Última actualización: 10 de diciembre de 2025
El presente Anexo relativo al tratamiento de datos, incluidos sus anexos (en conjunto, el «DPA»), forma parte integrante del contrato celebrado entre la empresa OneStock en la orden de compra correspondiente ( OneStock ) y el cliente identificado en la orden de compra correspondiente («Cliente») que hace referencia al presente DPA (el «Contrato»).
El presente DPA entrará en vigor a partir de la fecha de entrada en vigor del Contrato, o en la fecha de firma de la última orden de compra por parte del Cliente, o de cualquier otro acuerdo electrónico o escrito debidamente celebrado entre las partes.
1.1 Descripción del tratamiento.
El tipo de datos de carácter personal tratados en virtud del presente acuerdo de tratamiento de datos, así como el objeto, la duración, la naturaleza y la finalidad del tratamiento, y las categorías de interesados, se describen en el anexo 1 del presente acuerdo.
1.2 Alcance y funciones.
Las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos de carácter personal en el marco de la prestación de los servicios previstos en el contrato, el Cliente y/o sus filiales actúan en calidad de responsables del tratamiento y OneStock en calidad de encargado del tratamiento.
1.3 Obligaciones del cliente.
En el marco de su uso de los Servicios, el Cliente trata los Datos de Carácter Personal de conformidad con los requisitos de la legislación en materia de protección de datos. Las instrucciones del Cliente relativas al tratamiento de los Datos de Carácter Personal deben ajustarse a la legislación en materia de protección de datos, incluida, en su caso, cualquier obligación de informar a los interesados sobre el recurso a OneStock calidad de encargado del tratamiento. El Cliente es el único responsable de la exactitud, la calidad y la licitud de los Datos de Carácter Personal, así como de los medios mediante los cuales ha recopilado dichos Datos de Carácter Personal. El Cliente se asegurará de que está autorizado a transferir los Datos de Carácter Personal en cuestión a OneStock que OneStock sus Subcontratistas Posteriores puedan utilizar, tratar y transferir lícitamente dichos Datos de Carácter Personal de conformidad con el presente DPA y el Contrato, en nombre del Cliente y de sus Filiales.
1.4 Obligaciones de OneStock.
OneStock los datos de carácter personal de conformidad con los requisitos de las leyes de protección de datos aplicables a la ejecución del presente DPA, en particular:
OneStock trata los datos personales de conformidad con el Contrato y el presente DPA. Al celebrar el Contrato, el Cliente da instrucciones a OneStock trate los Datos de Carácter Personal con los siguientes fines: (i) Tratamiento de conformidad con el Contrato, la Orden de Compra aplicable y cualquier otro acuerdo electrónico o escrito debidamente celebrado, incluida la actualización de la Plataforma y la prevención o resolución de incidentes técnicos o de servicio; (ii) Tratamiento iniciado por los usuarios del Cliente en el marco de su uso de la Plataforma; y (iii) Tratamiento destinado a cumplir otras instrucciones razonables proporcionadas por el Cliente, siempre que dichas instrucciones sean compatibles con las estipulaciones del Contrato. El presente DPA y el Contrato constituyen las instrucciones documentadas del Cliente a OneStock el Tratamiento de los Datos de Carácter Personal.
OneStock los datos personales como información confidencial y se asegura de que toda persona a la que autorice a tratar datos personales haya aceptado, o esté sujeta a, obligaciones de confidencialidad similares a las que OneStock asumido en virtud del Contrato.
A petición del Cliente y cuando así lo exijan las leyes de protección de datos, OneStock al Cliente en el cumplimiento de sus obligaciones relativas a las evaluaciones de impacto en materia de protección de datos (cuando estas estén relacionadas con los Servicios, y únicamente en la medida en que el Cliente no tenga acceso de otro modo a la información pertinente y dicha información esté disponible en OneStock), así como, en su caso, en el marco de las consultas previas a la autoridad de control competente en virtud del RGPD de la UE y del RGPD del Reino Unido.
El presente DPA permanecerá en vigor hasta la fecha más tardía de entre: (i) la expiración o la rescisión del Contrato; y (ii) la devolución o la supresión de los datos de carácter personal.
3.1 Seguridad.
OneStock y mantiene un programa integral de seguridad de la información destinado a proteger los datos de carácter personal contra cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, ya sea accidental o ilícito, siempre que dichas medidas sean adecuadas en función de: (a) el tamaño, el alcance y la naturaleza de la actividad de OneStock (b) los recursos de que dispone OneStock (c) la naturaleza de la información que OneStock ; y (d) los requisitos de seguridad y confidencialidad de dicha información (en conjunto, las «Medidas de seguridad OneStock ). Las Medidas de seguridad OneStock describen en el Anexo 2 del presente DPA. OneStock periódicamente el cumplimiento de estas medidas de protección.
3.2 Notificación de infracciones.
En la medida en que lo permita y exija la ley, OneStock por escrito al Cliente, sin demora injustificada, tras haber tenido conocimiento razonable de una violación de la seguridad que haya dado lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos de carácter personal (una «violación de datos de carácter personal»). Dicha notificación describirá, en la medida en que lo permitan y lo exijan las Leyes de Protección de Datos aplicables: (a) la naturaleza de la Violación de Datos de Carácter Personal, incluyendo, si se conoce, las categorías y el número aproximado de Personas Afectadas y de Datos de Carácter Personal afectados; (b) las medidas adoptadas o previstas por OneStock responder a la violación de datos de carácter personal y mitigar sus efectos; (c) cualquier medida recomendada por OneStock Cliente para hacer frente a la violación de datos de carácter personal; y (d) los datos de contacto de la persona de contacto de OneStock con la violación de datos de carácter personal. Si OneStock puede facilitar toda esta información en la notificación inicial, la transmitirá al Cliente tan pronto como esté disponible.
3.3 Auditoría.
OneStock a auditores externos para verificar la idoneidad de sus medidas de seguridad en relación con el tratamiento de datos personales. Estas auditorías se llevan a cabo al menos una vez al año, a cargo de OneStock, por parte de profesionales de seguridad externos independientes, designados a discreción de OneStock.
El Cliente podrá solicitar una auditoría de OneStock de verificar el cumplimiento por parte de OneStock presente DPA si dicha auditoría es exigida por la legislación en materia de protección de datos y si el cumplimiento de OneStock puede demostrarse por medios menos gravosos para OneStock incluido lo dispuesto en el artículo 3.3.1). Dicha auditoría no podrá realizarse más de una vez por cada período de doce (12) meses, salvo que lo exija una autoridad de control competente, y con sujeción a las siguientes condiciones: (1) el Cliente deberá notificarlo a OneStock escrito; (2) tras la recepción, el Cliente y OneStock conjuntamente el alcance, el calendario y la duración de la auditoría, así como las tarifas de reembolso a cargo del Cliente; (3) toda auditoría estará sujeta a las obligaciones de confidencialidad previstas en el Contrato o acordadas de otro modo por escrito; (4) el Cliente reembolsará a OneStock tiempo dedicado a cualquier auditoría in situ según las tarifas de servicios profesionales vigentes en ese momento en OneStock, que se comunicarán al Cliente previa solicitud. Todas las tarifas de reembolso deberán ser razonables en relación con los recursos empleados por OneStock (5) toda auditoría deberá realizarse en horario laboral, por el Cliente o por un auditor externo independiente del Cliente que no sea competidor de OneStock, y deberá limitarse a los datos pertinentes para el Cliente; (6) el Cliente notificará sin demora OneStock cualquier incumplimiento detectado durante la auditoría, facilitando la información correspondiente.
4.1 Autorización de subcontratistas posteriores.
El Cliente otorga una autorización general por escrito: (a) que permite recurrir a las filiales de OneStock calidad de subcontratistas secundarios; y (b) que autoriza OneStock contratar a terceros subcontratistas secundarios en el marco de la prestación de los Servicios.
4.2 Identificación de los subcontratistas posteriores.
OneStock una lista actualizada de los subcontratistas posteriores, disponible en la dirección www.onestock-retail.com/fr/mentions-legales/subprocessors (la «Lista de subcontratistas posteriores»). OneStock dicha lista en caso de que se incorpore un nuevo subcontratista posterior, al menos treinta (30) días antes de la fecha en que dicho subcontratista posterior comience el tratamiento de datos de carácter personal. La Lista de Subcontratistas Posteriores incluye un mecanismo que permite al Cliente suscribirse a las notificaciones relativas a los subcontratistas posteriores nuevos o sustitutos, en particular por correo electrónico.
4.3 Objeción a un subcontratista posterior.
Si el Cliente se opone a un nuevo subcontratista posterior, podrá oponerse al uso de dicho subcontratista por parte de OneStock por escrito OneStock demora, en un plazo de diez (10) días a partir de la fecha en que OneStock actualizado la Lista de subcontratistas posteriores. Dicha notificación deberá exponer motivos razonables para la oposición. Una vez recibida dicha notificación, OneStock todo lo posible por proponer al Cliente una modificación de los Servicios o recomendar una modificación comercialmente razonable de la configuración o del uso de los Servicios por parte del Cliente, con el fin de evitar el tratamiento de los datos de carácter personal por parte del subcontratista posterior objeto de la objeción, sin imponer una carga irrazonable al Cliente. Si OneStock proponer dicha modificación en un plazo razonable que no exceda de treinta (30) días, el Cliente podrá, dentro de dicho plazo, rescindir con efecto inmediato la(s) Orden(es) de Compra aplicable(s), únicamente en lo que respecta a los Servicios que OneStock no pueda prestar OneStock recurrir al Subcontratista Posterior impugnado, notificándolo OneStock escrito OneStock . En caso de rescisión, OneStock al Cliente los Precios pagados por adelantado que cubran el período restante de vigencia de la(s) Orden(es) de compra en cuestión a partir de la fecha de efecto de la rescisión para los Servicios rescindidos, sin aplicar ninguna penalización al Cliente por dicha rescisión.
4.4 Requisitos aplicables a los subcontratistas posteriores.
OneStock con cada subcontratista posterior un acuerdo por escrito que incluya obligaciones en materia de protección de datos equivalentes a las previstas en el presente DPA. OneStock responsable de los actos y omisiones de sus subcontratistas posteriores en el marco de la ejecución del presente DPA, en la misma medida que si OneStock directamente los Servicios.
En la medida en que lo permita la ley, OneStock sin demora al Cliente si OneStock una solicitud de un interesado para ejercer los siguientes derechos: acceso, rectificación, limitación del tratamiento, supresión («derecho al olvido»), portabilidad, oposición al tratamiento o el derecho a no ser objeto de una decisión individual automatizada (cada una de ellas, una «Solicitud del interesado»). Teniendo en cuenta la naturaleza del tratamiento, OneStock al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente posible, con el fin de permitir que el Cliente cumpla con su obligación de responder a una Solicitud del Interesado de conformidad con las Leyes de Protección de Datos aplicables. Además, en la medida en que el Cliente no disponga, a través de su uso de los Servicios, de la capacidad para responder a una Solicitud del Interesado, OneStock , a petición del Cliente, esfuerzos comercialmente razonables para prestarle asistencia en la respuesta a dicha solicitud, siempre que OneStock legalmente autorizada a hacerlo y que la respuesta sea exigida por las Leyes de Protección de Datos aplicables.
De conformidad con el Contrato, tras la rescisión o la expiración del mismo, OneStock o destruirá todas las copias de los Datos del Cliente que se encuentren en los sistemas de OneStock que estén de cualquier otra forma en su poder o bajo su control, salvo que la ley lo prohíba.
Instrucciones.
Las partes acuerdan que las transferencias de datos personales a OneStock una decisión de adecuación aplicable no requieren un mecanismo de transferencia independiente aprobado. Si una transferencia de datos de carácter personal a OneStock se beneficia de una decisión de adecuación aplicable (una «transferencia restringida»), dicha transferencia restringida se llevará a cabo de conformidad con las siguientes disposiciones:
7.1 Transferencias restringidas desde el EEE o Suiza. Cuando se realiza una transferencia restringida desde el EEE o Suiza, las CCT se incorporan por referencia al presente DPA y se aplican a la transferencia de la siguiente manera:
El Módulo 2 se aplica cuando el Cliente es el responsable del tratamiento y OneStock tratamiento;
De conformidad con la cláusula 7 de los CCT, la cláusula opcional de adhesión («docking clause») no es de aplicación;
De conformidad con la cláusula 9(a) de los CCT, se aplica la opción 2 según lo dispuesto en el artículo 4 del presente DPA;
De conformidad con la cláusula 11(a) de los convenios colectivos, la redacción opcional no es aplicable;
De conformidad con la cláusula 17 de los Términos y Condiciones, se aplica la opción 1 y la legislación aplicable es la francesa;
De conformidad con la cláusula 18(b) de los Términos y Condiciones, los litigios se someterán a los tribunales de Toulouse (Francia);
El anexo 1 de los CCT se completa con la información que figura en el anexo 1 del presente DPA;
El anexo 2 de los CCT se completa con la información que figura en el anexo 2 del presente DPA;
El anexo 3 de los CCT se completa con la información que figura en la Lista de subcontratistas posteriores.
7.2 Cuando se realice una transferencia restringida desde el Reino Unido, el anexo británico a las CCT («UK Transfer Addendum») se incorpora por referencia al presente DPA y se aplica a la transferencia de la siguiente manera:
Este anexo se completa con la información que figura en el artículo 7.1.1, la Lista de subcontratistas posteriores y los anexos 1 y 2 del presente DPA;
En la tabla 4, las casillas «Importar» y «Exportar» están marcadas.
7.3 Aplicaciones específicas de los CCT. Las siguientes disposiciones se aplican a los CCT:
El Cliente podrá ejercer sus derechos de auditoría en virtud de los CCT, de conformidad con el artículo 3.3 del presente DPA;
OneStock designar a subcontratistas secundarios en virtud de los CCT, de conformidad con el artículo 4 del presente DPA;
En lo que respecta a las transferencias restringidas a OneStock, OneStock podrá participar, ni permitir que un subcontratista posterior participe, en ninguna transferencia restringida posterior, salvo que dicha transferencia posterior se realice en pleno cumplimiento de la legislación en materia de protección de datos y de conformidad con los acuerdos de tratamiento de datos aplicables o con un mecanismo de transferencia alternativo conforme.
El presente DPA está sujeto a las limitaciones de responsabilidad acordadas entre las partes en virtud del Contrato (cualquier referencia a la responsabilidad de una parte se refiere a dicha parte y a sus filiales de forma conjunta).
En lo que respecta al objeto del presente DPA, en caso de inconsistencia entre las disposiciones del presente DPA y las del Contrato, prevalecerán (por orden de prioridad): (i) las CCT; a continuación, (ii) el presente DPA; y, por último, (iii) el Contrato.
El presente DPA se regirá e interpretará de conformidad con las disposiciones relativas a la ley aplicable y la jurisdicción competente previstas en el Contrato, salvo que las leyes de protección de datos dispongan lo contrario.
OneStock modificar el presente DPA si: (i) la modificación es necesaria para cumplir con la legislación en materia de protección de datos; o (ii) la modificación es comercialmente razonable, no reduce de manera significativa la seguridad de los Servicios, no modifica el alcance del tratamiento de datos personales realizado por OneStock no tiene un impacto desfavorable significativo sobre los derechos del Cliente en virtud del presente DPA.
Los términos que comienzan con mayúscula y que no se definen en el presente DPA o en el Contrato tendrán el siguiente significado:
«Cláusulas contractuales tipo» o «CCT»: (i) cuando sea de aplicación el RGPD de la UE o la Ley federal suiza de protección de datos, las cláusulas anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las CCT para la transferencia de datos personales a terceros países en virtud del RGPD (las «CCT UE»); y (ii) cuando se aplique el RGPD del Reino Unido, las cláusulas tipo de protección de datos adoptadas o autorizadas en virtud del artículo 46 del RGPD del Reino Unido (las «CCT del Reino Unido»).
«Datos de carácter personal»: cualquier información relativa a una persona identificada o identificable que haya sido facilitada por el Cliente o en su nombre a la Plataforma, o recopilada y tratada por el Cliente o en su nombre a través de la Plataforma.
«Leyes de protección de datos»: el conjunto de leyes, tratados y/o normativas locales, estatales, nacionales y/o extranjeras, incluyendo el RGPD de la UE y el RGPD del Reino Unido, así como las leyes y normativas de Suiza y de los Estados Unidos (y de sus estados), aplicables bien: (i) a OneStock su calidad de prestador de servicios encargado del tratamiento de datos en virtud del Contrato, o (ii) al Cliente y a sus Filiales, según sea el caso.
«Persona afectada»: la persona física identificada o identificable a la que se refieren los datos de carácter personal.
«Responsable del tratamiento»: la entidad que determina los fines y los medios del tratamiento de datos personales.
«RGPD de la UE»: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
«RGPD del Reino Unido»: el RGPD de la UE tal y como se ha incorporado al ordenamiento jurídico del Reino Unido en virtud del artículo 3 de la Ley de 2018 sobre la salida de la Unión Europea (European Union (Withdrawal) Act 2018).
«Subcontratista»: la entidad que trata datos de carácter personal por cuenta del responsable del tratamiento.
«Subcontratista posterior»: cualquier subcontratista contratado por OneStock tratar datos de carácter personal en el marco de la prestación de los servicios.
«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos de carácter personal, por medios automatizados o no, tales como la recogida, el registro, la organización, la conservación, la adaptación o modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la comparación o la interconexión, la limitación, la supresión o la destrucción.
|
Exportador de datos: el Cliente Datos de contacto: según lo establecido en el contrato (incluida la orden de compra) Función: las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos personales, el Cliente actúa en calidad de responsable del tratamiento y OneStock calidad de encargado del tratamiento. |
|
Importador de datos: OneStock Datos de contacto: según lo establecido en el contrato Función: las partes reconocen y acuerdan que, en lo que respecta al tratamiento de datos personales, el Cliente actúa en calidad de responsable del tratamiento y OneStock calidad de encargado del tratamiento. |
| Categorías de personas afectadas cuyos datos se transfieren |
El exportador de datos podrá enviar datos de carácter personal a la plataforma del importador de datos en la medida en que lo determine y controle el exportador de datos, limitándose a los datos relativos a las siguientes categorías:
|
| Categorías de datos personales transferidos |
El exportador de datos podrá enviar datos de carácter personal a la plataforma del importador de datos en la medida que determine y controle el exportador, limitándose a: Para los usuarios de la Plataforma: nombre de usuario; datos de contacto; cargo; dirección de correo electrónico; dirección IP; número de teléfono; dirección postal de la tienda de destino (si procede). Para los clientes y visitantes del Cliente:
|
| Datos sensibles transferidos (en su caso) y restricciones o garantías aplicadas teniendo plenamente en cuenta la naturaleza de los datos y los riesgos existentes, tales como, por ejemplo, una limitación estricta de los fines, restricciones de acceso (en particular, acceso reservado exclusivamente al personal que haya recibido formación especializada), el mantenimiento de un registro de accesos a los datos, restricciones a las transferencias posteriores o medidas de seguridad adicionales. |
Ninguna (no están permitidas en virtud del contrato). |
| Frecuencia de la transferencia (es decir, si los datos se transfieren de forma puntual o continua). |
Continuará durante la vigencia del Contrato, en función del uso que el Cliente haga de los Servicios. |
| Tipo de tratamiento |
OneStock los datos de carácter personal en el marco de la prestación de los servicios de conformidad con el contrato. |
| Finalidad o finalidades de la transferencia y del tratamiento posterior |
Tratamiento necesario para la prestación de los Servicios de conformidad con el Contrato. |
| Plazo de conservación de los datos personales o, si no es posible determinarlo, los criterios utilizados para fijarlo. |
OneStock y conservará los datos de carácter personal de conformidad con el artículo 6 del presente DPA (Devolución y destrucción de datos). |
| En el caso de las transferencias a subcontratistas, especifique también el objeto, la naturaleza y la duración del tratamiento. |
El objeto, la naturaleza y la duración del tratamiento se especifican en la Lista de subcontratistas posteriores. |
| Identificar la autoridad de control competente de conformidad con la cláusula 13 de los CCT |
|
