Try now

NACHTRAG DATENKONTROLLEUR

ERNENNUNG DES FÜR DIE DATENVERARBEITUNG VERANTWORTLICHEN

Der Nutzer (im Folgenden „Eigentümer“ oder „Kunde“ oder „Datenverantwortlicher“), durch ausdrückliche Annahme der Allgemeinen Geschäftsbedingungen von ErgoVox (im Folgenden „Anbieter“ oder der „Datenverarbeiter“), akzeptiert diesen Nachtrag zur Verarbeitung personenbezogener Daten, der einen integralen Bestandteil der Beziehung zwischen den Parteien darstellt.
Dieser Nachtrag wird gemäß Artikel 28 der Verordnung 679/2016 unterzeichnet und regelt die Art und Weise, in der der Datenverarbeiter personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
Data Controller und Data Processor können auch einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet werden.

WARUM.

  • Die von dem für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungen personenbezogener Daten sind in dem von dem für die Verarbeitung Verantwortlichen geführten Register der Verarbeitungen aufgeführt;
  • für einige Verarbeitungen nimmt der für die Verarbeitung Verantwortliche die Zusammenarbeit mit dem Lieferanten in Anspruch;
  • der Lieferant kann im Rahmen der Dienstleistungen, die er der verantwortlichen Stelle anbietet, die Verarbeitung personenbezogener Daten im Auftrag der verantwortlichen Stelle durchführen, wie dies in dem jeweiligen Vertrag näher ausgeführt wird;
  • der für die Datenverarbeitung Verantwortliche und der Anbieter haben einen Vertrag über die Bereitstellung eines integrierten Web- und Tablet-Dienstes zur Erstellung, Verwaltung und Versendung von Überprüfungsanträgen („Dienst“) unterzeichnet, dessen Bestandteil dieses Dokument ist;
  • in Bezug auf den vom Anbieter zur Verfügung gestellten Dienst kann dieser personenbezogene Daten verarbeiten, die dem Inhaber gehören, insbesondere allgemeine Daten (Vorname, Nachname, Kontaktangaben) der Endkunden des Inhabers;
  • der Zweck der Verarbeitung ist die Bereitstellung einer technischen Lösung, die es dem Inhaber ermöglicht, den Service zu nutzen;
  • gemäß Artikel 28.1 der Verordnung (EU) 2016/679, General Data Protection Regulation (nachfolgend „GDPR“), „wenn eine Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden soll, darf dieser nur Datenverantwortliche einsetzen.“
  • der für die Verarbeitung Verantwortliche hat sich vergewissert, dass der Anbieter, wiederum gemäß Artikel 28.1 der DSGVO, „hinreichende Garantien bietet, um geeignete technische und organisatorische Maßnahmen zu treffen, damit die Verarbeitung den Anforderungen der Verordnung entspricht und den Schutz der Rechte der betroffenen Person gewährleistet.“

Der für die Datenverarbeitung Verantwortliche ernennt den Anbieter zum „VERANTWORTLICHEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN“ (im Folgenden auch einfach „Verarbeiter“ oder „Prozessor“) in Bezug auf die personenbezogenen Daten, die der Anbieter bei der Ausübung seiner Tätigkeit verarbeiten darf und die ihm in Zukunft anvertraut werden können.

In Übereinstimmung mit dem GDPR wird die Tätigkeit des Auftragsverarbeiters wie folgt geregelt:

  1. DAUER.

Diese Beauftragung gilt für die Dauer der Beziehung zwischen dem Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen und gilt im Falle einer Beendigung derselben automatisch als widerrufen.

  1. ZWECK DER VERARBEITUNG.

Die Daten, die dem Verwalter im Rahmen der ihm für die Nutzung des Dienstes anvertrauten Tätigkeiten anvertraut werden, dürfen nur für die Zwecke verarbeitet werden, die in dem erteilten Auftrag und/oder in dem mit dem Eigentümer geschlossenen Vertrag angegeben sind.
Insbesondere werden die Daten vom Anbieter nur zu dem Zweck verarbeitet, die Erbringung des Dienstes für den Eigentümer zu gewährleisten, der in jedem Fall die einzige Stelle bleibt, die verpflichtet ist, dem Endkunden die Zwecke mitzuteilen und die Zustimmung zur Verarbeitung sowie zur Weitergabe der Daten an Dritte einzuholen.

  1. METHODEN DER VERARBEITUNG.

Die Daten können je nach den durchgeführten Aktivitäten auf Papier oder digitalen Medien verarbeitet werden, vorausgesetzt, dass die Hilfsmittel vom Verwalter ordnungsgemäß identifiziert und inventarisiert und dem Eigentümer systematisch zur Genehmigung mitgeteilt werden.
Die Daten werden insbesondere mit Hilfe folgender Mittel verarbeitet ErgoVox Software-Plattform.

  1. PFLICHTEN UND AUFGABEN DER VERANTWORTLICHEN PERSON.

Der Datenverarbeiter verpflichtet sich, wie in Artikel 28 des GDPR festgelegt, dazu:

(a) die anvertrauten personenbezogenen Daten nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen zu verarbeiten, auch im Falle der Übermittlung personenbezogener Daten in ein Drittland, sofern gesetzlich nichts anderes vorgesehen ist.
In diesem Fall ist die verantwortliche Stelle weiterhin verpflichtet, den für die Verarbeitung Verantwortlichen zu informieren;

(b) sicherzustellen, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder eine entsprechende gesetzliche Verpflichtung zur Vertraulichkeit haben.
Zu diesem Zweck muss die verantwortliche Partei regelmäßig überprüfen, dass die verantwortlichen Personen:
(i) die Verarbeitung auf rechtmäßige und korrekte Weise und ausschließlich zum Zweck der Erbringung der unter das Vertragsverhältnis zwischen den Parteien fallenden Dienstleistungen durchführen;
(ii) personenbezogene Daten ausschließlich für Zwecke verarbeiten, die mit den ihnen übertragenen Aufgaben verbunden sind;
(iii) personenbezogene Daten nicht ohne vorherige Genehmigung des Data Controllers weitergeben oder verbreiten;
(iv) im Falle einer auch nur vorübergehenden Arbeitsunterbrechung zu überprüfen, dass die verarbeiteten personenbezogenen Daten nicht für unbefugte Dritte zugänglich sind;
(v) die Authentifizierungsdaten streng vertraulich zu behandeln und zu schützen;
(vi) die vom Data Controller und/oder dem Data Controller geforderten Sicherheitsmaßnahmen einzuhalten;

(c) eine angemessene und nachweisliche Schulung der zur Verarbeitung befugten Personen gemäß Artikel 29 der DSGVO zu gewährleisten;

(d) gemäß Artikel 32 der DSGVO alle geeigneten technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wobei der Stand der Technik und die Kosten der Umsetzung sowie die Art, der Gegenstand, der Kontext und die Zwecke der Verarbeitung sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind, um das Risiko der Zerstörung oder des Verlusts, einschließlich des zufälligen Verlusts der Daten selbst, des unbefugten Zugriffs oder einer nicht zulässigen oder nicht dem Zweck der Erhebung entsprechenden Verarbeitung zu minimieren

e) den für die Verarbeitung Verantwortlichen gemäß Artikel 28 GDPR zu informieren, wenn es notwendig ist, einen anderen Datenverarbeiter einzusetzen;

f) Unterstützung des für die Verarbeitung Verantwortlichen bei der Erfüllung der rechtlichen Verpflichtungen gemäß Artikel 32 (Sicherheit der Verarbeitung), 33 (Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde), 34 (Meldung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person), 35 (Datenschutz-Folgenabschätzung), 36 (vorherige Konsultation), wobei die Art der Verarbeitung und die dem für die Verarbeitung Verantwortlichen zur Verfügung stehenden Informationen berücksichtigt werden.

g) für die Aktualisierung, Änderung, Berichtigung personenbezogener Daten zu sorgen, wenn dies im Zusammenhang mit den Zwecken der Verarbeitung erforderlich ist, und auf Verlangen des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten und vorhandenen Kopien, über die der Verantwortliche verfügt, ohne Kopien aufbewahren zu können, unverzüglich zu löschen oder zurückzugeben, es sei denn, es wurde ausdrücklich etwas anderes vereinbart oder es ist gesetzlich vorgeschrieben.
In jedem Fall löschen und/oder vernichten Sie, wie gesetzlich vorgeschrieben (z.B. „wiping“ bei digitalen Daten), personenbezogene Daten, wenn die Zwecke, für die die Daten erhoben und verarbeitet wurden, erfüllt sind, ohne dass eine gesetzliche Verpflichtung oder die Notwendigkeit einer weiteren Aufbewahrung besteht;

h) dem für die Verarbeitung Verantwortlichen die Ausübung der Kontrollbefugnis gemäß Artikel 28 DSGVO zu ermöglichen: in diesem Zusammenhang dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der Verpflichtungen dieses Nachtrags und die Einhaltung der gesetzlichen Verpflichtungen nachzuweisen, und Überprüfungsmaßnahmen (Audit) zuzulassen, die vom für die Verarbeitung Verantwortlichen oder von Dritten im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden, um die Einhaltung dieser Datenverarbeitungsmethoden und die Einhaltung der gesetzlichen Anforderungen zu überprüfen.
Der für die Verarbeitung Verantwortliche hat das Recht, mit einer Vorankündigung von mindestens 20 (zwanzig) Arbeitstagen auch in den Räumlichkeiten des für die Verarbeitung Verantwortlichen zu überprüfen, ob die von diesem angewandten Verfahren mit dem übereinstimmen, was in diesem Nachtrag angegeben oder gesetzlich vorgeschrieben ist;

i) sich verpflichten, die Allgemeine Vorschrift des Garanten für den Schutz personenbezogener Daten vom 27. November 2008 „Maßnahmen und Zweckmäßigkeiten, die den Inhabern von mit elektronischen Instrumenten durchgeführten Datenverarbeitungen in Bezug auf die Zuweisung der Funktionen des Systemadministrators vorgeschrieben sind“ in der Fassung der Anordnung des Garanten vom 25. Juni, 2009 „Änderungen der Verordnung vom 27. November 2008 über Vorschriften für die Inhaber von Datenverarbeitungen, die mit elektronischen Hilfsmitteln durchgeführt werden, in Bezug auf die Zuweisung der Funktionen eines Systemadministrators und die Verlängerung der Fristen für deren Erfüllung“, geändert oder ersetzt durch denselben Garantiegeber, sowie alle anderen relevanten Maßnahmen der Behörde;

j) im Hinblick auf die genaue Anwendung des Gesetzes zusammenzuarbeiten, auch im Rahmen regelmäßiger Treffen, und im Rahmen und in den Grenzen ihrer Aufgaben eigenständig zu handeln, jedoch stets im Einklang mit den vom für die Verarbeitung Verantwortlichen festgelegten Weisungen.

  1. ÜBERWACHUNG.

Der für die Datenverarbeitung Verantwortliche kann die pünktliche Einhaltung der hierin enthaltenen Anweisungen an den Datenverarbeiter überwachen und überprüft die Einhaltung der Anforderungen an Erfahrung, Kapazität und Zuverlässigkeit, die die Benennung des Datenverarbeiters beeinflusst haben.

  1. VERLETZUNG.

Der Auftragsverarbeiter wird hiermit darauf hingewiesen, dass er als für die Verarbeitung Verantwortlicher angesehen wird, wenn er gegen die gesetzlichen Bestimmungen verstößt, indem er die Zwecke und Mittel der Verarbeitung eigenständig festlegt oder die vom Verantwortlichen erhaltenen Anweisungen missachtet;

  1. UNTERSTÜTZUNG DES FÜR DIE VERARBEITUNG VERANTWORTLICHEN IM FALLE EINES VERSTOSSES.

Im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichtet sich der Anbieter, den für die Verarbeitung Verantwortlichen unverzüglich ab dem Zeitpunkt zu informieren, an dem er von der Verletzung Kenntnis erlangt.
Der Anbieter unterstützt den Inhaber, indem er eine vorläufige Analyse einleitet, die darauf abzielt, Daten über die Anomalie zu sammeln und ein Ereignisblatt zu erstellen, das alle gesammelten und zu diesem Zeitpunkt verfügbaren Informationen enthält, wie z.B.:

  • Datum des Ereignisses, auch das mutmaßliche Datum des Auftretens des Verstoßes (in diesem Fall sollte es angegeben werden)
  • Datum und Uhrzeit, zu der Sie von dem Verstoß erfahren haben;
  • Quelle der Berichterstattung;
  • Art des Verstoßes und betroffene Informationen;
  • Beschreibung des abnormalen Ereignisses;
  • Anzahl der betroffenen Personen;
  • Die Anzahl der persönlichen Daten, die angeblich verletzt wurden;
  • Angabe des Datums, einschließlich des angeblichen Datums, des Verstoßes und wann er bekannt wurde Kenntnis;
  • Angabe des Ortes, an dem die Datenverletzung stattgefunden hat, sowie die Angabe, ob sie stattgefunden hat als Folge des Verlusts von Geräten oder tragbaren Datenträgern aufgetreten ist;
  • Kurze Beschreibung der betroffenen Datenverarbeitungs- oder Speichersysteme mit Angabe ihres Standorts.
  1. VERTRAULICHKEIT.

Der Auftragsverarbeiter verpflichtet sich, alle Informationen über die andere Partei und/oder die an der Verarbeitung personenbezogener Daten beteiligten Personen und/oder Produkte, Dienstleistungen, Organisation, Geschäfts- oder technische Strategie, die er von der anderen Partei erhalten hat oder von denen er während der Ausführung des Vertrages im Zusammenhang mit der Dienstleistung Kenntnis erlangt hat (im Folgenden „vertrauliche Informationen“ genannt), streng vertraulich zu behandeln und nur für die Erfüllung der Verpflichtungen aus dem Vertrag zu verwenden.
Die verantwortliche Partei verpflichtet sich, die vertraulichen Informationen nicht außerhalb der in diesem Vertrag vorgesehenen Zwecke zu verwenden oder sie ohne die schriftliche Zustimmung des Eigentümers an nicht in diesem Vertrag vorgesehene Parteien weiterzugeben.
Der Verwalter ergreift alle erforderlichen Maßnahmen, um die vertraulichen Informationen des Eigentümers und/oder interessierter Parteien nicht an Dritte weiterzugeben oder ihnen in irgendeiner Weise zugänglich zu machen, und haftet in jedem Fall direkt gegenüber dem Eigentümer für jede Verletzung der in diesem Artikel festgelegten Vertraulichkeitsverpflichtungen durch seine Mitarbeiter und/oder Subunternehmer.
Die Bestimmungen dieses Artikels gelten nicht bzw. finden keine Anwendung auf einzelne Informationen, von denen der Controller nachweisen kann:
(i) bereits aus anderen Gründen als der Verletzung durch den für die Verarbeitung Verantwortlichen selbst öffentlich bekannt geworden sind;
(ii) bereits bekannt waren, bevor sie bei dem für die Verarbeitung Verantwortlichen eingegangen sind;
(iii) in Befolgung einer rechtmäßigen behördlichen Anordnung oder aufgrund einer gesetzlichen Verpflichtung offengelegt oder weitergegeben wurden.
Offengelegte vertrauliche Informationen bleiben Eigentum des Data Controllers.
Auf schriftliches Ersuchen des Eigentümers selbst werden diese Informationen von der verantwortlichen Partei zurückgegeben oder vernichtet.

  1. ÄNDERUNGEN UND ERGÄNZUNGEN.

Die Parteien haben das Recht, jederzeit die erforderlichen Änderungen und Anpassungen an diesem Vertrag vorzunehmen, auch um regulatorische Aktualisierungen zu erfüllen.
Änderungswünsche werden dem Manager per Einschreiben mit Rückschein oder per zertifizierter E-Mail mitgeteilt.
Nach dem oben genannten Änderungsantrag hat der Manager 60 Tage Zeit, um von der Vereinbarung zurückzutreten.
Nach Ablauf dieser Frist gelten die Änderungen als vom Auftragsverarbeiter akzeptiert.
Für alles, was in dieser Vereinbarung nicht ausdrücklich vorgesehen ist, verweisen wir auf die geltenden allgemeinen Bestimmungen zum Schutz personenbezogener Daten.

  1. GELTENDE GESETZE.

Im Falle von Streitigkeiten über die Gültigkeit, Auslegung, Erfüllung und Beendigung dieses Nachtrags verpflichten sich die Parteien, eine faire und gütliche Einigung untereinander anzustreben.
Sollte die Streitigkeit nicht gütlich beigelegt werden können, fällt sie in die ausschließliche Zuständigkeit der Justizbehörde des Gerichtshofs von Rom.
Für die Beilegung von Streitigkeiten über die Gültigkeit, Auslegung, Ausführung und Beendigung dieses Vertrags gilt italienisches Recht.

Es wird davon ausgegangen, dass diese Bestellung kein Recht des Lieferanten auf eine bestimmte Entschädigung und/oder Entschädigung und/oder Erstattung aus dieser Bestellung impliziert, die über das hinausgeht, was bereits in den Allgemeinen Geschäftsbedingungen vorgesehen ist.