Доповнення щодо

обробки

замовлень

Ці правила обробки замовлень доповнюють Загальні умови компанії Jungherz GmbH як оператора бренду AppConfector (далі — «Виконавець»). Укладаючи угоду, ви як клієнт (далі — «Замовник») автоматично погоджуєтеся з цими доповненнями в рамках ділових відносин. У разі суперечності між цими правилами та загальними умовами, ці правила мають пріоритет щодо обробки замовлень.

Виконавець та Замовник надалі іменуються загальним терміном «Сторони».

Сторони домовляються, що одночасно з набранням чинності цим Договором про обробку даних на замовлення, існуючий Договір про обробку даних на замовлення між Сторонами відповідно до § 11 Федерального закону Німеччини про захист даних та будь-які інші договори про обробку даних на замовлення припиняються за взаємною згодою та замінюються цим новим Договором про обробку даних на замовлення.

1. Загальні положення

(1) Оператор обробляє персональні дані від імені Замовника у значенні статті 4 № 8 та статті 28 Регламенту (ЄС) 2016/679 — Загального регламенту про захист даних (GDPR). Цей договір регулює права та обов’язки сторін у зв’язку з обробкою персональних даних.

(2) У тій мірі, в якій у цьому договорі використовується термін «обробка даних» або «обробка» (даних), застосовується визначення «обробки» у значенні ст. 4 № 2 DSGVO.

(3) Усі посилання в цьому договорі на DSGVO (Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою персональних даних та про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС (Основний регламент про захист даних)) стосуються DSGVO в його чинній редакції.

2. Предмет замовлення

Предмет обробки, вид та мета обробки, тип персональних даних та категорії суб’єктів даних визначені в Додатку 1 до цього договору.

3. Права та обов’язки замовника

(1) Замовник є відповідальною стороною в розумінні ст. 4 п. 7 DSGVO щодо обробки даних від імені обробників. Відповідно до ст. 4 (5) цього договору, останній має право повідомити замовника, якщо обробка даних, яка, на його думку, є юридично неприйнятною, є предметом замовлення та/або інструкції.

(2) Замовник несе відповідальність за захист прав відповідних осіб. Оператор обробки

даних

повинен негайно повідомити замовника, якщо суб’єкти даних реалізують свої права

щодо обробки даних

стосовно оператора обробки даних.

(3) Замовник має право в будь-який час надавати оператору обробки даних додаткові вказівки щодо виду, обсягу та процедури обробки даних. Вказівки можуть надаватися в текстовій формі (наприклад, електронною поштою).

(4) Положення щодо можливої компенсації додаткових витрат, понесених обробником даних у зв’язку з додатковими інструкціями, наданими замовником, залишаються незмінними.

5. Замовник повинен негайно повідомити обробника, якщо він виявить помилки або порушення у зв’язку з обробкою персональних даних обробником.

(6) У разі наявності обов’язку інформувати третіх осіб відповідно до ст. 33, 34 DSGVO або будь-якого іншого юридичного обов’язку щодо повідомлення, що застосовується до замовника, замовник несе відповідальність за виконання цього обов’язку.

4. Загальні обов’язки обробника

(1) Оператор обробляє персональні дані виключно в межах укладених угод та/або відповідно до будь-яких додаткових інструкцій, наданих клієнтом. Виняток становлять правові норми, які можуть зобов’язувати оператора обробляти дані іншим чином. У такому випадку оператор повинен повідомити замовника про ці правові вимоги до початку обробки, якщо лише відповідне законодавство не забороняє таке повідомлення з огляду на важливий суспільний інтерес. Мета, характер та обсяг обробки даних в іншому випадку регулюються виключно цією Угодою та/або інструкціями замовника. Будь-яка обробка даних, що відхиляється від цього, заборонена для обробника, якщо тільки обробник не надав на це свою письмову згоду.

(2) Обробник зобов’язується здійснювати обробку даних від імені Замовника виключно в межах Європейської економічної зони, якщо інше не вимагається з технічних причин.

(3) У сфері обробки персональних даних відповідно до замовлення обробник гарантує договірне виконання всіх узгоджених заходів.

(4) Обробник зобов'язаний організувати свою компанію та свої робочі процедури таким чином, щоб дані, які обробляються обробником від імені замовника, були захищені в необхідному в кожному конкретному випадку обсязі та захищені від несанкціонованого доступу третіх осіб. Останній повинен заздалегідь узгоджувати з клієнтом зміни в організації обробки даних від імені клієнта, які мають істотне значення для безпеки даних.

(5) Оператор, що виконує замовлення, повинен негайно повідомити клієнта, якщо, на його думку, інструкція, видана клієнтом, порушує законодавчі норми. Оператор має право призупинити виконання відповідної інструкції до її підтвердження або зміни замовником. Якщо оператор може довести, що обробка відповідно до інструкцій замовника може призвести до відповідальності оператора згідно зі ст. 82 DSGVO, оператор має право призупинити подальшу обробку в цьому відношенні до з’ясування відповідальності між сторонами.

(6) Обробка

даних

від

імені

Замовника поза приміщеннями обробника або субпідрядника допускається лише за згодою Замовника у письмовій або текстовій формі. Обробка даних для Замовника в приватних помешканнях допускається лише за згодою Замовника у письмовій або текстовій формі в окремих випадках.

(7) Обробник оброблятиме дані, які він обробляє від імені Замовника, окремо від інших даних. Фізичне відокремлення не є обов’язковим.

5.

Уповноважений

з питань

захисту

даних обробника

(1) Обробник підтверджує, що він призначив уповноваженого з питань захисту даних відповідно до ст. 37 DSGVO. Обробник даних повинен забезпечити, щоб уповноважений з питань захисту даних мав необхідну кваліфікацію та досвід. Обробник даних повинен окремо повідомити клієнта в текстовій формі ім’я та контактні дані свого уповноваженого з питань захисту даних.

(2) Від зобов’язання призначити відповідального за захист даних відповідно до пункту 1 можна відмовитися на розсуд замовника, якщо обробник може довести, що він не зобов’язаний за законом призначати відповідального за захист даних, і обробник може довести, що існують операційні механізми, які забезпечують обробку персональних даних відповідно до законодавчих положень, положень цієї угоди та будь-яких інших інструкцій замовника.

6. Обов’язки обробника даних щодо повідомлення

(1) Оператор зобов'язаний негайно повідомляти замовника про будь-яке порушення положень про захист даних або укладених договірних угод та/або інструкцій, наданих замовником, яке сталося в процесі обробки даних ним або іншими особами, залученими до обробки. Те саме стосується будь-якого порушення захисту персональних даних, що обробляються оператором від імені замовника.

(2) Крім того, обробник повинен негайно повідомити замовника, якщо наглядовий орган відповідно до ст. 58 DSGVO вживає заходів проти обробника, і це може також стосуватися контролю обробки, яку обробник здійснює від імені замовника.

(3) Оператор усвідомлює, що на Замовника може поширюватися обов’язок повідомлення відповідно до ст. 33, 34 DSGVO, який передбачає повідомлення наглядового органу протягом 72 годин з моменту виявлення порушення. Оператор повинен надавати клієнту підтримку у виконанні зобов’язань щодо повідомлення. Зокрема, оператор повинен негайно, але не пізніше ніж через 48 годин після виявлення такого доступу, повідомити клієнта про будь-який несанкціонований доступ до персональних даних, що обробляються від імені клієнта. Повідомлення оператора клієнту має, зокрема, містити таку інформацію:

  • опис характеру порушення захисту персональних даних, якщо можливо, із зазначенням категорій та приблизної кількості осіб, яких це стосується, а також категорій та приблизної кількості записів персональних даних, яких це стосується;
  • опис заходів, вжитих або запропонованих обробником для усунення порушення захисту персональних даних, а також, у разі необхідності, заходів щодо пом’якшення його можливих негативних наслідків.

7. Обов’язки обробника даних щодо співпраці

(1) Обробник даних, якому доручено обробку, повинен надавати підтримку Клієнту у виконанні його обов’язку реагувати на запити щодо реалізації прав суб’єктів даних відповідно до статей 12–23 DSGVO. Застосовуються положення розділу 11 цієї Угоди.

(2) Обробник даних бере участь у складанні переліків операцій з обробки даних замовником. Обработчик повинен надати замовнику необхідну інформацію у відповідній формі.

(3) З урахуванням виду обробки та інформації, що є у його розпорядженні, обробник повинен допомагати замовнику у виконанні зобов’язань, передбачених статтями 32–36 Загального регламенту про захист даних (GDPR).

(4) Обробник даних має право вимагати від замовника відповідну винагороду за ці послуги, що відповідає понесеним витратам.

8. Повноваження з контролю

(1) Замовник має право в будь-який час у необхідному обсязі перевіряти, чи дотримується обробник законодавчих положень щодо захисту даних та/або чи дотримується він договірних положень, узгоджених між сторонами, та/або чи дотримується він інструкцій замовника.

Доказом виконання зобов’язань, покладених на обробника даних згідно з DSGVO, мають бути насамперед незалежні протоколи випробувань та сертифікати.

Якщо клієнт на підставі фактичних доказів має обґрунтовані сумніви щодо недостатності або неправильності протоколів випробувань або сертифікатів, або якщо це виправдано особливими інцидентами у значенні ст. 33, п. 1 DSGVO у зв’язку з виконанням обробки замовлення клієнта, клієнт може проводити перевірки відповідно до п. 8. (2).

(2) Щоб надати Клієнту можливість провести перевірку замовлення та, зокрема, перевірити технічні та організаційні заходи, вжиті у обробника даних до початку та регулярно під час обробки даних, обробник даних повинен дозволити перевірку нейтральною третьою стороною (присяжним аудитором), уповноваженою Клієнтом. Обробник даних має право призначати дати для перевірки відповідно до операційних можливостей. Перевірка має бути проведена протягом розумного строку після надходження запиту. Як альтернатива, обробник даних може також виконати право клієнта на перевірку, надавши звіт про перевірку, підготовлений незалежним присяжним аудитором від імені обробника даних. Здійснення права на перевірку не повинно надмірно порушувати господарську діяльність обробника даних або бути зловживанням.

(3) Обробник даних має право вимагати від клієнта розумну винагороду за перевірки у значенні пункту 8. (2).

9. Пропорції субпідряду

(1) Залучення субпідрядників обробником замовлення дозволяється лише за згодою замовника у письмовій формі. Обробник замовлення повинен вказати всі відносини субпідряду, що вже існують на момент укладення договору, у Додатку 2 до цього договору.

(2) Виконавець замовлення повинен ретельно відбирати субпідрядника та перевіряти до розміщення замовлення, чи здатний субпідрядник дотримуватися домовленостей, укладених між замовником та виконавцем замовлення. Зокрема, субпідрядник повинен заздалегідь та регулярно протягом терміну дії договору перевіряти, чи вжив субпідрядник технічні та організаційні заходи, необхідні згідно зі ст. 32 DSGVO для захисту персональних даних. Результати перевірки повинні бути задокументовані субпідрядником та надані замовнику на його запит.

(3) Оператор зобов'язаний отримати від субпідрядника підтвердження того, що останній призначив відповідального за захист даних у компанії відповідно до ст. 37 DSGVO. У разі, якщо субпідрядником не було призначено відповідального за захист даних, оператор повинен повідомити про це замовника та надати інформацію, яка свідчить про те, що субпідрядник не має юридичного обов'язку призначати відповідального за захист даних.

(4) Оператор обробки даних повинен забезпечити, щоб положення, узгоджені в цьому договорі, та будь-які додаткові вказівки замовника, якщо такі є, також застосовувалися до субпідрядника.

(5) Оператор обробки даних повинен укласти з субпідрядником договір, який відповідає вимогам ст. 28 DSGVO. Крім того, оператор обробки даних повинен покласти на субпідрядника ті самі зобов’язання щодо захисту персональних даних, що й ті, які встановлені між замовником та оператором обробки даних.

(6) Зокрема, сторона, що обробляє замовлення, зобов’язана забезпечити договірними положеннями, щоб повноваження з контролю (пункт 8 цього договору) замовника та наглядових органів поширювалися також на субпідрядника і щоб відповідні права на контроль були узгоджені замовником та наглядовими органами. Крім того, має бути договірно погоджено, що субпідрядник погодиться на ці заходи контролю та будь-які перевірки на місці.

(7) Відносини субпідряду в розумінні пунктів 1–6 не вважаються послугами, які обробник отримує від третіх осіб як суто допоміжні послуги для здійснення господарської діяльності. До таких послуг належать, наприклад, послуги з прибирання, суто телекомунікаційні послуги без конкретного посилання на послуги, які обробник надає замовнику, поштові та кур’єрські послуги, транспортні послуги, охоронні послуги. Проте обробник зобов’язаний забезпечити, у тому числі у випадку допоміжних послуг, що надаються третіми сторонами, вжиття відповідних запобіжних заходів та технічних і організаційних заходів для забезпечення захисту персональних даних. Технічне обслуговування та ремонт ІТ-систем або додатків становлять відносини субпідряду та обробку замовлення у значенні ст. 28 DSGVO, що вимагає схвалення, якщо технічне обслуговування та тестування стосуються таких ІТ-систем, які також використовуються у зв’язку з наданням послуг для клієнта, і якщо під час технічного обслуговування можливий доступ до персональних даних, що обробляються

від імені

клієнта.

10. Обов’язок

щодо збереження

конфіденційності

(1) Під час обробки даних від імені Клієнта обробник зобов’язаний зберігати конфіденційність даних, які він отримує або про які дізнається у зв’язку з замовленням. Оператор зобов'язується дотримуватися тих самих правил

захисту

таємниці, що й замовник. Замовник зобов'язаний повідомити оператора про будь-які особливі правила захисту таємниці.

(2) Оператор запевняє, що йому відомі чинні норми щодо захисту даних і що він знайомий з їх застосуванням. Крім того, підрядник гарантує, що ознайомив своїх співробітників з положеннями щодо захисту даних, які на них поширюються, та зобов'язав їх дотримуватися конфіденційності. Підрядник також гарантує, що, зокрема, зобов’язав своїх співробітників, які беруть участь у виконанні робіт, дотримуватися конфіденційності та поінформував їх про вказівки Замовника.

(3) Зобов’язання співробітників згідно з пунктом 2 має бути підтверджено Замовнику на його запит.

11. Захист прав суб’єктів даних

(1) Клієнт несе виключну відповідальність за захист прав зацікавлених осіб. Оператор обробки даних зобов'язаний підтримувати клієнта у виконанні його обов'язку щодо обробки запитів від суб'єктів даних відповідно до ст. 12–23 DSGVO. Зокрема, оператор обробки даних повинен забезпечити, щоб необхідна в цьому відношенні інформація була надана замовнику без затримки, щоб замовник міг виконати свої зобов'язання згідно зі ст. 12, п. 3 DSGVO.

(2) Якщо співпраця з обробником даних, якому доручено обробку, необхідна для захисту прав суб’єктів даних — зокрема, на отримання інформації, виправлення, блокування або видалення — з боку клієнта, обробник даних, якому доручено обробку, вживає відповідних необхідних заходів відповідно до вказівок клієнта. Якщо це можливо, обробник даних повинен надавати підтримку замовнику за допомогою відповідних технічних та організаційних заходів, щоб виконати його зобов’язання щодо реагування на запити про реалізацію прав суб’єктів даних. Обработчик даних має право вимагати від клієнта розумну винагороду за ці послуги.

(3) Це не впливає на будь-які положення щодо можливої компенсації додаткових витрат, понесених обробником даних у результаті надання послуг співпраці у зв'язку із захистом прав суб'єктів даних перед клієнтом.

12. Зобов’язання

щодо

збереження таємниці

(1) Обидві сторони зобов’язуються розглядати всю інформацію, отриману у зв’язку з виконанням цього договору, як конфіденційну протягом необмеженого періоду часу та використовувати її виключно для виконання договору. Жодна зі сторін не має права використовувати цю інформацію повністю або частково для інших цілей, ніж зазначені вище, або надавати цю інформацію третім особам.

(2) Вищезазначене зобов’язання не поширюється на інформацію, яку одна зі сторін, як можна довести, отримала від третіх осіб без зобов’язання щодо збереження конфіденційності або яка є загальновідомою.

13. Оплата

Особа

, що

здійснює обробку

, не отримує окремої винагороди за цей договір.

14. Технічні та організаційні заходи щодо захисту даних

(1) Особа, що здійснює обробку, зобов’язується перед замовником дотримуватися технічних та організаційних заходів, необхідних для виконання чинних положень щодо захисту даних. Це, зокрема, включає вимоги ст. 32 DSGVO.

(2) Стан технічних та організаційних заходів, що існували на момент укладення договору, додається до цього договору як Додаток 3. Сторони погоджуються, що зміни до технічних та організаційних заходів можуть бути необхідними для адаптації до технічних та правових умов. Істотні зміни, які можуть вплинути на цілісність, конфіденційність або доступність персональних даних, будуть заздалегідь узгоджені обробником даних із замовником. Заходи, що передбачають лише незначні технічні або організаційні зміни та не впливають негативно на цілісність, конфіденційність та доступність персональних даних, можуть бути впроваджені обробником даних без консультації з клієнтом. Клієнт може в будь-який час вимагати надати йому актуальну версію технічних та організаційних заходів,

вжитих

обробником.

(3) Виконавець повинен регулярно, а також за необхідності перевіряти ефективність вжитих ним технічних та організаційних заходів. У разі необхідності оптимізації та/або модифікації, обробник, якому доручено обробку, повинен повідомити про це замовника.

15. Термін дії замовлення

(1) Договір набирає чинності з моменту доручення та укладається на невизначений строк.

(2) Договір припиняється з моменту припинення дії основного договору (пакета додатків або будь-якої послуги) без необхідності окремого розірвання.

Будь-які зобов'язання

щодо

видалення та повернення після припинення дії цього Договору регулюються розділом 16.

(3) Замовник може розірвати договір у будь-який час без попередження, якщо має місце серйозне порушення положень про захист даних, що застосовуються до обробника, або зобов'язань за цим договором, якщо обробник не може або не бажає виконати вказівку, надану замовником, або якщо обробник відмовляє у доступі замовнику або компетентному наглядовому органу з порушенням договору.

16. Розірвання

(1) Після розірвання договору обробник, якому доручено обробку, повинен, на вибір замовника, повернути замовнику або видалити всі документи, дані та створені результати обробки або використання, які потрапили до його володіння у зв’язку з договірними відносинами. Видалення має бути задокументовано належним чином. Будь-які передбачені законом зобов’язання щодо зберігання або інші зобов’язання щодо зберігання даних залишаються незмінними. У випадку носіїв даних, вони повинні бути знищені у разі видалення, запрошеного замовником, при цьому має бути дотримано щонайменше рівень безпеки 3 згідно з DIN 66399; замовник повинен надати докази знищення з посиланням на рівень безпеки відповідно до DIN 66399.

(2) Замовник має право контролювати повне та договірне повернення та видалення даних у обробника даних. Це також може бути здійснено шляхом перевірки обладнання для обробки даних у приміщеннях обробника. Про перевірку на місці клієнт повинен повідомити заздалегідь, з дотриманням розумного строку попередження.

17. Право утримання

Сторони домовляються, що заперечення права утримання з боку обробника відповідно до § 273 Цивільного кодексу Німеччини (BGB) щодо оброблених даних та пов’язаних з ними носіїв даних виключається.

18. Прикінцеві положення

(1) Якщо майно замовника перебуває під загрозою у приміщеннях обробника внаслідок дій третіх осіб (таких як арешт або конфіскація), процедури банкрутства або інших подій, обробник повинен негайно повідомити про це замовника. Обробник повинен негайно повідомити кредиторів про те, що дані обробляються на виконання замовлення.

(2) Додаткові угоди повинні укладатися в письмовій формі.

(3) Якщо окремі частини цього договору є недійсними, це не впливає на чинність інших положень договору.

Додаток 1 — Предмет замовлення

1. Предмет та мета обробки

Замовлення клієнта до обробника включає такі роботи та/або послуги: Надання мобільних додатків (описаних детальніше у відповідному чинному описі послуг), а також веб-сторінок із подібним змістом. Це включає збір, обробку та передачу записаних даних.

2. Тип(и) персональних даних

Регулярно обробляються такі типи даних: Дані про трафік, дані про вміст, контактні дані, основні персональні дані та дані про комунікацію (ім’я, адреса, номер телефону, номер факсу, адреса електронної пошти).

3. Коло зацікавлених осіб

Коло осіб, яких стосується обробка даних: Користувачі вашого облікового запису, абоненти, що дзвонять та отримують дзвінки, або відправники/одержувачі SMS/факсів, співробітники, клієнти, ділові партнери, зацікавлені особи та постачальники послуг клієнта.

Якщо клієнт є партнером обробника: Контактні, особисті основні та комунікаційні дані (ім'я, адреса, номер телефону, номер факсу, адреса електронної пошти) підрядників/компаній, рекомендованих Партнером, який розмістив замовлення.

Клієнт зобов'язаний поінформувати користувачів облікового запису та — за необхідності — робочу раду або аналогічних представників про обробку даних, зазначених у пункті 2.

4. Місце обробки даних:

Усі дані обробляються на серверах у межах Європейської економічної зони.

Додаток 2 — Субпідрядник

Для обробки даних від імені Замовника обробник використовує послуги третіх осіб, які обробляють дані від його імені («субпідрядники»).

Обробник використовує різних субпідрядників для надання своїх послуг.

Ці субпідрядники — це, насамперед, такі компанії обробника, які виконують підготовчу роботу для реалізації послуг обробника. Між компаніями укладено необхідні договірні угоди щодо обробки цих даних.

Це такі компанії:

Jungherz LLC, 1621 Central Ave, Cheyenne, WY 82001

Mailjet GmbH, c/o Mindspace, Friedrichstraße 68, 10117 Berlin,

netcup GmbH, Daimlerstraße 25, D-76185 Karlsruhe

OVH Groupe SAS, 2 Rue Kellermann Roubaix, 59100 Франція

Digistore24 GmbH, St.-Godehard-Str. 32, 31139 Гільдесгайм

CopeCart GmbH, Ufnaustrasse 10, 10553 Берлін

Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Дублін, D02 H210, Ірландія

Додаток 3 — Технічні та організаційні заходи обробника замовлень

Обработчик заказов повинен вживати таких технічних та організаційних заходів щодо безпеки даних у значенні ст. 32 DSGVO.

1. Конфіденційність

Контроль доступу

З метою запобігання несанкціонованому доступу до систем обробки даних, за допомогою яких обробляються або використовуються дані, обробник та його субпідрядники, такі як Netcup та підрозділ Google Cloud, впровадили комплексні формальні процеси контролю доступу.

У використовуваних приміщеннях розташовані серверні та приміщення для серверної техніки. Для доступу обраним співробітникам субпідрядника видаються електронні ключі. Ключі надають відповідному співробітнику субпідрядника право відкривати/закривати лише окремі двері, які були затверджені для цієї мети. Усі операції відкриття та закриття за допомогою ключа реєструються в електронному вигляді разом з унікальним ідентифікатором ключа. За управління ключами відповідають лише співробітники субпідрядника, які мають пряме уповноваження від керівництва.

Серверна кімната постійно зачинена

,

і до неї можуть заходити лише обрані співробітники

субпідрядника

.

У межах будівлі відповідного об'єкта права доступу співробітників субпідрядника — навіть тих, хто має ключ — обмежуються обсягом, необхідним для виконання конкретного завдання.

У робочий час перевірка осіб, що входять до будівлі, здійснюється на постійно укомплектованій стійці реєстрації. Поза робочим часом усі входи до будівлі зачинені та захищені сигналізацією. Будівля додатково охороняється службою безпеки. Усі сигнали тривоги системи сигналізації надходять безпосередньо до служби безпеки.

У всіх дата-центрах застосовуються стандартні заходи безпеки. Вони відповідають сучасному рівню розвитку та найкращим практикам ІТ-галузі. До них належать електронні системи контролю доступу з реєстрацією, завдяки яким до будівлі допускаються лише уповноважені особи, системи сигналізації, відеоспостереження всередині та зовні, цілодобова охорона, огородження будівлі колючим дротом, захист зовнішніми охоронними службами, які автоматично отримують повідомлення через спеціальну лінію сигналізації у разі спрацювання тривоги.

Ключі від окремих приміщень та кліток у центрі обробки даних завжди необхідно отримувати у персоналу охорони.

Контроль доступу

Щоб гарантувати, що особи, уповноважені використовувати систему для обробки даних, мають доступ лише до тих даних, на які поширюється їхня авторизація, а також щоб збережені або оброблювані дані не могли бути прочитані, скопійовані, змінені або видалені сторонніми особами, обробник даних використовує централізовану систему управління авторизацією доступу. Усі записи про доступ зберігаються локально та на центральному сервері журналів. Адміністративні права можуть реалізовуватися виключно за допомогою центральної програми адміністрування.

Доступ до всіх даних обмежується обсягом, необхідним для виконання конкретних завдань усіма уповноваженими особами. Дотримуються законодавчі вимоги щодо захисту даних, зокрема вимоги Загального регламенту про захист даних (GDPR) та Закону про телекомунікації (TKG).

Розмежування

Оператор обробляє дані на серверних системах, які логічно відокремлені за допомогою системи логічного та фізичного контролю доступу в мережі.

2. Цілісність

Контроль введення

Щоб оператор замовлення міг згодом перевірити та визначити, чи були дані введені, змінені або видалені в системах обробки даних, а також ким це було зроблено, всі доступи до збережених даних клієнта реєструються локально та на центральному сервері журналів.

Контроль передачі

Щоб гарантувати, що дані не можуть бути прочитані, скопійовані, змінені або видалені сторонніми особами під час електронної передачі, транспортування або зберігання, а також щоб можна було перевірити, куди дані мають бути передані системами передачі даних, доступ до всіх систем, що обробляють дані клієнтів, підлягає ефективному контролю доступу. Ці механізми контролю доступу вже описані детальніше вище в пункті 3.

3. Доступність та відмовостійкість

Оператор використовує комбінацію резервних систем та рішень для резервного копіювання у всіх системах, щоб захистити збережені дані та мати можливість відновити їх у разі потреби. Ці системи експлуатуються виключно у приміщеннях, захищених та обладнаних відповідно до сучасного рівня техніки, які мають необхідні системи кондиціонування, пожежної та димової сигналізації та для яких існують детальні плани дій у надзвичайних ситуаціях.

4. Процедури регулярного перегляду, оцінки та аналізу

Усі наші власні співробітники та співробітники субпідрядника регулярно проходять навчання з питань захисту даних. Ці тренінги проводяться повністю всередині компанії, що дозволяє точно адаптувати їх до питань, що мають значення для обробника даних. Під час цих тренінгів також детально розглядаються окремі питання.

Усі співробітники обробника, які в ході своєї роботи стикаються з обробкою персональних даних, зобов'язані зберігати конфіденційність персональних даних. Це регулярно здійснюється під час прийняття на роботу нових співробітників за допомогою договірної декларації про зобов'язання, яку повинен підписати кожен співробітник.

Обробник призначив відповідального за захист даних. Разом зі своїми заступниками відповідальний за захист даних повинен забезпечити своєчасне надання відповідей на запити суб'єктів даних.

Оператор веде реєстр операцій з обробки даних у значенні ст. 30, пп. 1 та 2 DSGVO. Цей перелік операцій з обробки даних не є публічним.

(станом на 16 лютого 2022 року)