.

Contratto di elaborazione ordini CCM19 / AVV

È inoltre possibile scaricare il testo sottostante in formato PDF . È sufficiente inviare il documento compilato a info@ccm19.de.

Accordo tra il cliente

e il

Papoo Software & Media GmbH
Produttore CCM19
Auguststr. 4
53229 Bonn
(di seguito "Contraente")

sul trattamento dei dati personali. Le definizioni contenute nelle CG o nella descrizione del servizio valgono anche per il presente Accordo sul trattamento dei dati DPA.


1.Oggetto e durata dell'incarico
1.1 Oggetto dell'incarico
Oggetto dell'accordo di elaborazione dell'incarico è l'esecuzione dei seguenti compiti da parte del Contraente in conformità alla descrizione del servizio nell'offerta: raccolta, amministrazione, documentazione e trasferimento del consenso degli utenti del Cliente al trattamento dei dati e, se del caso, altri servizi.
Il Contraente elabora i dati personali per il Cliente ai sensi dell'art. 4 n. 2 e dell'art. 28 GDPR sulla base delle CG.

1.2. durata dell'ordine
La durata del presente ordine (termine) corrisponde alla durata del contratto.

2.Contenuto del contratto
2.1 Ambito, tipo e scopo
L'ambito, il tipo e lo scopo della raccolta, dell'elaborazione e/o dell'utilizzo dei dati personali da parte del contraente per il cliente sono specificamente descritti nella descrizione del servizio nell'offerta.

2.2. tipo di dati
Oggetto della raccolta, del trattamento e/o dell'utilizzo dei dati personali sono i seguenti dati:
- Dati del cliente: Impostazioni e dati di login
- Dati dell'utente:
- Dati di consenso (ID di consenso, momento del consenso, opt-in. Opt-out, lingua del banner, impostazioni del cliente nel banner - Dati di consenso, modello)
- Dati del dispositivo (agente HTTP, referrer HTTP, pagina HTTP)
- Dati IP anonimizzati, indirizzo IP nel rollover di 24 ore nei file di log
- Quando si utilizzano statistiche estese o altri plugin statistici: dati del browser (versione)
2.3 Chi è interessato
Sono interessate le seguenti persone:
1. visitatori del sito web o utenti dell'app,
2. clienti / utenti registrati

3.Autorizzazione del cliente a impartire istruzioni / luogo di trattamento dei dati
3.1. I dati specificati saranno trattati solo nell'ambito degli accordi presi e in conformità alle istruzioni documentate del cliente (cfr. art. 28 par. 3 lett. a GDPR). Il committente si riserva il diritto di impartire istruzioni complete in merito al tipo, all'entità e alla procedura di trattamento dei dati nell'ambito della descrizione dell'ordine contenuta nel presente contratto, che può concretizzare attraverso singole istruzioni. Le modifiche all'oggetto del trattamento e le modifiche procedurali devono essere concordate e documentate. Eventuali spese aggiuntive sostenute sono a carico del committente. L'Appaltatore può fornire informazioni a terzi o all'interessato solo previo consenso scritto del Committente.

3.2. l'appaltatore tratterà i dati personali esclusivamente nell'ambito degli accordi presi e in conformità alle istruzioni del committente. Qualsiasi ulteriore trattamento è consentito solo nella
misura in cui l'Appaltatore è obbligato a trattare i dati in modo diverso ai sensi del diritto dell'Unione europea o degli Stati membri a cui l'Appaltatore è soggetto. In tal caso, l'Appaltatore dovrà informare il Cliente di tali obblighi legali prima del trattamento, a meno che la legge in questione non vieti tale notifica.

3.3. il Contraente deve informare immediatamente il Cliente ai sensi dell'art. 28 par. 3 comma 2 GDPR qualora ritenga che un'istruzione violi le norme sulla protezione dei dati. L'appaltatore ha il diritto di sospendere l'esecuzione dell'istruzione corrispondente fino alla conferma o alla modifica della stessa da parte del responsabile del trattamento presso il cliente. 4. Il trattamento dei dati del cliente non può essere effettuato in modo autonomo.

3.4. Il trattamento dei dati del cliente da parte dell'appaltatore avviene all'interno dell'UE. L'elaborazione e/o il trasferimento a un paese terzo al di fuori del territorio dell'UE o a un'organizzazione internazionale richiede il previo consenso scritto del Cliente. In tal caso, l'Appaltatore è inoltre tenuto a garantire un livello adeguato di protezione dei dati nel luogo di elaborazione dei dati, in conformità ai requisiti legali applicabili e alle interpretazioni giudiziarie e ufficiali degli stessi, oppure - a discrezione della Committente - a dare alla Committente la possibilità di garantire un livello adeguato di protezione dei dati, anche attraverso la stipula o l'adesione a clausole contrattuali standard dell'UE.

3.5 I destinatari delle istruzioni presso l'Appaltatore sono dipendenti della Società.

4.Riservatezza
L'Appaltatore garantisce che ai dipendenti coinvolti nel trattamento dei dati personali e alle altre persone che lavorano per l'Appaltatore è vietato trattare i dati personali al di fuori delle istruzioni. Inoltre, il Contraente garantisce che le persone autorizzate al trattamento dei dati personali si sono impegnate a mantenere la riservatezza o sono soggette a un adeguato obbligo di riservatezza previsto dalla legge. L'obbligo di riservatezza/segretezza rimane in vigore anche dopo la conclusione dell'ordine.

5. Misure tecniche e organizzative
5.1 Il Contraente deve progettare l'organizzazione interna nel suo settore di responsabilità in modo tale da soddisfare i requisiti speciali della protezione dei dati. Adotterà misure tecniche e organizzative adeguate per proteggere i dati personali del Cliente che soddisfino i requisiti dell'art. 32 del GDPR. In particolare, le misure tecniche e organizzative devono essere adottate in modo tale da garantire a lungo termine la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi connessi al trattamento dei dati. Tali misure tecniche e organizzative sono descritte nell'Allegato 1 del presente Contratto. L'Appaltatore è a conoscenza di tali misure tecniche e organizzative ed è responsabile di garantire che esse offrano un livello di protezione adeguato ai rischi dei dati da trattare.

5.2 Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, il contraente è autorizzato a implementare misure alternative adeguate. In questo modo, il livello di sicurezza delle misure specificate non può essere compromesso. Le modifiche significative devono essere documentate.

Il Dr. Carsten Euwens, 0228 2805668, è stato nominato responsabile della protezione dei dati dell'appaltatore. Il cliente deve essere informato immediatamente di qualsiasi cambiamento del responsabile della protezione dei dati.

6.Rapporti di subappalto
6.1 Il coinvolgimento e/o la modifica di subappaltatori da parte dell'Appaltatore è consentito solo con il consenso del Cliente. Il Cliente acconsente all'utilizzo di subappaltatori come segue:
6.1.1 Il Cliente acconsente all'utilizzo dei subappaltatori elencati nell'Allegato 2 del presente Contratto.

6.1.2 Il Cliente acconsente alla modifica o all'aggiunta di ulteriori subappaltatori se l'Appaltatore notifica per iscritto al rispettivo Cliente (è sufficiente l'e-mail) l'utilizzo o la modifica 1 mese / (30) giorni prima dell'inizio del trattamento dei dati. Il Cliente può opporsi all'utilizzo di un nuovo/cambiato subappaltatore. Se non viene presentata alcuna obiezione entro il termine stabilito, il consenso all'utilizzo o alla modifica si considera dato. Il cliente riconosce che in alcuni casi il servizio non può più essere fornito senza l'utilizzo di un determinato subappaltatore. In questi casi, ciascuna delle parti ha il diritto di recedere dal contratto senza preavviso.
Se l'obiezione è motivata da una ragione importante ai sensi della legge sulla protezione dei dati e non è possibile trovare una soluzione reciprocamente accettabile tra le parti, al cliente viene concesso un diritto speciale di recesso. Il Committente deve dichiarare per iscritto al Contraente la propria intenzione di recedere dal contratto entro una settimana dal mancato raggiungimento di una soluzione amichevole. L'Appaltatore può porre rimedio all'obiezione entro due settimane dal ricevimento della dichiarazione di intenti. Se non viene posto rimedio all'obiezione, il Committente può dichiarare una risoluzione speciale, che avrà effetto dal momento del ricevimento.

6.2. L'Appaltatore redige gli accordi contrattuali con il/i subappaltatore/i in modo tale che essi contengano gli stessi obblighi di protezione dei dati concordati nel presente ordine, tenendo conto del tipo e della portata del trattamento dei dati nell'ambito del subappalto. L'obbligo del subappaltatore deve essere redatto per iscritto o in formato elettronico.

6.3. I servizi che l'appaltatore utilizza da terzi come servizio accessorio per supportare l'esecuzione dell'ordine non devono essere intesi come rapporti di subappalto ai sensi della presente disposizione. Si tratta, ad esempio, di servizi di telecomunicazione, manutenzione e assistenza agli utenti di "sistemi non informatici", personale di pulizia o ispettori. Tuttavia, l'appaltatore è tenuto a stipulare accordi contrattuali adeguati e conformi alla legge e ad adottare misure di controllo per garantire la protezione e la sicurezza dei dati del cliente, anche nel caso di servizi accessori appaltati all'esterno.

7. Diritti degli interessati

7.(1) L'Appaltatore deve supportare il Cliente, nell'ambito delle sue possibilità, nell'adempimento delle richieste e dei reclami degli interessati in conformità al capitolo III del GDPR.

7.2) L'appaltatore si limita a fornire informazioni sui dati trattati per conto del cliente, a correggere o cancellare tali dati o a limitarne il trattamento in conformità alle istruzioni del cliente. Se una persona interessata si rivolge direttamente all'Appaltatore per ottenere informazioni, correggere o cancellare i propri dati o per limitare il trattamento dei dati, l'Appaltatore inoltrerà senza indugio tale richiesta al Cliente.

8.Obblighi di collaborazione dell'Appaltatore
8.1 L'Appaltatore sostiene la Committente nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR in materia di sicurezza dei dati personali, obblighi di comunicazione in caso di violazione dei dati, valutazioni d'impatto sulla protezione dei dati e consultazioni preventive.

8.2. Per quanto riguarda gli obblighi di comunicazione e notifica del cliente ai sensi dell'art. 33 e dell'art. 34 del GDPR, si applica quanto segue: L'Appaltatore è tenuto (i) a informare il Cliente senza indebito ritardo di qualsiasi violazione dei dati personali e (ii) in caso di tale violazione, a fornire un'assistenza ragionevole, se necessario, per gli obblighi di cui agli Artt. 33 e 34 GDPR (Art. 28 comma 3 frase 2 lit. f GDPR). Le notifiche ai sensi degli Artt. 33 o 34 GDPR (rapporti e notifiche in caso di violazione dei dati personali) per il Cliente possono essere eseguite dall'Appaltatore solo dopo aver ricevuto istruzioni preventive in conformità alla Sezione 3 del presente Contratto.

8.3. nella misura in cui il Cliente ha obblighi di notifica o di segnalazione in caso di incidente di sicurezza presso il Cliente, l'Appaltatore si impegna a supportare il Cliente.

9.Altri obblighi dell'Appaltatore
9.1 Nella misura in cui è richiesto dalla legge, l'Appaltatore deve nominare un responsabile della protezione dei dati che possa svolgere i suoi compiti in conformità con gli Art. 38 e 39 GDPR, §§ 38, 6 BDSG. Attualmente non si applica nessuna delle norme di legge che richiedono un responsabile della protezione dei dati. Tuttavia, questa attività è attualmente svolta dal Dr. Carsten Euwens.

9.2. l'appaltatore informerà immediatamente il cliente di qualsiasi azione di controllo e misura adottata dall'autorità di vigilanza ai sensi dell'art. 58 GDPR. Ciò vale anche nel caso in cui un'autorità competente indaghi sull'Appaltatore ai sensi dell'Art. 83 GDPR.

9.3. il Contraente garantisce l'attuazione del controllo dell'ordine mediante verifiche periodiche da parte del Contraente in merito all'esecuzione o all'adempimento del contratto, in particolare al rispetto e, se necessario, all'adeguamento delle norme e delle misure per l'esecuzione dell'ordine.

10.Diritti di informazione e di ispezione del committente
10.1 Il committente ha il diritto di richiedere le informazioni richieste ai sensi dell'art. 28 par. 3 h) GDPR per dimostrare l'osservanza degli obblighi concordati da parte del contraente e di effettuare ispezioni in accordo con il contraente o di farle effettuare da revisori da nominare in singoli casi. 2. Il contraente ha il diritto di richiedere le informazioni richieste ai sensi dell'art. 28 par. 3 h) GDPR per dimostrare l'osservanza degli obblighi concordati da parte del contraente.

10.2. Le parti concordano che l'Appaltatore ha il diritto di presentare alla Committente una documentazione significativa a riprova del rispetto degli obblighi e dell'attuazione delle misure tecniche e organizzative. La documentazione significativa può essere fornita presentando un certificato attuale o relazioni o estratti di relazioni di organismi indipendenti (ad es. revisore, audit, responsabile della protezione dei dati), oppure una certificazione adeguata attraverso un audit sulla sicurezza informatica o sulla protezione dei dati (ad es. in conformità alla norma ISO 27001) o una certificazione approvata dalle autorità di vigilanza competenti.

10.3. il diritto del cliente di effettuare ispezioni in loco non è pregiudicato. Tuttavia, il Committente valuterà se un'ispezione in loco sia ancora necessaria dopo la presentazione di una documentazione significativa, in particolare tenendo conto del mantenimento del corretto funzionamento dell'Appaltatore.

10.4. la Committente ha il diritto di accertarsi del rispetto del presente Contratto da parte dell'Appaltatore nell'ambito delle sue attività commerciali mediante controlli a campione, che di norma devono essere notificati in tempo utile. Il Contraente si impegna a fornire alla Committente, su richiesta, le informazioni necessarie per adempiere all'obbligo di controllo dell'ordine e a mettere a disposizione le relative prove.

11.Cancellazione dei dati e restituzione dei supporti dati
Al termine dei lavori contrattuali, l'Appaltatore deve, a sua discrezione, consegnare alla Committente o distruggere in conformità alle norme sulla protezione dei dati tutti i dati, i documenti e i risultati dell'elaborazione o dell'utilizzo che sono entrati in suo possesso o in possesso di subappaltatori in relazione al rapporto contrattuale. La prova deve essere fornita al cliente su richiesta.

12.Responsabilità
Per la responsabilità nel rapporto esterno valgono le disposizioni di legge ai sensi dell'art. 82 GDPR.

Bonn, 02.05.2022
Luogo, data, firma Cliente Papoo Software & Media GmbH
Dr Carsten Euwens, Amministratore delegato

Appendice 1 - Misure tecniche e organizzative/concetto di sicurezza di Papoo Software & Media GmbH
Le seguenti misure tecniche e organizzative sono state implementate dall'Appaltatore e concordate con il Cliente

1.Garantire la riservatezza
Le misure per l'attuazione del requisito della riservatezza includono misure per l'accesso, il controllo degli accessi e il controllo degli accessi. Le misure tecniche e organizzative adottate in questo contesto mirano a garantire un'adeguata sicurezza dei dati personali, compresa la protezione da un trattamento non autorizzato o illegale e dalla perdita, dalla distruzione o dal danneggiamento accidentali.

Misure attuate da Papoo Software & Media GmbH per impedire l'accesso non autorizzato ai sistemi di elaborazione dei dati:

- Accesso da parte dei dipendenti ai locali dell'ufficio solo con una chiave individuale
- Accesso da parte dei visitatori solo con accompagnamento individuale da parte di dipendenti adeguatamente autorizzati e solo alle aree di visita approvate.
- Login personale e individuale dell'utente al momento dell'accesso al sistema
- Procedura per la password (specificazione dei parametri della password in relazione alla complessità e all'intervallo di aggiornamento)
- Login aggiuntivo al sistema per determinate applicazioni - Login automatico per determinate applicazioniLogin per determinate applicazioni
- Blocco automatico dei client dopo un certo periodo di tempo senza attività da parte dell'utente (anche screen saver protetto da password o pausa automatica)
- Documentazione elettronica di tutte le password e crittografia di questa documentazione per proteggere dall'accesso non autorizzato
- Autenticazione a due fattori se tecnicamente possibile
- Aggiornamenti regolari del software
- Scansioni regolari delle vulnerabilità

I server sono ospitati da OVH GmbH a Francoforte, Germania, o da Hetzner Online GmbH a Gunzenhausen, Germania. Entrambi gli hoster garantiscono affidabilità e protezione contro l'accesso non autorizzato all'infrastruttura fisica. Le misure implementate dai subappaltatori possono essere visualizzate qui:
https://www.ovh.de/support/agb/Auftragsverarbeitungsvertrag.pdf
https://docs.hetzner.com/de/general/general-terms-and-conditions/data-privacy-faq/#auftragsverarbeitung

2.Garantire l'integrità di
Misure di protezione contro l'elaborazione non autorizzata o illegale, la distruzione o il danneggiamento accidentale.

2.1 Controllo dei trasferimenti
Misure volte a garantire che i dati personali non possano essere letti, copiati, alterati o rimossi da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o la conservazione su supporti di dati, e che sia possibile verificare e stabilire a quali organismi i dati personali sono destinati a essere trasmessi mediante apparecchiature di trasmissione dati:
- Crittografia della posta elettronica, se possibile
- Crittografia di CD/DVD-ROM, dischi rigidi esterni e/o laptop (~ directory)
- WLAN sicura
- Crittografia SSL/TLS
- Distruzione conforme alla protezione dei dati, dei supporti di dati e delle stampe
- Registrazione del trasferimento dei dati, se possibile
- VPN, se necessario o possibile possibile

2.2 Controllo dell'input
Misure che garantiscono la possibilità di verificare e determinare successivamente se, in quale momento e da chi i dati personali sono stati inseriti, modificati o rimossi nei sistemi di elaborazione dati:
- Progettazione di contratti legalmente conformi per il trattamento dei dati personali con i subappaltatori, con relativa regolamentazione dei meccanismi di controllo
- Ottenere dai fornitori di servizi autodichiarazioni in merito alle loro misure per implementare i requisiti di protezione dei dati
- Conferma scritta delle istruzioni verbali
- Registrazione e conservazione di registri appropriati delle azioni eseguite sui sistemi (ad esempio, file di log) come richiesto - Assicurarsi che i sistemi di elaborazione dei dati dei fornitori di servizi non siano utilizzati da terzi.
- Utilizzo di sistemi di registrazione e valutazione dei log
- Definizione delle persone autorizzate per la creazione di supporti dati e il trattamento dei dati

3.Misure per la pseudonimizzazione dei dati personali
La pseudonimizzazione è la sostituzione del nome e di altri elementi identificativi con un identificativo allo scopo di escludere o complicare notevolmente l'identificazione dell'interessato. Le misure relative alla pseudonimizzazione dei dati personali sono:
- Privacy-by-design
- Tutti gli ID di un utente (consentID, processorID, consentID) sono pseudonimizzati con un hash crittografico sha-256
- Un concetto di pseudonimizzazione è disponibile in forma di programma (compresa la definizione dei dati da sostituire; regole di pseudonimizzazione, descrizione della procedura, ecc.)

4.Garanzia di disponibilità
Misure per garantire la protezione dei dati personali contro la distruzione o la perdita accidentale:
- Utilizzo di software standard testato e approvato a livello centrale e proveniente da fonti sicure
- Backup regolari dei dati o utilizzo di procedure di mirroring
- La disattivazione dell'hardware (in particolare dei server) avviene dopo un controllo dei supporti di dati utilizzati e, se necessario, dopo il backup dei record di dati pertinenti. dopo il backup dei dati pertinenti
- Gruppo di continuità (UPS) nella sala server
- Archiviazione separata dei set di dati raccolti per scopi diversi
- Architettura di protezione antivirus e firewall a più livelli
- Pianificazione delle emergenze (piano di emergenza per le violazioni della sicurezza e della protezione dei dati con istruzioni specifiche per l'azione)
- Sistema di allarme antincendio/acqua e temperatura nelle sale server
- Porte antincendio

5.Procedure per il ripristino della disponibilità dei dati personali dopo un incidente fisico o tecnico
Per garantire la recuperabilità, sono necessari backup sufficienti e piani d'azione in grado di ripristinare le operazioni in corso in caso di scenari disastrosi.
A tal fine, vengono adottate le seguenti misure, in alcuni casi da parte dei subappaltatori OVH GmbH / Hetzner Online GmbH:
- Backup giornaliero dell'intero server
- Accordi sui livelli di servizio (SLA) con i fornitori di servizi
- Procedure di backup
- Ridondanza (ad es. mirroring dei dischi rigidi)
- Firewall, IDS/IPS
- Protezione antincendio e protezione dall'acqua di spegnimento
- Monitoraggio degli allarmi
- Piani per guasti, emergenze e ripristino

6.Procedure per il riesame, la valutazione e la verifica periodica dell'efficacia delle misure tecniche e organizzative
Il riesame, la valutazione e la verifica periodica dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento vengono effettuati nell'ambito dell'attuazione di:
- Revisioni periodiche del concetto di sicurezza
- Informazioni sulle vulnerabilità emergenti e su altri fattori di rischio, revisione dell'analisi e della valutazione dei rischi se necessario
- Audit da parte del responsabile della protezione dei dati e del responsabile della sicurezza delle informazioni, controlli dei processi da parte della gestione della qualità.

7. Garanzia del requisito di separazione
In tutte le aree vengono utilizzati sistemi multi-client capaci di isolare tutti i dati personali gli uni dagli altri. I dati sono separati logicamente e in alcuni casi fisicamente. Anche il sistema CCM19 è multi-client e multi-utente, il che garantisce la completa separazione dei dati personali utilizzati in ogni caso grazie alla divisione logica per utenti e ai concetti di autorizzazione.

Appendice 2 al contratto di elaborazione degli ordini AVV
Subappaltatori autorizzati

OVH GmbH
St. Johanner Str. 41-43
66111 Saarbrücken
Germania
Server in Germania
Hoster Sito web, servizio e database.

ALL-INKL.COM - Neue Medien Münnich
Proprietario: René Münnich
Hauptstraße 68 | D-02742 Friedersdorf
Posta elettronica e altri servizi di server

Telekom Deutschland GmbH
Landgrabenweg 151
53227 Bonn
Telefono / accesso a Internet

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9,
50829 Köln
Telefono / Accesso a Internet

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Germania
Hoster Sito web, servizio e database.

Smaltimento di apparecchi elettrici
bonnorange AöR
Lievelingsweg 110
53119 Bonn

Smaltimento di supporti di memorizzazione dati
Shred-it GmbH
Klausnerring 3,
85551 Kirchheim bei München