Para cumplir con las prestaciones derivadas del contrato firmado, el proveedor podrá acceder a datos identificativos y comerciales de los clientes de Toshiba Tec. El tratamiento de datos de carácter personal que llevará a cabo el proveedor únicamente comprenderá el acceso y consulta de dichos datos personales Por ello, se acuerda regular el acceso y tratamiento de estos datos personales de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, y de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales, así como normativas vinculantes.

El proveedor actuará como Encargado del Tratamiento de datos en nombre de Toshiba TEC (Responsable del Tratamiento) con el fin de prestar los servicios descritos en el contrato de Servicio Técnico firmado. Las partes tienen las siguientes obligaciones:

Obligaciones de Toshiba Tec:

• Verificar que el proveedor ofrece garantías suficientes para garantizar la protección de los derechos de los clientes.
• Velar por el cumplimiento del RGPD y supervisar el tratamiento de datos, incluyendo inspecciones y auditorías.
• Informar al Proveedor sobre cualquier cambio en los datos personales proporcionados para su actualización.
• Atender los derechos de acceso, rectificación, supresión, oposición y todos aquellos reconocidos por el RGPD.

Obligaciones del Proveedor:

• Utilizar los datos personales únicamente para la finalidad establecida objeto de este encargo. En ningún caso podrá usar los datos para fines propios ni modificarlos, corregirlos y/o alterarlos sin autorización previa por escrito.
• Garantizar la fiabilidad y el compromiso de confidencialidad de cualquier empleado, agente u otra figura con acceso a los datos personales.
• No comunicar los datos a terceros sin autorización expresa de TOSHIBA, salvo en los supuestos legalmente admisibles.
• Mantener a disposición de TOSHIBA, previa solicitud por escrito, toda la documentación necesaria para acreditar el cumplimiento del RGPD.
• Llevar un registro escrito de actividades conforme el artículo 30 del RGPD.
• Proporcionar asistencia razonable a TOSHIBA en relación con el tratamiento de los datos personales.
• Implementar procedimientos técnicos y medidas organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos, así como la resiliencia de los sistemas de tratamiento y servicios. Esto incluye la restauración de la disponibilidad de los datos tras incidentes; la encriptación y seudonimización los datos cuando sea posible, y la verificación y evaluación regular de la efectividad de las medidas implantadas.
• No subcontratar ninguna prestación que implique el tratamiento de datos personales, salvo obligación legal.
• Notificar a TOSHIBA de manera inmediata y dentro de las 24 horas siguientes a la recepción de una solicitud de un interesado respecto al ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, enviando los detalles, copias de la reclamación, comunicación, solicitud y cualquier otro dato relevante al correo electrónico gdpr@toshibatecspain.es
• Facilitar el derecho de información en el momento de la recogida de datos personales. Si es necesario recoger datos personales para prestar el servicio objeto de este contrato, el proveedor deberá proporcionar la información requerida según la normativa de protección de datos. El proveedor custodiará los formularios de recogida de datos (automatizados o no) y los pondrá a disposición de Toshiba.
• Notificar a Toshiba sin dilación indebida y, en cualquier caso, dentro de las 24 horas siguientes al conocimiento o sospecha razonable de una violación de seguridad que afecte a los datos personales. La notificación debe enviarse al correo electrónico gdpr@toshibatecspain.es e incluir la naturaleza del incidente, la categoría y número de afectados, las posibles consecuencias y las medidas tomadas o propuestas para abordar la situación. Si no es posible proporcionar toda la información de inmediato, deberá facilitarse de manera gradual sin dilación indebida.
• No tratar datos personales en terceros países sin la autorización previa por escrito de Toshiba, mediante una enmienda al presente contrato, y conforme a lo estipulado en los artículos 45 y 46 del RGPD.
• Al finalizar el contrato principal, el proveedor deberá, a elección de Toshiba, devolver una copia completa de todos los datos personales tratados mediante transferencia segura de archivos en el formato indicado por Toshiba, o suprimir de manera segura todas las copias, bases de datos, archivos temporales y cualquier otro soporte que contenga datos personales tratados. Toshiba podrá retener aquellos datos personales cuando la legislación de la Unión Europea o de algún Estado miembro lo exija explícitamente, procediendo a su supresión al finalizar el período indicado por dichas legislaciones.

Duración y Responsabilidad:

Este documento es accesorio al contrato de servicios firmado entre ambas partes, por lo que su duración será la misma que la del contrato principal. El proveedor será responsable ante Toshiba por cualquier daño derivado del incumplimiento de este documento y de la normativa de protección de datos.