III. Otras disposiciones. UNIVERSIDADES. Encomienda de gestión. (BOE-A-2024-21589)
Resolución de 7 de octubre de 2024, de la Universidad Nacional de Educación a Distancia, por la que se publica el Acuerdo de encomienda de gestión a la Fundación UNED, para ejecutar las actividades de tipo académico y administrativo en el IV Congreso de la Red de Universidades Serranía Celtibérica.
7 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 21 de octubre de 2024
Sec. III. Pág. 134970
Subcontratación: El encargado no podrá subcontratar, ni total ni parcialmente,
ninguna de las prestaciones que formen parte del objeto de esta encomienda de gestión
que comporten el tratamiento de datos personales sin autorización previa y por escrito
del responsable.
Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este
hecho se deberá comunicar previamente y por escrito al responsable, con antelación
suficiente, indicando los aspectos que se pretenden subcontratar e identificando de
forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La
subcontratación deberá ser autorizada por escrito por el responsable, siempre antes de
su inicio, y deberá regirse con lo estipulado en el artículo 28.4 del RGPD.
Instrucciones del responsable: El encargado tratará los datos personales únicamente
siguiendo instrucciones documentadas del responsable.
Transferencia internacional: Si el encargado debe transferir datos personales a un
tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los
Estados miembros que le sea aplicable, informará por escrito al responsable de esa
exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones
importantes de interés público.
Confidencialidad: El encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud de la
presente encomienda de gestión, incluso después de que finalice la misma.
El encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia
expresa de la naturaleza y extensión de esta obligación.
El encargado mantendrá a disposición del responsable la documentación acreditativa
del cumplimiento de esta obligación.
Medidas de seguridad: El encargado con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware) realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán
la implantación de mecanismos adecuados a los riesgos detectados tal y como se
describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en
concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un
informe por el encargado, que deberá proporcionar al responsable. El alcance de dicha
evaluación de riesgos de seguridad de la información será la totalidad de datos tratados
por cuenta del responsable. Las medidas de seguridad abarcarán la protección de los
sistemas de información, así como de los sistemas de tratamiento manual y archivo de la
documentación.
Registro de actividades de tratamiento: El encargado llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta del responsable con el
contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en
alguna de las excepciones del artículo 30.5.
No comunicación: El encargado no comunicará los datos a terceras personas, salvo
que cuente con la autorización expresa del responsable, en los supuestos legalmente
admisibles.
cve: BOE-A-2024-21589
Verificable en https://www.boe.es
Núm. 254
Lunes 21 de octubre de 2024
Sec. III. Pág. 134970
Subcontratación: El encargado no podrá subcontratar, ni total ni parcialmente,
ninguna de las prestaciones que formen parte del objeto de esta encomienda de gestión
que comporten el tratamiento de datos personales sin autorización previa y por escrito
del responsable.
Si fuera necesario subcontratar, total o parcialmente, algún tratamiento de datos, este
hecho se deberá comunicar previamente y por escrito al responsable, con antelación
suficiente, indicando los aspectos que se pretenden subcontratar e identificando de
forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La
subcontratación deberá ser autorizada por escrito por el responsable, siempre antes de
su inicio, y deberá regirse con lo estipulado en el artículo 28.4 del RGPD.
Instrucciones del responsable: El encargado tratará los datos personales únicamente
siguiendo instrucciones documentadas del responsable.
Transferencia internacional: Si el encargado debe transferir datos personales a un
tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los
Estados miembros que le sea aplicable, informará por escrito al responsable de esa
exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones
importantes de interés público.
Confidencialidad: El encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud de la
presente encomienda de gestión, incluso después de que finalice la misma.
El encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia
expresa de la naturaleza y extensión de esta obligación.
El encargado mantendrá a disposición del responsable la documentación acreditativa
del cumplimiento de esta obligación.
Medidas de seguridad: El encargado con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware) realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán
la implantación de mecanismos adecuados a los riesgos detectados tal y como se
describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en
concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un
informe por el encargado, que deberá proporcionar al responsable. El alcance de dicha
evaluación de riesgos de seguridad de la información será la totalidad de datos tratados
por cuenta del responsable. Las medidas de seguridad abarcarán la protección de los
sistemas de información, así como de los sistemas de tratamiento manual y archivo de la
documentación.
Registro de actividades de tratamiento: El encargado llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta del responsable con el
contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en
alguna de las excepciones del artículo 30.5.
No comunicación: El encargado no comunicará los datos a terceras personas, salvo
que cuente con la autorización expresa del responsable, en los supuestos legalmente
admisibles.
cve: BOE-A-2024-21589
Verificable en https://www.boe.es
Núm. 254
