Samsung Vendor Audit – German Vendor Audit in English Kontakt-informationen Vollständige Firmenbezeichnung des Vendors: Straße: Postleitzahl: Ort: Land: Name des Ansprechpartners: E-Mailadresse des Ansprechpartners: Telefonnummer des Ansprechpartners: Webseite: Datenschutzbeauftragter Name: Datenschutzbeauftragter E-Mail: Datenschutzbeauftragter Telefon: Bitte auswählen: Neuer VendorBestehender Vendor Dienstleistungen Kurze Beschreibung der Dienstleistungen, die durch den Vendor zur Verfügung gestellt werden. Greift der Vendor auf die personenbezogenen Daten des Datenverantworlichen zu? JaNein Werden personenbezogene Daten des Datenverantwortlichen durch den Vendor oder sein System eingegeben, umgewandelt, gespeichert oder verarbeitet? JaNein Werden personenbezogene Daten des Datenverantwortlichen im System des Vendors gespeichert (Laptop, Speichermedium, Server, Cloud-Account etc.)? JaNein Auf welche Systeme des Datenverantwortlichen, wenn überhaupt, wird Zugriff/Integration seitens des Vendors oder der Systeme des Vendors erforderlich? IntranetInfrastrukturDatenbank(-en)WLANHardwareSoftwareWebseiteSonstiges Gebrauch von personenbezogenen Daten In diesem Schritt bitten wir Sie, Fragen darüber zu beantworten, welche personenbezogenen Daten Sie verwenden werden. In diesem Kontext umfasst der Begriff “Verwendung” den Zugriff auf, das Kopieren, die Ansicht, das Sammeln, das Herunterladen, das Hochladen oder die sonstige Verarbeitung oder Veränderung von personenbezogenen Daten. Wenn Sie bei einer Datenkategorie “Ja” anklicken, erklären Sie bitte, warum Sie die oben genannten Daten bei der Erbringung der Dienstleistungen erheben, abrufen oder verwenden werden. Wenn Sie auf “Nein” klicken, können Sie die Textbox in dieser Zeile leer lassen. Datenkategorien Verwendung Bestätigen Sie, warum diese Daten benötigt werden, um die Dienstleistungen zu erbringen Name, früherer Name, Aliasname JaNein Firmenidentifikation JaNein Ausweisnummer, Passnummer JaNein Steuer-Identifikation JaNein Sozialversicherungsnummer JaNein Staatsangehörigkeit JaNein Kreditauskunft, Bonitätsnote Score JaNein Strafregister JaNein Unterschriften, Fingerabdrücke JaNein Fotos JaNein Alter/Geburtsdatum/Geburtsort JaNein Familienstand JaNein Sozialleistungen/Sonstige HR-Info JaNein Daten über Kinder unter 13 Jahren JaNein Daten über Kinder unter 16 Jahren JaNein Geschlecht JaNein Private E-Mail-Adresse JaNein Geschäftliche E-Mail-Adresse JaNein Privatadresse JaNein Arbeitsadresse JaNein Diensttelefon JaNein Privattelefon JaNein Mobile Telefonnummer JaNein IP-Adresse/Logdateien JaNein Quellcode/Sicherheitscodes/Sonstige sicherheitsrelevante Informationen JaNein Sonstige Produktinformationen JaNein Kundendaten des Datenverantwortlichen JaNein Falls andere Daten einschlägig sind, bitte in das Feld rechts daneben eintragen. JaNein Der Datenverantwortliche erwartet, dass jede Verwendung der Daten auf die Erbringung der Dienstleistungen beschränkt ist. Wenn Sie beabsichtigen, die Daten für einen anderen Zweck zu verwenden, geben Sie bitte vollständige Einzelheiten an. Verarbeiten Sie Daten aus besonderen Kategorien von personenbezogenen Daten? Rasse und ethnische HerkunftPolitische AnsichtenReligiöse oder Philosophische ÜberzeugungenMitgliedschaft in einer GewerkschaftGenetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer PersonDaten zum Thema GesundheitDaten, die das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person betreffenKeiner der oben genannten Punkte Aufgrund Ihrer bisherigen Angaben müssen Sie keine Fragen zur Verwendung personenbezogener Daten beantworten. Bitte klicken Sie auf “Nächster Schritt” Ort der Datenverarbeitung Aufgrund Ihrer bisherigen Angaben müssen Sie keine Fragen beantworten zu the Ort der Datenverarbeitung. Bitte klicken Sie auf “Nächster Schritt” Wo werden die personenbezogenen Daten durch den Vendor verarbeitet (geographisch)? EUUSAChinaRusslandSchweizNord-KoreaJapanAnderes Land Wo befinden sich die Server, auf denen der Vendor oder seine Unterauftragnehmer (wenn überhaupt) die personenbezogenen Daten verarbeiten? Wo befinden sich die Büros, von denen aus die Mitarbeiter des Vendors (einschließlich jener, die von Niederlassungen, Tochtergesellschaften oder sonstigen Konzerngesellschaften eingestellt sind) und die Mitarbeiter von Unterauftragnehmern aus der Ferne auf die personenbezogenen Daten des Daten-verantwortlichen zugreifen könnten? Welche Maßnahmen ergreift der Vendor, um ein angemessenes Maß an Datenschutz zu gewährleisten? Verarbeitet der Vendor personenbezogene Daten nur in dem Maße, wie es die dokumentierten Anweisungen des Datenverantwortlichen erlauben? JaNein Informiert der Vendor den Datenverantwortlichen, wenn eine seiner Anweisungen der DSGVO widerspricht und wenn ja, wie geschieht dies? JaNein Unterauftrag-nehmer Aufgrund Ihrer bisherigen Angaben müssen Sie keine Fragen zu Subunternehmern beantworten. Bitte klicken Sie auf “Nächster Schritt” Setzt der Vendor Unterauftragnehmer für die Datenverarbeitung der personenbezogenen Daten ein? JaNein In welchen Ländern verarbeiten die Unterauftragnehmer die personenbezogenen Daten? Nur in der EUDrittstaaten Bitte laden Sie eine Liste der vom Vendor eingesetzten Unterauftragnehmer hoch, die Dienstleistung, die der jeweilige Unterauftragnehmer erbringt, ob es eine Auftragsverarbeitungsvereinbarung mit dem Unterauftragnehmer gibt und welche internationalen Datenübertragungsgarantien verwendet werden. Sie können bis zu fünf Dateien hochladen. Hier können Sie eine Vorlage für die Liste herunterladen. [mfile file-subcontractors] Welche Maßnahmen trifft der Vendor, um ein angemessenes Maß an Datenschutz zu gewährleisten? Werden den Unterauftragnehmern vertraglich die gleichen Datenschutzverpflichtungen auferlegt wie dem Datenverantwortlichen? JaNein Setzt der Vendor neue Unterauftragnehmer ein ohne vorherige besondere oder allgemeine schriftliche Genehmigung des Datenverantwortlichen? JaNein Durch welche Maßnahmen stellt der Vendor sicher, dass die geeigneten Maßnahmen zum Datenschutz bei seinen Unterauftragnehmern wirksam sind? Sicherheit Aufgrund Ihrer bisherigen Angaben müssen Sie keine Fragen zu Sicherheit beantworten. Bitte klicken Sie auf “Nächster Schritt” Bitte laden Sie unsere “Technische und organisatorische Sicherheitsmaßnahmen” (TOM) per Klick auf das Icon herunter. Bitte bestätigen Sie, dass Sie die Anforderungen der “Technische und organisatorische Sicherheitsmaßnahmen” erfüllen Ich bestätigeIch lehne ab Über welche Datenschutz- oder Sicherheitsprogramme oder Zertifizierungen verfügt der Vendor? Bitte laden Sie Unterlagen über andere technische, physische und administrative Maßnahmen hoch. Sie können bis zu fünf Dateien hochladen. [mfile file-TOMs] Gewährleistet der Vendor, dass sein System die beigefügten TOM-Standards des Datenverantwortlichen erfüllt? JaNein Erhalten die Mitarbeiter in der Organisation des Vendors Training zur DSGVO und zu sonstigen relevanten Datenschutzgesetzen? Ja, regelmäßig und verpflichtend (mindestens einmal pro Jahr)Ja, aber nicht regelmäßig (z.B. nur beim Onboarding Prozess)Nein Haben Sie in den letzten fünf Jahren jemals bestätigte Datenverluste, Datenschutzverletzungen oder andere Vorfälle im Zusammenhang mit der Datensicherheit erlitten? DatenschutzverletzungDatenverlustDatensicherheit und ähnliche FälleNein Bitte stellen Sie vollständige Informationen über die Vorfälle im Zusammenhang mit der Datensicherheit zusammen. Bitte geben Sie vollständige Informationen über den Datenverlust an. Bitte machen Sie vollständige Angaben zu dem Vorfall, der die Datensicherheit betrifft. Interne Richtlinien und Prozesse Aufgrund Ihrer bisherigen Angaben müssen Sie keine Fragen zu internen Richtlinien und Prozesse beantworten. Bitte klicken Sie auf “Nächster Schritt” Verfügen Sie über eine Aufbewahrungsrichtlinie? Sofern vorhanden, bitte laden Sie die Aufbewahrungsrichtlinie hoch. Sie können bis zu fünf Dateien hochladen. Ja, es gibt eine Aufbewahrungsrichtlinie, die auf dem neuesten Stand istJa, es gibt eine Aufbewahrungsrichtlinie, die aber nicht auf dem neuesten Stand istNein [mfile file-retentionpolicy] Verfügen Sie über Richtlinien und Prozesse hinsichtlich Geschäftskontinuität und Notfallwiederherstellung und werden diese eingehalten? Sofern vorhanden, bitte laden Sie die Richtlinie zur Notfallwiederherstellung hoch Sie können bis zu fünf Dateien hochladen. Ja, sie werden regelmäßig (mindestens einmal pro Jahr) überprüft und gegebenenfalls aktualisiertJa, aber sie werden nicht regelmäßig überprüftNein [mfile file-recoverypolicies] Haben Sie im Zusammenhang mit der Verarbeitung, die Sie im Rahmen der Dienstleistung vornehmen werden, eine Folgenabschätzung zum Schutz der Privatsphäre/Datenschutz durchgeführt? Wenn ja, legen Sie bitte eine Kopie des Berichts vor. Wenn nicht, warum nicht? JaNein Wenn ja, laden Sie bitte den Bericht hoch. Sie können bis zu fünf Dateien hochladen. Wenn nein, geben Sie bitte an warum nicht. [mfile file-ImpactAssessmentsServices] Welche Richtlinien und Verfahren gibt es hinsichtlich des Umgangs mit Datenvorfällen? Please upload the policies and procedures, if available Sie können bis zu fünf Dateien hochladen. [mfile file-dataincidentpolicies] Können Sie bestätigen, dass Sie alle personenbezogenen Daten des Datenverantwortlichen finden, löschen, anonymisieren, aktualisieren oder berichtigen können, wenn der Datenverantwortliche Sie dazu auffordert? Beschreiben Sie die Systeme und Verfahren, die Sie implementiert haben, um derartigen Aufforderungen nachzukommen. JaNein Können Sie bestätigen, dass alle Ihre Mitarbeiter einer Einstellungsüberprüfung unterzogen werden und insbesondere, ob sie Vertraulichkeitsvereinbarungen (“NDAs”) oder andere Einstellungsbedingungen unterzeichnen, die sie verpflichten, alle Kundeninformationen, zu denen sie Zugang haben, vertraulich zu behandeln? Bitte beschreiben Sie das Verfahren, das Sie eingeführt haben. JaNein Reklamationen Aufgrund Ihrer bisherigen Angaben müssen Sie keine Fragen zu Reklamationen beantworten. Bitte klicken Sie auf “Nächster Schritt” Haben Sie jemals eine Reklamation, einen Einspruch oder eine ähnliche Mitteilung oder Korrespondenz von einer Datenschutzbehörde oder einer anderen Aufsichtsbehörde erhalten, oder hat eine solche Behörde eine Untersuchung oder Kontrolle in Bezug auf Ihre Verarbeitung personenbezogener Daten im Rahmen der Erbringung ihrer Dienstleistung eingeleitet? JaNein Bitte machen Sie ausführliche Angaben zu der Reklamation, dem Einspruch oder einer ähnlichen Mitteilung oder Korrespondenz, die Sie erhalten haben, oder zu Untersuchungen oder Kontrollen. Der Datenverantwortliche wird Sie auf Verlangen in vereinbarten Abständen und spätestens bei der Beendigung der Lieferbeziehung auffordern, personenbezogene Daten oder andere vertrauliche Informationen, die Sie im Rahmen der Zurverfügungstellung der Dienstleistung verwendet haben, zurückzugeben oder zu löschen. Können Sie bestätigen, dass Sie dazu in der Lage sein werden, es sei denn, die Aufbewahrung ist durch geltende zwingende Gesetze und Vorschriften vorgeschrieben? Bitte beschreiben Sie, wie Sie diesem nachkommen können oder warum Sie nicht bestätigen können, dass Sie diesem nachkommen können. JaNein Wenn Sie der Meinung sind, dass Sie personenbezogene Daten oder andere vertrauliche Informationen aus irgendeinem Grund aufbewahren müssen, erläutern Sie bitte, warum, und machen Sie Angaben zu Ihrer Richtlinie zur Aufbewarung von Aufzeichnungen. Sofern vorhanden, laden Sie Ihre Richtlinie zur Aufbewahrung von Unterlagen hoch. Sie können bis zu fünf Dateien hochladen. [mfile file-retainpersonaldata] Bestätigung Ich bestätige, dass die von mir in diesem Fragebogen gegebenen Antworten nach bestem Wissen und Gewissen wahrheitsgemäß und vollständig sind. Ich bestätige Ich bestätige, dass ich vom Vendor bevollmächtigt bin, die angeforderten Informationen zu liefern. Ich bestätige Previous stepNext step