Questo Sito Web raccoglie alcuni Dati Personali dei propri Utenti.
Permessi: Città; Email; Mi Piace
Dati Personali: Cookie; Dati di utilizzo
Dati Personali: email; nome
Dati Personali: varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio
Dati Personali: Dati di utilizzo; Strumenti di Tracciamento
Dati Personali: CAP; città; cognome; Cookie; data di nascita; Dati comunicati durante l'utilizzo del servizio; Dati di utilizzo; email; indirizzo; nazione; nome; numero di telefono; professione; ragione sociale; sesso; stato; stato civile
Dati Personali: Cookie; Dati comunicati durante l'utilizzo del servizio; Dati di utilizzo
Dati Personali: cognome; contenuti del messaggio o dell'email; contenuti dell'utente; data del messaggio; Dati comunicati durante l'utilizzo del servizio; immagine di profilo; mittente del messaggio; nome; numero di telefono; ora in cui il messaggio è stato inviato; risposte alle domande
Dati Personali: Cookie; Dati di utilizzo
Dati Personali: clic; Dati di utilizzo; eventi keypress; eventi relativi ai sensori di movimento; eventi touch; movimenti del mouse; posizione relativa allo scorrimento; risposte alle domande; Strumenti di Tracciamento
Dati Personali: Cookie; Dati di utilizzo; identificatori univoci di dispositivi per la pubblicità (Google Advertiser ID o identificatore IDFA, per esempio)
Dati Personali: Cookie; Dati di utilizzo
Dati Personali: CAP; città; cognome; email; indirizzo; nazione; nome; numero di fax; numero di telefono; Partita IVA; password; provincia; ragione sociale; username
Dati Personali: varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio
Dati Personali: Cookie; Dati di utilizzo
Dati Personali: Cookie; email
Dati Personali: Cookie; Dati di utilizzo
Dati Personali: Dati di utilizzo; varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio
Dati Personali: città; Dati di utilizzo; informazioni sul browser; informazioni sul dispositivo; latitudine (della città); longitudine (della città); numero di Utenti; statistiche delle sessioni; Strumenti di Tracciamento
Dati Personali: Dati di utilizzo; varie tipologie di Dati secondo quanto specificato dalla privacy policy del servizio
Oltre a qualsiasi funzione di opt-out fornita da uno qualsiasi dei servizi elencati in questo documento, gli Utenti possono leggere di più su come disattivare gli annunci pubblicitari basati sugli interessi nell'apposita sezione della Cookie Policy.
Accordo di elaborazione 3Data
in conformità con l'art. 28 GDPR
fra
PUNTOIRRIGAZIONE DI MADDALENA SEGRETO
Via Campania 1
72023 Mesagne (BR)
in seguito denominato " Controller "
e
eKomi Ltd.
Markgrafenstraße 11
10969 Berlino
in seguito denominato " Processore "
Preambolo
Il Controllore ha selezionato il Processore per agire come fornitore di servizi in conformità con l'Art. 28 di
Regolamento (UE) 2016/679 sulla protezione delle persone fisiche con riguardo alla trasformazione di
dati personali e sulla libera circolazione di tali dati e che abroga la direttiva 95/46 / CE (generale
Regolamento sulla protezione dei dati, " GDPR ").
Il presente accordo sull'elaborazione dei dati, compresi tutti gli allegati (in appresso denominati "
" Accordo "), specifica gli obblighi di protezione dei dati delle parti dal Principal sottostante
Accordo, l'Accordo sul livello di servizio e / o la descrizione dell'ordine (di seguito indicato
collettivamente come " Accordo principale "). Se si fa riferimento alle normative dei dati federali
Protection Act (di seguito " FDPA "), si riferisce alla legge tedesca sull'adattamento dei dati
Legge sulla protezione al regolamento (UE) 2016/679 e alla direttiva di attuazione (UE) 2016/680 e successive modifiche
il 25 maggio 2018. Se si fa riferimento alle disposizioni della legge federale tedesca sulla protezione dei dati-
vecchio (" FDPA-old "), si riferisce alla legge federale tedesca sulla protezione dei dati modificata nel
annuncio del 14 gennaio 2003 (BGBl. I pag 66).
Il Processore garantisce al Controllore che adempierà all'Accordo Principale e al presente Accordo
in conformità con i seguenti termini:
Setta. 1 Ambito e definizioni
(1)
Le seguenti disposizioni si applicano a tutti i servizi di elaborazione dati forniti dal
Processore per conto del Controllore ai sensi dell'art. 28 GDPR, che esegue il processore
basato sull'accordo principale.
(2)
Se il presente Accordo utilizza il termine "elaborazione dati" o "trattamento" di dati, questo deve essere
generalmente inteso nel senso di utilizzare dati personali. Elaborazione dati o elaborazione di
Pagina 2
2
Per dati si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o
su serie di dati personali, anche con strumenti automatizzati, quali raccolta, registrazione,
organizzazione, strutturazione, conservazione, adattamento o alterazione, reperimento, consultazione, uso,
divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o
combinazione, restrizione, cancellazione o distruzione.
(3)
Si fa riferimento a ulteriori definizioni di cui all'art. 4 GDPR.
Setta. 2 Oggetto e durata del trattamento dei dati
(1)
Il Processore tratta i dati personali per conto e in conformità con le istruzioni
del controller.
(2)
Il trattamento dei dati implica la realizzazione di una soluzione di servizi SaaS e servizi correlati come
concordato nell'accordo principale.
(3)
La durata del presente Accordo corrisponde alla durata dell'Accordo Principale.
(4)
Il Controller è responsabile di garantire la conformità con le leggi applicabili durante l'utilizzo del
servizio del Responsabile del trattamento dati e fornitura del Processore o accesso a Personal
Dati dei suoi clienti.
un. il modo in cui i soggetti dei dati vengono avvicinati e informati sulla possibilità di
lasciando valutazioni e recensioni;
b. per valutare la liceità legale della pubblicità (comprese le sue modalità) del
prodotti e / o servizi del controllore dei dati, in concorrenza e
leggi pubblicitarie; e
c. valutare i requisiti in materia di concorrenza, protezione dei dati e altri aspetti pertinenti
leggi e per ottenere il consenso richiesto dai suoi clienti e consigliarli
la possibilità di obiezione.
Il Processore non si assume alcuna responsabilità per danni causati dal Titolare del trattamento risultanti da un
violazione delle funzioni descritte nella sezione 2 (4).
Setta 3. Scala, natura e scopo della raccolta dei dati
La portata, la natura e lo scopo della raccolta, elaborazione e utilizzo dei dati personali comprendono
seguenti e sono ulteriormente specificati nell'accordo principale:
un. Generazione di recensioni
b. Revisione della moderazione
c. Servizi di marketing (ad es. Ottimizzazione SEO) e gestione della reputazione (fornendo certificato
pagine, selas e premi)
d. Raccolta, analisi ed elaborazione dei dati raccolti
Pagina 3
3
Setta. 4 categorie di soggetti dei dati
Le categorie di persone interessate dal trattamento di dati personali ai sensi del presente Accordo
("Soggetti interessati") includono:
un. Clienti esistenti
b. Prospettive, clienti finali e dipendenti, essere contattati per conto del nostro
i clienti a dare un feedback
c. Prospettive, clienti finali e dipendenti dei clienti esistenti, che forniscono dati
consentendo loro la possibilità di lasciare una recensione
Setta. 5 tipi di dati personali
I seguenti tipi di dati personali devono essere trattati ai sensi del presente Accordo:
un. Dati di comunicazione elettronica (indirizzo IP)
Setta. 6 Diritti e doveri del controllore
(1)
Il Titolare è l'unico responsabile della valutazione della liceità del trattamento dei dati e
per salvaguardare i diritti degli interessati ed è quindi un controllore ai sensi di
Arte. 4 (7) GDPR.
(2)
Il Titolare ha il diritto di emettere istruzioni riguardanti la natura, la scala e il metodo di
elaborazione dati. Su richiesta del Controller, il Processore dovrà confermare verbalmente
istruzioni immediatamente per iscritto o in forma di testo (ad es. via e-mail).
(3)
Nella misura in cui il Titolare lo ritenga necessario, le persone autorizzate a dare istruzioni possono essere
nominato. Il Processore dovrà esserne informato per iscritto o in forma testuale. Nel caso in cui
le persone autorizzate a emettere le istruzioni cambiano, il controllore deve informare il processore
di questo cambiamento nella scrittura o in forma di testo, nominando la persona nuova in ciascun caso.
(4)
Il Controller deve notificare immediatamente al Processore eventuali errori o irregolarità rilevate
in relazione al trattamento dei dati personali da parte del Processore.
Setta. 7 doveri del processore
(1)
Elaborazione dati
Il Processore tratta i dati personali esclusivamente in conformità con il presente Accordo
e / o il Contratto principale sottostante e in conformità con il Controllore
Istruzioni.
(2)
Diritti delle persone interessate
Pagina 4
4
un.
Il Processore, nell'ambito delle sue capacità, assisterà il Titolare nel rispetto di
diritti degli interessati, in particolare per quanto riguarda la rettifica, la restrizione di
elaborazione, cancellazione di dati, notifiche e informazioni. Se il Processore elabora
i dati personali specificati al par. 5 del presente Accordo a nome del
Controller e questi dati sono oggetto di una richiesta di portabilità dei dati ai sensi dell'art. 20
GDPR, il Processore dovrà, su richiesta, rendere disponibile il set di dati in questione
il Controller entro un intervallo di tempo ragionevolmente stabilito, altrimenti entro quattordici
giorni lavorativi, in un formato strutturato, comunemente usato e leggibile da una macchina.
b.
Se così richiesto dal Controller, il Processore rettificherà, cancellerà o restringerà il
trattamento dei dati personali di cui all'art. 5 di questo Accordo. Lo stesso
si applica se il presente Accordo prevede la rettifica, la cancellazione o la limitazione del
elaborazione dei dati.
c.
Se una persona interessata contatta direttamente il Processore per avere i propri dati personali
specificato alla Sez. 5 del presente Accordo risolto, cancellato o elaborato
limitato, il Processore inoltra immediatamente questa richiesta al Titolare
al ricevimento.
(3)
Doveri di monitoraggio
un.
Il Processore garantirà, mediante opportuni controlli, che i dati personali
trattati per conto del Titolare sono trattati esclusivamente in conformità con questo
Accordo e / o accordo principale e / o le relative istruzioni.
b.
Il Processore organizzerà la propria attività e le proprie operazioni in modo tale che i dati
elaborati per conto del Controller sono garantiti nella misura necessaria in ciascuno
caso e protetto da accessi non autorizzati da parte di terzi.
c.
Il Processore conferma di aver nominato un responsabile della protezione dei dati in conformità
con l'arte 37 GDPR e, se applicabile, in conformità con la Sez. 38 FDPA, e che il
Il responsabile del trattamento deve monitorare la conformità alle leggi sulla protezione dei dati e sulla sicurezza. Il
Attualmente il responsabile della protezione dei dati del processore è:
Kathrin Schürrmann
SWD Rechtsanwälte
Am Hamburger Bahnhof 4
10557 Berlino
Il Processore notifica al controllore per iscritto o in forma testuale la persona nuova in caso di
un cambiamento.
Il Responsabile del trattamento dei dati può contattare il responsabile della protezione dei dati per e-mail a: dataprotection@ekomi.de .
Pagina 5
5
(4)
Doveri di informazione
un.
Il Processore dovrà informare immediatamente il Titolare se, a suo parere, un'istruzione
emesso dal Titolare viola le norme legali. In tali casi, il Processore dovrà
avere il diritto di sospendere l'esecuzione dell'istruzione pertinente fino alla sua conferma o
cambiato dal controller.
b.
Il Processore assisterà il Titolare nel rispetto degli obblighi di cui a
Articoli da 32 a 36 GDPR considerando la natura del trattamento e le informazioni
disponibile per il processore.
(5)
Ubicazione dell'elaborazione
un.
Il trattamento dei dati deve avvenire in linea di principio nel territorio federale
Repubblica di Germania, in uno stato membro dell'Unione Europea o in un altro
Stato contraente dell'accordo sullo Spazio economico europeo. Qualsiasi trasferimento a
un paese terzo può aver luogo solo se i requisiti speciali di cui all'art. 44 e seguenti
GDPR sono soddisfatti.
b.
Il trattamento dei dati per conto del Titolare del trattamento può essere effettuato solo in un luogo
diverso dai locali commerciali del Responsabile del trattamento dati con il consenso scritto di Data
Controller. Di norma, i dati non possono essere elaborati in abitazioni private ("casa
uffici ") a meno che il Titolare non abbia espresso il proprio consenso scritto
L'accordo non si applica ai dipendenti che garantiscono lo SLA dei servizi e il
funzionalità del Responsabile del trattamento, stipulato per contratto tra le parti. Il
Il Responsabile del trattamento dovrà tuttavia limitare tale accesso nella misura necessaria e garantire
sono appropriate misure tecniche e organizzative per questo accesso
implementato.
(6) Cancellazione di dati personali in connessione con la fornitura di recensioni
I dati personali, citati in una recensione del cliente, sono distorti dal feedback dei clienti
Team di gestione in base alle linee guida Feedback di eKomi. Questi dati possono essere resi visibili solo
dall'amministratore di sistema o dal team dirigente del team di gestione feedback clienti e
verrà eliminato dal Processore all'interno dei sistemi eKomi al completamento della commissione
I dati personali, forniti dall'oggetto dei dati durante la procedura di dialogo del cliente, saranno
cancellato all'interno dei sistemi eKomi dal Processore al termine della commissione.
Dati personali, che sono stati forniti dal Soggetto dei dati in relazione a un reclamo o richiesta di a
link di revisione, verrà eliminato all'interno dei sistemi eKomi dal Processore dopo che il caso è stato chiuso dal
Processore.
Pagina 6
6
(7) Cancellazione dei dati personali al completamento della commissione
Al termine del Contratto, il Processore dovrà consegnare al Titolare tutti i dati personali
dati, documenti, elaborazione dati e rapporti di utilizzo in possesso del Responsabile del trattamento dei dati relativi a
l'elaborazione dei dati commissionata e deve cancellarne le registrazioni in conformità con i dati
leggi di protezione e sicurezza e le istruzioni del Controller. Questo vale anche per qualsiasi dato
backup archiviati con il Processore. Questo non si applica ai dati, che sono stati elaborati per fornire un
Servizio di terze parti (ad es. Google Feed); questi dati saranno cancellati secondo le regole del terzo
Provider del partito, quando il contratto termina. Inoltre, i dati, che in conformità con le regole di
il Contratto, di proprietà esclusiva del Processore, non verrà cancellato all'atto del Contratto
un fine, ma conservato in conformità con le leggi sulla protezione e la sicurezza dei dati.
La cancellazione dei dati di cui sopra e dei documenti in conformità con la protezione e la sicurezza dei dati
le leggi devono essere documentate e confermate al controllore per iscritto con riferimento alla data del
eliminazione.
Setta. 8 Diritti di monitoraggio del controller
(1)
Il controllore ha diritto, previa notifica in tempo utile, 14 giorni lavorativi prima del
la data dell'audit e durante il normale orario di lavoro, per effettuare un'ispezione di conformità
con le disposizioni sulla protezione dei dati e gli accordi contrattuali nella misura
richiesto, da solo o tramite terzi, senza interrompere l'attività del Processore
operazioni o mettere in pericolo le misure di sicurezza per altri Controller e per conto proprio
spese. I controlli possono anche essere effettuati accedendo allo standard del settore esistente
certificazioni del Processore, attestazioni correnti o relazioni di un organismo indipendente
(come revisori dei conti, responsabili della protezione dei dati esterni o revisori esterni della protezione dei dati) o
autovalutazioni. Il Processore offrirà il supporto necessario per eseguire i controlli.
(2)
Il Processore informa il Titolare dell'esecuzione delle misure di ispezione da parte del
autorità di controllo nella misura in cui tali misure o richieste possono riguardare dati
operazioni di elaborazione eseguite dal Processore per conto del Titolare.
Setta. 9 Sottoprocesso
(1)
Il Controller autorizza il Processore ad utilizzare altri processori in conformità con
le seguenti sottosezioni nella Sez. 9 del presente Accordo. Questa autorizzazione costituirà a
autorizzazione scritta generale ai sensi dell'art. 28 (2) GDPR.
(2)
Attualmente il Processore lavora con i subappaltatori specificati nell'Allegato 2 e il
Il controllore accetta il loro appuntamento.
(3)
Il Processore avrà il diritto di nominare o sostituire altri processori. Il Processore dovrà
informare il Controller in anticipo di qualsiasi modifica prevista riguardante l'appuntamento o
sostituzione di un altro processore. Il Controller può opporsi a un cambiamento previsto.
Pagina 7
7
(4)
L'opposizione al cambiamento previsto deve essere presentata al Processore entro 14 attività
giorni dopo aver ricevuto le informazioni sul cambiamento. In caso di obiezione, il
Il Processore può, a sua discrezione, fornire il servizio senza la modifica prevista
o proporre un subappaltatore alternativo e coordinarlo con il controllore. Nella misura in cui il
la fornitura del servizio è irragionevole per il Processore senza la modifica prevista
- ad esempio, a causa dei costi sproporzionati associati al Processore - o al
l'accordo su un subappaltatore alternativo fallisce, il Controller e il Processore possono
rescindere il presente Accordo e l'Accordo principale con un termine di preavviso di uno
mese fino alla fine del mese.
(5)
Un livello di protezione paragonabile a quello del presente Accordo deve sempre essere garantito quando
un altro processore è coinvolto. Il Processore è responsabile verso il Controller per tutti gli atti e
omissioni di altri processori che nomina.
Setta. 10 Riservatezza
(1)
Il Processore è obbligato a mantenere la riservatezza durante l'elaborazione dei dati per il Controller.
(3)
Nell'adempiere agli obblighi previsti dal presente Accordo, il Processore si impegna a impiegare esclusivamente
dipendenti o altri agenti che si impegnano a mantenere la riservatezza nella gestione dei dati personali
dati forniti e che siano stati appropriatamente familiarizzati con i requisiti dei dati
protezione. Su richiesta, il Processore deve fornire al controllore le prove del
impegni di riservatezza.
(4)
Nella misura in cui il Titolare è soggetto ad altre disposizioni di riservatezza, deve informare il
Processore di conseguenza. Il Procuratore obbliga i propri dipendenti a osservarli
regole di riservatezza in conformità con i requisiti del controllore.
Setta. 11 Misure tecniche e organizzative
(1)
Le misure tecniche e organizzative descritte nell'Allegato 1 sono concordate come
adeguata. Il Processore può aggiornare e modificare queste misure a condizione che il livello
la protezione non viene significativamente ridotta da tali aggiornamenti e / o modifiche.
(2)
Il Processore osserverà i principi di corretta e corretta elaborazione dei dati in conformità
con l'arte 32 in combinato disposto con l'art. 5 (1) GDPR. Garantisce il contratto concordato e
misure di sicurezza dei dati legalmente prescritte. Prenderà tutte le misure necessarie per salvaguardare il
dati e sicurezza del trattamento, considerando lo stato dell'arte, nonché da ridurre
possibili conseguenze negative per le parti interessate. Le misure da prendere includono
misure per proteggere la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e
misure per garantire la continuità del trattamento dopo gli incidenti. Per garantire un livello appropriato
di elaborazione della sicurezza sempre, il Processore valuterà regolarmente le misure
implementato e apportare le modifiche necessarie.
Setta. 12 Responsabilità / indennizzo
Pagina 8
8
(1)
Il Processore sarà responsabile nei confronti del Controllore per tutte le perdite o danni causati in modo responsabile
prestazione dei servizi ai sensi dell'Accordo Principale o di una violazione di applicabili
obblighi legali di protezione dei dati da parte del Processore, dei suoi dipendenti o delle parti
incaricato da essa per attuare l'accordo principale. Il processore non deve essere
obbligati a pagare un risarcimento se il Processore dimostra di aver elaborato i dati forniti
dal Controller esclusivamente in conformità con le istruzioni del Controller e di ciò che ha
adempiuto ai propri obblighi derivanti dal GDPR specificamente rivolto ai processori.
(2)
Il Responsabile dovrà indennizzare il Processore contro tutte le richieste di risarcimento danni
il Processore in base alla violazione colposa da parte del Controllore dei propri obblighi ai sensi di questo
Accordo o sotto la protezione dei dati e le norme di sicurezza applicabili.
Setta. 14 Varie
(1)
In caso di contraddizioni tra le disposizioni contenute nel presente Accordo e le disposizioni
contenute nell'accordo principale, prevarranno le disposizioni del presente accordo.
(2)
Modifiche e integrazioni al presente Accordo sono soggette al reciproco consenso
delle parti contraenti, con specifico riferimento alle disposizioni del presente Accordo
modificato. Gli accordi verbali non esistono e devono essere esclusi per ogni successivo
modifiche al presente Accordo.
(3)
Il presente Accordo è soggetto esclusivamente alle leggi della Repubblica Federale di Germania.
(4)
Prima del 25 maggio 2018, il presente Accordo costituisce un Accordo sul trattamento dei dati all'interno del
significato di Sect. 11 FDPA-vecchio. Le disposizioni dell'FDPA-vecchio si applicano di conseguenza fino al
25 maggio 2018.
(5)
Nel caso in cui l'accesso ai dati che il Controller ha trasmesso al Processore per
il trattamento dei dati è compromesso da misure di terzi (misure adottate in caso di insolvenza
amministratore, sequestro da parte delle autorità fiscali, ecc.), il Processore notifica al Controllore
di ciò senza indebito ritardo.
_______________________________
_______________________________
Luogo, data
Luogo, data
_______________________________
_______________________________
Firma (Controller)
Firma (processore)
Pagina 9
9
Calendario degli allegati
Allegato 1
Misure tecniche e organizzative adottate per garantire la sicurezza del trattamento
Allegato 2
Sottoprocessori ai sensi della Sez. 9 di questo Accordo di elaborazione dei dati
ALLEGATO 1
Misure tecniche e organizzative
Il Responsabile del trattamento garantisce di aver implementato i seguenti aspetti tecnici e organizzativi
le misure:
1. Misure per garantire la riservatezza
Controllo di accesso fisico
Misure per impedire a persone non autorizzate di accedere fisicamente ai locali dell'ufficio,
i sistemi informatici e di elaborazione dei dati per l'elaborazione dei dati personali e per i file e l'archiviazione riservati
media.
Descrizione del sistema di controllo dell'accesso fisico:
un. Assegnazione dei tasti controllati
b. Transpoder personalizzato
c. Le porte sono protette con:
io. Manopola della porta protetta invece di un chiavistello
ii. Sistema di blocco automatico
iii. Chiuso al di fuori dell'orario d'ufficio
d. Serrature di sicurezza
e. Le porte sono fissate con serrature elettroniche
f. Le finestre di tutto l'ufficio sono chiuse al di fuori degli orari di ufficio
g. Tutti gli alberi di costruzione, le porte posteriori e gli ingressi laterali alternativi sono bloccati.
h. Registrazione obbligatoria dei visitatori alla reception
io. Il complesso di uffici è dotato di sensori di movimento e, se necessario, attiva un allarme
per avvisare le guardie di sicurezza.
j. Ogni visitatore viene accolto alla porta principale e riceve un badge che deve essere costantemente
trasportato durante il soggiorno e restituito prima di lasciare l'edificio. Non c'è modo per
i visitatori si spostano nello spazio ufficio senza supervisione. Tutti gli ingressi e le partenze
di non dipendenti sono documentati.
K. Le operazioni del server sono esclusivamente in un data center esterno protetto multi-livello.
Controllo dell'accesso logico
Misure per impedire che i dati protetti vengano elaborati o utilizzati da persone non autorizzate.
Descrizione del processo di controllo di accesso logico:
Pagina 10
10
un. Sistemi firewall
b. Ogni persona autorizzata riceve un ID individuale e una password personale che possono
non essere trasmesso a terzi.
c. C'è una politica di sicurezza della password.
d. L'accesso obbligatorio è richiesto quando si utilizza il sistema. La politica della password include
caratteri speciali, lunghezza minima e chage regolari ogni tre mesi.
e. Ci sono regole per quando i dipendenti sono assenti.
f. Le autorizzazioni dei dipendenti vengono controllate regolarmente.
g. Esistono politiche di sicurezza centrale (ad esempio, l'inattività di 3 minuti blocca automaticamente il
schermo)
h. Le autorizzazioni vengono controllate regolarmente.
io. Le convenzioni della password sono progettate e gestite all'interno delle impostazioni di sistema.
j. Tutte le attività di sistema vengono registrate automaticamente.
K. Tutti i tentativi di accesso vengono registrati e l'account viene bloccato dopo un numero definito di tentativi falliti
tentativi.
l. L'accesso esterno è protetto dalla rete privata virtuale
m. Interfacce interne come USB sono bloccate.
n. I dati sugli hard disk mobili sono crittografati
o. Il download di nuove applicazioni / programmi è realizzato solo da IT ed è regolato da
contratto di lavoro
p. Esistono programmi amministrativi e di protezione in uso all'interno dell'intero sistema.
q. C'è un sistema di patch centrale documentato.
r. Esiste una limitazione del numero di dipendenti in base al privilegio minimo
principio.
S. I sistemi sensibili sono incapsulati da un accesso alla rete separato.
Controllo dell'accesso ai dati
Misure che garantiscono che la persona autorizzata a utilizzare i processi di elaborazione dei dati possa
accedere esclusivamente ai loro dati personali che sono soggetti alla loro autorizzazione di accesso in modo che i dati
non può essere letto, copiato, modificato, memorizzato o rimosso durante l'elaborazione senza autorizzazione.
Descrizione del sistema di controllo dell'accesso ai dati:
un. Concetto di autorizzazione documentato che include la definizione del ruolo.
b. Esistono accessi differenziati a:
io. File
ii. Programmi applicativi
iii. Sistema operativo
c. Le diverse autorizzazioni di elaborazione sono:
io. Leggere
ii. Modificare
iii. Elimina
d. Esiste un concetto di archiviazione definito.
e. C'è un concetto di registrazione e abuso.
Pagina 11
11
f. Vi è un uso definito di trituratori (livello 3)
g. Tutti i dati sui supporti dati sono crittografati.
h. I vecchi supporti dati e dati cartacei vengono distrutti dai fornitori di servizi certificati.
Istruzione di separazione
Misure che assicurino che i dati raccolti per diversi motivi vengano elaborati separatamente e
quindi essere separato da altri dati e sistemi per garantire un'elaborazione non pianificata
di questi dati per altri motivi è impossibile.
Descrizione del processo di separazione:
un. Lato rete separato dai sistemi del cliente, se necessario.
b. Se i dati vengono memorizzati per più di una persona, questo è completamente documentato
che copre lo scopo esatto per il quale i dati devono essere elaborati.
c. Tutti i livelli di accesso per cartelle, record e campi sono impostati correttamente.
d. Esiste una separazione tra i sistemi di test e di produzione.
Pseudonymization
Misure che riducono i riferimenti personali durante l'elaborazione dei dati in misura tale che il
la correlazione personale con l'individuo colpito è impossibile senza ulteriori informazioni. Ogni
ulteriori informazioni quindi devono essere conservate separatamente dal nickname.
Descrizione del processo di anonimizzazione:
un. Diversi processi di valore hash per la trasmissione di IP
2. Misure per garantire l'integrità
Controllo del trasferimento dei dati
Misure che garantiscono che i dati personali non possano essere letti, copiati, modificati o rimossi durante
la trasmissione elettronica o durante il trasporto o l'archiviazione su supporti di dati senza
autorizzazione e misure che assicurino il controllo e la determinazione dei luoghi a
la trasmissione di dati personali è designata.
Descrizione della procedura di controllo del trasferimento dei dati:
un. Trasmissione di dati tramite reti dati codificate o connessioni tunnel
b. Accordo di sede, riconosciuto dall'autorità di protezione dei dati esterna
c. Monitoraggio del trasferimento dei dati
Pagina 12
12
Controllo di input
Misure che garantiscono che possa essere successivamente verificato e determinato se e entro
quali dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati.
Descrizione della procedura di controllo dell'input:
un. Registrazione di tutte le attività di sistema e archiviazione di questi registri.
b. Voci non autorizzate, modifiche e / o cancellazioni sono impedite dalla password di sistema.
c. Il sistema stabilisce sempre l'autenticità (i dati possono sempre essere tracciati all'origine)
d. Registrazione delle connessioni di manutenzione remota.
e. È stato stipulato un contratto di manutenzione con il servizio di manutenzione di rimozione
fornitore.
3. Misure per garantire disponibilità e capacità
Controllo della disponibilità
Misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale.
Descrizione del sistema di controllo della disponibilità:
un. Gestione dei server solo in un data center esterno con alimentazione ininterrotta
e generatori di emergenza.
b. Sistema di allarme antincendio
c. Sistema di aria condizionata
d. Sistema di allarme nel centro dati
e. Monitoraggio delle licenze
Processo per rapida recuperabilità e resilienza
Misure che assicurano un rapido recupero della disponibilità e accessibilità dei dati in caso di problemi fisici
o incidente tecnico.
Descrizione della procedura di controllo della separazione:
un. Procedure di protezione dei dati documentate all'interno del mirror dei dati crittografati da rimuovere
siti.
b. Le directory e il backup dei dati vengono mantenuti.
c. Esiste un concetto di recupero di emergenza.
d. La documentazione esistente sulla sicurezza dei dati è regolarmente controllata per
attualità
e. Gli incidenti di sicurezza sono documentati e valutati.
f. La password dell'amministratore è conservata in modo sicuro.
g. Gli audit interni ed esterni sono effettuati da esaminatori certificati.
h. Vengono eseguiti regolari test di recupero dei dati.
io. I test di penetrazione sono condotti da terze parti.
j. Vi è una convalida generale e controlli da parte di un responsabile esterno della protezione dei dati.
Pagina 13
13
Misure per la valutazione periodica della sicurezza dell'elaborazione e del controllo dei dati
Misure che assicurino il trattamento sicuro dei dati secondo la legge.
Descrizione del processo di valutazione:
un. Gestione della privacy
b. Esistono processi formalizzati per gli incidenti di protezione dei dati.
c. Esistono accordi sul livello di servizio per l'esecuzione dei controlli.
d. I fornitori di servizi e i subappaltatori sono selezionati in base al concetto di sicurezza dei dati
secondo DSGVO e contratti di elaborazione dati contrattati sono conclusi con
questi secondo DSGVO.
Misure organizzative per garantire la sicurezza dei dati
Descrizione del processo di valutazione:
un. È stato nominato un responsabile esterno per la protezione dei dati.
b. Tutti i dipendenti firmano accordi di non divulgazione.
c. Anche i dipendenti esterni si impegnano a mantenere la riservatezza.
d. La formazione sulla privacy e la conformità è obbligatoria per tutti i dipendenti.
ALLEGATO 2
subappaltatori
Il Responsabile del trattamento dei dati sta ingaggiando i seguenti subappaltatori per svolgere il proprio servizio.
1. Hosting OVH
1. Servizi di hosting OVH (hosting)
OVH GmbH
Dudweiler Landstraße 5
66123 Saarbrücken
Germania
Email: service@ovh.com
Web: https://www.ovh.com/us/
Pagina 14
14
I data center si trovano in Francia: Roubaix (RBX-1, RBX-2) e Parigi (DC-1).
Trova maggiori informazioni sui data center di OVH sotto:
https://www.ovh.com/us/about-us/datacenters.xml
I data center OVH sono strettamente per il nostro uso personale: i server possono essere consultati solo fisicamente
dipendenti autorizzati
Accesso limitato dal sistema di controllo dei badge di sicurezza, dalla videosorveglianza e dal personale di sicurezza 24/7
sul posto
Camere dotate di sistemi di rilevamento dei fumi
Tecnico in loco 24 ore su 24, 7 giorni su 7
Doppia alimentazione sistematica
Elaborazione di 250 kVA per UPS
Minimo 2 connessioni di rete verso e all'interno del data center, 2 sale di rete in grado di
prendendo in consegna l'uno dall'altro
OVH è certificata ISO 27001: 2005 per la fornitura e il funzionamento del cloud computing dedicato
infrastrutture
OVH si basa sulle norme di gestione della sicurezza e di valutazione del rischio ISO 27002 e ISO 27005 e
processi associati
OVH ha ottenuto le certificazioni SOC (Service Organization Control) 1 e 2 di tipo II per 3 data center
in Francia e 1 in Canada, che certifica il livello di sicurezza di OVH Dedicated Cloud
Scopri di più sulla certificazione OVH sotto:
https://www.ovh.com/us/about-us/certifications.xml
Ulteriori informazioni sulla conformità GDPR: https://www.ovh.co.uk/personal-data-protection/
1.1 Scala, natura e finalità della raccolta, dell'elaborazione e dell'uso dei dati
La portata, la natura e lo scopo della raccolta, elaborazione e utilizzo dei dati personali comprendono
seguenti e sono ulteriormente specificati nel Contratto:
un. Servizio di hosting
b. Soluzione del fornitore
c. Dati per l'analisi
d. Rivedere i dati
e. Servizio di revisione (Widget, pagina Certificato)
f. Strumenti di revisione
1.2 Soggetti dei dati
Il gruppo di persone interessate dal trattamento di dati personali in relazione a questo
commissione ("Soggetti dei dati") comprende:
Pagina 15
15
un. Controller di dati
un. Clienti del controller dei dati
b. Prospettive del controllore dei dati
c. Dipendenti del Titolare
1.3 Tipi di dati personali
un. IP
b. Altri dati personali, si prega di specificare:
c. Metadati: specificare:
I Dati Personali raccolti sono utilizzati per l’erogazione di servizi all’Utente o per la vendita di prodotti, inclusi il pagamento e l’eventuale consegna. I Dati Personali raccolti per perfezionare il pagamento possono essere quelli relativi alla carta di credito, al conto corrente utilizzato per il bonifico o ad altri strumenti di pagamento previsti. I Dati di pagamento raccolti da questo Sito Web dipendono dal sistema di pagamento utilizzato.
TENORE S.r.l.
Via trapani, 26 72023 Mesagne (BR)
Indirizzo email del Titolare: info@puntoirrigazione.it