Parteien und Geltungsbereich
Diese Datenverarbeitungsbedingungen (die DPA) bilden gemäß Artikel 28 DSGVO Verpflichtungen zwischen Dawid Sobolewski, der Konfi Cloud als Einzeldienstleister in Polen betreibt (der Auftragsverarbeiter), und dem Geschäftskunden, der die Konfi Cloud-Bedingungen akzeptiert hat (der Verantwortliche).
Diese Bedingungen gelten automatisch für alle personenbezogenen Daten, die der Kunde oder seine Endbenutzer in einem Konfi Cloud-Arbeitsbereich eingeben, hochladen oder anderweitig verarbeiten. Eine gegengezeichnete Kopie ist auf Anfrage an support@getkonfi.com erhältlich; Die nachstehende produktinterne Version ist das Standardangebot, das gilt, bis eine gegengezeichnete Variante verfügbar ist.
Betreff, Dauer und Kategorien
- Gegenstand: Bereitstellung der Konfi Cloud SaaS-Steuerungsebene und zugehöriger Betreiberunterstützung.
- Dauer: solange der Kunde über ein aktives Konfi Cloud-Konto oder einen aktiven Konfi Cloud-Arbeitsbereich verfügt und während eines schriftlich vereinbarten Aufbewahrungsfensters nach der Kündigung.
- Art und Zweck der Verarbeitung: Hosten, Speichern, Organisieren, Abrufen, Anzeigen, Übertragen und sonstiger Umgang mit Kundendaten, damit der Kunde und seine Endbenutzer Konfi Cloud nutzen können.
- Kategorien betroffener Personen: Mitarbeiter des Kunden, Auftragnehmer, Endkunden, Lieferanten und alle anderen Personen, deren personenbezogene Daten der Kunde in den Arbeitsbereich eingibt.
- Kategorien personenbezogener Daten: Identifikations- und Kontaktdaten, Kontoanmeldeinformationen und Authentifizierungsmetadaten, Geschäfts- und Bestelldaten, Rechnungs- und Steuerdaten, Supportkommunikation und alle anderen personenbezogenen Daten, die der Kunde verarbeiten möchte.
Verarbeitungshinweise
Konfi Cloud verarbeitet personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen, wie in diesen DPA-Bedingungen, den Hauptbedingungen von Konfi Cloud, der Datenschutzrichtlinie, der vom Kunden im Arbeitsbereich gewählten Konfiguration und allen vom Dienstanbieter akzeptierten schriftlichen Anweisungen dargelegt.
Falls das geltende Recht den Dienstanbieter verpflichtet, personenbezogene Daten anderweitig zu verarbeiten, wird der Dienstanbieter den Verantwortlichen vor der Verarbeitung informieren, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
Unterauftragsverarbeiter
Der Verantwortliche ermächtigt den Dienstleister, die auf der Seite „Unterauftragsverarbeiter“ aufgeführten Unterauftragsverarbeiter zu nutzen. Der Dienstanbieter wird diese Liste auf dem neuesten Stand halten und jede beabsichtigte Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters im Voraus über die Website, eine Mitteilung im Produkt oder per E-Mail an die Kontakte des Arbeitsbereichsadministrators bekannt geben.
Der Verantwortliche kann aus berechtigten, DSGVO-bezogenen Gründen innerhalb von 30 Tagen nach Benachrichtigung Einspruch gegen einen neuen Unterauftragsverarbeiter einlegen. Können die Parteien den Einspruch nicht lösen, kann der Verantwortliche die betroffenen Dienste kündigen und eine anteilige Rückerstattung der im Voraus bezahlten, nicht genutzten Gebühren für diese Dienste erhalten.
Sicherheitsmaßnahmen
- Verschlüsselung personenbezogener Daten während der Übertragung (TLS) und im Ruhezustand, sofern die zugrunde liegenden Anbieter sie anbieten.
- Identitäts- und Zugriffsverwaltung mit rollenbasierten Berechtigungen, MFA-Durchsetzung für Bediener- und Administratorrollen und Überwachungsprotokollierung privilegierter Aktionen.
- Netzwerk- und Anwendungsschutz, einschließlich Firebase App Check, Ratenbegrenzung, signierte Webhooks und Isolierung zwischen Steuerungsebene und Mandantenlaufzeitdaten.
- Betriebliche Maßnahmen, einschließlich Produktionszugriff mit den geringsten Privilegien, regelmäßige Rotation der Anmeldeinformationen, Schwachstellenüberwachung, Backups und Reaktion auf Vorfälle.
- Das im Auftrag des Dienstleisters tätige Personal ist zur Verschwiegenheitspflicht verpflichtet.
Anfragen betroffener Personen
Der Dienstleister unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen bei der Erfüllung seiner Pflichten zur Beantwortung von Anfragen betroffener Personen gemäß Kapitel III DSGVO.
Wenn sich eine betroffene Person mit einer Anfrage, die Daten innerhalb eines Kundenarbeitsbereichs betrifft, direkt an den Dienstanbieter wendet, wird der Dienstanbieter die betroffene Person, sofern angemessen, an den zuständigen Verantwortlichen verweisen oder die Anfrage weiterleiten.
Sicherheitsvorfälle und Hilfe
Der Dienstleister unterstützt den Verantwortlichen bei der Sicherstellung der Einhaltung der Artikel 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verstößen, Datenschutz-Folgenabschätzungen und vorherige Konsultation) unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen.
Der Dienstleister benachrichtigt den Verantwortlichen unverzüglich, nachdem er Kenntnis von einem Verstoß gegen den Schutz personenbezogener Daten erlangt hat, der die Daten des Kunden betrifft, und stellt dem Verantwortlichen die Informationen zur Verfügung, die er zur Erfüllung seiner eigenen Meldepflichten benötigt.
Prüfungen
Der Dienstleister stellt dem Verantwortlichen die Informationen zur Verfügung, die zum Nachweis der Einhaltung von Artikel 28 DSGVO erforderlich sind, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorbehaltlich angemessener Vertraulichkeits- und Sicherheitsbeschränkungen.
Die erste Prüfungsebene besteht normalerweise aus der Dokumentation und den Zertifizierungen, die von den entsprechenden Unterauftragsverarbeitern verfügbar sind. Direkte Prüfungen vor Ort können mit angemessener Vorankündigung und auf Kosten des Verantwortlichen veranlasst werden, es sei denn, eine Prüfung ergibt einen wesentlichen Verstoß des Dienstleisters.
Internationale Überweisungen
Einige Unterauftragsverarbeiter verarbeiten personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums, hauptsächlich in den Vereinigten Staaten. Übermittlungen stützen sich auf Angemessenheitsentscheidungen der Europäischen Kommission, sofern sie anwendbar sind (einschließlich des EU-US-Datenschutzrahmens, wenn der Anbieter zertifiziert ist) und auf Standardvertragsklauseln mit ergänzenden Maßnahmen, sofern dies nicht der Fall ist.
Details zum Verarbeitungsort und Übertragungsmechanismus jedes Unterauftragsverarbeiters sind auf der Seite Unterauftragsverarbeiter aufgeführt.
Laufzeit, Kündigung und Löschung
Bei Beendigung der Dienste wird der Dienstleister nach Wahl des Verantwortlichen die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, das geltende Recht erfordert eine weitere Speicherung. Standardmäßige Aufbewahrungsfristen sind in der Datenschutzerklärung beschrieben.
Diese Datenschutzbestimmungen bleiben so lange in Kraft, wie der Dienstleister personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Kontakt
Fragen zu diesen DPA-Bedingungen oder zum Anfordern einer gegengezeichneten Kopie können an support@getkonfi.com gesendet werden.