Acord privind prelucrarea comenzilor (AVV]
conform Art. 28 alin. 3 din Regulamentul general privind protecția datelor (GDPR]
§ 1 Obiectul și durata comenzii
(1] Acest acord reglementează drepturile și obligațiile părților în legătură cu prelucrarea datelor cu caracter personal de către contractant (persoana împuternicită de operator] în numele clientului (operator]. Se aplică tuturor activităților în care angajații contractantului sau terții însărcinați de acesta pot intra în contact cu datele cu caracter personal ale operatorului.
(2] Durata acestui acord este determinată de durata contractului principal privind utilizarea software-ului "BusWay". Acesta se încheie automat odată cu încetarea contractului principal, cu excepția cazului în care există obligații legale de păstrare.
§ 2 Natura și scopul prelucrării
(1] Persoana împuternicită de operator pune la dispoziția operatorului o platformă Software-as-a-Service (SaaS]. Prelucrarea include colectarea, stocarea, evaluarea și furnizarea de date pentru a sprijini operațiunile companiei.
(2] Scopul prelucrării este instruirea digitală a rutei/liniei, navigarea personalului de conducere, gestionarea informațiilor despre rute, precum și asigurarea tehnică a funcționării software-ului.
§ 3 Tipul de date și categoria persoanelor vizate
(1] Categoriile de persoane vizate: Angajații clientului (șoferi, dispeceri, administratori].
(2] Tipul de date cu caracter personal prelucrate:
- Date de identificare (nume de utilizator, adresă de e-mail, prenume și nume].
- Date de localizare și de mișcare (coordonate GPS în timpul utilizării active a aplicației, istoricul rutelor].
- Metadate despre dispozitiv (adresă IP, ID dispozitiv, versiune sistem de operare, versiune aplicație].
- Date de utilizare (marcaje temporale ale autentificărilor, rute create sau parcurse, jurnale de sincronizare].
§ 4 Obligațiile persoanei împuternicite de operator
(1] Persoana împuternicită de operator prelucrează datele cu caracter personal exclusiv în cadrul acordurilor încheiate și conform instrucțiunilor operatorului, cu excepția cazului în care este obligată la o altă prelucrare prin dispoziții legale.
(2] Persoana împuternicită de operator garantează că toate persoanele care sunt autorizate să prelucreze datele cu caracter personal s-au angajat să păstreze confidențialitatea sau sunt supuse unei obligații legale adecvate de confidențialitate.
(3] Persoana împuternicită de operator ia toate măsurile necesare în conformitate cu art. 32 GDPR (Securitatea prelucrării] pentru a garanta un nivel de protecție adecvat riscului.
(4] Persoana împuternicită de operator sprijină operatorul în respectarea obligațiilor menționate la art. 32-36 GDPR (de exemplu, raportarea încălcărilor securității datelor cu caracter personal] în măsura maximă a posibilităților.
§ 5 Obligațiile operatorului
(1] Operatorul poartă răspunderea exclusivă pentru evaluarea admisibilității prelucrării în conformitate cu art. 6 alin. 1 GDPR, precum și pentru protejarea drepturilor persoanelor vizate (de exemplu, informarea angajaților cu privire la localizarea GPS].
(2] Operatorul își dă instrucțiunile, de regulă, prin utilizarea funcțiilor software (de exemplu, crearea sau ștergerea de utilizatori]. Instrucțiunile verbale trebuie confirmate imediat în scris sau în format text (e-mail].
§ 6 Măsuri tehnice și organizatorice (TOM]
(1] Persoana împuternicită de operator a luat măsuri tehnice și organizatorice adecvate pentru a proteja datele împotriva accesului neautorizat, a pierderii sau a modificării.
- Confidențialitate: Criptarea transferului de date (SSL/TLS], protecție prin parolă (Hashing], controale de acces.
- Integritate: Controlul intrărilor, înregistrarea accesărilor sistemului, separarea datelor clientului (separare logică].
- Disponibilitate: Copii de rezervă regulate, infrastructură redundantă de servere, planuri de urgență (Recuperare în caz de dezastru].
- Capacitate de încărcare: Utilizarea infrastructurilor cloud scalabile și verificarea regulată a securității sistemului.
§ 7 Relații de subcontractare
(1] Operatorul acordă persoanei împuternicite de operator autorizația generală de a implica alți operatori (subcontractori] pentru îndeplinirea obligațiilor contractuale.
(2] Persoana împuternicită de operator informează operatorul cu privire la orice modificare intenționată în ceea ce privește implicarea sau înlocuirea altor persoane împuternicite de operator. Operatorul are drept de obiecție.
(3] Subcontractorii utilizați în prezent sunt enumerați în anexa la acest contract.
§ 8 Drepturi de control
(1] Operatorul are dreptul de a verifica respectarea dispozițiilor legale și a reglementărilor acestui contract de către persoana împuternicită de operator într-o măsură rezonabilă. Deoarece este o soluție SaaS, dovada poate fi furnizată în primul rând prin certificate sau atestate ale unor terți independenți.
§ 9 Ștergerea și returnarea datelor
(1] După finalizarea prestării serviciilor de prelucrare, persoana împuternicită de operator șterge toate datele cu caracter personal sau le returnează operatorului, cu excepția cazului în care există o obligație legală de stocare.
§ 10 Dispoziții finale
(1] În cazul în care părți individuale ale acestui acord sunt ineficiente, acest lucru nu afectează eficacitatea celorlalte dispoziții.
(2] Se aplică legea Republicii Federale Germania. Instanța competentă este sediul persoanei împuternicite de operator.
Persoana împuternicită de operator utilizează următorii furnizori de servicii pentru a-și îndeplini serviciile:
| Serviciu | Furnizor de servicii | Locație server |
|---|---|---|
| Hosting, baze de date și backend | Strato AG | Berlin / Karlsruhe, DE |
| Date cartografice și geocodare | Google Cloud EMEA | Dublin, IE (UE] |
| Revânzător / Merchant of Record | Paddle.com Market Ltd | Londra, UK (Decizie de adecvare] |