协议

协议双方：

 

LexCom Informationssysteme GmbH 公司，地址：Rüdesheimer Str. 23，80686 München

- 以下称“受托人”或“受托处理人” -

其客户

- 以下称“委托人“ -

 

注意

本文件包含受托人针对委托人与受托人依据《数据保护基本条例》（DSGVO）第 28 条第 3 款订立的委托处理协议的条款。通过受托人的在线或其他信息服务订立使用合同（”服务协议“）或 - 如果服务协议已存在 - 后续声明，委托人表示同意这些条件。

第一条委托的对象和持续

（1）对象

数据处理委托的对象由基本的服务协议产生。

（2）持续

委托的持续（期限）就是基本服务协议的期限。

第二条委托的具体内容

（1）规定的数据处理的方式和目的
  委托包含以下处理：

1. 处理个人相关数据，这些数据由委托人在使用相应的在线和其他信息服务时所输入并且必须由受托人出于提供产品功能的目的进行处理。
2. 处理个人相关数据，受托人在其他活动中可能需要访问这些数据。
   • 一方面，受托人出于自我评估的目的，尤其是对产品功能进行分析以优化产品以及测量成功和使用率时，需要访问 a) 中提到的个人相关数据。在这种情况下，与委托相关的数据不是评估的一部分，并且由受托人删除或进行假名化/匿名化
   • 另一方面，受托人出于维护和/或提供支持服务的目的访问委托人存储在本地的其他个人相关数据。
3. 此外，为了能够根据 VIN 查询零件，受托人可能会将 VIN 转发至相应制造商的服务器。制造商提供零件查询所需的特定信息以完善 VIN，并将其返回给受托人。制造商也会出于自身目的对 VIN 进行处理，因此根据《数据保护基本条例》（DSGVO）是独立的负责方。委托人在此授权受托人出于此目的将 VIN 转发给制造商。

（2）数据的类型

个人相关数据处理的对象是以下数据类型/类别（数据类别的列举/描述）

• 由委托人在在线服务登记的车辆识别号（FIN）和/或车牌号
• 由委托人在在线服务登记的最终客户数据，尤其包括：
  • 零件订单中的地址数据
  • 用于发送图文页面的电子邮件地址
• 由最终客户在注册时在在线服务登记的客户数据以及
• 委托人本地存储的客户数据（在由客户服务进行远程维护的情况下）
  • 人员基本数据
  • 通信数据（例如电话、电子邮件）

（3）涉及人员的类别

通过处理涉及的人员类别包括：

• 委托人的最终客户

(4) 受托人保留对委托人数据进行匿名或汇总的权利，确保不会识别出单个数据主体，并以这种形式出于设计、进一步开发和优化以及提供主合同约定服务的目的使用这些数据。双方同意，匿名或根据上述约定汇总的委托人数据在本合同的含义内不再被视为委托人数据。

(5) 如果法律许可或数据主体明确同意，受托人可在遵守数据保护条例的前提下，出于自身目的自行负责处理和使用委托人数据。本合同不适用于此类数据处理。

第三条数据处理的地点

提供合同约定的数据处理主要在德国、欧盟成员国或欧洲经济区协议缔约国进行。如果数据还由第三国的分包商进行处理，仅在满足《数据保护基本条例》（DSGVO）第 44 条的特殊前提条件下才能进行。

第四条技术组织措施

（1）受托人应记录委托前期提交和所需的技术及组织措施的执行情况，特别是委托的具体执行情况，并将此文件连同本声明一起提供给委托人审核。如果委托人接受，记录的措施将成为委托的基础。否则，双方将不会达成服务协议。

（2）受托人将依据《数据保护基本条例》（DSGVO）第 28 条第 3 款第 c 点、第 32 条，尤其是结合第 5 条第 1 款、第 2 款的规定保障安全。总的来说，要采取的措施是数据安全措施和与风险相称的保护等级的保障措施，涉及系统的机密性、完整性、可用性和承受力。在此过程中，受托人应考虑到技术水平、实施成本以及处理的方式、程度和目的以及不同的进入可能性和《数据保护基本条例》（DSGVO）第 32 条第 1 款意义上的自然人权利和自由的风险严重性（详情见附件 1）。

（3）技术和组织措施取决于技术进步和进一步发展。在这方面，受托人可以采取其他适当的措施。在此情形，他不能降低已确定措施的安全等级。出现重大变更他应做记录。

第五条数据的更正、限制和删除

（1）受托人不得自行、仅能根据委托人的书面指示对委托处理的数据进行更正、删除或限制处理。如果涉及的人员在这方面直接向受托人求助，受托人立即将此请求转达给委托人。

（2）只要在服务范围内，受托人将根据委托人的书面指示直接保障删除计划、被遗忘权、更正、数据可移植性和咨询。偏离服务协议或产生附加要求的个别指示需要事先征得受托人的同意。应该指出的是，受托人提供的在线服务是标准产品，其适应委托人的数据保护要求会导致高成本。这些费用将根据相应的单独协议由委托人全额承担。

第六条受托人的质量保证和其他义务

除遵守本委托的规定外，受托人还需承担《数据保护基本条例》（DSGVO）第 28 条至 33 条规定的法定义务；在此范围内，受托人首先确保遵守以下规定：

1. 书面任命一名数据保护专员，其依据《数据保护基本条例》（DSGVO）第 38 条和第 39 条的规定开展工作。为了直接联系，其联系方式应告知委托人。更换数据保护专员应立即通知委托人。
2. 依据《数据保护基本条例》（DSGVO）第 28 条第 3 款第 2 句第 b 点、第 29 条、第 32 条第 4 款的规定进行保密。受托人只会使用致力于保密以及以前熟悉与他们相关的数据保护规定的员工进行工作。受托人和受托人下属的任何可以访问个人数据的人员只能按照委托人的指示（包括本合同中授予的权力）处理此类数据，除非他们在法律上有义务处理。
3. 执行和遵守本委托所需的所有技术和组织措施，依据《数据保护基本条例》（DSGVO）第 28 条第 3 款第 2 句第 c 点、第 32 条的规定。（详情见附件 1）。
4. 委托人和受托人应要求应与监管机构合作共同完成工作任务。
5. 向委托人提供有关监管机构控制行为和措施的即时信息，只要信息与此委托相关。这同样也适用于，如果主管机构在行政或刑事程序的范围内就委托处理工作中处理个人数据向受托人进行调查。
6. 如果委托人一方遭受监管机构的审查、行政或刑事程序、相关人员或第三方的责任索赔或与受托人委托处理相关的其他索赔，受托人应尽其全力支持他。
7. 受托人将定期审查内部流程以及技术和组织措施，以确保其职责范围内的处理符合适用的数据保护法的要求，并确保涉及人员的权利受到保护。
8. 委托人在本合同第 七 条规定的控制权范围内对采取的技术和组织措施的可验证性。

第七条分包关系

（1）本规定的分包关系是指与提供主要服务直接相关的服务。这不包括受托人例如作为电信服务、邮政/运输服务、维护和用户服务或处置数据载体以及其他为确保数据处理设施的硬件和软件的机密性、可用性、完整性和承受力采取的措施所提供的辅助服务。但是，即使分包辅助服务，受托人也有义务采取适当和合法合规的合同协议和控制措施，以确保委托人数据的数据保护和数据安全。

（2）委托人在此授予受托人一般许可，允许其委派第三方合同处理方来处理数据。

委托人同意依据《数据保护基本条例》（DSGVO）第 28 条第 2 至 4 款在合同协议的条件下委托下列分包商：

公司名称 分包商	地址/国家	服务
Belenus LOB GmbH	Rüdesheimer Str. 23 80686 München DEUTSCHLAND	提供整个内外 IT 运行系统
LexCom (China) Co., Ltd	中国上海市长宁区延安西路728号9G室邮编：200050	提供客户支持
LexCom Japan K.K.	Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN	提供客户支持
LexCom Information Systems Ltd	Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM	提供客户支持
LexCom France SARL	Espace Mama Works 51 Quai Lawton 33300 Bordeaux FRANCE	提供客户支持
OiC Imaging Comercial Ltda	Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL	提供客户支持
Element1 Media GmbH	Rüdesheimer Str. 21 80686 München DEUTSCHLAND	处理注册时登记的客户数据

 

允许变更现有分包商，只要：

• 受托人可以在合理的时间内事先以书面或文本形式将分包商分包事宜通知委托人，并且
• 委托人没有在数据移交之前以书面或文本形式向受托人针对计划的分包提出反对，并且
• 按照《数据保护基本条例》（DSGVO）第 28 条第 2 至 4 款的规定以合同协议或绑定声明作为依据。

（3）只有符合所有分包条件后，才允许将委托人的个人数据转移给分包商并开始其初始工作。

（4）分包商进一步分包需要主受托人的明确同意（至少以文本形式）；其他分包商也将强加遵守合同链中的所有合同规定。

第八条委托人的控制权

（1）委托人有权在与受托人协商的情况下进行检查，或在个别情况下由指定的检查员进行检查。他有权，不影响受托人的运营、在正常工作时间内并严格遵守受托人经营及业务机密的情况下进行随机抽查，该抽查要及时提出，以确定受托人在其业务经营中是否遵守了本协议。

（2）受托人应确保委托人能够依据《数据保护基本条例》（DSGVO）第 28 条之规定确信受托人遵守了义务。受托人有义务，根据要求向委托人提供必要的信息，并证明技术和组织措施的实施。委托人通常可以在每个日历年进行一次检查；在发生特殊事件的情况下，允许进行额外的检查。

（3）受托人有权，在顾及委托人法定义务的情况下，自行决定不披露对受托人业务敏感的信息，或不披露受托人通过披露可能违反法律或合同义务的信息。

（4）根据受托人的选择，不涉及具体委托的措施可以通过下列方式而取代现场检查进行证明：

1. 通过遵守《数据保护基本条例》（DSGVO）第 40 条规定的经批准的行为规则；
2. 通过《数据保护基本条例》（DSGVO）第 42 条规定的经批准的认证程序的认证；
3. 通过独立机构（例如会计师、审计师、数据保护专员、IT 安全部门、数据保护审计员、质量审计员）的最新证书、报告或报告摘要；
4. 通过 IT 安全审计或数据保护审计（例如根据信息技术安全联邦办公室的基本保护程序）获得适当的认证。

前提是，此措施允许委托人以合理的方式确信本协议附件中规定的技术和组织措施得到了遵守。

（5）为了实现委托人检查的可能性，受托人可以要求报酬。

第九条受托人违反时的通知

（1）在委托人遵守《数据保护基本条例》（DSGVO）第 32 条至 36 条规定的个人数据安全义务、数据泄漏申报义务、数据保护后果评估义务和事先协商义务时，受托人应对委托人提供支持和帮助。这些包括

1. 通过技术和组织措施来确保适当的保护等级，这些措施应考虑到处理的情况、目的和通过安全漏洞可能违反法律的预测性和严重性，并能够立即发现相关违反事件。
2. 有义务立即向委托人报告违反个人数据的行为
3. 当委托人在其信息义务范围内向涉及人员履行义务时，有义务对其提供支持，并在这方面及时向他提供所有相关资料
4. 对委托人的数据保护后果评估提供支持
5. 在委托人与监管机构事先协商时提供支持

第十条委托人的指示权限

（1）委托人应立即确认口头指示（至少以文本形式）。

（2）受托人应立即通知委托人，如果他认为某个指示违反了数据保护规定。受托人有权推迟执行相应的指示，直至指示得到委托人的确认或变更。对于受托人由此产生的费用，他可以向委托人主张报酬。

第十一条个人数据的删除和返还

（1）在委托人不知情的情况下不允许进行数据的复制。这不包括安全备份，只要这种安全备份是为了确保正确的数据处理所需的，也不包括遵守法定保留义务所需的数据。

（2）在合同约定的工作结束后，或者之前应委托人要求 - 最迟在服务协议终止时 - 受托人必须向委托人交付或经过事先同意按照数据保护法的规定销毁所有其占有的所收文件、制作的处理结果和使用结果以及和委托关系有关的数据库。这同样适用于测试材料和报废材料。经请求必须提交删除报告。

（3）有助于证明数据处理符合委托要求和规章要求的文件，受托人将根据合同结束后的相应保留期限进行保留。他可以在合同结束时将其移交给委托人，免除自己的保管工作。

 

 

附件 1 - 技术组织措施

第一条保密（《数据保护基本条例》（DSGVO）第 32 条第 1 款第 b 点）

门禁控制

• 权限证明
• 门禁密码卡/门禁应答器
• 门禁权限方案
• 监控设备（例如视频监控）
• 钥匙规定
• 非公司员工、访客证明的规定
• 员工陪同访客参观
• 访客参观记录
• 通过警报系统和/或工厂安保确保非工作时间的安全
• 设定安全区域和门禁控制
• 进出货物的安全入口
• 门安全措施（电动闭门器、证件查验器、电视监控器、门卫）
• 员工控制（四眼原则）
• 财产保护措施（例如特殊玻璃、警报系统、现场警卫）
• 计算机中心的强化防护门禁
• 将服务器存放在可上锁的房间中
• 将数据载体锁起来或存放在上锁的房间中
• 将数据备份（例如磁带、CD）存放在保险箱中
• 分发钥匙的规定
• 其他/上述措施的规范：

访问控制

• 网络加密
• 封锁数据处理设备
• 针对数据处理设备识别用户身份
• 分配和备份身份识别码
• 计算机工位的密码保护
• 工位计算机和身份识别特征在功能性和/或时间性方面受限使用
• 用户权限规定
• 使用个性化密码
• 多次输入密码错误后自动锁定用户账户
• 一定时间不操作后自动用密码锁定屏幕（屏幕保护程序）
• 规定最低密码复杂性和最短刷新间隔的密码策略
• 散列存储密码
• 新员工的权限分配流程
• 员工部门变更时权限撤销流程
• 员工离职时的权限撤销流程
• 按照《数据保护基本条例》（DSGVO）第 28 条第 3 款第 b 点的数据保密义务
• 文件组织规定
• 系统使用记录和评估
• 数据载体的受控销毁
• 数据采集的工作指示和处理过程
• 程序审核和批准过程
• 其他/上述措施的规范：

存取控制

• 确定存取权限、权限方案
• 确定输入、更改、删除数据的权限
• 将授予权限（组织上）与
• 分配权限（技术上）分开
• 磁盘驱动器使用和分配的方案
• 从备份还原数据的规定（谁、
• 何时、应谁的要求）
• 定期验证权限
• 限制自由和不受控制
• 访问数据库的可能性
• 定期评估日志（日志文件）
• 终端上的证件查验器
• 对数据库和功能的部分存取权限（读、写、执行）
• 记录文件存取、删除、更改情况
• 工位计算机上的恶意软件扫描程序
• 网页恶意软件过滤器
• 电子邮件的恶意软件/垃圾邮件过滤器
• 防火墙
• 入侵检测/防御（IDS/IPS）
• 日志数据的受限存取（仅日志管理员）
• 将日志数据存储在专用日志服务器上
• 其他/上述措施的规范

分离控制

• 客户/委托人分离
• 开发、测试与生产系统分离

第二条保密性（《数据保护基本条例》（DSGVO）第 32 条第 1 款第 b 点）

转发控制

• 安全的文件交换（SFTP/FTPS）
• 通过 HTTPS 连接交换数据（TLS 1.1 和 1.2）
• 确定转发权限、权限方案
• 员工控制（四眼原则）
• 进出货物的安全入口
• 管理数据载体、库存控制
• 确定数据载体强制存放的区域
• 机密数据载体加密
• 笔记本电脑加密
• 将个人数据存放在可上锁的
• 保险柜中
• 禁止手提包和其他行李件带进安全区域
• 安全删除数据载体（例如物理破坏、多次覆盖）
• 安全处理纸张：金属制的封闭容器（所谓的数据保护桶）
• 复印规定
• 需要运输的数据载体的备份副本
• 包装和运输规定
• 直接取件、快递服务、运输随同
• 完整性和准确性检查

输入控制

• 对所采集的数据标记/分类
• 确定用户权限（角色/个人资料）
• 不同的用户权限（读取、更改、删除数据、对数据或功能的部分存取）
• 输入职责的组织性规定
• 记录数据输入/删除情况
• 针对修订/验证目的的存放期限之规定

第三条可用性和负荷能力（《数据保护基本条例》（DSGVO）第 32 条第 1 款第 b 点）

可用性控制

• 数据备份方案
• 定期检查数据备份方案执行情况
• 将服务器机房的门禁限制为必要人员
• 服务器机房中的火灾报警系统
• 服务器机房中的自动灭火系统
• 服务器机房中的无水灭火剂（例如 CO2 灭火剂）
• 服务器机房配空调
• 防雷/超压保护
• 不间断电源（UPS）
• 电力系统（NEA）
• 服务器机房中的水传感器
• 将备用系统放置在单独的房间和防火区域中
• 将数据存放在数据备份柜、保险箱中
• 定期检查备份存储介质的可恢复性
• 确保备份存储介质在未来的技术可读性
• 在必要的存储条件（空调、保护要求等）下保管备份存储介质
• （数据）备份传输协议
• 定期进行漏洞分析（现场保护、建筑物保护、网络和 IT 系统入侵）
• 冗余存储系统
• 备用数据中心

第四条恢复可用性和通道（《数据保护基本条例》（DSGVO）第 32 条第 1 款第 c 项）

• 危机或应急计划（例如水灾、火灾、爆炸、攻击威胁、坠落、地震）

第五条检查、评估和鉴定（《数据保护基本条例》（DSGVO）第 32 条第 1 款第 d 项；《数据保护基本条例》（DSGVO）第 25 条第 1 款）

定期审查、评估和测评程序

• 定义的数据保护管理流程
• 定义的事件响应管理流程
• 有利于数据保护的预设（《数据保护基本条例》（DSGVO）第 25 条）

委托控制

• 谨慎选择分包商（尤其是在数据安全方面）
• 根据法律要求制定合同草稿（《数据保护基本条例》（DSGVO）第 28 条）
• 集中登记现有分包商（标准合同管理）
• 合同开始前对分包商的现场初步检查
• 合同开始后（合同期间）定期对分包商进行现场检查
• 检查分包商的数据安全方案
• 审查分包商的现有信息安全证书
• 提供用以改善分包商数据保护情况的指导
• 分包商员工有义务遵守数据保护规定