GDPR-Einhaltung
HOW4 ist GDPR-konform. Nachstehend können Sie die Datenverarbeitungsvereinbarung des Unternehmens lesen.
Vereinbarung zur Datenverarbeitung
Artikel 1. Begriffsbestimmungen
"Persönliche Daten" bezieht sich auf alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
"Für die Verarbeitung Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
"Datenverarbeiter" bezieht sich auf die Stelle, die im Namen des für die Datenverarbeitung Verantwortlichen handelt.
"Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich, die Verknüpfung, das Sperren, das Löschen oder die Vernichtung personenbezogener Daten.
"Übermittlung personenbezogener Daten" bedeutet die Verarbeitung, die materielle Übermittlung oder den Fernzugriff auf personenbezogene Daten von Stellen mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR).
"Verletzung der Privatsphäre" bezieht sich auf eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
Artikel 2. Verarbeitung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen
(1) Menschen Ausbeute hält sich bei der Verarbeitung der personenbezogenen Daten der verantwortlichen Stelle an alle geltenden Datenschutzgesetze. Die personenbezogenen Daten der verantwortlichen Stelle umfassen Kategorien personenbezogener Daten der Mitarbeiter der verantwortlichen Stelle, die im Rahmen des Hauptvertrags Zugang zu den Dienstleistungen von People Yield erhalten: Namen, E-Mail-Adresse, IP-Adresse, Telefonnummer, Position, Arbeitgeber, persönliche Ziele des Mitarbeiters, Schlüsselergebnisse und Aufgaben.
(2) People Yield verarbeitet personenbezogene Daten der verantwortlichen Stelle nur auf dokumentierte Anweisung der verantwortlichen Stelle, es sei denn, die Verarbeitung ist durch die geltenden Gesetze, denen People Yield unterliegt, vorgeschrieben. People Yield ist es untersagt, die personenbezogenen Daten des für die Verarbeitung Verantwortlichen für andere Zwecke als die Erbringung der Dienstleistungen im Rahmen des Hauptvertrags und nur für die im Hauptvertrag vereinbarte Dauer zu verwenden oder anderweitig zu verarbeiten.
(3) People Yield wird die personenbezogenen Daten des für die Verarbeitung Verantwortlichen nicht an Dritte weitergeben oder zur Verfügung stellen, es sei denn, dies geschieht gemäß den Bestimmungen von Art. 4 dieser Datenverarbeitungsvereinbarung oder in Fällen, in denen eine Verpflichtung nach den geltenden Datenschutzgesetzen besteht.
Artikel 3. Personal von People Yield
(1) People Yield ergreift angemessene Maßnahmen, um die Zuverlässigkeit seiner Mitarbeiter, Vertreter oder Auftragnehmer, die Zugang zu den personenbezogenen Daten des für die Verarbeitung Verantwortlichen haben, zu gewährleisten.
(2) People Yield stellt in jedem Fall sicher, dass der Zugang zu den personenbezogenen Daten der verantwortlichen Stelle strikt auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten der verantwortlichen Stelle kennen und/oder darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags und zur Einhaltung der geltenden Gesetze im Rahmen der Pflichten dieser Person gegenüber People Yield unbedingt erforderlich ist, wobei sicherzustellen ist, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen.
Artikel 4. Sicherheit der personenbezogenen Daten des für die Verarbeitung Verantwortlichen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung der personenbezogenen Daten der verantwortlichen Stelle sowie der Risiken für die Rechte und Freiheiten natürlicher Personen, insbesondere des Risikos einer Verletzung der personenbezogenen Daten der verantwortlichen Stelle, ergreift People Yield in Bezug auf die personenbezogenen Daten der verantwortlichen Stelle geeignete technische und organisatorische Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten.
Artikel 5. Ernennung von Unterauftragsverarbeitern
(1) Der für die Verarbeitung Verantwortliche ermächtigt People Yield, gemäß diesem Artikel Unterauftragsverarbeiter (der "Unterauftragsverarbeiter") zu bestellen. Jeder Unterauftragsverarbeiter ist ebenfalls berechtigt, Unterauftragsverarbeiter zu bestellen, sofern die Einschränkungen dieses Artikels eingehalten werden.
(2) People Yield unterrichtet den für die Verarbeitung Verantwortlichen vorab schriftlich über die Ernennung neuer Unterauftragsverarbeiter, einschließlich aller Einzelheiten zu den Verarbeitungstätigkeiten, die der Unterauftragsverarbeiter durchführen wird.
(3) Der für die Verarbeitung Verantwortliche verfügt über eine Frist von 3 Werktagen nach Erhalt der schriftlichen Mitteilung über die Beauftragung eines Unterauftragsverarbeiters, um der vorgeschlagenen Beauftragung des Unterauftragsverarbeiters schriftlich zu widersprechen. Wenn People Yield in einem solchen Fall nicht in der Lage ist, die Dienstleistungen im Zusammenhang mit der Datenverarbeitung im Rahmen des Hauptvertrags selbst zu erbringen, kann People Yield den Hauptvertrag einseitig und fristlos kündigen. Erhebt der für die Verarbeitung Verantwortliche innerhalb der gesetzten Frist keinen Einspruch, so gilt der Unterauftragsverarbeiter als vom für die Verarbeitung Verantwortlichen genehmigt.
(4) People Yield wird keine personenbezogenen Daten des für die Verarbeitung Verantwortlichen an Unterauftragsverarbeiter weitergeben, die noch nicht von dem für die Verarbeitung Verantwortlichen benachrichtigt und genehmigt wurden. People Yield schließt einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab, um die Beziehung zwischen beiden zu regeln. Der Vertrag muss den Anforderungen von Artikel 28, Absatz. 3 der Datenschutz-Grundverordnung (DSGVO) entsprechen und Bedingungen enthalten, die mindestens das gleiche Schutzniveau für die personenbezogenen Daten der verantwortlichen Stelle bieten wie die in dieser Datenverarbeitungsvereinbarung festgelegten. Wenn die Beauftragung eines Unterauftragsverarbeiters die Übermittlung personenbezogener Daten des Verantwortlichen in Drittländer beinhaltet, muss People Yield die von der Europäischen Kommission angenommenen Standard-Datenschutzklauseln in den Vertrag mit dem Unterauftragsverarbeiter aufnehmen.
(5) People Yield kann die personenbezogenen Daten des für die Verarbeitung Verantwortlichen weiterhin nutzen und Unterauftragsverarbeitern, die von People Yield zum Zeitpunkt des Abschlusses dieser Datenverarbeitungsvereinbarung bereits beauftragt wurden, Zugang zu diesen Daten gewähren.
Die Liste der Unterauftragsverarbeiter von People Yield umfasst: Seeweb.
Artikel 6. Pflichten der Ausgebenden gegenüber dem für die Verarbeitung Verantwortlichen
(1) People Yield benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, wenn sie oder einer ihrer Unterauftragsverarbeiter eine Anfrage einer betroffenen Person erhalten hat, die ihre Rechte in Bezug auf die personenbezogenen Daten des für die Verarbeitung Verantwortlichen gemäß den geltenden Datenschutzgesetzen ausüben möchte. People Yield wird den für die Verarbeitung Verantwortlichen in angemessener Weise bei der Beantwortung solcher Anfragen unterstützen.
(2) People Yield stellt sicher, dass es oder einer seiner Unterauftragsverarbeiter nicht auf Anfragen der betroffenen Person antwortet, es sei denn, dies geschieht auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen oder gemäß den geltenden Gesetzen, denen People Yield oder der jeweilige Unterauftragsverarbeiter unterliegt. Falls die Beantwortung der Anfrage nach geltendem Recht erforderlich ist, unterrichtet People Yield oder der Unterauftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Beantwortung der Anfrage in dem nach diesem Recht zulässigen Umfang über diese rechtliche Verpflichtung.
(3) People Yield unterstützt den für die Verarbeitung Verantwortlichen auf dessen Kosten in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit den zuständigen Datenschutzbehörden, die der für die Verarbeitung Verantwortliche nach vernünftigem Ermessen gemäß Art. 35 und Art. 36 der Datenschutz-Grundverordnung (DSGVO) für erforderlich hält.
Artikel 7. Verletzung des Schutzes personenbezogener Daten
(1) People Yield benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, wenn People Yield oder einer seiner Unterauftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die die personenbezogenen Daten des für die Verarbeitung Verantwortlichen betreffen. People Yield stellt dem für die Verarbeitung Verantwortlichen ausreichende Informationen zur Verfügung, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den für den für die Verarbeitung Verantwortlichen geltenden Datenschutzgesetzen nachkommen kann.
(2) People Yield kooperiert mit dem für die Verarbeitung Verantwortlichen und unternimmt die vom für die Verarbeitung Verantwortlichen angeordneten angemessenen geschäftlichen Schritte, um den für die Verarbeitung Verantwortlichen bei der Untersuchung, Eindämmung und Behebung der Verletzung des Schutzes personenbezogener Daten zu unterstützen.
Artikel 8. Löschung der personenbezogenen Daten des für die Verarbeitung Verantwortlichen
(1) People Yield wird unverzüglich und in jedem Fall innerhalb von 9 Monaten nach Beendigung der Dienstleistungen, die die Verarbeitung der personenbezogenen Daten des Verantwortlichen beinhalten, die Daten so löschen, dass sie nicht wiederhergestellt werden können, und für die Löschung aller Kopien der personenbezogenen Daten des Verantwortlichen sorgen, die für die Dienstleistungen im Rahmen des Hauptvertrags verarbeitet wurden.
(2) Ungeachtet des vorstehenden Absatzes darf People Yield die personenbezogenen Daten der verantwortlichen Stelle nur in dem Umfang und für die Dauer aufbewahren, wie es die geltenden Datenschutzgesetze vorschreiben. In jedem Fall gewährleistet People Yield die Vertraulichkeit der personenbezogenen Daten des Datenverantwortlichen und stellt sicher, dass diese personenbezogenen Daten des Datenverantwortlichen ausschließlich zu dem Zweck verarbeitet werden, der in den geltenden Gesetzen, die die Speicherung der personenbezogenen Daten des Datenverantwortlichen vorschreiben, festgelegt ist.
Artikel 9. Prüfungsrechte
(1) People Yield stellt dem für die Verarbeitung Verantwortlichen auf dessen Anfrage hin alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser Datenverarbeitungsvereinbarung erforderlich sind. People Yield wird Prüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen von diesem beauftragten Prüfer im Zusammenhang mit der Verarbeitung personenbezogener Daten des für die Verarbeitung Verantwortlichen durch People Yield zulassen und dazu beitragen. Alle mit dem Audit verbundenen Kosten sind von der verantwortlichen Stelle zu tragen.
(2) Der Controller kündigt People Yield einen Monat im Voraus an, indem er einen detaillierten Prüfungsplan für jede durchzuführende Prüfung oder Inspektion vorlegt. Der Controller und die von ihm beauftragten Prüfer unternehmen alle zumutbaren Anstrengungen, um Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal und dem Geschäftsbetrieb von People Yield zu vermeiden (oder, falls dies nicht möglich ist, zu minimieren), während sich das Personal im Rahmen einer solchen Prüfung oder Inspektion in diesen Räumlichkeiten aufhält. Die Audits und Inspektionen finden während der normalen Geschäftszeiten von People Yield statt.
(3) Wenn der beantragte Prüfungsumfang in einem Prüfungsbericht behandelt wird, der von einem qualifizierten externen Prüfer innerhalb von zwölf Monaten nach dem Prüfungsantrag des Controllers erstellt wurde, und wenn People Yield bestätigt, dass es keine bekannten wesentlichen Änderungen bei den geprüften Kontrollen gibt, erklärt sich der Controller bereit, diese Feststellungen zu akzeptieren, anstatt eine Prüfung der in dem Bericht behandelten Kontrollen zu beantragen.
Artikel 10. Internationale Überweisungen
(1) People Yield ist verpflichtet, den für die Verarbeitung Verantwortlichen im Voraus über die Drittländer zu informieren, in die People Yield personenbezogene Daten des für die Verarbeitung Verantwortlichen übermitteln darf, und verpflichtet sich, alle zusätzlichen angemessenen Anweisungen des für die Verarbeitung Verantwortlichen im Zusammenhang mit einer solchen Verarbeitung zu befolgen. Zum Zeitpunkt des Abschlusses dieser Datenverarbeitungsvereinbarung ermächtigt der für die Verarbeitung Verantwortliche People Yield ausdrücklich, personenbezogene Daten des für die Verarbeitung Verantwortlichen in die Vereinigten Staaten von Amerika zu übermitteln.
Artikel 11. Sonstiges
(1) Diese Datenverarbeitungsvereinbarung unterliegt italienischem Recht und die italienischen Gerichte sind für alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Datenverarbeitungsvereinbarung ergeben, ausschließlich zuständig.
(2) Sollte eine Bestimmung dieser Datenverarbeitungsvereinbarung für ungültig oder nicht durchsetzbar erklärt werden, so bleibt der Rest dieser Datenverarbeitungsvereinbarung gültig und in Kraft. Die unwirksame oder undurchführbare Bestimmung ist so zu ändern, dass ihre Wirksamkeit und Durchführbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben.
People Yield srl.
Corso Europa, 15
20122 Mailand (Italien)