Procesamiento de pedidos para el uso del software autarc

Acuerdo de procesamiento de pedidos de conformidad con el artículo 28 (3) del Reglamento General de Protección de Datos (GDPR)
(a partir de septiembre de 2025)

§ 1 Objeto y duración del procesamiento

(1) El objeto del acuerdo son los derechos y obligaciones de las partes en el contexto de la prestación de servicios de acuerdo con la descripción del servicio y los términos y condiciones (en adelante, contrato principal), en la medida en que autarc GmbH (en adelante, contratista) procese datos personales como procesador de contratos para el cliente como responsable (en adelante, cliente) de conformidad con el artículo 28 del RGPD. Esto incluye todas las actividades que el contratista lleva a cabo para cumplir con el pedido y que representan el procesamiento del pedido. En este sentido, los fines del procesamiento se derivan del contrato principal. Esto también se aplica a menos que el pedido haga referencia expresa a este acuerdo de procesamiento de pedidos. Las categorías de datos personales que se recopilan y procesan se describen con más detalle en el apéndice 1 del presente Acuerdo.

(2) La duración de este contrato (plazo) corresponde a la duración del contrato principal. Finaliza sin necesidad de rescisión por separado tan pronto como el contrato principal se rescinda, venza o venza por cualquier otro motivo.

§ 2 Lugar de procesamiento de datos

El procesamiento de datos acordado contractualmente se lleva a cabo en un estado miembro de la Unión Europea o del Espacio Económico Europeo. Cualquier transferencia a un tercer país requiere el consentimiento previo del cliente y solo puede realizarse si se cumplen los requisitos especiales del artículo 44 y siguientes del RGPD.

El nivel de protección adecuado en EE. UU.
☑️ se establece mediante una decisión de adecuación de la Comisión (artículo 45 (3) del RGPD);
⬜ se produce mediante normas internas vinculantes de protección de datos (artículo 46, apartado 2, letra b, en relación con el artículo 47 del RGPD);
☑️ se produce mediante cláusulas estándar de protección de datos (artículo 46, apartado 2, letras c y d del RGPD);
⬜ se produce mediante códigos de conducta aprobados (artículo 46, apartado 2, letra e, en relación con el artículo 40 del RGPD);
⬜ se produce mediante un mecanismo de certificación aprobado (artículo 46, párrafo 2, letra f, en relación con el artículo 42 del RGPD).
⬜ se produce mediante otras medidas:... (Artículo 46, párrafo 2, letra a, párrafo 3, letras a y b, del RGPD)

§ 3 Medidas técnico-organizativas

(1) En la medida necesaria, el contratista ha implementado las medidas técnicas y organizativas de conformidad con el artículo 32 del RGPD antes de la adjudicación del contrato. Las pruebas pertinentes se proporcionarán al cliente que las solicite sin demora culposa. En la medida en que la auditoría/auditoría del cliente revele la necesidad de realizar un ajuste, este debe llevarse a cabo de mutuo acuerdo.

(2) El contratista debe establecer la seguridad de conformidad con el artículo 28, apartado 3, letra c, 32 del RGPD, en particular en relación con el artículo 5, apartado 1, párrafo 2, del RGPD. En general, las medidas que deben tomarse son medidas de seguridad de los datos y garantizar un nivel de protección adecuado al riesgo en lo que respecta a la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas. Deben tenerse en cuenta el estado de la técnica, los costes de implementación y el tipo, el alcance y los fines del procesamiento, así como las diferentes probabilidades de que se produzca y la gravedad del riesgo para los derechos y libertades de las personas físicas en el sentido del artículo 32, apartado 1, del RGPD.

(3) Las medidas técnicas y organizativas están sujetas al progreso y desarrollo técnicos. A este respecto, se permite al contratista implementar medidas alternativas adecuadas. El nivel de seguridad de las medidas definidas no debe ser inferior. Los cambios significativos deben documentarse.

§ 4 Corrección, restricción y eliminación de datos

(1) El contratista no puede corregir, eliminar o restringir el procesamiento de los datos procesados en nombre del cliente por su propia cuenta, sino solo de acuerdo con las instrucciones documentadas del cliente. En la medida en que un interesado contacte directamente con el contratista a este respecto, el contratista remitirá inmediatamente esta solicitud al cliente.

(2) En la medida en que estén incluidos en el alcance de los servicios, el contratista debe garantizar directamente el concepto de eliminación, el derecho al olvido, la corrección, la portabilidad de los datos y la información de acuerdo con las instrucciones documentadas del cliente.

§ 5 Garantía de calidad y otras obligaciones del contratista

Además del cumplimiento de las disposiciones de esta orden, el contratista tiene obligaciones legales de conformidad con los artículos 28 a 33 del RGPD; a este respecto, garantiza el cumplimiento de los siguientes requisitos en particular:

a) Mantener la confidencialidad de conformidad con los artículos 28 (3) (2) (b), 29 y 32 (4) del RGPD. Al realizar el trabajo, el contratista solo utiliza empleados que se comprometan a mantener la confidencialidad y que estén previamente familiarizados con las normas de protección de datos que les conciernen. El contratista y cualquier persona subordinada al contratista que tenga acceso a los datos personales solo podrán procesar estos datos de acuerdo con las instrucciones del cliente, incluidas las facultades otorgadas en este contrato, a menos que estén legalmente obligados a procesarlos.

b) La implementación y el cumplimiento de todas las medidas técnicas y organizativas requeridas para este mandato de conformidad con el artículo 28, párrafo 3, p. 2, letra c, 32 del RGPD, tal como se describe en el anexo 2.

c) El cliente y el contratista (así como su representante) deberán, previa solicitud, cooperar con la autoridad supervisora en el desempeño de sus funciones.

d) Informar inmediatamente al cliente sobre los actos de control y las medidas adoptadas por la autoridad supervisora, en la medida en que estén relacionados con esta orden. Esto también se aplica en la medida en que una autoridad competente investigue, como parte de una infracción administrativa o un proceso penal, en relación con el procesamiento de datos personales durante la tramitación del pedido por parte del contratista.

e) En la medida en que el cliente esté a su vez expuesto al control de la autoridad supervisora, a una infracción administrativa o a un proceso penal, a la reclamación de responsabilidad de un sujeto de datos o de un tercero, o a cualquier otra reclamación relacionada con el procesamiento de pedidos por parte del contratista, el contratista debe apoyarlo en la medida de sus posibilidades.

f) El contratista comprueba periódicamente los procesos internos y las medidas técnicas y organizativas para garantizar que el procesamiento en su área de responsabilidad se lleve a cabo de acuerdo con los requisitos de la ley de protección de datos aplicable y que los derechos del interesado estén protegidos.

g) Verificabilidad de las medidas técnicas y organizativas adoptadas con respecto al cliente en el ámbito de sus poderes de supervisión de conformidad con la sección 7 de este contrato.

§ 6 Subcontratación

(1) Las relaciones de subcontratación en el sentido de esta disposición son los servicios que se relacionan directamente con la prestación del servicio principal. Esto no incluye los servicios auxiliares que el contratista utiliza, por ejemplo, como los servicios de telecomunicaciones, los servicios de correo y transporte, los servicios de mantenimiento y de usuario o la eliminación de soportes de datos y otras medidas para garantizar la confidencialidad, la disponibilidad, la integridad y la resiliencia del hardware y el software de los sistemas de procesamiento de datos. Sin embargo, el contratista está obligado a adoptar acuerdos contractuales y medidas de control adecuados y que cumplan con la ley para garantizar la protección y la seguridad de los datos del cliente, incluso en el caso de servicios auxiliares subcontratados.

(2) El contratista encarga a los subcontratistas que presten parte de los servicios que se prestarán de conformidad con el contrato. Estas relaciones de procesamiento por subcontratación se basaban, en la medida en que lo exigiera la ley, en un acuerdo de conformidad con el artículo 28 (2-4) del RGPD. El cliente acepta expresamente los subcontratistas empleados actualmente por el contratista, que figuran en el apéndice 3.
Se permite la subcontratación a otros subcontratistas o el cambio de subcontratistas existentes siempre que el contratista notifique al cliente dicha subcontratación a subcontratistas con un tiempo razonable de antelación por escrito o en forma de texto, el cliente no se oponga a la subcontratación planificada por escrito o en forma de texto al contratista hasta el momento de la transferencia de los datos y se base en un acuerdo contractual de conformidad con el artículo 28 (2-4) del RGPD.

(3) La transferencia de datos personales del cliente al subcontratista y su acción inicial solo están permitidas si se cumplen todas las condiciones para la subcontratación.

(4) Si el subcontratista presta el servicio acordado fuera de la UE/EEE, el contratista garantiza la admisibilidad en virtud de la ley de protección de datos tomando las medidas adecuadas. Lo mismo se aplica si se van a utilizar proveedores de servicios en el sentido del párrafo 1, frase 2.

(5) La subcontratación ulterior por parte del subcontratista requiere el consentimiento del contratista principal (al menos por escrito); todas las disposiciones contractuales de la cadena de contratos también deben imponerse al otro subcontratista.

§ 7 Derechos de control del cliente

(1) El cliente tiene derecho, en consulta con el contratista, a llevar a cabo las comprobaciones o a que las realicen inspectores que serán nombrados en casos individuales. Tiene derecho a comprobar que el contratista cumple con este acuerdo en sus operaciones comerciales mediante controles por muestreo, que normalmente deben notificarse con la debida antelación. Al hacerlo, el cliente debe asegurarse de que las operaciones comerciales habituales del contratista se vean afectadas lo menos posible y solo en la medida absolutamente necesaria.

(2) El contratista se asegurará de que el cliente esté convencido de que el contratista ha cumplido con sus obligaciones en virtud del artículo 28 del RGPD. El contratista se compromete a proporcionar al cliente la información necesaria cuando lo solicite y, en particular, a demostrar la implementación de las medidas técnicas y organizativas.

(3) La evidencia de tales medidas, que se refieren no solo al mandato específico, también puede proporcionarse mediante el cumplimiento de los códigos de conducta aprobados de conformidad con el artículo 40 del RGPD, la certificación de acuerdo con un proceso de certificación aprobado de conformidad con el artículo 42 del RGPD, los certificados, informes o extractos de informes actuales de organismos independientes (por ejemplo, auditores, oficiales de protección de datos, departamento de seguridad de TI, auditores de protección de datos, auditores de calidad) o la certificación adecuada mediante una auditoría de seguridad de TI o protección de datos (Para ejemplo, según la protección básica de BSI).

(4) El contratista puede presentar una reclamación de indemnización por facilitar los controles por parte del cliente.

§ 8 Notificación de infracciones por parte del contratista

(1) El contratista apoya al cliente en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD en relación con la seguridad de los datos personales, los requisitos de presentación de informes en caso de violaciones de datos, las evaluaciones de impacto de la protección de datos y las consultas previas. Esto incluye

a) garantizar un nivel adecuado de protección mediante medidas técnicas y organizativas que tengan en cuenta las circunstancias y los fines del procesamiento, así como la probabilidad y gravedad previstas de una posible infracción debido a brechas de seguridad, y permitan identificar inmediatamente los casos de infracción relevantes

b) la obligación de denunciar inmediatamente al cliente las violaciones de datos personales

c) la obligación de ayudar al cliente como parte de su obligación de proporcionar información a la persona interesada y de proporcionarle sin demora toda la información relevante en este contexto

d) ayudar al cliente en su evaluación del impacto de la protección de datos

e) ayudar al cliente en el contexto de las consultas previas con la autoridad supervisora

(2) El contratista puede reclamar una compensación por los servicios de soporte que no estén incluidos en la descripción del servicio o que no sean atribuibles a una mala conducta por parte del contratista.

§ 9 Autoridad del cliente para emitir instrucciones, responsabilidad

(1) El contratista confirmará las instrucciones orales de inmediato (al menos en forma de texto).

(2) El contratista debe informar inmediatamente al cliente si cree que una instrucción infringe las normas de protección de datos. El contratista tiene derecho a suspender la ejecución de la instrucción correspondiente hasta que el cliente la confirme o modifique.

(3) El cliente es el único responsable ante la persona interesada de la indemnización por los daños sufridos por un interesado como resultado del procesamiento o uso de datos en el contexto del procesamiento de pedidos que sea inadmisible o incorrecto según las leyes de protección de datos en el contexto del procesamiento de pedidos.

(4) Cada parte se compromete a compensar a la otra parte por todos los daños y gastos que surjan como resultado del incumplimiento culposo de una obligación en virtud del presente Acuerdo (incluidos sus apéndices) por parte de la parte obligada a indemnizar, su representante legal, subcontratistas, empleados u otros agentes indirectos.

§ 10 Fase de prueba de eliminación y devolución de datos personales

(1) No se realizarán copias o duplicados de los datos sin el conocimiento del cliente. Esto no incluye las copias de seguridad, en la medida en que sean necesarias para garantizar un procesamiento adecuado de los datos, ni los datos necesarios para cumplir con las obligaciones legales de almacenamiento.

(2) Tras la finalización del trabajo acordado contractualmente o antes a petición del cliente (a más tardar al rescindir el contrato de servicio), el contratista debe entregar al cliente todos los documentos, los resultados de procesamiento y uso creados y los datos relacionados con la relación contractual o destruirlos de conformidad con la ley de protección de datos tras el consentimiento previo. Lo mismo se aplica al material de prueba y de desecho.

(3) El contratista debe conservar la documentación que sirva como prueba del pedido y del procesamiento adecuado de los datos una vez finalizado el contrato de acuerdo con los períodos de retención respectivos. Para relevarlo, puede entregarlos al cliente al final del contrato.


Apéndice 1 del Acuerdo de procesamiento de pedidos

Categorías de sujetos de datos y sujetos de datos

datos de usuario
● Título
● Nombre y apellidos
● Dirección (código postal, ciudad, calle y número de casa, dirección adicional, si corresponde)
● Dirección de correo electrónico
● Número de teléfono y/o número de teléfono móvil
● Datos de la empresa

Datos del cliente final
● Título
● Nombre y apellidos
● Dirección (código postal, ciudad, calle y número de casa, dirección adicional, si corresponde)
● Dirección de correo electrónico
● Número de teléfono y/o número de teléfono móvil
● Información de pago
● Tipo de sistema de calefacción
● Valores de consumo
● Número de residentes
● Año de construcción del edificio
● Espacios y dimensiones de la arquitectura del edificio
● Datos del área de calentamiento
● Fotos y documentos del objeto

Apéndice 2 del Acuerdo de procesamiento de pedidos

Medidas técnico-organizativas

1. Confidencialidad (artículo 32 (1) (b) del RGPD)
● Control de acceso
Prohibido el acceso no autorizado a los sistemas de procesamiento de datos, por ejemplo, tarjetas magnéticas o inteligentes, llaves, sistemas eléctricos
abre-puertas, guardas o porteros de fábrica, sistemas de alarma, sistemas de video;
● Control de acceso
Sin uso no autorizado del sistema, por ejemplo: contraseñas (seguras), mecanismos de bloqueo automático, dos factores
autenticación, cifrado de disco;
● Control de acceso
No se permite la lectura, copia, modificación o eliminación no autorizadas en el sistema, por ejemplo: conceptos de autorización
y derechos de acceso basados en las necesidades, registro de los accesos;

2. Integridad (artículo 32, párrafo 1, letra b del RGPD)
● Control de transferencia
Prohibido leer, copiar, alterar o eliminar sin autorización durante la transmisión o el transporte electrónicos, p. ej.:
cifrado, redes privadas virtuales (VPN), firma electrónica;
● Control de entrada
Determinar si se han introducido datos personales en los sistemas de procesamiento de datos y por quién se han modificado
o se han eliminado, por ejemplo: registro, gestión de documentos;

3. Disponibilidad y resiliencia (artículo 32 (1) (b) del RGPD)
● Control de disponibilidad
Protección contra la destrucción o pérdida accidental o deliberada, por ejemplo: estrategia de copia de seguridad (en línea/fuera de línea; in situ/fuera de ella)
sitio), sistema de alimentación ininterrumpida (UPS), protección contra virus, firewall, canales de notificación y planes de emergencia;
● Rápida capacidad de recuperación (art. 32, párrafo 1, letra c del RGPD);

4. Procedimiento de revisión, evaluación y evaluación periódicas (artículo 32, párrafo 1, letra d) del RGPD; artículo 25, párrafo 1, del RGPD
(1 RGPD)
● gestión de la protección de datos;
● gestión de la respuesta a incidentes;
● Configuración predeterminada respetuosa con la protección de datos (artículo 25 (2) del RGPD);
● Control de pedidos
No procesar datos de pedidos en el sentido del artículo 28 del RGPD sin las instrucciones adecuadas del cliente,
por ejemplo: redacción clara de contratos, gestión formalizada de pedidos, selección estricta del proveedor de servicios,
Verificación preliminar, controles de seguimiento.

Anexo 3 Subprocesadores aprobados

Name des Unterauftragsverarbeiters Adresse Art der Verarbeitung Internationaler Transfer (falls zutreffend)
Supabase Pte. Ltd. 970 Toa Payoh North, #07-04, Singapur Hosting Singapur
Intercom, Inc. 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA Kundenkommunikation USA
Functional Software, Inc. (handelnd unter dem Namen Sentry) 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA Fehlerbehebung USA
PostHog, Inc. Market Street #4008, San Francisco Analysezwecke USA
Google Ireland Limited Gordon House, Barrow Street, Dublin 4, Irland Standort und Ermöglichung der Nutzung von Python Code im Browser Irland
Mapbox GmbH Westendstraße 28, 60325 Frankfurt am Main, Deutschland Integration von Karten in Website Deutschland
Cloudflare Germany GmbH Rosental 7, c/o Mindspace, 80331 München, Deutschland Objektspeicher Deutschland
SendGrid, Inc. 375 Beale Street, Suite 300, San Francisco, CA 94105, USA Marketingzwecke USA
Fly.io, Inc. 2045 W. Grand Ave, Suite B, Chicago, IL 60612, USA Anwendungsserveroptimierung USA
Roboflow, Inc. 500 Locust Street, Des Moines, IA 50309, USA Computer-Vision-Modelle USA
Twilio, Inc. 101 Spear Street, Fifth Floor, San Francisco, CA 94105, USA Cloud Kommunikation per Telefon USA
ElevenLabs, Inc. 169 Madison Ave #2484, New York, NY 10016, USA Sprachagent für die Transkribierung speech to text / text to speech USA
OpenAI, Inc. 1455 3rd Street, San Francisco, CA 94158, USA Zusammenstellung von Informationen für Kundenkommunikation USA

¿No ha encontrado la respuesta a su pregunta?

Envíanos un correo electrónico a hello@autarc.energy

¡Muchísimas gracias! Ahora forma parte de nuestro boletín y recibe actualizaciones periódicas y consejos útiles.
¡Uy! Algo salió mal al enviar el formulario.