Llicència de correu electrònic
Contracte d’encàrrec de tractament de dades personals
1. Objecte de l'encàrrec del tractament
En cas que es contractin els serveis oferts pel Col·legi Oficial de Psicologia de Catalunya (en endavant COPC) de llicència A1 d'O365 de Microsoft per facilitar un compte de correu electrònic, s’ha de subscriure el següent contracte.
Aquest contracte s’aplica només en la mesura en què el COPC, com a administrador del compte de correu facilitat, pot accedir a dades personals responsabilitat de la persona client en el curs de la prestació del servei, i aquestes dades estan subjectes a la normativa de protecció de dades. Les parts es comprometen a complir amb els termes i condicions d’aquest contracte en relació amb les dades personals tractades.
Tenint en compte que les parts mantenen un acord de prestació de serveis que implica el tractament de dades de caràcter personal responsabilitat de la persona client per part del proveïdor (COPC), mitjançant aquest contracte es dona compliment a l'exigència de l'article 28.3 del Reglament General de Protecció de Dades (UE 2016/679), que estableix que el tractament de dades personals per part d'un encarregat de tractament es regirà per un contracte o un altre acte jurídic.
Mitjançant les presents les clàusules s'habilita al COPC amb CIF B37358645, d'ara endavant encarregat de tractament, per tractar per compte de la persona client, d'ara endavant, responsable del tractament, les dades de caràcter personal necessàries per a la prestació del servei de llicència A1 d'O365 de Microsoft per facilitar un compte de correu electrònic, que implicarà el registre, conservació i comunicació per transmissió de les dades personals.
2. Identificació de la informació afectada
Per executar les prestacions derivades del compliment de l'objecte d'aquest encàrrec, la responsable del tractament posa a la disposició de l'encarregat del tractament, la informació que es descriu a continuació:
-
Dades personals que constin en el correu electrònic (text i adjunts d’enviaments a la safata d’entrada, sortida i altres).
3. Durada
La durada del present acord serà la mateixa que la de l'acord de prestació de serveis que l'origina.
4. Obligacions de l'encarregat del tractament
L'encarregat del tractament i tot el seu personal s'obliga a:
a. Utilitzar les dades personals objecte de tractament, o les que reculli per a la seva inclusió, només per a la finalitat objecte d'aquest encàrrec. En cap cas podrà utilitzar les dades per a finalitats pròpies.
b. Tractar les dades d'acord amb les instruccions de la responsable del tractament. En el cas que l'encarregat del tractament consideri que alguna de les instruccions infringeix qualsevol normativa relativa a la protecció de dades, informarà immediatament el responsable.
c. Quan així ho determini la normativa relativa a protecció de dades, portar un registre de totes les categories d'activitats de tractament efectuades per compte de la responsable, que contingui les exigències de la normativa de protecció de dades vigent.
d. No comunicar les dades a terceres persones, tret que compti amb l'autorització expressa de la responsable del tractament, en els supòsits legalment admissibles. En cas que hagi de transferir dades personals a un tercer país o a una organització internacional, en virtut del Dret de la Unió o dels Estats membres que li sigui aplicable, ha d'informar prèviament a la responsable del tractament d'aquesta exigència legal, tret que tal dret ho prohibeixi per raons importants d'interès públic.
e. No subcontractar cap de les prestacions que formin part de l'objecte d'aquest contracte que comportin el tractament de dades personals, excepte els serveis auxiliars necessaris per al normal funcionament dels serveis de l'encarregat.
Si fos necessari subcontractar algun tractament, aquest fet s'haurà de comunicar prèviament i per escrit a la responsable, amb una antelació d'1 mes, indicant els tractaments que es pretén subcontractar i identificant de manera clara i inequívoca l'empresa subcontractista i les seves dades de contacte. La subcontractació podrà dur-se a terme si la responsable no manifesta la seva oposició en el termini establert.
El subcontractista, que també tindrà la condició d'encarregat del tractament, està obligada igualment a complir les obligacions establertes en aquest document per a l'encarregat del tractament i les instruccions que dicti la responsable. Correspon a l'encarregat inicial regular la nova relació de manera que el nou encarregat quedi subjecte a les mateixes condicions i amb els mateixos requisits formals que l’inicial, referent a l'adequat tractament de les dades personals i a la garantia dels drets de les persones afectades. En el cas d'incompliment per part del subencarregat, l'encarregat inicial continuarà sent plenament responsable davant de la responsable amb relació al compliment de les obligacions.
f. Mantenir el deure de secret respecte a les dades de caràcter personal a les quals hagi tingut accés en virtut del present encàrrec, fins i tot després que finalitzi el seu objecte.
g. Garantir que les persones autoritzades per tractar dades personals es comprometin, de manera expressa i per escrit, a respectar la confidencialitat i a complir les mesures de seguretat corresponents, de les quals cal informar-les convenientment.
h. Mantenir a la disposició de la responsable la documentació acreditativa del compliment de l'obligació establerta en l'apartat anterior.
i. Garantir que les personen autoritzades per tractar les dades personals coneixen les seves funcions i obligacions respecte al tractament d'aquests, segons les exigències del reglament o, si escau, han realitzat formació específica en la matèria.
j. Quan les persones afectades exerceixin els drets d'accés, rectificació, supressió, oposició i altres drets recollits en la normativa de protecció de dades, davant l'encarregat del tractament, aquest ha de comunicar-ho a la responsable de manera immediata i en cap cas més enllà de 5 dies laborables següents al de la recepció de la sol·licitud, juntament, en el seu cas, amb altres informacions que puguin ser rellevants per a resoldre la sol·licitud.
k. En el cas que l'encarregat de tractament tingui coneixement que s'ha produït alguna violació de la seguretat de les dades que, constitueixi un risc per als drets i les llibertats de les persones físiques, aquest ho notificarà a la responsable del tractament, sense dilació indeguda, i en qualsevol cas abans del termini màxim de 24 hores, juntament amb tota la informació rellevant per a la documentació i comunicació de la incidència.
l. Donar suport a la responsable del tractament en la realització de les consultes prèvies a l'autoritat de control, quan escaigui.
m. Posar disposició de la responsable tota la informació necessària per a demostrar el compliment de les seves obligacions, així com per realitzar les auditories o les inspeccions que realitzin la responsable o una altra part auditora autoritzada per la responsable.
n. Implantar les mesures de seguretat necessàries, en funció de la naturalesa, abast, context i els fins del tractament que permetin:
-
-
Garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
-
Restaurar la disponibilitat i l'accés a les dades personals de manera ràpida, en cas d'incident físic o tècnic.
-
Verificar, avaluar i valorar, de manera regular, l'eficàcia de les mesures tècniques i organitzatives implantades per a garantir la seguretat del tractament.
-
Quan ho exigeixi el tractament, pseudonimitzar i xifrar les dades personals.
-
o. Destí de les dades: Una vegada finalitzi el contracte actual, l'encarregat del tractament, segons les instruccions de la responsable del tractament, haurà de suprimir o retornar-li totes les dades personals que obrin en el seu poder, tant en suport informàtic com en suport paper o, si s’escau, facilitar-les-hi a un altre encarregat que designi la responsable del tractament. Qualsevol de les dues opcions comportarà que l'encarregat no tingui en el seu poder dades personals titularitat de la responsable, tret que l'encarregat hagi de conservar-los, degudament bloquejats, mentre puguin derivar-se responsabilitats de l'execució de la prestació.
5. Obligacions del responsable del tractament
Correspon a la persona responsable del tractament:
a. Lliurar a l'encarregat les dades necessàries per a prestar el servei i descrites en el present contracte.
b. Realitzar les consultes prèvies que correspongui.
c. Vetllar, de manera prèvia i durant tot el tractament, pel compliment de la normativa vigent en matèria de dades personals per part de l'encarregat.
d. Supervisar el tractament, fins i tot la realització d'inspeccions i auditories.
6. Responsabilitats
La responsable del tractament queda exonerada de qualsevol responsabilitat derivada de l'incompliment per part de l'encarregat del tractament de les estipulacions contingudes en el present contracte, responent de les infraccions en què hagués incorregut personalment davant les Autoritats de Protecció de Dades, així com de les reclamacions civils i penals que els afectats per l'incompliment puguin interposar davant la jurisdicció ordinària, exonerant de tota responsabilitat a la responsable del tractament..
7. Declaració responsable de compliment del Reglament 2016/679 per part de l'encarregat de tractament
En compliment de l'article 28.1 del Reglament de Protecció de Dades que obliga a triar únicament encarregats de tractament que ofereixin garanties suficients per a aplicar mesures tècniques i organitzatives apropiades, de manera que el tractament sigui conforme amb els requisits del present reglament i garanteixi la protecció dels drets de l'interessat, l'encarregat de tractament declara responsablement que compleix amb les següents estipulacions:
a. Que compleix, en funció de la seva activitat desenvolupada, amb les obligacions i principis imposats pel Reglament General de Protecció de Dades (UE 2016/679).
b. Que disposa d'un registre amb les Activitats de tractament de dades efectuades sota la seva responsabilitat.
c. Que ha realitzat el corresponent anàlisi de riscos on es determinin les mesures de seguretat tècniques i organitzatives que ha d'aplicar per a complir amb el reglament..
d. Que ha adoptat les mesures de seguretat necessàries que garanteixin:
1. El control físic a les seves instal·lacions on realitza els tractaments de dades de la persona responsable.
2. Que l'accés als seus sistemes informàtics es realitza per mitjà d'usuaris i contrasenyes individuals.
3. Que ha delimitat l'accés a les dades de la responsable únicament a aquells usuaris que el necessitin.
4. Que disposa de còpies de seguretat, si s’escau, de les dades personals tractades de la responsable.
5. En el supòsit de gestionar suports o documents amb dades personals de la responsable, aquests estan degudament custodiats sota clau o amb dispositius de tancament equivalents.
6. Que disposa de sistemes de protecció perimetral i antivirus de protecció dels seus sistemes informàtics.
7. Que disposa d'un registre d'incidències de seguretat.
8. Ha establert mecanismes i procediments de notificació de fallides de seguretat.
e. Que es compromet a mantenir el deure de secret, fins i tot després que finalitzi la relació, i garantir que les persones autoritzades per a tractar les dades també es comprometin i compleixin les mesures de seguretat.
f. Que proactivament, realitza controls periòdics de compliment de les obligacions i mesures de seguretat tècniques i organitzatives que garanteixin el compliment del reglament.
8. Informació protecció de dades
Ambdues parts reconeixen haver estat informades de les finalitats del tractament de les dades personals subministrades en el present contracte i les derivades de l'execució d'aquest, així com de com poden exercir els seus drets i altres obligacions de les normatives de protecció de dades.
|
RESPONSABLE DEL TRACTAMENT
(PERSONA COL·LEGIADA) |
ENCARREGAT DEL TRACTAMENT
(COPC) |
|
|
|
Última actualització: 22/03/2024