) El controller puede optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías también podrán incluir inspecciones en los locales o instalaciones físicas del encargado del tratamiento y, en su caso, se llevarán a cabo con un preaviso razonable.

(e) Las Partes pondrán la información mencionada en la presente cláusula, incluidos los resultados de cualquier auditoría, a disposición de la autoridad o autoridades de control competentes que lo soliciten.

7.7. Uso de sub procesadores

(a) El encargado del tratamiento cuenta con la autorización general del responsable del tratamiento para la contratación de sub encargados del tratamiento a partir de una lista acordada. El encargado del tratamiento informará específicamente por escrito al responsable del tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de sub encargados del tratamiento con al menos 30 días de antelación, dando así al responsable del tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del sub encargado o sub encargados en cuestión. El encargado del tratamiento facilitará al responsable del tratamiento la información necesaria para que éste pueda ejercer el derecho de oposición.

(b) Cuando el encargado del tratamiento contrate a un sub encargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable del tratamiento), deberá hacerlo mediante un contrato que imponga al sub encargado, en esencia, las mismas obligaciones de protección de datos que las impuestas al encargado del tratamiento de conformidad con las presentes Cláusulas. El encargado del tratamiento se asegurará de que el sub encargado del tratamiento cumpla con las obligaciones a las que está sujeto el encargado en virtud de las presentes Cláusulas y del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.

(c) A petición del responsable del tratamiento, el encargado del tratamiento facilitará al responsable del tratamiento una copia de dicho acuerdo de sub encargado del tratamiento y de cualquier modificación posterior. En la medida en que sea necesario para proteger un secreto comercial u otra información confidencial, incluidos los datos personales, el encargado del tratamiento podrá redactar el texto del acuerdo antes de compartir la copia.

(d) El encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones del sub encargado, de conformidad con su contrato con el encargado del tratamiento. El encargado del tratamiento notificará al responsable del tratamiento cualquier incumplimiento por parte del sub encargado de sus obligaciones contractuales.

7.8. Transferencias internacionales

(a) Toda transferencia de datos a un tercer país o a una organización internacional por parte del encargado del tratamiento se realizará únicamente sobre la base de instrucciones documentadas del responsable del tratamiento o con el fin de cumplir un requisito específico en virtud del Derecho de la Unión o de los Estados miembros al que esté sujeto el encargado del tratamiento y tendrá lugar de conformidad con el capítulo V del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725.

(b) El responsable del tratamiento acepta que cuando el encargado contrate a un sub encargado del tratamiento de conformidad con la cláusula 7.7. para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable del tratamiento) y dichas actividades de tratamiento implican una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el sub encargado del tratamiento pueden garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando cláusulas contractuales tipo adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales tipo.

Artículo 8

Asistencia al controller

(a) El encargado del tratamiento notificará sin demora al responsable del tratamiento cualquier solicitud que haya recibido del interesado. No responderá por sí misma a la solicitud a menos que el responsable del tratamiento le autorice a hacerlo.

(b) El encargado del tratamiento asistirá al responsable del tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En cumplimiento de sus obligaciones de conformidad con (a) y (b), el encargado del tratamiento cumplirá las instrucciones del responsable del tratamiento.

(c) Además de la obligación del encargado del tratamiento de asistir al responsable del tratamiento con arreglo a la cláusula 8.b), el encargado del tratamiento asistirá además al responsable del tratamiento para garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que disponga el encargado del tratamiento:

(1) la obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una «evaluación de impacto relativa a la protección de datos») cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas;

(2) la obligación de consultar a la autoridad o autoridades de control competentes antes del tratamiento cuando una evaluación de impacto de la protección de datos indique que el tratamiento entrañaría un alto riesgo en ausencia de medidas adoptadas por el responsable del tratamiento para mitigarlo;

(3) la obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable del tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos;

(4) las obligaciones del artículo 32 del Reglamento (UE) 2016/679.

(d) Las Partes establecerán en el Anexo II las medidas técnicas y organizativas apropiadas mediante las cuales el encargado del tratamiento deberá asistir al responsable del tratamiento en la aplicación de la presente cláusula, así como el ámbito y el alcance de la asistencia requerida.

Artículo 9

Notificación de violación de datos personales

En caso de violación de datos personales, el encargado del tratamiento cooperará con el responsable del tratamiento y le prestará asistencia para que este cumpla las obligaciones que le incumben en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679 o de los artículos 34 y 35 del Reglamento (UE) 2018/1725, cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.

9.1 Infracción relativa a los datos tratados por el responsable del tratamiento

En caso de violación de datos personales relativos a datos tratados por el responsable del tratamiento, el encargado del tratamiento asistirá al responsable del tratamiento:

(a) en notificar la violación de los datos personales a la autoridad o autoridades de control competentes, sin dilaciones indebidas después de que el responsable del tratamiento haya tenido conocimiento de ella, cuando proceda/(salvo que sea improbable que la violación de los datos personales entrañe un riesgo para los derechos y libertades de las personas físicas);

(b) en la obtención de la siguiente información que, de conformidad con el artículo 33, apartado 3, del Reglamento (UE) 2016/679, se hará constar en la notificación del responsable del tratamiento, y deberá incluir al menos:

(1) la naturaleza de los datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;

(2) las consecuencias probables de la violación de los datos personales;

(3) las medidas adoptadas o que se propone adoptar el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos.

Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora injustificada.

(c) en el cumplimiento, de conformidad con el artículo 34 del Reglamento (UE) 2016/679, de la obligación de comunicar sin dilación indebida la violación de los datos personales al interesado, cuando sea probable que la violación de los datos personales dé lugar a un alto riesgo para los derechos y libertades de las personas físicas.

9.2 Violación de datos relativos a los datos tratados por el encargado del tratamiento

En caso de violación de los datos personales relativos a los datos tratados por el encargado del tratamiento, éste notificará al responsable del tratamiento sin demora indebida una vez que el encargado del tratamiento haya tenido conocimiento de la violación. Dicha notificación contendrá, como mínimo:

(a) una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados);

(b) los datos de un punto de contacto donde pueda obtenerse más información sobre la violación de los datos personales;

(c) sus probables consecuencias y las medidas adoptadas o que se propone adoptar para hacer frente al incumplimiento, incluida la mitigación de sus posibles efectos adversos.

Cuando, y en la medida en que, no sea posible facilitar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora injustificada.

Las Partes establecerán en el anexo II todos los demás elementos que debe proporcionar el encargado del tratamiento cuando asista al responsable del tratamiento en el cumplimiento de las obligaciones de este en virtud de los artículos 33 y 34 del Reglamento (UE) 2016/679.

SECCIÓN III

Disposiciones finales

Artículo 10

Incumplimiento de las cláusulas y rescisión

(a) Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 y/o en el Reglamento (UE) 2018/1725, en caso de que el encargado del tratamiento incumpla las obligaciones que le incumben en virtud de las presentes Cláusulas, el responsable del tratamiento podrá ordenar al encargado que suspenda el tratamiento de los datos personales hasta que este último cumpla las presentes Cláusulas o se rescinda el contrato. El encargado del tratamiento informará sin demora al responsable del tratamiento si no puede cumplir estas cláusulas por cualquier motivo.

(b) El responsable del tratamiento tendrá derecho a rescindir el contrato en la medida en que se refiera al tratamiento de datos personales de conformidad con las presentes cláusulas si:

(1) el tratamiento de datos personales por parte del encargado del tratamiento ha sido suspendido por el responsable del tratamiento con arreglo a la letra (a), y si no se restablece el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;

(2) el encargado del tratamiento incumple de forma sustancial o persistente las presentes Cláusulas o sus obligaciones en virtud del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725;

(3) el encargado del tratamiento incumple una decisión vinculante de un tribunal competente o de la autoridad o autoridades de control competentes en relación con sus obligaciones en virtud de las presentes Cláusulas o del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725.

(c) El encargado del tratamiento tendrá derecho a resolver el contrato en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes cláusulas cuando, tras haber informado al responsable del tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la cláusula 7.1 (b), el controlador insiste en el cumplimiento de las instrucciones.

(d) Tras la rescisión del contrato, el encargado del tratamiento deberá, a elección del responsable, suprimir todos los datos personales tratados por cuenta del responsable y certificar al responsable que lo ha hecho, o devolver todos los datos personales al responsable y suprimir las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales. Hasta que se supriman o devuelvan los datos, el encargado del tratamiento seguirá garantizando el cumplimiento de las presentes cláusulas.

ANEXO I

Lista de partidos

Controller:

Nombre: La entidad identificada como Cliente en la Orden de Pedido

Dirección: La dirección del Cliente identificada en la Orden de Pedido.

Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto asociados a la cuenta del Cliente, o especificados de otro modo en la Orden de Pedido.

Firma y fecha de adhesión: Al utilizar los servicios de transferencia de datos personales del Cliente, se considerará que éste ha firmado el Anexo I

 

Procesador de datos:

Nombre: Konsolidator A/S

Dirección: La dirección de Konsolidator A/S especificada en la Orden de Pedido.

Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto especificados en la Orden de Pedido

Firma y fecha de adhesión: Al tratar los datos personales del Cliente siguiendo sus instrucciones para la prestación de servicios, se considerará que Konsolidator ha firmado el Anexo I

ANEXO II

Descripción del tratamiento

Categorías de interesados cuyos datos personales se tratan

Los interesados son los empleados del responsable del tratamiento. Categorías de datos personales tratados

Los datos personales tratados para cada interesado son los siguientes.

  • Nombre del interesado
  • Correo electrónico del interesado
  • El número de teléfono del interesado si está activada la autenticación de dos factores (2FA).

Es posible que los usuarios introduzcan otros datos personales, incluidos datos sensibles, distintos de los enumerados anteriormente. Sin embargo, esta información será muy atípica de introducir ya que se trata de un software de consolidación contable que sólo pide datos de la empresa. Por lo tanto, en el software no se procesan datos sensibles, por lo que lo indicado a continuación no es aplicable.

Naturaleza del tratamiento

El procesador almacena los datos personales para el controlador en Microsoft Azure. Finalidad o finalidades para las que se tratan los datos personales por cuenta del responsable del tratamiento

La finalidad de los datos personales es poder iniciar sesión en el software, así como utilizar la autenticación de dos factores.

Duración del tratamiento

Konsolidator conserva los datos personales del Cliente durante el tiempo necesario para cumplir los fines del tratamiento mencionados en el presente acuerdo de tratamiento de datos.

El encargado del tratamiento conserva los datos personales hasta que el responsable del tratamiento le informa de que debe suprimirlos. Es responsabilidad del Cliente garantizar la supresión o anonimización de los datos que exporta desde los servicios.

Para el tratamiento por (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento.

El tratamiento de los subencargados del tratamiento es el mismo que el del encargado del tratamiento, excepto en el caso del subencargado DataDog, que suprimirá cualquier información personal de forma continuada transcurridos 30 días.

ANEXO III

Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos

Objeto/instrucción del tratamiento

El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del Cliente se llevará a cabo por el encargado del tratamiento realizando lo siguiente:

  • Inicio de sesión y registro de auditoría para el uso de la plataforma Konsolidator

El procesador de datos recibe instrucciones de procesar datos para el Cliente y recibe instrucciones de guardar información de inicio de sesión para el personal del Cliente.

Seguridad del tratamiento

El nivel de seguridad tendrá en cuenta que el tratamiento sólo afecta a datos personales ordinarios, que están sujetos al artículo 6 del RGPD. No obstante, el encargado del tratamiento aplicará, en cualquier caso y como mínimo, las siguientes medidas acordadas con el Cliente:

Seguridad física

Konsolidator almacena todos los datos de producción en centros de datos físicamente seguros utilizando Microsoft Azure como plataforma.

‘Microsoft Azure es un proveedor de centros de datos con múltiples certificaciones, incluidas las certificaciones ISO 27001 y SOC 1, 2 y 3.

Puede encontrar más información sobre las certificaciones de Microsoft Azure en Microsoft Azure Compliance Center.

La oficina local de Konsolidator está físicamente restringida al personal no autorizado, exigiendo siempre una tarjeta de acceso. Fuera del horario de oficina, también se requiere un código PIN.

Seudonimización y cifrado

Konsolidator garantiza un alto nivel de confidencialidad e integridad utilizando los últimos protocolos y suites de cifrado recomendados.

Todos los datos de los clientes en reposo se cifran mediante Cifrado Transparente de Datos (TDE) y se separan lógicamente. Además, todas las contraseñas de los usuarios se cifran para garantizar la confidencialidad. Para asegurar la encriptación en tránsito Konsolidator requiere todo el tráfico a través de HTTPS, TLS 1.1, o TLS 1.2. La seudonimización se aplica siempre que es posible para garantizar la seguridad del tratamiento.

Conservación de datos y copias de seguridad

Konsolidator almacena y procesa los datos personales facilitados por el Cliente durante la vigencia del Contrato. Los datos se almacenan en centros de datos dentro de la UE.

Todas las copias de seguridad de los datos se realizan semanalmente, con copias incrementales de todos los cambios. Las copias de seguridad semanales se almacenan durante un año.

A la finalización del contrato, Konsolidator está obligado a conservar algunos datos personales debido a requisitos legales y financieros. Una vez borrados todos los datos personales de la base de datos, al cabo de un año se eliminarán por completo de todas las copias de seguridad.

Acceso de los encargados del tratamiento a los datos personales facilitados por el cliente

Para funcionar, Konsolidator necesita que algunos empleados tengan acceso a los datos personales de los Clientes. Estos empleados tienen prohibido acceder a los datos a menos que tengan un propósito claro.

El acceso a los datos de los clientes y a la información crítica se gestiona estrictamente de acuerdo con el principio de «necesidad de conocer», basado en las funciones y responsabilidades actuales de los empleados.

Protección de redes y hosts

Los datos de los clientes se almacenan en redes separadas físicamente para evitar cualquier exposición o extracción accidental.

Todo el tráfico de red de Konsolidator está protegido por un cortafuegos.

Konsolidator exige que todas las máquinas de los empleados estén totalmente parcheadas.

Registro y auditoría

El registro se utiliza para solucionar problemas y supervisar los sistemas en busca de patrones anormales y comportamientos sospechosos. Los registros de datos de los clientes se revisan en el marco de un incidente y de auditorías internas de seguridad.

El acceso a los datos de los clientes está restringido a los empleados con privilegios, que utilizan cuentas de seguridad separadas por niveles.

Konsolidator tiene requisitos 2FA obligatorios para todos los empleados, y todas las actividades se registran y persisten durante 30 días. Cualquier dato con posibilidad de contener información personal transferido a la red de la oficina se registra con fines de auditoría y se conserva durante un mínimo de 90 días.

Trabajar a distancia

Los empleados de Konsolidator pueden trabajar a distancia a través de una conexión VPN segura gestionada por Konsolidator.

Asistencia al cliente

En la medida de lo posible, el encargado del tratamiento -dentro del ámbito y el alcance de la asistencia especificados a continuación- prestará asistencia al Cliente de conformidad con la cláusula 8.1. y 8.2. aplicando las siguientes medidas técnicas y organizativas:

  • El administrador de la solución Konsolidator designado por el cliente puede, en cualquier momento, acceder a un módulo administrativo, donde puede ver todos los datos de los empleados introducidos en la aplicación Konsolidator.

Periodo de almacenamiento/procedimientos de borrado

Véase Conservación de datos y copias de seguridad.

Lugar de procesamiento

El tratamiento de los datos personales en virtud de las Cláusulas no podrá realizarse en otros lugares distintos de los que se indican a continuación sin la autorización previa por escrito del Cliente:

  • El tratamiento de datos tiene lugar dentro de las fronteras de la Unión Europea.

Instrucciones sobre la transferencia de datos personales a terceros países

Si el Cliente no proporciona, en las Cláusulas o posteriormente, instrucciones documentadas relativas a la transferencia de datos personales a un tercer país, el encargado del tratamiento no estará autorizado, en el marco de las Cláusulas, a realizar dicha transferencia.

ANEXO IV

Lista de subprocesadores

Nota explicativa:

El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:

El encargado del tratamiento almacena todos los datos personales en la nube y ha acordado las condiciones con los subencargados del tratamiento de forma individual.