Contrat de traitement des commandes CCM19
Vous pouvez également télécharger le texte ci-dessous au format PDF ici. Une fois le document complété, il suffit de l'envoyer à info@ccm19.de.
Convention entre le mandant
et la société
Papoo Software & Media GmbH
fabricant CCM19
Auguststr. 4
53229 Bonn
(ci-après "le contractant")
concernant le traitement des données à caractère personnel. Les définitions figurant dans les CGV ou dans le cahier des charges s'appliquent également au présent accord de traitement des commandes.
1.Objet et durée de la mission
1.1. Objet de la mission
L'objet du contrat de traitement de la commande est l'exécution des tâches suivantes par le sous-traitant, conformément à la description des prestations figurant dans l'offre : collecte, gestion, documentation et transmission du consentement des utilisateurs du client et, le cas échéant, autres services.
Dans ce cadre, le sous-traitant traite des données à caractère personnel pour le compte du client au sens de l'article 4, point 2, et de l'article 28 du RGPD sur la base des CGV.
1.2. durée de la mission
La durée de la présente mission (durée) correspond à la durée du contrat.
2. Contenu de la commande
2.1. Étendue, nature et finalité
L'étendue, la nature et la finalité de la collecte, du traitement et/ou de l'utilisation des données à caractère personnel par le prestataire
pour le compte du client sont concrètement décrites dans la description des prestations dans l'offre et/
ou au point 2.2.
2.2. type de données
La collecte, le traitement et / ou l'utilisation des données à caractère personnel portent sur les données suivantes :
- données client : Paramètres et données de connexion
- Données utilisateur :
- Données de consentement (Consent ID, heure du consentement, Opt-in ou Opt-out, langue de la bannière, paramètres du client dans la bannière - données de consentement, modèle)
- Données de l'appareil (HTTP Agent, HTTP Referrer, HTTP Page)
- Données IP anonymisées, adresse IP en 24h rollover dans les fichiers log
- En cas d'utilisation de statistiques avancées ou d'autres plugins statistiques : données du navigateur (version)
2.3. qui est concerné
Les personnes suivantes sont concernées :
1. Visiteurs du site web ou utilisateurs de l'app,
2. Clients / utilisateurs enregistrés
3.Pouvoir d'instruction du donneur d'ordre / lieu de traitement des données
3.1. Le traitement des données spécifiées n'a lieu que dans le cadre des accords conclus et conformément aux instructions documentées du donneur d'ordre (cf. art. 28, al. 3, let. a du RGPD). Le donneur d'ordre se réserve, dans le cadre de la description de la mission établie dans le présent accord, un droit d'instruction global sur le type, l'étendue et la procédure de traitement des données, qu'il peut concrétiser par des instructions individuelles. Les modifications de l'objet du traitement et les changements de procédure doivent faire l'objet d'une concertation et être documentés. Les dépenses supplémentaires qui en résultent doivent être remboursées par le client. Le preneur d'ordre ne peut fournir des informations à des tiers ou à la personne concernée qu'avec l'accord écrit préalable du donneur d'ordre.
3.les instructions orales du donneur d'ordre doivent être confirmées immédiatement par écrit ou par e-mail (sous forme de texte). Le preneur d'ordre n'utilise pas les données à d'autres fins et n'est notamment pas autorisé à les transmettre à des tiers. Font exception à cette règle les copies de sécurité, dans la mesure où elles sont nécessaires pour garantir un traitement correct des données, ainsi que les données nécessaires en vue de respecter les obligations légales en vertu du droit de l'Union ou du droit d'un État membre de l'UE, ainsi que pour respecter les obligations de conservation.
3.3) Le sous-traitant est tenu d'informer immédiatement le client, conformément à l'article 28, paragraphe 3, alinéa 2 du RGPD, s'il estime qu'une instruction enfreint la législation sur la protection des données. Le sous-traitant est en droit de suspendre l'exécution des instructions correspondantes jusqu'à ce qu'elles soient confirmées ou modifiées par le responsable du traitement du client.
3.4) Le traitement des données du client par le sous-traitant a lieu au sein de l'UE. Le sous-traitant est tenu d'informer le client, avant le début du traitement, de toute obligation légale du sous-traitant d'effectuer le traitement des données du client dans un autre lieu, dans la mesure où une telle notification n'est pas interdite par la loi. Le traitement et / ou le transfert vers un pays tiers en dehors du territoire de l'UE ou vers une organisation internationale nécessite l'accord écrit préalable du donneur d'ordre. Dans un tel cas, le preneur d'ordre est en outre tenu, conformément aux dispositions légales applicables et aux interprétations judiciaires et administratives de celles-ci, de veiller à un niveau de protection des données adéquat sur le lieu de traitement des données ou - au choix du donneur d'ordre - de donner au donneur d'ordre la possibilité de veiller à un niveau de protection des données adéquat, entre autres par la conclusion ou l'adhésion à des clauses contractuelles types de l'UE.
4.Confidentialité
Le sous-traitant garantit qu'il est interdit aux employés chargés du traitement des données à caractère personnel et aux autres personnes travaillant pour le sous-traitant de traiter les données à caractère personnel en dehors des instructions données. En outre, le sous-traitant garantit que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de secret professionnel appropriée. L'obligation de confidentialité / de secret professionnel subsiste même après la fin de la mission.
5.Mesures techniques et organisationnelles
5.1. Dans son domaine de responsabilité, le contractant concevra l'organisation interne de l'entreprise de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Il veillera à prendre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel du donneur d'ordre, conformément aux exigences de l'article 32 du RGPD. En particulier, les mesures techniques et organisationnelles doivent être prises de telle sorte que la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services liés au traitement des données soient garanties à long terme. Ces mesures techniques et organisationnelles sont décrites à l'annexe 1 du présent accord. Le donneur d'ordre a connaissance de ces mesures techniques et organisationnelles et assume la responsabilité de veiller à ce qu'elles offrent un niveau de protection adéquat au regard des risques liés aux données à traiter.
5.2) Les mesures techniques et organisationnelles sont soumises au progrès et au développement techniques. Dans cette mesure, le sous-traitant est autorisé à mettre en œuvre des mesures alternatives adéquates. Ce faisant, le niveau de sécurité des mesures définies ne doit pas être inférieur. Les modifications importantes doivent être documentées.
6.Relations de sous-traitance
6.1. L'intervention et/ou la modification de sous-traitants par le preneur d'ordre n'est en principe autorisée qu'avec l'accord du donneur d'ordre. Le donneur d'ordre consent à l'utilisation de sous-traitants comme suit :
6.1.1. Le donneur d'ordre consent d'ores et déjà à l'utilisation des sous-traitants énumérés à l'annexe 2 du présent accord.
6.1.2 Le mandant accepte la modification ou l'ajout d'autres sous-traitants si le mandataire informe le mandant concerné par écrit (un e-mail suffit) de l'intervention ou de la modification 1 mois / (30) jours avant le début du traitement des données. Le client peut s'opposer à l'intervention d'un nouveau sous-traitant / d'un sous-traitant modifié. En l'absence d'opposition dans le délai imparti, le consentement à l'intervention ou à la modification est réputé acquis. Le donneur d'ordre prend acte du fait que, dans certains cas, la prestation ne peut plus être fournie sans l'intervention d'un sous-traitant déterminé. Dans ces cas, chaque partie est en droit de résilier le contrat sans préavis.
S'il existe un motif d'opposition important au regard de la législation sur la protection des données et qu'une solution à l'amiable n'a pas pu être trouvée entre les parties, le donneur d'ordre se voit accorder un droit de résiliation spécial. Le donneur d'ordre doit notifier par écrit au preneur d'ordre son intention de résilier le contrat dans un délai d'une semaine après l'échec des négociations en vue d'une solution à l'amiable. Le preneur d'ordre peut remédier à l'opposition dans les deux semaines suivant la réception de la déclaration d'intention. S'il n'est pas remédié à l'opposition, le donneur d'ordre peut déclarer la résiliation spéciale, qui prend effet dès sa réception.
6.2) Le contractant doit concevoir les accords contractuels avec le(s) sous-traitant(s) de manière à ce qu'ils contiennent les mêmes obligations de protection des données que celles convenues dans le présent contrat, compte tenu de la nature et de l'étendue du traitement des données dans le cadre de la sous-traitance. L'engagement du sous-traitant ultérieur doit être pris par écrit ou sous format électronique.
6.3) Ne sont pas considérés comme des rapports de sous-traitance au sens du présent règlement les services que le contractant sollicite auprès de tiers en tant que prestation accessoire pour l'aider à exécuter la commande. Il s'agit par exemple de services de télécommunication, de maintenance et de service aux utilisateurs, de personnel de nettoyage, de contrôleurs ou de l'élimination de supports de données. Le contractant est toutefois tenu de conclure des accords contractuels appropriés et conformes à la loi afin de garantir la protection et la sécurité des données du client, même dans le cas de prestations annexes confiées à des tiers, et de prendre des mesures de contrôle.
7. Droits des personnes concernées
7.1) Le contractant aide le client, dans la mesure de ses possibilités, à répondre aux demandes et aux droits des personnes concernées conformément au chapitre III du RGPD.
7.2) Le sous-traitant n'est tenu de fournir des informations sur les données traitées dans le cadre de la commande, de rectifier ou d'effacer ces données ou de restreindre le traitement des données en conséquence que sur instruction du donneur d'ordre. Si une personne concernée s'adresse directement au preneur d'ordre pour obtenir des informations, corriger ou supprimer ses données ou limiter leur traitement, le preneur d'ordre transmettra immédiatement cette demande au donneur d'ordre.
8.Obligations de coopération du sous-traitant
8.1. Le sous-traitant aide le client à respecter les obligations visées aux articles 32 à 36 du RGPD concernant la sécurité des données à caractère personnel, les obligations de notification en cas de violation des données, les évaluations d'impact sur la protection des données et les consultations préalables.
8.2) En ce qui concerne les éventuelles obligations de notification et d'information du donneur d'ordre conformément aux articles 33 et 34 du RGPD, les dispositions suivantes s'appliquent : Le contractant est tenu (i) d'informer le client sans délai de toute violation de la protection des données à caractère personnel et (ii), en cas de violation de ce type, de lui apporter, si nécessaire, un soutien approprié dans le cadre de ses obligations au titre des articles 33 et 34 du RGPD (article 28, paragraphe 3, deuxième phrase, point f) du RGPD). Le sous-traitant ne peut procéder à des notifications selon les articles 33 ou 34 du RGPD (notifications et avis en cas de violation de la protection des données à caractère personnel) pour le compte du client qu'après avoir reçu des instructions préalables conformément au point 3 du présent accord.
8.3) Dans la mesure où le client a des obligations de notification ou de communication en cas d'incident de sécurité, le contractant s'engage à soutenir le client.
9.Autres obligations du contractant
9.1. Dans la mesure où la loi l'exige, le contractant désigne un délégué à la protection des données qui peut désormais exercer son activité conformément aux articles 38 et 39 du RGPD et aux articles 38 et 6 de la BDSG. Les coordonnées de ce dernier sont communiquées au donneur d'ordre à des fins de contact direct sur demande. Actuellement, le CCM19 n'est pas légalement tenu de désigner un responsable de la protection des données, mais cette fonction est néanmoins remplie actuellement par le Dr. Carsten Euwens, info@ccm19.de.
9.2) Le contractant informera immédiatement le client des actions de contrôle et des mesures prises par l'autorité de contrôle conformément à l'article 58 du RGPD. Ceci s'applique également dans la mesure où une autorité compétente au sens de l'article 83 du RGPD enquête auprès du sous-traitant.
9.3. le contractant assurera l'exécution du contrôle de la commande au moyen de vérifications régulières par le contractant en vue de l'exécution ou de l'accomplissement du contrat, en particulier le respect et l'adaptation éventuellement nécessaire des réglementations et mesures relatives à l'exécution de la commande.
10.Droit d'information et de vérification du donneur d'ordre
10.1. Le donneur d'ordre a le droit de demander les informations requises par l'article 28, paragraphe 3 h) du RGPD pour prouver le respect des obligations convenues par le preneur d'ordre et de procéder à des vérifications en accord avec le preneur d'ordre ou de les faire effectuer par des contrôleurs à désigner au cas par cas.
10.2 Les parties conviennent qu'afin de prouver le respect de ses obligations et la mise en œuvre des mesures techniques et organisationnelles, le preneur d'ordre est autorisé à présenter au donneur d'ordre une documentation pertinente. Une documentation pertinente peut être fournie par la présentation d'une attestation récente, de rapports ou d'extraits de rapports d'instances indépendantes (par ex. commissaire aux comptes, auditeur, délégué à la protection des données), d'une certification appropriée par un audit de sécurité informatique ou de protection des données (par ex. selon ISO 27001) ou d'une certification approuvée par les autorités de surveillance compétentes.
10.3) Le droit du client d'effectuer des contrôles sur place n'est pas affecté. Toutefois, le client évaluera si un contrôle sur place est encore nécessaire après la présentation d'une documentation pertinente, notamment en tenant compte du maintien du bon fonctionnement du fournisseur.
10.4) Le donneur d'ordre a le droit de s'assurer du respect de la présente convention par le preneur d'ordre dans son entreprise en procédant à des contrôles par sondage, qui doivent en règle générale être annoncés à temps. Le preneur d'ordre s'engage à fournir au donneur d'ordre, sur demande, les informations nécessaires au respect de son obligation de contrôle de la commande et à mettre à sa disposition les justificatifs correspondants.
11.Effacement des données et restitution des supports de données
Après l'achèvement des travaux contractuels, le contractant doit remettre au client toutes les données, tous les documents et tous les résultats de traitement ou d'utilisation en sa possession ou en possession de sous-traitants, qui sont en rapport avec la relation contractuelle, ou les détruire conformément à la protection des données. Un justificatif doit être remis au client sur demande.
12.Responsabilité
Les dispositions légales de l'article 82 du RGPD s'appliquent à la responsabilité dans le cadre du CUU.
Annexe 1 - Mesures techniques et organisationnelles/concept de sécurité de Papoo Software & Media GmbH
Les mesures techniques et organisationnelles suivantes sont mises en œuvre par le mandataire et convenues avec le mandant.
1.Garantie de la confidentialité
Les mesures visant à mettre en œuvre l'impératif de confidentialité sont, entre autres, des mesures de contrôle d'accès, d'accès ou de contrôle d'accès. Les mesures techniques et organisationnelles prises dans ce contexte doivent garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte accidentelle, la destruction accidentelle ou les dommages accidentels.
Mesures mises en œuvre par Papoo Software & Media GmbH pour empêcher l'accès de personnes non autorisées aux systèmes de traitement des données :
- Connexion personnelle et individuelle de l'utilisateur lors de l'ouverture de session dans le système
- Procédure de mot de passe (indication des paramètres du mot de passe en ce qui concerne la complexité et l'intervalle d'actualisation)
- Connexion supplémentaire au système pour certaines applications
- Verrouillage automatique des clients après un certain laps de temps sans activité de l'utilisateur (également écran de veille protégé par un mot de passe ou mise en pause automatique)
- Documentation électronique de tous les mots de passe et cryptage de cette documentation pour la protéger contre tout accès non autorisé
- Authentification à deux facteurs si cela est techniquement possible
- Mise à jour régulière des logiciels
- Scans réguliers des points faibles
Les serveurs sont hébergés chez OVH GmbH à Francfort, Allemagne. Cet hébergeur garantit la sécurité contre les pannes et la protection contre les accès non autorisés à l'infrastructure physique. Les mesures mises en place par le sous-traitant OVH peuvent être consultées ici :
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf
2.Garantie de l'intégrité
Mesures de protection contre le traitement non autorisé ou illégal, la destruction ou les dommages accidentels.
2.1 Contrôle de la transmission
Mesures garantissant que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées de manière non autorisée lors de leur transmission par voie électronique ou pendant leur transport ou leur stockage sur des supports de données, et qu'il peut être vérifié et constaté à quelles instances la transmission de données à caractère personnel est prévue par des installations de transmission de données :
- Cryptage du courrier électronique si possible
- Cryptage des CD/DVD-ROM, des disques durs externes et/ou des ordinateurs portables (~ répertoire)
- WLAN sécurisé
- Cryptage SSL/TLS
- Destruction des données, des supports de données et des impressions conforme à la protection des données
- Enregistrement de la transmission des données
2.2 Contrôle de l'introduction
Mesures garantissant qu'il est possible de vérifier et de constater a posteriori si, à quel moment et par qui des données à caractère personnel ont été introduites, modifiées ou supprimées dans les systèmes de traitement des données :
- Conception conforme à la loi des contrats de traitement des données à caractère personnel avec des sous-traitants avec réglementation correspondante des mécanismes de contrôle
- Demande d'auto-informations auprès des prestataires de services concernant leurs mesures de mise en œuvre des exigences en matière de protection des données
- Confirmation écrite des instructions orales
- Enregistrement et conservation en fonction des besoins des actions correspondantes effectuées sur les systèmes (par ex. Par exemple, fichiers journaux
- Utilisation de systèmes de journalisation et d'analyse des journaux
- Détermination des personnes autorisées à créer des supports de données et à traiter des données
3.Mesures de pseudonymisation des données à caractère personnel
La pseudonymisation est le remplacement du nom et d'autres caractéristiques d'identification par un signe distinctif dans le but d'exclure ou de rendre beaucoup plus difficile l'identification de la personne concernée. Les mesures liées à la pseudonymisation des données à caractère personnel sont les suivantes :
- Privacy-by-design
- Tous les identifiants d'un utilisateur (consentID, processorID, consentID) sont pseudonymisés à l'aide d'un hachage cryptographique sha-256
- Il existe un concept de pseudonymisation sous forme de programme (entre autres, définition des données à remplacer ; règles de pseudonymisation, description de la procédure, etc)
4.Garantie de la disponibilité
Mesures garantissant que les données à caractère personnel sont protégées contre une destruction ou une perte accidentelle :
- Utilisation de logiciels standard contrôlés et validés de manière centralisée et provenant de sources sûres
- Exécution régulière de sauvegardes de données ou utilisation de procédures de mise en miroir
- La mise hors service du matériel informatique (en particulier des serveurs) a lieu après un contrôle des supports de données utilisés dans ce matériel et, le cas échéant, après une vérification de la sécurité des données. après avoir sauvegardé les données pertinentes
- Alimentation électrique sans coupure (UPS) dans la salle des serveurs
- Conservation séparée des données collectées à des fins différentes
- Architecture antivirus et pare-feu à plusieurs niveaux
- Plan d'urgence (plan d'urgence en cas de violation de la sécurité et de la protection des données avec instructions concrètes
)
- Système de détection précoce d'incendie/d'eau et de température dans les salles des serveurs
- Portes coupe-feu
5.Procédure de rétablissement de la disponibilité des données à caractère personnel après un incident physique ou technique
Pour garantir la possibilité de rétablissement, il faut d'une part des sauvegardes suffisantes, mais aussi des plans de mesures permettant de rétablir l'exploitation en cours dans le sens de scénarios de catastrophe.
Les mesures suivantes sont prises à cet effet, en partie par le sous-traitant OVH GmbH :
- Sauvegarde quotidienne de l'ensemble du serveur
- Accords de niveau de service (SLA) avec les prestataires de services
- Procédures de sauvegarde
- Redondance (p. ex. mise en miroir des disques durs)
- Pare-feu, IDS/IPS
- Protection contre les incendies et les eaux d'extinction
- Surveillance des alarmes
- Plans de panne, d'urgence et de rétablissement
6.Procédures de contrôle, d'évaluation et d'appréciation périodiques de l'efficacité des mesures techniques et organisationnelles
Le contrôle, l'appréciation et l'évaluation périodiques de l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement sont effectués dans le cadre de la mise en œuvre de :
- révisions régulières du concept de sécurité
- informations sur les nouvelles vulnérabilités et autres facteurs de risque, révision de l'analyse et de l'évaluation des risques si nécessaire
- audits du délégué à la protection des données et du responsable de la sécurité de l'information, contrôles des processus par la gestion de la qualité.
Annexe 2 à l'accord de traitement des commandes
Sous-traitants autorisés
OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Allemagne
Serveurs en Allemagne
Hébergeur Site web, service et bases de données.
ALL-INKL.COM - Neue Medien Münnich
Propriétaire : René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
E-mail et autres services de serveur
Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Téléphone / Accès Internet
NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Téléphone / Accès Internet
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Allemagne
Vous pouvez également télécharger le texte ci-dessous au format PDF ici. Une fois le document complété, il suffit de l'envoyer à info@ccm19.de.
Convention entre le mandant
et la société
Papoo Software & Media GmbH
fabricant CCM19
Auguststr. 4
53229 Bonn
(ci-après "le contractant")
concernant le traitement des données à caractère personnel. Les définitions figurant dans les CGV ou dans le cahier des charges s'appliquent également au présent accord de traitement des commandes.
1.Objet et durée de la mission
1.1. Objet de la mission
L'objet du contrat de traitement de la commande est l'exécution des tâches suivantes par le sous-traitant, conformément à la description des prestations figurant dans l'offre : collecte, gestion, documentation et transmission du consentement des utilisateurs du client et, le cas échéant, autres services.
Dans ce cadre, le sous-traitant traite des données à caractère personnel pour le compte du client au sens de l'article 4, point 2, et de l'article 28 du RGPD sur la base des CGV.
1.2. durée de la mission
La durée de la présente mission (durée) correspond à la durée du contrat.
2. Contenu de la commande
2.1. Étendue, nature et finalité
L'étendue, la nature et la finalité de la collecte, du traitement et/ou de l'utilisation des données à caractère personnel par le prestataire
pour le compte du client sont concrètement décrites dans la description des prestations dans l'offre et/
ou au point 2.2.
2.2. type de données
La collecte, le traitement et / ou l'utilisation des données à caractère personnel portent sur les données suivantes :
- données client : Paramètres et données de connexion
- Données utilisateur :
- Données de consentement (Consent ID, heure du consentement, Opt-in ou Opt-out, langue de la bannière, paramètres du client dans la bannière - données de consentement, modèle)
- Données de l'appareil (HTTP Agent, HTTP Referrer, HTTP Page)
- Données IP anonymisées, adresse IP en 24h rollover dans les fichiers log
- En cas d'utilisation de statistiques avancées ou d'autres plugins statistiques : données du navigateur (version)
2.3. qui est concerné
Les personnes suivantes sont concernées :
1. Visiteurs du site web ou utilisateurs de l'app,
2. Clients / utilisateurs enregistrés
3.Pouvoir d'instruction du donneur d'ordre / lieu de traitement des données
3.1. Le traitement des données spécifiées n'a lieu que dans le cadre des accords conclus et conformément aux instructions documentées du donneur d'ordre (cf. art. 28, al. 3, let. a du RGPD). Le donneur d'ordre se réserve, dans le cadre de la description de la mission établie dans le présent accord, un droit d'instruction global sur le type, l'étendue et la procédure de traitement des données, qu'il peut concrétiser par des instructions individuelles. Les modifications de l'objet du traitement et les changements de procédure doivent faire l'objet d'une concertation et être documentés. Les dépenses supplémentaires qui en résultent doivent être remboursées par le client. Le preneur d'ordre ne peut fournir des informations à des tiers ou à la personne concernée qu'avec l'accord écrit préalable du donneur d'ordre.
3.les instructions orales du donneur d'ordre doivent être confirmées immédiatement par écrit ou par e-mail (sous forme de texte). Le preneur d'ordre n'utilise pas les données à d'autres fins et n'est notamment pas autorisé à les transmettre à des tiers. Font exception à cette règle les copies de sécurité, dans la mesure où elles sont nécessaires pour garantir un traitement correct des données, ainsi que les données nécessaires en vue de respecter les obligations légales en vertu du droit de l'Union ou du droit d'un État membre de l'UE, ainsi que pour respecter les obligations de conservation.
3.3) Le sous-traitant est tenu d'informer immédiatement le client, conformément à l'article 28, paragraphe 3, alinéa 2 du RGPD, s'il estime qu'une instruction enfreint la législation sur la protection des données. Le sous-traitant est en droit de suspendre l'exécution des instructions correspondantes jusqu'à ce qu'elles soient confirmées ou modifiées par le responsable du traitement du client.
3.4) Le traitement des données du client par le sous-traitant a lieu au sein de l'UE. Le sous-traitant est tenu d'informer le client, avant le début du traitement, de toute obligation légale du sous-traitant d'effectuer le traitement des données du client dans un autre lieu, dans la mesure où une telle notification n'est pas interdite par la loi. Le traitement et / ou le transfert vers un pays tiers en dehors du territoire de l'UE ou vers une organisation internationale nécessite l'accord écrit préalable du donneur d'ordre. Dans un tel cas, le preneur d'ordre est en outre tenu, conformément aux dispositions légales applicables et aux interprétations judiciaires et administratives de celles-ci, de veiller à un niveau de protection des données adéquat sur le lieu de traitement des données ou - au choix du donneur d'ordre - de donner au donneur d'ordre la possibilité de veiller à un niveau de protection des données adéquat, entre autres par la conclusion ou l'adhésion à des clauses contractuelles types de l'UE.
4.Confidentialité
Le sous-traitant garantit qu'il est interdit aux employés chargés du traitement des données à caractère personnel et aux autres personnes travaillant pour le sous-traitant de traiter les données à caractère personnel en dehors des instructions données. En outre, le sous-traitant garantit que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de secret professionnel appropriée. L'obligation de confidentialité / de secret professionnel subsiste même après la fin de la mission.
5.Mesures techniques et organisationnelles
5.1. Dans son domaine de responsabilité, le contractant concevra l'organisation interne de l'entreprise de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Il veillera à prendre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel du donneur d'ordre, conformément aux exigences de l'article 32 du RGPD. En particulier, les mesures techniques et organisationnelles doivent être prises de telle sorte que la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services liés au traitement des données soient garanties à long terme. Ces mesures techniques et organisationnelles sont décrites à l'annexe 1 du présent accord. Le donneur d'ordre a connaissance de ces mesures techniques et organisationnelles et assume la responsabilité de veiller à ce qu'elles offrent un niveau de protection adéquat au regard des risques liés aux données à traiter.
5.2) Les mesures techniques et organisationnelles sont soumises au progrès et au développement techniques. Dans cette mesure, le sous-traitant est autorisé à mettre en œuvre des mesures alternatives adéquates. Ce faisant, le niveau de sécurité des mesures définies ne doit pas être inférieur. Les modifications importantes doivent être documentées.
6.Relations de sous-traitance
6.1. L'intervention et/ou la modification de sous-traitants par le preneur d'ordre n'est en principe autorisée qu'avec l'accord du donneur d'ordre. Le donneur d'ordre consent à l'utilisation de sous-traitants comme suit :
6.1.1. Le donneur d'ordre consent d'ores et déjà à l'utilisation des sous-traitants énumérés à l'annexe 2 du présent accord.
6.1.2 Le mandant accepte la modification ou l'ajout d'autres sous-traitants si le mandataire informe le mandant concerné par écrit (un e-mail suffit) de l'intervention ou de la modification 1 mois / (30) jours avant le début du traitement des données. Le client peut s'opposer à l'intervention d'un nouveau sous-traitant / d'un sous-traitant modifié. En l'absence d'opposition dans le délai imparti, le consentement à l'intervention ou à la modification est réputé acquis. Le donneur d'ordre prend acte du fait que, dans certains cas, la prestation ne peut plus être fournie sans l'intervention d'un sous-traitant déterminé. Dans ces cas, chaque partie est en droit de résilier le contrat sans préavis.
S'il existe un motif d'opposition important au regard de la législation sur la protection des données et qu'une solution à l'amiable n'a pas pu être trouvée entre les parties, le donneur d'ordre se voit accorder un droit de résiliation spécial. Le donneur d'ordre doit notifier par écrit au preneur d'ordre son intention de résilier le contrat dans un délai d'une semaine après l'échec des négociations en vue d'une solution à l'amiable. Le preneur d'ordre peut remédier à l'opposition dans les deux semaines suivant la réception de la déclaration d'intention. S'il n'est pas remédié à l'opposition, le donneur d'ordre peut déclarer la résiliation spéciale, qui prend effet dès sa réception.
6.2) Le contractant doit concevoir les accords contractuels avec le(s) sous-traitant(s) de manière à ce qu'ils contiennent les mêmes obligations de protection des données que celles convenues dans le présent contrat, compte tenu de la nature et de l'étendue du traitement des données dans le cadre de la sous-traitance. L'engagement du sous-traitant ultérieur doit être pris par écrit ou sous format électronique.
6.3) Ne sont pas considérés comme des rapports de sous-traitance au sens du présent règlement les services que le contractant sollicite auprès de tiers en tant que prestation accessoire pour l'aider à exécuter la commande. Il s'agit par exemple de services de télécommunication, de maintenance et de service aux utilisateurs, de personnel de nettoyage, de contrôleurs ou de l'élimination de supports de données. Le contractant est toutefois tenu de conclure des accords contractuels appropriés et conformes à la loi afin de garantir la protection et la sécurité des données du client, même dans le cas de prestations annexes confiées à des tiers, et de prendre des mesures de contrôle.
7. Droits des personnes concernées
7.1) Le contractant aide le client, dans la mesure de ses possibilités, à répondre aux demandes et aux droits des personnes concernées conformément au chapitre III du RGPD.
7.2) Le sous-traitant n'est tenu de fournir des informations sur les données traitées dans le cadre de la commande, de rectifier ou d'effacer ces données ou de restreindre le traitement des données en conséquence que sur instruction du donneur d'ordre. Si une personne concernée s'adresse directement au preneur d'ordre pour obtenir des informations, corriger ou supprimer ses données ou limiter leur traitement, le preneur d'ordre transmettra immédiatement cette demande au donneur d'ordre.
8.Obligations de coopération du sous-traitant
8.1. Le sous-traitant aide le client à respecter les obligations visées aux articles 32 à 36 du RGPD concernant la sécurité des données à caractère personnel, les obligations de notification en cas de violation des données, les évaluations d'impact sur la protection des données et les consultations préalables.
8.2) En ce qui concerne les éventuelles obligations de notification et d'information du donneur d'ordre conformément aux articles 33 et 34 du RGPD, les dispositions suivantes s'appliquent : Le contractant est tenu (i) d'informer le client sans délai de toute violation de la protection des données à caractère personnel et (ii), en cas de violation de ce type, de lui apporter, si nécessaire, un soutien approprié dans le cadre de ses obligations au titre des articles 33 et 34 du RGPD (article 28, paragraphe 3, deuxième phrase, point f) du RGPD). Le sous-traitant ne peut procéder à des notifications selon les articles 33 ou 34 du RGPD (notifications et avis en cas de violation de la protection des données à caractère personnel) pour le compte du client qu'après avoir reçu des instructions préalables conformément au point 3 du présent accord.
8.3) Dans la mesure où le client a des obligations de notification ou de communication en cas d'incident de sécurité, le contractant s'engage à soutenir le client.
9.Autres obligations du contractant
9.1. Dans la mesure où la loi l'exige, le contractant désigne un délégué à la protection des données qui peut désormais exercer son activité conformément aux articles 38 et 39 du RGPD et aux articles 38 et 6 de la BDSG. Les coordonnées de ce dernier sont communiquées au donneur d'ordre à des fins de contact direct sur demande. Actuellement, le CCM19 n'est pas légalement tenu de désigner un responsable de la protection des données, mais cette fonction est néanmoins remplie actuellement par le Dr. Carsten Euwens, info@ccm19.de.
9.2) Le contractant informera immédiatement le client des actions de contrôle et des mesures prises par l'autorité de contrôle conformément à l'article 58 du RGPD. Ceci s'applique également dans la mesure où une autorité compétente au sens de l'article 83 du RGPD enquête auprès du sous-traitant.
9.3. le contractant assurera l'exécution du contrôle de la commande au moyen de vérifications régulières par le contractant en vue de l'exécution ou de l'accomplissement du contrat, en particulier le respect et l'adaptation éventuellement nécessaire des réglementations et mesures relatives à l'exécution de la commande.
10.Droit d'information et de vérification du donneur d'ordre
10.1. Le donneur d'ordre a le droit de demander les informations requises par l'article 28, paragraphe 3 h) du RGPD pour prouver le respect des obligations convenues par le preneur d'ordre et de procéder à des vérifications en accord avec le preneur d'ordre ou de les faire effectuer par des contrôleurs à désigner au cas par cas.
10.2 Les parties conviennent qu'afin de prouver le respect de ses obligations et la mise en œuvre des mesures techniques et organisationnelles, le preneur d'ordre est autorisé à présenter au donneur d'ordre une documentation pertinente. Une documentation pertinente peut être fournie par la présentation d'une attestation récente, de rapports ou d'extraits de rapports d'instances indépendantes (par ex. commissaire aux comptes, auditeur, délégué à la protection des données), d'une certification appropriée par un audit de sécurité informatique ou de protection des données (par ex. selon ISO 27001) ou d'une certification approuvée par les autorités de surveillance compétentes.
10.3) Le droit du client d'effectuer des contrôles sur place n'est pas affecté. Toutefois, le client évaluera si un contrôle sur place est encore nécessaire après la présentation d'une documentation pertinente, notamment en tenant compte du maintien du bon fonctionnement du fournisseur.
10.4) Le donneur d'ordre a le droit de s'assurer du respect de la présente convention par le preneur d'ordre dans son entreprise en procédant à des contrôles par sondage, qui doivent en règle générale être annoncés à temps. Le preneur d'ordre s'engage à fournir au donneur d'ordre, sur demande, les informations nécessaires au respect de son obligation de contrôle de la commande et à mettre à sa disposition les justificatifs correspondants.
11.Effacement des données et restitution des supports de données
Après l'achèvement des travaux contractuels, le contractant doit remettre au client toutes les données, tous les documents et tous les résultats de traitement ou d'utilisation en sa possession ou en possession de sous-traitants, qui sont en rapport avec la relation contractuelle, ou les détruire conformément à la protection des données. Un justificatif doit être remis au client sur demande.
12.Responsabilité
Les dispositions légales de l'article 82 du RGPD s'appliquent à la responsabilité dans le cadre du CUU.
Annexe 1 - Mesures techniques et organisationnelles/concept de sécurité de Papoo Software & Media GmbH
Les mesures techniques et organisationnelles suivantes sont mises en œuvre par le mandataire et convenues avec le mandant.
1.Garantie de la confidentialité
Les mesures visant à mettre en œuvre l'impératif de confidentialité sont, entre autres, des mesures de contrôle d'accès, d'accès ou de contrôle d'accès. Les mesures techniques et organisationnelles prises dans ce contexte doivent garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte accidentelle, la destruction accidentelle ou les dommages accidentels.
Mesures mises en œuvre par Papoo Software & Media GmbH pour empêcher l'accès de personnes non autorisées aux systèmes de traitement des données :
- Connexion personnelle et individuelle de l'utilisateur lors de l'ouverture de session dans le système
- Procédure de mot de passe (indication des paramètres du mot de passe en ce qui concerne la complexité et l'intervalle d'actualisation)
- Connexion supplémentaire au système pour certaines applications
- Verrouillage automatique des clients après un certain laps de temps sans activité de l'utilisateur (également écran de veille protégé par un mot de passe ou mise en pause automatique)
- Documentation électronique de tous les mots de passe et cryptage de cette documentation pour la protéger contre tout accès non autorisé
- Authentification à deux facteurs si cela est techniquement possible
- Mise à jour régulière des logiciels
- Scans réguliers des points faibles
Les serveurs sont hébergés chez OVH GmbH à Francfort, Allemagne. Cet hébergeur garantit la sécurité contre les pannes et la protection contre les accès non autorisés à l'infrastructure physique. Les mesures mises en place par le sous-traitant OVH peuvent être consultées ici :
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf
2.Garantie de l'intégrité
Mesures de protection contre le traitement non autorisé ou illégal, la destruction ou les dommages accidentels.
2.1 Contrôle de la transmission
Mesures visant à garantir que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées de manière non autorisée lors de leur transmission par voie électronique ou pendant leur transport ou leur stockage sur des supports de données, et qu'il puisse être vérifié et constaté à quelles instances la transmission de données à caractère personnel est prévue par des installations de transmission de données :
- Cryptage du courrier électronique si possible
- Cryptage des CD/DVD-ROM, des disques durs externes et/ou des ordinateurs portables (~ répertoire)
- WLAN sécurisé
- Cryptage SSL/TLS
- Destruction des données, des supports de données et des impressions conforme à la protection des données
- Enregistrement de la transmission des données
2.2 Contrôle de l'introduction
Mesures garantissant qu'il est possible de vérifier et de constater a posteriori si, à quel moment et par qui des données à caractère personnel ont été introduites, modifiées ou supprimées dans les systèmes de traitement des données :
- Conception conforme à la loi des contrats de traitement des données à caractère personnel avec des sous-traitants avec réglementation correspondante des mécanismes de contrôle
- Demande d'auto-informations auprès des prestataires de services concernant leurs mesures de mise en œuvre des exigences en matière de protection des données
- Confirmation écrite des instructions orales
- Enregistrement et conservation en fonction des besoins des actions correspondantes effectuées sur les systèmes (par ex. Par exemple, fichiers journaux
- Utilisation de systèmes de journalisation et d'analyse des journaux
- Détermination des personnes autorisées à créer des supports de données et à traiter des données
3.Mesures de pseudonymisation des données à caractère personnel
La pseudonymisation est le remplacement du nom et d'autres caractéristiques d'identification par un signe distinctif dans le but d'exclure ou de rendre beaucoup plus difficile l'identification de la personne concernée. Les mesures liées à la pseudonymisation des données à caractère personnel sont les suivantes :
- Privacy-by-design
- Tous les identifiants d'un utilisateur (consentID, processorID, consentID) sont pseudonymisés à l'aide d'un hachage cryptographique sha-256
- Il existe un concept de pseudonymisation sous forme de programme (entre autres, définition des données à remplacer ; règles de pseudonymisation, description de la procédure, etc)
4.Garantie de la disponibilité
Mesures garantissant que les données à caractère personnel sont protégées contre une destruction ou une perte accidentelle :
- Utilisation de logiciels standard contrôlés et validés de manière centralisée et provenant de sources sûres
- Exécution régulière de sauvegardes de données ou utilisation de procédures de mise en miroir
- La mise hors service du matériel informatique (en particulier des serveurs) a lieu après un contrôle des supports de données utilisés dans ce matériel et, le cas échéant, après une vérification de la sécurité des données. après avoir sauvegardé les données pertinentes
- Alimentation électrique sans coupure (UPS) dans la salle des serveurs
- Conservation séparée des données collectées à des fins différentes
- Architecture antivirus et pare-feu à plusieurs niveaux
- Plan d'urgence (plan d'urgence en cas de violation de la sécurité et de la protection des données avec instructions concrètes
)
- Système de détection précoce d'incendie/d'eau et de température dans les salles des serveurs
- Portes coupe-feu
5.Procédure de rétablissement de la disponibilité des données à caractère personnel après un incident physique ou technique
Pour garantir la possibilité de rétablissement, il faut d'une part des sauvegardes suffisantes, mais aussi des plans de mesures permettant de rétablir l'exploitation en cours dans le sens de scénarios de catastrophe.
Les mesures suivantes sont prises à cet effet, en partie par le sous-traitant OVH GmbH :
- Sauvegarde quotidienne de l'ensemble du serveur
- Accords de niveau de service (SLA) avec les prestataires de services
- Procédures de sauvegarde
- Redondance (p. ex. mise en miroir des disques durs)
- Pare-feu, IDS/IPS
- Protection contre les incendies et les eaux d'extinction
- Surveillance des alarmes
- Plans de panne, d'urgence et de rétablissement
6.Procédures de contrôle, d'évaluation et d'appréciation périodiques de l'efficacité des mesures techniques et organisationnelles
Le contrôle, l'appréciation et l'évaluation périodiques de l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement sont effectués dans le cadre de la mise en œuvre de :
- révisions régulières du concept de sécurité
- informations sur les nouvelles vulnérabilités et autres facteurs de risque, révision de l'analyse et de l'évaluation des risques si nécessaire
- audits du délégué à la protection des données et du responsable de la sécurité de l'information, contrôles des processus par la gestion de la qualité.
Annexe 2 à l'accord de traitement des commandes
Sous-traitants autorisés
OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Allemagne
Serveurs en Allemagne
Hébergeur Site web, service et bases de données.
ALL-INKL.COM - Neue Medien Münnich
Propriétaire : René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
E-mail et autres services de serveur
Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Téléphone / Accès Internet
NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Téléphone / Accès Internet
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Allemagne