Privacy Policy | Document Rules & regulations

Política de privacidad

Condiciones para el procesamiento comisionado de datos

1. Definiciones

En el contexto del procesamiento de datos en la asignación, se utilizan las siguientes definiciones: «Principal» significa cualquier persona que confiere a EGS la tarea de enviar datos personales al procesamiento. «Interesado» significa una persona física a quien se refieren los datos personales y que puede ser identificada o identificada por dichos datos personales. Esto ocurre cuando la persona recibe un identificador, como el nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más elementos característicos de esta persona. Los interesados en el acuerdo marco para la prestación de servicios (Master Service Agreement, MSA) se enumeran en el Anexo 1. «Reglas de protección de datos» significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a protección de las personas físicas con respecto al procesamiento de datos personales, así como la libre circulación de dichos datos y la derogación de la Directiva 95/46 / CE (reglamento general sobre protección de datos, RGPD), así como cualquier otra ley que se base en esto directiva o reglamento, todas las demás leyes aplicables vigentes en cualquier otro país con respecto a la protección de datos personales o protección de datos, en la última versión vigente modificada o reemplazada. «MSA» significa uno o más acuerdos sobre la provisión de ciertos servicios para el Principal en relación con la fabricación de prótesis dentales y servicios relacionados por parte de EGS para el Principal. «Partes» significa las partes contratantes de la MSA. «Datos personales» significa datos que pueden usarse para identificar a una persona física. Las categorías respectivas de datos personales se definen en el Anexo 1. «Cláusulas contractuales estándar» significa las cláusulas contractuales estándar que, de acuerdo con la sentencia expresada por la Comisión Europea sobre la base del Artículo 26, párrafo 4, de la Directiva 95/46 / CE ofrecen suficiente garantías para la transmisión de datos personales a un tercer país o las cláusulas de protección de datos establecidas por la Comisión Europea o por una autoridad supervisora que hayan sido aprobadas por la Comisión Europea de acuerdo con el procedimiento mencionado en el Artículo 93, párrafo 2 del Reglamento ( UE) n. 2016/679. Las cláusulas de protección de datos definidas de acuerdo con la regulación general de protección de datos reemplazan y se priorizan con respecto a cualquier cláusula contractual estándar definida de acuerdo con la Directiva 95/46 / CE, si se refieren al mismo tipo de informe de transmisión de datos. «Subprocesador» significa cualquier subcontratista designado por EGS para procesar datos personales en su totalidad o en parte. «Controlador de datos» significa la persona mencionada en el Artículo 4, párrafo 7 del RGPD. «Tratamiento» o «tratado» significa cualquier operación o conjunto de operaciones llevadas a cabo con o sin la ayuda de procesos automatizados y aplicados a datos personales tales como recopilación, registro, organización, clasificación, conservación, adaptación o modificación, extracción, consulta, uso , comunicación por transmisión, difusión o cualquier otra forma de provisión, comparación o interconexión, limitación, cancelación o destrucción.

2. Objeto, duración, tipo y propósito del procesamiento de datos en nombre

Con el fin de gestionar los datos personales de las partes interesadas durante el período de validez y para la ejecución de la MSA, el presente acuerdo sobre el procesamiento comisionado de los datos, así como los anexos (en adelante, «acuerdo sobre el procesamiento comisionado de datos») vinculante, en particular las disposiciones relativas a la gestión de datos personales y medidas técnicas y organizativas. Dentro del MSA, EGS asume, entre otras cosas, la tarea, en nombre del Cliente, de proporcionar soluciones destinadas a realizar la solución identificada. EGS también garantiza servicios de asistencia al cliente. En este contexto, es posible que EGS entre en contacto con los datos personales enumerados en el Anexo 1 y los someta a tratamiento. El procesamiento de datos personales por parte de EGS se lleva a cabo solo después de la concesión de una asignación escrita, solo dentro del alcance definido a nivel contractual, para el propósito acordado y de acuerdo con las instrucciones del Cliente. Los datos personales procesados por EGS se utilizan exclusivamente para los siguientes fines: – – Ejecución del contrato, incluidos los servicios de soporte – – Investigación y desarrollo – – Fines estadísticos Los datos personales no se utilizarán de ninguna otra manera para fines personales o de terceros. . EGS siempre cumple con las disposiciones de protección de datos relevantes. En la prestación de servicios, EGS se compromete en particular a respetar los principios de ahorro y economía de datos.

3. Alcance y responsabilidades

EGS procesa datos personales en nombre del Cliente. Este tratamiento incluye las actividades mejor especificadas en el MSA y en la descripción relativa de los servicios. Como parte de este acuerdo sobre el procesamiento de datos en nombre, el director tiene la responsabilidad exclusiva, frente al controlador de datos y EGS, de garantizar el cumplimiento de las disposiciones de la ley de protección de datos, en particular en lo que respecta a la legalidad de la transferencia de datos a EGS y a la legalidad del procesamiento de datos. Las instrucciones inicialmente definidas por el MSA pueden ser modificadas, integradas o reemplazadas por el Cliente por escrito o en formato electrónico (forma de texto) a través de instrucciones individuales (instrucción única). Las instrucciones que no están incluidas en el MSA se gestionarán como una solicitud para cambiar el servicio. Cualquier instrucción verbal debe ser confirmada inmediatamente por escrito.

4. Obligaciones del director

El Cliente es responsable de evaluar la admisibilidad del procesamiento de datos y proteger los derechos de los interesados. El derecho exclusivo a disponer de datos personales permanece con el Principal. En particular, el Cliente es responsable de transferir los datos a EGS y proteger los derechos de los interesados. Además, el director se compromete a cumplir con todas las disposiciones pertinentes sobre protección de datos en la ejecución de la MSA. El Cliente es responsable de la integridad y precisión de los datos que se procesarán y garantiza que los datos sean correctos y completos teniendo en cuenta el propósito del uso. Antes del inicio del tratamiento y, posteriormente, a intervalos regulares, el Director tiene la obligación y el derecho de verificar el cumplimiento de las medidas técnicas y organizativas adoptadas por EGS de acuerdo con el Anexo 2 y de confirmar este cumplimiento por escrito. Para obtener más detalles, consulte el artículo 9 de este acuerdo sobre el procesamiento de datos en su nombre. El director informará inmediatamente a EGS de cualquier error o irregularidad detectada durante la verificación antes mencionada. Con respecto a la protección de los derechos de los interesados en virtud de la legislación vigente de protección de datos, el Director permitirá que los Sujetos de datos ejerzan sus derechos y se asegurará de que los interesados descritos en este documento reciban información unívoca, transparente, comprensible y de fácil acceso sobre el tratamiento descrito en este documento en lenguaje claro. El Principal está obligado a mantener la confidencialidad de todos los secretos comerciales de los que tenga conocimiento en el contexto de la MSA y del acuerdo sobre el procesamiento de datos a cargo, además de las medidas adoptadas por EGS para garantizar la seguridad de los datos. Esta obligación persiste incluso después de la terminación de estos acuerdos.

5. Medidas técnicas y organizativas según el artículo 32 de la RGPD

EGS ha implementado y mantendrá medidas técnicas y organizativas para proteger los datos personales del acceso no autorizado, comunicación, modificación, pérdida o destrucción, accidental o ilegal. Estas medidas incluyen, por ejemplo:
• Evitar el acceso a sistemas para el procesamiento de datos personales por personas no autorizadas (control de acceso físico).
• Evitar el uso de sistemas de procesamiento de datos personales sin autorización específica (control de acceso lógico).
• Asegúrese de que el acceso a los datos personales esté permitido solo a las personas autorizadas a utilizar un sistema para el procesamiento de datos personales, a los que puedan acceder de acuerdo con sus respectivos derechos de acceso y que, sin una autorización específica, los datos personales no puedan leerse, copiarse , modificado o eliminado durante el procesamiento (control de acceso a datos).
• Asegúrese de que los datos personales no se puedan leer, copiar, modificar o eliminar durante la transferencia electrónica, el transporte o la grabación en medios de almacenamiento y que sea posible determinar y verificar los dispositivos de destino para cada tipo de transmisión de datos personales para los medios de los dispositivos de transferencia de datos (control de transmisión de datos).
• Garantizar la definición de una ruta de verificación para documentar si los datos personales han sido introducidos, modificados o eliminados en el sistema para el procesamiento de datos personales (control de la introducción).
• Asegúrese de que los datos personales se procesen únicamente de acuerdo con las instrucciones (verificación de instrucciones).
• Asegúrese de que los datos personales estén protegidos contra la eliminación o pérdida accidental (verificación de disponibilidad).
Las medidas técnicas y organizativas se describen en el Anexo 2 de este acuerdo sobre el procesamiento de datos en nombre. EGS tiene derecho a adaptar sistemáticamente estas medidas en función de la evolución de las reglamentaciones, la tecnología y otros aspectos; también garantiza que eventualmente integrará, a través de medidas técnicas y organizativas apropiadas, el sub-responsable del procesamiento. En cualquier caso, las medidas técnicas y organizativas implementadas deben garantizar un nivel de protección adecuado a los riesgos derivados del procesamiento de los datos y del tipo de datos personales a proteger, también teniendo en cuenta el nivel de conocimiento tecnológico y los costos de implementación . Durante el período de validez de la MSA y de este acuerdo sobre el procesamiento de datos en nombre del Cliente, el Cliente puede solicitar a EGS que le envíe, dentro de un tiempo razonable, una descripción de las medidas técnicas y organizativas.

6. Lugar de procesamiento

Sin perjuicio del Artículo 7 de este acuerdo sobre el procesamiento de datos en la asignación, los datos personales que maneja EGS en nombre del Principal pueden procesarse en todos los países en los que EGS, sus compañías afiliadas y los subcontroladores autorizados dispongan de instalaciones. para la prestación de servicios. En relación con la prestación de servicios relacionados con datos personales, el Cliente autoriza a EGS a transmitir y procesar datos en cada uno de estos países. Cada transmisión de una jurisdicción a otra (para los fines de este artículo, la UE representa una jurisdicción única) se lleva a cabo solo de conformidad con las disposiciones actuales sobre protección de datos, como la elaboración de un contrato adicional para el procesamiento de datos que se basa en las cláusulas contractuales estándar (según las circunstancias) EGS no controlará ni limitará el área geográfica desde la cual el Cliente o sus clientes pueden procesar datos personales.

7. Subcontroladores que procesan datos

El Cliente reconoce y acepta expresamente que Kulzer puede transmitir datos personales a terceros subprocesadores para el procesamiento de datos con el fin de proporcionar los servicios, siempre que la transmisión cumpla con las condiciones de este párrafo. Entre estos subcontroladores que procesan datos y EGS hay contratos escritos que incluyen obligaciones, cuyo nivel de protección no es inferior al garantizado por el acuerdo sobre el procesamiento de datos a cargo, incluidas las obligaciones según el tipo de cláusulas contractuales, posiblemente aplicable. El Director autoriza expresamente a EGS a estipular y aplicar las cláusulas contractuales estándar regidas por este acuerdo sobre el procesamiento de datos en nombre de los subcontroladores de procesamiento de datos. Con este acuerdo sobre el procesamiento de datos en nombre, EGS informa al Director de todas las categorías de subprocesadores de datos que procesan datos personales en relación con el MSA (ver Anexo 1). En la fase de inicio de cada asignación individual, se informa al Director del subgerente real del tratamiento y los problemas, como paso preliminar, con la asignación de la asignación individual dentro del MSA (a más tardar), su / su consentimiento para el uso de dicho controlador de datos por parte de EGS. Con respecto al procesador de datos secundarios, EGS tiene el derecho y la obligación de verificar la implementación de la protección de datos y, en particular, las medidas técnicas y organizativas adoptadas por el proveedor secundario en la medida necesaria.

8. Rectificación, limitación y eliminación de datos.

Para cancelar los datos o limitar el procesamiento, se deben respetar las instrucciones escritas del Cliente, sujetas a posibles razones para rechazar EGS. EGS se reserva el derecho de cancelar los datos por iniciativa propia o de limitar su procesamiento si estos datos ya no son necesarios para la ejecución de la MSA o si un consentimiento ya no es válido. Si una parte interesada requiere que EGS cancele, corrija o acceda a sus datos, EGS reenviará la solicitud de la parte interesada al Cliente, si tal solicitud es posible. Siguiendo las instrucciones del Director, y dentro de los límites de sus posibilidades, EGS brindará su apoyo en la implementación de la solicitud.

9. Derecho a controlar y auditar el controlador de datos

El Cliente tiene la responsabilidad exclusiva de evaluar la legalidad del procesamiento de datos personales y de implementar los derechos de los Interesados, además de ser responsable también en nombre del Controlador de Datos. Previa solicitud, EGS pone a disposición del director o del controlador de datos la información necesaria de conformidad con el artículo 28 del RGPD. El Director y el Supervisor pueden verificar, exclusivamente a su propio costo, a través de un instituto de auditoría independiente de conformidad con la ley de protección de datos (TÜV, Dekra u otros) (en lo sucesivo, «Auditor»), antes y después del inicio del procesamiento de datos, durante las horas de trabajo habituales en los términos necesarios y con previo aviso, cumplimiento de las normas de protección de datos y acuerdos contractuales, en particular las medidas técnicas y organizativas adoptadas por EGS. Toda la información proporcionada por EGS, con la excepción de los datos personales de las partes interesadas, es información confidencial que solo puede divulgarse al auditor. El propietario y / o el director y el auditor respectivo están autorizados a solicitar información por escrito y la presentación de pruebas sobre las medidas de protección de datos introducidas, sobre el tipo y método de implementación técnica y organizativa. El Auditor también está autorizado a acceder al edificio y a las instalaciones de EGS para llevar a cabo, a su propia discreción, inspecciones e inspecciones, así como para ver la documentación necesaria para el procesamiento, el procesamiento y los informes de rendimiento, los sistemas y los datos almacenados. y reglamentos, directivas y manuales que rigen el procesamiento de datos delegados. La auditoría incluye la documentación relativa al nombramiento de un oficial de protección de datos, la obligación de los colaboradores de garantizar la confidencialidad y conceptos técnicos y organizativos: por ejemplo, procedimientos operativos relevantes, así como contratos con los subgerentes del procesamiento. Los derechos antes mencionados del Principal o del Propietario existen durante todo el período de validez de este acuerdo y también más allá de este período, hasta la pérdida de los derechos por parte de MSA, o al menos hasta que EGS conserve los datos personales de los tratamientos que se han encomendado. lo. En casos especiales, el Auditor puede llevar a cabo una auditoría no anunciada, especialmente si hay problemas en el procesamiento, hay casos obligatorios para informar o la autoridad de supervisión está a punto de introducir o ha introducido nuevas medidas.

10. Comportamiento en caso de mal funcionamiento y violación de datos.

EGS respalda al Cliente en el cumplimiento de las obligaciones, indicadas en los artículos 32 a 36 del RGPD, con respecto a la seguridad de los datos personales, la obligación de notificar en casos de violaciones de datos, evaluaciones de consecuencias sobre la protección de datos y consultas preliminares. En el caso de un mal funcionamiento del procesamiento o una violación de datos, el controlador de datos debe tomar de inmediato todas las medidas apropiadas y necesarias para la seguridad de los datos y para reducir cualquier daño a los Sujetos de datos, el Cliente y el Controlador de datos. EGS se compromete a notificar de inmediato al Director de cualquier violación de las normas sobre protección de datos personales o de las disposiciones de este acuerdo. Esto también se aplica en caso de interrupciones graves en las operaciones, en el caso de otras presuntas violaciones de las reglas para la protección de datos personales u otras irregularidades en la gestión de los datos personales del Cliente, lo que podría implicar consecuencias para el Interesado o para el Director o podría causar daños; por ejemplo, casos de embargo, incautación, procedimientos de insolvencia o administración controlada u otras medidas adoptadas por terceros. Las violaciones de datos incluyen, en particular, la pérdida de confidencialidad y la pérdida, destrucción o violación de la integridad de los datos del Cliente u otra información confidencial de conformidad con la MSA o este acuerdo sobre el procesamiento de datos en nombre. El director debe informar inmediatamente a EGS de cualquier posible abuso de sus cuentas o de sus datos de autenticación o de cualquier problema de seguridad en relación con el uso de sus servicios. La Parte responsable del incumplimiento de los datos personales debe investigar de inmediato el incumplimiento de los datos personales y mantener informada a la otra Parte del progreso de la investigación, tomando también medidas para minimizar sus consecuencias. Ambas partes acuerdan cooperar entre sí incondicionalmente en el contexto de esta investigación y prestarse asistencia mutua en cumplimiento de los requisitos y procedimientos de notificación. La obligación de una Parte de notificar una violación de datos personales o de reaccionar ante dicha violación no puede ni debe interpretarse como una admisión de un error o responsabilidad en relación con la violación de datos personales de esa parte.

11. Derecho a emitir instrucciones al director

EGS procesa datos personales solo de acuerdo con las instrucciones del Cliente. El Cliente puede establecer en cualquier momento el tipo, alcance y procedimiento del procesamiento de datos. Estas instrucciones siempre deben proporcionarse por escrito. Cualquier modificación relacionada con el objeto o el procedimiento general del procesamiento debe decidirse por acuerdo entre las partes. EGS informará inmediatamente al Director si considera que una instrucción viola las regulaciones de protección de datos. Hasta que el Director confirme o modifique la instrucción en disputa, EGS está autorizado a suspender la aplicación de esta instrucción.

12. Cancelación y devolución de datos personales.

Una vez que hayan caducado todas las condiciones mencionadas en el Artículo 6 del RGPD, EGS procederá en primer lugar con el anonimato de los datos transmitidos y dentro de los seis (6) meses posteriores a la expiración de los motivos establecidos en el Artículo 6 del RGPD, sujeto a cualquier archivo de respaldo, los eliminará o, a solicitud del Cliente, los devolverá a este último; bajo ninguna circunstancia continuará usándolos. EGS confirmará la cancelación por escrito a solicitud escrita del Director.

13. Responsabilidad

De conformidad con las disposiciones del artículo 82 del RGPD, las partes tienen una responsabilidad hacia las partes interesadas y una responsabilidad mutua.

14. Oficial de protección de datos

De conformidad con el artículo 37 del RGPD, EGS ha designado un oficial de protección de datos que coordina el monitoreo del cumplimiento de los requisitos de la legislación de protección de datos y la colaboración con las autoridades de control. Los datos de contacto del oficial de protección de datos son los siguientes:
Kulzer GmbH
Oficial de privacidad de datos
Leipziger Straße 2 63450 Hanau, Alemania
correo electrónico: legal@kulzer-dental.com

15. Secreto

Las partes acuerdan que todos los datos comerciales de los cuales la contraparte se dará cuenta en el marco del contrato se considerarán «confidenciales» y que la obligación de secreto se mantendrá incluso después del final del período de validez del Contrato con respecto a estos datos. EGS mantiene la obligación de secreto del Principal o del Controlador de Datos como profesional.

16. Varios

Este Acuerdo reemplaza todos los acuerdos existentes sobre protección de datos. La jurisdicción para todas las disputas derivadas de este Acuerdo es la de Bolonia, Italia.

Anexo 1: Detalles sobre el procesamiento de datos personales
1. Interesado en la ejecución de la MSA, EGS presentará las siguientes categorías de partes interesadas para el procesamiento de datos personales:
• Controlador de datos del cliente (cuando sea necesario)
• Empleados del Cliente / Socio contractual / Controlador de datos
• Pacientes del cliente / socio contractual / controlador de datos
1. Categorías de datos personales La ejecución del contrato puede incluir el procesamiento de las siguientes categorías de datos personales: nombres, direcciones, datos de contacto (correo electrónico, números de teléfono), datos contractuales, datos de salud
III. Finalidad del procesamiento Los datos personales transmitidos se refieren a toda la información necesaria para la prestación de los servicios, incluidas las siguientes categorías de datos:
• Ejecución del contrato, incluidos los servicios de asistencia e información.
• Investigación y desarrollo
• fines estadísticos
1. Subproveedores A los efectos de la ejecución del contrato, EGS utiliza las siguientes categorías de empresas:
• dental
• Soporte de hardware / software
• servicios de TI

Anexo 2: Medidas técnicas y organizativas de conformidad con el artículo 32 del RGPD
Las siguientes medidas técnicas y organizativas se establecen y se consideran acordadas:
Control de acceso
Se crean usuarios y contraseñas individuales. La contraseña debe ser cambiada por la persona autorizada después del primer acceso y, en cualquier caso, no más allá de 90 días. Las contraseñas están sujetas a las siguientes reglas:• Se asigna una contraseña inicial cuando se crea un usuario.
• Se debe cambiar en el primer acceso.
• La contraseña debe constar de al menos 8 dígitos y debe cumplir al menos con tres de los siguientes cuatro criterios de complejidad: mayúsculas, minúsculas, números y caracteres especiales.
• La contraseña caduca después de 90 días y debe cambiarse.
• Después de 10 intentos fallidos de inicio de sesión, el servicio de soporte de TI (IT Service Desk) o la Contraseña de autoservicio de EGS bloquean la cuenta de usuario.
• Después de 15 minutos de inactividad, la pantalla se bloquea y se requiere una contraseña para desbloquearla.Control de acceso físico

El acceso a las instalaciones y servidores de la compañía está permitido solo a los empleados y proveedores de servicios de EGS que EGS utiliza para cumplir con el propósito corporativo. El acceso a las instalaciones de la empresa está controlado por un sistema electrónico. Los empleados reciben una tarjeta de acceso que se bloquea en caso de pérdida. Las tarjetas de acceso se retiran inmediatamente en caso de terminación de la relación laboral. Un sistema de video de monitoreo de acceso está en funcionamiento en las oficinas. La entrada a la planta y las oficinas es supervisada por personal. El edificio está protegido por un sistema de alarma. El acceso a la sala de servidores está protegido por medidas técnicas y organizativas para el control del acceso físico, en particular también para verificar la identidad de las personas autorizadas. Además, se han tomado medidas técnicas y organizativas para identificar y autenticar a los usuarios.Control de accesos telemáticos.

La autenticación se realiza mediante nombre de usuario y contraseña. Cada empleado tiene acceso solo a los datos que necesitan para realizar su función. La cuenta de usuario se bloquea inmediatamente si la autorización caduca: por ejemplo, en caso de despido de un colaborador o la terminación de la autorización. Todo el acceso a Internet está protegido por un firewall. Puertos predeterminados al exterior: http, https, ftp, smtp, dns. Puertos internos predeterminados: smtp, dns. Puertos predeterminados para DMZ: http, https, ftp, smtp, dns. El acceso a los servicios internos se lleva a cabo exclusivamente a través de dispositivos de seguridad apropiados, como soluciones de proxy inverso, en línea con el nivel actual de conocimiento tecnológico. Otros puertos se abren solo a pedido y están sujetos a análisis de seguridad y autorización por parte del departamento de informática de EGS.Control de separación
Sistemas separados para diferentes tareas. Base de datos separada para cada aplicación a la que se puede acceder con diferentes permisos.Control de transferencia
Todas las conexiones de datos en la red Kulzer están encriptadas en Internet. Esto se aplica tanto a las conexiones de red (Kulzer VPN) como a los dispositivos móviles (NetScaler, O365). El nivel de cifrado se establece en función del nivel actual de conocimiento tecnológico para cada soporte de TI. Para enviar y recibir correos electrónicos confidenciales, el departamento de informática de EGS proporciona una solución centralizada, que se basa en el estándar de cifrado S / MIME. La eliminación de los medios de almacenamiento ya no es necesaria y se realizan impresiones incorrectas de conformidad con las normas de protección de datos. Los medios de almacenamiento se eliminan antes de que el proveedor de servicios los elimine. Los medios de almacenamiento en dispositivos móviles (teléfonos móviles, computadoras portátiles, unidades de disco portátiles) están encriptados.Control de entradas telemáticas.

Los cambios en los datos, las aplicaciones y los sistemas se registran junto con la fecha, la hora, el usuario y los datos involucrados. El registro también incluye las actividades del administrador. Los datos grabados se almacenan y protegen contra pérdidas o modificaciones.Verificación de disponibilidad

Para proteger los datos contra la destrucción accidental o intencional, Kulzer adopta las siguientes soluciones:
• Copia de seguridad Hay un sistema de copia de seguridad y recuperación. En caso de contratiempos, se puede restaurar la última copia de seguridad.
• Fuentes de alimentación ininterrumpida (UPS) con apagado controlado en caso de baja carga residual de los acumuladores – Protección antivirus (administrada centralmente)
• cortafuegos
• Sistema de aire acondicionado
• sistema de prevención de incendios
• Sistema de alarmas

Control de asignaciones
Mediante contratos escritos sobre el procesamiento de datos en nombre, todos los proveedores de servicios que EGS utiliza para la ejecución de la MSA están obligados a respetar los principios definidos en este acuerdo. Todos los empleados autorizados para acceder a los datos deben respetar la confidencialidad de los datos. Periódicamente se organizan jornadas de capacitación sobre temas de legislación de protección de datos y gestión de información confidencial. Por lo tanto, existe un concepto de seguridad de datos con referencia a las medidas técnicas y organizativas adoptadas para la protección de datos.Gestión de protección de datos
Están vigentes las directivas internas, que se refieren, entre otras cosas, a la gestión de datos personales y de información confidencial y seguridad corporativa en general. Mantener un registro de procesamiento de datos para todas las transacciones relevantes.Gestión de seguridad informática en caso de accidente (Gestión de respuesta a incidentes)
Capacitación de todos los empleados para manejar casos relacionados con violaciones de datos e ineficiencias; en particular, formación sobre la obligación de notificación inmediata.Sistema de monitoreo de computadora
Creación de una organización interna de seguridad de TI encargada, entre otras cosas, de la evaluación de incidentes de seguridad, brechas de seguridad y riesgos y la evaluación de nuevos requisitos de seguridad de TI.