Acordo sobre o processamento de pedidos (AVV]
de acordo com o Art. 28, parágrafo 3 do Regulamento Geral de Proteção de Dados (GDPR]
§ 1 Objeto e duração do pedido
(1] Este acordo regula os direitos e obrigações das partes em relação ao processamento de dados pessoais pelo contratado (processador] em nome do cliente (controlador]. Aplica-se a todas as atividades em que os funcionários do contratado ou terceiros por ele contratados possam entrar em contato com dados pessoais do controlador.
(2] A duração deste acordo é determinada pela duração do contrato principal para o uso do software "BusWay". Termina automaticamente com o término do contrato principal, a menos que existam obrigações legais de retenção.
§ 2 Tipo e finalidade do processamento
(1] O processador fornece ao controlador uma plataforma de Software como Serviço (SaaS]. O processamento inclui a coleta, armazenamento, avaliação e disponibilização de dados para apoiar as operações de negócios.
(2] O objetivo do processamento é a instrução digital de rota/linha, a navegação do pessoal de condução, a gestão de informações de rota e a garantia técnica do funcionamento do software.
§ 3 Tipo de dados e círculo de pessoas afetadas
(1] Categorias de pessoas afetadas: Funcionários do cliente (motoristas, despachantes, administradores].
(2] Tipo de dados pessoais processados:
- Dados de identificação (nome de usuário, endereço de e-mail, nome e sobrenome].
- Dados de localização e movimento (coordenadas GPS durante o uso ativo do aplicativo, históricos de rotas].
- Metadados do dispositivo (endereço IP, ID do dispositivo, versão do sistema operacional, versão do aplicativo].
- Dados de uso (carimbos de data/hora dos logins, rotas criadas ou percorridas, logs de sincronização].
§ 4 Obrigações do processador
(1] O processador processa dados pessoais exclusivamente no âmbito dos acordos celebrados e de acordo com as instruções do controlador, a menos que seja obrigado a outro processamento por disposições legais.
(2] O processador garante que todas as pessoas autorizadas a processar os dados pessoais se comprometeram com a confidencialidade ou estão sujeitas a uma obrigação legal adequada de confidencialidade.
(3] O processador toma todas as medidas necessárias de acordo com o Art. 32 GDPR (Segurança do processamento] para garantir um nível de proteção adequado ao risco.
(4] O processador apoia o controlador no cumprimento das obrigações mencionadas nos Artigos 32 a 36 do GDPR (por exemplo, notificação de violações da proteção de dados pessoais] da melhor forma possível.
§ 5 Obrigações do controlador
(1] O controlador é o único responsável por avaliar a admissibilidade do processamento de acordo com o Art. 6, parágrafo 1 GDPR, bem como por salvaguardar os direitos das pessoas afetadas (por exemplo, informar os funcionários sobre o rastreamento por GPS].
(2] O controlador geralmente dá suas instruções através do uso das funções do software (por exemplo, criar ou excluir usuários]. As instruções verbais devem ser confirmadas por escrito ou em formato de texto (e-mail] sem demora.
§ 6 Medidas técnicas e organizacionais (TOM]
(1] O processador tomou medidas técnicas e organizacionais adequadas para proteger os dados contra acesso não autorizado, perda ou alteração.
- Confidencialidade: Criptografia da transmissão de dados (SSL/TLS], proteção por senha (Hashing], controles de acesso.
- Integridade: Controle de entrada, registro de acessos ao sistema, separação de dados do cliente (separação lógica].
- Disponibilidade: Backups regulares, infraestrutura de servidor redundante, planos de emergência (Recuperação de desastres].
- Resiliência: Uso de infraestruturas de nuvem escaláveis e verificação regular da segurança do sistema.
§ 7 Relações de subcontratação
(1] O controlador concede ao processador a aprovação geral para envolver outros processadores (subcontratados] para cumprir as obrigações contratuais.
(2] O processador informa o controlador sobre qualquer alteração pretendida em relação ao envolvimento ou substituição de outros processadores. O controlador tem o direito de se opor.
(3] Os subcontratados atualmente utilizados estão listados no anexo a este contrato.
§ 8 Direitos de controle
(1] O controlador tem o direito de verificar o cumprimento das disposições legais e das regulamentações deste contrato pelo processador em uma extensão razoável. Como se trata de uma solução SaaS, a prova pode ser fornecida principalmente por certificados ou atestados de terceiros independentes.
§ 9 Exclusão e devolução de dados
(1] Após a conclusão da prestação dos serviços de processamento, o processador exclui todos os dados pessoais ou os devolve ao controlador, a menos que exista uma obrigação legal de armazenamento.
§ 10 Disposições finais
(1] Se partes individuais deste acordo forem inválidas, isso não afetará a validade das disposições restantes.
(2] Aplica-se a lei da República Federal da Alemanha. O foro é a sede do processador.
O processador utiliza os seguintes prestadores de serviços para cumprir o seu serviço:
| Serviço | Prestador de serviços | Localização do servidor |
|---|---|---|
| Hospedagem, banco de dados e backend | Strato AG | Berlim / Karlsruhe, DE |
| Dados de mapas e geocodificação | Google Cloud EMEA | Dublin, IE (UE] |
| Revendedor / Comerciante de registro | Paddle.com Market Ltd | Londres, Reino Unido (Decisão de adequação] |