Contratto di elaborazione degli ordini

Versione ottobre 2023

Accordo sull'elaborazione degli ordini

Accordo sull'elaborazione degli ordini

Accordo sull'elaborazione degli ordini

Regolamento sulla protezione e la sicurezza dei dati nei rapporti contrattuali

ai sensi dell'art. 28 GDPR

Shiftmove GmbH

Warschauer Straße 57

10243 Berlino

- di seguito denominato "Processore" -

e voi

- di seguito indicato come il "Controllore" -

- di seguito denominate congiuntamente "Parti contraenti".

Preambolo

Il presente Accordo sul trattamento dei dati (" DPA ") ai sensi dell'Art. 28 GDPR fa parte dei nostri Termini e Condizioni Generali ("Accordo Principale") stipulati tra i nostri utenti e Shiftmove GmbH ed è accessibile qui: https://www.shiftmove.com/legal/agb.  In base a questo accordo, la presente DPA si applica al trattamento dei vostri dati personali nel contesto della fornitura del nostro prodotto.

L'accordo si basa sulle disposizioni del GDPR e del BDSG.

‍§ 1 Oggetto del contratto; natura e finalità del trattamento; tipo di dati personali, categorie di persone interessate.

(1) L'oggetto del contratto è la fornitura di servizi Software-as-a-Service della gamma del Gruppo Shiftmove ("Servizi"). La tipologia e le finalità del trattamento sono definite nell'Allegato 1a.

(2) Le categorie di persone interessate sono definite nell'Allegato 1b.

(3) Il tipo di dati personali trattati è definito nell'Allegato 1c.

(4) L'Allegato 1 è parte integrante del presente accordo.

(5) Il responsabile del trattamento deve istruire l'incaricato del trattamento a trattare tali dati per questi scopi.

§ 2 Durata dell'ordine

La durata di questo ordine (termine) corrisponde alla durata del contratto principale.

§ 3 Responsabilità e autorità di emanare istruzioni

(1) Il Titolare del trattamento è responsabile del rispetto delle disposizioni della legge sulla protezione dei dati, in particolare della legittimità del trasferimento dei dati al Responsabile del trattamento e della legittimità del trattamento dei dati (art. 4 n. 7 GDPR). Il Responsabile del trattamento non utilizzerà i dati per scopi diversi da quelli specificati nel presente accordo di trattamento dei dati e nel contratto principale e, in particolare, non è autorizzato a trasmetterli a terzi. Non verranno effettuate copie e duplicati senza che il responsabile del trattamento ne sia a conoscenza. Qualsiasi disposizione contraria si applica solo nella misura specificata al paragrafo 2.

(2) L'incaricato del trattamento tratta i dati personali solo su istruzioni documentate del responsabile del trattamento, a meno che non sussista un altro obbligo ai sensi del diritto dell'Unione o dello Stato membro a cui l'incaricato del trattamento è soggetto. In caso di altro obbligo, l'incaricato del trattamento informa il responsabile del trattamento dei relativi requisiti legali senza ritardi ingiustificati prima del trattamento.

(3) Se l'incaricato del trattamento ritiene che un'istruzione violi le norme sulla protezione dei dati, ne informa immediatamente il responsabile del trattamento ai sensi dell'art. 28, comma 1, lettera a). 28 par. 3 frase 3 GDPR. Fino alla conferma o alla modifica dell'istruzione corrispondente, l'incaricato del trattamento ha il diritto di sospendere l'esecuzione dell'istruzione.

(4) Le modifiche all'oggetto del trattamento con modifiche procedurali devono essere concordate e documentate congiuntamente. L'incaricato del trattamento può fornire informazioni a terzi o all'interessato solo previo consenso scritto del responsabile del trattamento.

§ 4 Riservatezza

Nell'esecuzione del lavoro, l'incaricato del trattamento si avvarrà esclusivamente di dipendenti vincolati alla riservatezza ai sensi dell'art. 28, comma 1, lettera a), del presente documento. 28 par. 3 frase 2 lit. b GDPR e che siano stati preventivamente informati sulle disposizioni in materia di protezione dei dati personali che li riguardano. Il Responsabile del trattamento e qualsiasi persona subordinata al Responsabile del trattamento che abbia accesso ai dati personali può trattare tali dati solo in conformità alle istruzioni del Titolare del trattamento, compresi i poteri concessi nel presente Accordo sul trattamento dei dati, a meno che non sia legalmente obbligato a farlo.

§ 5 Sicurezza dei dati

(1) Die Vertragsparteien vereinbaren die in dem Appendice 2 "Misure tecniche e organizzative" Le misure specifiche di sicurezza dei dati previste dal presente accordo ai sensi dell'art. 28, comma 1, lettera a), del presente accordo. 28 para. 3 lit. c GDPR in combinato disposto con l'Art. 32 para. 1 GDPR al fine di garantire la sicurezza del trattamento per conto di terzi. In generale, le misure da adottare sono misure di sicurezza dei dati e misure volte a garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi. Lo stato dell'arte, i costi di attuazione, la natura, l'ambito e le finalità del trattamento, nonché la diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche ai sensi dell'articolo 32, paragrafo 1, lettera a), del RGPD. 32 para. 1 GDPR devono essere presi in considerazione.

(2) L'Appendice 2 è parte integrante del presente contratto.

(3) L'incaricato del trattamento deve rispettare i principi di un corretto trattamento dei dati. Deve garantire le misure di sicurezza dei dati concordate contrattualmente e prescritte dalla legge. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. A questo proposito, l'incaricato del trattamento è autorizzato a implementare misure alternative adeguate. In questo modo, il livello di sicurezza delle misure definite non deve essere compromesso. Le modifiche significative devono essere documentate e comunicate per iscritto al responsabile del trattamento.

§ 6 Inclusione di ulteriori responsabili del trattamento (subappaltatori)

(1) Ai fini del presente regolamento, i subappaltatori sono ulteriori incaricati del trattamento i cui servizi sono direttamente collegati alla fornitura del servizio principale. Non sono compresi i servizi accessori di cui l'incaricato del trattamento si avvale, ad esempio servizi di telecomunicazione, servizi postali/di trasporto e di pulizia. Tuttavia, l'incaricato del trattamento è tenuto ad adottare accordi contrattuali e misure di controllo adeguati e legalmente conformi per garantire la protezione e la sicurezza dei dati del responsabile del trattamento, anche nel caso di servizi accessori esternalizzati.

(2) Il ricorso a subappaltatori o la modifica del subappaltatore esistente sono consentiti, a condizione che:

  • l'incaricato del trattamento notifica al responsabile del trattamento tale esternalizzazione a subappaltatori con un ragionevole anticipo, per iscritto o in forma di testo, e
  • il responsabile del trattamento non si oppone all'esternalizzazione prevista per iscritto o in forma testuale all'incaricato del trattamento entro il momento in cui i dati vengono trasferiti.

(3) Con il subappaltatore viene stipulato un accordo contrattuale ai sensi dell'art. 28 (3 e 4) GDPR. 28 (3) e (4) GDPR.

(4) Il trasferimento dei dati personali del responsabile del trattamento al subappaltatore e le attività iniziali del subappaltatore sono consentite solo una volta soddisfatti tutti i requisiti legali per il subappalto. I subappaltatori approvati dal responsabile del trattamento al momento della stipula del contratto sono elencati in https://vimcar.com/data-protection/subcontractors e https://www.avrios.com/de/legal/sub-processors e possono essere aggiornati dall'incaricato del trattamento.

(5) Le società affiliate al Gruppo Shiftmove sono incaricate come subappaltatori.

(6) Il trasferimento del trattamento dei dati a un paese terzo richiede la preventiva istruzione documentata del responsabile del trattamento (art. 28 par. 3 lett. a GDPR) e può avvenire solo se sono soddisfatti i requisiti speciali di cui agli artt. 44-49 del GDPR.

§ 7 Diritti degli interessati

(1) L'incaricato del trattamento è tenuto a supportare il responsabile del trattamento con misure tecniche e organizzative adeguate, ove possibile, per adempiere agli obblighi di risposta alle richieste di salvaguardia dei diritti degli interessati di cui agli Artt. 12-22 GDPR (Art. 28 comma 3 frase 2 lit. e GDPR).

(2) Nella misura in cui l'interessato ha diritto alla portabilità dei dati nei confronti del responsabile del trattamento, l'incaricato del trattamento deve garantire che il responsabile del trattamento possa ricevere i dati personali trattati nell'area di responsabilità dell'incaricato del trattamento in un formato strutturato, comunemente utilizzato e leggibile a macchina.

(3) L'incaricato del trattamento può divulgare, rettificare, cancellare o limitare il trattamento dei dati personali solo in base a istruzioni documentate del responsabile del trattamento (art. 28 par. 3 frase 2 lit. g GDPR).

(4) Se un interessato si rivolge direttamente al responsabile del trattamento per far valere i propri diritti ai sensi degli artt. 12-22 GDPR, l'incaricato del trattamento inoltrerà senza indugio la richiesta al responsabile del trattamento.

(5) L'incaricato del trattamento può fornire informazioni a terzi o agli interessati solo previo consenso scritto del responsabile del trattamento.

(6) Il responsabile del trattamento è tenuto a informare gli interessati ai sensi degli artt. 12 e 13 GDPR. Le informazioni necessarie in relazione a tale obbligo, che sono disponibili solo per l'incaricato del trattamento, saranno messe a disposizione del responsabile del trattamento su richiesta.

§ 8 Obblighi dell'incaricato del trattamento

Oltre a rispettare le disposizioni del presente contratto, l'incaricato del trattamento deve adempiere agli obblighi di legge ai sensi degli artt. 28-36 GDPR. A questo proposito, deve garantire il rispetto dei seguenti requisiti in particolare:

  1. Se l'incaricato del trattamento è obbligato per legge a nominare per iscritto un responsabile della protezione dei dati ai sensi dell'Art. 37 GDPR, § 38 BDSG, l'incaricato del trattamento dovrà fornire al responsabile del trattamento i dati di contatto del responsabile della protezione dei dati ai fini del contatto diretto. Il responsabile del trattamento deve essere informato immediatamente di qualsiasi cambiamento del responsabile della protezione dei dati.
  1. Il responsabile esterno della protezione dei dati presso l'incaricato del trattamento è

Herr Dr. Niels-Christian Haag

c/o intersoft consulting services GmbH

Schöneberger Ufer 47 

D-10785 Berlino

Telefono: +49 40 790 235 - 402
E-Mail: dsb-vimcar@intersoft-consulting.de

ordinato.

(2) Il Responsabile del trattamento dovrà supportare il Titolare nell'adempimento degli obblighi di cui agli artt. 32-36 del GDPR in materia di sicurezza dei dati personali, obblighi di comunicazione in caso di violazione dei dati, valutazioni d'impatto sulla protezione dei dati e consultazioni preventive. Ciò include in particolare

  • garantire un livello di protezione adeguato attraverso misure tecniche e organizzative che tengano conto delle circostanze e delle finalità del trattamento, nonché della probabilità e della gravità previste di una potenziale violazione attraverso le vulnerabilità della sicurezza e che consentano l'individuazione immediata di eventi di violazione rilevanti
  • l'obbligo di informare il responsabile del trattamento senza indebito ritardo se l'incaricato del trattamento viene a conoscenza di una violazione dei dati personali (Art. 28 (3) (f), Art. 33 (2) GDPR); l'obbligo di informare il responsabile del trattamento senza indebito ritardo se l'incaricato del trattamento viene a conoscenza di una violazione dei dati personali (Art. 28 (3) (f), Art. 33 (2) GDPR);
  • l'obbligo di sostenere il responsabile del trattamento nell'ambito del suo dovere di informare l'interessato e di fornirgli senza indugio tutte le informazioni pertinenti in tale contesto;
  • il supporto del responsabile del trattamento per la sua valutazione d'impatto sulla protezione dei dati;
  • il supporto del responsabile del trattamento nell'ambito delle consultazioni preliminari con l'autorità di controllo.

§ 9 Diritti di controllo del titolare del trattamento, Art. 28 para. 3 frase 2 lit. h GDPR

(1) L'incaricato del trattamento si impegna a fornire al responsabile del trattamento, su richiesta scritta ed entro un termine ragionevole, tutte le informazioni e le prove necessarie per effettuare un controllo con procedura scritta.

(2) Il responsabile del trattamento deve verificare le misure tecniche e organizzative dell'incaricato del trattamento prima di iniziare il trattamento dei dati e in seguito regolarmente. Ciò avverrà principalmente mediante

  • Ottenere informazioni dall'elaboratore o
  • Rapporti di prova e certificazioni indipendenti

si svolga.

Se il responsabile del trattamento ha ragionevoli motivi per dubitare dell'accuratezza dei rapporti di audit o delle certificazioni, o se si verificano incidenti ai sensi dell'art. 33 (1) GDPR in relazione all'esecuzione del trattamento dei dati, il responsabile del trattamento può effettuare ispezioni in loco. 33 (1) GDPR in relazione all'esecuzione del trattamento dei dati, il responsabile del trattamento può effettuare ispezioni in loco. Queste devono essere effettuate generalmente come controlli casuali nelle aree rilevanti per l'esecuzione dell'elaborazione dell'ordine. L'incaricato del trattamento deve essere informato per iscritto con un congruo anticipo, di solito almeno 14 giorni di calendario (eccezione, ad esempio, in caso di incidenti particolari). Lo stesso vale per le ispezioni in loco senza motivo. L'esercizio del diritto di ispezione non deve perturbare indebitamente le operazioni commerciali dell'incaricato del trattamento o essere abusivo. Le spese sostenute per l'ispezione dell'incaricato del trattamento sono a carico del responsabile del trattamento.

(3) La persona responsabile deve redigere un verbale dell'ispezione e dei suoi risultati.

§ 10 Responsabilità

(1) Il responsabile del trattamento è responsabile del risarcimento dei danni subiti da un interessato a causa di un trattamento o di un utilizzo non autorizzato o scorretto dei dati nell'ambito del rapporto contrattuale. L'incaricato del trattamento dovrà supportare il responsabile del trattamento al meglio delle sue capacità nella difesa contro i reclami degli interessati o in caso di provvedimenti normativi.

(2) Nella misura in cui il responsabile del trattamento è tenuto a risarcire l'interessato, il responsabile del trattamento si riserva il diritto di rivalsa nei confronti dell'incaricato del trattamento se quest'ultimo ha colpevolmente violato gli obblighi derivanti dal presente contratto o dal BDSG, dal GDPR e da altre norme sulla protezione dei dati o ha agito in contrasto con le istruzioni esplicite del responsabile del trattamento (art. 82 par. 2 GDPR).

§ 11 Risoluzione del contratto (Art. 28 comma 3 frase 2 lit. g GDPR)

(1) Al termine della fornitura dei servizi di elaborazione, l'incaricato del trattamento dovrà cancellare o restituire tutti i dati personali a discrezione del responsabile del trattamento, a meno che non vi sia un obbligo legale di conservazione dei dati personali.

(2) In tal caso, il Responsabile del trattamento confermerà al Titolare del trattamento in forma testuale, con indicazione della data e senza ulteriori richieste, di aver restituito al Titolare del trattamento o distrutto o cancellato in modo sicuro tutti i supporti di dati e gli altri documenti che gli sono stati eventualmente forniti e di non aver quindi conservato alcun dato del Titolare del trattamento.

(3) La documentazione che serve a dimostrare il corretto trattamento dei dati deve essere conservata dall'incaricato del trattamento oltre la fine del contratto, in conformità ai rispettivi periodi di conservazione.

§ 12 Disposizioni finali

(1) I supporti e le registrazioni dei dati forniti restano di proprietà del responsabile del trattamento.

(2) L'eventuale invalidità di una o più disposizioni del presente contratto non pregiudica la validità delle restanti disposizioni. In caso di invalidità di una o più disposizioni, le parti contraenti sostituiranno immediatamente la disposizione non valida con una disposizione che corrisponde il più possibile alla disposizione non valida in termini di diritto commerciale e di protezione dei dati.

(3) Se al momento della stipula del presente contratto altri accordi contengono disposizioni contrarie o contraddicono il presente contratto, il contenuto di quest'ultimo ha la precedenza.

(4) I seguenti allegati sono parte integrante del presente accordo:

Appendice 1

Informazioni sul trattamento

a. Oggetto e finalità del trattamento

L'oggetto dell'ordine è la fornitura di uno o più dei seguenti servizi come Software-as-a-Service:

  • Software per la gestione delle flotte (Avrios),
  • Tracciamento in tempo reale e documentazione del percorso (Vimcar Fleet Geo),
  • registro elettronico (registro del conducente).

I dettagli dell'ordine sono definiti nel contratto stipulato tra le parti contraenti per uno o più di questi servizi, a cui si fa riferimento in questa sede (di seguito denominato "contratto principale").

b. Categorie di interessati e dati personali

Nell'ambito della fornitura dei Servizi, i dati personali delle seguenti categorie di soggetti possono essere trattati regolarmente:

  1. I conducenti (ex e attuali dipendenti e loro coniugi e familiari a carico, attuali appaltatori, nonché candidati, aspiranti e futuri dipendenti);
  2. Utenti (utenti autorizzati del cliente (che non sono autisti) che sono autorizzati a utilizzare i servizi);
  3. Terzi (clienti, partner commerciali, fornitori, consulenti, rappresentanti, liberi professionisti e/o subappaltatori del cliente (persone fisiche)).
c. Tipo di dati trattati
Gestione della flotta Avrios:
  • Nome, cognome, indirizzo, sesso
  • ID interno, centro di costo, organizzazione, reparto, sede, settore e sotto-settore, struttura di reporting
  • Se del caso, altre informazioni sull'indirizzo, come la residenza temporanea.
  • Data e luogo di nascita, lingua, nazionalità, diritto di residenza, stato civile, dati relativi alle persone a carico, numero di identificazione nazionale.
  • Data di ingresso e, se applicabile, data di uscita
  • Informazioni sulla pianificazione salariale (fringe benefit relativi alle auto aziendali), sulle specifiche di servizio e sulle informazioni correlate (diritto all'auto aziendale e classe dell'auto aziendale)
  • Numero di telefono, numero di fax, numero di cellulare, indirizzo e-mail
  • Foto della patente di guida
  • Targa, numero di telaio
Vimcar Fleet Geo / Diario di bordo:
  • Nome, cognome
  • Indirizzo e-mail, numero di telefono, numero di cellulare
  • Dati del giornale di bordo (solo se si utilizza il giornale di bordo elettronico);
  • Dati di viaggio durante la guida (solo quando si utilizza il giornale di bordo elettronico, documentazione in tempo reale della posizione e del percorso, relativi all'hardware);
  • VIN (numero di identificazione del veicolo; solo quando si utilizza il giornale di bordo elettronico, il live tracking e la documentazione del percorso);
  • Parametri di prova per l'esecuzione del controllo automatizzato della patente di guida (facoltativo se si utilizza il controllo della patente di guida)
  • Dati tecnici del veicolo (ad es. stato delle riparazioni), foto del veicolo (opzionale se si utilizza il sistema di gestione dei sinistri)

Appendice 2

Misure tecniche e organizzative

1. riservatezza (art. 32 par. 1 lett. b GDPR)
a. Controllo degli accessi (l'accesso non autorizzato deve essere impedito (spazialmente))
  • Carte di autorizzazione
  • Controllo degli accessi (l'accesso non autorizzato deve essere impedito (spazialmente))
  • Carte di autorizzazione
  • Tessere elettroniche con codice di accesso/trasponder di accesso
  • Regolamento sulle chiavi, istruzioni per il rilascio delle chiavi
  • Accompagnamento dell'accesso dei visitatori da parte dei nostri dipendenti
  • Sicurezza anche al di fuori dell'orario di lavoro attraverso la sicurezza dello stabilimento
  • Accesso protetto separato al centro dati
  • Conservazione dei server in locali chiusi a chiave
b. Controllo degli accessi (impedire che persone non autorizzate accedano o utilizzino i sistemi informatici).
  • Crittografia delle reti: Algoritmi di crittografia utilizzati: SSH, HTTPS, TLS 1.2
  • Protezione con password per le postazioni di lavoro
  • Utilizzo di password individuali
  • Blocco automatico degli account utente dopo più inserimenti di password errate
  • Politica sulle password con requisiti minimi di complessità delle password:
    - Almeno 8 cifre / maiuscole e minuscole, caratteri speciali, numeri (di cui almeno 3 criteri)
    - Prevenzione di password banali (ad es. cane1, cane2, cane3)
    - Gli hash sono "salati" (sale) o "pepati" (pepe)
  • Processo di assegnazione dei diritti quando i nuovi dipendenti entrano in azienda
  • Processo di revoca dei diritti quando i dipendenti cambiano reparto
  • Processo di revoca dei diritti quando i dipendenti lasciano l'azienda
  • Obbligo di riservatezza
  • Registrazione e valutazione dell'utilizzo del sistema
c. Controllo degli accessi (prevenzione di attività non autorizzate nei sistemi IT al di fuori delle autorizzazioni concesse).
  • Regole per il ripristino dei dati dai backup (chi, quando, su richiesta di chi)
  • Limitazione delle interrogazioni libere e incontrollate al database
  • Opzioni di accesso parziale a database e funzioni (Lettura, Scrittura, Esecuzione)
  • Registrazione degli accessi ai file
  • Registrazione delle cancellazioni di file
  • Vengono utilizzati sistemi di sicurezza adeguati (software/hardware)?
    - Firewall
    - Filtro SPAM
  • Archiviazione crittografata dei dati
    - Algoritmi di crittografia utilizzati: AES 256 Crittografia AWS a riposo
d. Controllo della separazione (trattamento separato dei dati raccolti per scopi diversi)
  • Separazione dei clienti (capacità multi-client del sistema utilizzato)
  • Separazione logica dei dati (ad esempio, in base al numero di clienti)
  • Separazione dei sistemi di sviluppo, test e produzione

2. integrità (Art. 32 para. 1 lit. b GDPR
a. Controllo della divulgazione (gli aspetti della divulgazione (trasferimento) dei dati personali devono essere regolamentati)^
  • Separazione dei sistemi di sviluppo, test e produzione
  • Scambio di dati tramite connessione https
    - algoritmi di crittografia utilizzati: Basato su SSL: Free-BSD, SSH, HTTPS)
    - Funzione di hash utilizzata: bcrypt
    - Gli hash sono "salati" (salt) o "pepati" (pepper)
  • Crittografia dei supporti di dati riservati
  • Crittografia dei dischi rigidi dei computer portatili
b. Controllo degli input (tracciabilità e documentazione della gestione e del mantenimento dei dati)
  • Definizione delle autorizzazioni degli utenti (profili)
  • Autorizzazioni utente differenziate (lettura, modifica, cancellazione)
  • Accesso parziale a dati o funzioni
  • Impegno alla segretezza dei dati
  • Concetto di registro che va oltre lo standard OS
  • Server di log dedicato
  • Regolazione delle autorizzazioni di accesso ai server di log (LogAdmin)

3. disponibilità e resilienza Art. 32 para. 1 lit. b GDPR (protezione contro la distruzione o la perdita accidentale)
a. Controllo della disponibilità
  • Concetti di protezione e backup dei dati
  • Implementazione dei concetti di protezione e backup dei dati
  • Limitare l'accesso alle sale server solo al personale essenziale.
  • Sistemi di allarme antincendio nelle sale server
  • Rilevatori di fumo nelle sale server
  • Sale server climatizzate
  • Protezione da fulmini e sovratensioni
  • Garantire la leggibilità tecnica dei supporti di archiviazione di backup per il futuro
  • Piano di emergenza o di disastro (ad es. acqua, incendio, esplosione, minaccia di attacco, incidente, terremoto)
  • Sistema UPS (gruppo di continuità)
  • Generatore di energia
b. Resilienza e controllo della resilienza (capacità di affrontare i cambiamenti legati al rischio, tolleranza e resilienza alle interruzioni)
  • Disponibilità di data center di backup (standby caldo o freddo?): A caldo
  • Alimentazione ridondante
  • Sistema UPS ridondante
  • Generatori di energia ridondanti
  • Mirroring del disco rigido
  • Bilanciatore di carico
  • Archiviazione dei dati su sistemi RAID (RAID 1 e superiore)
  • Delimitazione dei componenti critici
  • Irrigidimento del sistema (disattivazione dei componenti non necessari)
  • Attivazione immediata e regolare degli aggiornamenti software e firmware disponibili:
    - Utilizzo di sistemi ridondanti per mantenere l'operatività mentre i dispositivi principali vengono aggiornati.
    - Distribuzione progressiva di aggiornamenti/patch per individuare tempestivamente i problemi senza impattare su più dispositivi.
    - Stabilire un periodo di prova per verificare la corretta implementazione dell'aggiornamento e garantire che le operazioni continuino a funzionare senza problemi con i nuovi aggiornamenti.
  • La sicurezza è inclusa come considerazione chiave durante la fase di progettazione dei sistemi:
    - Definizione di misure di sicurezza per proteggere e convalidare la comunicazione tra i componenti del sistema.
    - Limitazione delle autorizzazioni nella misura necessaria.
    - Ai processori esterni e al personale addetto alla manutenzione viene concesso un accesso specifico che è attivo solo durante l'intervento e disattivato per il resto del tempo.

4. procedure per il riesame, la valutazione e l'analisi regolari (art. 32 par. 1 lett. d GDPR; art. 25 par. 1 GDPR)

a. Procedure di controllo (procedure per esaminare, valutare e valutare regolarmente l'efficacia delle misure di sicurezza dei dati)

  • I repertori delle procedure interne sono aggiornati almeno una volta all'anno.
  • Notifica di nuove/modificate procedure di trattamento dei dati al responsabile della protezione dei dati
  • Notifica di nuove/modificate procedure di trattamento dei dati al responsabile della sicurezza informatica.
  • I processi per la segnalazione di procedure nuove/modificate sono documentati.
  • Vengono selezionate le impostazioni predefinite per la protezione dei dati
  • Le misure di sicurezza adottate sono soggette a regolari controlli interni
  • Se la revisione di cui sopra è negativa, le misure di sicurezza vengono adattate, rinnovate e implementate in base al rischio.
b. Controllo degli ordini (garantire l'elaborazione dei dati da parte dei fornitori di servizi in conformità alle istruzioni)
  • Redazione di contratti in conformità ai requisiti di legge (Art. 28 GDPR)
  • Registrazione centrale dei fornitori di servizi esistenti (gestione standardizzata dei contratti)
  • Controlli regolari sull'elaboratore dopo l'inizio del contratto (durante la durata del contratto)
  • Revisione del concetto di sicurezza dei dati presso l'elaboratore
  • Ispezione dei certificati di sicurezza informatica esistenti dei trasformatori