Anexo de Protección de Datos GDPR de CoachCare
Este Anexo de Protección de Datos ("Anexo") forma parte del Contrato de Suscripción Principal ("Contrato Principal") entre: (i) CoachCare, como se define en el Contrato Principal, ("CoachCare"); y (ii) Usted, como se define en el Contrato Principal, ("Usted" o " Su ") y la normativa del GDPR se aplica a su uso de los Servicios, tal como se definen en el Contrato Principal, para procesar sus Datos Personales.
Los términos utilizados en este Anexo tendrán los significados establecidos en el mismo. Los términos que no se definen en este documento tendrán el significado que se les da en el Contrato Principal. Excepto cualquier modificación que se presente a continuación, los términos del Contrato Principal permanecerán en plena vigencia.
En consideración de las obligaciones mutuas establecidas en el presente documento, las partes acuerdan que los términos y las condiciones que se detallan a continuación se agregarán como un Anexo al Contrato Principal. A excepción de los casos en los que el contexto requiera lo contrario, las referencias incluidas en este Anexo al Contrato Principal se referirán al Contrato Principal modificado, actualizado e incluido este Anexo.
1. Definiciones
1.1 En este Anexo, los siguientes términos tendrán los significados que se detallan a continuación:
- 1.1.1 "Leyes aplicables" se refiere (a) las leyes de la Unión Europea o de los Estados miembros con respecto a cualquiera de sus datos personales, los cuales están sujetos a las leyes de protección de datos de la UE; y (b) cualquier otra ley aplicable de protección de datos con relación a cualquiera de sus datos personales;
- 1.1.2 "Sus datos personales" se refieren a cualquier dato personal procesado por un procesador contratado en nombre de Usted o Sus clientes, de conformidad con o en relación con el Acuerdo;
- 1.1.3 "Procesador contratado" se refiere a CoachCare o un Subprocesador;
- 1.1.4 "Leyes de protección de datos" se refieren a las Leyes de protección de datos de la UE y, en la medida en que sea aplicable, las leyes de protección de datos o privacidad de cualquier otro país;
- 1.1.5 "EEE" se refiere a el Espacio Económico Europeo;
- 1.1.6 "Leyes de protección de datos de la UE" se refieren al GDPR y las leyes que implementan o complementan el GDPR;
- 1.1.7 "GDPR" se refiere al Reglamento General de Protección de Datos de la UE 2016/679;
- "Transferencia restringida" se refiere a:
- 1.1.8.1 Una transferencia de sus datos personales de Usted a un procesador contratado; o
- 1.1.8.2 Una transferencia posterior de sus datos personales de un procesador contratado a otro procesador contratado, o entre dos establecimientos de procesamiento,
- 1.1.9 "Servicios" significa los servicios y otras actividades que deben ser suministrados o realizados por o en nombre de CoachCare para Usted, de conformidad con el Contrato Maestro;
- 1.1.10 "Cláusulas contractuales estándar" se refieren a las cláusulas contractuales establecidas en el Anexo 3, enmendadas como se indica (entre corchetes y cursivas) en ese anexo y en la sección 12.4;
- 1.1.11 "Subprocesador" se refiere a cualquier persona (incluyendo a cualquier tercero, pero excluyendo a un empleado de CoachCare o cualquiera de sus subcontratistas) designado por o en nombre de CoachCare procesará datos personales en su nombre en relación con el Contrato Maestro, y;
1.2 Los términos, "Comisión", "Controlador", "Asunto de datos", "Estado miembro", " Datos personales ", "Violación de datos personales", "Procesamiento" y "Autoridad de Supervisión" tendrán el mismo significado como en el GDPR, y sus términos afines se interpretarán en consecuencia.
1.3 La palabra "incluir" se interpretará como una inclusión sin limitación, y los términos afines se interpretarán en consecuencia.
2. Procesamiento de sus datos personales
2.1 Este apéndice se aplica cuando CoachCare procesa sus datos personales. En este contexto, CoachCare actuará como Procesador para Usted, que puede actuar como Controlador o Procesador con respecto a sus datos personales.
2.2 CoachCare deberá:
- 2.2.1 Cumplir con todas las leyes de protección de datos aplicables en el procesamiento de su Datos Personales; y
- 2.2.2 No procesar sus datos personales más allá de lo indicado en sus instrucciones documentadas, a menos que el procesamiento sea requerido por las leyes aplicables a las cuales responde el Procesador contratado. CoachCare deberá, en la medida en que lo permitan las leyes aplicables, informarle de ese requisito legal antes del procesamiento relevante de sus Datos Personales.
2.3 Debe dar instrucciones a CoachCare (y autorizar a CoachCare para que instruya a cada Subprocesador) para que:
- 2.3.1 Procese sus datos personales; y
- 2.3.2 En particular, transfiera sus datos personales a cualquier país o territorio,
según sea razonablemente necesario para la prestación de los Servicios y de conformidad con el Contrato Maestro.
2.4 En el Anexo 1 de este documento se proporciona cierta información sobre los procesadores contratados y el procesamiento de sus datos personales como lo requiere el artículo 28 (3) de la GDPR (y, posiblemente, requisitos equivalentes de otras leyes de protección de datos). Usted puede realizar enmiendas razonables al Anexo 1 mediante notificación por escrito a CoachCare, según lo razonablemente necesario a considerar para cumplir con esos requisitos. Nada en el Anexo 1 (incluidos los modificados 2 de acuerdo con la sección 2.3) confiere cualquier derecho o impone cualquier obligación a cualquiera de las partes en este Anexo.
3. Personal de CoachCare
CoachCare tomará medidas comercialmente razonables para garantizar la confiabilidad de cualquier empleado, agente o procesador contratado que pueda tener acceso a sus Datos Personales, garantizando en cada caso que el acceso esté estrictamente limitado a aquellas personas que necesitan saber/acceder a Datos Personales que sean relevantes y estrictamente necesarios para los fines de la Contrato Principal, y para cumplir con las Leyes Aplicables en el contexto de ese individuo con relación al procesador contratado, asegurando que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.
4. Seguridad
4.1 Teniendo en cuenta el estado, los costos de implementación, la naturaleza, el alcance ,el contexto y los propósitos de la técnica de procesamiento, así como el riesgo de variar la probabilidad y el rigor de los derechos y libertades de las personas físicas, CoachCare, en relación con sus datos personales, implementará técnicas y medidas organizativas adecuadas para garantizar un nivel de seguridad conveniente para hacerle frente a ese riesgo, incluidas, según proceda, las medidas contempladas en el artículo 32, apartado 1, del GDPR. En particular, CoachCare ha implementado y mantendrá los conocimientos técnicos y medidas organizativas establecidas en el Anexo 2.
4.2 Al evaluar el nivel adecuado de seguridad, CoachCare tendrá en cuenta, en particular, los riesgos que presenta el Procesamiento, en particular a partir de una violación de datos personales.
5. Subprocesador
5.1 Usted autoriza a CoachCare a designar (y permite que cada Subprocesador elegido de acuerdo con la sección 5 designe) subprocesadores de acuerdo con esta sección 5 y cualquier restricción presente en el Contrato Principal.
5.2 CoachCare puede continuar usando aquellos Subprocesadores ya contratados por ellos mismos como se indica en este Anexo, siempre y cuando CoachCare garantice tan pronto como sea posible que en cada cumple con las obligaciones establecidas en la sección 5.4.
5.3 En el sitio web de CoachCare (publicado actualmente en www.coachcare.com/gdpr/subprocessors) se encuentran listados los Subprocesadores que están actualmente contratados por CoachCare para llevar a cabo las actividades de Procesamiento de sus Datos Personales. Antes de que CoachCare contrate a cualquier nuevo Subprocesador para llevar a cabo el procesamiento de sus Datos Personales, CoachCare actualizará el sitio web correspondiente y le proporcionará una notificación por escrito del nombramiento del nuevo Subprocesador, incluidos los detalles completos del procesamiento a realizar por el Subprocesador. Si dentro de los 10 días siguientes a la recepción de ese aviso, usted notifica a CoachCare por escrito de cualquier objeción (por motivos razonables) a la propuesta citada:
- 5.3.1 CoachCare no designará al Subprocesador propuesto para llevar a cabo las actividades de procesamiento de sus Datos Personales (o divulgar cualquiera de sus datos personales a ese Subprocesador) hasta que se hayan tomado medidas comercialmente razonables para abordar las objeciones planteadas de forma escrita por Usted, y Usted haya recibido un escrito razonable con la explicación de los pasos dados; y
- 5.3.2 Si dentro de los 10 días posteriores a la recepción de la explicación por escrito en la sección 5.3.1, Usted notifica a CoachCare por escrito que encuentra que tales pasos no son suficientes para abordar su objeciones (por razones razonables), CoachCare trabajará con Usted de buena fe para poner a disposición un cambio comercialmente razonable en la provisión de los servicios para Usted, y así evitar el uso del Subprocesador propuesto.
5.4 Con respecto a cada Subprocesador, CoachCare deberá:
- 5.4.1 Antes de que el Subprocesador procese sus datos personales (o, cuando sea relevante, de conformidad con la sección 5.2), llevar a cabo la diligencia adecuada para garantizar que el Subprocesador es capaz de proporcionar el nivel de protección para sus Datos Personales requerido por el Contrato Principal;
- 5.4.2 Asegurarse de que el acuerdo entre, por un lado, (a) CoachCare, o (b) el Subprocesador intermedio relevante; y, por otro lado, el Subprocesador, sea regido por un contrato escrito que incluya términos que ofrecen al menos el mismo nivel de protección de sus datos personales, como los establecidos en este apéndice, y que cumplan con los requisitos del artículo 28 (3) de la GDPR;
- 5.4.3 Si ese acuerdo implica una Transferencia Restringida, asegurarse de que las cláusulas contractuales se incorporen en todo momento al acuerdo entre, por un lado, (a) CoachCare, o (b) el intermediario relevante; y, por otro lado, el Subprocesador; y
- 5.4.4 Asegurarse de contar con acceso a las copias de los acuerdos de los Procesadores contratados con Subprocesadores para su revisión (que pueden ser sancionados por eliminar datos comerciales confidenciales o información no relevante para los requisitos de este Anexo), las cuales puede solicitar en cualquier momento.
5.5 CoachCare garantizará que cada Subprocesador cumpla con las obligaciones establecidas en las secciones 2, 3, 4, 6, 7, 8 y 10.1, según se apliquen al procesamiento de sus Datos Personales realizado por ese Subprocesador, como si el mismo fuera parte de este Anexo en lugar de CoachCare.
6. Derechos de los sujetos de datos
6.1 Teniendo en cuenta la naturaleza del Procesamiento, CoachCare proporcionará comercialmente una asistencia razonable para Usted mediante la implementación de las normas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de sus obligaciones de la manera más razonable. De esta forma podrá responder a las solicitudes para ejercer los derechos de los sujetos de los datos en virtud de la Leyes de Protección de Datos.
6.2 CoachCare deberá:
- 6.2.1 Notificarle a la brevedad si un Procesador contratado recibe una solicitud de datos que estén sujetos a cualquier ley de protección de datos con respecto a sus Datos Personales; y
- 6.2.2 Asegurarse de que el Procesador contratado no responda a esa solicitud, excepto cuando Usted así lo haya indicado por escrito o según lo exijan las leyes aplicables a las cuales está sujeto el Procesador contratado, en cuyo caso CoachCare deberá, en los límites permitidos, informarle sobre las leyes aplicables de ese requisito antes del Contrato. El Procesador deberá responder a la solicitud.
7. Violación de datos personales
7.1 CoachCare le notificará sin demoras indebidas a cualquier Subprocesador estar al tanto de una violación de Datos Personales que afecte a los suyos, proporcionándole información suficiente para permitirle cumplir con cualquier obligación de informar o informar a los sujetos de los datos sobre la violación de Datos Personales en virtud de las leyes de protección de datos.
7.2 CoachCare cooperará y tomará los pasos comercialmente razonables que sean dirigidos por Usted para ayudar en la investigación, mitigación y remediación de cada Violación Personal de Datos.
7.3 Usted acepta que:
- 7.3.1 Una violación de datos personales fallida no estará sujeta a esta Sección 7. La violación de datos personales sin éxito es aquella en la que no se ha permitido el acceso no autorizado a sus Datos Personales o cualquiera de los equipos o instalaciones de CoachCare que almacenan sus Datos Personales, y puede incluir, sin limitación, pings y otros ataques de difusión en cortafuegos o servidores de borde, escaneos de puertos, intentos fallidos de inicio de sesión, denegación de ataques de servicio, rastreo de paquetes (u otro acceso no autorizado a datos de tráfico que sí lo hacen) no dar lugar al acceso más allá de los encabezados o incidentes similares; y
- 7.3.2 La obligación de CoachCare de informar o responder a una violación de datos personales en virtud de la Sección 7 no es y no se interpretará como un reconocimiento por parte de CoachCare de cualquier culpa o responsabilidad de la empresa con respecto a la violación de datos personales.
8. Evaluación de impacto de la protección de datos y consulta previa
CoachCare le proporcionará asistencia comercialmente razonable con cualquier protección de datos, evaluaciones de impacto y consultas previas con las Autoridades Supervisoras u otras autoridades competentes, como Autoridades de privacidad de datos, que exprese el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, únicamente en cada caso con relación a el procesamiento de sus datos personales, y teniendo en cuenta la naturaleza de la Procesamiento e información disponible para los procesadores contratados.
9. Eliminación o devolución de sus datos personales
9.1 Sujeto a las secciones 9.2 y 9.3, CoachCare deberá eliminar y procurar la eliminación de todas las copias de sus datos personales con prontitud y, en cualquier caso, dentro de los 90 días posteriores a la fecha de cese de cualquier servicio que implique el procesamiento de sus Datos Personales (la "Fecha de finalización").
9.2 Sujeto a la sección 9.3, Usted puede, a su entera discreción, y mediante la notificación por escrito a CoachCare dentro de los 10 días posteriores a la Fecha de Cese, requerir que CoachCare (a) devuelva una copia completa de todos sus Datos Personales, los cuales le serán enviados mediante transferencia segura de archivos en un formato tal que sea razonablemente notificado por Usted a CoachCare; y (b) eliminar y procurar la eliminación de todas las demás copias de sus Datos Personales procesados por cualquier procesador contratado. CoachCare deberá cumplir con cualquier solicitud escrita dentro de los 90 días de la fecha de cese.
9.3 Cada Procesador contratado puede retener sus datos personales en la medida que lo requiera, solo por el período expresado por las leyes aplicables y siempre que CoachCare garantice la confidencialidad de todos sus Datos Personales y se asegure que dichos datos solo se procesen según sea necesario para los fines especificados en las leyes aplicables que requieren su almacenamiento, y no para ningún otro propósito.
9.4 CoachCare le proporcionará una certificación por escrito de que ha cumplido completamente con esta sección 9 dentro de los 90 días de la fecha de cese.
10. Derechos de auditoría
10.1 Sujeto a las secciones 10.2 y 10.3, CoachCare pondrá a su disposición a solicitud y en un plazo comercialmente razonable toda la información necesaria para demostrar el cumplimiento de este Anexo, y deberá permitir y contribuir a las auditorías, incluidas las inspecciones, en su gastos, incluidos, entre otros, el tiempo razonablemente empleado por CoachCare para dichas auditorías realizadas a las tarifas de servicios profesionales vigentes en ese momento de CoachCare (disponibles para Usted a solicitud), por Usted o por un auditor encargado en relación con el procesamiento de sus datos personales por los procesadores contratados. Antes de comenzar el trabajo, CoachCare y Usted acordarán mutuamente el alcance, el calendario y la duración de la auditoría.
10.2 Sus derechos de información y auditoría surgen únicamente en la sección 10.1 en la medida en que el Contrato Principal no les otorga de otra manera información y derechos de auditoría que cumplan con los requisitos pertinentes a la Ley de Protección de Datos (incluido, cuando sea aplicable, el artículo 28 (3) (h) del GDPR).
10.3 Cuando realice una auditoría, deberá dar a CoachCare un aviso razonable de cualquier auditoría o inspección que se realizará de conformidad con la sección 10.1 y deberá realizar (y garantizar que cada uno de sus los auditores obligatoriamente cumplan) esfuerzos razonables para evitar causar (o, si no puede evitar, minimizar) cualquier daño, lesión o interrupción de las instalaciones de los procesadores contratados, equipo, personal y negocio, mientras que su personal se encuentra en las instalaciones en el curso de tal auditoría o inspección. Cualquier daño, lesión o interrupción causada por Usted o por un el auditor encargado será reembolsado por Usted a los procesadores contratados. El Procesador contratado no necesita dar acceso a sus instalaciones para los fines de dicha auditoría o inspección:
- 10.3.1 A cualquier individuo, a menos que presente evidencia razonable de identidad y autoridad;
- 10.3.2 Fuera de las horas hábiles normales en esas instalaciones, a menos que la auditoría o la inspección necesiten realizarse en caso de emergencia, y Usted haya notificado de la misma a CoachCare.
- 10.3.3 Para los fines de más de una auditoría o inspección, con respecto a cada Contrato Procesador, en cualquier período de tres años calendario, a excepción de las auditorías adicionales o inspecciones que:
- 10.3.3.1 Usted, cuando realiza una auditoría, considera razonablemente necesario debido a inquietudes genuinas en cuanto al cumplimiento de CoachCare con este Anexo; o
- 10.3.3.2 La ley de protección de datos le exige o le solicita que esté presente una autoridad supervisora o cualquier otra autoridad reguladora similar responsable de la aplicación de las leyes de protección de datos en cualquier país o territorio, donde Usted, cuando realizó una auditoría, haya identificado sus inquietudes o haya proporcionado la información relevante en el requisito o solicitud mediante su notificación a CoachCare de la auditoría o inspección.
- 10.3.4 CoachCare le informará inmediatamente si, en su opinión, una instrucción de conformidad con esta sección 10 (Derechos de Auditoría) infringe el GDPR u otros datos de la UE o de los Estados miembros en las disposiciones de protección.
11. Transferencias restringidas
11.1 Sujeto a la sección 11.3, Usted (como "exportador de datos") y CoachCare (como "importador de datos") entran en las cláusulas contractuales estándar con respecto a cualquier transferencia restringida de Usted a CoachCare.
11.2 Las cláusulas contractuales estándar entrarán en vigor en la última parte de la sección 11.1:
- 11.2.1 El exportador de datos se convierte en parte de ellos;
- 11.2.2 El importador de datos se convierte en parte de ellos; y
- 11.2.3 Al comienzo de la transferencia restringida relevante.
11.3 La Sección 11.1 no aplicará una Transferencia Restringida a menos que su efecto, junto con otros pasos de cumplimiento razonablemente factibles (que, para evitar dudas, no incluyen obtener el consentimiento de los sujetos de datos), permitan que la Transferencia restringida relevante tome lugar sin ningún incumplimiento de la Ley de Protección de Datos que sea aplicable.
12. Términos Generales
Leyes aplicables y jurisdicción
12.1 Sin perjuicio de las cláusulas 7 (Mediación y Jurisdicción) y 9 (Ley aplicable) de la Cláusulas contractuales estándar:
- 12.1.1 Las partes de este Anexo se someten a la elección de jurisdicción estipulada en El Contrato Principal con respecto a cualquier disputa o reclamación que surja en virtud de este Anexo, incluidas las controversias relativas a su existencia, validez o terminación, o las consecuencias de su nulidad; y
- 12.1.2 Este Anexo y todas las obligaciones extracontractuales u otras que surjan de o en conexión con él se rigen por las leyes del país o territorio estipulado para este propósito en el Contrato Principal.
Orden de prioridades
12.2 Nada en este Anexo reduce las obligaciones de CoachCare en virtud del Contrato Principal en relación con la protección de datos personales o los permisos que CoachCare procese (o que permita la Procesamiento de) datos personales de una manera que esté prohibida por el contrato principal. En el evento de cualquier conflicto o inconsistencia entre este Anexo y el cláusulas contractuales estándar, prevalecerán las cláusulas contractuales estándar.
12.3 Sujeto a la sección 12.2, con respecto al tema de este Anexo, en el caso de inconsistencias entre las disposiciones de este Anexo y cualquier otro acuerdo entre las partes, incluido el Contrato Principal e inclusive (excepto cuando se acuerde explícitamente lo contrario, por escrito, firmado en nombre de las partes) acuerdos celebrados o supuestos acuerdos para ser ingresado después de la fecha de este Anexo, las disposiciones de este Anexo deberán prevalecer
Cambios en las leyes de protección de datos, etc.
12.4 Usted puede:
- 12.4.1 Con al menos 90 días de notificación por escrito a CoachCare, hacer cualquier variación a las cláusulas contractuales estándar (incluidas las cláusulas contractuales estándar en la sección 11.1), ya que se aplican a las transferencias restringidas que son sujeto a una Ley de Protección de Datos particular, requerida como resultado de cualquier cambio o decisión de una autoridad competente bajo esa Ley de Protección de Datos, con miras a permitir que esas transferencias restringidas se realicen (o continúen haciéndose) sin incumplimiento de esa Ley de Protección de Datos; y
- 12.4.2 Proponer cualquier otra variación razonable a este Anexo que considere que es necesaria para cumplir con los requisitos de cualquier Ley de Protección de Datos.
12.5 Si lo notifica de acuerdo con lo establecido en la sección 12.4.1, no deberá retener o demorar injustificadamente el acuerdo a cualquier variación consecuente de este Anexo propuesto por CoachCare para proteger a los procesadores contratados contra riesgos adicionales asociados con las variaciones realizadas bajo la sección 12.4.1.
12.6 Si lo notifican de acuerdo con lo establecido en la sección 12.4.2, las partes discutirán sin demora la propuesta las variaciones y negociarán de buena fe con el fin de acordar y aplicar esas o variaciones alternativas diseñadas para abordar los requisitos identificados en su aviso tan pronto como sea practicable razonablemente.
Indemnización
12.7 En caso de que alguna disposición de este Anexo sea inválida o inejecutable, entonces el resto del presente Anexo seguirá vigente y en vigor. La disposición inválida o inejecutable: (i) se modifica según sea necesario para garantizar su validez y exigibilidad, al tiempo que se preservan las intenciones de las partes en la mayor medida posible o, si esto no es posible, (ii) será interpretada de una manera como si la parte inválida o inaplicable nunca hubiera estado contenida allí.
ANEXO 1: DETALLES DEL TRATAMIENTO DE SUS DATOS PERSONALES
Este Anexo 1 incluye ciertos detalles del procesamiento de sus datos personales como lo exige el artículo 28 (3) del GDPR.
Objeto del procesamiento de sus datos personales
El objetivo del procesamiento de sus datos personales será el establecido a la hora de ofrecerle Servicios a Usted o a sus clientes.
Duración del procesamiento de sus datos personales
Usted determina la duración del procesamiento de sus datos personales.
La naturaleza del procesamiento de sus datos personales
La naturaleza del procesamiento de sus datos personales son los Servicios iniciados por usted o sus clientes.
El propósito del procesamiento de sus datos personales
El propósito del procesamiento de sus datos personales es la provisión de los servicios iniciados por usted o sus clientes.
Los tipos de datos personales a procesar
Los tipos de datos personales a procesar son sus datos personales, incluidos los datos de salud, proporcionados a los Servicios por usted o sus clientes.
Las categorías de los sujetos de los datos con los que se relacionan sus datos personales
Las categorías de datos sujetos a las que se relacionan sus datos personales son usted y sus clientes.
Sus obligaciones y derechos
Sus obligaciones y derechos se establecen en el Contrato Principal y en este Anexo.
ANEXO 2: NORMAS DE SEGURIDAD DEL COACHCARE
Este Anexo 2 incluye diferentes detalles de las medidas técnicas y organizativas implementadas por CoachCare para garantizar un nivel adecuado de seguridad para sus datos personales.
1. Medidas técnicas
1.1 CoachCare solo permite al personal autorizado explícitamente por Usted a tener acceso administrativo a los Servidores de CoachCare.
1.2 Las computadoras CoachCare están protegidas por contraseñas, y las mismas son razonablemente seguras.
1.3 Las computadoras CoachCare utilizan el cierre de sesión automático cuando el sistema está inactivo.
1.4 CoachCare autoriza estrictamente los permisos y restringe el acceso a sus Datos Personales solo a aquellos individuos que reciben su consentimiento para acceder a él.
1.5 CoachCare revisa periódicamente el software y las aplicaciones del servidor para detectar riesgos y actualizaciones de seguridad.
1.6 CoachCare mantiene un completo historial de registro del acceso a todos los puntos finales, servidores y bases de datos API.
1.7 CoachCare utiliza un esquema de desidentificación de usuarios en todas las capas de datos para garantizar sus Datos Personales pasen a condición de anónimo cuando sea necesario.
1.8 CoachCare utiliza el cifrado de todos sus Datos Personales en tránsito y en reposo.
1.9 CoachCare aplica el cierre de sesión automático de las cuentas dentro de los servicios después de que se predeterminan períodos de tiempo.
1.10 CoachCare almacena de forma segura múltiples copias de seguridad de bases de datos en varios períodos de tiempo.
2. Medidas organizativas
2.1 CoachCare requiere autorización de la gerencia para procesar sus datos personales, y tal procesamiento solo debe incluir los datos mínimos necesarios para realizar una tarea apropiada.
2.2 CoachCare mantiene y cumple políticas y procedimientos con respecto a la seguridad apropiada del hardware de las computadoras de la empresa. CoachCare exige a los empleados que nunca dejen sus computadoras en estado de vulnerabilidad, y al final de cada jornada laboral deben asegurarse de que sus computadoras estén almacenadas en una zona cerrada.
2.3 CoachCare mantiene y cumple políticas y procedimientos con respecto a la conducta apropiada de los empleados en las conversaciones relacionadas a sus Datos Personales. CoachCare restringe conversaciones para incluir la mínima cantidad requerida de datos para realizar una tarea apropiada.
2.4 CoachCare mantiene y cumple políticas y procedimientos con respecto al Procesamiento de sus Datos Personales.
2.5 CoachCare mantiene y cumple políticas y procedimientos con respecto a las respuestas apropiadas a las violaciones de datos.
2.6 CoachCare exige capacitación regular de los empleados con respecto a todas las políticas y procedimientos, incluyendo el procesamiento de sus Datos Personales.
2.7 La administración de CoachCare realiza revisiones manuales regulares de cuentas con nivel superior, permisos y acceso a sistemas críticos.
3. Evaluación continua
3.1 CoachCare realiza revisiones periódicas de la seguridad de sus Servicios y la adecuación de sus programas de seguridad de la información, todo ello bajo los estándares de seguridad de la industria, políticas y procedimientos de la empresa.
3.2 CoachCare evaluará continuamente la seguridad de sus Servicios para determinar si se requieren medidas de seguridad diferentes o adicionales para responder a nuevos riesgos de seguridad o resultados generados revisiones periódicas que sean mejorables.
ANEXO 3: CLÁUSULAS CONTRACTUALES ESTÁNDAR
Cláusulas contractuales estándar (procesadores)
A los efectos del artículo 26, apartado 2, de la Directiva 95/46 / CE para la transferencia de datos personales a los procesadores establecidos en países terceros que no garanticen un nivel adecuado de protección de datos
La entidad identificada como "Usted" en el Anexo
(el "exportador de datos")
Y
La entidad identificada como "CoachCare" en el Anexo
(el "importador de datos")
por separado “cada parte”; en conjunto "las partes",
HAN CONVENIDO en las siguientes Cláusulas contractuales (las “Cláusulas”) para citar las salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales para la transferencia de los Datos Personales especificados en el Apéndice 1 por parte del exportador de datos al importador de datos.
Cláusula 1
Definiciones
A los efectos de las Cláusulas:
(a) Los 'datos personales', 'categorías especiales de datos', 'proceso / procesamiento', 'controlador', «procesador», «sujeto de datos» y «autoridad de supervisión» tendrán el mismo significado que en la Directiva 95/46 / CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 sobre la protección de las personas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos;
(b) 'El exportador de datos' significa el controlador que transfiere los datos personales;
(c) 'El importador de datos' significa el procesador que acepta recibir datos personales del exportador destinados a ser procesados en su nombre después de la transferencia en concordancia con sus instrucciones y los términos de las Cláusulas, y quién no está sujeto al sistema de un país tercero que garantiza una protección adecuada en el sentido del artículo 25 (1) de la Directiva 95/46 / CE;
(d) 'El subprocesador' significa cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepta recibir los datos del importador, o por parte de cualquier otro subprocesador de los datos personales del importador de datos, los cuales están destinados exclusivamente a actividades de procesamiento que se llevarán a cabo en nombre de los datos del exportador después de la transferencia, de acuerdo con sus instrucciones, con los términos de la Cláusulas y con los términos del subcontrato escrito;
(e) 'La ley de protección de datos aplicable' significa la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al tratamiento de datos personales aplicables a un controlador de datos en el Estado en el que está establecido el exportador de datos;
(f) «Medidas de seguridad y técnicas organizativas»: las medidas destinadas a la protección de datos personales contra la destrucción accidental o ilegal, o la pérdida accidental, modificación, divulgación o acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas de procesamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando corresponda son especificados en el Apéndice 1 que forma parte integrante de las Cláusulas.
Cláusula 3
Cláusula de beneficiario de terceros
1. El sujeto de los datos puede hacer cumplir contra el exportador de datos esta Cláusula, la Cláusula 4 (b) a (i), la Cláusula 5 (a) a (e), y (g) a (j), la Cláusula 6 (1) y (2), la Cláusula 7, la Cláusula 8 (2) y Cláusulas 9 a 12 como tercer beneficiario.
2. El sujeto de los datos puede hacer cumplir contra el importador de datos esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que el exportador de los datos haya desaparecido o haya dejado de existir legalmente. A menos de que haya un sucesor, la entidad asumirá todas las obligaciones legales del exportador de datos por contrato o por operación de la ley, por lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el sujeto de los datos podrá aplicarlos contra dicha entidad.
3. El sujeto de los datos puede imponer contra el subprocesador esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que tanto El exportador de datos y el importador de datos hayan desaparecido, haya dejado de existir legalmente o se haya convertido en insolvente, a menos de que cualquier entidad sucesora haya asumido la totalidad del Obligaciones del exportador de datos por contrato o por operación de ley, por lo cual asumirá los derechos y obligaciones del exportador de datos, en cuyo caso el interesado puede imponerlos contra dicha entidad. La responsabilidad de terceros del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.
4. Las partes no se oponen a que un sujeto de datos esté representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos está de acuerdo y garantiza:
(a) Que el procesamiento, incluida la transferencia, de los datos personales ha estado y continuará llevándose a cabo en conformidad con las disposiciones pertinentes de la Ley de Protección de Datos aplicable (y, cuando corresponda, también hayan sido notificadas las autoridades pertinentes del Estado donde esté establecido el exportador de datos) y no viole las disposiciones pertinentes de ese Estado;
(b) Que los servicios que haya elegido durante toda la duración del procesamiento de datos personales le indicarán al importador de datos que procese los datos personales transferidos únicamente en nombre del exportador de datos, y de conformidad con la Ley de Protección de Datos aplicable y las cláusulas;
(c) Que el importador de datos proporcionará garantías suficientes con respecto a las medidas organizativas de seguridad especificadas en el Apéndice 2 de este contrato;
(d) Que después de evaluar los requisitos de la Ley de Protección de Datos aplicable, las medidas de seguridad se consideren apropiadas para proteger los datos personales contra accidentes, destrucción ilegal, pérdida accidental, alteración, divulgación o acceso no autorizado, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las otras formas ilegales de procesamiento, y que estas medidas garanticen un nivel de seguridad adecuado a los riesgos que presenta el procesamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta el estado de la técnica y el costo de su implementación;
(e) Que garantizará el cumplimiento de las medidas de seguridad;
(f) Que, si la transferencia involucra categorías especiales de datos, el sujeto de los datos ha sido informado o será informado antes, o tan pronto como sea posible, que después de la transferencia los datos podrían transmitirse a un tercer país que no proporcione una protección adecuada conforme la Directiva 95/46 / CE;
(g) Que reenviará cualquier notificación recibida del importador de datos o cualquier subprocesador de conformidad con la Cláusula 5 (b) y la Cláusula 8 (3) de la autoridad supervisora de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;
(h) Que pondrá a disposición de los interesados, previa solicitud, una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba realizarse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan elementos que puedan eliminar dicha información comercial;
(i) Que, en caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de acuerdo con la Cláusula 11 por un subprocesador que proporciona al menos el mismo nivel de la protección de los datos personales y los derechos del interesado como importador de datos, todo ello bajo las Cláusulas; y
(j) Que garantizará el cumplimiento de la Cláusula 4 (a) a (i).
Cláusula 5
Obligaciones del importador de datos
El importador de datos está de acuerdo y garantiza:
(a) Que procesará los datos personales solo en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas. En caso de no poder proporcionar tal cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir la tarea, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y / o rescindir del contrato;
(b) Que no tiene motivos para creer que la legislación aplicable le impida el cumplimiento de las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato, y que en caso de un cambio en esta legislación, que probablemente tenga un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará inmediatamente el cambio al exportador de datos, en cuyo caso el exportador de datos tenga derecho a suspender la transferencia de datos y / o terminar el contrato;
(c) Que ha implementado las medidas técnicas de seguridad y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;
(d) Que notificará de inmediato al exportador de datos sobre:
- (i) Cualquier solicitud legalmente vinculante de divulgación de datos personales por una autoridad, a menos de que esté prohibido de otra manera, como una prohibición en virtud de la ley penal para preservar la confidencialidad de una ley de cumplimiento e investigación,
- (ii) Cualquier acceso accidental o no autorizado, y
- (iii) Cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos de que se haya autorizado de otra manera para hacerlo;
(e) Que atenderá de forma rápida y adecuada todas las consultas del exportador de datos relacionadas con el tratamiento de los datos personales sujetos a la transferencia, y para cumplir con el consejo de la autoridad de control con respecto al procesamiento de los datos transferidos;
(f) Que pondrá a disposición del exportador de datos sus instalaciones de procesamiento de datos para la auditoría de las actividades de tratamiento cubiertas por las Cláusulas que se llevarán a cabo por el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de las 15 calificaciones profesionales requeridas para la confidencialidad, seleccionadas por el exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;
(g) Que pondrá a disposición del sujeto de los datos, previa solicitud, una copia de las Cláusulas, o cualquier contrato existente para el subproceso, a menos de que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2, que será reemplazado por una descripción resumida de las medidas de seguridad en aquellos casos en los que el interesado no pueda obtener una copia del exportador de datos;
(h) Que, en caso de subprocesamiento, ha informado previamente al exportador de datos y obtuvo su consentimiento previo por escrito;
(i) Que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de acuerdo con la cláusula 11;
(j) Que enviará rápidamente una copia de cualquier acuerdo de subprocesador que finalice la labor del exportador de datos bajo las Cláusulas.
Cláusula 6
Responsabilidad
1. Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado del incumplimiento de alguna de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o por el subprocesador tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.
2. Si un interesado no puede presentar una reclamación de compensación de acuerdo con el apartado 1 contra el exportador de datos, como consecuencia de una violación por parte del importador de datos o su subprocesador de cualquiera de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos ha desaparecido, haya dejado de existir legalmente o esté insolvente, el importador de datos aceptará que el interesado emita una reclamación contra el importador de datos como si fuera el exportador de datos, a menos de que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por operación de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra tales entidades. Para evitar sus propios riesgos, el importador de datos no puede confiar en un incumplimiento de sus obligaciones por parte de un subprocesador.
3. Si un interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos mencionados en los párrafos 1 y 2, como consecuencia de un incumplimiento por parte del subprocesador de cualquiera de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, ya que tanto el exportador de datos y el importador de datos hayan desaparecido, hayan dejado de existir legalmente o estén insolventes, el subprocesador acepta que el sujeto de los datos emita una reclamación en contra del subprocesador de datos con respecto a sus propias operaciones de procesamiento bajo la cláusula 16, se considera como si fuera el exportador de datos o el importador de datos, a menos que haya un sucesor. La entidad asumirá todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento bajo las Cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acepta que si el interesado invoca en su contra derechos terceros de los beneficiarios y / o indemnizaciones por daños y perjuicios en virtud de las cláusulas, el importador de datos aceptará la decisión del interesado:
- (a) De remitir la disputa a mediación, por una persona independiente o, cuando sea aplicable, por la autoridad supervisora;
- (b) De remitir la disputa a los tribunales del Estado en el que está establecido el exportador.
2. Las partes acuerdan que la elección realizada por el interesado no perjudicará su Derechos sustantivos o procesales para buscar recursos de conformidad con otras disposiciones de derecho nacional o internacional.
Cláusula 8
Cooperación con las autoridades de supervisión
1. El exportador de datos acepta depositar una copia de este contrato con la autoridad supervisora si así lo solicita o si tal depósito es requerido bajo los datos aplicables de la ley de protección.
2. Las partes acuerdan que la autoridad supervisora tiene el derecho de conducir una auditoría del importador de datos, y de cualquier subprocesador que tenga el mismo alcance y esté sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud del Ley de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos sobre la existencia de legislación aplicable al mismo o a cualquier subprocesador que impida la realización de una auditoría del importador de datos, o cualquier subprocesador, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).
Cláusula 9
Ley aplicable
Las cláusulas se regirán por la legislación del Estado en el que se establezca el exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar las cláusulas. Esto no excluye a las partes de agregar cláusulas sobre temas relacionados con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.
Cláusula 11
Subproceso
1. El importador de datos no subcontratará ninguna de las operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo y por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las cláusulas, con el consentimiento del exportador de datos, lo harán solo por escrito, y de acuerdo con el subprocesador que impone las mismas obligaciones al importador de datos en virtud de las cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dichos documentos escritos, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.
2. El contrato escrito previamente entre el importador de datos y el subprocesador deberá también contemplar una cláusula de tercer beneficiario según lo establecido en la Cláusula 3 para los casos en los que el interesado no pueda presentar la reclamación de indemnización mencionada en el párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque han desaparecido , han dejado de existir legalmente o estén insolventes, y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o importador de datos por contrato o por ley. Dicha responsabilidad de terceros del subprocesador estará limitado a sus propias operaciones de procesamiento según las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subproceso del contrato referido en el apartado 1 se regirán por la legislación del Estado en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud del Cláusulas y notificadas por el importador de datos de conformidad con la Cláusula 5 (j), que se haya actualizado al menos una vez al año. La lista estará disponible para los datos del exportador de datos y la autoridad supervisora de protección.
Cláusula 12
Obligación después de la terminación de los servicios de procesamiento de datos personales
1. Las partes acuerdan que en la terminación los servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a elección de los datos exportador, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos, o que destruirá todos los datos personales y certificará al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y ya no los procesará de forma activa.
2. El importador de datos y el subprocesador garantizan que a petición del exportador de datos y / o de la autoridad de control, presentará facilidades para realizar una auditoría de las medidas mencionadas en el apartado 1.
APÉNDICE 1 - CLÁUSULAS CONTRACTUALES ESTÁNDAR
Este Apéndice forma parte de las Cláusulas y debe ser completado por las partes. Los Estados miembros pueden completar o especificar, de acuerdo con sus procedimientos nacionales, cualquier información adicional necesaria para agregar al contenido de este Apéndice
Exportador de datos
El exportador de datos es Usted según lo definido en el Anexo.
Importador de datos
El importador de datos es CoachCare como se define en el Anexo.
Sujetos de datos
Los sujetos de los datos son Usted y sus clientes, tal como se definen y se mencionan en el Anexo.
Categorías de datos
Las categorías de datos son sus Datos Personales tal como se definen en el Anexo.
Categorías especiales de datos (si corresponde)
Las categorías especiales de datos son datos de salud que forman parte de sus Datos Personales, tal como se definen en el Anexo..
Operaciones de procesamiento
Los datos personales transferidos estarán sujetos a las operaciones de procesamiento incluidas en los Servicios, tal y como está definido en el Anexo.
APÉNDICE 2 - CLÁUSULAS CONTRACTUALES ESTÁNDAR
Este Apéndice forma parte de las Cláusulas y debe ser completado por las partes.
Descripción de las medidas técnicas de seguridad y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4 (d) y 5 (c):
Las medidas de seguridad técnicas y organizativas implementadas por el importador de datos son las siguientes: descrito en el Anexo.
Aviso importante: por favor considere que el texto oficial Contrato de Protección de Datos GDPR es la versión en inglés del mismo.