Manual de instrucțiuni pentru stilouri digitale STABILO DigiVision

Pixuri digitale STABILO DigiVision 

Acord de prelucrare în conformitate cu articolul 28 Regulamentul general privind protecția datelor (GDPR) între Client (Operatorul – denumit în continuare Client) și STABILO International GmbH Schwanweg 1 90562 Heroldsberg (Procesatorul – denumit în continuare Furnizor)

Sec. 1 Obiectul și durata Comenzii sau Contractului

1. Subject matter
   Obiectul Comenzii sau Contractului privind prelucrarea datelor este executarea următoarelor servicii sau sarcini de către Furnizor: Utilizarea și stocarea datelor Digipen (senzor) ale utilizatorului în scopul recunoașterii scrisului de mână a acestora și îmbunătățirii viitoarelor modele de recunoaștere
2. Durată
   Durata acestei Comenzi sau Contract corespunde cu durata Acordului de servicii.

Sec. 2 Specificația comenzii sau a detaliilor contractului

Descrierea detaliată a obiectului cu privire la natura și scopul serviciilor furnizate de furnizor: Anexa 1, punctul A.

Asumarea Prelucrării Datelor convenite prin contract se va desfășura exclusiv într-un stat membru al Uniunii Europene (UE) sau într-un stat membru al Spațiului Economic European (SEE). Fiecare transfer de date către un stat care nu este stat membru nici al UE, nici al SEE necesită acordul prealabil al Clientului și va avea loc numai dacă Condițiile specifice de la articolul 44 și următoarele. GDPR au fost îndeplinite.

Tipul de date cu caracter personal utilizate este definit cu precizie în Acordul de servicii la: Anexa 1, Punctul B.

Categoriile de persoane vizate sunt definite cu precizie în Acordul de servicii sub: Anexa 1, Punctul C.

Sec. 3 Măsuri tehnice și organizatorice

1. Înainte de începerea procesării, Furnizorul va documenta executarea Măsurilor tehnice și organizatorice necesare, stabilite înainte de atribuirea Comenzii sau Contractului, în special în ceea ce privește execuția detaliată a contractului, și va prezenta aceste măsuri documentate. către Client pentru inspecție. La acceptarea de către Client, măsurile documentate devin fundamentul contractului. În măsura în care inspecția/auditul efectuat de Client arată necesitatea modificărilor, aceste modificări vor fi implementate de comun acord.
2. Furnizorul stabilește securitatea în conformitate cu articolul 28 alineatul (3) litera (c) și articolul 32 din GDPR, în special împreună cu articolul 5 alineatul (1) și alineatul (2) din GDPR. Măsurile care trebuie luate sunt măsuri de securitate a datelor și măsuri care garantează un nivel de protecție adecvat riscului privind confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor. Trebuie luate în considerare stadiul tehnicii, costurile de implementare, natura, domeniul de aplicare și scopurile prelucrării, precum și probabilitatea apariției și gravitatea riscului pentru drepturile și libertățile persoanelor fizice în sensul articolului 32 alineatul 1 GDPR. în considerare. [Detalii în Anexa 2].
3. Măsurile tehnice și organizatorice sunt supuse progresului tehnic și dezvoltării ulterioare. În acest sens, este permis ca Furnizorul să implementeze măsuri alternative adecvate. Procedând astfel, nivelul de securitate al măsurilor definite nu trebuie redus. Modificările substanțiale trebuie documentate.

Sec. 4 Rectificarea, restricționarea și ștergerea datelor

1. Furnizorul nu are dreptul de a rectifica, șterge sau restricționa din proprie autoritate prelucrarea datelor care sunt prelucrate în numele Clientului, ci numai pe baza instrucțiunilor documentate din partea Clientului. În măsura în care o persoană vizată contactează direct Furnizorul cu privire la o rectificare, ștergere sau restricție de prelucrare, Furnizorul va transmite imediat solicitarea persoanei vizate către Client.
2. În măsura în care este inclusă în sfera serviciilor, politica de ștergere, „dreptul de a fi uitat”, rectificarea, portabilitatea datelor și accesul vor fi asigurate de către Furnizor în conformitate cu instrucțiunile documentate ale Clientului, fără întârzieri nejustificate.

Sec. 5 Asigurarea calității și alte obligații ale Furnizorului

Pe lângă respectarea regulilor stabilite în această Comandă sau Contract, Furnizorul trebuie să respecte cerințele statutare menționate la articolele 28-33 GDPR; în consecință, Furnizorul asigură, în special, conformitatea cu următoarele cerințe:

1. Desemnat responsabil cu protecția datelor, care își îndeplinește atribuțiile în conformitate cu articolele 38 și 39 GDPR. Datele sale de contact actuale sunt întotdeauna disponibile și ușor accesibile pe website-ul Furnizorului.
2. Confidențialitate în conformitate cu articolul 28 alineatul 3 teza 2 litera b, articolele 29 și 32 alineatul 4 GDPR. Furnizorul le încredințează numai acestor angajați cu prelucrarea datelor prevăzute în prezentul contract, care au fost obligați la confidențialitate și au fost familiarizați anterior cu prevederile privind protecția datelor relevante pentru activitatea lor. Furnizorul și orice persoană care acționează sub autoritatea sa și care are acces la date cu caracter personal, nu vor prelucra aceste date decât dacă la instrucțiunile Clientului, care includ competențele acordate în prezentul contract, cu excepția cazului în care legea este obligată să facă acest lucru altfel.
3. Implementarea și respectarea tuturor măsurilor tehnice și organizatorice necesare pentru această comandă sau contract în conformitate cu articolul 28 alineatul 3 teza 2 litera c, articolul 32 GDPR [detalii în anexa 1].
4. Clientul și Furnizorul vor coopera, la cerere, cu autoritatea de supraveghere în îndeplinirea sarcinilor sale.
5. Clientul va fi informat imediat cu privire la orice inspecții și măsuri efectuate de autoritatea de supraveghere, în măsura în care acestea se referă la această Comandă sau Contract. Acest lucru se aplică și în măsura în care Furnizorul este investigat sau este parte la o investigație efectuată de o autoritate competentă în legătură cu încălcarea oricărei legi civile sau penale, sau a unei reguli sau regulamente administrative privind prelucrarea datelor cu caracter personal în legătură cu procesarea acestei Comenzi. sau Contract.
6. În măsura în care Clientul face obiectul unei inspecții de către autoritatea de supraveghere, a unei infracțiuni administrative sau sumare sau a unei proceduri penale, a unei cereri de răspundere a unei persoane vizate sau a unei terțe părți sau a oricărei alte cereri în legătură cu prelucrarea datelor din Comandă sau Contract de către Furnizor, Furnizorul va depune toate eforturile pentru a sprijini Clientul.
7. Verificarea Măsurilor Tehnice și Organizaționale efectuate de Client ca parte a competențelor de supraveghere ale Clientului menționate la punctul 7 din prezentul contract.

Sec. 6 Subcontractare

1. Subcontractarea în sensul prezentului Acord trebuie înțeleasă ca înțelegând serviciile care se referă direct la furnizarea serviciului principal. Aceasta nu include serviciile auxiliare, cum ar fi serviciile de telecomunicații, serviciile poștale/de transport, serviciile de întreținere și de asistență pentru utilizatori sau eliminarea purtătorilor de date, precum și alte măsuri pentru a asigura confidențialitatea, disponibilitatea, integritatea și rezistența hardware-ului și software-ului echipamente de prelucrare a datelor. Furnizorul va fi, totuși, obligat să încheie aranjamente contractuale adecvate și obligatorii din punct de vedere juridic și să ia măsuri de inspecție adecvate pentru a asigura protecția datelor și securitatea datelor a datelor Clientului, chiar și în cazul serviciilor auxiliare externalizate.
2. Clientul este de acord cu punerea în funcțiune a următorilor subcontractanți cu condiția unui acord contractual în conformitate cu articolul 28 alineatele 2-4 GDPR:
   

   Subcontractant companie	Adresa/țara	Serviciu
   Telekom Deutschland GmbH	Landgrabenweg 151, 53227 Bonn	Găzduirea datelor pe serverele Telekom

   Externalizarea către subcontractanți sau schimbarea subcontractantului existent sunt permise atunci când:

   • Furnizorul transmite Clientului o astfel de externalizare unui subcontractant în scris sau sub formă de text, cu o notificare prealabilă corespunzătoare; și
   • Clientul nu s-a opus în scris sau sub formă de text față de externalizarea planificată până la data predării datelor Furnizorului; și
   • Subcontractarea se bazează pe un acord contractual în conformitate cu articolul 28 alin. 2-4 GDPR.
     O obiecție la externalizarea planificată poate însemna că serviciul nu poate avea loc.
3. Transferul datelor cu caracter personal de la Client către subcontractant și începerea prelucrării datelor de către subcontractanți va fi efectuată numai după îndeplinirea tuturor cerințelor.
4. În cazul în care subcontractantul furnizează serviciul convenit în afara UE/SEE, Furnizorul va asigura conformitatea cu Regulamentul UE privind protecția datelor prin măsuri adecvate. Același lucru este valabil și în cazul în care furnizorii de servicii vor fi utilizați în sensul paragrafului 1 teza 2.
5. Externalizarea ulterioară de către subcontractant necesită acordul expres al Clientului principal (cel puțin sub formă de text);

Toate prevederile contractuale din lanțul contractual vor fi comunicate și convenite cu fiecare subcontractant suplimentar.

Sec. 7 Puterile de supraveghere ale Clientului

1. Clientul are dreptul, după consultarea Furnizorului, de a efectua inspecții sau de a le face efectuate de către un auditor care să fie desemnat în fiecare caz în parte. Are dreptul de a se convinge de respectarea acestui acord de către Furnizor în cadrul operațiunilor sale de afaceri prin intermediul unor verificări aleatorii, care de obicei urmează să fie anunțate în timp util.
2. Furnizorul se va asigura că Clientul este în măsură să verifice respectarea obligațiilor Furnizorului în conformitate cu articolul 28 GDPR. Furnizorul se obligă să ofere Clientului informațiile necesare la cerere și, în special, să demonstreze executarea Măsurilor Tehnice și Organizatorice.
3. Furnizorul poate pretinde remunerație pentru activarea inspecțiilor Clientului

Sec. 8 Comunicare în cazul încălcărilor din partea Furnizorului

1. Furnizorul va asistă Clientul în îndeplinirea obligațiilor privind securitatea datelor cu caracter personal, cerințele de raportare pentru încălcări ale datelor, evaluările de impact asupra protecției datelor și consultările prealabile, menționate la articolele 32-36 din GDPR. Acestea includ:
   a) Asigurarea unui nivel adecvat de protecție prin Măsuri Tehnice și Organizaționale care să țină cont de circumstanțele și scopurile prelucrării, precum și de probabilitatea proiectată și gravitatea unei posibile încălcări a legii ca urmare a vulnerabilităților de securitate și care permit detectarea imediată a evenimente relevante de încălcare a dreptului comunitar.
   b) Obligația de a raporta imediat Clientului o încălcare a datelor cu caracter personal
   c) Obligația de a asista Clientul cu privire la obligația Clientului de a furniza informații Persoanei vizate și de a furniza imediat Clientului toate informațiile relevante în acest sens.
   d) Sprijinirea Clientului cu evaluarea impactului asupra protecției datelor
   e) Sprijinirea Clientului în ceea ce privește consultarea prealabilă a autorității de supraveghere
2. Furnizorul poate solicita despăgubiri pentru serviciile de asistență care nu sunt incluse în descrierea serviciilor și care nu sunt imputabile unor defecțiuni din partea Furnizorului.

Sec. 9 Autoritatea Clientului de a emite instrucțiuni

1. Clientul va confirma imediat instrucțiunile orale (cel puțin sub formă de text).
2. Furnizorul va informa imediat Clientul dacă consideră că o instrucțiune încalcă Reglementările privind protecția datelor. Furnizorul va avea apoi dreptul de a suspenda executarea instrucțiunilor relevante până când Clientul le confirmă sau le modifică.

Sec. 10 Ștergerea și returnarea datelor cu caracter personal

1. Copiile sau duplicatele datelor nu vor fi create niciodată fără știrea Clientului, cu excepția copiilor de rezervă, în măsura în care acestea sunt necesare pentru a asigura o prelucrare ordonată a datelor, precum și a datelor necesare pentru îndeplinirea cerințelor de reglementare pentru păstrarea datelor.
2. După încheierea lucrărilor contractate sau mai devreme la cererea Clientului, cel târziu la încetarea Contractului de Servicii, Furnizorul va preda Clientului sau – cu acordul prealabil – va distruge toate documentele, rezultatele prelucrării și utilizării și seturi de date aferente contractului care au intrat în posesia acestuia, într-o manieră conformă cu protecția datelor. Același lucru se aplică oricărui și tuturor materialelor de testare conectate, deșeurilor, redundante și aruncate. Jurnalul distrugerii sau ștergerii va fi furnizat la cerere.
3. Documentația care este utilizată pentru a demonstra procesarea ordonată a datelor în conformitate cu Comanda sau Contractul va fi stocată peste durata contractului de către Furnizor, în conformitate cu perioadele de păstrare respective. Acesta poate preda astfel de documentație Clientului la sfârșitul duratei contractului pentru a scuti Furnizorul de această obligație contractuală.

Anexa 1:

A. Adăugări la Sec. 2 Natura și Scopul serviciilor furnizate de Furnizor
B. Adăugări la Sec. 2 Tipul de date cu caracter personal
C. Adăugări la Sec. 2 categorii de subiecte de date

Anexa 2:

Măsuri tehnice și organizatorice în temeiul art. 32 GDPR

Anexa 1:

A. Completări la Sec. 2 scara, modalitatea și scopul prelucrării datelor

Datele senzorilor și datele de calibrare în timpul utilizării aplicației sunt încărcate în cloud pentru recunoașterea în timp real a scrisului de mână și sunt salvate acolo pentru a îmbunătăți modelele viitoare de recunoaștere. Aceste date nu sunt conectate la ID-uri de utilizator, ceea ce face imposibilă identificarea persoanelor individuale din acele date. Informațiile hardware sunt înregistrate doar pentru a identifica posibile erori de software.

B. Tipuri de date conform Sec. 2

Datele senzorului Digipen care sunt produse în timpul scrierii, precum și datele de calibrare produse în timpul procedurii de calibrare. În plus, sunt înregistrate informații despre hardware-ul stiloului și tabletelor.

C. Persoane afectate conform Sec. 2

Fiecare utilizator de aplicație

Anexa 2: Măsuri tehnice și organizatorice conform art. 32 GDPR

Documentarea măsurilor tehnice și organizatorice conform art. 32 GDPR1

1.	Pseudonimizare* Ce măsuri sunt luate pentru a garanta pseudonimizarea datelor cu caracter personal? Pseudonimizarea înseamnă prelucrarea datelor cu caracter personal în așa fel încât datele cu caracter personal să nu mai poată fi atribuite unei anumite persoane vizate fără utilizarea unor informații suplimentare, cu condiția ca aceste informații suplimentare să fie păstrate separat și să facă obiectul unor măsuri tehnice și organizatorice pentru a asigura că datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile.	Nu sunt stocate nume sau date exacte de naștere care să permită identificarea unei persoane
2.	Criptare* Ce măsuri sunt luate pentru a garanta criptarea datelor cu caracter personal? Măsurile de criptare transformă un text clar în funcție de un element de informații suplimentare (cunoscut sub numele de cheie) într-un text secret corespunzător (text cifrat sau text cifrat), care nu ar trebui să fie decriptat pentru nimeni care nu deține cheia.	utilizarea instrumentelor criptografice
3.	Capacitatea de a asigura confidențialitatea* Ce măsuri se iau pentru a garanta permanent capacitatea de confidențialitate a datelor? Confidențialitatea înseamnă că datele personale sunt protejate împotriva dezvăluirii neautorizate.	autentificarea individuală și procedurile de parole criptarea sistemelor criptarea comunicațiilor
4.	Capacitatea de a asigura integritatea* Ce măsuri se iau pentru a garanta permanent capacitatea de integritate a datelor? Integritatea se referă la asigurarea corectitudinii (integrității) datelor și a funcționării corecte a sistemelor. Atunci când termenul de integritate este folosit în legătură cu termenul „date”, acesta exprimă faptul că datele sunt complete și neschimbate.	utilizarea înregistrărilor drepturilor de acces în sistem
5.	Capacitatea de a asigura disponibilitatea* Ce măsuri sunt luate pentru a garanta permanent capacitatea de disponibilitate a datelor? Disponibilitatea serviciilor și a sistemelor informatice, a aplicațiilor IT și a funcțiilor de rețea IT sau a informațiilor este garantată, dacă utilizatorii sunt capabili să le folosească în orice moment conform intenției.	proceduri de backup care oglindesc hard disk-uri alimentare perpetuă cu energie electrică protecție antivirus / firewall
6.	Capacitatea de a asigura reziliența* Ce măsuri sunt luate pentru a garanta permanent capacitatea de rezistență a datelor? Sistemele sunt rezistente atunci când sunt atât de rezistente încât funcționalitatea lor este dată chiar și în cazul unui acces puternic sau al unei sarcini grele.	penetration testing
7.	restaurare* Ce măsuri sunt luate pentru a garanta că datele cu caracter personal sunt disponibile și accesibile în timp util în cazul unui incident de securitate?	proceduri de rezervă alimentarea perpetuă cu energie electrică
8.	Proces pentru testarea regulată* Cum se asigură că măsurile de securitate a datelor sunt revieweste regulat?	există o rutină de testare predeterminată
9.	Acces neautorizat la datele personale Ce măsuri sunt luate pentru a preveni ca datele cu caracter personal să fie disponibile și accesibile persoanelor neautorizate?	autentificări individuale și proceduri de parolă autentificări suplimentare pentru anumite aplicații documentație de permisiuni
10.	Instruirea angajaților Cum vă asigurați că datele cu caracter personal sunt prelucrate numai în conformitate cu instrucțiunile operatorului?	implicarea angajaților în implementarea codurilor de conduită a politicilor interne de confidențialitate

1. Prezentul Document servește scopului îndeplinirii obligațiilor legale și își propune să ofere o descriere generală care să permită o evaluare provizorie a caracterului adecvat al măsurilor de securitate a datelor adoptate. Pe durata contractului, acest concept de securitate a datelor va fi adaptat și actualizat la circumstanțele actuale. Toate actualizările și modificările aduse implementării contractului vor fi documentate în formă scrisă. Acest document face parte din contract și va fi transmis Controlorului anual și în cazul unor modificări semnificative.

Documente/Resurse

Pixuri digitale STABILO DigiVision [pdf] Manual de instrucțiuni Pixuri digitale DigiVision, DigiVision, Pixuri digitale, Pixuri

Referințe

• Manual de utilizare