Licencia de correo electrónico
Contrato de encargo de tratamiento de datos personales
1. Objeto del encargo del tratamiento
En caso de que se contraten los servicios ofrecidos por el Colegio Oficial de Psicología de Cataluña (en adelante COPC) de licencia A1 de O365 de Microsoft para facilitar una cuenta de correo electrónico, debe suscribirse el siguiente contrato.
Este contrato se aplica sólo en la medida en que el COPC, como administrador de la cuenta de correo facilitado, puede acceder a datos personales responsabilidad de la persona cliente en el curso de la prestación del servicio, estando estos datos sujetos a la normativa de protección de datos. Las partes se comprometen a cumplir con los términos y condiciones de este contrato en relación a los datos personales tratados.
Teniendo en cuenta que las partes mantienen un acuerdo de prestación de servicios que implica el tratamiento de datos de carácter personal responsabilidad de la persona cliente por parte del proveedor (COPC), mediante este contrato se da cumplimiento a la exigencia del artículo 28.3 del Reglamento General de Protección de Datos (UE 2016/679), que establece que el tratamiento de datos personales por parte de un encargado de tratamiento se regirá por contrato u otro acto jurídico.
Mediante las presentes las cláusulas se habilita en el COPC con CIF B37358645, en adelante encargado de tratamiento, para tratar por cuenta de la persona cliente, en adelante, responsable del tratamiento, los datos de carácter personal necesarios para la prestación del servicio de licencia A1 de O365 de Microsoft para facilitar una cuenta de correo electrónico, que implicará el registro, conservación y comunicación por transmisión de los datos personales.
2. Identificación de la información afectada
Para ejecutar las prestaciones derivadas del cumplimiento del objeto de este encargo, la responsable del tratamiento pone a disposición del encargado del tratamiento, la información que se describe a continuación:
-
Datos personales que consten en el correo electrónico (texto y adjuntos de envíos en la bandeja de entrada, salida y otros).
3. Duración
La duración del presente acuerdo será la misma que la del acuerdo de prestación de servicios que lo origina.
4. Obligaciones del encargado del tratamiento
El encargado del tratamiento y todo su personal se obliga a:
a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
b. Tratar los datos de acuerdo a las instrucciones de la responsable del tratamiento. En caso de que el encargado del tratamiento considere que alguna de las instrucciones infringe cualquier normativa relativa a la protección de datos, informará inmediatamente al responsable.
c. Cuando así lo determine la normativa relativa a protección de datos, llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de la responsable, que contenga las exigencias de la normativa de protección de datos vigente.
d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa de la responsable del tratamiento, en los supuestos legalmente admisibles. En caso de que deba transferir datos personales a un tercer país oa una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea de aplicación, deberá informar previamente a la responsable del tratamiento de esta exigencia legal, salvo que tal derecho lo prohíba por razones importantes de interés público.
e. No subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.
Si fuera necesario subcontratar algún tratamiento, este hecho deberá comunicarse previamente y por escrito a la responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y las sus datos de contacto. La subcontratación podrá llevarse a cabo si la responsable no manifiesta su oposición en el plazo establecido.
El subcontratista, que tendrá también la condición de encargado del tratamiento, está obligada igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte la responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales que el inicial, en lo referente al adecuado tratamiento de los datos personales ya la garantía de los derechos de las personas afectadas. En caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante la responsable en relación con el cumplimiento de las obligaciones.
f. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad ya cumplir las medidas de seguridad correspondientes, de las que debe informarse convenientemente.
h. Mantener a disposición de la responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
i. Garantizar que las personas autorizadas para tratar los datos personales conocen sus funciones y obligaciones respecto al tratamiento de los mismos, según las exigencias del reglamento o, en su caso, han realizado formación específica en la materia.
j. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión, oposición y otros derechos recogidos en la normativa de protección de datos, ante el encargado del tratamiento, éste debe comunicarlo a la responsable de forma inmediata y jefe caso más allá de 5 días laborables siguientes al de la recepción de la solicitud, junto, en su caso, con otras informaciones que puedan resultar relevantes para resolver la solicitud.
k. En caso de que el encargado de tratamiento tenga conocimiento de que se ha producido alguna violación de la seguridad de los datos que, constituya un riesgo para los derechos y libertades de las personas físicas, éste lo notificará a la responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, junto con toda la información relevante para la documentación y comunicación de la incidencia.
l. Apoyar a la responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.
m. Poner disposición de la responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para realizar las auditorías o inspecciones que realicen la responsable u otra parte auditora autorizada por la responsable.
n. Implantar las medidas de seguridad necesarias, en función de la naturaleza, alcance, contexto y fines del tratamiento que permitan:
-
-
Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
-
Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
-
Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
-
Cuando lo exija el tratamiento, pseudonimizar y cifrar los datos personales.
-
o. Destino de los datos: Una vez finalice el contrato actual, el encargado del tratamiento, según las instrucciones de la responsable del tratamiento, deberá suprimir o devolverle todos los datos personales que abran en su poder, tanto en soporte informático como en soporte papel o, en su caso, facilitárselas a otro encargado que designe la responsable del tratamiento. Cualquiera de las dos opciones comportará que el encargado no tenga en su poder datos personales titularidad de la responsable, salvo que el encargado deba conservarlos, debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
5. Obligaciones del responsable del tratamiento
Corresponde a la persona responsable del tratamiento:
a. Entregar al Encargado los datos necesarios para prestar el servicio y descritos en el presente contrato.
b. Realizar las consultas previas que corresponda.
c. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento de la normativa vigente en materia de datos personales por parte del encargado.
d. Supervisar el tratamiento, incluso la realización de inspecciones y auditorías.
6. Responsabilidades
La responsable del tratamiento queda exonerada de cualquier responsabilidad derivada del incumplimiento por parte del encargado del tratamiento de las estipulaciones contenidas en el presente contrato, respondiendo de las infracciones en las que hubiera incurrido personalmente ante las Autoridades de Protección de Datos, así como de las reclamaciones civiles y penales que los afectados por el incumplimiento puedan interponer ante la jurisdicción ordinaria, exonerando de toda responsabilidad a la responsable del tratamiento.
7. Declaración responsable de cumplimiento del Reglamento 2016/679 por parte del encargado de tratamiento
En cumplimiento del artículo 28.1 del Reglamento de Protección de Datos que obliga a elegir únicamente a encargados de tratamiento que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de forma que el tratamiento sea conforme con los requisitos del presente reglamento y garantice la protección de los derechos del interesado, el encargado de tratamiento declara responsablemente que cumple con las siguientes estipulaciones:
a. Que cumple, en función de su actividad desarrollada, con las obligaciones y principios impuestos por el Reglamento General de Protección de Datos (UE 2016/679).
b. Que dispone de un registro con las Actividades de tratamiento de datos efectuadas bajo su responsabilidad.
c. Que ha realizado el correspondiente análisis de riesgos donde se determinen las medidas de seguridad técnicas y organizativas que debe aplicar para cumplir con el reglamento.
d. Que ha adoptado las medidas de seguridad necesarias que garanticen:
1. El control físico en sus instalaciones donde realiza los tratamientos de datos de la persona responsable.
2. Que el acceso a sus sistemas informáticos se realiza por medio de usuarios y contraseñas individuales.
3. Que ha delimitado el acceso a los datos de la responsable únicamente a aquellos usuarios que lo necesiten.
4. Que dispone de copias de seguridad, en su caso, de los datos personales tratados de la responsable.
5. En el supuesto de gestionar soportes o documentos con datos personales de la responsable, éstos están debidamente custodiados bajo clave o con dispositivos de cierre equivalentes.
6. Que dispone de sistemas de protección perimetral y antivirus de protección de sus sistemas informáticos.
7. Que dispone de un registro de incidencias de seguridad.
8. Ha establecido mecanismos y procedimientos de notificación de quiebras de seguridad.
e. Que se compromete a mantener el deber de secreto, incluso después de que finalice la relación, y garantizar que las personas autorizadas para tratar los datos también se comprometan y cumplan las medidas de seguridad.
f. Que proactivamente realiza controles periódicos de cumplimiento de las obligaciones y medidas de seguridad técnicas y organizativas que garanticen el cumplimiento del reglamento.
8. Información protección de datos
Ambas partes reconocen haber sido informadas de las finalidades del tratamiento de los datos personales suministrados en el presente contrato y las derivadas de la ejecución del mismo, así como de cómo pueden ejercer sus derechos y otras obligaciones de las normativas de protección de datos .
|
RESPONSABLE DEL TRATAMIENTO (PERSONA COLEGIADA) |
ENCARGADO DEL TRATAMIENTO (COPC) |
|
|
|