DPA

Diese Vereinbarung zur Verarbeitung personenbezogener Daten („DPA“) “) ist ein Anhang zu den Allgemeinen Geschäftsbedingungen und ist integraler Bestandteil des Vertrags zwischen Signitic SAS und Der Kunde. Im Falle eines Widerspruchs zwischen den Allgemeinen Geschäftsbedingungen und der DPA hat letzteres Vorrang.

‍

1. Umfang und Qualität der Parteien

Zweck dieser Datenschutzvereinbarung ist es, die Bedingungen festzulegen, unter denen Signitic als Subunternehmer sich verpflichtet, im Namen und auf Anweisung des Kunden die Verarbeitung personenbezogener Daten im Zusammenhang mit den Diensten durchzuführen, und die Pflichten und Rechte von Signitic und dem Kunden zu definieren. Diese Vereinbarung gilt nicht, wenn Signitic als Datenverantwortlicher fungiert. Diese Vereinbarung beendet und ersetzt alle Bedingungen und früheren Verträge zwischen den Parteien zum gleichen Zweck.

Gemäß dieser Datenschutzvereinbarung wird davon ausgegangen, dass der Kunde als Datenverantwortlicher fungiert. Für den Fall, dass der Kunde im Namen eines externen Datenverantwortlichen als Subunternehmer handelt, garantiert er:

• Dass es über alle erforderlichen Genehmigungen für den Abschluss dieser Datenschutzvereinbarung und für die Verarbeitung personenbezogener Daten durch Signitic als Unterauftragnehmer verfügt;
• dass der mit dem betreffenden Datenverantwortlichen geschlossene Vertrag den Vertragsbedingungen entspricht;
• Dass die Anweisungen des Kunden im Zusammenhang mit der Ausführung dieser Datenschutzvereinbarung strikt den Anweisungen des für die Verarbeitung Verantwortlichen entsprechen, und verpflichtet sich, ihm die von Signitic mitgeteilten Informationen zur Verfügung zu stellen, sofern dies gemäß der RGPD erforderlich ist.

Der Kunde bleibt Signitic gegenüber, das allein für die ordnungsgemäße Erfüllung der Verpflichtungen des für die Datenverarbeitung Verantwortlichen gemäß dieser Datenschutzvereinbarung verantwortlich ist.

Die Parteien verpflichten sich, die Bestimmungen der RGPD und allgemein die für sie geltenden Vorschriften zum Schutz personenbezogener Daten einzuhalten.

‍

2. Definitionen

Für die Zwecke des DPA haben Begriffe, die mit einem Großbuchstaben beginnen, die folgende Bedeutung. Wenn ein Begriff in Großbuchstaben in dieser Liste nicht definiert ist, entspricht die Definition der im Vertrag angegebenen Definition. Die Definitionen der Begriffe „Datenverantwortlicher“, „Subunternehmer“, „Subunternehmer“, „Nachverarbeiter“, „Verarbeitung“, „Aufsichtsbehörde“ und „Verletzung des Schutzes personenbezogener Daten“ sind in der DSGVO festgelegt.

Personenbezogene Daten oder personenbezogene Daten : bezieht sich auf alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als „identifizierbare natürliche Person“ gilt eine natürliche Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Identifikationsnummer oder auf ein oder mehrere für sie spezifische Elemente, die Signitic im Auftrag des Kunden verarbeitet, um die im Vertrag vorgesehenen Dienstleistungen zu erbringen.

Betroffene Person : bezieht sich auf eine natürliche Person, deren personenbezogene Daten verarbeitet werden.

RGPD : bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

‍

3. Beschreibung der Verarbeitungsvorgänge

Signitic ist berechtigt, im Namen des Kunden die personenbezogenen Daten, die für die Erbringung der im Vertrag vorgesehenen Dienstleistungen erforderlich sind, gemäß der folgenden Beschreibung zu verarbeiten:

a. Arten personenbezogener Daten: Identifikationsdaten, Browserdaten, Anmeldedaten.

b. Kategorien der betroffenen Personen: Mitarbeiter des für die Verarbeitung Verantwortlichen und deren Ansprechpartner;

c. Zweck und Art der Verarbeitung: Der Zweck der Verarbeitung personenbezogener Daten durch Signitic ist die Erbringung von Dienstleistungen für den Kunden, die die Verarbeitung personenbezogener Daten beinhalten. Dies gilt insbesondere für den Service personalisierter E-Mail-Signaturen, die Organisation von Kampagnen, die sich an Nutzer richten, und das Hosting digitaler Visitenkarten. Die Art der Verarbeitung umfasst das Erheben, Extrahieren, Aufzeichnen, Organisieren, Organisieren, Organisieren, Speichern, Speichern, Speichern, Verändern, Abfragen, Verwenden, Kommunizieren durch Übertragung, Strukturierung, Zusammenschaltung, Zusammenschaltung, Vernichtung und Löschung personenbezogener Daten. Personenbezogene Daten unterliegen den in der Vereinbarung festgelegten Verarbeitungstätigkeiten.

D. Dauer der Behandlung: Die Verarbeitungstätigkeiten werden für die im Vertrag vorgesehene Dauer durchgeführt.

4. Pflichten des Kunden

Der Kunde verpflichtet sich:

1. Stellen Sie sicher, dass die Dienste, die er bei Signitic abonniert, die Merkmale und Bedingungen aufweisen, die für die geplante Behandlung erforderlich sind. Daher dienen die dem Kunden zur Verfügung gestellten Informationen insbesondere dazu, ihn in die Lage zu versetzen, die Vereinbarkeit dieser Maßnahmen mit der geplanten Behandlung zu beurteilen;

2. Erhebt unter ihrer Verantwortung auf rechtmäßige, loyale und transparente Weise die personenbezogenen Daten, die Signitic für die Erbringung der Dienste zur Verfügung gestellt werden. Insbesondere wird das Unternehmen die Rechtsgrundlage für diese Erfassung sowie die ordnungsgemäße Einhaltung der Bestimmungen über die Informationen der betroffenen Personen überprüfen, für die es weiterhin verantwortlich ist;

3. Signitic die personenbezogenen Daten zur Verfügung stellen, die für die Erbringung der Dienste erforderlich sind, mit Ausnahme aller personenbezogenen Daten, die irrelevant, unverhältnismäßig oder unnötig sind, und unter Ausschluss „bestimmter“ Daten im Sinne der DSGVO, insbesondere sensibler Daten;

4. Dokumentieren Sie alle Anweisungen zur Verarbeitung personenbezogener Daten. Es wird davon ausgegangen, dass die Nutzungsbedingungen der Dienste und diese Vereinbarung Anweisungen für die durchzuführende Verarbeitung an Signitic darstellen. Zusätzliche Anweisungen oder Ausnahmeregelungen bedürfen der Vereinbarung zwischen den Parteien. Sie müssen bei der Bestellung der Dienste zunächst schriftlich festgelegt werden und können jederzeit mit vorheriger schriftlicher Zustimmung von Signitic auf Wunsch des Kunden in separaten schriftlichen Anweisungen, auch in elektronischer Form, geändert, ergänzt oder ersetzt werden;

5. Stellen Sie im Voraus und während der gesamten Dauer der Verarbeitung sicher, dass Signitic die in der RGPD vorgesehenen Verpflichtungen einhält;

6. Respektieren Sie die Verpflichtungen, die dem für die Verarbeitung Verantwortlichen gemäß der DSGVO obliegen, insbesondere die Rechte der betroffenen Personen.

5. Signifikante Verpflichtungen

Signitic engagiert sich für:

1. Verarbeitung personenbezogener Daten unter den im Vertrag vorgesehenen Bedingungen;
2. Verarbeiten Sie personenbezogene Daten nur auf Grundlage dokumentierter Anweisungen des Kunden gemäß Artikel 4.4, es sei denn, Signitic ist nach dem auf den Vertrag anwendbaren Recht dazu verpflichtet. In diesem Fall wird Signitic den Kunden über diese gesetzliche Verpflichtung informieren, es sei denn, das betreffende Gesetz verbietet solche Informationen aus Gründen des öffentlichen Interesses. Wenn Signitic der Ansicht ist, dass eine Anweisung einen Verstoß gegen die RGPD oder eine andere datenschutzrechtliche Bestimmung des Unionsrechts oder des Rechts der Mitgliedstaaten darstellt, informiert es den Kunden unverzüglich schriftlich;
3. berücksichtigen Sie bei ihren Tools, Produkten, Anwendungen oder Diensten die Grundsätze des Datenschutzes durch Technikgestaltung und des Datenschutzes durch Voreinstellungen;
4. Schulung und Sensibilisierung der Mitarbeiter in Bezug auf den Schutz personenbezogener Daten;
5. Bewahren Sie die Vertraulichkeit personenbezogener Daten und geben Sie sie in keiner Form weiter, außer (i) zum Zwecke der Erbringung der Dienste, der Zwecke und des Vertrags; (ii) in Anwendung einer gesetzlichen oder behördlichen Bestimmung; (iii) zur Beantwortung von Kommunikationsanfragen von Justiz- und/oder Verwaltungsbehörden; (iv) mit vorheriger Zustimmung, Anfrage oder Handlung des Kunden.

Daher stellt Signitic sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind (Mitarbeiter, Partner, Subunternehmer usw.), sich verpflichten, die Vertraulichkeit zu wahren, oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen;

6. Führen Sie Aufzeichnungen über die Kategorien von Verarbeitungstätigkeiten, die im Namen des Kunden gemäß Artikel 30.2 der RGPD durchgeführt wurden;
7. Beantworten Sie alle angemessenen Anfragen des Kunden um Unterstützung bei der Durchführung von Folgenabschätzungen im Zusammenhang mit dem Schutz personenbezogener Daten und bei der Durchführung der vorherigen Konsultation der Aufsichtsbehörde, sofern der Kunde gemäß den geltenden Datenschutzverordnungen/-gesetzen dazu verpflichtet ist und wenn diese Unterstützung erforderlich ist und sich auf die von Signitic betriebene Verarbeitung personenbezogener Daten bezieht.

6. Aufbewahrungsfrist für personenbezogene Daten

Nach Ablauf oder Kündigung der Vereinbarung verpflichtet sich Signitic, personenbezogene Daten gemäß den Bedingungen der Vereinbarung unwiderruflich zu vernichten oder zu anonymisieren, es sei denn, das auf den Vertrag anwendbare Recht schreibt die Aufbewahrung personenbezogener Daten vor.

Je nach Verarbeitung können personenbezogene Daten während des Vertrags unwiderruflich gelöscht oder anonymisiert werden. Dies ist insbesondere der Fall, wenn Signitic dem Kunden im Rahmen seiner Dienste Funktionen zur Verfügung stellt, die es ihm ermöglichen, personenbezogene Daten zu löschen und zu exportieren, oder wenn personenbezogene Daten in Bezug auf den Zweck der jeweiligen Verarbeitung eine begrenzte Speicherdauer haben.

‍‍

‍7. Sicherheit

Signitic ergreift technische und organisatorische Maßnahmen, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, versehentlichem Verlust, Veränderung, Verbreitung oder unberechtigtem Zugriff auf personenbezogene Daten zu schützen, und zwar im Rahmen ihres Eingriffsbereichs und der Mittel, über die Signitic gemäß dem Vertrag verfügt. Diese Maßnahmen sind auf der Website von Signitic beschrieben. Sie müssen sich möglicherweise weiterentwickeln. In diesem Fall verpflichtet sich Signitic, das bestehende Schutzniveau nicht zu verringern und sicherzustellen, dass das Sicherheitsniveau für personenbezogene Daten dem beim Abonnieren der Dienste geltenden Sicherheitsniveau entspricht oder dieses übertrifft. Alle Änderungen mit erheblichen Auswirkungen werden auf der Website veröffentlicht und dem Kunden auf diese Weise zur Kenntnis gebracht. Letzterer ist dafür verantwortlich, regelmäßig die Angemessenheit der Maßnahmen zur Verarbeitung seiner personenbezogenen Daten zu überprüfen.

Der Kunde verpflichtet sich seinerseits, die Sicherheitsmaßnahmen zu ergreifen, die zum Schutz der ihm obliegenden personenbezogenen Daten an seinem Perimeter erforderlich sind, und insbesondere:

1. um die Vertraulichkeit seiner möglichen API-Schlüssel, seiner Identifikatoren und Passwörter oder aller Mittel zu gewährleisten, die es ihm ermöglichen, auf die Dienste zuzugreifen oder sie zu nutzen und Passwörter zu verwenden, die den Regeln der guten Praxis entsprechen;
2. um die Sicherheit der Arbeitsplätze, Geräte und Netzwerke zu gewährleisten, von denen aus ihr Personal und jede von ihnen autorisierte Person auf die Dienste zugreifen;
3. indem sichergestellt wird, dass System-Patches und Updates installiert werden, indem aktuelle Antivirenprogramme und Firewalls oder ähnliche Systeme installiert werden;
4. durch Werbung für Backups personenbezogener Daten an geeigneten Orten;
5. indem sie ihre Räumlichkeiten schützt, insbesondere durch Einbruchschutzsysteme und Zutrittskontrollen, die regelmäßig überprüft werden, wobei je nach Risiko zwischen den Gebäudebereichen unterschieden wird (Beispiel: Computerraum), dem Personal je nach betrieblichen Bedürfnissen Zutritt gewährt wird und der Grundsatz der geringsten Privilegien eingehalten wird;
6. um seine Mitarbeiter, Benutzer und andere autorisierte Personen im Bereich des Schutzes personenbezogener Daten zu schulen; usw.

8. Verantwortung

Signitic kann nur für Schäden haftbar gemacht werden, die durch eine Verarbeitung verursacht wurden, für die (i) Signitic die in der DSGVO vorgesehenen Verpflichtungen, die speziell Subunternehmern obliegen, nicht eingehalten hat oder für die (ii) Signitic außerhalb oder entgegen den gesetzlichen Anweisungen des Kunden gehandelt hat. In solchen Fällen wird ausdrücklich darauf hingewiesen, dass die in der Vereinbarung genannten Bestimmungen über die Haftung von Signitic gelten.

‍

9. Prüfung

Auf seiner Website stellt Signitic die wichtigsten Maßnahmen vor, die Signitic ergreift, um nachzuweisen, dass es seinen Verpflichtungen nachkommt. Der Kunde kann alle angemessenen zusätzlichen Informationen anfordern, indem er sich an die Dienste von Signitic wendet. Der Kunde kann jegliche Überprüfung (Audit), einschließlich insbesondere der Implementierung von Pentest, durchführen lassen oder von einem beauftragten Dritten durchführen lassen, der kein Wettbewerber der Gruppe ist, zu der Signitic gehört, und der zur Vertraulichkeit verpflichtet ist, um die tatsächliche Einhaltung dieser Datenschutzvereinbarung sicherzustellen. In diesem Zusammenhang treffen sich Signitic und der Kunde im Vorfeld, um gemeinsam die Betriebs- und Sicherheitsbedingungen für eine technische Inspektion vor Ort oder aus der Ferne zu vereinbaren. Der Kunde allein trägt alle mit den Audits/Inspektionen verbundenen Kosten. In jedem Fall sollten die Auditbedingungen die Datensicherheit anderer Kunden von Signitic nicht beeinträchtigen und das normale Funktionieren der Aktivitäten von Signitic nicht stören.

‍

10. Rechte der betroffenen Personen

Recht auf Information. Es liegt in der Verantwortung des Kunden, die von den Verarbeitungsvorgängen betroffenen Personen unter den in der RGPD und insbesondere in den Artikeln 13 und 14 vorgesehenen Bedingungen zu informieren.

Ausübung von Rechten. Es liegt in der Verantwortung des Kunden, auf Anfragen zur Ausübung der Rechte der betroffenen Personen zu antworten (Auskunftsrecht, Berichtigung, Löschung und Widerspruch, Einschränkung der Verarbeitung, Datenübertragbarkeit, Nichtgegenstand einer automatisierten Einzelentscheidung usw.).

Signitic verpflichtet sich, den Kunden unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen so weit wie möglich auf Anfrage des Kunden bei der Erfüllung seiner Verpflichtung zu unterstützen, Anfragen zur Ausübung der Rechte der von der Verarbeitung betroffenen Personen zu beantworten, sofern dem Kunden die über die Dienste zur Verfügung stehenden Informationen oder Tools nicht zur Verfügung stehen. Der Kunde bleibt allein verantwortlich für die erteilte Antwort und für die daraus resultierenden Maßnahmen gegenüber und in Bezug auf die betroffenen Personen.

Im Falle von Anfragen zur Ausübung von Rechten oder Beschwerden von betroffenen Personen, die direkt an Signitic gerichtet sind, verpflichtet sich Signitic, diese so schnell wie möglich an den Kunden zu senden.

11. Verletzung des Schutzes personenbezogener Daten

Wenn Signitic Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, wird es den Kunden so schnell wie möglich per E-Mail benachrichtigen. Die Mitteilung an den Kunden enthält mindestens:

• die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der von der Verletzung betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze personenbezogener Daten;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der zusätzliche Informationen erhältlich sind;
• die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
• die Maßnahmen, die als Reaktion auf die Situation ergriffen wurden oder ergriffen werden können.

12. Nachträgliche Untervergabe

Signitic kann mit der Durchführung bestimmter Verarbeitungstätigkeiten andere Subunternehmer beauftragen („Nachverarbeiter“ — Anlage 1), was der Kunde akzeptiert. Der Kunde akzeptiert und genehmigt, dass Signitic jeden Subunternehmer auf dieser Liste oder in anderen Dokumenten als solche einsetzt.

Signitic hat mit jedem seiner Subunternehmer einen Vertrag abgeschlossen, der im Wesentlichen dieselben Verpflichtungen enthält, denen es gemäß der DPA unterliegt. Wenn der Subunternehmer seinen Datenschutzverpflichtungen nicht nachkommt, haftet Signitic gegenüber dem Kunden weiterhin in vollem Umfang.

Signitic kann verpflichtet werden, Änderungen in Bezug auf die Hinzufügung oder Ersetzung anderer Subunternehmer vorzunehmen. In diesem Fall benachrichtigt Signitic den Kunden mindestens 30 Kalendertage vor der tatsächlichen Änderung per E-Mail und gibt dabei den Namen, die Adresse und die Rolle des/der neuen Subunternehmer (s) an. Der Kunde kann dieser Änderung widersprechen, indem er die betreffenden Dienste spätestens 30 Tage nach dem Datum der Absendung der Benachrichtigung, in der der Kunde über die bevorstehende Änderung informiert wird, kündigt. Im Falle einer Kündigung aus diesem Grund und innerhalb dieser Frist erhält der Kunde eine Rückerstattung der im Voraus gezahlten Gebühren, die jedoch für den verbleibenden Zeitraum der betreffenden Dienste nach dem Datum des Inkrafttretens der Kündigung nicht in Anspruch genommen wurden. Letzteres erfolgt nach Erhalt der Benachrichtigung durch Signitic. Bevor der Kunde mit einer solchen Kündigung fortfährt, kann er etwaige Einwände bei Signitic geltend machen. Die Parteien werden vernünftigerweise mögliche Alternativen erörtern, um die von den Einwänden betroffenen Subunternehmer auszuschließen. In jedem Fall verlängern diese Verhandlungen nicht die dem Kunden eingeräumte Kündigungsfrist. Signitic ist gegenüber dem Kunden auch nicht verpflichtet, auf den geplanten Wechsel des oder der Subunternehmer zu verzichten. Kündigt der Kunde nicht innerhalb der erwarteten Frist, wird davon ausgegangen, dass der Kunde der Hinzufügung oder dem Austausch von Subunternehmern oder Subunternehmern zugestimmt hat.

Jeder in diesem Artikel vorgesehene Widerspruch/Kündigungsmitteilung muss an folgende Adresse gesendet werden: rgpd@signitic.com.

‍

13. Datenübertragungen

Der Kunde wird darüber informiert und akzeptiert, dass Signitic im Rahmen der Erbringung der Dienstleistungen personenbezogene Daten an Unternehmen seiner Gruppe weitergeben kann. Diese Übertragungen sind für die Erbringung der Dienste unbedingt erforderlich und auf interne Verwaltungszwecke beschränkt.

Wenn gemäß dem Vertrag personenbezogene Daten außerhalb der Europäischen Union in ein Land übertragen werden, das nicht Gegenstand einer Angemessenheitsentscheidung ist, wird dann eine Vereinbarung gemäß den Standardvertragsklauseln oder, nach Wahl von Signitic, ein anderer geeigneter Garantiemechanismus, der in der DSGVO vorgesehen ist, umgesetzt.

14. Kontaktinformationen — Benachrichtigung

Bei Fragen zu seinen personenbezogenen Daten kann sich der Kunde nach seiner Wahl an folgende Adresse wenden:

- Kundenservice oder

- die Rechtsabteilung per E-Mail: rgpd@signitic.com, oder

- der Datenschutzbeauftragte, per Post: SIGNITIC, Datenschutzbeauftragter, Datenschutzbeauftragter, Parc d'Activites des Quatre Vents, 3 Avenue Antoine Pinay, 59510 HEM oder per E-Mail: dpo@signitic.com.

Wenn der Kunde eine Benachrichtigung über die Ausführung dieser Datenschutzvereinbarung an eine bestimmte E-Mail-Adresse erhalten möchte, kann er seine Anfrage an die folgende E-Mail-Adresse senden: rgpd@signitic.com. Andernfalls wird jegliche Kommunikation im Zusammenhang mit diesem DPA an die Hauptkontakt-E-Mail-Adresse des Kunden gesendet, die Signitic als Teil der Services bekannt ist.