Saal Digital Fotoservice GmbH

Zeppelinstraße 36, 91187 Röttenbach

1 Dados do contrato
2 Revisão e conclusão

Contrato de processamento de dados


Detalhes principais do Contrato
common.please_select
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Vertragstext

Contrato para o tratamento pelo subcontratante em conformidade com o artigo 28, parágrafo. 3 do Regulmento Geral de Proteção de Dados (RGPD)



Entre o responsável do tratamento:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– Cliente –

e o subcontratante do tratamento:
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen
Alemanha
– Fornecedor –

Preâmbulo


Neste acordo são especificadas as obrigações legais em matérias de proteção de dados das partes contratante que são ocasionadas pela responsabilidade do tratamento que se descreve neste acordó e no Anexo A. É de aplicação em qualquer actividade que esteja relacionada com a prestação do serviço e pelos trabalhadores do fornecedor ou terceiros contratados pelo fornecedor que possam entrar em contacto com os dados pessoais do cliente.
Os acordos particulares neste acordo de proteção de dados prevalecem sobre as Condições gerais de venda.

§ 1. Definições


(1) Dados de carácter pessoal
Segundo o artigo 4, parágrafo 1 do RGPD são considerados dados pessoais toda a informação que tenha relação com uma pessoa física identificada ou identificável (referido em diante como “o interesado”); será considerada pessoa física identificável toda a pessoa cuja identidade possa ser determinada, directa ou indirectamente, em particular mediante um identificador, como por exemplo um nome, um número de identificação, dados de localização, um identificador online o um ou varios elementos próprios de identidade física, fisiológica, genética, psíquica, económica, cultural ou social de tal pessoa.


(2) Subcontratante do tratamento
Segundo o artigo 4, parágrafo 8 do RGPD, um subcontratante é uma pessoa física ou jurídica, autoridade pública, serviço ou outro organismo que trate de dados pessoais por conta do responsável pelo tratamento.


(3) Instrução
Uma instrução é um requerimento, geralmente por escrito, do cliente relacionado com um tratamento concreto a nível de proteção de dados que o fornecedor leva a cabo com os dados pessoais (por exemplo conservação, pseudonimização, eliminação, publicação). As instruções são dadas pelo cliente e podem ser modificadas, completadas ou substituídas por instruções específicas. As instruções do cliente são enviadas por escrito ou por email.

§ 2 Objecto, duração e especificação do subcontratante de tratamento
Neste acordo ficam estabelecidos o objecto e duração do tratamento, assim como o tipo e finalidade do tratamento. Em particular, forma parte esencial do tratamento de dados o detalhado de dados do Anexo A.

Este acordo é de aplicação até que seja revogado. A sua revogação deverá ser efectuada por escrito.

§ 3 Âmbito de aplicação e responsabilidade
O fornecedor realiza um tratamento dos dados pessoais a pedido do cliente, que compreende as tarefas que são indicadas neste acordo. O cliente é o único responsável em virtude deste acordo pelo cumprimento das disposições em materia de proteção de dados, especialmente da legalidade da cedência de dados ao fornecedor, assim como da legalidade do tratamento de dados ("Responsável" no sentido do art. 4, núm. 7 del RGPD).

§ 4 Obrigações do fornecedor
(1) O fornecedor está autorizado a efectuar um tratamento dos dados dos interesados exclusivamente segundo o pedido e de acordo com as instruções do cliente, salvo que exista um caso excepcional segundo o disposto no artigo 28, parágrafo 3, a. O fornecedor informará o cliente de imediato se considerar que uma instrução está em desacordo com as leis vigentes. O fornecedor está autorizado a suspender a execução da instrução até que o cliente a confirme ou modifique.

(2) O fornecedor adaptará a organização interna da empresa dentro do seu ámbito de responsabilidade para que cumpra com os requerimentos específicos em matéria de proteção de dados. Aplicará medidas técnicas e organizativas para a adequada proteção dos dados do cliente de tal forma que satisfaçam as exigências do Regulamento Geral de Proteção de Dados (artigo 32 do RGPD). O fornecedor está obrigado a aplicar medidas técnicas e organizativas para assegurar a largo prazo a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de tratamento. O cliente conhece esta medidas técnicas e organizativas e responsabiliza-se que estas ofereçam um nível de proteção adequado frente aos riscos dos dados a tratar.
O fornecedor reserva-se ao direito de modificar as medidas de segurança em questão, embora deva garantir que o nível de proteção acordado não seja afectado.

(3) O fornecedor ajudará, por assim estar acordado e dentro das suas posibilidades, o cliente no cumprimento dos pedidos e reclamações de interesados de acordo com o capítulo III do RGPD, assim como no cumprimento das obrigações constantes no artigo 33 até ao 36 do RGPD.

(4) O fornecedor garantirá que se proíba o tratamento dos dados à margem da instrução aos empregados que se ocupem do tratamento dos dados do cliente e a outras pessoas que trabalhem para o fornecedor. Assim, o fornecedor garantirá que as pessoas autorizadas para tratar dados pessoais se tenham comprometido a respeitar a confidencialidade ou estejam sujeitas a uma obrigação de confidencialidade de natureza estatutária. A obrigação de confidencialidade ou segredo deverá ser cumprida também após a finalização do acordo.

(5) O fornecedor informará o cliente sem mais demoras quando tenha conhecimento de infrações na segurança dos dados pessoais do cliente.

O fornecedor aplicará as medidas necessárias para assegurar os dados e minimizar as possíveis consequências prejudiciais para os interessados. Para tal, deverá entrar em acordo sem mais demora com o cliente.

(6) O fornecedor designará uma pessoa de contacto para o cliente em caso de dúvidas sobre a proteção de dados que estejam abrangidos por este acordo.

(7) O fornecedor garantirá que se cumpram as obrigações derivadas do artigo 32, parágrafo 1, letra d para implantar um processo de verificação regular da eficácia das medidas técnicas e organizacionais com o objectivo de garantir a segurança do tratamento.

(8) O fornecedor rectificará ou eliminará os dados objecto do acordo se assim o indica o cliente e se a instrução assim o contempla. Caso não seja possível levar a cabo uma eliminação ou correspondente limitação do tratamento que digam respeito à proteção de dados, o fornecedor será responsável por destruir os suportes de armazenamento de dados ou qualquer outro material respeitando a normativa de proteção de dados ou devolverá esses suportes de armazenamento ao cliente, a menos que tal não tenha sido acordado anteriormente.
Nos casos especiais determinados pelos cliente, se for realizada uma conservação ou entrega, deverá ser acordado em cada caso uma remuneração e as medidas de proteção.

(9) Os dados, suportes de armazenamento, assim como qualquer outro tipo de material serão entregues ou eliminados na finalização do contrato a pedido do cliente.

(10) No caso de um requerimento do cliente por um interessado em relação a alguma possível reclamação segundo o disposto no artigo 82 do RGPD, o fornecedor ficará obrigado a providenciar apoio ao cliente na defesa contra a reclamação dentro das suas possibilidades.

§ 5 Obrigações do cliente
(1) O cliente terá que informar o fornecedor sem demora e exaustivamente se se aperceber nos resultados do acordo de erros ou irregularidades relativamente à normativa de proteção de dados.

(2) Em caso de um requerimento do cliente por um interessado em relação com alguma possível reclamação segundo o disposto no artigo 82 do RGPD, é de aplicação o § 4, secção 10.

(3) O cliente designará uma pessoa de contacto para o fornecedor em caso de dúvidas sobre a proteção de dados que se circunscrevam a este acordo.

§ 6 Pedidos de interessados
Caso um interessado entre em contacto com o fornecedor para solicitar a rectificação, eliminação ou informação, o fornecedor porá em contacto o interessado com o cliente, sempre que seja possível relacioná-lo com o cliente de acordo com a informação providenciada pelo interessado. O fornecedor reenviará a petição do interessado ao cliente sem mais demora. O fornecedor colaborará com o cliente dentro das suas possibilidades em relação à instrução se assim tiver sido acordado. O fornecedor não se responsabilizará caso a solicitação do interessado fique sem resposta, não seja respondida com exactidão ou não seja respondida pelo fornecedor dentro de prazo.

§ 7 Opções de comprovação
(1) O fornecedor demontrará ao cliente, através de meios adequados, que cumpre com as obrigações estabelecidas neste acordo.

(2) No caso contracto de que seja necessário levar a cabo uma inspeção por parte do cliente ou de um dos seus auditores contratados, terá lugar dentro do horário comercial habitual sem alterar o normal funcionamento da empresa, com agendamento prévio e dando um prazo razoável. O fornecedor pode por como condição que exista agendamento prévio com a antecedência suficiente e que se assine um acordo de confidencialidade em relação aos outros dados de outros clientes e às medidas técnicas e organizacionais implementadas. No caso de que o auditor contratado pelo cliente se encontre em relação de competição com o fornecedor, o fornecedor terá o direito a um recurso face a este. O fornecedor está habilitado para solicitar uma remuneração por colaborar com a realização de uma inspecção. A utilização da inspecção fica limitada, regra geral, por um dia por ano natural.

(3) No caso que uma autorizade de controlo encarregada da protecção de dados ou algum outro tipo de autoridade de controlo pública realize uma inspecção, será de aplicação a secção 2. Não será necessário assinar um acordo de confidencialidade se esta autoridade de controlo estiver sujeita a segredo profisisonal ou legal no qual seja punível uma infração segundo o código penal.

§ 8 Subcontratantes (outros encarregados do tratamento)
(1) A utilização de subcontratantes como outros encarregados de tratamento está permitido exclusivamente se o cliente deu o seu consentimento prévio.

(2) Uma relação sujeita a consentimento com subcontratantes tem lugar quando o fornecedor contrata outros fornecedores para prestar parte ou a totalidade do serviço determinado neste acordo. O fornecedor entrará em acordos com estes terceiros no necessário para garantir a manutenção de medidas adequadas em matéria de proteção de dados e segurança da informação.
Os serviços acordados ou os serviços parciais descritos de seguida são prestados com a colaboração dos seguintes subcontratantes:

Nome e sede social do subcontratante
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlim (Alemanha)
Centro informático na região de AWS em Frankfurt, Alemanha (centro informático)

Descrição dos serviços prestados parcialmente
-Correcção de imagem
-Tratamento prévio de impressão
-Armazenamento de dados

Antes de apoiar-se noutros ou substituir os subcontratantes indicados anteriormente, o fornecedor solicitará o consentimento do cliente, embora este não possa denegar sem indicar um motivo de peso apoiado na normativa de proteção de dados.

(3) No caso de que o fornecedor delegue acções a subcontratantes, o fornecedor ficará obrigado a transferir para o subcontratante as suas obrigações derivadas da normativa de proteção de dados e deste acordo.

§ 9 Dever de informação, exigência da forma escrita, sistema jurídico aplicável
(1) No caso de que os dados do cliente se vejam expostos devido a um embargo ou apreensão, ou por um processo de insolvência ou de tipo concursal, ou devido a qualquer outro acontecimento ou medida imposta por terceiros que afectem o fornecedor, este deverá informar o cliente a esse respeito sem demora. O fornecedor informará de imediato todos os responsáveis que tenham relação com este assunto que os direitos e a propriedade dos dados pertencem exclusivamente ao cliente como „responsável“ no âmbito do Regulamento Geral de Proteção de Dados.

(2) Qualquer modificação ou ampliação deste anexo e de todas as suas partes, mais as possíveis garantias do fornecedor inclusivamente, requerem um acordo por escrito, que pode também ser apresentado em formato electrónico (em forma de texto), e com a menção expressa de que se trata de uma modificação ou ampliação destas condições. Isto é de aplicação também no caso de renunciar à exigência da forma.

(3) No caso de eventuais recursos, têm preferência as cláusulas deste acordo relativas à proteção de dados sobre as cláusulas deste acordo. Se se declaram nulas partes concretas deste anexo, a validade das partes restantes não será afectada por tal.

(4) É de aplicação o sistema jurídico alemão.

§ 10 Responsabilidade e indemnização
Tanto o cliente como o fornecedor responderão face aos interessados segundo o estabelecido no acordo presente no artigo 82 do RGPD.

§ 11 Cláusula de separabilidade e jurisdição, Aplicabilidade
(1) Se qualquer disposição deste acordo for invalidada ou se tornar irrealizável, ou não sendo válida ou realizável, as restantes disposições deste acordo não serão afectadas por tal. As partes concordas em substituir as disposições nulas ou irrealizáveis por disposições válidas e realizávels que se aproximem mais aos interesses econónicos das partes. Isto é de igual aplicação em caso de vazios legislativos.

(2) Qualquer modificação ou ampliação deste acordo e de todas as suas partes, mais as possíveis garantias do fornecedor inclusivamente, requerem um acordo por escrito ou em forma de texto (formato electrónico), e a menção expressa de que se trata de uma modificação ou ampliação deste acordo. Isto é de aplicação também no caso de renunciar à exigência da forma.

(3) Esta tradução serve para efeitos de informação e não é um documento legalmente obrigável. As disposições originais estão definidas na versão original na língua alemã.

(4) As partes submetem-se à jurisdição dos tribunais de Siegen, Alemanha.

16.07.2026, [[Ort]]
Assinado [[Name]]

16.07.2026, Siegen
Assinado Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (Administradores, Saal Digital Fotoservice GmbH)

[O presente acordo é válido sem assinatura.]
Apêndice A: Detalhes do Processo
1. Tipo de dados
2. Tipo e finalidade do tratamento de dados
3. Categorias de interessados
Apêndice B: Medidas técnicas e organizacionais
Medida Objetivo de proteção Beschreibung
Zutrittskontrolle
Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) C .
Einsatz eines Zugangskontrollsystems C Schlüsselregelung und aktuelle Schlüsselliste
Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste C
Festlegung der zugangsberechtigten Personen C .
Identifikation durch Ausweise C .
Protokollierung der Zu- und Abgänge C .
Revisionsfähigkeit der Zugangsberechtigungen C .
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude C .
Zugangsregelungen für betriebsfremde Personen C .
Zugangskontrolle
Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche C .
geteiltes Passwort mit 4-Augen-Prinzip C Ohne das Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff.
Identifikation und Authentifizierung der Benutzer C .
Passwortrichtlinie C (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) C
Regelungen / Voraussetzungen zur Telearbeit C (Zwei-Faktor-Authentifizierung)
Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) C
Sicherung der Datenstationen, Netze und Übertragungsleitungen C .
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität C (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) C
Verschlüsselung der zu übertragenden Daten C .
Zugriffskontrolle
Anlegen von revisionsfähigen Benutzerprofilen C .
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe C .
Beschränkung der freien Abfragemöglichkeiten von Datenbanken C (Query-Sprache)
Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) C
Einführung zugriffsbeschränkender Maßnahmen C (z. B. nur Leseberechtigung)
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) C
Einsatz von Verschlüsselungsverfahren C .
Identifikation und Authentifizierung der Benutzer C .
Maschinelle Überprüfung der Berechtigungen C .
Zentrale Vergabestelle von Benutzerrechten C .
Weitergabekontrolle
Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen C .
Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) C .
Eingabekontrolle
Festlegung von Eingabebefugnissen I .
Protokollierung der Eingaben, Veränderungen und Löschungen I .
Speicherung des Veranlassers I .
Auftragskontrolle
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber C, I, A .
Formalisierung der Auftragserteilung C, I, A .
Klare Vereinbarungsgestaltung und -ausführung C, I, A .
Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung C, I, A .
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. C, I, A .
Sorgfältige Auswahl des Auftragnehmers C, I, A .
Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers C, I, A .
Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO C, I, A .
Verfügbarkeitskontrolle
Application-/Device-Control A .
Brandmelder A .
Klimatisierung A .
Objektsicherung insb. der Serverräume A .
Permanente Serverüberwachung durch Monitoring-Software A .
USV (Unterbrechungsfreie Stromversorgung) A .
Virenschutz / Firewall A .
Trennungsgebot
Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt C .
Mandantentrennung auf Auftragsebene - Logische Trennung der Daten C .
Pseudonymisierung
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten in der Produktion
Verschlüsselung
Speicherung C Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Übertragung C Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
Wiederherstellbarkeit
Backup-Systeme zur Wiederherstellung verlorener Daten A .
Dezentrale Datensicherung A .
Mehrfach redundantes Active-Active-Cluster A .
Testen der Wiederherstellung A .
Managementsystem
Durchführung regelmäßiger interner Audits C, I, A .
Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) C, I, A .
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen C, I, A .
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) C, I, A .
Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen C, I, A .
Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) C, I, A .
Signatários

Signatários 1

Voltar