CoachCare

Anexo de Protección de Datos GDPR de CoachCare

Este Anexo de Protección de Datos ("Anexo") forma parte del Contrato de Suscripción Principal ("Contrato Principal") entre: (i) CoachCare, como se define en el Contrato Principal, ("CoachCare"); y (ii) Usted, como se define en el Contrato Principal, ("Usted" o " Su ") y la normativa del GDPR se aplica a su uso de los Servicios, tal como se definen en el Contrato Principal, para procesar sus Datos Personales.

Los términos utilizados en este Anexo tendrán los significados establecidos en el mismo. Los términos que no se definen en este documento tendrán el significado que se les da en el Contrato Principal. Excepto cualquier modificación que se presente a continuación, los términos del Contrato Principal permanecerán en plena vigencia.

En consideración de las obligaciones mutuas establecidas en el presente documento, las partes acuerdan que los términos y las condiciones que se detallan a continuación se agregarán como un Anexo al Contrato Principal. A excepción de los casos en los que el contexto requiera lo contrario, las referencias incluidas en este Anexo al Contrato Principal se referirán al Contrato Principal modificado, actualizado e incluido este Anexo.

1. Definiciones

1.1 En este Anexo, los siguientes términos tendrán los significados que se detallan a continuación:

1.2 Los términos, "Comisión", "Controlador", "Asunto de datos", "Estado miembro", " Datos personales ", "Violación de datos personales", "Procesamiento" y "Autoridad de Supervisión" tendrán el mismo significado como en el GDPR, y sus términos afines se interpretarán en consecuencia.

1.3 La palabra "incluir" se interpretará como una inclusión sin limitación, y los términos afines se interpretarán en consecuencia.

2. Procesamiento de sus datos personales

2.1 Este apéndice se aplica cuando CoachCare procesa sus datos personales. En este contexto, CoachCare actuará como Procesador para Usted, que puede actuar como Controlador o Procesador con respecto a sus datos personales.

2.2 CoachCare deberá:

2.3 Debe dar instrucciones a CoachCare (y autorizar a CoachCare para que instruya a cada Subprocesador) para que:

según sea razonablemente necesario para la prestación de los Servicios y de conformidad con el Contrato Maestro.

2.4 En el Anexo 1 de este documento se proporciona cierta información sobre los procesadores contratados y el procesamiento de sus datos personales como lo requiere el artículo 28 (3) de la GDPR (y, posiblemente, requisitos equivalentes de otras leyes de protección de datos). Usted puede realizar enmiendas razonables al Anexo 1 mediante notificación por escrito a CoachCare, según lo razonablemente necesario a considerar para cumplir con esos requisitos. Nada en el Anexo 1 (incluidos los modificados 2 de acuerdo con la sección 2.3) confiere cualquier derecho o impone cualquier obligación a cualquiera de las partes en este Anexo.

3. Personal de CoachCare

CoachCare tomará medidas comercialmente razonables para garantizar la confiabilidad de cualquier empleado, agente o procesador contratado que pueda tener acceso a sus Datos Personales, garantizando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesitan saber/acceder a Datos Personales que sean relevantes y estrictamente necesarios para los fines de la Contrato Principal, y para cumplir con las Leyes Aplicables en el contexto de ese individuo con relación al procesador contratado, asegurando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

4. Seguridad

4.1 Teniendo en cuenta el estado, los costos de implementación, la naturaleza, el alcance ,el contexto y los propósitos de la técnica de procesamiento, así como el riesgo de variar la probabilidad y el rigor de los derechos y libertades de las personas físicas, CoachCare, en relación con sus datos personales, implementará técnicas y medidas organizativas adecuadas para garantizar un nivel de seguridad conveniente para hacerle frente a ese riesgo, incluidas, según proceda, las medidas contempladas en el artículo 32, apartado 1, del GDPR. En particular, CoachCare ha implementado y mantendrá los conocimientos técnicos y medidas organizativas establecidas en el Anexo 2.

4.2 Al evaluar el nivel adecuado de seguridad, CoachCare tendrá en cuenta, en particular, los riesgos que presenta el Procesamiento, en particular a partir de una violación de datos personales.

5. Subprocesador

5.1 Usted autoriza a CoachCare a designar (y permite que cada Subprocesador elegido de acuerdo con la sección 5 designe) subprocesadores de acuerdo con esta sección 5 y cualquier restricción presente en el Contrato Principal.

5.2 CoachCare puede continuar usando aquellos Subprocesadores ya contratados por ellos mismos como se indica en este Anexo, siempre y cuando CoachCare garantice tan pronto como sea posible que en cada cumple con las obligaciones establecidas en la sección 5.4.

5.3 En el sitio web de CoachCare (publicado actualmente en www.coachcare.com/gdpr/subprocessors) se encuentran listados los Subprocesadores que están actualmente contratados por CoachCare para llevar a cabo las actividades de Procesamiento de sus Datos Personales. Antes de que CoachCare contrate a cualquier nuevo Subprocesador para llevar a cabo el procesamiento de sus Datos Personales, CoachCare actualizará el sitio web correspondiente y le proporcionará una notificación por escrito del nombramiento del nuevo Subprocesador, incluidos los detalles completos del procesamiento a realizar por el Subprocesador. Si dentro de los 10 días siguientes a la recepción de ese aviso, usted notifica a CoachCare por escrito de cualquier objeción (por motivos razonables) a la propuesta citada:

5.4 Con respecto a cada Subprocesador, CoachCare deberá:

5.5 CoachCare garantizará que cada Subprocesador cumpla con las obligaciones establecidas en las secciones 2, 3, 4, 6, 7, 8 y 10.1, según se apliquen al procesamiento de sus Datos Personales realizado por ese Subprocesador, como si el mismo fuera parte de este Anexo en lugar de CoachCare.

6. Derechos de los sujetos de datos

6.1 Teniendo en cuenta la naturaleza del Procesamiento, CoachCare proporcionará comercialmente una asistencia razonable para Usted mediante la implementación de las normas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de sus obligaciones de la manera más razonable. De esta forma podrá responder a las solicitudes para ejercer los derechos de los sujetos de los datos en virtud de la Leyes de Protección de Datos.

6.2 CoachCare deberá:

7. Violación de datos personales

7.1 CoachCare le notificará sin demoras indebidas a cualquier Subprocesador estar al tanto de una violación de Datos Personales que afecte a los suyos, proporcionándole información suficiente para permitirle cumplir con cualquier obligación de informar o informar a los sujetos de los datos sobre la violación de Datos Personales en virtud de las leyes de protección de datos.

7.2 CoachCare cooperará y tomará los pasos comercialmente razonables que sean dirigidos por Usted para ayudar en la investigación, mitigación y remediación de cada Violación Personal de Datos.

7.3 Usted acepta que:

8. Evaluación de impacto de la protección de datos y consulta previa

CoachCare le proporcionará asistencia comercialmente razonable con cualquier protección de datos, evaluaciones de impacto y consultas previas con las Autoridades Supervisoras u otras autoridades competentes, como Autoridades de privacidad de datos, que exprese el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, únicamente en cada caso con relación a el procesamiento de sus datos personales, y teniendo en cuenta la naturaleza de la Procesamiento e información disponible para los procesadores contratados.

9. Eliminación o devolución de sus datos personales

9.1 Sujeto a las secciones 9.2 y 9.3, CoachCare deberá eliminar y procurar la eliminación de todas las copias de sus datos personales con prontitud y, en cualquier caso, dentro de los 90 días posteriores a la fecha de cese de cualquier servicio que implique el procesamiento de sus Datos Personales (la "Fecha de finalización").

9.2 Sujeto a la sección 9.3, Usted puede, a su entera discreción, y mediante la notificación por escrito a CoachCare dentro de los 10 días posteriores a la Fecha de Cese, requerir que CoachCare (a) devuelva una copia completa de todos sus Datos Personales, los cuales le serán enviados mediante transferencia segura de archivos en un formato tal que sea razonablemente notificado por Usted a CoachCare; y (b) eliminar y procurar la eliminación de todas las demás copias de sus Datos Personales procesados ​​por cualquier procesador contratado. CoachCare deberá cumplir con cualquier solicitud escrita dentro de los 90 días de la fecha de cese.

9.3 Cada Procesador contratado puede retener sus datos personales en la medida que lo requiera, solo por el período expresado por las leyes aplicables y siempre que CoachCare garantice la confidencialidad de todos sus Datos Personales y se asegure que dichos datos solo se procesen según sea necesario para los fines especificados en las leyes aplicables que requieren su almacenamiento, y no para ningún otro propósito.

9.4 CoachCare le proporcionará una certificación por escrito de que ha cumplido completamente con esta sección 9 dentro de los 90 días de la fecha de cese.

10. Derechos de auditoría

10.1 Sujeto a las secciones 10.2 y 10.3, CoachCare pondrá a su disposición a solicitud y en un plazo comercialmente razonable toda la información necesaria para demostrar el cumplimiento de este Anexo, y deberá permitir y contribuir a las auditorías, incluidas las inspecciones, en su gastos, incluidos, entre otros, el tiempo razonablemente empleado por CoachCare para dichas auditorías realizadas a las tarifas de servicios profesionales vigentes en ese momento de CoachCare (disponibles para Usted a solicitud), por Usted o por un auditor encargado en relación con el procesamiento de sus datos personales por los procesadores contratados. Antes de comenzar el trabajo, CoachCare y Usted acordarán mutuamente el alcance, el calendario y la duración de la auditoría.

10.2 Sus derechos de información y auditoría surgen únicamente en la sección 10.1 en la medida en que el Contrato Principal no les otorga de otra manera información y derechos de auditoría que cumplan con los requisitos pertinentes a la Ley de Protección de Datos (incluido, cuando sea aplicable, el artículo 28 (3) (h) del GDPR).

10.3 Cuando realice una auditoría, deberá dar a CoachCare un aviso razonable de cualquier auditoría o inspección que se realizará de conformidad con la sección 10.1 y deberá realizar (y garantizar que cada uno de sus los auditores obligatoriamente cumplan) esfuerzos razonables para evitar causar (o, si no puede evitar, minimizar) cualquier daño, lesión o interrupción de las instalaciones de los procesadores contratados, equipo, personal y negocio, mientras que su personal se encuentra en las instalaciones en el curso de tal auditoría o inspección. Cualquier daño, lesión o interrupción causada por Usted o por un el auditor encargado será reembolsado por Usted a los procesadores contratados. El Procesador contratado no necesita dar acceso a sus instalaciones para los fines de dicha auditoría o inspección:

11. Transferencias restringidas

11.1 Sujeto a la sección 11.3, Usted (como "exportador de datos") y CoachCare (como "importador de datos") entran en las cláusulas contractuales estándar con respecto a cualquier transferencia restringida de Usted a CoachCare.

11.2 Las cláusulas contractuales estándar entrarán en vigor en la última parte de la sección 11.1:

11.3 La Sección 11.1 no aplicará una Transferencia Restringida a menos que su efecto, junto con otros pasos de cumplimiento razonablemente factibles (que, para evitar dudas, no incluyen obtener el consentimiento de los sujetos de datos), permitan que la Transferencia restringida relevante tome lugar sin ningún incumplimiento de la Ley de Protección de Datos que sea aplicable.

12. Términos Generales

Leyes aplicables y jurisdicción

12.1 Sin perjuicio de las cláusulas 7 (Mediación y Jurisdicción) y 9 (Ley aplicable) de la Cláusulas contractuales estándar:

Orden de prioridades

12.2 Nada en este Anexo reduce las obligaciones de CoachCare en virtud del Contrato Principal en relación con la protección de datos personales o los permisos que CoachCare procese (o que permita la Procesamiento de) datos personales de una manera que esté prohibida por el contrato principal. En el evento de cualquier conflicto o inconsistencia entre este Anexo y el cláusulas contractuales estándar, prevalecerán las cláusulas contractuales estándar.

12.3 Sujeto a la sección 12.2, con respecto al tema de este Anexo, en el caso de inconsistencias entre las disposiciones de este Anexo y cualquier otro acuerdo entre las partes, incluido el Contrato Principal e inclusive (excepto cuando se acuerde explícitamente lo contrario, por escrito, firmado en nombre de las partes) acuerdos celebrados o supuestos acuerdos para ser ingresado después de la fecha de este Anexo, las disposiciones de este Anexo deberán prevalecer

Cambios en las leyes de protección de datos, etc.

12.4 Usted puede:

12.5 Si lo notifica de acuerdo con lo establecido en la sección 12.4.1, no deberá retener o demorar injustificadamente el acuerdo a cualquier variación consecuente de este Anexo propuesto por CoachCare para proteger a los procesadores contratados contra riesgos adicionales asociados con las variaciones realizadas bajo la sección 12.4.1.

12.6 Si lo notifican de acuerdo con lo establecido en la sección 12.4.2, las partes discutirán sin demora la propuesta las variaciones y negociarán de buena fe con el fin de acordar y aplicar esas o variaciones alternativas diseñadas para abordar los requisitos identificados en su aviso tan pronto como sea practicable razonablemente.

Indemnización

12.7 En caso de que alguna disposición de este Anexo sea inválida o inejecutable, entonces el resto del presente Anexo seguirá vigente y en vigor. La disposición inválida o inejecutable: (i) se modifica según sea necesario para garantizar su validez y exigibilidad, al tiempo que se preservan las intenciones de las partes en la mayor medida posible o, si esto no es posible, (ii) será interpretada de una manera como si la parte inválida o inaplicable nunca hubiera estado contenida allí.

ANEXO 1: DETALLES DEL TRATAMIENTO DE SUS DATOS PERSONALES

Este Anexo 1 incluye ciertos detalles del procesamiento de sus datos personales como lo exige el artículo 28 (3) del GDPR.

Objeto del procesamiento de sus datos personales

El objetivo del procesamiento de sus datos personales será el establecido a la hora de ofrecerle Servicios a Usted o a sus clientes.

Duración del procesamiento de sus datos personales

Usted determina la duración del procesamiento de sus datos personales.

La naturaleza del procesamiento de sus datos personales

La naturaleza del procesamiento de sus datos personales son los Servicios iniciados por usted o sus clientes.

El propósito del procesamiento de sus datos personales

El propósito del procesamiento de sus datos personales es la provisión de los servicios iniciados por usted o sus clientes.

Los tipos de datos personales a procesar

Los tipos de datos personales a procesar son sus datos personales, incluidos los datos de salud, proporcionados a los Servicios por usted o sus clientes.

Las categorías de los sujetos de los datos con los que se relacionan sus datos personales

Las categorías de datos sujetos a las que se relacionan sus datos personales son usted y sus clientes.

Sus obligaciones y derechos

Sus obligaciones y derechos se establecen en el Contrato Principal y en este Anexo.

ANEXO 2: NORMAS DE SEGURIDAD DEL COACHCARE

Este Anexo 2 incluye diferentes detalles de las medidas técnicas y organizativas implementadas por CoachCare para garantizar un nivel adecuado de seguridad para sus datos personales.

1. Medidas técnicas

1.1 CoachCare solo permite al personal autorizado explícitamente por Usted a tener acceso administrativo a los Servidores de CoachCare.

1.2 Las computadoras CoachCare están protegidas por contraseñas, y las mismas son razonablemente seguras.

1.3 Las computadoras CoachCare utilizan el cierre de sesión automático cuando el sistema está inactivo.

1.4 CoachCare autoriza estrictamente los permisos y restringe el acceso a sus Datos Personales solo a aquellos individuos que reciben su consentimiento para acceder a él.

1.5 CoachCare revisa periódicamente el software y las aplicaciones del servidor para detectar riesgos y actualizaciones de seguridad.

1.6 CoachCare mantiene un completo historial de registro del acceso a todos los puntos finales, servidores y bases de datos API.

1.7 CoachCare utiliza un esquema de desidentificación de usuarios en todas las capas de datos para garantizar sus Datos Personales pasen a condición de anónimo cuando sea necesario.

1.8 CoachCare utiliza el cifrado de todos sus Datos Personales en tránsito y en reposo.

1.9 CoachCare aplica el cierre de sesión automático de las cuentas dentro de los servicios después de que se predeterminan períodos de tiempo.

1.10 CoachCare almacena de forma segura múltiples copias de seguridad de bases de datos en varios períodos de tiempo.

2. Medidas organizativas

2.1 CoachCare requiere autorización de la gerencia para procesar sus datos personales, y tal procesamiento solo debe incluir los datos mínimos necesarios para realizar una tarea apropiada.

2.2 CoachCare mantiene y cumple políticas y procedimientos con respecto a la seguridad apropiada del hardware de las computadoras de la empresa. CoachCare exige a los empleados que nunca dejen sus computadoras en estado de vulnerabilidad, y al final de cada jornada laboral deben asegurarse de que sus computadoras estén almacenadas en una zona cerrada.

2.3 CoachCare mantiene y cumple políticas y procedimientos con respecto a la conducta apropiada de los empleados en las conversaciones relacionadas a sus Datos Personales. CoachCare restringe conversaciones para incluir la mínima cantidad requerida de datos para realizar una tarea apropiada.

2.4 CoachCare mantiene y cumple políticas y procedimientos con respecto al Procesamiento de sus Datos Personales.

2.5 CoachCare mantiene y cumple políticas y procedimientos con respecto a las respuestas apropiadas a las violaciones de datos.

2.6 CoachCare exige capacitación regular de los empleados con respecto a todas las políticas y procedimientos, incluyendo el procesamiento de sus Datos Personales.

2.7 La administración de CoachCare realiza revisiones manuales regulares de cuentas con nivel superior, permisos y acceso a sistemas críticos.

3. Evaluación continua

3.1 CoachCare realiza revisiones periódicas de la seguridad de sus Servicios y la adecuación de sus programas de seguridad de la información, todo ello bajo los estándares de seguridad de la industria, políticas y procedimientos de la empresa.

3.2 CoachCare evaluará continuamente la seguridad de sus Servicios para determinar si se requieren medidas de seguridad diferentes o adicionales para responder a nuevos riesgos de seguridad o resultados generados revisiones periódicas que sean mejorables.

ANEXO 3: CLÁUSULAS CONTRACTUALES ESTÁNDAR

Cláusulas contractuales estándar (procesadores)

A los efectos del artículo 26, apartado 2, de la Directiva 95/46 / CE para la transferencia de datos personales a los procesadores establecidos en países terceros que no garanticen un nivel adecuado de protección de datos

La entidad identificada como "Usted" en el Anexo

(el "exportador de datos")

Y

La entidad identificada como "CoachCare" en el Anexo

(el "importador de datos")

por separado “cada parte”; en conjunto "las partes",

HAN CONVENIDO en las siguientes Cláusulas contractuales (las “Cláusulas”) para citar las salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales para la transferencia de los Datos Personales especificados en el Apéndice 1 por parte del exportador de datos al importador de datos.

Cláusula 1

Definiciones

A los efectos de las Cláusulas:

(a) Los 'datos personales', 'categorías especiales de datos', 'proceso / procesamiento', 'controlador', «procesador», «sujeto de datos» y «autoridad de supervisión» tendrán el mismo significado que en la Directiva 95/46 / CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 sobre la protección de las personas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos;

(b) 'El exportador de datos' significa el controlador que transfiere los datos personales;

(c) 'El importador de datos' significa el procesador que acepta recibir datos personales del exportador destinados a ser procesados ​​en su nombre después de la transferencia en concordancia con sus instrucciones y los términos de las Cláusulas, y quién no está sujeto al sistema de un país tercero que garantiza una protección adecuada en el sentido del artículo 25 (1) de la Directiva 95/46 / CE;

(d) 'El subprocesador' significa cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepta recibir los datos del importador, o por parte de cualquier otro subprocesador de los datos personales del importador de datos, los cuales están destinados exclusivamente a actividades de procesamiento que se llevarán a cabo en nombre de los datos del exportador después de la transferencia, de acuerdo con sus instrucciones, con los términos de la Cláusulas y con los términos del subcontrato escrito;

(e) 'La ley de protección de datos aplicable' significa la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al tratamiento de datos personales aplicables a un controlador de datos en el Estado en el que está establecido el exportador de datos;

(f) «Medidas de seguridad y técnicas organizativas»: las medidas destinadas a la protección de datos personales contra la destrucción accidental o ilegal, o la pérdida accidental, modificación, divulgación o acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas de procesamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando corresponda son especificados en el Apéndice 1 que forma parte integrante de las Cláusulas.

Cláusula 3

Cláusula de beneficiario de terceros

1. El sujeto de los datos puede hacer cumplir contra el exportador de datos esta Cláusula, la Cláusula 4 (b) a (i), la Cláusula 5 (a) a (e), y (g) a (j), la Cláusula 6 (1) y (2), la Cláusula 7, la Cláusula 8 (2) y Cláusulas 9 a 12 como tercer beneficiario.

2. El sujeto de los datos puede hacer cumplir contra el importador de datos esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que el exportador de los datos haya desaparecido o haya dejado de existir legalmente. A menos de que haya un sucesor, la entidad asumirá todas las obligaciones legales del exportador de datos por contrato o por operación de la ley, por lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el sujeto de los datos podrá aplicarlos contra dicha entidad.

3. El sujeto de los datos puede imponer contra el subprocesador esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que tanto El exportador de datos y el importador de datos hayan desaparecido, haya dejado de existir legalmente o se haya convertido en insolvente, a menos de que cualquier entidad sucesora haya asumido la totalidad del Obligaciones del exportador de datos por contrato o por operación de ley, por lo cual asumirá los derechos y obligaciones del exportador de datos, en cuyo caso el interesado puede imponerlos contra dicha entidad. La responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

4. Las partes no se oponen a que un sujeto de datos esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos está de acuerdo y garantiza:

(a) Que el procesamiento, incluida la transferencia, de los datos personales ha estado y continuará llevándose a cabo en conformidad con las disposiciones pertinentes de la Ley de Protección de Datos aplicable (y, cuando corresponda, también hayan sido notificadas las autoridades pertinentes del Estado donde esté establecido el exportador de datos) y no viole las disposiciones pertinentes de ese Estado;

(b) Que los servicios que haya elegido durante toda la duración del procesamiento de datos personales le indicarán al importador de datos que procese los datos personales transferidos únicamente en nombre del exportador de datos, y de conformidad con la Ley de Protección de Datos aplicable y las cláusulas;

(c) Que el importador de datos proporcionará garantías suficientes con respecto a las medidas organizativas de seguridad especificadas en el Apéndice 2 de este contrato;

(d) Que después de evaluar los requisitos de la Ley de Protección de Datos aplicable, las medidas de seguridad se consideren apropiadas para proteger los datos personales contra accidentes, destrucción ilegal, pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las otras formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos que presenta el procesamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta el estado de la técnica y el costo de su implementación;

(e) Que garantizará el cumplimiento de las medidas de seguridad;

(f) Que, si la transferencia involucra categorías especiales de datos, el sujeto de los datos ha sido informado o será informado antes, o tan pronto como sea posible, que después de la transferencia los datos podrían transmitirse a un tercer país que no proporcione una protección adecuada conforme la Directiva 95/46 / CE;

(g) Que reenviará cualquier notificación recibida del importador de datos o cualquier subprocesador de conformidad con la Cláusula 5 (b) y la Cláusula 8 (3) de la autoridad supervisora ​​de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) Que pondrá a disposición de los interesados, previa solicitud, una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba realizarse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan elementos que puedan eliminar dicha información comercial;

(i) Que, en caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de acuerdo con la Cláusula 11 por un subprocesador que proporciona al menos el mismo nivel de la protección de los datos personales y los derechos del interesado como importador de datos, todo ello bajo las Cláusulas; y

(j) Que garantizará el cumplimiento de la Cláusula 4 (a) a (i).

Cláusula 5

Obligaciones del importador de datos

El importador de datos está de acuerdo y garantiza:

(a) Que procesará los datos personales solo en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas. En caso de no poder proporcionar tal cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir la tarea, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y / o rescindir del contrato;

(b) Que no tiene motivos para creer que la legislación aplicable le impida el cumplimiento de las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato, y que en caso de un cambio en esta legislación, que probablemente tenga un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará inmediatamente el cambio al exportador de datos, en cuyo caso el exportador de datos tenga derecho a suspender la transferencia de datos y / o terminar el contrato;

(c) Que ha implementado las medidas técnicas de seguridad y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

(d) Que notificará de inmediato al exportador de datos sobre:

(e) Que atenderá de forma rápida y adecuada todas las consultas del exportador de datos relacionadas con el tratamiento de los datos personales sujetos a la transferencia, y para cumplir con el consejo de la autoridad de control con respecto al procesamiento de los datos transferidos;

(f) Que pondrá a disposición del exportador de datos sus instalaciones de procesamiento de datos para la auditoría de las actividades de tratamiento cubiertas por las Cláusulas que se llevarán a cabo por el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de las 15 calificaciones profesionales requeridas para la confidencialidad, seleccionadas por el exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;

(g) Que pondrá a disposición del sujeto de los datos, previa solicitud, una copia de las Cláusulas, o cualquier contrato existente para el subproceso, a menos de que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2, que será reemplazado por una descripción resumida de las medidas de seguridad en aquellos casos en los que el interesado no pueda obtener una copia del exportador de datos;

(h) Que, en caso de subprocesamiento, ha informado previamente al exportador de datos y obtuvo su consentimiento previo por escrito;

(i) Que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la cláusula 11;

(j) Que enviará rápidamente una copia de cualquier acuerdo de subprocesador que finalice la labor del exportador de datos bajo las Cláusulas.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado del incumplimiento de alguna de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o por el subprocesador tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.

2. Si un interesado no puede presentar una reclamación de compensación de acuerdo con el apartado 1 contra el exportador de datos, como consecuencia de una violación por parte del importador de datos o su subprocesador de cualquiera de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos ha desaparecido, haya dejado de existir legalmente o esté insolvente, el importador de datos aceptará que el interesado emita una reclamación contra el importador de datos como si fuera el exportador de datos, a menos de que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por operación de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra tales entidades. Para evitar sus propios riesgos, el importador de datos no puede confiar en un incumplimiento de sus obligaciones por parte de un subprocesador.

3. Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos mencionados en los párrafos 1 y 2, como consecuencia de un incumplimiento por parte del subprocesador de cualquiera de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, ya que tanto el exportador de datos y el importador de datos hayan desaparecido, hayan dejado de existir legalmente o estén insolventes, el subprocesador acepta que el sujeto de los datos emita una reclamación en contra del subprocesador de datos con respecto a sus propias operaciones de procesamiento bajo la cláusula 16, se considera como si fuera el exportador de datos o el importador de datos, a menos que haya un sucesor. La entidad asumirá todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El importador de datos acepta que si el interesado invoca en su contra derechos terceros de los beneficiarios y / o indemnizaciones por daños y perjuicios en virtud de las cláusulas, el importador de datos aceptará la decisión del interesado:

2. Las partes acuerdan que la elección realizada por el interesado no perjudicará su Derechos sustantivos o procesales para buscar recursos de conformidad con otras disposiciones de derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de supervisión

1. El exportador de datos acepta depositar una copia de este contrato con la autoridad supervisora si así lo solicita o si tal depósito es requerido bajo los datos aplicables de la ley de protección.

2. Las partes acuerdan que la autoridad supervisora ​​tiene el derecho de conducir una auditoría del importador de datos, y de cualquier subprocesador que tenga el mismo alcance y esté sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud del Ley de protección de datos aplicable.

3. El importador de datos informará sin demora al exportador de datos sobre la existencia de legislación aplicable al mismo o a cualquier subprocesador que impida la realización de una auditoría del importador de datos, o cualquier subprocesador, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Ley aplicable

Las cláusulas se regirán por la legislación del Estado en el que se establezca el exportador de datos.

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las cláusulas. Esto no excluye a las partes de agregar cláusulas sobre temas relacionados con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.

Cláusula 11

Subproceso

1. El importador de datos no subcontratará ninguna de las operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo y por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las cláusulas, con el consentimiento del exportador de datos, lo harán solo por escrito, y de acuerdo con el subprocesador que impone las mismas obligaciones al importador de datos en virtud de las cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dichos documentos escritos, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.

2. El contrato escrito previamente entre el importador de datos y el subprocesador deberá también contemplar una cláusula de tercer beneficiario según lo establecido en la Cláusula 3 para los casos en los que el interesado no pueda presentar la reclamación de indemnización mencionada en el párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque han desaparecido , han dejado de existir legalmente o estén insolventes, y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o importador de datos por contrato o por ley. Dicha responsabilidad de terceros del subprocesador estará limitado a sus propias operaciones de procesamiento según las Cláusulas.

3. Las disposiciones relativas a los aspectos de protección de datos para el subproceso del contrato referido en el apartado 1 se regirán por la legislación del Estado en el que esté establecido el exportador de datos.

4. El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud del Cláusulas y notificadas por el importador de datos de conformidad con la Cláusula 5 (j), que se haya actualizado al menos una vez al año. La lista estará disponible para los datos del exportador de datos y la autoridad supervisora ​​de protección.

Cláusula 12

Obligación después de la terminación de los servicios de procesamiento de datos personales

1. Las partes acuerdan que en la terminación los servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección de los datos exportador, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos, o que destruirá todos los datos personales y certificará al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y ya no los procesará de forma activa.

2. El importador de datos y el subprocesador garantizan que a petición del exportador de datos y / o de la autoridad de control, presentará facilidades para realizar una auditoría de las medidas mencionadas en el apartado 1.

APÉNDICE 1 - CLÁUSULAS CONTRACTUALES ESTÁNDAR

Este Apéndice forma parte de las Cláusulas y debe ser completado por las partes. Los Estados miembros pueden completar o especificar, de acuerdo con sus procedimientos nacionales, cualquier información adicional necesaria para agregar al contenido de este Apéndice

Exportador de datos

El exportador de datos es Usted según lo definido en el Anexo.

Importador de datos

El importador de datos es CoachCare como se define en el Anexo.

Sujetos de datos

Los sujetos de los datos son Usted y sus clientes, tal como se definen y se mencionan en el Anexo.

Categorías de datos

Las categorías de datos son sus Datos Personales tal como se definen en el Anexo.

Categorías especiales de datos (si corresponde)

Las categorías especiales de datos son datos de salud que forman parte de sus Datos Personales, tal como se definen en el Anexo..

Operaciones de procesamiento

Los datos personales transferidos estarán sujetos a las operaciones de procesamiento incluidas en los Servicios, tal y como está definido en el Anexo.

APÉNDICE 2 - CLÁUSULAS CONTRACTUALES ESTÁNDAR

Este Apéndice forma parte de las Cláusulas y debe ser completado por las partes.

Descripción de las medidas técnicas de seguridad y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4 (d) y 5 (c):

Las medidas de seguridad técnicas y organizativas implementadas por el importador de datos son las siguientes: descrito en el Anexo.

Aviso importante: por favor considere que el texto oficial Contrato de Protección de Datos GDPR es la versión en inglés del mismo.

We use cookies to offer you a better browsing experience, analyze site traffic, personalize content, and serve targeted ads. Read how we use cookies and how you can control them on our "Cookie Settings" page. Continued use of this website will be interpreted as consent. You may visit the "Cookie Settings" link at the bottom of any page in the future to view or adjust your settings.

Cookie Settings