数据安全（欧盟通用数据保护条例第32条）

技术与组织措施

您在此可以概要了解我们为保护您的数据所采取的技术与组织措施。

1.保密

a) 门禁控制

未经授权者严禁靠近处理或使用个人数据的数据处理设备。

• 对于办公大楼,由接待处的当值同事负责 日常的门禁控制。对于所有的其他区域， 由位于裙楼的同事负责门禁控制。
• 差异化的门禁规定仅允许员工访问特定的 公司区域。
• 未经授权者,尤其是外来人员原则上禁止 进入。只有在说明原因并获得员工明确许可后才允许进入。
• 不仅存在安全锁，也存在钥匙管理制度。
• 服务器位于上锁的房间内。
• 向便携式备份介质（如CD / DVD，磁带）上的数据备份在具有门禁保护的房间内进行。
• 建筑物和经营场所通过报警装置、视频监控、移动报警器和照明装置加以保护。

关于参与视频监控当事人权利的说明

当事人有权要求责任方针对此活动确认， 其是否会对个人数据进行处理；如果进行处理， 则当事人有权利知悉与此个人数据相关的信息和欧盟一般数据保护条例 (DS-GVO) 第 15 条 单独列出的信息。

当事人有权利要求责任方立即修正 不正确的有关个人数据 和（如果存在）补全不完整的个人数据（欧盟一般数据保护条例 (DS-GVO) 第 16 条）。

当事人有权利要求责任方 立即删除相关个人数据，前提为符合欧盟一般数据保护条例 (DS-GVO) 第 17 条 单独列出的原因之一， 例如如果基于之后的用途不再需要使用此数据（删除权）。

当事人有权利要求责任方对数据处理进行限制， 前提为符合欧盟一般数据保护条例 (DS-GVO) 第 18 条所列前提条件之一，例如 当事人 针对数据处理提出反对，时间期限为责任方进行检查期间。

当事人有权出于自身形势考虑， 随时对针对其个人数据进行的数据处理提出反对。 则责任方之后不再对个人数据进行处理，除非 存在强制性、受保护的原因需要进行数据处理，且此原因重要性高于当事人的权益、权利和自由， 或此数据处理旨在 提出、执行或捍卫法定权利要求（欧盟一般数据保护条例 (DS-GVO) 第 21 条）。

每名当事人均有权在采取其他行政法或司法补救措施之余， 在监管机关处提出投诉， 前提为当事人认为对其个人数据进行了违反 欧盟一般数据保护条例 (DS-GVO) 第 77 条规定的数据处理。当事人可以在 其居留地、 其工作地或涉嫌侵权当地所在欧盟成员国内的监管机关处提出投诉。

负责监管机关的联系方式为：

北莱茵-威斯特法伦州数据保护和信息自由州负责机关
Frau Bettina Gayk
Postfach 20 04 44
40213 Düsseldorf
Germany

电子邮件： poststelle@ldi.nrw.de

b) 接触控制

未经授权者不得接触并使用数据处理系统。

• 使用该系统需要个人登录数据，例如用户名和密码。
• 存在密码指令。
• 不再需要的接触权限将被收回。
• 创建用户登录日志。
• 工作站计算机通过反病毒软件加以保护。
• 清洁工经过仔细筛选，并由委托人负责数据保护。

c) 访问控制

确保被授权使用数据处理系统的人员仅可以访问其访问权限范围内的数据,同时确保个人数据在处理和使用时以及存储后不会在未经授权的情况下被读取、复制、修改或者移除的措施。

• 仅在约定的委托处理框架下受托收集、使用和处理数据的人员有权读取、复制、修改或者删除数据。在该情况下，存在授予存取权限的明确规定，该规定考虑了差异化的访问权限（读取、修改、删除），并规定了不同层级的存取权限。
• 在离开工作场所时，通过可上锁的文件柜或者抽屉防止纸质资料被未经授权的人员知悉或者访问。
• 防火墙防止从不可信网络（例如互联网）访问您的数据。
• 定期检查技术安全装置的有效性。
• 纸质文档和移动数据存储器应保存在可上锁的家具中（清理办公桌原则）。

d) 分离控制

确保针对不同目的收集的数据可以被分开处理的措施。

• 对于不同委托人的个人数据，对数据进行逻辑分离（委托人原则）。

2.完整性

a) 转移控制

确保个人数据不会在电子传输或通过数据载体被运送或储存期间被人未经授权地读取、复制、修改或移除，且可以检查和确定个人数据通过数据传输设施传输至何位置的措施。

• 禁止在受保护公司范围外使用外置数据载体（U盘、外置硬盘、CD、DVD）。
• 确保根据数据保护的规定进行数据销毁。对于纸质文档，使用符合规定 保护等级的碎纸机对其进行销毁。对于数据载体（例如受损的硬盘）必须进行物理销毁。

b) 输入控制

确保事后能够检查和确定是否以及何人曾经在数据处理系统中输入、修改或移除个人数据的措施。

• 为了事后能够检查和确定是否、何人以及何时在数据处理系统中输入、修改或移除个人数据， 进行相应的记录。
• 管理工作也需要进行记录。
• 写入保护可以避免数据被覆盖。

3.可用性与耐久性

a) 可用性控制

确保保护个人数据免遭意外破坏或者损失的措施。

• 只要合同有所约定，应防止数据遭到意外破坏或者损失。
• 存在数据备份与恢复方案。
• 定期测试备份功能，以便可以顺利恢复。
• 定期进行演习，模拟在紧急情况下（例如火灾）如何实施数据恢复。

b) 快速可恢复性

确保个人数据可以在自然或技术事故中被快速恢复的措施。

• 存在紧急事故后恢复业务运行的方案。

4.定期检查、评价和评估的程序

a) 数据保护管理

• 存在被定期检查的数据保护和安全措施。
• 数据保护与安全方案将针对不断变化的条件进行调整。

b) 任务控制

确保在任务中被处理 的个人数据仅根据委托人的指示进行处理。

• 作为受托人和委托人约定的任务处理的基础，工作说明应明确强调 数据处理的类型、范围和目的。
• 被指派负责实施订单处理的员工应了解其工作范围。
• 对于约定的订单处理过程，必要时使用云解决方案。使用的数据运算中心均位于欧盟境内。云数据传输经过加密。
• 受托方已任命一名数据保护专员。

个人数据加密

在存在收集、处理和使用同意声明的情况下,您向DR-WALTER通过服务功能和表单提交的所有数据 将会通过互联网以加密的安全连接传送到我们的计算机，存储在我们的计算机中并得到保护。其使用的安全程序符合最新的技术水平（SSL或安全套接层）。此程序使您的浏览器与可访问DR-WALTER数据的服务器之间的所有数据往来均实现加密。由此，确保您的数据在传输过程中免被篡改和被第三方在未经授权的情况下获取。

特殊情况：您使用电子邮件客户端。

如果您通过电子邮件客户端给我们发送邮件，那么邮件发送未加密。具有相应技术能力的人可能截获和读取他人电子邮件。为了避免这种不安全通信，请只使用我们的联系表格或致电我们。

由我们所发出的电子邮件，也可能被截获。因此我们不会通过电子邮件发送特别重要的信息，而是通过邮寄或电话联系您。

DR-WALTER按照欧盟通用数据保护条例第28条第3项确保，被授权处理个人数据的员工履行保密义务。

Nadeshda Brossart
DR-WALTER
Eisenerzstr. 34
53819 Neunkirchen-Seelscheid
德国

电子邮件： datenschutz@dr-walter.com
电话： +49 2247 9194-155
传真： +49 2247 9194-40