اتفاقية المعالج

مقدمة

تعالج Autosoft BV ، من بين أشياء أخرى ، البيانات الشخصية للعميل وبالنيابة عنه. لذلك تلتزم شركة Autosoft BV والعميل بموجب اللائحة العامة لحماية البيانات (GDPR) بإبرام اتفاقية معالج. وفقًا للائحة العامة لحماية البيانات ، يعد Autosoft BV "معالجًا" والعميل "مراقب". توضح اتفاقية المعالج هذه أيضًا كيفية تعامل Autosoft BV مع التزام الإخطار بخرق البيانات.

اتفاقية المعالج

تتكون من:
الجزء 1: بيان داتا برو
الجزء 2: شروط المعالجة القياسية

الجزء 1: بيان داتا برو

معلومات عامة

1). تم وضع بيان Data Pro هذا بواسطة معالج البيانات (المعالج) التالي:

• أوتوسوفت بي
  547
  7521 AG انشيده

للأسئلة حول بيان Data Pro هذا أو حماية البيانات ، يرجى الاتصال بـ:
آرثر فان دير ليك: arthur@autosoft.eu / +31 (0) 53-428 00 98

2). يسري بيان Data Pro هذا اعتبارًا من 1 أغسطس 2021
نقوم بانتظام بتعديل بيان Data Pro هذا والتدابير الأمنية الموضحة فيه للتأكد من أننا دائمًا على استعداد وتحديث فيما يتعلق بحماية البيانات. سنبقيك على اطلاع على الإصدارات الجديدة من خلال قنواتنا العادية.

3). ينطبق بيان Data Pro هذا على منتجات وخدمات معالج البيانات التالية

• موقع ويب تلقائي
• التجارة الآلية

4). موقع وصف السيارة
تستخدم شركات السيارات Autowebsite. مع Autowebsite ، يمكن لشركات السيارات تقديم نفسها على الإنترنت.

5). الموقع الإلكتروني لاستخدام السيارة المقصود
تم تصميم موقع Autowebsite وتجهيزه لمعالجة الأنواع التالية من البيانات:
يتمتع زوار مواقع الويب التي طورتها Autosoft مع Autowebsite بخيار ترك تفاصيل الاتصال الخاصة بهم هناك حتى تتاح لشركة السيارات الفرصة للتواصل مع الزائر للحصول على مزيد من الخدمات. لا يتم تخزين تفاصيل الاتصال هذه مع Autosoft ، ولكن يتم إعادة توجيهها مباشرة عبر البريد الإلكتروني إلى عنوان البريد الإلكتروني لشركة السيارات.

• لا تأخذ هذه الخدمة في الاعتبار معالجة البيانات الشخصية الخاصة ، أو البيانات المتعلقة بالإدانات الجنائية والجرائم أو الأرقام الشخصية الصادرة عن الحكومة.

6). الوصف Autocommerce
تستخدم شركات السيارات التجارة الإلكترونية. باستخدام برنامج Autocommerce ، يمكن لشركات السيارات إدارة وعرض سياراتهم على مواقع الويب الخاصة بهم وبوابات البحث على الإنترنت الخاصة بأطراف ثالثة.

7). الاستخدام المقصود للتجارة التلقائية
تم تصميم وتجهيز Autocommerce لمعالجة الأنواع التالية من البيانات:
يمكن لشركات السيارات وضع سياراتها المسجلة عبر Autocommerce على موقع الويب الخاص بالسيارات. لا تحتوي هذه المركبات المسجلة على أي بيانات يمكن إرجاعها إلى البيانات الشخصية بأي شكل من الأشكال. يتمتع زوار موقع السيارة على الويب بخيار ترك تفاصيل الاتصال الخاصة بهم هناك حتى تتاح لشركة السيارات الفرصة للتواصل مع الزائر للحصول على مزيد من الخدمات. يتم تخزين تفاصيل الاتصال التي تركها الزائر على موقع Auto الخاص بهم في Autocommerce.

• لا تأخذ هذه الخدمة في الاعتبار معالجة البيانات الشخصية الخاصة ، أو البيانات المتعلقة بالإدانات الجنائية والجرائم أو الأرقام الشخصية الصادرة عن الحكومة.

8). يستخدم معالج البيانات البنود القياسية لمعالجة Autowebsite و Autocommerce ، والتي يمكن العثور عليها كملحق بالاتفاقية.

9). يعالج معالج البيانات البيانات الشخصية لعملائه داخل الاتحاد الأوروبي / المنطقة الاقتصادية الأوروبية لموقع Autowebsite والتجارة الآلية.

10). يستخدم معالج البيانات المعالجات الفرعية التالية للتجارة التلقائية:
في بعض الحالات ، ترسل Autosoft مركباتها المسجلة عبر نظام التجارة الإلكترونية إلى بوابات البحث على الإنترنت لأطراف ثالثة أو معالجات فرعية نيابة عن شركة السيارات. قائمة المعالجات الفرعية متاحة عند الطلب على support@autosoft.eu.

11). بعد إنهاء الاتفاقية مع العميل ، يقوم معالج البيانات من حيث المبدأ بإزالة البيانات الشخصية التي يعالجها للعميل في غضون 3 أشهر بطريقة لا يمكن استخدامها بعد الآن ولا يمكن الوصول إليها (يتعذر الوصول إليها).

سياسة الأمن

تلخيص الإجراءات الأمنية التالية التي اتخذها معالج البيانات لحماية منتجه أو خدمته:

إدارة الحوادث وسياسة الاستجابة
تتضمن سياسات إدارة الحوادث والاستجابة لها في مجال أمن المعلومات مراقبة وكشف الحوادث الأمنية على جهاز الكمبيوتر أو البنية التحتية لتكنولوجيا المعلومات ، ولكن أيضًا مراقبة الأنشطة المشبوهة من قبل الموظفين ، وتنفيذ الاستجابات الصحيحة لهذه الأحداث.

الهدف الأساسي لهذه السياسة هو تطوير استجابة مفهومة جيدًا ويمكن التنبؤ بها للأحداث الخبيثة وتطفل الكمبيوتر بالمعنى الأوسع للكلمة.

إدارة الحوادث وسياسة الاستجابة هي عملية إدارة وحماية أجهزة الكمبيوتر والشبكات وأنظمة المعلومات والمعلومات المخزنة فيها. تدرك Autosoft مسؤولياتها عندما يتعلق الأمر بحماية هذه المعلومات لصالح عملائها وشركائها في سلسلة التوريد. تمتد هذه المسؤولية إلى وجود إجراء حادث. إدارة الحوادث هي مجموعة من الأنشطة التي تحدد وتنفذ عملية يمكن أن تستخدمها المنظمة لتعزيز رفاهيتها وسلامة الجمهور.

تكنولوجيا المعلومات والأمن
هيكل تكنولوجيا المعلومات والاتصالات الخاص بـ Autosoft BV مؤمن بشكل مناسب بجدار حماية ويتم تحديث برنامج فحص الفيروسات. كل موظف لديه ملف تعريف تسجيل الدخول. عند بدء تشغيل جهاز كمبيوتر ، يجب على الموظفين إدخال اسم تسجيل الدخول وكلمة المرور وحيثما أمكن باستخدام المصادقة المكونة من خطوتين.

تطلب بعض البرامج أيضًا اسم تسجيل الدخول وكلمة المرور وحيثما أمكن باستخدام مصادقة من خطوتين. يتم تحفيز الوعي بين الموظفين حول العمل بأمان ، مثل لفت الانتباه إلى عدم فتح رسائل البريد الإلكتروني المشبوهة ، وعدم النقر على الروابط المشبوهة ، وتسجيل الخروج عند مغادرة مكان العمل لفترة طويلة ، وما إلى ذلك.

يتم نسخ الملفات احتياطيًا خلال النهار وكل ليلة. لأسباب أمنية ، تعتبر إجراءات التخزين الإضافية المحيطة بالنسخة الاحتياطية سرية. أبرمت شركة Autosoft BV عقود خدمة لهذا الغرض مع موردي أجهزة الكمبيوتر وموفري خدمات استضافة الإنترنت.

سياسة حماية البيانات
تتخذ Autosoft BV التدابير الفنية والتنظيمية المناسبة لحماية البيانات الشخصية للعميل من الضياع أو أي شكل من أشكال المعالجة غير القانونية. تعتبر هذه التدابير الفنية والتنظيمية مستوى أمان مناسبًا بالمعنى المقصود في المادة 1 من القانون العام لحماية البيانات (GDPR) ويتم تخزينها كوثائق في Basecamp المركزي (المشروع: سياسة حماية البيانات / المنظمة) لشركة Autosoft BV

الفنية والتنظيمية

1. تدابير لضمان وصول الأفراد المصرح لهم فقط إلى البيانات الشخصية التي تتم معالجتها في سياق اتفاقية المعالج ؛
2. تدابير لحماية البيانات الشخصية على وجه الخصوص ضد التدمير العرضي أو غير القانوني أو الفقد أو التغيير العرضي أو التخزين أو الوصول أو الكشف غير المصرح به أو غير القانوني ؛
3. تدابير لحماية البيانات الشخصية على وجه الخصوص ضد التدمير العرضي أو غير القانوني أو الفقد أو التغيير العرضي أو التخزين غير المصرح به أو غير القانوني أو الوصول أو الكشف أثناء تبادل / نقل البيانات ؛
4. تدابير لضمان القدرة على ضمان سرية ونزاهة وتوافر ومرونة أنظمة وخدمات التحرير على أساس مستمر ؛
5. تدابير لاستعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني ؛
6. تدابير لتحديد نقاط الضعف فيما يتعلق بمعالجة البيانات الشخصية في الأنظمة المستخدمة لتقديم الخدمات بموجب العقد ؛

التنظيمية مثل:

• حصر دائرة المسؤولين الذين يمكنهم الوصول إلى بيانات شخصية معينة على الأشخاص الذين يحتاجون إليها لأداء واجباتهم ؛
• منح هؤلاء الأشخاص الوصول إلى البيانات الشخصية فقط التي يحتاجونها لأداء واجباتهم ؛
• الموافقة على شرط السرية مع بند جزائي مع جميع الأشخاص الذين سيتم منحهم إمكانية الوصول إلى البيانات الشخصية ؛
• تخزين البيانات الشخصية على الخوادم في مكان مغلق ؛
• حفظ الملفات الورقية في خزائن قابلة للقفل ؛
• خلق وعي بأمن المعلومات بين الموظفين ؛
• وضع بروتوكولات وإجراءات واضحة للتعامل مع حوادث أمن المعلومات ونقاط الضعف الأمنية في الوقت المناسب وبطريقة فعالة ؛

يستخدم معالج البيانات منهجياته وإجراءاته الخاصة للإدارة التي تتناسب مع طريقة عمل المنظمة:

• تتم إدارة المستندات ذات الصلة وتقييمها بشكل دوري داخل Basecamp.

بروتوكول خرق البيانات

في حالة حدوث خطأ ما ، يستخدم معالج البيانات بروتوكول تسرب البيانات التالي للتأكد من أن العميل على علم بالحوادث:

Autosoft BV - إجراء خرق البيانات

ما هو خرق البيانات ومتى يتعين علي إبلاغ وكالة الأسوشييتد برس؟
خرق البيانات هو حادث متعلق بأمن المعلومات يتضمن خرقًا لأمن البيانات الشخصية من خلال التعرض للفقد أو المعالجة غير القانونية مثل (ولكن ليس بشكل شامل):

• تعديل و / أو تغيير البيانات الشخصية والوصول غير المصرح به إلى هذه البيانات الشخصية ؛
• في حالة الاختراق من قبل أحد المتطفلين ؛
• فقدان محرك أقراص USB ، وسرقة جهاز كمبيوتر محمول ؛
• إرسال بيانات حساسة إلى عنوان بريد إلكتروني غير صحيح ؛

وفقًا للقانون ، يجب الإبلاغ عن خرق البيانات "الخطير" لهيئة حماية البيانات الهولندية دون تأخير لا داعي له ، وإذا أمكن في موعد لا يتجاوز 72 ساعة بعد الاكتشاف.

لا يتعين على شركة Autosoft BV إبلاغ هيئة حماية البيانات الهولندية إذا تم استبعاد التحديد الفعلي للأشخاص الطبيعيين بشكل معقول.
سيتم معالجة جميع الاشتباه في وقوع حادث يتعلق بأمن المعلومات في المقام الأول support@autosoft.eu تم الإبلاغ عنها وتسجيلها. يُبلغ الدعم بالحادثة إلى فريق الإدارة ويحدد إجراءات المتابعة التي ينبغي اتخاذها.

إجراء المتابعة

متى يجب علي إبلاغ أصحاب البيانات؟
يجب الإبلاغ عن خرق البيانات لصاحب البيانات إذا كان هناك مخاطرة كبيرة في أن يكون للانتهاك عواقب سلبية على حياته الخاصة في حالة حدوث خرق. العواقب غير المواتية لصاحب البيانات هي: الإضرار بالشرف والسمعة أو الاحتيال في الهوية أو التمييز. إذا اتخذت Autosoft BV تدابير الحماية الفنية المناسبة ، مما يجعل البيانات الشخصية المعنية غير مفهومة أو يتعذر الوصول إليها ، فإن الإخطار إلى موضوع البيانات ليس ضروريًا. يجب أن يحتوي الإخطار إلى موضوع البيانات على وصف ، بلغة واضحة وصريحة ، لطبيعة خرق البيانات الشخصية وعلى الأقل:

• اسم وتفاصيل الاتصال بمسؤول حماية البيانات أو نقطة اتصال أخرى حيث يمكن الحصول على مزيد من المعلومات ؛
• العواقب المحتملة لخرق البيانات الشخصية ؛
• التدابير المقترحة أو المتخذة من قبل وحدة التحكم لمعالجة خرق البيانات الشخصية ، بما في ذلك ، عند الاقتضاء ، تدابير للتخفيف من أي آثار سلبية لها. إن تقييم ما إذا كان يجب الإبلاغ عن خرق البيانات إلى هيئة حماية البيانات الهولندية و / أو الأشخاص المتضررين متروك دائمًا لـ Autosoft BV. من أجل تحديد ما إذا كان يجب الإبلاغ عن حادث ، قامت هيئة حماية البيانات الهولندية بوضع قواعد السياسة (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) و مجموعة العمل رقم 29 الخاصة بإرشادات المشرفين الأوروبيين المنشورة حول واجب الإبلاغ في اللائحة العامة لحماية البيانات (GDPR). إذا لم تبلغ شركة Autosoft BV عن خرق البيانات ، فقد تطلب هيئة حماية البيانات الهولندية من شركة Autosoft BV تقديم تقرير. يمكن أن يعاقب عدم الإبلاغ بغرامة إدارية.

كيف يمكنني الإبلاغ عن خرق البيانات؟
توفر هيئة حماية البيانات الهولندية نموذجًا على الويب يجب استخدامه للإبلاغ عن انتهاكات البيانات (https://dataleks.autoriteitpersoonsgegevens.nl/). تحتفظ هيئة حماية البيانات الهولندية بسجل لإخطارات خرق البيانات المتلقاة. هذا السجل ليس عام. إذا تم فرض غرامة من قبل هيئة حماية البيانات الهولندية نتيجة لخرق البيانات ، فسيتم إعلان هذا القرار. يتم أيضًا الإعلان عن خرق البيانات عندما يحتاج موضوع البيانات إلى إبلاغه بخرق البيانات. يجب أن يشير الإخطار إلى موضوع البيانات في أي حال من الأحوال إلى طبيعة الانتهاك والسلطات حيث يمكن لصاحب البيانات الحصول على مزيد من المعلومات حول الانتهاك. يجب أيضًا تحديد ما يمكن لصاحب البيانات فعله بنفسه للحد من النتائج السلبية لخرق البيانات. على سبيل المثال ، تغيير أسماء المستخدمين وكلمات المرور في حالة تعرضهم للاختراق.

ما الذي يجب علي الإبلاغ عنه؟
يتضمن إخطار هيئة حماية البيانات الهولندية ما يلي:

• محضر خرق البيانات.
• الشخص الذي يمكن لهيئة حماية البيانات الهولندية الاتصال به للحصول على مزيد من المعلومات حول التقرير.
• ملخص للحادث الذي حدث فيه خرق لأمن البيانات الشخصية.
• وقت التعدي.
• طبيعة التعدي.
• نوع البيانات الشخصية المعنية.
• العواقب التي قد تترتب على الانتهاك على خصوصية المتورطين.
• الإجراءات الفنية والتنظيمية التي اتخذتها شركة Autosoft BV لمعالجة الانتهاك ومنع المزيد من الانتهاكات.
• ما إذا كانت Autosoft BV قد أبلغت عن خرق البيانات لموضوعات البيانات وإذا لم يكن الأمر كذلك ، فما إذا كانت Autosoft BV تنوي القيام بذلك:
• إذا كان الأمر كذلك ، فإن محتوى الإخطار لموضوعات البيانات.
• إذا لم يكن الأمر كذلك ، فإن سبب امتناع Autosoft BV عن الإبلاغ عن خرق البيانات لأصحاب البيانات.
• هل تم تشفير البيانات الشخصية أو تجزئتها أو جعلها غير مفهومة أو يتعذر الوصول إليها من قبل الأشخاص غير المصرح لهم؟

الجزء 2: شروط المعالجة القياسية

الإصدار: سبتمبر 2019
جنبًا إلى جنب مع بيان Data Pro ، يشكل اتفاق المعالجة وهو ملحق بالاتفاقية والملاحق المصاحبة مثل الشروط والأحكام العامة المعمول بها.

المادة 1. التعاريف

المصطلحات أدناه لها المعاني التالية في هذه البنود القياسية للمعالجة ، في بيان Data Pro وفي الاتفاقية:

• 1.1 هيئة حماية البيانات الهولندية (AP): السلطة الإشرافية ، كما هو موضح في المادة 4 ، الفرع 21 من متوسط
• 1.2 متوسط: اللائحة العامة لحماية البيانات.
• 1.3 معالج البيانات: الطرف الذي يقوم ، كمورد لتكنولوجيا المعلومات والاتصالات ، بمعالجة البيانات الشخصية لصالح العميل في سياق تنفيذ الاتفاقية.
• 1.4 بيان داتا برو: بيان معالج البيانات الذي يقدم فيه معلومات فيما يتعلق بالاستخدام المقصود لمنتجها أو خدمتها ، والتدابير الأمنية المتخذة ، والمعالجات الفرعية ، وتسريبات البيانات ، والشهادات ، والتعامل مع حقوق موضوعات البيانات.
• 1.5 موضوع البيانات (موضوع البيانات): شخص طبيعي محدد أو يمكن التعرف عليه.
• 1.6 العميل: الطرف الذي يعالج معالج البيانات البيانات الشخصية نيابة عنه. يمكن أن يكون العميل إما وحدة تحكم ("وحدة تحكم") أو معالج آخر.
• 1.7 الاتفاقية: الاتفاقية المبرمة بين العميل ومعالج البيانات ، والتي على أساسها يقدم مورد تكنولوجيا المعلومات والاتصالات الخدمات و / أو المنتجات للعميل ، والتي تشكل اتفاقية المعالج جزءًا منها.
• 1.8 البيانات الشخصية: جميع المعلومات المتعلقة بشخص طبيعي محدد أو قابل للتحديد ، كما هو موضح في المادة 4 ، الفرع 1 AVG ، والتي يعالجها معالج البيانات في سياق أداء التزاماته الناشئة عن الاتفاقية.
• 1.9 اتفاقية المعالجة: هذه البنود القياسية للمعالجة ، والتي تشكل جنبًا إلى جنب مع بيان Data Pro (أو المعلومات القابلة للمقارنة) من معالج البيانات اتفاقية المعالجة على النحو المشار إليه في المادة 28 ، الفقرة 3 من القانون العام لحماية البيانات (GDPR).

المادة 2. عام

• 2.1 تنطبق شروط المعالجة القياسية هذه على جميع عمليات معالجة البيانات الشخصية التي يقوم بها معالج البيانات في سياق تسليم منتجاته وخدماته وجميع الاتفاقيات والعروض. تم رفض تطبيق اتفاقيات المعالجة الخاصة بالعميل صراحةً.
• 2.2 قد يتم تعديل بيان Data Pro ، ولا سيما الإجراءات الأمنية الواردة فيه ، بواسطة معالج البيانات من وقت لآخر ليعكس الظروف المتغيرة. سيقوم معالج البيانات بإبلاغ العميل بالتغييرات المهمة. إذا لم يتمكن العميل من الموافقة بشكل معقول على التعديلات ، فيحق للعميل إنهاء اتفاقية المعالجة كتابيًا في غضون 30 يومًا من الإخطار بالتعديلات.
• 2.3 يعالج معالج البيانات البيانات الشخصية نيابة عن العميل ونيابة عنه وفقًا لتعليمات العميل المكتوبة المتفق عليها مع معالج البيانات.
• 2.4 العميل ، أو عميله ، هو المتحكم بالمعنى المقصود في اللائحة العامة لحماية البيانات ، وله التحكم في معالجة البيانات الشخصية وقد حدد الغرض من معالجة البيانات الشخصية ووسائلها.
• 2.5 معالج البيانات هو معالج بالمعنى المقصود في اللائحة العامة لحماية البيانات ، وبالتالي لا يتحكم في غرض ووسائل معالجة البيانات الشخصية ، وبالتالي لا يتخذ أي قرارات بشأن ، من بين أمور أخرى ، استخدام البيانات الشخصية.
• 2.6 يقوم معالج البيانات بتنفيذ القانون العام لحماية البيانات (GDPR) على النحو المنصوص عليه في هذه البنود القياسية للمعالجة وبيان Data Pro والاتفاقية. الأمر متروك للعميل للتقييم على أساس هذه المعلومات ما إذا كان معالج البيانات يقدم ضمانات كافية فيما يتعلق بتطبيق التدابير التقنية والتنظيمية المناسبة بحيث تفي المعالجة بمتطلبات اللائحة العامة لحماية البيانات وحماية حقوق أصحاب البيانات. كافي. مضمون.
• 2.7 يضمن العميل لمعالج البيانات أنه يتصرف وفقًا للقانون العام لحماية البيانات (GDPR) ، وأنه يحمي أنظمته وبنيته التحتية بشكل كافٍ في جميع الأوقات وأن محتوى البيانات الشخصية واستخدامها و / أو معالجتها ليست غير قانونية ولا تنتهك أي حق. طرف ثالث.
• 2.8 لا يمكن استرداد الغرامة الإدارية المفروضة على العميل بواسطة AP من معالج البيانات.

المادة 3. الأمن

• 3.1 يتخذ معالج البيانات إجراءات الأمان الفنية والتنظيمية ، كما هو موضح في بيان Data Pro الخاص به. عند اتخاذ تدابير الأمان الفنية والتنظيمية ، أخذ معالج البيانات في الاعتبار أحدث التطورات وتكاليف تنفيذ التدابير الأمنية وطبيعة المعالجة ونطاقها وسياقها والأغراض والاستخدام المقصود لمنتجاتها وخدماتها ، مخاطر المعالجة والمخاطر التي تختلف في الاحتمالية والجدية بالنسبة لحقوق وحريات مواضيع البيانات التي يمكن أن يتوقعها في ضوء الاستخدام المقصود لمنتجاته وخدماته.
• 3.2 ما لم يُنص صراحةً على خلاف ذلك في بيان Data Pro ، لم يتم تصميم منتج أو خدمة معالج البيانات لمعالجة فئات خاصة من البيانات الشخصية أو البيانات المتعلقة بالإدانات الجنائية أو الجرائم أو الأرقام الشخصية الصادرة عن الحكومة.
• 3.3 يسعى معالج البيانات إلى التأكد من أن التدابير الأمنية التي يجب أن يتخذها مناسبة للاستخدام المقصود للمنتج أو الخدمة من قبل معالج البيانات.
• 3.4 في رأي العميل ، توفر التدابير الأمنية الموصوفة مستوى من الأمان مصممًا لخطر معالجة البيانات الشخصية المستخدمة أو المقدمة من قبل العميل ، مع مراعاة العوامل المشار إليها في المادة 3.1.
• 3.5 قد يقوم معالج البيانات بإجراء تغييرات على التدابير الأمنية المتخذة إذا كان ذلك ضروريًا في رأيه للاستمرار في توفير مستوى مناسب من الأمان. سيسجل معالج البيانات التغييرات المهمة ، على سبيل المثال في بيان Data Pro المعدل ، وسيبلغ العميل بهذه التغييرات عند الاقتضاء.
• 3.6 يمكن للعميل أن يطلب من معالج البيانات اتخاذ مزيد من الإجراءات الأمنية. معالج البيانات غير ملزم بإجراء تغييرات على تدابير الأمان الخاصة به بناءً على هذا الطلب. يمكن لمعالج البيانات تحميل التكاليف المتعلقة بالتغييرات التي يتم إجراؤها بناءً على طلب العميل على العميل. فقط بعد الموافقة على التدابير الأمنية المعدلة التي يطلبها العميل كتابةً والتوقيع عليها من قبل الأطراف ، يكون معالج البيانات ملزمًا بتنفيذ هذه الإجراءات الأمنية فعليًا.

المادة 4. خرق البيانات الشخصية

• 4.1 لا يضمن معالج البيانات أن الإجراءات الأمنية فعالة في جميع الظروف. إذا اكتشف معالج البيانات وجود خرق فيما يتعلق بالبيانات الشخصية (على النحو المشار إليه في المادة 4 الفرعية 12 في المتوسط) ، فسيقوم بإبلاغ العميل دون تأخير لا داعي له. يوضح بيان Data Pro (بموجب بروتوكول تسرب البيانات) كيف يُعلم معالج البيانات العميل بشأن الانتهاكات المتعلقة بالبيانات الشخصية.
• 4.2 الأمر متروك للمراقب (العميل أو العميل) لتقييم ما إذا كان يجب الإبلاغ عن خرق البيانات الشخصية الذي أبلغه معالج البيانات إلى AP أو موضوع البيانات. يظل الإبلاغ عن الانتهاكات المتعلقة بالبيانات الشخصية ، والتي يجب الإبلاغ عنها إلى AP و / أو موضوعات البيانات وفقًا للمادتين 33 و 34 من القانون العام لحماية البيانات ، مسؤولية المتحكم (العميل أو العميل) في جميع الأوقات. معالج البيانات غير ملزم بالإبلاغ عن انتهاكات البيانات الشخصية إلى AP و / أو موضوع البيانات.
• 4.3 سيقدم معالج البيانات ، إذا لزم الأمر ، مزيدًا من المعلومات حول الخرق فيما يتعلق بالبيانات الشخصية وسيتعاون مع توفير المعلومات اللازمة للعميل لغرض الإشعار كما هو مشار إليه في المادتين 33 و 34 Avg.
• 4.4 يمكن لمعالج البيانات أن يفرض التكاليف المعقولة التي يتكبدها في هذا السياق على العميل بمعدلاته المعمول بها في ذلك الوقت.

المادة 5. السرية

• 5.1 يضمن معالج البيانات أن الأشخاص الذين يعالجون البيانات الشخصية تحت مسؤوليته ملزمون بالحفاظ على السرية.
• 5.2 يحق لمعالج البيانات تقديم البيانات الشخصية إلى أطراف ثالثة ، إذا كان ذلك ضروريًا وفقًا لقرار محكمة أو لائحة قانونية أو بناءً على أمر مصرح به من سلطة حكومية.
• 5.3 جميع رموز الوصول و / أو التعريف والشهادات والمعلومات المتعلقة بالوصول و / أو سياسة كلمة المرور التي يوفرها معالج البيانات للعميل وجميع المعلومات التي يقدمها معالج البيانات إلى العميل والتي تنفذ إجراءات الأمان الفنية والتنظيمية المضمنة في بيان Data Pro تعتبر سرية. وسيعامله العميل على هذا النحو وسيتم إعلامه فقط للموظفين المصرح لهم من العميل. يضمن العميل امتثال موظفيه للالتزامات المنصوص عليها في هذه المادة.

المادة 6. المدة والإنهاء

• 6.1 تشكل اتفاقية المعالج هذه جزءًا من الاتفاقية وأي اتفاقية جديدة أو أخرى تنشأ عنها ، تدخل حيز التنفيذ في وقت إبرام الاتفاقية ويتم إبرامها لفترة غير محددة من الوقت.
• 6.2 تنتهي اتفاقية المعالج هذه بسريان القانون عند إنهاء الاتفاقية أو أي اتفاقية جديدة أو أخرى بين الأطراف.
• 6.3 في حالة انتهاء اتفاقية المعالجة ، يقوم معالج البيانات بحذف جميع البيانات الشخصية التي بحوزته والمستلمة من العميل خلال المدة المضمنة في بيان Data Pro بطريقة لا يمكن استخدامها ولم يعد من الممكن استخدامها. يمكن الوصول إليه (يتعذر الوصول إليه) ، أو ، إذا تم الاتفاق عليه ، قم بإعادته إلى العميل بتنسيق يمكن قراءته آليًا.
• 6.4 يمكن لمعالج البيانات تحميل أي تكاليف يتكبدها في سياق أحكام المادة 6.3 على العميل. يمكن وضع المزيد من الاتفاقيات حول هذا الأمر في بيان داتا برو.
• 6.5 لا تنطبق أحكام المادة 6.3 إذا كانت اللوائح القانونية تمنع معالج البيانات من إزالة أو إعادة البيانات الشخصية كليًا أو جزئيًا. في مثل هذه الحالة ، سيستمر معالج البيانات في معالجة البيانات الشخصية فقط بالقدر اللازم بموجب التزاماته القانونية. لا تنطبق أحكام المادة 6.3 أيضًا إذا كان معالج البيانات هو المتحكم بالمعنى المقصود في اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بالبيانات الشخصية.

المادة 7. حقوق موضوعات البيانات وتقييم تأثير حماية البيانات (DPIA) وحقوق التدقيق

• 7.1 سيتعاون معالج البيانات ، حيثما أمكن ذلك ، مع الطلبات المعقولة من العميل والتي تتعلق بحقوق موضوعات البيانات التي تم استدعاؤها من العميل بواسطة موضوعات البيانات. إذا تم الاتصال بمعالج البيانات مباشرة من قبل موضوع البيانات ، فسيقوم بإحالة هذا الشخص إلى العميل حيثما أمكن ذلك.
• 7.2 إذا كان العميل ملزمًا بالقيام بذلك ، فسوف يتعاون معالج البيانات مع تقييم تأثير حماية البيانات (DPIA) أو استشارة سابقة لاحقة كما هو مشار إليه في المادتين 35 و 36 من المتوسط.
• 7.3 سيتعاون معالج البيانات مع الطلبات المقدمة من العميل لإزالة البيانات الشخصية طالما أن العميل لا يمكنه تنفيذ ذلك بنفسه.
• 7.4 بناءً على طلب العميل ، سيوفر معالج البيانات أيضًا جميع المعلومات الإضافية الضرورية بشكل معقول لإثبات الامتثال للاتفاقيات المبرمة في اتفاقية المعالجة هذه. ومع ذلك ، إذا كان لدى العميل سبب للاعتقاد بأن معالجة البيانات الشخصية لا تتم وفقًا لاتفاقية المعالجة ، فيمكن استشارته مرة واحدة على الأكثر سنويًا بواسطة خبير خارجي معتمد ومستقل يتمتع بخبرة يمكن إثباتها مع نوع المعالجة التي تتم على أساس الاتفاقية. ، إجراء تدقيق على حساب العميل. سيقتصر التدقيق على التحقق من الامتثال للاتفاقيات المتعلقة بمعالجة البيانات الشخصية على النحو المنصوص عليه في اتفاقية المعالج هذه. سيكون على الخبير واجب الحفاظ على السرية فيما يتعلق بما يكتشفه وسيبلغ العميل فقط بما ينتج عنه قصور في الوفاء بالالتزامات التي تقع على عاتق معالج البيانات بموجب اتفاقية المعالج هذه. سيقدم الخبير نسخة من تقريره إلى معالج البيانات. قد يرفض معالج البيانات تدقيقًا أو تعليمات من الخبير إذا رأى أن هذا ينتهك القانون العام لحماية البيانات أو تشريعات أخرى أو يشكل انتهاكًا غير مسموح به للتدابير الأمنية التي اتخذها.
• 7.5 سيتشاور الطرفان في أقرب وقت ممكن حول نتائج التقرير. سيتبع الطرفان إجراءات التحسين المقترحة المنصوص عليها في التقرير بقدر ما يمكن توقعه بشكل معقول منهم. سينفذ معالج البيانات إجراءات التحسين المقترحة بالقدر الذي تكون مناسبة في رأيه ، مع الأخذ في الاعتبار مخاطر المعالجة المرتبطة بمنتجها أو خدمتها ، وأحدث التطورات ، وتكاليف التنفيذ ، والسوق الذي تعمل فيه ، و الاستخدام المقصود للمنتج أو الخدمة. الخدمة.
• 7.6 يحق لمعالج البيانات تحميل التكاليف التي يتكبدها في سياق أحكام هذه المقالة على العميل.

المادة 8. المعالجات الفرعية

• 8.1 ذكر معالج البيانات في بيان Data Pro ما إذا كان ، وإذا كان الأمر كذلك ، أي الأطراف الثالثة (المعالجات الفرعية أو المعالجات الفرعية) يشارك معالج البيانات في معالجة البيانات الشخصية.
• 8.2 يمنح العميل الإذن لمعالج البيانات لإشراك معالجات فرعية أخرى لأداء التزاماته الناشئة عن الاتفاقية.
• 8.3 يقوم معالج البيانات بإبلاغ العميل بأي تغيير في الأطراف الثالثة المشتركة بواسطة معالج البيانات ، على سبيل المثال عن طريق بيان Data Pro المعدل. يحق للعميل الاعتراض على التغيير المذكور أعلاه بواسطة معالج البيانات. يضمن معالج البيانات التزام الأطراف الثالثة المشتركة من قبله بنفس مستوى الأمان فيما يتعلق بحماية البيانات الشخصية مثل مستوى الأمان الذي يلتزم به معالج البيانات تجاه العميل على أساس بيان Data Pro.

المادة 9. أخرى

تشكل بنود المعالجة القياسية هذه ، جنبًا إلى جنب مع بيان Data Pro ، جزءًا لا يتجزأ من الاتفاقية. وبالتالي ، فإن جميع الحقوق والالتزامات المنصوص عليها في الاتفاقية ، بما في ذلك الشروط والأحكام العامة المطبقة و / أو حدود المسؤولية ، تنطبق أيضًا على اتفاقية المعالجة.