Pasar al contenido principal

CONDICIONES PARA EL ACCESO A DATOS POR PARTE DE NAFARCO POR CUENTA DE TERCEROS (ENCARGOS DE TRATAMIENTO)

0.- ÁMBITO DE APLICACIÓN DE ESTAS CONDICIONES

Las presentes condiciones generales se aplican a la contratación de todo tipo de contratos relativos a productos, y/o servicios que NAFARCO S. COOP. acuerde con sus clientes, haciéndose constar así en los distintos documentos o anexos que se suscriban con las condiciones particulares aplicables para cada contrato o servicio.

Se establece como domicilio de la entidad el siguiente a efectos de cualquier tipo de comunicación el siguiente:

NAFARCO COOPERATIVA FARMACEUTICA NAVARRA S. COOP.
CIF F31015597
Domicilio postal: Pol Ind. Talluntxe D 37 31110 Noain (Navarra)
Inscrita con el Nº 1173 SMT en el registro de cooperativas. Tomo XVI Folio 1547 Asiento Nº 5
Tfno.948368100
Email: protecciondedatos@nafarco.es
Delegado de Protección de Datos: dpd@nafarco.es

1.PROTECCION DE DATOS DE CARÁCTER PERSONAL

Mediante las presentes cláusulas se establecen las condiciones que habilitan a NAFARCO S. COOP.   para el tratamiento de datos personales que se deriva de la ejecución del contrato o de la prestación de servicio contratada con el socio o el cliente

NAFARCO S. COOP. tratará en la medida en la que la ejecución del contrato o la prestación del servicio, lo haga imprescindible, datos personales de los que es responsable el socio o cliente. Estas condiciones generales, mencionadas en las condiciones particulares y aceptadas por el cliente o socio se establecen para dar cumplimiento a lo previsto en el artículo 28 del Reglamento UE 2016/679 delimitando las obligaciones del responsable y del encargado de tratamiento.

El tratamiento que se efectúa consistirá en el servicio detallado en el contrato o presupuesto-oferta de servicios aceptado por el cliente o socio.

El cliente o socio como responsable del tratamiento autoriza a NAFARCO S. COOP. a tratar por su cuenta los datos de carácter personal contenidos en sus ficheros y registro de actividades en la medida que ello resulta necesario para prestar el servicio indicado.

Respecto de los datos indicados el NAFARCO S. COOP.  podrá tratarlos adoptando aquellas decisiones organizativas que sean necesarias para la prestación adecuada del servicio.

1.2. IDENTIFICACION DE LA INFORMACION AFECTADA

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el cliente y/o socio responsable del tratamiento ha puesto a disposición de la entidad NAFARCO S. COOP., encargada del tratamiento, la información que se describe en las condiciones particulares, o en el presupuesto aceptado, sin que esta descripción sea exhaustiva ni excluya otros documentos relacionados

1.3. OBLIGACIONES DEL CLIENTE Y/O SOCIO COMO RESPONSABLE DE TRATAMIENTO

Corresponden al cliente y/o socio, como responsable de tratamiento, además de las establecidas en la normativa de protección de datos al menos las siguientes obligaciones:

  1. Facilitar al encargado el acceso a los datos que forman parte de sus ficheros o entregárselos del modo que resulte oportuno para la correcta prestación del servicio.
  2. Informar conforme a la normativa a los interesados cuyos datos sean objeto de tratamiento y haber obtenido de los mismos lícitamente su consentimiento expreso o contar con motivos legítimos y acreditables para el mismo.
  3. Tener establecida la base legal que legitima el tratamiento.
  4. Disponer de mecanismos sencillos para que los interesados puedan ejercitar sus derechos>
  5. Contar con evaluaciones de riesgo, con un registro de los tratamientos y evaluaciones de impacto si fuera necesario por la naturaleza de los datos tratados.
  6. Tener habilitadas las medidas de seguridad adecuadas para salvaguardar los datos en la transmisión de los datos al encargado.
  7.  Nombrar un delegado de protección de datos en los casos que fuera obligatorio y comunicar su identidad al encargado.

1.4. OBLIGACIONES DE NAFARCO S. COOP. COMO ENCARGADO DEL TRATAMIENTO

El NAFARCO S. COOP.  se compromete a cumplir con lo dispuesto en la normativa europea y española de protección de datos y se obliga a:

  1. Tratar los Datos Personales conforme a las instrucciones documentadas en el presupuesto o demás documentos contractuales aplicables a la ejecución del contrato y aquellas que, en su caso, reciba del Responsable por escrito en cada momento.
  2. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del encargo. En ningún caso podrá utilizar los datos para fines propios.
  3. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si la persona encargada del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, la persona encargada del tratamiento informará inmediatamente la persona responsable del contrato.
  4. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del encargo, incluso después de que finalice su objeto.
  5. Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del encargado, siendo deber de Nafarco instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación
  6. No comunicarlos datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. En este caso, el responsable identificara, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
  7. Salvo que se indique otra cosa por escrito por el Responsable, a tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en el presupuesto o demás documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.

En el caso de que por causa de Derecho nacional o de la Unión Europea Nafarco  se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará por escrito al Responable de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Responsable, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.

  1. No subcontratar ninguna de las prestaciones que formen parte del objeto del contrato que comporten tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.
  1. Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito a la persona responsable del contrato, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratada y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de un mes.

La empresa subcontratada, que también tendrá la condición de encargado del tratamiento, está obligada igualmente a cumplir las obligaciones establecidas en el contrato para el encargado del tratamiento y las instrucciones que dicte la persona responsable del contrato.

Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

  1. Asistir a la persona encargada del tratamiento en la respuesta al ejercicio de los derechos de las personas interesadas.
  1. Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias o convenientes para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.
  1. Colaborar con el Responsable en el cumplimiento de sus obligaciones en materia de (i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y (iii) colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
  2. Asimismo, pondrá a disposición del Responsable, a requerimiento de éste, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el presupuesto y demás documentos contractuales y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el Responsable

Dar apoyo al responsable del tratamiento en la realización de las consultas previstas a la autoridad de control, cuando proceda.

  • Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de Datos Personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Responsable a requerimiento de éste. Asimismo, durante la vigencia del contrato, pondrá a disposición del Resonsable toda información, certificaciones y auditorías realizadas en cada momento.
  • Nombrar Delegado de Protección de Datos, en caso de que sea necesario según el RGPD, y comunicarlo al Responsable, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el encargado como sus representante(s) a efectos de protección de los Datos Personales (representantes del Encargado de Tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de Datos Personales, en las vertientes legales/formales y en las de seguridad.
  • Garantizar que la persona con el cargo de Delegado de Protección de Datos o en su defecto de Responsable de Privacidad participe de forma adecuada en el tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los “Derechos”), ante el Encargado del Tratamiento, éste debe comunicarlo al Responsable con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del quinto día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
  • Asistirá al Responsable, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
  • De conformidad con el artículo 33 RGPD, comunicar al Responsable, de forma inmediata y a más tardar en el plazo de72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
  • Una vez finalizada la prestación contractual objeto del presente Pliego, debe devolver a la persona responsable o devolver a otra persona encargada que aquella designe, los datos personales objeto del tratamiento, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El Encargado del Tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivar responsabilidades de su relación con el Responsable del Tratamiento. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.

1.5.- COMUNICACION A OTROS ENCARGADOS DE TRATAMIENTO

NAFARCO S. COOP.   puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con sus instrucciones. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Si NAFARCO S. COOP., debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

1.6.- SUBCONTRATACION

No está permitida la subcontratación de las prestaciones que forman parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado y las siguiente actividades que son expresamente autorizadas por el responsable:

  • Devolución de medicamentos
  • Asesoría en protección de datos
  • Asesoría Saludable
  • Servicios Financieros
  • Servicios comerciales e informáticos

Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable del tratamiento con una antelación de un mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para NAFARCO S. COOP.   como encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde a NAFARCO S. COOP.   como encargado inicial, regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, NAFARCO S. COOP.   como encargado inicial seguirá siendo plenamente responsable ante el responsable

1.7.- DERECHOS DE LOS INTERESADOS

NAFARCO S COOP, se compromete a asistir al responsable de tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición

2. Limitación del tratamiento

3. Portabilidad de datos

4. No ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles)

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante NAFARCO S COOP, éste debe comunicarlo por correo electrónico a la dirección dpd@nafarco.es anexando copia de su DNI u otro documento acreditativo de su identidad o por correo ordinario a la dirección de empresa adjuntando copia del DNI.  La comunicación se hará de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

1.8.- NOTIFICACION DE VIOLACIONES DE LA SEGURIDAD DE LOS DATOS

NAFARCO S. COOP.   como encargado del tratamiento notificará al responsable del fichero, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 hora, y a través de CORREO ELECTRONICO, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El responsable del fichero será quien deba de realizar las comunicaciones a la Agencia de Protección de datos o a los interesados.

1.9.- COLABORACION CON EL RESPONSABLE

NAFARCO SCOOP se compromete a

Dar apoyo al responsable del fichero en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

Apoyar al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda.

Poner disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable. Esta obligación solo existirá en los casos establecidos en la normativa

1.10-FINALIZACION DE LA RELACION

Una vez cumplida la prestación, conforme a lo establecido en el contrato, NAFARCO S. COOP. a elección del responsable del fichero procederá a:

  1. Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde estos consten. La devolución comportará el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado
  2. Entregar a otro encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.
  3. Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento.

No obstante, NAFARCO S. COOP. podrá conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

Estas condiciones de encargo de tratamiento han sido actualizadas a 02 de diciembre de 2019