Contrato de tramitación de pedidos CCM19

También puede descargar el texto que aparece a continuación en formato PDF aquí. Sólo tiene que enviar el documento cumplimentado a info@ccm19.de.

Acuerdo entre el cliente

y el

Papoo Software & Media GmbH
Fabricante CCM19
Auguststr. 4
53229 Bonn
(en adelante "Contratista")

sobre el tratamiento de datos personales. Las definiciones que figuran en las CGC o en la descripción del servicio también se aplicarán en este acuerdo de tramitación de pedidos.

1. 1.Objeto y duración delpedido
1.1 Objeto del pedido
El objeto del acuerdo de tramitación del pedido es la realización de las siguientes tareas por parte del Contratista de acuerdo con la descripción del servicio en la oferta: recogida, administración, documentación y transferencia del consentimiento de los usuarios del Cliente, así como otros servicios, si procede.
Al hacerlo, el Contratista procesa datos personales para el Cliente en el sentido del Art. 4 No. 2 y el Art. 28 DSGVO sobre la base de los TCG.

1.2 Duración del pedido
La duración de este pedido (plazo) corresponde a la duración del contrato.

2. Contenido del pedido
2.1 Alcance, tipo y finalidad
El alcance, el tipo y la finalidad de la recogida, el tratamiento y/o el uso de los datos personales por parte del contratista
para el cliente se describen específicamente en la descripción del servicio en la oferta y/o
o en la sección 2.2.

2.2 Tipo de datos
Los siguientes datos son objeto de recogida, tratamiento y/o uso de datos personales:
- Datos de clientes: Datos de configuración e inicio de sesión
- Datos del usuario:
- Datos de consentimiento (ID de consentimiento, hora de consentimiento, opt-in o opt-out, idioma del banner, configuración del cliente en el banner - datos de consentimiento, plantilla)
- Datos del dispositivo (agente HTTP, referrer HTTP, página HTTP)
- Datos de IP anomizada, dirección IP en el rollover de 24h en los archivos de registro
- Al utilizar estadísticas avanzadas u otros plugins estadísticos: Datos del navegador (versión)

2.3. a quién afecta

Las personas afectadas son las siguientes:
1. visitantes del sitio web o usuarios de la aplicación,
2. clientes / usuarios registrados

3.Autoridad del cliente para dar instrucciones / lugar de tratamiento de los datos
3.1 Los datos especificados sólo se tratan en el marco de los acuerdos celebrados y de acuerdo con las instrucciones documentadas del cliente (cf. Art. 28 Párrafo 3 lit. a DSGVO). En el ámbito de la descripción del pedido acordada en este contrato, el Cliente se reserva un derecho integral a dar instrucciones sobre el tipo, el alcance y el procedimiento del tratamiento de datos, que podrá especificar mediante instrucciones individuales. Los cambios en el objeto del tratamiento y los cambios en los procedimientos deben ser acordados y documentados. Cualquier gasto adicional en el que se incurra será reembolsado por el Cliente. El contratista sólo podrá facilitar información a terceros o al interesado con el consentimiento previo por escrito del cliente. 2.

3.las instrucciones verbales del Cliente se confirmarán inmediatamente por escrito o por correo electrónico (en forma de texto). El contratista no utilizará los datos para ningún otro fin y, en particular, no podrá transmitirlos a terceros. Esto no se aplica a las copias de seguridad, en la medida en que sean necesarias para garantizar un tratamiento adecuado de los datos, ni a los datos que sean necesarios para cumplir con las obligaciones legales en virtud del Derecho de la Unión o de un Estado miembro de la UE, o para cumplir con las obligaciones de conservación. 3.

3.el Contratista informará al Cliente sin demora, de conformidad con el artículo 28, apartado 3, punto 2, del Reglamento de Protección de Datos, si considera que una instrucción infringe las normas de protección de datos. El contratista tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que sea confirmada o modificada por el responsable del cliente. 4.

3.el tratamiento de los datos del Cliente por parte del Contratista tendrá lugar dentro de la UE. El Contratista estará obligado a notificar al Cliente, antes del inicio del tratamiento, cualquier obligación legal por parte del Contratista de llevar a cabo el tratamiento de los Datos del Cliente en otro lugar, a menos que dicha notificación esté prohibida por la ley. El tratamiento y/o la transferencia a un tercer país fuera del territorio de la UE o a una organización internacional requiere el consentimiento previo por escrito del Mandante. En tal caso, el Contratista está obligado adicionalmente, de acuerdo con los requisitos legalmente aplicables y las interpretaciones judiciales y oficiales de los mismos, a garantizar un nivel adecuado de protección de datos en el lugar de procesamiento de datos o -a elección del Cliente- a proporcionar al Cliente la opción de garantizar un nivel adecuado de protección de datos, entre otras cosas, mediante la conclusión o adhesión a las cláusulas contractuales estándar de la UE.

4.Confidencialidad
El contratista se asegurará de que los empleados que participen en el tratamiento de datos personales y otras personas que trabajen para el contratista tengan prohibido el tratamiento de los datos personales fuera del ámbito de la instrucción. Además, el Contratista garantiza que las personas autorizadas a procesar los Datos Personales se han comprometido a la confidencialidad o están sujetas a un deber legal apropiado de confidencialidad. La obligación de confidencialidad/secreto seguirá existiendo tras la finalización del pedido.

5.Medidas técnicas y organizativas
5.1 El contratista organizará la organización interna en su ámbito de responsabilidad de manera que cumpla los requisitos especiales de la protección de datos. Garantizará las medidas técnicas y organizativas adecuadas para la protección de los datos personales del Cliente que cumplan los requisitos del artículo 32 del RGPD. En particular, las medidas técnicas y organizativas serán tales que la confidencialidad, la integridad, la disponibilidad y la resistencia de los sistemas y servicios relacionados con el tratamiento de los datos estén permanentemente garantizadas. Estas medidas técnicas y organizativas se describen en el Anexo 1 del presente Acuerdo. El Cliente conoce estas medidas técnicas y organizativas y es responsable de que proporcionen un nivel de protección adecuado a los riesgos de los datos que se van a tratar. 2.

5.las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. A este respecto, se permite al contratista aplicar medidas alternativas adecuadas. Al hacerlo, el nivel de seguridad de las medidas especificadas no debe ser socavado. Los cambios significativos deberán estar documentados.

6.Relaciones de subcontratación
6.1. La contratación y/o modificación de subcontratistas por parte del contratista sólo se permite, en principio, con el consentimiento del cliente. El Cliente acepta el uso de subcontratistas de la siguiente manera:
6.1.1 El Cliente acepta el uso de los subcontratistas enumerados en el Anexo 2 de este Acuerdo. 1.2.

6.1.2 El Cliente acepta el cambio o la adición de otros subcontratistas si el Contratista notifica al Cliente por escrito (el correo electrónico es suficiente) el uso o el cambio 1 mes / (30) días antes del inicio del procesamiento de datos. El Mandante puede oponerse a la utilización de un subcontratista nuevo o modificado. Si no se presenta ninguna objeción en dicho plazo, se considerará que se ha dado la autorización para el uso o el cambio. El Mandante reconoce que, en determinados casos, la prestación no puede realizarse sin recurrir a un subcontratista específico. En estos casos, cualquiera de las partes tendrá derecho a rescindir el contrato sin previo aviso.
Si existe una razón importante en virtud de la ley de protección de datos para la objeción y no se ha encontrado una solución de mutuo acuerdo entre las partes, se concederá al Cliente un derecho especial de rescisión. El Cliente declarará por escrito al Contratista su intención de rescindir el contrato en el plazo de una semana después de no haber negociado una solución de mutuo acuerdo. El contratista puede subsanar la objeción en un plazo de dos semanas a partir de la recepción de la declaración de intenciones. Si no se subsana la objeción, el Cliente podrá declarar la rescisión especial, que será efectiva desde su recepción. 2.

6.el contratista estructurará los acuerdos contractuales con el subcontratista o subcontratistas de manera que contengan las mismas obligaciones de protección de datos que las acordadas en este contrato, teniendo en cuenta el tipo y el alcance del tratamiento de datos en el ámbito del subcontrato. El compromiso del (de los) subtratador(es) debe constar por escrito o en formato electrónico. 3.

6.(3) Las relaciones de subcontratación en el sentido de esta disposición no incluyen los servicios que el contratista utiliza de terceros como servicio auxiliar para apoyar la ejecución del contrato. Se trata, por ejemplo, de servicios de telecomunicaciones, mantenimiento y atención al usuario, personal de limpieza, auditores o eliminación de soportes de datos. Sin embargo, el contratista está obligado a realizar acuerdos contractuales adecuados y conformes a la ley y a tomar medidas de control para garantizar la protección y la seguridad de los datos del cliente, incluso en el caso de los servicios auxiliares contratados a terceros.

7. Derechos del interesado

7.(1) El contratista apoyará al cliente, dentro de sus posibilidades, en el cumplimiento de las solicitudes y reclamaciones de los interesados, de conformidad con el capítulo III del RGPD.

7.(2) El contratista sólo proporcionará información sobre los datos procesados en nombre del cliente, corregirá o eliminará estos datos o restringirá el procesamiento de datos en consecuencia si el cliente se lo ordena. En caso de que un interesado se ponga en contacto directamente con el contratista con el fin de obtener información, rectificar o suprimir sus datos, así como con respecto a la restricción del tratamiento de datos, el contratista transmitirá esta solicitud al mandante sin demora.

8.Obligaciones del Contratista de cooperar
8.1 El Contratista apoyará al Cliente en el cumplimiento de las obligaciones relativas a la seguridad de los datos personales, las obligaciones de notificación en caso de violación de los datos, las evaluaciones de impacto de la protección de datos y las consultas previas establecidas en los artículos 32 a 36 del RGPD.

8.en lo que respecta a las obligaciones de información y notificación del Cliente de conformidad con el artículo 33 y el artículo 34 del RGPD, se aplicará lo siguiente: El Contratista está obligado a (i) notificar al Cliente la violación de los datos personales sin demora indebida y (ii) en el caso de dicha violación, proporcionar la asistencia adecuada, si es necesario, en sus obligaciones en virtud del Art. 33 y 34 DSGVO (Art. 28 (3) frase 2 lit. f DSGVO). Las notificaciones de conformidad con el artículo 33 o 34 del RGPD (notificaciones y avisos en caso de violación de los datos personales) para el Mandante solo podrán ser realizadas por el Contratista tras recibir instrucciones previas de conformidad con la sección 3 del presente Acuerdo. 3.

8.en la medida en que el Cliente tenga obligaciones de notificación o comunicación en caso de un incidente de seguridad, el Contratista se compromete a apoyar al Cliente.

9.Otras obligaciones del Contratista
9.1 En la medida en que lo exija la ley, el Contratista designará a un responsable de la protección de datos que pueda desempeñar sus funciones de conformidad con los artículos 38 y 39 de la DSGVO, y los artículos 38 y 6 de la BDSG. Los datos de contacto del responsable de la protección de datos se facilitarán al cliente para que pueda ponerse en contacto directamente si lo solicita. En la actualidad, CCM19 no está obligada legalmente a nombrar un responsable de la protección de datos; no obstante, esta función la desempeña actualmente el Dr. Carsten Euwens, info@ccm19.de. 2.

9.el contratista informará sin demora al cliente sobre las acciones y medidas de control adoptadas por la autoridad de control de conformidad con el art. 58 de la DSGVO. Esto también se aplica en la medida en que una autoridad competente investigue al Contratista de conformidad con el artículo 83 del GDPR. 3.

9.el contratista garantizará la aplicación del control del contrato mediante auditorías periódicas por parte del contratista con respecto a la ejecución o el cumplimiento del contrato, en particular el cumplimiento y, si es necesario, la adaptación de las normas y medidas para la ejecución del contrato.

10. 10.Derecho del cliente a la información y a la inspección
10.1 El cliente tiene derecho a solicitar la información requerida de acuerdo con el Art. 28 Párr. 3 h) del GDPR para demostrar el cumplimiento de las obligaciones acordadas por parte del contratista y a llevar a cabo inspecciones de acuerdo con el contratista o a que las lleven a cabo auditores que se nombrarán en casos individuales.

10.las Partes acuerdan que el Contratista tendrá derecho a presentar documentación significativa al Cliente como prueba del cumplimiento de sus obligaciones y de la aplicación de las medidas técnicas y organizativas. La documentación significativa puede consistir en la presentación de un certificado de auditoría vigente, informes o extractos de informes de organismos independientes (por ejemplo, auditor, auditoría, responsable de la protección de datos), una certificación adecuada por parte de una auditoría de seguridad informática o de protección de datos (por ejemplo, de acuerdo con la norma ISO 27001) o una certificación aprobada por las autoridades de control competentes. 3.

10.esto no afectará al derecho del Cliente a realizar inspecciones in situ. No obstante, el Cliente deberá considerar si sigue siendo necesaria una inspección in situ tras la presentación de una documentación significativa, en particular teniendo en cuenta el mantenimiento del buen funcionamiento del Contratista. 4.

10.el Comitente tendrá derecho a cerciorarse del cumplimiento del presente Contrato por parte del Contratista en sus operaciones comerciales mediante comprobaciones puntuales, que generalmente deberán ser notificadas con la debida antelación. El contratista se compromete a facilitar al cliente, a petición de éste, la información necesaria para cumplir con su obligación de seguimiento del pedido y a poner a su disposición las pruebas pertinentes.

11.Supresión de datos y devolución de soportes dedatos
Tras la finalización de los trabajos contractuales, el contratista deberá entregar al comitente o destruir, de acuerdo con las normas de protección de datos, todos los datos, documentos y resultados de procesamiento o utilización producidos en relación con la relación contractual que hayan llegado a su poder o al de los subcontratistas. La prueba de ello se entregará al cliente cuando lo solicite.

12.Responsabilidad
Las disposiciones legales de conformidad con el artículo 82 del GDPR se aplicarán a la responsabilidad en el marco de la GCU.

Apéndice 1 - Medidas técnico-organizativas/concepto de seguridad de Papoo Software & Media GmbH
El contratista ha aplicado las siguientes medidas técnicas y organizativas y las ha acordado con el cliente.

1.Garantizar la confidencialidad
Las medidas para aplicar el requisito de confidencialidad incluyen medidas de acceso, control de acceso o control de acceso. Las medidas técnicas y organizativas adoptadas en este contexto tienen por objeto garantizar la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales.

Medidas aplicadas por Papoo Software & Media GmbH que impiden el acceso de personas no autorizadas a los sistemas de tratamiento de datos:

- Inicio de sesión personal e individual de los usuarios al entrar en el sistema
- Procedimiento de contraseña (especificación de los parámetros de la contraseña con respecto a la complejidad y el intervalo de actualización)
- Inicio de sesión adicional en el sistema para determinadas aplicaciones
- Bloqueo automático de los clientes después de un determinado período de tiempo sin actividad del usuario (también protector de pantalla protegido con contraseña o pausa automática)
- Documentación electrónica de todas las contraseñas y encriptación de esta documentación para protegerla contra el acceso no autorizado
- Autenticación de dos factores si es técnicamente posible
- Actualizaciones periódicas del software
- Análisis periódico de vulnerabilidades

Los servidores están alojados en OVH GmbH en Frankfurt, Alemania. Este hoster garantiza la seguridad contra fallos y la protección contra el acceso no autorizado a la infraestructura física. Las medidas aplicadas por el subcontratista OVH pueden verse aquí:
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf

2.Garantizar la integridad
Medidas de protección contra el tratamiento no autorizado o ilegal, la destrucción o los daños accidentales.

2.1 Control de las transferencias
Medidas para garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados por personas no autorizadas durante la transmisión electrónica o mientras se transportan o almacenan en soportes de datos, y que sea posible verificar y establecer a qué organismos está destinada una transferencia de datos personales mediante equipos de transmisión de datos:
- Cifrado del correo electrónico si es posible
- Cifrado de CD/DVD-ROM, discos duros externos y/o portátiles (~ directorio)
- WLAN segura
- Cifrado SSL/TLS
- Destrucción de datos, soportes de datos e impresiones conforme a la protección de datos
- Registro de la transmisión de datos

2.2 Control de entrada
Medidas para garantizar que pueda comprobarse y determinarse posteriormente si, en qué momento y por quién se han introducido, modificado o eliminado datos personales de los sistemas de tratamiento de datos:
- Redacción conforme a la ley de contratos sobre el tratamiento de datos personales con subcontratistas con la correspondiente regulación de los mecanismos de control
- Obtención de autodeclaraciones de los proveedores de servicios en relación con sus medidas de aplicación de los requisitos de protección de datos
- Confirmación por escrito de las instrucciones verbales
- Registro y disponibilidad, según sea necesario, de las acciones correspondientes realizadas en los sistemas (por ejemplo, archivos de registro). Por ejemplo, archivos de registro)
- Uso de sistemas de registro y evaluación de registros
- Determinación de las personas autorizadas para la creación de soportes de datos y el tratamiento de datos

3.Medidas de seudonimización de datospersonales
La seudonimización es la sustitución del nombre y otros rasgos de identificación por una marca con el fin de excluir o complicar significativamente la identificación del interesado. Las medidas relacionadas con la seudonimización de los datos personales son:
- Privacidad por diseño
- Todas las identificaciones de un usuario (consentID, processorID, consentID) se seudonimizan con un hash criptográfico sha-256
- Se dispone de un concepto de seudonimización en forma de programa (que incluye la definición de los datos que se van a sustituir; reglas de seudonimización, descripción del procedimiento, etc.)

4.Garantizar la disponibilidad
Medidas para garantizar la protección de los datos personales contra la destrucción o pérdida accidental:
- Utilizar software estándar probado y aprobado de forma centralizada y procedente de fuentes seguras
- Realizar periódicamente copias de seguridad de los datos o utilizar procedimientos de duplicación
- El hardware (especialmente los servidores) se retira tras comprobar los soportes de datos utilizados en él y, si es necesario, tras realizar una copia de seguridad de los registros de datos pertinentes. después de haber realizado una copia de seguridad de los registros de datos pertinentes
- Sistema de alimentación ininterrumpida (SAI) en la sala de servidores
- Almacenamiento por separado de los archivos de datos recogidos para diferentes fines
- Protección antivirus y arquitectura de cortafuegos de varios niveles
- Planificación de emergencia (plan de emergencia para fallos de seguridad y protección de datos con instrucciones concretas de actuación
)
- Sistema de alerta temprana de incendios/agua y temperatura en las salas de servidores
- Puertas de protección contra incendios

5.Procedimientos para restablecer la disponibilidad de los datos personales después de un incidente físico otécnico
Para garantizar la recuperabilidad, se requieren, por un lado, copias de seguridad suficientes, pero también planes de acción que puedan restablecer las operaciones en curso en términos de escenarios de desastre.
Para ello, se adoptan las siguientes medidas, en parte a cargo del subcontratista OVH GmbH:
- Copia de seguridad diaria de todo el servidor
- Acuerdos de nivel de servicio (SLA) con los proveedores de servicios
- Procedimientos de copia de seguridad
- Redundancia (por ejemplo, duplicación de discos duros)
- Cortafuegos, IDS/IPS
- Protección contra incendios y agua de extinción
- Supervisión de las alarmas
- Planes de fallo, emergencia y recuperación

6.Procedimientos para la revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas
La revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento se llevarán a cabo en el marco de la aplicación de:
- revisiones periódicas del concepto de seguridad
- información sobre las vulnerabilidades emergentes y otros factores de riesgo, revisión del análisis y la evaluación de los riesgos en caso necesario
- auditorías del responsable de la protección de datos y del responsable de la seguridad de la información, controles de los procesos por parte de la gestión de calidad.

Anexo 2 del Contrato de Procesamiento de Pedidos

Subcontratistas aprobados

OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Alemania
Servidor en Alemania
Sitio web, servicio y bases de datos del Hoster.

ALL-INKL.COM - Neue Medien Münnich
Propietario: René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
Correo electrónico y otros servicios de servidor

Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Teléfono / Acceso a Internet

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Teléfono / Acceso a Internet

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Alemania

También puede descargar el texto que aparece a continuación en formato PDF aquí. Sólo tiene que enviar el documento cumplimentado a info@ccm19.de.

Acuerdo entre el cliente

y el

Papoo Software & Media GmbH
Fabricante CCM19
Auguststr. 4
53229 Bonn
(en adelante "Contratista")

sobre el tratamiento de datos personales. Las definiciones que figuran en las CGC o en la descripción del servicio también se aplicarán en este acuerdo de tramitación de pedidos.

1. 1.Objeto y duración delpedido
1.1 Objeto del pedido
El objeto del acuerdo de tramitación del pedido es la realización de las siguientes tareas por parte del Contratista de acuerdo con la descripción del servicio en la oferta: recogida, administración, documentación y transferencia del consentimiento de los usuarios del Cliente, así como otros servicios, si procede.
Al hacerlo, el Contratista procesa datos personales para el Cliente en el sentido del Art. 4 No. 2 y el Art. 28 DSGVO sobre la base de los TCG.

1.2 Duración del pedido
La duración de este pedido (plazo) corresponde a la duración del contrato.

2. Contenido del pedido
2.1 Alcance, tipo y finalidad
El alcance, el tipo y la finalidad de la recogida, el tratamiento y/o el uso de los datos personales por parte del contratista
para el cliente se describen específicamente en la descripción del servicio en la oferta y/o
o en la sección 2.2.

2.2 Tipo de datos
Los siguientes datos son objeto de recogida, tratamiento y/o uso de datos personales:
- Datos de clientes: Datos de configuración e inicio de sesión
- Datos del usuario:
- Datos de consentimiento (ID de consentimiento, hora de consentimiento, opt-in o opt-out, idioma del banner, configuración del cliente en el banner - datos de consentimiento, plantilla)
- Datos del dispositivo (agente HTTP, referrer HTTP, página HTTP)
- Datos de IP anomizada, dirección IP en el rollover de 24h en los archivos de registro
- Al utilizar estadísticas avanzadas u otros plugins estadísticos: Datos del navegador (versión)

2.3. a quién afecta

Las personas afectadas son las siguientes:
1. visitantes del sitio web o usuarios de la aplicación,
2. clientes / usuarios registrados

3.Autoridad del cliente para dar instrucciones / lugar de tratamiento de los datos
3.1 Los datos especificados sólo se tratan en el marco de los acuerdos celebrados y de acuerdo con las instrucciones documentadas del cliente (cf. Art. 28 Párrafo 3 lit. a DSGVO). En el ámbito de la descripción del pedido acordada en este contrato, el Cliente se reserva un derecho integral a dar instrucciones sobre el tipo, el alcance y el procedimiento del tratamiento de datos, que podrá especificar mediante instrucciones individuales. Los cambios en el objeto del tratamiento y los cambios en los procedimientos deben ser acordados y documentados. Cualquier gasto adicional en el que se incurra será reembolsado por el Cliente. El contratista sólo podrá facilitar información a terceros o al interesado con el consentimiento previo por escrito del cliente. 2.

3.las instrucciones verbales del Cliente se confirmarán inmediatamente por escrito o por correo electrónico (en forma de texto). El contratista no utilizará los datos para ningún otro fin y, en particular, no podrá transmitirlos a terceros. Esto no se aplica a las copias de seguridad, en la medida en que sean necesarias para garantizar un tratamiento adecuado de los datos, ni a los datos que sean necesarios para cumplir con las obligaciones legales en virtud del Derecho de la Unión o de un Estado miembro de la UE, o para cumplir con las obligaciones de conservación. 3.

3.el Contratista informará al Cliente sin demora, de conformidad con el artículo 28, apartado 3, punto 2, del Reglamento de Protección de Datos, si considera que una instrucción infringe las normas de protección de datos. El contratista tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que sea confirmada o modificada por el responsable del cliente. 4.

3.el tratamiento de los datos del Cliente por parte del Contratista tendrá lugar dentro de la UE. El Contratista estará obligado a notificar al Cliente, antes del inicio del tratamiento, cualquier obligación legal por parte del Contratista de llevar a cabo el tratamiento de los Datos del Cliente en otro lugar, a menos que dicha notificación esté prohibida por la ley. El tratamiento y/o la transferencia a un tercer país fuera del territorio de la UE o a una organización internacional requiere el consentimiento previo por escrito del Mandante. En tal caso, el Contratista está obligado adicionalmente, de acuerdo con los requisitos legalmente aplicables y las interpretaciones judiciales y oficiales de los mismos, a garantizar un nivel adecuado de protección de datos en el lugar de procesamiento de datos o -a elección del Cliente- a proporcionar al Cliente la opción de garantizar un nivel adecuado de protección de datos, entre otras cosas, mediante la conclusión o adhesión a las cláusulas contractuales estándar de la UE.

4.Confidencialidad
El contratista se asegurará de que los empleados que participen en el tratamiento de datos personales y otras personas que trabajen para el contratista tengan prohibido el tratamiento de los datos personales fuera del ámbito de la instrucción. Además, el Contratista garantiza que las personas autorizadas a procesar los Datos Personales se han comprometido a la confidencialidad o están sujetas a un deber legal apropiado de confidencialidad. La obligación de confidencialidad/secreto seguirá existiendo tras la finalización del pedido.

5.Medidas técnicas y organizativas
5.1 El contratista organizará la organización interna en su ámbito de responsabilidad de manera que cumpla los requisitos especiales de la protección de datos. Garantizará las medidas técnicas y organizativas adecuadas para la protección de los datos personales del Cliente que cumplan los requisitos del artículo 32 del RGPD. En particular, las medidas técnicas y organizativas serán tales que la confidencialidad, la integridad, la disponibilidad y la resistencia de los sistemas y servicios relacionados con el tratamiento de los datos estén permanentemente garantizadas. Estas medidas técnicas y organizativas se describen en el Anexo 1 del presente Acuerdo. El Cliente conoce estas medidas técnicas y organizativas y es responsable de que proporcionen un nivel de protección adecuado a los riesgos de los datos que se van a tratar. 2.

5.las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo posterior. A este respecto, se permite al contratista aplicar medidas alternativas adecuadas. Al hacerlo, el nivel de seguridad de las medidas especificadas no debe ser socavado. Los cambios significativos deberán estar documentados.

6.Relaciones de subcontratación
6.1. La contratación y/o modificación de subcontratistas por parte del contratista sólo se permite, en principio, con el consentimiento del cliente. El Cliente acepta el uso de subcontratistas de la siguiente manera:
6.1.1 El Cliente acepta el uso de los subcontratistas enumerados en el Anexo 2 de este Acuerdo. 1.2.

6.1.2 El Cliente acepta el cambio o la adición de otros subcontratistas si el Contratista notifica al Cliente por escrito (el correo electrónico es suficiente) el uso o el cambio 1 mes / (30) días antes del inicio del procesamiento de datos. El Mandante puede oponerse a la utilización de un subcontratista nuevo o modificado. Si no se presenta ninguna objeción en dicho plazo, se considerará otorgada la autorización de uso o modificación. El Mandante reconoce que, en determinados casos, la prestación no puede realizarse sin recurrir a un subcontratista específico. En estos casos, cualquiera de las partes tendrá derecho a rescindir el contrato sin previo aviso.
Si existe una razón importante en virtud de la ley de protección de datos para la objeción y no se ha encontrado una solución de mutuo acuerdo entre las partes, se concederá al Cliente un derecho especial de rescisión. El Cliente declarará por escrito al Contratista su intención de rescindir el contrato en el plazo de una semana después de no haber negociado una solución de mutuo acuerdo. El contratista puede subsanar la objeción en un plazo de dos semanas a partir de la recepción de la declaración de intenciones. Si no se subsana la objeción, el Cliente podrá declarar la rescisión especial, que será efectiva desde su recepción. 2.

6.el contratista redactará los acuerdos contractuales con el subcontratista o subcontratistas de manera que contengan las mismas obligaciones de protección de datos que las acordadas en este contrato, teniendo en cuenta el tipo y el alcance del tratamiento de datos en el ámbito del subcontrato. El compromiso del (de los) subtratador(es) debe constar por escrito o en formato electrónico. 3.

6.(3) Las relaciones de subcontratación en el sentido de esta disposición no incluyen los servicios que el contratista utiliza de terceros como servicio auxiliar para apoyar la ejecución del contrato. Se trata, por ejemplo, de servicios de telecomunicaciones, mantenimiento y atención al usuario, limpiadores, auditores o eliminación de soportes de datos. No obstante, el contratista está obligado a establecer acuerdos contractuales adecuados y conformes a la ley y a tomar medidas de control para garantizar la protección y la seguridad de los datos del cliente, incluso en el caso de los servicios auxiliares contratados a terceros.

7. Derechos del interesado

7.(1) El contratista apoyará al cliente, dentro de sus posibilidades, en el cumplimiento de las solicitudes y reclamaciones de los interesados, de conformidad con el capítulo III del RGPD.

7.(2) El contratista sólo proporcionará información sobre los datos procesados en nombre del cliente, corregirá o eliminará estos datos o restringirá el procesamiento de datos en consecuencia si el cliente se lo ordena. En caso de que un interesado se ponga en contacto directamente con el contratista con el fin de obtener información, rectificar o suprimir sus datos, así como con respecto a la restricción del tratamiento de datos, el contratista transmitirá esta solicitud al mandante sin demora.

8.Obligaciones del Contratista de cooperar
8.1 El Contratista apoyará al Cliente en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD en relación con la seguridad de los datos personales, las obligaciones de notificación en caso de violación de los datos, las evaluaciones de impacto de la protección de datos y las consultas previas.

8.en lo que respecta a las obligaciones de información y notificación del Cliente de conformidad con el artículo 33 y el artículo 34 del RGPD, se aplicará lo siguiente: El Contratista está obligado a (i) notificar al Cliente la violación de los datos personales sin demora indebida y (ii) en el caso de dicha violación, proporcionar la asistencia adecuada, si es necesario, en sus obligaciones en virtud del Art. 33 y 34 DSGVO (Art. 28 (3) frase 2 lit. f DSGVO). Las notificaciones de conformidad con el artículo 33 o 34 del RGPD (notificaciones y avisos en caso de violación de los datos personales) para el Mandante solo podrán ser realizadas por el Contratista tras recibir instrucciones previas de conformidad con la sección 3 del presente Acuerdo. 3.

8.en la medida en que el Cliente tenga obligaciones de notificación o comunicación en caso de un incidente de seguridad, el Contratista se compromete a apoyar al Cliente.

9.Otras obligaciones del Contratista
9.1 En la medida en que lo exija la ley, el Contratista designará a un responsable de la protección de datos que pueda desempeñar sus funciones de conformidad con los artículos 38 y 39 de la DSGVO, y los artículos 38 y 6 de la BDSG. Los datos de contacto del responsable de la protección de datos se facilitarán al cliente para que pueda ponerse en contacto directamente si lo solicita. En la actualidad, CCM19 no está obligada legalmente a nombrar un responsable de la protección de datos; no obstante, esta función la desempeña actualmente el Dr. Carsten Euwens, info@ccm19.de. 2.

9.el contratista informará sin demora al cliente sobre las acciones y medidas de control adoptadas por la autoridad de control de conformidad con el art. 58 de la DSGVO. Esto también se aplica en la medida en que una autoridad competente investigue al Contratista de conformidad con el artículo 83 del GDPR. 3.

9.el contratista garantizará la aplicación del control del contrato mediante auditorías periódicas por parte del contratista con respecto a la ejecución o el cumplimiento del contrato, en particular el cumplimiento y, si es necesario, la adaptación de las normas y medidas para la ejecución del contrato.

10. 10.Derecho del cliente a la información y a la inspección
10.1 El cliente tiene derecho a solicitar la información requerida de acuerdo con el Art. 28 Párr. 3 h) del GDPR para demostrar el cumplimiento de las obligaciones acordadas por parte del contratista y a llevar a cabo inspecciones de acuerdo con el contratista o a que las lleven a cabo auditores que se nombrarán en casos individuales.

10.las Partes acuerdan que el Contratista tiene derecho a presentar documentación significativa al Cliente para demostrar el cumplimiento de sus obligaciones y la aplicación de las medidas técnicas y organizativas. La documentación significativa puede consistir en la presentación de un certificado de auditoría vigente, informes o extractos de informes de organismos independientes (por ejemplo, auditor, auditoría, responsable de la protección de datos), una certificación adecuada por parte de una auditoría de seguridad informática o de protección de datos (por ejemplo, de acuerdo con la norma ISO 27001) o una certificación aprobada por las autoridades de control competentes. 3.

10.esto no afectará al derecho del Cliente a realizar inspecciones in situ. No obstante, el Cliente deberá considerar si sigue siendo necesaria una inspección in situ tras la presentación de una documentación significativa, en particular teniendo en cuenta el mantenimiento del buen funcionamiento del Contratista. 4.

10.el Comitente tendrá derecho a cerciorarse del cumplimiento del presente Contrato por parte del Contratista en sus operaciones comerciales mediante comprobaciones puntuales, que generalmente deberán ser notificadas con la debida antelación. El contratista se compromete a facilitar al cliente, a petición de éste, la información necesaria para cumplir con su obligación de seguimiento del pedido y a poner a su disposición las pruebas pertinentes.

11.Supresión de datos y devolución de soportes dedatos
Tras la finalización de los trabajos contractuales, el contratista deberá entregar al comitente o destruir, de acuerdo con las normas de protección de datos, todos los datos, documentos y resultados de procesamiento o utilización producidos en relación con la relación contractual que hayan llegado a su poder o al de los subcontratistas. La prueba de ello se entregará al cliente cuando lo solicite.

12.Responsabilidad
Las disposiciones legales de conformidad con el artículo 82 del GDPR se aplicarán a la responsabilidad en el marco de la GCU.

Apéndice 1 - Medidas técnico-organizativas/concepto de seguridad de Papoo Software & Media GmbH
El contratista ha aplicado las siguientes medidas técnicas y organizativas y las ha acordado con el cliente.

1.Garantizar la confidencialidad
Las medidas para aplicar el requisito de confidencialidad incluyen medidas de acceso, control de acceso o control de acceso. Las medidas técnicas y organizativas adoptadas en este contexto tienen por objeto garantizar la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidentales.

Medidas aplicadas por Papoo Software & Media GmbH que impiden el acceso de personas no autorizadas a los sistemas de tratamiento de datos:

- Inicio de sesión personal e individual de los usuarios al iniciar la sesión en el sistema
- Procedimiento de contraseña (especificación de los parámetros de la contraseña con respecto a la complejidad y el intervalo de actualización)
- Inicio de sesión adicional en el sistema para determinadas aplicaciones
- Bloqueo automático de los clientes después de un determinado período de tiempo sin actividad del usuario (también protector de pantalla protegido con contraseña o pausa automática)
- Documentación electrónica de todas las contraseñas y encriptación de esta documentación para protegerla contra el acceso no autorizado
- Autenticación de dos factores si es técnicamente posible
- Actualizaciones periódicas del software
- Exploraciones periódicas de vulnerabilidad

Los servidores están alojados en OVH GmbH en Frankfurt, Alemania. Este hoster garantiza la seguridad contra fallos y la protección contra el acceso no autorizado a la infraestructura física. Las medidas aplicadas por el subcontratista OVH pueden verse aquí:
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf

2.Garantizar la integridad
Medidas de protección contra el tratamiento no autorizado o ilegal, la destrucción o los daños accidentales.

2.1 Control de las transferencias
Medidas para garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados por personas no autorizadas durante la transmisión electrónica o mientras se transportan o almacenan en soportes de datos, y que sea posible verificar y establecer a qué organismos está destinada una transferencia de datos personales mediante equipos de transmisión de datos:
- Cifrado del correo electrónico si es posible
- Cifrado de CD/DVD-ROM, discos duros externos y/o portátiles (~ directorio)
- WLAN segura
- Cifrado SSL/TLS
- Destrucción de datos, soportes de datos e impresiones conforme a la protección de datos
- Registro de la transmisión de datos

2.2 Control de entrada
Medidas para garantizar que pueda comprobarse y determinarse posteriormente si, en qué momento y por quién se han introducido, modificado o eliminado datos personales de los sistemas de tratamiento de datos:
- Redacción conforme a la ley de contratos sobre el tratamiento de datos personales con subcontratistas con la correspondiente regulación de los mecanismos de control
- Obtención de autodeclaraciones de los proveedores de servicios en relación con sus medidas de aplicación de los requisitos de protección de datos
- Confirmación por escrito de las instrucciones verbales
- Registro y disponibilidad, según sea necesario, de las acciones correspondientes realizadas en los sistemas (por ejemplo, archivos de registro). Por ejemplo, archivos de registro)
- Uso de sistemas de registro y evaluación de registros
- Determinación de las personas autorizadas para la creación de soportes de datos y el tratamiento de datos

3.Medidas de seudonimización de datospersonales
La seudonimización es la sustitución del nombre y otros rasgos de identificación por una marca con el fin de excluir o complicar significativamente la identificación del interesado. Las medidas relacionadas con la seudonimización de los datos personales son:
- Privacidad por diseño
- Todas las identificaciones de un usuario (consentID, processorID, consentID) se seudonimizan con un hash criptográfico sha-256
- Se dispone de un concepto de seudonimización en forma de programa (que incluye la definición de los datos que se van a sustituir; reglas de seudonimización, descripción del procedimiento, etc.)

4.Garantizar la disponibilidad
Medidas para garantizar la protección de los datos personales contra la destrucción o pérdida accidental:
- Utilizar software estándar probado y aprobado de forma centralizada y procedente de fuentes seguras
- Realizar periódicamente copias de seguridad de los datos o utilizar procedimientos de duplicación
- El hardware (especialmente los servidores) se retira tras comprobar los soportes de datos utilizados en él y, si es necesario, tras realizar una copia de seguridad de los registros de datos pertinentes. después de haber realizado una copia de seguridad de los registros de datos pertinentes
- Sistema de alimentación ininterrumpida (SAI) en la sala de servidores
- Almacenamiento por separado de los archivos de datos recogidos para diferentes fines
- Protección antivirus y arquitectura de cortafuegos de varios niveles
- Planificación de emergencia (plan de emergencia para fallos de seguridad y protección de datos con instrucciones concretas de actuación
)
- Sistema de alerta temprana de incendios/agua y temperatura en las salas de servidores
- Puertas de protección contra incendios

5.Procedimientos para restablecer la disponibilidad de los datos personales después de un incidente físico otécnico
Para garantizar la recuperabilidad, se requieren, por un lado, copias de seguridad suficientes, pero también planes de acción que puedan restablecer las operaciones en curso en términos de escenarios de desastre.
Para ello, se adoptan las siguientes medidas, en parte a cargo del subcontratista OVH GmbH:
- Copia de seguridad diaria de todo el servidor
- Acuerdos de nivel de servicio (SLA) con los proveedores de servicios
- Procedimientos de copia de seguridad
- Redundancia (por ejemplo, duplicación de discos duros)
- Cortafuegos, IDS/IPS
- Protección contra incendios y agua de extinción
- Supervisión de las alarmas
- Planes de fallo, emergencia y recuperación

6.Procedimientos para la revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas
La revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento se llevarán a cabo en el marco de la aplicación de:
- revisiones periódicas del concepto de seguridad
- información sobre las vulnerabilidades emergentes y otros factores de riesgo, revisión del análisis y la evaluación de los riesgos en caso necesario
- auditorías del responsable de la protección de datos y del responsable de la seguridad de la información, controles de los procesos por parte de la gestión de calidad.

Anexo 2 del Contrato de Procesamiento de Pedidos

Subcontratistas aprobados

OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Alemania
Servidor en Alemania
Sitio web, servicio y bases de datos del Hoster.

ALL-INKL.COM - Neue Medien Münnich
Propietario: René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
Correo electrónico y otros servicios de servidor

Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Teléfono / Acceso a Internet

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Teléfono / Acceso a Internet

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Alemania