Convenție

între

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München

- denumit în cele ce urmează „executant” sau „prelucrător” -

și clientul său

- denumit în cele ce urmează „beneficiar” -

Indicație

Acest document conține condiții ale executantului pentru convenția cu privire la prelucrarea comenzii între beneficiar și executant conform art. 28 alin. 3 RGPD. Beneficiarul își declară consimțământul pentru aceste condiții în cadrul încheierii unui contract de utilizare cu privire la servicii online sau alte servicii de informații ale executantului („acord asupra nivelului de calitate a serviciilor”) sau – în cazul în care există deja un acord asupra nivelului de calitate a serviciilor – în cadrul unei declarații ulterioare.

1. Obiectul și durata comenzii

(1) Obiectul

Obiectul comenzii pentru prelucrarea datelor rezultă din acordul subiacent asupra nivelului de calitate a serviciilor.

(2) Durata

Durata acestei comenzi (perioada de valabilitate) corespunde perioadei de valabilitate a acordului subiacent asupra nivelului de calitate a serviciilor.

2. Concretizarea conținutului comenzii

(1) Tipul și scopul prelucrării prevăzute a datelor
Comanda cuprinde următoarele prelucrări:

  1. Prelucrarea datelor cu caracter personal introduse de beneficiar în cadrul utilizării unor servicii online și a unor servicii de informații, date ce trebuie prelucrate de executant în vederea furnizării unor funcții ale produselor. pe de altă parte
  2. Prelucrarea datelor cu caracter personal pentru care nu poate fi exclusă posibilitatea de accesare de către executant în cadrul altor activități.
    • Pe de o parte poate exista un acces la datele cu caracter personal menționate la punctul a) în cadrul propriilor evaluări ale executantului, în special în cadrul analizei funcționalităților produsului în vederea optimizării produsului și măsurării succesului și utilității. În acest caz, datele vizate de comandă nu fac parte din evaluare și vor fi șterse sau pseudonimizate/anonimizate de către executant
    • Pe de altă parte, în cadrul serviciilor de mentenanță și/sau suport, poate exista un acces la alte date cu caracter personal stocate la nivel local la executant.
  3. În afară de aceasta, pentru interogarea unor piese în funcție de numărul de identificare al autovehiculului (VIN) poate fi necesar ca executantul să transmită VIN către serverul producătorului piesei respective. Producătorul extinde VIN cu anumite informații necesare pentru oferirea de informații despre piesă și le retransmite executantului. Producătorul prelucrează VIN și în scopuri proprii și devine astfel responsabil autonom în sensul prevăzut de RGPD. Prin prezenta, beneficiarul îi permite executantului să transmită VIN către producător în acest scop.

(2) Tipul de date

Obiectul prelucrării unor date cu caracter personal îl constituie următoarele tipuri/categorii de date (enumerarea/descrierea categoriilor de date)

  • Numerele de identificare ale autovehiculelor (VIN) și/sau numerele de înmatriculare ale autovehiculelor înscrise de către beneficiar în serviciul online
  • Datele clienților finali înregistrate de beneficiar în serviciul online, printre care, în special:
    • date privind adresele, în cadrul comenzilor de piese
    • adrese de e-mail pentru trimiterea de pagini cu imagine și text
  • Datele de client înscrise de către clientul final în cadrul înregistrării sale în serviciul online
  • Datele de client salvate local la beneficiar (în cadrul întreținerii de la distanță prin unitatea de service clienți)
    • Date de bază ale persoanelor
    • Date de comunicații (de ex. telefon, e-mail)

(3) Categorii de persoane vizate

Categoriile de persoane vizate de prelucrare cuprind:

  • clienții finali ai beneficiarului

(4) Executantul își rezervă dreptul de a anonimiza datele furnizate de beneficiar sau de a le agrega, astfel încât să nu mai poată fi posibilă o identificare a persoanelor individuale vizate și pentru a le folosi în această formă în scopul structurării în funcție de necesități, perfecționării și optimizării, precum și prestării serviciului stabilit de comun acord conform contractului principal. Părțile stabilesc de comun acord că datele furnizate de beneficiar care sunt anonimizate, respectiv agregate conform prevederii de mai sus nu mai sunt considerate a fi date ale beneficiarului în sensul prezentului contract.

(5) Executantul poate prelucra și utiliza în scopuri proprii datele beneficiarului, în limitele permise de legislația privind protecția datelor, dacă există o prevedere legală care permite acest lucru sau o declarație de consimțământ din partea persoanei în cauză. Prezentul contract nu se aplică acestor prelucrări ale datelor.

3. Locul prelucrării

Prestarea prelucrării de date convenite contractual se desfășoară în primul rând în Germania sau într-un stat membru al Uniunii Europene sau în alt stat semnatar al Acordului privind Spațiul Economic European. În cazul în care datele sunt prelucrate de către un subexecutant într-un stat terț, acest lucru va avea loc exclusiv cu condiția îndeplinirii condițiilor speciale prevăzute de art. 44 și următoarele din RGPD.

4. Măsuri tehnico-organizatorice

(1) Executantul documentează implementarea măsurilor tehnice și organizatorice necesare și prezentate înainte de atribuirea comenzii, în special în ceea ce privește executarea concretă a comenzii, și pune la dispoziția beneficiarului această documentație împreună cu această declarație, în vederea verificării. În cazul acceptării de către beneficiar, măsurile documentate devin bază a comenzii. În caz contrar, părțile nu vor adopta un acord asupra nivelului de calitate a serviciilor.

(2) Executantul va asigura securitatea conform art. 28 alin. 3 lit. c, 32 RGPD, în special în legătură cu art. 5 alin. 1, alin. 2 RGPD. În cazul măsurilor care trebuie adoptate este vorba per global despre măsuri pentru securitatea datelor și pentru garantarea unui nivel de protecție adecvat riscului în ceea ce privește confidențialitatea, integritatea, disponibilitatea, precum și capacitatea de încărcare a sistemelor. În acest proces, executantul ia în considerare stadiul tehnicii, costurile de implementare și felul, volumul și scopurile prelucrării, precum și diferitele probabilități de apariție și gravitatea riscurilor pentru drepturile și libertățile persoanelor fizice în sensul art. 32 alin. 1 RGPD [detalii în anexa 1].

(3) Măsurile tehnice și organizatorice sunt supuse progresului tehnic și perfecționărilor. În acest sens, executantului îi este permis să implementeze măsuri alternative adecvate. În acest proces nu va scădea sub nivelul de securitate al măsurilor stabilite. Acesta va documenta modificările substanțiale.

5. Corectarea, limitarea și ștergerea unor date

(1) Executantul nu va corecta, șterge sau limita neautorizat prelucrarea datelor care vor fi prelucrate în cadrul comenzii, ci numai în urma unor dispoziții documentate ale beneficiarului. În măsura în care o persoană vizată se adresează referitor la acestea direct executantului, executantul va redirecționa această cerere neîntârziat către beneficiar.

(2) În măsura în care acest lucru este cuprins în volumul de servicii, executantul va asigura nemijlocit conceptul de ștergere, dreptul de a fi uitat, corectura, portabilitatea datelor și informarea conform dispozițiilor documentate ale beneficiarului. Dispozițiile individuale care se abat de la acordul asupra nivelului de calitate a serviciilor sau care impun cerințe suplimentare necesită un acord prealabil al executantului. În acest sens trebuie să se țină cont de faptul că serviciile online puse la dispoziție de către executant sunt produse standard, a căror adaptare la cerințele de protecție a datelor beneficiarului poate genera costuri mari. Aceste costuri trebuie suportate în volum complet de către beneficiar conform unei convenții individuale corespunzătoare.

6. Asigurarea calității și alte obligații ale executantului

Suplimentar la respectarea reglementărilor acestei comenzi, executantul are obligații legale conform art. 28 până la 33 RGPD; în acest sens garantează în special respectarea următoarelor specificații:

  1. Numirea în scris a unui însărcinat cu protecția datelor, care să își desfășoare activitatea conform art. 38 și 39 RGPD. Datele de contact ale acestuia îi vor fi comunicate beneficiarului în scopul unui contact direct cu acesta. O schimbare a însărcinatului cu protecția datelor îi va fi comunicată neîntârziat beneficiarului.
  2. Păstrarea confidențialității conform art. 28 alin. 3 S. 2 lit. b, 29, 32 alin. 4 RGPD. La executarea lucrărilor, executantul utilizează numai angajați care au fost obligați la confidențialitate și care în prealabil au fost familiarizați cu reglementările privind protecția datelor relevante pentru ei. Executantul și fiecare persoană subordonată executantului care are acces la date cu caracter personal au voie să prelucreze aceste date exclusiv corespunzător dispozițiilor beneficiarului, inclusiv corespunzător competențelor conferite prin acest contract, cu excepția situației în care sunt obligate legal să le prelucreze.
  3. Implementarea și respectarea tuturor măsurilor tehnice și organizatorice necesare pentru această comandă conform art. 28 alin. 3 S. 2 lit. c, 32 RGPD [detalii în anexa 1].
  4. La îndeplinirea sarcinilor lor, beneficiarul și executantul conlucrează la cerere cu autoritatea de supraveghere.
  5. Informarea neîntârziată a beneficiarului cu privire la acțiuni de control și măsuri ale autorității de supraveghere, în măsura în care acestea se referă la prezenta comandă. Acest lucru este valabil și în măsura în care, în cadrul unei proceduri de contravenție sau al unei acțiuni penale relative la prelucrarea unor date cu caracter personal, o autoritate responsabilă investighează executantul cu privire la prelucrarea comenzii.
  6. În măsura în care beneficiarul este expus la rândul său unui control al autorității de supraveghere, unei proceduri de contravenție sau unei acțiuni penale, pretenției de răspundere civilă a unei persoane vizate sau a unui terț sau unei alte pretenții în legătură cu prelucrarea comenzii de către executant , executantul îl va sprijini depunând toate eforturile necesare în acest sens.
  7. Executantul verifică regulat procesele interne, precum și măsurile tehnice și organizatorice, pentru a garanta faptul că prelucrarea în cadrul domeniului său de răspundere se efectuează în acord cu cerințele legii în vigoare cu privire la protecția datelor și că este garantată protecția drepturilor persoanei vizate.
  8. Posibilitatea de identificare și urmărire de către beneficiar a măsurilor tehnice și organizatorice adoptate, în cadrul competențelor sale de control conform cifrei 7 din acest contract.

7. Condiții de subcontractare

(1) În calitate de condiții de subcontractare, în cadrul acestei reglementări trebuie să se înțeleagă acele prestări de servicii care se referă nemijlocit la prestarea serviciului principal. Dintre acestea nu fac parte serviciile auxiliare, pe care executantul le utilizează de ex. ca servicii de telecomunicații, prestări de servicii de poștă/transport, întreținere și service pentru utilizatori sau eliminarea ca deșeu al suporturilor de date, precum și alte măsuri pentru asigurarea confidențialității, integrității și capacității de încărcare a hardware-ului și software-ului echipamentelor de prelucrare a datelor. Însă executantul este obligat ca, în vederea garantării protecției datelor și securității datelor beneficiarului, iar în cazul unor servicii secundare externalizate, să adopte convenții contractuale precum și măsuri de control adecvate și conforme cu legislația.

(2) Prin prezenta, beneficiarul îi acordă executantului permisiunea generală de a consulta alți prelucrători.

Beneficiarul este de acord cu însărcinarea următorilor subcontractanți, în condițiile unui acord contractual conform cerințelor art. 28 alin. 2-4 RGPD:

Firma subcontractantului:

Adresa/țara

Serviciul

Belenus LOB GmbH

Str. Rüdesheimer 23
80686 München
GERMANIA

Punerea la dispoziție a tuturor operațiunilor IT interne și externe

LexCom (China) Co., Ltd

Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA

Furnizare de asistență pentru clienți

LexCom Japan K.K.

Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN

Furnizare de asistență pentru clienți

LexCom Information Systems Ltd

Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM

Furnizare de asistență pentru clienți

LexCom France SARL

Espace Mama Works
51 Quai Lawton
33300 Bordeaux
FRANCE

Furnizare de asistență pentru clienți

OiC Imaging Comercial Ltda

Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL

Furnizare de asistență pentru clienți

Element1 Media GmbH

Str. Rüdesheimer 21
80686 München
GERMANIA

Prelucrarea datelor de client înscrise în cadrul înregistrării

Este permisă schimbarea subcontractantului existent în măsura în care:

  • executantul îl anunță pe beneficiar în scris sau prin declarație simplă fără semnătură, la un interval de timp potrivit în avans, despre o astfel de externalizare către subcontractant și
  • până în momentul predării datelor, beneficiarul nu ridică nicio obiecție față de executant, în scris sau prin declarație simplă fără semnătură, cu privire la externalizarea planificată și
  • este adoptată ca bază o convenție contractuală, respectiv o declarație cu caracter obligatoriu conform cerințelor art. 28 alin. 2-4 RGPD.

(3) Transmiterea unor date cu caracter personal ale beneficiarului către subcontractant și începerea activității acestuia sunt permise abia după ce sunt prezente toate condițiile pentru o subcontractare.

(4) O externalizare în continuare de către subcontractant necesită acordul explicit al executantului principal (minim declarație simplă fără semnătură); toate reglementările contractuale din lanțul contractual trebuie impuse și subcontractantului adițional.

8. Drepturile de control ale beneficiarului

(1) Beneficiarul are dreptul ca, în consultare cu executantul, să efectueze verificări sau să dispună efectuarea acestora de către verificatori care vor fi numiți în cazurile individuale. El are dreptul ca prin controale prin sondaj - care trebuie notificate în timp util și care se desfășoară în cadrul orelor de program obișnuite, fără a deranja fluxul operațional al executantului și în condițiile păstrării stricte a confidențialității cu privire la secretele operaționale și comerciale ale executantului - să se convingă de respectarea de către executant a acestei convenții în activitatea sa comercială.

(2) Executantul asigură faptul că beneficiarul se poate convinge de respectarea obligațiilor executantului conform art. 28 RGPD. Executantul se obligă să îi ofere beneficiarului la cerere toate informațiile necesare și, în special, să dovedească implementarea măsurilor tehnice și organizatorice. Beneficiarul are voie să efectueze de regulă un control pe an calendaristic; în cazul unor evenimente speciale sunt admisibile controale adiționale.

(3) Executantul are dreptul ca, discreționar și în condițiile luării în considerare a obligațiilor legale ale beneficiarului, să nu dezvăluie informații care sunt sensibile din punct de vedere al activităților comerciale ale executantului sau în cazul în care, prin dezvăluirea lor, executantul ar încălca obligații legale sau contractuale.

(4) În locul unui control la fața locului, demonstrarea unor astfel de măsuri, care vizează nu doar comanda concretă, se poate efectua, la alegerea executantului, prin

  1. respectarea regulilor de comportament aprobate conform art. 40 RGPD;
  2. certificarea conform unei proceduri de certificare aprobate conform art. 42 RGPD;
  3. atestate, rapoarte sau extrase din rapoarte actuale ale unor entități independente (de ex. expert contabil, revizor, însărcinat cu protecția datelor, departamentul de securitate IT, auditori în domeniul protecției datelor, auditori în domeniul calității);
  4. o certificare adecvată efectuată de către auditul de securitate IT sau auditul de protecție a datelor (de ex. conform cerințelor de bază privind protecția ale BSI - Oficiul federal pentru siguranță în tehnica informațiilor).

Premisa pentru acestea este ca această măsură să îi permită beneficiarului să se convingă în mod adecvat de respectarea măsurilor tehnice și organizatorice conform anexei la această convenție.

(5) Pentru a face posibile controale ale beneficiarului, executantul are dreptul să formuleze o pretenție de remunerație.

9. Notificare în cazul unor abateri ale executantului

(1) Executantul îl sprijină pe beneficiar în respectarea obligațiilor nominalizate în articolele 32 până la 36 din RGPD în ceea ce privește securitatea datelor personale, obligațiile de notificare în cazul unor violări ale datelor cu caracter personal, unor analize de impact în domeniul protecției datelor și al unor consultări prealabile. Dintre acestea fac parte, printre altele,

  1. asigurarea unui nivel de securitate adecvat prin intermediul unor măsuri tehnice și organizatorice care iau în considerare condițiile și scopurile prelucrării, precum și probabilitatea prognozată și gravitatea unei posibile încălcări a drepturilor ca urmare a unor vulnerabilități de securitate și care permit o constatare imediată a evenimentelor relevante de violare.
  2. obligația de a raporta neîntârziat beneficiarului violări ale datelor cu caracter personal
  3. obligația de a oferi asistență beneficiarului în cadrul obligației sale de informare în raport cu persoana vizată și, în acest context, de a-i pune la dispoziție neîntârziat toate informațiile relevante
  4. să ofere asistență beneficiarului la analizele sale de impact în domeniul protecției datelor
  5. să ofere asistență beneficiarului în cadrul unor consultări prealabile cu autoritatea de supraveghere

10. Autoritatea beneficiarului de a emite dispoziții

(1) Beneficiarul confirmă neîntârziat dispozițiile verbale (minim declarație simplă fără semnătură).

(2) Executantul îl va informa neîntârziat pe beneficiar dacă, în opinia sa, o dispoziție a sa încalcă reglementările privind protecția datelor. Executantul are dreptul să suspende executarea respectivei dispoziții până în momentul în care ea va fi confirmată sau modificată de către beneficiar. Pentru cheltuielile care se creează executantului prin aceasta, executantul are dreptul să formuleze o pretenție de remunerație.

11. Ștergerea și restituirea datelor cu caracter personal

(1) Nu vor fi întocmite duplicate ale datelor fără știința beneficiarului. Sunt exceptate de la aceasta copiile de siguranță, în măsura în care acestea sunt necesare pentru garantarea unei prelucrări regulamentare a datelor, precum și datele care sunt necesare în vederea respectării obligațiilor legale de păstrare.

(2) După încheierea lucrărilor convenite contractual sau mai devreme, la solicitarea beneficiarului – cel mai târziu odată cu terminarea acordului asupra nivelului de calitate a serviciilor – executantul trebuie să înmâneze beneficiarului sau, după un acord prealabil, să distrugă conform cerințelor privind protecția datelor toate documentele ajunse în posesia sa, rezultatele de prelucrare și de utilizare întocmite, precum și bazele de date care există în legătură cu raporturile contractuale. Același lucru este valabil și pentru materialele de testare și materialele rebut. Procesul verbal de ștergere trebuie prezentat la cerere.

(3) După terminarea contractului, documentațiile care servesc la demonstrarea prelucrării regulamentare și conform comenzii datelor, vor fi păstrate de către executant corespunzător respectivelor termene de păstrare. Pentru a se descărca, el le poate preda beneficiarului la terminarea contractului.

1. Confidențialitate (art. 32 alin. 1 lit. b) RGPD)

Controlul accesului persoanelor

  • Legitimații de acces
  • Carduri cu cod de acces/transponder de acces
  • Conceptul de autorizare de acces
  • Dispozitive de supraveghere (de ex. monitorizare video)
  • Regulament cheie
  • Regulament pentru vizitatorii din afara companiei, legitimații vizitatori
  • Însoțirea vizitatorilor de către personalul propriu
  • Înregistrări ale prezenței vizitatorilor
  • Siguranță și în afara orelor de lucru prin sistemul de alarmare și/sau de protecție a unității
  • Zone de securitate definite și acces controlat
  • Intrare securizată pentru livrare și expediere
  • Sistem de securizare a ușii (dispozitiv electric de închidere a ușii, cititor legitimații, monitor TV, portar)
  • Control efectuat de către angajați (principiul celor 4 ochi)
  • Măsuri pentru securizarea obiectivului (de ex. geamuri speciale, sistem de alarmă, paza site-ului)
  • Acces securizat separat la centrul de calcul
  • Păstrarea serverelor în încăperi care pot fi încuiate
  • Păstrarea suporturilor de date sub cheie, respectiv în încăperi încuiate
  • Păstrarea copiilor de rezervă (de ex. casete, CD-uri) în seif
  • Instrucțiuni pentru distribuirea cheilor
  • Altele/specificarea măsurilor de mai sus:

Controlul accesului la sistemul informatic

  • Criptarea rețelelor
  • Încuierea echipamentelor de prelucrare a datelor
  • Identificarea utilizatorilor echipamentului de prelucrare a datelor
  • Distribuirea și securizarea cheilor de identificare
  • Protecția prin parolă a posturilor de lucru cu monitor
  • Utilizarea funcțională și/sau limitată în timp a stațiilor de lucru și a caracteristicilor de identificare
  • Regulament pentru autorizația de utilizator
  • Utilizarea parolelor individuale
  • Blocarea automată a conturilor de utilizator după mai multe introduceri incorecte ale parolei
  • Blocarea automată parolată a ecranului după o perioadă de inactivitate (protecție de ecran)
  • Politica cu privire la parolă cu cerințe minime de complexitate și interval de actualizare
  • Protejarea prin criptare a parolelor salvate
  • Procesul de atribuire a drepturilor pentru angajații noi
  • Procesul de retragere a drepturilor la transferul angajaților în alt departament
  • Procesul de retragere a drepturilor la plecarea angajaților
  • Angajamentul privind confidențialitatea datelor în conformitate cu art. 28 alin. 3 lit. b RGPD
  • Directive privind organizarea fișierelor
  • Înregistrarea și evaluarea utilizării sistemului
  • Distrugerea controlată a suporturilor de date
  • Instrucțiuni de lucru și procesul de înregistrare a datelor
  • Procesul de testare program și procesul de aprobare
  • Altele/specificarea măsurilor de mai sus:

Controlul accesului la date

  • Stabilirea autorizației de acces, conceptul de autorizare
  • Stabilirea competenței pentru introducere date, modificări date, ștergere date
  • Separarea aprobării autorizației (organizatoric) de
  • atribuirea autorizației (tehnic)
  • Conceptul de utilizare și alocare a unității de memorie
  • Regulamentul de recuperare a datelor de backup (cine,
  • când, la solicitarea cui)
  • Verificarea periodică a autorizațiilor
  • Restricționarea posibilității de interogare
  • liberă și necontrolată a bazelor de date
  • Evaluare periodică a jurnalelor (fișiere jurnal)
  • Cititor de legitimații la terminal
  • Posibilități de acces parțial la baze de date și funcții (citire, scriere, execuție)
  • Înregistrarea accesului la fișiere, ștergerilor de fișiere, modificărilor de fișiere
  • Scaner pentru malware pe computerele stațiilor de lucru
  • Filtrare malware pentru web
  • Filtrare malware/spam pentru e-mail
  • Firewalls
  • Intrusion Detection/Prevention (IDS/IPS)
  • Acces limitat la datele de jurnal (numai administratorii de jurnal)
  • Stocarea datelor de jurnal pe un server de jurnal dedicat
  • Altele/specificarea măsurilor de mai sus

Controlul separării

  • Separarea clienți/mandanți
  • Separarea sistemului de dezvoltare, de testare și a sistemului productiv

2. Integritate (art. 32 alin. 1 lit. b) RGPD)

Controlul transmiterii de informații

  • Schimb de fișiere mai sigur (SFTP/FTPS)
  • Schimb de date prin conexiune HTTPS (TLS 1.1 și 1.2)
  • Stabilirea autorizației de transmitere, conceptul de autorizare
  • Control efectuat de către angajați (principiul celor 4 ochi)
  • Intrare securizată pentru livrare și expediere
  • Gestionarea suporturilor de date, controlul inventarului
  • Stabilirea zonelor în care trebuie să se afle suporturile de date
  • Criptarea suporturilor de date confidențiale
  • Criptarea laptopurilor
  • Păstrarea datelor cu caracter personal în
  • dulapuri securizate care pot fi încuiate
  • Interzicerea transportării genților și a altor bagaje în zonele de securitate
  • Ștergerea securizată a suporturilor de date (de ex. distrugere fizică, suprascriere multiplă)
  • Eliminarea hârtiei în condiții de siguranță: Recipiente metalice închise (așa-numitele coșuri pentru protecția datelor)
  • Regulament privind efectuarea copiilor
  • Copii de rezervă ale suporturilor de date care trebuie transportate
  • Instrucțiuni de ambalare și expediere
  • Ridicare directă, servicii de curierat, însoțire la transport
  • Verificarea integrității și corectitudinii

Controlul introducerii datelor

  • Etichetarea/clasificarea datelor înregistrate
  • Stabilirea drepturilor de utilizator (roluri/profiluri)
  • Drepturile diferențiate ale utilizatorului (citire, modificare, ștergerea datelor, acces parțial la date, respectiv funcții)
  • Stabilirea organizatorică a responsabilităților de introducere a datelor
  • Înregistrarea introducerilor de date/ștergerilor de date
  • Regulamentul cu privire la perioadele de păstrare pentru revizuire/scopuri demonstrative

3. Disponibilitatea și capacitatea de încărcare (art. 32 alin. 1 lit. b)RGPD)

Controlul disponibilității

  • Conceptul de securizarea datelor și backup
  • Verificarea periodică a conceptului de securizare a datelor și de backup
  • Restricționarea accesului în camerele serverului pentru personalul necesar
  • Sisteme de alarmă la incendiu în camerele serverului
  • Sisteme automate de stingere a incendiilor în camerele serverului
  • Agenți de stingere fără apă a incendiilor (de ex. stingătoare cu CO2) în camerele serverului
  • Camerele de server cu aer condiționat
  • Protecție la trăsnet/protecție la supratensiune
  • Alimentare neîntreruptă cu curent (UPS)
  • Instalații de alimentare cu tensiune de urgență (NEA)
  • Senzori de apă în camerele serverului
  • Depozitarea sistemelor de backup în camere separate și zone orizontale
  • Păstrarea datelor în dulapuri securizate, seifuri
  • Verificarea regulată a recuperării suportului de stocare de backup
  • Asigurarea lizibilității tehnice a suporturilor de stocare de backup pentru viitor
  • Depozitarea suporturilor de stocare de backup în condițiile necesare (aer condiționat, cerințe de protecție etc.)
  • Acord pentru transmiterea copiilor de rezervă (de date)
  • Analiza periodică a vulnerabilităților (protecția site-ului, protecția clădirilor, pătrundere în rețele și sisteme IT)
  • Sistem redundant de stocare
  • Centre de calcul alternative

4. Recuperarea disponibilității și a accesului (art. 32 alin. 1 lit. c)RGPD)

  • Plan de criză sau de urgență (de ex. inundație, foc, explozie, amenințare cu atacuri, prăbușire, cutremur)

5. Verificare, estimare și evaluare (art. 32 alin. 1 lit d)RGPD; art. 25, alin. 1) RGPD)

Proceduri pentru verificarea, estimarea și evaluarea regulată

  • Proces definit pentru managementul protecției datelor
  • Proces definit pentru managementul de reacție rapidă la incidente
  • Presetări de confidențialitate (art. 25 RGPD)

Controlul comenzilor

  • Selectarea subcontractantului pe considerente necesare de diligență (în special în ceea ce privește securitatea datelor)
  • Structurarea contractului în conformitate cu cerințele legale (art. 28 RGPD)
  • Înregistrarea centralizată a subcontractanților existenți (managementul contractului unitar)
  • Inspecții la fața locului, la sediul subcontractantului înainte de începerea contractului
  • Verificări periodice la fața locului, la sediul subcontractantului după începerea contractului (în timpul perioadei contractuale)
  • Verificarea conceptului de securitate a datelor la subcontractant
  • Examinarea certificatelor existente de securitate a informațiilor ale subcontractantului
  • Furnizarea unor instrucțiuni pentru îmbunătățirea protecției datelor față de subcontractanți
  • Obligativitatea angajaților subcontractanților de a respecta dispozițiile de protecție a datelor