Acuerdo sobre el procesamiento de datos (AVV]
de acuerdo con el Art. 28, párrafo 3 del Reglamento General de Protección de Datos (RGPD]
§ 1 Objeto y duración del encargo
(1] Este acuerdo regula los derechos y obligaciones de las partes en relación con el tratamiento de datos personales por parte del contratista (encargado del tratamiento] por encargo del cliente (responsable]. Se aplica a todas las actividades en las que los empleados del contratista o terceros encargados por él puedan entrar en contacto con datos personales del responsable.
(2] La duración de este acuerdo se rige por la duración del contrato principal sobre el uso del software "BusWay". Finaliza automáticamente con la terminación del contrato principal, a menos que existan obligaciones legales de conservación.
§ 2 Tipo y finalidad del tratamiento
(1] El encargado del tratamiento pone a disposición del responsable una plataforma de Software como Servicio (SaaS]. El tratamiento incluye la recopilación, el almacenamiento, la evaluación y la puesta a disposición de datos para apoyar los procesos operativos.
(2] La finalidad del tratamiento es la instrucción digital de la Route/Line, la navegación del personal de conducción, la gestión de la información de las rutas y la garantía técnica del funcionamiento del software.
§ 3 Tipo de datos y círculo de interesados
(1] Categorías de interesados: Empleados del cliente (conductores, planificadores, administradores].
(2] Tipo de datos personales tratados:
- Datos de identificación (nombre de usuario, dirección de correo electrónico, nombre y apellidos].
- Datos de ubicación y movimiento (coordenadas GPS durante el uso activo de la aplicación, historiales de rutas].
- Metadatos del dispositivo (dirección IP, ID del dispositivo, versión del sistema operativo, versión de la aplicación].
- Datos de uso (marcas de tiempo de los inicios de sesión, rutas creadas o recorridas, registros de sincronización].
§ 4 Obligaciones del encargado del tratamiento
(1] El encargado del tratamiento tratará los datos personales exclusivamente en el marco de los acuerdos alcanzados y siguiendo las instrucciones del responsable, a menos que esté obligado a otro tratamiento por disposiciones legales.
(2] El encargado del tratamiento garantiza que todas las personas autorizadas a tratar los datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de secreto adecuada.
(3] El encargado del tratamiento adoptará todas las medidas necesarias de conformidad con el Art. 32 RGPD (Seguridad del tratamiento] para garantizar un nivel de protección adecuado al riesgo.
(4] El encargado del tratamiento apoyará al responsable en el cumplimiento de las obligaciones mencionadas en los Art. 32 a 36 RGPD (por ejemplo, notificación de violaciones de la protección de datos personales] en la medida de lo posible.
§ 5 Obligaciones del responsable
(1] El responsable es el único responsable de la evaluación de la admisibilidad del tratamiento de conformidad con el Art. 6, apartado 1, RGPD, así como de la salvaguarda de los derechos de los interesados (por ejemplo, información a los empleados sobre el seguimiento por GPS].
(2] El responsable imparte sus instrucciones generalmente mediante el uso de las funciones del software (por ejemplo, creación o eliminación de usuarios]. Las instrucciones verbales deberán confirmarse inmediatamente por escrito o en forma de texto (correo electrónico].
§ 6 Medidas técnicas y organizativas (TOM]
(1] El encargado del tratamiento ha adoptado medidas técnicas y organizativas adecuadas para proteger los datos contra el acceso no autorizado, la pérdida o la modificación.
- Confidencialidad: Cifrado de la transmisión de datos (SSL/TLS], protección con contraseña (Hashing], controles de acceso.
- Integridad: Control de entrada, registro de accesos al sistema, separación de datos de clientes (separación lógica].
- Disponibilidad: Copias de seguridad periódicas, infraestructura de servidores redundante, planes de emergencia (recuperación ante desastres].
- Resiliencia: Uso de infraestructuras de nube escalables y revisión periódica de la seguridad del sistema.
§ 7 Relaciones de subencargo
(1] El responsable otorga al encargado del tratamiento la autorización general para recurrir a otros encargados del tratamiento (subcontratistas] para el cumplimiento de las obligaciones contractuales.
(2] El encargado del tratamiento informará al responsable de cualquier cambio previsto en relación con la incorporación o la sustitución de otros encargados del tratamiento. El responsable tiene derecho a oponerse.
(3] Los subcontratistas actualmente utilizados se enumeran en el anexo de este contrato.
§ 8 Derechos de control
(1] El responsable tiene derecho a comprobar el cumplimiento de las disposiciones legales y de las normas de este contrato por parte del encargado del tratamiento en una medida razonable. Dado que se trata de una solución SaaS, la prueba puede aportarse prioritariamente mediante certificados o dictámenes de terceros independientes.
§ 9 Supresión y devolución de datos
(1] Una vez finalizada la prestación de los servicios de tratamiento, el encargado del tratamiento suprimirá todos los datos personales o los devolverá al responsable, a menos que exista una obligación legal de conservación.
§ 10 Disposiciones finales
(1] Si alguna parte de este acuerdo fuera inválida, esto no afectará a la validez de las restantes disposiciones.
(2] Se aplicará el derecho de la República Federal de Alemania. El fuero competente es el domicilio social del encargado del tratamiento.
El encargado del tratamiento utiliza los siguientes proveedores de servicios para el cumplimiento de su prestación:
| Servicio | Proveedor de servicios | Ubicación del servidor |
|---|---|---|
| Alojamiento, base de datos y backend | Strato AG | Berlín / Karlsruhe, DE |
| Datos de mapas y geocodificación | Google Cloud EMEA | Dublín, IE (UE] |
| Revendedor / Comerciante registrado | Paddle.com Market Ltd | Londres, UK (Decisión de adecuación] |