Marrëveshje për përpunimin e të dhënave (AVV]
në përputhje me Art. 28 Par. 3 Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave (GDPR]
§ 1 Subjekti dhe kohëzgjatja e kontratës
(1] Ky marrëveshje rregullon të drejtat dhe detyrimet e palëve në lidhje me përpunimin e të dhënave personale nga kontraktori (përpunuesi i të dhënave] në emër të klientit (kontrolluesi]. Ajo zbatohet për të gjitha aktivitetet në të cilat punonjësit e kontraktorit ose palët e treta të autorizuara prej tij mund të bien në kontakt me të dhënat personale të kontrolluesit.
(2] Kohëzgjatja e kësaj marrëveshjeje bazohet në kohëzgjatjen e kontratës kryesore për përdorimin e softuerit "BusWay". Ajo përfundon automatikisht me përfundimin e kontratës kryesore, përveç nëse ekzistojnë detyrime ligjore për ruajtje.
§ 2 Lloji dhe qëllimi i përpunimit
(1] Përpunuesi i të dhënave i ofron kontrolluesit një platformë Software-as-a-Service (SaaS]. Përpunimi përfshin mbledhjen, ruajtjen, vlerësimin dhe ofrimin e të dhënave për të mbështetur proceset operacionale.
(2] Qëllimi i përpunimit është caktimi dixhital i linjave, navigimi i personelit të udhëtimit, menaxhimi i informacionit të rrugëve, si dhe sigurimi teknik i funksionimit të softuerit.
§ 3 Lloji i të dhënave dhe rrethi i të prekurve
(1] Kategoritë e personave të prekur: Punonjësit e klientit (shoferë, dispeçerë, administratorë].
(2] Lloji i të dhënave personale të përpunuara:
- Të dhëna identifikuese (emri i përdoruesit, adresa e emailit, emri dhe mbiemri].
- Të dhëna të vendndodhjes dhe lëvizjes (koordinatat GPS gjatë përdorimit aktiv të aplikacionit, itineraret].
- Metatë dhënat e pajisjes (adresa IP, ID-ja e pajisjes, versioni i sistemit operativ, versioni i aplikacionit].
- Të dhënat e përdorimit (shenjat kohore të hyrjeve, itineraret e krijuara ose të udhëtuara, regjistrat e sinkronizimit].
§ 4 Detyrimet e përpunuesit të të dhënave
(1] Përpunuesi i të dhënave përpunon të dhënat personale ekskluzivisht në kuadër të marrëveshjeve të bëra dhe sipas udhëzimeve të kontrolluesit, përveç nëse ai është i detyruar të kryejë një përpunim tjetër nga dispozitat ligjore.
(2] Përpunuesi i të dhënave siguron që të gjithë personat që janë të autorizuar të përpunojnë të dhënat personale janë zotuar për konfidencialitet ose i nënshtrohen një detyrimi të përshtatshëm ligjor për ruajtjen e sekretit.
(3] Përpunuesi i të dhënave merr të gjitha masat e nevojshme sipas Art. 32 GDPR (Siguria e përpunimit] për të garantuar një nivel mbrojtjeje të përshtatshëm për rrezikun.
(4] Përpunuesi i të dhënave e mbështet kontrolluesin në përmbushjen e detyrimeve të përmendura në Art. 32 deri në 36 GDPR (p.sh. njoftimi i shkeljeve të mbrojtjes së të dhënave personale] në masën më të mirë të aftësive të tij.
§ 5 Detyrimet e kontrolluesit
(1] Kontrolluesi mban përgjegjësinë e vetme për vlerësimin e lejueshmërisë së përpunimit sipas Art. 6 Paragrafi 1 GDPR, si dhe për mbrojtjen e të drejtave të personave të prekur (p.sh. informimi i punonjësve për gjurmimin GPS].
(2] Kontrolluesi jep udhëzimet e tij zakonisht duke përdorur funksionet e softuerit (p.sh. krijimi ose fshirja e përdoruesve]. Udhëzimet verbale duhet të konfirmohen menjëherë me shkrim ose në formë tekstuale (email].
§ 6 Masat teknike dhe organizative (TOM]
(1] Përpunuesi i të dhënave ka marrë masa të përshtatshme teknike dhe organizative për të mbrojtur të dhënat nga aksesi i paautorizuar, humbja ose ndryshimi.
- Konfidencialiteti: Enkriptimi i transmetimit të të dhënave (SSL/TLS], mbrojtja e fjalëkalimit (Hashing], kontrollet e aksesit.
- Integriteti: Kontrolli i hyrjes, regjistrimi i aksesit në sistem, ndarja e të dhënave të klientëve (ndarje logjike].
- Disponueshmëria: Kopje rezervë të rregullta, infrastrukturë serverësh të tepërt, plane emergjente (Rimëkëmbja nga fatkeqësitë].
- Qëndrueshmëria: Përdorimi i infrastrukturave cloud të shkallëzueshme dhe verifikimi i rregullt i sigurisë së sistemit.
§ 7 Marrëdhëniet e nënkontraktimit
(1] Kontrolluesi i jep përpunuesit të të dhënave autorizimin e përgjithshëm për të përfshirë përpunues të tjerë të të dhënave (nën-kontraktorë] për të përmbushur detyrimet kontraktuale.
(2] Përpunuesi i të dhënave e informon kontrolluesin për çdo ndryshim të synuar në lidhje me përfshirjen ose zëvendësimin e përpunuesve të tjerë të të dhënave. Kontrolluesi ka të drejtë të kundërshtojë.
(3] Nën-kontraktorët e përdorur aktualisht janë të listuar në shtojcën e kësaj kontrate.
§ 8 Të drejtat e kontrollit
(1] Kontrolluesi ka të drejtë të verifikojë në një masë të arsyeshme pajtueshmërinë me dispozitat ligjore dhe rregulloret e kësaj kontrate nga përpunuesi i të dhënave. Meqenëse kjo është një zgjidhje SaaS, prova mund të ofrohet kryesisht nga certifikatat ose vërtetimet e palëve të treta të pavarura.
§ 9 Fshirja dhe kthimi i të dhënave
(1] Pas përfundimit të ofrimit të shërbimeve të përpunimit, përpunuesi i të dhënave fshin të gjitha të dhënat personale ose ia kthen ato kontrolluesit, përveç nëse ekziston një detyrim ligjor për ruajtje.
§ 10 Dispozitat përfundimtare
(1] Nëse pjesë individuale të kësaj marrëveshjeje janë të pavlefshme, kjo nuk prek vlefshmërinë e dispozitave të tjera.
(2] Zbatohet ligji i Republikës Federale të Gjermanisë. Vendi i juridiksionit është selia e përpunuesit të të dhënave.
Përpunuesi i të dhënave përdor ofruesit e shërbimeve të mëposhtëm për të përmbushur shërbimin e tij:
| Shërbimi | Ofruesi i shërbimit | Vendndodhja e serverit |
|---|---|---|
| Hosting, baza e të dhënave & Backend | Strato AG | Berlin / Karlsruhe, DE |
| Të dhënat e hartave & Gjeokodimi | Google Cloud EMEA | Dublin, IE (BE] |
| Rishitës / Tregtar i Regjistruar | Paddle.com Market Ltd | Londër, MB (Vendim i përshtatshmërisë] |