Contrato de procesamiento de pedidos de conformidad con el artículo 28 del RGPD
Este acuerdo de procesamiento de pedidos (“AVV”) se aplica a las medidas de procesamiento de datos personales por parte de Dibooq GmbH, Heinrich-Mann-Allee 3b, 14473 Potsdam, Alemania (también denominado “nosotros” o “Contratista”), que se proporcionan a los clientes (en adelante, “Cliente”) en cumplimiento del contrato principal (= GTC DiBooq Desktop App así como GTC DiBooq Mobile App, si procede).
Preámbulo
El Contratista prestará servicios al Cliente de acuerdo con el contrato principal celebrado entre ellos (en adelante: “Contrato Principal”). Parte de la ejecución del Contrato Principal es el tratamiento de datos personales en el sentido del Reglamento General de Protección de Datos (“RGPD”). Con el fin de cumplir con los requisitos del GDPR para tales constelaciones, las Partes celebran el siguiente acuerdo de procesamiento de pedidos (también “Acuerdo”), que entra en vigor tras la firma o la entrada en vigor del Acuerdo principal.
§ 1 Asunto / alcance de la tarea
- Como parte de la cooperación entre las partes de conformidad con el contrato principal, el contratista tiene acceso a los datos personales del cliente (en adelante, “datos del cliente “). El contratista procesa estos datos del cliente en nombre y de acuerdo con las instrucciones del cliente en el sentido del Art. 4 No. 8 y Art. 28 GDPR.
- El procesamiento de los datos del cliente por parte del contratista se lleva a cabo en la forma descrita en el Apéndice 1, así como en el alcance y el propósito allí especificado. Se muestra el grupo de personas afectadas por el tratamiento de datos. La duración del procesamiento corresponde a la duración del contrato principal.
- Si los servicios del contratista para el procesamiento de categorías especiales de datos personales de conformidad con el Art. 9 Párr. 1 GDPR son adecuados, requiere una evaluación de riesgos por parte del cliente.
- El contratista tiene prohibido procesar datos del cliente que se desvíen del procesamiento especificado en el Apéndice 1.
- El procesamiento de los datos del cliente se realiza grds. en el territorio de la República Federal de Alemania, en un estado miembro de la Unión Europea o en otro estado signatario del Acuerdo sobre el Espacio Económico Europeo. Si hay una reubicación del procesamiento de pedidos a un tercer país, esto requiere el consentimiento previo del cliente y solo se lleva a cabo si se cumplen los requisitos especiales de los artículos 44 a 49 del RGPD. Con la conclusión de este contrato de procesamiento de pedidos, el cliente acepta el procesamiento de datos personales por parte de los subcontratistas mencionados en el Apéndice 1.
- Las disposiciones de este contrato se aplican a todas las actividades relacionadas con el contrato principal. Lo mismo se aplica a todas las actividades en las que el contratista y sus empleados o agentes encargados por el contratista entran en contacto con los datos del cliente.
§ 2 Autoridad del cliente para emitir instrucciones
- El contratista procesa los datos del cliente como parte de la puesta en servicio y en nombre y de acuerdo con las instrucciones del cliente en el sentido del Art. 28 GDPR (procesamiento de pedidos). El cliente tiene el derecho exclusivo de emitir instrucciones sobre el tipo, alcance y método de las actividades de procesamiento (en adelante también denominado “el derecho a emitir instrucciones”). Si el contratista está obligado a realizar un procesamiento posterior por la ley de la Unión Europea o los estados miembros a los que está sujeto, deberá notificar al cliente estos requisitos legales antes del procesamiento.
- Las instrucciones generalmente las da el cliente por escrito o en forma electrónica (el correo electrónico es suficiente); Las instrucciones emitidas verbalmente deben ser confirmadas electrónicamente por el contratista.
- Si el contratista opina que una instrucción del cliente viola las normas de protección de datos, debe informar al cliente en consecuencia. El contratista tiene derecho a suspender la implementación de la instrucción pertinente hasta que sea confirmada o modificada por el cliente.
§ 3 Medidas de protección del contratista
- El contratista está obligado a observar las disposiciones legales en materia de protección de datos y a no ceder la información obtenida del área del cliente a terceros ni a suspender su acceso. Los documentos y datos deben protegerse contra el acceso no autorizado, teniendo en cuenta el estado de la técnica.
- Además, el contratista obligará a todas las personas a las que le haya confiado la tramitación y cumplimiento de este contrato (en lo sucesivo, “empleados”) a la confidencialidad (obligación de confidencialidad, art. 28, apartado 3, letra b, del RGPD). A solicitud del cliente, el contratista proporcionará al cliente evidencia de la obligación del empleado por escrito o en forma electrónica.
- El contratista diseñará su organización interna de tal manera que cumpla con los requisitos especiales de protección de datos. Se compromete a tomar todas las medidas técnicas y organizativas adecuadas para proteger adecuadamente los datos del cliente de acuerdo con. Art. 32 GDPR, en particular para tomar las medidas enumeradas en el Anexo 2 de este contrato y mantenerlas mientras dure el procesamiento de los datos del cliente.
- El contratista se reserva el derecho de modificar las medidas técnicas y organizativas adoptadas, por lo que se asegura de que no se supere el nivel de protección acordado en el contrato.
- A solicitud del cliente, el contratista demostrará el cumplimiento de las medidas técnicas y organizativas al cliente.
§ 4 Obligaciones de información y soporte del contratista
- En caso de interrupciones, sospecha de violaciones de la protección de datos o incumplimiento de las obligaciones contractuales por parte del contratista, sospecha de incidentes relacionados con la seguridad u otras irregularidades en el procesamiento de los datos del cliente por parte del contratista, las personas empleadas por él en el contexto del pedido. o por terceros, el contratista informará al cliente de forma inmediata, a más tardar informar por escrito o electrónicamente dentro de las 48 horas. Lo mismo se aplica a las revisiones del contratista por parte de la autoridad supervisora de protección de datos. Estos informes deben contener al menos la información especificada en el artículo 33, párrafo 3, del RGPD.
- En el caso antes mencionado, el contratista apoyará al cliente en el cumplimiento de sus correspondientes medidas de aclaración, reparación e información dentro del marco de lo razonable.
- El contratista se compromete a proporcionar al cliente toda la información y las pruebas necesarias para llevar a cabo una inspección dentro de un período de tiempo razonable cuando lo solicite.
§ 5 Otras obligaciones del contratista
- Si se le aplican las condiciones del Art. 30 GDPR, el contratista está obligado a mantener una lista de todas las categorías de actividades de procesamiento realizadas en nombre del cliente de acuerdo con Art. 30 Apartado 2 del RGPD. El directorio se pondrá a disposición del cliente si lo solicita.
- El contratista está obligado a apoyar al cliente en la preparación de una evaluación de impacto de protección de datos de acuerdo con el Art. 35 GDPR y cualquier consulta previa a la autoridad de control de acuerdo con el Art. 36 GDPR.
- El contratista confirma que, en la medida en que exista una obligación legal de hacerlo, ha designado un delegado de protección de datos.
- En caso de que los datos del cliente sean puestos en peligro por el contratista a través de embargo o decomiso, procedimientos de quiebra o liquidación u otros eventos o medidas por parte de terceros, el contratista debe informar al cliente de inmediato, a menos que lo prohíba un tribunal u orden oficial. En este contexto, el contratista informará inmediatamente a todos los organismos responsables de que la autoridad para la toma de decisiones sobre los datos recae exclusivamente en el cliente como “responsable” en el sentido del RGPD.
§ 6 Relaciones con subcontratistas
- El contratista puede hacer que el procesamiento de datos personales se lleve a cabo total o parcialmente por otros procesadores por contrato (en lo sucesivo, “subcontratistas”). El contratista informará al cliente por escrito con antelación sobre la puesta en servicio de subcontratistas o cambios en la subcontratación. Si existen razones objetivas, el cliente puede oponerse a la subcontratación en forma de texto dentro de las cuatro semanas posteriores a su conocimiento.
- No existe una relación de subcontratista en el sentido de estas disposiciones si el contratista contrata a terceros con servicios que deben considerarse servicios puramente auxiliares. Estos incluyen, por ejemplo, servicios de correo, transporte y envío, servicios de limpieza, servicios de seguridad, servicios de telecomunicaciones sin referencia específica a los servicios que el contratista brinda al cliente, así como otras medidas para asegurar la confidencialidad, disponibilidad, integridad y resiliencia de el hardware y software de los sistemas de procesamiento de datos. La obligación del contratista de garantizar el cumplimiento de la protección y la seguridad de los datos en estos casos tampoco se ve afectada.
- El contratista acordará con el subcontratista las disposiciones realizadas en esta CGU con el mismo contenido. En particular, los TOM que se acuerden con el subcontratista deben tener un nivel de protección equivalente.
- El contratista ha establecido relaciones de subcontratación con las empresas enumeradas en el Anexo 1, a las que el cliente está de acuerdo con la celebración de este contrato de procesamiento de pedidos:
- Con los subcontratistas, el contratista debe cumplir con los requisitos de la Sección 6, párr. 3 contratos de procesamiento de pedidos correspondientes celebrados. Cuando esta CGU entra en vigencia, el cliente aprueba a los subcontratistas antes mencionados.
- Parte de los contratos de procesamiento de pedidos con los subcontratistas es, en particular, que los subcontratistas se aseguren de que han tomado las medidas técnicas y organizativas apropiadas y adecuadas de acuerdo con el Art. 32 GDPR debido al procesamiento de datos personales realizado por ellos en nombre de ellos.
§ 7 Derechos de control
- El cliente tiene derecho a asegurarse de que las disposiciones de este contrato se cumplan de forma regular. Para ello, puede, por ejemplo, obtener información del contratista, hacer que los expertos presenten atestaciones existentes, certificaciones o pruebas internas o hacer que las medidas técnicas y organizativas del contratista se verifiquen personalmente o por un tercero informado durante el horario comercial normal. siempre que no se trate de una relación competitiva con el contratista.
- El cliente solo llevará a cabo controles en la medida necesaria y tomará la debida consideración de los procesos operativos del contratista. Las partes llegarán a un entendimiento a su debido tiempo sobre la hora y el tipo de prueba.
- El cliente documenta el resultado del control y lo comunica al contratista. En el caso de errores o irregularidades que el cliente descubra, especialmente al verificar los resultados del pedido, deberá informar al contratista de inmediato. Si se encuentran circunstancias durante el control, cuya futura evitación requiere cambios en el flujo de proceso ordenado, el cliente deberá notificar al contratista los cambios de proceso necesarios sin demora.
§ 8 Derechos de los interesados
- En la medida de lo posible, el contratista apoya al cliente con las medidas técnicas y organizativas adecuadas en el cumplimiento de sus obligaciones de acuerdo con los artículos 12 a 22 y 32 a 36 del RGPD. Le dará al cliente la información solicitada sobre los datos del cliente de inmediato, pero a más tardar dentro de los 14 días hábiles, a menos que el propio cliente tenga la información relevante.
- Si el interesado hace valer sus derechos de acuerdo con los artículos 16 a 18 del RGPD, el contratista está obligado a corregir, eliminar o restringir los datos del cliente según las instrucciones del cliente de inmediato, a más tardar en un plazo de 7 días hábiles. Previa solicitud, el contratista proporcionará al cliente evidencia escrita de la eliminación, corrección o restricción de los datos.
- Si una persona interesada afirma derechos, por ejemplo, para proporcionar información, corrección o eliminación con respecto a sus datos, directamente contra el contratista, el contratista remitirá esta solicitud al cliente y esperará sus instrucciones. Sin la correspondiente instrucción individual, el contratista no entrará en contacto con la persona interesada.
§ 9 Término y rescisión
La duración de este contrato corresponde a la del contrato principal. Por lo tanto, termina automáticamente con la finalización del contrato principal. Si el contrato principal puede ser rescindido con la debida antelación, las disposiciones sobre la debida antelación de la rescisión se aplicarán en consecuencia a este contrato. Si el contratista deja de procesar los datos del cliente antes de la expiración del contrato principal, este contrato también finalizará automáticamente.
§ 10 Eliminación y devolución después de la finalización del contrato
- Después de la terminación del contrato principal o en cualquier momento previa solicitud, el contratista devolverá todos los documentos, datos y soportes de datos al cliente o, a solicitud del cliente, si no hay un período de retención legal, los eliminará completa e irrevocablemente. Esto también se aplica a las copias de los datos del cliente en casa del contratista, como copias de seguridad de los datos, pero no a la documentación que sirva para demostrar que los datos del cliente se han procesado correctamente de acuerdo con el pedido. El contratista debe conservar dicha documentación durante un período de 6 meses y devolverla al cliente si así lo solicita. Los datos personales compartidos por el cliente con otros usuarios de la aplicación de escritorio DiBooq o de la aplicación móvil DiBooq no están cubiertos por la obligación de eliminarlos o entregarlos.
- El contratista confirmará electrónicamente la eliminación al cliente. El cliente tiene derecho a comprobar la devolución o supresión completa y contractual de los datos en el contratista de forma adecuada.
- El contratista está obligado a tratar los datos que le hayan sido conocidos en relación con el contrato principal de forma confidencial, incluso después de la finalización del contrato principal.
§ 11 Responsabilidad
- La responsabilidad de las partes se basa en el Art. 82 GDPR. La responsabilidad del contratista hacia el cliente debido al incumplimiento de las obligaciones de este contrato o del contrato principal no se ve afectada.
- Las partes se eximirán en cada caso de responsabilidad si una de las partes puede probar que no es responsable en modo alguno de la circunstancia que causó el daño a la persona interesada. Esto se aplica en consecuencia en el caso de una multa impuesta a una de las partes, y la exención se otorga en la medida en que la otra parte comparta la responsabilidad de la infracción sancionada por la multa.
§ 12 Confidencialidad y secreto de los datos
- El contratista se compromete a observar las mismas reglas de protección del secreto que incumben al cliente.
- Existe una obligación de confidencialidad para los empleados del contratista y los terceros encargados por él. El contratista debe informar a las personas empleadas en el procesamiento de los datos del cliente de conformidad con el Art. 28 Párr. 3 encendidos. b GDPR para comprometerse con la confidencialidad por escrito. Esto no es necesario si las personas empleadas ya están sujetas a una obligación legal apropiada de confidencialidad. El contratista documentará por escrito la obligación establecida en este apartado y la presentará al cliente a petición del cliente.
- El contratista confirma que conoce las normativas de protección de datos pertinentes. El contratista garantiza que familiarizará a los empleados implicados en la realización del trabajo con las disposiciones de protección de datos relevantes y les obligará a cumplir con la normativa de protección de datos aplicable. Supervisa el cumplimiento de la normativa de protección de datos.
- Las obligaciones de confidencialidad reguladas en este apartado continúan existiendo incluso después de la terminación de la relación contractual.
- Además de las disposiciones legales aplicables (en particular § 88 TKG, § 203 StGB, §§ 4, 23 GeschGehG y, en su caso, obligaciones especiales de confidencialidad profesional), el contratista también está obligado a proporcionar toda la información y los datos que reciba en el contexto de los servicios acordados contractualmente llegan al conocimiento, a mantener en secreto y no a ceder a terceros (información confidencial). La información confidencial es, en particular, secretos comerciales y comerciales, la celebración de contratos, información técnica o comercial de cualquier tipo u otra información que se designe como confidencial o se considere confidencial por su naturaleza. Esto también se aplica en particular a:
Nombres, direcciones, así como las circunstancias personales, legales y económicas de todos los clientes del cliente y las circunstancias personales, legales y económicas del cliente y todas las demás personas que trabajan para el cliente.
La información no se considerará confidencial si ya era de conocimiento público en el momento en que el contratista tuvo conocimiento de la información. La información que se haya dado a conocer públicamente o que se haya dado a conocer en un momento posterior con el consentimiento del cliente también se considerará no confidencial. - El contratista se compromete a comprometerse con todos los empleados que obtengan conocimiento de la información confidencial mencionada anteriormente del cliente mientras trabajan para el cliente.
- Si el contratista contrata a terceros, debe asegurarse de que los requisitos de los párrafos 1 a 6 se apliquen en consecuencia.
§ 13 Disposiciones finales
- Las partes acuerdan que se excluye la objeción del derecho de retención por parte del contratista en el sentido de la Sección 273 BGB con respecto a los datos a procesar y los portadores de datos asociados.
- Los cambios y adiciones a este acuerdo deben realizarse electrónicamente.
- En caso de duda, las disposiciones de este contrato prevalecen sobre las disposiciones del contrato principal. Si las disposiciones individuales de este acuerdo resultan ineficaces o inaplicables en su totalidad o en parte o se vuelven ineficaces o inaplicables como resultado de cambios en la legislación después de la celebración del contrato, esto no afectará la validez de las disposiciones restantes. La disposición ineficaz o inaplicable debe ser reemplazada por la disposición efectiva y ejecutable que se acerque lo más posible al significado y propósito de la disposición inválida.
- Este acuerdo está sujeto a la ley alemana. El lugar exclusivo de jurisdicción es la sede del contratista.
Anexos
Anexo 1 Especificaciones del contrato
Anexo 2 Medidas técnicas y organizativas del contratista (Art. 32 GDPR)
Anexo 1 – Especificaciones del contrato
Asunto y duración del pedido Resumen de requisitos y especificaciones |
|
Contrato principal | Términos y condiciones para la licencia del software Dibooq |
Objeto del pedido | El cliente utiliza el software Dibooq. El software Dibooq ofrece a las agencias de alquiler de viviendas vacacionales (“agencias”) la posibilidad de gestionar calendarios de ocupación de propiedades vacacionales y compartir disponibilidades en tiempo real (“calendarios de reserva”). Se pueden definir condiciones de reserva bajo las cuales es posible introducir reservas en el calendario (“Reserva directa”) o realizar consultas de reserva que pueden ser confirmadas o rechazadas dentro del sistema (“Consulta de reserva”). |
Finalidad de la recopilación de datos, procesamiento de datos o uso de datos | Para cumplir con las obligaciones del contratista del contrato principal, los datos personales del área de control del cliente serán procesados por el contratista en su totalidad de acuerdo con el Art. 4 No. 2 GDPR, en particular recopilados, almacenados , modificado, leído, consultado, utilizado, divulgado, comparado cuando sea necesario, vinculado y eliminado. Por lo tanto, el propósito del procesamiento depende del orden descrito en el contrato principal. |
Tipo de datos | Las categorías de datos personales afectados por el procesamiento dependen del uso de los servicios del contratista por parte del cliente. Son posibles las categorías de datos que pueden considerarse objeto de tratamiento • Datos maestros (por ejemplo, nombres, direcciones, fechas de nacimiento), • Datos de contacto (por ejemplo, direcciones de correo electrónico, números de teléfono), • datos de contenido (por ejemplo, fotografías, videos, contenido de documentos), • Datos del contrato (por ejemplo, objeto del contrato, términos, clientes), • Datos de pago (por ejemplo, datos bancarios, proveedor de servicios de pago), • Datos de uso (por ejemplo, historial de servicios web, tiempos de acceso), • Datos de conexión (por ejemplo, ID de dispositivo, direcciones IP, URL de referencia) y • Datos de ubicación (por ejemplo, datos de GPS, geolocalización de IP). |
Círculo de afectados |
Las categorías de sujetos de datos afectados por el procesamiento dependen del uso de los servicios del contratista por parte del cliente. Entran en consideración las siguientes categorías de interesados: • empleados |
Subcontratista
No. | Nombre del subcontratista Dirección / País | Objeto del pedido | Tipo y alcance de los datos |
1 | e-pixler NEW MEDIA GmbH Escalera de la fábrica de lámparas E Edisonstrasse 63 12459 Berlín Alemania |
Administración del servidor | Alojar el software y las bases de datos |
2 | dominios-unidos AG Gautinger Strasse 10 82319 Starnberg Alemania |
Alojamiento de dominios y sitios web | Sitio web con formulario de contacto |
3 | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park Leopardstown Dublin 18 D18 P521 Irlanda | Microsoft 365 Empresa, Almacenamiento en la nube, proveedores de correo electrónico, equipos |
Correos electrónicos y archivo de documentos |
Anexo 2 – Medidas técnicas y organizativas
De conformidad con el artículo 32 del RGPD, los responsables del tratamiento están obligados a adoptar medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los datos personales. Las medidas deben seleccionarse de manera que, en conjunto, garanticen un nivel de protección adecuado. En este contexto, este resumen explica qué medidas concretas ha adoptado el contratista en relación con el tratamiento de datos personales en un caso específico.
Instrucciones sobre medidas técnicas y organizativas |
1. Organización de la seguridad de la información Se definirán políticas, procesos y responsabilidades con las que se pueda implementar y controlar la seguridad de la información. |
Medidas: ☒ Política de seguridad de la información. ☐ Definición de roles y responsabilidades para el funcionamiento de aplicaciones y sistemas, protección de datos y seguridad de la información. ☐ Obligación de los empleados de mantener el secreto y el secreto de los datos. |
2. Privacidad por diseño La privacidad por diseño incluye la idea de que los sistemas deben diseñarse y construirse de tal manera que se minimice la cantidad de datos personales procesados. Los elementos esenciales de la economía de datos son la separación de los identificadores personales y los datos de contenido, el uso de seudónimos y el anonimato. Además, los datos personales deben eliminarse de acuerdo con un período de retención configurable. |
Medidas: ☒ No se recopilan más datos personales de los necesarios para el propósito respectivo. ☒ El procesamiento y los sistemas están diseñados de tal manera que usted habilita y garantiza la eliminación de los datos personales procesados que cumplen con el RGPD. |
3. Privacidad de forma predeterminada La privacidad de forma predeterminada se refiere a la configuración predeterminada que respeta la privacidad. ¿Hasta qué punto hiciste esto? Ejemplo: cuando visita un sitio web, el visitante puede esperar que todos los programas que recopilan datos personales estén inicialmente desactivados. |
Medidas: ☒ Las funciones de seguimiento que controlan al interesado están desactivadas de forma predeterminada. ☒ Todas las asignaciones previas de opciones de selección cumplen con los requisitos del RGPD con respecto a la configuración predeterminada amigable con la protección de datos (por ejemplo, sin asignación previa de opciones de suscripción). |
4. Control de acceso y control de acceso Medidas que aseguren que las personas autorizadas a utilizar los procedimientos de procesamiento de datos solo puedan acceder a los datos personales sujetos a su autorización de acceso o información y datos que requieran protección (descripción de los mecanismos de seguridad inmanentes al sistema, procedimientos de encriptación de acuerdo con el estado de la técnica. En el caso del acceso en línea, se debe aclarar qué parte es responsable de emitir y administrar los códigos de seguridad de acceso). El contratista garantiza que los usuarios autorizados para utilizar la infraestructura de TI solo pueden acceder al contenido para el que están autorizados, y que los datos personales no se pueden copiar, modificar o eliminar sin autorización durante el procesamiento y después del almacenamiento. |
Medidas: ☒ Documentación de conceptos de autorización. ☒ El acceso a los datos está restringido y solo es posible para personas autorizadas. ☒ Bloqueo de la cuenta de usuario en caso de intentos fallidos / inactividad. ☐ Bloqueo del dispositivo final al salir del lugar de trabajo o inactividad. ☒ Número de administradores reducido al “mínimo”. ☒ Registro de acceso a aplicaciones, especialmente al ingresar, cambiar y eliminar datos. |
5. Criptografía y / o seudonimización Uso de procedimientos de encriptación para asegurar la protección adecuada y efectiva de la confidencialidad, autenticidad o integridad de los datos personales o información que necesita protección. Medidas adecuadas para dificultar la identificación del interesado. |
Medidas: ☒ Cifrado de acceso a conexiones y acceso a la red. |
Otras medidas implementadas para la criptografía: En el AVV incl. TOM entre el contratista y e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlín, Alemania. AVV incl. TOM entre el contratista y e-pixler puede estar disponible si es necesario. |
6. Protección de los edificios Prevención del acceso físico no autorizado a la información y las instalaciones de procesamiento de información de la organización, así como su daño y deterioro. El contratista toma medidas para evitar que personas no autorizadas accedan (a entender espacialmente) a los sistemas de procesamiento de datos con los que se procesan los datos personales. |
Otras medidas implementadas para proteger los edificios: En el AVV incl. TOM entre el contratista y e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlín, Alemania. AVV incl. TOM entre el contratista y e-pixler puede estar disponible si es necesario. |
7. Protección de recursos operativos / activos de información Prevención de pérdida, daño, robo o deterioro de activos e interrupciones en las operaciones de la organización. |
Medidas: ☒ Colocación segura de los sistemas de modo que se garantice la protección contra robos. ☒ Protección del equipo contra fuego, agua o sobretensión. ☒ Alojamiento del servidor y los componentes de la red en salas seguras, armarios, etc. ☒ Mantenimiento periódico del equipo. ☒ Eliminación, destrucción y eliminación segura de recursos operativos. |
Otras medidas implementadas para proteger el equipo: En el AVV incl. TOM entre el contratista y e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlín, Alemania. AVV incl. TOM entre el contratista y e-pixler puede estar disponible si es necesario. |
8. Procedimientos y responsabilidades operativos Asegurar el funcionamiento adecuado y seguro de los sistemas y procedimientos para procesar la información. |
Medidas: ☒ Configuraciones del sistema y procedimientos operativos documentados, manuales de gestión operativa. ☒ Asignación clara de responsabilidades para el soporte de aplicaciones y sistemas. ☐ Separación del procesamiento de datos de los clientes individuales. ☒ Separación de los sistemas de desarrollo, prueba y producción. ☒ Seguimiento de la operación e instalaciones del sistema. ☐ Contratos de mantenimiento con un tiempo de respuesta adecuado |
9. Copias de seguridad de datos Medidas para garantizar que los datos personales o la información y los datos confidenciales estén protegidos contra la destrucción o pérdida accidental. |
Medidas: ☒ Concepto de copia de seguridad de datos con copias de seguridad periódicas. ☒ Subcontratación del respaldo a otras zonas de incendio. ☒ Subcontratación de copias de seguridad a otros edificios. |
Otras medidas implementadas para la copia de seguridad de datos: En el AVV incl. TOM entre el contratista y e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlín, Alemania. AVV incl. TOM entre el contratista y e-pixler puede estar disponible si es necesario. |
10. Protección contra malware y administración de parches Prevención de la explotación de debilidades técnicas mediante el uso de software de protección antivirus actualizado y la implementación de administración de parches. |
Medidas: ☒ Monitoreo regular del estado de las actualizaciones de seguridad y vulnerabilidades del sistema. ☒ Uso de software anti-malware. ☒ Instalación regular de parches y actualizaciones de seguridad. |
11. Registro y seguimiento Medidas que garantizan que posteriormente se pueda comprobar y determinar si los datos personales han sido introducidos, modificados o eliminados en los sistemas informáticos y quién los ha introducido. (Todas las actividades del sistema se registran; el contratista mantiene los registros durante al menos 3 años). |
Medidas: ☒ Registro de accesos. ☒ Evaluación de archivos de registro. |
12. Gestión de la seguridad de la red Se debe implementar una protección adecuada de la red para que la información y los componentes de la infraestructura estén protegidos. |
Medidas: ☒ Uso de software de gestión de redes. ☒ Uso de sistemas cortafuegos. ☒ Uso de sistemas de detección / prevención de intrusiones. ☒ Autenticación de usuarios y encriptación de acceso externo. |
13. Transferencia de información Medidas que garanticen que los datos personales o la información y los datos sensibles no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que pueda comprobarse y determinarse en caso de transferencia de datos personales o La información confidencial, así como los datos, es proporcionada por dispositivos de transferencia de datos. (Descripción de las instalaciones y protocolos de transmisión utilizados, por ejemplo, identificación y autenticación, cifrado de última generación, devolución de llamada automática, etc.) |
Medidas: ☒ Transferencia de datos a terceros solo después de verificar la base legal. ☒ Legalidad y especificación escrita de la transferencia de datos a terceros países. ☒ Transferencia segura de datos entre cliente y servidor. ☒ Uso de acceso externo cifrado. ☒ Transporte y envío seguro de soportes de datos, datos y documentos. |
14. Adquisición, desarrollo y mantenimiento de sistemas Medidas que aseguren que la seguridad de la información sea parte integral del ciclo de vida de los sistemas de información. |
Medidas: ☒ Pautas para el desarrollo de sistemas seguros. ☒ Protección de datos de prueba. |
15. Relaciones con los proveedores Las medidas relacionadas con la seguridad de la información para reducir los riesgos en relación con el acceso de los proveedores a los valores de la empresa deben acordarse y documentarse con los subproveedores / subcontratistas. |
Medidas: ☒ Selección del contratista teniendo debidamente en cuenta los aspectos (especialmente en lo que respecta a la seguridad de los datos). ☒ Instrucciones escritas para el contratista (por ejemplo, a través de un contrato de procesamiento de pedidos) en el sentido del GDPR, el contratista ha designado oficiales de protección de datos. ☒ Derechos de control efectivo frente al contratista acordados. ☒ Examen previo y documentación de las medidas de seguridad adoptadas por el contratista. ☒ Obligación de los empleados del contratista de mantener el secreto de los datos. ☒ Asegurar la destrucción de datos después de completar el pedido. ☒ Revisión continua del contratista y sus actividades. |
16. Gestión de incidentes de seguridad de la información Se deben implementar medidas consistentes y efectivas para la gestión de incidentes de seguridad de la información (robo, falla del sistema, etc.). |
Medidas: ☒ Procedimiento documentado para hacer frente a incidentes de seguridad. ☒ Notificación inmediata al cliente en caso de incidencias de protección de datos. |
17. Aspectos de seguridad de la información de la gestión de la continuidad del negocio / gestión de emergencias El mantenimiento de la disponibilidad del sistema en situaciones difíciles como crisis o daños. Una gestión de emergencias debe garantizar esto. Los requisitos de seguridad de la información deben determinarse en la continuidad del negocio y la planificación de la recuperación ante desastres. |
Medidas: ☒ Informar al cliente en una etapa temprana en caso de una emergencia. |
Otras medidas implementadas para la gestión de la continuidad del negocio y la gestión de emergencias: En el AVV incl. TOM entre el contratista y e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlín, Alemania. AVV incl. TOM entre el contratista y e-pixler puede estar disponible si es necesario. |
18. Cumplimiento de los requisitos legales y contractuales Implementación de medidas para evitar violaciones de las obligaciones legales, oficiales o contractuales, así como los requisitos de seguridad. |
Medidas: ☒ Velar por el cumplimiento de las obligaciones legales en el marco de la cooperación. ☒ Devolución de todos los datos, recursos y valores de la información al cliente al finalizar el contrato. ☒ Establecimiento de una gestión de licencias. ☒ Obligaciones de confidencialidad con los empleados, así como con los subproveedores y prestadores de servicios. |
19. Requisitos de protección de datos y gestión de la protección de datos La privacidad y la protección de los datos personales deben garantizarse de acuerdo con los requisitos de los reglamentos legales pertinentes, otras disposiciones y disposiciones contractuales. |
Medidas: ☐ Establecimiento de una organización de protección de datos. ☐ Directorio de actividades de procesamiento. ☐ Implementación de capacitación en protección de datos. ☐ Establecimiento de un sistema de gestión de protección de datos. ☐ Concepto de protección de datos documentados. ☐ Directrices implementadas sobre protección de datos. |
20. Revisiones de seguridad de la información Se debe verificar periódicamente si el procesamiento de la información se lleva a cabo de acuerdo con las medidas de seguridad definidas. Para ello, el contratista realizará controles periódicos. El contratista otorga al cliente el derecho a realizarle auditorías / revisiones periódicas. |
Medidas: ☒ Implantación periódica de auditorías internas en temas de protección de datos y seguridad de la información. ☒ Realización de pruebas de penetración. |