AUTORIZACIÓN PARA EL ACCESO Y TRATAMIENTO DE DATOS PERSONALES CON DECLARACIÓN RESPONSABLE
(Texto revisado en abril de 2020)
En materia de Protección de Datos de Carácter Personal de los afectados, ambas partes, el cliente como Responsable del tratamiento de los datos personales y Systeman como Encargado del mismo, se sujetarán y estarán a lo establecido en la normativa legal de aplicación en esta materia, tanto en lo dispuesto en el en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), como en la normativa adicional que se genere de ámbito nacional, europeo y/o sectorial.
Systeman es una empresa dedicada, entre otras actividades, a la prestación de servicios relativos al tratamiento electrónico de datos dentro del ámbito de las tecnologías de la información. En determinadas ocasiones, para el cumplimiento de los servicios descritos anteriormente resulta necesario el acceso y tratamiento por parte de Systeman a los sistemas informáticos del cliente y por tanto a los datos de carácter personal contenidos en los mismos.
En aplicación obligatoria del Artículo 28.1 RGPD, en el tratamiento que por cuenta del cliente realice Systeman, éste último únicamente podrá prestar el servicio, cuando ofrezca al cliente garantías suficientes de aplicación de las medidas técnicas y organizativas apropiadas que sean conformes con los requisitos del RGPD y garantice la protección de los derechos de los afectados (BBDD del cliente).
Systeman como Encargado del tratamiento de datos de las BBDD del cliente y éste último como Responsable del Tratamiento de los mismos, se comprometen al fiel cumplimiento de lo establecido en el RGPD y concretamente en los Artículos 28 y 29 RGPD. El acceso a los sistemas informáticos del cliente y tratamiento de los datos alojados en los mismos se rige, a través del presente documento, vinculando a Systeman como Encargado respecto del cliente como Responsable en la siguiente forma:
Objeto. Con el objeto de resolver las incidencias producidas en los sistemas informáticos del cliente, éste autoriza a Systeman a tener acceso directo o de forma remota al sistema informático del cliente. Estos accesos podrán producirse mediante las herramientas de conexión de Systeman oportunas y adecuadas en cada caso.
Duración. La necesaria para la prestación de los servicios o hasta que el Responsable del Tratamiento renuncie expresamente a la misma.
Naturaleza. Los datos personales alojados en los sistemas del cliente son de la naturaleza propia de la actividad empresarial del propio cliente.
Finalidad del tratamiento. La finalidad del tratamiento de los datos personales por parte de Systeman es la prestación del servicio para el que ha sido contratada esta entidad o solicitada por el Responsable de Tratamiento, siempre en el contexto del estricto cumplimiento del “Principio de calidad”, es decir, sólo se tratarán los datos personales necesarios.
Tipo de datos personales. El tipo de datos personales que integran las BBDD del cliente, pueden ser identificativos, de características personales, circunstancias sociales, datos académicos y profesionales, de información laboral, de información comercial, económicos, financieros y de seguros, transacciones de bienes y seguros, relativos a comercio electrónico, a servicios de la sociedad de la información, así como cualquier otro tipo de datos personales que ayuden al cliente al desarrollo de su actividad empresarial.
En el caso de que el cliente aloje en sus sistemas datos de carácter personal especialmente protegidos, el cliente deberá comunicar fehacientemente este hecho a Systeman antes de la prestación del servicio descrito en el presente documento.
Categorías de interesados. Las categorías de interesados cuyos datos serán tratados por Systeman corresponden a datos personales de clientes y/o proveedores del Responsable, así como a datos personales de los RRHH de éste último.
Obligaciones y derechos de Systeman como Encargado del tratamiento de la BBDD del cliente. Systeman tratará los datos personales a los que tenga acceso bajo las siguientes condiciones:
Tratará los datos personales de la BBDD únicamente siguiendo las instrucciones documentadas del Responsable, y a falta de ellas conforme a lo establecido en el presente documento. Así como cualquier otra instrucción que el cliente comunique con posterioridad, modificando o sustituyendo lo regulado en este documento, teniendo prioridad sobre el mismo.
Garantiza que aquellos de sus empleados autorizados a tratar los datos personales, se han comprometido por escrito a respetar la confidencialidad, así como todo lo establecido en el RGPD.
Ha tomado todas las medidas necesarias de conformidad con el RGPD Artículo 32. «Seguridad del tratamiento», esto es:
Se aplican medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación del nivel de seguridad se tienen en cuenta los riesgos que presenta el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Se han tomado medidas para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales sólo pueda tratar dichos datos siguiendo instrucciones del presente documento.
Queda autorizado por el Responsable del Tratamiento para recurrir a otro Encargado cuando sea necesario para la prestación del servicio, siempre que le comunique la identidad del nuevo Encargado y el Responsable del Tratamiento lo autorice de forma expresa. Las condiciones para el tratamiento de los datos personales se trasladarán al nuevo Encargado para que actúe con arreglo a las mismas.
Asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados (Artículos 12 a 23 RGPD).
Asistirá al Responsable, teniendo en cuenta la información a disposición de Systeman por razón del servicio prestado, siempre que sea posible, en la medida de su capacidad, al cumplimiento de las obligaciones establecidas respecto a la seguridad de los datos, evaluación de impacto de privacidad y consulta previa (Artículos 32, 33 y 34 RGPD, así como Artículos 35 y 36 RGPD).
Se suprimirá o devolverá todos los datos personales, a elección del Responsable, una vez finalice la prestación de los servicios de tratamiento; y se suprimirán las copias existentes a menos que se requiera la conservación de los datos personales en virtud de una obligación legal en cuyo caso se procederá al bloqueo de los datos personales, no a la supresión.
Poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas para el Encargado en el RGPD, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del cliente o de otro auditor autorizado por el cliente.
Incidencias físicas en ordenadores. Ante actuaciones físicas sobre equipos informáticos del cliente, Systeman no se hace responsable de los datos que pudiera tener el equipo informático antes de la actuación técnica sobre el mismo. El cliente tiene la responsabilidad y obligación de tener copia de seguridad de sus datos en un dispositivo externo. Cualquier pérdida de datos derivada de la actuación será responsabilidad del cliente que asume la diligencia debida para evitar la pérdida o imposibilidad de recuperación de los datos personales.
Obligaciones y derechos del cliente como Responsable de la BBDD. El cliente por su parte, como Responsable del tratamiento de los datos personales alojados en sus sistemas, se compromete a lo siguiente:
Regular el tratamiento de los datos por parte de Systeman de conformidad con lo establecido en el Artículo 28.3 del RGPD.
Demostrar de la existencia de las garantías suficientes para el tratamiento de datos personales por parte de Systeman, de conformidad con lo establecido en el Artículo 28.1 del RGPD. A tal fin Systeman adjunta en el apartado «Declaración responsable de Systeman como Encargado sobre implantación de Política de Protección de Datos”.
Facilitar a Systeman el acceso a la información o los sistemas necesarios para prestar el servicio contratado.
Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD.
Supervisar el tratamiento y las condiciones de la prestación de los servicios de acuerdo con lo establecido en las cláusulas del presente contrato.
Resolver a la finalización de la prestación del servicio el tratamiento de los datos personales. Si se han realizado copias por parte del encargado, éstas se suprimirán a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembro.
Previamente y durante el tratamiento por parte de Systeman, cumplir con las obligaciones que le corresponden de acuerdo con lo establecido en el RGPD y demás normativa aplicable. El cliente garantiza que ha obtenido los datos personales que integran la BBDD de forma legal y legítima.
DECLARACIÓN RESPONSABLE DE Systeman COMO ENCARGADO SOBRE IMPLANTACIÓN DE POLÍTICA DE PROTECCIÓN DE DATOS.
Systeman, como Encargado del tratamiento, en aplicación obligatoria del Artículo 28.1 “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (RGPD), a los efectos del tratamiento de datos personales por cuenta del cliente, realiza la presente DECLARACIÓN RESPONSABLE,
Se hallan implantadas todas las medidas técnicas y organizativas conforme a los requisitos del RGPD para la fecha de 25 de mayo de 2.018.
Se hallan implantadas todas las medidas técnicas y organizativas conforme a la normativa nacional en materia de protección de datos, en vigor en el momento de suscripción del contrato de prestación de servicios.
Hay suscritas cláusulas contractuales con el personal de Systeman, que tiene acceso a los datos personales del cliente, de deber de confidencialidad, así como las funciones y obligaciones con respecto a esos datos personales.
Cuando hay terceros con los que tiene subcontratado servicios, las condiciones para el tratamiento de los datos personales se trasladarán al nuevo Encargado para que actúe con arreglo a las mismas.
Se encuentra actualizada la política de privacidad respecto al tratamiento de los datos personales, arreglo a toda la normativa legal nacional y/o europea, que le es de aplicación.
Se compromete a mantener siempre actualizada la política de privacidad, en función de la normativa legal que se vaya generando a nivel nacional y/o europeo.