Vereinbarung zur Datenverarbeitung
Datenverarbeitungsvertrag - Rods&Cones als Verarbeiter
Diese Datenverarbeitungsvereinbarung ("DPA") besagt, dass der Unterzeichner:
Rods&Cones BV, ein nach belgischem Recht gegründetes Unternehmen mit Sitz in Oudebaan 2, 2350 Vosselaar, Belgien, das im Handelsregister der Handelskammer unter der Nummer BE0741.795.919 eingetragen ist, oder Rods&Cones Sales B.V., ein nach niederländischem Recht gegründetes Unternehmen mit Sitz in Apollolaan 69-3, 1077AH Amsterdam, Niederlande, das im Handelsregister der Handelskammer unter der Nummer 80331947 eingetragen ist (im Folgenden "Stäbe&Knochen/Prozessor"),
nachstehend gemeinsam auch als "die" bezeichnetParteien" und jeder für sich als "Party";
erklären, wie folgt übereingekommen zu sein:
Rods&Cones stellt die Fernwartungslösung in dem Umfang zur Verfügung, der im Rahmen der zugrunde liegenden Vereinbarung zur Verfügung gestellt wird, um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten widerzuspiegeln.
Im Rahmen der Erbringung der Dienstleistungen für den Kunden gemäß dem DSG kann Rods&Cones personenbezogene Daten im Namen des Kunden verarbeiten, und die Parteien verpflichten sich, die folgenden Bestimmungen in Bezug auf personenbezogene Daten einzuhalten, wobei sie jeweils nach Treu und Glauben handeln.
Mit Wirkung vom 25. Mai 2018, Stäbchen&Knochen verarbeitet personenbezogene Daten im Einklang mit der Allgemeinen Datenschutzverordnung oder der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zur Aufhebung der Richtlinie 95/46/EG (im Folgenden als: 'GDPR) Anforderungen, die unmittelbar gelten für Stäbchen&Knochen' die Erbringung seiner Dienstleistungen.
- Definitionen
"Partner" | bezeichnet jedes Unternehmen, das Teil der Rods&Cones-Unternehmensgruppe ist. |
"Persönliche Daten | sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person (Datensubjekt) beziehen; |
"Betroffene Person" | ist eine identifizierbare Person eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; |
"Verletzung des Schutzes personenbezogener Daten" | bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt; |
"Prozess/Verarbeitung" | ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; |
"Lösung" | bedeutet Rods&Cones Remote Assistance, wie vom Kunden im Rahmen des zugrundeliegenden Vertrags bestellt, sowie die zugehörige Dokumentation. |
"Besondere Kategorien von Daten" | sind Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen; genetische Daten, biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden; Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person; |
"Sub-Prozessor" | ist jeder vom Auftragsverarbeiter beauftragte Datenverarbeiter, der sich damit einverstanden erklärt, vom Auftragsverarbeiter personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die im Auftrag des für die Verarbeitung Verantwortlichen gemäß dessen Anweisungen, den Bestimmungen dieser DSGVO und den Bestimmungen eines schriftlichen Untervertrags durchgeführt werden; |
"Aufsichtsbehörde" | ist eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat gemäß Artikel 51 der Datenschutz-Grundverordnung eingerichtet wurde, und |
"Technische und organisatorische Sicherheitsmaßnahmen" | sind Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung. |
"Drittland" | ein Land, in dem die Europäische Kommission nicht entschieden hat, dass das Land, ein Gebiet oder ein oder mehrere bestimmte Sektoren innerhalb dieses Landes ein angemessenes Schutzniveau gewährleisten |
"Zugrunde liegende Vereinbarung" | bezeichnet den SaaS-Abonnementvertrag, durch den Rods&Cones dem Kunden die Lösung zur Verfügung stellt. |
- Einzelheiten der Verarbeitung
Die im Rahmen dieser Datenschutzrichtlinie verarbeiteten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
- Mitarbeiter und Auftragnehmer des Kunden
- Fachkräfte des Gesundheitswesens
- Patienten
Rods&Cones besteht aus einem webbasierten Back-End, um Kundendaten (einschließlich personenbezogener Daten) zu speichern und zu verwalten, sowie aus interagierenden Front-End-Clients, die das Abspielen von Audio- und Videodaten (einschließlich identifizierbarer personenbezogener Daten) sowie die Erstellung von Analysen über die Nutzung ermöglichen ("Dienste").
Art und Zweck der Verarbeitung: Der Auftragsverarbeiter erhebt, verarbeitet und nutzt die personenbezogenen Daten der betroffenen Personen im Auftrag des für die Verarbeitung Verantwortlichen, um Experten aus der Ferne in die Lage zu versetzen, Angehörige der Gesundheitsberufe aus der Ferne zu unterstützen, ohne vor Ort anwesend sein zu müssen.
Das Headset, das im Operationssaal verwendet wird, zeigt die folgenden datenschutzrelevanten Bilder an:
- OR-Personal
- Bilder eines nicht identifizierten Patienten
- Displays und Bildschirme im OP
Die Audio- und Videodaten werden nur im 1-zu-1-Modus an einen zertifizierten Fernassistenten übertragen. In besonderen Ausnahmefällen kann die Sitzung an ein größeres Publikum übertragen werden (für Schulungs- und Ausbildungszwecke). Standardmäßig werden die Videos und Bilder weder während noch nach der Übertragung gespeichert. In Ausnahmefällen können Fernassistenten die Möglichkeit erhalten, eine Sitzung auf der Festplatte ihres persönlichen Computers aufzuzeichnen.
Die Fernassistenten befolgen strenge Anweisungen für professionelles Verhalten wie im OP (https://rods-cones.com/re_terms/)
Rods&Cones speichert die folgenden persönlichen Daten der Remote-Assistenten: E-Mail-Adresse; Nachname, Vorname.
- Rechte und Pflichten des für die Verarbeitung Verantwortlichen
Der für die Verarbeitung Verantwortliche bleibt der für die Verarbeitung der personenbezogenen Daten Verantwortliche, wie er dem Auftragsverarbeiter auf der Grundlage dieser DPA und wie anderweitig angewiesen wurde. Der für die Verarbeitung Verantwortliche hat Rods&Cones angewiesen und wird Rods&Cones während der gesamten Dauer der Auftragsdatenverarbeitung anweisen, die personenbezogenen Daten nur im Namen des für die Verarbeitung Verantwortlichen und in Übereinstimmung mit dem anwendbaren Datenschutzrecht, dieser DSGVO und den Anweisungen des für die Verarbeitung Verantwortlichen zu verarbeiten. Der für die Verarbeitung Verantwortliche ist berechtigt und verpflichtet, Rods&Cones im Zusammenhang mit der Verarbeitung der personenbezogenen Daten Anweisungen zu erteilen, und zwar sowohl allgemein als auch in einzelnen Situationen. Weisungen können sich auch auf die Berichtigung, Löschung oder Sperrung der personenbezogenen Daten beziehen. Weisungen sind grundsätzlich schriftlich zu erteilen, es sei denn, die Dringlichkeit oder andere besondere Umstände erfordern eine andere (z.B. mündliche, elektronische) Form. Weisungen in anderer als schriftlicher Form sind von der verantwortlichen Stelle unverzüglich schriftlich zu bestätigen. Soweit die Durchführung einer Weisung für Rods&Cones mit Kosten verbunden ist, wird sie die verantwortliche Stelle zunächst über diese Kosten informieren. Erst nach der Bestätigung des für die Verarbeitung Verantwortlichen, diese Kosten für die Durchführung einer Weisung zu übernehmen, ist der Auftragsverarbeiter verpflichtet, diese Weisung auszuführen.
- Pflichten des Verarbeiters
Rods&Cones soll:
- die personenbezogenen Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen und in dessen Namen zu verarbeiten; eine solche Anweisung wird in dieser DSGVO und ansonsten in dokumentierter Form, wie in Klausel 3 oben angegeben, erteilt. Diese Verpflichtung, die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, gilt auch für die Übermittlung der personenbezogenen Daten in ein Drittland.
- den für die Verarbeitung Verantwortlichen unverzüglich zu informieren, wenn Rods&Cones den Anweisungen des für die Verarbeitung Verantwortlichen aus irgendwelchen Gründen nicht nachkommen kann;
- die persönlichen Daten streng vertraulich zu behandeln und
- und darf die personenbezogenen Daten nur zur Erbringung der Dienstleistungen und zu keinem anderen Zweck verarbeiten, es sei denn, der Kunde hat dies im Voraus schriftlich genehmigt.
- sicherzustellen, dass die von Rods&Cones zur Verarbeitung personenbezogener Daten im Namen des für die Verarbeitung Verantwortlichen ermächtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen Vertraulichkeitsverpflichtung unterliegen und dass diese Personen, die Zugang zu den personenbezogenen Daten haben, diese personenbezogenen Daten gemäß den Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten.
- vor der Verarbeitung der personenbezogenen Daten technische und organisatorische Sicherheitsmaßnahmen zu ergreifen, die den Anforderungen der DSGVO entsprechen, und dem für die Verarbeitung Verantwortlichen ausreichende Garantien für diese technischen und organisatorischen Sicherheitsmaßnahmen zu geben.
- den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit dies durchführbar ist, um die Verpflichtung des für die Verarbeitung Verantwortlichen zur Beantwortung von Anträgen der betroffenen Personen auf Information, Auskunft, Berichtigung und Löschung, Einschränkung der Verarbeitung, Benachrichtigung, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungsfindung zu erfüllen; soweit diese durchführbaren technischen und organisatorischen Maßnahmen Änderungen oder Ergänzungen der technischen und organisatorischen Maßnahmen erfordern, wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über die Kosten für die Umsetzung dieser zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen informieren. Sobald der für die Verarbeitung Verantwortliche die Übernahme dieser Kosten bestätigt hat, wird der Auftragsverarbeiter diese zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen umsetzen, um den für die Verarbeitung Verantwortlichen bei der Beantwortung der Anfragen der betroffenen Person zu unterstützen.
- dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in dieser DSGVO und in Artikel 28 DSGVO niedergelegten Verpflichtungen nachzuweisen. 28 DSGVO zur Verfügung stellen und Prüfungen, einschließlich Inspektionen durch den für die Verarbeitung Verantwortlichen oder einen anderen von ihm beauftragten Prüfer, zulassen und dazu beitragen. Der für die Verarbeitung Verantwortliche ist sich bewusst, dass persönliche Vor-Ort-Prüfungen den Geschäftsbetrieb von Rods&Cones erheblich stören und mit einem hohen Kosten- und Zeitaufwand verbunden sein können. Daher darf die Kontrollstelle eine persönliche Vor-Ort-Prüfung nur durchführen, wenn die Kontrollstelle dem Auftragsverarbeiter alle Kosten und Aufwendungen erstattet, die der Kontrollstelle durch die Störung des Geschäftsbetriebs entstehen.
- den Kontrolleur unverzüglich zu benachrichtigen:
- über jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, z. B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung;
- über alle Beschwerden und Anträge, die direkt von betroffenen Personen eingehen (z. B. in Bezug auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung von Daten, automatisierte Entscheidungsfindung), ohne auf den Antrag zu reagieren, sofern sie nicht anderweitig dazu befugt ist;
- wenn der Auftragsverarbeiter nach dem Recht der EU oder eines Mitgliedstaats, dem er unterliegt, verpflichtet ist, die personenbezogenen Daten über die Weisungen des für die Verarbeitung Verantwortlichen hinaus zu verarbeiten, bevor er diese Verarbeitung über die Weisungen hinaus vornimmt, es sei denn, das Recht der EU oder des Mitgliedstaats verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses; in der Meldung ist die rechtliche Anforderung nach dem Recht der EU oder des Mitgliedstaats anzugeben;
- wenn eine Anweisung nach Ansicht des Auftragsverarbeiters gegen die DSGVO verstößt; nach einer solchen Meldung ist der Auftragsverarbeiter nicht verpflichtet, die Anweisung zu befolgen, es sei denn, der für die Verarbeitung Verantwortliche hat sie bestätigt oder geändert; und
- nachdem der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten bei Rods&Cones Kenntnis erlangt hat. Im Falle einer solchen Verletzung des Schutzes personenbezogener Daten wird der Auftragsverarbeiter auf schriftlichen Antrag des für die Verarbeitung Verantwortlichen den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtung nach geltendem Datenschutzrecht unterstützen, die betroffenen Personen und gegebenenfalls die Aufsichtsbehörden zu informieren und die Verletzung des Schutzes personenbezogener Daten zu dokumentieren.
- den für die Verarbeitung Verantwortlichen bei einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO geforderten Datenschutz-Folgenabschätzung zu unterstützen, die sich auf die vom Auftragsverarbeiter für den Verantwortlichen erbrachten Dienstleistungen und die vom Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten bezieht.
- alle Anfragen des für die Verarbeitung Verantwortlichen in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu bearbeiten (z. B. um den für die Verarbeitung Verantwortlichen in die Lage zu versetzen, auf Beschwerden oder Anfragen von betroffenen Personen rechtzeitig zu reagieren) und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen.
- dass der Auftragsverarbeiter, soweit er verpflichtet ist und aufgefordert wird, die im Rahmen dieser DSGVO verarbeiteten personenbezogenen Daten zu berichtigen, zu löschen und/oder zu sperren, dies ohne unangemessene Verzögerung tun wird. Wenn und soweit personenbezogene Daten aufgrund gesetzlicher Aufbewahrungspflichten nicht gelöscht werden können, ist der Auftragsverarbeiter anstelle der Löschung der betreffenden personenbezogenen Daten verpflichtet, die weitere Verarbeitung und/oder Nutzung personenbezogener Daten einzuschränken oder die zugehörige Identität aus den personenbezogenen Daten zu entfernen (im Folgenden als "Sperrung" bezeichnet). Unterliegt der Auftragsverarbeiter einer solchen Sperrverpflichtung, so hat er die betreffenden personenbezogenen Daten vor oder am letzten Tag des Kalenderjahres, in dem die Aufbewahrungsfrist endet, zu löschen.
- Weiterverarbeitung
- Der für die Verarbeitung Verantwortliche genehmigt den Einsatz von Unterauftragsverarbeitern, die vom Auftragsverarbeiter mit der Erbringung der Dienstleistungen beauftragt werden. Der für die Verarbeitung Verantwortliche genehmigt den Einsatz des/der folgenden Unterauftragsverarbeiter(s):
Name Adresse Zweck der Nutzung Microsoft Irland ltd. One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland Hosting der Anwendung Xirsys LLC 25061 Avenue Stanford, Suite 10; Santa Clarita, Kalifornien 91355, US Serveranbieter wechseln OpenVPN 7901 Stoneridge Drive, Suite 240, Pleasanton, Kalifornien 94588, US VPN-Client - Beabsichtigt der Auftragsverarbeiter, neue oder zusätzliche Unterauftragsverarbeiter zu beauftragen, so unterrichtet er den für die Verarbeitung Verantwortlichen über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters ("Hinweis für Unterauftragsverarbeiter"). Hat der für die Verarbeitung Verantwortliche begründete Einwände gegen die Nutzung eines solchen neuen oder zusätzlichen Unterauftragsverarbeiters, so hat er dies dem Auftragsverarbeiter unverzüglich innerhalb von 14 Tagen nach Erhalt der Mitteilung über den Unterauftragsverarbeiter schriftlich mitzuteilen. Erhebt der für die Verarbeitung Verantwortliche Einspruch gegen einen neuen oder zusätzlichen Unterauftragsverarbeiter und ist dieser Einspruch nicht unangemessen, so bemüht sich der Auftragsverarbeiter in angemessener Weise, dem für die Verarbeitung Verantwortlichen eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich vertretbare Änderung der Konfiguration oder Nutzung der Dienste durch den für die Verarbeitung Verantwortlichen zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen oder zusätzlichen Unterauftragsverarbeiter zu vermeiden, ohne den für die Verarbeitung Verantwortlichen unangemessen zu belasten. Ist der Auftragsverarbeiter nicht in der Lage, eine solche Änderung innerhalb einer angemessenen Frist, die sechzig (60) Tage nicht überschreiten darf, vorzunehmen, kann der für die Verarbeitung Verantwortliche den betroffenen Teil der DPA nur in Bezug auf die Dienste kündigen, die vom Auftragsverarbeiter nicht ohne den Einsatz des beanstandeten neuen oder zusätzlichen Unterauftragsverarbeiters erbracht werden können, indem er den Auftragsverarbeiter schriftlich darüber informiert.
- Der Auftragsverarbeiter hat allen Unterauftragsverarbeitern vertraglich die gleichen Datenschutzverpflichtungen aufzuerlegen, wie sie in dieser DSGVO festgelegt sind. Der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss insbesondere ausreichende Garantien für die Umsetzung der technischen und organisatorischen Sicherheitsmaßnahmen bieten, soweit diese technischen und organisatorischen Sicherheitsmaßnahmen für die vom Unterauftragsverarbeiter erbrachten Dienstleistungen relevant sind.
- Der Auftragsverarbeiter wählt den Unterauftragsverarbeiter mit Sorgfalt aus.
- Falls ein solcher Unterauftragsverarbeiter in einem Drittland ansässig ist, schließt der Auftragsverarbeiter auf schriftlichen Antrag des für die Verarbeitung Verantwortlichen mit dem betreffenden Unterauftragsverarbeiter im Namen des für die Verarbeitung Verantwortlichen einen EU-Mustervertrag (Auftragsverarbeiter an Auftragsverarbeiter) gemäß dem Beschluss 2010/87/EU ab. In diesem Fall beauftragt und ermächtigt der für die Verarbeitung Verantwortliche den Auftragsverarbeiter, Unterauftragsverarbeiter im Namen des für die Verarbeitung Verantwortlichen zu beauftragen und alle Rechte des für die Verarbeitung Verantwortlichen gegenüber den Unterauftragsverarbeitern auf der Grundlage des EU-Mustervertrags geltend zu machen.
- Der Auftragsverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters haftbar, wenn dieser seinen Verpflichtungen nicht nachkommt. Der Auftragsverarbeiter haftet jedoch nicht für Schäden und Forderungen, die sich aus den Anweisungen des für die Verarbeitung Verantwortlichen an die Unterauftragsverarbeiter ergeben.
- Begrenzung der Haftung
Jegliche Haftung, die sich aus oder in Verbindung mit dieser DPA ergibt, richtet sich ausschließlich nach den in dieser DPA festgelegten oder anderweitig anwendbaren Haftungsbestimmungen und nicht nach anderen Bestimmungen. Daher und zum Zweck der Berechnung von Haftungsobergrenzen und/oder der Bestimmung der Anwendung anderer Haftungsbeschränkungen gilt jede Haftung, die im Rahmen dieser DPA entsteht, als im Rahmen der Bestimmungen dieser DPA entstanden.
- Dauer und Beendigung
- Die Laufzeit dieser DPA ist identisch mit der Laufzeit der zugrunde liegenden Vereinbarung. Sofern hierin nichts anderes vereinbart ist, gelten für die Kündigungsrechte und -voraussetzungen die gleichen Bestimmungen wie im Grundlagenvertrag.
- Der Auftragsverarbeiter löscht nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen oder gibt sie an den für die Verarbeitung Verantwortlichen zurück und löscht alle vorhandenen Kopien, es sei denn, das Recht der EU oder eines Mitgliedstaates verpflichtet den Auftragsverarbeiter zur Aufbewahrung dieser personenbezogenen Daten.
- Sonstiges
- Im Falle von Widersprüchen zwischen den Bestimmungen dieser DPA und anderen bestehenden Vereinbarungen zwischen den Parteien haben die Bestimmungen dieser DPA in Bezug auf die Datenschutzverpflichtungen der Parteien Vorrang. Im Falle von Zweifeln darüber, ob sich Klauseln in solchen anderen Vereinbarungen auf die Datenschutzverpflichtungen der Parteien beziehen, ist diese DPA maßgebend.
- Sollte eine Bestimmung dieser DPA ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser DPA gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchführbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder - sollte dies nicht möglich sein - (ii) so auszulegen, als ob der unwirksame oder undurchführbare Teil nie enthalten gewesen wäre. Dies gilt auch, wenn diese DPA eine Lücke enthält.
- Unbeschadet der Anwendbarkeit der DSGVO auf diese DPA und die darauf beruhende Verarbeitung unterliegt diese DPA dem belgischen Recht.
- Sicherheitsmaßnahmen
Rods&Cones unterhält mindestens technische und organisatorische Sicherheitsmaßnahmen und -verfahren, um die Sicherheit der erstellten, gesammelten, empfangenen oder anderweitig erhaltenen personenbezogenen Daten zu schützen.
Technische und organisatorische Sicherheitsmaßnahmen können als Stand der Technik betrachtet werden. Rods&Cones wird die technischen und organisatorischen Sicherheitsmaßnahmen im Laufe der Zeit unter Berücksichtigung der Kosten für die Umsetzung, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos mit unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen bewerten.
Rods&Cones soll sicherstellen:
- dass sie die Zugriffsrechte für ihre Mitarbeiter ordnungsgemäß konfiguriert hat, einschließlich eines klar definierten Prozesses für die Aufnahme und das Ausscheiden von Mitarbeitern, um sicherzustellen, dass die Zugriffsrechte ordnungsgemäß verwaltet werden;
- dass sie über angemessene Kontrollen verfügt, um sicherzustellen, dass für den Zugang zu den personenbezogenen Daten komplexe alphanumerische Passwörter erforderlich sind, und dass Schulungen zur Sicherheit dieser Passwörter durchgeführt werden;
- er verfügt über Verfahren zur Feststellung der unrechtmäßigen Verwendung personenbezogener Daten, einschließlich der Überwachung des unrechtmäßigen Zugriffs auf personenbezogene Daten;
- er verfügt über Verfahren zur Feststellung der unrechtmäßigen Verwendung personenbezogener Daten, einschließlich der Überwachung des unrechtmäßigen Zugriffs auf personenbezogene Daten;
- geeignete und wirksame Authentifizierungsverfahren zum Schutz personenbezogener Daten eingerichtet und eingesetzt werden;
- die auf Laptops oder anderen tragbaren Medien gespeicherten personenbezogenen Daten verschlüsselt sind;
- die personenbezogenen Daten nicht über das Internet einsehbar sind. Sollte ein webbasierter Zugang zu den personenbezogenen Daten erlaubt sein, so darf dieser nur in Bezug auf die betreffenden Daten erfolgen.
- Personenbezogene Daten, die in Papierform vorliegen, werden in verschlossenen Schränken in verschlossenen Büros aufbewahrt, zu denen nur befugte Personen Zugang haben.
- dass er ein genaues, aktuelles Bestandsverzeichnis führt, das alle für die Verarbeitung verwendeten tragbaren Datenträger umfasst;
- dass die Mitarbeiter nur über ein sicheres elektronisches Netz von zu Hause aus oder über ihr eigenes elektronisches Gerät auf die personenbezogenen Daten zugreifen können und dass die personenbezogenen Daten nicht auf solchen Geräten gespeichert werden dürfen;
- dass geeignete physische Sicherheitsmaßnahmen getroffen werden, die dem Schaden angemessen sind, der durch die unrechtmäßige Offenlegung personenbezogener Daten entstehen könnte. Diese physischen Sicherheitsmaßnahmen werden in der Datensicherheitspolitik von Rods&Cones festgelegt;
- dass Rods&Cones angemessene Richtlinien für die Einhaltung der Datensicherheit einführt und aufrechterhält und die Verwendung personenbezogener Daten in Übereinstimmung mit seinen Datensicherheitsrichtlinien regelmäßig, in jedem Fall aber jährlich, überprüft; und
- dass sie schriftlich eine Person benennt, die für die Einhaltung der DSGVO verantwortlich und rechenschaftspflichtig ist.