Ordine per il trattamento dei dati personali
Secondo Art. 28 Paragrafo 3 S. 1GPDR
- – di seguito denominato contratto AV –
tra (il)
- Utente Homepage di SitoWebFaidate.it
- – di seguito denominato come cliente –
e (il)
- Nome/Società.:webme GmbH
- Strada Nr.:Strassburger Strasse 55
- CAP, città, Paese:10405 Berlin, Germania
- Registro del commercio/Nr.:Tribunale distrettuale Charlottenburg, HRB 244053 B
- Direttore amministrativo:Sven Lubek
- – di seguito nominato come appaltatore –
- – Appaltatore e cliente sono indicati di seguito anche come partiti contraenti. –
Allegati
- Allegato 1 „Concetto di sicurezza“
- Allegato 2 „Rapporti di subappalto“
1. Oggetto del contratto, categorie di dati, parti interessate, natura, entità e finalità del trattamento (Art. 28 Paragrafo 3, 30 Abs. 2 GDPR)
1.1. L'oggetto del contratto AV, i dati personali trattati nel contesto dell'ordine (art. 4 n. 1 GDPR, di seguito " Dati "), le persone interessate dal trattamento (di seguito denominato " Interessato ") e la natura, la portata e lo scopo del trattamento sono determinati dalle seguenti relazioni legali tra le Parti (di seguito denominate Contratto principale ):
Relazione contrattuale relativa all'utilizzo dell'homepage SitoWebfaidate e relativi servizi e funzioni.
Le disposizioni del presente contratto AV hanno la priorità sul contratto principale.
1.2. Tipologia di dati:
- Dati di inventario (ad es. nomi, indirizzi).
- Dettagli di contatto (ad es. e-mail, numeri di telefono).
- Dati contenuti (ad es. inserimento di testo, fotografie, video).
- Dati del contratto (ad es. contratto, durata, categoria del cliente).
- Dati di pagamento (ad es. coordinate bancarie, cronologia dei pagamenti).
- Dati di utilizzo (ad es. Interessi, siti web visitati, modelli di acquisto, tempi di accesso, dati di registro).
- Meta / dati di comunicazione (ad es. Id dispositivo, indirizzi IP).
1.3. Elaborazione di categorie speciali di dati (Art. 9 paragrafo 1 GDPR):
- Es werden grundsätzlich keine besonderen Kategorien von Daten verarbeitet, außer diese werden durch den Auftraggeber/ seine Kunden, Nutzer oder Mitarbeiter, etc. der Verarbeitung zugeführt.
1.4. Categorie delle persone coinvolte
- Clienti / potenziali clienti.
- Utenti e visitatori di siti web creati con sitowebfaidate.
1.5. Scopo del trattamento:
- Spazio di archiviazione (web hosting).
- Software as a Service (SaaS) -prestazioni.
- Registrazione di domain.
- Amministrazione del server / Manutenzione dell'hardware.
2. Responsabilità e autorità
2.1. Il cliente ha il diritto di impartire ulteriori istruzioni in qualsiasi momento in merito al trattamento dei dati e alle misure di sicurezza.
2.2. Il contraente può elaborare i dati solo nel contesto del contratto principale e delle istruzioni del cliente (che si applica anche in particolare alla loro correzione, cancellazione o limitazione del trattamento) e solo nella misura in cui il trattamento è richiesto, a meno che il contraente al trattamento secondo la legge di Unione o Stati membri a cui è soggetto il contraente; in tal caso, il contraente deve informare il cliente di tali requisiti legali prima dell'elaborazione, a meno che la legge pertinente vieti tale notifica a causa di un interesse pubblico importante (articolo 28, paragrafo 3, paragrafo 2, lettera a), del regolamento generale sulla protezione dei dati).
2.3. Il cliente ha il diritto di impartire ulteriori istruzioni in qualsiasi momento in merito al trattamento dei dati e alle misure di sicurezza.
2.4. Se il contraente ritiene che un'istruzione del cliente violi la legge applicabile sulla protezione dei dati, informerà immediatamente il cliente. In questo caso, il contraente ha il diritto di sospendere l'esecuzione dell'istruzione fino alla conferma dell'istruzione da parte del cliente e di rifiutare in caso di ovvie istruzioni illegali.
2.5. Il contraente può rifiutare le istruzioni se queste non sono possibili o irragionevoli per il contraente (in particolare perché il rispetto di esse sarebbe uno sforzo sproporzionato o la mancanza di possibilità tecniche). Il rifiuto può avvenire solo con la dovuta considerazione della protezione dei dati delle persone interessate e dà diritto al cliente alla risoluzione straordinaria del contratto AV, se non è prevedibile la sua prosecuzione del cliente. Se la risoluzione ha luogo prima della fine del periodo di contratto concordato, il cliente è tenuto a continuare a pagare la commissione concordata, a meno che e nella misura in cui il motivo dell'istruzione che ha dato origine alla risoluzione fosse attribuibile al contraente o fosse nella sfera di rischio del contraente.
2.6. Se le istruzioni supplementari del cliente vanno oltre l'obbligo del contraente di fornire servizi dopo il contratto principale e non si basano su una violazione del contraente, il cliente deve compensare il contraente separatamente per le spese aggiuntive risultanti.
2.7. Le parti contraenti possono nominare persone autorizzate a emettere e ricevere istruzioni (in particolare se queste non derivano già dal contratto principale) e sono tenute a notificare senza indugio la loro modifica.
3. Concetto di sicurezza e relativi obblighi
3.1. Il contraente progetterà l'organizzazione interna nella propria area di responsabilità in conformità con i requisiti legali e in particolare adotterà misure tecniche e organizzative (di seguito "TOM") per garantire adeguatamente, in particolare la riservatezza, l'integrità e la disponibilità dei dati del cliente, tenendo conto dello stato dell'arte Tecnologia, costi di attuazione e natura, portata, circostanze e finalità del trattamento e diversa probabilità e gravità del rischio per i diritti e le libertà degli interessati e il loro mantenimento (Articolo 28, paragrafi 3 e 32, - 39) ai sensi dell'articolo 5 GDPR). In particolare, le TOM includono controllo degli accessi, controllo degli accessi, controllo degli accessi, controllo dei trasferimenti, controllo degli input, controllo degli ordini, controllo della disponibilità, controllo della separazione e protezione dei diritti delle persone interessate.
3.2. Le TOM alla base di questo contratto AV sono riportate nell'Appendice 1 "Concetto di sicurezza". Possono essere ulteriormente sviluppati in conformità con il progresso tecnico e sostituiti da adeguate misure di protezione, a condizione che non scendano al di sotto del livello di sicurezza delle misure specificate e che vengano comunicati cambiamenti significativi al cliente.
3.3. Il Contraente deve assicurarsi che le persone autorizzate al trattamento dei dati del Cliente siano vincolate alla riservatezza e alla riservatezza (Articolo 28 (3) (2) (b) e (29), 32 (4) GDPR) e siano state istruite nelle disposizioni del GDPR o un ragionevole obbligo di riservatezza legale.
3.4. I dati forniti nell'ambito del contratto AV, nonché i supporti dati e tutte le copie fatte rimangono di proprietà del cliente, devono essere attentamente conservati dal contraente, protetti dall'accesso non autorizzato da parte di terzi e possono essere utilizzati solo con il consenso del cliente, e essere distrutto. Copie dei dati possono essere effettuate solo se sono necessarie per adempiere agli obblighi principali e accessori del contraente nei confronti del contraente (ad esempio, backup).
3.5. Nella misura stabilita dal GDPR o da regolamenti supplementari, in particolare nazionali, il contraente nominerà un responsabile della protezione dei dati corrispondente ai requisiti legali e ne informerà il cliente (articoli da 37 a 39 del GDPR).
4. Obbligo di informazione e partecipazione
4.1. I diritti interessati devono essere esercitati nei confronti del cliente, per cui il contraente deve utilizzare il cliente ai sensi dell'art. Art. 28 paragrafo 3 frase 2 lit. e. GDPR lo supporta e lo informa in particolare sulle richieste da lui ricevute in questione.
4.2. Il cliente informerà tempestivamente e integralmente l'appaltatore se, per quanto riguarda il trattamento dei dati, identifica errori o irregolarità in relazione al rispetto delle disposizioni del presente contratto AV o delle pertinenti norme sulla protezione dei dati.
4.3. Nel caso in cui il contraente determini fatti che giustificano l'ipotesi che la protezione dei dati trattati per il cliente sia stata violata, il contraente deve informare immediatamente e completamente il cliente, adottare le misure di protezione prontamente necessarie e nell'esecuzione del obblighi in capo al cliente Art. 33 e 34 GDPR.
4.4. Qualora la sicurezza dei dati del cliente venisse messa in pericolo da misure di terzi (es. creditori, autorità, tribunali, ecc.) (sequestro, confisca, procedure concorsuali, ecc.) Il contraente informerà immediatamente i terzi che la sovranità e la proprietà del I dati sono esclusivamente con il cliente e, previa consultazione con il cliente, se necessario, adottano misure di protezione adeguate (ad es. Contraddizioni, domande, ecc.).
4.5. Il contraente informerà senza indugio il cliente se un'autorità di controllo agisce contro il contraente e l'attività di quest'ultimo può influire sui dati trattati per il contraente. Il contraente supporta il cliente nell'esercizio delle sue funzioni (in particolare per fornire informazioni e tollerare i controlli) nei confronti delle autorità di vigilanza (articolo 31 GDPR).
4.6. Il contraente deve fornire al cliente le informazioni relative al trattamento dei dati nell'ambito del presente contratto AV, necessario per l'adempimento degli obblighi di legge (in particolare quelli degli interessati o delle autorità e il rispetto degli obblighi di responsabilità ai sensi dell'articolo 5, paragrafo 2, GDPR) 35 del GDPR), a condizione che il cliente non possa ottenere queste informazioni da solo. Le informazioni devono essere disponibili al contraente e non devono essere acquisite da terzi, per cui dipendenti, agenti e subappaltatori del cliente non sono considerati terzi.
4.7. Se la fornitura delle informazioni necessarie e la partecipazione all'obbligo di prestazione del contraente va oltre il contratto principale e non si basa su una violazione del contraente, il cliente deve compensare il contraente separatamente per le spese aggiuntive risultanti.
5. Poteri di controllo
5.1. Il cliente ha il diritto di verificare la conformità con i requisiti legali e le disposizioni del presente contratto AV, in particolare i TOM, presso l'appaltatore in qualsiasi momento nella misura richiesta (art. 28 cpv. 3 lett. H GDPR).
5.2. I controlli in loco vengono effettuati durante il normale orario di lavoro, devono essere comunicati dal cliente entro un ragionevole periodo di tempo (almeno 14 giorni, tranne in caso di emergenza) e supportati dall'appaltatore (ad esempio fornendo personale).
5.3. I controlli sono limitati allo scopo necessario e devono tenere conto dei segreti commerciali e commerciali del contraente, nonché della protezione dei dati personali di terzi (come altri clienti o dipendenti del contraente). Solo le persone competenti sono autorizzate a svolgere il controllo che possono legittimarsi e sono tenute a mantenere il segreto per quanto riguarda i segreti commerciali e commerciali e i processi del contraente e i dati personali di terzi.
5.4. Invece di ispezioni e controlli in loco, il contraente può chiedere al cliente un controllo equivalente da parte di terzi indipendenti (come i revisori della privacy neutrali), la conformità con i codici di condotta approvati (art. 40 GDPR) o adeguate certificazioni sulla privacy o sulla sicurezza IT. Art. 42 GDPR. Ciò vale in particolare se i segreti aziendali e commerciali del contraente o i dati personali di terzi sarebbero compromessi dai controlli.
5.5. Se la tolleranza e la partecipazione alle ispezioni o adeguate misure alternative del cliente superano l'obbligo del contraente di eseguire dopo il contratto principale e non si basano su una violazione da parte del contraente, il cliente deve remunerare il contraente separatamente per le spese aggiuntive derivanti.
6. Rapporti di subappalto
6.1. Se il contraente utilizza i servizi di un subappaltatore (ovvero subappaltatore o subappaltatore) per svolgere determinate attività di elaborazione per conto del preponente, deve concedere al subappaltatore gli stessi obblighi di protezione dei dati ai sensi di un contratto o di qualsiasi altro strumento legale consentito dal GDPR ai sensi del presente contratto AV (in particolare per quanto riguarda la conformità alle istruzioni, la conformità alle TOM, le informazioni e la tolleranza dei controlli). Inoltre, il contraente deve selezionare attentamente il subappaltatore, valutare la sua affidabilità e monitorare la sua conformità ai requisiti contrattuali e legali (articolo 28, paragrafi 2 e 4, GDPR).
6.2. Fatte salve eventuali limitazioni imposte dal contratto principale, il cliente accetta espressamente che il contraente possa utilizzare subappaltatori come parte dell'elaborazione dell'ordine.
6.3. Le condizioni di subappalto già esistenti per la conclusione di questo contratto AV sono specificate dal contraente nell'allegato 2 „rapporti di subappalto“ sono considerate dal contraente come approvate.
6.4. Il contraente informa il cliente in merito alle modifiche dei subappaltatori rilevanti per l'elaborazione degli ordini. Il preside esercita il suo diritto di opporsi ai cambiamenti o ai nuovi subappaltatori solo in conformità con i principi di buona fede e la sua adeguatezza e equità.
6.5. I rapporti contrattuali in cui il contraente utilizza i servizi di terzi come mero servizio accessorio al fine di svolgere le proprie attività commerciali (ad es. servizi di pulizia, protezione o trasporto) non costituiscono elaborazione in conto lavoro ai sensi delle disposizioni di cui sopra del presente contratto AV. chiedere, ad es da accordi contrattuali o istruzioni e istruzioni che la sicurezza dei dati non è in pericolo e che sono rispettati i requisiti del presente contratto AV e le norme sulla protezione dei dati.
7. Elaborazione in Paesi terzi
7.1. La fornitura del trattamento dei dati concordato contrattualmente avviene esclusivamente in uno stato membro dell'Unione Europea o in un altro Stato contraente dell'accordo sullo Spazio economico europeo (SEE).
7.2. Il trattamento degli ordini in un paese terzo, anche da parte di subappaltatori, richiede il consenso preventivo dell'amministrazione aggiudicatrice e può avvenire solo se sono soddisfatte le condizioni speciali di cui all'articolo 44 e seguenti GDPR, tranne se il contraente è vincolato dalla legge dell'Unione o l'elaborazione del paese terzo nel paese terzo Stati membri a cui è soggetto il contraente; in tal caso, il contraente deve informare il cliente di tali requisiti legali prima dell'elaborazione, a meno che la legge pertinente vieti tale notifica a causa di un interesse pubblico importante (articolo 28, paragrafo 3, paragrafo 2, lettera a), del regolamento generale sulla protezione dei dati).
7.3. Il consenso dell'ente aggiudicatore al trattamento nel paese terzo si considera concesso per le operazioni di trattamento di cui all'allegato 2 „Subappalto“.
8.Durata del contratto, risoluzione del contratto e cancellazione dei dati
8.1. l presente contratto AV diventa valido al momento della sua conclusione, è concluso per un periodo indeterminato e termina entro la scadenza del contratto principale.
8.2. Il diritto di risoluzione straordinaria rimane riservato alle parti contraenti, in particolare in caso di grave violazione delle disposizioni del presente contratto AV e della legge applicabile sulla protezione dei dati. In linea di principio, la risoluzione straordinaria deve essere preceduta da un'avvertenza contro le violazioni entro un ragionevole periodo di tempo, sebbene non sia necessario se non si prevede che le violazioni contestate siano sanate o se pesano così pesantemente che l'adesione al contratto AV della parte contrattuale che recede non è prevedibile.
8.3. Al completamento della fornitura dei servizi di elaborazione ai sensi del presente contratto, il contraente raccoglierà tutti i dati personali e le loro copie (nonché tutti i documenti ottenuti in relazione al contratto, i risultati di elaborazione e utilizzo e le banche dati), a scelta del Committente cancellare o restituire a meno che non vi sia un obbligo ai sensi della legislazione nazionale o dell'UE di conservare i dati personali (articolo 28 (1) (2) (g) GDPR). L'obiezione di un diritto di conservazione è esclusa per quanto riguarda i dati trattati e i supporti dati associati. Per quanto riguarda la cancellazione o la restituzione, i diritti di informazione, verifica e ispezione del cliente si applicano in conformità con questo contratto AV.
8.4. Per il resto, gli obblighi derivanti dal presente contratto AV in relazione ai dati elaborati nell'ordine rimangono validi anche dopo la risoluzione del contratto AV.
8.5. Se la cancellazione o la restituzione dei dati supera l'obbligo del contraente di fornire servizi dopo il contratto principale e se non si basano su una violazione del contraente, il cliente deve remunerare il contraente separatamente per le spese aggiuntive risultanti.
9. Compenso
9.1.Il compenso concordato ai sensi del presente accordo AV include anche un compenso per l'orario di lavoro del personale richiesto dal contraente e tutte le spese necessarie (ad esempio spese di viaggio o materiali). Se possibile, prevedibile e ragionevole, il contraente informa il cliente dell'importo della remunerazione mediante una stima adeguata.
9.2. Se il contraente ha diritto a una compenso ai sensi del presente contratto AV, questo verrà addebitato ad una tariffa oraria di 100,00 EUR netti. Per inciso, si applicano le norme sulla remunerazione del contratto principale.
10. Responsabilità
10.1. Nel rapporto interno con il solo contraente, il cliente è responsabile nei confronti della persona interessata per il risarcimento dei danni subiti da una persona interessata a causa di un trattamento o utilizzo illegale o errato dei dati nell'ambito dell'elaborazione dell'ordine, nella misura in cui ha causato i danni, o legalmente o in altro modo è contrattualmente obbligato ad accettarli.
10.2. Ciascuna parte si libera da responsabilità se una delle parti dimostra di non avere alcuna responsabilità per le circostanze in cui il danno si è verificato a una parte interessata.
11. Disposizioni finali, gerarchia, modifiche, forma di comunicazione, scelta della legge, foro competente
11.1. Modifiche, accordi collaterali e aggiunte al presente contratto AV e ai suoi allegati richiedono un accordo scritto e il riferimento esplicito al fatto che si tratta di una modifica o di un supplemento al presente contratto AV. Ciò vale anche per la rinuncia a questo requisito del modulo..
11.2. Il presente contratto AV obbliga il contraente solo nella misura in cui ciò è necessario per adempiere agli obblighi statutari, in particolare ai sensi degli articoli 28 e seguenti GDPR, e non impone ulteriori obblighi al contraente.
11.3. Fatto salvo l'obbligo della forma scritta nel presente contratto AV e nel contratto principale, la comunicazione tra il contraente e il cliente nell'ambito del presente contratto AV (in particolare per quanto riguarda le istruzioni e le informazioni) almeno in forma testuale (ad esempio e-mail). Una forma minore (ad es. Orale) può essere consentita nelle circostanze piuttosto che nella forma testuale (ad es. In una situazione di emergenza) ma deve essere prontamente confermata, almeno in forma testuale. Se è richiesta la forma scritta, si intende la forma scritta ai sensi del GDPR.
11.4. Si applica la legge della Repubblica federale di Germania, a condizione che il contraente sia un imprenditore e non un consumatore o mantenga la sua residenza o residenza abituale al di fuori dell'Unione europea. Il foro competente esclusivo per tutte le controversie derivanti da o in connessione con questo contratto AV è la sede legale del contraente, a condizione che il cliente sia un commerciante, un'entità legale di diritto pubblico o un fondo speciale di diritto pubblico o se il cliente non ha un foro competente nella Repubblica Federale Tedesca. Il contraente si riserva il diritto di far valere i propri crediti presso il foro competente.
Ordine per il trattamento dei dati personali
Allegato 1 – Concetto di sicurezza
Misure tecniche e organizzative sec. Art. 32 GDPR
1. Concetto di protezione dei dati, soggetti interessati, progettazione tecnologica e protezione dei dati a livello di dipendente
Misure fondamentali per salvaguardare i diritti degli interessati, risposta immediata in caso di emergenza, progettazione tecnica e privacy a livello di dipendente:
- Esiste una gestione interna della protezione dei dati, la cui aderenza è costantemente monitorata nonché relativa agli eventi e valutata almeno semestralmente.
- Esiste un concetto che garantisce i diritti degli interessati (informazione, correzione, cancellazione o limitazione del trattamento, trasferimento dei dati, revoca e opposizione) entro i termini legali. Comprende moduli, linee guida e procedure di attuazione stabilite, nonché i nomi delle persone responsabili dell'attuazione.
- Esiste un concetto che garantisce una risposta immediata e legale alle violazioni dei dati personali (test, documentazione, reportistica). Comprende moduli, linee guida e procedure di attuazione stabilite, nonché i nomi delle persone responsabili dell'attuazione
- La protezione dei dati personali è già presa in considerazione, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, portata, circostanze e finalità del trattamento e della diversa probabilità e gravità dei rischi per i diritti e le libertà delle persone fisiche associate al trattamento lo sviluppo o la selezione di hardware, software e procedure, secondo il principio della protezione dei dati mediante la progettazione tecnologica e le impostazioni predefinite rispettose della privacy considerate (articolo 25 GDPR).
- I dipendenti dovranno mantenere la riservatezza, essere istruiti e istruiti in merito alla protezione dei dati, nonché alle possibili conseguenze sulla responsabilità. Se i dipendenti lavorano al di fuori dei locali dell'azienda o utilizzano dispositivi privati per attività operative, esistono norme speciali per la protezione dei dati in queste costellazioni e la protezione dei diritti dei clienti di un ordine di elaborazione.
- Le chiavi rilasciate ai dipendenti, le carte di accesso o i codici nonché le autorizzazioni concesse in relazione al trattamento dei dati personali vengono ritirate o ritirate dopo che hanno lasciato la società o sono cambiate le responsabilità.
- Il personale addetto alle pulizie, le guardie di sicurezza e altri fornitori di servizi utilizzati per svolgere attività accessorie sono accuratamente selezionati e garantiranno il rispetto della protezione delle informazioni personali.
2. Controllo degli accessi
Misure per impedire l'accesso non autorizzato alle apparecchiature di elaborazione dei dati che elaborano o utilizzano i dati personali:
- A parte le stazioni di lavoro e i dispositivi mobili, nessun sistema di elaborazione dei dati viene gestito nei locali dell'azienda. I dati del cliente sono archiviati da provider di hosting esterni in conformità con le specifiche per l'elaborazione degli ordini.
- Esistono norme di accesso per i non dipendenti.
- I visitatori devono riferire alla reception, essere registrati e ritirati da un dipendente (sede del server).
- I visitatori delle sale server vengono registrati.
- C'è un sistema di allarme installato nei locali del server..
- L'accesso è garantito da un sistema di chiusura manuale con blocchi di sicurezza.
- Esiste un regolamento per chiavi o carte di accesso (registrazione del rilascio).
- Gli accessi sono monitorati da video (locali del server).
3. Controllo degli accessi
Misure per impedire l'uso dei sistemi di trattamento dei dati da parte di persone non autorizzate:
- Esiste un concetto di diritti, o concetto di ruolo, che determina i diritti di accesso di dipendenti, agenti e altre persone (ad esempio, utenti all'interno del sistema) e solo nella misura necessaria per l'uso dato.
- Tutti i sistemi di elaborazione dei dati sono protetti da password.
- Esiste un concetto di password che specifica che le password devono avere una lunghezza e una complessità minime coerenti con i requisiti di sicurezza e all'avanguardia.
- Viene utilizzato un software di gestione delle password.
- Gli accessi nei sistemi di elaborazione sono registrati.
- Viene utilizzato un software antivirus.
- Viene utilizzato un hardware firewall.
- Viene utilizzato un software firewall.
- Il sito web e / o l'accesso alle offerte di software online sono protetti dalla crittografia TLS / SSL corrente.
- I sistemi interni sono protetti da firewall, nonché nome utente e password e / o certificati client da accessi non autorizzati.
- I dispositivi mobili sono crittografati.
4. Controllo accessi eimmissioni
Misure per garantire che gli utenti del sistema dell'interessato possano accedere solo ai dati soggetti alla loro autorizzazione di accesso e che non sia possibile accedere, inserire, leggere, copiare, alterare o rimuovere i dati personali durante l'elaborazione, l'uso e dopo la memorizzazione; Misure che consentono di comprendere retrospettivamente le operazioni di elaborazione:
- Esiste un concetto di diritti o un concetto di ruolo che determina i diritti di accesso di dipendenti, agenti e altre persone (ad esempio utenti all'interno del sistema) e solo nella misura necessaria per l'uso dato.
- Registrazione di ogni singola fase del trattamento dei dati, in particolare degli accessi alle applicazioni, in particolare con l'inserimento, la modifica e la cancellazione dei dati.
- L'accesso dei dipendenti ai dati è registrato in aree critiche per la sicurezza. Se gli accessi individuali non vengono registrati, si garantisce che è comprensibile chi ha accesso a quali dati e quando (ad esempio, registrando l'uso del software o inferendo dai tempi di accesso e dal concetto di autorizzazione).
- Registrazione di ogni passaggio, in particolare dell'accesso alle applicazioni, in particolare durante l'immissione, la modifica e l'eliminazione dei dati.
- I supporti dati con informazioni critiche per la sicurezza o dati personali sono conservati in modo sicuro.
- Esiste un concetto di eliminazione e smaltimento con responsabilità e obblighi di registrazione definiti. I dipendenti sono stati informati dei requisiti legali, dei periodi di cancellazione e delle specifiche per la distruzione dei dati o la distruzione dei dispositivi da parte dei fornitori di servizi.
- Il trattamento dei dati che non viene eliminato (ad esempio a causa degli obblighi legali di archiviazione) è limitato bloccando le comunicazioni e la segregazione.
- Moduli dai quali i dati sono stati acquisiti nell'elaborazione automatizzata vengono conservati se basati su istruzioni dei clienti o se il modulo cartaceo ha rilevanza legale.
5. Controllo di trasmissione
Misure per garantire che i dati personali non possano essere letti, copiati, alterati o rimossi illegalmente durante la trasmissione elettronica o durante il loro trasporto o archiviazione su supporti di dati e che sia possibile verificare e accertare a quali luoghi avvenga un trasferimento di dati personali mediante la trasmissione dei dati fornita:
- determinazione delle persone autorizzate alla fornitura di supporti dati e quelle autorizzate.
- Esiste un inventario e controllo dell'inventario dei dati.
- Viene determinato per quale periodo è possibile l'accesso ai dati.
- Nel caso del trasporto fisico, vengono selezionati contenitori di trasporto sicuri o imballaggi di trasporto o la sicurezza dei dati è garantita da una supervisione personale, a condizione che ciò sia sufficiente alla luce dei pericoli per i dati.
- Nel caso dell'accesso remoto ai dati, le misure del protocollo assicurano che i trasferimenti o la divulgazione dei dati siano tracciabili.
- Viene creata e controllata una panoramica dei processi di recupero e consegna regolari.
- Se necessario, possibile e ragionevole, i dati saranno trasmessi in forma anonima o in forma pseudonimizzata.
6.Controllo dell' incarico
Misure per garantire che i dati personali elaborati su incarico possano essere trattati solo in conformità con le istruzioni dei clienti:
- Impegno di dipendenti e agenti nel rispetto delle istruzioni.
- Determinazione scritta e documentazione delle istruzioni.
- I requisiti contrattuali e legali per la messa in servizio dei subappaltatori vengono rispettati stipulando contratti AV e garantendo le garanzie necessarie e il loro controllo.
- Ci sissicura che i dati vengano restituiti o distrutti dopo il completamento del lavoro.
7. Controllo della disponibilità
Misure per garantire che i dati personali siano protetti dalla distruzione o perdita accidentale:
- utilizzo di sistemi e servizi server fail-safe duplicati, soggetti a test di carico e test hardware, con protezione DDoS e alimentazione continua (ad es. alimentatori RAID, HA).
- utilizzo di sistemi e servizi server dotati di rilevatori di umidità, nonché sistemi di allarme antincendio e antifumo ed estintori o estintori nella sala computer..
- utilizzo disistemi e servizi server che forniscono un concetto di backup affidabile e controllato e un concetto di recupero. I backup vengono eseguiti quotidianamente.
- I backup vengono inoltre creati e controllati per workstation e mobile computing (server o cloud storage).
- La disponibilità dei sistemi di elaborazione dei dati è costantemente monitorata.
8. Garanzia della destinazione vincolata / ordine di separazione
Misure per garantire che i dati raccolti per scopi diversi possano essere trattati separatamente:
- Se necessario, possibile e ragionevole, i dati sono fisicamente separati (ad esempio, utilizzando server diversi). Se non vi è alcuna separazione fisica, i dati vengono logicamente separati (ad es. In database diversi o etichettando con attributi di scopo corrispondenti o campi di dati).
- Un attacco da parte di persone o processi non autorizzati è impedito da un concetto di autorizzazione.
- I sistemi produttivi e di prova sono separati se ciò è necessario per mantenere gli stanziamenti.
Ordine per il trattamento dei dati personali
Allegato 2 – Rapporti di subappalto
-
Google Ireland Limited, Gordon House, Barrow Street, Dublino 4, Irlanda;
Scopo: Google Analytics, Google Suite;
Accordo: contratto AV del 26.03.2018;
Garanzia nel caso di paesi terzi: Privacy Shield. -
IP Exchange GmbH, Am Tower 5, 90475 Nürnberg, Germania;
Scopo: ubicazione del proprio server web, connessione Internet, servizi di sicurezza, servizi di manutenzione tecnica;
Accordo: contratto AV del 23.05.2018; -
LeaseWeb Deutschland GmbH, Kleyerstraße 75-87, 60326 Francoforte sul Meno, Germania;
Scopo: servizi di archiviazione e database, servizi di sicurezza, servizi di manutenzione tecnica;
Accordo: contratto AV del 16.04.2018; -
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen Germania
Scopo: servizi di archiviazione e database, servizi di sicurezza, servizi di manutenzione tecnica;
Accordo: contratto AV del 16.03.2018; -
Binect GmbH, Robert-Koch-Str. 9, 64331 Weiterstadt, Germania;
Scopo: invio di posta;
Accordo: contratto AV del 17.04.2018; -
InterNetX GmbH, Johanna-Dachs-Str. 55, 93055 Regensburg, Germania;
Scopo: Domain-Provider;
Accordo: contratto AV del 05.06.2018;