Saal Digital Fotoservice GmbH

Zeppelinstraße 36, 91187 Röttenbach

1 Dati contrattuali
2 Verifica e conclusione

Contratto di trattamento dei dati


Dati contrattuali del cliente
common.please_select
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Vertragstext

Accordo sull’elaborazione dati su incarico ai sensi dell’articolo 28 capoverso 3 del regolamento generale sulla protezione dei dati (RGPD).



tra il titolare del trattamento:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– ordinante –

ed il responsabile del trattamento:
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen
– commissionario –

Preambolo


Il presente accordo specifica gli obblighi delle parti contraenti in materia di protezione dei dati derivanti dall’esecuzione degli ordini come descritta dall’appendice A. Essa si applica a tutte le attività relative al servizio in cui i dipendenti del mandatario o terzi incaricati dal mandatario possono venire a contatto con i dati personali del mandante.
I singoli accordi contenuti nel presente accordo sulla protezione dei dati prevalgono sulle condizioni generali di contratto (CG) del mandatario.

§ 1 Definizioni


(1) Dati personali
Ai sensi dell’articolo 4, paragrafo 1, della direttiva RGPD, i dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile (di seguito „persona interessata“); identificabile è la persona fisica che può essere identificata direttamente o indirettamente, in particolare mediante l’assegnazione ad un identificatore quale il nome, un numero di identificazione, dati relativi all’ubicazione, un identificatore online o una o più caratteristiche particolari che ne esprimono l’identità fisica, fisiologica, genetica, psicologica, economica, culturale o sociale.

(2) Responsabile del trattamento
Ai sensi dell’art. 4 cpv. 8 RGPD, per responsabile del trattamento si intende una persona fisica o giuridica, un’autorità, un’istituzione o un altro organismo che elabora dati personali per conto del titolare del trattamento.

(3) Istruzione
L’istruzione è di solito l’istruzione scritta del cliente diretto ad un certo trattamento di protezione dei dati (ad esempio la memorizzazione, pseudonizzazione, cancellazione, pubblicazione) del contraente con i dati personali. Le istruzioni sono emesse dal cliente e possono essere modificate, integrate o sostituite da istruzioni individuali (istruzioni individuali). Le istruzioni del cliente devono essere fornite per iscritto o tramite e-mail.

§ 2 Oggetto, durata e specificazione dell’elaborazione degli ordini
L’oggetto e la durata dell’ordine nonché il tipo e lo scopo dell’elaborazione risultano dal presente accordo. In particolare, le informazioni sui dati di cui all’allegato A fanno parte del trattamento dei dati.

Il presente accordo è valido fino a revoca. La revoca deve essere effettuata per iscritto.

§ 3 Ambito di applicazione e responsabilità
Il mandatario elabora i dati personali per conto del mandante. Ciò include le attività specificate nel presente accordo. Nell’ambito del presente contratto, il cliente è l’unico responsabile del rispetto delle disposizioni legali della legge sulla protezione dei dati, in particolare della legalità della trasmissione dei dati al mandatario e della legalità del trattamento dei dati (“persona responsabile” ai sensi dell’art. 4 n. 7 RGPD).

§ 4 Obblighi del contraente
(1) Il contraente può trattare i dati delle persone interessate solo nell’ambito dell’ordine e delle istruzioni dell’amministrazione aggiudicatrice, salvo casi eccezionali ai sensi dell’articolo 28 capoverso 3 lettera a) RGPD. Il mandatario informa senza indugio il mandante se ritiene che un’istruzione violi le leggi vigenti. Il mandatario può sospendere l’applicazione fino a quando essa non sia stata confermata o modificata dal ordinante.

(2) Il contraente deve progettare l’organizzazione interna del proprio settore di competenza in modo da soddisfare i requisiti specifici della protezione dei dati. Egli adotta misure tecniche e organizzative per proteggere adeguatamente i dati dell’amministrazione aggiudicatrice che soddisfano i requisiti della regolamentazione di base in merito alla protezione dei dati (art. 32 RGPD). 2. Il contraente adotta misure tecniche e organizzative per garantire la riservatezza, l’integrità, la disponibilità dei sistemi e dei servizi in relazione al trattamento. Il mandante è consapevole di queste misure tecniche e organizzative ed è responsabile di garantire che esse offrano un livello adeguato di protezione dei rischi dei dati da elaborare.
Il mandatario si riserva il diritto di modificare le misure di sicurezza adottate, ma è necessario assicurarsi che esse non scendano al di sotto del livello di protezione qui concordato.

(3) Nella misura convenuta, il mandatario assiste il mandante, nei limiti delle sue possibilità, nell’adempimento delle richieste e dei reclami delle persone interessate ai sensi del capo III dell’RGPD e nell’adempimento degli obblighi specificati negli articoli da 33 a 36 dell’RGPD.

(4) Il mandatario garantisce che ai collaboratori coinvolti nell’elaborazione dei dati del mandante e alle altre persone che lavorano per il mandatario è vietato elaborare i dati al di fuori delle istruzioni. Inoltre, il contraente garantisce che le persone autorizzate al trattamento dei dati personali si sono impegnate a mantenere la riservatezza o sono soggette a un adeguato obbligo legale di riservatezza. L’obbligo di riservatezza/non divulgazione sussiste anche dopo la cessazione dell’ordine.

(5) Il mandatario è tenuto ad informare immediatamente il mandante qualora venga a conoscenza di una violazione della protezione dei dati personali del mandante.

Il mandatario prende le misure necessarie per proteggere i dati e mitigare eventuali conseguenze negative delle persone interessate e si consulta senza indugio con il mandante.

(6) Il mandatario indica al mandante la persona di contatto per qualsiasi questione relativa alla protezione dei dati che possa sorgere nell’ambito del presente accordo.

(7) Il mandatario garantisce di adempiere ai propri obblighi ai sensi dell’art. 32 cpv. 1 lett. d) RGPD di stabilire una procedura per la verifica periodica dell’efficacia delle misure tecniche e organizzative per garantire la sicurezza dell’elaborazione.

(8) Il mandatario corregge o cancella i dati oggetto del contratto, se il mandante lo richiede e se ciò è previsto nel quadro delle istruzioni. Se non è possibile una cancellazione conforme alla protezione dei dati o una corrispondente limitazione del trattamento dei dati, il mandatario distrugge i supporti dati e altri materiali conformi alla protezione dei dati sulla base di un ordine individuale del cliente o li restituisce al cliente, a meno che non sia già stato concordato.
In casi particolari che devono essere stabiliti dal cliente, la merce deve essere immagazzinata o consegnata, il compenso e le misure di protezione devono essere concordate separatamente.

(9) I dati, i supporti dati e tutti gli altri materiali devono essere consegnati o cancellati su richiesta del cliente al termine dell’ordine.

(10) In caso di rivendicazione di un diritto nei confronti del mandante da parte di una persona interessata in relazione a un diritto ai sensi dell’art. 82 RGPD, il mandatario si impegna a sostenere il mandante nella difesa del diritto nei limiti delle sue possibilità.

§ 5 Obblighi del mandante
(1) Il mandante è tenuto ad informare immediatamente e in modo esauriente il mandatario qualora riscontri errori o irregolarità nei risultati dell’ordine in relazione alle disposizioni sulla protezione dei dati.

(2) In caso di rivendicazione di un diritto nei confronti del mandante da parte di una persona interessata ai sensi dell’art. 82 RGPD, si applica il §4 cpv. 10.

(3) Il mandante designa la persona di contatto per le questioni inerenti alla protezione dei dati che sorgono nell’ambito del contratto con il mandatario.

§ 6 Richieste degli interessati
Se l’interessato si rivolge al commissionario con richieste di rettifica, cancellazione o informazione, il commissionario lo rinvia al ordinante, a condizione che sia possibile un’assegnazione al ordinante basata sulle indicazioni del interessato. Il commissionario trasmette immediatamente la domanda dell’interessato all’ordinante. Il commissionario è tenuto ad assistere l’ordinante nell’ambito delle sue possibilità e su istruzione, nella misura concordata. Il mandatario non risponde se il mandante non risponde alla richiesta della persona interessata, non risponde in modo corretto o non risponde tempestivamente.

§ 7 Possibilità di rilevamento
(1) Il commissionario deve dimostrare all’obbligato principale di aver adempiuto con i mezzi appropriati agli obblighi previsti dal presente accordo.

(2) Se in singoli casi sono necessarie ispezioni da parte del cliente o di un revisore incaricato dal cliente, esse devono essere effettuate durante il normale orario di lavoro senza interrompere l’attività e dopo l’iscrizione, tenendo conto di un tempo di esecuzione adeguato. Il commissionario può far dipendere la comunicazione preventiva con un termine ragionevole e la firma di un accordo di riservatezza sui dati di altri clienti e sulle misure tecniche e organizzative adottate. Se l’ispettore incaricato dal ordinante è in rapporto di concorrenza con il commissionario, quest’ultimo ha il diritto di opporsi.
Il mandatario può chiedere un contributo per l’assistenza nell’esecuzione di un’ispezione. Il costo di un’ispezione è generalmente limitato ad un giorno per anno civile per il mandatario.

(3) Se un’autorità di controllo della protezione dei dati o un’altra autorità di controllo sovrana del mandante effettua un controllo, si applica sempre il paragrafo 2. Non è necessario firmare un accordo di riservatezza se tale autorità di controllo è soggetta al segreto professionale o legale, in cui una violazione è punibile ai sensi del codice penale.

§ 8 Subcontraente (altri contraenti)
(1) Il ricorso a subcontraenti come responsabile del trattamento è consentito solo se il cliente ha dato il suo previo consenso.

(2) Un rapporto da subcontraente che richiede l’approvazione esiste se il mandatario incarica altri mandatari di eseguire la totalità o una parte del servizio concordato nel contratto. Il mandatario stipula accordi con tali terzi nella misura necessaria per garantire adeguate misure di protezione dei dati e di sicurezza dell’informazione.
Le prestazioni concordate o le prestazioni parziali descritte di seguito vengono eseguite con il coinvolgimento dei seguenti subcontraenti:

Nome e indirizzo del subcontraente
Amazon Web Services Germania GmbH
Krausenstr. 38
10117 Berlino
Rechenzentrum in der AWS Region Frankfurt, Deutschland (Rechenzentrum)

Descrizione di servizi parziali
-miglioramento dell’immagine
-prestampa
-memoria dati

Prima di rivolgersi ad altri subcontraenti o di sostituire i subcontraenti elencati, il commissionario deve ottenere il consenso del ordinante, che non può essere rifiutato senza giustificato motivo ai sensi della legge sulla protezione dei dati personali.

(3) Se il commissionario ordina a subfornitori, è responsabile del trasferimento al subfornitore dei suoi obblighi in materia di protezione dei dati in virtù del presente contratto.

§ 9 Obbligo di informazione, clausola di forma scritta, scelta della legge
(1) Se i dati del committente sono messi in pericolo da sequestro o confisca, da procedure di insolvenza o di concordato o da altri eventi o misure di terzi, il commissionario deve informarne immediatamente il committente. Il commissionario deve informare immediatamente tutte le persone responsabili in questo contesto che la sovranità e la proprietà dei dati spetta esclusivamente al committente in quanto “persona responsabile” ai sensi dell’ordinanza di base sulla protezione dei dati.

(2) Le modifiche e le aggiunte al presente allegato e a tutti i suoi componenti - comprese le eventuali garanzie del commissionario - richiedono un accordo scritto, che può essere fatto anche in formato elettronico (testo), e l’indicazione esplicita che i presenti termini e condizioni devono essere modificati o integrati. Ciò vale anche per la rinuncia a tale requisito formale.

(3) In caso di contraddizioni, le disposizioni del presente accordo sulla protezione dei dati prevalgono sulle disposizioni del contratto. L’eventuale invalidità di singole parti del presente allegato non pregiudica la validità del resto dello stesso.

(4) Si applica il diritto tedesco.

§ 10 Responsabilità e danni
L’ordinante e il commissionario sono responsabili nei confronti degli interessati ai sensi dell’art. 82 RGPD.

§ 11 Clausola di risoluzione, foro competente, Applicabilità
(1) Qualora una qualsiasi disposizione del presente accordo sia o diventi invalida o inapplicabile, ciò non influirà sulle restanti disposizioni del presente accordo. Le parti convengono di sostituire la disposizione non valida o non applicabile con una disposizione valida e applicabile che si avvicini il più possibile allo scopo economico delle parti. Lo stesso vale in caso di scappatoia.

(2) Le modifiche e le integrazioni del presente contratto e di tutte le sue componenti - comprese le eventuali assicurazioni del commissionario- richiedono un accordo scritto o in forma scritta (formato elettronico) e l’indicazione esplicita che il presente accordo è una modifica o un’aggiunta. Ciò vale anche per la rinuncia a tale requisito formale.

(3) La traduzione è fornita a titolo puramente informativo e non è un documento giuridicamente vincolante. Le disposizioni originali sono contenute nella versione originale tedesca.

(4) Si conviene che il foro competente sia Siegen.

16.07.2026, [[Ort]]
f.to [[Name]]

16.07.2026, Siegen
f.to Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (CEO, Saal Digital Fotoservice GmbH)

[Questo accordo è valido senza firma.]
Allegato A: Dettagli dell'ordine
1. Tipo di dati
2. Tipo e finalità del trattamento dei dati
3. Categorie di persone interessate
Allegato B: Misure tecniche e organizzative
Misura Obiettivo di protezione Beschreibung
Zutrittskontrolle
Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) C .
Einsatz eines Zugangskontrollsystems C Schlüsselregelung und aktuelle Schlüsselliste
Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste C
Festlegung der zugangsberechtigten Personen C .
Identifikation durch Ausweise C .
Protokollierung der Zu- und Abgänge C .
Revisionsfähigkeit der Zugangsberechtigungen C .
Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude C .
Zugangsregelungen für betriebsfremde Personen C .
Zugangskontrolle
Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche C .
geteiltes Passwort mit 4-Augen-Prinzip C Ohne das Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff.
Identifikation und Authentifizierung der Benutzer C .
Passwortrichtlinie C (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) C
Regelungen / Voraussetzungen zur Telearbeit C (Zwei-Faktor-Authentifizierung)
Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) C
Sicherung der Datenstationen, Netze und Übertragungsleitungen C .
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität C (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)
Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) C
Verschlüsselung der zu übertragenden Daten C .
Zugriffskontrolle
Anlegen von revisionsfähigen Benutzerprofilen C .
Benutzerbezogene Protokollierung der (Fehl-)Zugriffe C .
Beschränkung der freien Abfragemöglichkeiten von Datenbanken C (Query-Sprache)
Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) C
Einführung zugriffsbeschränkender Maßnahmen C (z. B. nur Leseberechtigung)
Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) C
Einsatz von Verschlüsselungsverfahren C .
Identifikation und Authentifizierung der Benutzer C .
Maschinelle Überprüfung der Berechtigungen C .
Zentrale Vergabestelle von Benutzerrechten C .
Weitergabekontrolle
Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen C .
Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) C .
Eingabekontrolle
Festlegung von Eingabebefugnissen I .
Protokollierung der Eingaben, Veränderungen und Löschungen I .
Speicherung des Veranlassers I .
Auftragskontrolle
Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber C, I, A .
Formalisierung der Auftragserteilung C, I, A .
Klare Vereinbarungsgestaltung und -ausführung C, I, A .
Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung C, I, A .
Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. C, I, A .
Sorgfältige Auswahl des Auftragnehmers C, I, A .
Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers C, I, A .
Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO C, I, A .
Verfügbarkeitskontrolle
Application-/Device-Control A .
Brandmelder A .
Klimatisierung A .
Objektsicherung insb. der Serverräume A .
Permanente Serverüberwachung durch Monitoring-Software A .
USV (Unterbrechungsfreie Stromversorgung) A .
Virenschutz / Firewall A .
Trennungsgebot
Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt C .
Mandantentrennung auf Auftragsebene - Logische Trennung der Daten C .
Pseudonymisierung
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten in der Produktion
Verschlüsselung
Speicherung C Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard)
Übertragung C Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool)
Wiederherstellbarkeit
Backup-Systeme zur Wiederherstellung verlorener Daten A .
Dezentrale Datensicherung A .
Mehrfach redundantes Active-Active-Cluster A .
Testen der Wiederherstellung A .
Managementsystem
Durchführung regelmäßiger interner Audits C, I, A .
Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) C, I, A .
Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen C, I, A .
Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) C, I, A .
Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen C, I, A .
Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) C, I, A .
Firmatari

Firmatari 1

Indietro