Accordo di elaborazione dei dati

Accordo di elaborazione dei dati

 

 
Il controllore dei dati
K.V. Stampe & Figlio
CVR 40493719
Ringvejen 60
7900 Mor di Nykøbing
Danimarca

 

 

 

1 Preambolo dell'accordo di elaborazione dei dati

  1. Questo accordo di elaborazione dei dati stabilisce i diritti e gli obblighi che si applicano alla gestione dei dati personali da parte del processore di dati per conto del controllore dei dati.

 

  1. Questo accordo è stato progettato per garantire il rispetto delle parti all'articolo 28, sottosezione 3 di Regolamento 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone naturali per quanto riguarda l'elaborazione dei dati personali e sulla libera circolazione di tali dati e l'abrogazione della direttiva 95/46/CE (protezione generale dei dati Regolamento), che stabilisce requisiti specifici per il contenuto degli accordi di elaborazione dei dati.

 

  1. L'elaborazione dei dati personali da parte del processore di dati deve avvenire ai fini dell'adempimento del "accordo principale" delle parti. Elaborazione dei dati personali che iniziano il 01/04/18.

  2. L'accordo di elaborazione dei dati e il "accordo principale" devono essere interdipendenti e non possono essere risolti separatamente. L'accordo di elaborazione dei dati può tuttavia, senza risoluzione del "accordo principale", essere sostituito da un accordo di elaborazione dei dati valido alternativo.

 

  1. Il presente Accordo di elaborazione dei dati deve avere la priorità su qualsiasi disposizioni simili contenute in altri accordi tra le parti, incluso il "accordo principale".

 

  1. Quattro appendici sono allegate a questo accordo di elaborazione dei dati. Le appendici fanno parte integrante di questo accordo di elaborazione dei dati.

 

  1. Appendice A.dell'accordo di elaborazione dei dati contiene dettagli sull'elaborazione, nonché sullo scopo e la natura dell'elaborazione, il tipo di dati personali, le categorie di soggetti dati e la durata dell'elaborazione.

 

  1. Appendice B.del contratto di elaborazione dei dati contiene i termini e le condizioni del responsabile del trattamento dei dati che si applicano all'uso da parte del processore di dati di sottoprocessori e un elenco di sottoprocessori approvati dal controllore dati.

 

  1. Appendice C.dell'accordo di elaborazione dei dati contiene istruzioni sull'elaborazione che il processore di dati deve eseguire per conto del controllore dei dati (oggetto dell'elaborazione), le misure di sicurezza minime che devono essere implementate e come l'ispezione con il processore di dati e qualsiasi sottomarino -Processori devono essere eseguiti.

 

  1. Appendice D.dell'accordo di elaborazione dei dati contiene le disposizioni delle parti per le attività che non sono contenute nel presente Accordo di elaborazione dei dati o nel "accordo principale" delle parti.

 

  1. L'accordo di elaborazione dei dati e le sue appendici associate devono essere mantenuti per iscritto e elettronicamente da entrambe le parti.

 

  1. Il presente Accordo di elaborazione dei dati non esente il processore di dati dagli obblighi a cui il processore di dati è soggetto ai sensi del regolamento generale sulla protezione dei dati o di altre legislazioni.

2 I diritti e gli obblighi del controllore dati

  1. Il controllore dei dati deve essere responsabile nei confronti del mondo esterno (incluso il soggetto dei dati) per garantire che l'elaborazione dei dati personali abbia luogo nel quadro del regolamento generale sulla protezione dei dati e della legge sulla protezione dei dati danesi.

 

  1. Il controllore dei dati deve pertanto avere sia il diritto che l'obbligo di prendere decisioni sugli scopi e sui mezzi di elaborazione dei dati personali.

 

  1. Il controllore dei dati sarà responsabile di garantire che l'elaborazione che il processore di dati sia incaricato di eseguire sia autorizzato in legge.

3 Il processore di dati agisce secondo le istruzioni

  1. Il processore di dati deve essere consentito esclusivamente per elaborare i dati personali sulle istruzioni documentate dal controllore dei dati a meno che non sia richiesta l'elaborazione ai sensi della legge dell'UE o dello Stato membro a cui è soggetto il processore di dati; In questo caso, il processore di dati deve informare il controllore dei dati di questo requisito legale prima di elaborare a meno che tale legge non proibisca tali informazioni per importanti motivi di interesse pubblico, cfr. Articolo 28, sottosezione 3, par a.

 

  1. Il processore di dati deve immediatamente informare il controllore dei dati se le istruzioni secondo il parere del processore di dati contravvengono il regolamento generale sulla protezione dei dati o le disposizioni sulla protezione dei dati contenute in altre leggi dell'UE o dello Stato membro.

4 Riservatezza

  1. Il processore di dati garantisce che solo le persone che sono attualmente autorizzate a farlo siano in grado di accedere ai dati personali da elaborare per conto del controllore dei dati. L'accesso ai dati deve pertanto essere negato se tale autorizzazione viene rimossa o scade.

 

  1. Solo le persone che richiedono l'accesso ai dati personali al fine di adempiere agli obblighi del processore di dati al controllore dei dati devono essere fornite con l'autorizzazione.

 

  1. Il processore di dati garantisce che le persone autorizzate a elaborare i dati personali per conto del controllore dei dati abbiano intrapreso per osservare la riservatezza o siano soggette a adeguati obblighi legali di riservatezza.

 

  1. Il processore di dati deve essere in grado di dimostrare che i dipendenti interessati sono soggetti alla soprattutto riservatezza.

5 Sicurezza dell'elaborazione

  1. Il processore di dati deve adottare tutte le misure richieste ai sensi dell'articolo 32 del regolamento generale sulla protezione dei datiche stabilisce che, con considerazione per il livello attuale, i costi di attuazione e la natura, l'ambito, il contesto e gli scopi dell'elaborazione e il rischio di variazione e gravità variabili per i diritti e le libertà delle persone naturali, il controllore dei dati e il processore devono implementare tecnici e adeguati Misure organizzative per garantire un livello di sicurezza adeguato al rischio.

 

  1. L'obbligo di cui sopra significa che il processore di dati deve eseguire una valutazione del rischio e successivamente implementare misure per contrastare il rischio identificato. A seconda della loro rilevanza, le misure possono includere quanto segue:

 

  1. Pseudonimizzazione e crittografia dei dati personali
  2. La capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza in corso dei sistemi e dei servizi di elaborazione.
  3. La possibilità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di incidente fisico o tecnico.
  4. Un processo per test regolarmente, valutare e valutare l'efficacia delle misure tecniche e organizzative per garantire la sicurezza dell'elaborazione.

 

  1. Il processore di dati deve garantire quanto sopra - in tutti i casi - almeno implementa il livello di sicurezza e le misure specificate nell'Appendice C al presente Accordo di elaborazione dei dati.

 

  1. Il possibile regolamento/accordo delle parti sulla remunerazione ecc. Per il controllore dei dati o il successivo requisito del processore di dati per stabilire ulteriori misure di sicurezza devono essere specificati nel "accordo principale" delle parti o nell'appendice D al presente Accordo di elaborazione dei dati.

6 Uso di sottoprocessori

  1. Il processore di dati deve soddisfare i requisiti specificati nell'articolo 28, sottosezione 2 e 4, del regolamento generale sulla protezione dei dati al fine di coinvolgere un altro processore (sub-processore).

 

  1. Pertanto, il processore di dati non deve coinvolgere un altro processore (sottoprocessore) per l'adempimento del presente accordo di elaborazione dei dati senza il previo consenso specifico o generale scritto del controllore dei dati.

 

  1. In caso di consenso scritto generale, il processore di dati deve informare il controllore dei dati di eventuali modifiche pianificate per quanto riguarda le aggiunte o la sostituzione di altri processori di dati e quindi dare al controllore dei dati l'opportunità di obiettare a tali modifiche.

 

  1. Devono essere specificati i requisiti del controllore dati per il coinvolgimento del processore di dati di altri sottoprocessori Appendice B.a questo accordo di elaborazione dei dati.

 

  1. Il consenso del responsabile dei dati al coinvolgimento di sottoprocessori specifici, se applicabile, deve essere specificato in Appendice B.a questo accordo di elaborazione dei dati.

 

  1. Quando il processore di dati ha l'autorizzazione del controllore dati di utilizzare un sottoprocessore, il processore di dati garantisce che il sottoprocessore sia soggetto agli stessi obblighi di protezione dei dati di quelli specificati nel presente accordo di elaborazione dei dati sulla base di un contratto o altro Documento legale ai sensi della legge dell'UE o della legge nazionale degli Stati membri, in particolare fornendo le garanzie necessarie che il sottoprocessore implementerà le misure tecniche e organizzative appropriate in modo tale che l'elaborazione soddisfi i requisiti del regolamento generale sulla protezione dei dati.

 

Il processore di dati deve pertanto essere responsabile-sulla base di un accordo di sub-processore-per aver richiesto che il sub-processore sia almeno conformi agli obblighi a cui il processore di dati è soggetto ai sensi dei requisiti del regolamento generale sulla protezione dei dati e Accordo di elaborazione dei dati e appendici associate.

 

  1. Una copia di tale accordo sub-processore e successivi emendamenti devono-su richiesta del responsabile del trattamento-essere presentata al responsabile del trattamento che avrà quindi l'opportunità di garantire che sia stato stipulato un accordo valido tra il processore di dati e il sottomarino Processore. I termini e le condizioni commerciali, come i prezzi, che non influiscono sul contenuto di protezione dei dati legali dell'accordo di sub-processore, non richiedono l'invio al responsabile del trattamento dei dati.

 

  1. Il processore di dati deve nel suo accordo con il sottoprocessore includere il responsabile dei dati come terze parti in caso di fallimento del processore di dati per consentire al responsabile del trattamento di assumere i diritti del processore di dati e invocarli per quanto riguarda il sub-processore , per esempio. in modo che il controllore dei dati sia in grado di istruire il sottoprocessore di eseguire la cancellazione o il ritorno dei dati.

 

  1. Se il sottoprocessore non soddisfa i suoi obblighi di protezione dei dati, il processore di dati deve rimanere pienamente responsabile nei confronti del responsabile del trattamento dei dati per quanto riguarda l'adempimento degli obblighi del sub-processore.

7 Trasferimento di dati a paesi terzi o organizzazioni internazionali

  1. Il processore di dati deve essere consentito esclusivamente per elaborare i dati personali sulle istruzioni documentate dal controllore dei dati, anche come per quanto riguarda il trasferimento(Assegnazione, divulgazione e uso interno) dei dati personali per i paesi terzi o le organizzazioni internazionali, a meno che non sia richiesta l'elaborazione ai sensi della legge dell'UE o dello Stato membro a cui è soggetto il processore di dati; In tal caso, il processore di dati deve informare il controllore dei dati di tale requisito legale prima di elaborare a meno che tale legge non proibisca tali informazioni per importanti motivi di interesse pubblico, cfr. Articolo 28, sottosezione 3, par a.

 

  1. Senza le istruzioni o l'approvazione del controllore dei dati, il processore di dati non può pertanto - nel framework del presente accordo di elaborazione dei dati:

 

  1. divulgare i dati personali a un controllore di dati in un paese terzo o in un'organizzazione internazionale
  2. Assegna l'elaborazione dei dati personali a un sottoprocessore in un paese terzo
  3. Fai elaborare i dati in un'altra delle divisioni del processore di dati che si trova in un paese terzo

 

  1. Le istruzioni del controllore dati o l'approvazione del trasferimento di dati personali in un paese terzo, se applicabile, devono essere stabilite in Appendice C.a questo accordo di elaborazione dei dati.

8 Assistenza al controllore dei dati

  1. Il processore di dati, tenendo conto della natura dell'elaborazione, deve, per quanto possibile, assisterà il controllore dei dati con misure tecniche e organizzative appropriate, nell'adempimento degli obblighi del responsabile del trattamento di dati di rispondere alle richieste per l'esercizio degli argomenti dei dati 'Diritti ai sensi del capitolo 3 del regolamento generale sulla protezione dei dati.


Ciò implica che il processore di dati dovrebbe per quanto possibile assistere il controllore dei dati nella conformità del controllore dati con:

 

  1. Obbligo di notifica quando si raccolgono dati personali dall'argomento dei dati
  2. Obbligo di notifica Se i dati personali non sono stati ottenuti dall'argomento dei dati
  3. diritto di accesso dall'argomento dei dati
  4. il diritto alla rettificazione
  5. il diritto di cancellare ("il diritto di essere dimenticato")
  6. il diritto di limitare l'elaborazione
  7. Obbligo di notifica in merito alla rettifica o alla cancellazione dei dati personali o alla restrizione dell'elaborazione
  8. il diritto alla portabilità dei dati
  9. il diritto all'oggetto
  10. il diritto di obiettare al risultato del processo decisionale individuale automatizzato, compresa la profilazione

 

  1. Il processore di dati deve aiutare il controllore dei dati a garantire la conformità agli obblighi del responsabile del controllo dei dati ai sensi degli articoli 32-36 del regolamento generale sulla protezione dei dati tenendo conto della natura dell'elaborazione e dei dati resi disponibili al processore di dati, cfr. Articolo 28, sottosezione 3, para f.

 

Ciò implica che il processore di dati dovrebbe, tenendo conto della natura dell'elaborazione, per quanto possibile assistere il controllore dei dati nella conformità del controllore dei dati:

 

  1. L'obbligo di implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio associato all'elaborazione
  2. L'obbligo di segnalare violazioni dei dati personali all'Autorità di vigila e libertà di persone naturali
  3. L'obbligo - senza indebito ritardo - di comunicare la violazione dei dati personali al soggetto dei dati quando tale violazione è probabile che comporti un alto rischio per i diritti e le libertà delle persone naturali
  4. L'obbligo di effettuare una valutazione dell'impatto sulla protezione dei dati se è probabile che un tipo di elaborazione comporti un alto rischio per i diritti e le libertà delle persone naturali
  5. L'obbligo di consultare l'Autorità di vigilanza (Agenzia danese per la protezione dei dati) prima dell'elaborazione se una valutazione dell'impatto sulla protezione dei dati mostra che l'elaborazione porterà a un elevato rischio in mancanza di misure adottate dal responsabile dei dati per limitare il rischio

 

  1. Il possibile regolamento/accordo delle parti sulla remunerazione ecc. Per l'assistenza del processore di dati al controllore dei dati deve essere specificato nel "accordo principale" delle parti o nell'appendice D al presente Accordo di elaborazione dei dati.

9 Notifica della violazione dei dati personali

  1. Alla scoperta della violazione dei dati personali nelle strutture del processore di dati o delle strutture di un sottoprocessore, il processore di dati deve senza ritardare indebiti avvisare il controllore dei dati.

 

La notifica del processore di dati al controllore dei dati deve, se possibile, avvenire entro 24 ore dopo che il processore di dati ha scoperto la violazione per consentire al responsabile del trattamento di rispettare il proprio obbligo, se applicabile, di segnalare la violazione dell'autorità di vigilanza entro 72 ore.

 

  1. Secondo la clausola 9.2., Para B, del presente Accordo di elaborazione dei dati, il processore di dati deve - tenendo conto della natura dell'elaborazione e dei dati disponibili - assistere il responsabile del trattamento della violazione dell'autorità di vigilanza.

Ciò può significare che il processore di dati sia tenuto ad aiutare a ottenere le informazioni elencate di seguito che, ai sensi dell'articolo 33, la sottosezione 3, del regolamento generale sulla protezione dei dati, deve essere indicato nella relazione del controllore dei dati all'autorità di vigilanza:

 

  1. La natura della violazione dei dati personali, incluso, se possibile, le categorie e il numero approssimativo di soggetti di dati interessati e le categorie e il numero approssimativo di record di dati personali interessati
  2. Probabili conseguenze di una violazione dei dati personali
  3. Misure che sono state prese o sono proposte per gestire la violazione dei dati personali, comprese le misure, se applicabili, per limitare il suo possibile danno

10 Elimina e ritorno dei dati

  1. Al termine dei servizi di elaborazione, il processore di dati deve essere obbligatorio, a discrezione del controllore dei dati, di cancellare o restituire tutti i dati personali al controllore dei dati e di cancellare le copie esistenti a meno che la legge dell'UE o la legge dello Stato membro non richieda l'archiviazione del personale dati.

11 ispezione e audit

  1. Il processore di dati deve mettere a disposizione del controllore dei dati tutte le informazioni necessarie per dimostrare la conformità all'articolo 28 del regolamento generale sulla protezione dei dati e di questo accordo di elaborazione dei dati e consentire e contribuire a audit, comprese le ispezioni eseguite dal controllore dei dati o un altro revisore mandato dal controllore dei dati.

 

  1. Sono specificate le procedure applicabili all'ispezione da parte del controllore dati del processore di dati Appendice C.a questo accordo di elaborazione dei dati.

 

  1. L'ispezione da parte del responsabile dei dati dei sottoprocessori, se applicabile, deve essere eseguita di norma tramite il processore di dati. Le procedure per tale ispezione sono specificate inAppendice C.a questo accordo di elaborazione dei dati.

 

  1. Il processore di dati deve essere tenuto a fornire alle autorità di vigila identificazione.

12 L'accordo delle parti su altri termini

  1. (Separati) termini relativi alle conseguenze della violazione delle parti del presente Accordo di elaborazione dei dati, se applicabile, devono essere specificati nel "accordo principale" delle parti o in Appendice D.a questo accordo di elaborazione dei dati.

 

  1. Il regolamento di altri termini tra le parti deve essere specificato nel "accordo principale" delle parti o inAppendice D.a questo accordo di elaborazione dei dati.

13 inizio e risoluzione

  1. Il presente Accordo di elaborazione dei dati sarà efficace alla data della firma di entrambe le parti all'accordo.

 

  1. Entrambe le parti avranno il diritto di richiedere questo accordo di elaborazione dei dati rinegoziati se le modifiche alla legge o l'inesperienza delle disposizioni qui contenute dovrebbero dare origine a tale rinegoziazione.

 

  1. L'accordo delle parti su remunerazione, termini ecc. In relazione alle modifiche al presente Accordo di elaborazione dei dati, se applicabile, sarà specificato nel "accordo principale" delle parti o nell'appendice D al presente Accordo di elaborazione dei dati.

 

  1. Questo accordo di elaborazione dei dati può essere risolto in base ai termini e alle condizioni di risoluzione, incl. Avviso di risoluzione, specificato nel "accordo principale".

 

  1. Il presente accordo di elaborazione dei dati si applica fintanto che viene eseguita l'elaborazione. Indipendentemente dalla risoluzione del "accordo principale" e/o di questo accordo di elaborazione dei dati, l'accordo di elaborazione dei dati deve rimanere in vigore fino alla risoluzione dell'elaborazione e alla cancellazione dei dati da parte del processore di dati e di eventuali sottoprocessori.

 

  1. Firma

 


A nome del controllore dati

Nome:

 

Michael Stampe

 

Posizione:

 

Amministratore delegato

 

Data:

 

 

01/04/18

  

 

14 Contatti di dati e elaborazione dei dati/punti di contatto

 

  1. Le parti possono contattarsi a vicenda utilizzando i seguenti punti contatti/contatti:

 

  1. Le parti devono essere costantemente in obbligo di informarsi reciprocamente delle modifiche ai contatti/punti di contatto.

 

 


Nome:

Microfono Stampe

 

Posizione:

Amministratore delegato

 

Numero di telefono:

+45 52137210

 

E-mail:

stampe@kv-stampe.DK

 


 

Appendice A Informazioni sull'elaborazione

 

Lo scopo dell'elaborazione dei dati personali da parte del processore di dati per conto del controllore dei dati è:

  • Il controllore di dati è in grado di utilizzare Google Analytics, di proprietà e gestito dal processore di dati per raccogliere ed elaborare i dati sui membri del controller di dati.

 

L'elaborazione dei dati personali da parte del processore di dati per conto del responsabile dei dati deve essere principalmente riguardante (la natura dell'elaborazione):

  • Il processore di dati rende disponibile System Shopify al controllore dei dati e memorizza i dati personali sui membri del controller dati sui server dell'azienda. "

 

L'elaborazione include i seguenti tipi di dati personali sugli argomenti dei dati:

  • Nome, indirizzo e-mail, numero di telefono, indirizzo, dettagli di pagamento e paesi

 

L'elaborazione include le seguenti categorie di dati soggetto:

 Persone che hanno acquistato qualsiasi prodotto sul sito Web o si sono registrati come membro

 

L'elaborazione dei dati personali da parte del processore di dati per conto del controllore dei dati può essere eseguita quando inizia questo accordo di elaborazione dei dati. L'elaborazione ha la seguente durata:

  • L'elaborazione non deve essere limitata nel tempo e deve essere eseguita fino a quando questo accordo di elaborazione dei dati non viene risolto o annullato da una delle parti.

 

 

Istruzioni Appendice B relative all'uso di dati personali

 

 

B.1 Periodo di stoccaggio/procedure di cancellazione

  • I dati personali vengono archiviati per 3 anni dopo di che vengono cancellati dal processore di dati.

 

B.2 Posizione di elaborazione

L'elaborazione dei dati personali ai sensi del presente accordo di elaborazione dei dati non può essere eseguita in altre posizioni rispetto a quelle seguenti senza il previo consenso scritto del responsabile del trattamento:

  • Indica il processore di dati o il sottoprocessore utilizzando l'indirizzo Ringvejen 60, 7900 Nykøbing Mors