Digitsole-Compliance-Zentrum

Datenschutzvertrag für Podosmart

Diese Vereinbarung gilt nur im Zusammenhang mit PodoSmart (B2B)-Produkten, bei denen der Praktiker als für die Datenverarbeitung Verantwortlicher handelt. Als für die Verarbeitung Verantwortlicher ist der Anwender verpflichtet, diese Vereinbarung als Teil seiner GDPR-Dokumentation zu speichern. Dieser Datenschutzvertrag legt fest, welche personenbezogenen Daten im Namen des Arztes von Digitsole verarbeitet werden und welche Art der Verarbeitung zulässig ist.

Vereinbarung

Dieser Datenschutzvertrag (im Folgenden als "Vertrag" oder "Zusatz" bezeichnet), datiert auf der digitalen Unterschrift, ist Teil des letzten vertraglichen Kaufvertrages (im Folgenden als "Hauptvertrag" bezeichnet) der PodoSmart-Kits. 

zwischen:

"Praktiker"

(im Folgenden als "der Verantwortlicher" bezeichnet) 


und

DIGITSOLE ,

(im Folgenden als "der Verarbeiter" bezeichnet).

(im folgenden zusammen als "Parteien" bezeichnet). 

Artikel 1 - Zweck 

Zweck des Datenschutzvertrags ist es, die Bedingungen zu definieren, zu denen sich der Auftragsverarbeiter verpflichtet, im Namen des für die Verarbeitung Verantwortlichen die nachstehend definierten Verarbeitungen personenbezogener Daten durchzuführen. 

Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Vertragsparteien, die geltenden Vorschriften über die Verarbeitung personenbezogener Daten und insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die ab dem 25. Mai 2018 geltende Allgemeine Datenschutzverordnung (im Folgenden als "DSGVO" bezeichnet) einzuhalten. 

Artikel 2 - Begriffsbestimmungen 

In diesem Abkommen haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen, und verwandte Begriffe sind entsprechend auszulegen: 

"Verfahren/Verarbeitung/Verarbeitet", "für die Datenverarbeitung Verantwortlicher", "Datenverarbeiter", "Betroffener", "Personenbezogene Daten", "Besondere Kategorien personenbezogener Daten", "Verarbeitungstätigkeiten" und jede weitere Definition, die nicht in diesem Vertrag enthalten ist, haben dieselbe Bedeutung wie im GDPR. 

"Patienten" bedeutet Patienten des Praktikers.

" EU" bedeutet Europäische Union.

"EWR" bedeutet der Europäische Wirtschaftsraum.

“Product”: PodoSmart-Kit und/oder Einlegesohlen.

"Drittlandbedeutet jedes Land außerhalb der EU/EWR, es sei denn, dieses Land ist Gegenstand einer gültigen Angemessenheitsentscheidung der Europäischen Kommission über den Schutz personenbezogener Daten in Drittländern. 

"Dienstleistungen" sind die Dienstleistungen, die der Verarbeiter dem für die Verarbeitung Verantwortlichen nach dem Kauf des Produkts zu erbringen hat. 

Artikel 3 - Dauer des Abkommens 

Diese Vereinbarung tritt mit der digitalen Unterzeichnung dieses Dokuments in Kraft (im Folgenden als "Datum des Inkrafttretens der Vereinbarung" bezeichnet) und solange das Produkt verwendet wird. 

Der für die Verarbeitung Verantwortliche hat den Prozessor mit der Erbringung von Dienstleistungen beauftragt, solange das Produkt in Gebrauch ist. .

Artikel 4 - Art und Zweck der Verarbeitung 

Die vom Verarbeiter bereitgestellten Dienste zur Verarbeitung personenbezogener Daten dienen dazu, dem Behandler das Gehprofil von Patienten, die die PodoSmart-Einlagen verwenden, zur Verfügung zu stellen. 

Artikel 5 - Beschreibung der in Unterauftrag vergebenen Verarbeitung 

Der für die Verarbeitung Verantwortliche hat den Verarbeiter beauftragt, in seinem Namen die folgenden Dienstleistungen zu erbringen:

1.       Verwaltung von Patientenidentifikationsdaten;

2.       Management der biomechanischen Parameter der Patientenmobilität.

Die Art der Operationen, die mit den Daten für die Zwecke von (i) und (ii) durchgeführt werden, sind                 

·  Sammlung, Speicherung und Änderung der persönlichen Informationen des Practitioners für die Verbindung mit der Anwendung, die Nutzung der Dienste und das Kundenbeziehungsmanagement;

·   Sammlung, Speicherung und Änderung der persönlichen Daten des Patienten, die der Arzt für die Nutzung der Dienste benötigt;;

·         Durchsuchen des Patientenkontos mit einem der gespeicherten persönlichen Daten;

·        Datenimport in die Dienste unter Verwendung strukturierter Daten, die vom Praktiker zur Verfügung gestellt werden;

·         Nutzung anonymer biomechanischer Daten für statistische Zwecke und Produktverbesserungen durch den Verarbeiter; 

·         Automatisierte Datensicherung.

Der Verarbeiter verpflichtet sich, die Daten ausschließlich für die oben genannten Zwecke zu verarbeiten.

Die Kategorie der betroffenen Person ist: Patienten, Praktiker.

Um die unter (i) und (ii) genannten Dienstleistungen zu erbringen, ist der Auftragsverarbeiter befugt, im Namen des für die Verarbeitung Verantwortlichen je nach den vom für die Verarbeitung Verantwortlichen und/oder der betroffenen Person bereitgestellten Daten die folgenden erforderlichen Informationskategorien für personenbezogene Daten zu verarbeiten:

Persönliche Identifikationsdaten : Name, Vorname, Berufsbezeichnung, E-Mail, Adresse (privat und geschäftlich), alte Adressen, Telefonnummer (mobil, privat, beruflich), vom Controller zugewiesene Identifikatoren;

Persönliche Angaben : Alter, Geschlecht, Geburtsdatum, Geburtsort, Standesamt und Nationalität;

Identifikationsdaten : ausgestellt von den öffentlichen Diensten, z. B. nationale Identifikationsnummer, Sozialversicherungsnummer, Personalausweisnummer, Reisepass;

Pflegedaten : biomechanische Messungen und Parameter, die infolge der Anwendung des Produkts erhoben wurden;

Daten der elektronischen Identifizierung : IP-Adressen, Cookies, Momente der Verbindung, elektronische Unterschrift;

Pseudonymisierung : Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (z.B. Hash-Berechtigungsnachweise).

Artikel 6 - Pflichten des für die Verarbeitung Verantwortlichen 

Gemäß Artikel 28.3 der Verordnung ist der für die Verarbeitung personenbezogener Daten Verantwortliche für die Verarbeitung verantwortlich und hat die in Artikel 28 der genannten Verordnung festgelegten Rechte. 

Der Controller hat die Hauptverantwortung und verpflichtet sich:

·        dem Verarbeiter die in diesem Dokument erwähnten Daten zur Verfügung stellen, Daten, die rechtmäßig und in Übereinstimmung mit der anwendbaren Gesetzgebung erhalten wurden; 

·         jede Anweisung, die sich auf die Verarbeitung von Daten durch den Prozessor bezieht, schriftlich zu dokumentieren;

·         dem Verarbeiter die unter Punkt 5 des Abkommens genannten Daten zur Verfügung stellen;

·         unter seiner/ihrer eigenen Verantwortung ein Register der Verarbeitungsaktivitäten zu führen;

·      von seiner/ihrer Seite aus alle technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen, um ein ausreichendes Schutzniveau für persönliche Daten zu gewährleisten, die mit Hilfe der Dienste des Verarbeiters verarbeitet werden;

·         vor und während der Verarbeitung die Einhaltung der im DSGVO festgelegten Verpflichtungen zu gewährleisten;

·         die Rechte des Datensubjekts respektieren;

·         dem Verarbeiter alle Sicherheitsvorfälle in Bezug auf die erbrachten Dienstleistungen zu melden;

·     die Verarbeitung zu überwachen, einschließlich durch die Durchführung von Audits und Inspektionen mit dem Verarbeiter, wenn dies für notwendig erachtet wird.

Es liegt auch in der Verantwortung des für die Verarbeitung Verantwortlichen, die Informationen den Personen zur Verfügung zu stellen, die zum Zeitpunkt der Datenerhebung an den Verarbeitungsvorgängen beteiligt sind. 

Artikel 7 - Verpflichtungen des Verarbeiters 

Solange der Verarbeiter personenbezogene Daten für den für die Verarbeitung Verantwortlichen verarbeitet, gelten gemäß Artikel 28 des DSGVO die folgenden Bedingungen: 

7.1 Pflichten des Verarbeiters gegenüber dem Controller 

Der Verarbeiter verpflichtet sich zur Einhaltung aller gesetzlichen Bestimmungen des DSGVO und der nationalen Datenschutzgesetze. Jede Form der Verlagerung der Datenverarbeitung (einschließlich der Verlegung des Geschäftssitzes des Verarbeiters) in ein Drittland (außerhalb der EU oder des EWR) wird im Voraus mitgeteilt, damit der für die Verarbeitung Verantwortliche genügend Zeit hat, diese Änderung anzufechten. 

Der Prozessor muss sich verpflichten, die Daten gemäß den dokumentierten Anweisungen des Controllers zu verarbeiten. Ist der Auftragsverarbeiter nach EU-Recht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, verpflichtet, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, so hat der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über die rechtliche Anforderung zu informieren, es sei denn, dieses Recht verbietet diese Information aus wichtigen Gründen des öffentlichen Interesses.

Sollte der Verarbeiter der Ansicht sein, dass eine vom für die Verarbeitung Verantwortlichen erlassene Richtlinie gegen das DSGVO oder andere Datenschutzgesetze der EU oder eines Mitgliedstaates verstößt, muss der Verarbeiter den für die Verarbeitung Verantwortlichen unverzüglich und in gutem Glauben informieren. 

Der für die Verarbeitung Verantwortliche ist berechtigt, die Einhaltung aller geltenden Datenschutzbestimmungen und die Einhaltung der vertraglichen Bestimmungen selbst oder durch Dritte gegenüber dem Verarbeiter und etwaigen Subunternehmern zu überprüfen. Zu diesem Zweck stellt der Prozessor dem für die Verarbeitung Verantwortlichen die erforderlichen Unterlagen zur Verfügung, damit der für die Verarbeitung Verantwortliche oder jeder andere von ihm beauftragte Dritte Audits, einschließlich Inspektionen, durchführen kann, und trägt zu solchen Audits bei. 

Der Verarbeiter muss dem Kontrolleur alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung seiner Verpflichtungen aus der Vereinbarung nachzuweisen.

Alle Angestellten und Mitarbeiter des Prozessors sind vertraglich zur Geheimhaltung verpflichtet

7.2 Aufzeichnungen von Verarbeitungsaktivitäten 

Der Auftragsverarbeiter führt die Datenverarbeitung in dokumentierter Form durch, es sei denn, das Recht der EU oder der Mitgliedstaaten, denen der Auftragsverarbeiter unterliegt, verlangt von ihm etwas anderes; in diesem Fall hat der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtlichen Anforderungen zu informieren, es sei denn, das betreffende Recht verbietet eine solche Kommunikation aufgrund eines erheblichen öffentlichen Interesses. 

Gemäß Artikel 30 des DSGVO führt der Verarbeiter über alle Kategorien von Verarbeitungsaktivitäten, die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden, ein schriftliches Protokoll, das Folgendes enthält 

·    den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen, in dessen Namen der Auftragsverarbeiter handelt, aller anderen Auftragsverarbeiter und gegebenenfalls des Datenschutzbeauftragten;

·  die Kategorien von Verarbeitungen, die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden;

·   gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, im Falle von Übermittlungen nach Artikel 49 Absatz 1 Unterabsatz 2 des BIPR, der Dokumentation geeigneter Schutzmaßnahmen;

· wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahme, einschließlich unter anderem :

o die Pseudonymisierung und Verschlüsselung persönlicher Daten;

o die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;

o die Fähigkeit, die Verfügbarkeit und den Zugang zu persönlichen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen;

o ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

7.3 Technische und organisatorische Massnahmen 

Der Verarbeiter verpflichtet sich, in Bezug auf seine Werkzeuge, Produkte, Anwendungen oder Dienstleistungen die Grundsätze des Datenschutzes von Anfang an und standardmäßig zu berücksichtigen. 

Der Bearbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung der in den Artikeln 32 bis 36 des DSGVO festgelegten Verpflichtungen (Ergreifen technischer und organisatorischer Maßnahmen, Meldung von Sicherheitsverletzungen, Erstellung einer Datenschutzfolgenabschätzung). Der Bearbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Durchführung der Datenschutzfolgenabschätzung. Der Bearbeiter unterstützt den für die Verarbeitung Verantwortlichen im Hinblick auf die vorherige Konsultation der zuständigen Aufsichtsbehörde. 

Der Auftragsverarbeiter hat eine angemessene Reihe technischer und organisatorischer Maßnahmen zu ergreifen, um ein Sicherheitsniveau für die Daten und/oder die Datenverarbeitung zu gewährleisten, das den festgestellten Risiken angemessen ist, unter anderem 

·         die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;

·  die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;

·         die Fähigkeit, die Verfügbarkeit und den Zugang zu persönlichen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen;

·         ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Sicherheitsmaßnahmen sollen persönliche Daten vor Zerstörung, versehentlichem oder unrechtmäßigem Verlust, Änderung, unbefugter Offenlegung oder Zugriff schützen. 

7.4 Büro des Datenschutzbeauftragten 

Der Auftragsverarbeiter teilt dem für die Verarbeitung Verantwortlichen den Namen und die Kontaktdaten seines Datenschutzbeauftragten mit, falls er einen solchen gemäß Artikel 37 des DSGVO bestimmt haben sollte. 

Kontaktinformationen von DPO: Eric ILUNGA, Legal Manager

E-Mail: privacy@digitsole.com

 

7.5 Vergabe von Unteraufträgen 

Die Beauftragung oder der Einsatz von Unterauftragnehmern (im Folgenden als "Unterauftragnehmer" bezeichnet) ist dem Verarbeiter grundsätzlich gestattet. Über die beabsichtigte Beauftragung oder den beabsichtigten Einsatz von Unterauftragnehmern wird der Kontrolleur vorab informiert, und es steht dem Kontrolleur frei, dieser Beauftragung innerhalb von 14 Tagen nach Absendung dieser Ankündigung zu widersprechen. Der Verarbeiter muss alle Unterauftragnehmer im Sinne von Artikel 28 Absatz 4 des GDPR dazu verpflichten, ihre vertraglichen Verpflichtungen einzuhalten und alle Verpflichtungen, die der Verarbeiter zu erfüllen hat, auf den Unterauftragnehmer zu übertragen. Es ist den Unterauftragnehmern untersagt, Daten in einem Drittland zu verarbeiten oder zu übertragen. Eine Liste der Unterauftragnehmer ist auf der Website des Auftragsverarbeiters zu finden. Eine Liste von Unterauftragnehmern finden Sie auf der Website des Verarbeiters:

https://compliance.digitsole.com/sub-processors

7.6 Vertraulichkeit und Sicherheit 

Der Auftragsverarbeiter stellt sicher, dass befugte Personen, die die verarbeiteten Daten verarbeiten oder Zugang zu diesen Daten haben oder erhalten können, sich vor der Verarbeitung oder dem Zugang zu diesen Daten zur Vertraulichkeit verpflichtet haben, sofern sie nicht gleichwohl einer Geheimhaltungspflicht unterliegen, und sorgt für ein angemessenes Datenschutzbewusstsein und eine entsprechende Schulung. 

Der Verarbeiter unternimmt alle angemessenen Schritte zum Schutz der hiernach verarbeiteten personenbezogenen Daten. 

Unter dem untenstehenden Link finden Sie die vom Verarbeiter durchgeführten technischen und organisatorischen Sicherheitsmaßnahmen:

https://compliance.digitsole.com/technical-and-organisational-security-measures

7.7 Rechte der betroffenen Person auf Information 

Zum Zeitpunkt der Datenerfassung muss der Auftragsverarbeiter den von den Verarbeitungsvorgängen betroffenen Datensubjekten Informationen über die von ihm durchgeführte Datenverarbeitung zur Verfügung stellen. 

7.8 Ausübung der Rechte der betroffenen Person 

Sollte sich eine betroffene betroffene Person nicht an den für die Verarbeitung Verantwortlichen, sondern an den Auftragsverarbeiter oder einen Unterauftragnehmer wenden, informiert der Auftragsverarbeiter die betroffene Person, damit sie ihre Anfrage direkt an den für die Verarbeitung Verantwortlichen sendet. Der Auftragsverarbeiter wird diese Anträge nicht an den für die Verarbeitung Verantwortlichen weiterleiten. 

Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen, soweit möglich, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, Anfragen von betroffenen Personen, die ihre in Kapitel III des GDPR genannten Rechte (Anfrage, Auskunftsrecht, Recht auf Berichtigung und Löschung, Information, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungsfindung im Einzelfall einschließlich der Erstellung von Profilen) ausüben, innerhalb einer angemessenen Frist zu beantworten. 

7.9 Benachrichtigung bei Verletzungen persönlicher Daten 

The Processor shall notify the Controller of any personal data breach not later than 48 hours after having become aware of it and via the following means: email. The said notification shall be sent along with any necessary documentation to enable the Controller, where necessary, to notify this breach to the competent supervisory authority.

Article 8 - Return and destruction of Personal Data 

Upon the termination of Controller’s access to and use of the processing service, Processor will, up to thirty (30) days following such termination at the choice of the Controller either (a) permit Controller to export its personal data, or (b) delete all personal data in accordance with Article 28 (3) (g) of the GDPR.

Following such period, Processor shall delete all personal data stored or processed by him on behalf of Controller in accordance with Processor’s deletion policies and procedures. Controller expressly consents to such deletion

Artikel 8 - Schicksal der persönlichen Daten 

Bei Beendigung des Abkommens werden alle persönlichen Daten gelöscht. Der für die Verarbeitung Verantwortliche ist verpflichtet, seine persönlichen Daten vor der Beendigung des Vertrags zu exportieren, um sicherzustellen, dass keine Daten verloren gehen. Der Verarbeiter wird die Daten 10 Jahre nach der letzten Verwendung des Produkts dauerhaft vernichten, es sei denn, es besteht nach EU- oder nationalem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten. Die Daten aus Datenbank-Backups werden erst nach einem vollständigen Backup-Zyklus von 3 Monaten dauerhaft entfernt. 

Der Controller erhält die Möglichkeit, die Datenaufbewahrungsfrist zu konfigurieren. Standardmäßig werden alle Daten 10 Jahre lang aufbewahrt, die je nach Bedarf des Controllers auf bis zu 1 Jahr verkürzt werden kann. 

Artikel 9 - Zusatzvereinbarungen 

Gemäss Artikel 83 des DSGVO kann gegen den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter, der gegen bestimmte Datenschutzverpflichtungen, insbesondere diejenigen, die sich aus den GDPR-Anforderungen ergeben, verstösst, eine Geldstrafe verhängt werden. 

Dieser Vertrag ist nach ausdrücklicher Online-Genehmigung durch den Controller bei Beginn der Nutzung des Produkts und für die Dauer des Hauptvertrags gültig. 


Zuletzt aktualisiert am 8. Oktober 2020