Acord de tractament de dades personals per part de Coneix

Aquest Acord de Tractament de Dades Personals (“ATD”) aplica a tots els tractaments de dades personals que CONEIX Project Management S.L. duu a terme per compte dels seus clients en qualitat d’encarregat de tractament de dades.

Aquest Acord de Tractament de Dades Personals (“ATD”) aplica a tots els tractaments de dades personals que CONEIX Project Management S.L. duu a terme per compte dels seus clients en qualitat d’encarregat de tractament de dades.

DEFINICIONS

Per al propòsit d’aquest Acord de Tractament de Dades Personals – ATD:

  • “Llei de protecció de dades aplicable” significa les lleis i regulacions aplicables on es realitza el tractament de dades, que s’apliquen als termes d’aquest ATD i que poden variar amb el pas del temps. Comprèn tant el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades (“RGPD”), com les lleis locals aplicables on es duu a terme el tractament,  com ara, per exemple, a Espanya és la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (“LOPDGDD”).

  • “Responsable” o “Responsable del tractament” significa la persona física o jurídica, autoritat pública, agència o un altre organisme que, només o conjuntament amb altres, determina les finalitats i mitjans del tractament de dades personals.

  • “Encarregat” o “Encarregat del tractament” significa una persona física o jurídica, autoritat pública, agència o un altre organisme que processa dades personals en nom del responsable del tractament.

  • “Interessat” significa una persona que és el subjecte de les dades personals.

  • “ATD”, “aquest ATD”, “aquest acord ATD” és aquest Acord de Tractament de Dades Personals;

  • “Dades personals” significa tota informació sobre una persona física identificada o identificable (“l’interessat”); es considerarà persona física identificable tota persona la identitat de la qual pugui determinar-se, directament o indirectament, en particular mitjançant un identificador, com per exemple un nom, un número d’identificació, dades de localització, un identificador en línia o un o diversos elements propis de la identitat física, fisiològica, genètica, psíquica, econòmica, cultural o social d’aquesta persona;

  • “Autoritat supervisora” significa una autoritat independent establerta per un estat membre que s’ocupa de la supervisió del processament de dades personals per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les seves dades.

  • “Autoritat supervisora” significa una autoritat independent establerta per un estat membre que s’ocupa de la supervisió del processament de dades personals per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les seves dades.

  • “Autoritat supervisora” significa una autoritat independent establerta per un estat membre que s’ocupa de la supervisió del processament de dades personals per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les seves dades.

  • “Coneix”, “nosaltres”, “nostre(s)” i totes les derivacions d’aquestes paraules signifiquen Coneix , societat constituïda de conformitat amb les lleis d’Espanya, amb CIF n° B63735922 i domicili social en Carrer Orient, 49 4t 2a 08173 Sant Cugat de Vallès (Barcelona) (Espanya);

  • “Serveis”, “Serveis Coneix” són els serveis de gestió en modalitat SaaS de l’ERP, serveis prestats a través d’internet per Coneix a favor del Client, en relació amb l’ús del servei contractat, a través de la plataforma de Coneix i dins de la infraestructura de computació en el núvol.

  • “Sotsencarregats” són aquells encarregats del tractament que Coneix utilitza per a tractar les Dades del Client, tal com es descriu en l’article 28 del RGPD.

TERMES

SECCIÓ I

Clàusula 1. Finalitat i àmbit d’aplicació


  • La finalitat de les clàusules d’aquest ATD (en endavant, «plec de clàusules») és garantir que es compleixi l’article 28, apartats 3 i 4, del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades, i pel qual es deroga la Directiva 95/46/CE (Reglament general de protecció de dades).
  • Els responsables i encarregats del tractament enumerats en l’annex I han donat el seu consentiment a vincular-se pel present plec de clàusules a fi de garantir el compliment de l’article 28, apartats 3 i 4, del Reglament (UE) 2016/679.
  • El present plec de clàusules s’aplica al tractament de dades personals especificat a l’annex II.
  • Els annexos I a IV formen part del plec.
  • El present plec de clàusules s’entén sense perjudici de les obligacions a les quals estigui subjecte el responsable en virtut del Reglament (UE) 2016/679.
  • El present plec de clàusules no garanteix per si mateix el compliment de les obligacions relatives a les transferències internacionals contemplades en el capítol V del Reglament (UE) 2016/679.
  • El plec de clàusules d’aquest ATD està alineat amb la Decisió d’Execució (UE) 2021/915 de la Comissió de 4 de juny de 2021 sobre clàusules contractuals estàndard entre controladors i processadors.
  • Aquest ATD, incloses les seves definicions, considerant-ne els annexos, és un document independent que no incorpora termes comercials que han d’haver estat establerts per les parts en acords comercials separats.

Clàusula 2. Invariabilitat del plec de clàusules


  • Les parts es comprometen a no modificar el plec de clàusules, excepte per afegir o actualitzar informació als annexos.
  • Això no és obstacle perquè les parts afegeixin altres clàusules o garanties addicionals sempre que no contradiguin, directament o indirectament, el plec de clàusules ni perjudiquin els drets o llibertats fonamentals dels interessats.

Clàusula 3. Interpretació


  • Quan en el present plec de clàusules s’utilitzen termes definits en el Reglament (UE) 2016/679, s’entén que tenen el mateix significat que en el Reglament corresponent.
  • El present plec de clàusules haurà de llegir-se i interpretar-se d’acord amb les disposicions del Reglament (UE) 2016/679.
  • No es podran realitzar interpretacions del present plec de clàusules que entrin en conflicte amb els drets i obligacions establerts en el Reglament (UE) 2016/679 i/o que perjudiquin els drets o llibertats fonamentals dels interessats.

Clàusula 4. Jerarquia


En cas de contradicció entre el present plec de clàusules i les disposicions d’acords connexos entre les parts que estiguin en vigor en el moment en què es pactés o comencés a aplicar-se el present plec de clàusules, prevaldrà el present plec de clàusules.

SECCIÓ II. OBLIGACIONS DE LES PARTS

Clàusula 5. Descripció del tractament o tractaments A l’annex II s’especifiquen els detalls de les operacions de tractament i, en particular, les categories de dades personals i les finalitats per a les quals es tracten les dades personals per compte del responsable.

Clàusula 6. Obligacions de les parts

6.1. Instruccions


  • El responsable del tractament instruirà l’encarregat perquè tracti les dades personals de la manera que sigui raonablement necessària perquè l’encarregat dugui a terme el tractament de conformitat amb aquest ATD i de conformitat amb el Reglament (UE) 2016/679.
  • L’encarregat tractarà les dades personals únicament seguint instruccions documentades del responsable d’acord amb els termes de servei establerts en el contracte/acord de servei del qual aquest ATD forma part, llevat que hi estigui obligat en virtut del Dret de la Unió o dels Estats membres que s’apliqui a l’encarregat. En aquest cas, l’encarregat informarà el responsable d’aquesta exigència legal prèvia al tractament, llevat que aquest Dret ho prohibeixi per raons importants d’interès públic. El responsable també podrà donar instruccions ulteriors en qualsevol moment del període de tractament de les dades personals. Aquestes instruccions han d’estar sempre documentades.
  • El responsable del tractament s’abstindrà de proporcionar instruccions que no s’ajustin a les lleis aplicables, inclòs el Reglament (UE) 2016/679 i, en cas que es donin aquestes instruccions, l’encarregat del tractament té dret a desistir de dur-les a terme.
  • L’encarregat informarà immediatament el responsable si les instruccions donades pel responsable infringeixen, segons el parer de l’encarregat, el Reglament (UE) 2016/679, el Reglament (UE) 2018/1725 o les disposicions aplicables del Dret de la Unió o dels Estats membres en matèria de protecció de dades.

  • L’encarregat no divulgarà cap dada personal a un tercer sota cap circumstància que no sigui per sol·licitud escrita específica del responsable, llevat que aquesta divulgació sigui necessària per complir amb les obligacions de l’Acord de servei o sigui requerit en virtut del Dret de la Unió o dels Estats membres que s’apliqui a l’encarregat.

6.2. Limitació de la finalitat

L’encarregat tractarà les dades personals únicament per a les finalitats específiques del tractament indicades en l’annex II, llevat quan segueixi instruccions addicionals del responsable.

6.3. Durada del tractament de dades personals

El tractament per part de l’encarregat només es realitzarà durant el període especificat a l’annex II.

6.4. Seguretat del tractament

  • L’encarregat aplicarà, com a mínim, les mesures tècniques i organitzatives especificades a l’annex III per garantir la seguretat de les dades personals. Una d’aquestes mesures podrà consistir en la protecció contra violacions de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals, o la comunicació o accés no autoritzats a aquestes dades («violació de la seguretat de les dades personals»). A l’hora de determinar un nivell adequat de seguretat, les parts tindran degudament en compte l’estat de la tècnica, els costos d’aplicació, la naturalesa, l’abast, el context i els fins del tractament, i els riscos que comporta el tractament per als interessats.

(b) L’encarregat només concedirà accés a les dades personals tractades als membres del seu personal en la mesura que sigui estrictament necessari per a l’execució, la gestió i el seguiment del contracte.

(c) L’encarregat garantirà que les persones autoritzades per tractar les dades personals rebudes s’hagin compromès a respectar la confidencialitat o estiguin subjectes a una obligació de confidencialitat de naturalesa estatutària. L’encarregat haurà de mantenir a disposició del responsable del tractament tots els registres documentats del compliment de l’obligació de confidencialitat.

(d) L’encarregat haurà d’assegurar-se que totes les persones autoritzades per processar dades personals rebin la formació necessària en protecció de dades personals.

6.5. Dades sensibles

Si el tractament afecta dades personals que revelin l’origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l’afiliació sindical, dades genètiques o dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o l’orientació sexual d’una persona física, o dades relatives a condemnes i infraccions penals («dades sensibles»), l’encarregat aplicarà restriccions específiques i/o garanties addicionals

6.6. Documentació i compliment

(a) Les parts hauran de poder demostrar el compliment del plec de clàusules d’aquest ATD.

(b) L’encarregat resoldrà amb prestesa i de forma adequada les consultes del responsable relacionades amb el tractament d’acord amb el present plec de clàusules.

(c) L’encarregat designarà en l’Annex I un punt de contacte dins de la seva organització autoritzada per respondre a les consultes relacionades amb el processament de les Dades Personals i cooperarà amb el controlador, l’Interessat i l’Autoritat de Supervisió respecte a totes aquestes consultes dins d’un temps raonable.

(d) L’encarregat posarà a disposició del responsable tota la informació necessària per demostrar el compliment de les obligacions contemplades en el present plec de clàusules i que derivin directament del Reglament (UE) 2016/679 i del Reglament (UE) 2018/1725.

(e) A instància del responsable, l’encarregat permetrà i contribuirà a la realització d’auditories de les activitats de tractament cobertes pel present plec de clàusules, a intervals raonables o si existeixen indicis d’incompliment. En decidir si es realitza un examen o una auditoria, el responsable podrà tenir en compte les certificacions pertinents que obrin en poder de l’encarregat.

(f) El responsable podrà optar per realitzar l’auditoria per si mateix o autoritzar un auditor independent. Les auditories també podran consistir en inspeccions dels locals o instal•lacions físiques de l’encarregat i, quan escaigui, realitzar-se amb un preavís raonable.

(g) Les parts posaran a disposició de les autoritats de control competents, a instància d’aquestes, la informació a què es refereix la present clàusula i, en particular, els resultats de les auditories.

(h) L’encarregat cooperarà amb l’Autoritat de Supervisió en relació amb qualsevol activitat duta a terme per l’encarregat.

(i) L’encarregat notificarà al responsable del tractament qualsevol sol•licitud d’informació per part de l’Autoritat supervisora.

(j) L’encarregat notificarà al controlador de qualsevol queixa, notificació o comunicació rebuda que es relacioni directament o indirectament amb el processament de les dades personals o altres activitats relacionades, o que es relacioni directament o indirectament amb el compliment de l’encarregat i/o el responsable amb la llei aplicable pertinent, inclosa la llei de protecció de dades aplicable.

6.7. Recurs a sotsencarregats

(a) L’encarregat compta amb l’autorització del responsable per contractar sotsencarregats que figurin en una llista acordada documentada a l’annex IV. L’encarregat informarà el responsable específicament i per escrit de les addicions o substitucions de sotsencarregats previstes en aquesta llista amb almenys amb 1 mes d’antelació, de manera que el responsable tingui temps suficient per formular objecció a aquests canvis abans que es contracti el sotsencarregat o sotsencarregats de què es tracti. L’encarregat del tractament proporcionarà al responsable la informació necessària perquè pugui exercir el seu dret a formular objecció.

(a) L’encarregat compta amb l’autorització del responsable per contractar sotsencarregats que figurin en una llista acordada documentada a l’annex IV. L’encarregat informarà el responsable específicament i per escrit de les addicions o substitucions de sotsencarregats previstes en aquesta llista amb almenys amb 1 mes d’antelació, de manera que el responsable tingui temps suficient per formular objecció a aquests canvis abans que es contracti el sotsencarregat o sotsencarregats de què es tracti. L’encarregat del tractament proporcionarà al responsable la informació necessària perquè pugui exercir el seu dret a formular objecció.

(c) L’encarregat proporcionarà al responsable, a instància d’aquest, una còpia del contracte amb el sotsencarregat i de qualsevol modificació posterior del mateix. En la mesura que sigui necessari per protegir secrets comercials o un altre tipus d’informació confidencial, com dades personals, l’encarregat podrà expurgar el text del contracte abans de compartir-hi la còpia.

(d) L’encarregat continuarà sent plenament responsable davant el responsable del compliment de les obligacions que imposi al sotsencarregat el seu contracte amb l’encarregat. L’encarregat notificarà al responsable els incompliments per part del sotsencarregat de les obligacions que li atribueixi l’esmentat contracte.

(e) L’encarregat pactarà amb el sotsencarregat una clàusula de tercer beneficiari en virtut de la qual, en cas que l’encarregat desaparegui de facto, cessi d’existir jurídicament o sigui insolvent, el responsable tindrà dret a rescindir el contracte del sotsencarregat i ordenar a aquest que suprimeixi o retorni les dades personals.

6.8. Transferències internacionals

(a) Les transferències de dades a un tercer país o a una organització internacional per part de l’encarregat només podran realitzar-se seguint instruccions documentades del responsable o en virtut d’una exigència expressa del Dret de la Unió o de l’Estat membre al qual estigui subjecte l’encarregat; es duran a terme de conformitat amb el capítol V del Reglament (UE) 2016/67.

(a) Les transferències de dades a un tercer país o a una organització internacional per part de l’encarregat només podran realitzar-se seguint instruccions documentades del responsable o en virtut d’una exigència expressa del Dret de la Unió o de l’Estat membre al qual estigui subjecte l’encarregat; es duran a terme de conformitat amb el capítol V del Reglament (UE) 2016/67.

Clàusula 7. Obligacions del responsable

El responsable del tractament garanteix i es compromet que: (a) Les dades personals s’han recopilat, processat i transferit d’acord amb les lleis de protecció de dades aplicables. (b) Ha de realitzar una avaluació de l’impacte en la protecció de les dades personals de les operacions de tractament que realitzarà l’encarregat quan un el tipus de tractament pugui donar lloc a un alt risc per als drets i llibertats dels interessats (c) Disposarà de les mesures tècniques i organitzatives adequades per protegir la confidencialitat de les dades personals, així com protegir-les contra la destrucció accidental o il•legal o la pèrdua accidental, alteració, divulgació o accés no autoritzat, i que proporcionin un nivell de seguretat. adequat al risc que representa el tractament i la naturalesa de les dades a protegir. (d) Respondrà a les sol•licituds dels interessats i de les autoritats de supervisió en relació amb el tractament de les dades personals segons l’estipulat en la Clàusula 8 (b). (e) Realitzarà consultes prèvies que corresponguin a l’autoritat de control quan una avaluació d’impacte de protecció de dades indiqui que el tractament donaria lloc a un alt risc en absència de mesures preses pel responsable del tractament per mitigar el risc.

Clàusula 8. Ajut al responsable del tractament

(a) L’encarregat notificarà amb prestesa al responsable les sol•licituds que rebi de l’interessat. No respondrà a aquesta sol•licitud per si mateix, llevat que el responsable l’hagi autoritzat a fer-ho. (b) L’encarregat ajudarà el responsable a complir les seves obligacions en respondre a les sol•licituds d’exercici de drets dels interessats tenint en compte la naturalesa del tractament. En el compliment de les obligacions que li atribueixen les lletres a) i b), l’encarregat complirà les instruccions del responsable. Atès el cas:

  1. l’interessat hauria d’adreçar primer la sol•licitud al responsable del tractament;
  2. seguidament, el responsable del tractament, després de rebre la sol•licitud, sol•licitarà a l’encarregat que realitzi les accions necessàries a través del punt de contacte establert a l’annex I;
  3. un cop l’encarregat hagi rebut la petició del responsable, l’encarregat respondrà al responsable dins d’un termini de deu (10) dies hàbils;
  4. en el cas que un interessat es comuniqui directament amb l’encarregat, aquest li demanarà a l’interessat que dirigeixi la seva sol•licitud al responsable. Al mateix temps, l’encarregat informarà el responsable d’aquesta petició;

c) A més de l’obligació de l’encarregat d’ajudar el responsable en virtut de la clàusula 8, lletra b), l’encarregat també ajudarà el responsable a garantir el compliment de les obligacions següents tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat:

  1. l’obligació de realitzar una avaluació de l’impacte de les operacions de tractament en la protecció de dades personals («avaluació d’impacte») quan sigui probable que un tipus de tractament suposi un alt risc per als drets i llibertats de les persones físiques;
  2. l’obligació de consultar les autoritats de control competents abans de procedir al tractament quan una avaluació d’impacte relativa a la protecció de les dades mostri que el tractament comportaria un alt risc si el responsable no pren mesures per mitigar-lo;
  3. l’obligació de garantir que les dades personals siguin exactes i estiguin actualitzades, informant sense demora el responsable si l’encarregat descobreix que les dades personals que està tractant són inexactes o han quedat obsoletes;
  4. l’obligació de garantir que les dades personals siguin exactes i estiguin actualitzades, informant sense demora el responsable si l’encarregat descobreix que les dades personals que està tractant són inexactes o han quedat obsoletes;

(d) Les parts establiran a l’annex III mesures tècniques i organitzatives apropiades que obliguin l’encarregat a ajudar el responsable a aplicar la present clàusula, així com l’objecte i l’abast de l’ajut requerit.

Clàusula 9. Notificació de violacions de la seguretat de les dades personals

En cas de violació de la seguretat de les dades personals, l’encarregat col•laborarà amb el responsable i l’ajudarà a complir les obligacions que li atribueixen els articles 33 i 34 del Reglament (UE) 2016/679 tenint en compte la naturalesa del tractament i la informació de què disposi l’encarregat.

9.1 Violació de la seguretat de dades personals tractades pel responsable

En cas de violació de la seguretat de les dades personals en relació amb les dades tractades pel responsable, l’encarregat ajudarà el responsable en el següent. (a) Notificar la violació de la seguretat de les dades personals a les autoritats de control competents sense dilació indeguda una vegada en tingui constància, si escau (llevat que sigui improbable que aquesta violació de la seguretat constitueixi un risc per als drets i les llibertats de les persones físiques). (b) Recaptar la informació següent, que, de conformitat amb [OPCIÓ 1] l’article 33, apartat 3, del Reglament (UE) 2016/679 / [OPCIÓ 2] l’article 34, apartat 3, del Reglament (UE) 2018/1725, haurà de figurar en la notificació del responsable, que ha d’incloure com a mínim:

  1. la naturalesa de les dades personals, inclusivament, quan sigui possible, les categories i el nombre aproximat d’interessats afectats, i les categories i el nombre aproximat de registres de dades personals afectats;
  2. les conseqüències probables de la violació de la seguretat de les dades personals;
  3. les mesures adoptades o proposades pel responsable del tractament per posar remei a la violació de la seguretat de les dades personals, incloent-hi, si escau, les mesures adoptades per mitigar els possibles efectes negatius.

Quan i en la mesura que no es pugui proporcionar tota la informació alhora, en la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recaptant, la informació addicional s’anirà proporcionant sense dilació indeguda.

(c) Complir, d’acord amb l’article 34 del Reglament (UE) 2016/679, l’obligació de comunicar sense dilació indeguda a l’interessat la violació de la seguretat de les dades personals quan sigui probable que la violació de la seguretat comporti un alt risc per als drets i llibertats de les persones físiques.

(c) Complir, d’acord amb l’article 34 del Reglament (UE) 2016/679, l’obligació de comunicar sense dilació indeguda a l’interessat la violació de la seguretat de les dades personals quan sigui probable que la violació de la seguretat comporti un alt risc per als drets i llibertats de les persones físiques.

En cas de violació de la seguretat de dades personals tractades per l’encarregat, aquest ho notificarà al responsable sense dilació indeguda una vegada que l’encarregat en tingui constància. Aquesta notificació ha d’incloure com a mínim: (a) una descripció de la naturalesa de la violació de la seguretat (inclusiu, quan sigui possible, les categories i el nombre aproximat d’interessats i de registres de dades afectades); (b) les dades d’un punt de contacte en el qual es pugui obtenir més informació sobre la violació de la seguretat de les dades personals; (c) les seves conseqüències probables i les mesures adoptades o propostes per posar remei a la violació de la seguretat, incloent-hi les mesures adoptades per mitigar els possibles efectes negatius.

Quan i en la mesura que no es pugui proporcionar tota la informació alhora, en la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recaptant, la informació addicional s’anirà proporcionant sense dilació indeguda.

Quan i en la mesura que no es pugui proporcionar tota la informació alhora, en la notificació inicial es proporcionarà la informació de què es disposi en aquell moment i, a mesura que es vagi recaptant, la informació addicional s’anirà proporcionant sense dilació indeguda.

SECCIÓ III. DISPOSICIONS FINALS


Clàusula 10. Incompliment de les clàusules i resolució del contracte

(a) Sense perjudici del que disposa el Reglament (UE) 2016/679, en cas que l’encarregat del tractament incompleixi les obligacions que li atribueix el present plec de clàusules, el responsable podrà ordenar a l’encarregat que suspengui el tractament de dades personals fins que aquest torni a donar compliment al present plec de clàusules, o resoldre el contracte. L’encarregat informarà amb prestesa el responsable en cas que no pugui donar compliment al present plec de clàusules per qualsevol motiu. (b) El responsable estarà facultat per resoldre el contracte en el que es refereixi al tractament de dades personals en virtut del present plec de clàusules quan:

  1. el tractament de dades personals per part de l’encarregat hagi estat suspès pel responsable d’acord amb la lletra a) i no es torni a donar compliment al present plec de clàusules en un termini raonable i, en qualsevol cas, en un termini d’un mes a comptar des de la suspensió;
  2. l’encarregat incompleixi de manera substancial o persistent el present plec de clàusules o les obligacions que li atribueix el Reglament (UE) 2016/679;

  3. l’encarregat incompleixi una resolució vinculant d’un òrgan jurisdiccional competent o de les autoritats de control competents en relació amb les obligacions que els atribueix el present plec de clàusules, el Reglament (UE) 2016/679.

Clàusula 11. Responsabilitat i indemnització

(a) L’encarregat del tractament no serà responsable davant qualsevol reclamació presentada per un interessat que sigui conseqüència de qualsevol acció de l’encarregat en la mesura que aquesta acció sigui el resultat directe de les instruccions del responsable i la incorrecta implantació de les seves mesures tècniques i organitzatives. (b) En el cas que un interessat presenti una reclamació contra l’encarregat que sorgeixi de qualsevol acció o omissió de l’encarregat en la mesura que aquesta acció o omissió sigui el resultat directe de les instruccions del responsable, o l’aplicació incorrecta per part del responsable de les seves i mesures organitzatives, d’acord amb la Clàusula 7 (c) d’aquest ATD, el responsable indemnitzarà i mantindrà indemnitzat i defensarà el seu propi càrrec a l’encarregat respecte a tots els costos, reclamacions, danys o despeses incorreguts per l’encarregat per als quals l’encarregat pugui ser responsable per causa de qualsevol incompliment per part del controlador o els seus gerents, empleats, agents o contractistes de les seves obligacions en virtut de les clàusules d’aquest DPA.

Clàusula 12. Legislació aplicable a aquest ATD

Aquest ATD es regirà i interpretarà en tots els aspectes d’acord amb les lleis i regulacions del país de la UE on té lloc el tractament de dades. Les parts del present acord se sotmeten a la jurisdicció exclusiva del lloc on es realitza el tractament de dades per a totes les finalitats d’aquest ATD.

Clàusula 13. Resolució de disputes amb els interessats o les autoritats de supervisió

(a) En el cas d’una disputa o reclamació presentada per un interessat o una autoritat de supervisió respecte al tractament de les dades personals contra una o ambdues parts, les parts s’informaran mútuament sobre tals disputes o reclamacions i cooperaran amb vista a resoldre-les amistosament i de la manera més oportuna.

(b) Les parts acorden respondre a qualsevol procediment de mediació no vinculant disponible generalment iniciat per un interessat o per una autoritat de supervisió. Si participen en el procediment, les parts poden optar per fer-ho de forma remota (per exemple, per telèfon o altres mitjans electrònics). Les parts també acorden considerar la participació en qualsevol altre arbitratge, mediació o un altre procediment de resolució de disputes habilitat per a disputes de protecció de dades.

(c) Cada part es compromet a acatar la decisió de l’autoritat de supervisió, que és definitiva i contra la qual ja no serà possible apel•lar.

ANNEX I. Llista de parts

Com a Responsable del tractament:

  • Nom: El Client que contracta els serveis de Coneix segons s’estableix al contracte de prestació de serveis subscrit entre ambdues parts.

  • Direcció: Segons s’especifica al contracte de prestació de serveis subscrit entre ambdues parts.

  • Departament/persona de referència: Segons s’especifica al contracte de prestació de serveis subscrit entre ambdues parts

  • Nom, càrrec i dades de contacte de la persona de contacte: Segons s’especifica al contracte de serveis subscrit entre ambdues parts

  • Data d’adhesió: Data d’entrada en vigor del contracte de prestació de serveis subscrit per ambdues parts

Per Coneix (Encarregat del tractament):

  • Nom: CONEIX Project Management S.L

  • Adreça: Carrer Orient, 49 4t 2a 08173 Sant Cugat de Vallès (Barcelona)

  • Departament / persona de referència: Segons especificat al contracte de prestació del serveis subscrits entre ambdues parts, Direcció o Sotsdirecció de Coneix

  • Càrrec i dades de contacte de la persona de contacte: 


    • Responsable de Seguretat i Protecció de Dades Personals
    • rgpd@coneix.com

ANNEX II. Descripció del tractament

Categories dels interessats:

  • Usuaris de l’aplicació SaaS ERP Coneix, contractats pel Client sota els Termes i Condicions de l’Acord de Servei.
  • Persones treballadores dels clients – proveïdors de l’empresa que contracta el servei SaaS ERP Coneix
  • Persones treballadores de l’empresa que contracta el servei SaaS ERP Coneix

Categories de les dades personals tractades:

  • Informació d’identificació personal: nom d’usuari
  • Informació de contacte personal: adreça de correu electrònic professional de l’usuari
  • Dades personals que poden estar contingudes a la documentació que s’emmagatzema a l’aplicació SaaS ERP Coneix.

Dades de categoria especial:


  • Aquest ATD no considera el tractament de dades classificades com a “dades de categoria especial” o que requereixin mesures de protecció especials.
  • El processament d’aquestes dades en nom del client només s’ha de realitzar amb un acord previ entre ambdues parts i després d’haver realitzat una avaluació d’impacte de protecció de dades adequada abans del tractament.

Naturalesa del tractament


  • Donades les finalitats i la naturalesa dels serveis que presta el programari com a servei, les úniques dades personals requerides que són tractades expressament per Coneix en nom del responsable del tractament són les dades identificatives dels usuaris.
  • Coneix considera que no disposa d’instruccions per tractar aquelles dades personals que circumstancialment poguessin estar incloses en els continguts gestionats pel Client.
  • Qualsevol dada personal addicional que sigui processada per Coneix en nom del Client s’ha d’acordar com una esmena d’aquest ATD.

Finalitat/s del tractament de les dades personals per compte del responsable del tractament


  • Allotjament de dades i comunicacions de dades, generades mitjançant l’ús l’ERP Coneix com a SaaS, per part dels usuaris finals del Client.

Durada del tractament


  • Aquest ATD s’aplica durant la durada de la prestació del servei segons s’estableix en l’Acord de servei relacionat.
  • Després de la finalització del contracte, el processador mantindrà les seves obligacions respecte a les dades processadores d’acord amb el període determinat per la política de retenció de dades descrita en els Contractes de servei.

Terminis de conservació de la informació


  • S’estableix que l’encarregat del tractament conservarà les dades mentre estigui en vigor el contracte de servei subscrit per ambdues parts.
  • Abans de *DATA FINALITZACIÓ CONTRACTE* Coneix sol·licita al client confirmació per correu de si es vol guardar o no una copia de seguretat de la seva instal·lació de Coneix, al repositori de Coneix. En cas de que no es vulgui a *DATA FINALITZACIÓ CONTRACTE* Coneix eliminarà definitivament totes les dades d’instal·lació i backup.
  • D’acord amb els terminis estipulats en el contracte de servei i/o els Termes i Condicions generals de Contractació, a *DATA FINALITZACIÓ CONTRACTE*, Coneix eliminarà definitivament les dades contingudes en les seves bases de dades, excepte en aquelles circumstàncies en què puguin derivar-se obligacions legals o responsabilitats de l’execució de la prestació del servei, cas en el qual Coneix podrà conservar una còpia, amb les dades degudament bloquejades, fins al cessament d’aquestes responsabilitats o obligacions.

 

ANNEX III. Mesures tècniques i organitzatives per garantir la seguretat de les dades

Coneix aplica les mesures de seguretat tècniques i organitzatives necessàries per garantir un nivell adequat de seguretat de la informació per tal de protegir la confidencialitat de les dades personals, així com protegir-les contra la destrucció accidental o il•lícita o la pèrdua accidental, alteració, divulgació o accés no autoritzat, tenint en compte la naturalesa, l’abast, el context i la finalitat del tractament, així com els riscos per als drets i llibertats de les persones físiques.

Coneix posa a disposició dels seus clients la Política de seguretat dels serveis https://coneix.com/politica-seguridad-servicios en la qual es proporciona un major detall de les mesures implantades.

D’altra banda, el Client és responsable de la implantació i manteniment de les mesures de seguretat i protecció de les dades personals pertinents com a usuari dels Serveis en aquells aspectes que estan sota el seu control.

ANNEX IV. Llista de Sotsencarregats

Llista de sotsencarregats d’acord amb la clàusula 6.7 (a)


La  informació dels sotsencarregats es proporciona amb el següent format als clients, potencials clients o persones amb un legítim interès que ho sol·licitin:

Nom sotsencarregat

Descripció del tractament

Localització geogràfica del tractament

Adreça de contacte

Garanties aportades