Ugovor o obradi narudžbe u skladu s člankom 28. GDPR-a
Ovaj ugovor o obradi narudžbi (“ AVV ”) primjenjuje se na mjere obrade osobnih podataka od strane Dibooq GmbH, Heinrich-Mann-Allee 3b, 14473 Potsdam, Njemačka (također se nazivaju “ mi ” ili “ izvođač ”), koje se provode od strane kupaca (u daljnjem tekstu „ klijent”) ”) pružaju se u skladu s glavnim ugovorom (=GTC DiBooq Desktop App i, ako je primjenjivo, GTC DiBooq Mobile App).
preambula
Izvršitelj pruža usluge Naručitelju u skladu s glavnim ugovorom sklopljenim između njih (u daljnjem tekstu: “ Glavni ugovor” ). Dio provedbe glavnog ugovora je obrada osobnih podataka u smislu Opće uredbe o zaštiti podataka (“ GDPR ”). Kako bi se ispunili zahtjevi GDPR-a za takve konstelacije, strane sklapaju sljedeći ugovor o obradi narudžbe (također ” ugovor “), koji stupa na snagu kada je glavni ugovor potpisan ili stupi na snagu.
§ 1. Predmet/opseg zadatka
- U sklopu suradnje ugovornih strana u skladu s glavnim ugovorom, izvršitelj ima pristup osobnim podacima naručitelja (u daljnjem tekstu „ podaci naručitelja ”). Izvođač obrađuje ove podatke klijenta u ime i prema uputama klijenta u smislu članka 4. br. 8. i članka 28. GDPR-a.
- Obrada podataka naručitelja od strane Izvršitelja provodi se na način opisan u Prilogu 1 te u opsegu i namjeni koja je tamo navedena. Prikazana je skupina ljudi na koje obrada podataka utječe. Trajanje obrade odgovara roku glavnog ugovora.
- Jesu li usluge izvođača za obradu posebnih kategorija osobnih podataka sukladno čl.9.st. 1 GDPR, potrebna je procjena rizika od strane klijenta.
- Izvršitelju je zabranjena obrada podataka naručitelja osim onih navedenih u Dodatku 1.
- Obrada podataka klijenta općenito se odvija. na području Savezne Republike Njemačke, u državi članici Europske unije ili u drugoj državi ugovornici Ugovora o Europskom gospodarskom prostoru. Ako dođe do premještanja obrade narudžbe u treću zemlju, za to je potreban prethodni pristanak klijenta i dogodit će se samo ako su ispunjeni posebni zahtjevi iz članaka 44. do 49. GDPR-a. Sklapanjem ovog ugovora o obradi narudžbe naručitelj pristaje na obradu osobnih podataka od strane kooperanata navedenih u Prilogu 1.
- Odredbe ovog ugovora odnose se na sve poslove vezane uz glavni ugovor. Isto se odnosi i na sve aktivnosti u kojima izvođač i njegovi zaposlenici ili osobe koje je odredio izvođač dolaze u kontakt s podacima naručitelja.
§ 2 Ovlaštenje klijenta za davanje uputa
- Izvršitelj obrađuje podatke naručitelja u sklopu provizije te u ime i u skladu s uputama naručitelja sukladno čl.28 GDPR (obrada naloga). Naručitelj ima isključivo pravo davanja uputa o vrsti, opsegu i načinu obavljanja radnji obrade (u daljnjem tekstu i „pravo davanja uputa”). Ako je izvođač dužan izvršiti daljnju obradu prema pravu Europske unije ili država članica kojima podliježe, obavijestit će naručitelja o tim zakonskim zahtjevima prije obrade.
- Upute naručitelj u pravilu daje u pisanom obliku ili u elektroničkom obliku (dovoljan je e-mail); Usmene upute izvoditelj mora potvrditi u elektroničkom obliku.
- Ako izvođač smatra da uputa naručitelja krši propise o zaštiti podataka, mora o tome obavijestiti naručitelja. Izvođač ima pravo obustaviti provedbu relevantnih uputa dok ih naručitelj ne potvrdi ili promijeni.
§ 3. Zaštitne mjere izvođača
- Izvršitelj je dužan poštivati zakonske odredbe o zaštiti podataka te podatke dobivene iz prostora naručitelja ne prosljeđivati trećim osobama niti im obustaviti pristup. Dokumenti i podaci moraju biti osigurani od pristupa neovlaštenih osoba, uzimajući u obzir najnovija dostignuća.
- Nadalje, izvođač će obvezati sve osobe kojima je povjerio obradu i ispunjenje ovog ugovora (u daljnjem tekstu „zaposlenici”) na čuvanje povjerljivosti (obveza povjerljivosti, čl. 28. st. 3. lit. b GDPR). Na zahtjev naručitelja, izvođač će mu dostaviti dokaz o angažmanu zaposlenika u pisanom ili elektroničkom obliku.
- Izvođač će svoju unutarnju organizaciju oblikovati na način da ispunjava posebne zahtjeve zaštite podataka. Obvezuje se poduzeti sve odgovarajuće tehničke i organizacijske mjere za primjerenu zaštitu podataka klijenta u skladu s. 32. GDPR-a, posebno mjera navedenih u Dodatku 2. ovog ugovora, te ih održavati tijekom trajanja obrade podataka klijenta.
- Izvođač zadržava pravo izmjene poduzetih tehničkih i organizacijskih mjera, pri čemu mora osigurati da ugovorom dogovorena razina zaštite ne bude manja.
- Na zahtjev naručitelja, izvođač će naručitelju dostaviti dokaze o ispunjavanju tehničkih i organizacijskih mjera.
§ 4 Obaveze pružatelja radova o informacijama i podršci
- U slučaju poremećaja, sumnje na kršenje zaštite podataka ili kršenja ugovornih obveza Izvršitelja, sumnje na sigurnosne incidente ili druge nepravilnosti u obradi podataka Naručitelja od strane Izvršitelja, osoba koje su kod njega zaposlene u sklopu narudžbe ili trećih strana Izvođač će o tome obavijestiti naručitelja odmah, a najkasnije u roku od 48 sati pisanim ili elektroničkim putem. Isto vrijedi i za revizije izvođača od strane nadzornog tijela za zaštitu podataka. Ta izvješća trebaju sadržavati barem informacije navedene u članku 33. stavku 3. GDPR-a.
- U gore navedenom slučaju, izvođač će podržati klijenta u ispunjavanju njegovih relevantnih mjera pojašnjenja, popravnih i informativnih mjera u okviru onoga što je razumno.
- Izvođač se obvezuje naručitelju, na zahtjev naručitelja, u primjerenom roku dostaviti sve podatke i dokaze potrebne za provođenje inspekcijskog nadzora.
§ 5 Ostale obveze izvođača
- Pod uvjetom da se na njega primjenjuju zahtjevi iz članka 30. GDPR-a, izvođač je dužan voditi popis svih kategorija aktivnosti obrade koje se provode u ime klijenta u skladu s. Članak 30. stavak 2. GDPR. Popis mora biti dostupan klijentu na zahtjev.
- Izvođač je dužan podržati klijenta u pripremi procjene učinka na zaštitu podataka u skladu s člankom 35. GDPR-a i svim prethodnim konzultacijama s nadzornim tijelom u skladu s člankom 36. GDPR-a.
- Izvođač potvrđuje da je imenovao službenika za zaštitu podataka – ukoliko za to postoji zakonska obveza.
- Ako su podaci izvođačevog klijenta ugroženi zapljenom ili oduzimanjem, stečajnim postupkom ili postupkom nagodbe ili drugim događajima ili mjerama trećih osoba, izvođač mora odmah obavijestiti naručitelja, osim ako mu je to zabranjeno sudskom ili službenom nalogom. U tom kontekstu, izvođač će odmah obavijestiti sva odgovorna tijela da ovlast za donošenje odluka o podacima leži isključivo na klijentu kao „odgovornoj strani” u smislu GDPR-a.
§ 6 Odnosi s podizvođačima
- Izvođač može prepustiti obradu osobnih podataka u cijelosti ili djelomično drugim izvršiteljima obrade (u daljnjem tekstu „podizvođači”). O puštanju u rad podizvođača ili promjenama u podugovaranju, izvođač pravodobno i pismeno obavještava naručitelja. Ukoliko za to postoje objektivni razlozi, naručitelj se može usprotiviti podugovaranju u tekstualnom obliku u roku od četiri tjedna od saznanja.
- Podizvođački odnos u smislu ovih odredaba ne postoji ako izvođač angažira treće osobe za pružanje usluga koje su isključivo pomoćne usluge. To uključuje, primjerice, poštanske usluge, usluge prijevoza i dostave, usluge čišćenja, sigurnosne usluge, telekomunikacijske usluge bez ikakve posebne veze s uslugama koje izvođač pruža za klijenta, kao i druge mjere za osiguranje povjerljivosti, dostupnosti, cjelovitosti i otpornosti hardvera i softvera sustava za obradu podataka. Obveza izvođača da osigura usklađenost sa zaštitom podataka i sigurnošću podataka u tim slučajevima ostaje nepromijenjena.
- Izvođač će dogovoriti s podizvođačem iste odredbe i uvjete koji su navedeni u ovom AVV-u. Konkretno, TOM koji treba dogovoriti s podizvođačem mora imati jednaku razinu zaštite.
- Izvođač ima uspostavljene podizvođačke odnose s tvrtkama navedenim u Dodatku 1, na što naručitelj pristaje sklapanjem ovog ugovora o obradi narudžbe:
- S podizvođačima, izvođač mora poštivati zahtjeve Odjeljka 6. st. Sklopljena 3 odgovarajuća ugovora o obradi narudžbi. Stupanjem na snagu ovog AVV-a, naručitelj odobrava gore navedene podizvođače.
- Dio ugovora o obradi narudžbi s podizvođačima posebno je da podizvođači osiguraju da su poduzeli odgovarajuće i odgovarajuće tehničke i organizacijske mjere u skladu s člankom 32. GDPR-a za obradu osobnih podataka koju provode u ime ugovor.
§ 7 Kontrolna prava
- Naručitelj ima pravo redovito osiguravati poštivanje odredaba ovog ugovora. U tu svrhu može, na primjer, dobiti informacije od izvođača, dati mu na uvid postojeća izvješća stručnjaka, certifikate ili interna ispitivanja ili dati izvršiteljeve tehničke i organizacijske mjere na provjeru osobno ili od strane upućene treće strane tijekom uobičajenog radnog vremena , pod uvjetom da izvođač nije u konkurentskom odnosu prema izvođaču.
- Klijent će izvršiti provjere samo u mjeri u kojoj je to potrebno i uzet će u obzir operativne procese izvođača. O vremenu i vrsti pregleda stranke će se pravodobno dogovoriti.
- Naručitelj dokumentira rezultat pregleda i obavještava izvođača. U slučaju grešaka ili nepravilnosti koje naručitelj uoči, posebice prilikom provjere rezultata narudžbe, dužan je odmah obavijestiti izvođača. Ukoliko se pregledom utvrde okolnosti koje zahtijevaju da se ubuduće izbjegne promjena naručenog redoslijeda postupka, naručitelj će odmah obavijestiti izvođača o potrebnim izmjenama postupka.
§ 8 Prava pogođenih
- Ako je moguće, izvođač podržava klijenta odgovarajućim tehničkim i organizacijskim mjerama u ispunjavanju njegovih obveza u skladu s člancima 12. do 22. i člancima 32. do 36. GDPR-a. Zatraženu informaciju o podacima o klijentu dostavit će klijentu odmah, a najkasnije u roku od 14 radnih dana, osim ako sam klijent ne raspolaže relevantnim podacima.
- Ako nositelj podataka traži svoja prava u skladu s člancima 16. do 18. GDPR-a, izvođač je dužan ispraviti, izbrisati ili ograničiti podatke klijenta prema uputama klijenta odmah, najkasnije u roku od 7 radnih dana. Izvršitelj će na zahtjev naručitelja dostaviti pisani dokaz o brisanju, ispravku ili ograničenju podataka.
- Ako nositelj podataka traži prava, poput pristupa informacijama, ispravka ili brisanja svojih podataka, izravno protiv izvođača, izvođač će taj zahtjev proslijediti naručitelju i čekati njegove upute. Bez odgovarajućih pojedinačnih uputa, izvođač neće kontaktirati dotičnu osobu.
§ 9 Trajanje i raskid
Rok trajanja ovog ugovora odgovara roku trajanja glavnog ugovora. Automatski prestaje raskidom glavnog ugovora. Ako se glavni ugovor može pravilno raskinuti, na ovaj se ugovor na odgovarajući način primjenjuju propisi o redovnom raskidu. Ako izvođač više ne obrađuje podatke klijenta prije isteka glavnog ugovora, i ovaj će ugovor automatski prestati.
§ 10 Brisanje i vraćanje nakon isteka ugovora
- Nakon raskida glavnog ugovora ili u bilo kojem trenutku na zahtjev naručitelja, izvođač će sve dokumente, podatke i nositelje podataka vratiti naručitelju ili ih na zahtjev naručitelja potpuno i nepovratno izbrisati, osim ako postoji zakonski propisani rok čuvanja. . To se odnosi i na preslike podataka naručitelja od strane izvođača, kao što su sigurnosne kopije podataka, ali ne i na dokumentaciju koja služi kao dokaz da su podaci naručitelja obrađeni ispravno i u skladu s narudžbom. Takvu dokumentaciju izvođač mora čuvati 6 mjeseci i dati je naručitelju na zahtjev. Osobni podaci koje klijent dijeli s drugim korisnicima DiBooq desktop aplikacije ili DiBooq mobilne aplikacije nisu obuhvaćeni obvezom brisanja ili objave.
- Izvođač će naručitelju elektroničkim putem potvrditi brisanje. Naručitelj ima pravo na odgovarajući način kontrolirati potpuni i ugovoreni povrat ili brisanje podataka od strane Izvršitelja.
- Izvršitelj je dužan s podacima koje sazna u vezi s glavnim ugovorom postupati povjerljivo i nakon isteka glavnog ugovora.
§ 11 Odgovornost
- Odgovornost strana regulirana je člankom 82. GDPR-a. Ovo ne utječe na bilo kakvu odgovornost izvođača prema naručitelju zbog kršenja obveza proizašlih iz ovog ugovora ili glavnog ugovora.
- Stranke se oslobađaju odgovornosti ako jedna strana dokaže da ni na koji način nije odgovorna za okolnosti koje su prouzročile štetu oštećenoj osobi. To vrijedi u skladu s tim u slučaju izricanja novčane kazne jednoj strani, pri čemu do izuzeća dolazi u mjeri u kojoj druga strana snosi dio odgovornosti za prekršaj sankcioniran novčanom kaznom.
§ 12 Povjerljivost i tajnost podataka
- Izvođač se obvezuje poštovati ista pravila povjerljivosti kao i naručitelj.
- Za zaposlenike izvođača i treće strane koje je on angažirao postoji obveza povjerljivosti. Izvršitelj ima zaposlene osobe na obradi podataka naručitelja sukladno čl.28.st. 3 lit. b GDPR da se pisanim putem obavežu na povjerljivost. Ovo nije potrebno ako zaposlene osobe već podliježu odgovarajućoj zakonskoj obvezi povjerljivosti. Izvođač će obvezu iz ovog odjeljka dokumentirati u pisanom obliku i predočiti je naručitelju na zahtjev.
- Izvođač potvrđuje da je upoznat s relevantnim propisima o zaštiti podataka. Izvođač jamči da će zaposlenike uključene u izvođenje radova upoznati s propisima o zaštiti podataka koji se na njih odnose te da će ih obvezati na poštivanje važećih propisa o zaštiti podataka. Nadzire poštivanje propisa o zaštiti podataka.
- Ova obveza povjerljivosti regulirana u ovom odjeljku traje i nakon prestanka ugovornog odnosa.
- Uz primjenjive zakonske odredbe (osobito § 88 TKG, § 203 StGB, §§ 4, 23 GeschGehG i sve posebne obveze profesionalne povjerljivosti), izvođač je također dužan pružiti sve informacije i podatke koji su mu dani u okviru opsega ugovorom dogovorene usluge postanu poznate, čuvaju se u tajnosti i ne prosljeđuju se trećim osobama (povjerljivi podaci). Povjerljive informacije uključuju, posebice, poslovne i poslovne tajne, ugovore, tehničke ili komercijalne informacije bilo koje vrste ili druge informacije koje su označene kao povjerljive ili se po svojoj prirodi trebaju smatrati povjerljivima. To se posebno odnosi na:
Imena, adrese i osobne, pravne i ekonomske okolnosti svih klijenata klijenta te osobne, pravne i ekonomske okolnosti klijenta i svih drugih osoba koje rade za klijenta.
Informacije se ne smatraju povjerljivima ako su već bile javno poznate u trenutku kada je izvođač saznao za informacije. Podaci koji su naknadno postali javno poznati ili su objavljeni uz privolu klijenta također se smatraju nepovjerljivima. - Izvođač se obvezuje obvezati sve djelatnike koji u sklopu poslova za naručitelja, kao i sebe, od naručitelja saznaju gore navedene povjerljive podatke.
- Ako izvođač angažira treće strane, on mora osigurati da se zahtjevi iz stavaka 1. do 6. provode u skladu s tim.
§ 13 Završne odredbe
- Strane su suglasne da je izvođačevo pravo na zadržavanje u smislu članka 273 Njemačkog građanskog zakonika (BGB) isključeno u pogledu podataka koji se obrađuju i povezanih nositelja podataka.
- Izmjene i dopune ovog ugovora moraju se izvršiti u elektroničkom obliku.
- U slučaju sumnje, odredbe ovog ugovora imaju prednost pred odredbama glavnog ugovora. Ako se pojedine odredbe ovog ugovora pokažu neučinkovitima ili neprovedivim u cijelosti ili djelomično, ili postanu neučinkovite ili neprovedive kao rezultat promjena u zakonodavstvu nakon sklapanja ugovora, to neće utjecati na učinkovitost preostalih odredbi. Nevaljanu ili neprovedivu odredbu treba zamijeniti učinkovitom i provedivom odredbom koja je što bliža značenju i svrsi nevažeće odredbe.
- Ovaj ugovor podliježe njemačkom zakonu. Isključiva nadležnost je sjedište izvođača.
investicije
Dodatak 1 Specifikacije za ugovor
Dodatak 2. Tehničke i organizacijske mjere izvođača (čl. 32. GDPR)
Dodatak 1 – Specifikacije za ugovor
Predmet i trajanje narudžbe Pregled zahtjeva i specifikacija |
|
Glavni ugovor | Opći uvjeti licenciranja Dibooq softvera |
Predmet narudžbe | Klijent koristi softver Dibooq. Softver Dibooq nudi agencijama za iznajmljivanje kuća za odmor (“Agencije”) mogućnost upravljanja kalendarima popunjenosti nekretnina za odmor i dijeljenja dostupnosti u stvarnom vremenu (“Kalendar rezervacija”). Mogu se definirati uvjeti rezervacije pod kojima je moguće unositi popunjenosti u kalendar (“Direct Booking”) ili postavljati zahtjeve za popunjenosti koje je moguće potvrditi ili odbiti unutar sustava (“Upit o rezervaciji”). |
Svrha prikupljanja podataka, obrade podataka ili korištenja podataka | Kako bi ispunio obveze izvođača prema glavnom ugovoru, osobne podatke iz klijentovog područja kontrole izvođač će u cijelosti obraditi u smislu članka 4. br. 2. GDPR-a, posebno prikupljati, pohranjivati, mijenjati, čitati, ispitivati, koristiti, otkrivati i uspoređivati u potrebnoj mjeri, povezivati i brisati. Svrha obrade stoga ovisi o redoslijedu opisanom u glavnom ugovoru. |
Vrsta podataka | Kategorije osobnih podataka na koje obrada utječe ovise o tome kako klijent koristi usluge izvođača. Moguće su kategorije podataka koje se mogu smatrati predmetom obrade • Glavni podaci (npr. imena, adrese, datumi rođenja), • Kontakt podaci (npr. adrese e-pošte, telefonski brojevi), • Podaci o sadržaju (npr. fotografije, videozapisi, sadržaj dokumenata), • Podaci o ugovoru (npr. predmet ugovora, uvjeti, kupci), • Podaci o plaćanju (npr. bankovni podaci, pružatelji usluga plaćanja), • Podaci o korištenju (npr. povijest web usluga, vremena pristupa), • Podaci o povezivanju (npr. ID uređaja, IP adrese, URL preporuka) i • Podaci o lokaciji (npr. GPS podaci, IP geolokacija). |
Krug pogođenih |
Kategorije subjekata podataka na koje utječe obrada ovise o tome kako klijent koristi usluge izvođača. U obzir dolaze sljedeće kategorije pogođenih osoba: • Zaposlenici |
Podizvođači
Ne. | Naziv podizvođača Adresa/država | Predmet narudžbe | Vrsta i opseg podataka |
1 | e-pixler NEW MEDIA GmbH Leuchtenfabrik Entrance E Edisonstrasse 63 12459 Berlin Njemačka |
Administracija poslužitelja | Hosting softvera i baza podataka |
2 | ujedinjene domene AG Gautinger Straße 10 82319 Starnberg Njemačka |
Hosting domena i web stranica | Web stranica s kontakt formom |
3 | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park Leopardstown Dublin 18 D18 P521 Irska | Microsoft 365 Business, Pohrana u oblaku, pružatelji usluga e-pošte, timovi |
Pohrana e-pošte i dokumenata |
Dodatak 2 – Tehničke i organizacijske mjere
Nositelji obrade podataka su u skladu s. Članak 32. GDPR-a obvezuje nas da poduzmemo tehničke i organizacijske mjere kako bismo osigurali sigurnost obrade osobnih podataka. Mjere moraju biti odabrane tako da osiguravaju odgovarajuću razinu ukupne zaštite. S tim u vezi, ovaj pregled objašnjava koje je konkretne mjere poduzeo izvođač u vezi s obradom osobnih podataka u konkretnom slučaju.
Upute o tehničkim i organizacijskim mjerama |
1. Organizacija informacijske sigurnosti Moraju se uspostaviti politike, procesi i odgovornosti pomoću kojih se može provoditi i kontrolirati informacijska sigurnost. |
Mjere: ☒ Politika informacijske sigurnosti. ☐ Određivanje uloga i odgovornosti za rad aplikacije i sustava, zaštitu podataka i informacijsku sigurnost. ☐ Obveza zaposlenika na čuvanje povjerljivosti i tajnosti podataka. |
2. Privacy by Design Privacy by Design uključuje ideju da sustavi trebaju biti dizajnirani i izgrađeni na takav način da se količina osobnih podataka koja se obrađuje svede na minimum. Bitni elementi podatkovne ekonomije su odvajanje osobnih identifikacijskih karakteristika i podataka o sadržaju, korištenje pseudonima i anonimizacija. Osim toga, brisanje osobnih podataka mora se provesti u skladu s konfigurabilnim razdobljem čuvanja. |
Mjere: ☒ Ne prikuplja se više osobnih podataka nego što je potrebno za dotičnu svrhu. ☒ Obrada i sustavi dizajnirani su da omoguće i osiguraju brisanje obrađenih osobnih podataka u skladu s GDPR-om. |
3. Privatnost prema zadanim postavkama Privatnost prema zadanim postavkama odnosi se na zadane postavke prilagođene privatnosti. U kojoj ste mjeri to proveli vi? Primjer: Posjetitelj prilikom posjete web stranici može očekivati da će svi programi koji prikupljaju osobne podatke biti inicijalno deaktivirani. |
Mjere: ☒ Funkcije praćenja koje prate pogođenu osobu deaktivirane su prema zadanim postavkama. ☒ Sve preddodjele opcija odabira ispunjavaju zahtjeve GDPR-a u pogledu zadanih postavki prilagođenih zaštiti podataka (npr. nema preddodjela za uključivanje). |
4. Kontrola pristupa i kontrola pristupa Mjere koje osiguravaju da osobe ovlaštene za korištenje postupaka obrade podataka mogu pristupiti samo osobnim podacima koji podliježu njihovom ovlaštenju za pristup ili informacijama i podacima koji zahtijevaju zaštitu (opis sigurnosnih mehanizama svojstvenih sustavu, postupci šifriranja u skladu s najnovijim dostignućima. Za mrežni pristup, mora biti jasno koja je stranica odgovorna za izdavanje i upravljanje pristupnim sigurnosnim kodovima.). Izvođač jamči da korisnici ovlašteni za korištenje informatičke infrastrukture mogu pristupiti samo sadržajima za koje su ovlašteni te da se osobni podaci ne smiju neovlašteno kopirati, mijenjati ili brisati tijekom obrade i nakon pohrane. |
Mjere: ☒ Dokumentirani koncepti autorizacije. ☒ Pristup podacima je ograničen i moguć samo za ovlaštene osobe. ☒ Blokiranje korisničkog računa u slučaju neuspjelih pokušaja/neaktivnosti. ☐ Blokada uređaja prilikom napuštanja radnog mjesta ili neaktivnosti. ☒ Broj administratora smanjen na “nužni minimum”. ☒ Bilježenje pristupa aplikacijama, posebice kod unosa, mijenjanja i brisanja podataka. |
5. Kriptografija i/ili pseudonimizacija Korištenje postupaka šifriranja kako bi se osigurala ispravna i učinkovita zaštita povjerljivosti, autentičnosti ili cjelovitosti osobnih podataka ili informacija koje zahtijevaju zaštitu. Mjere koje će vjerojatno otežati identifikaciju pogođene osobe. |
Mjere: ☒ Enkripcija pristupa mreži i veza. |
Daljnje provedene mjere za kriptografiju: U AVV uklj. TOM dogovoren između izvođača i e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Njemačka. AVV uklj. TOM između izvođača i e-pixlera može se osigurati ako je potrebno. |
6. Zaštita zgrada Sprječavanje neovlaštenog fizičkog pristupa informacijama organizacije i objektima za obradu informacija, kao i njihovo oštećenje i oštećenje. Izvođač poduzima mjere za sprječavanje neovlaštenih osoba u pristupu (da se razumijemo prostorno) sustavima za obradu podataka kojima se obrađuju osobni podaci. |
Daljnje mjere za zaštitu zgrada: U AVV uklj. TOM dogovoren između izvođača i e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Njemačka. AVV uklj. TOM između izvođača i e-pixlera može se osigurati ako je potrebno. |
7. Zaštita imovine / informacijske imovine Sprječavanje gubitka, oštećenja, krađe ili umanjenja vrijednosti imovine i prekida u radu organizacije. |
Mjere: ☒ Sigurno postavljanje sustava kako bi se osigurala zaštita od krađe. ☒ Zaštita opreme od požara, vode ili prenapona. ☒ Smještaj servera i mrežnih komponenti u sigurnim sobama, ormarima itd. ☒ Redovito održavanje opreme. ☒ Sigurno brisanje, uništavanje i odlaganje operativnih resursa. |
Daljnje provedene mjere zaštite operativnih resursa: U AVV uklj. TOM dogovoren između izvođača i e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Njemačka. AVV uklj. TOM između izvođača i e-pixlera može se osigurati ako je potrebno. |
8. Operativni postupci i odgovornosti Osiguravanje ispravnog i sigurnog rada sustava i postupaka za obradu informacija. |
Mjere: ☒ Dokumentirane konfiguracije sustava i operativni postupci, operativni priručnici za upravljanje. ☒ Jasna raspodjela odgovornosti za podršku sustavu i aplikacijama. ☐ Odvajanje obrade podataka od pojedinačnih klijenata. ☒ Odvajanje razvojnih, testnih i proizvodnih sustava. ☒ Praćenje rada sustava i objekata. ☐ Ugovori o održavanju s odgovarajućim vremenom odgovora |
9. Sigurnosne kopije podataka Mjere koje osiguravaju da su osobni podaci ili osjetljive informacije i podaci zaštićeni od slučajnog uništenja ili gubitka. |
Mjere: ☒ Koncept sigurnosne kopije podataka s redovitim backupom. ☒ Iznajmljivanje rezervnih kopija drugim požarnim zonama. ☒ Izdavanje sigurnosnih kopija drugim zgradama. |
Daljnje mjere provedene za sigurnosno kopiranje podataka: U AVV uklj. TOM dogovoren između izvođača i e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Njemačka. AVV uklj. TOM između izvođača i e-pixlera može se osigurati ako je potrebno. |
10. Zaštita od zlonamjernog softvera i upravljanje zakrpama Sprječavanje iskorištavanja tehničkih ranjivosti korištenjem ažuriranog softvera za zaštitu od virusa i implementacijom upravljanja zakrpama. |
Mjere: ☒ Redovito praćenje statusa sigurnosnih ažuriranja i ranjivosti sustava. ☒ Korištenje antimalware softvera. ☒ Redovita instalacija sigurnosnih zakrpa i ažuriranja. |
11. Mjere evidentiranja i praćenja koje osiguravaju mogućnost naknadne provjere i utvrđivanja jesu li i tko unosio osobne podatke u IT sustave, mijenjao ih ili uklanjao. (Sve aktivnosti sustava se bilježe; zapisnike čuva izvođač najmanje 3 godine.) |
Mjere: ☒ Zapisivanje pristupa. ☒ Evaluacija log datoteka. |
12. Upravljanje sigurnošću mreže Za mrežu se mora implementirati odgovarajuća zaštita kako bi informacije i komponente infrastrukture bile zaštićene. |
Mjere: ☒ Korištenje softvera za upravljanje mrežom. ☒ Korištenje sustava vatrozida. ☒ Korištenje sustava za otkrivanje/sprečavanje upada. ☒ Autentifikacija korisnika i šifriranje vanjskog pristupa. |
13. Prijenos informacija Mjere koje osiguravaju da se osobni podaci ili osjetljive informacije i podaci ne mogu neovlašteno čitati, kopirati, mijenjati ili uklanjati tijekom elektroničkog prijenosa ili tijekom njihovog prijevoza ili pohranjivanja na nosače podataka, te da se može provjeriti i utvrditi gdje je prijenos osobnih podataka ili informacije koje zahtijevaju zaštitu kao i podaci putem sredstava za prijenos podataka. (Opis korištenih sredstava i protokola prijenosa, npr. identifikacija i autentifikacija, šifriranje u skladu s najnovijim dostignućima, automatski opoziv itd.) |
Mjere: ☒ Prosljeđivanje podataka trećim stranama samo nakon provjere pravne osnove. ☒ Zakonitost i pisano utvrđivanje prijenosa podataka u treće zemlje. ☒ Siguran prijenos podataka između klijenta i poslužitelja. ☒ Korištenje šifriranog vanjskog pristupa. ☒ Siguran transport i otprema nosača podataka, podataka i dokumenata. |
14. Nabava, razvoj i održavanje sustava Mjere koje osiguravaju da je informacijska sigurnost sastavni dio životnog ciklusa informacijskih sustava. |
Mjere: ☒ Smjernice za razvoj sigurnog sustava. ☒ Zaštita testnih podataka. |
15. Odnosi s dobavljačima Mjere informacijske sigurnosti za smanjenje rizika povezanih s pristupom dobavljača imovini tvrtke trebaju biti dogovorene s pod-dobavljačima/podizvođačima i dokumentirane. |
Mjere: ☒ Odabir izvođača na temelju aspekata dubinske analize (osobito u pogledu sigurnosti podataka). ☒ Pisane upute izvođaču (npr. putem ugovora o obradi narudžbe) u smislu GDPR-a. Izvođač je imenovao službenika za zaštitu podataka. ☒ Dogovorena prava učinkovite kontrole u odnosu na izvođača. ☒ Prethodni pregled i dokumentiranje sigurnosnih mjera koje je poduzeo izvođač. ☒ Obveza radnika izvođača na čuvanje tajnosti podataka. ☒ Osiguravanje uništavanja podataka nakon završetka narudžbe. ☒ Stalni pregled izvođača i njegovih aktivnosti. |
16. Upravljanje incidentima informacijske sigurnosti Moraju se implementirati dosljedne i učinkovite mjere za upravljanje incidentima informacijske sigurnosti (krađe, kvarovi sustava, itd.). |
Mjere: ☒ Dokumentirani postupak za rješavanje sigurnosnih incidenata ☒ Trenutno informiranje klijenta u slučaju incidenata zaštite podataka. |
17. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja / upravljanja u hitnim slučajevima Održavanje dostupnosti sustava u teškim situacijama, kao što su krize ili oštećenja. Uprava za hitne slučajeve to mora osigurati. Zahtjevi za informacijsku sigurnost trebali bi se uspostaviti tijekom planiranja kontinuiteta poslovanja i oporavka od katastrofe. |
Mjere: ☒ Rano informiranje klijenta u hitnim slučajevima. |
Daljnje implementirane mjere za upravljanje kontinuitetom poslovanja i upravljanje u hitnim slučajevima: U AVV uklj. TOM dogovoren između izvođača i e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Njemačka. AVV uklj. TOM između izvođača i e-pixlera može se osigurati ako je potrebno. |
18. Usklađenost sa zakonskim i ugovornim zahtjevima Provedba mjera za izbjegavanje kršenja zakonskih, službenih ili ugovornih obveza kao i svih sigurnosnih zahtjeva. |
Mjere: ☒ Osiguravanje poštivanja zakonskih obveza u okviru suradnje. ☒ Povrat svih podataka, resursa i informacijske imovine klijentu na kraju ugovora. ☒ Postavljanje upravljanja licencama. ☒ Obveze povjerljivosti prema zaposlenicima, kao i pod-dobavljačima i pružateljima usluga. |
19. Zahtjevi zaštite podataka i upravljanje zaštitom podataka Privatnost i zaštitu osobnih podataka treba osigurati u skladu sa zahtjevima relevantnih zakonskih propisa, drugih propisa i ugovornih odredbi. |
Mjere: ☐ Uspostava organizacije za zaštitu podataka. ☐ Popis aktivnosti obrade. ☐ Provođenje obuke o zaštiti podataka. ☐ Uspostava sustava upravljanja zaštitom podataka. ☐ Dokumentirani koncept zaštite podataka. ☐ Implementirane smjernice za zaštitu podataka. |
20. Provjere informacijske sigurnosti Potrebno je redovito provjeravati odvija li se obrada informacija u skladu s definiranim sigurnosnim mjerama. U tu svrhu izvođač će provoditi redovite kontrole. Izvođač daje naručitelju pravo na redovite revizije/preglede. |
Mjere: ☒ Redovito provođenje internih audita na temu zaštite podataka i informacijske sigurnosti. ☒ Provođenje penetracijskih testova. |