Contratto di elaborazione ordini CCM19
È inoltre possibile scaricare il testo sottostante in formato PDF qui. È sufficiente inviare il documento compilato a info@ccm19.de.
Accordo tra il cliente
e il
Papoo Software & Media GmbH
Produttore CCM19
Auguststr. 4
53229 Bonn
(di seguito "Contraente")
sul trattamento dei dati personali. Le definizioni contenute nelle CG o nella descrizione del servizio si applicano anche al presente contratto di elaborazione degli ordini.
1.Oggetto e durata dell'ordine
1.1 Oggetto dell'ordine
Oggetto dell'accordo di elaborazione dell'ordine è l'esecuzione dei seguenti compiti da parte del Contraente in conformità alla descrizione del servizio nell'offerta: raccolta, amministrazione, documentazione e trasferimento del consenso degli utenti del Cliente, nonché altri servizi, se del caso.
A tal fine, il Contraente tratta i dati personali del Cliente ai sensi dell'art. 4 n. 2 e dell'art. 28 DSGVO sulla base delle CGC.
1.2 Durata dell'ordine
La durata dell'ordine (termine) corrisponde alla durata del contratto.
2. Contenuto dell'ordine
2.1 Ambito, tipo e finalità
L'ambito, il tipo e la finalità della raccolta, dell'elaborazione e/o dell'utilizzo dei dati personali da parte del
contraente per il cliente sono specificamente descritti nella descrizione del servizio nell'offerta e/o
o al punto 2.2.
2.2 Tipologia di dati
I seguenti dati sono oggetto di raccolta, elaborazione e/o utilizzo di dati personali:
- Dati dei clienti: Impostazioni e dati di login
- Dati utente:
- Dati di consenso (ID di consenso, ora del consenso, opt-in o opt-out, lingua del banner, impostazioni del cliente nel banner - dati di consenso, modello)
- Dati del dispositivo (HTTP agent, HTTP referrer, pagina HTTP)
- Dati IP anomali, indirizzo IP in 24 ore di rollover nei file di log
- Quando si utilizzano statistiche avanzate o altri plugin statistici: Dati del browser (versione)
2.3. chi è interessato
Sono interessate le seguenti persone:
1. visitatori del sito web o utenti dell'app,
2. clienti/utenti registrati
3.Potere del committente di impartire istruzioni / luogo di trattamento dei dati
3.1 I dati indicati vengono trattati solo nell'ambito degli accordi presi e in conformità alle istruzioni documentate del committente (cfr. art. 28 cpv. 3 lett. a DSGVO). Nell'ambito della descrizione dell'ordine concordata nel presente contratto, il Cliente si riserva il diritto di impartire istruzioni sul tipo, la portata e la procedura del trattamento dei dati, che può specificare mediante istruzioni individuali. Le modifiche all'oggetto del trattamento e le modifiche alle procedure devono essere concordate e documentate. Eventuali spese aggiuntive sostenute dovranno essere rimborsate dal Cliente. Il contraente può fornire informazioni a terzi o all'interessato solo previo consenso scritto del cliente.
3.le istruzioni verbali del Cliente dovranno essere confermate immediatamente per iscritto o via e-mail (in forma di testo). Il contraente non utilizzerà i dati per altri scopi e, in particolare, non potrà trasmetterli a terzi. Ciò non si applica alle copie di sicurezza, nella misura in cui sono necessarie per garantire un corretto trattamento dei dati, o ai dati richiesti per adempiere agli obblighi legali previsti dal diritto dell'Unione o da quello di uno Stato membro dell'UE, o per adempiere agli obblighi di conservazione.
3.l'Appaltatore informerà senza indugio la Committente, ai sensi dell'articolo 28, paragrafo 3, comma 2, del Regolamento sulla protezione dei dati, qualora ritenga che un'istruzione violi le norme sulla protezione dei dati. L'appaltatore ha il diritto di sospendere l'attuazione della relativa istruzione fino a quando non viene confermata o modificata dalla persona responsabile presso il cliente.
3.il trattamento dei dati del Cliente da parte dell'Appaltatore avverrà all'interno dell'UE. L'Appaltatore è tenuto a notificare al Cliente, prima dell'inizio del trattamento, qualsiasi obbligo legale da parte dell'Appaltatore di effettuare il trattamento dei Dati del Cliente in un altro luogo, a meno che tale notifica non sia vietata dalla legge. Il trattamento e/o il trasferimento a un paese terzo al di fuori del territorio dell'UE o a un'organizzazione internazionale richiede il previo consenso scritto del Titolare. In tal caso, l'Appaltatore è inoltre tenuto, in conformità ai requisiti di legge applicabili e alle relative interpretazioni giudiziarie e ufficiali, a garantire un livello adeguato di protezione dei dati nel luogo di elaborazione dei dati o - a scelta della Committente - a fornire alla Committente la possibilità di garantire un livello adeguato di protezione dei dati, tra l'altro stipulando o aderendo a clausole contrattuali standard dell'UE.
4.Riservatezza
L'appaltatore deve garantire che ai dipendenti coinvolti nel trattamento dei dati personali e alle altre persone che lavorano per l'appaltatore sia vietato trattare i dati personali al di fuori dell'ambito delle istruzioni. Inoltre, l'Appaltatore garantisce che le persone autorizzate al trattamento dei Dati personali si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo legale di riservatezza. L'obbligo di riservatezza / segretezza continuerà a sussistere anche dopo la cessazione dell'ordine.
5.Misure tecniche e organizzative
5.1 Il contraente deve organizzare l'organizzazione interna nella sua area di responsabilità in modo tale da soddisfare i requisiti speciali della protezione dei dati. Egli dovrà garantire misure tecniche e organizzative adeguate per la protezione dei dati personali del Cliente che soddisfino i requisiti dell'articolo 32 del GDPR. In particolare, le misure tecniche e organizzative devono essere tali da garantire in modo permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi connessi al trattamento dei dati. Tali misure tecniche e organizzative sono descritte nell'Allegato 1 del presente Accordo. Il Cliente è a conoscenza di queste misure tecniche e organizzative ed è responsabile di garantire che esse forniscano un livello di protezione adeguato ai rischi dei dati da trattare.
5.le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, l'appaltatore è autorizzato ad attuare misure alternative adeguate. In questo modo, il livello di sicurezza delle misure specificate non deve essere compromesso. Le modifiche significative devono essere documentate.
6.Rapporti di subappalto
6.1. L'assunzione e/o la modifica di subappaltatori da parte dell'appaltatore è consentita in linea di principio solo con il consenso del committente. Il Cliente acconsente all'utilizzo di subappaltatori come segue:
6.1.1 Il Cliente acconsente all'utilizzo dei subappaltatori elencati nell'Allegato 2 al presente Contratto. 1.2. Il Cliente acconsente all'utilizzo di subappaltatori come segue.
6.1.2 Il Cliente accetta la modifica o l'aggiunta di ulteriori subappaltatori se l'Appaltatore comunica per iscritto (è sufficiente l'e-mail) l'utilizzo o la modifica 1 mese / (30) giorni prima dell'inizio del trattamento dei dati. Il Committente può opporsi all'utilizzo di un nuovo/cambiato subappaltatore. Se non vengono sollevate obiezioni entro tale termine, il consenso all'uso o alla modifica si considera concesso. Il Committente riconosce che in alcuni casi la prestazione non può più essere eseguita senza l'impiego di uno specifico subappaltatore. In tali casi, ciascuna delle parti avrà il diritto di recedere senza preavviso.
Se l'obiezione è giustificata da un motivo importante ai sensi della legge sulla protezione dei dati e non è stata trovata una soluzione reciprocamente accettabile tra le parti, al Cliente sarà concesso un diritto speciale di recesso. Il Cliente dovrà dichiarare la propria intenzione di recedere per iscritto all'Appaltatore entro una settimana dalla mancata negoziazione di una soluzione reciprocamente accettabile. Il contraente può porre rimedio all'obiezione entro due settimane dal ricevimento della dichiarazione di intenti. Se non si pone rimedio all'obiezione, il Cliente può dichiarare il recesso speciale, che diventerà effettivo al momento del ricevimento. 2. Il Cliente è tenuto ad informare la Commissione in merito a quanto segue.
6.l'appaltatore redigerà gli accordi contrattuali con il/i subappaltatore/i in modo che contengano gli stessi obblighi di protezione dei dati concordati nel presente contratto, tenendo conto del tipo e della portata del trattamento dei dati nell'ambito del subappalto. L'impegno del/i subincaricato/i deve essere scritto o in formato elettronico.
6.(3) I rapporti di subappalto ai sensi della presente disposizione non comprendono i servizi che il contraente utilizza da terzi come servizio accessorio per sostenere l'esecuzione del contratto. Si tratta, ad esempio, di servizi di telecomunicazione, manutenzione e assistenza agli utenti, addetti alle pulizie, revisori dei conti o smaltimento di supporti dati. Tuttavia, il contraente è tenuto a stipulare accordi contrattuali adeguati e conformi alla legge e ad adottare misure di controllo per garantire la protezione e la sicurezza dei dati del cliente, anche nel caso di servizi accessori appaltati a terzi.
7. Diritti dell'interessato
7.(1) Il contraente deve supportare il cliente, nell'ambito delle sue possibilità, nell'adempimento delle richieste e dei reclami degli interessati ai sensi del capitolo III del GDPR.
7.(2) Il contraente fornirà informazioni sui dati elaborati per conto del cliente, correggerà o cancellerà tali dati o limiterà il trattamento dei dati di conseguenza solo su istruzione del cliente. Nel caso in cui un interessato si rivolga direttamente al contraente per ottenere informazioni, rettifiche o cancellazioni dei suoi dati, nonché per limitare il trattamento dei dati, il contraente inoltrerà senza indugio tale richiesta al committente.
8.Obblighi di collaborazione dell'Appaltatore
8.1 L'Appaltatore dovrà supportare la Committente nell'adempimento degli obblighi di cui agli articoli da 32 a 36 del GDPR in materia di sicurezza dei dati personali, obblighi di notifica in caso di violazione dei dati, valutazioni d'impatto sulla protezione dei dati e consultazioni preventive.
8.per quanto riguarda gli obblighi di comunicazione e notifica del Cliente ai sensi dell'art. 33 e dell'art. 34 del GDPR, si applica quanto segue: L'Appaltatore è tenuto a (i) notificare al Cliente la violazione dei dati personali senza ritardi ingiustificati e (ii) in caso di tale violazione, a fornire l'assistenza adeguata, se necessario, nei suoi obblighi ai sensi degli artt. 33 e 34 DSGVO (art. 28 (3) frase 2 lit. f DSGVO). Le notifiche ai sensi degli artt. 33 o 34 del GDPR (notifiche e avvisi in caso di violazione dei dati personali) per il Committente possono essere effettuate dall'Appaltatore solo dopo aver ricevuto istruzioni preliminari in conformità alla sezione 3 del presente Contratto.
8.nella misura in cui il Cliente ha obblighi di notifica o comunicazione in caso di incidente di sicurezza, l'Appaltatore si impegna a supportare il Cliente.
9.Altri obblighi dell'appaltatore
9.1 Nella misura in cui ciò è richiesto dalla legge, l'appaltatore deve nominare un responsabile della protezione dei dati che possa svolgere i suoi compiti ai sensi degli artt. 38 e 39 DSGVO, §§ 38, 6 BDSG. I dati di contatto del responsabile della protezione dei dati saranno forniti al cliente per un contatto diretto su richiesta. Attualmente, CCM19 non è obbligato per legge a nominare un responsabile della protezione dei dati; tuttavia, la funzione è attualmente ricoperta dal Dr. Carsten Euwens, info@ccm19.de. 2.
9.il contraente è tenuto a informare tempestivamente il cliente sulle azioni di controllo e sulle misure adottate dall'autorità di vigilanza ai sensi dell'art. 58 DSGVO. Ciò vale anche nel caso in cui un'autorità competente svolga indagini sull'Appaltatore ai sensi dell'art. 83 del GDPR. 3.
9.l'appaltatore deve garantire l'attuazione del controllo del contratto mediante verifiche periodiche da parte dell'appaltatore per quanto riguarda l'esecuzione o l'adempimento del contratto, in particolare il rispetto e, se necessario, l'adeguamento dei regolamenti e delle misure per l'attuazione del contratto.
10.Diritto del Cliente alle informazioni e alle ispezioni
10.1 Il Cliente ha il diritto di richiedere le informazioni necessarie ai sensi dell'Art. 28 Par. 3 h) GDPR per dimostrare l'adempimento degli obblighi concordati da parte dell'Appaltatore e di effettuare ispezioni in accordo con l'Appaltatore o di farle effettuare da revisori da nominare in singoli casi.
10.le Parti concordano che l'Appaltatore ha il diritto di presentare alla Committente una documentazione significativa per dimostrare il rispetto degli obblighi e l'attuazione delle misure tecniche e organizzative. Una documentazione significativa può essere fornita dalla presentazione di un certificato di audit in corso di validità, di relazioni o estratti di relazioni di organismi indipendenti (ad es. revisore, audit, responsabile della protezione dei dati), di una certificazione adeguata da parte di un audit sulla sicurezza informatica o sulla protezione dei dati (ad es. in conformità alla norma ISO 27001) o di una certificazione approvata dalle autorità di controllo competenti.
10.ciò non pregiudica il diritto del Cliente di effettuare ispezioni in loco. Tuttavia, la Committente valuterà se un'ispezione in loco sia ancora necessaria dopo la presentazione di una documentazione significativa, in particolare tenendo conto del mantenimento del corretto funzionamento dell'Appaltatore. 4. Il Cliente è tenuto ad informare la Committente in merito alla necessità di un controllo in loco.
10.la Committente ha il diritto di accertarsi del rispetto del presente Contratto da parte dell'Appaltatore nell'ambito delle sue operazioni commerciali mediante controlli a campione, che di norma devono essere notificati in tempo utile. Il contraente si impegna a fornire al cliente, su richiesta, le informazioni necessarie per adempiere all'obbligo di monitoraggio dell'ordine e a rendere disponibili le relative prove.
11.Cancellazione dei dati e restituzione dei supporti dati
Al termine dei lavori contrattuali, il contraente deve consegnare al committente o distruggere, in conformità alle norme sulla protezione dei dati, tutti i dati, i documenti e i risultati dell'elaborazione o dell'utilizzo prodotti in relazione al rapporto contrattuale che sono venuti in possesso suo o dei subappaltatori. La prova di ciò deve essere consegnata al cliente su richiesta.
12.Responsabilità
Le disposizioni di legge ai sensi dell'art. 82 del GDPR si applicano alla responsabilità nell'ambito del GCU.
Appendice 1 - Misure tecnico-organizzative/concetto di sicurezza di Papoo Software & Media GmbH
Le seguenti misure tecniche e organizzative sono state implementate dal contraente e concordate con il cliente.
1.Garantire la riservatezza
Le misure per implementare il requisito della riservatezza includono misure per l'accesso, il controllo degli accessi o il controllo degli accessi. Le misure tecniche e organizzative adottate in questo contesto mirano a garantire un'adeguata sicurezza dei dati personali, compresa la protezione da trattamenti non autorizzati o illegali e da perdite, distruzioni o danni accidentali.
Misure implementate da Papoo Software & Media GmbH per impedire l'accesso ai sistemi di elaborazione dati da parte di persone non autorizzate:
- Login personale e individuale dell'utente al momento dell'accesso al sistema
- Procedura per la password (specificazione dei parametri della password per quanto riguarda la complessità e l'intervallo di aggiornamento)
- Login aggiuntivo al sistema per determinate applicazioni
- Blocco automatico dei client dopo un certo periodo di tempo senza attività da parte dell'utente (anche screen saver protetto da password o pausa automatica)
- Documentazione elettronica di tutte le password e crittografia di questa documentazione per proteggere dall'accesso non autorizzato
- Autenticazione a due fattori se tecnicamente possibile
- Aggiornamenti regolari del software
- Scansioni regolari delle vulnerabilità
I server sono ospitati da OVH GmbH a Francoforte, in Germania. Questo hoster garantisce la sicurezza contro i guasti e la protezione dall'accesso non autorizzato all'infrastruttura fisica. Le misure implementate dal subappaltatore OVH possono essere visualizzate qui:
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf
2.Garantire l'integrità
Misure di protezione contro l'elaborazione non autorizzata o illegale, la distruzione o il danneggiamento accidentale.
2.1 Controllo dei trasferimenti
Misure volte a garantire che i dati personali non possano essere letti, copiati, alterati o rimossi da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o la memorizzazione su supporti di dati, e che sia possibile verificare e stabilire a quali organismi è destinato il trasferimento di dati personali da parte delle apparecchiature di trasmissione dei dati:
- Crittografia della posta elettronica, se possibile
- Crittografia di CD/DVD-ROM, dischi rigidi esterni e/o laptop (~ directory)
- WLAN protetta
- Crittografia SSL/TLS
- Distruzione conforme alla protezione dei dati di dati, supporti di dati e stampe
- Registrazione della trasmissione dei dati
2.2 Controllo degli ingressi
Misure per garantire che sia possibile verificare e determinare successivamente se, in quale momento e da chi i dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dei dati:
- Stesura conforme alla legge dei contratti sul trattamento dei dati personali con i subappaltatori con la corrispondente regolamentazione dei meccanismi di controllo
- Ottenere dai fornitori di servizi un'autodichiarazione sulle loro misure per implementare i requisiti di protezione dei dati
- Conferma scritta delle istruzioni verbali
- Registrazione e mantenimento a disposizione, se necessario, delle azioni corrispondenti eseguite sui sistemi (ad esempio, file di log). Ad esempio, i file di log)
- Utilizzo di sistemi di registrazione e valutazione dei log
- Determinazione delle persone autorizzate per la creazione di supporti di dati e il trattamento dei dati
3.Misure per la pseudonimizzazione dei dati personali
La pseudonimizzazione è la sostituzione del nome e di altri elementi di identificazione con un marchio allo scopo di escludere o complicare notevolmente l'identificazione dell'interessato. Le misure relative alla pseudonimizzazione dei dati personali sono:
- Privacy-by-design
- Tutti gli ID di un utente (consentID, processorID, consentID) sono pseudonimizzati con un hash crittografico sha-256
- Un concetto di pseudonimizzazione è disponibile in forma di programma (compresa la definizione dei dati da sostituire; regole di pseudonimizzazione, descrizione della procedura, ecc.)
4.Garantire la disponibilità
Misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale:
- Utilizzare software standard testati e approvati a livello centrale e provenienti da fonti sicure
- Eseguire regolarmente backup dei dati o utilizzare procedure di mirroring
- L'hardware (in particolare i server) viene dismesso dopo aver controllato i supporti di dati utilizzati e, se necessario, dopo aver eseguito il backup dei relativi record di dati. dopo il backup dei dati rilevanti
- Gruppo di continuità (UPS) nella sala server
- Archiviazione separata dei file di dati raccolti per scopi diversi
- Architettura di protezione antivirus e firewall a più livelli
- Pianificazione delle emergenze (piano di emergenza per le violazioni della sicurezza e della protezione dei dati con
- istruzioni concrete per l'azione)
- Sistema di allarme antincendio/idrico e di temperatura nelle sale server
- Porte di protezione antincendio
5.Procedure per il ripristino della disponibilità dei dati personali dopo un incidente fisico o tecnico
Per garantire la recuperabilità, sono necessari da un lato backup sufficienti, ma anche piani d'azione in grado di ripristinare le operazioni in corso in termini di scenari di disastro.
A tal fine vengono adottate le seguenti misure, in parte dal subappaltatore OVH GmbH:
- Backup giornaliero dell'intero server
- Accordi sul livello dei servizi (SLA) con i fornitori di servizi
- Procedure di backup
- Ridondanza (ad es. mirroring dei dischi rigidi)
- Firewall, IDS/IPS
- Protezione antincendio e protezione dall'acqua di spegnimento
- Monitoraggio degli allarmi
- Piani per guasti, emergenze e ripristino
6.Procedure per il riesame periodico, la valutazione e la verifica dell'efficacia delle misure tecniche e organizzative
Il riesame periodico, la valutazione e la verifica dell'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento saranno effettuati nell'ambito dell'attuazione di:
- revisioni periodiche del concetto di sicurezza
- informazioni sulle vulnerabilità emergenti e su altri fattori di rischio, revisione dell'analisi e della valutazione dei rischi, se necessario
- audit del responsabile della protezione dei dati e del responsabile della sicurezza delle informazioni, controlli dei processi da parte della gestione della qualità.
Allegato 2 al Contratto per l'elaborazione degli ordini
Subappaltatori approvati
OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Germania
Server in Germania
Sito web, servizio e database dell'Hoster.
ALL-INKL.COM - Neue Medien Münnich
Proprietario: René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
E-mail e altri servizi di server
Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Telefono / Accesso a Internet
NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Telefono / Accesso a Internet
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Germania