Accordo per il trattamento dei dati ai sensi dell’Art. 28 GDPR
Il presente Contratto di Trattamento dei Dati (“DPA“) si applica al trattamento dei dati personali da parte di Dibooq GmbH, Heinrich-Mann-Allee 3b, 14473 Potsdam, Germania (di seguito anche“noi” o“Contraente“), che vengono forniti ai clienti (di seguito“Cliente“) in adempimento del contratto principale (=GTC DiBooq Desktop App e, se applicabile, GTC DiBooq Mobile App).
Preambolo
L’Appaltatore fornirà servizi al Cliente in conformità al contratto principale stipulato tra loro (di seguito denominato“Contratto principale”). Parte dell’esecuzione del contratto principale è il trattamento dei dati personali ai sensi del Regolamento generale sulla protezione dei dati (“GDPR“). Al fine di soddisfare i requisiti del GDPR per tali costellazioni, le parti concludono il seguente contratto di elaborazione degli ordini (anche“contratto“), che entra in vigore nel momento in cui il contratto principale viene firmato o diventa effettivo.
§ 1 Oggetto/ambito di applicazione dell’incarico
- Nell’ambito della cooperazione tra le parti in conformità al contratto principale, l’Appaltatore avrà accesso ai dati personali del Cliente (di seguito“Dati del Cliente“). L’appaltatore tratta i dati del cliente per conto e in conformità alle istruzioni del cliente ai sensi dell’art. 4 n. 8 e dell’art. 28 GDPR.
- L’Appaltatore tratterà i Dati del Cliente secondo le modalità, l’ambito e le finalità descritte nell’Allegato 1. Viene presentato il gruppo di persone interessate dal trattamento dei dati. La durata del trattamento corrisponde alla durata del contratto principale.
- Se i servizi dell’appaltatore sono destinati al trattamento di categorie particolari di dati personali ai sensi dell’art. 9 comma. 1 Il GDPR richiede una valutazione dei rischi da parte del cliente.
- All’Appaltatore è vietato trattare i Dati del Cliente in modo diverso da quello specificato nell’Allegato 1.
- L’elaborazione dei dati del cliente viene generalmente effettuata da parte di nel territorio della Repubblica Federale di Germania, in uno Stato membro dell’Unione Europea o in un altro Stato aderente all’Accordo sullo Spazio Economico Europeo. In caso di trasferimento dell’elaborazione dell’ordine in un paese terzo, è necessario il consenso preventivo del cliente e ciò avviene solo se sono soddisfatti i requisiti speciali di cui agli artt. 44-49 GDPR. Con la stipula del presente accordo di elaborazione dell’ordine, il cliente acconsente al trattamento dei dati personali da parte dei subappaltatori indicati nell’Allegato 1.
- Le disposizioni del presente contratto si applicano a tutte le attività relative al contratto principale. Lo stesso vale per tutte le attività in cui l’appaltatore e i suoi dipendenti o le persone autorizzate dall’appaltatore entrano in contatto con i dati dei clienti.
§ 2 Autorizzazione del cliente a impartire istruzioni
- Il contraente tratta i dati del cliente nell’ambito dell’incarico e per conto e in conformità alle istruzioni del cliente ai sensi dell’art. 28 GDPR (elaborazione dell’ordine). Il cliente ha il diritto esclusivo di impartire istruzioni in merito al tipo, all’ambito e al metodo delle attività di trattamento (di seguito anche “diritto di impartire istruzioni”). Se l’Appaltatore è obbligato dalla legge dell’Unione Europea o degli Stati membri a cui è soggetto a effettuare ulteriori trattamenti, informerà il Cliente di tali requisiti legali prima del trattamento.
- Le istruzioni devono essere generalmente impartite dal cliente per iscritto o in forma elettronica (è sufficiente l’e-mail); le istruzioni verbali devono essere confermate dall’appaltatore in forma elettronica.
- Se l’Appaltatore ritiene che un’istruzione del Cliente violi le norme sulla protezione dei dati, deve informare il Cliente. L’Appaltatore è autorizzato a sospendere l’esecuzione dell’istruzione in questione fino alla sua conferma o modifica da parte del Cliente.
§ 3 Misure di protezione dell’appaltatore
- L’appaltatore è tenuto a rispettare le disposizioni di legge sulla protezione dei dati e a non divulgare le informazioni ottenute dall’area del cliente a terzi o esporle al loro accesso. I documenti e i dati devono essere protetti dall’accesso non autorizzato, tenendo conto dello stato dell’arte.
- Inoltre, l’Appaltatore obbliga tutte le persone da lui incaricate del trattamento e dell’adempimento del presente contratto (di seguito denominate “dipendenti”) a mantenere la riservatezza (obbligo di riservatezza, art. 28 par. 3 lett. b GDPR). Su richiesta della Committente, l’Appaltatore fornirà alla stessa una prova scritta o elettronica dell’impegno dei dipendenti.
- L’Appaltatore dovrà progettare la propria organizzazione interna in modo tale da soddisfare i requisiti speciali di protezione dei dati. Si impegna ad adottare tutte le misure tecniche e organizzative appropriate per garantire un’adeguata protezione dei dati del cliente in conformità all’art. 6 par. 1 lett. f GDPR. Art. 32 GDPR, in particolare le misure elencate nell’Allegato 2 al presente contratto, e di mantenerle per tutta la durata del trattamento dei dati del cliente.
- L’appaltatore si riserva il diritto di modificare le misure tecniche e organizzative adottate, in modo da garantire che il livello di protezione concordato contrattualmente non sia inferiore.
- Su richiesta del Cliente, l’Appaltatore fornirà al Cliente le prove di conformità alle misure tecniche e organizzative.
§ 4 Obblighi di informazione e supporto del contraente
- In caso di interruzioni, sospette violazioni della protezione dei dati o violazioni degli obblighi contrattuali dell’Appaltatore, sospetti incidenti legati alla sicurezza o altre irregolarità nel trattamento dei Dati del Cliente da parte dell’Appaltatore, di persone impiegate dall’Appaltatore nell’ambito dell’ordine o di terzi, l’Appaltatore informerà il Cliente immediatamente, ma al più tardi entro 48 ore, per iscritto o in forma elettronica. Lo stesso vale per le verifiche dell’appaltatore da parte dell’autorità di controllo della protezione dei dati. Queste notifiche devono contenere almeno le informazioni specificate nell’Art. 33 (3) GDPR.
- Nel caso di cui sopra, l’Appaltatore supporterà il Cliente nell’adempimento delle sue misure di chiarimento, riparazione e informazione nell’ambito di quanto ragionevole.
- L’Appaltatore si impegna a fornire alla Committente tutte le informazioni e le prove necessarie per effettuare un’ispezione entro un periodo di tempo ragionevole su richiesta della Committente.
§ 5 Altri obblighi del Contraente
- Se si applicano i requisiti dell’Art. 30 GDPR, l’appaltatore è obbligato a tenere un registro di tutte le categorie di attività di trattamento svolte per conto del cliente in conformità con l’Art. 30 GDPR. Art. 30 comma 2 GDPR. L’elenco deve essere reso disponibile al cliente su richiesta.
- L’appaltatore è tenuto a supportare il cliente nella preparazione di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR e di qualsiasi consultazione preventiva con l’autorità di vigilanza ai sensi dell’art. 36 del GDPR.
- L’appaltatore conferma di aver nominato un responsabile della protezione dei dati, nella misura in cui esiste un obbligo legale in tal senso.
- Qualora i Dati del Cliente siano messi a rischio da sequestri o confische, da procedure di insolvenza o di concordato o da altri eventi o misure di terzi, l’Appaltatore informerà il Cliente senza indugio, a meno che non gli sia vietato da un tribunale o da un ordine ufficiale. In questo contesto, l’Appaltatore informerà immediatamente tutti gli organi responsabili che l’autorità decisionale sui dati spetta esclusivamente al Cliente in quanto “responsabile del trattamento” ai sensi del GDPR.
§ 6 Rapporti con i subappaltatori
- L’appaltatore può far eseguire il trattamento dei dati personali, in tutto o in parte, da altri incaricati del trattamento (di seguito “subappaltatori”). L’Appaltatore informerà tempestivamente il Cliente in forma di testo in merito alla messa in servizio di subappaltatori o a modifiche del subappalto. Il cliente può opporsi al subappalto in forma scritta entro quattro settimane da quando ne è venuto a conoscenza, se vi sono ragioni oggettive per farlo.
- Non esiste un rapporto di subappalto ai sensi delle presenti disposizioni se l’Appaltatore commissiona a terzi la fornitura di servizi che devono essere considerati puramente accessori. Ciò include, ad esempio, servizi postali, di trasporto e spedizione, servizi di pulizia, servizi di sicurezza, servizi di telecomunicazione senza alcun riferimento specifico ai servizi che l’appaltatore fornisce al cliente, nonché altre misure per garantire la riservatezza, la disponibilità, l’integrità e la resilienza dell’hardware e del software dei sistemi di elaborazione dati. L’obbligo dell’Appaltatore di garantire il rispetto della protezione e della sicurezza dei dati in questi casi rimane inalterato.
- L’Appaltatore concorderà con il subappaltatore le disposizioni contenute nelle presenti CGU con lo stesso contenuto. In particolare, i TOM da concordare con il subappaltatore devono fornire un livello di protezione equivalente.
- L’Appaltatore ha instaurato rapporti di subappalto con le società elencate nell’Allegato 1, a cui il Cliente acconsente con la stipula del presente contratto di trattamento dei dati:
- Con i subappaltatori, l’appaltatore deve soddisfare i requisiti di cui al § 6 para. 3 hanno stipulato i relativi contratti di elaborazione degli ordini. Il cliente autorizza i suddetti subappaltatori all’entrata in vigore del presente GCT.
- I contratti di trattamento dei dati con i subappaltatori prevedono, in particolare, che i subappaltatori garantiscano di aver adottato misure tecniche e organizzative adeguate e idonee ai sensi dell’art. 32 del GDPR in relazione al trattamento dei dati personali da loro effettuato per conto del titolare del trattamento.
§ 7 Diritti di controllo
- Il cliente ha il diritto di verificare regolarmente il rispetto delle disposizioni del presente contratto. A tal fine, può, ad esempio, ottenere informazioni dall’Appaltatore, farsi presentare gli attestati di esperti, le certificazioni o gli audit interni esistenti o far controllare le misure tecniche e organizzative dell’Appaltatore personalmente o da una terza parte competente durante il normale orario di lavoro, a condizione che quest’ultima non sia in rapporto di concorrenza con l’Appaltatore.
- Il Cliente effettuerà le ispezioni solo nella misura necessaria e mostrerà una ragionevole considerazione per le procedure operative dell’Appaltatore. Le parti dovranno concordare in tempo utile l’orario e il tipo di ispezione.
- Il cliente documenta il risultato dell’ispezione e lo comunica all’appaltatore. In caso di errori o irregolarità che il Cliente scopre, in particolare durante l’ispezione dei risultati dell’ordine, il Cliente deve informare immediatamente l’Appaltatore. Se durante l’ispezione vengono scoperti fatti che richiedono modifiche alla procedura ordinata per essere evitati in futuro, il cliente dovrà informare immediatamente l’appaltatore delle modifiche procedurali necessarie.
§ 8 Diritti degli interessati
- Ove possibile, l’Appaltatore supporterà il Cliente con misure tecniche e organizzative adeguate nell’adempimento degli obblighi previsti dagli Artt. 12-22 e 32-36 del GDPR. Dovrà fornire al cliente le informazioni richieste sui dati del cliente senza indugio, ma al più tardi entro 14 giorni lavorativi, a meno che il cliente stesso non disponga delle informazioni pertinenti.
- Se l’interessato fa valere i propri diritti ai sensi degli artt. 16-18 GDPR, l’appaltatore è tenuto a correggere, cancellare o limitare i dati del cliente immediatamente, al più tardi entro un periodo di 7 giorni lavorativi, su istruzione del cliente. L’Appaltatore fornirà al Cliente una prova scritta della cancellazione, correzione o restrizione dei dati su richiesta.
- Se una persona interessata fa valere i propri diritti, come il diritto all’informazione, alla correzione o alla cancellazione dei propri dati, direttamente nei confronti dell’appaltatore, quest’ultimo inoltrerà la richiesta al cliente e attenderà le istruzioni di quest’ultimo. L’appaltatore non contatterà l’interessato senza le relative istruzioni individuali.
§ 9 Durata e cancellazione
La durata di questo contratto corrisponde alla durata del contratto principale. Pertanto, termina automaticamente con la risoluzione del contratto principale. Se il contratto principale può essere annullato con il dovuto preavviso, le disposizioni sulla risoluzione ordinaria si applicheranno di conseguenza al presente contratto. Se l’appaltatore non elabora più i dati del cliente prima della scadenza del contratto principale, anche questo contratto termina automaticamente.
§ 10 Cancellazione e restituzione dopo la scadenza del contratto
- L’Appaltatore restituirà al Cliente tutti i documenti, i dati e i supporti dati che gli sono stati forniti dopo la risoluzione del contratto principale o in qualsiasi momento su richiesta del Cliente, oppure li cancellerà completamente e irrevocabilmente su richiesta del Cliente, a meno che non sia previsto un periodo di conservazione legale. Questo vale anche per le riproduzioni dei dati del cliente presso la sede dell’appaltatore, come ad esempio i backup dei dati, ma non per la documentazione che serve a dimostrare il corretto trattamento dei dati del cliente in conformità con l’ordine. Tale documentazione deve essere conservata dall’appaltatore per un periodo di 6 mesi e consegnata al cliente su richiesta. I dati personali condivisi dal Cliente con altri utenti dell’applicazione desktop DiBooq o dell’applicazione mobile DiBooq non sono soggetti all’obbligo di cancellazione o divulgazione.
- L’Appaltatore confermerà la cancellazione al Cliente per via elettronica. Il cliente ha il diritto di verificare la restituzione o la cancellazione completa e conforme al contratto dei dati presso l’appaltatore in modo appropriato.
- L’Appaltatore è tenuto a trattare in modo confidenziale qualsiasi dato di cui venga a conoscenza in relazione al contratto principale, anche dopo la fine del contratto principale.
§ 11 Responsabilità
- La responsabilità delle parti è disciplinata dall’art. 82 del GDPR. Ciò non pregiudica la responsabilità dell’Appaltatore nei confronti del Cliente per la violazione degli obblighi derivanti dal presente contratto o dal contratto principale.
- Le parti si esonerano reciprocamente dalla responsabilità se una di esse dimostra di non essere in alcun modo responsabile della circostanza che ha causato il danno a una parte interessata. Ciò vale anche nel caso di un’ammenda inflitta a una parte, per cui l’esenzione è concessa nella misura in cui l’altra parte si assume una parte di responsabilità per l’infrazione sanzionata dall’ammenda.
§ 12 Riservatezza e segretezza dei dati
- L’Appaltatore si impegna a rispettare le stesse regole di riservatezza che spettano al Cliente.
- I dipendenti dell’Appaltatore e i terzi incaricati dall’Appaltatore sono tenuti a mantenere la riservatezza. L’appaltatore deve informare le persone impiegate nel trattamento dei dati dei clienti in conformità con l’art. 28 comma. 3 litri. b GDPR di impegnarsi alla riservatezza per iscritto. Questo non è necessario se le persone impiegate sono già soggette a un obbligo di riservatezza previsto dalla legge. L’Appaltatore documenterà per iscritto l’obbligo di cui alla presente clausola e lo sottoporrà al Cliente su richiesta di quest’ultimo.
- L’Appaltatore conferma di essere a conoscenza delle norme in materia di protezione dei dati personali. L’Appaltatore garantisce che familiarizzerà i dipendenti impegnati nell’esecuzione del lavoro con le disposizioni in materia di protezione dei dati personali ad essi applicabili e che li obbligherà a rispettare le norme in materia di protezione dei dati personali. Controlla la conformità alle normative sulla protezione dei dati.
- Gli obblighi di riservatezza disciplinati nella presente sezione continueranno a sussistere anche dopo la cessazione del rapporto contrattuale.
- Oltre alle disposizioni di legge applicabili (in particolare § 88 TKG, § 203 StGB, §§ 4, 23 GeschGehG e qualsiasi obbligo speciale di riservatezza professionale), l’Appaltatore è anche obbligato a mantenere segrete tutte le informazioni e i dati di cui viene a conoscenza nel contesto dei servizi concordati contrattualmente e a non trasmetterli a terzi (informazioni riservate). Le informazioni riservate comprendono, in particolare, i segreti aziendali e commerciali, i contratti, le informazioni tecniche o commerciali di qualsiasi tipo o altre informazioni designate come riservate o riservate per natura. Questo vale anche, in particolare, per:
Nomi, indirizzi e situazione personale, legale ed economica di tutti i clienti del cliente e situazione personale, legale ed economica del cliente e di tutte le altre persone che lavorano per il cliente.
Le informazioni non saranno considerate riservate se erano già pubblicamente note nel momento in cui il Contraente ne è venuto a conoscenza. Anche le informazioni che sono diventate di dominio pubblico o che sono state rese pubbliche in un secondo momento con il consenso del cliente non devono essere considerate riservate. - L’Appaltatore si impegna a imporre lo stesso obbligo a tutti i dipendenti che vengono a conoscenza delle suddette informazioni riservate del Cliente nel corso del loro lavoro per il Cliente.
- Se l’Appaltatore incarica terzi, deve garantire che i requisiti dei paragrafi da 1 a 6 siano implementati di conseguenza.
§ 13 Disposizioni finali
- Le parti concordano che la difesa del diritto di ritenzione da parte dell’Appaltatore ai sensi del § 273 BGB (Codice Civile tedesco) è esclusa per quanto riguarda i dati da trattare e i relativi supporti.
- Le modifiche e le integrazioni al presente contratto devono essere effettuate in formato elettronico.
- In caso di dubbio, le disposizioni del presente contratto avranno la precedenza su quelle del contratto principale. Se singole disposizioni del presente contratto dovessero risultare non valide o non applicabili in tutto o in parte o diventare non valide o non applicabili a seguito di modifiche della legislazione successive alla stipula del contratto, ciò non pregiudicherà la validità delle restanti disposizioni. La disposizione non valida o non applicabile sarà sostituita da una disposizione valida e applicabile che si avvicini il più possibile al significato e allo scopo della disposizione non valida.
- Il presente contratto è soggetto alla legge tedesca. Il foro competente esclusivo sarà la sede legale del Contraente.
Allegati
Allegato 1 Definizioni del contratto
Allegato 2 Misure tecniche e organizzative del contraente (Art. 32 GDPR)
Allegato 1 – Definizioni del contratto
Oggetto e durata dell’ordine Panoramica dei requisiti e delle specifiche |
|
Contratto principale | Termini e condizioni generali per la concessione in licenza del software Dibooq |
Oggetto dell’ordine | Il cliente utilizza il software Dibooq. Il software Dibooq offre alle agenzie di affitti di case vacanza (“Agenzie”) la possibilità di gestire i calendari di prenotazione delle proprietà e di condividere le disponibilità in tempo reale (“Calendario di prenotazione”). Si possono definire condizioni di prenotazione in base alle quali è possibile inserire le prenotazioni nel calendario (“Prenotazione diretta”) o effettuare richieste di prenotazione che possono essere confermate o rifiutate all’interno del sistema (“Richiesta di prenotazione”). |
Scopo della raccolta, dell’elaborazione o dell’utilizzo dei dati | Al fine di adempiere agli obblighi dell’Appaltatore ai sensi del contratto principale, i dati personali provenienti dalla sfera di controllo del Cliente saranno trattati integralmente dall’Appaltatore ai sensi dell’art. 4 n. 2 GDPR, in particolare raccolti, archiviati, modificati, letti, interrogati, utilizzati, divulgati, confrontati, collegati e cancellati nella misura necessaria in ciascun caso. Lo scopo del trattamento dipende quindi dal rispettivo ordine descritto nel contratto principale. |
Tipo di dati | Le categorie di dati personali interessate dal trattamento dipendono dall’utilizzo dei servizi del contraente da parte del cliente. Le possibili categorie di dati che possono essere oggetto di trattamento sono – Dati anagrafici (ad esempio nomi, indirizzi, date di nascita), – Dettagli di contatto (ad esempio, indirizzi e-mail e numeri di telefono), – Dati di contenuto (ad esempio fotografie, video, contenuti di documenti), – Dati del contratto (ad esempio, l’oggetto del contratto, i termini, i clienti), – Dati di pagamento (ad es. coordinate bancarie, fornitori di servizi di pagamento), – Dati di utilizzo (ad esempio, cronologia dei servizi web, tempi di accesso), – Dati di connessione (ad es. ID del dispositivo, indirizzi IP, URL di riferimento) e – Dati sulla posizione (ad esempio dati GPS, geolocalizzazione IP). |
Cerchia di persone colpite |
Le categorie di soggetti interessati dal trattamento dipendono dall’utilizzo dei servizi del contraente da parte del cliente. Le categorie di persone interessate sono le seguenti: – Dipendenti |
Subappaltatore
No. | Nome del subappaltatore Indirizzo / paese | Oggetto dell’ordine | Tipo e ambito dei dati |
1 | e-pixler NEW MEDIA GmbH Leuchtenfabrik Aufgang E Edisonstraße 63 12459 Berlino Germania |
Amministrazione del server | Hosting del software e dei database |
2 | united-domains AG Gautinger Straße 10 82319 Starnberg Germania |
Hosting di domini e siti web | Sito web con modulo di contatto |
3 | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park Leopardstown Dublino 18 D18 P521 Irlanda | Microsoft 365 Business, Archiviazione in cloud, provider di posta elettronica, team |
Email e archiviazione di documenti |
Appendice 2 – Misure tecniche e organizzative
Responsabili del trattamento dei dati sono acc. Ai sensi dell’art. 32 del GDPR, siamo tenuti ad adottare misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati personali. Le misure devono essere selezionate in modo da garantire un livello di protezione complessivo adeguato. In questo contesto, la presente panoramica spiega quali misure specifiche sono state adottate dal contraente in relazione al trattamento dei dati personali nel caso specifico.
Istruzioni sulle misure tecniche e organizzative |
1. organizzazione della sicurezza delle informazioni Devono essere definite le linee guida, i processi e le responsabilità con cui la sicurezza delle informazioni può essere implementata e controllata. |
Misure: ☒ Politica di sicurezza delle informazioni. ☐ Definizione di ruoli e responsabilità per il funzionamento delle applicazioni e dei sistemi, la protezione dei dati e la sicurezza delle informazioni. ☐ Obbligo dei dipendenti di mantenere la riservatezza e la segretezza dei dati. |
2. privacy by design La privacy by design implica l’idea che i sistemi debbano essere progettati e costruiti in modo da ridurre al minimo la quantità di dati personali trattati. Gli elementi chiave della minimizzazione dei dati sono la separazione tra identificatori personali e dati di contenuto, l’uso di pseudonimi e l’anonimizzazione. Inoltre, la cancellazione dei dati personali deve avvenire nel rispetto di un periodo di conservazione configurabile. |
Misure: ☒ Non vengono raccolti più dati personali di quelli necessari per il rispettivo scopo. ☒ Le operazioni e i sistemi di trattamento sono progettati in modo tale da consentire e garantire la cancellazione dei dati personali trattati nel rispetto del GDPR. |
3. privacy per impostazione predefinita La privacy per impostazione predefinita si riferisce alle preimpostazioni/impostazioni predefinite per la protezione dei dati. In che misura sono stati realizzati da te? Esempio: quando visita un sito web, il visitatore può aspettarsi che tutti i programmi che raccolgono dati personali siano inizialmente disattivati. |
Misure: Le funzioni di tracciamento che monitorano l’interessato sono disattivate per impostazione predefinita. Tutte le impostazioni predefinite per le opzioni di selezione soddisfano i requisiti del GDPR per quanto riguarda le impostazioni predefinite che rispettano la protezione dei dati (ad esempio, nessuna impostazione predefinita per gli opt-in). |
4. controllo degli accessi e controllo degli accessi Misure per garantire che le persone autorizzate a utilizzare le procedure di trattamento dei dati possano accedere solo ai dati personali o alle informazioni sensibili e ai dati soggetti alla loro autorizzazione di accesso (descrizione dei meccanismi di sicurezza intrinseci al sistema, procedure di crittografia conformi allo stato dell’arte. In caso di accesso online, deve essere chiaro quale sia il responsabile dell’emissione e della gestione dei codici di sicurezza per l’accesso). L’appaltatore garantisce che gli utenti autorizzati a utilizzare l’infrastruttura IT possano accedere solo ai contenuti per i quali sono autorizzati e che i dati personali non possano essere copiati, modificati o cancellati senza autorizzazione durante l’elaborazione e dopo la conservazione. |
Misure: ☒ I concetti di autorizzazione sono documentati. ☒ L’accesso ai dati è limitato e consentito solo alle persone autorizzate. ☒ Blocco dell’account utente in caso di tentativi falliti/inattività. Bloccare il dispositivo finale quando si lascia il posto di lavoro o quando non è attivo. ☒ Numero di amministratori ridotto al “minimo indispensabile”. ☒ Registrazione dell’accesso alle applicazioni, in particolare per quanto riguarda l’inserimento, la modifica e la cancellazione dei dati. |
5. crittografia e/o pseudonimizzazione Utilizzo di metodi di crittografia per garantire una protezione adeguata ed efficace della riservatezza, dell’autenticità o dell’integrità dei dati personali o delle informazioni da proteggere. Misure che potrebbero rendere difficile l’identificazione dell’interessato. |
Misure: ☒ Crittografia dell’accesso alla rete e delle connessioni. |
Altre misure di crittografia implementate: Nel GCU incl. TOM tra il contraente e e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlino, Germania. AVV incl. Se necessario, può essere fornito un TOM tra l’appaltatore e l’e-pixler. |
6. protezione degli edifici Prevenzione dell’accesso fisico non autorizzato, del danneggiamento e dell’interferenza con le informazioni e le strutture di elaborazione delle informazioni dell’organizzazione. L’Appaltatore adotterà misure per impedire a persone non autorizzate di accedere (da intendersi in senso spaziale) ai sistemi di elaborazione dati con cui vengono trattati i dati personali. |
Altre misure implementate per proteggere gli edifici: Nell’AVV incl. TOM tra il contraente e e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlino, Germania. AVV incl. Se necessario, può essere fornito un TOM tra l’appaltatore e l’e-pixler. |
7. protezione delle risorse e dei beni informativi Prevenzione di perdite, danni, furti o deterioramenti dei beni e interruzione delle operazioni dell’organizzazione. |
Misure: ☒ Posizionamento sicuro dei sistemi in modo da garantire la protezione contro i furti. ☒ Protezione delle apparecchiature contro il fuoco, l’acqua o le sovratensioni. Sistemazione dei server e dei componenti di rete in stanze, armadietti, ecc. protetti. ☒ Manutenzione regolare dell’attrezzatura operativa. ☒ Cancellazione, distruzione e smaltimento sicuro delle apparecchiature. |
Altre misure implementate per proteggere le apparecchiature operative: Nel sistema AVV incl. TOM tra il contraente e e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlino, Germania. AVV incl. Se necessario, può essere fornito un TOM tra l’appaltatore e l’e-pixler. |
8. procedure operative e responsabilità Garantire il funzionamento corretto e sicuro dei sistemi e delle procedure di elaborazione delle informazioni. |
Misure: ☒ Documenta le configurazioni del sistema e le procedure operative, i manuali operativi. ☒ Chiara assegnazione delle responsabilità per il supporto di sistemi e applicazioni. ☐ Separazione del trattamento dei dati dai singoli clienti. ☒ Separazione dei sistemi di sviluppo, test e produzione. ☒ Monitoraggio del funzionamento del sistema e delle installazioni. ☐ Contratti di manutenzione con tempi di risposta adeguati |
9. backup dei dati Misure per garantire che i dati personali o le informazioni e i dati sensibili siano protetti contro la distruzione o la perdita accidentale. |
Misure: ☒ Concetto di backup dei dati con backup regolari. ☒ Trasferimento del backup in altre zone antincendio. ☒ Esternalizzare i backup ad altri edifici. |
Altre misure di backup dei dati implementate: Nell’AVV incl. TOM tra il contraente e e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlino, Germania. AVV incl. Se necessario, può essere fornito un TOM tra l’appaltatore e l’e-pixler. |
10. protezione contro il malware e gestione delle patch Prevenzione dello sfruttamento delle vulnerabilità tecniche attraverso l’utilizzo di software antivirus aggiornati e l’implementazione della gestione delle patch. |
Misure: ☒ Monitoraggio regolare dello stato degli aggiornamenti di sicurezza e delle vulnerabilità del sistema. ☒ Utilizza un software anti-malware. ☒ Installazione regolare di patch e aggiornamenti di sicurezza. |
11. registrazione e monitoraggio Misure per garantire la possibilità di controllare e determinare successivamente se e da chi i dati personali sono stati inseriti, modificati o rimossi dai sistemi informatici. (Tutte le attività del sistema vengono registrate; i registri vengono conservati dall’appaltatore per almeno 3 anni). |
Misure: ☒ Registrazione degli accessi. ☒ Valutazione dei file di log. |
12. Gestione della sicurezza della rete È necessario implementare una protezione adeguata per la rete in modo da proteggere le informazioni e i componenti dell’infrastruttura. |
Misure: ☒ Utilizzo di un software di gestione della rete. ☒ Utilizzo di sistemi firewall. ☒ Utilizzo di sistemi di rilevamento e prevenzione delle intrusioni. ☒ Autenticazione dell’utente e crittografia dell’accesso esterno. |
13. trasferimento di informazioni Misure per garantire che i dati personali o le informazioni e i dati sensibili non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante la trasmissione elettronica o durante il trasporto o l’archiviazione su supporti di dati, e che sia possibile controllare e determinare a quali organismi i dati personali o le informazioni e i dati sensibili debbano essere trasmessi dalle apparecchiature di trasmissione dati. (Descrizione delle apparecchiature e dei protocolli di trasmissione utilizzati, ad esempio identificazione e autenticazione, crittografia secondo lo stato dell’arte, richiamo automatico, ecc.) |
Misure: ☒ Divulgazione dei dati a terzi solo dopo aver verificato la base legale. ☒ Liceità e definizione scritta del trasferimento dei dati a paesi terzi. ☒ Trasmissione sicura dei dati tra client e server. ☒ Utilizzo di un accesso esterno crittografato. ☒ Trasporto e spedizione sicura di supporti dati, dati e documenti. |
14. acquisizione, sviluppo e manutenzione dei sistemi Misure per garantire che la sicurezza delle informazioni sia parte integrante del ciclo di vita dei sistemi informativi. |
Misure: ☒ Linee guida per lo sviluppo di sistemi sicuri. ☒ Protezione dei dati di test. |
15. rapporti con i fornitori Le misure di sicurezza delle informazioni per ridurre i rischi associati all’accesso dei fornitori alle risorse dell’azienda devono essere concordate e documentate con i subfornitori/subappaltatori. |
Misure: ☒ Selezione dell’appaltatore con la dovuta diligenza (soprattutto per quanto riguarda la sicurezza dei dati). ☒ Istruzioni scritte all’appaltatore (ad esempio attraverso un accordo di trattamento dei dati) ai sensi del GDPR L’appaltatore ha nominato un responsabile della protezione dei dati. ☒ Diritti di controllo effettivi nei confronti del contraente concordati. ☒ Ispezione preventiva e documentazione delle misure di sicurezza adottate dall’appaltatore. ☒ Obbligo dei dipendenti dell’appaltatore di mantenere la segretezza dei dati. ☒ Assicurare la distruzione dei dati dopo il completamento dell’ordine. ☒ Revisione continua del contraente e delle sue attività. |
16. gestione degli incidenti di sicurezza delle informazioni Devono essere implementate misure coerenti ed efficaci per la gestione degli incidenti di sicurezza delle informazioni (furto, guasto del sistema, ecc.). |
Misure: ☒ Procedura documentata per la gestione degli incidenti di sicurezza. ☒ Informazione immediata del cliente in caso di incidenti legati alla protezione dei dati. |
17. Aspetti di sicurezza informatica della gestione della continuità operativa/gestione delle emergenze Mantenere la disponibilità del sistema in situazioni difficili come crisi o incidenti. La gestione delle emergenze deve garantire questo. I requisiti di sicurezza delle informazioni devono essere definiti durante la pianificazione della continuità operativa e del disaster recovery. |
Misure: ☒ Informare tempestivamente il cliente in caso di emergenza. |
Altre misure implementate per la gestione della continuità operativa e delle emergenze: Nell’AVV incl. TOM tra il contraente e e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlino, Germania. AVV incl. Se necessario, può essere fornito un TOM tra l’appaltatore e l’e-pixler. |
18. conformità ai requisiti legali e contrattuali Attuazione di misure volte a evitare violazioni degli obblighi legali, ufficiali o contrattuali e dei requisiti di sicurezza. |
Misure: ☒ Garantire il rispetto degli obblighi legali nell’ambito della cooperazione. ☒ Restituzione di tutti i dati, le attrezzature e le risorse informative al cliente al termine del contratto. ☒ Istituzione della gestione delle licenze. ☒ Obblighi di riservatezza nei confronti di dipendenti, subappaltatori e fornitori di servizi. |
19 Requisiti per la protezione dei dati e gestione della protezione dei dati La privacy e la protezione dei dati personali devono essere garantite in conformità con i requisiti dei regolamenti legali pertinenti, di altri regolamenti e delle disposizioni contrattuali. |
Misure: ☐ Istituzione di un’organizzazione per la protezione dei dati. ☐ Elenco delle attività di trattamento. ☐ Implementazione della formazione sulla protezione dei dati. ☐ Sviluppo di un sistema di gestione della protezione dei dati. ☐ Concetto di protezione dei dati documentato. ☐ Implementazione delle linee guida sulla protezione dei dati. |
20. controlli sulla sicurezza delle informazioni Devono essere effettuati controlli regolari per garantire che il trattamento delle informazioni avvenga in conformità con le misure di sicurezza definite. L’Appaltatore dovrà effettuare ispezioni regolari a questo scopo. L’Appaltatore concederà alla Committente il diritto di effettuare verifiche/ispezioni periodiche presso i suoi locali. |
Misure: ☒ Audit interni regolari sui temi della protezione dei dati e della sicurezza delle informazioni. ☒ Esecuzione di test di penetrazione. |