Acuerdo de procesamiento de datos

Última actualización: 13 de agosto de 2022

KAITERRA

ACUERDO DE TRATAMIENTO DE DATOS

‍El presente Acuerdo de Procesamiento de Datos ("APD"), que incluye las Cláusulas Contractuales Tipo adoptadas por la Comisión Europea para su uso en la Unión Europea ("CCE de la UE") de conformidad con las transferencias de datos personales a terceros países en virtud del Reglamento General de Protección de Datos ("RGPD"), así como las Cláusulas Contractuales Tipo aprobadas por la Oficina del Comisionado de Información del Reino Unido ("RU") para satisfacer los requisitos de las transferencias internacionales restringidas de datos desde el Reino Unido de conformidad con el RGPD del Reino Unido ("CCE del RU"), según corresponda, refleja el acuerdo de las partes con respecto a los términos que rigen el Procesamiento de Datos Personales en virtud del Contrato de Suscripción Maestro de Kaiterra, los Términos de Servicio de Kaiterra, los Términos de Compra de Kaiterra u otro acuerdo escrito que haga referencia a este DPA (el "Acuerdo") entre Origins Technology Ltd. ("Kaiterra") y Origins Technology Ltd. ("Kaiterra"). ("Kaiterra ") y el cliente que es parte del Contrato ("Cliente"). Este APD se incorpora y forma parte del Contrato. Póngase en contacto con nosotros en privacy@kaiterra.com si necesita una copia firmada de este DPA para sus archivos.

Actualizamos periódicamente este APD. Si tiene una suscripción activa a Kaiterra, le informaremos cuando lo hagamos a través de un correo electrónico o una notificación en la aplicación.

La vigencia de este APD seguirá a la del Contrato. Los términos que no se definan de otro modo en el presente documento tendrán el significado que se establece en el Contrato.

ESTE DPA INCLUYE:

(i) los CEC de la UE , que se adjuntan como Anexo 1.

(a) Anexo 1 a los CEC de la UE, que incluye datos específicos sobre los Datos Personales transferidos por el exportador de datos al importador de datos.

(b) El Anexo 2 de los CEC de la UE, que incluye una descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos a que se hace referencia.

(ii) La lista de los actuales Subencargados del Tratamiento de Kaiterra, que se adjunta como Anexo 3 .

(ii) Los CEC del Reino Unido, adjuntos al presente documento como Anexo 2.

(a) El Apéndice 1 de los CCE del Reino Unido, que incluye datos específicos sobre los Datos Personales transferidos por el exportador de datos al importador de datos.

(b) Apéndice 2 de los CCE del Reino Unido, que incluye una descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos a que se hace referencia.

1. Definiciones

"Responsable del tratamiento" es la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y los medios del tratamiento de datos personales.

"Ley de Protección de Datos" significa toda la legislación aplicable relacionada con la protección de datos y la privacidad, incluido, sin limitación, el GDPR y todas las leyes y reglamentos locales que modifiquen o reemplacen cualquiera de ellos, junto con cualquier ley nacional de implementación en cualquier Estado miembro de la Unión Europea o, en la medida aplicable, en cualquier otro país, según se modifique, derogue, consolide o reemplace de vez en cuando. Los términos "procesar", "procesa" y "procesado" se interpretarán en consecuencia.

"Interesado" se refiere a la persona física a la que se refieren los Datos Personales.

"Productos de Kaiterra" significa el hardware de Kaiterra y los servicios asociados proporcionados por Kaiterra al Cliente en virtud del Contrato.

"GDPR" significa el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, o implementaciones análogas del GDPR fuera de la Unión Europea, incluido, entre otros, el GDPR del Reino Unido.

"Instrucción" significa la instrucción escrita y documentada, emitida por el Controlador al Procesador, y que ordena al mismo realizar una acción específica con respecto a los Datos Personales (incluyendo, pero no limitado a, despersonalización, bloqueo, eliminación, puesta a disposición).

"Datos Personales" significa cualquier información relativa a un individuo identificado o identificable cuando dicha información esté contenida en los Datos del Cliente y esté protegida de forma similar a los datos personales o a la información de identificación personal en virtud de la Ley de Protección de Datos aplicable.

Por "violación de datos personales" se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales transmitidos, almacenados o tratados de otro modo.

"Tratamiento" o "Procesamiento" significa cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales, abarcando la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, revelación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción o supresión de Datos Personales.

"Encargado del tratamiento": persona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales por cuenta del Responsable del tratamiento.

"Cláusulas contractuales tipo" se refiere a las cláusulas que se adjuntan al presente documento como Anexo 1 y Anexo 2, de conformidad con la Decisión (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, y (C(2010)593) de la Comisión Europea, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos.

"Subencargado del Tratamiento" significa un Encargado del Tratamiento contratado por Kaiterra para el Tratamiento de Datos Personales.

2. Responsabilidad del Cliente

Las partes reconocen y acuerdan que el Cliente es el Controlador de los Datos Personales, y Kaiterra es el Procesador de los Datos Personales. Dentro del ámbito del Contrato y en su uso de los Productos de Kaiterra, el Controlador será el único responsable del cumplimiento de los requisitos legales que le incumben en materia de protección de datos y privacidad, en particular en lo que respecta a la divulgación y transferencia de Datos Personales al Procesador y al Procesamiento de Datos Personales. El Responsable del tratamiento informará exhaustivamente y sin demora indebida al Procesador sobre cualquier error o irregularidad relacionados con las disposiciones legales sobre el Tratamiento de Datos Personales.

3. 3. Obligaciones del encargado del tratamiento

a. Cumplimiento de las instrucciones. El Procesador recopilará, procesará y utilizará los Datos Personales únicamente en el ámbito de las Instrucciones del Controlador. Las instrucciones del responsable del tratamiento se documentan en el presente APD, en el Acuerdo y en cualquier hoja de pedido aplicable. El Responsable del tratamiento podrá, dentro de lo razonable, dictar instrucciones adicionales, según sea necesario, para cumplir con la Ley de protección de datos. El encargado del tratamiento podrá cobrar una tarifa razonable por el cumplimiento de las instrucciones adicionales.

Si el encargado del tratamiento considera que una instrucción del responsable del tratamiento infringe la Ley de protección de datos, informará de ello sin demora al responsable del tratamiento. Salvo que lo prohíba la legislación aplicable, el Procesador informará al Controlador si está sujeto a una obligación legal que requiera que el Procesador procese los Datos personales del Controlador contraviniendo las Instrucciones; y (ii) podrá cesar todo procesamiento (distinto del mero almacenamiento y mantenimiento de la seguridad de los Datos personales afectados) hasta el momento en que el Controlador emita nuevas Instrucciones que el Procesador pueda cumplir. Si se invoca esta disposición, el Procesador no será responsable ante el Controlador en virtud del Contrato por ningún incumplimiento de los Productos de Kaiterra aplicables hasta el momento en que el Controlador emita nuevas instrucciones con respecto al Procesamiento.

b.Seguridad. El Procesador tomará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos Personales contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales, descritos en el Anexo 2 de los CEC de laUE y el Apéndice 2 de los CEC del Reino Unido. A petición del Controlador, el Procesador proporcionará un programa de seguridad y protección de Datos Personales actualizado en relación con el Procesamiento en virtud del presente.

El Procesador ayudará al Controlador a cumplir con la obligación del Controlador de implementar medidas de seguridad con respecto a los Datos Personales (incluidas, si corresponde, las obligaciones del Controlador de conformidad con los Artículos 32 a 34 (inclusive) del GDPR), mediante (i) la implementación y el mantenimiento de las medidas de seguridad descritas en el Apéndice 2, (ii) el cumplimiento de los términos de la Cláusula 4(d) de los CCE del Reino Unido y la Cláusula 8.(a) de los CCE de la UE.6(a) de las CEC de la UE (Violaciones de datos personales); y (iii) proporcionando al Controlador información en relación con el Tratamiento de conformidad con la Cláusula 5 de las CEC del Reino Unido y la Cláusula 8.9 de las CEC de la UE (Auditorías).

c. Confidencialidad. El encargado del tratamiento se asegurará de que todo el personal al que autorice a tratar Datos Personales en su nombre esté sujeto a obligaciones de confidencialidad con respecto a dichos Datos Personales. El compromiso de confidencialidad se mantendrá una vez finalizadas las actividades mencionadas anteriormente.

d. Violación de datos personales. El procesador notificará al controlador tan pronto como sea razonablemente posible después de que tenga conocimiento de cualquier violación de datos personales que afecte a cualquier dato personal. A petición del Responsable del tratamiento, éste le prestará toda la asistencia razonable necesaria para que pueda notificar las violaciones de datos personales pertinentes a las autoridades competentes y/o a los interesados afectados, si el Responsable del tratamiento está obligado a hacerlo en virtud de la Ley de protección de datos.

e. Solicitudes de los interesados. El responsable del tratamiento proporcionará asistencia razonable, incluso mediante medidas técnicas y organizativas adecuadas y teniendo en cuenta la naturaleza del tratamiento, para permitir al responsable del tratamiento responder a cualquier solicitud de los interesados que pretendan ejercer sus derechos en virtud de la Ley de protección de datos con respecto a los datos personales (incluido el acceso, la rectificación, la limitación, la supresión o la portabilidad de los datos personales, según proceda), en la medida permitida por la ley. Si dicha solicitud se realiza directamente al Responsable del tratamiento, éste informará al Responsable del tratamiento y aconsejará a los interesados que presenten su solicitud al Responsable del tratamiento. El responsable del tratamiento será el único responsable de responder a las solicitudes de los interesados.

En la medida en que el responsable del tratamiento no esté en condiciones de atender una solicitud del interesado, el encargado del tratamiento, a petición del responsable del tratamiento, prestará al responsable del tratamiento una asistencia razonable para facilitar dicha solicitud del interesado en la medida de sus posibilidades y sólo en la medida en que lo exija la legislación aplicable en materia de protección de datos. El responsable del tratamiento reembolsará al encargado del tratamiento los costes comercialmente razonables derivados de esta asistencia.

f. Supresión o recuperación de datos personales. Salvo en la medida en que sea necesario para cumplir con la Ley de Protección de Datos, tras la rescisión o expiración del Contrato, el Procesador eliminará o devolverá todos los Datos Personales (incluidas las copias de los mismos) procesados de conformidad con el presente APD. Si el Procesador no puede eliminar los Datos Personales por razones técnicas o de otro tipo, aplicará medidas para garantizar que los Datos Personales queden bloqueados para cualquier tratamiento posterior.

El Responsable del tratamiento, tras la rescisión o expiración del Acuerdo y mediante la emisión de una Instrucción, estipulará, en un plazo fijado por el Procesador, las medidas razonables para devolver los datos o eliminar los datos almacenados. Cualquier coste adicional derivado de la devolución o eliminación de los Datos Personales tras la resolución o expiración del Contrato correrá a cargo del Responsable del Tratamiento.

g. Evaluaciones de impacto sobre la protección de datos y consulta con las autoridades de protección de datos. En la medida en que la información requerida esté disponible para el Procesador y el Controlador no tenga acceso de otro modo a la información requerida, el Procesador proporcionará asistencia razonable al Controlador con cualquier evaluación de impacto de protección de datos, y consultas previas con las Autoridades de Protección de Datos, que el Controlador considere razonablemente que se requieren en virtud del artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el procesamiento de Datos Personales.

4. Auditorías

El Procesador, de conformidad con las Leyes de Protección de Datos y en respuesta a una solicitud razonable por escrito del Controlador, pondrá a disposición del Controlador la información en posesión o control del Procesador relacionada con el cumplimiento por parte del Procesador de las obligaciones de los procesadores de datos en virtud de la Ley de Protección de Datos en relación con su Procesamiento de Datos Personales.

El responsable del tratamiento podrá, previa solicitud por escrito y con un preaviso de al menos 30 días al responsable del tratamiento, durante el horario laboral habitual y sin interrumpir las operaciones comerciales del responsable del tratamiento, realizar una inspección de las operaciones comerciales del responsable del tratamiento o encargar dicha inspección a un auditor externo cualificado, previa aprobación del responsable del tratamiento, que no se denegará injustificadamente.

El procesador, previa solicitud por escrito del controlador y con un preaviso de al menos 30 días al procesador, proporcionará al controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté dentro del control del procesador y el procesador no esté impedido de divulgarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación contraída con un tercero.

5. Subprocesadores

Por la presente, el Responsable del tratamiento autoriza al Procesador a contratar Subprocesadores. En el anexo 3 figura una lista de los subencargados actuales del tratamiento. Para evitar cualquier duda, la autorización anterior constituye el consentimiento previo por escrito del responsable al subtratamiento por parte del encargado del tratamiento a efectos de la cláusula 11 de los CEC del Reino Unido y la cláusula 9 de los CEC de la UE. El Encargado del tratamiento celebrará un acuerdo por escrito con los Subencargados del tratamiento en el que se impondrán al Subencargado obligaciones en materia de protección de datos de conformidad con la legislación sobre protección de datos, incluido el cumplimiento de los términos del presente APD. El encargado del tratamiento notificará al responsable del tratamiento antes de cualquier cambio previsto en los subencargados del tratamiento. El responsable del tratamiento podrá oponerse a la incorporación de un subencargado del tratamiento basándose en motivos razonables relacionados con una infracción potencial o real de la legislación en materia de protección de datos mediante notificación por escrito en la que se detallen los motivos de dicha oposición en un plazo de treinta (30) días a partir de la notificación por parte del responsable del tratamiento del cambio previsto. El Responsable del tratamiento y el Encargado del tratamiento colaborarán de buena fe para resolver la objeción del Responsable del tratamiento. Si el Procesador opta por retener al Subprocesador a pesar de la objeción del Controlador, el Procesador informará al Controlador al menos treinta (30) días antes de autorizar al Subprocesador a Procesar Datos Personales, y el Controlador podrá interrumpir inmediatamente el uso de las partes pertinentes de los Productos de Kaiterra, y podrá rescindir las partes pertinentes de los Productos de Kaiterra en un plazo de treinta (30) días.

6. 6. Transferencia de datos

El Controlador reconoce y acepta que, en relación con la ejecución de los Productos de Kaiterra en virtud del Contrato, los Datos personales se transferirán a Kaiterra en Estados Unidos. Los CCE de la UE adjuntos al presente documento como Anexo 1 se aplicarán con respecto a los Datos personales que se transfieran fuera del EEE, ya sea directamente o mediante transferencia ulterior, a los Estados Unidos o a cualquier otro país que la Comisión Europea no reconozca que proporciona un nivel adecuado de protección de los datos personales (tal y como se describe en la Ley de protección de datos). Los CCE del Reino Unido que se adjuntan como Anexo 2 se aplicarán con respecto a los Datos Personales que se transfieran fuera del Reino Unido, ya sea directamente o mediante transferencia ulterior, a los Estados Unidos o a cualquier otro condado que no esté cubierto por los reglamentos de adecuación en virtud de la sección 17A de la Ley de Protección de Datos de 2018.

7. Disposiciones generales

Con respecto a las actualizaciones y cambios de este DPA, se aplicarán los términos que se aplican en las subsecciones "Cambios en el Acuerdo" y "General" en el Acuerdo. En caso de que alguna de las disposiciones del presente APD sea inválida o inaplicable, ello no afectará a la validez y aplicabilidad de las demás disposiciones del APD.

Al incorporar este APD al Acuerdo, las partes de este APD están de acuerdo con las Cláusulas Contractuales Estándar (donde y como sea aplicable) y todos los apéndices adjuntos al mismo. En caso de conflicto o incoherencia entre el presente APD y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo, si bien: (a) el Responsable del Tratamiento podrá ejercer su derecho de auditoría con arreglo a la Cláusula 5(f) de los CEC del Reino Unido y la Cláusula 8.9 de los CEC de la UE, tal como se establece en la Sección 5 del presente APD y con sujeción a los requisitos de la misma; y (b) el Encargado del Tratamiento podrá designar Subencargados del Tratamiento tal como se establece en la Sección 6 del presente APD y con sujeción a los requisitos de la misma.

ANEXO 1

CLÁUSULAS CONTRACTUALES TIPO

Del responsable al encargado del tratamiento

SECCIÓN I

Artículo 1

Objeto y ámbito de aplicación

(a) El objeto de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.

(b) Las Partes:

i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, "entidad(es)") que transfiera(n) los datos personales, enumerados en el anexo I.A (en lo sucesivo, cada "exportador de datos"), y

ii) la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en las presentes cláusulas, tal como se enumera en el anexo I.A (en lo sucesivo, "importador de datos")

hayan aceptado las presentes cláusulas contractuales tipo (en lo sucesivo, las "Cláusulas").

(c) Estas Cláusulas se aplican con respecto a la transferencia de datos personales según lo especificado en el Anexo I.B.

(d) El Apéndice de las presentes Cláusulas que contiene los Anexos mencionados en el mismo forma parte integrante de las presentes Cláusulas.

Cláusula 2

Efecto e invariabilidad de las Cláusulas

(a) Las presentes Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los interesados y recursos jurídicos efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados y/o encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b)Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

(a) Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 - Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9 (b); Módulo Dos: Cláusula 8.1 (b), 8.9 (a), (c), (d) y (e); Módulo Tres: Cláusula 8.1 (a), (c) y (d) y Cláusula 8.9 (a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b);

(iii) Cláusula 9 - Módulo Dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);

(iv) Cláusula 12 - Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16 (e);

(viii) Cláusula 18 - Módulos Uno, Dos y Tres: Cláusula 18(a) y (b); Módulo Cuatro: Cláusula 18.

(b) La letra a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4

Interpretación

(a) Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.

(c) Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y la(s) finalidad(es) para las que se transfieren, se especifican en el Anexo I.B.

Cláusula 7

Cláusula de bloqueo

(a) Una entidad que no sea Parte de las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el Apéndice y firmando el Anexo I.A.

(b) Una vez cumplimentado el Apéndice y firmado el Anexo I.A, la entidad adherente pasará a ser Parte en las presentes Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.

(c) La entidad adherente no tendrá derechos ni obligaciones derivados de las presentes Cláusulas desde el período anterior a su adhesión.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes cláusulas.

8.1 Instrucciones

(a) El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.

(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.

8.2 Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado un ejemplar de las presentes cláusulas, incluido el apéndice cumplimentado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el interesado no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos, o han quedado obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos sólo tendrá lugar durante el periodo especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados por cuenta suya y suprimirá las copias existentes. Hasta que se supriman o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular del requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).

8.6 Seguridad del tratamiento

(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, "violación de los datos personales"). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entraña el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.

(b) El importador de datos sólo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.

(c) En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará más información sin demora injustificada.

(d) El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir las obligaciones que le incumben en virtud del Reglamento (UE) 2016/679, en particular la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8 Transferencias ulteriores

El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán revelarse a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar vinculado por las presentes Cláusulas, en virtud del Módulo correspondiente, o si:

(i) la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

(ii) el tercero garantiza de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

(iii) la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos, o

(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Toda transferencia ulterior estará sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y cumplimiento

(a) El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento previsto en las presentes cláusulas.

(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas por cuenta del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.

(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.

(e) Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras b) y c), incluidos los resultados de cualquier auditoría.

Cláusula 9

Utilización de subencargados del tratamiento

(a) El importador de datos cuenta con la autorización general del exportador de datos para la contratación de uno o varios subencargados del tratamiento a partir de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con al menos catorce días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.

(b) Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, mediante el cumplimiento de esta Cláusula, el importador de datos cumple sus obligaciones en virtud de la Cláusula 8.8. El importador de datos velará por que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.

(c) El importador de datos facilitará al exportador de datos, a petición de éste, una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de las obligaciones derivadas de dicho contrato.

(e) El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado del tratamiento que borre o devuelva los datos personales.

Cláusula 10

Derechos del interesado

(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado a hacerlo por el exportador de datos.

(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.

(c) En el cumplimiento de sus obligaciones con arreglo a las letras a) y b), el importador de datos se atendrá a las instrucciones del exportador de datos.

Artículo 11

Recurso

(a) El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora cualquier reclamación que reciba de un interesado.

(b) En caso de litigio entre un interesado y una de las Partes en relación con el cumplimiento de las presentes cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el plazo más breve posible. Las Partes se mantendrán mutuamente informadas de tales litigios y, en su caso, cooperarán para resolverlos.

(c) Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente con arreglo a la cláusula 13;

(ii) someter el litigio a los tribunales competentes en el sentido de la cláusula 18.

(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(e) El importador de datos acatará una decisión que sea vinculante con arreglo al Derecho aplicable de la UE o de los Estados miembros.

(f) El importador de datos acepta que la elección realizada por el interesado no menoscabará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

Cláusula 12

Responsabilidad

(a) Cada Parte será responsable ante la(s) otra(s) Parte(s) de cualquier daño que cause(n) a la(s) otra(s) Parte(s) por cualquier incumplimiento de estas Cláusulas.

(b) El importador de datos será responsable ante el interesado, y éste tendrá derecho a recibir una indemnización, por cualquier daño material o moral que el importador de datos o su subencargado le cause por infringir los derechos de terceros beneficiarios en virtud de las presentes cláusulas.

(c) No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado, y éste tendrá derecho a ser indemnizado, por cualquier daño material o moral que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado por vulnerar los derechos de terceros beneficiarios con arreglo a las presentes cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.

(d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud de la letra c) de los daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.

(e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia de una infracción de las presentes cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.

(f) Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la otra Parte o Partes la parte de la indemnización correspondiente a su responsabilidad por el daño.

(g) El importador de datos no podrá invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13

Supervisión

(a) Cuando el exportador de datos esté establecido en un Estado miembro de la UE, actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C.

Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679, la autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de control competente.

Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin tener no obstante que designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679, actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento sea objeto de seguimiento, según se indica en el anexo I.C.

(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos acepta responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

SECCIÓN III - LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Artículo 14

Legislación y prácticas locales que afectan al cumplimiento de las Cláusulas

(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelar datos personales o medidas que autoricen el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con las presentes Cláusulas.

(b) Las Partes declaran que, al ofrecer la garantía del apartado a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

(ii) las leyes y prácticas del tercer país de destino -incluidas las que exigen la comunicación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;

(iii) todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

(c) El importador de datos garantiza que, al llevar a cabo la evaluación prevista en la letra b), ha hecho todo lo posible por facilitar al exportador de datos la información pertinente y se compromete a seguir cooperando con el exportador de datos para garantizar el cumplimiento de las presentes cláusulas.

(d) Las Partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente a petición de ésta.

(e) El importador de datos acuerda notificar sin demora al exportador de datos si, después de haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra a).

(f) Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicarán las letras d) y e) de la Cláusula 16.

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación

(a) El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:

(i) recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de datos personales transferidos en virtud de las presentes Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o bien

(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos acuerda hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

(c) Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).

(d) El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) mientras dure el contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.

(e) Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, de conformidad con la letra e) de la cláusula 14 y la cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir dichas cláusulas.

15.2 Revisión de la legalidad y minimización de datos

(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a la legislación del país de destino, las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Cuando impugne una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que se le requiera para ello con arreglo a las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos con arreglo a la letra e) de la cláusula 14.

(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente a petición de ésta.

(c) El importador de datos se compromete a facilitar la cantidad mínima de información admisible al responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y rescisión

(a) El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes Cláusulas.

(b) En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la letra f) de la cláusula 14.

(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes cláusulas, cuando:

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo al apartado b) y no se restablezca el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;

(ii) el importador de datos incumpla de forma sustancial o persistente las presentes cláusulas; o

(iii) el importador de datos incumpla una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes cláusulas.

En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.

(d) Los datos personales que se hayan transferido antes de la rescisión del contrato con arreglo a la letra c) se devolverán inmediatamente al exportador de datos, a elección de éste, o se suprimirán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.

(e) Cualquiera de las Partes podrá revocar su acuerdo de obligarse por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Legislación aplicable

Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de Irlanda.

Cláusula 18

Elección de foro y jurisdicción

(a) Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de un Estado miembro de la UE.

(b) Las Partes acuerdan que serán los tribunales de Irlanda.

(c) El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO I

A. LISTA DE LAS PARTES

Exportador(es) de datos:

Nombre: ...

Dirección: ...

Nombre, cargo y datos de la persona de contacto: ...

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: ...

Firma y fecha: ...

Función (responsable/encargado del tratamiento): ...responsable del tratamiento

Importador(es) de datos:

Nombre: ...Origins Technology Ltd.

Dirección: ...

Nombre, cargo y datos de la persona de contacto: ...

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Suministro de información sobre soluciones a usuarios con credenciales.

Firma y fecha: ...

Función (responsable/encargado del tratamiento): ...procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren

Contactos del Cliente y otros usuarios finales autorizados por el Cliente para utilizar los Productos de Kaiterra, incluidos los empleados y contratistas del Cliente, y los empleados y visitantes de las oficinas del Cliente.

Categorías de datos personales transferidos

Datos de identificación y contacto (nombre, correo electrónico, cargo, información de contacto, etc.); detalles de empleo (empleador, ID de empleado, cargo, departamento, etc.); datos relacionados con el uso de los Productos de Kaiterra y los sistemas utilizados para proporcionar y dar soporte a los Productos de Kaiterra; y otros datos electrónicos presentados, almacenados, enviados o recibidos por los Productos de Kaiterra.

Datos sensibles transferidos (si procede) y restricciones o salvaguardas aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Ninguna.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Naturaleza del tratamiento.

...

Finalidad(es) de la transferencia de datos y del tratamiento posterior

Los datos personales se procesarán con el fin de proporcionar los Productos de Kaiterra establecidos y acordados en el Contrato y en cualquier Hoja de Pedido o Declaración de Trabajo aplicable.

El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo.

...

Para las transferencias a (sub)encargados del tratamiento, especificar también el objeto, la naturaleza y la duración del tratamiento.

...

C. AUTORIDAD DE CONTROL COMPETENTE

Comisario irlandés de Protección de Datos.

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Kaiterra observa actualmente las prácticas de seguridad descritas en el presente Anexo 2. No obstante cualquier disposición en contrario acordada por el exportador de datos, Kaiterra podrá modificar o actualizar estas prácticas a su discreción, siempre que dicha modificación y actualización no suponga una degradación material de la protección ofrecida por estas prácticas. Todos los términos en mayúsculas que no se definan de otro modo en este documento tendrán el significado establecido en las Condiciones de servicio de Kaiterra.

Kaiterra implementará los siguientes tipos de medidas de seguridad:

1. Control de acceso físico

Las medidas técnicas y organizativas diseñadas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en los locales e instalaciones (incluidas las bases de datos, los servidores de aplicaciones y el hardware relacionado), donde se procesan los Datos Personales, incluyen:

Establecimiento de zonas de seguridad, restricción de vías de acceso;
Establecimiento de autorizaciones de acceso para empleados y terceros;
Sistema de control de acceso (lectores de tarjetas de identificación);
Gestión de llaves, procedimientos de tarjetas-llave;
Cierre de puertas (abrepuertas eléctricos, etc.);
Personal de seguridad, conserjes;
Instalaciones de vigilancia, monitor de vídeo/CCTV, sistema de alarma;
Seguridad de los equipos informáticos descentralizados y de los ordenadores personales;
Cumplimiento de los principios de mínimo privilegio y acceso limitado en el tiempo para el personal autorizado;
Política de escritorio limpio; y
Políticas de acceso a WiFi y LAN.

2. Control de acceso virtual

Las medidas técnicas y organizativas para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas incluyen:

Procedimientos de identificación y autenticación de usuarios;
Procedimientos de seguridad de identificación/contraseña (caracteres especiales, longitud mínima, rotación de contraseñas);
2FA y/o equivalente para sistemas seguros;
Expiración de sesión de corta duración;
Supervisión de los intentos de intrusión y bloqueo automático de las cuentas de usuario tras varios intentos erróneos de inicio de sesión; y
Cifrado de los soportes de datos archivados.

3. Control de acceso a los datos

Entre las medidas técnicas y organizativas para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos sólo tengan acceso a dichos Datos Personales de conformidad con sus derechos de acceso, y que los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización, se incluyen:

Políticas y procedimientos internos;
Esquemas de autorización de control;
Derechos de acceso diferenciados (perfiles, funciones, transacciones y objetos);
Supervisión y registro de los accesos;
Medidas disciplinarias contra los empleados que accedan a Datos Personales sin autorización;
Informes de acceso;
Procedimiento de acceso;
Procedimiento de modificación;
Procedimiento de supresión; y
Cifrado.

4. Control de divulgación

Las medidas técnicas y organizativas para garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes (manuales o electrónicos), y que pueda verificarse a qué empresas u otras entidades jurídicas se revelan los Datos Personales, incluyen:

Acceso limitado a las claves de descifrado;
Cifrado / tunelización;
Registro / auditoría periódica; y
Seguridad en el transporte.

5. Control de entrada

Las medidas técnicas y organizativas para controlar si los Datos Personales han sido introducidos, modificados o eliminados (borrados), y por quién, de los sistemas de procesamiento de datos, incluyen:

Sistemas de registro e información; y
Registros de auditoría y documentación.

6. Control de las instrucciones

Entre las medidas técnicas y organizativas para garantizar que los Datos Personales se tratan únicamente de conformidad con las instrucciones del responsable del tratamiento se incluyen:

Redacción inequívoca del contrato:
Encargo formal; y
Criterios de selección de los encargados del tratamiento.

7. Control de disponibilidad

Las medidas técnicas y organizativas para garantizar que los Datos Personales están protegidos contra la destrucción o pérdida accidental (física/lógica) incluyen:

Procedimientos de copia de seguridad;
Sistema de alimentación ininterrumpida (SAI);
Almacenamiento remoto;
Disponibilidad multiregional;
Sistemas antivirus / cortafuegos; y
Plan de recuperación en caso de catástrofe.

8. Control de separación

Entre las medidas técnicas y organizativas para garantizar que los Datos Personales recogidos para distintos fines puedan tratarse por separado se incluyen:

Separación de bases de datos;
Separación de funciones (producción/pruebas); y
Procedimientos de almacenamiento, modificación, supresión y transmisión de datos con fines diferentes.

ANEXO III

Subprocesadores

Servicios web de Amazon
Google Analytics
Google BigQuery
Mixpanel
Hubspot
Catalizador

ANEXO 2

SCC del Reino Unido Controlador a procesador

Partes:

Nombre de la organización exportadora de datos: .....................

Dirección: ............................................................

País: ............................................................

Teléfono: .........................................................

Fax: ..................................................................

Correo electrónico: ...............................................................

Otra información necesaria para identificar a la organización

(el "exportador de datos")

Nombre de la organización importadora de datos: .........Origins Technology Ltd..........

Dirección: ......603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

..............................................

País: ............Hong Kong..............................................

Teléfono: .......................................................

Fax: ...............................................................

Correo electrónico: ............................................................

Otra información necesaria para identificar a la organización

(el "importador de datos")

Artículo 1. Definiciones Definiciones

A los efectos de las Cláusulas:

(a) "datos personales", "categorías especiales de datos", "proceso/tratamiento", "responsable", "encargado del tratamiento", "interesado" y "Comisionado" tendrán el mismo significado que en el GDPR del Reino Unido;

(b) "exportador de datos": el responsable del tratamiento que transfiere los datos personales;

(c ) "el importador de datos" significa el procesador que acepta recibir del exportador de datos los datos personales destinados al tratamiento en su nombre después de la transferencia de acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto a un sistema de un tercer país cubierto por las regulaciones de adecuación del Reino Unido emitidas en virtud de la Sección 17A de la Ley de Protección de Datos de 2018 o los Párrafos 4 y 5 del Anexo 21 de la Ley de Protección de Datos de 2018;

(d) "el subencargado del tratamiento": cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos datos datos personales destinados exclusivamente a actividades de tratamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;

(e) "legislación aplicable en materia de protección de datos": la legislación que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento de datos en el Reino Unido;

(f) "medidas de seguridad técnicas y organizativas": las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos por una red, y contra cualquier otra forma ilícita de tratamiento.

Cláusula 2. Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

Cláusula 3. Cláusula de terceros beneficiarios

(1) El interesado puede hacer valer frente al exportador de datos la presente cláusula, la cláusula 4(b) a (i), la cláusula 5(a) a (e), y (g) a (j), la cláusula 6(1) y (2), la cláusula 7, la cláusula 8(2), y las cláusulas 9 a 12 como tercero beneficiario.

(2) El interesado podrá hacer valer frente al importador de datos la presente cláusula, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de facto o haya dejado de existir jurídicamente, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad.

(3) El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.

(4) Las partes no se oponen a que el interesado esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4. Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

(a) que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado al Comisario) y no infringe la legislación aplicable en materia de protección de datos;

(b) que ha dado instrucciones al importador de datos, y seguirá dándolas mientras duren los servicios de tratamiento de datos personales, para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y con las Cláusulas;

(c) que el importador de datos proporcionará garantías suficientes respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

(d) que, tras evaluar los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presente el tratamiento y a la naturaleza de los datos que deban protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;

(e) que garantizará el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia implica categorías especiales de datos, el interesado ha sido informado o será informado antes, o tan pronto como sea posible después de la transferencia, de que sus datos podrían transmitirse a un tercer país no cubierto por los reglamentos de adecuación emitidos en virtud de la Sección 17A de la Ley de Protección de Datos de 2018 o los Párrafos 4 y 5 del Anexo 21 de la Ley de Protección de Datos de 2018;

(g) remitir cualquier notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la cláusula 5, letra b), y la cláusula 8, apartado 3, al Comisionado si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) poner a disposición de los interesados que lo soliciten una copia de las cláusulas, con excepción del apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba celebrarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;

(i) que, en caso de subtratamiento, la actividad de tratamiento se lleve a cabo de conformidad con la Cláusula 11 por un subencargado del tratamiento que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las Cláusulas;

(j) que garantizará el cumplimiento de la Cláusula 4(a) a (i).

Cláusula 5. Obligaciones del importador de datos

El importador de datos acepta y garantiza:

(a) tratar los datos personales únicamente por cuenta del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar tal cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(b) que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento del mismo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;

(c) que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

(d) que notificará sin demora al exportador de datos acerca de:

(i) cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial;

(ii) cualquier acceso accidental o no autorizado; y

(iii) cualquier solicitud recibida directamente de los interesados sin responder a dicha solicitud, a menos que haya sido autorizada a hacerlo de otro modo;

(e) atender rápida y adecuadamente todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y acatar el consejo del Comisario en lo que respecta al tratamiento de los datos transferidos;

(f) a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento contempladas en las Cláusulas, que llevará a cabo el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con el Comisionado;

(g) poner a disposición del interesado que lo solicite una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;

(h) que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;

(i) que los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;

(j) a enviar sin demora al exportador de datos una copia de cualquier acuerdo de subencargado del tratamiento que celebre en virtud de las Cláusulas.

Cláusula 6. Responsabilidad Responsabilidad

(1) Las partes acuerdan que cualquier interesado que haya sufrido daños como consecuencia de cualquier incumplimiento de las obligaciones contempladas en la cláusula 3 o en la cláusula 11 por cualquiera de las partes o subencargados del tratamiento tendrá derecho a recibir una indemnización del exportador de datos por los daños sufridos.

(2) Si un interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por el importador de datos o su subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente, el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.

(3) Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes, el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento en relación con sus propias operaciones de tratamiento con arreglo a las cláusulas como si fuera el exportador o el importador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.

Cláusula 7. Mediación y jurisdicción

(1) El importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

(a) remitir el litigio a mediación, por una persona independiente o, en su caso, por el Comisario;

(b) someter el litigio a los tribunales del Reino Unido.

(2) Las partes acuerdan que la elección efectuada por el interesado no menoscabará sus derechos sustantivos o procesales a interponer recursos de conformidad con otras disposiciones del Derecho nacional o internacional.

Cláusula 8 Cooperación con las autoridades de control

(1) El exportador de datos se compromete a depositar una copia del presente contrato ante el Comisario si así lo solicita o si dicho depósito es exigido en virtud de la legislación aplicable en materia de protección de datos.

(2) Las partes acuerdan que el Comisionado tiene derecho a realizar una auditoría del importador de datos, y de cualquier subencargado del tratamiento, que tendrá el mismo alcance y estará sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable en materia de protección de datos.

(3) El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, con arreglo al apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la cláusula 5.

Cláusula 9 Legislación aplicable

Las Cláusulas se regirán por la legislación del país del Reino Unido en el que esté establecido el exportador de datos.

Cláusula 10. Modificación del contrato

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide a las partes (i) realizar cambios permitidos por el Párrafo 7(3) & (4) del Anexo 21 Ley de Protección de Datos de 2018; o (ii) añadir cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario siempre que no contradigan la Cláusula.

Cláusula 11. Subtratamiento

(1) El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, deberá hacerlo únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas . Si el subencargado del tratamiento incumple sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.

(2) El contrato escrito previo entre el importador de datos y el subencargado del tratamiento también establecerá una cláusula de tercero beneficiario según lo dispuesto en la cláusula 3 para los casos en que el interesado no pueda presentar la reclamación de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.

(3) Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del país del Reino Unido en el que esté establecido el exportador.

(4) El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados con arreglo a las Cláusulas y notificados por el importador de datos de conformidad con la letra j) de la Cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición del Comisario.

Cláusula 12 Obligación tras la rescisión

(1) Las partes acuerdan que, una vez finalizada la prestación de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento devolverán al exportador de datos, a elección de éste, todos los datos personales transferidos y las copias de los mismos, o destruirán todos los datos personales y certificarán al exportador de datos que así lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.

(2) El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o del Comisario, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.

En nombre del exportador de datos:

Nombre (escrito completo): ..............................

Cargo: .........Controlador..........................................

Dirección: ...................................................

Otra información necesaria para que el contrato sea vinculante (en su caso):

Firma:

En nombre del importador de datos:

Nombre (escrito completo): ...Origins Technology Ltd............................

Cargo: ............Procesador.......................................

Dirección: .........603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

Otra información necesaria para que el contrato sea vinculante (en su caso):

Firma:

Fecha de las cláusulas contractuales tipo:

Apéndice 1

Exportador de datos

El exportador de datos es (especifique brevemente sus actividades relacionadas con la transferencia): Cliente que utiliza la solución del importador de datos.

Importador de datos

El importador de datos es (especifique brevemente las actividades relevantes para la transferencia): proveedor de soluciones al exportador de datos.

Sujetos de los datos

Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquese):

Contactos del Cliente y otros usuarios finales autorizados por el Cliente a utilizar los Productos de Kaiterra, incluidos los empleados y contratistas del Cliente, y los empleados y visitantes de las oficinas del Cliente.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (especifique):

Categorías especiales de datos (si procede)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquese):

Ninguna.

Operaciones de tratamiento

Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento (especifíquese):

Objeto y naturaleza del tratamiento:

El objeto del tratamiento de Datos Personales por parte del procesador es el suministro de los Productos Kaiterra al Controlador que implica el tratamiento de Datos Personales. Los Datos Personales estarán sujetos a aquellas actividades de tratamiento que se especifiquen en el Contrato y en cualquier Hoja de Pedido o Declaración de Trabajo aplicable.

Finalidad del Tratamiento:

Los Datos personales se procesarán con el fin de proporcionar los Productos de Kaiterra establecidos y acordados de otro modo en el Contrato y en cualquier Hoja de pedido o Declaración de trabajo aplicable.

Duración del Tratamiento:

Los Datos Personales serán Tratados durante la vigencia del Contrato, con sujeción a la Sección 3 de la presente DPA.

EXPORTADOR DE DATOS

Nombre: ...

Firma autorizada ...

IMPORTADOR DE DATOS

Nombre: ... Origins Technology Ltd.

Firma autorizada ...

Apéndice 2

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjuntos):

Kaiterra observa actualmente las prácticas de seguridad descritas en el presente Apéndice 2. A pesar de cualquier disposición en contrario acordada por el exportador de datos, Kaiterra podrá modificar o actualizar estas prácticas a su discreción, siempre que dicha modificación y actualización no suponga una degradación material de la protección ofrecida por estas prácticas. Todos los términos en mayúsculas que no se definan de otro modo en este documento tendrán el significado establecido en las Condiciones de servicio de Kaiterra.

Kaiterra aplicará los siguientes tipos de medidas de seguridad:

1. Control de acceso físico

Establecimiento de zonas de seguridad, restricción de vías de acceso;
Establecimiento de autorizaciones de acceso para empleados y terceros;
Sistema de control de acceso (lectores de tarjetas de identificación);
Gestión de llaves, procedimientos de tarjetas-llave;
Cierre de puertas (abrepuertas eléctricos, etc.);
Personal de seguridad, conserjes;
Instalaciones de vigilancia, monitor de vídeo/CCTV, sistema de alarma;
Seguridad de los equipos informáticos descentralizados y de los ordenadores personales;
Cumplimiento de los principios de mínimo privilegio y acceso limitado en el tiempo para el personal autorizado;
Política de escritorio limpio; y
Políticas de acceso a WiFi y LAN.

2. Control de acceso virtual

Las medidas técnicas y organizativas para evitar que los sistemas de procesamiento de datos sean utilizados por personas no autorizadas incluyen:

Procedimientos de identificación y autenticación de usuarios;
Procedimientos de seguridad de identificación/contraseña (caracteres especiales, longitud mínima, rotación de contraseñas);
2FA y/o equivalente para sistemas seguros;
Expiración de sesión de corta duración;
Supervisión de los intentos de intrusión y bloqueo automático de las cuentas de usuario tras varios intentos erróneos de inicio de sesión; y
Cifrado de los soportes de datos archivados.

3. Control de acceso a los datos

Entre las medidas técnicas y organizativas para garantizar que las personas autorizadas a utilizar un sistema de tratamiento de datos sólo puedan acceder a dichos Datos Personales de acuerdo con sus derechos de acceso, y que los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización, se incluyen:

Políticas y procedimientos internos;
Esquemas de autorización de control;
Derechos de acceso diferenciados (perfiles, funciones, transacciones y objetos);
Supervisión y registro de los accesos;
Medidas disciplinarias contra los empleados que accedan a Datos Personales sin autorización;
Informes de acceso;
Procedimiento de acceso;
Procedimiento de modificación;
Procedimiento de supresión; y
Cifrado.

4. Control de la divulgación

Acceso limitado a las claves de descifrado;
Cifrado / tunelización;
Registro / auditoría periódica; y
Seguridad en el transporte.

5. Control de entrada

Sistemas de registro e información; y
Registros de auditoría y documentación.

6. Control de instrucciones

Entre las medidas técnicas y organizativas para garantizar que los Datos Personales se tratan únicamente de conformidad con las instrucciones del responsable del tratamiento se incluyen:

Redacción inequívoca del contrato:
Encargo formal; y
Criterios de selección de los encargados del tratamiento.

7. Control de disponibilidad

Entre las medidas técnicas y organizativas para garantizar la protección de los Datos Personales contra su destrucción o pérdida accidental (física/lógica) se incluyen:

Procedimientos de copia de seguridad;
Sistema de alimentación ininterrumpida (SAI);
Almacenamiento remoto;
Disponibilidad multiregional;
Sistemas antivirus / cortafuegos; y
Plan de recuperación en caso de catástrofe.

8. Control de separación

Entre las medidas técnicas y organizativas para garantizar que los Datos Personales recogidos para distintos fines puedan tratarse por separado se incluyen:

Separación de bases de datos;
Separación de funciones (producción/pruebas); y

Procedimientos de almacenamiento, modificación, supresión y transmisión de datos con fines diferentes.