Veuillez noter :
Il s'agit d'une traduction de l'allemand vers le français pour des raisons de commodité uniquement. En cas de divergence d'interprétation, la version allemande fait foi.
Accord de traitement des commandes
Contrat pour le traitement de données à caractère personnel pour le compte d’un responsable du traitement conformément à l’article 28 du RGPD
entre
clients ou utilisateurs de spacific GmbH des produits de la plate-forme de solutions Spacific
en tant que responsable du traitement - ci-après dénommé « Client » -
et
Spacific GmbH
Drögensee 39b
D-22397 Hambourg, Allemagne
en tant que sous-traitant - ci-après dénommé « Contractant » -
- Le client et l’entrepreneur ci-après chacun aussi « partie » et conjointement « parties » -
Préambule
Le contractant fournira des services au client à partir des produits de la plate-forme de solutions Spacific réservés par le contractant. La relation d’affaires entre l’entrepreneur et le client a commencé au plus tard avec l’enregistrement du client sur portal.spacific.de. Le présent contrat décrit les obligations des parties contractantes découlant de l’enregistrement du client sur le portail de solutions Spacific (ci-après : « Contrat principal »). Une partie de l’exécution du contrat principal est le traitement des données personnelles au sens du règlement général sur la protection des données (« RGPD »). Afin de répondre aux exigences du RGPD pour de telles constellations, les parties concluent le contrat suivant, dont l’exécution n’est pas rémunérée séparément, sauf accord exprès.
§ 1 Objet/portée de la cession
(1) La coopération des parties conformément au contrat principal implique que le contractant ait accès aux données personnelles du client (ci-après dénommées « données client ») et les traite, dans la mesure où le traitement des commandes existe, exclusivement pour le compte et conformément aux instructions du client au sens de l’article 4 n° 8 et de l’article 28 du RGPD.
(2) Le traitement des données du client par le contractant dans le cadre du traitement des commandes a lieu exclusivement de la manière spécifiée à l’annexe 1 ainsi que dans la portée et la finalité qui y sont spécifiées. Le groupe de personnes concernées par le traitement des données est défini à l’annexe 2 du présent contrat. La durée du traitement correspond à la durée du contrat principal.
(3) Il est interdit au contractant de traiter les données du client qui s’écartent ou vont au-delà des spécifications des annexes 1 et 2 . Cela s’applique également à l’utilisation de données anonymisées.
(4) Le traitement des données du client a lieu exclusivement sur le territoire de la République fédérale d’Allemagne, dans un État membre de l’Union européenne ou dans un autre État contractant de l’accord sur l’Espace économique européen. Toute relocalisation vers un pays tiers ne peut avoir lieu que si les exigences particulières des articles 44 à 49 du RGPD sont remplies.
(5) Les dispositions du présent contrat s’appliquent à toutes les activités liées au contrat principal et dans lesquelles le contractant et ses employés ou agents du contractant entrent en contact avec des données personnelles provenant du client ou collectées pour le client, sauf si le contractant est lui-même responsable au sens de l’article 4, paragraphe 7, du RGPD dans le cadre du traitement .
§ 2 Autorité du client
(1) Le contractant traite les données du client dans le cadre du traitement de la commande uniquement dans le cadre de la commande et exclusivement pour le compte et conformément aux instructions du client au sens de l’article 28 du RGPD (traitement des commandes), cela s’applique en particulier en ce qui concerne le transfert de données personnelles vers un pays tiers ou vers une organisation internationale. À cet égard, le client a le droit exclusif d’émettre des instructions sur le type, la portée et la méthode des activités de traitement (ci-après également dénommé « droit d’émettre des instructions »). Si le contractant est tenu par le droit de l’Union européenne ou les États membres auxquels il est soumis à un traitement ultérieur, il informe le client de ces exigences légales avant le traitement.
(2) Les instructions sont généralement données par le client par écrit (ici et dans ce qui suit, la forme textuelle est également incluse); Les instructions données oralement doivent être confirmées par écrit par le client. Les personnes habilitées à donner des instructions et à recevoir sont indiquées à l’annexe 3. En cas de changement ou d’empêchement à long terme des personnes nommées à l’annexe 3, le successeur ou le représentant doit être nommé immédiatement à l’autre partie sous forme de texte. Le contractant doit informer le client d’un changement dans la personne habilitée à donner des instructions à un stade précoce. Jusqu’à ce qu’une telle notification soit reçue par le client, les personnes nommées continueront d’être considérées comme ayant le droit de la recevoir.
(3) Si le contractant est d’avis qu’une instruction du client viole la réglementation sur la protection des données, il doit en informer le client sans délai. L’entrepreneur a le droit de suspendre l’exécution de l’instruction pertinente jusqu’à ce qu’elle soit confirmée ou modifiée par le client.
§ 3 Mesures de protection de l’entrepreneur
(1) Le contractant est tenu de respecter les dispositions légales en matière de protection des données et de ne pas transmettre les informations obtenues de l’espace client à des tiers ou de suspendre leur accès. Les documents et les données doivent être protégés contre l’accès par des personnes non autorisées, en tenant compte de l’état de la technique.
(2) En outre, le contractant oblige par écrit toutes les personnes chargées par lui du traitement et de l’exécution du présent contrat (ci-après dénommées « employés ») à la confidentialité (obligation de confidentialité, art. 28, al. 3, let. b RGPD) et assurer le respect de cette obligation avec soin. À la demande du Client, le Contractant doit fournir au Client une preuve écrite de l’obligation des employés.
(3) Le contractant conçoit son organisation interne de manière à ce qu’elle réponde aux exigences particulières de la protection des données. Il s’engage à prendre toutes les mesures techniques et organisationnelles appropriées pour la protection appropriée des données du client conformément à l’article 32 du RGPD, en particulier les mesures énumérées à l’annexe 4 du présent contrat, et à les maintenir pendant la durée du traitement des données du client.
(4) Le contractant se réserve le droit de modifier les mesures techniques et organisationnelles prises, en veillant à ce que le niveau de protection convenu contractuellement ne soit pas compromis. Le contractant informera immédiatement le client par écrit s’il a des raisons de croire que les mesures conformément à l’annexe 4 ne sont plus suffisantes et se coordonnera avec lui en ce qui concerne d’autres mesures techniques et organisationnelles.
(5) À la demande du Client, le Contractant doit fournir au Client la preuve du respect des mesures techniques et organisationnelles spécifiées à l’Annexe 4.
§ 4 Obligations d’information et de soutien du contractant
(1) En cas de dysfonctionnement, de suspicion de violations de la protection des données ou de violations des obligations contractuelles du contractant, de suspicion d’incidents liés à la sécurité ou d’autres irrégularités dans le traitement des données du client par le contractant, les personnes employées par le contractant dans le cadre de la commande ou par des tiers, le contractant en informera le client sans délai. Les notifications conformément au § 4 (1) phrase 1 contiennent au moins les informations spécifiées à l’article 33( 3) du RGPD , dans la mesure où elles sont à la disposition du contractant.
(2) Dans le cas du § 4 (1), le contractant doit aider le client à mettre en œuvre ses mesures de clarification, de recours et d’information à cet égard dans le cadre de ce qui est raisonnable. En particulier, le contractant doit immédiatement prendre les mesures nécessaires pour sécuriser les données et réduire les éventuelles conséquences négatives des personnes concernées, en informer le client et demander des instructions supplémentaires.
(3) Sur demande orale ou écrite, le contractant s’engage à fournir au client toutes les informations et preuves dans un délai raisonnable nécessaire pour effectuer une inspection conformément au § 7 (1) du présent contrat.
§ 5 Autres obligations de l’entrepreneur
(1) Le contractant est tenu de tenir un registre de toutes les catégories d’activités de traitement effectuées pour le compte du client conformément à l’article 30, paragraphe 2, du RGPD.
(2) Le contractant est tenu d’assister le client dans la préparation d’une analyse d’impact sur la protection des données conformément à l’article 35 du RGPD et de toute consultation préalable de l’autorité de contrôle conformément à l’article 36 du RGPD.
§ 6 Relations avec les sous-traitants
(1) Le Client accorde par la présente au Contractant l’autorisation générale d’impliquer d’autres sous-traitants en ce qui concerne le traitement des données du Client. Les autres sous-traitants consultés au moment de la conclusion du contrat sont indiqués à l’annexe 5. En général, les relations contractuelles avec les prestataires de services qui ont pour objet l’examen ou la maintenance de méthodes ou de systèmes de traitement des données par d’autres organismes ou d’autres services auxiliaires ne sont pas soumises à approbation, même si l’accès aux données des clients ne peut être exclu tant que le contractant établit des réglementations appropriées pour protéger la confidentialité des données du client.
(2) Il n’existe pas non plus de relation de sous-traitance au sens des présentes dispositions si le contractant confie à des tiers des services qui doivent être considérés comme des services purement accessoires. Cela comprend, pour .B, les services postaux, de transport et d’expédition, les services de nettoyage, les services de sécurité, les services de télécommunications sans référence spécifique aux services fournis par le contractant pour le client ainsi que d’autres mesures visant à assurer la confidentialité, la disponibilité, l’intégrité et la résilience du matériel et des logiciels des systèmes de traitement des données. L’obligation du contractant d’assurer le respect de la protection et de la sécurité des données dans ces cas n’est pas affectée.
(3) Le contractant doit informer le client de tout changement prévu en ce qui concerne l’implication ou le remplacement d’autres sous-traitants. Dans des cas individuels, le client a le droit de s’opposer à la mise en service d’un éventuel nouveau sous-traitant. Une objection ne peut être soulevée par le client que pour des raisons importantes à prouver à l’entrepreneur. Si le client ne s’y oppose pas dans les 14 jours suivant la réception de la notification, son droit d’opposition à l’égard de la commande correspondante expire. Si le client s’y oppose, l’entrepreneur a le droit de résilier le contrat principal et le présent contrat avec un préavis de 3 mois.
(4) Le contrat entre le contractant et l’autre transformateur doit imposer à ce dernier les mêmes obligations que celles qui incombent au contractant en vertu du présent contrat. Les parties conviennent que cette exigence est remplie si le contrat dispose d’un niveau de protection correspondant au présent contrat ou .dem autres sous-traitants sont soumis aux obligations prévues à l’article 28, paragraphe 3, du RGPD.
§ 7 Droits de contrôle
(1) Le client a le droit de vérifier régulièrement le respect des dispositions du présent contrat, en particulier la mise en œuvre et le respect des mesures techniques et organisationnelles conformément au § 3 (3) du présent contrat. À cette fin, il peut, pour .B, obtenir des informations de l’entrepreneur, faire soumettre des attestations existantes par des experts, des certifications ou des tests internes, ou faire vérifier les mesures techniques et organisationnelles de l’entrepreneur personnellement ou par un tiers compétent pendant les heures normales de bureau , à condition que cela ne soit pas dans une relation concurrentielle avec l’entrepreneur.
(2) Le client n’effectue les contrôles que dans la mesure nécessaire et tient dûment compte des procédures d’exploitation du contractant. Les parties conviennent en temps utile du moment et de la nature de l’examen.
(3) Le client doit documenter le résultat de l’inspection et en informer l’entrepreneur. En cas d’erreurs ou d’irrégularités que le client découvre, notamment lors de l’examen des résultats de la commande, il doit en informer immédiatement le contractant. Si, au cours de l’inspection, des faits sont identifiés dont l’évitement futur nécessite des modifications de la procédure commandée, le client doit informer immédiatement le contractant des changements de procédure nécessaires.
(4) Afin d’effectuer des inspections conformément au paragraphe 1, le client a le droit d’entrer dans les locaux commerciaux de l’entrepreneur dans le cadre des heures normales d’ouverture (du lundi au vendredi de 10 heures.m à 18 heures.m.) après préavis (généralement au moins deux semaines à l’avance) à ses propres frais, sans perturber le cours des opérations et dans le plus grand secret des secrets commerciaux et commerciaux de l’entrepreneur, dans lequel les données des clients sont traitées.
(5) Si le client charge un tiers d’effectuer l’inspection, le client doit obliger le tiers par écrit et le client est tenu à l’entrepreneur sur la base de cette section. En outre, le client doit obliger le tiers au secret et au secret, sauf si le tiers est soumis à une obligation de secret professionnel. À la demande du contractant, le client doit immédiatement lui soumettre les accords d’engagement avec le tiers.
§ 8 Droits des personnes concernées
(1) Si possible, le contractant doit aider le client avec des mesures techniques et organisationnelles appropriées dans l’exécution de ses obligations en vertu des articles 12 à 22 et 32 à 36 du RGPD. Il fournira immédiatement au client les informations souhaitées sur les données du client, à moins que l’entrepreneur ne dispose lui-même des informations correspondantes.
(2) Si la personne concernée fait valoir ses droits en vertu des articles 16 à 18 du RGPD , le contractant est tenu de corriger, supprimer ou restreindre les données du client sans délai sur instruction du client.
(3) Si une personne concernée fait valoir des droits, tels que la fourniture d’informations, la correction ou la suppression de ses données, directement contre le contractant, le contractant transmet immédiatement cette demande au client et attend ses instructions. Sans instructions individuelles appropriées, le contractant ne contactera pas la personne concernée.
§ 9 Durée et résiliation
(1) La durée du présent contrat correspond à la durée du contrat principal. Si le contrat principal peut être résilié correctement, les dispositions relatives à la résiliation ordinaire s’appliquent en conséquence. En cas de doute, une résiliation du contrat principal sera également considérée comme une résiliation du présent contrat et une résiliation du présent contrat sera considérée comme une résiliation du contrat principal.
(2) Le client a droit à tout moment à une résiliation extraordinaire du présent contrat pour un motif valable. Une raison importante existe si l’entrepreneur ne remplit pas ses obligations en vertu du présent contrat, viole intentionnellement ou par négligence grave les dispositions du RGPD ou ne peut pas ou ne veut pas exécuter une instruction du client. En cas de violations simples – c’est-à-dire ni intentionnelles ni par négligence grave – le client doit d’abord fixer au contractant un délai raisonnable dans lequel le contractant peut remédier à la violation. Après l’expiration infructueuse de ce délai, le client a alors droit à une résiliation extraordinaire.
§ 10 Suppression et retour après la fin du contrat
(1) Après la résiliation du contrat principal, le contractant supprime complètement et irrévocablement tous les documents et données qui lui sont fournis, à moins qu’il n’y ait une période de conservation légale. Cela s’applique également aux duplications des données du client dans les locaux de l’entrepreneur, telles que les sauvegardes de données.
(2) Les parties sont tenues de traiter de manière confidentielle les données dont elles ont eu connaissance dans le cadre du contrat principal, même après la fin du contrat principal.
§ 11 Responsabilité
(1) La responsabilité des parties est régie par l’article 82 du RGPD. Toute responsabilité de l’entrepreneur envers le client en raison de la violation des obligations découlant du présent contrat ou du contrat principal n’en est pas affectée.
(2) Les parties s’engagent à dégager leur responsabilité si une partie prouve qu’elle n’est aucunement responsable de la circonstance par laquelle le dommage est survenu à une personne concernée. § 11 al. 2 phrase 1 s’applique mutatis mutandis dans le cas d’une amende infligée à une partie, l’exemption étant accordée dans la mesure où l’autre partie partage la responsabilité de l’infraction sanctionnée par l’amende.
§ 12 Dispositions finales
(1) Les modifications et ajouts à la présente entente doivent être faits par écrit. Cela s’applique également à la renonciation à cette exigence formelle.
(2) En cas de doute, les dispositions du présent contrat prévalent sur les dispositions du contrat principal. Si des dispositions individuelles du présent contrat s’avèrent invalides ou inapplicables en tout ou en partie ou deviennent invalides ou inapplicables à la suite de modifications de la législation après la conclusion du contrat, cela n’affectera pas la validité des autres dispositions. La disposition invalide ou inapplicable sera remplacée par une disposition valide et exécutoire qui se rapproche le plus possible du sens et de l’objet de la disposition nulle.
(4) Le présent contrat est soumis au droit allemand. Le for exclusif est Hambourg.
Terrain
Annexe 1 – Concrétisation de l’art. Étendue et finalité du traitement des données
L’entrepreneur propose des solutions de réalité augmentée, y compris la création et le traitement de mesures numériques et de modèles 3D. Afin d’utiliser les solutions, le client crée un compte utilisateur numérique auprès de l’entrepreneur, dans lequel le client gère ses projets, qu’il réalise à son tour avec ses clients (e.B la création d’une mesure). En règle générale, les données généralement générées dans le cadre de la relation contractuelle entre le client et l’entrepreneur ainsi que les données généralement générées dans le cadre des projets entre le client et ses clients sont stockées dans le compte utilisateur. Cela inclut notamment les coordonnées officielles (nom, prénom, adresse e-mail) des employés du client et, le cas échéant, les données correspondantes des clients du client ou de tiers, car le client peut gérer ses projets (y compris le matériel d’image) dans son compte utilisateur dans le cadre d’une structure client. La finalité du traitement des données est la fourniture des solutions de réalité augmentée susmentionnées.
Annexe 2 – Description des types de données et des catégories de personnes concernées
Voir les informations à l’annexe 1
Annexe 3 – Personnes autorisées à donner des instructions et à les recevoir
Entrepreneur : Dennis Ahrens, directeur général
Client : Le premier utilisateur qui a pris en charge l’inscription pour le client.
Annexe 4 – Mesures techniques et organisationnelles du contractant (art. 32 RGPD)
Annexe 5 – Sous-traitants ultérieurs actuels
Services cloud Microsoft (emplacement du serveur dans l’UE):services de stockage en nuage; Fournisseurs de services : Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399 États-Unis ; Site Web : https://microsoft.com/de-de; Politique de confidentialité: https://privacy.microsoft.com/de-de/privacystatement, Instructions de sécurité: https://www.microsoft.com/de-de/trustcenter.
Système CRM: Prestataire de services: HubSpot Germany GmbH, Am Postbahnhof 17, 10243 Berlin, Site Web: https://www.hubspot.de/; Politique de confidentialité: https://legal.hubspot.com/de/privacy-policy; APD : https://legal.hubspot.com/de/dpa
Système de facturation: Fournisseur de services SevDesk GmbH, Hauptstraße 11577652 Offenburg Allemagne Politique de confidentialité https://sevdesk.de/sicherheit-datenschutz/#datenschutz
Liste de contrôle TOM
- Accès
|
| Oui | Non | Remarques |
1. | Les entrées des postes de travail sont suffisamment sécurisées (portes et fenêtres verrouillables). | x |
| Politique de travail mobile |
2. | Les locaux sont surveillés (vidéosurveillance, système d’alarme). |
| x | Politique de travail mobile |
3. | Il y a un portier / réception. |
| x | Politique de travail mobile |
4. | Il existe un système de contrôle d’accès (par exemple, avec des cartes à puce). |
| x | Politique de travail mobile |
5. | Une liste des détenteurs de clés est conservée. |
| x | Politique de travail mobile |
6. | Le résultat clé est reconnu. |
| x | Politique de travail mobile |
7. | Au début et à la fin des travaux, les bureaux individuels sont ouverts ou fermés. |
| X | Politique de travail mobile |
8. | Il existe un concept de quels employés ont accès à quels domaines de l’entreprise. |
| X | Politique de travail mobile |
9. | Les employés/personnes autorisés à entrer sont facilement reconnaissables à l’extérieur (vêtements officiels, cartes d’identité visibles) |
| X | Politique de travail mobile |
10. | Les visites sont documentées. | X |
| Politique de travail mobile |
11. | Les zones accessibles au public (zones publiques) sont clairement séparées du reste de l’entreprise |
| X | Politique de travail mobile |
12. | Le personnel de nettoyage est soigneusement sélectionné et tenu de maintenir la confidentialité dans le traitement des données. |
| X | Politique de travail mobile |
13. | Les agents de sécurité sont soigneusement sélectionnés et tenus de maintenir la confidentialité dans le traitement des données. |
| X | Politique de travail mobile |
14. | La présence et l’absence d’employés sont vérifiées (horloge). |
| x | Politique de travail mobile |
15. | Des conseils sur la protection contre le cambriolage par la police ou un fournisseur de services spécialisés ont été utilisés et les résultats ont été évalués. |
| x | Politique de travail mobile |
- Contrôle d’accès physique
|
| Oui | Non | Remarques |
1. | Un pare-feu est utilisé. | X |
|
|
2. | Un antivirus est utilisé. | X |
|
|
3. | Il existe un système de détection d’intrusion . | X |
|
|
4. | L’accès externe se fait via VPN. |
| X |
|
5. | Tous les ordinateurs sont protégés par mot de passe. | X |
|
|
6. | Chaque employé a son propre compte utilisateur. | X |
|
|
7. | Il existe des préréglages pour les mots de passe (longueur, caractères spéciaux, ...). | X |
|
|
8. | Il existe des spécifications quant à la fréquence à laquelle le mot de passe doit être modifié. | X |
|
|
9. | Il enregistre la fréquence à laquelle les mots de passe ont été entrés de manière incorrecte. |
| X |
|
10. | Les journaux de saisie incorrecte du mot de passe sont régulièrement évalués. |
| X |
|
11. | Pour un certain nombre d’entrées incorrectes, l’accès est bloqué. | X |
|
|
12. | Après une entrée incorrecte, la nouvelle inscription n’est possible qu’avec un délai. | X |
|
|
13. | L’authentification à deux facteurs est utilisée. | X |
|
|
14. | Les ordinateurs situés dans les zones sensibles n’ont ni emplacements USB ni lecteurs de DVD/CD. |
| X |
|
15. | Les disques sont chiffrés. | X |
|
|
- Contrôle d’accès
|
| Oui | Non | Remarques |
1. | Il existe un concept de droits d’accès hiérarchisés. | X |
|
|
2. | Des méthodes sont utilisées pour détecter les sorties de données indésirables. |
| X |
|
3. | Des tests d’intrusion sont effectués régulièrement |
| X |
|
4. | Une liste d’inventaire des supports de données existants est tenue à jour. | X |
|
|
5. | Les disques de sauvegarde sont conservés en dehors de l’entreprise |
| X |
|
6. | Il existe des supports de données distincts pour chaque client. |
| X |
|
7. | L’utilisation de supports de données privés est interdite | X |
|
|
8. | Les accès et les tentatives d’accès sont consignés | X |
|
|
9. | Les journaux des tentatives d’accès sont conservés et évalués. | X |
|
|
10. | Les disques sont complètement nettoyés des données avant utilisation. | X |
|
|
11. | Avant un transfert (e.B. Vente d’anciens équipements) les données existantes sont complètement supprimées. | X |
|
|
12. | Il existe un concept pour l’élimination des documents, y compris les erreurs d’impression et les notes. | X |
|
|
13. | Les disques sont correctement détruits. | X |
|
|
14. | Le respect du concept d’élimination fait l’objet d’un contrôle régulier. | X |
|
|
15. | L’utilisation officielle d’appareils privés est interdite. |
| X |
|
16. | Il existe un concept de sécurité pour travailler avec des PC et des appareils mobiles que les employés effectuent à la maison ou en déplacement. |
| X |
|
17. | Les droits d’administrateur sont attribués au plus petit groupe de personnes possible. | X |
|
|
18. | Dans les bureaux à plusieurs personnes, il existe un écran de confidentialité pour les employés qui traitent régulièrement des données sensibles. |
| X |
|
19. | Les données sensibles sur papier sont stockées dans des armoires verrouillables. | X |
|
|
- Contrôle de partage
|
| Oui | Non | Remarques |
1. | Il est spécifié qui est autorisé à émettre et à recevoir des supports de données. | X |
|
|
2. | Le transfert des supports de données et des personnes impliquées est enregistré. | X |
|
|
3. | Lors du retour des supports de données, leur exhaustivité est vérifiée et notée | X |
|
|
4. | Il existe des spécifications quant aux personnes qui peuvent être utilisées comme messagers. | X |
|
|
5. | Des connexions cryptées (https, sftp, ...) sont fournies. | X |
|
|
6. | Les e-mails sont cryptés. |
| X |
|
7. | Les employés sont invités à anonymiser ou à pseudonymiser les données avant de les transmettre si possible. | X |
|
|
- Contrôle d’entrée
|
| Oui | Non | Remarques |
1. | La saisie des données est enregistrée. |
| X |
|
2. | Il enregistre qui a entré les données. |
| X |
|
3. | ES enregistre l’heure d’une entrée | x |
|
|
4. | La modification est enregistrée par rapport à avant. | X |
|
|
5. | La plausibilité des données saisies est vérifiée. | X |
|
|
6. | Les documents enregistrés sont estampillés. |
| x |
|
- Contrôle des décharges
|
| Oui | Non | Remarques |
1. | (Sous-) Les entrepreneurs sont soigneusement sélectionnés selon des critères fixes. | X |
|
|
2. | Les sous-traitants des (sous-)traitants sont également contrôlés. | X |
|
|
3. | Des contrats écrits sont conclus pour le traitement des commandes. | X |
|
|
4. | Les responsabilités et les responsabilités sont clairement définies par rapport aux sous-traitants. | X |
|
|
5. | Les résultats des travaux des (sous-)traitants sont régulièrement vérifiés. | X |
|
|
6. | Les mesures techniques et organisationnelles du (sous-‑)traitant sont revues avant le début de la commande et à intervalles réguliers. | X |
|
|
7. | Les instructions au (sous-)traitant sont documentées. | X |
|
|
- Contrôle de disponibilité
|
| Oui | Non | Remarques |
1. | Des détecteurs de fumée sont disponibles. | X |
|
|
2. | Des extincteurs sont disponibles. | X |
|
|
3. | Il y a une alimentation sans coupure. | x |
|
|
4. | Des sauvegardes sont effectuées régulièrement. | X |
|
|
5. | Les disques pour les sauvegardes sont chiffrés. | X |
|
|
6. | Il existe un plan d’urgence (par exemple selon BSI-Grundschutz). | X |
|
|
7. | Il est régulièrement vérifié si le système est récupérable à partir de sauvegardes. | X |
|
|
8. | Des tests de résistance sont effectués régulièrement. | X |
|
|
9. | En cas de charge élevée, des serveurs supplémentaires sont connectés. | X |
|
|
10. | La température et l’humidité dans les salles de serveurs sont surveillées. | X |
|
|
11. | La salle des serveurs est sous vidéosurveillance. | X |
|
|
Ajouts/Explications :
Les déclarations s’appliquent à Logistic Hub Hamburg et au siège de l’entreprise. Les serveurs sont connectés depuis le cloud.
- Contrôle de séparation
|
| Oui | Non | Remarques |
1. | Les données appartenant aux catégories particulières de données personnelles sont spécialement protégées. | X |
|
|
2. | Les données collectées à différentes fins contractuelles peuvent être traitées, transmises et supprimées séparément. | X |
|
|
3. | Il existe un système qui permet l’accès aux dossiers uniquement à des fins contractuelles individuelles (capacité multi-clients). | X |
|
|
4. | Pour les tests et simulations de logiciels, seules des données anonymisées sont utilisées. | X |
|
|
5. | Les environnements de production et de test sont séparés. | X |
|
|
6. | Les systèmes et les bases de données sont physiquement séparés les uns des autres. | X |
|
|
- Contrôle organisationnel
|
| Oui | Non | Remarques |
1. | Il existe une politique de sécurité de la direction de l’entreprise. | X |
|
|
2. | Il existe des directives de sécurité pour la mise en œuvre de la stratégie de sécurité. | X |
|
|
3. | Les documents et les instructions sur la sécurité informatique et la protection des données sont stockés de manière centralisée et librement accessibles aux employés pendant les heures de travail. | X |
|
|
4. | Il existe un délégué à la protection des données (interne ou externe). | X |
|
|
5. | Il y a un agent de sécurité des TI (interne ou externe). | X |
|
|
6. | Les employés sont régulièrement formés sur des sujets liés à la sécurité. | X |
|
|
7. | Le respect des consignes de sécurité est constamment vérifié; en cas de violation, des avertissements sont émis ou des mesures de droit du travail sont prises. | X |
|
|
8. | Il existe des processus établis pour traiter les incidents de protection des données et les demandes des personnes concernées. | X |
|
|
9. | Les installations techniques de sécurité informatique sont régulièrement maintenues et mises à jour. | X |
|
|
10. | Il existe un concept pour contrôler les périodes de suppression. | X |
|
|
11. | Aucune donnée n’est collectée plus que nécessaire (paramètres par défaut respectueux de la vie privée). | X |
|
|
12. | Les obligations d’information conformément à l’art. 13f. GDPR sont remplis. | X |
|
|