Zusatz zur zügigen Datenverarbeitung
Datum des Inkrafttretens: 22. August 2024
Dieser Zusatz zur Datenverarbeitung (“DPA„) ergänzt und ist Teil der Vereinbarung zwischen Brisk Labs Corp. (“Flott„) und die Bildungseinrichtung oder (falls zutreffend) ein Lehrer in Bezug auf die Übertragung und Verarbeitung der betroffenen Daten im Zusammenhang mit der Erbringung des Dienstes.
Sofern in dieser DPA nicht anders definiert, haben großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, die in der Vereinbarung festgelegte Bedeutung. Die folgenden großgeschriebenen Begriffe, die in diesem DPA verwendet werden, werden wie folgt definiert:
„Vereinbarung„bezeichnet die zwischen Brisk und dem Kunden getroffene Vereinbarung, die die Bedingungen von https://www.briskteaching.com/terms oder wie anders zwischen den Parteien vereinbart.
„Anwendbare Datenschutzgesetze„bezeichnet alle geltenden Gesetze, Regeln, Vorschriften und behördlichen Anforderungen in Bezug auf den Datenschutz, die Vertraulichkeit oder die Sicherheit personenbezogener Daten, wie sie von Zeit zu Zeit geändert oder auf andere Weise aktualisiert werden können, einschließlich (ohne Einschränkung) der DSGVO.
„Autorisierter Unterauftragsverarbeiter„bezeichnet die in Anlage 4 aufgeführten Unterauftragsverarbeiter und alle anderen gemäß Absatz 7.4 ernannten Unterauftragsverarbeiter.
„Zwecke des Controllers„bedeutet: (a) Durchführung interner Forschungs- und Entwicklungsarbeiten zur Entwicklung, Erprobung, Verbesserung und Änderung der Funktionalität der Produkte und Dienstleistungen von Brisk; (b) Erstellung anonymisierter Datensätze für Schulungen oder Evaluierungen der Produkte und Dienstleistungen von Brisk; und (c) Verwaltung von Kundenkonten im Service und Verwaltung der Beziehung zwischen Brisk und dem Kunden im Rahmen der Vereinbarung, jeweils wie in Anlage 1 näher beschrieben.
„Abgedeckte Daten„bezeichnet personenbezogene Daten, die: (a) Brisk vom oder im Namen des Kunden im Zusammenhang mit der Erbringung des Dienstes zur Verfügung gestellt werden; oder (b) von Brisk oder seinen Vertretern oder Subunternehmern zum Zwecke der Erbringung des Dienstes erhalten, entwickelt, produziert oder anderweitig verarbeitet werden, jeweils wie in Anlage 1 näher beschrieben.
„Kunde„bezeichnet die Bildungseinrichtung oder einen Lehrer, der die Vereinbarung mit Brisk in Bezug auf den Dienst abschließt.
„Datensubjekt„hat die Bedeutung, die ihm in der DSGVO gegeben wird.
„Datum des Inkrafttretens„bezeichnet das Datum, an dem Brisk und der Kunde den Vertrag abschließen.
„DSGVO„bedeutet Verordnung (EU) 2016/679 (die“EU GDPR„) oder, falls zutreffend, die“BRITISCHE GDPR„, wie in Abschnitt 3 (10) des Datenschutzgesetzes 2018 definiert.
„Personenbezogene Daten„hat die Bedeutung, die ihm in der DSGVO gegeben wird.
„Bearbeitung„hat die Bedeutung, die ihm in der DSGVO gegeben wird, und“Prozess„,“Prozesse„und“Verarbeitet„wird entsprechend interpretiert.
„Sicherheitsvorfall„bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff (einschließlich des unbefugten internen Zugriffs auf) der geschützten Daten führt.
„Standardvertragsklauseln„oder“SCCs„bezeichnet die Standardvertragsklauseln, die dem Durchführungsbeschluss (EU) 2021/914 der Kommission als Anlage beigefügt sind und unter https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en.
„Subprozessor„bezeichnet einen Prozessor, der von einem anderen Prozessor beauftragt wird, die Anweisungen des für die Verarbeitung Verantwortlichen auszuführen.
„Schweizerische Datenschutzgesetze„bedeutet das Schweizer Bundesgesetz über den Datenschutz vom 25. September 2020 (“FADP„) und die schweizerische Datenschutzverordnung vom 31. August 2022 (die“Verordnung„) und jede neue oder überarbeitete Version dieser Gesetze, die von Zeit zu Zeit in Kraft treten können.
Die Bedingungen“Steuerung„und“Verarbeiter„haben die Bedeutungen, die ihnen in der DSGVO gegeben wurden.
Diese Datenschutzvereinbarung ist in die Vereinbarung aufgenommen und bildet einen integralen Bestandteil dieser Vereinbarung. Diese Datenschutzvereinbarung ergänzt und ersetzt (im Falle von Widersprüchen) die Vereinbarung in Bezug auf die Verarbeitung der betroffenen Daten.
Die Parteien erkennen an und vereinbaren, dass:
- außer wie in Absatz 3.1 dargelegt, verarbeitet Brisk die erfassten Daten als Verarbeiter bei der Erfüllung seiner Verpflichtungen aus der Vereinbarung und dieser DPA, und der Kunde fungiert als für die Verarbeitung Verantwortlicher; und
- Brisk fungiert als Verantwortlicher in Bezug auf die Verarbeitung der erfassten Daten für die in Anlage 1 genannten Zwecke des für die Verarbeitung Verantwortlichen.
Die Einzelheiten der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung und dieser DPA (einschließlich Gegenstand, Art und Zweck der Verarbeitung, Kategorien personenbezogener Daten und Betroffener) sind in der Vereinbarung und in Anhang 1 dieser DPA beschrieben.
Außer in Bezug auf die Verarbeitung der erfassten Daten für die Zwecke des für die Verarbeitung Verantwortlichen:
- Brisk verarbeitet die abgedeckten Daten nur gemäß den Anweisungen des Kunden und in Übereinstimmung mit den geltenden Datenschutzgesetzen; und
- Die Vereinbarung und diese DPA stellen die Anweisungen an Brisk für die Verarbeitung der betroffenen Daten durch Brisk dar, und der Kunde kann weitere schriftliche Anweisungen gemäß dieser DPA erteilen.
Brisk wird:
- dem Kunden Informationen zur Verfügung zu stellen, die es dem Kunden ermöglichen, Datenschutzfolgenabschätzungen und vorherige Konsultationen mit den Aufsichtsbehörden durchzuführen und zu dokumentieren, die nach den geltenden Datenschutzgesetzen erforderlich sind; und
- Informieren Sie den Kunden unverzüglich, wenn seiner Meinung nach eine Anweisung des Kunden gegen geltende Datenschutzgesetze verstößt.
Der Kunde muss seinen Verpflichtungen aus den geltenden Datenschutzgesetzen nachkommen und sicherstellen, dass:
- alle Anweisungen an Brisk in Bezug auf die Verarbeitung der betroffenen Daten entsprechen den geltenden Datenschutzgesetzen;
- es stellt den betroffenen Personen die Informationen über die Verarbeitung der betroffenen Daten durch Brisk zur Verfügung, wie es nach den geltenden Datenschutzgesetzen erforderlich ist;
- es informiert Brisk umgehend über jede Anfrage einer betroffenen Person zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen.
Brisk wird:
- den Zugriff auf geschützte Daten auf Mitarbeiter beschränken, die aus geschäftlichen Gründen Zugriff auf diese geschützten Daten haben müssen; und
- stellen Sie sicher, dass dieses Personal Verpflichtungen zum Schutz der betroffenen Daten unterliegt, die mindestens genauso schützen wie die Bestimmungen dieses DPA und der Vereinbarung, einschließlich Vertraulichkeitspflichten in Bezug auf alle betroffenen Daten, zu denen es Zugang hat.
Brisk kann abgedeckte Daten überall dort verarbeiten, wo Brisk oder seine Unterauftragsverarbeiter Einrichtungen unterhalten, vorbehaltlich des Restes dieses Absatzes 7 und aller in den SCCs enthaltenen Beschränkungen für Weiterübertragungen.
Der Kunde erteilt Brisk die allgemeine Genehmigung, einen autorisierten Unterauftragsverarbeiter mit der Verarbeitung der abgedeckten Daten zu beauftragen.
Brisk wird:
- mit jedem autorisierten Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die Datenschutzverpflichtungen auferlegt, die die betroffenen Daten im Wesentlichen nicht weniger schützen als die Verpflichtungen von Brisk aus diesem DPA; und
- haften weiterhin für die Einhaltung der Verpflichtungen aus diesem DPA durch jeden autorisierten Unterauftragsverarbeiter.
Brisk wird den Kunden mindestens vierzehn (14) Tage im Voraus über alle vorgeschlagenen Änderungen an die autorisierten Unterauftragsverarbeiter informieren. Der Kunde informiert Brisk gegenüber den autorisierten Unterauftragsverarbeitern, wenn er gegen die vorgeschlagene Änderung Einwände erhebt (einschließlich, falls zutreffend, bei der Ausübung seines Widerspruchsrechts gemäß Klausel 9 (a) der SCCs), indem er Brisk innerhalb von sieben (7) Tagen, nachdem Brisk den Kunden über die vorgeschlagene Änderung informiert hat, schriftlich über den Einspruch informiert (ein“Einspruch„).
Für den Fall, dass der Kunde Einspruch einlegt, werden Brisk und der Kunde nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden, um diesen Einwand auszuräumen. Wenn Brisk und der Kunde nicht in der Lage sind, innerhalb eines angemessenen Zeitrahmens, der dreißig (30) Tage nicht überschreiten darf, eine für beide Seiten akzeptable Lösung zu finden, kann Brisk den Teil der Vereinbarung, der sich auf die von einer solchen Änderung betroffenen Dienste bezieht, durch schriftliche Mitteilung an den Kunden kündigen.
Brisk wird den Kunden unverzüglich über alle Anfragen informieren, die Brisk oder ein autorisierter Unterauftragsverarbeiter von einer betroffenen Person erhalten hat, um ihre Rechte gemäß den geltenden Datenschutzgesetzen in Bezug auf die von Brisk als Verarbeiter oder Unterauftragsverarbeiter verarbeiteten Daten geltend zu machen (a“Anfrage der betroffenen Person„).
Abgesehen von der Verarbeitung der betroffenen Daten durch Brisk für den für die Verarbeitung Verantwortlichen liegt es zwischen Brisk und dem Kunden im alleinigen Ermessen des Kunden, auf die Anfrage der betroffenen Person zu antworten. Brisk beantwortet die Anfrage der betroffenen Person nicht ohne die vorherige Zustimmung des Kunden, mit der Ausnahme, dass Brisk die betroffene Person darüber informieren kann, dass ihre Anfrage an den Kunden weitergeleitet wurde.
Brisk wird dem Kunden angemessene Unterstützung bieten, soweit dies erforderlich ist, damit der Kunde seiner Verpflichtung gemäß den geltenden Datenschutzgesetzen nachkommen kann, auf Anfragen von betroffenen Personen in Bezug auf die betroffenen Daten zu antworten.
Brisk wird angemessene technische und organisatorische Datenschutz- und Sicherheitsmaßnahmen ergreifen und aufrechterhalten, um die Sicherheit der abgedeckten Daten zu gewährleisten, einschließlich, aber nicht beschränkt auf den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung der oder an den abgedeckten Daten.
Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt Brisk die Art, den Umfang, den Kontext und den Zweck der Verarbeitung sowie die Risiken, die mit der Verarbeitung verbunden sind, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder unbefugten Zugriff auf geschützte Daten.
Brisk wird die in Anhang 2 aufgeführten Maßnahmen als Mindeststandard umsetzen und aufrechterhalten.
Der Kunde kann überprüfen, ob Brisk diese DPA in Bezug auf die Verarbeitung der betroffenen Daten einhält. Die Parteien vereinbaren, dass all diese Audits wie folgt durchgeführt werden:
- nicht mehr als jährlich, es sei denn, eine Aufsichtsbehörde, die für die Verarbeitung der betroffenen Daten zuständig ist, oder auf andere Weise gemäß den geltenden Datenschutzgesetzen verlangt, sind häufigere Prüfungen erforderlich;
- nach angemessener schriftlicher Mitteilung an Brisk;
- nur während der normalen Geschäftszeiten von Brisk; und
- auf eine Weise, die das Geschäft oder den Betrieb von Brisk nicht wesentlich stört.
In Bezug auf alle gemäß Absatz 10.3 durchgeführten Prüfungen: etwas Text
- der Kunde kann einen externen Wirtschaftsprüfer mit der Durchführung der Prüfung in seinem Namen beauftragen, mit der Ausnahme, dass Brisk der Beauftragung eines externen Prüfers vernünftigerweise widersprechen kann, wenn dieser dritte Wirtschaftsprüfer ein Konkurrent von Brisk ist; und
- Brisk ist nicht verpflichtet, eine solche Prüfung zu ermöglichen, es sei denn, die Parteien haben den Umfang und den Zeitpunkt einer solchen Prüfung schriftlich vereinbart.
Der Kunde muss Brisk unverzüglich über alle bei einem Audit festgestellten Verstöße informieren.
Die Ergebnisse der Prüfung sind die vertraulichen Informationen von Brisk.
Brisk stellt dem Kunden auf Anfrage oder als Antwort auf eine vom Kunden an Brisk eingereichte Auditanfrage eine der folgenden Informationen zur Verfügung:
- Zertifizierungen zur Einhaltung der Datenschutzvorschriften, ausgestellt von einem allgemein anerkannten Zertifizierungsaussteller, der von einem Datensicherheitsexperten oder einer öffentlich zertifizierten Wirtschaftsprüfungsgesellschaft geprüft wurde, oder
- solche anderen Unterlagen, die die Umsetzung der technischen und organisatorischen Datensicherheitsmaßnahmen gemäß den Industriestandards angemessen belegen.
Wenn ein vom Kunden angefordertes Audit in den von Brisk gemäß Absatz 10.7 bereitgestellten Dokumenten oder Bescheinigungen behandelt wird und:
- die Zertifizierung oder Dokumentation ist innerhalb von zwölf (12) Monaten nach der Auditanfrage des Kunden datiert; und
- Brisk bestätigt, dass keine wesentlichen Änderungen an den geprüften Kontrollen bekannt sind,
Der Kunde erklärt sich damit einverstanden, diese Zertifizierung oder Dokumentation zu akzeptieren, anstatt eine physische Prüfung der Kontrollen durchzuführen, die unter die entsprechende Zertifizierung oder Dokumentation fallen.
Brisk wird den Kunden unverzüglich schriftlich benachrichtigen, nachdem Brisk von einem Sicherheitsvorfall Kenntnis erlangt hat.
Brisk ergreift angemessene Maßnahmen, um jeden Sicherheitsvorfall einzudämmen, zu untersuchen und zu mildern, und sendet dem Kunden rechtzeitig Informationen über den Sicherheitsvorfall, soweit Brisk davon Kenntnis hat oder sobald die Informationen Brisk zur Verfügung stehen, einschließlich, aber nicht beschränkt auf, die Art des Sicherheitsvorfalls, die Maßnahmen zur Minderung oder Eindämmung des Sicherheitsvorfalls und den Status der Untersuchung.
Brisk wird den Kunden (oder gegebenenfalls seinen Kunden) bei der Untersuchung von Sicherheitsvorfällen und allen Verpflichtungen des Kunden (oder gegebenenfalls seiner Kunden) in Bezug auf den Sicherheitsvorfall gemäß den geltenden Datenschutzgesetzen angemessen unterstützen, einschließlich aller Benachrichtigungen an betroffene Personen oder Aufsichtsbehörden.
Die Meldung oder Reaktion von Brisk über einen Sicherheitsvorfall gemäß diesem Absatz 11 darf nicht als Anerkennung eines Fehlers oder einer Haftung in Bezug auf den Sicherheitsvorfall durch Brisk ausgelegt werden.
Diese DPA beginnt am Datum des Inkrafttretens und bleibt, ungeachtet einer Kündigung der Vereinbarung, in Kraft, bis Brisk alle abgedeckten Daten, wie in dieser DPA beschrieben, löscht, und läuft automatisch ab.
Brisk wird:
- wenn der Kunde (gegebenenfalls im Namen seiner Kunden) dazu auffordert, dies innerhalb von dreißig (30) Tagen nach Ablauf der Vereinbarung zu tun (die“Aufbewahrungsfrist„), eine Kopie aller abgedeckten Daten in einem vom Kunden angeforderten gängigen Format bereitzustellen oder eine Self-Service-Funktion bereitzustellen, die es dem Kunden ermöglicht, diese abgedeckten Daten herunterzuladen; und
- Löschen Sie nach Ablauf der Aufbewahrungsfrist alle Kopien der erfassten Daten, die von Brisk oder autorisierten Unterauftragsverarbeitern verarbeitet wurden, mit Ausnahme der erfassten Daten, die Brisk zur Einhaltung des geltenden Rechts, zur Verfolgung oder Verteidigung von Rechtsansprüchen oder für die Zwecke des für die Verarbeitung Verantwortlichen aufbewahren muss.
Die Standardvertragsklauseln gelten, wie in Anlage 3 näher dargelegt, für Übertragungen der abgedeckten Daten vom Kunden an Brisk und sind Teil dieser DPA.
Die Parteien kommen überein, dass die Ausführung der Vereinbarung dieselbe Wirkung hat wie die Unterzeichnung der SCCs.
Senden Sie Werbe-E-Mails gemäß den Einstellungen des Kontoadministrators.
Identifizieren Sie Möglichkeiten, wie Brisk den Service verbessern und Fehler im Service beheben kann.
Bereitstellung von dienstleistungsbezogenen Mitteilungen gemäß den Präferenzen der betroffenen Person.
Bereitstellung von technischem Support in Bezug auf den Service.
Bis zum früheren von:
- Kündigung der Vereinbarung; und
- Schließung des entsprechenden Kontos der betroffenen Person auf dem Dienst, entweder auf Anfrage des für die Verarbeitung Verantwortlichen oder nach 18 Monaten Inaktivität.
Kontostufe, nämlich ob der unabhängige Lehrer ein Premium- oder ein kostenloses Konto für den Dienst verwendet.
Fragen, Kommentare und sonstiger Schriftverkehr im Zusammenhang mit dem Service eingereicht.
Unterrichtete Fächer und Jahrgangsgruppen oder Klassenstufen.
Inhalt und Materialien die über den Dienst erstellt wurden, einschließlich der Änderungen, die an den automatisch durch den Dienst generierten Inhalten vorgenommen wurden.
Webseiten besucht, für die der Dienst aktiviert ist.
Rückmeldung in Bezug auf die durch den Dienst generierten Inhalte.
Das Merkmale und Funktionen im Service verwendet.
Information über die Produktentwicklung und -verbesserung.
Bearbeitung von Abonnementzahlungen.
Bereitstellung von dienstleistungsbezogenen Mitteilungen gemäß den Präferenzen der betroffenen Person.
Bereitstellung von technischem Support in Bezug auf den Service.
Versand von Werbe-E-Mails gemäß den Präferenzen der betroffenen Person.
Information über die Produktentwicklung und -verbesserung.
Bis zum früheren von:
- Kündigung der Vereinbarung; und
- Schließung des entsprechenden Kontos der betroffenen Person auf dem Dienst, entweder auf Anfrage des für die Verarbeitung Verantwortlichen oder nach 18 Monaten Inaktivität.
Interaktion mit Materialien, die über den Service generiert wurden.
Feedback zu hochgeladenen und überprüften Arbeiten durch den Service.
Interaktion mit pädagogischen Chatbots im Service.
Die zuständige Aufsichtsbehörde ist der irische Datenschutzbeauftragte.
Einführung
Brisk setzt eine Kombination aus Richtlinien, Verfahren, Richtlinien sowie technischen und physischen Kontrollen ein, um die von Brisk verarbeiteten personenbezogenen Daten vor versehentlichem Verlust und unbefugtem Zugriff, Offenlegung oder Zerstörung zu schützen.
Unternehmensführung und Richtlinien
Brisk beauftragt das Personal mit der Festlegung, Überprüfung und Umsetzung von Sicherheitsrichtlinien und -maßnahmen.
Flott:
- hat die von ihm ergriffenen Sicherheitsmaßnahmen in einer Sicherheitspolitik und/oder anderen relevanten Richtlinien und Dokumenten dokumentiert;
- überprüft regelmäßig seine Sicherheitsmaßnahmen und -richtlinien, um sicherzustellen, dass sie weiterhin den zu schützenden Daten entsprechen.
Brisk erstellt und befolgt sichere Konfigurationen für Systeme und Software und stellt sicher, dass Sicherheitsmaßnahmen bei der Projektinitiierung und der Entwicklung neuer IT-Systeme berücksichtigt werden.
Reaktion auf Sicherheitsverstöße
Brisk verfügt über einen Plan zur Reaktion auf Datenschutzverletzungen, der entwickelt wurde, um auf Datenschutzverletzungen zu reagieren. Der Plan wird regelmäßig getestet und aktualisiert.
Schutz vor Eindringlingen, Viren und Schadsoftware
Auf den IT-Systemen von Brisk, die zur Verarbeitung personenbezogener Daten verwendet werden, ist eine entsprechende Datensicherheitssoftware installiert, einschließlich branchenüblicher Firewall-, Antiviren-, Anti-Malware- und Angriffserkennungssysteme.
Brisk sammelt, verwaltet und überprüft Ereignisprotokolle, um verdächtige Aktivitäten zu identifizieren.
Zugriffskontrollen
Brisk schränkt den Zugriff auf personenbezogene Daten ein, indem es angemessene Zugriffskontrollen implementiert, darunter:
- Einschränkung der Administratorzugriffsrechte und der Verwendung von Administratorkonten;
- Änderung aller Standardkennwörter vor der Bereitstellung von Betriebssystemen, Ressourcen oder Anwendungen;
- Anforderung einer Authentifizierung und Autorisierung für den Zugriff auf IT-Systeme (d. h. die Benutzer müssen eine Benutzer-ID und ein Passwort eingeben, bevor ihnen der Zugriff auf IT-Systeme gestattet wird);
- Maßnahmen zur Gewährleistung des Zugangs zu IT-Systemen mit den geringsten Rechten;
- angemessene Verfahren zur Kontrolle der Zuweisung und des Widerrufs von Zugriffsrechten auf personenbezogene Daten. Zum Beispiel die Einführung geeigneter Verfahren, um Mitarbeitern den Zugang zu IT-Systemen zu entziehen, wenn sie ihren Arbeitsplatz verlassen oder ihre Rolle wechseln;
- Verwendung der Multifaktor-Authentifizierung für den Zugriff auf Daten auf den Systemen von Brisk;
- automatisches Timeout und Sperren der Benutzerterminals im Leerlauf;
- Der Zugang zum IT-System wird nach mehreren fehlgeschlagenen Versuchen, die korrekten Authentifizierungs- und/oder Autorisierungsdaten einzugeben, gesperrt;
- Überwachung und Protokollierung des Zugriffs auf IT-Systeme;
- Überwachung und Protokollierung von Änderungen an Daten oder Dateien auf IT-Systemen.
Verfügbarkeit und Sicherung personenbezogener Daten
Brisk verfügt über einen dokumentierten Notfallwiederherstellungsplan, der sicherstellt, dass wichtige Systeme und Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederhergestellt werden können. Der Plan wird regelmäßig getestet und aktualisiert.
Brisk erstellt regelmäßig Sicherungskopien von Informationen auf IT-Systemen und bewahrt Backups an getrennten Orten auf. Datensicherungen werden regelmäßig getestet.
Segmentierung personenbezogener Daten
Flott:
- trennt und begrenzt den Zugang zwischen den Netzwerkkomponenten und ergreift gegebenenfalls Maßnahmen, die eine getrennte Verarbeitung (Speicherung, Änderung, Löschung, Übertragung) personenbezogener Daten vorsehen, die für unterschiedliche Zwecke erhoben und verwendet werden;
- verwendet keine Live-Daten zum Testen seiner Systeme.
Entsorgung von IT-Geräten
Flott:
- verfügt über Verfahren zur sicheren Entfernung aller personenbezogenen Daten vor der Entsorgung von IT-Systemen;
- verwendet geeignete Technologien, um Geräte von Daten zu reinigen.
Verschlüsselung
Brisk verschlüsselt Daten im Ruhezustand mit AES-256 und während der Übertragung mit TLS 1.2 oder höher.
Verschlüsselungsschlüssel werden getrennt von den verschlüsselten Informationen gespeichert.
Übertragung oder Transport personenbezogener Daten
Brisk implementiert angemessene Kontrollen, um personenbezogene Daten während der Übertragung oder Übertragung zu schützen, darunter:
- Verschlüsselung bei der Übertragung;
- Protokollierung personenbezogener Daten bei elektronischer Übertragung.
Härtung des Geräts
Brisk stellt sicher, dass alle virtuellen Maschinen gemäß den Benchmarks des Center for Internet Security (CIS) gehärtet sind.
Anlagen- und Softwaremanagement
Brisk führt ein Inventar der IT-Ressourcen und der darauf gespeicherten Daten sowie eine Liste der Eigentümer der entsprechenden IT-Ressourcen.
Flott:
- dokumentiert und implementiert Regeln für eine akzeptable Nutzung von IT-Ressourcen.
- erfordert eine Authentifizierung auf Netzwerkebene und verwendet Client-Zertifikate zur Validierung und Authentifizierung von Systemen;
- setzt automatisierte Patch-Management-Tools und Software-Aktualisierungstools für Betriebssysteme und Software ein;
- überwacht proaktiv Softwareschwachstellen und implementiert umgehend alle Patches, die außerhalb des Zyklus liegen;
- erlaubt nur die Verwendung der neuesten Versionen von vollständig unterstützten Webbrowsern und E-Mail-Clients.
Brisk speichert alle API-Schlüssel sicher, einschließlich der folgenden:
- Brisk speichert API-Schlüssel direkt in seinen Umgebungsvariablen;
- Brisk speichert keine API-Schlüssel auf der Clientseite;
- Brisk veröffentlicht keine API-Schlüsselanmeldeinformationen in Online-Code-Repositorys (ob privat oder nicht); und
- Brisk verwendet API-Schlüsselverwaltungstools, um Anmeldeinformationen für große Entwicklungsprojekte abzurufen und zu verwalten.
Schulung und Sensibilisierung der Mitarbeiter
In den Vereinbarungen mit Mitarbeitern und Auftragnehmern sowie in den Mitarbeiterhandbüchern von Brisk sind die Verantwortlichkeiten des Personals in Bezug auf die Informationssicherheit festgelegt.
Brisk führt durch:
- regelmäßige Schulung der Mitarbeiter zu Fragen der Datensicherheit und des Datenschutzes, die für ihre berufliche Tätigkeit relevant sind, und stellt sicher, dass neue Mitarbeiter vor Beginn ihrer Tätigkeit angemessen geschult werden (im Rahmen der Einführungsverfahren);
- angemessene Überprüfung und Zuverlässigkeitsüberprüfung von Personen, die Zugang zu sensiblen personenbezogenen Daten haben.
Brisk stellt sicher, dass die Verpflichtungen zur Informationssicherheit, die unmittelbar vor der Kündigung oder dem Wechsel des Beschäftigungsverhältnisses gelten, und diejenigen, die nach der Kündigung/dem Wechsel des Beschäftigungsverhältnisses gelten, kommuniziert und umgesetzt werden.
Mitarbeiter unterliegen disziplinarischen Maßnahmen bei Verstößen gegen die Richtlinien und Verfahren von Brisk in Bezug auf Datenschutz und Sicherheit.
Auswahl von Dienstleistern und Beauftragung von Dienstleistungen
Brisk bewertet, ob Dienstanbieter in der Lage sind, ihre Sicherheitsanforderungen zu erfüllen, bevor sie mit ihnen Kontakt aufnehmen.
Brisk hat schriftliche Verträge mit Dienstleistern abgeschlossen, nach denen sie angemessene Sicherheitsmaßnahmen ergreifen müssen, um die personenbezogenen Daten, auf die sie Zugriff haben, zu schützen und die Verwendung personenbezogener Daten gemäß den Anweisungen von Brisk einzuschränken.
Teil 2
Unterstützung bei Anfragen zu Rechten von betroffenen Personen
Brisk hat angemessene Richtlinien und Maßnahmen eingeführt, um Anfragen zu Rechten von betroffenen Personen zu identifizieren und zu bearbeiten, darunter:
- Brisk führt genaue Aufzeichnungen, um alle im Auftrag des Kunden verarbeiteten personenbezogenen Daten schnell identifizieren zu können; und
- Backups personenbezogener Daten, die von Brisk im Auftrag des Kunden verarbeitet werden, werden regelmäßig und in jedem Fall alle dreißig (30) Tage überschrieben, um sicherzustellen, dass Lösch- und Berichtigungsanfragen vollständig bearbeitet werden.
In Bezug auf alle in Klausel 13 genannten Übertragungen sind die Standardvertragsklauseln wie folgt auszufüllen:
Modul Zwei (vom Controller zum Prozessor) oder gegebenenfalls Modul Drei (Prozessor zu Prozessor) der SCCs gelten für die Verarbeitung der betroffenen Daten durch Brisk.
Klausel 7 der Standardvertragsklauseln (Dockingklausel) findet keine Anwendung.
Option 2 von Klausel 9 (a)Allgemeine schriftliche Vollmacht) gilt, und der anzugebende Zeitraum wird in Klausel 7.4 der DPA festgelegt.
Die Option in Klausel 11 (a) der Standardvertragsklauseln (Unabhängige Streitbeilegungsstelle)) gilt nicht.
In Bezug auf Klausel 17 der Standardvertragsklauseln (Geltendes Recht) vereinbaren die Parteien, dass Option 1 zur Anwendung kommt und das geltende Recht irisches Recht sein wird.
In Klausel 18 der Standardvertragsklauseln (Wahl des Gerichtsstands und der Gerichtsbarkeit) unterwerfen sich die Parteien der Gerichtsbarkeit der Gerichte Irlands.
Für die Zwecke von Anhang I der Standardvertragsklauseln enthält Anhang 1 des DPA die Spezifikationen zu den Parteien, die Beschreibung der Übertragung und die zuständige Aufsichtsbehörde.
Für die Zwecke von Anhang II der Standardvertragsklauseln enthält Anhang 2 des DPA die technischen und organisatorischen Maßnahmen.
Dieser Absatz 2 (Nachtrag zum Vereinigten Königreich) gilt für jede Übertragung von abgedeckten Daten vom Kunden (als Datenexporteur) an Brisk (als Datenimporteur), sofern:
- Die britischen Datenschutzgesetze gelten für den Kunden, wenn er diese Übertragung vornimmt; oder
- Bei der Übertragung handelt es sich um eine „Weiterüberweisung“ im Sinne des genehmigten Nachtrags.
Wie in diesem Absatz 2 verwendet:
„Genehmigter Nachtrag„bezeichnet den Musterzusatz, Version B.1.0, der vom britischen Informationskommissar gemäß S119A (1) Data Protection Act 2018 herausgegeben und am 2. Februar 2022 dem britischen Parlament vorgelegt wurde, da er gemäß Abschnitt 18 des genehmigten Nachtrags überarbeitet werden kann.
„Datenschutzgesetze des Vereinigten Königreichs„bezeichnet alle Gesetze in Bezug auf Datenschutz, Verarbeitung personenbezogener Daten, Datenschutz und/oder elektronische Kommunikation, die von Zeit zu Zeit im Vereinigten Königreich gelten, einschließlich der britischen DSGVO und des Datenschutzgesetzes 2018.
Der genehmigte Nachtrag wird in Bezug auf alle in Absatz 2.1 genannten Übertragungen Teil dieses DPA sein, und die Ausführung dieses DPA hat dieselbe Wirkung wie die Unterzeichnung des genehmigten Nachtrags.
Der genehmigte Nachtrag gilt wie folgt als abgeschlossen: irgendein Text
- Der „Zusatz EU SCC“ bezieht sich auf die SCCs, wie sie gemäß Klausel 13 und diesem Anhang 3 in dieses Abkommen aufgenommen wurden;
- Tabelle 1 des genehmigten Nachtrags wird mit den Angaben in Abschnitt A von Schema 1 vervollständigt;
- Die „Anhangsinformationen“ beziehen sich auf die in Anlage 1 und Anlage 2 aufgeführten Informationen
- für die Zwecke von Tabelle 4 des Genehmigten Nachtrags kann Brisk (als Datenimporteur) dieses DPA beenden, soweit der genehmigte Nachtrag gilt, gemäß Abschnitt19 des Genehmigten Nachtrags; und
- Abschnitt 16 des genehmigten Nachtrags gilt nicht.
Dieser Schweizer Zusatz gilt für jede Verarbeitung von erfassten Daten, die den schweizerischen Datenschutzgesetzen unterliegt.
Interpretation dieses Addendums
- Wenn in diesem Nachtrag Begriffe verwendet werden, die in den Standardvertragsklauseln definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den Standardvertragsklauseln. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:
„Nachtrag„bedeutet diesen Zusatz zu den Klauseln;
„Klauseln„bezeichnet die Standardvertragsklauseln, wie sie gemäß Absatz 13 in dieses DPA aufgenommen wurden und in diesem Anhang 3 näher spezifiziert sind; und
„FDPIC„bedeutet den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
- Dieser Nachtrag ist in einer Weise zu lesen und auszulegen, die mit den schweizerischen Datenschutzgesetzen vereinbar ist und die Verpflichtungen der Parteien gemäß Artikel 16 Absatz 2 Buchstabe d des FADP erfüllt.
- Dieser Zusatz darf nicht so ausgelegt werden, dass er den in den schweizerischen Datenschutzgesetzen vorgesehenen Rechten und Pflichten widerspricht.
- Jede Bezugnahme auf Rechtsvorschriften (oder bestimmte gesetzliche Bestimmungen) bedeutet, dass sich diese Gesetzgebung (oder bestimmte Bestimmung) im Laufe der Zeit ändern kann. Dies gilt auch für den Fall, dass diese Gesetzgebung (oder spezifische Bestimmung) nach Abschluss dieses schweizerischen Nachtrags konsolidiert, neu erlassen und/oder ersetzt wurde.
- In Bezug auf die Verarbeitung personenbezogener Daten, die den schweizerischen Datenschutzgesetzen unterliegen, ändert und ergänzt dieser Nachtrag die Klauseln, soweit dies für ihre Funktionsfähigkeit erforderlich ist: etwas Text
- für Übertragungen des Datenexporteurs an den Datenimporteur, soweit die schweizerischen Datenschutzgesetze für die Verarbeitung des Datenexporteurs bei dieser Übertragung gelten; und
- als Standarddatenschutzklauseln, die vom EDÖB für die Zwecke des Artikels 16 Absatz 2 Buchstabe d des FADP genehmigt, ausgestellt oder anerkannt wurden.
Hierarchie
Im Falle eines Konflikts oder einer Inkonsistenz zwischen diesem Zusatz und den Bestimmungen der Klauseln oder anderer verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieses Zusatzes bestanden, haben die Bestimmungen Vorrang, die den betroffenen Personen den größtmöglichen Schutz bieten.
Änderungen der Klauseln
- Soweit die Verarbeitung personenbezogener Daten durch den Datenexporteur ausschliesslich den schweizerischen Datenschutzgesetzen unterliegt oder die Übertragung personenbezogener Daten von einem Datenexporteur an einen Datenimporteur gemäß den Klauseln eine „Weiterübertragung“ ist (wie in den Klauseln definiert, geändert durch den Rest dieses Absatzes 3.3 (a)), werden die folgenden Änderungen an den Klauseln vorgenommen:
- Verweise auf die „Klauseln“ oder die „SCCs“ beziehen sich auf diesen Schweizer Nachtrag, da er die SCCs ändert.
- Klausel 6 Beschreibung der Übertragung (en) wird ersetzt durch:
- „Die Einzelheiten der Übertragung (en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und die Zwecke, für die sie übertragen werden, sind in Anhang 1 dieses DPA aufgeführt, in dem die schweizerischen Datenschutzgesetze für die Verarbeitung des Datenexporteurs bei dieser Übertragung gelten.“
- Verweise auf „Verordnung (EU) 2016/679" oder „diese Verordnung“ oder „GDPR“ werden durch „Schweizer Datenschutzgesetze“ ersetzt, und Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679" oder „GDPR“ werden durch den entsprechenden Artikel oder Abschnitt der geltenden schweizerischen Datenschutzgesetze ersetzt.
- Verweise auf die Verordnung (EU) 2018/1725 werden gestrichen.
- Verweise auf „Europäische Union“, „Union“, „EU“ und „EU-Mitgliedstaat“ werden alle durch „Schweiz“ ersetzt.
- Klausel 13 (a) und Teil C des Anhangs I werden nicht verwendet; die „zuständige Aufsichtsbehörde“ ist der EDÖB;
- Klausel 17 wird durch folgenden Wortlaut ersetzt: „Diese Klauseln unterliegen schweizerischem Recht“.
- Klausel 18 wird durch folgenden Wortlaut ersetzt: „Alle Streitigkeiten, die sich aus diesen Klauseln im Zusammenhang mit den schweizerischen Datenschutzgesetzen ergeben, werden von den Gerichten der Schweiz beigelegt. Eine betroffene Person kann auch vor den Gerichten der Schweiz, in der sie ihren gewöhnlichen Aufenthalt hat, rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur einleiten. Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.“