De conformidad con el artículo 28, apartado 3, del Reglamento 2016/679 (Reglamento General de Protección de Datos) en relación con el tratamiento de datos personales por parte del encargado del tratamiento. El acuerdo de encargo del tratamiento entra en vigor cuando usted queda dado de alta como cliente en la plataforma Evofleet.
El acuerdo se celebra entre el Cliente (en adelante, «el responsable del tratamiento») y Evofleet ApS, CVR 43560433, St. Sct. Mikkels Gade 7, 8800 Viborg, Dinamarca (en adelante, «el encargado del tratamiento»), cada uno de los cuales constituye una «parte» y que conjuntamente forman «las partes».
Las partes han acordado las siguientes cláusulas contractuales tipo (las Cláusulas) con el fin de cumplir el Reglamento General de Protección de Datos y garantizar la protección de la intimidad y de los derechos y libertades fundamentales de las personas físicas.
Estas Cláusulas establecen los derechos y las obligaciones del encargado del tratamiento cuando este lleva a cabo el tratamiento de datos personales por cuenta del responsable del tratamiento.
Estas Cláusulas se han elaborado con el fin de que las partes cumplan el artículo 28, apartado 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
En relación con la prestación de la plataforma en línea de Evofleet, el encargado del tratamiento trata datos personales por cuenta del responsable del tratamiento de conformidad con estas Cláusulas.
Las Cláusulas prevalecen sobre cualesquiera disposiciones equivalentes contenidas en otros acuerdos entre las partes.
Estas Cláusulas van acompañadas de cuatro anexos, que forman parte integrante de las Cláusulas.
El Anexo A contiene información detallada sobre el tratamiento de datos personales, incluidos el fin y la naturaleza del tratamiento, el tipo de datos personales, las categorías de interesados y la duración del tratamiento.
El Anexo B contiene las condiciones del responsable del tratamiento para el uso de subencargados por parte del encargado del tratamiento y una lista de los subencargados cuyo uso ha autorizado el responsable del tratamiento.
El Anexo C contiene las instrucciones del responsable del tratamiento en lo que respecta al tratamiento de datos personales por parte del encargado del tratamiento, una descripción de las medidas de seguridad que el encargado del tratamiento debe implementar como mínimo, y la forma en que se supervisa al encargado del tratamiento y a los eventuales subencargados.
Las Cláusulas, junto con sus anexos, deberán conservarse por escrito, incluido en formato electrónico, por ambas partes.
Estas Cláusulas no eximen al encargado del tratamiento de las obligaciones que le impone el Reglamento General de Protección de Datos o cualquier otra legislación.
El responsable del tratamiento es responsable de garantizar que el tratamiento de datos personales se realice de conformidad con el Reglamento General de Protección de Datos (véase el artículo 24 del Reglamento), las disposiciones en materia de protección de datos de otras normas del Derecho de la Unión o del Derecho nacional de los Estados miembros y estas Cláusulas.
El responsable del tratamiento tiene el derecho y la obligación de adoptar decisiones sobre los fines y los medios con los que puede realizarse el tratamiento de datos personales.
El responsable del tratamiento es responsable, entre otras cosas, de garantizar que exista una base jurídica para el tratamiento de datos personales que se instruye realizar al encargado del tratamiento.
El encargado del tratamiento solo podrá tratar datos personales siguiendo instrucciones documentadas del responsable del tratamiento, salvo que así lo exija el Derecho de la Unión o el Derecho nacional de los Estados miembros al que esté sujeto el encargado del tratamiento. Estas instrucciones deberán especificarse en los Anexos A y C. El responsable del tratamiento también podrá impartir instrucciones posteriores mientras se realiza el tratamiento de datos personales, pero estas deberán estar siempre documentadas y conservarse por escrito, incluido en formato electrónico, junto con estas Cláusulas.
El encargado del tratamiento informará de inmediato al responsable del tratamiento si, en su opinión, alguna instrucción infringe este Reglamento o las disposiciones en materia de protección de datos de otras normas del Derecho de la Unión o del Derecho nacional de los Estados miembros.
El encargado del tratamiento solo podrá dar acceso a los datos personales que se traten por cuenta del responsable del tratamiento a las personas que estén sujetas a la autoridad de instrucción del encargado del tratamiento, que se hayan comprometido a respetar la confidencialidad o que estén sujetas a una obligación legal de secreto adecuada, y únicamente en la medida necesaria. La lista de personas a las que se haya concedido acceso deberá revisarse de forma periódica. Sobre la base de dicha revisión, podrá cerrarse el acceso a los datos personales cuando este ya no sea necesario, y, en tal caso, los datos personales dejarán de estar disponibles para dichas personas.
El encargado del tratamiento deberá, a petición del responsable del tratamiento, poder demostrar que las personas en cuestión que están sujetas a su autoridad de instrucción están sujetas a la obligación de secreto antes mencionada.
El artículo 32 del Reglamento General de Protección de Datos establece que el responsable del tratamiento y el encargado del tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento de que se trate, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de protección adecuado a dichos riesgos.
El responsable del tratamiento deberá evaluar los riesgos para los derechos y libertades de las personas físicas que entraña el tratamiento e implementar medidas para hacer frente a dichos riesgos. En función de su relevancia, ello puede incluir:
Con arreglo al artículo 32 del Reglamento, el encargado del tratamiento deberá también —de forma independiente del responsable del tratamiento— evaluar los riesgos para los derechos de las personas físicas que entraña el tratamiento e implementar medidas para hacer frente a dichos riesgos. A efectos de esta evaluación, el responsable del tratamiento deberá poner a disposición del encargado del tratamiento la información necesaria que le permita identificar y evaluar tales riesgos.
Además, el encargado del tratamiento deberá asistir al responsable del tratamiento en el cumplimiento de la obligación que le incumbe en virtud del artículo 32 del Reglamento, entre otras cosas poniendo a disposición del responsable del tratamiento la información necesaria relativa a las medidas técnicas y organizativas de seguridad que el encargado del tratamiento ya haya implementado en virtud del artículo 32 del Reglamento, así como cualquier otra información necesaria para que el responsable del tratamiento cumpla su obligación en virtud del artículo 32 del Reglamento.
Si para hacer frente a los riesgos identificados —según la evaluación del responsable del tratamiento— se requiere la implementación de medidas adicionales a las que el encargado del tratamiento ya haya implementado, el responsable del tratamiento deberá indicar en el Anexo C las medidas adicionales que deban implementarse.
El encargado del tratamiento deberá cumplir las condiciones a que se refieren el artículo 28, apartados 2 y 4, del Reglamento General de Protección de Datos para recurrir a otro encargado del tratamiento (un subencargado).
Por consiguiente, el encargado del tratamiento no podrá recurrir a un subencargado para el cumplimiento de estas Cláusulas sin la autorización general previa por escrito del responsable del tratamiento.
El encargado del tratamiento dispone de la autorización general del responsable del tratamiento para recurrir a subencargados. El encargado del tratamiento deberá informar por escrito al responsable del tratamiento de cualquier cambio previsto relativo a la incorporación o sustitución de subencargados con al menos un mes de antelación, dando así al responsable del tratamiento la posibilidad de oponerse a tales cambios antes de recurrir al subencargado o subencargados de que se trate. En el Anexo B podrá indicarse un plazo de preaviso más amplio para actividades de tratamiento específicas. La lista de subencargados que el responsable del tratamiento ya ha autorizado figura en el Anexo B.
Cuando el encargado del tratamiento recurra a un subencargado en relación con la realización de actividades de tratamiento específicas por cuenta del responsable del tratamiento, deberá imponer a dicho subencargado, mediante un contrato u otro acto jurídico con arreglo al Derecho de la Unión o al Derecho nacional de los Estados miembros, las mismas obligaciones de protección de datos que las establecidas en estas Cláusulas, estableciéndose en particular las garantías necesarias de que el subencargado aplicará las medidas técnicas y organizativas de manera que el tratamiento cumpla los requisitos de estas Cláusulas y del Reglamento General de Protección de Datos.
Por consiguiente, el encargado del tratamiento es responsable de exigir que el subencargado cumpla, como mínimo, las obligaciones que incumben al encargado del tratamiento en virtud de estas Cláusulas y del Reglamento General de Protección de Datos.
El acuerdo o los acuerdos con el subencargado y cualesquiera modificaciones posteriores de los mismos se enviarán —a petición del responsable del tratamiento— en copia al responsable del tratamiento, que tendrá así la posibilidad de asegurarse de que se han impuesto al subencargado obligaciones de protección de datos equivalentes a las que se derivan de estas Cláusulas. Las disposiciones sobre condiciones comerciales que no afecten al contenido jurídico en materia de protección de datos del acuerdo con el subencargado no deberán enviarse al responsable del tratamiento.
Si el subencargado no cumple sus obligaciones de protección de datos, el encargado del tratamiento seguirá siendo plenamente responsable ante el responsable del tratamiento del cumplimiento de las obligaciones del subencargado. Esto no afecta a los derechos de los interesados que se derivan del Reglamento General de Protección de Datos, en particular de los artículos 79 y 82 del Reglamento, frente al responsable del tratamiento y al encargado del tratamiento, incluido el subencargado.
Cualquier transferencia de datos personales a terceros países u organizaciones internacionales solo podrá ser realizada por el encargado del tratamiento sobre la base de instrucciones documentadas a tal efecto del responsable del tratamiento y deberá realizarse siempre de conformidad con el capítulo V del Reglamento General de Protección de Datos.
Si la transferencia de datos personales a terceros países u organizaciones internacionales que el responsable del tratamiento no haya instruido realizar al encargado del tratamiento es exigida por el Derecho de la Unión o por el Derecho nacional de los Estados miembros al que esté sujeto el encargado del tratamiento, este deberá informar al responsable del tratamiento de dicha exigencia legal antes del tratamiento, salvo que ese Derecho prohíba dicha información por razones importantes de interés público.
Por tanto, sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no podrá, en el marco de estas Cláusulas:
Las instrucciones del responsable del tratamiento relativas a la transferencia de datos personales a un tercer país, incluida la eventual base de transferencia del capítulo V del Reglamento General de Protección de Datos en la que se fundamente la transferencia, deberán indicarse en el Anexo C.6.
Estas Cláusulas no deben confundirse con las cláusulas contractuales tipo a que se refiere el artículo 46, apartado 2, letras c) y d), del Reglamento General de Protección de Datos, y estas Cláusulas no pueden constituir una base para la transferencia de datos personales a que se refiere el capítulo V del Reglamento General de Protección de Datos.
El encargado del tratamiento asistirá, teniendo en cuenta la naturaleza del tratamiento y en la medida de lo posible, al responsable del tratamiento mediante medidas técnicas y organizativas apropiadas en el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el capítulo III del Reglamento General de Protección de Datos.
Esto implica que el encargado del tratamiento, en la medida de lo posible, deberá asistir al responsable del tratamiento en relación con el cumplimiento por parte de este de:
Además de la obligación del encargado del tratamiento de asistir al responsable del tratamiento con arreglo a la Cláusula 6.3, el encargado del tratamiento asistirá asimismo al responsable del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado del tratamiento, con:
Las partes deberán indicar en el Anexo C las medidas técnicas y organizativas necesarias con las que el encargado del tratamiento deberá asistir al responsable del tratamiento, así como el alcance y la extensión de dicha asistencia. Ello se aplica a las obligaciones que se derivan de las Cláusulas 9.1 y 9.2.
El encargado del tratamiento informará al responsable del tratamiento sin dilación indebida tras haber tenido conocimiento de que se ha producido una violación de la seguridad de los datos personales.
La notificación del encargado del tratamiento al responsable del tratamiento deberá realizarse, de ser posible, a más tardar 72 horas después de que aquel haya tenido conocimiento de la violación, de modo que el responsable del tratamiento pueda cumplir su obligación de notificar la violación de la seguridad de los datos personales a la autoridad de control competente, de conformidad con el artículo 33 del Reglamento General de Protección de Datos.
De conformidad con la Cláusula 9.2.a, el encargado del tratamiento deberá asistir al responsable del tratamiento en la notificación de la violación a la autoridad de control competente. Esto significa que el encargado del tratamiento deberá ayudar a facilitar la información que figura a continuación, que, con arreglo al artículo 33, apartado 3, deberá constar en la notificación de la violación que el responsable del tratamiento dirija a la autoridad de control competente:
Las partes deberán indicar en el Anexo C la información que el encargado del tratamiento deberá facilitar en el marco de su asistencia al responsable del tratamiento en el cumplimiento de la obligación de este de notificar la violación de la seguridad de los datos personales a la autoridad de control competente.
El Cliente es el responsable del tratamiento en lo que respecta a cualesquiera datos personales que se carguen y traten en los Servicios. El Cliente es propietario de sus propios datos en los Servicios. No obstante, los datos del Cliente se suprimen o anonimizan de forma progresiva a medida que finaliza el fin para el que fueron recogidos.
Los datos relacionados con la contabilidad podrán conservarse hasta 5 años de conformidad con la Ley de contabilidad danesa.
El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento del artículo 28 del Reglamento General de Protección de Datos y de estas Cláusulas, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del responsable del tratamiento o de otro auditor autorizado por el responsable del tratamiento.
Los procedimientos para las auditorías del responsable del tratamiento, incluidas las inspecciones, sobre el encargado del tratamiento y los subencargados se especifican con mayor detalle en los Anexos C.7 y C.8.
El encargado del tratamiento está obligado a dar a las autoridades de control que, con arreglo a la legislación aplicable, tengan acceso a las instalaciones del responsable del tratamiento o del encargado del tratamiento, o a los representantes que actúen por cuenta de la autoridad de control, acceso a las instalaciones físicas del encargado del tratamiento previa identificación adecuada.
Las partes podrán acordar otras disposiciones relativas al servicio sobre el tratamiento de datos personales referentes, por ejemplo, a la responsabilidad por daños, siempre que dichas disposiciones no contravengan, directa o indirectamente, las Cláusulas ni menoscaben los derechos y libertades fundamentales del interesado que se derivan del Reglamento General de Protección de Datos.
Las Cláusulas entran en vigor en la fecha de la firma de ambas partes.
Cualquiera de las partes podrá exigir la renegociación de las Cláusulas si así lo justifican modificaciones legislativas o inconvenientes en las Cláusulas.
Las Cláusulas estarán vigentes mientras dure el servicio relativo al tratamiento de datos personales. Durante este período, las Cláusulas no podrán resolverse, salvo que las partes acuerden otras disposiciones que regulen la prestación del servicio relativo al tratamiento de datos personales.
Si cesa la prestación de los servicios relativos al tratamiento de datos personales y los datos personales han sido suprimidos o devueltos al responsable del tratamiento de conformidad con la Cláusula 11.1 y el Anexo C.4, las Cláusulas podrán resolverse mediante preaviso por escrito de cualquiera de las partes.
Este acuerdo forma parte de nuestras condiciones y, al darse de alta como cliente, estas se aceptan, considerándose así el acuerdo aprobado por el cliente.
Las partes podrán ponerse en contacto entre sí a través de las personas de contacto que se indican a continuación.
Las partes están obligadas a informarse mutuamente de forma continua sobre los cambios relativos a las personas de contacto.
El responsable del tratamiento puede ponerse en contacto con el encargado del tratamiento por correo electrónico en hello@evofleet.com o llamando al 70 604 604. El encargado del tratamiento puede ponerse en contacto con el responsable del tratamiento por correo electrónico o teléfono.
Los datos personales se utilizan para el alta de clientes, la creación de contratos de arrendamiento (leasing), la fianza solidaria, las evaluaciones de solvencia, las liquidaciones finales y la facturación.
El encargado del tratamiento pone a disposición del responsable del tratamiento un portal y un portal de clientes para los clientes del responsable del tratamiento.
Nombre, dirección de correo electrónico, número de teléfono, dirección, número de permiso de conducir, n.º de CPR (el CPR solo se utiliza en caso de fianza solidaria).
El responsable del tratamiento y sus clientes.
El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento podrá iniciarse tras la entrada en vigor de estas Cláusulas. El tratamiento durará hasta que se resuelva un acuerdo.
A la entrada en vigor de las Cláusulas, el responsable del tratamiento ha autorizado el uso de los siguientes subencargados:
A la entrada en vigor de las Cláusulas, el responsable del tratamiento ha autorizado el uso de los subencargados antes mencionados para la actividad de tratamiento descrita. El encargado del tratamiento no podrá —sin la autorización por escrito del responsable del tratamiento— recurrir a un subencargado para una actividad de tratamiento distinta de la descrita y acordada, ni recurrir a otro subencargado para esta actividad de tratamiento.
El tratamiento de datos personales por parte del encargado del tratamiento por cuenta del responsable del tratamiento se realiza llevando a cabo el encargado del tratamiento lo siguiente: El responsable del tratamiento da de alta al cliente en la plataforma. A continuación, se crea un contrato de arrendamiento (leasing) que se envía al cliente por correo electrónico.
El responsable del tratamiento podrá exigir una fianza solidaria a un cliente. Esto significa que, en tales casos, se almacenarán datos del n.º de CPR en la plataforma.
El encargado del tratamiento tiene el derecho y la obligación de adoptar decisiones sobre qué medidas técnicas y organizativas de seguridad deben implementarse para establecer el nivel de seguridad necesario (y acordado).
No obstante, el encargado del tratamiento deberá —en todo caso y como mínimo— implementar las siguientes medidas, acordadas con el responsable del tratamiento:
El encargado del tratamiento deberá, en la medida de lo posible —dentro del alcance y la extensión acordados—, asistir al responsable del tratamiento de conformidad con las Cláusulas 9.1 y 9.2 mediante la implementación de las medidas técnicas y organizativas necesarias.
Al cesar el servicio relativo al tratamiento de datos personales, el encargado del tratamiento deberá suprimir o devolver los datos personales de conformidad con la Cláusula 11.1, salvo que el responsable del tratamiento —tras la firma de estas Cláusulas— haya modificado su elección original. Tales modificaciones deberán estar documentadas y conservarse por escrito, incluido en formato electrónico, junto con las Cláusulas.
El tratamiento de los datos personales comprendidos en las Cláusulas no podrá realizarse, sin la autorización previa por escrito del responsable del tratamiento, en lugares distintos de los siguientes: El tratamiento se realiza en los centros de datos de Amazon Web Services en Frankfurt y Stockholm.
Los datos personales no se transfieren a terceros países fuera de la UE.
El presente acuerdo de encargo del tratamiento se rige por el Derecho danés. El acuerdo se ofrece en varios idiomas como un servicio para el cliente. En caso de discrepancia o controversia entre las versiones lingüísticas, prevalecerá la versión danesa.