Vereinbarung über die Verarbeitung personenbezogener Daten

1. Geltungsbereich

Diese Vereinbarung über die Verarbeitung personenbezogener Daten (im Folgenden die "Vereinbarung") regelt die Verarbeitung personenbezogener Daten durch Healthium - Healthcare Software Solutions, S.A. (im Folgenden der "Auftragsverarbeiter") im Namen und im Auftrag der juristischen oder natürlichen Organisation, die den Service von Nutrium abonniert. (im Folgenden der "Datenverarbeiter") im Namen und im Auftrag der juristischen oder natürlichen Person, die den Service von Nutrium über die Nutrium-Website abonniert hat Nutrium, zum Zweck der Erbringung von Dienstleistungen im Bereich der Ernährungsberatung (im Folgenden der "Datenverantwortliche"), zusammen die "Parteien" genannt. Demzufolge, in Erwägung nachstehender Gründe:

1. Die Parteien haben einen Vertrag über die Erbringung von Dienstleistungen durch den Unterauftragnehmer an den Betreuer geschlossen, dessen Bedingungen in Nutzungsbedingungen, genauer definiert sind;
2. Die Erbringung von Dienstleistungen durch den Auftragsverarbeiter setzt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Namen und im Auftrag des für die Verarbeitung Verantwortlichen voraus;
3. Die Parteien beabsichtigen, mit diesem Dokument die Pflichten des Auftragsverarbeiters als Unterauftragnehmer des für die Verarbeitung Verantwortlichen bei der Verarbeitung personenbezogener Daten im Einzelnen zu regeln.

Die Vertragsparteien sind sich der großen Bedeutung der vollständigen Einhaltung aller Vorschriften über den Schutz personenbezogener Daten bewusst und akzeptieren diese Vereinbarung freiwillig und gegenseitig unter den folgenden Bedingungen.

2. Begriffsbestimmungen und Erläuterungen

Die Ausdrücke "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter", "personenbezogene Daten" und "Verarbeitung" sowie alle anderen damit zusammenhängenden Ausdrücke und Begriffe sind gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung ("DSGVO") und dem Gesetz Nr. 58/2019 vom 8. August auszulegen. Das Gesetz Nr. 58/2019 vom 8. August, das die Umsetzung der DSGVO in die nationale Rechtsordnung sicherstellt, ergänzt durch nationale oder europäische Rechtsvorschriften, Auslegungen und Leitlinien europäischer und nationaler Behörden, von der Europäischen Kommission oder Aufsichtsbehörden genehmigte Musterklauseln sowie die einschlägige Rechtsprechung (zusammen als "Datenschutzregelung" bezeichnet).

1. Die Parteien vereinbaren, dass die Bestimmungen der DSGVO für die Verarbeitung personenbezogener Daten im Rahmen der Beziehung zwischen den Parteien ab dem Datum des Inkrafttretens des zwischen den Parteien geschlossenen Dienstleistungsvertrags und während seiner gesamten Laufzeit gelten.
2. Die Überschriften der Bestimmungen dieses Abkommens dienen lediglich der Vereinfachung und stellen keine Unterstützung für die Auslegung oder Integration des Abkommens dar.
3. Die oben im Singular definierten Ausdrücke können im Plural verwendet werden und umgekehrt, mit der entsprechenden Bedeutungsänderung.
4. Je nach rechtlichen Entwicklungen, Rechtsprechung und Empfehlungen von Aufsichtsbehörden oder Änderungen des Geschäftsmodells kann der Auftragsverarbeiter diese Vereinbarung ändern, wobei er in solchen Fällen sicherstellt, dass diese Änderungen ordnungsgemäß auf der Website von Nutrium veröffentlicht und dem für die Verarbeitung Verantwortlichen per E-Mail an die bei der Registrierung auf der Plattform angegebene Adresse mitgeteilt werden.
5. Dieses Abkommen besteht aus dem Text dieses Dokuments und den folgenden Anhängen, die alle von den Vertretern beider Parteien ordnungsgemäß angenommen wurden und Bestandteil des Abkommens sind: Anhang I - Bedingungen für die Verarbeitung; Anhang II - Technische und organisatorische Maßnahmen; Anhang III - Liste der Unterauftragsverarbeiter;
6. Sofern sich aus dem Zusammenhang nichts anderes ergibt, schließt jede Bezugnahme in dieser Vereinbarung auf eine gesetzliche oder vertragliche Bestimmung die Änderungen ein, denen sie unterworfen wurde und/oder unterworfen sein wird.
7. Sollte eine der Bestimmungen dieses Abkommens von einer dafür zuständigen Stelle für nichtig oder in irgendeiner Weise ungültig, unwirksam oder nicht durchsetzbar erklärt werden, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen des Abkommens, und die Parteien verpflichten sich, nach Treu und Glauben eine Bestimmung zu vereinbaren, die an ihre Stelle tritt und möglichst ähnliche Wirkungen entfaltet.

3. Zweck

Zweck dieses Abkommens ist es, die Verpflichtungen beider Parteien in Bezug auf die in Anhang I (Verarbeitungsbedingungen) beschriebene Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Namen und im Auftrag des für die Verarbeitung Verantwortlichen zu regeln.

4. Verbindlichkeit dieser Bestimmungen

Im Falle von Widersprüchen oder Konflikten zwischen dieser Datenverarbeitungsvereinbarung und anderen Vereinbarungen oder Bedingungen, unabhängig davon, ob diese zuvor zwischen den Parteien vereinbart wurden, haben der Inhalt und die Bestimmungen dieser Datenverarbeitungsvereinbarung Vorrang und regeln die Beziehungen zwischen den Parteien in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der von Healthium erbrachten Dienstleistungen.

5. Verpflichtungen der Vertragsparteien

1. Der für die Verarbeitung Verantwortliche übernimmt die volle Verantwortung für die Einhaltung der Bestimmungen der DSGVO und anderer anwendbarer Datenschutzvorschriften und verpflichtet sich, die Rechtmäßigkeit, Transparenz und Integrität der Verarbeitung personenbezogener Daten zu gewährleisten.
2. Der für die Verarbeitung Verantwortliche stellt dem Auftragsverarbeiter die Informationen zur Verfügung, die dieser benötigt, um die Daten in seinem Auftrag und in seinem Namen zu verarbeiten.
3. Personenbezogene Daten, zu denen der Auftragsverarbeiter Zugang hat oder die ihm von dem für die Verarbeitung Verantwortlichen übermittelt wurden, sind gemäß dieser Vereinbarung und unter strikter Einhaltung der dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen, die in Anhang II aufgeführt sind oder von dem für die Verarbeitung Verantwortlichen während der Laufzeit der Vereinbarung übermittelt wurden, zu verarbeiten, auch im Hinblick auf Datenübermittlungen an Drittländer oder internationale Organisationen, es sei denn, der Auftragsverarbeiter ist nach dem Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, dazu verpflichtet (in diesem Fall unterrichtet er den für die Verarbeitung Verantwortlichen vor Beginn der Übermittlung über diese rechtliche Verpflichtung).
4. Der Unterauftragnehmer verpflichtet sich insbesondere, die personenbezogenen Daten, zu denen er Zugang hat oder die ihm vom für die Verarbeitung Verantwortlichen übermittelt wurden, nicht zu kopieren, zu vervielfältigen, anzupassen, zu ändern, zu verändern, zu löschen, zu vernichten, zu verbreiten, zu übermitteln, zu veröffentlichen oder auf andere Weise Dritten zugänglich zu machen, unbeschadet der Handlungen und Übermittlungen, die sich aus der Art der Erbringung der Dienstleistung selbst ergeben.
5. Unbeschadet der anderen in diesem Vertrag vorgesehenen Verpflichtungen verpflichtet sich der Unterauftragnehmer, die Bestimmungen der geltenden Rechtsvorschriften über die Verarbeitung personenbezogener Daten einzuhalten und insbesondere Folgendes zu tun:

1. Unter Berücksichtigung der Art der Verarbeitung im Rahmen des Möglichen und innerhalb der dem Auftragsverarbeiter gesetzlich auferlegten Grenzen und unbeschadet der Erhebung zusätzlicher Beträge den für die Verarbeitung Verantwortlichen zu unterstützen, damit dieser seiner Verpflichtung nachkommen kann, den betroffenen Personen Auskunft über ihre personenbezogenen Daten zu erteilen und sie darüber zu informieren und ihnen ganz allgemein die Ausübung ihrer Rechte gemäß der Datenschutzregelung zu ermöglichen;
2. Sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen eine Vertraulichkeitsverpflichtung eingegangen sind oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen;
3. Unter Berücksichtigung der Art der Verarbeitung, im Rahmen des Möglichen und innerhalb der Grenzen, die dem Unterauftragnehmer gesetzlich auferlegt sind, und unbeschadet der Erhebung zusätzlicher Beträge, dem für die Verarbeitung Verantwortlichen die erforderliche Mitwirkung bei der Klärung von Fragen im Zusammenhang mit der im Rahmen dieser Vereinbarung durchgeführten Verarbeitung personenbezogener Daten zu gewähren und den für die Verarbeitung Verantwortlichen über die Verarbeitung personenbezogener Daten auf dem Laufenden zu halten, wobei er sich verpflichtet, unverzüglich jede Situation zu melden, die sich auf die Verarbeitung der betreffenden Daten auswirken oder in irgendeiner Weise zu einer Nichteinhaltung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten führen könnte;
4. Unterrichtung des für die Verarbeitung Verantwortlichen innerhalb von 72 Stunden über alle Anfragen oder Beschwerden, die ihn betreffen, seitens einer Aufsichtsbehörde, wobei er seine Zusammenarbeit mit dieser Behörde zusichert;
5. Unter Berücksichtigung der Art der Verarbeitung den für die Verarbeitung Verantwortlichen im Rahmen des Möglichen und innerhalb der dem Auftragsverarbeiter gesetzlich auferlegten Grenzen und unbeschadet der Erhebung zusätzlicher Beträge bei der Erfüllung der Pflichten im Zusammenhang mit der Meldung von Verletzungen des Schutzes personenbezogener Daten unterstützen, insbesondere durch Benachrichtigung des für die Verarbeitung Verantwortlichen (in jedem Fall spätestens innerhalb von 72 Stunden) über jede Verletzung des Schutzes personenbezogener Daten, die Auswirkungen auf personenbezogene Daten hat, und durch Zusammenarbeit mit dem für die Verarbeitung Verantwortlichen bei der Ergreifung von Maßnahmen zur Reaktion auf den Vorfall, bei der Untersuchung des Vorfalls und bei der Vorbereitung von Mitteilungen, die nach den gesetzlichen Bestimmungen erforderlich sein können, soweit dies möglich ist und innerhalb der Grenzen, die für den Unterauftragnehmer gesetzlich vorgeschrieben sind;
6. Zusammenarbeit mit dem für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und, soweit möglich, durch geeignete technische und organisatorische Maßnahmen;
7. Keine Weitergabe personenbezogener Daten an Dritte und/oder Dienstleister, die nicht vom für die Verarbeitung Verantwortlichen zugelassen oder angegeben sind;
8. Je nach Wahl des für die Verarbeitung Verantwortlichen werden die personenbezogenen Daten bei Beendigung des Vertrags gelöscht oder zurückgegeben, wobei alle vorhandenen Kopien gelöscht werden, es sei denn, die Aufbewahrung der Daten ist gesetzlich vorgeschrieben;
9. Bereitstellung der Informationen, die erforderlich sind, um die Einhaltung der sich aus dem Gesetz und dieser Vereinbarung ergebenden Verpflichtungen nachzuweisen, an den für die Verarbeitung Verantwortlichen, soweit dies möglich ist und innerhalb der Grenzen, die dem Auftragsverarbeiter gesetzlich vorgeschrieben sind;
10. Führung von Aufzeichnungen über die Datenverarbeitungstätigkeiten, die im Rahmen dieser Vereinbarung im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden, in Übereinstimmung mit den gesetzlichen Anforderungen;
11. Unterrichtung des für die Verarbeitung Verantwortlichen über die Ernennung eines Datenschutzbeauftragten, sofern zutreffend;
12. Beachtung der Bedingungen, die in den Rechtsakten über die verarbeiteten Daten enthalten sind (falls zutreffend); und
13. Einhaltung aller anderen gesetzlichen Vorschriften über die Registrierung, Übermittlung oder sonstige Verarbeitung personenbezogener Daten, die in der Datenschutzregelung vorgesehen sind.

6. Aufzeichnung der Verarbeitungstätigkeiten

Der Auftragsverarbeiter und gegebenenfalls seine Vertreter führen gemäß und für die Zwecke von Artikel 30 Absatz 2 der Datenschutz-Grundverordnung mindestens bis zum Ende der Laufzeit dieser Vereinbarung ein Verzeichnis aller im Rahmen dieser Vereinbarung durchgeführten Verarbeitungstätigkeiten. Dieses Verzeichnis der Verarbeitungstätigkeiten muss mindestens die folgenden Informationen enthalten:

1. Name und Kontaktdaten des Auftragsverarbeiters und des für die Verarbeitung Verantwortlichen sowie gegebenenfalls der Vertreter des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters sowie des Datenschutzbeauftragten;
2. Die Arten der Datenverarbeitung, die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden;
3. Die Kategorien der verarbeiteten Daten;
4. Die Arten von betroffenen Personen, die von der Datenverarbeitung betroffen sind; und
5. Gegebenenfalls Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen, einschließlich der Angabe dieser Drittländer oder internationalen Organisationen und - im Falle von Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der Datenschutz-Grundverordnung - der Dokumentation, die das Vorhandensein angemessener Garantien belegt.

7. Sicherheitsmaßnahmen

Der Auftragsverarbeiter verpflichtet sich, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang sowie jede andere Form der unrechtmäßigen Verarbeitung derselben personenbezogenen Daten zu schützen. Diese Maßnahmen müssen ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken, der Art der zu schützenden Daten und den Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen angemessen ist, gegebenenfalls einschließlich:

1. Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
2. Die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
3. Die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und
4. Ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

8. Vertraulichkeit

Der Auftragsverarbeiter verpflichtet sich, alle personenbezogenen Daten, zu denen er Zugang hat oder die ihm von dem für die Verarbeitung Verantwortlichen im Rahmen der Erbringung der mit ihm vereinbarten Dienstleistungen übermittelt wurden, vertraulich zu behandeln.

9. Beschäftigte des Unterauftragnehmers

Der Unterauftragnehmer garantiert, dass seine Mitarbeiter, unabhängig von der Art und Gültigkeit ihrer Beziehung zum Unterauftragnehmer (einschließlich, aber nicht beschränkt auf diejenigen, die mit dem Unterauftragnehmer auf der Grundlage von zivilrechtlichen Verträgen zusammenarbeiten, Dienstleister, Arbeiter, Agenten, Assistenten, Vertreter, Partner, Manager, Verwalter, Anwälte, Zeitarbeiter, Lieferanten, Berater, Auditoren und Praktikanten, im Folgenden als " Beschäftigte " oder " Personal " bezeichnet) die in diesem Vertrag festgelegten Verpflichtungen einhalten.

10. Subunternehmer des Unterauftragnehmers

Der Unterauftragnehmer schließt zur Aufrechterhaltung seiner betrieblichen Effizienz Verträge mit anderen Stellen ab, die bestimmte personenbezogene Daten bearbeiten und verarbeiten dürfen; eine Liste dieser Auftragsverarbeiter ist in Anhang III dieser Vereinbarung aufgeführt. Der für die Verarbeitung Verantwortliche ermächtigt den Auftragsverarbeiter generell, die in Anhang III genannten Stellen mit der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung zu beauftragen. Bei der Vergabe von Unteraufträgen an andere Stellen garantiert der Auftragsverarbeiter, dass diese die Bestimmungen der Datenschutzregelung und anderer anwendbarer Rechtsvorschriften einhalten, indem er einen schriftlichen Vertrag mit den von ihm beauftragten Stellen abschließt, in dem dieselben Datenschutzverpflichtungen wie in dieser Vereinbarung niedergelegt sind.

Der Unterauftragnehmer verpflichtet sich, den für die Verarbeitung Verantwortlichen über jede beabsichtigte Änderung der Anzahl oder des Austauschs der von ihm eingesetzten Unterauftragnehmer zu informieren, und der für die Verarbeitung Verantwortliche kann schriftlich Einspruch gegen diese Änderungen erheben. Sollte der für die Verarbeitung Verantwortliche den vorgebrachten Argumenten nicht zustimmen und beschließen, den aufgeführten Unterauftragnehmer beizubehalten, erhält der für die Verarbeitung Verantwortliche die Möglichkeit, sein Abonnement mit sofortiger Wirkung zu kündigen, unbeschadet der Zahlung des anteiligen Betrags für den bereits genutzten Abonnementzeitraum.

Wenn die Daten von einem Unterauftragnehmer des Unterauftragnehmers außerhalb der Europäischen Union/des Europäischen Wirtschaftsraums verarbeitet werden, müssen die in der DSGVO festgelegten Anforderungen für internationale Datenübermittlungen vor Beginn einer solchen Verarbeitung erfüllt werden.

Die in den vorstehenden Absätzen vorgesehene Haftung des Unterauftragnehmers gegenüber Unterauftragnehmern erstreckt sich auf alle Unternehmen, die als Unterauftragnehmer in einer Unterauftragskette mit dem Unterauftragnehmer tätig sind, unabhängig davon, ob ihre Verbindung mit dem Unterauftragnehmer direkt oder indirekt ist.

11. Haftung

Der Unterauftragnehmer haftet für alle Schäden, die dem für die Verarbeitung Verantwortlichen durch die Verarbeitung personenbezogener Daten durch ihn und/oder seine Mitarbeiter, Dienstleister oder Unterauftragnehmer [gemäß Klausel 8 (Unterauftragnehmer des Auftragsverarbeiters)] unter Verstoß gegen die geltenden Rechtsvorschriften und/oder die Bestimmungen dieser Vereinbarung unmittelbar und tatsächlich zugefügt werden.

12. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Unterauftragnehmer ist verpflichtet, dem für die Verarbeitung Verantwortlichen jede Verletzung zu melden, die die Sicherheit der ihn betreffenden personenbezogenen Daten beeinträchtigen könnte, wie z. B. die versehentliche, unbefugte oder unrechtmäßige Übermittlung, der Zugriff, der Verlust, die Veränderung oder die Weitergabe an Dritte unter Verstoß gegen dieses Abkommen oder die Datenschutzregelung, oder jeden Vorfall, der direkt oder indirekt die Vertraulichkeit, Integrität oder Authentizität der Daten beeinträchtigt oder beeinträchtigen könnte, so schnell wie unter den gegebenen Umständen möglich und ohne unangemessene Verzögerung, spätestens jedoch 72 Stunden nach dem Zeitpunkt, zu dem der Unterauftragnehmer davon Kenntnis erlangt.

Die Meldung nach dem vorstehenden Absatz muss alle relevanten Informationen über die betroffenen personenbezogenen Daten enthalten, namentlich:

1. Die Art der verletzten personenbezogenen Daten, einschließlich der Kategorien und der Anzahl der betroffenen Personen sowie der Kategorien und der Anzahl der betroffenen personenbezogenen Datensätze;
2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
3. Beschreibung der vorhersehbaren Folgen der Verletzung des Schutzes personenbezogener Daten; und
4. Die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen oder vorgeschlagen hat, um die Verletzung personenbezogener Daten zu beheben und ihre möglichen negativen Auswirkungen abzumildern.

Im Falle einer Verletzung oder eines Vorfalls untersucht der Unterauftragnehmer den Vorfall oder die Verletzung personenbezogener Daten, ergreift geeignete Maßnahmen, um die Sicherheit personenbezogener Daten zu gewährleisten und die möglichen negativen Auswirkungen auf die betroffenen Personen abzumildern, und verhindert künftige Vorfälle oder Verletzungen personenbezogener Daten.

13. Audits

Der Unterauftragnehmer wird seine Infrastruktur und die EDV-Umgebung, die er für die Verarbeitung personenbezogener Daten nutzt, wie folgt Sicherheitsaudits unterziehen:

1. Wenn eine Norm oder ein Rahmenwerk Prüfungen vorsieht, wird mindestens einmal jährlich eine Prüfung dieser Norm oder dieses Kontrollrahmens eingeleitet.
2. Jedes Audit wird in Übereinstimmung mit den Standards und Regeln der Regulierungs- oder Akkreditierungsstelle für jeden anwendbaren Standard oder Kontrollrahmen durchgeführt.
3. Jedes Audit wird von qualifizierten und unabhängigen dritten Sicherheitsauditoren auf Kosten und nach Wahl des Unterauftragnehmers durchgeführt.

Jedes Audit führt zur Erstellung eines Auditberichts, den der Unterauftragnehmer auf seiner Website oder an einer anderen von ihm angegebenen Stelle zur Verfügung stellt. Der Bericht gilt als vertrauliche Information von Healthium und legt alle wesentlichen Feststellungen des Prüfers deutlich offen. Der Unterauftragnehmer hat alle in einem Bericht angesprochenen Probleme unverzüglich zur Zufriedenheit des Prüfers zu beheben. Auf Verlangen des für die Verarbeitung Verantwortlichen stellt der Unterauftragnehmer dem für die Verarbeitung Verantwortlichen jeden Bericht zur Verfügung.

Die Berichte können von Healthium und dem Wirtschaftsprüfer mit Geheimhaltungs- und Verbreitungsbeschränkungen versehen werden.

Soweit die Audit-Anforderungen der verantwortlichen Stelle nach den jeweiligen Datenschutzgesetzen nicht durch Audit-Berichte, Dokumentationen oder Compliance-Informationen, die der Auftragsverarbeiter seinen Kunden allgemein zur Verfügung stellt, erfüllt werden können, hat der Unterauftragnehmer auf die zusätzlichen Audit-Anweisungen der verantwortlichen Stelle zu reagieren. Vor Beginn eines Audits einigen sich der Unterauftragnehmer und der für die Verarbeitung Verantwortliche einvernehmlich auf den Umfang, den Zeitplan, die Dauer, die Kontroll- und Nachweisanforderungen und die Gebühren des Audits, vorausgesetzt, dass diese Vereinbarungsanforderung es dem Unterauftragnehmer nicht erlaubt, die Durchführung des Audits unangemessen zu verzögern. Soweit es für die Durchführung des Audits erforderlich ist, stellt der Unterauftragnehmer die Verarbeitungssysteme, Einrichtungen und Belegunterlagen zur Verfügung, die für die Verarbeitung personenbezogener Daten durch den Unterauftragnehmer und seine Unterauftragnehmer relevant sind. Eine solche Prüfung wird von einer unabhängigen und zugelassenen Prüfungsgesellschaft während der üblichen Geschäftszeiten mit angemessener Vorankündigung an den Unterauftragnehmer und unter Einhaltung angemessener Vertraulichkeitsverfahren durchgeführt. Der für die Verarbeitung Verantwortliche trägt alle Kosten und Gebühren im Zusammenhang mit einem solchen Audit, einschließlich aller angemessenen Kosten und Gebühren für die Zeit, die der Unterauftragnehmer für ein solches Audit aufwendet, zusätzlich zu den Gebühren für die vom Unterauftragnehmer erbrachten Dienstleistungen. Enthält der als Ergebnis des Audits des Auftragnehmers erstellte Auditbericht wesentliche Verstöße, so teilt der Auftragnehmer diesen Auditbericht mit dem Unterauftragnehmer, und der Unterauftragnehmer muss solche wesentlichen Verstöße unverzüglich abstellen.

Dieser Abschnitt der Vereinbarung ändert nicht die Bestimmungen der DSGVO oder berührt nicht die Rechte einer Aufsichtsbehörde oder einer betroffenen Person gemäß den jeweiligen Datenschutzgesetzen.

14. HIPAA Geschäftspartner

Wenn die verantwortliche Stelle ein "betroffenes Unternehmen" oder ein "Geschäftspartner" ist und "geschützte Gesundheitsinformationen" in Kundendaten oder Daten über professionelle Dienstleistungen enthält, wie diese Begriffe im Health Insurance Portability and Accountability Act von 1996 in seiner geänderten Fassung und den dazu erlassenen Vorschriften (zusammenfassend "HIPAA") definiert sind, schließt die Erfüllung des Vertrags mit der verantwortlichen Stelle die Erfüllung des HIPAA Business Associate Agreement ("BAA") ein.

15. Dauer und Beendigung des Abkommens

Diese Vereinbarung bleibt so lange in Kraft, wie das Dienstleistungsverhältnis zwischen dem für die Verarbeitung Verantwortlichen und dem Unterauftragnehmer besteht.

Bei Beendigung dieser Vereinbarung verpflichtet sich der Unterauftragnehmer, nach Wahl des für die Verarbeitung Verantwortlichen alle Datenträger mit personenbezogenen Daten, die ihm von diesem zur Verfügung gestellt wurden, zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben, wobei alle vorhandenen Kopien zu löschen sind, es sei denn, die Aufbewahrung der Daten ist gesetzlich vorgeschrieben.

16. Mitteilung der Vereinbarung an die Aufsichtsbehörde

Die Vertragsparteien werden hiermit ermächtigt, den Inhalt dieses Abkommens und die damit zusammenhängenden Elemente der zuständigen Aufsichtsbehörde zu übermitteln.

17. Anwendbares Recht

Dieses Abkommen unterliegt den geltenden Bestimmungen des portugiesischen Rechts.

18. Beilegung von Streitigkeiten

Alle Angelegenheiten, die sich aus dieser Vereinbarung ergeben, werden von den Gerichten des Bezirks Braga unter ausdrücklichem Verzicht auf jede andere Zuständigkeit beurteilt.

19. Mittel der Kommunikation mit dem Unterauftragnehmer

Für die Zwecke der Kommunikation in Bezug auf Sicherheit und Datenschutz halten die Vertragsparteien die nachstehend aufgeführten Adressen für die Zwecke des Auftragsverarbeiters und die vom für die Verarbeitung Verantwortlichen zum Zeitpunkt der Registrierung angegebenen Adressen für ausreichend und geeignet. Wenn der für die Verarbeitung Verantwortliche Fragen zur Datensicherheit und zum Datenschutz mit dem Unterauftragnehmer besprechen möchte, kann er dies auf folgende Weise tun:

Pedro Bacelar

Datenschutzbeauftragter

dpo@nutrium.com

oder

Rua Andrade Corvo, nº 242, 1º andar, Sala 106

4700-204 Braga

+351 935 455 75

Anhang I

Bestimmungen für die Bearbeitung

1. Art und Zweck der Verarbeitung

Der für die Verarbeitung Verantwortliche verarbeitet die personenbezogenen Daten seiner Kunden für die Erbringung von Gesundheitsdienstleistungen und für die Verwaltung der Beziehung zu den Kunden und/oder die personenbezogenen Daten seiner Mitarbeiter für die Verwaltung der Beziehung zu ihnen.

Gemäß dem zwischen den Parteien geschlossenen Vertrag verpflichtet sich der Auftragsverarbeiter, dem für die Verarbeitung Verantwortlichen die in den geltenden Geschäftsbedingungen und in der geltenden Datenschutzerklärung beschriebenen Dienstleistungen zu erbringen.

In diesem Zusammenhang und zu diesem Zweck hat der Auftragsverarbeiter Zugang zu den personenbezogenen Daten der Kunden und/oder Mitarbeiter des für die Verarbeitung Verantwortlichen.

2. Dauer der Bearbeitung

Die Dauer der Verarbeitung hängt von der Gültigkeit des vorgenannten Vertrags ab und richtet sich nach den vom für die Verarbeitung Verantwortlichen festgelegten und bekannt gegebenen Aufbewahrungsfristen.

3. Art der verarbeiteten Daten

Einfache und besondere Datenkategorien, namentlich:

• Persönliche Daten der Kunden: allgemeine und demografische Daten, anthropometrische Daten, soziokulturelle und wirtschaftliche Daten und klinische Daten.
• Personenbezogene Daten der Mitarbeiter: allgemeine und demografische Daten;

4. Besondere Datenkategorien

Daten zum Gesundheitszustand der Person.

5. Kategorien von betroffenen Personen

Kunden und/oder Mitarbeiter des für die Datenverarbeitung Verantwortlichen.

Anhang II

Technische und organisatorische Maßnahmen

1. Sicherheit der Bearbeitung

Wie in der Vereinbarung beschrieben, ergreift der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wobei er die fortschrittlichsten Techniken, die Kosten der Umsetzung und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten der betroffenen Personen berücksichtigt.

2. Mindestanforderungen

Gemäß Absatz 1 dieses Anhangs und Anhang I muss der Unterauftragnehmer die folgenden Mindestanforderungen erfüllen:

1. Zugriffskontrolle und Authentifizierung
   • Jeder Zugriff auf die Informationen des für die Datenverarbeitung Verantwortlichen muss durch Benutzer erfolgen, die dazu legitimiert sind, und diese Benutzer müssen über eindeutige Kennungen verfügen, die sie in den Informationsverarbeitungs- und Speichersystemen identifizieren können;
   • Die Authentifizierung in den Systemen muss mit Hilfe von Anmeldeinformationen auf der Grundlage von Benutzer und Passwort erfolgen, wobei das Passwort komplex sein muss (Kombination von Buchstaben, Zahlen, Sonderzeichen und einer Mindestlänge von acht Zeichen);
   • Die Gültigkeitsdauer der Passwörter sollte 90 Tage nicht überschreiten, und es sollte nicht möglich sein, dass der Benutzer die letzten 5 Passwörter verwendet;
   • Es müssen technische Sicherheitsmaßnahmen getroffen werden, um die Zugangsdaten zu schützen, wie z. B. die Sperrung des Passworts nach 6 (sechs) aufeinanderfolgenden Fehlversuchen, sechs Monate ohne Verwendung der Zugangsdaten;
   • Es müssen förmliche Verfahren für die Beantragung, Zuweisung, Aufhebung und Genehmigung des Zugriffs auf die Informationen des für die Verarbeitung Verantwortlichen vorhanden sein.
2. Datenverschlüsselung und Geräteverwaltung
   • Alle personenbezogenen Daten müssen auf Medien (externe Festplatten, Server, USB-Sticks usw.) in verschlüsselter Form gespeichert werden;
   • Alle Informationen müssen über verschlüsselte Kommunikationskanäle übertragen werden (z. B. TLS/SSL, verschlüsselte E-Mails mit X509- oder PGP-Schlüsseln);
   • Alle Computer (Server und PCs) müssen durch den Einsatz von Antiviren-, Intrusion-Detection- und Intrusion-Prevention-Systemen angemessen vor Angriffen und Malware geschützt sein;
   • Alle Komponenten des Informationssystems (Hardware, Firmware und Software) müssen überprüft werden, um sicherzustellen, dass Schwachstellen und Fehler aufgespürt und folglich mit den neuesten verfügbaren Updates aktualisiert oder Maßnahmen zur Behebung der gefundenen Fehler installiert werden.
3. Fähigkeit zur rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls
   • Die Kontinuität der für den für die Verarbeitung Verantwortlichen erbrachten Dienstleistung muss durch den Einsatz von Mechanismen zum Schutz vor versehentlicher Zerstörung oder Verlust gewährleistet werden;
   • Die Mechanismen zur Sicherung von Informationen (z. B. Backups) müssen mit guten Geschäftskontinuitätspraktiken übereinstimmen und sicherstellen, dass:
     • Mindestens eine Kopie wird an einem anderen Ort aufbewahrt;
     • Physische Zugangs- und Schutzkontrollen für Datenträger (z. B. Bänder) bei der Lagerung oder beim Transport durchgeführt werden;
   • Die Wirksamkeit der Schutzmechanismen sollte mindestens alle sechs Monate getestet werden.
4. Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung einer sicheren Behandlung
   • Es sind regelmäßige Audits durchzuführen, um die Einhaltung der in diesem Anhang enthaltenen Sicherheits- und Datenschutzanforderungen zu überprüfen, und zwar mindestens einmal jährlich;
   • Es sollte ein Bericht erstellt werden, in dem der Erfüllungsgrad der Anforderungen und Empfehlungen für die Einhaltung der Anforderungen aufgeführt sind und der schließlich dem Verantwortlichen für die Verarbeitung zur Verfügung gestellt wird.

Anhang III

Liste der Unterauftragsverarbeiter

1. Umfang der Anwendung

Healthium kann bestimmte dritte Datenverarbeiter ("Unterauftragsverarbeiter") beauftragen und einsetzen, um Dienstleistungen für unsere Kunden zu erbringen. Dieser Anhang enthält wichtige Informationen über die Identität, den Standort und die Funktion der einzelnen Unterauftragsverarbeiter.

2. Liste der Unterauftragsverarbeiter

Diese Unterauftragsverarbeiter können Zugriff auf personenbezogene Daten haben, die direkt von unseren Nutzern zur Verfügung gestellt werden oder auf die wir Zugriff haben, um die beauftragten Dienstleistungen zu erbringen. Bitte beachten Sie, dass nicht alle Unterauftragsverarbeiter bei der Erbringung aller von uns angebotenen Dienstleistungen eingesetzt werden und einige möglicherweise nur bei der Erbringung bestimmter Dienstleistungen behilflich sind.

Kundenbetreuung

Plattformen

Digitale Dienstleistungsinfrastrukturen