Datenschutzerklärung zur Verarbeitung personenbezogener Daten im Beschaffungsportal des EPA

Der Schutz Ihrer Privatsphäre ist für das Europäische Patentamt (EPA) von höchster Bedeutung. Das Amt ist dem Schutz Ihrer personenbezogenen Daten und Ihrer Rechte als betroffener Person verpflichtet. Alle personenbezogenen Daten, mit denen Sie direkt oder indirekt identifiziert werden können, werden nach Treu und Glauben, auf rechtmäßige Weise und mit der gebotenen Sorgfalt verarbeitet.

Die Verarbeitung erfolgt nach den Richtlinien für den Schutz personenbezogener Daten im Europäischen Patentamt (Datenschutzrichtlinien).

Die Informationen in dieser Erklärung werden Ihnen gemäß den Artikeln 13 und 14 der Datenschutzrichtlinien mitgeteilt.

1. Wie erfolgt die Verarbeitung und wozu dient sie?

Die Verarbeitung, die die Nutzung personenbezogener Daten einschließt, erlaubt es (potenziellen) Lieferanten über die Ivalua Source-to-Pay-Plattform im Rahmen von Beschaffungsverfahren, die unter anderem die Einreichung von Geboten oder Angeboten, die Vertragsabwicklung, Bestellbestätigungen, Lieferavis und Rechnungsstellung umfassen, mit dem EPA zusammenzuarbeiten.

2. Welche personenbezogenen Daten verarbeiten wir?

Verarbeitet werden personenbezogene Daten folgender Kategorien:

  • Nutzerkennungen für das Login
  • Kontaktdaten (der Lieferanten und des EPA)
    • Vor- und Nachname
    • geschäftliche E-Mail-Adresse
    • geschäftliche Telefonnummer
    • Geschäftsanschrift
    • IP-Adresse
    • Nutzerkennung
    • Signaturen (qualifizierte elektronische Signaturen)

Die Verarbeitung sonstiger, in diesem Abschnitt nicht aufgeführter personenbezogener Daten ist strengstens untersagt, weswegen diese Daten nicht auf die Ivalua-Plattform hochgeladen werden dürfen. Dazu gehören insbesondere, aber nicht ausschließlich: i) spezielle Kategorien personenbezogener Daten, ii) Vorstrafenregister, iii) vom EPA erhobene oder gesammelte Daten zu Hintergrundprüfungen oder Überprüfungen in Bezug auf seine Bediensteten, externe Auftragnehmer, Zeitarbeitskräfte, Praktikanten und Einzelunternehmer.

3. Wer ist für die Verarbeitung der Daten verantwortlich?

Die Verarbeitung personenbezogener Daten erfolgt unter der Verantwortung der Zentralen Beschaffung, die als delegierter Datenverantwortlicher des EPA handelt.

4. Wer hat Zugriff auf Ihre personenbezogenen Daten und für wen werden sie offengelegt?

Personenbezogene Daten werden bedarfsorientiert für folgende Empfänger offengelegt:

  • die Zentrale Beschaffung und die Rechtsabteilungen des EPA,
  • die IT-Abteilung des EPA und das technische Personal von Ivalua für Wartungs- und Unterstützungsleistungen.

5. Wie schützen wir Ihre Daten?

Wir ergreifen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor versehentlicher oder rechtswidriger Vernichtung, Verlust oder Veränderung sowie unbefugter Offenlegung oder unbefugtem Zugang zu schützen.

Das EPA hat mit Ivalua eine rechtsverbindliche Vereinbarung geschossen, in der die Einzelheiten der Datenverarbeitung sowie das Verhältnis zwischen dem EPA und Ivalua geregelt sind.

Ivalua speichert alle EPA-Daten auf sicheren Servern innerhalb der EU, auf denen insbesondere, aber nicht ausschließlich die folgenden technischen und organisatorischen Vorkehrungen implementiert sind: Patching, Malware-Erkennung, Aufspürung von Sicherheitslücken, Verschlüsselung, Systemhärtung, Netzwerksicherheit, Sicherheitsprotokolle, getrennte Umgebungen, Zugriffskontrollen, physische und umgebungsbezogene Sicherheit, Computer-Notdienste (Security Incident Response), Notfall- und Notfallwiederherstellungspläne, sichere Entsorgung, Sicherheitsberichte, Netzwerk- und Systemüberwachung sowie Änderungs- und Konfigurationsmanagement. Außerdem verfügt Ivalua über eine "SOC 2 Typ II"-Zertifizierung als Service-Anbieter gemäß dem Statement on Standards for Attestation Engagements No. 18 ("SSAE 18 - Reporting on Controls at a Service Organization") sowie gemäß dem International Standard on Assurance Engagements No. 3402 ("ISAE 3402 - Reporting on Controls at a Service Organization"). 

Das EPA hat die Zugriffsrechte und die Tool-Einstellungen so vorkonfiguriert, dass der Schutz der personenbezogenen Daten sichergestellt und durch alle geeigneten Maßnahmen die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Tool gewährleistet ist.

6. Wie können Sie auf Ihre personenbezogenen Daten zugreifen und diese gegebenenfalls berichtigen? Wie können Sie Ihre Daten erhalten? Wie können Sie die Löschung Ihrer personenbezogenen Daten verlangen, die Verarbeitung dieser Daten beschränken oder ihr widersprechen?

Sie haben gemäß Artikel 14 der Datenschutzrichtlinien und gemäß der zwischen dem EPA und Ivalua geschlossenen Vereinbarung das Recht, auf Ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen, abzurufen und zu löschen sowie die Verarbeitung dieser Daten zu beschränken und ihr zu widersprechen.

Wenn Sie von einem dieser Rechte Gebrauch machen möchten, wenden Sie sich bitte schriftlich mit expliziten Angaben zu Ihrem Antrag an den Datenverantwortlichen unter centralprocurement@epo.org.

Ihr Antrag wird innerhalb von drei Monaten nach Eingang bearbeitet. Gemäß Artikel 14 (7) der Datenschutzrichtlinien kann dieser Zeitraum jedoch bei Bedarf unter Berücksichtigung der Komplexität und Zahl der eingegangenen Anträge verlängert werden. Das Amt wird Sie in diesem Fall entsprechend informieren.

7. Auf welcher Rechtsgrundlage basiert die Verarbeitung Ihrer Daten?

Ihre personenbezogenen Daten werden gemäß Artikel 5 a) der Datenschutzrichtlinien verarbeitet, der wie folgt lautet: "Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die [...] in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, die [...] dem EPA [...] übertragen wurde [...]."

8. Wie lange können Daten gespeichert werden?

Vom Datenverantwortlichen oder von ihm unterstellten Dienstleistungsanbietern erhobene personenbezogene Daten werden in der Regel nur so lange gespeichert, wie es für die Erreichung der Zwecke erforderlich ist, für die sie erhoben wurden.

9. Kontaktinformationen

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte schriftlich an den Datenverantwortlichen unter centralprocurement@epo.org.

Die Datenschutzbeauftragte des EPA erreichen Sie unter dpo@epo.org.

Quick Navigation