Verwerkingsooreenkoms

Inleiding

Autosoft BV verwerk onder andere persoonlike data vir en namens die kliënt. Autosoft BV en die kliënt is dus ingevolge die Algemene Databeskermingsregulasie (GDPR) verplig om 'n verwerkersooreenkoms te sluit. Volgens die GDPR is Autosoft BV 'n 'verwerker' en die kliënt 'n 'beheerder'. Hierdie verwerkerooreenkoms beskryf ook hoe Autosoft BV die kennisgewingverpligting oor dataskending hanteer.

Verwerkingsooreenkoms

Bestaande uit:
Deel 1: Data Pro-verklaring
Deel 2: Standaardverwerkingsklousules

Deel 1: Data Pro-verklaring

Algemene inligting

1). Hierdie Data Pro-verklaring is opgestel deur die volgende dataverwerker (verwerker):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Vir vrae oor hierdie Data Pro-verklaring of databeskerming, kontak asseblief:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Hierdie Data Pro-verklaring is van toepassing vanaf 1 Augustus 2021
Ons pas gereeld hierdie Data Pro-verklaring en die sekuriteitsmaatreëls wat daarin beskryf word aan om te verseker dat ons altyd voorbereid en op datum is met betrekking tot databeskerming. Ons sal jou op hoogte hou van nuwe weergawes deur ons normale kanale.

3). Hierdie Data Pro-verklaring is van toepassing op die volgende dataverwerkerprodukte en -dienste

• AutoWebwerf
• Outohandel

4). Beskrywing Motor webwerf
Motormaatskappye gebruik Autowebsite. Met Autowebsite kan motormaatskappye hulself op die internet aanbied.

5). Bedoelde gebruik Car webwerf
Autowebwerf is ontwerp en toegerus om die volgende tipes data te verwerk:
Besoekers aan webwerwe wat deur Autosoft met Autowebsite ontwikkel is, het die opsie om hul kontakbesonderhede daar te los sodat die motormaatskappy die geleentheid het om die besoeker te nader vir verdere dienste. Hierdie kontakbesonderhede word nie by Autosoft gestoor nie, maar word direk per e-pos na die e-posadres van die motormaatskappy aangestuur.

• Hierdie diens neem nie die verwerking van spesiale persoonlike data, of data oor kriminele skuldigbevindings en oortredings of persoonlike nommers wat deur die regering uitgereik is, in ag nie.

6). Beskrywing Autocommerce
Motormaatskappye gebruik Autocommerce. Met Autocommerce kan motormaatskappye hul voertuie bestuur en aanbied op hul eie webwerf en internetsoekportale van derde partye.

7). Bedoelde gebruik Autocommerce
Autocommerce is ontwerp en toegerus om die volgende tipes data te verwerk:
Motormaatskappye kan hul geregistreerde voertuie via Autocommerce op hul eie Motor-webwerf plaas. Hierdie geregistreerde voertuie bevat geen data wat in enige vorm na persoonlike data teruggespoor kan word nie. Besoekers aan die Motor-webwerf het die opsie om hul kontakbesonderhede daar te los sodat die motormaatskappy die geleentheid het om die besoeker te nader vir verdere dienste. Die kontakbesonderhede wat die besoeker op hul eie Auto-webwerf gelaat het, word in Autocommerce gestoor.

• Hierdie diens neem nie die verwerking van spesiale persoonlike data, of data oor kriminele skuldigbevindings en oortredings of persoonlike nommers wat deur die regering uitgereik is, in ag nie.

8). Dataverwerker gebruik die Standaardklousules vir verwerking vir Autowebwerf en Autocommerce, wat as 'n bylaag tot die Ooreenkoms gevind kan word.

9). Dataverwerker verwerk die persoonlike data van sy kliënte binne die EU/EEA vir Autowebwerf en Autocommerce.

10). Dataverwerker gebruik die volgende subverwerkers vir outohandel:
In sommige gevalle stuur Autosoft sy geregistreerde voertuie via Autocommerce na die internetsoekportale van derde partye of sub-verwerkers namens die Motormaatskappy. 'n Lys van subverwerkers is op aanvraag beskikbaar by support@autosoft.eu.

11). Na beëindiging van die Ooreenkoms met 'n kliënt, sal die dataverwerker in beginsel die persoonlike data wat hy vir die kliënt verwerk binne 3 maande verwyder op so 'n wyse dat dit nie meer gebruik kan word nie en nie meer toeganklik is nie (ontoeganklik maak).

Veiligheidsbeleid

Opsomming van die volgende sekuriteitsmaatreëls wat die dataverwerker getref het om sy produk of diens te beskerm:

Voorvalbestuur en reaksiebeleid
Insidentebestuur en reaksiebeleide op die gebied van inligtingsekuriteit sluit die monitering en opsporing van sekuriteitsinsidente op 'n rekenaar of IT-infrastruktuur in, maar ook die waarneming van verdagte aktiwiteite deur die personeel, en die implementering van die korrekte reaksies op hierdie gebeure.

Die primêre doel van hierdie beleid is om 'n goed verstaanbare en voorspelbare reaksie te ontwikkel op kwaadwillige gebeure en rekenaar-inbraak in die wydste sin van die woord.

Insidentebestuur en reaksiebeleid is die proses om rekenaars, netwerke en inligtingstelsels en die inligting daarin gestoor te bestuur en te beskerm. Autosoft is bewus van sy verantwoordelikhede wanneer dit kom by die beskerming van hierdie inligting tot voordeel van sy kliënte en voorsieningskettingvennote. Hierdie verantwoordelikheid strek tot 'n Insidentprosedure. Insidentbestuur is 'n stel aktiwiteite wat 'n proses definieer en implementeer wat 'n organisasie kan gebruik om sy eie welstand en die veiligheid van die publiek te bevorder.

IT en sekuriteit
Die IKT-struktuur van Autosoft BV is voldoende beveilig met 'n firewall en die virusskanderingsagteware word op datum gehou. Elke werknemer het 'n aanmeldprofiel. Wanneer 'n rekenaar begin word, moet die werknemers 'n aanmeldnaam en wagwoord invoer en waar moontlik met 2-stap-verifikasie.

Sekere sagteware vra ook vir 'n aanmeldnaam en wagwoord en waar moontlik met 2-stap-verifikasie. Bewustheid onder werknemers oor veilig werk word gestimuleer, soos om aandag te vestig om nie verdagte e-posse oop te maak nie, nie op verdagte skakels te klik nie, uit te meld wanneer hulle die werkplek vir 'n lang tyd verlaat, ensovoorts.

Die lêers word gedurende die dae en elke nag gerugsteun. Om sekuriteitsredes is die verdere bergingsprosedure rondom die rugsteun vertroulik. Autosoft BV het dienskontrakte hiervoor gesluit met rekenaarverskaffers en internetgasheerverskaffers.

Databeskermingsbeleid
Autosoft BV neem toepaslike tegniese en organisatoriese maatreëls om die kliënt se persoonlike data te beskerm teen verlies of enige vorm van onwettige verwerking. Hierdie tegniese en organisatoriese maatreëls word beskou as 'n toepaslike sekuriteitsvlak binne die betekenis van Artikel 1 van die GDPR en word gestoor as dokumente in die sentrale Basecamp (Projek: Organisasie / Databeskermingsbeleid) van Autosoft BV

Tegnies en organisatories

1. Maatreëls om te verseker dat slegs gemagtigde personeel toegang het tot die persoonlike data wat in die konteks van die verwerkerooreenkoms verwerk word;
2. Maatreëls om die persoonlike data in die besonder te beskerm teen toevallige of onwettige vernietiging, verlies, toevallige verandering, ongemagtigde of onwettige berging, toegang of openbaarmaking;
3. Maatreëls om die persoonlike data in die besonder te beskerm teen toevallige of onwettige vernietiging, verlies, toevallige verandering, ongemagtigde of onwettige berging, toegang of openbaarmaking tydens data-uitruil/vervoer;
4. Maatreëls om die vermoë te verseker om die vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid van die redigeerstelsels en -dienste op 'n deurlopende basis te verseker;
5. Maatreëls om die beskikbaarheid en toegang tot die Persoonlike Data betyds te herstel in die geval van 'n fisiese of tegniese voorval;
6. Maatreëls om kwesbaarhede te identifiseer met betrekking tot die verwerking van persoonlike data in die stelsels wat gebruik word om die dienste ingevolge die kontrak te verskaf;

Organisatories soos:

• Beperk die kring van amptenare wat toegang tot sekere persoonlike data het tot daardie persone wat die data benodig vir die uitvoering van hul pligte;
• om aan hierdie persone toegang te verleen tot slegs persoonlike data wat hulle nodig het vir die uitvoering van hul pligte;
• die instemming van 'n vertroulikheidsklousule met 'n strafklousule met alle persone aan wie toegang tot persoonlike data verleen sal word;
• berging van persoonlike data op bedieners in 'n geslote ruimte;
• hou papierlêers in sluitbare kaste;
• die skep van inligtingsekuriteitsbewustheid onder werknemers;
• die daarstelling van duidelike protokolle en prosedures vir die hantering van inligtingsekuriteitsinsidente en sekuriteitskwesbaarhede op 'n tydige en doeltreffende wyse;

Dataverwerker gebruik sy eie metodologieë en prosedures vir bestuur wat inpas by die werksmetode van die organisasie:

• Binne Basecamp word relevante dokumente bestuur en periodiek geëvalueer.

Data-oortredingsprotokol

In die geval dat iets wel verkeerd loop, gebruik die dataverwerker die volgende datalekprotokol om te verseker dat die kliënt bewus is van insidente:

Autosoft BV – Data-oortredingsprosedure

Wat is 'n data-oortreding en wanneer moet ek dit by die AP aanmeld?
'n Data-oortreding is 'n inligtingsekuriteitsvoorval wat 'n skending van die sekuriteit van persoonlike data behels deur blootstelling aan verlies of onwettige verwerking soos (maar nie volledig):

• Aanpassing en/of verandering van persoonlike data en ongemagtigde toegang tot hierdie persoonlike data;
• In die geval van 'n inbraak deur 'n kuberkraker;
• Verloor van 'n USB-stok, diefstal van 'n skootrekenaar;
• Stuur sensitiewe data na 'n verkeerde e-posadres;

Volgens die wet moet 'n 'ernstige' data-oortreding sonder onnodige vertraging, en indien moontlik nie later as 72 uur na die ontdekking, by die Nederlandse Databeskermingsowerheid aangemeld word.

Autosoft BV hoef nie aan die Nederlandse Databeskermingsowerheid te rapporteer as werklike identifikasie van individuele natuurlike persone redelikerwys uitgesluit word nie.
Alle vermoedens van 'n inligtingsekuriteitsvoorval sal in die eerste instansie aangespreek word support@autosoft.eu aangemeld en geregistreer. Ondersteuning rapporteer die voorval by die Bestuurspan en bepaal watter opvolgaksies geneem moet word.

Opvolgprosedure

Wanneer moet ek die datasubjekte in kennis stel?
’n Data-oortreding moet aan die datasubjek gerapporteer word indien, in die geval van ’n oortreding, daar ’n hoë risiko is dat die oortreding nadelige gevolge vir sy of haar private lewe sal hê. Ongunstige gevolge vir die datasubjek is: skade aan sy reputasie en reputasie, identiteitsbedrog of diskriminasie. As Autosoft BV toepaslike tegniese beskermingsmaatreëls getref het, wat die betrokke persoonlike data onverstaanbaar of ontoeganklik maak, is die kennisgewing aan die datasubjek nie nodig nie. Die kennisgewing aan die datasubjek moet 'n beskrywing, in duidelike en eenvoudige taal, van die aard van die persoonlike data-oortreding bevat en ten minste:

• die naam en kontakbesonderhede van die databeskermingsbeampte of ander kontakpunt waar meer inligting verkry kan word;
• die waarskynlike gevolge van die skending van persoonlike data;
• die maatreëls wat deur die kontroleerder voorgestel of geneem is om die skending van persoonlike data aan te spreek, insluitend, waar toepaslik, maatreëls om enige nadelige gevolge daarvan te versag. Die beoordeling of 'n data-oortreding by die Nederlandse Databeskermingsowerheid en/of die geaffekteerde persone aangemeld moet word, is altyd aan Autosoft BV. Om te bepaal of 'n voorval aangemeld moet word, het die Nederlandse Databeskermingsowerheid beleidsreëls opgestel (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) en die werkgroep 29 van die Europese toesighouersriglyne gepubliseer oor die verslagdoeningsverpligting in die GDPR. As Autosoft BV nie die data-oortreding aangemeld het nie, kan die Nederlandse Databeskermingsowerheid vereis dat Autosoft BV steeds 'n verslag moet doen. Versuim om aan te meld kan met 'n administratiewe boete gestraf word.

Hoe rapporteer ek 'n data-oortreding?
Die Nederlandse Databeskermingsowerheid stel ’n webvorm beskikbaar wat gebruik moet word om data-oortredings aan te meld (https://dataleks.autoriteitpersoonsgegevens.nl/). Die Nederlandse Databeskermingsowerheid hou 'n register van die inligtingsbreukkennisgewings wat ontvang is. Hierdie register is nie publiek nie. Indien 'n boete deur die Nederlandse Databeskermingsowerheid opgelê word as gevolg van die data-oortreding, sal hierdie besluit openbaar gemaak word. ’n Dataskending word ook openbaar gemaak wanneer datasubjekte oor die dataskending ingelig moet word. Die kennisgewing aan die datasubjek moet in elk geval die aard van die oortreding aandui en die owerhede waar die datasubjek meer inligting oor die inbreuk kan bekom. Dit moet ook gestel word wat die datasubjek self kan doen om die negatiewe gevolge van die dataskending te beperk. Byvoorbeeld, die verandering van gebruikersname en wagwoorde wanneer hulle moontlik deur die oortreding gekompromitteer is.

Wat moet ek rapporteer?
'n Kennisgewing aan die Nederlandse Databeskermingsowerheid sluit in:

• Die verslaggewer van die data-oortreding.
• Die persoon met wie die Nederlandse Databeskermingsowerheid kan kontak vir verdere inligting oor die verslag.
• 'n Opsomming van die voorval waar die sekuriteitskending van persoonlike data plaasgevind het.
• Die tyd van die oortreding.
• Die aard van die oortreding.
• Die tipe persoonlike data betrokke.
• Die gevolge wat die inbreuk mag hê vir die privaatheid van die betrokkenes.
• Die tegniese en organisatoriese maatreëls wat Autosoft BV getref het om die oortreding aan te pak en om verdere oortredings te voorkom.
• Of Autosoft BV die data-oortreding aan die datasubjekte gerapporteer het en indien nie, of Autosoft BV van voorneme is om dit te doen:
• Indien wel, die inhoud van die kennisgewing aan die datasubjekte.
• Indien nie, die rede waarom Autosoft BV daarvan weerhou om die data-oortreding aan die datasubjekte te rapporteer.
• Is die persoonlike data geënkripteer, gehash of andersins onverstaanbaar of ontoeganklik gemaak vir ongemagtigde persone?

Deel 2: Standaardverwerkingsklousules

Weergawe: September 2019
Vorm saam met die Data Pro-verklaring die verwerkingsooreenkoms en is 'n aanhangsel tot die Ooreenkoms en die meegaande aanhangsels soos toepaslike algemene bepalings en voorwaardes.

Artikel 1. Definisies

Die bepalings hieronder het die volgende betekenisse in hierdie Standaardklousules vir verwerking, in die Data Pro-verklaring en in die ooreenkoms:

• 1.1 Nederlandse Databeskermingsowerheid (AP): toesighoudende gesag, soos beskryf in Artikel 4, sub 21 van die Gem.
• 1.2 AVG: die Algemene Databeskermingsregulasie.
• 1.3 Dataverwerker: party wat, as 'n IKT-verskaffer, Persoonlike Data tot voordeel van sy Kliënt verwerk in die konteks van die uitvoering van die Ooreenkoms.
• 1.4 Data Pro-verklaring: verklaring van dataverwerker waarin dit inligting verskaf met betrekking tot die beoogde gebruik van sy produk of diens, sekuriteitsmaatreëls wat getref is, subverwerkers, datalekkasies, sertifisering en hantering van regte van datasubjekte.
• 1.5 Datasubjek (datasubjek): 'n geïdentifiseerde of identifiseerbare natuurlike persoon.
• 1.6 Kliënt: party namens wie dataverwerker persoonlike data verwerk. Die Kliënt kan óf 'n beheerder ("beheerder") of 'n ander verwerker wees.
• 1.7 Ooreenkoms: die ooreenkoms tussen die Kliënt en Dataverwerker, op grond waarvan die IKT-verskaffer dienste en/of produkte aan die Kliënt verskaf, waarvan die verwerkersooreenkoms deel vorm.
• 1.8 Persoonlike data: alle inligting oor 'n geïdentifiseerde of identifiseerbare natuurlike persoon, soos beskryf in Artikel 4, sub 1 AVG, wat dataverwerker verwerk in die konteks van die uitvoering van sy verpligtinge wat uit die Ooreenkoms voortspruit.
• 1.9 Verwerkingsooreenkoms: hierdie Standaardklousules vir verwerking, wat saam met die Data Pro-verklaring (of vergelykbare inligting) van Dataverwerker die verwerkingsooreenkoms vorm soos bedoel in Artikel 28, paragraaf 3 van die GDPR.

Artikel 2. Algemeen

• 2.1 Hierdie standaardverwerkingsklousules is van toepassing op alle verwerking van persoonlike data wat dataverwerker doen in die konteks van die lewering van sy produkte en dienste en op alle ooreenkomste en aanbiedinge. Die toepaslikheid van die Kliënt se verwerkingsooreenkomste word uitdruklik verwerp.
• 2.2 Die Data Pro-verklaring, en veral die sekuriteitsmaatreëls daarin vervat, kan van tyd tot tyd deur Dataverwerker gewysig word om veranderende omstandighede te weerspieël. Dataverwerker sal Kliënt inlig oor beduidende veranderinge. Indien die Kliënt nie redelikerwys met die aanpassings kan saamstem nie, is die Kliënt daarop geregtig om die verwerkingsooreenkoms skriftelik te beëindig binne 30 dae vanaf kennisgewing van die aanpassings.
• 2.3 Dataverwerker verwerk die Persoonlike Data namens en namens Kliënt in ooreenstemming met die skriftelike instruksies van Kliënt wat met Dataverwerker ooreengekom is.
• 2.4 Die Kliënt, of sy kliënt, is die kontroleerder binne die betekenis van die GDPR, het beheer oor die verwerking van die Persoonlike Data en het die doel en maniere vir die verwerking van die Persoonlike Data bepaal.
• 2.5 Dataverwerker is 'n verwerker binne die betekenis van die GDPR en het dus geen beheer oor die doel en maniere om die Persoonlike Data te verwerk nie en neem dus geen besluite oor onder meer die gebruik van die Persoonlike Data nie.
• 2.6 Dataverwerker implementeer die GDPR soos neergelê in hierdie Standaardklousules vir Verwerking, die Data Pro-verklaring en die Ooreenkoms. Dit is aan die kliënt om op grond van hierdie inligting te evalueer of dataverwerker voldoende waarborge bied met betrekking tot die toepassing van toepaslike tegniese en organisatoriese maatreëls sodat die verwerking aan die vereistes van die GDPR en die beskerming van die regte van datasubjekte voldoen. is voldoende gewaarborg.
• 2.7 Die kliënt waarborg aan die dataverwerker dat hy in ooreenstemming met die GDPR optree, dat hy sy stelsels en infrastruktuur te alle tye voldoende beskerm en dat die inhoud, gebruik en/of verwerking van die persoonlike data nie onwettig is nie en geen reg skend nie. van 'n derde party.
• 2.8 'n Administratiewe boete wat die kliënt deur die AP opgelê is, kan nie van die dataverwerker verhaal word nie.

Artikel 3. Sekuriteit

• 3.1 Dataverwerker neem die tegniese en organisatoriese sekuriteitsmaatreëls, soos beskryf in sy Data Pro-verklaring. By die neem van die tegniese en organisatoriese sekuriteitsmaatreëls, het die dataverwerker die stand van die kuns, die implementeringskoste van die sekuriteitsmaatreëls, die aard, omvang en konteks van die verwerking, die doeleindes en die beoogde gebruik van sy produkte en dienste in ag geneem. , die verwerkingsrisiko's en die risiko's wat verskil in waarskynlikheid en erns vir die regte en vryhede van Datasubjekte wat hy kan verwag in die lig van die beoogde gebruik van sy produkte en dienste.
• 3.2 Tensy uitdruklik anders vermeld in die Data Pro-verklaring, is die dataverwerker se produk of diens nie ontwerp om spesiale kategorieë van persoonlike data of data rakende kriminele skuldigbevindings of oortredings of staatsuitgereikte persoonlike nommers te verwerk nie.
• 3.3 Dataverwerker streef daarna om te verseker dat die sekuriteitsmaatreëls wat deur hom getref moet word, gepas is vir die beoogde gebruik van die produk of diens deur dataverwerker.
• 3.4 Na die mening van die Kliënt bied die beskryfde sekuriteitsmaatreëls, met inagneming van die faktore waarna in Artikel 3.1 verwys word, 'n sekuriteitsvlak wat aangepas is vir die risiko van die verwerking van die Persoonlike Data wat daardeur gebruik of verskaf word.
• 3.5 Dataverwerker kan veranderinge aanbring aan die sekuriteitsmaatreëls wat getref is indien hy dit nodig ag om voort te gaan om 'n toepaslike vlak van sekuriteit te verskaf. Dataverwerker sal belangrike veranderinge aanteken, byvoorbeeld in 'n gewysigde Data Pro-verklaring, en sal Kliënt van daardie veranderinge inlig waar relevant.
• 3.6 Kliënt kan Dataverwerker versoek om verdere sekuriteitsmaatreëls te tref. Dataverwerker is onder geen verpligting om veranderinge aan sy sekuriteitsmaatreëls aan te bring op sodanige versoek nie. Dataverwerker kan die koste verbonde aan die veranderinge wat op versoek van die Kliënt aan die Kliënt gemaak is, hef. Slegs nadat die gewysigde sekuriteitsmaatreëls wat deur die Kliënt verlang word skriftelik ooreengekom en deur die Partye onderteken is, is Dataverwerker verplig om hierdie sekuriteitsmaatreëls daadwerklik te implementeer.

Artikel 4. Inbreuk op persoonlike data

• 4.1 Dataverwerker waarborg nie dat die sekuriteitsmaatreëls onder alle omstandighede doeltreffend is nie. Indien dataverwerker 'n oortreding ontdek in verband met persoonlike data (soos na verwys in artikel 4 sub 12 Gem), sal hy die kliënt sonder onnodige vertraging inlig. Die Data Pro-verklaring (onder datalekprotokol) sit uiteen hoe die Dataverwerker die Kliënt inlig oor oortredings in verband met Persoonlike Data.
• 4.2 Dit is aan die beheerder (Kliënt, of sy kliënt) om te bepaal of die Persoonlike Data-oortreding waaroor die Dataverwerker ingelig het, aan die AP of Datasubjek gerapporteer moet word. Die aanmelding van oortredings in verband met Persoonlike Data, wat aan die AP en/of Data-onderwerpe gerapporteer moet word ingevolge Artikels 33 en 34 GDPR, bly te alle tye die verantwoordelikheid van die beheerder (Kliënt of sy kliënt). Dataverwerker is nie verplig om persoonlike data-oortredings aan die AP en/of die Datasubjek te rapporteer nie.
• 4.3 Dataverwerker sal, indien nodig, verdere inligting verskaf oor die oortreding in verband met Persoonlike Data en sal saamwerk met die nodige inligtingverskaffing aan die Kliënt vir die doel van 'n kennisgewing soos bedoel in Artikels 33 en 34 Gem.
• 4.4 Dataverwerker kan die redelike koste wat dit in hierdie konteks aangaan by die Kliënt hef teen sy dan toepaslike tariewe.

Artikel 5. Vertroulikheid

• 5.1 Dataverwerker waarborg dat die persone wat Persoonlike Data onder sy verantwoordelikheid verwerk 'n plig tot vertroulikheid het.
• 5.2 Dataverwerker is geregtig om die Persoonlike Data aan derde partye te verskaf, indien en in soverre voorsiening nodig is ingevolge 'n hofbeslissing, 'n wetlike regulasie of op grond van 'n gemagtigde bevel van 'n regeringsowerheid.
• 5.3 Alle toegangs- en/of identifikasiekodes, sertifikate, inligting rakende toegang en/of wagwoordbeleid wat deur Dataverwerker aan Kliënt verskaf word en alle inligting wat deur Dataverwerker aan Kliënt verskaf word wat die tegniese en organisatoriese sekuriteitsmaatreëls ingesluit in die Data Pro-verklaring implementeer, is vertroulik. en sal as sodanig deur die Kliënt hanteer word en slegs aan gemagtigde werknemers van die Kliënt bekend gemaak word. Die Kliënt verseker dat sy werknemers die verpligtinge ingevolge hierdie artikel nakom.

Artikel 6. Termyn en beëindiging

• 6.1 Hierdie verwerkersooreenkoms vorm deel van die Ooreenkoms en enige nuwe of verdere ooreenkoms wat daaruit voortspruit, tree in werking ten tyde van die sluiting van die Ooreenkoms en word vir 'n onbepaalde tydperk gesluit.
• 6.2 Hierdie verwerkerooreenkoms eindig van kragtens wet by beëindiging van die Ooreenkoms of enige nuwe of verdere ooreenkoms tussen die partye.
• 6.3 In die geval van die beëindiging van die verwerkingsooreenkoms, sal Dataverwerker alle Persoonlike Data in sy besit en ontvang van die Kliënt uitvee binne die termyn ingesluit in die Data Pro Verklaring op so 'n wyse dat dit nie meer gebruik kan word nie en nie meer is nie toeganklik (maak ontoeganklik). , of, indien ooreengekom, stuur dit terug aan die Kliënt in 'n masjienleesbare formaat.
• 6.4 Dataverwerker kan enige koste wat dit aangaan in die konteks van die bepalings van Artikel 6.3 aan die Kliënt hef. Verdere ooreenkomste hieroor kan in die Data Pro Statement neergelê word.
• 6.5 Die bepalings van Artikel 6.3 is nie van toepassing as 'n statutêre regulasie die Dataverwerker verhoed om die Persoonlike Data heeltemal of gedeeltelik te verwyder of terug te stuur nie. In so 'n geval sal Dataverwerker slegs voortgaan om die Persoonlike Data te verwerk in die mate wat dit nodig is ingevolge sy wetlike verpligtinge. Die bepalings van Artikel 6.3 is ook nie van toepassing as die Dataverwerker die beheerder is binne die betekenis van die GDPR met betrekking tot die Persoonlike Data nie.

Artikel 7. Regte van datasubjekte, databeskermingsimpakevaluering (DPIA) en ouditregte

• 7.1 Dataverwerker sal, waar moontlik, saamwerk met redelike versoeke van Kliënt wat verband hou met die regte van Datasubjekte wat deur Data Subjekte van Kliënt opgeroep word. Indien dataverwerker direk deur 'n datasubjek genader word, sal hy hierdie persoon waar moontlik na die kliënt verwys.
• 7.2 Indien die Kliënt verplig word om dit te doen, sal Dataverwerker saamwerk met 'n databeskermingsimpakbeoordeling (DPIA) of 'n daaropvolgende voorafgaande konsultasie soos bedoel in Artikels 35 en 36 Gem.
• 7.3 Dataverwerker sal saamwerk met versoeke van Kliënt vir die verwydering van persoonlike data in soverre Kliënt dit nie self kan doen nie.
• 7.4 Op versoek van die Kliënt sal Dataverwerker ook alle verdere inligting beskikbaar stel wat redelikerwys nodig is om voldoening aan die ooreenkomste wat in hierdie verwerkingsooreenkoms gemaak is, te demonstreer. Indien die Kliënt nietemin rede het om te glo dat die verwerking van Persoonlike Data nie in ooreenstemming met die verwerkingsooreenkoms plaasvind nie, kan dit hoogstens een keer per jaar geraadpleeg word deur 'n onafhanklike, gesertifiseerde, eksterne deskundige wat aantoonbare ondervinding het met die tipe verwerking wat op grond van die Ooreenkoms uitgevoer word, 'n oudit op koste van die Kliënt laat uitvoer. Die oudit sal beperk word tot die nagaan van voldoening aan die ooreenkomste rakende die verwerking van Persoonlike Data soos uiteengesit in hierdie Verwerkerooreenkoms. Die deskundige sal 'n vertroulikheidsplig hê met betrekking tot wat hy bevind en sal slegs aan die Kliënt rapporteer dit wat lei tot 'n tekortkoming in die nakoming van verpligtinge wat Dataverwerker ingevolge hierdie verwerkerooreenkoms het. Die deskundige sal 'n afskrif van sy verslag aan die dataverwerker verskaf. Dataverwerker kan 'n oudit of opdrag van die deskundige weier indien dit, na sy mening, die GDPR of ander wetgewing oortree of 'n ontoelaatbare oortreding van die sekuriteitsmaatreëls wat hy getref het, uitmaak.
• 7.5 Die partye sal so gou moontlik oor die resultate van die verslag konsulteer. Die partye sal die voorgestelde verbeteringsmaatreëls wat in die verslag neergelê is, volg in soverre dit redelikerwys van hulle verwag kan word. Dataverwerker sal die voorgestelde verbeteringsmaatreëls implementeer in die mate wat dit na sy mening gepas is, met inagneming van die verwerkingsrisiko's wat met sy produk of diens, die stand van die kuns, die implementeringskoste, die mark waarin dit werksaam is, en die beoogde gebruik van die produk of diens. die diens.
• 7.6 Dataverwerker het die reg om die koste wat dit aangaan in die konteks van die bepalings van hierdie artikel aan die Kliënt te hef.

Artikel 8. Sub-verwerkers

• 8.1 Dataverwerker het in die Data Pro-verklaring vermeld of, en indien wel watter derde partye (sub- of sub-verwerkers) Dataverwerker betrokke is by die verwerking van die Persoonlike Data.
• 8.2 Kliënt gee toestemming aan Dataverwerker om ander subverwerkers te betrek om sy verpligtinge wat uit die Ooreenkoms voortspruit na te kom.
• 8.3 Die Dataverwerker sal die Kliënt inlig oor 'n verandering in die derde partye wat deur die Dataverwerker aangestel is, byvoorbeeld deur middel van 'n gewysigde Data Pro-verklaring. Die kliënt het die reg om beswaar te maak teen die voorgenoemde verandering deur die dataverwerker. Dataverwerker verseker dat die derde partye wat deur hom aangestel is, verbind tot dieselfde sekuriteitsvlak met betrekking tot die beskerming van Persoonlike Data as die sekuriteitsvlak waaraan Dataverwerker gebonde is teenoor die Kliënt op grond van die Data Pro Statement.

Artikel 9. Ander

Hierdie Standaardverwerkingsklousules, saam met die Data Pro-verklaring, vorm 'n integrale deel van die Ooreenkoms. Alle regte en verpligtinge ingevolge die Ooreenkoms, insluitend die toepaslike algemene bepalings en voorwaardes en/of beperkings van aanspreeklikheid, is dus ook van toepassing op die verwerkingsooreenkoms.