Acordo de processamento de dados de acordo com o Art. 28 do RGPD
O presente Acordo de Processamento de Dados (“APD“) aplica-se ao processamento de dados pessoais pela Dibooq GmbH, Heinrich-Mann-Allee 3b, 14473 Potsdam, Alemanha (também designada por“nós” ou“Contratante“), que é fornecido aos clientes (doravante designadospor “Cliente“) no cumprimento do contrato principal (=GTC DiBooq Desktop App e, se aplicável, GTC DiBooq Mobile App).
Preâmbulo
O Contratante presta serviços ao Contratante de acordo com o contrato principal celebrado entre ambos (doravante designado por“Contrato Principal”). Parte da execução do contrato principal é o tratamento de dados pessoais na aceção do Regulamento Geral sobre a Proteção de Dados (“RGPD“). A fim de cumprir os requisitos do RGPD para tais constelações, as partes celebram o seguinte contrato de processamento de encomendas (também designadopor “contrato“), que entra em vigor quando o contrato principal é assinado ou se torna efetivo.
§ 1 Objeto/âmbito da missão
- No âmbito da cooperação entre as partes, nos termos do contrato principal, o Contratante tem acesso aos dados pessoais do Contratante (doravante“dados do Contratante“). O contratante processa estes dados do cliente em nome e de acordo com as instruções do cliente, na aceção do art. 4, n.º 8 e do art. 28 do RGPD.
- O Contratante processa os dados do cliente da forma, âmbito e finalidade descritos no Anexo 1. Apresenta o grupo de pessoas afectadas pelo tratamento de dados. A duração do tratamento corresponde ao período de vigência do contrato principal.
- Se os serviços do contratante se destinam ao tratamento de categorias especiais de dados pessoais nos termos do n.º 9 do art. 9. 1 O RGPD exige uma avaliação dos riscos por parte do cliente.
- O contratante está proibido de tratar os dados do cliente de uma forma que não corresponda ao tratamento especificado no anexo 1.
- O tratamento dos dados dos clientes é geralmente efectuado pela no território da República Federal da Alemanha, num Estado membro da União Europeia ou noutro Estado parte do Acordo sobre o Espaço Económico Europeu. Se houver uma deslocalização do processamento de encomendas para um país terceiro, esta requer o consentimento prévio do cliente e só tem lugar se os requisitos especiais dos artigos 44º a 49º do RGPD forem cumpridos. Ao celebrar a presente convenção de tratamento de encomendas, o cliente autoriza o tratamento de dados pessoais pelos subcontratantes indicados no anexo 1.
- As disposições do presente contrato aplicam-se a todas as actividades relacionadas com o contrato principal. O mesmo se aplica a todas as actividades em que o contratante e os seus empregados ou pessoas autorizadas pelo contratante entram em contacto com os dados do cliente.
§ 2 Autorização do cliente para dar instruções
- O contratante processa os dados do cliente no âmbito da sua missão e em nome e de acordo com as instruções do cliente, na aceção do art. 28º do RGPD (processamento de encomendas). O cliente tem o direito exclusivo de dar instruções sobre o tipo, o âmbito e o método das actividades de tratamento (a seguir também designado por “direito de dar instruções”). Se o Contratante for obrigado pela legislação da União Europeia ou dos Estados-Membros a que está sujeito a efetuar um tratamento posterior, informa o Cliente destas exigências legais antes do tratamento.
- As instruções são geralmente dadas pelo Contratante por escrito ou em formato eletrónico (basta o e-mail); as instruções verbais são confirmadas pelo Contratante em formato eletrónico.
- Se o contratante for de opinião que uma instrução do cliente viola as normas de proteção de dados, deve informar o cliente em conformidade. O contratante está autorizado a suspender a execução da instrução em causa até que esta seja confirmada ou alterada pelo cliente.
§ 3 Medidas de proteção do contratante
- O contratante é obrigado a respeitar as disposições legais em matéria de proteção de dados e a não transmitir as informações obtidas no domínio do cliente a terceiros ou a expô-las ao seu acesso. Os documentos e dados devem ser protegidos contra o acesso não autorizado, tendo em conta o estado da técnica.
- Além disso, o Contratante obrigará todas as pessoas a quem confia o tratamento e a execução do presente contrato (a seguir designadas por “empregados”) a manter a confidencialidade (obrigação de confidencialidade, art. 28.º, n.º 3, alínea b), do RGPD). A pedido do Contratante, o Contratante fornece-lhe uma prova escrita ou eletrónica do compromisso assumido pelos trabalhadores.
- O contratante deve conceber a sua organização interna de forma a cumprir os requisitos especiais de proteção de dados. Compromete-se a tomar todas as medidas técnicas e organizativas adequadas para garantir uma proteção adequada dos dados do cliente, em conformidade com o art. 6, n.º 1, alínea f), do RGPD. Art. 32.º do RGPD, em especial as medidas enumeradas no Anexo 2 do presente contrato, e a mantê-las durante o período de tratamento dos dados do cliente.
- O contratante reserva-se o direito de alterar as medidas técnicas e organizativas tomadas, devendo garantir que o nível de proteção acordado contratualmente não seja prejudicado.
- A pedido do Contratante, o Contratante fornece-lhe provas do cumprimento das medidas técnicas e organizativas.
§ 4 Obrigações de informação e apoio do contratante
- Em caso de interrupções, suspeitas de violação da proteção de dados ou de incumprimento das obrigações contratuais do Contratante, suspeitas de incidentes relacionados com a segurança ou outras irregularidades no tratamento dos dados do Cliente pelo Contratante, por pessoas contratadas pelo Contratante no âmbito da encomenda ou por terceiros, o Contratante informa o Cliente imediatamente, mas o mais tardar no prazo de 48 horas, por escrito ou em formato eletrónico. O mesmo se aplica às auditorias do contratante pela autoridade de controlo da proteção de dados. Estas notificações devem conter, pelo menos, as informações especificadas no nº 3 do artigo 33º do RGPD.
- No caso acima referido, o Contratante apoia o Contratante no cumprimento das suas medidas de esclarecimento, de correção e de informação, dentro dos limites do razoável.
- O Contratante compromete-se a fornecer ao Contratante todas as informações e provas necessárias à realização de uma inspeção num prazo razoável, a pedido do Contratante.
§ 5 Outras obrigações do contratante
- Se os requisitos do Art. 30 do RGPD se aplicarem, o contratante é obrigado a manter um registo de todas as categorias de actividades de processamento realizadas em nome do cliente, de acordo com o Art. 30 do RGPD. Art. 30.º, n.º 2 do RGPD. A lista deve ser colocada à disposição do cliente, a pedido deste.
- O contratante é obrigado a apoiar o cliente na preparação de uma avaliação do impacto da proteção de dados, em conformidade com o artigo 35º do RGPD, e em qualquer consulta prévia com a autoridade de controlo, em conformidade com o artigo 36º do RGPD.
- O contratante confirma que nomeou um responsável pela proteção de dados, na medida em que existe a obrigação legal de o fazer.
- Se os dados do cliente forem comprometidos por apreensão ou confisco, por processo de insolvência ou de concordata ou por outros eventos ou medidas de terceiros, o contratante informa imediatamente o cliente, a menos que seja proibido de o fazer por ordem judicial ou oficial. Neste contexto, o Contratante informa imediatamente todos os organismos responsáveis de que a autoridade de decisão sobre os dados cabe exclusivamente ao Contratante enquanto “responsável pelo tratamento” na aceção do RGPD.
§ 6 Relações com os subcontratantes
- O contratante pode mandar efetuar o tratamento de dados pessoais, no todo ou em parte, por outros subcontratantes (a seguir designados “subcontratantes”). O contratante informa o cliente, em tempo útil e em forma de texto, sobre a entrada em funcionamento de subcontratados ou sobre alterações na subcontratação. O cliente pode opor-se à subcontratação, sob a forma de texto, no prazo de quatro semanas após ter tomado conhecimento da mesma, se houver razões objectivas para tal.
- Não existe uma relação de subcontratação na aceção destas disposições se o contratante encarregar terceiros de prestar serviços que devam ser considerados meramente acessórios. Inclui, por exemplo, serviços postais, de transporte e de expedição, serviços de limpeza, serviços de segurança, serviços de telecomunicações sem referência específica aos serviços que o contratante presta ao cliente e outras medidas para garantir a confidencialidade, disponibilidade, integridade e resiliência do hardware e software dos sistemas de tratamento de dados. A obrigação do contratante de garantir o cumprimento da proteção e da segurança dos dados nestes casos não é afetada.
- O Contratante acordará com o subcontratante as disposições estabelecidas nas presentes CGU com o mesmo conteúdo. Em particular, os TOM a acordar com o subcontratante devem proporcionar um nível de proteção equivalente.
- O Contratante estabeleceu relações de subcontratação com as empresas indicadas no Anexo 1, que o Cliente consente ao celebrar a presente convenção de tratamento de dados:
- Com os subcontratantes, o contratante deve cumprir os requisitos do § 6 para. 3 celebraram contratos de processamento de encomendas correspondentes. O cliente autoriza os subcontratantes supracitados aquando da entrada em vigor do presente TCG.
- Os contratos de tratamento de dados com os subcontratantes incluem também, em particular, que os subcontratantes garantam que tomaram as medidas técnicas e organizativas adequadas e apropriadas, em conformidade com o art. 32º do RGPD, no que diz respeito ao tratamento de dados pessoais por eles efectuado em nome do responsável pelo tratamento.
§ 7 Direitos de controlo
- O cliente tem o direito de se certificar regularmente de que as disposições do presente contrato estão a ser cumpridas. Para o efeito, pode, por exemplo, obter informações do contratante, mandar apresentar-lhe os certificados existentes de peritos, certificações ou auditorias internas ou mandar verificar pessoalmente ou por um terceiro competente, durante as horas normais de expediente, as medidas técnicas e organizativas do contratante, desde que este último não esteja em relação de concorrência com o contratante.
- O Contratante só efectua os controlos na medida do necessário e tem em conta os procedimentos operacionais do Contratante. As partes acordarão atempadamente a data e o tipo de inspeção.
- O dono da obra documenta o resultado da inspeção e informa o empreiteiro. Em caso de erros ou irregularidades que o Contratante detecte, nomeadamente durante o controlo dos resultados da encomenda, o Contratante deve informar imediatamente o Contratante. Se, durante a inspeção, forem descobertos factos que exijam a introdução de alterações no procedimento encomendado, a fim de os evitar no futuro, o dono da obra deve informar sem demora o empreiteiro das alterações processuais necessárias.
§ 8 Direitos dos titulares dos dados
- Sempre que possível, o contratante apoia o cliente com medidas técnicas e organizacionais adequadas no cumprimento das suas obrigações nos termos dos art. 12 a 22 e art. 32 a 36 do RGPD. Fornecerá ao cliente as informações solicitadas sobre os dados do cliente sem demora e, o mais tardar, no prazo de 14 dias úteis, a menos que o próprio cliente disponha das informações pertinentes.
- Se o titular dos dados fizer valer os seus direitos nos termos dos artigos 16º a 18º do RGPD, o contratante é obrigado a corrigir, apagar ou restringir imediatamente os dados do cliente, o mais tardar num prazo de 7 dias úteis, por ordem do cliente. O contratante fornece ao cliente, mediante pedido, uma prova escrita da eliminação, correção ou limitação dos dados.
- Se uma pessoa em causa fizer valer os seus direitos, como o direito à informação, à correção ou à supressão dos seus dados, diretamente contra o contratante, este transmitirá esse pedido ao cliente e aguardará as instruções do cliente. O contratante não contactará a pessoa em causa sem as respectivas instruções individuais.
§ 9 Prazo e anulação
O prazo de vigência do presente contrato corresponde ao prazo de vigência do contrato principal. Por conseguinte, termina automaticamente com o termo do contrato principal. Se o contrato principal puder ser rescindido com aviso prévio, as disposições relativas à rescisão ordinária aplicar-se-ão em conformidade ao presente contrato. Se o contratante deixar de tratar os dados do cliente antes do termo do contrato principal, este contrato também termina automaticamente.
§ 10 Anulação e devolução após o termo do contrato
- O contratante devolve ao cliente todos os documentos, dados e suportes de dados que lhe foram fornecidos após a rescisão do contrato principal ou a qualquer momento a pedido do cliente, ou elimina-os completa e irrevogavelmente a pedido do cliente, a menos que haja um período de retenção legal. O mesmo se aplica às reproduções dos dados do cliente nas instalações do contratante, tais como cópias de segurança dos dados, mas não à documentação que serve de prova do tratamento correto dos dados do cliente em conformidade com a encomenda. Esta documentação deve ser conservada pelo contratante durante um período de 6 meses e entregue ao cliente, a pedido deste. Os dados pessoais partilhados pelo Cliente com outros utilizadores da aplicação DiBooq para computador ou da aplicação móvel DiBooq não estão abrangidos pela obrigação de eliminação ou divulgação.
- O Contratante confirma a rescisão ao Contratante por via eletrónica. O cliente tem o direito de verificar se os dados foram devolvidos ou apagados pelo contratante de forma completa e em conformidade com o contrato, de forma adequada.
- O contratante é obrigado a tratar confidencialmente quaisquer dados de que tenha conhecimento no âmbito do contrato principal, mesmo após o termo do contrato principal.
§ 11 Responsabilidade
- A responsabilidade das partes é regida pelo art. 82º do RGPD. Tal não afecta a responsabilidade do contratante perante o cliente por incumprimento das obrigações decorrentes do presente contrato ou do contrato principal.
- As partes eximem-se mutuamente da responsabilidade se uma delas provar que não é de modo algum responsável pela circunstância que causou o dano a uma das partes em causa. Isto aplica-se, por conseguinte, no caso de uma coima aplicada a uma parte, em que a isenção é concedida na medida em que a outra parte assume uma parte da responsabilidade pela infração sancionada pela coima.
§ 12 Confidencialidade e sigilo dos dados
- O contratante compromete-se a respeitar as mesmas regras de confidencialidade que as impostas ao cliente.
- Os empregados do contratante e os terceiros contratados pelo contratante são obrigados a manter a confidencialidade. O contratante deve informar as pessoas encarregadas do tratamento dos dados dos clientes, em conformidade com o n.º 28 do artigo 28. 3 litros. b RGPD para te comprometeres com a confidencialidade por escrito. Tal não é necessário se as pessoas empregadas já estiverem sujeitas a uma obrigação legal de confidencialidade adequada. O Contratante documenta por escrito a obrigação prevista na presente cláusula e apresenta-a ao Contratante a pedido deste.
- O contratante confirma que tem conhecimento dos regulamentos de proteção de dados relevantes. O contratante garante que familiarizará os empregados envolvidos na execução do trabalho com as disposições de proteção de dados que lhes são aplicáveis e que os obrigará a cumprir os regulamentos de proteção de dados aplicáveis. Controla o cumprimento dos regulamentos de proteção de dados.
- As obrigações de confidencialidade reguladas na presente secção continuarão a existir mesmo após o termo da relação contratual.
- Para além das disposições legais aplicáveis (em particular, § 88 TKG, § 203 StGB, §§ 4, 23 GeschGehG e quaisquer obrigações especiais de confidencialidade profissional), o contratante também é obrigado a manter em segredo todas as informações e dados de que tenha conhecimento no contexto dos serviços contratualmente acordados e a não os transmitir a terceiros (informações confidenciais). As informações confidenciais incluem, nomeadamente, segredos comerciais e de negócios, contratos, informações técnicas ou comerciais de qualquer tipo ou outras informações designadas como confidenciais ou de natureza confidencial. Isto também se aplica, em particular, a:
Nomes, endereços e a situação pessoal, jurídica e económica de todos os clientes do cliente e a situação pessoal, jurídica e económica do cliente e de todas as outras pessoas que trabalham para o cliente.
As informações não serão consideradas confidenciais se já forem do conhecimento público no momento em que o contratante delas tiver tomado conhecimento. As informações que se tornaram do conhecimento público ou que foram tornadas públicas posteriormente com o consentimento do cliente também não devem ser consideradas confidenciais. - O contratante compromete-se a impor a si próprio a mesma obrigação a todos os empregados que tomem conhecimento das informações confidenciais do contratante no âmbito do seu trabalho para o contratante.
- Se o contratante contratar terceiros, deve garantir que os requisitos dos n.ºs 1 a 6 são aplicados em conformidade.
§ 13 Disposições finais
- As partes acordam que a defesa do direito de retenção pelo contratante, na aceção do § 273 BGB (Código Civil Alemão), está excluída no que diz respeito aos dados a tratar e aos suportes de dados associados.
- As alterações e aditamentos ao presente acordo devem ser efectuados em formato eletrónico.
- Em caso de dúvida, as disposições do presente contrato prevalecem sobre as disposições do contrato principal. Se determinadas disposições do presente acordo se revelarem inválidas ou inaplicáveis, no todo ou em parte, ou se tornarem inválidas ou inaplicáveis em resultado de alterações da legislação após a celebração do contrato, tal não afectará a validade das restantes disposições. A disposição inválida ou não executória será substituída por uma disposição válida e executória que se aproxime o mais possível do significado e objetivo da disposição inválida.
- Este acordo está sujeito ao direito alemão. O local exclusivo de jurisdição é a sede social do contratante.
Anexos
Anexo 1 Definições do contrato
Anexo 2 Medidas técnicas e organizativas do contratante (art. 32.º do RGPD)
Anexo 1 – Definições do contrato
Objeto e duração da encomenda Síntese dos requisitos e especificações |
|
Contrato principal | Termos e condições gerais para o licenciamento do software Dibooq |
Objeto do pedido | O cliente utiliza o software Dibooq. O software Dibooq oferece às agências de aluguer de casas de férias (“Agências”) a possibilidade de gerir calendários de reservas de propriedades de férias e de partilhar disponibilidades em tempo real (“Calendário de Reservas”). As condições de reserva podem ser definidas de acordo com as quais é possível introduzir reservas no calendário (“Reserva direta”) ou fazer pedidos de reserva que podem ser confirmados ou rejeitados no sistema (“Pedido de reserva”). |
Finalidade da recolha, tratamento ou utilização dos dados | A fim de cumprir as obrigações do contratante no âmbito do contrato principal, os dados pessoais da esfera de controlo do contratante são integralmente tratados pelo contratante na aceção do art. 4.º, n.º 2 do RGPD, nomeadamente recolhidos, armazenados, modificados, lidos, consultados, utilizados, divulgados, comparados, ligados e eliminados na medida do necessário em cada caso. A finalidade do tratamento depende, portanto, da respectiva ordem descrita no contrato principal. |
Tipo de dados | As categorias de dados pessoais afectadas pelo tratamento dependem da utilização dos serviços do contratante pelo cliente. As possíveis categorias de dados que podem ser objeto de tratamento são – Dados principais (por exemplo, nomes, endereços, datas de nascimento), – Dados de contacto (por exemplo, endereços de correio eletrónico, números de telefone), – Dados de conteúdo (por exemplo, fotografias, vídeos, conteúdo de documentos), – Dados contratuais (por exemplo, objeto do contrato, condições, clientes), – Dados de pagamento (por exemplo, dados bancários, prestadores de serviços de pagamento), – Dados de utilização (por exemplo, histórico do serviço Web, tempos de acesso), – Dados de ligação (por exemplo, ID do dispositivo, endereços IP, referenciador de URL), e – Dados de localização (por exemplo, dados GPS, geolocalização IP). |
Círculo de pessoas afectadas |
As categorias de titulares de dados afectadas pelo tratamento dependem da utilização dos serviços do contratante pelo cliente. As categorias de pessoas em causa são as seguintes: – Empregados |
Subcontratante
Não. | Nome do subcontratante Endereço / país | Objeto do pedido | Tipo e âmbito dos dados |
1 | e-pixler NEW MEDIA GmbH Leuchtenfabrik Aufgang E Edisonstraße 63 12459 Berlin Alemanha |
Administração de servidores | Alojamento do software e das bases de dados |
2 | united-domains AG Gautinger Straße 10 82319 Starnberg Alemanha |
Alojamento de domínios e sítios Web | Website com formulário de contacto |
3 | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park Leopardstown Dublin 18 D18 P521 Irlanda | Microsoft 365 Business, Armazenamento em nuvem, fornecedor de e-mail, equipas |
Emails e armazenamento de documentos |
Apêndice 2 – Medidas técnicas e organizativas
Os responsáveis pelo tratamento dos dados são o acc. De acordo com o Art. 32 do RGPD, somos obrigados a tomar medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais. As medidas devem ser seleccionadas de forma a garantir um nível adequado de proteção global. Neste contexto, a presente síntese explica quais as medidas específicas tomadas pelo contratante no que respeita ao tratamento de dados pessoais no caso concreto.
Instruções relativas às medidas técnicas e organizativas |
1. organização da segurança da informação Devem ser definidas directrizes, processos e responsabilidades com os quais a segurança da informação possa ser implementada e controlada. |
Mede: Política de segurança da informação. Definição de papéis e responsabilidades para o funcionamento de aplicações e sistemas, proteção de dados e segurança da informação. Obrigação dos empregados de manter a confidencialidade e o sigilo dos dados. |
2. privacidade desde a conceção A privacidade desde a conceção implica a ideia de que os sistemas devem ser concebidos e construídos de modo a minimizar a quantidade de dados pessoais tratados. Os principais elementos da minimização de dados são a separação entre identificadores pessoais e dados de conteúdo, a utilização de pseudónimos e a anonimização. Além disso, a eliminação dos dados pessoais deve ser efectuada de acordo com um período de conservação configurável. |
Mede: Não são recolhidos mais dados pessoais do que os necessários para a respectiva finalidade. As operações e sistemas de tratamento são concebidos de forma a permitir e garantir o apagamento dos dados pessoais tratados em conformidade com o RGPD. |
3. privacidade por defeito A privacidade por defeito refere-se às predefinições favoráveis à proteção de dados / definições por defeito. Em que medida é que estas foram realizadas por ti? Exemplo: Ao visitar um sítio Web, o visitante pode esperar que todos os programas que recolhem dados pessoais sejam inicialmente desactivados. |
Mede: As funções de rastreio que monitorizam o titular dos dados estão desactivadas por defeito. Todas as predefinições para as opções de seleção cumprem os requisitos do RGPD no que diz respeito a predefinições favoráveis à proteção de dados (por exemplo, não há predefinições para opt-ins). |
4. controlo de acesso e controlo de acesso Medidas destinadas a garantir que as pessoas autorizadas a utilizar os procedimentos de tratamento de dados só possam aceder aos dados pessoais ou às informações e dados sensíveis sujeitos à sua autorização de acesso (descrição dos mecanismos de segurança inerentes ao sistema, procedimentos de cifragem em conformidade com o estado da técnica. No caso de acesso em linha, deve ser especificado qual a parte responsável pela emissão e gestão dos códigos de segurança de acesso). O contratante garante que os utilizadores autorizados a utilizar a infraestrutura informática só podem aceder aos conteúdos para os quais estão autorizados e que os dados pessoais não podem ser copiados, alterados ou apagados sem autorização durante o tratamento e após o armazenamento. |
Mede: Documenta os conceitos de autorização. O acesso aos dados é restrito e só é possível a pessoas autorizadas. Bloqueio da conta de utilizador em caso de tentativas falhadas / inatividade. Bloqueia o dispositivo final quando abandona o local de trabalho ou quando está inativo. Número de administradores reduzido ao “mínimo indispensável”. Registo do acesso às aplicações, nomeadamente ao introduzir, alterar e apagar dados. |
5. criptografia e/ou pseudonimização Utilização de métodos de cifragem para assegurar uma proteção adequada e eficaz da confidencialidade, autenticidade ou integridade dos dados pessoais ou das informações que necessitam de proteção. Medidas susceptíveis de dificultar a identificação da pessoa em causa. |
Mede: Encriptação do acesso à rede e das ligações. |
Outras medidas de criptografia aplicadas: Na CGU incl. TOM entre o contratante e a e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Alemanha. AVV incl. O TOM entre o contratante e o e-pixler pode ser fornecido se necessário. |
6. proteção dos edifícios Prevenção do acesso físico não autorizado, de danos e de interferências nas informações da organização e nas instalações de processamento de informações. O contratante tomará medidas para impedir que pessoas não autorizadas tenham acesso (entendido como espaço) aos sistemas de processamento de dados com os quais os dados pessoais são processados. |
Outras medidas aplicadas para proteger os edifícios: No AVV incl. TOM entre o contratante e a e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Alemanha. AVV incl. O TOM entre o contratante e o e-pixler pode ser fornecido se necessário. |
7. proteção dos recursos/activos de informação Prevenção de perdas, danos, furto ou deterioração dos activos e perturbação das operações da organização. |
Mede: Posicionamento seguro dos sistemas, de modo a garantir a proteção contra roubo. Proteção do equipamento contra incêndio, água ou sobretensão. Alojamento dos componentes do servidor e da rede em salas seguras, armários, etc. Manutenção regular do equipamento de funcionamento. Apaga, destrói e elimina o equipamento de forma segura. |
Outras medidas implementadas para proteger o equipamento: No AVV incl. TOM entre o contratante e a e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Alemanha. AVV incl. O TOM entre o contratante e o e-pixler pode ser fornecido se necessário. |
8. procedimentos operacionais e responsabilidades Assegurar o funcionamento correto e seguro dos sistemas e procedimentos de tratamento da informação. |
Mede: Documenta as configurações do sistema e os procedimentos de funcionamento, manuais de funcionamento. Atribuição clara de responsabilidades para o suporte de sistemas e aplicações. Separa o tratamento de dados de clientes individuais. Separação dos sistemas de desenvolvimento, teste e produção. Acompanhamento do funcionamento do sistema e das instalações. Contratos de manutenção com um tempo de resposta adequado |
9. cópias de segurança dos dados Medidas destinadas a garantir que os dados pessoais ou as informações e dados sensíveis são protegidos contra a destruição ou perda acidental. |
Mede: Conceito de backup de dados com backups regulares. Deslocação do apoio para outras zonas de incêndio. Terceirizar os backups para outros edifícios. |
Outras medidas de salvaguarda de dados implementadas: No AVV incl. TOM entre o contratante e a e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Alemanha. AVV incl. O TOM entre o contratante e o e-pixler pode ser fornecido se necessário. |
10. Proteção contra malware e gestão de patch es Prevenção da exploração de vulnerabilidades técnicas através da utilização de software de proteção contra vírus atualizado e da implementação da gestão de patches. |
Mede: Monitorização regular do estado das actualizações de segurança e das vulnerabilidades do sistema. Utilização de software anti-malware. Instalação regular de patches e actualizações de segurança. |
11. registo e controlo Medidas destinadas a garantir a possibilidade de verificar e determinar posteriormente se e por quem os dados pessoais foram introduzidos, alterados ou retirados dos sistemas informáticos. (Todas as actividades do sistema são registadas; os registos são conservados pelo contratante durante, pelo menos, 3 anos). |
Mede: Registo dos acessos. Avaliação dos ficheiros de registo. |
12. gestão da segurança da rede Deve ser implementada uma proteção adequada para a rede, de modo a que os componentes da informação e da infraestrutura estejam protegidos. |
Mede: Utilização de software de gestão de rede. Utilização de sistemas de firewall. Utilização de sistemas de deteção de intrusão / prevenção de intrusão. Autenticação do utilizador e encriptação do acesso externo. |
13. transferência de informações Medidas destinadas a garantir que os dados pessoais ou as informações e dados sensíveis não possam ser lidos, copiados, alterados ou suprimidos sem autorização durante a transmissão eletrónica ou durante o seu transporte ou armazenamento em suportes de dados, e que seja possível verificar e determinar a que entidades devem ser transmitidos os dados pessoais ou as informações e dados sensíveis através de equipamento de transmissão de dados. (Descrição do equipamento e dos protocolos de transmissão utilizados, por exemplo, identificação e autenticação, cifragem de acordo com o estado da técnica, chamada de retorno automática, etc.) |
Mede: Divulgação de dados a terceiros apenas após verificação da base legal. Legalidade e definição escrita da transferência de dados para países terceiros. Transmissão segura de dados entre o cliente e o servidor. Utilização de acesso externo encriptado. Transporte e expedição seguros de suportes de dados, dados e documentos. |
14. aquisição, desenvolvimento e manutenção de sistemas Medidas para garantir que a segurança da informação seja parte integrante do ciclo de vida dos sistemas de informação. |
Mede: Orientações para o desenvolvimento seguro de sistemas. Proteção dos dados de ensaio. |
15. Relações com os fornecedores As medidas de segurança da informação para reduzir os riscos associados ao acesso dos fornecedores aos bens da empresa devem ser acordadas e documentadas com os subfornecedores/subcontratantes. |
Mede: Seleção do contratante com a devida diligência (especialmente no que diz respeito à segurança dos dados). Instruções escritas ao contratante (por exemplo, através de um acordo de processamento de dados) na aceção do RGPD O contratante nomeou um responsável pela proteção de dados. Direitos de controlo efectivos em relação ao contratante acordados. Controlo prévio e documentação das medidas de segurança tomadas pelo empreiteiro. Obrigação dos empregados do contratante de manter a confidencialidade dos dados. Assegura a destruição dos dados após a conclusão da encomenda. Controlo permanente do contratante e das suas actividades. |
16. gestão de incidentes de segurança da informação Devem ser aplicadas medidas coerentes e eficazes para a gestão de incidentes de segurança da informação (roubo, falha do sistema, etc.). |
Mede: Procedimento documentado para lidar com incidentes de segurança Informação imediata do cliente em caso de incidentes de proteção de dados. |
17. aspectos da segurança da informação na gestão da continuidade das actividades / gestão de emergências Manter a disponibilidade do sistema em situações difíceis, como crises ou incidentes. A gestão de emergências deve garantir que assim seja. Os requisitos de segurança da informação devem ser definidos durante o planeamento da continuidade das actividades e da recuperação de desastres. |
Mede: Informa o cliente em tempo útil em caso de emergência. |
Outras medidas implementadas para a gestão da continuidade das actividades e a gestão de emergências: Na AVV incl. TOM entre o contratante e a e-pixler NEW MEDIA GmbH, Leuchtenfabrik Aufgang E, Edisonstraße 63, 12459 Berlin, Alemanha. AVV incl. O TOM entre o contratante e o e-pixler pode ser fornecido se necessário. |
18. cumprimento dos requisitos legais e contratuais Aplicação de medidas para evitar violações das obrigações legais, oficiais ou contratuais e de quaisquer requisitos de segurança. |
Mede: Assegura o cumprimento das obrigações legais no âmbito da cooperação. Devolução de todos os dados, equipamentos e activos de informação ao cliente no final do contrato. Estabelecimento da gestão de licenças. Obrigações de confidencialidade para com os empregados, subcontratantes e prestadores de serviços. |
19 Requisitos de proteção de dados e gestão da proteção de dados A privacidade e a proteção dos dados pessoais devem ser asseguradas de acordo com os requisitos dos regulamentos legais relevantes, outros regulamentos e disposições contratuais. |
Mede: Criação de uma organização de proteção de dados. Lista das actividades de tratamento. Implementação da formação sobre proteção de dados. Desenvolvimento de um sistema de gestão da proteção de dados. Conceito documentado de proteção de dados. Implementação de directrizes de proteção de dados. |
20. controlos da segurança da informação Devem ser efectuados controlos regulares para garantir que o tratamento da informação é efectuado em conformidade com as medidas de segurança definidas. O empreiteiro deve efetuar inspecções regulares para este efeito. O contratante concede ao cliente o direito de efetuar auditorias/inspecções regulares nas suas instalações. |
Mede: Auditorias internas regulares sobre os temas da proteção de dados e da segurança da informação. Realização de testes de penetração. |