Allgemeine Bedingungen

Allgemeine Bedingungen für die Auftragsverarbeitung personenbezogener Daten bei KRISPOL

  1. Diese Allgemeinen Bedingungen für die Auftragsverarbeitung personenbezogener Daten gelten für die Datenverarbeitung im Auftrag von KRISPOL sp. z o.o. mit Sitz in Psary Małe und die Datenverarbeitung in dem Fall, wenn KRISPOL sp. z o.o. personenbezogene Daten zur Verarbeitung bekommt und der Auftragsverarbeiter ist.
  2. Der Vertrag über Auftragsverarbeitung personenbezogener Daten hat Vorrang vor diesen Bedingungen.
  3. Die Grundsätze der Beauftragung und der Verarbeitung von personenbezogenen Daten sind übereinstimmend mit dem Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Amtsblatt EU L 119, S. 1) – nachstehend DSGVO genannt.
  4. Die Verarbeitung personenbezogener Daten erfolgt in der Laufzeit der Zusammenarbeit zwischen dem Partner und KRISPOL sowie nach der Beendigung dieser Zusammenarbeit, soweit es für die Geltendmachung von Ansprüchen bzw. Verteidigung der Rechte, aufgrund von gesetzlichen Vorschriften bzw. aufgrund einer anderen Rechtsgrundlage gemäß DSGVO erforderlich ist.
  5. Der Charakter und der Zweck der Verarbeitung ergeben sich aus dem Rechtsverhältnis zwischen KRISPOL und dem Partner sowie aus dem Charakter der Zusammenarbeit.
  6. Die Verarbeitung gilt für personenbezogene Daten (nachstehend: „Daten”), die in der Anlage zum Vertrag über Auftragsverarbeitung personenbezogener Daten bestimmt sind (nachstehend: „Vertrag”).
  7. Die Kategorien von Personen, deren Daten verarbeitet werden, sind in der Anlage zum Vertrag bestimmt.
  8. Der Auftragsverarbeiter kann konkrete Vorgänge im Rahmen der Datenverarbeitung („weitere Auftragsverarbeitung”) im Wege eines schriftlichen Vertrags über weitere Auftragsverarbeitung („Vertrag über weitere Auftragsverarbeitung”) an weitere Auftragsverarbeiter („weitere Auftragsverarbeiter”) übertragen, unter der Voraussetzung, dass der jeweilige weitere Auftragsverarbeiter vom Verantwortlichen genehmigt wird oder der Verantwortliche keinen Widerspruch einlegt. Ein Verzeichnis von weiteren Auftragsverarbeitern, die vom Verantwortlichen genehmigt wurden, bildet eine Anlage zum Vertrag.
  9. Die Übertragung der Datenverarbeitung an weitere Auftragsverarbeiter, die nicht im Verzeichnis der genehmigten weiteren Auftragsverarbeiter enthalten sind, erfordert der vorausgehenden Benachrichtigung des Verantwortlichen, damit er ggf. einen Widerspruch einlegen kann. Der Verantwortliche kann in begründeten Fällen einen nachgewiesenen Widerspruch gegen die Bereitstellung der Daten an einen konkreten weiteren Auftragsverarbeiter erheben. Sollte ein Widerspruch erhoben werden, dann ist der Auftragsverarbeiter nicht befugt, an den mit dem Widerspruch erfassten weiteren Auftragsverarbeiter Daten zu übertragen und falls der Widerspruch für den aktuellen weiteren Auftragsverarbeiter gilt, dann muss der Auftragsverarbeiter die Bereitstellung von Daten an diesen weiteren Auftragsverarbeiter sofort einstellen. Jegliche Zweifel hinsichtlich der Rechtfertigung eines Widerspruchs und der möglichen negativen Folgen wird der Auftragsverarbeiter dem Verantwortlichen in einer Zeit melden, die die Kontinuität der Verarbeitung gewährleistet.
  10. Im Rahmen der Beauftragung des weiteren Auftragsverarbeiters hat der Auftragsverarbeiter den weiteren Auftragsverarbeiter zu verpflichten, sämtliche sich aus diesem Vertrag ergebenden Pflichten zu erfüllen, ausgenommen diejenigen, die wegen der Art der jeweiligen Beauftragung keine Anwendung finden.
  11. Der Auftragsverarbeiter hat dafür zu sorgen, dass der weitere Auftragsverarbeiter dem Verantwortlichen eine Verpflichtung zur Erfüllung von Pflichten vorlegt, von denen in dem vorausgehenden Absatz die Rede ist. Es kann durch Unterzeichnung einer Erklärung für den Verantwortlichen samt Unterzeichnung des Vertrags über weitere Auftragsverarbeitung mit einer Aufstellung der Pflichten des weiteren Auftragsverarbeiters erfolgen.
  12. Der Auftragsverarbeiter darf nicht die Ausführung des ganzen Vertrags an den weiteren Auftragsverarbeiter übertragen.
  13. Der Auftragsverarbeiter verarbeitet die Daten ausschließlich nach Maßgabe dieses Vertrags bzw. gemäß den nachgewiesenen Weisungen bzw. Anleitungen des Verantwortlichen.
  14. Der Auftragsverarbeiter erklärt, dass er die Daten an keinen Drittstaat bzw. keine internationale Organisation (außerhalb des Europäischen Wirtschaftsraumes („EWR”)) weitergibt. Der Auftragsverarbeiter erklärt auch, dass er keine Subunternehmen in Anspruch nimmt, die die Daten außerhalb von EWR weitergeben.
  15. Falls der Auftragsverarbeiter eine Absicht bzw. Pflicht hat, die Daten außerhalb von EWR zu übermitteln, informiert er darüber den Verantwortlichen, damit er Entscheidungen treffen und Maßnahmen einleiten kann, um die Rechtsmäßigkeit der Verarbeitung sicherzustellen bzw. die Auftragsverarbeitung zu beenden.
  16. Der Auftragsverarbeiter erwirkt bei den Personen, die im Rahmen der Vertragsausführung zur Datenverarbeitung befugt wurden, nachgewiesene Verpflichtungen zur Geheimhaltung bzw. stellt sicher, dass diese Personen der gesetzlichen Geheimhaltungspflicht unterliegen.
  17. Der Auftragsverarbeiter gewährleistet den Schutz von Daten und leitet Datenschutzmaßnahmen ein, von denen in Art. 32 DSGVO die Rede ist, in Übereinstimmung mit weiteren Bestimmungen dieses Vertrags.
  18. Der Auftragsverarbeiter beachtet die Bedingungen für die Inanspruchnahme von Diensten eines anderen Auftragsverarbeiters (weiteren Auftragsverarbeiters).
  19. Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen, den Forderungen der betroffenen Person zu folgen, im Rahmen der Ausübung von Rechten, die im Kapitel III DSGVO bestimmt sind („Rechte der betroffenen Person”). Der Auftragsverarbeiter erklärt, dass er die Bearbeitung von Rechten der betroffenen Person hinsichtlich der bereitgestellten Daten gewährleistet. Die weiteren Details der Bearbeitung von Rechten der betroffenen Personen werden zwischen den Parteien festgelegt.
  20. Der Auftragsverarbeiter arbeitet mit dem Verantwortlichen bei der Erfüllung der Datenschutzpflichten durch den Verantwortlichen zusammen, von denen in Art. 32−36 DSGVO (Datenschutz, Meldung von Verletzungen bei der Aufsichtsbehörde, Benachrichtigung von Personen, die von der Datenschutz-Verletzung betroffen sind, Beurteilung von Auswirkungen auf den Datenschutz und vorausgehende Beratung mit der Aufsichtsbehörde) die Rede ist.
  21. Sollte der Auftragsverarbeiter Zweifel hinsichtlich der Rechtsmäßigkeit der vom Verantwortlichen erteilten Weisungen bzw. Anleitungen haben, dann wird der Auftragsverarbeiter den Verantwortlichen unverzüglich über diese Zweifel informieren (nachgewiesen und mit Begründung).
  22. Der Auftragsverarbeiter erklärt, dass er die in der DSGVO bestimmten Grundsätze der Datenverarbeitung, darunter die Datenminimierung (Art. 25 Abs. 2 DSGVO) und privacy by design (Art. 25 Abs. 1 DSGVO) befolgt.
  23. Werden Änderungen bei der Datenverarbeitung geplant, dann ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen mit einer Vorlaufzeit über die geplanten Änderungen in einer solchen Weise und zu einem solchen Zeitpunkt zu informieren, dass der Verantwortliche eine reale Möglichkeit zur Reaktion hat, falls die vom Auftragsverarbeiter geplanten Änderungen in der Auffassung des Verantwortlichen für das vereinbarte Sicherheitsniveau der Daten gefährlich sind oder das Risiko einer Verletzung von Rechten bzw. persönlichen Freiheiten infolge von der Datenverarbeitung vom Auftragsverarbeiter erhöhen.
  24. Der Auftragsverarbeiter verpflichtet sich, den Zugang zu den Daten ausschließlich auf Personen zu beschränken, für die der Zugang zur Vertragserfüllung erforderlich ist und die entsprechende Berechtigung haben.
  25. Falls der Auftragsverarbeiter zur Vertragserfüllung automatisierte Datenverarbeitung, darunter das Profiling nutzt, von dem in Art. 22 Abs. 1 und 4 DSGVO die Rede ist, dann wird er den Verantwortlichen darüber informieren, zwecks und in dem Umfang, der für die Erfüllung der Informationspflicht des Verantwortlichen erforderlich ist.
  26. Der Auftragsverarbeiter ist verpflichtet, den zur Datenverarbeitung befugten Personen eine entsprechende Schulung zum Schutz von personenbezogenen Daten zu gewährleisten.
  27. Der Verantwortliche ist verpflichtet, bei der Vertragsausführung mit dem Auftragsverarbeiter zusammenzuarbeiten, im Fall von Zweifeln hinsichtlich der Rechtsmäßigkeit der Weisungen des Verantwortlichen dem Auftragsverarbeiter erforderliche Erklärungen zu erteilen und seinen detaillierten Pflichten fristgemäß nachzugehen.
  28. Der Auftragsverarbeiter hat eine Risikoanalyse bei der Verarbeitung der bereitgestellten Daten durchgeführt, diese Analyse dem Verantwortlichen zur Verfügung gestellt und beachtet die Ergebnisse dieser Analyse hinsichtlich der organisatorischen und technischen Datenschutzmittel. Der Auftragsverarbeiter erklärt, dass er ausreichende Garantien für die Einführung von geeigneten technischen und organisatorischen Maßnahmen sicherstellt.
  29. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über jeden Verdacht einer Verletzung des Datenschutzes spätestens innerhalb von 24 Stunden nach der Erstmeldung, ermöglicht dem Verantwortlichen die Teilnahme an den Klärungsmaßnahmen und informiert den Verantwortlichen über die Vereinbarungen zur Zeit deren Festlegung, insbesondere über die festgestellte Verletzung. Eine Benachrichtigung über die festgestellte Verletzung soll samt der erforderlichen Dokumentation zur Verletzung übermittelt werden, damit der Verantwortliche seiner Pflicht nachgehen und die Aufsichtsbehörde benachrichtigen kann.
  30. Der Verantwortliche kann die Art und Weise der Verarbeitung von bereitgestellten personenbezogenen Daten kontrollieren, nachdem er den Auftragsverarbeiter über die geplante Kontrolle mit einer Frist von 7 Tagen benachrichtigt. Der Verantwortliche bzw. von ihm bestellte Personen sind befugt, (i) die Räume, in denen die personenbezogenen Daten verarbeitet werden zu betreten und (ii) die Dokumentation zur Verarbeitung personenbezogener Daten einzusehen. Der Verantwortliche ist befugt, von dem Auftragsverarbeiter Auskunft über den Verlauf der Verarbeitung personenbezogener Daten und die Bereitstellung der Verarbeitungsregister zu fordern.
  31. Der Auftragsverarbeiter arbeitet im Rahmen der Aufgabenerfüllung mit der Datenschutzbehörde zusammen.
  32. Der Auftragsverarbeiter
    a) stellt dem Verantwortlichen jegliche Informationen bereit, die zum Nachweis der Übereinstimmung der Vorgehensweise des Verantwortlichen mit den Vorschriften der DSGVO erforderlich sind,
    b) ermöglicht dem Verantwortlichen bzw. dem berechtigten Wirtschaftsprüfer die Durchführung von Audits bzw. Inspektionen. Der Auftragsverarbeiter arbeiten im Rahmen der Durchführung von Wirtschaftsprüfungen bzw. Inspektionen zusammen.
  33. Der Verantwortliche erklärt, dass er der Verantwortliche für die Daten ist und dass er zur deren Verarbeitung in dem Umfang befugt ist, in dem er sie dem Auftragsverarbeiter bereitgestellt hat.
  34. Der Auftragsverarbeiter erklärt, dass er sich im Rahmen der betriebenen geschäftlichen Tätigkeit mit der vertragsgegenständlichen Verarbeitung personenbezogener Daten beschäftigt und dass er in diesem Umfang die erforderlichen Kenntnisse sowie geeignete technische und organisatorische Mittel hat und dass er eine Gewährleistung für die ordentliche Erfüllung dieses Vertrags erteilt.
  35. Auf Forderung des Verantwortlichen wird der Auftragsverarbeiter entsprechende Empfehlungsschreiben, ein Verzeichnis der bisherigen Erfahrungen, finanzielle Informationen und andere Beweise dafür vorlegen, dass der Auftragsverarbeiter ausreichende Garantien für die Einführung von geeigneten technischen und organisatorischen Mitteln erbringt, damit die Verarbeitung die Anforderungen der DSGVO erfüllt und die Rechte der betroffenen Personen schützt.
  36. Der Auftragsverarbeiter haftet für die mit seinem Handeln verursachten Schäden im Zusammenhang mit der Nichterfüllung von Pflichten, die von der DSGVO unmittelbar dem Auftragsverarbeiter auferlegt werden bzw. im Zusammenhang damit, dass der Auftragsverarbeiter die rechtmäßigen Anleitungen des Verantwortlichen überschritten hat oder entgegen diesen Anleitungen gehandelt hat. Der Auftragsverarbeiter haftet für Schäden, die infolge von eingesetzten bzw. nicht eingesetzten geeigneten Sicherheitsmitteln entstanden sind.
  37. Sollte der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nachgehen, dann übernimmt der Auftragsverarbeiter gegenüber dem Verantwortlichen volle Haftung für die Nichterfüllung der Pflichten durch den weiteren Auftragsverarbeiter.
  38. Nach der Auflösung bzw. Beendigung des Vertrags ist der Auftragsverarbeiter nicht berechtigt, die bereitgestellten Daten weiter zu verarbeiten und ist verpflichtet,
    a) die Daten zu löschen,
    b) alle bestehenden Datenkopien zu löschen bzw. Daten zurückzugeben, es sei denn der Verantwortliche bestimmt anders oder die Vorschriften der EU bzw. des Mitgliedsstaates die weitere Aufbewahrung von Daten erfordern.Nach der Erfüllung der vorgenannten Pflicht wird der Auftragsverarbeiter dem Verantwortlichen eine schriftliche Erklärung abgeben, in der die endgültige Löschung aller Daten bestätigt wird.
  39. Die Verträge über Auftragsverarbeitung personenbezogener Daten unterliegen den polnischen gesetzlichen Vorschriften und der DSGVO.