El presente contrato se incorpora por referencia (cuando sea aplicable y sujeto a cualquier acuerdo expreso en contrario) a los contratos de prestación de servicios en los que ASK4 Solutions Limited, ASK4 Business Limited o ASK4 Data Centres Limited, según se detalle en su contrato o pedido de prestación de servicios, ("ASK4") actúen como Procesadores.
Este acuerdo no se aplica cuando ASK4 Limited u otras empresas del grupo ASK4 proporcionan servicios de Internet residenciales o gestionados actuando como Controlador.
Definiciones
"Responsable del tratamiento", "Interesado", "Datos personales", "Encargado del tratamiento" y "Subencargado del tratamiento" tienen el significado que se les atribuye en la legislación aplicable en materia de privacidad y protección de datos;
"Cliente" significa la persona contratada con ASK4 para la prestación de los Servicios;
"Datos personales del cliente" tiene el significado que se le da en el apartado 2.1 del presente acuerdo;
"Apéndice de Procesamiento" significa el anexo a este acuerdo que establece los detalles del Procesamiento implicado en la prestación de los Servicios;
"Leyes de Privacidad y Protección de Datos" significa la legislación aplicable que protege los datos personales y la privacidad de las personas físicas, incluyendo en particular el GDPR del Reino Unido, la Ley de Protección de Datos de 2018 y el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003 (SI 2426/2003) junto con cualquier orientación vinculante aplicable y códigos de prácticas emitidos de vez en cuando por las autoridades de supervisión pertinentes;
"Incidente de seguridad" significa una violación de la seguridad de ASK4 que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos personales del cliente;
"Servicios" hace referencia a los servicios de soporte informático, alojamiento, colocación en centros de datos, telecomunicaciones u otros servicios prestados al Cliente por ASK4;
"GDPR del Reino Unido" tiene el significado que se le da en la sección 3(10) (complementada por la sección 205(4)) de la Ley de Protección de Datos de 2018; y
"Incidente de seguridad infructuoso" se refiere a un incidente que no da lugar a un acceso no autorizado a los Datos Personales del Cliente y puede incluir, entre otros, pings y otros ataques de difusión a cortafuegos o servidores periféricos, escaneos de puertos, intentos infructuosos de inicio de sesión, ataques de denegación de servicio, sniffing de paquetes (u otro acceso no autorizado a datos de tráfico que no dé lugar a un acceso más allá de las cabeceras) o incidentes similares.
1. Ámbito de aplicación y funciones
1.1 El presente contrato se aplica únicamente cuando el Cliente procesa Datos Personales como parte de la prestación de los Servicios ("Datos Personales del Cliente").
1.2 ASK4 actuará como Procesador o Subprocesador del Cliente, que podrá actuar como Controlador o Procesador con respecto a los Datos Personales del Cliente.
2. Procesamiento de datos
2.1 El presente contrato y el Apéndice de procesamiento constituyen las Instrucciones por escrito del Cliente a ASK4 para el Procesamiento de Datos personales que, para evitar cualquier duda, se limitarán al Procesamiento necesario para la prestación de los Servicios ("Instrucciones de procesamiento").
2.2 El Cliente no emitirá Instrucciones de procesamiento adicionales o alternativas que alteren el alcance del presente contrato, a menos que se acuerde lo contrario con ASK4.
2.3 El Cliente garantiza que: (a) las Instrucciones de procesamiento; (b) la recopilación de los Datos personales del cliente; y (c) sujeto al cumplimiento de este acuerdo por parte de ASK4, el procesamiento de los Datos personales del cliente cumple con las leyes de privacidad y protección de datos. El Cliente es el único responsable de proporcionar a sus empleados o a otros Sujetos de datos relevantes cualquier información justa sobre el Procesamiento por parte de ASK4.
3. Confidencialidad de los Datos personales del cliente
3.1 ASK4 mantendrá la confidencialidad de los Datos personales del cliente y no accederá ni utilizará, ni revelará a terceros, ningún Dato personal del cliente, excepto, en cada caso, cuando sea necesario para mantener o prestar los Servicios, o cuando sea necesario para cumplir con la ley o con una orden válida y vinculante de un organismo policial, gubernamental o judicial (como una citación u orden judicial). Si un organismo gubernamental envía a ASK4 una solicitud de Datos personales del cliente, ASK4 intentará redirigir al organismo gubernamental para que solicite dichos datos directamente al Cliente. Como parte de este esfuerzo, ASK4 puede proporcionar la información básica de contacto del Cliente al organismo gubernamental. Si se ve obligado a revelar los Datos personales del cliente a un organismo gubernamental, ASK4 (cuando la ley lo permita) avisará al Cliente con una antelación razonable de la demanda para permitirle solicitar una orden de protección u otra solución adecuada.
4. Seguridad del tratamiento de datos
4.1 ASK4 proporcionará garantías suficientes de que ha implementado todas las medidas técnicas y organizativas necesarias o apropiadas para asegurar un nivel de seguridad adecuado al riesgo.
4.2 Las partes reconocen y acuerdan que el Cliente está obligado a cooperar con las medidas de seguridad de ASK4 y no eludirá ni dejará de seguir ninguno de los procesos de seguridad de ASK4.
4.3 Dado que ASK4 no tiene conocimiento, o tiene un conocimiento limitado, de los Datos Personales del Cliente, el Cliente es el único responsable de: (a) la seudonimización y el cifrado para garantizar un nivel de seguridad adecuado; (b) las medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento que estén siendo operados por el Cliente; (c) medidas que permitan al Cliente realizar copias de seguridad y archivar adecuadamente con el fin de restablecer la disponibilidad y el acceso a los Datos personales del Cliente en el momento oportuno en caso de incidente físico o técnico; y (d) procesos para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas aplicadas por el Cliente (si bien ASK4 se asegurará de probar periódicamente la eficacia de sus medidas de seguridad).
5. Subprocesamiento
5.1 El Cliente acepta que ASK4 pueda utilizar los Subprocesadores enumerados en el Anexo de procesamiento para cumplir con sus obligaciones contractuales de prestación de los Servicios.
5.2 Si ASK4 contrata a un nuevo Subprocesador para llevar a cabo actividades de procesamiento de los Datos personales del Cliente en nombre del Cliente, ASK4 notificará o proporcionará al Cliente un mecanismo para obtener notificación de dicha actualización. Si el Cliente se opone a un nuevo Subprocesador en un plazo de 14 días a partir de la notificación por parte de ASK4, el Cliente y ASK4 discutirán de buena fe la forma de abordar las preocupaciones del Cliente, siempre que, si el Cliente tiene motivos razonables de objeción que no puedan ser abordados por ASK4 en un plazo razonable a partir de la fecha de la objeción, podrá rescindir su contrato de Servicios mediante notificación por escrito a ASK4 con 14 días de antelación. Salvo que se establezca lo contrario en el presente contrato, en caso de emergencia, o si el Cliente lo autoriza de otro modo, ASK4 no permitirá que ningún Subprocesador lleve a cabo actividades de procesamiento de los Datos Personales del Cliente en nombre del Cliente.
5.3 ASK4 restringirá el acceso de todos los Subprocesadores a los Datos Personales del Cliente en la medida necesaria para mantener los Servicios o prestar los Servicios al Cliente y ASK4 prohibirá a los Subprocesadores el acceso a los Datos Personales del Cliente para cualquier otro fin.
5.4 ASK4 celebrará un acuerdo por escrito con el Subprocesador y, en la medida en que el Subprocesador esté realizando los mismos servicios de procesamiento de datos que están siendo proporcionados por ASK4 en virtud de este acuerdo, ASK4 impondrá al Subprocesador las obligaciones contractuales equivalentes que ASK4 tiene en virtud de este acuerdo y ASK4 seguirá siendo responsable de su cumplimiento de las obligaciones de este acuerdo y de cualquier acto u omisión de los Subprocesadores que provoque que ASK4 incumpla cualquiera de las obligaciones de ASK4 en virtud de este acuerdo.
6. Derechos de los interesados
6.1 Teniendo en cuenta la naturaleza de los Servicios, ASK4 aconseja que el Cliente establezca sus propios procesos para garantizar que puede cumplir con sus obligaciones hacia los Interesados. ASK4, previa solicitud por escrito, ayudará al Cliente con sus obligaciones hacia los Sujetos de datos, teniendo en cuenta la naturaleza del procesamiento y la información disponible para ASK4, siempre que las obligaciones de ASK hacia el Cliente con respecto a cualquier solicitud de acceso del Sujeto de datos se limiten al mínimo exigido por las leyes de privacidad y protección de datos, y que toda la responsabilidad por las solicitudes de acceso del Sujeto de datos recaiga en el Cliente.
6.2 Si un Sujeto de datos se pone en contacto con ASK4 con respecto a la corrección o eliminación de sus Datos personales, ASK4 hará todos los esfuerzos comercialmente razonables para remitir dichas solicitudes al Cliente.
7. Notificación de violaciones de seguridad
7.1 ASK4: (a) notificar al Cliente un Incidente de seguridad sin demoras indebidas tras tener conocimiento del mismo; y (b) tomar medidas razonables para mitigar los efectos y minimizar cualquier daño derivado del Incidente de seguridad.
7.2 El Cliente acepta que un Incidente de seguridad fallido no estará sujeto a lo dispuesto en el presente apartado 8.
7.3 La obligación de ASK4 de informar o responder a un Incidente de seguridad en virtud del presente apartado 8 no se interpreta ni se interpretará como un reconocimiento por parte de ASK4 de culpa o responsabilidad alguna de ASK4 con respecto al Incidente de seguridad.
7.4 Para ayudar al Cliente en relación con cualquier notificación de violación de Datos personales que el Cliente esté obligado a realizar en virtud de las Leyes de privacidad y protección de datos aplicables, ASK4 incluirá en la notificación prevista en el apartado 1 la información sobre el Incidente de seguridad que ASK4 pueda revelar razonablemente al Cliente, teniendo en cuenta la naturaleza de los Servicios, la información de que disponga ASK4 y cualquier restricción a la revelación de la información, como la confidencialidad.
8. Certificaciones y auditorías de ASK4
8.1 ASK4 pondrá a disposición de quien lo solicite su certificación ISO 27001.
8.2 ASK4 recurre a auditores externos para verificar la idoneidad de sus medidas de seguridad. Esta auditoría: (a) se realizará al menos una vez al año; (b) se llevará a cabo de acuerdo con las normas ISO 27001 u otras normas alternativas que sean sustancialmente equivalentes a la ISO 27001; (c) será realizada por profesionales de la seguridad independientes, a elección y expensas de ASK4; y (d) dará lugar a la generación de un informe de auditoría ("Informe"), que será información confidencial de ASK4.
8.3 A petición por escrito del Cliente, ASK4 (siempre que las partes hayan suscrito un acuerdo de confidencialidad aplicable) podrá, a su discreción: (a) proporcionar al Cliente una copia del Informe para que el Cliente pueda verificar razonablemente el cumplimiento por parte de ASK4 de sus obligaciones en virtud del presente contrato; o (b) con un preaviso razonable y no más de una vez por período de 12 meses, permitir al Cliente realizar una auditoría supervisada en horas.
9. Evaluación del impacto sobre la privacidad y consulta previa
9.1 Teniendo en cuenta la naturaleza de los Servicios y la información de que dispone ASK4, ASK4 proporcionará asistencia razonable al Cliente cuando sea necesario para que el Cliente cumpla con las obligaciones relativas a las evaluaciones del impacto sobre la protección de datos y las consultas previas requeridas de conformidad con las Leyes de Privacidad y Protección de Datos aplicables.
10. Transferencias
10.1 Cualquier transferencia de datos fuera del Reino Unido se llevará a cabo de conformidad con el GDPR del Reino Unido, de forma que ASK4 se asegurará de que el país al que se transfieren los datos garantice un nivel adecuado de protección o ASK4 utilizará cláusulas contractuales estándar para garantizar un nivel adecuado de protección.
11. Devolución o eliminación de los Datos personales del cliente
11.1 Por lo general, los Servicios: (a) proporcionan al Cliente controles que éste puede utilizar para recuperar o eliminar los Datos personales del cliente; o (b) permiten al Cliente mantener el control sobre su acceso a los Datos personales del cliente y su eliminación. ASK4, previa solicitud por escrito, hará todos los esfuerzos comercialmente razonables para ayudar al Cliente en la recuperación o eliminación de los Datos personales del cliente.
11.2 ASK4 dejará de procesar los Datos personales del cliente inmediatamente después de la finalización o expiración de la prestación de los Servicios y (a menos que ASK4 tenga un interés legítimo en conservar los Datos personales del cliente o esté legalmente obligado a conservar los Datos personales del cliente), a elección del Cliente, devolverá o eliminará de forma segura los Datos personales del cliente.
APÉNDICE DE PROCESAMIENTO
Objeto: El objeto del tratamiento de datos en virtud del presente acuerdo son los Datos Personales del Cliente.
Duración del tratamiento: Entre ASK4 y el Cliente, la duración del tratamiento de los datos será la duración de la prestación de los Servicios.
Finalidad: La finalidad del Tratamiento es la prestación de los Servicios iniciados por el Cliente en cada momento. Es responsabilidad del Cliente informar a ASK4 de cualquier otra finalidad del Tratamiento y de cualquier cambio en esta naturaleza o finalidad.
Naturaleza del tratamiento: Computación, almacenamiento, soporte de TI y otros Servicios como se describe en el pedido del Cliente o iniciado por el Cliente de vez en cuando.
Tipo de datos personales del cliente: Nombre del empleado, información de contacto, función (incluidos los permisos) e información técnica (como información sobre consultas de soporte que pueden o no ser datos personales) relacionada con el Servicio que se presta. Los Datos Personales del Cliente cargados en los Servicios cuando se presten Servicios de alojamiento o almacenamiento. Cuando se proporcionen dichos Servicios, es responsabilidad del Cliente informar a ASK4 de los tipos de Datos personales del Cliente que se procesarán y de cualquier cambio en estos tipos de datos.
Categorías de interesados: Los Sujetos de Datos pueden incluir clientes, empleados, proveedores y usuarios finales del Cliente. Es responsabilidad del Cliente informar a ASK4 de cualquier otra categoría de Sujeto de Datos a la que se refieran los Datos Personales del Cliente, así como de cualquier cambio en dichas categorías.
Subprocesadores:
- DRD Communications Ltd (como comprador de Inclarity Communications Limited (con sede en el Reino Unido) - donde se prestan los servicios VoiP
- Gamma Telecomm Limited (con sede en el Reino Unido) - donde se prestan los servicios VoiP
- El proveedor mayorista de líneas de telecomunicación - cuando se presten servicios de arrendamiento de líneas (se facilitará en el pedido o previa solicitud).
- Formagrid, Inc. proporciona Airtable, que utilizamos como software de procesos empresariales.
- Aspire Community Enterprise (Sheffield) Ltd - para la destrucción segura de equipos eléctricos
- Utopi Limited - donde proporcionamos medición inteligente e informes ESG asociados a través de la plataforma y los equipos de Utopi.
NOTA: ASK4 puede revender soluciones de software proporcionadas por terceros como parte de los servicios (por ejemplo, productos de Microsoft). Para el tratamiento de los datos personales se aplicará el correspondiente CLUF/Contrato de cliente (y los anexos de tratamiento de datos o similares incorporados al mismo) entre el Cliente y el Proveedor, y no el presente contrato.