Accordo

tra

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 Monaco

- successivamente indicata con il termine "commissionario" o "responsabile del trattamento dei dati" -

nei confronti dei suoi clienti

- successivamente indicati con il termine "committente" -

Nota

Il presente documento contiene condizioni del commissionario relative all'accordo per il trattamento dei dati tra il committente e il commissionario ai sensi dell'art. 28 cpv. 3 RGPD. Il committente dichiara di essere d'accordo con queste condizioni nell'ambito della stipula di un contratto di utilizzo attraverso servizi online o informativi di altro genere del commissionario (l'"accordo di prestazione") o, nel caso in cui esista già un accordo del genere, nell'ambito di una dichiarazione successiva.

1) Oggetto e durata dell'ordine

(1) Oggetto

L'oggetto dell'ordine sul trattamento dei dati risulta dall'accordo di prestazione sottostante.

(2) Durata

La durata del presente ordine (durata di validità) corrisponde a quella dell'accordo di prestazione sottostante.

2) Concretizzazione del contenuto dell'ordine

(1) Tipo e scopo del trattamento dei dati previsto
L'ordine comprende i seguenti tipi di trattamento:

  1. Trattamento dei dati personali inseriti dal committente nell'ambito dell'utilizzo dei rispettivi servizi online e informativi di altro tipo che devono essere trattati dal commissionario per la messa a disposizione delle funzioni del prodotto. .
  2. Trattamento dei dati personali per i quali non si può escludere la possibilità di accesso da parte del commissionario nell'ambito di altre attività.
    • Da una parte, è possibile l'accesso ai dati personali di cui alla lettera a) nell'ambito delle valutazioni del commissionario, in particolare per quanto riguarda l'analisi delle funzionalità del prodotto ai fini dell'ottimizzazione del prodotto e della misurazione del successo e dell'utilizzo. In questo caso, i dati interessati dall'ordine non fanno parte della valutazione e saranno rimossi o pseudonimizzati/resi anonimi dal commissionario
    • Dall'altra parte, nell'ambito dei servizi di manutenzione e/o di supporto, è possibile che il committente abbia accesso ad altri dati personali memorizzati a livello locale.
  3. Inoltre, può essere necessario che il commissionario inoltri il FIN al server del rispettivo produttore ai fini dell'interrogazione dei componenti per il FIN. Il produttore integra il FIN con alcuni dati necessari per le informazioni sui componenti e lo restituisce al commissionario. Il produttore elabora il FIN anche per i propri scopi ed è quindi un responsabile indipendente ai sensi dell'RGPD. Il committente consente al commissionario di inoltrare il FIN al produttore a tale scopo.

(2) Tipologia di dati

Sono oggetto del trattamento dei dati personali le seguenti tipologie/categorie di dati (elenco/descrizione delle categorie di dati):

  • numeri identificativi dei veicoli (FIN) e/o targhe veicoli registrati dal committente nel servizio online,
  • dati personali dei clienti finali registrati dal committente nel servizio online, tra cui in particolare:
    • dati di indirizzo nell'ambito dell'ordine di pezzi di ricambio
    • indirizzi e-mail per l'invio di pagine immagini-testo
  • dati del cliente registrati nel servizio online dal cliente finale durante la fase di registrazione e
  • dati del cliente salvati a livello locale dal committente (nell'ambito della manutenzione remota da parte del servizio di assistenza clienti)
    • dati personali principali
    • dati per le comunicazioni (ad es. telefono, e-mail)

(3) Categorie di persone interessate

Le categorie delle persone interessate dal trattamento dei dati comprendono:

  • i clienti finali del committente

(4) Il commissionario si riserva il diritto di rendere anonimi o di aggregare i dati del committente in modo che non sia più possibile identificare i singoli soggetti interessati e di utilizzarli in questa forma per la definizione basata sulle esigenze, sull'ulteriore sviluppo, sull'ottimizzazione e sull'erogazione del servizio concordato ai sensi del contratto principale. Le parti convengono che i dati del committente resi anonimi o aggregati come sopra descritto non saranno più considerati dati del committente ai sensi del presente contratto.

(5) Il commissionario può elaborare e utilizzare i dati del committente per i propri scopi sotto la propria responsabilità nell'ambito di quanto consentito dalla legge sulla protezione dei dati, se ciò è consentito da un regolamento di autorizzazione legale o da una dichiarazione di consenso dell'interessato. Il presente contratto non si applica a tali tipologie di trattamento dei dati.

3. Luogo del trattamento dei dati

Il trattamento dei dati contrattualmente pattuito ha luogo principalmente in Germania o in uno stato membro dell'Unione Europea o in un altro stato contrattuale dell'Accordo sullo Spazio economico europeo. Se i dati vengono trattati da un sub-commissionario anche in un paese terzo, ciò avviene esclusivamente previo adempimento delle condizioni speciali degli artt. 44 e segg. RGPD.

4. Misure tecnico-organizzative

(1) Il commissionario documenta l'implementazione delle misure tecniche e organizzative necessarie che sono state illustrate in previsione del conferimento dell'ordine, in particolare, riguardo all'esecuzione materiale dell'ordine e mette a disposizione del committente questa documentazione insieme alla presente dichiarazione per finalità di controllo. All'accettazione da parte del committente le misure documentate diventano il fondamento dell'ordine. In caso contrario, le parti non raggiungeranno alcun accordo di prestazione.

(2) Il commissionario stabilirà la sicurezza ai sensi degli art. 28 cpv. 3 lett. C e 32 RGPD, in particolare, in combinato disposto con l'art. 5 cpv. 1 e 2 RGPD. Nel complesso le misure da adottare riguardano la sicurezza dei dati e la garanzia di un livello di protezione adeguato al rischio relativamente alla riservatezza, all'integrità, alla disponibilità e al limite d'impiego dei sistemi. Il commissionario prende in considerazione lo stato della tecnica, i costi di implementazione e il tipo, l'entità e gli scopi del trattamento dei dati così come la diversa probabilità di intervento e la gravità del rischio per i diritti e le libertà delle persone fisiche ai sensi dell'art. 32 cpv. 1 RGPD [i particolari sono indicati nell'allegato 1].

(3) Le misure tecniche ed organizzative sono soggette al progresso tecnico e allo sviluppo ulteriore. Al riguardo al concessionario è consentito implementare misure alternative adeguate. Il cui livello di sicurezza non potrà essere inferiore a quello delle misure prestabilite. Il concessionario documenterà modifiche di carattere essenziale.

5. Correzione, limitazione e cancellazione dei dati

(1) Il commissionario si asterrà dal correggere, cancellare i dati o restringerne il trattamento di propria volontà e potrà procedere in tal senso soltanto dietro istruzioni documentate del committente. Se una persona interessata si rivolge direttamente al commissionario a tale riguardo, quest'ultimo provvederà immediatamente ad inoltrare la richiesta al committente.

(2) Se previsto dall'entità della prestazione, il commissionario garantirà direttamente la soluzione di cancellazione, il diritto all'oblio, la correzione, la portabilità dei dati e le informazioni secondo le istruzioni documentate del committente. Le istruzioni singole che derogano dall'accordo di prestazione o che stabiliscono requisiti supplementari, necessitano del previo consenso del commissionario. A tale proposito si deve tenere conto che i servizi online forniti dal commissionario sono prodotti standard il cui adeguamento ai requisiti previsti dalla normativa sulla protezione dei dati del committente può causare spese ingenti che, in base ad un relativo accordo individuale, dovranno essere sostenute per intero dal committente stesso.

6. Garanzia di qualità e altri obblighi del commissionario

Oltre al rispetto delle norme del presente ordine sul commissionario gravano gli obblighi legali previsti dagli art. 28 - 33 RGPD; in tal senso, egli garantisce, in particolare, il rispetto delle seguenti disposizioni:

  1. ordine scritto di un responsabile della protezione dei dati che esercita la propria attività ai sensi degli art. 38 e 39 RGPD i cui dati di contatto vengono comunicati al committente per stabilire un contatto diretto. La sostituzione del responsabile della protezione dei dati dovrà essere comunicata immediatamente al committente.
  2. La tutela della riservatezza secondo gli art. 28 cpv. 3 pag. 2 lett. b, 29, 32 cpv. 4 RGPD. Per lo svolgimento dei lavori il commissionario impiega unicamente personale soggetto all'obbligo di riservatezza e che in precedenza ha acquisito familiarità con le norme rilevanti in materia di protezione dei dati. Il commissionario e tutte le persone a lui sottoposte che hanno accesso ai dati personali possono trattare questi dati esclusivamente in conformità alle istruzioni del committente incluso i poteri concessi nel presente contratto a meno che non siano tenuti al trattamento dei dati per legge.
  3. L'implementazione e il rispetto di tutte le misure tecniche ed organizzative necessarie per questo ordine in conformità agli art. 28 cpv. 3 pag. 2 lett. C, 32 RGPD [i particolari sono indicati nell'Allegato 1].
  4. Il committente e il commissionario collaborano su richiesta con l'autorità di vigilanza per l'adempimento dei propri compiti.
  5. La comunicazione immediata del committente sugli interventi di controllo e sulle misure dell'autorità di vigilanza se si riferiscono al presente incarico. Quanto sopra si applica anche nel caso in cui un ente competente, nell'ambito di un procedimento per infrazione o penale in riferimento al trattamento dei dati personali, per l'evasione dell'ordine faccia delle indagini presso il commissionario.
  6. Se il committente a sua volta è soggetto ad un controllo dell'ente di vigilanza, ad un procedimento per infrazione o penale, alla rivendicazione di responsabilità di una persona interessata o di un terzo o ad un altro diritto in relazione all'evasione dell'ordine per il commissionario, quest'ultimo lo aiuterà al meglio delle sue possibilità.
  7. Il commissionario controlla regolarmente i processi interni e le misure tecniche ed organizzative per garantire che il trattamento dei dati rientri nell'ambito di responsabilità in conformità ai requisiti del diritto vigente in materia di protezione dei dati e che venga garantita la tutela dei diritti della persona interessata.
  8. Tracciabilità delle misure tecniche ed organizzative nei confronti del committente nell'ambito del suo potere di controllo ai sensi del punto 7 del presente contratto.

7. Rapporti di subappalto

(1) Come rapporti di subappalto ai sensi del presente regolamento si intendono i servizi che si riferiscono direttamente alla fornitura della prestazione principale. Non rientrano tra questi le prestazioni accessorie di cui il commissionario usufruisce quali, ad es., servizi di telecomunicazione, servizi postali e di trasporto, di manutenzione e assistenza all'utente o lo smaltimento di supporti dati nonché altre misure a garanzia della riservatezza, disponibilità, integrità e limite d'impiego dell'hardware e del software delle attrezzature informatiche. Il commissionario è tenuto però a stipulare accordi contrattuali legittimi e adeguati nonché ad adottare misure di controllo a garanzia della protezione e della sicurezza dei dati del committente anche in caso di prestazione accessorie esternalizzate.

(2) Il committente concede al commissionario l'autorizzazione generale a coinvolgere altri responsabili del trattamento dei dati. .

Il committente acconsente all'assegnazione dell'incarico ai seguenti sub-commissionari a condizione di un accordo contrattuale in conformità all'art. 28 cpv. 2-4 RGPD:

Ditta del sub-fornitore

Indirizzo / Stato

Prestazione

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 Monaco
GERMANIA

Messa a disposizione dell’intera funzione IT interna ed esterna

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Messa a disposizione dell'Assistenza Clienti

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, GIAPPONE

Messa a disposizione dell'Assistenza Clienti

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Messa a disposizione dell'Assistenza Clienti

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCIA

Messa a disposizione dell'Assistenza Clienti

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, San Paolo, BRASILE

Messa a disposizione dell'Assistenza Clienti

Element1 Media GmbH

Rüdesheimer Str. 21
80686 Monaco
GERMANIA

Trattamento dei dati cliente immessi in fase di registrazione

La sostituzione del sub-commissionario esistente è ammesso a condizione che:

  • il commissionario comunichi con un adeguato preavviso in forma scritta o testuale tale esternalizzazione a sub-commissionari,
  • il committente, fino alla consegna dei dati, non si opponga al commissionario in forma scritta o testuale contro la prevista esternalizzazione e
  • venga posto a base di ciò un accordo contrattuale, ovvero una dichiarazione vincolante, in conformità all'art. 28 cpv. 2-4 RGPD.

(3) L'inoltro dei dati personali del committente al sub-commissionario e la prima attività in assoluto di quest'ultimo sono ammessi soltanto se sussistono tutti i requisiti per un sub-appalto.

(4) Un'ulteriore esternalizzazione da parte di sub-commissionari necessita del consenso espresso del commissionario principale (almeno in forma testuale); tutte le norme previste dalla catena contrattuale devono essere imposte anche al sub-commissionario successivo.

8. Diritti di controllo del committente

(1) Il committente ha il diritto di eseguire delle verifiche d'intesa con il commissionario o di farle eseguire da un ispettore da designare caso per caso. Mediante controlli a campione da notificare per tempo e da eseguire durante il normale orario di lavoro senza che interferiscano con il ciclo di lavoro del commissionario e con il massimo riserbo sui suoi segreti aziendali e professionali, il committente ha il diritto di constatare che il commissionario, nello svolgimento della propria attività, rispetta il presente accordo.

(2) Il commissionario garantisce che il committente può constatare il rispetto degli obblighi del commissionario ai sensi dell'art. 28 RGPD. Il commissionario è tenuto a fornire al committente, su richiesta, le informazioni necessarie e, in particolare, a dimostrare l'adozione delle misure tecniche e organizzative. Normalmente il committente può eseguire un solo controllo in un anno solare; nel caso di eventi particolari, sono consentiti, però, ulteriori controlli.

(3) Il commissionario, a propria discrezione e nel rispetto degli obblighi di legge del committente, ha la facoltà di non rivelare informazioni che sono sensibili riguardo alle proprie attività o se, con la loro divulgazione, violerebbe gli obblighi di legge e contrattuali.

(4) A scelta del commissionario, la dimostrazione dell'adozione di tali misure non riguardanti unicamente l'incarico specifico può essere data invece che con un controllo sul posto con

  1. il rispetto delle norme contrattuali approvate ai sensi dell'art. 40 RGPD,
  2. la certificazione secondo un procedimento di certificazione autorizzato ai sensi dell'art. 42 RGPD,
  3. verbali, rapporti o estratti di rapporti rilasciati da enti autonomi (ad es. revisori dei conti, revisione, responsabile della protezione dei dati, reparto di sicurezza informatica, auditor per la protezione dei dati e/o per la qualità),
  4. una certificazione adeguata con un audit di sicurezza informatica o di protezione dei dati (ad es. secondo la protezione generale BSI).

Il presupposto di quanto sopra indicato è che questa misura permetta al committente di sincerarsi adeguatamente del rispetto delle misure tecniche ed organizzative in conformità all'allegato del presente accordo.

(5) Per permettere l'esecuzione dei controlli da parte del committente, il commissionario può far valere il diritto ad una remunerazione.

9. Comunicazione in caso di violazioni del commissionario

(1) Il commissionario offrirà il proprio aiuto al committente per il rispetto degli obblighi enunciati agli art. 32 - 36 RGPD per la sicurezza dei dati personali, degli obblighi di notifica in caso di violazione dei dati, per le analisi degli effetti della protezione dei dati e consultazioni precedenti. Tra gli obblighi suddetti rientrano, tra l'altro,

  1. L'assicurazione di un livello di protezione adeguato per mezzo di misure tecniche ed organizzative che tengano conto delle circostanze e delle finalità del trattamento dei dati nonché della probabilità prevista e della gravità di una possibile violazione del diritto per lacune nella sicurezza e che permettano un accertamento immediato di eventi di violazione rilevanti,
  2. l'obbligo di denunciare immediatamente al committente le violazioni di dati personali,
  3. l'obbligo di sostenere il committente nell'ambito del proprio dovere di fornire informazioni all'interessato e di mettergli immediatamente a disposizione tutte le informazioni rilevanti in tale contesto,
  4. il sostegno del committente per le proprie analisi degli effetti della protezione dei dati,
  5. il sostegno del committente nell'ambito di precedenti consultazioni con l'autorità di vigilanza.

10. Facoltà del committente di impartire istruzioni

(1) Il committente confermerà immediatamente (almeno in forma testuale) le istruzioni fornite verbalmente.

(2) Il commissionario informerà immediatamente il committente nel caso in cui ritenga che un'istruzione violi le norme in materia di protezione dei dati. Il commissionario è autorizzato a sottoporre l'esecuzione alla relativa istruzione fintanto che non viene confermata o modificata dal committente. Per le spese che ne conseguono il commissionario può far valere nei confronti del committente il diritto ad una remunerazione.

11. Cancellazione e restituzione dei dati personali

(1) Ad insaputa del committente non si producono né copie né duplicati dei dati. Sono escluse da questa norma copie di sicurezza se necessarie a garantire un corretto trattamento dei dati e i dati necessari per il rispetto degli obblighi di conservazione stabiliti dalla legge.

(2) Dopo la conclusione dei lavori contrattualmente pattuiti o prima, dopo la richiesta del committente, in ogni caso, al più tardi, al termine dell'accordo di prestazione, il commissionario deve consegnare al committente tutti i documenti in suo possesso, i risultati redatti in merito al trattamento e all'utilizzo e i dati correlati al rapporto dell'incarico o distruggerli previo consenso secondo le norme in materia di protezione dei dati. Lo stesso si applica al materiale per i test e di scarto. Il verbale di cancellazione dei dati deve essere presentato su richiesta.

(3) La documentazione a dimostrazione di un trattamento dei dati corretto e conforme all'incarico sarà conservata dal commissionario per il rispettivo periodo di conservazione oltre il termine del contratto. Il commissionario può esonerarsi da questo obbligo consegnandola al committente al termine del contratto.

1. Riservatezza (art. 32 (1) b) RGPD)

Controllo degli accessi

  • Tessere di autorizzazione
  • Schede con codice di accesso / transponder di accesso
  • Piano di autorizzazione accessi
  • Dispositivi di controllo (ad es. controllo tramite telecamere)
  • Norme relative all'uso di chiavi
  • Norme per terzi esterni all'azienda, tessere identificative per visitatori
  • Accompagnamento di visitatori da parte di propri collaboratori
  • Registrazioni delle presenze di visitatori
  • Messa in sicurezza anche al di fuori dell'orario di lavoro tramite impianto d'allarme e/o protezione dello stabilimento
  • Zone di sicurezza definite e accesso controllato
  • Accesso protetto per trasporti e consegne
  • Protezione delle porte (dispositivi elettrici di chiusura delle porte, lettori di tessere identificative, monitor TV, portiere)
  • Controllo da parte dei collaboratori (principio dei 4 occhi)
  • Misure di protezione dell'edificio (ad es. vetrate speciali, impianto di allarme, sorveglianza del perimetro aziendale)
  • Accesso protetto separatamente per il centro di calcolo
  • Conservazione dei server in locali chiusi a chiave
  • Conservazione dei supporti dati in locali dotati di serratura o chiusi a chiave
  • Conservazione di backup dati (ad es. nastri, CD) nella cassaforte
  • Disposizione relativa alla consegna delle chiavi
  • Altro/specifiche delle misure di cui sopra:

Controllo degli accessi

  • Codifica di reti
  • Chiusura a chiave di impianti per il trattamento dei dati
  • Identificazione di un utente in rapporto all'impianto per il trattamento dei dati
  • Assegnazione e messa in sicurezza di chiavi di identificazione
  • Messa in sicurezza di password di postazioni di lavoro dotate di schermo
  • Utilizzo funzionale e/o limitato nel tempo di computer delle postazioni di lavoro e proprietà di identificazione
  • Norme per l'autorizzazione degli utenti
  • Utilizzo di password personalizzate
  • Blocco automatico di account utenti dopo il ripetuto inserimento errato di password
  • Blocco automatico dello schermo con password a seguito di inattività (salvaschermo)
  • Disposizioni in materia di password con requisiti minimi per complessità della password e intervallo di aggiornamento
  • Hashing di password salvate
  • Processo per l'assegnazione di diritti all'inizio dell'attività di nuovi collaboratori
  • Processo per la revoca di diritti se un collaboratore cambia reparto
  • Processo per la revoca di diritti se un collaboratore lascia l'azienda
  • Obbligo alla riservatezza dei dati secondo l'art. 28 cpv. 3 lett. b RGPD
  • Disposizioni per l'organizzazione dei file
  • Redazione di protocolli e analisi dell'utilizzo del sistema
  • Distruzione controllata di supporti dati
  • Istruzioni di lavoro e procedura di elaborazione per il rilevamento dei dati
  • Procedura di verifica del programma e di approvazione
  • Altro/specifiche delle misure di cui sopra:

Controllo dell'accesso

  • Definizione di autorizzazione all'accesso, piano di autorizzazioni
  • Definizione del diritto all'immissione, modifica ed eliminazione di dati
  • Separazione di consenso all'autorizzazione (natura organizzativa) e
  • assegnazione dell'autorizzazione (natura tecnica)
  • Piano per l'utilizzo e la disposizione dei drive
  • Norme per il ripristino di dati da backup (chi,
  • quando, su richiesta di chi)
  • Verifica regolare delle autorizzazioni
  • Limitazione della possibilità libera e non controllata
  • di consultazione di banche dati
  • Analisi regolare di protocolli (file log)
  • Lettore di tessere identificative sul terminal
  • Possibilità di accesso parziale ai dati raccolti e alle funzioni (lettura, scrittura, esecuzione)
  • Redazione di protocolli di accessi, eliminazioni e modifiche dati
  • Scanner per software dannoso sui computer delle postazioni di lavoro
  • Filtro per software dannoso per il web
  • Filtro per software dannoso e spam per la posta elettronica
  • Firewall
  • Intrusion Detection/Prevention (IDS/IPS)
  • Accesso limitato ai dati di log (solo per amministratori log)
  • Salvataggio di dati di log su server di log dedicato
  • Altro/specifiche delle misure di cui sopra

Controllo della separazione

  • Separazione di clienti/committenti
  • Separazione di sistema di sviluppo, prova e produzione

2. Integrità (art. 32 (1) b) RGPD)

Controllo della trasmissione

  • Scambio dati sicuro (SFTP/FTPS)
  • Scambio dati tramite connessione HTTPS (TLS 1.1 e 1.2)
  • Definizione di autorizzazione alla trasmissione, piano di autorizzazioni
  • Controllo da parte di collaboratori (principio dei 4 occhi)
  • Accesso protetto per trasporti e consegne
  • Gestione di supporti dati, controllo dei dati raccolti
  • Definizione delle aree in cui devono trovarsi i supporti dati
  • Codifica di supporti dati riservati
  • Codifica di laptop
  • Conservazione di dati personali in armadi di sicurezza
  • dotati di chiusura a chiave
  • Divieto di portare borse e altri bagagli in aree di sicurezza
  • Cancellazione sicura di supporti dati (ad es. distruzione fisica, molteplice sovrascrittura)
  • Smaltimento sicuro della carta: contenitori chiusi in metallo (cosiddetti bidoni della spazzatura a garanzia della protezione dei dati)
  • Norme per la realizzazione di copie
  • Copie di backup di supporti dati che devono essere trasportati
  • Regolamenti in materia di imballaggio e spedizione
  • Ritiro diretto, servizio di corriere, accompagnamento del trasporto
  • Verifica di completezza e correttezza

Controllo dell'immissione

  • Contrassegno/classificazione dei dati rilevati
  • Definizione di autorizzazioni degli utenti (ruoli/profili)
  • Autorizzazioni differenziate degli utenti (lettura, modifica, eliminazione di dati, accesso parziale a dati e funzioni)
  • Definizione organizzativa di competenze di immissione
  • Redazione di protocolli di immissione/eliminazione dati
  • Norme sulla durata della conservazione per controllo/scopi di prova

3. Disponibilità e limiti d'impiego (art. 32 (1) b) RGPD)

Controllo della disponibilità

  • Piano di salvataggio dati e backup
  • Verifica regolare del piano di salvataggio dati e backup
  • Limitazione dell'accesso ai locali dei server al personale necessario
  • Impianti di segnalazione antincendio nei locali dei server
  • Impianti antincendio automatici nei locali dei server
  • Mezzi antincendio senza acqua (ad es. estintori a CO2) nei locali dei server
  • Locali dei server climatizzati
  • Protezione contro fulmini e sovratensioni
  • Alimentazione continua
  • Impianto elettrico di emergenza
  • Sensori di acqua nei locali dei server
  • Collocamento di sistemi di backup in locali separati e aree antincendio
  • Conservazione dei dati in armadi per la sicurezza dati, casseforti
  • Verifica regolare della possibilità di ripristino dei supporti di memoria per backup
  • Garanzia della leggibilità tecnica di supporti di memoria per backup per il futuro
  • Stoccaggio di supporti di memoria per backup nelle condizioni di stoccaggio necessarie (climatizzazione, necessità di protezione, ecc.)
  • Accordo per la trasmissione di backup (dati)
  • Analisi regolare dei punti deboli (protezione perimetro aziendale, protezione dell'edificio, penetrazione nelle reti e nei sistemi IT)
  • Sistema di salvataggio ridondante
  • Centri di calcolo alternativi

4. Ripristino della disponibilità e dell'accesso (art. 32 (1) c) RGPD)

  • Piano di crisi ed emergenza (ad es. acqua, incendio, esplosione, minaccia di attacchi, caduta, terremoto)

5. Verifica, giudizio e valutazione (art. 32 (1) d) RGPD; art. 25 (1) RGPD)

Procedimenti di controllo, analisi e valutazione regolari

  • Processo definito per la gestione della protezione dei dati
  • Processo definito per l'Incident Response Management
  • Impostazioni di riservatezza predefinite (art. 25 RGPD)

Controllo dell'ordine

  • Selezione del sub-commissionario dal punto di vista della scrupolosità (in particolare in materia di sicurezza dei dati)
  • Definizione del contratto in conformità ai requisiti di legge (art. 28 RGPD)
  • Rilevamento centrale dei sub-commissionari disponibili (gestione unitaria dei contratti)
  • Controlli preliminari sul posto presso il sub-commissionario prima dell'inizio del contratto
  • Controlli regolari sul posto presso il sub-commissionario dopo l'inizio del contratto (durante la durata del contratto)
  • Verifica del piano per la sicurezza dei dati presso il sub-commissionario
  • Visione dei certificati disponibili di sicurezza delle informazioni del sub-commissionario
  • Emissione di istruzioni per il miglioramento della protezione dei dati nei confronti del sub-commissionario
  • Vincolo dei collaboratori del sub-commissionario al rispetto delle norme in materia di protezione dei dati