Einführung
Die Parteien sind sich darüber einig, dass dieser Auftragsverarbeitungsvertrag ("AVV") die Rechte und Pflichten jeder Partei in Bezug auf die Verarbeitung und Sicherheit der personenbezogenen Daten des Kunden im Zusammenhang mit der von INCREASE YOUR SKILLS GmbH bereitgestellten Software und den Leistungen festlegt. L'AVV viene accettata per mezzo di una clausola di controllo nelle Allgemeinen Geschäftsbedingungen (AGB). Die Parteien sind sich darüber hinaus einig, dass, sofern kein separater, von den Parteien unterzeichneter AVV existiert, dieser AVV die Verarbeitung und Sicherheit der personenbezogenen Daten des Kunden regelt.
Die Bestimmungen der AVV-Bedingungen ersetzen alle entgegenstehenden Bestimmungen der INCREASE YOUR SKILLS-Datenschutzerklärung, die andernfalls für die Verarbeitung personenbezogener Daten des Kunden gelten könnten. Aus Gründen der Klarheit und in Übereinstimmung mit den unten definierten Standardvertragsklauseln 2021 gilt, dass soweit diese Anwendung finden, die Standardvertragsklauseln 2021 Vorrang vor allen anderen Bestimmungen dieses AVV haben.
AUFTRAGSVERARBEITUNGSVERTRAG GÜLTIG AB 26. GENNAIO 2024
- Parteien
1.1 La persona è definita nelle AGB ("persona") e
1.2 INCREASE YOUR SKILLS GmbH (eingetragen unter HRB 33627 beim Amtsgericht Leipzig) mit Sitz in der Katharinenstraße 21, 04109 Leipzig, Deutschland ("Anbieter").
- Tutto il resto
2.1 Il Cliente e l'Anbieter hanno sottoscritto un accordo, che prevede che l'Anbieter elabori dati personali in collaborazione con il Cliente.
2.2 Dieser Auftragsverarbeitungsvereinbarung ("AVV") legt die zusätzlichen Bedingungen und Regelungen fest, unter denen der Anbieter personenbezogene Daten bei der Erbringung seiner Leistungen im Rahmen des Vertrages verarbeiten wird. Dieser AVV enthält die obligatorischen Klauseln, die gemäß Art. 28 Abs. 3 der Verordnung (EU) 2016/679 - Datenschutz-Grundverordnung (DSGVO) sowie der korrespondieren gesetzlichen Regelungen im Vereinigten Königreich für Verträge zwischen dem für die Verarbeitung Verantwortlichen (Controller) und dem Auftragsverarbeiter (Processor) erforlich sind.
2.3 Dieser AVV unterliegt den Bedingungen des Vertrags und ist Bestandteil des Vertrags. I principi utilizzati nel presente AVV hanno un'importanza fondamentale. I principi, che in questo AVV non sono definiti in modo diverso, hanno un'importanza che è stata attribuita loro nell'AGB del Vertrags.
2.4 Gli Anhänge Etwaige sono parte integrante di questo AVV. Ogni intervento su questo AVV alleggerisce le sue antenne con un'altra.
2.5 In seguito a un Widerspruchs tra einer Bestimmung dieses AVV e einer oder mehrerer Bestimmungen des Vertrags haben in Bezug auf das Datenschutzrecht die Regelungen dieses AVV Vorrang.
- Principi di funzionamento
I seguenti principi in questo AVV hanno la seguente importanza:
"Datenschutzgesetze" |
bezeichnet alle anwendbaren Gesetze und Vorschriften, die sich auf die Verarbeitung personenbezogener Daten zu irgendeinem Zeitpunkt während der Laufzeit dieses AVV beziehen, insbesondere (i) die Datenschutz-Grundverordnung (DSGVO, EU 2016/679, ("DSGVO"); (ii) die UK General Data Protection Regulation ("UK GDPR") in der Fassung des Data Protection Act 2018; (3) die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, wie sie von den EU-Mitgliedstaaten umgesetzt wurde, sowie alle Nachfolgeregelungen und Umsetzungsrechtsakte und sonstigen Vorschriften, Leitfäden und Verhaltenskodizes in Bezug auf Datenschutz, in der jeweils aktuellen Fassung. |
"Dati personali del cliente". |
sono i dati personali, che l'operatore deve utilizzare per la verifica dell'ottenimento delle prestazioni e per l'assistenza ai clienti. |
"EWR" |
è il nome dell'Europäischen Wirtschaftsraum, anche dei Paesi dell'Unione Europea e di Islanda, Liechtenstein e Norvegia. |
"Standardvertragsklausel" |
bezeichnet die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten aus der Europäischen Union an Auftragsverarbeiter in Drittländern (Übermittlung von Daten an den für die Verarbeitung Verantwortlichen), die im Anhang des Beschlusses 2021/914/EU der Kommission vom 4. Juni 2021 enthalten sind und mit dem Nachtrag des Vereinigten Königreichs vom 21. März 2022 angenommen wurden. |
"Unterauftragsverarbeiter" |
è un fornitore di dati personali, che nel contesto della fornitura di servizi di assistenza si occupa di dati personali. |
"Verantwortlicher", "betroffene Person", "Auftragsverarbeiter", "Verarbeitung", "personenbezogene Daten", "Verletzung des Schutzes personenbezogener Daten". |
haben die Bedeutung, die ihnen in der DSGVO sowie in den einschlägigen Datenschutzgesetzen im Vereinigten Königreich wird. |
4. Elaborazione dei dati personali
4.1 Die Parteien erkennen an und vereinbaren, dass im Sinne der Datenschutzgesetze und im Hinblick auf die Verarbeitung personenbezogener Daten des Kunden der Anbieter der Auftragsverarbeiter und der Kunde der Verantwortliche ist.
4.2 Il Cliente garantisce e garantisce che: (i) die Übermittlung personenbezogener Daten des Kunden an den Anbieter in jeder Hinsicht mit den Datenschutzgesetzen übereinstimmt (insbesondere im Einklang mit den Regeln über die Erhebung und Verwendung der Daten steht); und (ii) die Betroffenen der personenbezogenen Daten des Kunden nach Treu und Glauben und durch angemessene Hinweise über die Verarbeitung informiert wurden (und alle etwaig erforderlichen Zustimmungen dieser Betroffenen sowie alle relevanten Erlaubnisse und Genehmigungen eingeholt und aufrechterhalten wurden), soweit dies nach den Datenschutzgesetzen in Verbindung mit allen Verarbeitungsaktivitäten erforderlich ist, die vom Anbieter und seinen Unterauftragsverarbeitern in Übereinstimmung mit diesem Vertrag durchgeführt werden;
4.3 L'operatore si impegna a fornire dati personali dei clienti solo (i) se questi sono necessari per l'ottenimento delle prestazioni, (ii) in conformità con le informazioni fornite dai clienti e (iii) in conformità con le disposizioni della legge sulla protezione dei dati.
4.4 Il Cliente ha la possibilità di verificare, nell'ambito dell'applicazione delle Leistungen, i dati personali in conformità con le disposizioni della Datenschutzgesetze. Il cliente deve assicurarsi che tutte le informazioni fornite all'operatore in merito alla verifica dei dati personali del cliente siano conformi alle norme sulla protezione dei dati.
4.5 Die Anweisungen des Kunden an den Anbieter in Bezug auf den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anhang A beschrieben. Zur Vermeidung von Zweifeln erkennen die Parteien an und sind sich darüber einig, dass vorbehaltlich der Ziffer 5, die in diesem AVV und in Anhang A aufgeführten Verarbeitungsanweisungen eine vollständige und abschließende Auflistung der Anweisungen des Kunden an den Anbieter darstellen.
4.6 L'Anbieter ha den Kunden unverzüglich zu benachrichtigen, wenn eine vom Kunden erteilte Anweisung nach vernünftiger Einschätzung des Anbieters wahrscheinlich gegen die Datenschutzgesetze verstoßen würde.
4.7 L'operatore non può modificare i dati personali dei clienti, né modificarli, né renderli inutilizzabili, né può gestire i dati personali dei clienti in un certo modo o la loro modifica in un certo modo, a meno che ciò non avvenga in base alle Bestimmungen del presente AVV.
4.8 Il personale dell'anbieter, che si occupa del trattamento dei dati personali dei clienti, viene informato sulla compatibilità dei dati personali dei clienti e riceve una formazione adeguata ai requisiti di protezione dei dati e ai requisiti di sicurezza. Il personale addetto all'assistenza è soggetto a un'accurata verifica dei requisiti di sicurezza idraulica.
4.9 In Anbetracht der Art der Verarbeitung personenbezogener Daten im Rahmen der erbrachten Leistungen muss der Anbieter gemäß Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Verarbeitung zu gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung oder Beschädigung, unbefugter Offenlegung oder unbefugtem Zugriff auf die personenbezogenen Daten des Kunden. Die Parteien erkennen an und vereinbaren, dass die in diesem AVV und insbesondere in Anhang B aufgeführten Sicherheitsmaßnahmen die geeigneten technischen und organisatorischen Maßnahmen darstellen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. L'analizzatore può far fallire le regole tecniche e organizzative, senza una Vorankündigung, se non vuole che si trovi una garanzia di sicurezza superiore o migliore. Le singole Maßnahmen possono essere sostituite da nuove Maßnahmen, che hanno lo stesso scopo, senza che la Sicherheitsniveau per la protezione dei dati personali debba essere presa in considerazione.
4.10 Der Anbieter unterstützt den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten des Kunden möglich ist, bei der Erfüllung der datenschutzrechtlichen Verpflichtungen des Kunden im Rahmen der Datenschutzgesetze, insbesondere im Zusammenhang mit der Geltendmachung von Rechten durch betroffene Personen, der Datenschutz-Folgenabschätzungen (im Zusammenhang mit der Nutzung der Leistungen des Anbieters durch den Kunden) sowie der Kommunikation mit Aufsichtsbehörden (jeweils in Verbindung mit einer Datenschutz-Folgenabschätzung im Zusammenhang mit den Leistungen des Anbieters).
4.11 Se le persone a carico, le persone a carico o le persone a carico o le persone a carico dell'Anbieter ricevono informazioni sul trattamento dei dati personali dei clienti, l'Anbieter deve informare i clienti di tali informazioni, in quanto le norme sulla protezione dei dati contengono una sola informazione; in questo caso l'Anbieter deve informare i clienti in merito alle norme sulla protezione dei dati, in modo che l'Anbieter possa decidere in merito a tali informazioni.
5. Lavoratore non dipendente
5.1 Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass der Anbieter im Zusammenhang mit der Erbringung von Leistungen die in Anhang C näher beschriebenen Unterauftragsverarbeiter einsetzen darf, bei denen es sich um verbundene Unternehmen des Anbieters und/oder Dritte handeln kann.
5.2 Il Kunde ha chiesto che l'Anbieter abbia un interesse generale a che nuovi Unterauftragsverarbeiter vengano assunti, senza che sia necessario un altro interesse specifico del Kunden. La condizione fondamentale è che l'Anbieter informi i clienti a dieci (30) giorni dalla verifica dei dati personali dei clienti in merito all'identità dei nuovi Unterauftragsverarbeiter.
5.3 Möchte der Kunde dem Einsatz des betreffenden Unterauftragsverarbeiter widersprechen, so hat er dies innerhalb von zehn (10) Werktagen nach Erhalt der Benachrichtigung durch den Anbieter schriftlich mitzuteilen. Erhebt der Kunde keine Einwände, so gilt dies als Zustimmung zum Einsatz des betreffenden Unterauftragsverarbeiters.
5.4 Se il Cliente si avvale di un nuovo collaboratore di Unterauftragsverarbeiter, l'operatore potrà effettuare tutte le modifiche necessarie, in modo che il Cliente possa ottenere una modifica delle condizioni di contratto o una modifica delle condizioni di contratto più vantaggiosa dal punto di vista economico, in modo che la verifica dei dati personali del Cliente avvenga in modo corretto. Se non c'è un'alternativa possibile, le parti hanno il diritto di chiudere il contratto.
5.5 Die Mitteilung des Anbieters an den Kunden über einen neuen Unterauftragsverarbeiter umfasst auch die Bereitstellung eines aktualisierten Appendice C. L'operatore è abilitato, L'Appendice C auf dem neuesten Stand zu halten.
5.6 L'anbieter è responsabile nei confronti del cliente per l'adempimento delle sue obbligazioni nei confronti dei dipendenti.
6. Trasporto dei dati
6.1 Gemäß Artikel 28 Abs. 3 (a) DSGVO darf der Anbieter keine personenbezogenen Daten des Kunden in Länder außerhalb des EWR oder des Vereinigten Königreichs (je nach Anwendbarkeit) übertragen und darf dies auch keinem Unterauftragsverarbeiter erlauben, es sei denn, es ist in dieser Vereinbarung vorgesehen. Um Zweifel auszuschließen, erklärt sich der Kunde hiermit mit der Übertragung und Verarbeitung der personenbezogenen Daten gemäß Appendice A e invertito.
6.2 Der Anbieter erkennt an, dass im Einklang mit der DSGVO ein angemessener Schutz für die personenbezogenen Daten nach einer Übermittlung außerhalb des Vereinigten Königreichs oder des EWR (entweder direkt oder über die Weiterübermittlung durch einen Unterauftragsverarbeiter) bestehen muss, und schließt mit dem Kunden und/oder einem Unterauftragsverarbeiter entsprechende Vereinbarungen. Dazu gehören die geltenden Standardvertragsklauseln, es sei denn, es besteht ein anderer Angemessenheitsmechanismus für die Übermittlung (z.B. das EU-US-Data Privacy Framework).
7. Verifica dei dati personali
7.1 In caso di perdita di dati personali, che possono essere modificati dai dati personali del cliente, l'operatore deve essere in grado di fornire informazioni:
7.1.1 den Kunden unverzüglich (innerhalb von maximal 48 Stunden) benachrichtigen, damit der Kunde die Meldepflichten nach der DSGVO erfüllen kann, und den Kunden angemessen dabei unterstützen, wenn er einer betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitteilen muss. L'analizzatore deve fornire le informazioni rilevanti in modo chiaro e preciso, a patto che siano verosimili. Eine entsprechende Benachrichtigung ist nicht als Eingeständnis eines Verschuldens oder einer Haftung seitens des Anbieters auszulegen.
7.1.2 angemessene Anstrengungen unternehmen, um die Ursache einer solchen Verletzung des Schutzes personenbezogener Daten zu ermitteln und alle Schritte unternehmen, die der Anbieter für angemessen und durchführbar hält, um die Ursache einer solchen Verletzung zu beheben.
7.1.3 vorbehaltlich der Bestimmungen dieses AVV, den Kunden dessen auf Verlangen, in angemessener Weise bei der Korrektur oder Behebung einer Verletzung des Schutzes personenbezogener Daten unterstützen.
8. Verzeichnis von Verarbeitungstätigkeiten
8.1 Soweit dies auf die Verarbeitung durch den Anbieter für den Kunden zutrifft, hat der Anbieter ein Verzeichnis über alle nach Artikel 30 Abs. 2 DSGVO erforderlichen Angaben zu führen und es dem Kunden auf Anfrage zur Verfügung zu stellen.
9. Kontrollbefugnisse
9.1 Der Anbieter stellt dem Kunden auf Anfrage angemessene Informationen zur Verfügung, die für den Nachweis der Einhaltung seiner Datenschutzverpflichtungen gemäß der Datenschutzgesetze erforderlich sind, und sorgt dafür, dass auch seine Unterauftragsverarbeiter diese Informationen zur Verfügung stellen, und gestattet dem Kunden oder einem vom Kunden beauftragten Prüfer Kontrollen, einschließlich der Inspektionen seiner Geschäftsräume, in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden, vorausgesetzt, dass ein solcher Prüfer kein Wettbewerber des Anbieters ist.
9.2 Der Kunde hat jede Kontrolle mindestens sechzig (60) Tage im Voraus anzukündigen, es sei denn es besteht eine kürzere Ankündigungsfrist aufgrund anwendbarer Datenschutzgesetze oder der Entscheidung einer zuständigen Datenschutzbehörde. Die Häufigkeit und der Umfang der Kontrollen werden von den Parteien nach Treu und Glauben einvernehmlich festgelegt.
9.3 Il cliente si accolla i costi di ogni controllo. Se, a seguito di una Prüfung, l'operatore si è rifiutato di pagare le proprie spese, l'operatore potrà pagare le spese di controllo in modo inequivocabile.
10. Durata
10.1 Dieser AVV bleibt in vollem Umfang in Kraft und wirksam, solange:
10.1.1 Il Vertrag in Kraft bleibt; o
10.1.2 L'analizzatore di dati personali dei clienti in un proprio appartamento o sotto il proprio controllo.
10.2 Tutte le Bestimmungen dieses AVV, che ausdrücklich o stillschweigend, bei oder nach Beendigung des Vertrages in Kraft treten oder fortbestehen sollen, um die personenbezogenen Daten des Kunden zu schützen, bleiben in vollem Umfang in Kraft und wirksam.
11. Rückgabe e Vernichtung dei dati
11.1 L'Anbieter potrà, su ordine del cliente, dopo la fine dell'accettazione delle richieste di pagamento, modificare i dati personali del cliente, oppure potrà fornire a quest'ultimo un'offerta di pagamento e di acquisto, in modo da evitare che i dati personali del cliente vengano modificati. Se non c'è un ordine di cancellazione del cliente, l'operatore può cancellare i dati personali del cliente dopo un anno (90) dall'invio del messaggio.
11.2 Auf Verlangen des Kunden teilt der Anbieter schriftlich mit, welche Maßnahmen hinsichtlich der personenbezogenen Daten des Kunden getroffen wurden.
12. Haftung
12.1 L'Anbieter dovrà liberare il cliente da tutti i costi, le spese, gli oneri o le prestazioni, che il cliente dovrà sostenere in caso di violazione delle norme sulla protezione dei dati (datenschutzrechtliche Pflichten dieses AVV) o delle norme sulla protezione dei dati (Datenschutzgesetze) in base all'articolo 82 DSGVO dell'Anbieter o dei suoi collaboratori, Unterauftragsverarbeiter, Subunternehmer o Vertreter.
12.2 Ungeachtet anderslautender Bestimmungen in diesem AVV oder im Vertrag (insbesondere die Entschädigungsverpflichtungen einer Partei) ist keine Partei für Geldbußen verantwortlich, die gemäß Artikel 83 DSGVO von einer Aufsichtsbehörde oder staatlichen Stelle gegen die jeweils andere Partei für Verstöße gegen Datenschutzgesetze dieser anderen Partei verhängt oder erhoben werden.
12.3 Vorbehaltlich der in Ziffer 12.1 dargelegten gesetzlichen Pflichten und der in Ziffer 12.2 dargelegten Beschränkungen unterliegt die Haftung jeder Partei im Rahmen dieses AVV den im Vertrag dargelegten Haftungsausschlüssen und -beschränkungen. Jede Bezugnahme auf eine "Haftungsbeschränkung" einer Partei im Vertrag ist so auszulegen, dass sie die gesamte Haftung einer Partei und aller ihrer Tochtergesellschaften und verbundenen Unternehmen im Rahmen des Vertrags und dieses AVV umfasst.
13. Documentazione
13.1 Jede Partei is für die Einhaltung ihrer Dokumentationspflichten verantwortlich, insbesondere für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, soweit dies nach den Datenschutzgesetzen erforderlich ist.
Anhang A
Zwecke e Einzelheiten der Verarbeitung personenbezogener Daten| Gegenstand der Verarbeitung | Dettagli | Gilt für: |
|---|---|---|
ZweckSi prega di contattare tutti gli uffici, per i quali i dati personali dell'operatore vengono elaborati. |
Sistema Gestione del sistema Fornitura di servizi di sistema in base al modulo allegato. Vedere sotto: |
Tutti i clienti |
| Richtlinien, Wissensüberprüfung | I clienti che hanno acquistato il modulo Policy (PolicyLite, MetaEngage e MetaPolicy) | |
| eLearning, media di prestigio | Clienti che hanno scelto il modulo di eLearning (MetaLearning Fusion) | |
| Protezione dei dati | Clienti che hanno scelto il modulo MetaPrivacy | |
| Zwischenfallberichte | I clienti, che hanno scelto il modulo MetaIncident, hanno | |
| Campagne di phishing simulate | Clienti che hanno aderito a MetaPhish | |
| SCORM-Übertragung sul Kunden-LMS | I clienti, che hanno scelto l'Übertragung SCORM | |
Tipi di dati personaliFornite i dati personali che l'analizzatore deve verificare. |
Vorname, Nachname, E-Mail-Adresse, Abteilung, Ausbildungsnachweis | Tutti i clienti |
| Unità organizzativa (OU) di Active Directory | Clienti, che utilizzano Azure AD o AD vor Ort | |
| LMS-Kennung | I clienti, che hanno scelto l'Übertragung SCORM | |
Categorie di persone che sono state affidate a un'altra personaSi prega di indicare le categorie di persone che si sono trasferite, i cui dati personali sono stati modificati dall'operatore. |
Collaboratori dei clienti, Auftragnehmer, Lieferanten, partner e/o aziende collegate. | Tutti i clienti in Übereinstimmung mit den dem Anbieter zur Verfügung gestellten Daten der betroffenen Personen. Il cliente può ottenere questi dati solo in seguito a un'assunzione di responsabilità per le prestazioni. |
Tätigkeiten VerarbeitendeSelezionare tutti i metodi di lavoro dell'analizzatore più diffusi. |
Elaborazione e garanzia dei dati personali dei clienti, in modo che i contatti con gli utenti autorizzati sulla piattaforma MyCompliance possano essere chiariti e gestiti. Verteilung verschiedener Benachrichtigungs-E-Mails, die durch das MetaCompliance MyCompliance-System ausgelöst werden. | Tutti i clienti |
| Verifica delle e-mail di phishing simulate, che sono state inviate dai clienti tramite la piattaforma MyCompliance di MetaCompliance. | Clienti che hanno aderito a MetaPhish | |
| Speicherung von personenbezogenen Daten, wenn diese vom Kunden über das MetaCompliance MetaPrivacy-Modul eingegeben werden. | Clienti che hanno scelto il modulo MetaPrivacy | |
| Comunicazione con il Kunden-LMS e valutazione del livello di qualità | I clienti, che hanno scelto l'Übertragung SCORM | |
Sede di lavoroSi prega di contattare tutti gli uffici in cui i dati personali dell'operatore possono essere modificati. |
Vereinigtes Königreich (MetaCompliance Group ALSO von Microsoft Azure und Amazon Web Services, wie in Anhang C angegeben) Germania (Gruppo MetaCompliance) Dänemark (Gruppo MetaCompliance) Portogallo (Gruppo MetaCompliance) Irlanda (MetaCompliance Group ALSO von Microsoft Azure und Amazon Web Services wie in Anhang C angegeben). Olanda (Microsoft Azure come in Anhang C) Kanada (Microsoft Azure e Amazon Web Services come in Anhang C). | Tutti i clienti, se necessario. Per ulteriori informazioni consultare l'Anhang C. |
Requisiti per l'assistenza tecnicaSi prega di fornire sempre i dati personali del cliente all'analizzatore. |
Quando un Kundenabonnement è abgelaufen o gekündigt wird, werden alle damit verbundenen personenbezogenen Daten des Kunden 90 Tage lang aufbewahrt, bevor sie tatsächlich gelöscht werden, um einen Datenverlust bei versehentlicher Kündigung zu verhindern. | Tutti i clienti |
Anhang B
SicurezzaL'operatore è obbligato a fornire le opportune misure tecniche e organizzative per la protezione dei dati personali dei clienti, in modo da garantire che i clienti possano usufruire delle misure di sicurezza e di protezione dei dati personali, e che i clienti possano essere aiutati a rispettare le norme di sicurezza e le norme di protezione dei dati. Die Maßnahmen müssen zu einem angemessenen Sicherheitsniveau führen, wobei das Folgende zu beachten ist:
(a) bestehende technische Möglichkeiten;
(b) i costi per la consegna di questa Maßnahme;
(c) i rischi maggiori che si corrono con l'elaborazione dei dati personali dei clienti; e
(d) la sensibilità dei dati personali dei clienti che vengono elaborati.
L'analizzatore si adopera per una maggiore protezione dei dati personali del cliente. L'Anbieter protegge i dati personali dei clienti da distruzione, perdita, violazione o furto. I dati personali dei clienti sono validi anche nei confronti di tutte le altre forme di manipolazione non corretta. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten und unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen müssen die vom Anbieter zu treffenden technischen und organisatorischen Maßnahmen Folgendes umfassen:
(a) la Pseudonimizzazione e la Verschlüsselung dei dati personali dei clienti;
(b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die personenbezogene Daten des Kunden verarbeiten, zu gewährleisten;
(c) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten des Kunden im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und
(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Zusätzlich zu den oben genannten technischen und organisatorischen Maßnahmen ergreift der Anbieter die folgenden Maßnahmen:
(a) einen physischen Zugangsschutz, bei dem Computerausrüstung und entfernbare Daten, die personenbezogene Daten des Kunden enthalten, in den Räumlichkeiten des Anbieters unter Verschluss gehalten werden, wenn sie nicht überwacht werden, um sie vor unbefugter Nutzung, Beeinflussung und Diebstahl zu schützen.
(b) una procedura di verifica per il controllo della rilettura (read back) dopo l'inserimento di dati personali dei clienti nelle Sicherungskopien.
(c) eine Berechtigungskontrolle, bei der Zugriff des Anbieters auf die personenbezogenen Daten des Kunden durch ein technisches System der Berechtigungskontrolle verwaltet wird. La Berechtigung è da intendersi a favore dei soggetti che operano in modo corretto con i dati personali dei clienti. I dati di accesso e le password sono personali e non possono essere trasferiti ad altre persone. Devono essere disponibili delle verifiche per la selezione e l'inserimento di richieste di risarcimento.
(d) Aufzeichnungen darüber führen, wer Zugang zu den personenbezogenen Daten des Kunden hat.
(e) eine sichere Kommunikation, bei der externe Datenkommunikationsverbindungen durch technische Funktionen geschützt werden, die sicherstellen, dass die Verbindung autorisiert ist, sowie durch eine Inhaltsverschlüsselung für Daten, die auf Kommunikationskanälen außerhalb der vom Anbieter kontrollierten Systeme übertragen werden.
(f) ein Verfahren zur Gewährleistung einer sicheren Datenvernichtung, wenn ortsfeste oder entfernbare Speichermedien nicht mehr für ihren Zweck verwendet werden sollen.
(g) Routine für den Abschluss von Vertraulichkeitsvereinbarungen mit Anbietern, die Reparatur- und Wartungsarbeiten an Geräten durchführen, die zur Speicherung personenbezogener Kundendaten verwendet werden.
(h) Routinen für die Überwachung der von Dritten in den Räumlichkeiten des Anbieters erbrachten Dienstleistungen. Die Speichermedien mit den personenbezogenen Daten des Kunden sind zu entfernen, wenn eine Überwachung nicht möglich ist.
Anhang C
Lavoratori con contratto di lavoro a tempo indeterminato (Zugelassene Unterauftragsverarbeiter)| Lavoratore autonomo | Standort |
|---|---|
| Microsoft Azure (ospita le funzioni nel cloud) | Olanda Irlandia |
| Amazon Web Services (unter Vertrag mit "AWS Europe", als vertraglicher E-Mail Provider) | Irlandia |
| MetaCompliance Limited (offre assistenza tecnica e supporto ai clienti) | Vereinigtes Königreich |
| MOCH A/S, un'azienda del gruppo MetaCompliance (fornitura di servizi di assistenza ai clienti) | Dänemark |
| MetaCompliance Ireland Ltd è un gruppo di MetaCompliance (che si occupa di fornire assistenza ai clienti). | Irlandia |
| MetaCompliance Ireland Ltd Sucursal | Portogallo |