GDPR-Rollen und Definitionen in Bezug auf Zycus

Die DSGVO gilt sowohl für für die Verarbeitung Verantwortliche als auch für Auftragsverarbeiter, die in der EU ansässig sind, sowie für alle für die Verarbeitung Verantwortlichen und Auftragsverarbeiter, die nicht in der EU ansässig sind, wenn die Verarbeitungstätigkeiten entweder mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in der EU (unabhängig davon, ob eine Zahlung erforderlich ist) oder mit der Überwachung des Verhaltens von Einzelpersonen verbunden sind, sofern dieses Verhalten innerhalb der EU stattfindet.

In Artikel 28 Absatz 3 der DSGVO ist festgelegt, dass zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter ein schriftlicher Vertrag geschlossen werden muss, in dem der Gegenstand und die Dauer der Verarbeitung sowie die Art und der Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Pflichten und Rechte beider Parteien eindeutig festgelegt sind.

Artikel 4 EU-DSGVO definiert die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter wie folgt:

  • "Für die Verarbeitung Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; werden die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten bestimmt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgesehen werden;
  • ‘Auftragsverarbeiter’ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

Mit anderen Worten: Der für die Datenverarbeitung Verantwortliche legt fest, für welche Zwecke und mit welchen Mitteln personenbezogene Daten verarbeitet werden, und der Datenverarbeiter verarbeitet personenbezogene Daten nur im Auftrag des für die Datenverarbeitung Verantwortlichen. Bei dem Datenverarbeiter handelt es sich in der Regel um einen Dritten außerhalb des Unternehmens.

Im Allgemeinen übernimmt der für die Verarbeitung Verantwortliche die Verantwortung für alle erhobenen personenbezogenen Daten und muss sicherstellen, dass die Rechte der betroffenen Person und die eigenen rechtlichen Verpflichtungen des für die Verarbeitung Verantwortlichen auch vom Auftragsverarbeiter wahrgenommen werden.

Die Datenverarbeitungsvereinbarung ist wichtig, damit beide Parteien ihre Verantwortlichkeiten und Verpflichtungen verstehen. In Bezug auf Zycus sind unsere Kunden die für die Datenverarbeitung Verantwortlichen, wenn sie die Zycus-Anwendungen (Source to Pay Suite von Procurement Performance Solutions) nutzen. Zycus ist ein Datenverarbeiter im Auftrag des Kunden mittels eines Datenverarbeitungszusatzes.

ZYCUS' DATENVERARBEITUNGSABKOMMEN (DPA)

Zycus verpflichtet sich, mit seinen Kunden eine solche Datenverarbeitungsvereinbarung abzuschließen. Die Datenverarbeitungsvereinbarung (DPA) von Zycus finden Sie hier.

Die Bedingungen der Datenverarbeitungsvereinbarung von Zycus sollen sicherstellen, dass die von einem Auftragsverarbeiter durchgeführte Verarbeitung alle Anforderungen der Datenschutz-Grundverordnung erfüllt (nicht nur die, die sich auf die Sicherheit personenbezogener Daten beziehen). Durch das Vorhandensein einer solchen DPA mit den erforderlichen Bedingungen stellen wir sicher, dass wir die DSGVO einhalten

VORBEREITUNG AUF DIE BISHER GRÖSSTE ÄNDERUNG DER EUROPÄISCHEN DATENVORSCHRIFTEN -
Wie bereitet sich Zycus auf die GDPR vor?

GDPR-Rollen und Definitionen in Bezug auf Zycus: Bei Zycus verfügen wir über hochmoderne Sicherheitsvorkehrungen, um sicherzustellen, dass die Daten unserer Interessenten und Kunden niemals gefährdet sind. Wir wissen, dass Sicherheit für Sie von entscheidender Bedeutung ist; daher hat Sicherheit für uns oberste Priorität und ist für den erfolgreichen Betrieb von Zycus von grundlegender Bedeutung. Wir setzen erhebliche Ressourcen ein, um unsere erstklassige Sicherheitsinfrastruktur kontinuierlich zu verbessern. Das Ergebnis: unübertroffene Sicherheit und Datenschutz für die Informationen unserer Kunden.

Standards und Spezifikationen: Zycus verlässt sich auf SSAE 16 und SOC 1 & 2 Typ II Audits und Berichte, um Vertrauen aufzubauen. Der SOC 1 Typ II-Bericht bietet hinreichende Sicherheit über die Wirksamkeit der Kontrollen bei Zycus, die direkt oder indirekt für die Finanzberichterstattung unserer Kunden relevant sind, und der SOC 2 Typ II-Bericht bietet hinreichende Sicherheit über die Kontrollen, die für die Trust Service Principals of Service Organization Control (Sicherheit, Verfügbarkeit und Vertraulichkeit) relevant sind. Der SOC 2 Typ II-Bericht beschreibt auch die operative Wirksamkeit dieser Kontrollen und ist der umfassendste Berichtstyp. Mit unseren SOC1- und SOC2-Auditberichten können wir unseren Kunden versichern, dass wir die höchsten Anforderungen an die Sicherheit, Verfügbarkeit und Vertraulichkeit ihrer Informationen erfüllen."
Zycus folgt außerdem dem ISMS-Standard ISO 27001:2013 und hat seine Richtlinien und Verfahren auf der Grundlage dieses Rahmens entwickelt. Zycus ist dabei, die Struktur des GDPR-Compliance-Managements in unser aktuelles ISMF zu integrieren, das funktionsübergreifend ist und alle Schlüsselbereiche des Unternehmens repräsentiert. Der aktuelle ISMS-Risikomanagementprozess wird ebenfalls überprüft, um das Risikomanagement für den Datenschutz einzubeziehen.

Wichtige Hinweise zur GDPR in Bezug auf Zycus

Einverständnis

Einverständnis

Die Zustimmung zur Erhebung personenbezogener Daten erfolgt durch die Zustimmung zu den Datenschutzrichtlinien von Zycus, die den Zweck, die Kategorien personenbezogener Daten und andere relevante Überlegungen enthalten.

Zugang zu Daten

Zugang zu Daten

Auf personenbezogene Daten kann nur ein Nutzer zugreifen, der durch Zycus' Autorisierungsmechanismen autorisiert wurde.

Recht auf Richtigstellung

Recht auf Richtigstellung

Zycus hat das Recht, während der Vertragslaufzeit die persönlichen Daten des Kunden im Nutzerprofil zu bearbeiten oder zu korrigieren.

Löschung von Daten

Löschung von Daten

Zycus löscht alle Kundendaten, die bei Beendigung/Ablauf des Vertrages anfallen.

Autorisierung und Offenlegungskontrolle

Autorisierung und Offenlegungskontrolle

Kunden können Autorisierung, Authentifizierung und rollenbasierten Zugriff in Zycus' Lösung verwalten.

Datenschutz durch Design und durch Voreinstellung

Datenschutz durch Design und durch Voreinstellung

Bei der Entwicklung jeder Funktion berücksichtigt Zycus die GDPR-Vorschriften und Standard-Sicherheitsrichtlinien.

Benachrichtigung bei Datenschutzverletzungen

Benachrichtigung bei Datenschutzverletzungen

Die Zycus-Dienste sind verpflichtet, jede Verletzung des Datenschutzes innerhalb von 72 Stunden zu melden.

Einhaltung von Subprozessoren

Einhaltung von Subprozessoren

Zycus stellt die kontinuierliche Einhaltung der Vorschriften für Unterauftragsverarbeiter sicher, indem es die Standard-Einkaufsprozesse des Unternehmens nutzt und die Verträge der Unterauftragsverarbeiter überprüft und die Sicherheitsrisiken bewertet. Dies steht im Einklang mit dem DPA.

Transparenz

Transparenz

Die Zycus-Dienste führen Aufzeichnungen über die Verarbeitungstätigkeiten in Übereinstimmung mit den GDPR-Anforderungen für Datenverarbeiter, um Kunden bei der Erfüllung ihrer Verpflichtungen zu unterstützen.

Rechenschaftspflicht

Rechenschaftspflicht

Zycus wird alle laufenden Rechenschaftspflichten erfüllen, wie z.B. regelmäßige Risiko- und Sicherheitsbewertungen von Anwendungen, Netzwerken und IT-Infrastrukturen, dokumentierte Sicherheitsprogramme und -richtlinien sowie regelmäßige Sicherheitsschulungen mit garantierter Sicherheit.

Rechte der Betroffenen

Rechte der Betroffenen

Zycus bietet seinen Kunden Hilfe bei Fragen zum Datenschutz und unterstützt sie bei Fragen zur Sicherheit ihrer persönlichen Daten.

Verarbeitung personenbezogener Daten:

  • Zycus (ein Anbieter von Cloud-Lösungen) erfüllt alle geeigneten Bedingungen in Bezug auf Rechenschaftspflicht und Technologie. Dazu gehören die Führung von Aufzeichnungen über alle verarbeiteten Aktivitäten und die Bewertung der Auswirkungen auf die Privatsphäre.
  • Zycus hält sich an den Zusatz zur Datenverarbeitung (Data Processing Addendum, DPA), der ein wesentlicher Bestandteil des Kundenvertrags ist. Diese Vereinbarungen enthalten Datenschutzgarantien für den Kunden durch Standardvertragsklauseln, die in den Vertrag aufgenommen werden.
  • Die Mitarbeiter von Zycus sind verpflichtet, jährlich an Schulungen zum Datenschutz und zur Sensibilisierung für Datenschutz und Sicherheit teilzunehmen. Diese Schulungen decken die Grundsätze des Datenschutzes und Sicherheitsthemen ab.
  • Die Lösungen von Zycus schützen die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten und stellen die oben genannte Rechenschaftspflicht kontinuierlich sicher.