RECHTSTEXT
BESTELLUNG DER VERARBEITUNG PERSONENBEZOGENER DATEN
ZUSAMMEN
EINE PARTEI: LUISA RIPOLL SIQUIER (im Folgenden DIE VERANTWORTLICHE FÜR DIE BEHANDLUNG), mit CIF 43088120N und Adresse in Carrer Perez Galdos 10, 5º, B. 07006 Palma, Betreiber in eigenem Namen und Vertretung, mit DNI 43088120N
UND ANDERERSEITS (im Folgenden DER DATENVERARBEITER)
Beide Parteien erklären sich mit ausreichender Rechtsfähigkeit einverstanden, diesen Vertrag zu unterzeichnen, der die Übermittlung und/oder den Zugriff auf personenbezogene Daten zwischen den Vertragsparteien gemäß Artikel 28 der Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April regelt zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (RGPD) sowie im Organgesetz 3/2018 vom 5. Dezember über den Schutz personenbezogener Daten und die Gewährleistung digitaler Rechte (im Folgenden Gesetz 3/2018 zum Schutz personenbezogener Daten oder LOPDGDD), wobei die folgenden Klauseln gelten:
MANIFEST
ERSTE. Der Zweck dieses Vertrags ist die Regelung der Übertragung und Verarbeitung personenbezogener Daten zwischen dem DATENVERARBEITER und dem FÜR DIE BEHANDLUNG VERANTWORTLICHEN Kunden gemäß den Bestimmungen von Artikel 28 der RGPD. Der DATENVERANTWORTLICHE ist Eigentümer mehrerer gemischter Dateien, die personenbezogene Daten enthalten. Der VERANTWORTLICHE FÜR DIE VERARBEITUNG nutzt seit dem Datum der Vertragsunterzeichnung die vom VERARBEITUNGSVERANTWORTLICHEN angebotenen Dienstleistungen, der als verantwortlich für die Verarbeitung der in den Dateien des VERANTWORTLICHEN enthaltenen personenbezogenen Daten gilt, zu denen er Zugang hat und die zur Erbringung der vertraglich vereinbarten Leistungen verarbeitet werden.
Zweck des Verarbeitungsauftrags: Ermöglichen Sie dem DATENVERARBEITUNGSVERWALTER, im Auftrag des DATENVERANTWORTLICHEN die personenbezogenen Daten zu verarbeiten, die zur Erbringung seiner Dienstleistungen erforderlich sind.
Die spezifischen Vorgänge, die mit den personenbezogenen Daten durchgeführt werden sollen (kreuzen Sie das/die entsprechende(n) Kästchen/Kästchen an):
Aufsammeln
Aufzeichnung
Strukturierung
Änderung
Erhaltung
Extraktion
Anfrage
Übertragungskommunikation
Diffusion
Zusammenschaltung
Vergleich
Cotejo
Unterdrückung
Zerstörung
Kommunikation
ZWEITE. Für die Ausführung der Dienstleistungen, die sich aus der Erfüllung des Zwecks dieses Auftrags ergeben, stellt der Kunde als Behandlungsmanager dem Behandlungsmanager die unten beschriebenen Informationen zur Verfügung. DRITTE. Diese Vereinbarung hat eine Dauer, die im Vertrag über die Erbringung von Dienstleistungen zwischen den Parteien festgelegt ist. Sobald der Vertrag über die Erbringung von Dienstleistungen zwischen den Parteien endet, muss der für die Behandlung Verantwortliche die personenbezogenen Daten löschen/an den Verantwortlichen zurückgeben und/oder gegebenenfalls an einen anderen vom Verantwortlichen benannten Verantwortlichen zurückgeben und alle löschen Kopie, die sich in seinem Besitz befindet.
VIERTE. PFLICHTEN DES DATENVERARBEITERS Der Datenverarbeiter und alle seine Mitarbeiter sind verpflichtet: A) die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, oder die für die Einbeziehung erfassten Daten nur für den Zweck dieses Auftrags zu verwenden. In keinem Fall dürfen Sie die Daten für eigene Zwecke verwenden. In keinem Fall wird der Behandlungsmanager auf die in den Dateien enthaltenen Daten zugreifen oder sie für andere als die in diesem Vertrag festgelegten Zwecke verwenden oder sie direkt oder indirekt an unbefugte Dritte weitergeben. Die für die Behandlung verantwortliche Person verfügt über ein Sicherheitsdokument und/oder eine Aufzeichnung aller Kategorien von Behandlungstätigkeiten, die im Namen der verantwortlichen Person durchgeführt wurden. Darüber hinaus hat der Behandlungsmanager Sicherheitsmaßnahmen des Niveaus implementiert, das der Verarbeitung personenbezogener Daten entspricht, die Gegenstand dieses Vertrags sind. B) Behandeln Sie die Daten gemäß den Anweisungen des Datenverantwortlichen. Wenn der Datenverarbeiter der Ansicht ist, dass eine der Anweisungen gegen die RGPD oder eine andere Datenschutzbestimmung der Union oder der Mitgliedstaaten verstößt, muss der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich informieren. Der für die Behandlung Verantwortliche verpflichtet sich, die Bestimmungen dieses Vertrages und die Bestimmungen der geltenden Datenschutzvorschriften einzuhalten. Im Falle der Nichteinhaltung einer seiner Verpflichtungen gilt die für die Behandlung verantwortliche Person als die für die Behandlung verantwortliche Person mit allen damit verbundenen Verpflichtungen, die auf die Verstöße reagiert, die sie persönlich erlitten hätte . C) Führen Sie schriftliche Aufzeichnungen über alle Kategorien von Behandlungstätigkeiten, die im Auftrag der verantwortlichen Person durchgeführt wurden.
D) Geben Sie die Daten nicht an Dritte weiter, es sei denn, Sie haben in den gesetzlich zulässigen Fällen die ausdrückliche Genehmigung des Datenverantwortlichen. Die verantwortliche Person kann sie gemäß den Anweisungen der verantwortlichen Person anderen Personen mitteilen, die für die Behandlung derselben verantwortlichen Person verantwortlich sind. In diesem Fall wird der Verantwortliche im Voraus schriftlich die Stelle angeben, an die die Daten übermittelt werden müssen, die zu übermittelnden Daten und die anzuwendenden Sicherheitsmaßnahmen, um mit der Übermittlung fortzufahren. Muss der Verantwortliche aufgrund des auf ihn anwendbaren Rechts der Union oder der Mitgliedstaaten personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln, so unterrichtet er den Verantwortlichen vorab über diese gesetzliche Verpflichtung , es sei denn, dieses Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. E) Die Geheimhaltungspflicht bezüglich der personenbezogenen Daten, zu denen Sie aufgrund dieser Abtretung Zugang hatten, auch nach Zweckbeendigung zu wahren. F) Gewährleistung, dass sich die zur Verarbeitung personenbezogener Daten befugten Personen ausdrücklich und schriftlich zur Wahrung der Vertraulichkeit und zur Einhaltung der entsprechenden Sicherheitsmaßnahmen verpflichten, über die sie ordnungsgemäß informiert werden müssen. G) Halten Sie dem Verantwortlichen die Belegdokumentation über die Einhaltung der im vorherigen Abschnitt festgelegten Verpflichtung zur Verfügung. H) Gewährleistung der erforderlichen Schulung zum Schutz personenbezogener Daten für Personen, die zur Verarbeitung personenbezogener Daten befugt sind. I) Unterstützung des Datenverantwortlichen bei der Reaktion auf die Ausübung der Rechte von: 1. Zugang, Berichtigung, Löschung und Widerspruch. 2. Einschränkung der Behandlung. 3. Datenübertragbarkeit. 4. Nicht automatisierten individualisierten Entscheidungen (einschließlich Profiling) zu unterliegen. J) Gegebenenfalls Unterstützung des Datenverantwortlichen bei der Durchführung von Folgenabschätzungen im Zusammenhang mit dem Datenschutz. K) Unterstützung des Datenverantwortlichen bei der Durchführung vorheriger Konsultationen mit der Kontrollbehörde, sofern angemessen. L) Dem Datenverantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung seiner Verpflichtungen nachzuweisen und die vom Datenverantwortlichen oder einem anderen von ihm autorisierten Prüfer durchgeführten Audits oder Inspektionen durchzuführen. M) Ernennung eines Datenschutzbeauftragten und Übermittlung seiner Identität und Kontaktdaten an den Datenverantwortlichen. FÜNFTE. Der Behandlungsmanager verpflichtet sich, die im Sicherheitsdokument oder im Registrierungsdokument festgelegten Sicherheitsmaßnahmen für alle Kategorien von Behandlungstätigkeiten umzusetzen. In jedem Fall muss die für die Behandlung verantwortliche Person aufgrund der Art der verarbeiteten Informationen die obligatorischen Sicherheitsmaßnahmen auf die in den Dateien enthaltenen personenbezogenen Daten anwenden. Die für die Behandlung verantwortliche Person und gegebenenfalls die für die Behandlung verantwortliche Person müssen die Maßnahmen technischer und organisatorischer Art der personenbezogenen Daten aufschreiben, um deren Änderung, Verlust, Behandlung oder unbefugten Zugriff unter Berücksichtigung zu vermeiden den Stand der Technik, die Art der gespeicherten Daten und die Risiken, denen sie ausgesetzt sind, sei es durch menschliches Handeln oder durch die physische oder natürliche Umgebung. Die für die Behandlung verantwortliche Person kann von der für die Behandlung verantwortlichen Person Audits unterzogen werden, um die Einhaltung der geltenden Sicherheitsmaßnahmen zu gewährleisten. In jedem Fall muss sie Mechanismen implementieren und akkreditieren, um die dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Behandlungssysteme und -dienste zu gewährleisten. SECHSTE. Geben Sie die personenbezogenen Daten und gegebenenfalls die Medien, auf denen sie erscheinen, nach Abschluss der Dienstleistung an den vom Datenverantwortlichen schriftlich benannten Verantwortlichen zurück.
Die Rückgabe muss die vollständige Löschung der vorhandenen Daten in der vom Verantwortlichen verwendeten Computeranlage mit sich bringen, der Verantwortlichen kann jedoch eine Kopie mit ordnungsgemäß gesperrten Daten behalten, während sich aus der Ausführung der Dienstleistung Verantwortlichkeiten ergeben können. SIEBTE. Die für die Behandlung verantwortliche Person und alle ihre Mitarbeiter verpflichten sich: keine der Dienstleistungen, die Teil des Vertragsgegenstands sind und die die Verarbeitung personenbezogener Daten beinhalten, an Unterauftragnehmer zu vergeben, mit Ausnahme der Hilfsdienste, die für den normalen Betrieb der Dienstleistungen erforderlich sind des Verantwortlichen. Wenn es notwendig ist, eine Behandlung an Unterauftragnehmer zu vergeben, muss dies der verantwortlichen Person 30 Tage im Voraus schriftlich mitgeteilt werden, wobei die Behandlungen, die an Unterauftragnehmer vergeben werden sollen, anzugeben sind und das Unterauftragnehmerunternehmen und seine Kontaktdaten klar und eindeutig identifiziert werden. Die Vergabe von Unteraufträgen kann erfolgen, wenn die verantwortliche Partei nicht innerhalb der festgesetzten Frist Widerspruch einlegt. Der Subunternehmer, der auch den Status des Behandlungsleiters haben wird, ist ebenfalls verpflichtet, die in diesem Dokument festgelegten Verpflichtungen für den Behandlungsleiter und die Anweisungen des Verantwortlichen einzuhalten. Es obliegt dem ursprünglichen Geschäftsführer, das neue Verhältnis so zu regeln, dass der neue Geschäftsführer hinsichtlich der ordnungsgemäßen Abwicklung den gleichen Bedingungen (Weisungen, Pflichten, Sicherheitsmaßnahmen…) und den gleichen formalen Anforderungen unterliegt wie er von Daten und zur Gewährleistung der Betroffenenrechte. Im Falle eines Verzugs des Unterauftragsverarbeiters bleibt der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Verpflichtungen voll verantwortlich. ACHTE. Wenn die betroffene Person die Rechte auf Zugang, Berichtigung, Löschung und Widerspruch, Einschränkung der Behandlung, Datenübertragbarkeit und keine automatisierten individuellen Entscheidungen vor dem für die Behandlung Verantwortlichen ausübt, muss er dies per E-Mail an die Adresse mitteilen vom Verantwortlichen angegeben. Die Mitteilung muss unverzüglich und in keinem Fall nach dem Geschäftstag nach Erhalt der Anfrage erfolgen, gegebenenfalls zusammen mit anderen Informationen, die für die Lösung der Anfrage relevant sein können. NEUNTE. Benachrichtigung über Datenschutzverletzungen. Die für die Behandlung verantwortliche Person benachrichtigt die für die Behandlung verantwortliche Person unverzüglich und in jedem Fall vor Ablauf der maximalen Frist von 24 Stunden an die E-Mail-Adresse der verantwortlichen Person über die Verletzungen der Sicherheit des Personals ihm bekannt gewordene Daten in seinem Verantwortungsbereich sowie alle relevanten Informationen zur Dokumentation und Kommunikation des Vorfalls. Eine Benachrichtigung ist nicht erforderlich, wenn es unwahrscheinlich ist, dass die Sicherheitsverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Sofern verfügbar, werden mindestens die folgenden Informationen bereitgestellt: a) Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Parteien sowie der Kategorien und der ungefähren Anzahl der Personen Datensätze betroffen. b) Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, bei der weitere Informationen erhältlich sind. c) Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten. d) Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich der Maßnahmen zur Minderung möglicher negativer Auswirkungen. Falls eine gleichzeitige Bereitstellung der Informationen nicht möglich ist, und soweit dies nicht möglich ist, werden die Informationen nach und nach ohne unangemessene Verzögerung bereitgestellt.
Der Datenverantwortliche ist dafür verantwortlich, Datenschutzverletzungen an die Datenschutzbehörde zu melden. Der Datenverantwortliche ist dafür verantwortlich, Datensicherheitsverletzungen den interessierten Parteien so schnell wie möglich mitzuteilen, wenn es wahrscheinlich ist, dass die Verletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. ZEHNTEL. Der Verantwortliche ist verantwortlich für: A) Ermöglichung des Auskunftsrechts zum Zeitpunkt der Datenerhebung.
B) Dem Verantwortlichen die erforderlichen Daten und den Zugang zu den erforderlichen Ressourcen seiner Informationssysteme zur Verfügung stellen, damit er die vertragsgegenständliche Dienstleistung erbringen kann. C) Stellen Sie vor und während der Behandlung sicher, dass die für die Behandlung verantwortlichen Personen die geltenden Vorschriften zum Schutz personenbezogener Daten einhalten. D) Überwachung der Behandlung. ELFTE. Dieser Vertrag hat eine bestimmte Laufzeit, abhängig von den Dienstleistungen, die der Behandlungsmanager im Namen des Behandlungsmanagers erbringt. Dieser Vertrag gilt nach Abschluss der Dienstleistungen als beendet, es sei denn, die Parteien beschließen einvernehmlich und schriftlich, seine Gültigkeit zu verlängern. ZWÖLFTEL. Diese Vereinbarung wird in Übereinstimmung mit den Gesetzen Spaniens geregelt und ausgelegt und unterliegt der Rechtsprechung der zuständigen Gerichte und Gerichtshöfe. DREIZEHNTE. Alle Benachrichtigungen, Anfragen, Petitionen und andere Mitteilungen, die zwischen den Parteien in Bezug auf diesen Vertrag zu erfolgen haben, müssen schriftlich erfolgen und gelten als ordnungsgemäß erfolgt, wenn sie persönlich zugestellt oder per Einschreiben an die Adresse gesendet wurden der anderen Partei, die in der Überschrift dieses Vertrages erscheint. VIERZEHNTE. Informationen zur Verarbeitung personenbezogener Daten aus diesem Vertrag. Die Vertreter beider Parteien erkennen an, dass sie informiert wurden und stimmen zu, dass ihre personenbezogenen Daten in die Systeme aufgenommen und von der anderen Partei verarbeitet werden, um die von diesem Vertrag abgedeckten Dienstleistungen korrekt zu entwickeln, da dies für die Ausführung desselben erforderlich ist. Um die Daten jederzeit auf dem neuesten Stand zu halten, muss jede Partei die andere über jede Änderung dieser personenbezogenen Daten informieren. Jede interessierte Partei hat das Recht, eine Beschwerde bei einer Kontrollbehörde einzureichen und kann ihr Recht auf Zugang, Berichtigung, Löschung, Einschränkung der Behandlung und Widerspruch sowie auf Übertragbarkeit ausüben, indem sie dies bei der Partei anfordert, die der unter der angegebenen Adresse entspricht Beginn dieses Dokuments, Angabe des von Ihnen ausgeübten Rechts und Bereitstellung eines gültigen amtlichen Dokuments, das Sie ausweist. ———- Gemäß den Bestimmungen der Verordnung (EU) 2016/679 General Data Protection (RGPD) werden Sie über Folgendes informiert: 1.- VERANTWORTLICH FÜR DIE BEHANDLUNG: LUISA RIPOLL SIQUIER Adresse: Carrer Perez Galdos 10, 5º, B 07006 Palma Contact : luisaripolls@gmail.com Web: www.inmoetica.com 2.- ZWECK: Verwaltung der angeforderten Dienstleistungen sowie Zusendung von Informationen über unsere Aktivitäten und Produkte auf elektronischem Wege. VERSENDEN VON KOMMERZIELLEN MITTEILUNGEN: JA □ NEIN □ Sie können diese Zustimmung jederzeit widerrufen, indem Sie dies dem Verantwortlichen schriftlich mitteilen. 3.- LEGITIMIERUNG: Ausführung des Vertrages für die korrekte Erbringung der Dienstleistung, einschließlich aller administrativen, steuerlichen und buchhalterischen Verfahren. Gesetzliche Genehmigung auf der Grundlage des Königlichen Gesetzesdekrets 1/2007 vom 16. November, das den konsolidierten Text des Allgemeinen Gesetzes zum Schutz der Verbraucher und Benutzer genehmigt. Zustimmung des Benutzers. 4.- AUFBEWAHRUNGSZEITEN: Ihre personenbezogenen Daten werden aufbewahrt, solange dieser Vertrag in Kraft ist. Am Ende werden sie während der festgelegten gesetzlichen Fristen aufbewahrt. 5.- EMPFÄNGER: der Verantwortliche. Ihre Daten werden nicht an Dritte weitergegeben, außer gesetzliche Verpflichtung. Durch die Arbeit an einem freigegebenen Ordnersystem in der Google Drive-Anwendung wird eine internationale Übertragung in die Vereinigten Staaten unter der Aktivierung des US-Europäischen Datenschutzschild-Abkommens durchgeführt. Weitere Informationen: https://www.privacyshield.gov/welcome ANDERE EMPFÄNGER: JA □ NEIN □ Website des Datenverantwortlichen www.inmoetica.com
6.- RECHTE: Sie können die Rechte auf Zugang, Berichtigung, Löschung, Widerspruch, Einschränkung und Übertragbarkeit ausüben. Wenn Sie eines der oben genannten Rechte ausüben möchten, wird Ihnen die verantwortliche Partei ein entsprechendes Formular zur Verfügung stellen, das an die Adresse Carrer Perez Galdos 10, 5º, B. 07006 Palma, unter Beifügung Ihres Personalausweises oder Reisepasses oder an das Folgende gesendet werden muss Adresse: E-Mail luisaripolls@gmail.com Sie haben das Recht, eine Beschwerde bei der spanischen Datenschutzbehörde einzureichen, falls Sie der Meinung sind, dass die Ausübung Ihrer Rechte nicht ordnungsgemäß behandelt wurde (www.aepd.es). Die maximale Laufzeit zur Lösung beträgt einen Monat ab Eingang Ihrer Anfrage.
Für den Fall, dass sich Ihre Daten geändert haben, bitten wir Sie, dies ordnungsgemäß schriftlich mitzuteilen, um Ihre Daten auf dem neuesten Stand zu halten.
