Кіраўніцтва па эксплуатацыі лічбавых ручак STABILO DigiVision

Лічбавыя ручкі STABILO DigiVision 

Пагадненне аб апрацоўцы ў адпаведнасці з артыкулам 28 Агульнага рэгламенту аб абароне даных (GDPR) паміж Заказчыкам (Кантролер - у далейшым Кліент) і STABILO International GmbH Schwanweg 1 90562 Heroldsberg (Апрацоўшчык - у далейшым Пастаўшчык)

гл. 1 Прадмет і тэрмін дзеяння замовы або кантракта

1. Прадмет
   Прадметам Замовы або Кантракту адносна апрацоўкі даных з'яўляецца выкананне Пастаўшчыком наступных паслуг або задач: Выкарыстанне і захоўванне даных карыстальніка Digipen (датчыка) для распазнання яго почырку і паляпшэння будучых мадэляў распазнавання.
2. Працягласць
   Тэрмін дзеяння гэтага Заказа або Кантракта адпавядае тэрміну дзеяння Пагаднення аб абслугоўванні.

гл. 2 Спецыфікацыя дэталяў замовы або дагавора

Падрабязнае апісанне Прадмету ў дачыненні да характару і мэты паслуг, якія прадстаўляюцца Пастаўшчыком: Дадатак 1, пункт А.

Узгодненая дагаворам апрацоўка даных павінна ажыццяўляцца выключна ў дзяржаве-члене Еўрапейскага саюза (ЕС) або ў дзяржаве-члене Еўрапейскай эканамічнай зоны (ЕЭЗ). Кожная перадача даных у дзяржаву, якая не з'яўляецца дзяржавай-членам ні ЕС, ні ЕЭЗ, патрабуе папярэдняй згоды кліента і павінна адбывацца толькі пры выкананні канкрэтных умоў артыкула 44 і наступных. GDPR былі выкананы.

Тып персанальных дадзеных, якія выкарыстоўваюцца, дакладна вызначаны ў Пагадненні аб аказанні паслуг у раздзеле: Дадатак 1, пункт B.

Катэгорыі суб'ектаў дадзеных дакладна вызначаны ў Пагадненні аб абслугоўванні ў раздзеле Дадатак 1, пункт C.

гл. 3 Тэхнічныя і арганізацыйныя мерапрыемствы

1. Перад пачаткам апрацоўкі Пастаўшчык павінен задакументаваць выкананне неабходных тэхнічных і арганізацыйных мер, устаноўленых перад прысуджэннем заказу або кантракту, у прыватнасці, у дачыненні да дэталёвага выканання кантракта, і прадставіць гэтыя дакументаваныя меры Кліенту для агляду. Пасля прыняцця Заказчыкам задакументаваныя меры становяцца асновай дагавора. Калі інспекцыя/аўдыт, праведзены Кліентам, паказвае неабходнасць унясення змяненняў, такія змяненні павінны быць унесены па ўзаемнай згодзе.
2. Пастаўшчык павінен усталяваць забеспячэнне ў адпаведнасці з артыкулам 28, параграф 3, пункт c, і артыкулам 32 GDPR, у прыватнасці, у спалучэнні з артыкулам 5, параграфам 1 і пунктам 2 GDPR. Меры, якія неабходна прыняць, - гэта меры бяспекі даных і меры, якія гарантуюць узровень абароны, адпаведны рызыцы ў дачыненні да канфідэнцыяльнасці, цэласнасці, даступнасці і ўстойлівасці сістэм. Неабходна ўлічваць стан тэхнікі, выдаткі на ўкараненне, характар, аб'ём і мэты апрацоўкі, а таксама верагоднасць узнікнення і сур'ёзнасць рызыкі для правоў і свабод фізічных асоб у сэнсе артыкула 32, параграфа 1 GDPR. пад увагу. [Падрабязнасці ў Дадатку 2].
3. Тэхнічныя і арганізацыйныя меры залежаць ад тэхнічнага прагрэсу і далейшага развіцця. У сувязі з гэтым, Пастаўшчыку дапушчальна прымяненне альтэрнатыўных адэкватных мер. Пры гэтым узровень бяспекі вызначаных мер не павінен зніжацца. Істотныя змены павінны быць дакументальна пацверджаны.

гл. 4 Выпраўленне, абмежаванне і выдаленне даных

1. Пастаўшчык не мае права самастойна выпраўляць, сціраць або абмяжоўваць апрацоўку даных, якія апрацоўваюцца ад імя Кліента, але толькі па дакументальна пацверджаных інструкцыях Кліента. Калі Суб'ект даных звяртаецца непасрэдна да Пастаўшчыка з нагоды выпраўлення, выдалення або абмежавання апрацоўкі, Пастаўшчык неадкладна перадае запыт Суб'екта даных Кліенту.
2. Палітыка сцірання, «права быць забытым», выпраўленне, пераноснасць даных і доступ павінны быць забяспечаны Пастаўшчыком без неапраўданай затрымкі ў адпаведнасці з дакументаванымі інструкцыямі Заказчыка.

разд. 5 Забеспячэнне якасці і іншыя абавязкі Пастаўшчыка

У дадатак да выканання правілаў, выкладзеных у гэтым Замове або Кантракце, Пастаўшчык павінен выконваць заканадаўчыя патрабаванні, згаданыя ў артыкулах 28 - 33 GDPR; адпаведна, Пастаўшчык забяспечвае, у прыватнасці, выкананне наступных патрабаванняў:

1. Прызначаны супрацоўнік па абароне даных, які выконвае свае абавязкі ў адпаведнасці з артыкуламі 38 і 39 GDPR. Яго/яе бягучыя кантактныя дадзеныя заўсёды даступныя і лёгка даступныя на webсайт Пастаўшчыка.
2. Канфідэнцыяльнасць у адпаведнасці з артыкулам 28 абзац 3 сказ 2 пункт b, артыкулы 29 і 32 абзац 4 GDPR. Пастаўшчык даручае апрацоўку даных толькі тым супрацоўнікам, якія абавязаны захоўваць канфідэнцыяльнасць і папярэдне азнаёмлены з палажэннямі аб абароне даных, якія адносяцца да іх працы. Пастаўшчык і любая асоба, якая дзейнічае пад яго паўнамоцтвамі і мае доступ да персанальных даных, не павінны апрацоўваць гэтыя даныя, за выключэннем выпадкаў, калі гэта прадугледжана інструкцыяй Заказчыка, што ўключае ў сябе паўнамоцтвы, прадастаўленыя ў гэтым кантракце, за выключэннем выпадкаў, калі гэта патрабуецца па закону.
3. Рэалізацыя і выкананне ўсіх тэхнічных і арганізацыйных мер, неабходных для гэтага Заказу або Кантракта ў адпаведнасці з Артыкулам 28 Абзац 3 Сказ 2 Пункт c, Артыкул 32 GDPR [падрабязнасці ў Дадатку 1].
4. Заказчык і Пастаўшчык павінны супрацоўнічаць, па запыце, з наглядным органам у выкананні яго задач.
5. Кліент павінен быць неадкладна праінфармаваны аб любых праверках і мерах, якія праводзяцца кантралюючым органам, у той ступені, у якой яны датычацца гэтага Заказу або Кантракту. Гэта таксама прымяняецца ў той меры, у якой Пастаўшчык знаходзіцца пад расследаваннем або з'яўляецца ўдзельнікам расследавання кампетэнтным органам у сувязі з парушэннем любога Грамадзянскага або Крымінальнага заканадаўства, або адміністрацыйнага правіла або правілаў, якія тычацца апрацоўкі персанальных даных у сувязі з апрацоўкай гэтага Заказу. або Кантракт.
6. У той меры, у якой Кліент падвяргаецца праверцы кантралюючым органам, адміністрацыйнаму або спрошчанаму правапарушэнню або крымінальнаму працэсу, патрабаванню адказнасці з боку Суб'екта дадзеных або трэцяй асобы або любой іншай прэтэнзіі ў сувязі з апрацоўкай даных Заказу або Кантракту Пастаўшчык, Пастаўшчык прыкладае ўсе намаганні для падтрымкі Кліента.
7. Магчымасць праверкі тэхнічных і арганізацыйных мерапрыемстваў, якія праводзяцца Заказчыкам у рамках кантрольных паўнамоцтваў Заказчыка, указаных у п. 7 дадзенага дагавора.

гл. 6 Субпадрад

1. Субпадрад для мэт дадзенага Пагаднення азначае паслугі, якія непасрэдна звязаны з аказаннем асноўнай паслугі. Гэта не ўключае дапаможныя паслугі, такія як тэлекамунікацыйныя паслугі, паштовыя / транспартныя паслугі, паслугі па тэхнічным абслугоўванні і падтрымцы карыстальнікаў або выдаленне носьбітаў дадзеных, а таксама іншыя меры для забеспячэння канфідэнцыяльнасці, даступнасці, цэласнасці і ўстойлівасці апаратнага і праграмнага забеспячэння абсталяванне для апрацоўкі дадзеных. Тым не менш, Пастаўшчык абавязаны заключыць адпаведныя і юрыдычна абавязковыя кантрактныя дамоўленасці і прыняць адпаведныя меры праверкі для забеспячэння абароны даных і бяспекі даных Кліента, нават у выпадку аказання дапаможных паслуг аўтсорсінгу.
2. Кліент згаджаецца з увядзеннем у эксплуатацыю наступных субпадрадчыкаў пры ўмове дагаворнага пагаднення ў адпаведнасці з артыкулам 28, параграфы 2-4 GDPR:
   

   Субпадрадчык кампаніі	Адрас/краіна	Абслугоўванне
   Telekom Deutschland GmbH	Landgrabenweg 151, 53227 Бон	Размяшчэнне дадзеных на серверах Telekom

   Аўтсорсінг субпадрадчыкам або змена існуючага субпадрадчыка дапушчальныя, калі:

   • Пастаўшчык перадае Заказчыку такі аўтсорсінг субпадрадчыку ў пісьмовай або тэкставай форме з адпаведным папярэднім паведамленнем; і
   • Заказчык не пярэчыў супраць запланаванага аўтсорсінгу ў пісьмовай або тэкставай форме да даты перадачы дадзеных Пастаўшчыку; і
   • Субпадрад заснаваны на дагаворным пагадненні ў адпаведнасці з артыкулам 28, параграфамі 2-4 GDPR.
     Пярэчанне супраць запланаванага аўтсорсінгу можа азначаць, што паслуга можа не адбыцца.
3. Перадача персанальных даных ад Заказчыка субпадрадчыку і пачатак апрацоўкі даных субпадрадчыкам ажыццяўляецца толькі пасля таго, як будзе дасягнута адпаведнасць усім патрабаванням.
4. Калі субпадрадчык прадастаўляе ўзгодненыя паслугі за межамі ЕС/ЕЭЗ, Пастаўшчык павінен забяспечыць выкананне Правілаў ЕС па абароне даных адпаведнымі мерамі. Тое ж датычыцца, калі пастаўшчыкі паслуг будуць выкарыстоўвацца ў сэнсе абзаца 1, сказ 2.
5. Далейшы аўтсорсінг субпадрадчыкам патрабуе выразнай згоды асноўнага кліента (мінімум у тэкставай форме);

Усе дагаворныя палажэнні ў кантрактнай ланцужку павінны быць даведзены да ведама і ўзгоднены з кожным дадатковым субпадрадчыкам.

гл. 7 Кантрольныя паўнамоцтвы Заказчыка

1. Заказчык мае права пасля кансультацыі з Пастаўшчыком праводзіць праверкі або даручаць іх правядзенню аўдытарам, які прызначаецца ў кожным асобным выпадку. Ён мае права пераканацца ў захаванні гэтага пагаднення Пастаўшчыком у яго дзелавых аперацыях з дапамогай выбарачных праверак, аб якіх звычайна паведамляецца своечасова.
2. Пастаўшчык гарантуе, што Кліент можа праверыць выкананне абавязацельстваў Пастаўшчыка ў адпаведнасці з артыкулам 28 GDPR. Пастаўшчык абавязваецца даць Заказчыку неабходную інфармацыю па запыце і, у прыватнасці, прадэманстраваць выкананне Тэхнічных і Арганізацыйных мерапрыемстваў.
3. Пастаўшчык можа запатрабаваць узнагароду за правядзенне праверак кліента

гл. 8 Паведамленне ў выпадку парушэнняў з боку Пастаўшчыка

1. Пастаўшчык павінен дапамагчы Кліенту ў выкананні абавязацельстваў, якія тычацца бяспекі асабістых даных, патрабаванняў да паведамлення аб парушэннях даных, ацэнкі ўздзеяння на абарону даных і папярэдніх кансультацый, згаданых у артыкулах 32-36 GDPR. Да іх адносяцца:
   a) Забеспячэнне належнага ўзроўню абароны з дапамогай тэхнічных і арганізацыйных мер, якія ўлічваюць абставіны і мэты апрацоўкі, а таксама прагназуемую верагоднасць і сур'ёзнасць магчымага парушэння закона ў выніку недахопаў у бяспецы і якія дазваляюць неадкладна выяўляць адпаведныя парушэнні.
   b) Абавязак неадкладна паведаміць Кліенту аб парушэнні асабістых дадзеных
   c) Абавязак аказваць дапамогу Кліенту ў сувязі з абавязацельствам Кліента прадастаўляць інфармацыю адпаведнаму Суб'екту дадзеных і неадкладна прадастаўляць Кліенту ўсю адпаведную інфармацыю ў гэтай сувязі.
   d) Падтрымка кліента ў ацэнцы ўздзеяння на абарону даных
   e) Суправаджэнне кліента ў частцы папярэдняй кансультацыі з кантралюючым органам
2. Пастаўшчык можа запатрабаваць кампенсацыю за паслугі падтрымкі, якія не ўключаны ў апісанне паслуг і якія не звязаны з адмовамі з боку Пастаўшчыка.

гл. 9 Паўнамоцтвы кліента на выдачу інструкцый

1. Кліент неадкладна пацвярджае вусныя інструкцыі (мінімум у тэкставай форме).
2. Пастаўшчык павінен неадкладна інфармаваць кліента, калі ён лічыць, што інструкцыя парушае правілы абароны даных. У такім выпадку Пастаўшчык мае права прыпыніць выкананне адпаведных інструкцый, пакуль Заказчык не пацвердзіць або не зменіць іх.

гл. 10 Выдаленне і вяртанне персанальных даных

1. Копіі або дублікаты даных ніколі не павінны стварацца без ведама Кліента, за выключэннем рэзервовых копій, калі яны неабходныя для забеспячэння ўпарадкаванай апрацоўкі даных, а таксама даных, неабходных для выканання нарматыўных патрабаванняў для захавання даных.
2. Пасля завяршэння работ па кантракце або раней па запыце Кліента, не пазней за скасаванне Пагаднення аб аказанні паслуг, Пастаўшчык павінен перадаць Кліенту або - з папярэдняй згоды - знішчыць усе дакументы, вынікі апрацоўкі і выкарыстання, і наборы даных, звязаныя з кантрактам, якія трапілі ў яго распараджэнне, у адпаведнасці з патрабаваннямі аб абароне даных. Тое ж самае адносіцца да любога падключанага тэсту, адходаў, лішніх і адкінутых матэрыялаў. Журнал знішчэння або выдалення прадастаўляецца па запыце.
3. Дакументацыя, якая выкарыстоўваецца для дэманстрацыі ўпарадкаванай апрацоўкі даных у адпаведнасці з Замовай або Кантрактам, павінна захоўвацца Пастаўшчыком пасля заканчэння тэрміну дзеяння кантракта ў адпаведнасці з адпаведнымі перыядамі захоўвання. Ён можа перадаць такую ​​дакументацыю Кліенту ў канцы тэрміну дзеяння кантракта, каб вызваліць Пастаўшчыка ад гэтага кантрактнага абавязацельства.

Дадатак 1:

A. Дапаўненні да гл. 2 Характар ​​і мэта паслуг, якія прадстаўляюцца Пастаўшчыком
B. Дапаўненні да гл. 2 Тып персанальных даных
C. Дапаўненні да гл. 2 Катэгорыі суб'ектаў дадзеных

Дадатак 2:

Тэхнічныя і арганізацыйныя мерапрыемствы ў адпаведнасці з арт. 32 GDPR

Дадатак 1:

А. Дапаўненні да гл. 2 маштаб, спосаб і мэта апрацоўкі даных

Дадзеныя датчыка і даныя каліброўкі падчас выкарыстання праграмы загружаюцца ў воблака для распазнання рукапіснага ўводу ў рэжыме рэальнага часу і захоўваюцца там для паляпшэння будучых мадэляў распазнавання. Гэтыя даныя не звязаны з ідэнтыфікатарамі карыстальнікаў, што робіць немагчымым ідэнтыфікацыю асобных асоб па гэтых даных. Інфармацыя аб апаратным забеспячэнні запісваецца толькі для выяўлення магчымых памылак праграмнага забеспячэння.

B. Віды дадзеных у адпаведнасці з гл. 2

Даныя датчыка Digipen, якія ствараюцца падчас запісу, а таксама даныя каліброўкі, якія ствараюцца падчас працэдуры каліброўкі. Акрамя таго, рэгіструецца інфармацыя аб абсталяванні ручкі і абсталяванні планшэта.

C. Асобы, пацярпелыя ў адпаведнасці з гл. 2

Кожны карыстальнік прыкладання

Дадатак 2: Тэхнічныя і арганізацыйныя мерапрыемствы ў адпаведнасці з арт. 32 GDPR

Дакументаванне тэхнічных і арганізацыйных мерапрыемстваў па арт. 32 GDPR1

1.	Псеўданімізацыя* Якія меры прымаюцца для забеспячэння псеўданімізацыі персанальных даных? Псеўданімізацыя азначае апрацоўку персанальных даных такім чынам, што персанальныя даныя больш не могуць быць аднесены да пэўнага суб'екта даных без выкарыстання дадатковай інфармацыі, пры ўмове, што такая дадатковая інфармацыя захоўваецца асобна і падлягае тэхнічным і арганізацыйным мерам для забеспячэння што персанальныя дадзеныя не адносяцца да ідэнтыфікаванай або ідэнтыфікаванай фізічнай асобы.	Не захоўваюцца імёны і дакладныя даты нараджэння, якія дазваляюць ідэнтыфікаваць асобу
2.	Шыфраванне* Якія меры прымаюцца, каб гарантаваць шыфраванне асабістых даных? Меры шыфравання пераўтвараюць адкрыты тэкст у залежнасці ад элемента дадатковай інфармацыі (вядомага як ключ) у адпаведны сакрэтны тэкст (шыфраваны тэкст або зашыфраваны тэкст), які нельга расшыфраваць для тых, хто не мае ключа.	выкарыстанне крыптаграфічных сродкаў
3.	Магчымасць забеспячэння канфідэнцыяльнасці* Якія меры прымаюцца, каб пастаянна гарантаваць магчымасць канфідэнцыяльнасці дадзеных? Канфідэнцыяльнасць азначае, што асабістыя даныя абаронены ад несанкцыянаванага раскрыцця.	індывідуальныя працэдуры ўваходу і пароля шыфраванне сістэм шыфраванне сувязі
4.	Здольнасць забяспечыць цэласнасць* Якія меры прымаюцца, каб пастаянна гарантаваць цэласнасць даных? Цэласнасць адносіцца да забеспячэння правільнасці (непашкоджанасці) даных і правільнага функцыянавання сістэм. Калі тэрмін цэласнасць выкарыстоўваецца ў сувязі з тэрмінам «дадзеныя», гэта азначае, што дадзеныя поўныя і нязменныя.	выкарыстанне рэгістрацый правоў доступу ў сістэме
5.	Магчымасць забеспячэння даступнасці* Якія меры прымаюцца для пастаяннай гарантыі даступнасці дадзеных? Даступнасць паслуг і ІТ-сістэм, ІТ-прыкладанняў і ІТ-сеткавых функцый або інфармацыі гарантуецца, калі карыстальнікі могуць выкарыстоўваць іх у любы час па прызначэнні.	працэдуры рэзервовага капіравання люстраванне жорсткіх дыскаў бестэрміновае электразабеспячэнне антывірусная абарона / брандмаўэр
6.	Здольнасць забяспечыць устойлівасць* Якія меры прымаюцца, каб пастаянна гарантаваць здольнасць устойлівасці даных? Сістэмы ўстойлівыя, калі яны настолькі ўстойлівыя, што іх функцыянальнасць захоўваецца нават у выпадку моцнага доступу або вялікай нагрузкі.	тэставанне на пранікненне
7.	рэстаўрацыя* Якія меры прымаюцца, каб гарантаваць, што персанальныя дадзеныя будуць даступныя і своечасова даступныя ў выпадку інцыдэнту бяспекі?	рэзервовыя працэдуры бесперапыннае электразабеспячэнне
8.	Працэс рэгулярнага тэставання* Як гарантуецца захаванне мер бяспекі даныхviewрэд рэгулярна?	існуе прадвызначаная працэдура тэставання
9.	Несанкцыянаваны доступ да асабістых дадзеных Якія меры прымаюцца для прадухілення таго, што персанальныя дадзеныя даступныя і даступныя для старонніх асоб?	індывідуальныя працэдуры ўваходу і пароляў дадатковыя ўваходы ў пэўныя прыкладанні дакументацыя дазволаў
10.	Інструктаж супрацоўнікаў Як гарантаваць, што асабістыя даныя апрацоўваюцца толькі ў адпаведнасці з інструкцыямі кантралёра?	прыцягненне супрацоўнікаў да кодэксаў паводзін выкананне ўнутранай палітыкі канфідэнцыяльнасці

1. Гэты дакумент прызначаны для выканання юрыдычных абавязацельстваў і мае на мэце даць агульнае апісанне, якое дазваляе папярэдне ацаніць адэкватнасць прынятых мер бяспекі даных. На працягу тэрміну дзеяння кантракта гэтая канцэпцыя бяспекі даных павінна быць адаптавана і абноўлена ў адпаведнасці з бягучымі абставінамі. Усе абнаўленні і змены ў выкананні дагавора павінны быць дакументаваны ў пісьмовай форме. Гэты дакумент з'яўляецца часткай кантракта і павінен прадстаўляцца кантралёру штогод і ў выпадку значных змяненняў.

Дакументы / Рэсурсы

Лічбавыя ручкі STABILO DigiVision [pdf] Інструкцыя па эксплуатацыі Лічбавыя ручкі DigiVision, DigiVision, лічбавыя ручкі, ручкі

Спасылкі

• Кіраўніцтва карыстальніка