Tenga en cuenta:
Esta es una traducción del alemán al español para mayor comodidad. En caso de diversidad de interpretación, prevalecerá la versión alemana.
Acuerdo de procesamiento de pedidos
Contrato para el procesamiento de datos personales en nombre de un controlador de conformidad con el artículo 28 GDPR
entre
clientes o usuarios de spacific GmbH de los productos de la plataforma Spacific Solution
como controlador - en lo sucesivo denominado "Cliente" -
y
Spacific GmbH
Drögensee 39b
D-22397 Hamburgo, Alemania
como encargado del tratamiento, en lo sucesivo denominado "Contratista":
- Cliente y contratista en lo sucesivo cada uno también "parte" y conjuntamente "partes" -
Preámbulo
El Contratista proporcionará servicios para el Cliente a partir de los productos de la Plataforma de Soluciones Spacific reservada por el Contratista. La relación comercial entre el contratista y el cliente ha comenzado a más tardar con el registro del cliente en portal.spacific.de. Este acuerdo describe las obligaciones de las partes contratantes derivadas del registro del cliente en el Portal de Soluciones de Spacific (en adelante: "Contrato Principal"). Parte de la ejecución del contrato principal es el procesamiento de datos personales en el sentido del Reglamento General de Protección de Datos ("GDPR"). Con el fin de cumplir con los requisitos del GDPR para tales constelaciones, las partes celebran el siguiente contrato, cuyo cumplimiento no se remunera por separado, a menos que esto se haya acordado expresamente.
§ 1 Objeto/alcance de la cesión
(1) La cooperación de las partes de conformidad con el contrato principal implica que el contratista recibe acceso a los datos personales del cliente (en lo sucesivo, "datos del cliente") y los procesa, en la medida en que exista el procesamiento de pedidos, exclusivamente en nombre y de acuerdo con las instrucciones del cliente en el sentido del Art. 4 No. 8 y el Art. 28 GDPR.
(2) El procesamiento de los datos del cliente por parte del contratista en el contexto del procesamiento de pedidos se lleva a cabo exclusivamente de la manera especificada en el Anexo 1, así como en el alcance y el propósito especificados en el mismo. El grupo de personas afectadas por el tratamiento de datos figura en el anexo 2 del presente contrato. La duración del procesamiento corresponde a la duración del contrato principal.
(3) El Contratista tiene prohibido procesar datos del Cliente que se desvíen o vayan más allá de las especificaciones de los Apéndices 1 y 2 . Esto también se aplica al uso de datos anónimos.
(4) El tratamiento de los datos del cliente tiene lugar exclusivamente en el territorio de la República Federal de Alemania, en un Estado miembro de la Unión Europea o en otro Estado contratante del Acuerdo sobre el Espacio Económico Europeo. Cualquier reubicación en un tercer país solo puede tener lugar si se cumplen los requisitos especiales de los artículos 44 a 49 del RGPD.
(5) Las disposiciones de este contrato se aplican a todas las actividades relacionadas con el contrato principal y en las que el contratista y sus empleados o agentes del contratista entran en contacto con datos personales procedentes del cliente o recopilados para el cliente, a menos que el contratista sea responsable en el sentido del art. 4 n.º 7 del RGPD en el contexto del tratamiento .
§ 2 Autoridad del cliente
(1) El contratista procesa los datos del cliente dentro del alcance del procesamiento de pedidos solo dentro del alcance del pedido y exclusivamente en nombre y de acuerdo con las instrucciones del cliente en el sentido del Art. 28 GDPR (procesamiento de pedidos), esto se aplica en particular con respecto a la transferencia de datos personales a un tercer país o a una organización internacional. A este respecto, el cliente tiene el derecho exclusivo de emitir instrucciones sobre el tipo, el alcance y el método de las actividades de procesamiento (en lo sucesivo, también denominado "derecho a emitir instrucciones"). Si el contratista está obligado por la legislación de la Unión Europea o de los Estados miembros a los que está sujeto a un tratamiento posterior, informará al cliente de estos requisitos legales antes del tratamiento.
(2) Las instrucciones generalmente son dadas por el cliente por escrito (aquí y en el siguiente también se incluye el formulario de texto); Las instrucciones dadas oralmente deben ser confirmadas por escrito por el cliente. Las personas autorizadas para impartir instrucciones y recibirlas figuran en el anexo 3. En caso de cambio o prevención a largo plazo de las personas mencionadas en el Apéndice 3, el sucesor o representante debe ser nombrado para la otra parte inmediatamente en forma de texto. El Contratista notificará al Cliente de un cambio en la persona con derecho a emitir instrucciones en una etapa temprana. Hasta que el cliente reciba dicha notificación, las personas nombradas seguirán considerándose con derecho a recibirla.
(3) Si el Contratista considera que una instrucción del Cliente infringe las normas de protección de datos, debe informar al Cliente en consecuencia sin demora. El contratista tiene derecho a suspender la ejecución de la instrucción pertinente hasta que sea confirmada o modificada por el cliente.
§ 3 Medidas de protección del contratista
(1) El contratista está obligado a observar las disposiciones legales sobre protección de datos y a no transmitir la información obtenida del área del cliente a terceros o a suspender su acceso. Los documentos y datos deben estar protegidos contra el acceso de personas no autorizadas, teniendo en cuenta el estado de la técnica.
(2) Además, el Contratista obligará a todas las personas a las que haya confiado el procesamiento y la ejecución del presente contrato (en lo sucesivo, "empleados") a la confidencialidad por escrito (obligación de confidencialidad, Art. 28 párr. 3 lit. b GDPR) y garantizar el cumplimiento de esta obligación con el debido cuidado. A petición del Cliente, el Contratista proporcionará al Cliente una prueba por escrito de la obligación de los empleados.
(3) El Contratista diseñará su organización interna de tal manera que cumpla con los requisitos especiales de protección de datos. Se compromete a tomar todas las medidas técnicas y organizativas apropiadas para la protección adecuada de los datos del cliente de conformidad con el art. 32 GDPR, en particular las medidas enumeradas en el Anexo 4 de este contrato, y a mantenerlas durante la duración del procesamiento de los datos del cliente.
(4) El Contratista se reserva el derecho de cambiar las medidas técnicas y organizativas adoptadas, asegurando que el nivel de protección acordado contractualmente no se vea socavado. El Contratista informará inmediatamente al Cliente por escrito si tiene motivos para creer que las medidas de conformidad con el Anexo 4 ya no son suficientes y se coordinará con él con respecto a otras medidas técnicas y organizativas.
(5) A petición del Cliente, el Contratista proporcionará al Cliente pruebas del cumplimiento de las medidas técnicas y organizativas especificadas en el Anexo 4.
§ 4 Obligaciones de información y apoyo del contratista
(1) En caso de mal funcionamiento, sospecha de violaciones de la protección de datos o incumplimientos de las obligaciones contractuales del Contratista, sospecha de incidentes relevantes para la seguridad u otras irregularidades en el procesamiento de los datos del Cliente por parte del Contratista, las personas empleadas por el Contratista dentro del alcance del pedido o por terceros, el Contratista informará al Cliente sin demora. Las notificaciones de conformidad con el § 4 (1) frase 1 contienen al menos la información especificada en el Art. 33 (3) GDPR , en la medida en que esté disponible para el contratista.
(2) En el caso del § 4 (1), el Contratista apoyará al Cliente en el cumplimiento de sus medidas de aclaración, reparación e información a este respecto dentro del alcance de lo que es razonable. En particular, el Contratista tomará inmediatamente las medidas necesarias para proteger los datos y reducir las posibles consecuencias adversas de las personas afectadas, informará de ello al Cliente y solicitará instrucciones adicionales.
(3) A petición oral o escrita, el Contratista se compromete a proporcionar al Cliente toda la información y evidencia dentro de un período de tiempo razonable que sea necesario para llevar a cabo una inspección de acuerdo con el § 7 (1) de este contrato.
§ 5 Otras obligaciones del contratista
(1) El Contratista está obligado a mantener un registro de todas las categorías de actividades de procesamiento llevadas a cabo en nombre del Cliente de conformidad con el Artículo 30 (2) GDPR.
(2) El contratista está obligado a apoyar al cliente en la preparación de una evaluación de impacto de protección de datos de conformidad con el art. 35 del RGPD y cualquier consulta previa de la autoridad de control de conformidad con el art. 36 del RGPD.
§ 6 Relaciones con los subcontratistas
(1) Por la presente, el Cliente otorga al Contratista permiso general para involucrar a otros procesadores con respecto al procesamiento de los datos del Cliente. Los demás transformadores consultados en el momento de la celebración del contrato figuran en el apéndice 5. En general, las relaciones contractuales con proveedores de servicios que tienen por objeto el examen o mantenimiento de métodos o sistemas de procesamiento de datos por parte de otros organismos u otros servicios auxiliares no están sujetas a aprobación, incluso si el acceso a los datos del cliente no puede excluirse mientras el contratista establezca las regulaciones adecuadas para proteger la confidencialidad de los datos del cliente.
(2) Tampoco existe una relación de subcontratista en el sentido de estas disposiciones si el contratista encarga a terceros servicios que deben considerarse servicios puramente auxiliares. Esto incluye, por .B, servicios postales, de transporte y envío, servicios de limpieza, servicios de seguridad, servicios de telecomunicaciones sin referencia específica a los servicios prestados por el contratista para el cliente, así como otras medidas para garantizar la confidencialidad, disponibilidad, integridad y resiliencia del hardware y software de los sistemas de procesamiento de datos. La obligación del contratista de garantizar el cumplimiento de la protección de datos y la seguridad de los datos en estos casos no se ve afectada.
(3) El Contratista informará al Cliente de cualquier cambio previsto con respecto a la participación o reemplazo de otros procesadores. En casos individuales, el cliente tiene derecho a oponerse a la puesta en marcha de un posible procesador adicional. Una objeción solo puede ser planteada por el cliente por razones importantes que se demostrarán al contratista. Si el cliente no se opone dentro de los 14 días posteriores a la recepción de la notificación, su derecho de objeción con respecto al pedido correspondiente expira. Si el cliente se opone, el contratista tiene derecho a rescindir el contrato principal y este contrato con un período de preaviso de 3 meses.
(4) El contrato entre el contratista y el otro transformador deberá imponer a este último las mismas obligaciones que incumben al contratista en virtud del presente contrato. Las partes acuerdan que este requisito se cumple si el contrato tiene un nivel de protección correspondiente a este contrato o .dem otros procesadores están sujetos a las obligaciones establecidas en el Artículo 28 (3) GDPR.
§ 7 Derechos de control
(1) El cliente tiene derecho a verificar regularmente el cumplimiento de las disposiciones de este contrato, en particular la implementación y el cumplimiento de las medidas técnicas y organizativas de acuerdo con el § 3 (3) de este acuerdo. A tal efecto, podrá, por .B, obtener información del Contratista, hacer que los certificados existentes sean presentados por expertos, certificaciones o pruebas internas, o hacer que las Medidas Técnicas y Organizativas del Contratista sean verificadas personalmente o por un tercero competente durante el horario comercial normal , siempre que esto no esté en una relación competitiva con el Contratista.
(2) El Cliente solo llevará a cabo comprobaciones en la medida necesaria y tendrá debidamente en cuenta los procedimientos operativos del Contratista. Las partes acordarán a su debido tiempo el momento y la naturaleza del examen.
(3) El cliente deberá documentar el resultado de la inspección e informar al contratista de ello. En caso de errores o irregularidades que el cliente descubra, en particular durante el examen de los resultados del pedido, debe informar inmediatamente al contratista. Si, durante la inspección, se identifican hechos cuya futura evitación requiere cambios en el procedimiento ordenado, el Cliente informará inmediatamente al Contratista de los cambios de procedimiento necesarios.
(4) Para llevar a cabo inspecciones de conformidad con el párrafo 1, el cliente tiene derecho a ingresar a las instalaciones comerciales del contratista en el marco del horario comercial normal (de lunes a viernes de 10 a.m. a 6 p.m.) después de un aviso oportuno (generalmente con al menos dos semanas de anticipación) a su propio costo, sin perturbar el curso de las operaciones y bajo estricto secreto de los secretos comerciales y comerciales del contratista, en el que se procesan los datos del cliente.
(5) Si el cliente encarga a un tercero que lleve a cabo la inspección, el cliente debe obligar al tercero por escrito, así como el cliente está obligado al contratista sobre la base de esta sección. Además, el cliente debe obligar al tercero al secreto y secreto, a menos que el tercero esté sujeto a una obligación de confidencialidad profesional. A petición del Contratista, el Cliente le presentará inmediatamente los acuerdos de compromiso con el tercero.
§ 8 Derechos de los interesados
(1) Si es posible, el Contratista apoyará al Cliente con las medidas técnicas y organizativas adecuadas en el cumplimiento de sus obligaciones en virtud de los artículos 12 a 22 y 32 a 36 del RGPD. Proporcionará inmediatamente al cliente la información deseada sobre los datos del cliente, a menos que el propio contratista tenga la información correspondiente.
(2) Si el interesado hace valer sus derechos de conformidad con los artículos 16 a 18 del RGPD , el Contratista está obligado a corregir, eliminar o restringir los datos del Cliente sin demora siguiendo las instrucciones del Cliente.
(3) Si un interesado hace valer derechos, como el suministro de información, corrección o eliminación con respecto a sus datos, directamente contra el Contratista, el Contratista enviará inmediatamente esta solicitud al Cliente y esperará sus instrucciones. Sin las instrucciones individuales apropiadas, el contratista no se pondrá en contacto con el interesado.
§ 9 Plazo y terminación
(1) La duración de este contrato corresponde a la duración del contrato principal. Si el contrato principal puede rescindirse correctamente, se aplicarán en consecuencia las disposiciones sobre rescisión ordinaria. En caso de duda, la rescisión del contrato principal también se considerará una rescisión de este contrato y la rescisión de este contrato se considerará una rescisión del contrato principal.
(2) El cliente tiene derecho en cualquier momento a una rescisión extraordinaria de este contrato por causa justificada. Existe una razón importante si el contratista no cumple con sus obligaciones en virtud de este contrato, viola intencional o gravemente negligentemente las disposiciones del GDPR o no puede o no quiere llevar a cabo una instrucción del cliente. En el caso de violaciones simples, es decir, ni intencionales ni gravemente negligentes, el Cliente primero establecerá al Contratista un período razonable dentro del cual el Contratista pueda remediar la violación. Después de la expiración infructuosa de este período, el cliente tiene derecho a la terminación extraordinaria.
§ 10 Eliminación y devolución después de la finalización del contrato
(1) Después de la terminación del contrato principal, el contratista eliminará completa e irrevocablemente todos los documentos y datos que se le proporcionen, a menos que exista un período de retención legal. Esto también se aplica a las duplicaciones de los datos del cliente en las instalaciones del contratista, como las copias de seguridad de datos.
(2) Las partes están obligadas a tratar confidencialmente los datos que hayan conocido en relación con el contrato principal, incluso después de la finalización del contrato principal.
§ 11 Responsabilidad
(1) La responsabilidad de las partes se rige por el art. 82 del RGPD. Cualquier responsabilidad del contratista hacia el cliente debido al incumplimiento de las obligaciones en virtud de este contrato o el contrato principal no se ve afectada por esto.
2) Las partes se indemnizarán contra la responsabilidad si una de las partes demuestra que no es en modo alguno responsable de la circunstancia por la que se produjo el daño a una persona interesada. § 11 sección 2 frase 1 se aplicará mutatis mutandis en el caso de una multa impuesta a una parte, por lo que la exención se hará en la medida en que la otra parte comparta la responsabilidad por la infracción sancionada por la multa.
§ 12 Disposiciones finales
(1) Los cambios y adiciones a este acuerdo deben hacerse por escrito. Esto también se aplica a la exención de este requisito formal.
(2) En caso de duda, las disposiciones de este contrato prevalecerán sobre las disposiciones del contrato principal. En caso de que las disposiciones individuales de este acuerdo resulten ser inválidas o inaplicables en su totalidad o en parte o se vuelvan inválidas o inaplicables como resultado de cambios en la legislación después de la celebración del contrato, esto no afectará la validez de las disposiciones restantes. La disposición inválida o inaplicable será reemplazada por una disposición válida y ejecutable que se acerque lo más posible al significado y propósito de la disposición nula.
(4) El presente Acuerdo está sujeto a la legislación alemana. El lugar exclusivo de jurisdicción es Hamburgo.
Poso
Anexo 1 – Concreción del Arte. Alcance y finalidad del tratamiento de datos
El contratista ofrece soluciones de realidad aumentada, incluida la creación y el procesamiento de mediciones digitales y modelos 3D. Para utilizar las soluciones, el cliente establece una cuenta de usuario digital con el contratista, en la que el cliente gestiona sus proyectos, que a su vez lleva a cabo con sus clientes (por ejemplo.B. la creación de una medición). Como regla general, los datos generados normalmente en el contexto de la relación contractual entre el cliente y el contratista, así como los datos generados normalmente en el contexto de los proyectos entre el cliente y sus clientes, se almacenan en la cuenta de usuario. Esto incluye, en particular, los datos de contacto oficiales (apellidos, nombre, dirección de correo electrónico) de los empleados del cliente y, si corresponde, los datos correspondientes de los clientes del cliente o de terceros, ya que el cliente puede gestionar sus proyectos (incluido el material de imagen) en su cuenta de usuario en el marco de una estructura de cliente. El propósito del procesamiento de datos es la provisión de las soluciones de realidad aumentada mencionadas anteriormente.
Anexo 2 – Descripción de los tipos de datos y categorías de interesados
Ver la información en el Apéndice 1
Anexo 3 – Personas autorizadas a dictar instrucciones y a recibirlas
Contratista: Dennis Ahrens, Director General
Cliente: El primer usuario que se ha hecho cargo del registro para el cliente.
Apéndice 4 – Medidas técnicas y organizativas del contratista (Art. 32 GDPR)
Apéndice 5 – Subprocesadores actuales
Servicios en la nube de Microsoft (ubicación del servidor en la UE):servicios de almacenamiento en la nube; Proveedores de servicios: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 USA; Sitio web: https://microsoft.com/de-de; Política de privacidad: https://privacy.microsoft.com/de-de/privacystatement, Instrucciones de seguridad: https://www.microsoft.com/de-de/trustcenter.
Sistema CRM: Proveedor de servicios: HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlín, Sitio web: https://www.hubspot.de/; Política de Privacidad: https://legal.hubspot.com/de/privacy-policy; DPA: https://legal.hubspot.com/de/dpa
Sistema de facturación: Proveedor de servicios SevDesk GmbH, Hauptstraße 11577652 Offenburg Alemania Política de privacidad https://sevdesk.de/sicherheit-datenschutz/#datenschutz
Lista de verificación de TOM
- Acceso
|
| Sí | No | Observaciones |
1. | Las entradas a los puestos de trabajo están suficientemente aseguradas (puertas y ventanas con cerradura). | x |
| Política de trabajo móvil |
2. | Las instalaciones están monitoreadas (videovigilancia, sistema de alarma). |
| x | Política de trabajo móvil |
3. | Hay un portero / recepción. |
| x | Política de trabajo móvil |
4. | Hay un sistema de control de acceso (por ejemplo, con tarjetas con chip). |
| x | Política de trabajo móvil |
5. | Se mantiene una lista de los titulares de llaves. |
| x | Política de trabajo móvil |
6. | Se reconoce el resultado clave. |
| x | Política de trabajo móvil |
7. | Al comienzo y al final del trabajo, las oficinas individuales se abren o cierran. |
| X | Política de trabajo móvil |
8. | Existe el concepto de qué empleados tienen acceso a qué áreas de la empresa. |
| X | Política de trabajo móvil |
9. | Los empleados/personas autorizadas a entrar son fácilmente reconocibles externamente (ropa oficial, tarjetas de identificación visibles) |
| X | Política de trabajo móvil |
10. | Las visitas están documentadas. | X |
| Política de trabajo móvil |
11. | Las áreas de acceso público (zonas públicas) están claramente separadas del resto de la empresa. |
| X | Política de trabajo móvil |
12. | El personal de limpieza es cuidadosamente seleccionado y obligado a mantener la confidencialidad en el manejo de los datos. |
| X | Política de trabajo móvil |
13. | Los guardias de seguridad son cuidadosamente seleccionados y obligados a mantener la confidencialidad en el manejo de los datos. |
| X | Política de trabajo móvil |
14. | Se comprueba la presencia y ausencia de empleados (reloj de tiempo). |
| x | Política de trabajo móvil |
15. | Se utilizó asesoramiento sobre la protección contra robos por parte de la policía o un proveedor de servicios especializado y se evaluaron los resultados. |
| x | Política de trabajo móvil |
- Control de acceso físico
|
| Sí | No | Observaciones |
1. | Se utiliza un cortafuegos. | X |
|
|
2. | Se utiliza un escáner de virus. | X |
|
|
3. | Hay un sistema de detección de intrusos . | X |
|
|
4. | El acceso externo es a través de VPN. |
| X |
|
5. | Todos los equipos están protegidos por contraseña. | X |
|
|
6. | Cada empleado tiene su propia cuenta de usuario. | X |
|
|
7. | Hay ajustes preestablecidos para las contraseñas (longitud, caracteres especiales, ...). | X |
|
|
8. | Hay especificaciones sobre la frecuencia con la que se debe cambiar la contraseña. | X |
|
|
9. | Registra la frecuencia con la que las contraseñas se han introducido incorrectamente. |
| X |
|
10. | Los registros de entrada de contraseña incorrecta se evalúan regularmente. |
| X |
|
11. | Para un cierto número de entradas incorrectas, el acceso está bloqueado. | X |
|
|
12. | Después de una entrada incorrecta, el nuevo registro solo es posible con un retraso de tiempo. | X |
|
|
13. | Se utiliza la autenticación de dos factores. | X |
|
|
14. | Las computadoras en áreas sensibles no tienen ranuras USB ni unidades de DVD / CD. |
| X |
|
15. | Los discos están encriptados. | X |
|
|
- Control de acceso
|
| Sí | No | Observaciones |
1. | Existe un concepto de derechos de acceso escalonados. | X |
|
|
2. | Los métodos se utilizan para detectar salidas de datos no deseados. |
| X |
|
3. | Las pruebas de penetración se llevan a cabo regularmente |
| X |
|
4. | Se mantiene una lista de inventario de los soportes de datos existentes. | X |
|
|
5. | Los discos de backup se mantienen fuera de la empresa |
| X |
|
6. | Hay soportes de datos separados para cada cliente. |
| X |
|
7. | Se prohíbe el uso de soportes de datos privados | X |
|
|
8. | Se registran accesos e intentos de acceso | X |
|
|
9. | Se mantienen y evalúan los registros de los intentos de acceso. | X |
|
|
10. | Los discos se limpian completamente de datos antes de su uso. | X |
|
|
11. | Antes de una transferencia (e.B. Venta de equipos antiguos) los datos existentes se eliminan por completo. | X |
|
|
12. | Existe un concepto para eliminar documentos, incluidos erratas y notas. | X |
|
|
13. | Los discos se destruyen correctamente. | X |
|
|
14. | El cumplimiento del concepto de eliminación se supervisa periódicamente. | X |
|
|
15. | El uso oficial de dispositivos privados está prohibido. |
| X |
|
16. | Existe un concepto de seguridad para trabajar con PC y dispositivos móviles que los empleados realizan en casa o mientras viajan. |
| X |
|
17. | Los derechos de administrador se asignan al grupo de personas más pequeño posible. | X |
|
|
18. | En las oficinas de varias personas, hay una pantalla de privacidad para los empleados que procesan regularmente datos confidenciales. |
| X |
|
19. | Los datos confidenciales en papel se almacenan en gabinetes con cerradura. | X |
|
|
- Control de uso compartido
|
| Sí | No | Observaciones |
1. | Se especifica quién puede emitir y recibir soportes de datos. | X |
|
|
2. | Se registra la transferencia de los portadores de datos y las personas involucradas. | X |
|
|
3. | Al devolver los soportes de datos, se comprueba y se anota su integridad | X |
|
|
4. | Existen especificaciones sobre qué personas pueden ser utilizadas como mensajeros. | X |
|
|
5. | Se proporcionan conexiones cifradas (https, sftp, ...) | X |
|
|
6. | Los correos electrónicos están encriptados. |
| X |
|
7. | Los empleados reciben instrucciones de anonimizar o seudonimizar los datos antes de transmitirlos si es posible. | X |
|
|
- Control de entrada
|
| Sí | No | Observaciones |
1. | Se registra la entrada de datos. |
| X |
|
2. | Registra quién ingresó los datos. |
| X |
|
3. | ES registra la hora de una entrada | x |
|
|
4. | El cambio se registra en comparación con antes. | X |
|
|
5. | Los datos introducidos se comprueban para comprobar su verosimilitud. | X |
|
|
6. | Los documentos registrados están sellados. |
| x |
|
- Control de descargas
|
| Sí | No | Observaciones |
1. | (Sub-) Los contratistas son cuidadosamente seleccionados de acuerdo con criterios fijos. | X |
|
|
2. | También se verifican los subcontratistas de (sub)contratistas. | X |
|
|
3. | Se celebran contratos escritos para el procesamiento de pedidos. | X |
|
|
4. | Las responsabilidades y responsabilidades están claramente definidas en relación con los subcontratistas. | X |
|
|
5. | Los resultados de trabajo de los (sub)contratistas se comprueban periódicamente. | X |
|
|
6. | Las medidas técnicas y organizativas del (sub‑)contratista se revisan antes del inicio del pedido y a intervalos regulares. | X |
|
|
7. | Las instrucciones al (sub)contratista están documentadas. | X |
|
|
- Comprobación de disponibilidad
|
| Sí | No | Observaciones |
1. | Detectores de humo están disponibles. | X |
|
|
2. | Hay extintores disponibles. | X |
|
|
3. | Hay una fuente de alimentación ininterrumpida. | x |
|
|
4. | Las copias de seguridad se realizan regularmente. | X |
|
|
5. | Los discos para copias de seguridad están cifrados. | X |
|
|
6. | Existe un plan de emergencia (por ejemplo, según BSI-Grundschutz). | X |
|
|
7. | Se comprueba regularmente si el sistema es recuperable a partir de copias de seguridad. | X |
|
|
8. | Las pruebas de esfuerzo se llevan a cabo regularmente. | X |
|
|
9. | En caso de alta carga, se conectan servidores adicionales. | X |
|
|
10. | Se monitorea la temperatura y la humedad en las salas de servidores. | X |
|
|
11. | La sala de servidores está bajo videovigilancia. | X |
|
|
Adiciones/Explicaciones:
Las declaraciones se aplican a Logistic Hub Hamburg y a la sede de la empresa. Los servidores están conectados desde la nube.
- Control de separación
|
| Sí | No | Observaciones |
1. | Los datos pertenecientes a las categorías especiales de datos personales están especialmente protegidos. | X |
|
|
2. | Los datos recopilados para diferentes fines contractuales pueden procesarse, transmitirse y eliminarse por separado. | X |
|
|
3. | Existe un sistema que permite el acceso a los registros solo para fines contractuales individuales (capacidad multicliente). | X |
|
|
4. | Para las pruebas y simulaciones de software, solo se utilizan datos anónimos. | X |
|
|
5. | Los entornos de producción y prueba están separados. | X |
|
|
6. | Los sistemas y las bases de datos están físicamente separados entre sí. | X |
|
|
- Control organizacional
|
| Sí | No | Observaciones |
1. | Existe una política de seguridad de la dirección de la empresa. | X |
|
|
2. | Existen directrices de seguridad para implementar la política de seguridad. | X |
|
|
3. | Los documentos e instrucciones sobre seguridad informática y protección de datos se almacenan de forma centralizada y de libre acceso para los empleados durante las horas de trabajo. | X |
|
|
4. | Existe un delegado de protección de datos (interno o externo). | X |
|
|
5. | Hay un oficial de seguridad de TI (interno o externo). | X |
|
|
6. | Los empleados reciben capacitación regular sobre temas relacionados con la seguridad. | X |
|
|
7. | El cumplimiento de las instrucciones pertinentes para la seguridad se comprueba constantemente; en caso de violación, se emiten advertencias o se toman medidas de derecho laboral. | X |
|
|
8. | Existen procesos establecidos para tratar los incidentes de protección de datos y las solicitudes de los interesados. | X |
|
|
9. | Las instalaciones técnicas para la seguridad de TI se mantienen y actualizan regularmente. | X |
|
|
10. | Existe un concepto para controlar los períodos de eliminación. | X |
|
|
11. | No se recopilan más datos de los necesarios (configuración predeterminada amigable con la privacidad). | X |
|
|
12. | Las obligaciones de información según el Art. 13f. GDPR se cumplen. | X |
|
|