Contrato

entre a

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 Munique

- doravante designada por "mandatário" ou "subcontratante" -

e o seu cliente

- doravante designado por "mandante" -

Nota

Este documento contém as condições do mandatário para a celebração do contrato sobre o processamento de pedidos entre o mandante e o mandatário de acordo com o art. 28 parágrafo 3 do RGPD. O mandante exprime o seu consentimento em relação a estas condições no âmbito da celebração de um contrato de utilização sobre serviços online ou outros serviços de informação do mandatário (o "acordo de nível de serviço") ou, se já existir um acordo de nível de serviço, no âmbito de uma declaração subsequente.

1. Objeto e duração do pedido

(1) Objeto

O objeto do pedido para manusear os dados resulta do acordo de nível de serviço subjacente.

(2) Duração

A duração deste pedido (vigência) corresponde à vigência do acordo de nível de serviço subjacente.

2. Concretização do conteúdo do pedido

(1) Natureza e finalidade do previsto processamento dos dados
O pedido compreende os seguintes processamentos:

  1. Processamento de dados pessoais introduzidos pelo mandante no âmbito da utilização dos respetivos serviços online e outros serviços de informação e que devem ser processados pelo mandatário para fornecer as funções do produto.
  2. Processamento de dados pessoais para os quais não pode ser excluída a possibilidade de acesso por parte do mandatário no decurso de outras atividades.
    • Por um lado, pode existir um acesso aos dados pessoais mencionados em a) no âmbito de avaliações próprias do contratante, em particular a análise das funcionalidades do produto para otimização e avaliação do êxito e da utilização. Neste caso, os dados afetados pelo pedido não fazem parte da avaliação e serão removidos ou tornados pseudónimos/anónimos pelo contratante
    • Por outro lado, no âmbito dos serviços de manutenção e/ou suporte, pode existir acesso a outros dados pessoais armazenados localmente pelo mandante.
  3. Além disso, pode ser necessário que o contratante encaminhe o VIN para servidores do respetivo fabricante, a fim de consultar peças recorrendo ao VIN. O fabricante enriquece o VIN com certas informações necessárias para a informação das peças e devolve-o ao contratante. O fabricante também processa o VIN para os seus próprios fins e é, portanto, uma pessoa responsável independente no sentido do RGPD. O mandante permite que o mandatário encaminhe o VIN ao fabricante para este fim.

(2) Natureza dos dados

O objeto do processamento dos dados pessoais são as seguintes categorias/tipos de dados (enumeração/descrição das categorias de dados)

  • Números de identificação dos veículos (VIN) e/ou matrículas introduzidos pelo mandante por meio do serviço online
  • Dados do cliente final inseridos pelo mandante no serviço online, incluindo em particular:
    • Dados de endereço no âmbito de encomendas de peças
    • Endereços de e-mail para envio de páginas de texto e imagem
  • Dados do cliente introduzidos pelo cliente final no âmbito do registo por meio do serviço online, assim como
  • Dados do cliente gravados localmente no mandante (no âmbito da manutenção à distância realizada pelo serviço de apoio ao cliente)
    • Dados mestre de pessoal
    • Dados de comunicação (por exemplo, telefone, e-mail)

(3) Categorias das pessoas envolvidas

As categorias que contemplam as pessoas envolvidas pelo processamento:

  • Clientes finais do mandante

(4) O mandatário reserva-se o direito de tornar os dados do mandante anônimos ou de agregá-los de modo a que deixe de ser possível identificar as pessoas em causa e utilizá-los nesta forma com a finalidade de adequá-los aos requisitos, desenvolvimento e otimização e para a prestação do serviço acordado de acordo com o contrato principal. As partes concordam que os dados principais anonimizados ou, conforme o caso, agregados de acordo com a disposição acima não deixarão de ser considerados dados principais na aceção do presente Acordo.

(5) O mandatário pode processar e utilizar os dados do mandante para os seus próprios fins sob sua própria responsabilidade no âmbito do que é permitido pela lei de proteção de dados, se tal for permitido mediante regulamento de autorização legal ou declaração de consentimento da pessoa em questão. Este acordo não se aplica a esse processamento de dados.

3. Local de tratamento dos dados

A prestação do processamento de dados contratualmente acordado é realizada principalmente na Alemanha ou num Estado-Membro da União Europeia ou noutro estado contratante do acordo sobre o Espaço Económico Europeu. Se os dados forem processados por um submandatário também num terceiro país, tal efetua-se exclusivamente sob as condições especiais do art. 44 e seguintes do RGPD.

4. Medidas técnico-organizativas

(1) O mandatário documenta a implementação das medidas técnicas e técnico-organizativas necessárias e referidas preliminarmente na adjudicação do pedido, especialmente em relação à execução concreta do pedido e disponibiliza essa documentação ao mandante em conjunto com esta declaração para sua verificação. Em caso de aceitação por parte do mandante, as medidas documentadas tornam-se na base do pedido. Caso contrário, as partes não chegam a um acordo de nível de serviço.

(2) O mandatário irá estabelecer a segurança conforme os art. 28 parágrafo 3 alínea. c, 32 do RGPD, nomeadamente, em relação ao art. 5 parágrafo 1, parágrafo 2 do RGPD. No fundo, as medidas a serem tomadas, são medidas relacionadas com a segurança de dados para garantir um nível de proteção proporcional ao risco em relação à privacidade, integridade, disponibilidade, bem como capacidade dos sistemas. Durante esse procedimento, o mandatário considera o estado atual da técnica, os custos de implementação, a natureza, o âmbito e a finalidade do processamento, como também as diferentes probabilidades de ocorrência e o grau de risco para os direitos e a liberdade de pessoas singulares conforme o art. 32 parágrafo 1 do RGPD [mais informações no anexo 1].

(3) As medidas técnicas e organizativas respeitarão o progresso tecnológico e o desenvolvimento. A este respeito, o mandatário tem a autorização de implementar medidas adequadas alternativas. No entanto, o nível de segurança das medidas estabelecidas não deve ser inferior ao limite. As alterações significativas devem ser documentadas.

5. Correção, limitação e eliminação dos dados

(1) O mandatário irá corrigir, apagar ou limitar o processamento dos dados que são processados a pedido apenas de acordo com o modo documentado pelo mandante e não por iniciativa própria. Se, em relação a isso, uma pessoa envolvida se dirigir diretamente ao mandatário, o mandatário irá reencaminhar imediatamente essa solicitação ao mandante.

(2) Desde que abrangido pelo âmbito de serviços, o mandatário irá diretamente assegurar o conceito de eliminação, o direito a ser esquecido, a correção, a portabilidade dos dados e a prestação de informações de acordo com o modo documentado pelo mandante. As instruções individuais que sejam diferentes das do acordo de nível de serviço ou que estabeleçam exigências adicionais, requerem o consentimento prévio do mandante. Para tal, é necessário considerar que os serviços online disponibilizados pelo mandatário são produtos standard cuja adaptação às exigências de proteção de dados do mandatário pode acarretar elevados custos. Esses custos são exclusivamente suportados pelo mandante após um respetivo acordo à parte.

6. Garantia de qualidade e outras obrigações do mandatário

Para além do cumprimento das disposições deste pedido, o mandatário ainda tem obrigações legais de acordo com os art. 28 a 33 do RGPD; garantindo, nomeadamente, o cumprimento das seguintes disposições:

  1. Solicitação escrita de um responsável pela proteção dos dados que exerce a sua atividade de acordo com os art. 38 e 39 do RGPD. Os dados de contacto desse pessoa são comunicados ao mandante para este poder entrar diretamente em contacto com a mesma. O mandatário é obrigado a comunicar imediatamente uma mudança do responsável pela proteção dos dados.
  2. A preservação da confidencialidade de acordo com os art. 28 parágrafo 3 pág. 2 alínea b, 29, 32 parágrafo 4 do RGPD. Para a execução dos trabalhos, o mandatário emprega apenas pessoas que estejam obrigadas à confidencialidade e familiarizadas com as determinações relevantes para si sobre a proteção dos dados. O mandatário e qualquer pessoa que lhe esteja subordinada e que tenha acesso aos dados pessoais, só podem processar estes dados de acordo com o modo do mandante e conforme as autorizações estipuladas por este contrato, exceto se estiverem legalmente obrigados ao processamento.
  3. A implementação e o cumprimento de todas as medidas técnicas e organizativas necessárias para este pedido de acordo com os art. 28 parágrafo 3 pág. 2 alínea c, 32 do RGPD [mais informações no anexo 1].
  4. O mandante e o mandatário colaboram, a pedido, com as autoridades supervisoras no cumprimento das suas tarefas.
  5. A informação sem demora do mandante sobre ações de controlo e medidas das autoridades supervisoras, desde que estejam relacionadas com este pedido. Isso também se aplica às investigações das autoridades competentes no âmbito de um processo penal ou contra-ordenação relativo ao processamento de dados pessoais relacionado com o processamento de pedidos no mandatário.
  6. Na medida em que o mandante esteja a ser sujeito a um controlo das autoridades supervisoras, a um processo penal ou contra-ordenação, ao pedido de indemnização de uma pessoa envolvida ou de outra pessoa ou a outra indemnização relacionada com o processamento de pedidos no mandatário, o mandatário prestar-lhe-á o maior apoio possível.
  7. O mandatário controla regularmente os processos internos, bem como as medidas técnicas e organizativas para garantir que o processamento da sua responsabilidade esteja assegurado e seja realizado em conformidade com as exigências da lei sobre a proteção de dados em vigor e a proteção dos direitos da pessoa envolvida.
  8. Rastreabilidade das medidas técnicas e organizativas tomadas em relação ao mandante no âmbito dos seus poderes de controlo de acordo com o ponto 7 deste contrato.

7. Situações que demandem a subcontratação do serviço

(1) As situações que demandem a subcontratação do serviço no sentido deste regulamento devem ser compreendidas como serviços que estão diretamente relacionados com a prestação do serviço principal. A estes serviços não pertencem serviços complementares como, por exemplo, serviços de telecomunicação, serviços de transporte/correio, manutenção e assistência ao utilizador ou a eliminação de suportes de dados, bem como outras medidas para garantir a confidencialidade, disponibilidade, integridade e capacidade do hardware e software dos sistemas de processamento de dados que são contratados pelo mandatário. No entanto, para garantir a proteção e a segurança dos dados do mandante, mesmo em caso de serviços complementares transferidos, o mandatário está obrigado a realizar acordos adequados e permitidos por lei, bem como medidas de controlo.

(2) O mandante concede ao mandatário autorização geral para recorrer a outros subcontratantes.

O mandante concorda com a contratação dos seguintes submandatários com a condição da celebração de um acordo contratual com base no art. 28 parágrafos 2-4 do RGPD:

Empresa do submandatário

Endereço/país

Serviço

Belenus LOB GmbH

Rüdesheimer Str. 23
80686 Munique
ALEMANHA

Disponibilização de toda a operação interna e externa de TI

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Disponibilização de apoio ao cliente

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPÃO

Disponibilização de apoio ao cliente

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Disponibilização de apoio ao cliente

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANÇA

Disponibilização de apoio ao cliente

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRASIL

Disponibilização de apoio ao cliente

Element1 Media GmbH

Rüdesheimer Str. 21
80686 Munique
ALEMANHA

Processamento dos dados do cliente introduzidos no âmbito do registo

A mudança do submandatário existente é permitida, desde que:

  • o mandatário comunique previamente por escrito ou em forma de texto ao mandante uma troca deste tipo do submandatário e
  • o mandante não se oponha, por escrito ou em forma de texto, a esta troca planeada até ao momento da entrega dos dados em relação ao mandatário e
  • seja celebrado um acordo contratual ou uma declaração vinculativa com base no art. 28 parágrafos 2-4 do RGPD.

(3) A transferência dos dados pessoais do mandante para o submandatário e sua primeira intervenção só é permitida após o cumprimento de todos os requisitos de uma subcontratação.

(4) Uma seguinte troca realizada pelo submandatário requer do consentimento explicito do mandatário principal (no mínimo, forma de texto); todas as disposições contratuais na cadeia contratual também devem ser fornecidas ao próximo submandatário.

8. Direitos de controlo do mandante

(1) O mandante tem o direito, em concertação com o mandatário, de realizar verificações ou, em caso particular, de solicitar as mesmas a um inspetor responsável. O mandante tem o direito de se certificar, através de controlos por amostragem, que ocorrem no âmbito dos horários normais da empresa e sem perturbar o funcionamento operacional do mandatário mantendo os seus segredos comerciais e de negócio totalmente confidenciais e que devem ser comunicados com antecedência do cumprimento deste acordo pelo mandatário nas suas atividades empresariais.

(2) O mandatário garante que o mandante possa certificar-se do cumprimento das obrigações do mandatário de acordo com o art. 28 do RGPD. O mandatário compromete-se a disponibilizar, a pedido, as informações necessárias ao mandante e, nomeadamente, a comprovar a implementação das medidas técnicas e organizativas. Por norma, o mandante pode realizar um controlo em cada ano civil; no caso de incidentes especiais são permitidas mais controlos.

(3) O mandatário tem o direito, por sua própria iniciativa e tendo as obrigações legais do mandante em consideração, de não divulgar informações que sejam sensíveis em relação aos negócios do mandatário ou, cuja divulgação, seja contrária às obrigações legais e contratuais do mandatário.

(4) De acordo com a escolha do mandatário, em vez de um controlo no próprio local, o comprovativo dessas medidas que não estão apenas relacionadas com o pedido concreto, pode ser realizado através

  1. do cumprimento dos códigos de conduta autorizados de acordo com o art. 40 do RGPD;
  2. da certificação de acordo com um processo de certificação autorizado segundo o art. 42 do RGPD;
  3. de certificados atuais, relatórios ou excertos de relatórios de entidades independentes (por exemplo, revisor oficial, auditor, responsável pela proteção de dados, departamento da segurança TI, auditores da proteção de dados, auditores de qualidade);
  4. de uma certificação adequada pela auditoria de segurança TI ou proteção de dados (por exemplo, conforme a proteção básica do Serviço Federal Alemão para a Segurança da Informação).

A condição para tal consiste no facto dessa medida permitir ao mandante certificar-se de um modo adequado do cumprimento das medidas técnicas e organizativas de acordo com o anexo deste contrato.

(5) Para permitir os controlos realizados pelo mandante, o mandatário pode exigir o pagamento de uma renumeração.

9. Notificação em caso de infrações do mandatário

(1) O mandatário auxilia o mandante no cumprimento das obrigações referidas nos artigos 32 a 36 do RGPD sobre a segurança de dados pessoais, nas obrigações de notificação em caso de violação dos dados, nas avaliações do impacto da proteção dos dados e nas consultas prévias. Entre outros,

  1. a garantia de um nível de proteção adequado através de medidas técnicas e organizativas que respeitam as circunstâncias e as finalidades do processamento, bem como a probabilidade prevista e o peso de uma possível violação da lei devido a falhas de segurança e que permitem uma identificação imediata dos incidentes relevantes em termos de violação
  2. a obrigação de comunicar imediatamente as violações dos dados pessoais ao mandante
  3. a obrigação de auxiliar o mandante no âmbito da sua obrigação de informação em relação à pessoa envolvida e de lhe disponibilizar imediatamente todas as informações relevantes relacionadas com esse facto
  4. o auxílio do mandante nas suas avaliações do impacto da proteção dos dados
  5. o auxílio do mandante no âmbito de consultas prévias com as autoridades supervisoras

10. Autoridade do mandante

(1) As instruções verbais são imediatamente confirmadas pelo mandante (no mínimo, forma de texto).

(2) O mandatário informa imediatamente o mandante se estiver da opinião que uma instrução viola as disposições sobre a proteção dos dados. O mandatário tem o direito de suspender a execução da respetiva instrução até que a mesma seja confirmada ou alterada pelo mandante. As despesas resultantes para o mandatário deste facto podem ser exigidas ao mandante.

11. Eliminação e devolução dos dados pessoais

(1) Sem o conhecimento do mandante não são feitas cópias ou duplicados dos dados. À exceção de cópias de segurança que sejam necessárias para garantir um processamento adequado dos dados, bem como dados necessários para o cumprimento dos deveres de armazenamento legais.

(2) Após a conclusão dos trabalhos contratualmente acordados ou antes, após a solicitação do mandante, o mais tarde com o fim do acordo de nível de serviço, o mandatário tem que entregar todos os documentos em sua posso, todos os resultados de processamento e utilização criados, bem como todos os volumes de dados relacionados com o pedido ou, após o consentimento prévio, destruir os mesmos de acordo com a proteção dos dados. O mesmo se aplica a material de teste e material rejeitado. A pedido, o protocolo da eliminação tem que ser apresentado.

(3) As documentações que servem de comprovativo do processamento correto dos dados conforme o pedido são guardadas pelo mandatário de acordo com os respetivos prazos de armazenamento para além do fim do contrato. Para sua quitação, os documentos podem ser entregues ao mandante no fim do contrato.

1. Confidencialidade (art. 32 (1) b) do RGPD)

Controlo de acesso

  • Sistema de livre-trânsito
  • Cartões de código de acesso / transponder de acesso
  • Conceito de autorização de acesso
  • Equipamento de vigilância (por exemplo, videovigilância)
  • Regulação da chave
  • Regulamentos para empresas externas, passes para visitantes
  • Acompanhamento de visitantes por parte dos próprios colaboradores
  • Registos de presenças de entradas de visitantes
  • Segurança também fora do horário de trabalho através do sistema de alarme e/ou segurança da fábrica
  • Áreas de segurança definidas e acesso controlado
  • Entrada segura para entrega- e fornecimento
  • Segurança de portas (mola de porta elétrica, leitor de cartões de identificação, monitor de televisão, porteiro)
  • Controlo por parte dos colaboradores (princípio dos 4 olhos)
  • Medidas de segurança de objetos (por ex., vidros especiais, sistema de alarme, vigilância no local)
  • Acesso separado e seguro ao centro de dados
  • Armazenamento do servidor em salas que possam ser fechadas à chave
  • Armazenamento de suportes de dados fechados à chave ou em salas que possam ser fechadas à chave
  • Armazenamento de cópias de segurança de dados (por exemplo, cassetes, CD) num cofre
  • Ordem para emissão de chaves
  • Outras/especificação das medidas acima:

Controle de acesso

  • Codificação de redes
  • Fecho à chave das instalações do processamento de dados
  • Identificação de um utilizador em relação ao sistema de tratamento de dados
  • Atribuição e proteção de chaves de identificação
  • Proteção por palavra-passe de estações de trabalho dotadas de visor
  • Utilização funcional e/ou limitada a nível de tempo dos computadores dos postos de trabalho e dos elementos de identificação
  • Regulamento de permissões de utilizador
  • Utilização de palavras-passe individuais
  • Bloqueio automático de contas de utilizador após repetida introdução incorreta de palavas-passe
  • Bloqueio automático do ecrã protegido por palavra-passe após inatividade (protetor de ecrã)
  • Políticas de palavras-passe com requisitos mínimos para complexidade da palavra-passe e intervalo de atualização
  • Função de embaralhamento criptográfico de palavras-passe guardadas
  • Processo de atribuição de direitos para novos colaboradores
  • Processo para a retirada de direitos em caso de mudança de departamento por parte de um funcionário
  • Processo de retirada de direitos em caso de saída de um colaborador da empresa
  • Dever de respeitar a confidencialidade dos dados de acordo com o art. 28 parágrafo 3 alínea B do RGPD
  • Diretrizes para organização de ficheiros
  • Registo e avaliação da utilização do sistema
  • Destruição controlada de suportes de dados
  • Instrução de trabalho e método de processamento para recolha de dados
  • Procedimentos de verificação e de aprovação
  • Outras/especificação das medidas acima:

Controlo de acesso

  • Determinação da autorização de acesso, conceito de autorização
  • Determinação do direito de introdução, alteração, eliminação de dados
  • Separação da permissão de autorização (organizacional) e
  • Atribuição de autorização (técnico)
  • Conceito de utilização e atribuição da unidade
  • Regulamento para restaurar dados de backup (quem,
  • quando, a pedido de quem)
  • Verificação regular das autorizações
  • Limitação da livre e descontrolada
  • consulta de bases de dados
  • Avaliação regular de protocolos (ficheiros de registo)
  • Leitor de cartões no terminal
  • Opções de acesso parcial a bancos de dados e funções (leitura, gravação, execução)
  • Registo de acessos, eliminações e alterações de ficheiros
  • Scanner de software malicioso em computadores dos postos de trabalho
  • Filtragem de software malicioso da Web
  • Filtragem de software malicioso/spam do e-mail
  • Firewalls
  • Deteção/Prevenção de Intrusão (IDS/IPS)
  • Acesso restrito a dados de registo (apenas administradores de registo)
  • Armazenamento de dados de registo no servidor de registo dedicado
  • Outras/especificação das medidas acima

Controlo de separação

  • Separação de clientes/mandantes
  • Separação de sistemas de desenvolvimento, teste e produção

2. Integridade (art. 32 (1) b) do RGPD)

Controlo de transferência

  • Partilha de ficheiros segura (SFTP/FTPS)
  • Troca de dados via ligação HTTPS (TLS 1.1 e 1.2)
  • Definição da autorização de transferência, conceito de autorização
  • Controlo por parte dos colaboradores (princípio dos 4 olhos)
  • Entrada segura para entrega e fornecimento
  • Gestão de suportes de dados, controlo de inventário
  • Definição das áreas em que os suportes de dados devem estar localizados
  • Codificação de suportes de dados confidenciais
  • Codificação de computadores portáteis
  • Armazenamento de dados pessoais em armários de segurança
  • que possam ser fechados
  • Proibição de levar malas e outras bagagens para zonas restritas de segurança
  • Eliminação segura de suportes de dados (por ex., destruição física, sobreposição múltipla)
  • Eliminação segura de papel: Recipientes metálicos selados (os chamados barris de proteção de dados)
  • Regulamentos para efetuar cópias
  • Cópias de segurança dos suportes de dados que necessitam de ser transportados
  • Instruções de embalagem e expedição
  • Recolha direta, serviços de correio expresso, escolta de transporte
  • Controlo de integralidade e de exatidão

Controlo de introdução

  • Identificação/classificação dos dados registados
  • Determinação de permissões de utilizador (funções/perfis)
  • Permissões de utilizador diferenciadas (leitura, modificação, eliminação de dados, acesso parcial a dados ou funções)
  • Definição organizacional das responsabilidades de introdução
  • Registo de introdução/eliminações de dados
  • Regulamento relativo aos prazos de conservação para efeitos de auditoria/prova

3. Disponibilidade e solidez (art. 32 (1) b) RGPD)

Controlo de disponibilidade

  • Conceito de proteção e backup de dados
  • Revisão regular do conceito de proteção e backup de dados
  • Limitação de acesso a salas de servidores aos colaboradores necessários
  • Sistemas de alarme de incêndio em salas de servidores
  • Sistemas automáticos de extinção de incêndios em salas de servidores
  • Agentes extintores sem água (por ex., extintores de CO2) em salas de servidores
  • Salas de servidores climatizadas
  • Proteção contra raios/sobretensão
  • Fonte de alimentação ininterrupta (UPS)
  • Central elétrica de emergência (NEA)
  • Sensores de água em salas de servidores
  • Armazenamento dos sistemas de backup em salas separadas e compartimentos de contenção de incêndios
  • Armazenamento de dados em armários para proteção de dados, cofres-fortes
  • Verificação regular da possibilidade de recuperação dos meios de armazenamento de backups
  • Garantia da legibilidade técnica dos meios de armazenamento de backup para o futuro
  • Armazenamento de meios de armazenamento de backup mediante as condições de armazenamento necessárias (ar condicionado, requisitos de proteção, etc.)
  • Acordo sobre a transferência de cópias de segurança (de dados)
  • Análise regular de vulnerabilidades (proteção de recintos, proteção de edifícios, intrusão em redes e sistemas de TI)
  • Sistema de memória redundante
  • Centros informáticos alternativos

4. Restauração da disponibilidade e dos acessos (art. 32 (1) c) RGPD)

  • Crise ou plano de emergência (por ex., água, fogo, explosão, ameaça de ataques, colisão, terremoto)

5. Revisão, apreciação e avaliação (art. 32 (1) d) RGPD; art. 25 (1) RGPD)

Processo para a verificação, apreciação e avaliação regular

  • Procedimentos definidos para a gestão da proteção dos dados
  • Procedimentos definidos para a gestão dos incidentes e reações
  • Predefinições que respeitam a privacidade (art. 25 do RGPD)

Controlo de encomendas

  • Seleção do subcontratante do ponto de vista da diligência devida (em especial no que respeita à segurança dos dados)
  • Elaboração de contratos de acordo com os requisitos legais (art. 28 do RGPD)
  • Registo central dos subcontratantes existentes (gestão uniforme dos contratos)
  • Controlos prévios in loco nas instalações do subcontratante antes do início do contrato
  • Controlos regulares in loco nas instalações do subcontratante após o início do contrato (durante o período contratual)
  • Verificação do conceito de segurança de dados junto do subcontratante
  • Inspeção dos certificados de segurança da informação existentes do subcontratante
  • Atribuição de instruções para melhorar a privacidade dos subcontratados
  • Obrigação dos colaboradores do subcontratante de cumprir as normas de proteção de dados