[Fecha]

Alternativa 1: Servicio y asistencia

Alternativa 2: Funcionamiento de los sistemas del cliente Alternativa 3: Alojamiento de los sistemas del cliente, Alternativa 4: Análisis,

Alternativa 5: Alojamiento in situ

Alternativa 6: Integración y conversión de datos

ACUERDO DE ENCARGO DEL TRATAMIENTO

A los efectos del artículo 28, apartado 3, del Reglamento 2016/679 (RGPD) entre

[Nombre de cliente] [Dirección]

[Código postal y Ciudad] CVR: [N.º CVR]

(el responsable del tratamiento) y

Kamstrup A/S ▇▇▇▇▇▇▇▇▇▇▇ ▇▇ Stilling

8660 Skanderborg

CVR N.º 21248118

(encargado del tratamiento)

cada uno una «parte» y conjuntamente «las partes»

HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de cumplir los requisitos del RGPD y garantizar la protección de los derechos del interesado.

Índice:

1. Preámbulo 3

2. Derechos y obligaciones del responsable del tratamiento 4

3. El encargado del tratamiento actúa con arreglo a instrucciones 5

4. Confidencialidad 6

5. Seguridad del tratamiento. 6

6. Utilización de subencargados. 8

7. Transferencia de datos a terceros países o a organizaciones internacionales. 10

8. Asistencia al responsable del tratamiento 11

9. Notificación de violación de datos personales 13

10. Supresión y devolución de datos 14

11. Auditoría e inspección 14

12. El acuerdo de las partes sobre otras cláusulas 15

13. Entrada en vigor y terminación 15

14. Firma 17

Apéndice A Información sobre el tratamiento 18

Apéndice B Subencargados autorizados 21

Apéndice C Instrucciones relativas a la utilización de datos personales 30

Apéndice D Acuerdos de las partes sobre otras cuestiones 38

1. Preámbulo‌

1.1 Las presentes Cláusulas Contractuales (las Cláusulas) establecen los derechos y obligaciones del responsable del tratamiento y del encargado del tratamiento cuando este último trata datos personales en nombre del responsable del tratamiento, con sujeción a la prestación de servicios acordada entre las Partes (en lo sucesivo, el "Contrato Principal"). Para evitar dudas, el Contrato Principal puede referirse a un acuerdo firmado y negociado entre las Partes, así como a la prestación de servicios en condiciones estándar).

1.2 Las Cláusulas se han estipulado para garantizar el cumplimiento por las partes del artículo 28, apartado 3, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 ▇▇ ▇▇▇▇▇ de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

1.3 En el contexto de la prestación de la Alternativa 1: Servicio y asistencia Alternativa 2: Funcionamiento de los sistemas del cliente Alternativa 3: Alojamiento de los sistemas del cliente, Alternativa 4: Análisis, Alternativa 5: Alojamiento in situ, Alternativa 6: Integración y conversión de datos para el [sistema OMNIA/sistema READy] el encargado del tratamiento tratará los datos personales en nombre del responsable del tratamiento de conformidad con las Cláusulas.

1.4 Las Cláusulas prevalecerán sobre cualesquiera disposiciones similares contenidas en otros acuerdos entre las partes.

1.5 Cuatro apéndices se adjuntan a las Cláusulas y forman parte integrante de estas.

1.6 El apéndice A contiene información sobre el tratamiento de datos personales, incluidas la finalidad y la naturaleza del tratamiento, el tipo de datos personales, las categorías de los datos objeto de tratamiento y la duración del tratamiento.

1.7 El apéndice B contiene las condiciones del responsable del tratamiento para el uso por parte del encargado del tratamiento de subencargados del tratamiento y una lista de subencargados autorizados por el responsable del tratamiento de datos.

1.8 El apéndice C contiene las instrucciones del responsable del tratamiento relativas al tratamiento de datos personales, las medidas mínimas de seguridad que debe aplicar el encargado del tratamiento y el modo en que deben realizarse las auditorías del encargado del tratamiento y de los subencargados.

1.9 El apéndice D contiene disposiciones para otras actividades que no se contemplan en las Cláusulas.

1.10 Ambas partes conservarán las presentes Cláusulas y sus apéndices por escrito, inclusive por vía electrónica.

1.11 Las Cláusulas no eximirán al encargado del tratamiento de las obligaciones a las que esté sujeto como tal de conformidad con el Reglamento general de protección de datos (el RGPD) u otra legislación.

2. Derechos y obligaciones del responsable del tratamiento‌

2.1 El responsable del tratamiento es responsable de garantizar que el tratamiento de datos de carácter personal se lleve a cabo con arreglo al RGPD (véase el artículo 24 de este Reglamento), las disposiciones aplicables sobre protección de datos de la UE o de los Estados miembros1 y las presentes Cláusulas.

2.2 El responsable del tratamiento tiene el derecho y el deber de adoptar decisiones sobre la finalidad y los medios del tratamiento de datos personales.

2.3 El responsable del tratamiento será responsable, entre otras cuestiones, de garantizar que el tratamiento de datos personales que se encomiende al encargado del tratamiento cuente con base jurídica.

3. El encargado del tratamiento actúa con arreglo a instrucciones‌

3.1 El encargado del tratamiento tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable del tratamiento, a menos que esté obligado a hacerlo por el Derecho de la Unión o del Estado miembro al que esté sujeto el encargado del tratamiento. Dichas instrucciones se especificarán en los apéndices A y

C. El responsable del tratamiento podrá también dar instrucciones posteriores a lo largo de todo el período de tratamiento de los datos personales, pero estas instrucciones siempre se documentarán y se mantendrán por escrito, también por vía electrónica, en relación con las Cláusulas.

3.2 El encargado del tratamiento informará inmediatamente al responsable del tratamiento si las instrucciones dadas por el responsable del tratamiento, en opinión del encargado del tratamiento, contravienen el

1 Las referencias a los “Estados Miembros” que figuran en las presentes Cláusulas deben entenderse como referencias a los “Estados miembros del EEE”.

RGPD o las disposiciones aplicables en materia de protección de datos de la UE o de los Estados miembros.

4. Confidencialidad‌

4.1 El encargado del tratamiento solo concederá el acceso a los datos personales tratados en nombre del responsable del tratamiento a personas bajo la autoridad del encargado del tratamiento que se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad y solo si necesitan conocerlos. La lista de personas a quienes se haya concedido el acceso debe ser objeto de revisiones periódicas. Sobre la base de esta revisión, podrá retirarse dicho acceso a los datos personales si el acceso ya no es necesario, y, en consecuencia, esas personas ya no podrán acceder a los datos personales.

4.2 El encargado del tratamiento deberá demostrar a petición del responsable del tratamiento que las personas afectadas bajo la autoridad del encargado del tratamiento están sujetas a la confidencialidad antes mencionada.

5. Seguridad del tratamiento.‌

5.1 El artículo 32 del RGPD estipula que, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

5.2 El responsable del tratamiento evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará

medidas para mitigarlos. En función de su pertinencia, las medidas podrán incluir las siguientes:

a. La seudonimización y el cifrado de datos personales;

b. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

5.3 Con arreglo al artículo 32 del RGPD, el encargado del tratamiento también, con independencia del responsable del tratamiento, evaluará los riesgos para los derechos y libertades de las personas físicas inherentes al tratamiento y aplicará medidas para mitigarlos. A tal efecto, el responsable del tratamiento facilitará al encargado del tratamiento toda la información necesaria para identificar y evaluar tales riesgos.

5.4 Además, el encargado del tratamiento ayudará al responsable del tratamiento de los datos a garantizar el cumplimiento de las obligaciones que incumben al responsable del tratamiento en virtud del artículo 32 del RGPD, entre otras cosas, facilitando al responsable del tratamiento de datos información sobre las medidas técnicas y organizativas ya aplicadas por el encargado del tratamiento con arreglo al artículo 32 del RGPD, junto con cualquier otra información necesaria

para que el responsable del tratamiento cumpla la obligación derivada del artículo 32 del RGPD que le concierne.

Si posteriormente, en la evaluación del responsable del tratamiento, la mitigación de los riesgos detectados requiere que el encargado del tratamiento aplique otras medidas además de las que este ya haya aplicado con arreglo al artículo 32 del RGPD, el responsable del tratamiento especificará las medidas adicionales que deban aplicarse en el apéndice C.

6. Utilización de subencargados.‌

6.1 El encargado del tratamiento deberá cumplir los requisitos especificados en el artículo 28, apartados 2 y 4, del RGPD, con el fin de contratar a otro encargado (subencargado del tratamiento).

6.2 El encargado del tratamiento no deberá, por tanto, recurrir a otro encargado (subencargado) para el cumplimiento de estas Cláusulas sin la autorización general por escrito del responsable del tratamiento.

6.3 El encargado del tratamiento tiene la autorización general del responsable del tratamiento para la contratación de subencargados del tratamiento. El encargado del tratamiento deberá informar por escrito al responsable del tratamiento de cualquier cambio previsto relacionado con la adición o sustitución de subencargados, con una antelación mínima de 30 días ofreciendo, por tanto, al responsable del tratamiento la posibilidad de oponerse a dichos cambios antes de que se contrate al (a los) subencargado(s). El apéndice B puede prever plazos de preaviso mayores para determinados servicios de subtratamiento. La lista de subencargados ya autorizados por el responsable del tratamiento se encuentra en el apéndice B.

6.4 Cuando el encargado del tratamiento contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas en nombre del responsable del tratamiento, se le impondrán las mismas obligaciones de protección de datos establecidas en las Cláusulas, con arreglo a un contrato u otro acto jurídico en virtud del Derecho de la UE o del Estado miembro, en particular aportando garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas, de manera que el tratamiento sea conforme a los requisitos de las Cláusulas y del RGPD.

El encargado del tratamiento deberá, por tanto, exigir que el subencargado del tratamiento cumpla como mínimo las obligaciones a las que esté sujeto el encargado del tratamiento con arreglo a lo dispuesto en las Cláusulas y el RGPD.

6.5 A petición del responsable del tratamiento de datos se le presentará una copia del contrato con el subencargado del tratamiento y sus posteriores modificaciones, lo que brindará al responsable del tratamiento la oportunidad de garantizar que se impongan al subencargado del tratamiento las mismas obligaciones en materia de protección de datos establecidas en las Cláusulas. Las Cláusulas relativas a cuestiones comerciales que no afecten al contenido jurídico en materia de protección de datos del contrato con el subencargado del tratamiento no deberán presentarse al responsable del tratamiento de los datos.

6.6 Si el subencargado del tratamiento no cumple las obligaciones en materia de protección de datos, el encargado del tratamiento seguirá siendo plenamente responsable frente al responsable del tratamiento en lo que respecta al cumplimiento de las obligaciones del subencargado del tratamiento. Esto no afecta a los derechos de los interesados al amparo del RGPD, en particular, a los previstos en los artículos 79 y 82

del RGPD, frente al responsable del tratamiento y el encargado del tratamiento, incluido el subencargado.

7. Transferencia de datos a terceros países o a organizaciones internacionales.‌

7.1 Toda transferencia de datos personales a terceros países u organizaciones internacionales por parte del encargado del tratamiento solo se producirá sobre la base de instrucciones documentadas del responsable del tratamiento de datos y se realizará siempre de conformidad con el Capítulo V del RGPD.

7.2 En caso de que las transferencias a terceros países u organizaciones internacionales, respecto a las que el responsable del tratamiento no haya recibido instrucciones del responsable del tratamiento de datos, sean exigidas por el Derecho de la UE o de un Estado miembro al que esté sujeto el encargado del tratamiento de datos, este último informará al responsable del tratamiento de ese requisito jurídico antes del tratamiento, a menos que ese Derecho prohíba dicha información por motivos importantes de interés público.

7.3 Sin instrucciones documentadas del responsable del tratamiento, el encargado del tratamiento no puede, por tanto, en el marco de las Cláusulas:

a. transferir datos personales a un responsable o a un encargado del tratamiento de un país tercero o de una organización internacional

b. transferir el tratamiento de datos personales a un subencargado del tratamiento de un tercer país

c. que los datos personales sean tratados por el encargado del tratamiento en un tercer país

7.4 Las instrucciones del responsable del tratamiento sobre las transferencias de datos personales a un país tercero, incluida, si procede, la herramienta de transferencia en la que se basen conforme al Capítulo V del RGPD, se establecerán en el apéndice C.6.

7.5 Las Cláusulas no deben confundirse con las cláusulas tipo de protección de datos en el sentido del artículo 46, apartado 2, letras c), y d) del RGPD, y las Cláusulas no pueden ser invocadas por las partes como una herramienta de transferencia con arreglo al Capítulo V del RGPD.

8. Asistencia al responsable del tratamiento.‌

8.1 Habida cuenta de la naturaleza del tratamiento, el encargado del tratamiento ayudará al responsable del tratamiento con las medidas técnicas y organizativas apropiadas, siempre que sea posible, en el cumplimiento de las obligaciones del responsable del tratamiento de datos para responder a las solicitudes de ejercicio de los derechos de los interesados establecidas en el capítulo III del RGPD.

Esto implica que el encargado del tratamiento ayudará, en la medida de lo posible, al responsable del tratamiento de los datos en el cumplimiento por parte de este último:

a. del derecho a ser informado al recoger datos personales del interesado

b. del derecho a ser informado cuando no se hayan obtenido datos personales del interesado

c. del derecho de acceso del interesado

d. del derecho de rectificación

e. del derecho de supresión («el derecho al olvido»)

f. del derecho a la limitación del tratamiento

g. de la obligación de notificación relativa a la rectificación o supresión de datos personales o a la limitación de su tratamiento

h. del derecho a la portabilidad de los datos

i. del derecho de oposición

j. del derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles

8.2 Además de la obligación del encargado del tratamiento de ayudar al responsable del tratamiento con arreglo a la Cláusula 5.4, el encargado del tratamiento, teniendo en cuenta la naturaleza del tratamiento y la información a su disposición, ayudará al responsable del tratamiento de datos a garantizar el cumplimiento:

a. De la obligación del responsable del tratamiento de notificar la violación de los datos personales a la autoridad de control competente la obligación del responsable del tratamiento de comunicar a la autoridad de control competente sin demora indebida y, siempre que sea posible, a más tardar 72 horas después de que haya tenido constancia de ella, salvo que sea improbable que la violación de datos personales suponga un riesgo para los derechos y libertades de las personas físicas;

b. De la obligación del responsable del tratamiento de comunicar sin demora indebida la violación de datos personales al interesado, cuando sea probable que la violación de los datos personales dé lugar a un alto riesgo para los derechos y libertades de las personas físicas;

c. de la obligación del responsable del tratamiento de evaluar el impacto de las operaciones de tratamiento previstas en la protección

de datos personales (una evaluación de impacto relativa a la protección de datos);

d. de la obligación del responsable del tratamiento de consultar a la autoridad de control competente, antes de proceder al tratamiento cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable del tratamiento no toma medidas para mitigarlo.

8.3 Las partes establecerán en el apéndice C las medidas técnicas y organizativas adecuadas con las que el encargado del tratamiento deberá ayudar al responsable del tratamiento, así como el alcance y la amplitud de la asistencia necesaria. Esto se aplicará a las obligaciones previstas en las cláusulas 8.1 y 8.2.

9. Notificación de violación de datos personales‌

9.1 En caso de cualquier violación de los datos personales, el encargado del tratamiento la notificarán al responsable del tratamiento, sin dilación indebida después de que hayan tenido constancia de ella.

9.2 La notificación del encargado del tratamiento al responsable del tratamiento se realizará, de ser posible, en un plazo de 48 horas desde que el encargado hubiera tenido constancia de la violación al objeto de permitir al responsable cumplir con su obligación de informar de las violaciones de los datos personales a la autoridad de control competente, véase el artículo 33 del RGPD.

9.3 De conformidad con la cláusula 8.2.a, el encargado del tratamiento ayudará al responsable del tratamiento con la notificación de la violación de datos personales a la autoridad de control competente, en el sentido de que el encargado del tratamiento debe ayudar a obtener la información enumerada a continuación, que, de conformidad con el

artículo 33, apartado 3, del RGPD, debe figurar en la notificación del responsable del tratamiento a la autoridad de control competente:

a. la naturaleza de los datos personales, incluidos, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales en cuestión;

b. las consecuencias probables de la violación de datos personales;

c. las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de datos personales, incluidas, en su caso, medidas para mitigar sus posibles efectos negativos.

9.4 Las partes establecerán en el apéndice C los elementos que el encargado del tratamiento deberá proporcionar para ayudar al responsable del tratamiento a comunicar las violaciones a la autoridad de control.

10. Supresión y devolución de datos‌

10.1 Al finalizar la prestación de servicios de tratamiento de datos personales, el encargado del tratamiento estará obligado a suprimir todos los datos personales tratados en nombre del responsable del tratamiento y a, bajo petición, certificar al responsable del tratamiento que lo ha hecho a menos que el Derecho de la Unión o de los Estados miembros requiera el almacenamiento de los datos personales. El responsable del tratamiento podrá solicitar la devolución de los datos personales, de acuerdo con el apéndice C4, previsto más adelante.

11. Auditoría e inspección‌

11.1 El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 y en las Cláusulas, así como para permitir y contribuir a las auditorías, incluidas las inspecciones, efectuadas por el responsable del tratamiento u otro auditor contratado por el responsable del tratamiento de los datos.

11.2 Los procedimientos aplicables en las auditorías del responsable del tratamiento, incluidas las inspecciones del encargado del tratamiento y del subencargado, se especifican en los apéndices C7 y C8.

11.3 El encargado del tratamiento estará obligado a proporcionar a las autoridades de control, que, de conformidad con la legislación aplicable, tengan acceso a las instalaciones del responsable y del encargado del tratamiento, o a los representantes que actúen en nombre de dichas autoridades, el acceso a las instalaciones físicas del encargado del tratamiento previa presentación de la identificación adecuada.

12. El acuerdo de las partes sobre otras cláusulas‌

12.1 Las partes podrán acordar otras cláusulas relativas a la prestación del servicio de tratamiento de datos personales especificando, por ejemplo, la responsabilidad, siempre que no contradigan directa o indirectamente las Cláusulas o perjudiquen los derechos o libertades fundamentales del interesado y la protección concedida por el RGPD.

13. Entrada en vigor y terminación‌

13.1 Las Cláusulas entrarán en vigor en la fecha de la firma por ambas partes.

13.2 Ambas partes tendrán derecho a exigir que se renegocien las Cláusulas si los cambios en la legislación o la inconveniencia de las Cláusulas dieran lugar a dicha renegociación.

13.3 Las Cláusulas serán aplicables mientras dure la prestación de servicios de tratamiento de datos personales. Durante la vigencia de la prestación de servicios de tratamiento de datos personales, no se podrá poner fin a las Cláusulas a menos que se hayan acordado entre las partes otras Cláusulas que regulen la prestación de servicios de tratamiento de datos personales.

13.4 En caso de que se ponga fin a la prestación de servicios de tratamiento de datos personales, se supriman o se devuelvan los datos personales al responsable del tratamiento con arreglo a la Cláusula 10.1 y al apéndice C.4, cualquiera de las partes podrá poner fin a las Cláusulas mediante notificación por escrito.

14. Firma‌

En nombre del responsable del tratamiento

En nombre del encargado del tratamiento

Apéndice A Información sobre el tratamiento‌

A.1. El tratamiento de datos personales por parte del encargado del tratamiento tiene por objeto:

La finalidad de las actividades de tratamiento es llevar a cabo [alternativa…]. Alternativa 1: Servicio y asistencia

Alternativa 2: Funcionamiento de los sistemas del cliente Alternativa 3: Alojamiento de los sistemas del cliente Alternativa 5: Alojamiento in situ

Alternativa 6: Integración y conversión de datos

Consulte el Contrato Principal del que estas Cláusulas constituyen un apéndice.

A.2. El tratamiento de datos personales del encargado del tratamiento en nombre del responsable del tratamiento se referirá principalmente (naturaleza del tratamiento) a:

A.3. El tratamiento incluye los siguientes tipos de datos personales sobre los interesados:

El tratamiento de datos personales incluye los siguientes datos personales:

• Número de contador

• Dirección (opcional)

• Código postal (opcional)

• Localidad (opcional)

• Número de teléfono (opcional)

• Coordenadas GPS de los equipos instalados

• Datos de consumo

• ID del contador

• Tipo de uso

• Comentario (cuadro de texto libre, p. ej., «El cliente tiene pagos atrasados»)

A.4. El tratamiento incluye las siguientes categorías de interesados:

a) Clientes/consumidores particulares, usuarios finales de los contadores de suministros de Kamstrup

A.5. El tratamiento de los datos personales por parte del encargado del tratamiento en nombre del responsable del tratamiento podrá efectuarse al comienzo de la entrada en vigor de las presentes Cláusulas. El tratamiento tendrá la siguiente duración:

El tratamiento no tiene una duración limitada y se llevará a cabo mientras el Contrato Principal entre las partes permanezca en vigor.

Apéndice B Subencargados autorizados‌

B.1. Subencargados autorizados

Al entrar en vigor las Cláusulas, el responsable del tratamiento autoriza la contratación de los siguientes subencargados:

[Obligatorio si se celebra un acuerdo con una filial local de Kamstrup]

El encargado del tratamiento es una filial controlada al 100% por el subencargado del tratamiento del tratamiento Kamstrup A/S. ▇▇▇▇▇▇▇▇ A/S es la parte responsable general dentro del grupo Kamstrup de facilitar la prestación de servicios al responsable del tratamiento de datos.

Todos los servicios prestados al responsable del tratamiento se llevan a cabo a través de Kamstrup A/S en calidad de subencargado del tratamiento. ▇▇▇▇▇▇▇▇ A/S utiliza los siguientes subencargados del tratamiento para prestar los servicios al responsable del tratamiento. Se notificará al responsable del tratamiento cualquier cambio de los subencargados del tratamiento de Kamstrup A/S como si dichos subencargados se consideraran subencargados directos del encargado del tratamiento de datos y se conservarán los derechos y obligaciones que se describen en este Acuerdo de Encargo del Tratamiento por lo que respecta a los subencargados.

[FILIALES - PARAR]

ServiceDesk

Los casos de servicio al cliente y asistencia técnica los gestionan los empleados del grupo del encargado del tratamiento. Para garantizar el mejor servicio posible, los casos de atención al cliente pueden ser gestionados por empleados

situados en Austria, República Checa, Estonia, Dinamarca, Finlandia, Alemania, Países Bajos, Noruega, Polonia, España, Suecia, Suiza y Estados Unidos.En este sentido, se contrata a las siguientes entidades filiales del grupo en calidad de subencargados:

En cuanto a la transferencia de datos personales a EE.UU., el encargado del tratamiento utiliza las Cláusulas Contractuales Tipo como herramienta de transferencia y ha llevado a cabo Evaluaciones de Impacto relativas a la Transferencia para garantizar que se identifican y adoptan medidas complementarias.

Los empleados del grupo de encargados del tratamiento de datos que responden a las solicitudes del servicio de atención y asistencia al cliente utilizan la solución de software como servicio basada en la nube ServiceNow para gestionar las solicitudes de asistencia. En este sentido, el encargado del

tratamiento ha contratado a ServiceNow en calidad de subencargado del tratamiento:

ServiceNow Netherlands B.V utiliza los siguientes subencargados del tratamiento especificados en ▇▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇▇.▇▇▇/▇▇-▇▇/▇▇▇▇▇- kamstrup/gdpr/sub-data, entre los que se incluyen subencargados situados en terceros países. El encargado del tratamiento ha suscrito Cláusulas Contractuales Tipo como herramienta de transferencia para regular dicha transferencia y ha llevado a cabo Evaluaciones de Impacto relativas a la Transferencia para garantizar que se identifican y adoptan medidas complementarias.

El responsable del tratamiento podrá enviar datos personales a la solución ServiceNow, cuya extensión viene determinada exclusivamente por el responsable del tratamiento, y podrá incluir datos personales relativos a los interesados cubiertos por estas Cláusulas. El encargado del tratamiento podrá enviar tickets a la solución ServiceNow previa solicitud (implícita o explícita) del responsable del tratamiento.

Los tickets de servicio enviados a la plataforma ServiceNow permanecerán almacenados en servidores ubicados físicamente en Ámsterdam, Países Bajos. Las empresas del grupo ServiceNow tendrán acceso limitado a los tickets de servicio específicos aplicables a la solicitud de asistencia en cuestión.

ServiceNow no tiene acceso al sistema del cliente. [PARAR]

Alternativa 2: Operación

Applicator suministra un sistema informático que utilizan los empleados de Kamstrup que trabajen en la operación y en el que dichos empleados pueden consultar el desempeño de los contadores de los clientes. Las cifras del contador, las direcciones y, posiblemente, las notas que los clientes pueden introducir en el sistema se archivan en el sistema. Si es necesario corregir un error en el sistema (debido, por ejemplo, a que el sistema no está accesible), Applicator lo hará en el sistema.

Commentor ofrece servicios en calidad de desarrollador de integración. Previa solicitud, el departamento de Operaciones del Sistema puede conceder acceso a un servidor que aloje el componente de integración, incluidos los registros del sistema y la instalación del software. Además, previa solicitud, tienen acceso a la base de datos relacionada con el componente de integración. El tratamiento de datos personales puede realizarse como parte de las actividades relacionadas con la base de datos.

[PARAR]

Alternativa 3a: Alojamiento en el sistema READy

La administración del Sistema READy en virtud del Contrato Principal corre a cargo de los empleados del grupo del encargado del tratamiento situados en Dinamarca y Estados Unidos. En este sentido, se contratará a la siguiente entidad filial en calidad de subencargado:

El encargado del tratamiento ha suscrito Cláusulas Contractuales Tipo como herramienta de transferencia para regular la transferencia y ha llevado a cabo Evaluaciones de Impacto relativas a la Transferencia para garantizar que se identifican y adoptan medidas complementarias.

[PARAR]

Alternativa 3b: Alojamiento interno de los sistemas del cliente

IT Relation A/S utiliza los subencargados del tratamiento especificados en ▇▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇▇.▇▇▇/▇▇-▇▇/▇▇▇▇▇-▇▇▇▇▇▇▇▇/▇▇▇▇/▇▇▇-▇▇▇▇.

Alternativa 3c: Alojamiento externo de los sistemas del cliente (elegir proveedor en función del acuerdo)

IT Relation A/S utiliza los subencargados del tratamiento especificados en https://www.kamstrup.com/en-en/about-kamstrup/gdpr/sub-data.

Microsoft Ireland Operations Limited utiliza los subencargados indicados en el catálogo disponible en: https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3?command=Do wnload&downloadType=Document&downloadId=ede6342e-d641-4a9b-9162- 7d66025003b0&tab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913_Subprocessor_Listhttps://servicetrust.microsoft.com/ViewPage/ TrustDocumentsV3?command=Download&downloadType=Document&downl oadId=ede6342e-d641-4a9b-9162-7d66025003b0&tab=7f51cb60-3d6c-11e9- b2af-7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913_Subprocessor_List y según se especifica en https://www.kamstrup.com/en-en/about-kamstrup/gdpr/sub-data, que incluye subencargados situados en terceros países. Microsoft Ireland Operations Limited ha suscrito Cláusulas Contractuales Tipo como herramienta de transferencia para regular la transferencia, y el encargado del tratamiento ha llevado a cabo Evaluaciones de Impacto relativas a la Transferencia para garantizar que se identifican y adoptan medidas complementarias.

[PARAR]

Alternativa 4: Análisis

Microsoft Ireland Operations Limited utiliza los subencargados del tratamiento indicados en el catálogo disponible en: https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3?command=Do wnload&downloadType=Document&downloadId=ede6342e-d641-4a9b-9162- 7d66025003b0&tab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913_Subprocessor_List y según se especifica en https://www.kamstrup.com/en-en/about-kamstrup/gdpr/sub-data, entre los que se incluyen subencargados situados en terceros países.

Microsoft Ireland Operations Limited ha suscrito Cláusulas Contractuales Tipo como herramienta de transferencia para regular la transferencia, y el encargado del tratamiento ha llevado a cabo Evaluaciones de Impacto relativas a la Transferencia para garantizar que se identifican y adoptan medidas complementarias.

[Parar]

Alternativa 5: Alojamiento in situ

En relación con el alojamiento in situ previsto en el Contrato Principal, el responsable del tratamiento de datos podrá utilizar los siguientes subencargados del tratamiento:

Microsoft Ireland Operations Limited es el proveedor del servidor proxy y router de Kamstrup. El uso del servidor proxy y del router incluye la transmisión de datos.

Microsoft Ireland Operations Limited utiliza los subencargados del tratamiento indicados en el catálogo disponible en: https://servicetrust.microsoft.com/ViewPage/TrustDocumentsV3?command=Do wnload&downloadType=Document&downloadId=ede6342e-d641-4a9b-9162- 7d66025003b0&tab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913&docTab=7f51cb60-3d6c-11e9-b2af- 7bb9f5d2d913_Subprocessor_List y según se especifica en https://www.kamstrup.com/en-en/about-kamstrup/gdpr/sub-data, entre los que se incluyen subencargados situados en terceros países.

Microsoft Ireland Operations Limited ha suscrito Cláusulas Contractuales Tipo como herramienta de transferencia para regular la transferencia, y el encargado del tratamiento ha llevado a cabo Evaluaciones de Impacto relativas a la Transferencia para garantizar que se identifican y adoptan medidas complementarias.

[PARAR]

Alternativa 6: Integración y conversión de datos

En relación con los servicios de instalación previstos en el Contrato Principal, el encargado del tratamiento de datos podrá utilizar los siguientes subencargados del tratamiento:

El objetivo de BizBrains es la integración y conversión de datos. BizBrains es proveedor del sistema Link, un EDI (intercambio electrónico de datos). El

sistema Link se emplea para convertir el formato de exportación de READy en un formato de distribución compatible con el gestor READy del cliente.

[Parar]

El responsable del tratamiento autorizará, al inicio de la vigencia de las Cláusulas, la utilización de los subencargados del tratamiento antes mencionados para el tratamiento descrito para dicha parte. El encargado del tratamiento no tendrá derecho, sin la autorización explícita por escrito del responsable del tratamiento, a contratar a un subencargado del tratamiento para un tratamiento «diferente» de aquel que haya sido acordado, ni a tener otro subencargado para realizar el tratamiento descrito.

B.2. Notificación previa de la autorización de los subencargados del tratamiento

El encargado del tratamiento avisará al responsable del tratamiento con 30 días de antelación de la sustitución o incorporación de un subencargado. Desde la recepción de la notificación del encargado del tratamiento, el responsable del tratamiento tendrá 14 días para oponerse al cambio, de lo contrario se considerará que acepta la incorporación o sustitución del subencargado en cuestión. Cualquier objeción del responsable del tratamiento debe ser objetiva y estar motivada.

Apéndice C Instrucciones relativas a la utilización de datos personales‌

C.1. El objeto del tratamiento/instrucciones para el tratamiento

El encargado del tratamiento realizará las actividades de tratamiento necesarias para prestar los servicios descritos en el Contrato Principal del que estas Cláusulas constituyen un apéndice.

El encargado del tratamiento podrá anonimizar los datos personales y tratar dichos datos anonimizados con fines estadísticos y para el desarrollo ulterior de las ofertas del encargado del tratamiento.

C.2. Seguridad del tratamiento

Teniendo en cuenta que los servicios prestados por el encargado del tratamiento de datos en virtud del Contrato Principal incluirán un gran volumen de información personal relativa al nombre del interesado, la dirección/ubicación, los datos de consumo, el tipo de uso, así como posibles comentarios de texto libre, se requiere un alto nivel de seguridad para todos los servicios prestados en virtud del Contrato Principal.

El encargado del tratamiento tendrá derecho y estará obligado a tomar decisiones sobre las medidas de seguridad técnicas y organizativas que se aplicarán para crear el nivel de seguridad necesario (y acordado) de los datos.

El encargado del tratamiento aplicará como mínimo las siguientes medidas acordadas con el responsable del tratamiento.

Identificación y mitigación de riesgos.

El encargado del tratamiento adoptará las medidas apropiadas para identificar, evaluar y mitigar los riesgos internos y externos razonablemente previsibles para la seguridad, la confidencialidad, la disponibilidad y/o la integridad de los datos personales tratados, y evaluará y mejorará, en caso necesario, la eficacia de dichas garantías.

Confidencialidad y control de acceso

A todos los empleados del encargado del tratamiento se les asignan identificaciones de usuario únicas que permiten o prohíben el acceso a los sistemas de la empresa del encargado del tratamiento. Cualquier acceso a los sistemas se administra a través del sistema de ITSM y el acceso requiere el permiso previo del propietario del sistema. Solo las personas autorizadas (el propietario del sistema) podrán conceder, modificar o revocar el acceso a un sistema de información que utiliza o alberga datos personales, pudiendo concederse el acceso únicamente con fines comerciales válidos.

El encargado del tratamiento de datos ha implantado procedimientos adecuados para la administración de usuarios donde se definen las funciones de los usuarios y sus privilegios, se identifica cómo se conceden, cambian y rescinden los accesos, aborda la segregación adecuada de funciones y define los requisitos y mecanismos de registro/supervisión.

El encargado del tratamiento mantiene medidas de seguridad físicas y electrónicas para crear y proteger contraseñas. Todas las contraseñas están sujetas a la política de contraseñas aplicable del encargado del tratamiento de datos, a saber, el establecimiento de requisitos sobre confidencialidad, cifrado, registro y la clasificación de todas las contraseñas como «contraseñas seguras» de al menos 14 caracteres que cumplan 3 de las 4 características siguientes:

• utilizar al menos un carácter numérico [0-9]

• utilizar al menos una letra mayúscula del alfabeto inglés [A,B,C….Z]

• utilizar al menos una letra minúscula del alfabeto inglés [a,b,c….z]

• utilizar al menos un carácter especial [~!@#$%^&*_-

+=`|\(){}[]:;”‘<>,.?/ ]

El encargado del tratamiento utiliza la autenticación multifactorial cuando procede, con el fin de reforzar la mitigación del riesgo en caso de acceso no autorizado.

Integridad y disponibilidad del sistema

El encargado del tratamiento mantiene la seguridad de la red utilizando equipos disponibles comercialmente y técnicas estándar del sector, incluidos firewalls, listas de control de acceso y protocolos de enrutamiento.

En caso de degradación o fallo de la infraestructura de información, el encargado del tratamiento aplicará planes de continuidad de negocio adecuados.

Controles de virus y malware

El encargado del tratamiento mantiene un software de protección antivirus y antimalware en su sistema de acuerdo con las buenas prácticas del sector. Todos los mensajes de correo electrónico entrantes se analizan en busca de spam o virus para mitigar los riesgos. Además, todas las estaciones de trabajo estarán sujetas a un análisis rápido de virus a diario, así como a un análisis mensual completo.

Incidentes de seguridad

Todo el personal del encargado del tratamiento de datos recibe instrucciones para notificar cualquier incidente de seguridad de la información personal observado o sospechado de conformidad con los procedimientos de notificación de incidentes pertinentes.

Seguridad física

El encargado del tratamiento mantiene sistemas de seguridad en todos los emplazamientos físicos que cuenten con un sistema de información que utilice o albergue información personal de conformidad con las buenas prácticas del sector de TI. Las áreas protegidas requieren protecciones de seguridad física adecuadas como, por ejemplo, tarjetas de acceso con control de identidad. Solo se puede proporcionar acceso a los visitantes cuando estén autorizados.

Cifrado

Se utiliza un cifrado eficaz y sólido basado en un algoritmo reconocido para la transmisión de datos personales a través de Internet y/o correo electrónico.

Formación y sensibilización

El encargado del tratamiento impartirá formación adecuada en materia de protección de datos y facilitará instrucciones sobre el tratamiento de datos personales objeto de estas Cláusulas al personal que trate los datos personales.

C.3. Asistencia al responsable del tratamiento

El encargado del tratamiento de datos, en la medida en que sea posible, dentro del ámbito y el alcance de la asistencia que se especifica a continuación,

ayudará al responsable del tratamiento de los datos de conformidad con las Cláusulas 8.1 y 8.2, aplicando las siguientes medidas:

Derechos de los interesados:

Siguiendo las instrucciones específicas y concretas del responsable del tratamiento, el encargado del tratamiento debe obtener o presentar datos personales, suprimir datos personales (incluido el backup, si es posible) o rectificar los datos personales de un interesado, y limitar el tratamiento de los datos personales de un interesado.

Si el encargado del tratamiento transmite datos personales al responsable del tratamiento, deberá hacerlo en un formato estructurado, de uso común y lectura mecánica.

El encargado del tratamiento instruye a los empleados en la gestión de los derechos de los interesados y ha implantado procedimientos sobre cómo el encargado del tratamiento debe ayudar al responsable del tratamiento a responder a las solicitudes de los interesados.

Notificación de violación de la seguridad de los datos personales

El encargado del tratamiento deberá notificar al responsable del tratamiento cualquier violación de la seguridad de los datos personales.

Si el encargado del tratamiento descubre una violación de la seguridad de los datos personales, deberá adoptar las medidas necesarias para limitar las consecuencias negativas de la violación y limitar su repetición.

El encargado del tratamiento dispone de un procedimiento para tratar las violaciones de seguridad que garantiza que el encargado del tratamiento informe al responsable del tratamiento sobre las violaciones de seguridad y promueva la cooperación de las partes para abordar la violación.

El encargado del tratamiento asistirá al responsable del tratamiento a facilitar la información necesaria para notificar la violación de la seguridad de los datos personales a la autoridad de control pertinente.

C.4. Período de almacenamiento/procedimientos de supresión

Los datos personales se almacenan durante la vigencia del Contrato Principal, con arreglo a los calendarios de conservación de datos facilitados por el responsable del tratamiento por escrito, o hasta que este solicite su supresión.

A menos que se acuerde explícitamente lo contrario con el responsable del tratamiento, 13 meses después del registro se diluirán los datos de medición y solo se almacenará un valor al día hasta que ese valor cumpla 5 años. Al cabo de 5 años, los datos volverán a diluirse de modo que solo se almacenará un valor al mes. Cuando ese valor cumpla 10 años, se eliminará.

El responsable del tratamiento de datos puede solicitar una minimización de los datos más agresiva.

Si el encargado del tratamiento no recibe instrucciones para suprimir o devolver los datos personales en los 3 meses siguientes a la terminación del Contrato Principal, el encargado del tratamiento podrá suprimir los datos del responsable del tratamiento y todas las copias de los mismos. El encargado del tratamiento envía la confirmación de la supresión al responsable del tratamiento de datos previa solicitud, véase el apartado 10.1.

C.5. Lugar del tratamiento

El tratamiento de los datos personales con arreglo a las Cláusulas no podrá efectuarse en otros lugares distintos de los propios del encargado del tratamiento, los lugares del subencargado del tratamiento, véase el Apéndice B.2., y los lugares de teletrabajo de conformidad con las políticas aplicables al encargado del tratamiento y al subencargado del tratamiento, sin la autorización previa por escrito del responsable del tratamiento. [En el caso de alojamiento:] El alojamiento tiene lugar en un centro de datos seguro o en servidores internos según lo acordado con el responsable del tratamiento.

C.6. Instrucciones sobre la transferencia de datos personales a terceros países

El responsable del tratamiento autoriza los subencargados del tratamiento y las transferencias de datos a terceros países establecidas en el apartado B.1 anterior.

La base de legitimación para las transferencias de datos a terceros países son las Cláusulas Contractuales Tipo de la UE. Las Cláusulas Contractuales Tipo no

son necesarias para las transferencias a Japón, considerado un tercer país seguro por la Agencia Danesa de Protección de Datos.

Dado que el uso de las Cláusulas Contractuales Tipo de la UE presupone que el responsable del tratamiento de datos es una parte contratante directa, el encargado del tratamiento de datos está autorizado e instruido para celebrar las cláusulas contractuales tipo antes mencionadas en nombre del responsable del tratamiento de datos. El encargado del tratamiento también tiene derecho a ceder esta autorización al subencargado del tratamiento para que este pueda celebrar dichas condiciones contractuales estándar por cuenta del encargado del tratamiento. Esto significa que el responsable del tratamiento debe considerarse un exportador de datos por lo que respecta a las Cláusulas Contractuales Tipo de la UE y que, en relación con la transferencia de datos al subencargado y a sus subencargados, el responsable del tratamiento acepta estar sujeto a las obligaciones impuestas por las Cláusulas Contractuales Tipo de la UE al exportador de datos.

Se considera que el contenido de esta instrucción y/o del acuerdo de encargo del tratamiento no modifica el contenido de las Cláusulas Contractuales Tipo de la UE.

Si el responsable del tratamiento no prevé en las Cláusulas o posteriormente en las instrucciones documentadas la transferencia de datos personales a un tercer país, por ejemplo, mediante la autorización de un nuevo subencargado o cambios en un subencargado, el encargado del tratamiento no tendrá derecho a realizar dicha transferencia en el marco de las Cláusulas.

C.7. Procedimientos para las auditorías del responsable del tratamiento, incluidas inspecciones, del tratamiento de datos personales realizado por el encargado del tratamiento

El encargado del tratamiento de datos obtendrá anualmente (a su cargo) un informe de auditoría de un contable público autorizado por el Estado sobre el cumplimiento general por parte del encargado del tratamiento de los datos de la normativa en materia de protección de datos y de las Cláusulas.

Las partes han acordado que los siguientes tipos de informes de auditoría podrán utilizarse de conformidad con las Cláusulas.

I. Un informe ISAE 3402 o ISAE 3000 o cualquier otra norma de auditoría que pueda sustituir a dichas normas

Los informes serán genéricos y se referirán a múltiples clientes gestionados por el encargado del tratamiento.

El informe del auditor se pondrá a disposición del responsable del tratamiento de datos previa solicitud. El encargado del tratamiento podrá, en cualquier momento y a su exclusiva discreción, optar por implantar un subsitio en línea que ofrezca una visión general de dichos informes con acceso del responsable del tratamiento. De implantarse dicho subsitio, el responsable del tratamiento acepta remitirse al subsitio para obtener los informes de auditoría.

Sobre la base de los resultados de dicha auditoría/inspección, el responsable del tratamiento podrá solicitar que se adopten más medidas para garantizar el cumplimiento de la normativa en materia de protección de datos, de las disposiciones aplicables en materia de protección de datos de la UE o de los Estados miembros y de las Cláusulas, excepción hecha de la remuneración acordada en el Apéndice D.

El responsable del tratamiento o su representante tendrán también acceso a las inspecciones, incluida la inspección física, a los lugares en los que el tratamiento de los datos personales sea llevado a cabo por parte del encargado del tratamiento, incluidas las instalaciones físicas, así como a los sistemas utilizados y relacionados con dicho tratamiento. Dicha inspección se llevará a cabo cuando el responsable del tratamiento lo considere necesario. Esta necesidad del responsable del tratamiento deberá ir acompañada de circunstancias objetivas y fácticas que la respalden, así como de una evaluación del riesgo facilitada al encargado del tratamiento.

Los costes del responsable del tratamiento, si procede, relativos a la inspección física correrán a cargo del responsable del tratamiento de los datos. No obstante, el encargado del tratamiento estará obligado a reservar los recursos (principalmente tiempo) necesarios para que el responsable del tratamiento pueda realizar la inspección.

C.8. Procedimientos de las auditorías, incluidas las inspecciones, del tratamiento de datos personales realizados por los subencargados del tratamiento

El encargado del tratamiento de datos o su representante, con la frecuencia apropiada, llevará a cabo supervisiones presenciales o por escrito de los subencargados relacionados con el contrato con el fin de establecer el cumplimiento por parte del subencargado del tratamiento de los datos de la normativa en materia de protección de datos y de estas Cláusulas. Dicha supervisión podrá realizarse por escrito mediante la obtención de informes de auditoría independientes, la obtención de información mediante cuestionarios o similares.

Además de la supervisión prevista, el encargado del tratamiento de datos podrá realizar una inspección con el subencargado cuando el encargado del tratamiento (o el responsable del tratamiento) lo considere necesario.

La documentación de la supervisión del encargado del tratamiento se presentará previa solicitud al responsable del tratamiento de los datos para su información.

Si los resultados de la supervisión dan lugar claramente a ello, el responsable del tratamiento podrá solicitar que se adopten más medidas para garantizar el cumplimiento del RGPD, de las disposiciones en materia de protección de datos de la UE o de la legislación nacional de los Estados miembros y de las presentes Cláusulas, excepción hecha de la remuneración acordada en el Apéndice D.

Apéndice D Acuerdos de las partes sobre otras cuestiones‌

Se hace referencia al Contrato Principal entre las partes.

Remuneración

El encargado del tratamiento prestará gratuitamente al responsable del tratamiento la asistencia que razonablemente pueda requerirse a un encargado del tratamiento con arreglo a la normativa en materia de protección de datos, como el tiempo dedicado a la supervisión del responsable del tratamiento y la asistencia del encargado del tratamiento con arreglo a los artículos 32 a 36 del RGPD.

Cuando el responsable del tratamiento exija la prestación de servicios o la asistencia del encargado del tratamiento que vaya más allá de los requisitos previstos en la normativa en materia de protección de datos, el encargado del tratamiento tendrá derecho a una remuneración aparte por ello, de acuerdo con las tarifas horarias regulares del encargado del tratamiento, así como al reembolso de los gastos incurridos.

Si el responsable del tratamiento requiere que el encargado del tratamiento adopte medidas específicas para garantizar un mayor nivel de seguridad técnica y organizativa, el encargado del tratamiento tendrá derecho a reclamar el pago de los costes asociados a ello si las medidas no pueden considerarse un requisito general con arreglo a la normativa en materia de protección de datos. Los costes pueden ser, entre otros, la tarifa horaria del tiempo dedicado, los costes de los sistemas informáticos, las medidas de seguridad o las medidas físicas.