Contrat de traitement des commandes CCM19 / AVV

Vous pouvez également télécharger le texte ci-dessous au format PDF ici. Une fois le document complété, il suffit de l'envoyer à info@ccm19.de.

Convention entre le mandant

et la société

Papoo Software & Media GmbH
fabricant CCM19
Auguststr. 4
53229 Bonn
(ci-après "le contractant")

concernant le traitement des données à caractère personnel. Les définitions figurant dans les CGV ou dans le cahier des charges s'appliquent également au présent accord de traitement des commandes CUP.

1.Objet et durée de la commande
1.1. Objet de la commande
L'objet du contrat de traitement des commandes est l'exécution des tâches suivantes par le contractant conformément à la description des prestations dans l'offre : collecte, gestion, documentation et transmission du consentement des utilisateurs du client pour le traitement des données ainsi que, le cas échéant, d'autres services.
Dans ce cadre, le contractant traite des données à caractère personnel pour le client au sens de l'article 4, point 2, et de l'article 28 du RGPD sur la base des CGV.

1.2. durée de la mission
La durée de la présente mission (durée) correspond à la durée du contrat.

2.Contenu de la commande
2.1. Étendue, nature et finalité
L'étendue, la nature et la finalité de la collecte, du traitement et / ou de l'utilisation des données à caractère personnel par le mandataire pour le compte du mandant sont concrètement décrites dans la description des prestations figurant dans l'offre.

2.2. type de données
La collecte, le traitement et / ou l'utilisation des données à caractère personnel portent sur les données suivantes :
- données client : Paramètres et données de connexion
- Données utilisateur :
- Données de consentement (Consent ID, heure du consentement, Opt-in. Opt-out, langue de la bannière, paramètres du client dans la bannière - données de consentement, modèle)
- Données de l'appareil (HTTP Agent, HTTP Referrer, HTTP Page)
- Données IP anonymisées, adresse IP en 24h rollover dans les fichiers log
- En cas d'utilisation de statistiques étendues ou d'autres plugins statistiques : données du navigateur (version)
2.3. Qui est concerné
Les personnes suivantes sont concernées :
1. visiteurs du site web ou utilisateurs de l'app,
2. clients / utilisateurs inscrits

3.Pouvoir d'instruction du donneur d'ordre / lieu de traitement des données
3.1. Le traitement des données spécifiées n'a lieu que dans le cadre des accords conclus et conformément aux instructions documentées du donneur d'ordre (cf. art. 28, al. 3, let. a du RGPD). Le donneur d'ordre se réserve, dans le cadre de la description de la mission établie dans le présent accord, un droit d'instruction global sur le type, l'étendue et la procédure de traitement des données, qu'il peut concrétiser par des instructions individuelles. Les modifications de l'objet du traitement et les changements de procédure doivent faire l'objet d'une concertation et être documentés. Les dépenses supplémentaires qui en résultent doivent être remboursées par le client. Le preneur d'ordre ne peut fournir des informations à des tiers ou à la personne concernée qu'avec l'accord écrit préalable du donneur d'ordre.

3.2) Le preneur d'ordre traite les données à caractère personnel exclusivement dans le cadre des accords conclus et conformément aux instructions du donneur d'ordre. Un traitement dépassant ce cadre n'est autorisé que dans la mesure où le preneur d'ordre est tenu de procéder à un autre traitement en vertu du droit de l'Union européenne ou des États membres auquel le preneur d'ordre est soumis (
). Dans un tel cas, le sous-traitant communique ces exigences légales au client avant le traitement, à moins que le droit concerné n'interdise une telle communication.

3.3) Le sous-traitant est tenu d'informer immédiatement le client, conformément à l'article 28, paragraphe 3, alinéa 2 du RGPD, s'il estime qu'une instruction enfreint les dispositions légales relatives à la protection des données. Le sous-traitant est en droit de suspendre l'exécution des instructions correspondantes jusqu'à ce qu'elles soient confirmées ou modifiées par le responsable du traitement du client.

3.4) Le traitement des données du donneur d'ordre par le preneur d'ordre a lieu au sein de l'UE. Le traitement et / ou le transfert vers un pays tiers en dehors du territoire de l'UE ou vers une organisation internationale nécessite l'accord écrit préalable du donneur d'ordre. Dans un tel cas, le sous-traitant est en outre tenu, conformément aux dispositions légales applicables ainsi qu'aux interprétations judiciaires et administratives de celles-ci, de veiller à un niveau de protection des données adéquat sur le lieu de traitement des données ou - au choix du donneur d'ordre - de donner au donneur d'ordre la possibilité de veiller à un niveau de protection des données adéquat, entre autres par la conclusion ou l'adhésion à des clauses contractuelles types de l'UE.

3.5 Les personnes qui reçoivent des instructions du sous-traitant sont les employés de l'entreprise.

4.Confidentialité
Le sous-traitant garantit qu'il est interdit aux employés chargés du traitement des données à caractère personnel et aux autres personnes travaillant pour le sous-traitant de traiter les données à caractère personnel en dehors des instructions données. En outre, le sous-traitant garantit que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de secret professionnel appropriée. L'obligation de confidentialité / de secret professionnel subsiste même après la fin de la mission.

5. Mesures techniques et organisationnelles
5.1. Dans son domaine de responsabilité, le contractant concevra l'organisation interne de l'entreprise de manière à ce qu'elle réponde aux exigences particulières de la protection des données. Il veillera à prendre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel du donneur d'ordre, conformément aux exigences de l'article 32 du RGPD. En particulier, les mesures techniques et organisationnelles doivent être prises de telle sorte que la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services liés au traitement des données soient garanties à long terme. Ces mesures techniques et organisationnelles sont décrites à l'annexe 1 du présent accord. Le sous-traitant a connaissance de ces mesures techniques et organisationnelles et assume la responsabilité de veiller à ce qu'elles offrent un niveau de protection adéquat au regard des risques présentés par les données à traiter.

5.2) Les mesures techniques et organisationnelles sont soumises au progrès et au développement techniques. Dans cette mesure, le sous-traitant est autorisé à mettre en œuvre des mesures alternatives adéquates. Ce faisant, le niveau de sécurité des mesures définies ne doit pas être inférieur. Les modifications importantes doivent être documentées.

Carsten Euwens, 0228 2805668, a été désigné comme responsable de la protection des données chez le contractant. Tout changement de délégué à la protection des données doit être immédiatement communiqué au client.

6.Relations de sous-traitance
6.1. L'intervention et/ou la modification de sous-traitants par le preneur d'ordre n'est en principe autorisée qu'avec l'accord du donneur d'ordre. Le donneur d'ordre consent à l'utilisation de sous-traitants comme suit :
6.1.1. Le donneur d'ordre consent d'ores et déjà à l'utilisation des sous-traitants énumérés à l'annexe 2 du présent accord.

6.1.2 Le mandant accepte la modification ou l'ajout de sous-traitants supplémentaires si le mandataire informe le mandant concerné par écrit (un e-mail suffit) de l'intervention ou de la modification 1 mois / (30) jours avant le début du traitement des données. Le client peut s'opposer à l'intervention d'un nouveau sous-traitant / d'un sous-traitant modifié. En l'absence d'opposition dans le délai imparti, le consentement à l'intervention ou à la modification est réputé acquis. Le donneur d'ordre prend acte du fait que, dans certains cas, la prestation ne peut plus être fournie sans l'intervention d'un sous-traitant déterminé. Dans de tels cas, chaque partie est en droit de résilier le contrat sans préavis.
S'il existe un motif important d'opposition au regard de la législation sur la protection des données et si les parties ne sont pas parvenues à trouver une solution à l'amiable, le donneur d'ordre se voit accorder un droit de résiliation spécial. Le donneur d'ordre doit notifier par écrit au preneur d'ordre son intention de résilier le contrat dans un délai d'une semaine après l'échec des négociations en vue d'une solution à l'amiable. Le preneur d'ordre peut remédier à l'opposition dans les deux semaines suivant la réception de la déclaration d'intention. S'il n'est pas remédié à l'opposition, le donneur d'ordre peut déclarer la résiliation spéciale, qui prend effet dès sa réception.

6.2) Le contractant doit concevoir les accords contractuels avec le(s) sous-traitant(s) de manière à ce qu'ils contiennent les mêmes obligations de protection des données que celles convenues dans le présent contrat, compte tenu de la nature et de l'étendue du traitement des données dans le cadre de la sous-traitance. L'engagement du sous-traitant ultérieur doit être pris par écrit ou sous format électronique.

6.3) Ne sont pas considérés comme des rapports de sous-traitance au sens du présent règlement les services que le contractant sollicite auprès de tiers en tant que prestation accessoire pour l'aider dans l'exécution de la commande. Il s'agit par exemple de services de télécommunication, de maintenance et de services aux utilisateurs d'"équipements non informatiques", de personnel de nettoyage ou de contrôleurs. Le contractant est toutefois tenu de conclure des accords contractuels appropriés et conformes à la loi afin de garantir la protection et la sécurité des données du client, même en cas de prestations annexes confiées à des tiers, et de prendre des mesures de contrôle.

7. Droits des personnes concernées

7.1) Le contractant aide le client, dans la mesure de ses possibilités, à répondre aux demandes et aux droits des personnes concernées conformément au chapitre III du RGPD.

7.2) Le sous-traitant n'est tenu de fournir des informations sur les données traitées dans le cadre de la commande, de rectifier ou d'effacer ces données ou de restreindre le traitement des données en conséquence que sur instruction du donneur d'ordre. Si une personne concernée s'adresse directement au preneur d'ordre pour obtenir des informations, corriger ou supprimer ses données ou limiter leur traitement, le preneur d'ordre transmettra immédiatement cette demande au donneur d'ordre.

8.Obligations de coopération du sous-traitant
8.1. Le sous-traitant aide le client à respecter les obligations visées aux articles 32 à 36 du RGPD concernant la sécurité des données à caractère personnel, les obligations de notification en cas de violation des données, les évaluations d'impact sur la protection des données et les consultations préalables.

8.2) En ce qui concerne les éventuelles obligations de notification et d'information du donneur d'ordre conformément aux articles 33 et 34 du RGPD, les dispositions suivantes s'appliquent : Le contractant est tenu (i) d'informer le client sans délai de toute violation de la protection des données à caractère personnel et (ii), en cas de violation de ce type, de lui apporter, si nécessaire, un soutien approprié dans le cadre de ses obligations au titre des articles 33 et 34 du RGPD (article 28, paragraphe 3, deuxième phrase, point f) du RGPD). Le sous-traitant ne peut procéder à des notifications selon les articles 33 ou 34 du RGPD (notifications et informations en cas de violation de la protection des données à caractère personnel) pour le compte du client qu'après avoir reçu des instructions préalables conformément au point 3 du présent accord.

8.3) Dans la mesure où le client a des obligations de notification ou de communication en cas d'incident de sécurité chez le client, le contractant s'engage à soutenir le client.

9.Autres obligations du contractant
9.1. Dans la mesure où la loi l'exige, le contractant désigne un délégué à la protection des données qui peut désormais exercer son activité conformément aux articles 38 et 39 du RGPD et aux articles 38 et 6 de la BDSG. Actuellement, aucune des dispositions légales qui prescrivent un délégué à la protection des données ne s'applique. Néanmoins, cette activité est actuellement exercée par le Dr. Carsten Euwens.

9.2) Le contractant informera immédiatement le client des actions de contrôle et des mesures prises par l'autorité de contrôle conformément à l'article 58 du RGPD. Ceci s'applique également dans la mesure où une autorité compétente enquête auprès du sous-traitant conformément à l'article 83 du RGPD.

9.3. le contractant assurera l'exécution du contrôle de la commande au moyen de vérifications régulières par le contractant en vue de l'exécution ou de l'accomplissement du contrat, en particulier le respect et l'adaptation éventuellement nécessaire des réglementations et mesures relatives à l'exécution de la commande.

10.Droit d'information et de vérification du donneur d'ordre
10.1. Le donneur d'ordre a le droit de demander les informations requises par l'article 28, paragraphe 3 h) du RGPD pour prouver le respect des obligations convenues par le preneur d'ordre et de procéder à des vérifications en accord avec le preneur d'ordre ou de les faire effectuer par des contrôleurs à désigner au cas par cas.

10.2 Les parties conviennent qu'afin de prouver le respect de ses obligations et la mise en œuvre des mesures techniques et organisationnelles, le preneur d'ordre est autorisé à présenter au donneur d'ordre une documentation pertinente. Une documentation pertinente peut être fournie par la présentation d'un certificat actuel, ou de rapports ou d'extraits de rapports d'instances indépendantes (par ex. commissaire aux comptes, auditeur, délégué à la protection des données), ou d'une certification appropriée par un audit de sécurité informatique ou de protection des données (par ex. selon ISO 27001) ou d'une certification approuvée par les autorités de surveillance compétentes.

10.3) Le droit du client de procéder à des contrôles sur place n'est pas affecté. Toutefois, le client évaluera si un contrôle sur place est encore nécessaire après la présentation d'une documentation pertinente, notamment en tenant compte du maintien du bon fonctionnement du fournisseur.

10.4) Le donneur d'ordre a le droit de s'assurer du respect de la présente convention par le preneur d'ordre dans son entreprise en procédant à des contrôles par sondage, qui doivent en règle générale être annoncés à temps. Le preneur d'ordre s'engage à fournir au donneur d'ordre, sur demande, les informations nécessaires au respect de son obligation de contrôle de la commande et à mettre à sa disposition les justificatifs correspondants.

11.Effacement des données et restitution des supports de données
Après l'achèvement des travaux contractuels, le contractant doit, à son choix, remettre au client toutes les données, tous les documents et tous les résultats de traitement ou d'utilisation en rapport avec la relation contractuelle qui sont entrés en sa possession ou qui ont été transmis à des sous-traitants, ou les détruire conformément à la protection des données. Un justificatif doit être remis au client sur demande.

12.Responsabilité
Les dispositions légales de l'article 82 du RGPD s'appliquent à la responsabilité dans les relations extérieures.

Bonn, le 02.05.2022
Lieu, date, signature du donneur d'ordre Papoo Software & Media GmbH
Dr. Carsten Euwens, gérant

Annexe 1 - Mesures techniques et organisationnelles/concept de sécurité de la Papoo Software & Media GmbH
Les mesures techniques et organisationnelles suivantes sont mises en œuvre par le mandataire et convenues avec le mandant.

1.Garantie de la confidentialité
Les mesures visant à mettre en œuvre l'impératif de confidentialité sont, entre autres, des mesures de contrôle d'accès, d'accès ou de contrôle d'accès. Les mesures techniques et organisationnelles prises dans ce contexte doivent garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte accidentelle, la destruction accidentelle ou les dommages accidentels.

Mesures mises en œuvre par Papoo Software & Media GmbH pour empêcher l'accès de personnes non autorisées aux systèmes de traitement des données :

- Accès des collaborateurs aux bureaux uniquement avec une clé individuelle / clé
- Accès des visiteurs uniquement avec un accompagnement individuel par un collaborateur dûment autorisé et uniquement aux zones visiteurs autorisées.
- Connexion personnelle et individuelle de l'utilisateur lors de l'ouverture de session dans le système
- Procédure de mot de passe (indication des paramètres du mot de passe en ce qui concerne la complexité et l'intervalle d'actualisation)
- Connexion supplémentaire du système à des applications spécifiquesLogin pour certaines applications
- Verrouillage automatique des clients après un certain laps de temps sans activité de l'utilisateur (également économiseur d'écran protégé par mot de passe ou mise en pause automatique)
- Documentation électronique de tous les mots de passe et cryptage de cette documentation pour éviter tout accès non autorisé
- Authentification à deux facteurs si techniquement possible
- Mise à jour régulière des logiciels
- Scans réguliers des points faibles

Les serveurs sont hébergés chez OVH GmbH à Francfort, Allemagne ou chez Hetzner Online GmbH à Gunzenhausen, Allemagne. Les deux hébergeurs garantissent la sécurité contre les pannes et la protection contre les accès non autorisés à l'infrastructure physique. Les mesures mises en œuvre par les sous-traitants peuvent être consultées ici :
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf
https://docs.hetzner.com/de/general/general-terms-and-conditions/data-privacy-faq/#auftragsverarbeitung

2.Garantie de l'intégrité
Mesures de protection contre le traitement non autorisé ou illégal, la destruction ou les dommages accidentels.

2.1 Contrôle de la transmission
Mesures garantissant que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées de manière non autorisée lors de leur transmission par voie électronique ou pendant leur transport ou leur stockage sur des supports de données, et qu'il peut être vérifié et constaté à quelles instances des données à caractère personnel sont destinées par des installations de transmission de données :
- Cryptage du courrier électronique si possible
- Cryptage des CD/DVD-ROM, des disques durs externes et/ou des ordinateurs portables (~ répertoire)
- WLAN sécurisé
- Cryptage SSL/TLS
- Destruction des données, des supports de données et des impressions conforme à la protection des données
- Enregistrement de la transmission des données si possible
- VPN si nécessaire et si possible. possible

2.2 Contrôle de la saisie
Mesures garantissant qu'il est possible de vérifier et de constater a posteriori si, à quel moment et par qui des données à caractère personnel ont été saisies, modifiées ou supprimées dans des systèmes de traitement des données :
- Conception conforme à la loi des contrats de traitement de données à caractère personnel avec des sous-traitants, avec réglementation correspondante des mécanismes de contrôle
- Demande d'auto-informations auprès des prestataires de services concernant leurs mesures de mise en œuvre des exigences en matière de protection des données
- Confirmation écrite des instructions orales
- Enregistrement et conservation en fonction des besoins des actions correspondantes effectuées sur les systèmes (par ex. Par exemple, fichiers journaux
- Utilisation de systèmes de journalisation et d'analyse des journaux
- Détermination des personnes autorisées à créer des supports de données et à traiter des données

3.Mesures de pseudonymisation des données à caractère personnel
La pseudonymisation est le remplacement du nom et d'autres caractéristiques d'identification par un signe distinctif dans le but d'exclure ou de rendre beaucoup plus difficile l'identification de la personne concernée. Les mesures liées à la pseudonymisation des données à caractère personnel sont les suivantes :
- Privacy-by-design
- Tous les identifiants d'un utilisateur (consentID, processorID, consentID) sont pseudonymisés à l'aide d'un hachage cryptographique sha-256
- Il existe un concept de pseudonymisation sous forme de programme (entre autres, définition des données à remplacer ; règles de pseudonymisation, description de la procédure, etc)

4.Garantie de la disponibilité
Mesures garantissant que les données à caractère personnel sont protégées contre une destruction ou une perte accidentelle :
- Utilisation de logiciels standard contrôlés et validés de manière centralisée et provenant de sources sûres
- Exécution régulière de sauvegardes de données ou utilisation de procédures de mise en miroir
- La mise hors service du matériel informatique (en particulier des serveurs) a lieu après un contrôle des supports de données utilisés dans ce matériel et, le cas échéant, après une vérification de la sécurité des données. après avoir sauvegardé les enregistrements pertinents
- Alimentation électrique sans coupure (UPS) dans la salle des serveurs
- Conservation séparée des fichiers de données collectés à des fins différentes
- Architecture antivirus et pare-feu à plusieurs niveaux
- Plan d'urgence (plan d'urgence pour les atteintes à la sécurité et à la protection des données avec instructions d'action concrètes)
- Système d'alerte précoce en cas d'incendie/d'inondation et de température dans les salles des serveurs
- Portes coupe-feu

5.Procédure de rétablissement de la disponibilité des données à caractère personnel après un incident physique ou technique
Pour garantir la possibilité de rétablissement, il faut d'une part des sauvegardes suffisantes, mais aussi des plans de mesures permettant de rétablir l'exploitation en cours dans le sens de scénarios de catastrophe.
A cet effet, les mesures suivantes sont prises, en partie par des sous-traitants OVH GmbH / Hetzner Online GmbH :
- Sauvegarde quotidienne de l'ensemble du serveur
- Accords de niveau de service (SLA) avec les prestataires de services
- Procédures de sauvegarde
- Redondance (p. ex. mise en miroir des disques durs)
- Pare-feu, IDS/IPS
- Protection contre les incendies et les eaux d'extinction
- Surveillance des alarmes
- Plans de défaillance, d'urgence et de récupération

6.Procédures de contrôle, d'appréciation et d'évaluation périodiques de l'efficacité des mesures techniques et organisationnelles
Le contrôle, l'appréciation et l'évaluation périodiques de l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement sont effectués dans le cadre de la mise en œuvre de :
- révisions périodiques du concept de sécurité
- informations sur les nouvelles vulnérabilités et autres facteurs de risque, révision de l'analyse et de l'évaluation des risques le cas échéant
- audits du délégué à la protection des données et du responsable de la sécurité de l'information, contrôles des processus par la gestion de la qualité.

7. Garantie du principe de séparation
Des systèmes multi-tenant sont utilisés dans tous les domaines et isolent toutes les données personnelles les unes des autres. Les données sont séparées logiquement et en partie physiquement les unes des autres. Le système CCM19 lui-même est également multi-tenant et multi-utilisateur - ce qui permet une séparation complète des données personnelles utilisées à chaque fois en raison de la division logique par les utilisateurs et les concepts d'autorisation.

Annexe 2 à l'accord de traitement des commandes AVV
Sous-traitants autorisés

OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Allemagne
Serveurs en Allemagne
Hébergeur Site web, service et bases de données.

ALL-INKL.COM - Neue Medien Münnich
Propriétaire : René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
E-mail et autres services de serveur

Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Téléphone / Accès Internet

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Téléphone / Accès Internet

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Allemagne
Hébergeur site web, service et bases de données.

Élimination des appareils électriques
bonnorange AöR
Lievelingsweg 110
53119 Bonn

Élimination des supports de données
Shred-it GmbH
Klausnerring 3,
85551 Kirchheim bei München

Vous pouvez également télécharger le texte ci-dessous au format PDF ici. Une fois le document complété, il suffit de l'envoyer à info@ccm19.de.

Convention entre le mandant

et la société

Papoo Software & Media GmbH
fabricant CCM19
Auguststr. 4
53229 Bonn
(ci-après "le contractant")

1.2. durée de la mission
La durée de la présente mission (durée) correspond à la durée du contrat.

3.5 Les personnes qui reçoivent des instructions du sous-traitant sont les employés de l'entreprise.

6.1.2 Le mandant accepte la modification ou l'ajout d'autres sous-traitants si le mandataire informe le mandant concerné par écrit (un e-mail suffit) de l'intervention ou de la modification 1 mois / (30) jours avant le début du traitement des données. Le client peut s'opposer à l'intervention d'un nouveau sous-traitant / d'un sous-traitant modifié. En l'absence d'opposition dans le délai imparti, le consentement à l'intervention ou à la modification est réputé acquis. Le donneur d'ordre prend acte du fait que, dans certains cas, la prestation ne peut plus être fournie sans l'intervention d'un sous-traitant déterminé. Dans de tels cas, chaque partie est en droit de résilier le contrat sans préavis.
S'il existe un motif important d'opposition au regard de la législation sur la protection des données et si les parties ne sont pas parvenues à trouver une solution à l'amiable, le donneur d'ordre se voit accorder un droit de résiliation spécial. Le donneur d'ordre doit notifier par écrit au preneur d'ordre son intention de résilier le contrat dans un délai d'une semaine après l'échec des négociations en vue d'une solution à l'amiable. Le preneur d'ordre peut remédier à l'opposition dans les deux semaines suivant la réception de la déclaration d'intention. S'il n'est pas remédié à l'opposition, le donneur d'ordre peut déclarer la résiliation spéciale, qui prend effet dès sa réception.

7. Droits des personnes concernées

7.1) Le contractant aide le client, dans la mesure de ses possibilités, à répondre aux demandes et aux droits des personnes concernées conformément au chapitre III du RGPD.

8.2) En ce qui concerne les éventuelles obligations de notification et d'information du donneur d'ordre conformément aux articles 33 et 34 du RGPD, les dispositions suivantes s'appliquent : Le contractant est tenu (i) d'informer le client sans délai de toute violation de la protection des données à caractère personnel et (ii), en cas de violation de ce type, de lui apporter, si nécessaire, un soutien approprié dans le cadre de ses obligations au titre des articles 33 et 34 du RGPD (article 28, paragraphe 3, deuxième phrase, point f) du RGPD). Le sous-traitant ne peut procéder à des notifications selon les articles 33 ou 34 du RGPD (notifications et avis en cas de violation de la protection des données à caractère personnel) pour le compte du client qu'après avoir reçu des instructions préalables conformément au point 3 du présent accord.

8.3) Dans la mesure où le client a des obligations de notification ou de communication en cas d'incident de sécurité chez le client, le contractant s'engage à soutenir le client.

12.Responsabilité
Les dispositions légales de l'article 82 du RGPD s'appliquent à la responsabilité dans les relations extérieures.

Bonn, le 02.05.2022
Lieu, date, signature du donneur d'ordre Papoo Software & Media GmbH
Dr. Carsten Euwens, gérant

Mesures mises en œuvre par Papoo Software & Media GmbH pour empêcher l'accès de personnes non autorisées aux systèmes de traitement des données :

2.Garantie de l'intégrité
Mesures de protection contre le traitement non autorisé ou illégal, la destruction ou les dommages accidentels.

4.Garantie de la disponibilité
Mesures garantissant que les données à caractère personnel sont protégées contre une destruction ou une perte accidentelle :
- Utilisation de logiciels standard contrôlés et validés de manière centralisée et provenant de sources sûres
- Exécution régulière de sauvegardes de données ou utilisation de procédures de mise en miroir
- La mise hors service du matériel informatique (en particulier des serveurs) a lieu après un contrôle des supports de données utilisés dans ce matériel et, le cas échéant, après une vérification de la sécurité des données. après avoir sauvegardé les données pertinentes
- Alimentation électrique sans coupure (UPS) dans la salle des serveurs
- Conservation séparée des données collectées à des fins différentes
- Architecture antivirus et pare-feu à plusieurs niveaux
- Plan d'urgence (plan d'urgence pour les atteintes à la sécurité et à la protection des données avec instructions d'action concrètes)
- Système d'alerte précoce en cas d'incendie/d'eau et de température dans les salles des serveurs
- Portes coupe-feu

5.Procédure de rétablissement de la disponibilité des données à caractère personnel après un incident physique ou technique
Pour garantir la possibilité de rétablissement, il faut d'une part des sauvegardes suffisantes, mais aussi des plans de mesures permettant de rétablir l'exploitation en cours dans le sens de scénarios de catastrophe.
Les mesures suivantes sont prises à cet effet, en partie par des sous-traitants OVH GmbH / Hetzner Online GmbH :
- Sauvegarde quotidienne de l'ensemble du serveur
- Accords de niveau de service (SLA) avec les prestataires de services
- Procédures de sauvegarde
- Redondance (p. ex. mise en miroir des disques durs)
- Pare-feu, IDS/IPS
- Protection contre les incendies et les eaux d'extinction
- Surveillance des alarmes
- Plans de panne, d'urgence et de rétablissement

6.Procédures de contrôle, d'appréciation et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles
Le contrôle, l'appréciation et l'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement sont effectués dans le cadre de la mise en œuvre de :
- révisions régulières du concept de sécurité
- informations sur les nouvelles vulnérabilités et autres facteurs de risque, révision de l'analyse et de l'évaluation des risques le cas échéant
- audits du délégué à la protection des données et du responsable de la sécurité de l'information, contrôles des processus par le biais de la gestion de la qualité.