Пагадненне аб працэсары

ўвядзенне

Autosoft BV апрацоўвае, сярод іншага, персанальныя даныя ад імя кліента і ад яго імя. Такім чынам, Autosoft BV і кліент абавязаны ў адпаведнасці з Агульным рэгламентам аб абароне даных (GDPR) заключыць пагадненне апрацоўшчыка. Згодна з GDPR, Autosoft BV з'яўляецца «працэсарам», а кліент — «кантролерам». У гэтым Пагадненні апрацоўшчыка таксама апісваецца, як Autosoft BV выконвае абавязацельствы па апавяшчэнні аб парушэннях дадзеных.

Пагадненне аб працэсары

Які складаецца з:
Частка 1: Заява Data Pro
Частка 2: Стандартныя пункты апрацоўкі

Частка 1: Заява Data Pro

Дадатковая інфармацыя

1). Гэта Заява Data Pro была складзена наступным апрацоўшчыкам даных (працэсарам):

• Autosoft BV
  Hegelosestraat 547
  7521 AG Энсхэдэ

Па пытаннях аб гэтай Заяве Data Pro або абароне даных звяртайцеся:
Артур ван дэр Лек: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Гэта Заява Data Pro дзейнічае з 1 жніўня 2021 года
Мы рэгулярна карэктуем гэтую Заяву Data Pro і меры бяспекі, апісаныя ў ёй, каб гарантаваць, што мы заўсёды гатовыя і ў курсе даных у дачыненні да абароны даных. Мы будзем інфармаваць вас аб новых версіях праз звычайныя каналы.

3). Гэта Заява Data Pro прымяняецца да наступных прадуктаў і паслуг апрацоўшчыкаў даных

• Аўтасайт
• Аўтакамерцыя

4). Апісанне аўтамабільнага сайта
Аўтамабільныя кампаніі выкарыстоўваюць сайт Auto. З дапамогай Autowebsite аўтамабільныя кампаніі могуць прадставіць сябе ў Інтэрнэце.

5). Сайт па прызначэнні аўтамабіля
Autowebsite распрацаваны і абсталяваны для апрацоўкі наступных тыпаў даных:
Наведвальнікі вэб-сайтаў, распрацаваных Autosoft з Autowebsite, маюць магчымасць пакінуць там свае кантактныя дадзеныя, каб аўтамабільная кампанія мела магчымасць звярнуцца да наведвальніка для атрымання дадатковых паслуг. Гэтыя кантактныя дадзеныя не захоўваюцца ў Autosoft, а перасылаюцца непасрэдна па электроннай пошце на адрас электроннай пошты аўтакампаніі.

• Гэты сэрвіс не ўлічвае апрацоўку спецыяльных персанальных даных, дадзеных аб судах і правапарушэннях або персанальных нумароў, выдадзеных урадам.

6). Апісанне Autocommerce
Аўтамабільныя кампаніі выкарыстоўваюць Autocommerce. З дапамогай Autocommerce аўтамабільныя кампаніі могуць кіраваць і прадстаўляць свае аўтамабілі на ўласных вэб-сайтах і інтэрнэт-парталах па пошуку трэціх асоб.

7). Мэтавае выкарыстанне Autocommerce
Autocommerce распрацаваны і абсталяваны для апрацоўкі наступных тыпаў даных:
Аўтамабільныя кампаніі могуць размясціць свае зарэгістраваныя транспартныя сродкі праз Autocommerce на ўласным вэб-сайце аўтамабіляў. Гэтыя зарэгістраваныя транспартныя сродкі не ўтрымліваюць ніякіх дадзеных, якія можна прасачыць да персанальных даных у любой форме. Наведвальнікі вэб-сайта "Аўтамабіль" маюць магчымасць пакінуць там свае кантактныя дадзеныя, каб аўтамабільная кампанія мела магчымасць звярнуцца да наведвальніка для атрымання дадатковых паслуг. Кантактныя дадзеныя, пакінутыя наведвальнікам на сваім вэб-сайце Auto, захоўваюцца ў Autocommerce.

• Гэты сэрвіс не ўлічвае апрацоўку спецыяльных персанальных даных, дадзеных аб судах і правапарушэннях або персанальных нумароў, выдадзеных урадам.

8). Апрацоўшчык даных выкарыстоўвае Стандартныя пункты для апрацоўкі для Autowebsite і Autocommerce, якія можна знайсці ў якасці дадатку да Пагаднення.

9). Апрацоўшчык дадзеных апрацоўвае персанальныя даныя сваіх кліентаў у межах ЕС/ЕЭЗ для Autowebsite і Autocommerce.

10). Апрацоўшчык даных выкарыстоўвае наступныя падпрацэсары для Autocommerce:
У некаторых выпадках Autosoft адпраўляе зарэгістраваныя аўтамабілі праз Autocommerce на пошукавыя парталы трэціх асоб або субапрацоўшчыкаў ад імя Car Company. Спіс субпрацэсараў даступны па запыце на support@autosoft.eu.

11). Пасля скасавання пагаднення з кліентам апрацоўшчык дадзеных у прынцыпе выдаляе персанальныя даныя, якія ён апрацоўвае для кліента, на працягу 3 месяцаў такім чынам, што яны больш не могуць быць выкарыстаны і больш недаступныя (робяцца недаступнымі).

бяспеку

Рэзюмэце наступныя меры бяспекі, якія апрацоўшчык даных прыняў для абароны свайго прадукту або паслугі:

Палітыка кіравання інцыдэнтамі і рэагавання
Палітыка кіравання інцыдэнтамі і рэагавання ў галіне інфармацыйнай бяспекі ўключае маніторынг і выяўленне інцыдэнтаў бяспекі на кампутары або ІТ-інфраструктуры, а таксама назіранне за падазронымі дзеяннямі персаналу і рэалізацыю правільных рэакцый на гэтыя падзеі.

Асноўная мэта гэтай палітыкі - распрацаваць добра зразумелую і прадказальную рэакцыю на шкоднасныя падзеі і кампутарныя ўварвання ў самым шырокім сэнсе гэтага слова.

Палітыка кіравання інцыдэнтамі і рэагавання - гэта працэс кіравання і абароны кампутараў, сетак і інфармацыйных сістэм і інфармацыі, якая захоўваецца ў іх. Autosoft ўсведамляе сваю адказнасць, калі справа даходзіць да абароны гэтай інфармацыі на карысць сваіх кліентаў і партнёраў па ланцужку паставак. Гэтая адказнасць распаўсюджваецца на працэдуру інцыдэнту. Кіраванне інцыдэнтамі - гэта набор мерапрыемстваў, якія вызначаюць і рэалізуюць працэс, які арганізацыя можа выкарыстоўваць для садзейнічання ўласнаму дабрабыту і бяспекі насельніцтва.

ІТ і бяспека
Структура ІКТ Autosoft BV належным чынам забяспечана брандмаўэрам, а праграмнае забеспячэнне для сканавання вірусаў абнаўляецца. У кожнага супрацоўніка ёсць профіль для ўваходу. Пры запуску кампутара супрацоўнікі павінны ўвесці лагін і пароль і, дзе гэта магчыма, з 2-этапнай аўтэнтыфікацыяй.

Пэўнае праграмнае забеспячэнне таксама запытвае імя для ўваходу і пароль і, дзе гэта магчыма, з 2-этапнай аўтэнтыфікацыяй. Стымулюецца інфармаванасць супрацоўнікаў аб бяспечнай працы, напрыклад, звярнуць увагу на тое, каб не адкрываць падазроныя электронныя лісты, не націскаць на падазроныя спасылкі, выходзіць з сістэмы пры працяглым сыходзе з працоўнага месца і г.д.

Рэзервовае капіраванне файлаў ажыццяўляецца днём і кожную ноч. З меркаванняў бяспекі далейшая працэдура захоўвання, звязаная з рэзервовай копіяй, з'яўляецца канфідэнцыйнай. Для гэтага Autosoft BV заключыла кантракты на абслугоўванне з пастаўшчыкамі кампутараў і інтэрнэт-хостынгаў.

Палітыка абароны даных
Autosoft BV прымае адпаведныя тэхнічныя і арганізацыйныя меры для абароны персанальных даных кліента ад страты або любой формы незаконнай апрацоўкі. Гэтыя тэхнічныя і арганізацыйныя меры разглядаюцца як адпаведны ўзровень бяспекі ў сэнсе артыкула 1 GDPR і захоўваюцца ў якасці дакументаў у цэнтральным Basecamp (праект: Арганізацыя/Палітыка абароны даных) Autosoft BV.

Тэхнічна-арганізацыйная

1. Меры па забеспячэнні доступу да персанальных даных, якія апрацоўваюцца ў кантэксце Пагаднення апрацоўшчыка, толькі ўпаўнаважаны персанал;
2. Меры па абароне персанальных даных, у прыватнасці, ад выпадковага або незаконнага знішчэння, страты, выпадковага змянення, несанкцыянаванага або незаконнага захоўвання, доступу або раскрыцця;
3. Меры па абароне персанальных даных, у прыватнасці, ад выпадковага або незаконнага знішчэння, страты, выпадковага змянення, несанкцыянаванага або незаконнага захоўвання, доступу або раскрыцця падчас абмену/транспарціроўкі даных;
4. Меры па забеспячэнні магчымасці забеспячэння канфідэнцыяльнасці, цэласнасці, даступнасці і ўстойлівасці сістэм і паслуг рэдагавання на пастаяннай аснове;
5. Меры па аднаўленні даступнасці і доступу да персанальных даных своечасова ў выпадку фізічнага або тэхнічнага інцыдэнту;
6. Меры па выяўленні ўразлівасці ў дачыненні да апрацоўкі персанальных даных у сістэмах, якія выкарыстоўваюцца для аказання паслуг па дамове;

Арганізацыйныя, такія як:

• Абмежаванне кола службовых асоб, якія маюць доступ да пэўных персанальных даных, тымі асобамі, якім яны неабходныя для выканання сваіх абавязкаў;
• прадастаўленне гэтым асобам доступу толькі да персанальных даных, неабходных для выканання імі службовых абавязкаў;
• узгадненне пункта аб канфідэнцыяльнасці з агаворкай аб штрафе з усімі асобамі, якім будзе прадастаўлены доступ да персанальных даных;
• захоўванне персанальных даных на серверах у закрытай прасторы;
• захоўванне папяровых файлаў у шафах, якія зачыняюцца;
• стварэнне дасведчанасці аб інфармацыйнай бяспецы сярод супрацоўнікаў;
• стварэнне дакладных пратаколаў і працэдур своечасовага і эфектыўнага апрацоўкі інцыдэнтаў інфармацыйнай бяспекі і ўразлівасці бяспекі;

Апрацоўшчык дадзеных выкарыстоўвае ўласныя метадалогіі і працэдуры кіравання, якія ўпісваюцца ў метады працы арганізацыі:

• Адпаведныя дакументы кіруюцца і перыядычна ацэньваюцца ў Basecamp.

Пратакол аб узломе даных

У выпадку, калі нешта пойдзе не так, апрацоўшчык дадзеных выкарыстоўвае наступны пратакол уцечкі дадзеных, каб пераканацца, што кліент ведае аб інцыдэнтах:

Autosoft BV – Працэдура ўзлому даных

Што такое ўзлом дадзеных і калі я павінен паведаміць пра гэта ў AP?
Парушэнне даных - гэта інцыдэнт інфармацыйнай бяспекі, які ўключае парушэнне бяспекі персанальных даных у выніку страты або незаконнай апрацоўкі, напрыклад (але не вычарпальна):

• Наладжванне і/або змяненне персанальных даных і несанкцыянаваны доступ да гэтых персанальных даных;
• У выпадку ўзлому хакера;
• Страта USB флэшкі, крадзеж ноўтбука;
• Адпраўка канфідэнцыяльных даных на няправільны адрас электроннай пошты;

Згодна з законам, аб «сур'ёзным» парушэнні дадзеных неабходна паведаміць у Нідэрландскі орган па абароне дадзеных без неапраўданай затрымкі і, калі магчыма, не пазней чым праз 72 гадзіны пасля выяўлення.

Autosoft BV не павінна даваць справаздачу ў Нідэрландскі орган па абароне даных, калі рэальная ідэнтыфікацыя асобных фізічных асоб разумна выключана.
Усе падазрэнні ў інцыдэнце інфармацыйнай бяспекі вырашаюцца ў першую чаргу support@autosoft.eu паведамлена і зарэгістравана. Падтрымка паведамляе аб інцыдэнце кіраўніцтву і вызначае, якія наступныя дзеянні варта прыняць.

Працэдура наступнага назірання

Калі я павінен паведаміць суб'ектам даных?
Аб парушэнні дадзеных неабходна паведаміць суб'екту даных, калі ў выпадку парушэння існуе высокі рызыка таго, што парушэнне будзе мець неспрыяльныя наступствы для яго ці яе асабістага жыцця. Неспрыяльнымі наступствамі для суб'екта дадзеных з'яўляюцца: пашкоджанне яго рэпутацыі і рэпутацыі, махлярства або дыскрымінацыя. Калі Autosoft BV прыняла адпаведныя меры тэхнічнай абароны, у выніку якіх адпаведныя персанальныя даныя становяцца незразумелымі або недаступнымі, апавяшчэнне суб'екта даных не патрабуецца. Паведамленне суб'екту даных павінна змяшчаць ясным і простым апісанне характару парушэння персанальных даных і, па меншай меры:

• імя і кантактныя дадзеныя супрацоўніка па абароне даных або іншага кантактнага пункта, дзе можна атрымаць дадатковую інфармацыю;
• верагодныя наступствы ўзлому персанальных даных;
• меры, прапанаваныя або прынятыя кантралёрам для ліквідацыі парушэнняў персанальных даных, у тым ліку, пры неабходнасці, меры па змякчэнні любых неспрыяльных наступстваў гэтага. Ацэнка таго, ці трэба паведаміць аб парушэнні даных у Нідэрландскі орган па абароне даных і/або пацярпелым асобам, заўсёды залежыць ад Autosoft BV. Каб вызначыць, ці трэба паведамляць пра інцыдэнт, Нідэрландскі орган па абароне дадзеных распрацаваў правілы палітыкі (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) і рабочая група 29 кіруючых прынцыпаў еўрапейскіх наглядчыкаў, апублікаваных па абавязку справаздачнасці ў GDPR. Калі Autosoft BV не паведаміла аб узломе дадзеных, Нідэрландскі орган па абароне даных можа запатрабаваць, каб Autosoft BV па-ранейшаму складала справаздачу. Неданясенне можа карацца адміністрацыйным штрафам.

Як паведаміць аб уцеленні дадзеных?
Нідэрландскі орган па абароне дадзеных робіць даступнай вэб-форму, якую неабходна выкарыстоўваць для паведамлення аб парушэннях дадзеных (https://dataleks.autoriteitpersoonsgegevens.nl/). Нідэрландскі орган па абароне даных вядзе рэестр атрыманых паведамленняў аб парушэннях дадзеных. Гэты рэестр не з'яўляецца публічным. Калі ў выніку парушэння дадзеных Нідэрландскім органам па абароне дадзеных будзе накладзены штраф, гэта рашэнне будзе апублікавана. Паломка даных таксама публікуецца, калі суб'ектаў даных неабходна праінфармаваць аб парушэнні дадзеных. У апавяшчэнні суб'екту дадзеных у любым выпадку павінна быць указана характар ​​парушэння і органы, дзе суб'ект даных можа атрымаць дадатковую інфармацыю аб парушэнні. Таксама павінна быць пазначана, што суб'ект даных можа зрабіць сам, каб абмежаваць негатыўныя наступствы парушэння дадзеных. Напрыклад, змяненне імёнаў карыстальнікаў і пароляў, калі яны маглі быць скампраметаваныя ў выніку ўзлому.

Што я павінен паведаміць?
Паведамленне ў Нідэрландскі орган па абароне дадзеных уключае:

• Журналіст аб узломе дадзеных.
• Асоба, з якой Нідэрландскі орган па абароне даных можа звязацца для атрымання дадатковай інфармацыі аб справаздачы.
• Рэзюмэ інцыдэнту, калі адбылося парушэнне бяспекі персанальных даных.
• Час парушэння.
• Характар ​​парушэння.
• Тып адпаведных персанальных даных.
• Наступствы, якія парушэнне можа мець для канфідэнцыяльнасці асоб.
• Тэхнічныя і арганізацыйныя меры, якія кампанія Autosoft BV прыняла для барацьбы з парушэннем і прадухілення далейшых парушэнняў.
• Ці паведаміла Autosoft BV суб'ектам даных аб парушэнні дадзеных, і калі не, ці мае намер Autosoft BV зрабіць гэта:
• Калі так, то змест паведамлення суб'ектам даных.
• Калі няма, то прычына, па якой Autosoft BV устрымліваецца паведамляць суб'ектам даных аб парушэнні дадзеных.
• Ці былі персанальныя даныя зашыфраваныя, хэшаваныя або іншым чынам зробленыя незразумелымі або недаступнымі для неўпаўнаважаных асоб?

Частка 2: Стандартныя пункты апрацоўкі

Версія: верасень 2019
Разам з Заявай Data Pro фармуе пагадненне аб апрацоўцы і з'яўляецца дадаткам да Пагаднення і суправаджальных дадаткаў, такіх як прымяняльныя агульныя ўмовы.

Артыкул 1. Азначэнні

Тэрміны, прыведзеныя ніжэй, маюць наступныя значэнні ў гэтых Стандартных палажэннях для апрацоўкі, у Заяве Data Pro і ў пагадненні:

• 1.1 Галандскі орган па абароне даных (AP): наглядны орган, як гэта апісана ў артыкуле 4, пад 21 Ср.
• 1.2 AVG: Агульны рэгламент аб абароне даных.
• 1.3 Працэсар дадзеных: бок, які ў якасці пастаўшчыка ІКТ апрацоўвае персанальныя даныя ў інтарэсах свайго Кліента ў кантэксце выканання Пагаднення.
• 1.4 Заява Data Pro: заяву апрацоўшчыка даных, у якой ён дае інфармацыю адносна меркаванага выкарыстання свайго прадукту або паслугі, прынятых мер бяспекі, субапрацоўшчыкаў, уцечак даных, сертыфікацыі і апрацоўкі правоў Суб'ектаў даных.
• 1.5 Суб'ект даных (суб'ект даных): ідэнтыфікаваная або ідэнтыфікаваная фізічная асоба.
• 1.6 Кліент: бок, ад імя якога Апрацоўшчык даных апрацоўвае персанальныя даныя. Кліентам можа быць як кантролер («кантролер»), так і іншы працэсар.
• 1.7 Пагадненне: пагадненне паміж Кліентам і Апрацоўшчыкам даных, на падставе якога пастаўшчык ІКТ пастаўляе паслугі і/або прадукты Кліенту, часткай якога з'яўляецца пагадненне аб апрацоўшчыку.
• 1.8 Асабістыя даныя: уся інфармацыя аб ідэнтыфікаванай або ідэнтыфікаванай фізічнай асобе, як апісана ў артыкуле 4, пад 1 AVG, якую Апрацоўшчык даных апрацоўвае ў кантэксце выканання сваіх абавязацельстваў, якія вынікаюць з Пагаднення.
• 1.9 Пагадненне аб апрацоўцы: гэтыя стандартныя палажэнні для апрацоўкі, якія разам з заявай Data Pro (або супастаўнай інфармацыяй) ад Апрацоўшчыка даных утвараюць пагадненне аб апрацоўцы, як гаворыцца ў артыкуле 28, параграф 3 GDPR.

Артыкул 2. Агульны

• 2.1 Гэтыя стандартныя палажэнні аб апрацоўцы прымяняюцца да ўсёй апрацоўкі персанальных даных, якую апрацоўшчык даных робіць у кантэксце пастаўкі сваіх прадуктаў і паслуг, а таксама да ўсіх пагадненняў і прапаноў. Прымяненне пагадненняў Кліента на апрацоўку відавочна адхіляецца.
• 2.2 Заява Data Pro, і, у прыватнасці, меры бяспекі, якія змяшчаюцца ў ёй, могуць час ад часу ўносіцца Апрацоўшчыкам даных, каб адлюстраваць змяняюцца абставіны. Апрацоўшчык даных праінфармуе Кліента аб істотных зменах. Калі Кліент не можа разумна пагадзіцца з карэкціроўкамі, Кліент мае права скасаваць дамову аб апрацоўцы ў пісьмовай форме на працягу 30 дзён пасля паведамлення аб карэктывах.
• 2.3 Апрацоўшчык даных апрацоўвае персанальныя даныя ад імя і ад імя Кліента ў адпаведнасці з пісьмовымі інструкцыямі Кліента, узгодненымі з Апрацоўшчыкам даных.
• 2.4 Кліент або яго кліент з'яўляецца кантралёрам у сэнсе GDPR, кантралюе апрацоўку персанальных даных і вызначае мэту і спосабы апрацоўкі персанальных даных.
• 2.5 Апрацоўшчык даных з'яўляецца апрацоўшчыкам у сэнсе GDPR і, такім чынам, не мае кантролю над мэтай і сродкамі апрацоўкі персанальных даных і таму не прымае ніякіх рашэнняў, сярод іншага, аб выкарыстанні персанальных даных.
• 2.6 Апрацоўшчык даных выконвае GDPR, як гэта выкладзена ў гэтых Стандартных пунктах апрацоўкі, Заяве Data Pro і Пагадненні. Кліент павінен на аснове гэтай інфармацыі ацаніць, ці прапануе Апрацоўшчык даных дастатковыя гарантыі ў дачыненні да прымянення адпаведных тэхнічных і арганізацыйных мер, каб апрацоўка адпавядала патрабаванням GDPR і абароне правоў суб'ектаў даных. дастаткова гарантавана.
• 2.7 Кліент гарантуе Апрацоўшчыку даных, што дзейнічае ў адпаведнасці з GDPR, што ён адэкватна абараняе свае сістэмы і інфраструктуру ў любы час і што змест, выкарыстанне і / або апрацоўка персанальных даных не з'яўляюцца незаконнымі і не парушаюць ніякіх правоў трэцяй асобы.
• 2.8 Адміністрацыйны штраф, накладзены на Кліента AP, не можа быць спагнаны з Data Processor.

Артыкул 3. Бяспека

• 3.1 Апрацоўшчык дадзеных прымае тэхнічныя і арганізацыйныя меры бяспекі, як апісана ў сваёй заяве Data Pro. Прымаючы тэхнічныя і арганізацыйныя меры бяспекі, Апрацоўшчык дадзеных прыняў да ўвагі стан сучаснасці, выдаткі на ўкараненне мер бяспекі, характар, аб'ём і кантэкст апрацоўкі, мэты і меркаванае выкарыстанне сваіх прадуктаў і паслуг , рызыкі апрацоўкі і рызыкі, якія адрозніваюцца па верагоднасці і сур'ёзнасці для правоў і свабод Суб'ектаў даных, якіх ён можа чакаць з улікам меркаванага выкарыстання яго прадуктаў і паслуг.
• 3.2 Калі іншае прама не пазначана ў Заяве Data Pro, прадукт або паслуга апрацоўшчыка даных не прызначаны для апрацоўкі спецыяльных катэгорый персанальных даных або даных, якія тычацца крымінальных прысудаў або злачынстваў, або персанальных нумароў, выдадзеных урадам.
• 3.3 Апрацоўшчык дадзеных імкнецца гарантаваць, што меры бяспекі, якія ён прымае, адпавядаюць меркаванаму выкарыстанню прадукту або паслугі Апрацоўшчыкам даных.
• 3.4 На думку Кліента, апісаныя меры бяспекі прапануюць з улікам фактараў, названых у артыкуле 3.1, узровень бяспекі, адаптаваны да рызыкі апрацоўкі персанальных даных, якія выкарыстоўваюцца або прадастаўляюцца ім.
• 3.5 Апрацоўшчык дадзеных можа ўносіць змены ў прынятыя меры бяспекі, калі палічыць гэта неабходным для забеспячэння належнага ўзроўню бяспекі. Апрацоўшчык даных будзе фіксаваць важныя змены, напрыклад, у змененую Заяву Data Pro, і інфармуе Кліента аб гэтых зменах, калі гэта неабходна.
• 3.6 Кліент можа запатрабаваць ад апрацоўшчыка даных прыняць дадатковыя меры бяспекі. Апрацоўшчык дадзеных не абавязаны ўносіць змены ў свае меры бяспекі па такім запыце. Апрацоўшчык даных можа спагнаць з Кліента выдаткі, звязаныя са зменамі, унесенымі па жаданні Кліента. Толькі пасля таго, як змененыя меры бяспекі, жаданыя Кліентам, будуць узгоднены ў пісьмовай форме і падпісаны Бакамі, Апрацоўшчык даных абавязаны фактычна рэалізаваць гэтыя меры бяспекі.

Артыкул 4. Парушэнне персанальных даных

• 4.1 Апрацоўшчык дадзеных не гарантуе, што меры бяспекі эфектыўныя пры любых абставінах. Калі Апрацоўшчык даных выявіць парушэнне ў сувязі з персанальнымі данымі (як гаворыцца ў артыкуле 4 пад 12 Avg), ён паведаміць аб гэтым Кліента без неапраўданай затрымкі. Заява Data Pro (у адпаведнасці з пратаколам уцечкі даных) вызначае, як Апрацоўшчык даных інфармуе Кліента аб парушэннях у сувязі з персанальнымі данымі.
• 4.2 Кантролер (кліент або яго кліент) павінен ацаніць, ці трэба паведаміць аб парушэнні персанальных даных, пра якое паведаміў апрацоўшчык даных, AP або суб'екта даных. Паведамленне аб парушэннях у сувязі з персанальнымі данымі, пра якія неабходна паведамляць AP і/або Суб'ектам даных у адпаведнасці з артыкуламі 33 і 34 GDPR, застаецца адказнасцю кантралёра (кліента або яго кліента) у любы час. Апрацоўшчык даных не абавязаны паведамляць аб узломах персанальных даных AP і/або Суб'екту даных.
• 4.3 Апрацоўшчык даных пры неабходнасці прадаставіць дадатковую інфармацыю аб парушэнні ў сувязі з персанальнымі данымі і будзе супрацоўнічаць з неабходнай інфармацыяй Кліенту з мэтай апавяшчэння, пазначанага ў артыкулах 33 і 34 Avg.
• 4.4 Апрацоўшчык даных можа спаганяць з Кліента разумныя выдаткі, якія ён нясе ў гэтым кантэксце, па тарыфах, якія прымяняюцца на той момант.

Артыкул 5. Канфідэнцыяльнасць

• 5.1 Апрацоўшчык даных гарантуе, што асобы, якія апрацоўваюць персанальныя даныя пад яго адказнасцю, маюць абавязак захоўваць канфідэнцыяльнасць.
• 5.2 Апрацоўшчык даных мае права прадастаўляць персанальныя даныя трэцім асобам, калі і наколькі гэта неабходна ў адпаведнасці з рашэннем суда, заканадаўчым актам або на падставе ўпаўнаважанага распараджэння дзяржаўнага органа.
• 5.3 Усе коды доступу і/або ідэнтыфікацыйныя коды, сертыфікаты, інфармацыя адносна палітыкі доступу і/або пароляў, прадастаўленая Апрацоўшчыкам дадзеных Кліенту, і ўся інфармацыя, прадастаўленая Апрацоўшчыкам дадзеных Кліенту, якая рэалізуе тэхнічныя і арганізацыйныя меры бяспекі, уключаныя ў Заяву Data Pro, з'яўляюцца канфідэнцыяльнымі. і будуць разглядацца як такія з боку Кліента і будуць вядомыя толькі ўпаўнаважаным супрацоўнікам Кліента. Кліент забяспечвае выкананне яго супрацоўнікамі абавязацельстваў па гэтым артыкуле.

Артыкул 6. Тэрмін і спыненне

• 6.1 Гэта пагадненне аб апрацоўшчыку з'яўляецца часткай Пагаднення, і любое новае або наступнае з яго пагадненне ўступае ў сілу з моманту заключэння Пагаднення і заключаецца на нявызначаны перыяд часу.
• 6.2 Гэта пагадненне аб апрацоўшчыку спыняецца па законе пасля спынення дзеяння Пагаднення або любога новага або далейшага пагаднення паміж бакамі.
• 6.3 У выпадку заканчэння пагаднення аб апрацоўцы Апрацоўшчык даных выдаліць усе персанальныя даныя, якія знаходзяцца ў яго распараджэнні і атрыманыя ад Кліента на працягу тэрміну, уключанага ў Заяву Data Pro, такім чынам, што яны больш не могуць быць выкарыстаны і больш не выкарыстоўваюцца даступны (зрабіць недаступным). , або, калі пагаднена, вярнуць яго Кліенту ў машыначытаным фармаце.
• 6.4 Апрацоўшчык даных можа спаганяць з Кліента любыя выдаткі, якія ён нясе ў кантэксце палажэнняў артыкула 6.3. Дадатковыя пагадненні аб гэтым могуць быць выкладзены ў Заяве Data Pro.
• 6.5 Палажэнні артыкула 6.3 не прымяняюцца, калі заканадаўчае рэгуляванне перашкаджае апрацоўшчыку даных цалкам або часткова выдаліць або вярнуць персанальныя даныя. У такім выпадку Апрацоўшчык даных будзе працягваць апрацоўваць персанальныя даныя толькі ў той ступені, у якой гэта неабходна ў адпаведнасці са сваімі юрыдычнымі абавязацельствамі. Палажэнні артыкула 6.3 таксама не прымяняюцца, калі апрацоўшчык даных з'яўляецца кантралёрам у сэнсе GDPR у дачыненні да персанальных даных.

Артыкул 7. Правы суб'ектаў даных, ацэнка ўздзеяння на абарону даных (DPIA) і правы на аўдыт

• 7.1 Апрацоўшчык даных будзе, дзе гэта магчыма, супрацоўнічаць з разумнымі запытамі ад Кліента, якія тычацца правоў Суб'ектаў даных, на якія Суб'екты даных звяртаюцца ад Кліента. Калі суб'ект даных звяртаецца непасрэдна да апрацоўшчыка даных, ён па магчымасці накіруе гэтага чалавека да Кліента.
• 7.2 Калі Кліент абавязаны зрабіць гэта, Апрацоўшчык даных будзе супрацоўнічаць з ацэнкай уздзеяння на абарону даных (DPIA) або пасля папярэдняй кансультацыі, як гаворыцца ў артыкулах 35 і 36 Avg.
• 7.3 Апрацоўшчык даных будзе супрацоўнічаць з запытамі ад Кліента аб выдаленні персанальных даных, калі Кліент не можа зрабіць гэта самастойна.
• 7.4 Па запыце Кліента Апрацоўшчык даных таксама зробіць даступнай усю дадатковую інфармацыю, якая абгрунтавана неабходная, каб прадэманстраваць адпаведнасць пагадненняў, заключаных у гэтым пагадненні аб апрацоўцы. Калі ў Кліента ўсё ж ёсць падставы меркаваць, што апрацоўка персанальных даных не адбываецца ў адпаведнасці з пагадненнем аб апрацоўцы, ён можа звяртацца не больш чым адзін раз у год незалежным, сертыфікаваным знешнім экспертам, які мае доказны досвед працы з тыпам апрацоўка, якая ажыццяўляецца на падставе Пагаднення. , правесці праверку за кошт Кліента. Аўдыт будзе абмяжоўвацца праверкай выканання пагадненняў аб апрацоўцы персанальных даных, прадугледжаных гэтым Пагадненнем аб апрацоўцы. Эксперт будзе абавязаны захоўваць канфідэнцыяльнасць у дачыненні да знойдзенага і будзе паведамляць Кліенту толькі тое, што прывяло да недахопу ў выкананні абавязацельстваў, якія Апрацоўшчык даных мае па гэтым пагадненні аб апрацоўцы дадзеных. Эксперт прадаставіць копію свайго справаздачы апрацоўшчыку дадзеных. Апрацоўшчык даных можа адмовіць у правядзенні аўдыту або інструкцыі ад эксперта, калі, на яго думку, гэта парушае GDPR або іншае заканадаўства або ўяўляе сабой недапушчальнае парушэнне прынятых ім мер бяспекі.
• 7.5 Па выніках справаздачы бакі пракансультуюцца як мага хутчэй. Бакі будуць прытрымлівацца прапанаваных мер па паляпшэнні, выкладзеных у справаздачы, наколькі гэта можна ад іх чакаць. Апрацоўшчык даных будзе рэалізоўваць прапанаваныя меры паляпшэння ў той ступені, у якой яны, на яго думку, падыходзяць, прымаючы пад увагу рызыкі апрацоўкі, звязаныя з яго прадуктам або паслугай, сучасны стан, выдаткі на ўкараненне, рынак, на якім ён працуе, і мэтавае выкарыстанне прадукту або паслугі.
• 7.6 Апрацоўшчык дадзеных мае права спаганяць з Кліента выдаткі, якія ён нясе ў кантэксце палажэнняў гэтага артыкула.

Артыкул 8. Супрацэсары

• 8.1 Апрацоўшчык даных пазначыў у Заяве Data Pro, ці ўдзельнічае ў апрацоўцы персанальных даных і калі так, якія трэція асобы (супрацэсары або субапрацоўшчыкі) займаюцца апрацоўкай персанальных даных.
• 8.2 Кліент дае дазвол Апрацоўшчыку даных прыцягваць іншых субапрацоўшчыкаў для выканання сваіх абавязацельстваў, якія вынікаюць з Пагаднення.
• 8.3 Апрацоўшчык даных праінфармуе Кліента аб змене ў трэціх асобах, якіх прыцягвае Апрацоўшчык даных, напрыклад, з дапамогай дапаўненай Заявы Data Pro. Кліент мае права пярэчыць супраць вышэйзгаданых змяненняў Апрацоўшчыка даных. Апрацоўшчык даных гарантуе, што залучаныя ім трэція асобы выконваюць той жа ўзровень бяспекі ў дачыненні да абароны персанальных даных, што і ўзровень бяспекі, да якога Апрацоўшчык даных прывязаны да Кліента на падставе Заявы Data Pro.

Артыкул 9. Іншае

Гэтыя стандартныя палажэнні аб апрацоўцы разам з заявай Data Pro з'яўляюцца неад'емнай часткай Пагаднення. Такім чынам, усе правы і абавязкі па Пагадненні, у тым ліку дастасавальныя агульныя ўмовы і/або абмежаванні адказнасці, таксама прымяняюцца да пагаднення аб апрацоўцы.