A efectos del presente documento, los siguientes términos tendrán el mismo significado que se les da en el GDPR:
Datos personales: cualquier información relativa a una persona física identificada o identificable (en lo sucesivo, el "interesado"); una "persona física identificable" es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea, o a uno o más factores específicos de su identidad física, fisiológica, genética, mental, económica, cultural o social.
Datos sensibles o categorías especiales de datos: datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como los datos genéticos, los datos biométricos destinados a identificar de manera unívoca a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o a la orientación sexual de una persona física (artículo 9 del RGPD).
Tratamiento: cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos o conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Responsable del tratamiento : la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento; Subencargado del tratamiento: la persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
Destinatario : la persona física o jurídica, autoridad pública, departamento o cualquier otro organismo que reciba datos personales, ya sea un tercero o no. No obstante, no se consideran destinatarios las autoridades públicas que puedan recibir datos personales en el contexto de una investigación específica de conformidad con la legislación de la UE o de un Estado usuario; el tratamiento de dichos datos por las autoridades públicas en cuestión cumple las normas de protección de datos aplicables en función de los fines del tratamiento.
Como subcontratista, FYGR se compromete a :
1. Tratar los Datos Personales únicamente a efectos de la prestación de los servicios;.
2. No acceder ni utilizar los Datos Personales para fines distintos de los necesarios para la prestación de los servicios;.
3. Tratar los Datos Personales de acuerdo con las instrucciones documentadas del usuario;.
4. Informar al Usuario si, en su opinión y a la luz de la información de que disponga, alguna de las instrucciones constituye una infracción del RGPD o de cualquier otra disposición del Derecho de la Unión o de la legislación de los Estados usuarios relativa a la protección de datos.
5. Garantizar la confidencialidad de los datos personales tratados en el ejercicio de sus funciones;.
6.
Cuando proceda, velará por que los usuarios de su personal autorizados a tratar Datos Personales: - se comprometan a respetar la confidencialidad o estén sujetos a una obligación legal adecuada de confidencialidad; - reciban la formación necesaria en materia de protección de Datos Personales;
7. Tener en cuenta los principios de protección de datos desde el diseño y protección de datos por defecto en sus herramientas, productos, aplicaciones y servicios.
8. Subcontratistas posteriores :
FYGR podrá contratar a otro subcontratista para el tratamiento de Datos Personales en relación con la prestación de los Servicios ("Subcontratista Posterior"). El usuario autoriza expresamente a FYGR a contratar a estas empresas como Subcontratistas Subsiguientes.
En todo caso, el Subcontratista Posterior se obliga a cumplir las obligaciones del presente contrato por cuenta y siguiendo las instrucciones de FYGR. Es responsabilidad de FYGR que el Subcontratista Posterior presente las mismas garantías suficientes en cuanto a la implantación de las medidas técnicas y organizativas adecuadas para que el tratamiento cumpla con los requisitos del Reglamento Europeo de Protección de Datos. Si el Subcontratista Subsiguiente no cumpliera con sus obligaciones en materia de protección de datos, FYGR seguiría siendo plenamente responsable ante el usuario del cumplimiento por parte del otro subcontratista de sus obligaciones.
9. Derecho de información de los interesados :
El usuario, como responsable del tratamiento, es plenamente responsable de informar a los interesados de sus derechos y de garantizar que se respeten, incluidos los derechos de acceso, rectificación, supresión, limitación o portabilidad.
10. Ejercicio de los derechos individuales :
FYGR prestará la cooperación y asistencia que sean razonablemente necesarias para responder a las solicitudes de los interesados. Dicha cooperación y asistencia razonables podrán incluir (a) comunicar al usuario cualquier solicitud recibida directamente del interesado y (b) permitir al Responsable del tratamiento diseñar y desplegar las medidas técnicas y organizativas necesarias para responder a las solicitudes de los interesados.
El usuario, como responsable del tratamiento, es el único responsable de responder a estas solicitudes.
El usuario reconoce y acepta que, en caso de que dicha cooperación y asistencia requiera recursos significativos por parte de FYGR, ello podrá serle repercutido previa notificación y acuerdo.
11. Notificación de violaciones de datos personales :
FYGR se compromete a notificar al usuario, por cualquier medio, cualquier violación de los datos personales en un plazo máximo de 72 (setenta y dos) horas tras tener conocimiento de la misma. Esta notificación irá acompañada de toda documentación útil para que el usuario pueda, en su caso, notificar esta violación a la autoridad de control competente (CNIL).
12. La asistencia de FYGR en el cumplimiento de las obligaciones del usuario :
FYGR se compromete en la medida de lo posible y si fuera necesario a ayudar al usuario a realizar los análisis de impacto relativos a la protección de datos.
FYGR también se compromete, en caso necesario, a ayudar al usuario a realizar la consulta previa a la autoridad de control (CNIL).
13. Medidas de seguridad :
FYGR aplica las medidas técnicas y organizativas apropiadas para garantizar la seguridad, confidencialidad e integridad del tratamiento de los datos y para protegerlos contra la destrucción, pérdida, alteración, difusión o acceso no autorizado a los datos personales transmitidos, conservados o tratados de otra forma.
14. Salida de datos :
Tras la finalización del servicio (incluida la finalización de las CDS), FYGR se compromete a eliminar cualquier contenido (incluidos datos, archivos, etc.) reproducido, almacenado, alojado o utilizado de otro modo por el usuario en relación con los servicios, a menos que se requiera lo contrario por una solicitud emitida por una autoridad legal o judicial competente, o por la legislación aplicable de la Unión Europea o de un Estado usuario de la Unión Europea.
El usuario es el único responsable de que se lleven a cabo las operaciones necesarias (como copias de seguridad, transferencia a una solución de terceros, etc.) para la conservación de los Datos Personales, en particular antes de la finalización o expiración de los servicios, y antes de llevar a cabo cualquier operación de supresión, actualización o reinstalación de los servicios.
A este respecto, se informa al usuario de que la terminación y expiración del servicio por cualquier motivo, así como determinadas operaciones de actualización o reinstalación de los servicios, pueden dar lugar automáticamente a la eliminación irreversible de cualquier contenido reproducido, almacenado, alojado o utilizado de otro modo por el usuario como parte de los servicios, incluida cualquier posible copia de seguridad.
15. Registro de categorías de actividades de tratamiento :
FYGR declara mantener un registro escrito de todas las categorías de actividades de tratamiento llevadas a cabo en nombre del usuario, incluyendo:
- el nombre y los datos de contacto del usuario por cuya cuenta actúa, de los posibles subcontratistas y, en su caso, del responsable de la protección de datos;
- las categorías de tratamiento efectuadas por cuenta del usuario ;
- en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, del RGPD, los documentos que acrediten la existencia de garantías adecuadas ;
- en la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas.
16. Documentación :
FYGR pone a disposición de sus usuarios la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y para permitir y ayudar en las auditorías, incluidas las inspecciones, por parte del usuario u otro auditor designado por el usuario.
En el marco de dichas auditorías, el usuario o el auditor por él designado no estarán, sin embargo, autorizados a acceder a los secretos empresariales de FYGR, a la información estratégica de FYGR o a la información que FYGR se haya comprometido a mantener confidencial respecto de sus otros clientes y/o socios. FYGR podrá oponerse a cualquier medida de control por parte del usuario o del auditor designado por FYGR que pueda darles acceso a dichos datos o información. En todo caso, FYGR se asegurará de que el auditor y, en general, el personal que lleve a cabo la auditoría estén sujetos a las obligaciones de confidencialidad adecuadas.
El usuario se compromete a cumplir con las obligaciones que le incumben como responsable del tratamiento de datos en virtud del RGPD. En este sentido, es responsabilidad del usuario garantizar que:
- el tratamiento de datos personales tiene una base jurídica adecuada (por ejemplo, el consentimiento del interesado, el interés legítimo del responsable del tratamiento o una disposición legal, etc.);
- se mantengan actualizados los registros de tratamiento de datos;
- se han llevado a cabo todas las formalidades y procedimientos requeridos (como una evaluación de impacto, una notificación o una solicitud de autorización a la autoridad de control o a cualquier otro organismo), en su caso;
- Se informa a los interesados del tratamiento de datos personales de forma concisa, transparente, inteligible y fácilmente accesible;
- los interesados tienen la oportunidad de ejercer sus derechos, tal como establece el RGPD ;
- se aplican medidas técnicas y organizativas en sus propios sistemas y operaciones fuera del ámbito de los servicios para garantizar la seguridad del tratamiento de los datos personales.
Además, el usuario se compromete a :
- documentar por escrito todas las instrucciones relativas al tratamiento de datos ;
- garantizar que FYGR cumple con las obligaciones establecidas en el RGPD previamente y durante todo el periodo de tratamiento;
- supervisar el tratamiento, incluida la realización de auditorías e inspecciones de FYGR, en las condiciones descritas anteriormente.
