Addendum al trattamento dei dati
Lesen Sie die deutsche Version hier
All'accordo di servizio ("Accordo di servizio") da e tra il Partner come definito nell'Accordo di Servizio - di seguito il "Titolare del trattamento" - e Quandoo Switzerland GmbH, c/o ECOVIS ws&p ag, Mühlebachstrasse 2, 8008 Zurigo - di seguito il "Responsabile del trattamento" - singolarmente la "Parte", congiuntamente le "Parti"
1. Ambito
Il Responsabile del trattamento dei dati è un fornitore di servizi di prenotazione di ristoranti e di altri servizi correlati, compresa la comunicazione al cliente relativa alla prenotazione, nonché l'accesso a un database per gestire le prenotazioni di ristoranti e i dati relativi a tali prenotazioni (il "Database") (congiuntamente i "Servizi").
Il responsabile del trattamento dei dati è interamente di proprietà di Quandoo GmbH, KulturBrauerei, Schönhauser Allee 36, 10435 Berlino, che agisce come ulteriore responsabile per il trattamento di tutti i dati necessari. Per questa relazione tra il responsabile del trattamento dei dati e Quandoo GmbH sono stati stipulati appositi accordi di condivisione dei dati interaziendali.
Il Titolare del trattamento è proprietario di un ristorante e ha sottoscritto i servizi del Responsabile del trattamento nel momento della stipula dell'accordo di servizio. Per quanto riguarda la fornitura dei Servizi, il Responsabile del trattamento tratta i dati personali inseriti dal Titolare del trattamento nel database per conto del Titolare del trattamento.
Il presente addendum al trattamento dei dati ("Addendum") contiene gli obblighi delle Parti in materia di protezione dei dati, che sorgono in relazione al trattamento dei dati da parte del Responsabile del trattamento per conto del Titolare del trattamento.
2. Descrizione del trattamento
Il Responsabile del trattamento dei dati elabora i dati personali del Titolare come segue:
2.1 Oggetto, scopo e tipo di trattamento
L'oggetto e lo scopo del trattamento è la messa a disposizione del Database per consentire al Titolare di gestire le richieste di prenotazione e di conservare i dati relativi ai commensali all'interno del Database, nonché la fornitura dei Servizi. Il Responsabile del trattamento dei dati invia alcune comunicazioni per conto del Titolare del trattamento dei dati via e-mail o SMS al cliente sullo stato della rispettiva prenotazione.
2.2 Durata del trattamento
La durata del presente Addendum deve corrispondere alla durata dell'Accordo di Servizio.
2.3 Tipo di dati
I seguenti tipi/categorie di dati sono inclusi nei dati trattati:
• Nome e Cognome
• Indirizzo e-mail
• Recapiti telefonici
• Dettagli della prenotazione
• Osservazioni speciali o richieste inserite dal responsabile dei dati
• Nome e indirizzo e-mail dei dipendenti del Titolare del trattamento se aggiunti per concedere l'accesso al Database.
2.4 Categorie delle persone interessate
Le seguenti persone sono interessate dal trattamento dei dati:
• Clienti
• Dipendenti del Titolare del trattamento dei dati
3. Diritti e obblighi del Titolare del trattamento
3.1. Il Titolare e il Responsabile del trattamento dei dati sono ciascuno responsabili del rispetto e della conformità alle leggi applicabili in materia di protezione dei dati per quanto riguarda i dati da trattare. In particolare, per quanto riguarda il Titolare del trattamento, egli accetta di:
3.1.1 avere il controllo esclusivo e la responsabilità di determinare quali dati personali il Responsabile del trattamento può trattare in relazione al Contratto di servizio e al presente Addendum, e di fornire chiare istruzioni per iscritto al Responsabile del trattamento;
3.1.2. avere la responsabilità di assicurare che gli interessati abbiano ricevuto informazioni sufficienti, in conformità con tutte le leggi applicabili sulla protezione dei dati, riguardo al trattamento dei loro dati personali; e
3.1.3 essere responsabile di assicurare che ci sia una base legale per il trattamento dei dati personali degli interessati, compreso l'ottenimento di tutti i consensi necessari quando richiesto, in conformità con le leggi sulla protezione dei dati.
3.2. Il Titolare del trattamento dei dati informerà prontamente il Responsabile del trattamento dei dati qualora scoprisse errori e/o irregolarità riguardanti le leggi applicabili sulla protezione dei dati durante il periodo effettivo del trattamento dei dati.
4. Obblighi del Responsabile del trattamento dei dati
4.1. Il Responsabile del trattamento dei dati elaborerà i dati solo nell'ambito delle istruzioni del titolare del trattamento dei dati come concordato contrattualmente.
4.1.1 Il trattamento da parte del Responsabile del trattamento dei dati sarà completato secondo le istruzioni del titolare del trattamento dei dati. Il presente Addendum e l'Accordo di Servizio contengono generalmente le istruzioni del Titolare del trattamento. Tuttavia, il titolare dei dati si riserva il diritto di impartire per iscritto ragionevoli istruzioni supplementari sulla natura, l'estensione e il metodo di trattamento dei dati. Nel caso in cui il Responsabile del trattamento non sia in grado o non voglia rispettare queste istruzioni aggiuntive, egli ha il diritto di rescindere il presente Addendum e l'Accordo di servizio dandone comunicazione scritta al Titolare del trattamento.
4.1.2 Il trattamento dei dati personali da parte del Responsabile del trattamento e dei sub-incaricati avrà luogo (i) all'interno del territorio dell'Unione Europea o del SEE e (ii) all'interno dei territori di paesi terzi che offrono un livello di protezione dei dati sufficientemente comparabile al diritto dell'UE o (iii) quando il trattamento dei dati personali si basa su garanzie contrattuali come le clausole contrattuali standard dell'UE o regole aziendali vincolanti. Qualsiasi altro trasferimento a un paese terzo richiede un consenso preventivo e una rispettiva istruzione da parte del titolare dei dati, nonché il rispetto dei requisiti di legge per il trasferimento dei dati a un paese terzo. Un'eccezione è fatta quando il Responsabile del trattamento dei dati è obbligato per legge a trasferire i dati al paese terzo. In questo caso, il Responsabile del trattamento dovrà notificare al Titolare tali requisiti legali prima dell'inizio del trattamento (a condizione che la legge pertinente non vieti tale comunicazione). Se deve essere assunto un sub-incaricato, questi requisiti si applicano in aggiunta alle disposizioni della sezione 8.
4.1.3. Il Responsabile del trattamento notificherà per iscritto al Titolare del trattamento (è sufficiente un'e-mail all'indirizzo di posta elettronica specificato nel contratto di servizio) se ritiene che un'istruzione impartita dal Titolare del trattamento sia in violazione delle disposizioni di legge. Il Responsabile del trattamento è autorizzato a sospendere l'esecuzione delle rispettive istruzioni fino a quando il Titolare del trattamento non le abbia confermate o modificate per iscritto al Responsabile del trattamento.
4.1.4. Il Responsabile del trattamento elabora i dati esclusivamente ai fini dell'accordo di servizio e nell'ambito delle istruzioni. Il Responsabile del trattamento non può utilizzare i dati per i propri scopi o trasmetterli a terzi, a meno che non sia richiesto da un obbligo legale.
4.2. Il Responsabile del trattamento dei dati progetta i propri processi interni per garantire il rispetto dei requisiti specifici della protezione dei dati nell'ambito di responsabilità del Responsabile del trattamento dei dati e la protezione dei diritti delle persone interessate. Il Responsabile del trattamento dei dati implementa le misure tecniche e organizzative di cui alla sezione 5 del presente documento per proteggere adeguatamente i dati dall'uso improprio e dalla perdita.
4.3. Il Responsabile del trattamento dei dati nominerà un responsabile della privacy se richiesto dalla legge.
4.4. Il Responsabile del trattamento dei dati affida l'elaborazione dei dati di cui al presente addendum solo ai dipendenti che sono stati vincolati alla riservatezza e che hanno precedentemente preso conoscenza delle disposizioni sulla protezione dei dati rilevanti per il loro lavoro.
4.5. Il Responsabile del trattamento dei dati informerà prontamente il Titolare del trattamento in caso di violazioni dei dati relativi al trattamento dei dati del Titolare del trattamento ai sensi del presente Addendum.
4.6. Il Responsabile del trattamento e il Titolare del trattamento coopereranno con tutte le autorità di controllo che hanno giurisdizione sulle questioni di cui al presente Addendum. Nella misura in cui il Titolare del trattamento è soggetto a un'ispezione da parte di un'autorità di controllo, a un'infrazione amministrativa o sommaria o a una procedura penale, a un reclamo di responsabilità da parte di un soggetto interessato o di terzi o a qualsiasi altro reclamo in relazione al trattamento dei dati da parte del Responsabile del trattamento, il Responsabile del trattamento fornirà tutta la cooperazione ragionevole al Titolare del trattamento a spese di quest'ultimo.
4.7. Entro 30 giorni dalla scadenza del presente Addendum e/o su richiesta del Titolare del trattamento, il Responsabile del trattamento dovrà cancellare tutti i dati personali che sono stati forniti ai sensi del presente Addendum.
4.8. Il Responsabile del trattamento dei dati assiste il Titolare del trattamento nell'adempimento degli obblighi relativi alla sicurezza del trattamento dei dati personali, agli obblighi di notifica delle violazioni dei dati all'autorità competente o agli interessati, alle valutazioni d'impatto sulla protezione dei dati e alle consultazioni preventive.
4.9. Il Responsabile del trattamento dei dati può richiedere un ragionevole indennizzo per i servizi di supporto che non sono inclusi nella descrizione dei servizi, in particolare le valutazioni di impatto sulla protezione dei dati e le consultazioni preventive, e che non sono attribuibili a mancanze da parte del Responsabile del trattamento dei dati.
5. Misure tecnico-organizzative
5.1 Il Responsabile del trattamento dei dati si attiene ai principi di una corretta elaborazione dei dati ed esegue tutte le misure concordate in relazione al trattamento contrattuale dei dati personali del titolare dei dati. Il Responsabile del trattamento separa i dati elaborati da altri inventari di dati. Il Responsabile del trattamento dei dati adotta le opportune misure contrattuali e tecnico-organizzative richieste dalla legge e garantisce così che il trattamento dei dati sia conforme alle disposizioni di legge e alla tutela dei diritti delle persone interessate. Le misure devono in particolare includere adeguati controlli di sicurezza dei dati per garantire un livello di protezione adeguato al rischio in relazione alla riservatezza, all'integrità, alla disponibilità e alla resilienza del sistema e devono considerare le migliori pratiche, i costi di attuazione e la natura, la portata e la finalità del trattamento, nonché la diversa probabilità di accadimento e la gravità del rischio per i diritti e le libertà delle persone fisiche. Le misure tecnico-organizzative descritte nell'appendice 1 fanno parte del presente addendum e sono concordate in modo vincolante.
5.2 Le misure tecnico-organizzative possono essere adattate dal Responsabile del trattamento nel corso della relazione contrattuale, a seconda dello sviluppo tecnico e organizzativo. Il Responsabile del trattamento dei dati può attuare misure alternative adeguate a questo scopo. In questo senso, il livello di sicurezza delle misure alternative deve essere almeno pari a quello delle misure specificate.
6. Diritto di ispezione del Titolare del trattamento
6.1. Con un preavviso non inferiore a 30 giorni lavorativi e non più di una volta per anno contrattuale, il Titolare del trattamento ha il diritto di assicurarsi dell'adeguatezza delle misure tecniche e organizzative adottate dal Responsabile del trattamento nei locali del Responsabile del trattamento durante il normale orario di lavoro, senza interrompere le operazioni commerciali e previa conclusione di un accordo di non divulgazione. Il Titolare del trattamento dei dati rimborserà al Responsabile del trattamento dei dati il tempo speso per tali verifiche in loco. Prima dell'inizio di tale verifica in loco, il Titolare del trattamento dei dati e il Responsabile del trattamento dei dati concorderanno reciprocamente la portata, i tempi e la durata di tale verifica, oltre al tasso di rimborso per il quale il Titolare del trattamento dei dati sarà responsabile.
6.2 Il Titolare del trattamento accetta che, in deroga alla precedente sezione 6.1, il Responsabile del trattamento possa mettere a disposizione del Titolare del trattamento copie di certificazioni o rapporti che dimostrino la conformità del Responsabile del trattamento alle norme di sicurezza dei dati prevalenti applicabili al trattamento dei dati personali del Titolare del trattamento.
7. Diritti degli interessati
7.1 Il Titolare del trattamento dei dati è esclusivamente responsabile dell'adempimento dei diritti legali delle persone interessate, compresi, senza limitazione, l'informazione, la divulgazione, la cancellazione o la spuntando/blocco e il trasferimento dei loro dati personali. Il Responsabile del trattamento non può decidere o soddisfare le richieste rivoltegli dalle persone interessate, a meno che non sia richiesto dal Responsabile del trattamento.
7.2 Se una persona interessata si rivolge direttamente al Responsabile del trattamento, quest'ultimo inoltra prontamente la richiesta al Titolare del trattamento. Se, in base alle disposizioni della legge sulla protezione dei dati, il Titolare del trattamento dei dati è obbligato a fornire a un individuo informazioni sulla raccolta, il trattamento o l'utilizzo dei dati personali, il Responsabile del trattamento dei dati assisterà il Titolare del trattamento dei dati nella fornitura di tali informazioni, a condizione che il Responsabile del trattamento dei dati ne abbia fatto richiesta per iscritto e rimborserà al Responsabile del trattamento i costi sostenuti.
8. Sub-incaricati
8.1. Il Titolare del trattamento riconosce e accetta che il Responsabile del trattamento dei dati possa impiegare dei Sub-incaricati in relazione alla fornitura dei Servizi.
8.2. Come condizione per autorizzare i sub-incaricati, il Responsabile del trattamento dei dati stipulerà un accordo scritto con ciascun sub-incaricato contenente obblighi di protezione dei dati che forniscono almeno lo stesso livello di protezione di quelli contenuti nel presente Addendum.
8.3. Un elenco aggiornato dei sub-incaricati è accessibile tramite il link Subincaricati. Il Titolare del trattamento consente espressamente l'ingaggio dei sub-incaricati come indicato nella suddetta homepage. Il Responsabile del trattamento dei dati può aggiornare di tanto in tanto questo elenco. Il Titolare del trattamento dei dati è obbligato a rivedere continuamente l'elenco. Il consenso all'ingaggio di un nuovo sub-incaricato viene preso in considerazione se il Titolare del trattamento non si oppone all'ingaggio di un nuovo sub-incaricato tramite notifica via e-mail all'indirizzo dataprotection@quandoo.com non più tardi due settimane prima della data di avvio come specificato nella suddetta homepage.
8.4. Il Titolare del trattamento ha il diritto di opporsi all'assunzione di un nuovo sub-incaricato solo per motivi importanti e dovrà indicare tali motivi nella suddetta notifica al Responsabile del trattamento. Il Responsabile del trattamento dei dati ha il diritto di rescindere il presente addendum e l'accordo di servizio in questo caso.
8.5. Il Responsabile del trattamento dei dati sarà responsabile degli atti e delle omissioni dei suoi sub-incaricati nella stessa misura in cui il Responsabile del trattamento sarebbe responsabile se eseguisse direttamente i servizi di ciascun sub-incaricato ai sensi dei termini del presente Addendum.
9. Responsabilità
9.1 In conformità con le disposizioni di legge e le norme statutarie, il Responsabile del trattamento è responsabile nei confronti del Titolare del trattamento per tutti i danni causati dalla propria violazione colposa del presente Addendum, o dalla violazione degli obblighi di legge in materia di protezione dei dati, causati dal Titolare del trattamento, dai suoi dipendenti o da terzi che agiscono per suo conto, durante la fornitura dei servizi contrattuali. Il Responsabile del trattamento non è responsabile se può dimostrare di aver trattato i dati forniti dal Titolare del trattamento esclusivamente in conformità alle istruzioni del Titolare del trattamento e agli obblighi in termini di leggi applicabili sulla protezione dei dati specificamente imposti al Responsabile del trattamento.
9.2 Il Titolare del trattamento indennizzerà e manterrà indenne il Responsabile del trattamento da tutte le pretese avanzate nei suoi confronti da terzi, basate sulla violazione colposa da parte del Titolare del trattamento del presente Addendum o dei requisiti applicabili in materia di protezione dei dati.
9.3 La responsabilità del Titolare del trattamento dei dati nei confronti del Responsabile del trattamento dei dati si estende alle multe imposte al Responsabile del trattamento dei dati, nella misura in cui queste sono basate sulla violazione degli obblighi di protezione dei dati da parte del Titolare del trattamento dei dati. Se in seguito a tale violazione degli obblighi da parte del Titolare del trattamento dei dati viene inflitta una multa al Responsabile del trattamento dei dati, il Titolare del trattamento dei dati indennizzerà il Responsabile del trattamento dei dati contro la multa; l'importo dell'indennizzo si basa sulla quota di responsabilità nel singolo caso. Il Titolare del trattamento è responsabile dell'importo pari alla sua quota di responsabilità per la violazione sanzionata dalla multa. Al Titolare del trattamento spetta l'onere di dimostrare che la violazione sanzionata non è basata su una violazione del dovere del Titolare del trattamento dei dati e questi non è responsabile della violazione.
9.4 La suddetta responsabilità del Titolare del trattamento ai sensi della sezione 3 è subordinata all'immediata notifica al Responsabile del trattamento, per iscritto, di qualsiasi evento che faccia scattare la responsabilità, all'incapacità/mancato riconoscimento della presunta violazione da parte del Responsabile del trattamento e al fatto che il Responsabile del trattamento conduca eventuali controversie, giudiziarie o extra-giudiziarie, solo di comune accordo con il Titolare del trattamento. In particolare, il Titolare del trattamento può esigere che il Responsabile del trattamento interpelli i tribunali per controllare le notifiche di sanzioni emesse, per cui il Titolare del trattamento è tenuto a rimborsare al Responsabile del trattamento i costi e le spese sostenute per tale processo per un importo pari alle spese legali.
10. Varie
10.1. Nel caso in cui i dati del Titolare del trattamento siano in pericolo a causa di un'esecuzione forzata o di una confisca, di una procedura di insolvenza o di altri eventi simili, il Responsabile del trattamento dei dati ne informerà prontamente il Titolare del trattamento.
10.2. Tutte le modifiche e gli emendamenti del presente Addendum devono essere fatti per iscritto e firmati da entrambe le parti.
10.3. Se una qualsiasi disposizione del presente Addendum dovesse essere o diventare non valida o inapplicabile, la validità delle restanti disposizioni rimarrà inalterata. La disposizione inefficace o inapplicabile sarà sostituita da una disposizione che più si avvicina al suo significato e scopo.
10.4. In caso di conflitto tra l'Accordo di Servizio e il presente Addendum, prevarrà il presente Addendum.
10.5. Il presente Addendum sarà regolato e interpretato in conformità con le leggi Italiane e i tribunali di Milano avranno giurisdizione esclusiva.
Appendice 1 dell'Addendum: Misure tecniche e organizzative
Descrizione delle misure di sicurezza tecniche e organizzative attuate dal Responsabile del trattamento:
1. Controllo dell'ingresso
Misure per impedire a persone non autorizzate di accedere ai sistemi di trattamento dei dati che elaborano o utilizzano dati personali
☒ Sistema di allarme
☒ Sistema di controllo automatico degli ingressi
☒ Sistema di chiusura con barriera a codice.
☐ Sistema di chiusura biometrico
☐ Barriere luminose / rilevatori di movimento
☒ Regola della chiave (emissione della chiave, ecc.)
☐ Registrazione dei visitatori
☐ Attenta selezione del personale di guardia
☒ Pass per i visitatori
☒ Protezione delle cassette dell'edificio
☒ Sistema di chiusura a scheda chip/transponder
☒ Sistema di chiusura manuale
☐ Videosorveglianza delle entrate
☒ Serrature di sicurezza
☒ Controllo delle persone da parte del portiere/all'ingresso
☐ Attenta selezione del personale di pulizia
☐ Obbligo di indossare i permessi di autorizzazione
2. Controllo dell'accesso
Misure per evitare che i sistemi di trattamento dei dati siano utilizzati senza autorizzazione
☒ Assegnazione di permessi utente
☒ Assegnazione della password
☒ Autenticazione con nome utente e password
☒ Serrature per l'alloggiamento
☒ Blocco delle interfacce esterne (USB ecc.)
☒ Regola della chiave (emissione della chiave, ecc.)
☐ Registrazione dei visitatori
☒ Attenta selezione del personale di guardia
☐ Uso di sistemi di rilevamento delle intrusioni
☒ Crittografia dei contenuti degli smartphone
☒ Uso di software anti-virus
☐ Uso di un firewall hardware
☒ Creazione di profili utente
☐ Autenticazione con procedure biometriche
☒ Assegnazione di profili utente ai sistemi informatici
☒ Uso della tecnologia VPN
☒ Serrature di sicurezza
☒ Controllo delle persone da parte del portiere/all'ingresso
☐ Attenta selezione del personale di pulizia
☐ Obbligo di indossare i permessi di autorizzazione
☒ Crittografia dei portatori di dati mobili
☐ Uso di un software di amministrazione centralizzata dello smartphone (ad esempio, per la cancellazione esterna dei dati)
☒ Crittografia dei supporti dati nei computer portatili/notebook
☒ Uso di un firewall software
3. Controllo dei permessi
Misure per garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati abbiano accesso solo ai dati a cui hanno diritto di accesso e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento o l'uso e dopo la conservazione
☒ Creare un concetto di autorizzazione
☒ Numero di amministratori ridotto al "minimo necessario"
☒ Registrazione dell'accesso alle applicazioni, in particolare durante l'inserimento, la modifica e la cancellazione dei dati
☒ Cancellazione fisica dei supporti dati prima del riutilizzo
☒ Uso di trituratori o fornitori di servizi (se possibile con etichetta di protezione dei dati)
☒ Crittografia dei supporti di dati
☒ Gestione dei diritti da parte dell'amministratore di sistema
☒ Linee guida per la password, compresa la lunghezza della password e il cambio della stessa
☒ Archiviazione sicura dei supporti dati
☒ Distruzione corretta dei supporti dati (EN 15713 o DIN 32757)
☒ Registrazione della distruzione
4. Controllo della trasmissione
Misure per garantire che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione o il trasporto elettronico, e che sia possibile controllare e stabilire a quali enti è previsto il trasferimento di dati personali per mezzo di strutture di trasmissione dati
☒ Uso di linee affittate o tunnel VPN
☐ Crittografia delle e-mail
☐ Documentazione dei destinatari dei dati e dei periodi di tempo del trasferimento previsto e dei periodi di clearance concordati
☐ Con il trasporto fisico: selezione accurata del personale di trasporto e dei veicoli
☒ Trasferimento di dati in forma anonima o pseudonimizzati
☐ Creazione di una panoramica dei processi di sondaggio e trasferimento regolari
☐ Con il trasporto fisico: contenitori/imballaggi per il trasporto sicuro
5. Controllo dell'ingresso
Misure per garantire che sia possibile controllare e stabilire se e da chi i dati personali sono stati inseriti nei sistemi di trattamento dei dati, modificati o rimossi
☒ Registrazione dell'inserimento, della modifica e della cancellazione dei dati
☒ Comprensibilità di inserimento, modifica e cancellazione di dati da parte di singoli utenti (non gruppi di utenti)
☒ Assegnazione di diritti per inserire, modificare e cancellare dati sulla base di un concetto di autorizzazione
☐ Creare una panoramica con cui le applicazioni che i dati possono essere inseriti, modificati e cancellati
☐ Conservazione di moduli da cui i dati sono stati trasferiti al trattamento automatizzato
6. Controllo del lavoro (solo se i subappaltatori sono istruiti)
Misure per garantire che, in caso di trattamento commissionato di dati personali, i dati siano trattati rigorosamente secondo le istruzioni del committente o "Titolare"
☒ Selezione del subappaltatore ai sensi della due diligence (in particolare per quanto riguarda la sicurezza dei dati)
☒ Istruzioni scritte al subappaltatore (ad es. tramite un contratto sul trattamento dei dati per conto)
☒ Il subappaltatore ha nominato un responsabile della protezione dei dati
☒ Diritti di controllo effettivi contro il subappaltatore concordati
☐ Pena per le violazioni
☒ Esame preventivo e documentazione delle misure tecniche e organizzative adottate dal subappaltatore
☒ Obbligo di segretezza dei dipendenti del subappaltatore
☒ Assicurare la distruzione dei dati dopo il completamento dell'ordine
☐ Revisione continua del subappaltatore e delle sue attività
7. Controllo della disponibilità
Misure per assicurare che i dati personali siano protetti dalla distruzione o perdita accidentale
☒ Gruppo di continuità (UPS)
☒ Dispositivi per il monitoraggio della temperatura e dell'umidità nelle sale server
☒ Sistemi di allarme antincendio e antifumo
☐ Messaggio di allarme per accesso non autorizzato alle sale server
☐ Test di recupero dati
☒ Memorizzazione del backup dei dati in un luogo sicuro e remoto
☐ Nelle zone di inondazione: sale server sopra il livello dell'acqua
☒ Aria condizionata nelle sale server
☒ Prese di protezione nelle sale server
☒ Estintori nelle sale server
☒ Creare un concetto di backup e recupero
☐ Creare un piano di emergenza
☒ Sale server non sotto i servizi igienici
8. Requisito di separazione
Misure per assicurare che i dati raccolti per scopi diversi siano trattati separatamente
☒ Separare fisicamente lo storage su sistemi o volumi specifici
☒ Creazione di un concetto di autorizzazione
☐ Fornire i record di dati con attributi/campi di dati specifici
☒ Definizione dei permessi del database
☐ Separazione logica del client (relativo al software)
☐ Crittografia dei record trattati per lo stesso scopo
☒ Con dati pseudonimizzati: separazione del file di assegnazione e archiviazione su un sistema informatico separato e sicuro
☒ Separazione del sistema produttivo e di prova