Dispoziții suplimentare

privind procesarea comenzilor Prezentele dispoziții privind procesarea comenzilor completează Termenii și condițiile generale ale Jungherz GmbH, în calitate de operator al mărcii AppConfector (denumit în continuare „Contractantul”). Prin acceptarea acestora, dumneavoastră, în calitate de client (denumit în continuare „Comitentul”), acceptați automat aceste dispoziții suplimentare în cadrul relației comerciale. În cazul unei contradicții între aceste reglementări și termenii și condițiile generale, aceste reglementări au prioritate în ceea ce privește procesarea comenzilor

. Contractantul și Clientul sunt denumiți în continuare sub termenul comun „Părțile”.

Părțile convin că, odată cu intrarea în vigoare a prezentului Acord privind prelucrarea în contul altuia, Acordul existent privind prelucrarea datelor în contul altuia între Părți, în conformitate cu secțiunea 11 din Legea federală germană privind protecția datelor, precum și orice alte acorduri privind prelucrarea datelor în contul altuia vor fi reziliate de comun acord și înlocuite cu prezentul nou Acord privind prelucrarea în contul altuia.

1. Generalități

(1) Procesatorul prelucrează date cu caracter personal în numele Clientului în sensul articolului 4 nr. 8 și al articolului 28 din Regulamentul (UE) 2016/679 – Regulamentul general privind protecția datelor (RGPD). Prezentul contract reglementează drepturile și obligațiile părților în legătură cu prelucrarea datelor cu caracter personal.

(2) În măsura în care termenul „prelucrarea datelor” sau „prelucrare” (a datelor) este utilizat în prezentul contract, se aplică definiția „prelucrării” în sensul articolului 4 nr. 2 din RGPD.

(3) Toate referirile din prezentul acord la DSGVO (Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)) se aplică DSGVO în versiunea sa actuală.

2. Obiectul contractului

Obiectul prelucrării, tipul și scopul prelucrării, tipul datelor cu caracter personal și categoriile de persoane vizate sunt stabilite în anexa 1 la prezentul contract.

3. Drepturile și obligațiile clientului

(1) Clientul este operatorul în sensul art. 4 nr. 7 din RGPD pentru prelucrarea datelor în numele procesatorilor. În conformitate cu art. 4 alin. (5) din prezentul contract, acesta din urmă are dreptul de a informa clientul în cazul în care prelucrarea datelor care, în opinia sa, este inacceptabilă din punct de vedere legal face obiectul comenzii și/sau al unei instrucțiuni.

(2) Clientul este responsabil pentru protejarea drepturilor persoanelor vizate. Procesatorul va informa clientul fără întârziere în cazul în care persoanele vizate își exercită drepturile în fața procesatorului.

(3) Clientul are dreptul de a da oricând instrucțiuni suplimentare procesatorului cu privire la tipul, domeniul de aplicare și procedura de prelucrare a datelor. Instrucțiunile pot fi date în formă scrisă (de exemplu, prin e-mail).

(4) Dispozițiile privind o eventuală remunerație pentru cheltuielile suplimentare suportate de procesator ca urmare a instrucțiunilor suplimentare date de client rămân neafectate

. 5. Autoritatea contractantă va informa procesatorul fără întârziere dacă detectează erori sau nereguli în legătură cu prelucrarea datelor cu caracter personal de către procesator.

(6) În cazul în care există o obligație de informare a terților în conformitate cu art. 33, 34 din RGPD sau orice altă obligație legală de notificare aplicabilă clientului, clientul este responsabil pentru respectarea acestei obligații.

4. Obligații generale ale procesatorului

(1) Procesatorul prelucrează datele cu caracter personal exclusiv în cadrul acordurilor încheiate și/sau în conformitate cu orice instrucțiuni suplimentare emise de client. Fac excepție de la aceasta reglementările legale care pot obliga procesatorul să prelucreze datele într-un alt mod. Într-un astfel de caz, procesatorul va notifica mandantul cu privire la aceste cerințe legale înainte de prelucrare, cu excepția cazului în care legea în cauză interzice o astfel de notificare din motive de interes public important. Scopul, natura și domeniul de aplicare al prelucrării datelor sunt reglementate exclusiv de prezentul acord și/sau de instrucțiunile comitentului. Orice prelucrare a datelor care se abate de la acestea este interzisă pentru operator,

cu excepția cazului în care

operatorul și-a dat consimțământul scris.

(2) Operatorul se angajează să efectueze prelucrarea datelor în numele clientului numai în cadrul Spațiului Economic European, cu excepția cazului în care este necesar din punct de vedere tehnic.

(3) În domeniul prelucrării datelor cu caracter personal în conformitate cu comanda, procesatorul garantează executarea contractuală a tuturor măsurilor convenite.

(4) Procesatorul este obligat să își organizeze compania și procedurile de operare astfel încât datele prelucrate de acesta în numele clientului să fie securizate în măsura necesară în fiecare caz și protejate împotriva accesului neautorizat al terților. Acesta din urmă va conveni în prealabil cu clientul asupra modificărilor în organizarea prelucrării datelor în numele clientului, care sunt semnificative pentru securitatea datelor.

(5) Procesatorul va informa clientul fără întârziere dacă, în opinia sa, o instrucțiune emisă de client încalcă reglementările legale. Prelucrătorul are dreptul să suspende executarea instrucțiunii în cauză până la confirmarea sau modificarea acesteia de către client. Dacă prelucrătorul poate demonstra că prelucrarea în conformitate cu instrucțiunile clientului poate duce la răspunderea prelucrătorului în temeiul art. 82 din RGPD, prelucrătorul are dreptul să suspende prelucrarea ulterioară în acest sens până la clarificarea răspunderii între părți.

(6) Prelucrarea datelor în

numele

clientului în afara sediului social al procesatorului sau al subcontractantului este permisă numai cu consimțământul clientului în formă scrisă sau text. Prelucrarea datelor pentru client în locuințe private este permisă numai cu consimțământul clientului în formă scrisă sau text în cazuri individuale.

(7) Procesatorul va prelucra datele pe care le prelucrează în numele clientului separat de alte date. O separare fizică nu este obligatorie.

5.

Responsabilul cu

protecția datelor al procesatorului

(1) Procesatorul confirmă că a numit un responsabil cu protecția datelor în conformitate cu art. 37 din RGPD. Procesatorul se va asigura că responsabilul cu protecția datelor deține calificările și expertiza necesare. Procesatorul va informa clientul separat, în formă text, cu privire la numele și datele de contact ale responsabilului său cu protecția datelor.

(2) Obligația de a numi un responsabil cu protecția datelor în conformitate cu alineatul (1) poate fi derogată la discreția comitentului dacă procesatorul poate dovedi că nu este obligat legal să numească un responsabil cu protecția datelor și dacă procesatorul poate dovedi că există măsuri operaționale care asigură că datele cu caracter personal sunt prelucrate în conformitate cu dispozițiile legale, cu prevederile prezentului acord și cu orice instrucțiuni suplimentare ale comitentului.

6. Obligațiile de raportare ale procesatorului

(1) Procesatorul este obligat să notifice clientul fără întârziere cu privire la orice încălcare a reglementărilor privind protecția datelor sau a acordurilor contractuale încheiate și/sau a instrucțiunilor date de client, care a avut loc în cursul prelucrării datelor de către acesta sau de către alte persoane implicate în prelucrare. Același lucru se aplică oricărei încălcări a protecției datelor cu caracter personal prelucrate de procesator în numele clientului.

(2) În plus, procesatorul va informa clientul fără întârziere dacă o autoritate de supraveghere în conformitate cu art. 58 din RGPD ia măsuri împotriva procesatorului și dacă acest lucru poate viza, de asemenea, un control al prelucrării pe care procesatorul o efectuează în numele clientului.

(3) Procesatorul este conștient de faptul că clientul poate fi supus unei obligații de notificare în conformitate cu art. 33, 34 din RGPD, care prevede o notificare către autoritatea de supraveghere în termen de 72 de ore de la descoperirea acesteia. Prelucrătorul va sprijini clientul în îndeplinirea obligațiilor de notificare. În special, prelucrătorul va notifica clientul fără întârziere cu privire la orice acces neautorizat la datele cu caracter personal prelucrate în numele clientului, dar cel târziu în termen de 48 de ore de la constatarea unui astfel de acces. Notificarea prelucrătorilor către client trebuie să conțină, în special, următoarele informații:

  • o descriere a naturii încălcării protecției datelor cu caracter personal, dacă este posibil cu indicarea categoriilor și a numărului aproximativ de persoane vizate, a categoriilor vizate și a numărului aproximativ de înregistrări de date cu caracter personal vizate;
  • o descriere a măsurilor luate sau propuse de operator pentru a remedia încălcarea protecției datelor cu caracter personal și, după caz, a măsurilor de atenuare a eventualelor efecte negative ale acesteia.

7. Obligațiile procesatorului mandatat de a coopera

(1) Procesatorul mandatat va sprijini Clientul în îndeplinirea obligației sale de a răspunde cererilor de exercitare a drepturilor persoanelor vizate în conformitate cu articolele 12-23 din RGPD. Se aplică dispozițiile secțiunii 11 din prezentul acord.

(2) Procesatorul va participa la întocmirea listelor de activități de prelucrare de către entitatea contractantă. Prelucrătorul va furniza clientului informațiile necesare într-o manieră adecvată.

(3) Ținând seama de tipul de prelucrare și de informațiile de care dispune, prelucrătorul va asista clientul în îndeplinirea obligațiilor prevăzute la art. 32-36 din DPA.

(4) Prelucrătorul este îndreptățit să solicite clientului o remunerație adecvată, proporțională cu cheltuielile, pentru aceste servicii.

8. Competențe de control

(1) Clientul are dreptul de a verifica în orice moment, în măsura necesară, dacă procesatorul respectă dispozițiile legale privind protecția datelor și/sau dacă respectă dispozițiile contractuale convenite între părți și/sau dacă procesatorul respectă instrucțiunile clientului.

Dovada respectării obligațiilor care îi revin unui procesator de date în conformitate cu RGPD trebuie furnizată în primul rând prin rapoarte de testare independente și certificări.

În cazul în care clientul, pe baza unor dovezi concrete, are îndoieli rezonabile cu privire la faptul că rapoartele de testare sau certificările sunt insuficiente sau incorecte, sau în cazul în care incidente speciale în sensul art. 33 alin. 1 din RGPD, legate de executarea prelucrării comenzii clientului, justifică acest lucru, clientul poate efectua inspecții în conformitate cu secțiunea 8. (2).

(2) Pentru a permite clientului să efectueze o inspecție a comenzii și, în special, să verifice măsurile tehnice și organizatorice luate la procesatorul mandatat înainte de începerea și în mod regulat în timpul prelucrării datelor, procesatorul mandatat va permite inspecția de către o terță parte neutră (auditor jurat) mandatată de client. Procesatorul mandatat are dreptul să stabilească date pentru o inspecție în funcție de posibilitățile operaționale. Examinarea va fi posibilă într-un termen rezonabil de la solicitarea acesteia. Alternativ, procesatorul poate, de asemenea, să respecte dreptul de inspecție al clientului prin furnizarea unui raport de inspecție întocmit de un auditor independent, jurat, în numele procesatorului. Exercitarea dreptului de inspecție nu trebuie să perturbe în mod nejustificat operațiunile comerciale ale procesatorului și nu trebuie să fie abuzivă.

(3) Procesatorul este îndreptățit să solicite clientului o remunerație rezonabilă pentru inspecțiile în sensul punctului 8. (2).

9. Proporția subcontractării

(1) Recurgerea la subcontractanți de către procesator este permisă numai cu acordul clientului în formă scrisă. Procesatorul va specifica toate relațiile de subcontractare existente deja la momentul încheierii contractului în Anexa 2 la prezentul contract.

(2) Procesatorul va selecta cu atenție subcontractantul și va verifica, înainte de plasarea comenzii, dacă subcontractantul este în măsură să respecte acordurile încheiate între client și procesator. În special, subcontractantul va verifica în prealabil și în mod regulat pe durata contractului dacă a luat măsurile tehnice și organizatorice necesare în temeiul art. 32 din RGPD pentru protecția datelor cu caracter personal. Rezultatul verificării va fi documentat de către subcontractant și va fi pus la dispoziția clientului la cerere.

(3) Procesatorul este obligat să obțină confirmarea din partea subcontractantului că acesta din urmă a numit un responsabil cu protecția datelor în cadrul companiei, în conformitate cu art. 37 din RGPD. În cazul în care subcontractantul nu a numit un responsabil cu protecția datelor, procesatorul va informa clientul cu privire la acest fapt și va furniza informații care să demonstreze că subcontractantul nu are obligația legală de a numi un responsabil cu protecția datelor.

(4) Procesatorul se va asigura că dispozițiile convenite în prezentul contract și eventualele instrucțiuni suplimentare ale clientului, dacă există, se aplică și subcontractantului.

(5) Procesatorul va încheia un contract cu subcontractantul care respectă cerințele art. 28 din RGPD. În plus, procesatorul va impune subcontractantului aceleași obligații privind protecția datelor cu caracter personal ca cele stabilite între principal și procesator.

(6) În special, partea care prelucrează comanda este obligată să asigure, prin dispoziții contractuale, că puterile de control (clauza 8 din prezentul contract) ale clientului și ale autorităților de supraveghere se aplică și subcontractantului și că drepturile de control corespunzătoare sunt convenite de client și de autoritățile de supraveghere. În plus, se va conveni contractual că subcontractantul va tolera aceste măsuri de control și orice inspecții la fața locului.

(7) Relațiile de subcontractare în sensul alineatelor (1)-(6) nu sunt considerate servicii pe care operatorul le obține de la terți ca servicii pur auxiliare în vederea desfășurării activității comerciale. Astfel de servicii includ, de exemplu, servicii de curățenie, servicii de telecomunicații pure fără nicio referire specifică la serviciile pe care operatorul le furnizează pentru comitent, servicii poștale și de curierat, servicii de transport, servicii de securitate. Cu toate acestea, operatorul este obligat să se asigure, inclusiv în cazul serviciilor auxiliare furnizate de terți, că au fost luate precauțiile adecvate și măsurile tehnice și organizatorice necesare pentru a asigura protecția datelor cu caracter personal. Întreținerea și service-ul sistemelor sau aplicațiilor informatice constituie o relație de subcontractare și prelucrare a comenzilor în sensul art. 28 din RGPD, care necesită aprobare dacă întreținerea și testarea vizează astfel de sisteme informatice care sunt utilizate și în legătură cu prestarea de servicii pentru client și dacă datele cu caracter personal prelucrate în

numele

clientului pot fi accesate în timpul întreținerii.

10. Obligația de confidențialitate

(1) Atunci când prelucrează date în numele clientului, operatorul este obligat să păstreze confidențialitatea datelor pe care le primește sau de care ia cunoștință în legătură cu comanda. Prelucrătorul se angajează să respecte aceleași norme de

protecție

a secretului ca și cele care îi revin mandantului. Mandantul este obligat să informeze prelucrătorul cu privire la orice norme speciale de protecție a secretului.

(2) Prelucrătorul asigură că are cunoștință de reglementările aplicabile în materie de protecție a datelor și că este familiarizat cu aplicarea acestora. Prelucrătorul garantează, de asemenea, că și-a familiarizat angajații cu dispozițiile privind protecția datelor care li se aplică și că i-a obligat să păstreze confidențialitatea. Contractantul garantează, de asemenea, că a obligat în special angajații săi implicați în executarea lucrării să păstreze confidențialitatea și că i-a informat cu privire la instrucțiunile clientului.

(3) Obligația angajaților conform alineatului (2) trebuie dovedită clientului la cerere.

11. Protecția drepturilor persoanelor vizate

(1) Clientul este singurul responsabil pentru protejarea drepturilor persoanelor vizate. Procesatorul este obligat să sprijine clientul în îndeplinirea obligației sale de a prelucra cererile persoanelor vizate în conformitate cu art. 12-23 din RGPD. În special, procesatorul de date se va asigura că informațiile necesare în acest sens sunt furnizate clientului fără întârziere, astfel încât acesta să își poată îndeplini obligațiile prevăzute la art. 12 alin. 3 din RGPD.

(2) În măsura în care cooperarea procesatorului mandatat este necesară pentru protejarea drepturilor persoanelor vizate – în special dreptul la informare, rectificare, blocare sau ștergere – de către client, procesatorul mandatat va lua măsurile necesare în conformitate cu instrucțiunile clientului. Dacă este posibil, procesatorul de date va sprijini clientul cu măsuri tehnice și organizatorice adecvate pentru a-și îndeplini obligația de a răspunde la cererile de exercitare a drepturilor persoanelor vizate. Prelucrătorul are dreptul să solicite clientului o remunerație rezonabilă pentru aceste servicii.

(3) Aceasta nu aduce atingere dispozițiilor privind eventuala remunerație a cheltuielilor suplimentare suportate de prelucrătorul mandatat ca urmare a serviciilor de cooperare în legătură cu exercitarea drepturilor persoanelor vizate față de client.

12. Obligații de confidențialitate

(1) Ambele părți se angajează să trateze toate informațiile primite în legătură cu executarea prezentului contract ca fiind confidențiale pe o perioadă nelimitată de timp și să le utilizeze numai pentru executarea contractului. Niciuna dintre părți nu are dreptul să utilizeze aceste informații, în totalitate sau parțial, în alte scopuri decât cele menționate mai sus sau să pună aceste informații la dispoziția terților.

(2) Obligația de mai sus nu se aplică informațiilor pe care una dintre părți le-a primit în mod demonstrabil de la terți fără a fi obligată să păstreze confidențialitatea sau care sunt de domeniu public.

13. Acoperire

Prelucrătorul nu va primi o remunerație separată pentru prezentul contract.

14. Măsuri tehnice și organizatorice pentru securitatea datelor

(1) Prelucrătorul se angajează față de client să respecte măsurile tehnice și organizatorice necesare pentru a se conforma reglementărilor aplicabile în materie de protecție a datelor. Aceasta include, în special, cerințele art. 32 din RGPD.

(2) Starea măsurilor tehnice și organizatorice existente la momentul încheierii contractului este atașată la prezentul contract ca Anexa 3. Părțile sunt de acord că pot fi necesare modificări ale măsurilor tehnice și organizatorice pentru a se adapta la condițiile tehnice și legale. Modificările semnificative care pot afecta integritatea, confidențialitatea sau disponibilitatea datelor cu caracter personal vor fi convenite în prealabil de către procesator cu clientul. Măsurile care implică doar modificări tehnice sau organizatorice minore și nu afectează negativ integritatea, confidențialitatea și disponibilitatea datelor cu caracter personal pot fi implementate de către procesatorul de date fără consultarea clientului. Clientul poate solicita în orice moment o versiune actualizată a măsurilor tehnice și organizatorice

luate

de procesator.

(3) Contractantul va verifica periodic și, de asemenea, la cerere, eficacitatea măsurilor tehnice și organizatorice luate de acesta. În cazul în care este necesară o optimizare și/sau o modificare, procesatorul mandatat va informa clientul.

15. Durata comenzii

(1) Contractul intră în vigoare la data atribuirii și se încheie pe o perioadă nedeterminată.

(2) Contractul încetează odată cu încetarea contractului principal (un pachet de aplicații sau orice serviciu), fără a fi necesară o reziliere separată.

Orice obligații de ștergere și returnare după încetarea prezentului acord sunt reglementate de secțiunea 16.

(3) Comitentul poate rezilia contractul în orice moment fără preaviz în cazul unei încălcări grave a dispozițiilor privind protecția datelor aplicabile procesatorului sau a obligațiilor prevăzute în prezentul contract, dacă procesatorul nu este în măsură sau nu dorește să execute o instrucțiune dată de comitent sau dacă procesatorul refuză accesul comitentului sau al autorității de supraveghere competente, încălcând contractul.

16. Reziliere

(1) După rezilierea contractului, operatorul mandatat va restitui clientului sau va șterge toate documentele, datele și rezultatele prelucrării sau utilizării create care au intrat în posesia sa în legătură cu relația contractuală, la alegerea clientului. Ștergerea va fi documentată într-un mod adecvat. Orice obligații legale de păstrare sau alte obligații de stocare a datelor rămân neafectate. În cazul suporturilor de date, acestea trebuie distruse în cazul unei ștergeri solicitate de client, respectându-se cel puțin nivelul de securitate 3 din DIN 66399; clientul trebuie să furnizeze dovezi ale distrugerii cu referire la nivelul de securitate în conformitate cu DIN 66399.

(2) Clientul are dreptul de a verifica returnarea completă și conformă cu contractul, precum și ștergerea datelor la procesatorul de date. Acest lucru se poate realiza și prin inspectarea echipamentelor de prelucrare a datelor la sediul procesatorului. Inspecția la fața locului va fi anunțată de client cu un preaviz rezonabil.

17. Dreptul de retenție

Părțile convin că este exclusă invocarea dreptului de retenție de către procesator în temeiul § 273 BGB (Codul civil german) cu privire la datele prelucrate și suporturile de date asociate.

18. Dispoziții finale

(1) În cazul în care proprietatea clientului este pusă în pericol la sediul procesatorului de măsuri ale unor terți (cum ar fi sechestrarea sau confiscarea), de proceduri de insolvență sau de alte evenimente, procesatorul va informa clientul fără întârziere. Procesatorul va informa creditorii fără întârziere cu privire la faptul că datele sunt prelucrate în cadrul comenzii.

(2) Pentru acordurile colaterale este necesară forma scrisă.

(3) În cazul în care anumite părți ale prezentului contract sunt nule, acest lucru nu afectează valabilitatea celorlalte dispoziții ale contractului.

Anexa 1 - Obiectul comenzii

1. Obiectul și scopul prelucrării

Comanda clientului către procesator cuprinde următoarele lucrări și/sau servicii: Furnizarea de aplicații mobile (descrise mai detaliat în descrierea serviciului valabilă), precum și pagini web cu conținut similar. Aceasta include colectarea, prelucrarea și transmiterea datelor înregistrate.

2. Tipuri de date cu caracter

personal Următoarele tipuri de date sunt prelucrate în mod regulat: Date de trafic, date de conținut, date de contact, date de bază personale și date de comunicare (nume, adresă, număr de telefon, număr de fax, adresă de e-mail).

3. Cercul persoanelor vizate

Cercul persoanelor vizate de prelucrarea datelor: Utilizatorii contului dumneavoastră, participanții la apeluri efectuate și primite sau expeditorii/destinatarii de SMS-uri/faxuri, angajații, clienții, partenerii de afaceri, părțile interesate și furnizorii de servicii ai clientului.

Dacă clientul este partener al procesatorului: Date de contact, date personale de bază și date de comunicare (nume, adresă, număr de telefon, număr de fax, adresă de e-mail) ale contractanților/companiilor recomandate de partenerul care a plasat comanda.

Clientul are obligația de a informa utilizatorii contului și – dacă este necesar – comitetul de întreprindere sau reprezentanții echivalenți cu privire la prelucrarea datelor menționate la punctul 2.

4. Locul prelucrării datelor:

Toate datele sunt prelucrate pe servere situate în Spațiul Economic European.

Anexa 2 – Subcontractant

Pentru prelucrarea datelor în numele Comitentului, operatorul utilizează serviciile unor terți care prelucrează date în numele său („subcontractanți”).

Operatorul utilizează diverși subcontractanți pentru a-și furniza serviciile.

Acești subcontractanți sunt inițial următoarele companii ale operatorului și efectuează lucrări preliminare pentru realizarea serviciilor operatorului. Între companii există acordurile contractuale necesare pentru prelucrarea acestor date.

Acestea sunt următoarele companii:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Franța

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Hildesheim

CopeCart GmbH, Ufnaustrasse 10, 10553 Berlin

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Dublin, D02 H210, Irlanda

Anexa 3 - Măsuri tehnice și organizatorice ale procesatorului de comenzi

Prelucrătorul de date va lua următoarele măsuri tehnice și organizatorice pentru securitatea datelor în sensul art. 32 din RGPD.

1. Confidențialitate

Controlul accesului

Pentru a preveni accesul neautorizat la sistemele de prelucrare a datelor cu care sunt prelucrate sau utilizate datele, prelucrătorul și subcontractanții săi, precum Netcup și divizia Google Cloud, au implementat procese formale extinse de control al accesului.

Locațiile utilizate găzduiesc săli de servere și o cameră de tehnologie pentru servere. Pentru acces, se eliberează chei electronice angajaților selectați ai subcontractantului. Cheile autorizează doar angajatul respectiv al subcontractantului să deschidă/închidă ușile individuale care au fost aprobate în acest scop. Toate operațiunile de deschidere și închidere efectuate cu o cheie sunt înregistrate electronic împreună cu ID-ul unic al cheii. Doar angajații subcontractantului autorizați direct de conducere sunt responsabili de administrarea cheilor.

Sala de servere este încuiată în permanență și poate fi accesată numai de angajații selectați ai subcontractantului.

În interiorul clădirii respectivei locații, drepturile de acces ale angajaților subcontractantului – chiar și ale celor care dețin o cheie – sunt limitate la ceea ce este necesar pentru îndeplinirea sarcinii specifice.

În timpul programului de lucru, la recepția permanentă se efectuează un control al persoanelor care intră în clădire. În afara programului de lucru, toate intrările în clădire sunt încuiate și securizate cu alarmă. Clădirea este securizată suplimentar de un serviciu de pază. Toate alarmele sistemului de alarmă sunt raportate direct unui serviciu de pază.

Măsurile standard de securitate sunt aplicate în toate centrele de date. Acestea corespund stadiului actual al tehnicii și celor mai bune practici din industria IT. Acestea includ sisteme electronice de control al accesului cu înregistrare, prin care numai persoanele autorizate au acces în clădire, sisteme de alarmă, supraveghere video în interior/exterior, personal de securitate 24/7, sisteme de alarmă, securizarea clădirii cu sârmă ghimpată, protecție asigurată de servicii de securitate externe care sunt informate automat printr-o linie de alarmă dedicată în cazul declanșării unei alarme.

Cheile camerelor individuale și ale cuștilor din centrul de date trebuie întotdeauna ridicate de la personalul de securitate.

Controlul accesului

Pentru a se asigura că persoanele autorizate să utilizeze un sistem de prelucrare a datelor pot accesa doar datele care fac obiectul autorizației lor de acces și că datele stocate sau prelucrate nu pot fi citite, copiate, modificate sau eliminate de persoane neautorizate, operatorul utilizează un sistem central de gestionare a autorizațiilor de acces. Toate accesările sunt stocate local și pe serverul central de jurnale. Drepturile administrative pot fi exercitate numai prin intermediul unui program central de administrare.

Accesul la toate datele este limitat la măsura necesară pentru ca toate persoanele autorizate să își îndeplinească sarcinile specifice. Se respectă cerințele legale privind protecția datelor, în special cele din Regulamentul general privind protecția datelor (RGPD) și din TKG.

Separare

Procesatorul prelucrează datele pe sisteme de servere care sunt separate logic printr-un sistem de controale de acces logice și fizice în rețea.

2. Integritate

Controlul introducerii

Pentru a se asigura că procesatorul de comenzi poate verifica și stabili ulterior dacă și de către cine au fost introduse, modificate sau șterse date în sistemele de prelucrare a datelor, toate accesările datelor stocate ale clientului sunt înregistrate local și pe serverul central de jurnale.

Controlul transmiterii

Pentru a se asigura că datele nu pot fi citite, copiate, modificate sau șterse de persoane neautorizate în timpul transmiterii electronice, transportului sau stocării și că este posibil să se verifice unde urmează să fie transferate datele prin sistemele de transfer de date, accesul la toate sistemele care prelucrează datele clienților este supus unor controale de acces eficiente. Aceste mecanisme de control al accesului sunt deja descrise mai detaliat mai sus la punctul 3.

3. Disponibilitate și reziliență

Procesatorul utilizează o combinație de sisteme redundante și soluții de backup în toate sistemele pentru a proteja datele stocate și pentru a le putea restaura, dacă este necesar. Aceste sisteme sunt operate exclusiv în spații securizate și echipate în conformitate cu stadiul actual al tehnicii, care dispun de sistemele necesare de climatizare, de alarmă de incendiu și de fum și pentru care există planuri de urgență detaliate.

4. Proceduri de revizuire, evaluare și analiză periodică

Toți angajații noștri și cei ai subcontractantului sunt instruiți periodic cu privire la aspectele legate de protecția datelor. Aceste instruiri sunt realizate în întregime intern, astfel încât să fie posibilă o adaptare exactă la aspectele relevante pentru procesatorul de date. În cadrul acestor sesiuni de instruire sunt abordate în detaliu și aspecte individuale.

Toți angajații procesatorului care intră în contact cu prelucrarea datelor cu caracter personal în cadrul activității lor sunt obligați să trateze datele cu caracter personal în mod confidențial. Acest lucru se realizează în mod regulat la angajarea noilor angajați prin intermediul unei declarații contractuale de angajament, pe care fiecare angajat trebuie să o semneze.

Procesatorul a numit un responsabil cu protecția datelor. Împreună cu adjuncții săi, responsabilul cu protecția datelor se asigură că solicitările persoanelor vizate primesc un răspuns în timp util.

Operatorul va ține un registru al activităților de prelucrare în sensul art. 30 alin. 1 și 2 din RGPD. Această listă a activităților de prelucrare nu este publică.

(la data de 16 februarie 2022)