Ugovor o obradi

Uvod

Autosoft BV obrađuje, između ostalog, lične podatke za i u ime kupca. Autosoft BV i korisnik stoga su dužni prema Općoj uredbi o zaštiti podataka (GDPR) zaključiti ugovor o obrađivaču. Prema GDPR-u, Autosoft BV je 'procesor', a kupac je 'kontrolor'. Ovaj ugovor o procesoru takođe opisuje kako Autosoft BV postupa sa obavezom obaveštavanja o povredi podataka.

Ugovor o obradi

Koji se sastoji od:
Dio 1: Data Pro izjava
Dio 2: Standardne klauzule za obradu

Dio 1: Data Pro izjava

Opšte informacije

1). Ovu Data Pro izjavu sastavio je sljedeći obrađivač podataka (procesor):

• Autosoft BV
  Hegelosestraat 547
  7521 AG Enschede

Za pitanja o ovoj Izjavi o Data Pro ili zaštiti podataka, kontaktirajte:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Ova Data Pro izjava se primjenjuje od 1. avgusta 2021
Redovno prilagođavamo ovu Izjavu o podacima Pro i sigurnosne mjere opisane u njoj kako bismo osigurali da smo uvijek spremni i ažurni u pogledu zaštite podataka. Obavještavat ćemo vas o novim verzijama putem naših uobičajenih kanala.

3). Ova Data Pro izjava se odnosi na sljedeće proizvode i usluge za obradu podataka

• AutoWebsite
• AutoCommerce

4). Opis Car website
Automobilske kompanije koriste Autoweb stranicu. Uz Autowebsite, automobilske kompanije se mogu predstaviti na internetu.

5). Web stranica za automobile za namjensku upotrebu
Autoweb stranica je dizajnirana i opremljena za obradu sljedećih vrsta podataka:
Posjetioci web stranica koje je Autosoft razvio uz Autowebsite imaju mogućnost da tamo ostave svoje kontakt podatke kako bi automobilska kompanija imala priliku da pristupi posjetiocu za daljnje usluge. Ovi kontakt podaci se ne pohranjuju u Autosoftu, već se prosljeđuju direktno putem e-pošte na e-mail adresu automobilske kompanije.

• Ova usluga ne uzima u obzir obradu posebnih ličnih podataka, niti podatke koji se tiču ​​krivičnih osuda i krivičnih dela ili lične brojeve koje izdaje država.

6). Opis Autocommerce
Automobilske kompanije koriste Autocommerce. Uz Autocommerce, automobilske kompanije mogu upravljati i prezentirati svoja vozila na vlastitim web stranicama i internet portalima za pretraživanje trećih strana.

7). Namjena Autocommerce
Autocommerce je dizajniran i opremljen za obradu sljedećih vrsta podataka:
Automobilske kompanije mogu postaviti svoja registrovana vozila putem Autocommerce-a na vlastitu web stranicu automobila. Ova registrovana vozila ne sadrže nikakve podatke koji se mogu pratiti do ličnih podataka u bilo kom obliku. Posjetioci web stranice Car imaju mogućnost da tamo ostave svoje kontakt podatke kako bi auto kompanija imala mogućnost da pristupi posjetitelju za daljnje usluge. Kontakt podaci koje posjetitelj ostavi na vlastitoj Auto web stranici pohranjeni su u Autocommerce.

• Ova usluga ne uzima u obzir obradu posebnih ličnih podataka, niti podatke koji se tiču ​​krivičnih osuda i krivičnih dela ili lične brojeve koje izdaje država.

8). Obrađivač podataka koristi Standardne klauzule za obradu za Autowebsite i Autocommerce, koje se mogu naći kao dodatak Ugovoru.

9). Obrađivač podataka obrađuje lične podatke svojih klijenata unutar EU/EEA za Autowebsite i Autocommerce.

10). Procesor podataka koristi sljedeće podprocesore za Autocommerce:
U nekim slučajevima Autosoft šalje svoja registrovana vozila putem Autocommerce-a na portale za pretraživanje interneta trećih strana ili podprocesora u ime Auto kompanije. Lista podprocesora dostupna je na zahtjev na support@autosoft.eu.

11). Nakon raskida Ugovora sa klijentom, obrađivač podataka će u principu ukloniti lične podatke koje obrađuje za klijenta u roku od 3 mjeseca na način da se više ne mogu koristiti i više nisu dostupni (učiniti nedostupnima).

Sigurnosna politika

Sažmite sljedeće sigurnosne mjere koje je obrađivač podataka poduzeo da zaštiti svoj proizvod ili uslugu:

Upravljanje incidentima i politika odgovora
Upravljanje incidentima i politike reagovanja u oblasti informacione bezbednosti obuhvataju praćenje i otkrivanje bezbednosnih incidenata na računaru ili IT infrastrukturi, ali i uočavanje sumnjivih aktivnosti osoblja, te sprovođenje ispravnih odgovora na te događaje.

Primarni cilj ove politike je razviti dobro shvaćen i predvidljiv odgovor na zlonamjerne događaje i kompjuterske upade u najširem smislu riječi.

Upravljanje incidentima i politika odgovora je proces upravljanja i zaštite računara, mreža i informacionih sistema i informacija koje su u njima uskladištene. Autosoft je svjestan svoje odgovornosti kada je u pitanju zaštita ovih informacija za dobrobit svojih kupaca i partnera u lancu nabavke. Ova odgovornost se proteže i na postupak u slučaju incidenta. Upravljanje incidentima je skup aktivnosti koje definiraju i implementiraju proces koji organizacija može koristiti za promoviranje vlastite dobrobiti i sigurnosti javnosti.

IT i sigurnost
ICT struktura Autosoft BV je adekvatno zaštićena zaštitnim zidom, a softver za skeniranje virusa se održava ažurnim. Svaki zaposleni ima profil za prijavu. Prilikom pokretanja računara, zaposleni moraju unijeti korisničko ime i lozinku i gdje je moguće autentifikaciju u 2 koraka.

Određeni softver također traži korisničko ime i lozinku i, gdje je moguće, autentifikaciju u 2 koraka. Stimulira se svijest zaposlenih o bezbednom radu, kao što je skretanje pažnje na neotvaranje sumnjivih mejlova, ne klikanje na sumnjive linkove, odjavljivanje pri dužem napuštanju radnog mesta i sl.

Fajlovi se prave rezervne kopije tokom dana i svake noći. Iz sigurnosnih razloga, daljnji postupak skladištenja koji okružuje sigurnosnu kopiju je povjerljiv. Autosoft BV je za to zaključio servisne ugovore sa dobavljačima računara i internet hosting provajderima.

Politika zaštite podataka
Autosoft BV preduzima odgovarajuće tehničke i organizacione mere da zaštiti lične podatke korisnika od gubitka ili bilo kog oblika nezakonite obrade. Ove tehničke i organizacijske mjere smatraju se odgovarajućim sigurnosnim nivoom u smislu člana 1. GDPR-a i pohranjuju se kao dokumenti u centralnom Basecamp-u (Projekat: Organizacija/Politika zaštite podataka) Autosoft BV.

Tehnički i organizacioni

1. Mjere koje osiguravaju da samo ovlašteno osoblje ima pristup ličnim podacima koji se obrađuju u kontekstu Ugovora o obrađivaču;
2. Mjere zaštite ličnih podataka, posebno od slučajnog ili nezakonitog uništenja, gubitka, slučajne izmjene, neovlaštenog ili nezakonitog skladištenja, pristupa ili otkrivanja;
3. Mere zaštite ličnih podataka od, posebno, slučajnog ili nezakonitog uništenja, gubitka, slučajne izmene, neovlašćenog ili nezakonitog skladištenja, pristupa ili otkrivanja tokom razmene/transporta podataka;
4. Mjere za osiguranje sposobnosti da se osigura povjerljivost, integritet, dostupnost i otpornost sistema i usluga uređivanja na stalnoj osnovi;
5. Mjere za obnavljanje dostupnosti i pravovremenog pristupa ličnim podacima u slučaju fizičkog ili tehničkog incidenta;
6. Mjere za identifikaciju ranjivosti u vezi sa obradom ličnih podataka u sistemima koji se koriste za pružanje usluga prema ugovoru;

Organizacijske kao što su:

• Ograničavanje kruga službenika koji imaju pristup određenim ličnim podacima na ona lica kojima su podaci potrebni za obavljanje dužnosti;
• davanje pristupa ovim licima samo ličnim podacima koji su im potrebni za obavljanje njihovih dužnosti;
• usaglašavanje klauzule o povjerljivosti sa klauzulom kazne sa svim licima kojima će biti odobren pristup ličnim podacima;
• čuvanje ličnih podataka na serverima u zatvorenom prostoru;
• Čuvanje papirnih datoteka u ormarićima koji se zaključavaju;
• stvaranje svijesti o sigurnosti informacija među zaposlenima;
• uspostavljanje jasnih protokola i procedura za blagovremeno i efikasno postupanje sa bezbednosnim incidentima i bezbednosnim ranjivostima;

Obrađivač podataka koristi vlastite metodologije i procedure za upravljanje koje se uklapaju u radni metod organizacije:

• U okviru Basecamp-a, relevantnim dokumentima se upravlja i periodično ih evaluira.

Protokol povrede podataka

U slučaju da nešto krene po zlu, procesor podataka koristi sljedeći protokol curenja podataka kako bi osigurao da je klijent svjestan incidenata:

Autosoft BV – Procedura povrede podataka

Šta je povreda podataka i kada to moram prijaviti AP-u?
Kršenje podataka je incident sigurnosti informacija koji uključuje kršenje sigurnosti ličnih podataka izlaganjem gubitku ili nezakonitom obradom kao što su (ali ne u potpunosti):

• Prilagođavanje i/ili mijenjanje ličnih podataka i neovlašteni pristup tim ličnim podacima;
• U slučaju hakerske provale;
• Gubitak USB sticka, krađa laptopa;
• Slanje osjetljivih podataka na netačnu adresu e-pošte;

Prema zakonu, 'ozbiljna' povreda podataka mora se prijaviti holandskom tijelu za zaštitu podataka bez nepotrebnog odlaganja, a ako je moguće najkasnije 72 sata nakon otkrića.

Autosoft BV ne mora prijaviti holandsko tijelo za zaštitu podataka ako je stvarna identifikacija pojedinačnih fizičkih osoba razumno isključena.
Sve sumnje u incident u vezi sa informacijskom sigurnošću biće prvostepeno razmotrene support@autosoft.eu prijavljen i registrovan. Podrška prijavljuje incident Upravljačkom timu i određuje koje daljnje radnje treba poduzeti.

Procedura praćenja

Kada moram obavijestiti subjekte podataka?
Kršenje podataka mora se prijaviti subjektu podataka ako, u slučaju kršenja, postoji veliki rizik da će povreda imati štetne posljedice po njegov/njen privatni život. Nepovoljne posljedice za nosioca podataka su: narušavanje časti i ugleda, prevara identiteta ili diskriminacija. Ako je Autosoft BV poduzeo odgovarajuće tehničke mjere zaštite, čineći dotične lične podatke nerazumljivim ili nedostupnim, obavještavanje subjekta podataka nije potrebno. Obavijest subjektu podataka sadrži opis, jasnim i jednostavnim jezikom, prirode povrede ličnih podataka i najmanje:

• ime i kontakt podatke službenika za zaštitu podataka ili druge kontakt tačke na kojoj se može dobiti više informacija;
• vjerovatne posljedice povrede ličnih podataka;
• mjere koje je predložio ili preduzeo kontrolor za rješavanje povrede ličnih podataka, uključujući, gdje je to prikladno, mjere za ublažavanje bilo kakvih štetnih efekata. Procjenu da li se povreda podataka mora prijaviti holandskom tijelu za zaštitu podataka i/ili pogođenim osobama uvijek odlučuje Autosoft BV. Kako bi se utvrdilo da li se incident mora prijaviti, holandsko tijelo za zaštitu podataka izradilo je pravila politike (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) i Radna grupa 29 evropskih smjernica za supervizore objavljene o obavezi izvještavanja u GDPR-u. Ako Autosoft BV nije prijavio kršenje podataka, holandsko tijelo za zaštitu podataka može zahtijevati da Autosoft BV ipak sačini izvještaj. Neprijavljivanje može biti kažnjeno administrativnom kaznom.

Kako da prijavim kršenje podataka?
Nizozemsko tijelo za zaštitu podataka stavlja na raspolaganje web obrazac koji se mora koristiti za prijavu kršenja podataka (https://dataleks.autoriteitpersoonsgegevens.nl/). Holandsko tijelo za zaštitu podataka vodi registar primljenih obavještenja o povredi podataka. Ovaj registar nije javan. Ako holandsko tijelo za zaštitu podataka izrekne novčanu kaznu kao rezultat povrede podataka, ova odluka će biti objavljena. Kršenje podataka se također objavljuje kada subjekti podataka trebaju biti obaviješteni o povredi podataka. Obavijest subjektu podataka mora u svakom slučaju navesti prirodu kršenja i tijela u kojima subjekt podataka može dobiti više informacija o kršenju. Također se mora navesti šta subjekt podataka može sam učiniti kako bi ograničio negativne posljedice povrede podataka. Na primjer, mijenjanje korisničkih imena i lozinki kada su možda ugroženi probijanjem.

Šta da prijavim?
Obavijest holandskom tijelu za zaštitu podataka uključuje:

• Izvještač o kršenju podataka.
• Osoba koju holandsko tijelo za zaštitu podataka može kontaktirati za dodatne informacije o prijavi.
• Sažetak incidenta u kojem je došlo do kršenja sigurnosti ličnih podataka.
• Vrijeme kršenja.
• Priroda kršenja.
• Vrsta ličnih podataka o kojoj se radi.
• Posljedice koje povreda može imati po privatnost uključenih.
• Tehničke i organizacione mjere koje je Autosoft BV poduzeo da se uhvati u koštac s kršenjem i spriječi daljnja kršenja.
• Da li je Autosoft BV prijavio povredu podataka subjektima podataka i ako nije, da li Autosoft BV namjerava to učiniti:
• Ako je tako, sadržaj obavijesti subjektima podataka.
• Ako nije, razlog zašto se Autosoft BV suzdržava od prijave povrede podataka subjektima podataka.
• Da li su lični podaci šifrovani, heširani ili na drugi način učinjeni nerazumljivim ili nedostupnim neovlašćenim licima?

Dio 2: Standardne klauzule za obradu

Verzija: septembar 2019
Formira zajedno sa Data Pro izjavom ugovor o obradi i dodatak je Ugovoru i pratećim dodacima kao što su primjenjivi opšti uslovi i odredbe.

Član 1. Definicije

Termini u nastavku imaju sljedeća značenja u ovim Standardnim klauzulama za obradu, u Izjavi o podacima Pro i u ugovoru:

• 1.1 Holandsko tijelo za zaštitu podataka (AP): nadzorni organ, kako je opisano u članu 4, pod 21 Prosj.
• 1.2 AVG: Opća uredba o zaštiti podataka.
• 1.3 Procesor podataka: strana koja, kao dobavljač ICT-a, obrađuje lične podatke u korist svog Klijenta u kontekstu izvršenja Ugovora.
• 1.4 Data Pro izjava: izjava Obrađivača podataka u kojoj daje informacije u vezi sa namjeravanom upotrebom svog proizvoda ili usluge, preduzetim sigurnosnim mjerama, poduprocesorima, curenjem podataka, sertifikacijama i postupanjem sa pravima subjekata podataka.
• 1.5 Subjekt podataka (subjekt podataka): identifikovano ili identifikovano fizičko lice.
• 1.6 Klijent: strana u čije ime Obrađivač podataka obrađuje lične podatke. Klijent može biti ili kontrolor (“kontrolor”) ili drugi procesor.
• 1.7 Ugovor: ugovor između Klijenta i Obrađivača podataka, na osnovu kojeg ICT dobavljač isporučuje usluge i/ili proizvode Klijentu, čiji je dio ugovor o procesoru.
• 1.8 Lični podaci: sve informacije o identifikovanom ili identifikovanom fizičkom licu, kao što je opisano u članu 4, pod 1 AVG, koje Obrađivač podataka obrađuje u kontekstu izvršavanja svojih obaveza koje proizilaze iz Ugovora.
• 1.9 Ugovor o obradi: ove Standardne klauzule za obradu, koje zajedno sa Data Pro izjavom (ili uporedivim informacijama) od Obrađivača podataka čine ugovor o obradi kako je navedeno u članu 28, stav 3 GDPR-a.

Član 2. Općenito

• 2.1 Ove Standardne klauzule o obradi primjenjuju se na svu obradu ličnih podataka koju Obrađivač podataka obavlja u kontekstu isporuke svojih proizvoda i usluga i na sve ugovore i ponude. Primenljivost Klijentovih ugovora o obradi se izričito odbija.
• 2.2 Obrađivač podataka može s vremena na vrijeme mijenjati Izjavu Data Pro, a posebno sigurnosne mjere sadržane u njoj, kako bi odražavale promjenjive okolnosti. Obrađivač podataka će obavijestiti Klijenta o značajnim promjenama. Ukoliko se Klijent ne može razumno složiti sa korekcijama, Klijent ima pravo da raskine ugovor o obradi u pisanoj formi u roku od 30 dana od dana obaveštenja o prilagođavanjima.
• 2.3 Obrađivač podataka obrađuje lične podatke u ime i za račun Klijenta u skladu sa pisanim uputstvima Klijenta dogovorenim sa Obrađivačem podataka.
• 2.4 Klijent, odnosno njegov kupac, je kontrolor u smislu GDPR-a, ima kontrolu nad obradom ličnih podataka i odredio je svrhu i način obrade ličnih podataka.
• 2.5 Obrađivač podataka je obrađivač u smislu GDPR-a i stoga nema kontrolu nad svrhom i načinom obrade osobnih podataka te stoga ne donosi nikakve odluke o, između ostalog, korištenju osobnih podataka.
• 2.6 Obrađivač podataka implementira GDPR kako je navedeno u ovim Standardnim klauzulama za obradu, Izjavi o podacima Pro i Ugovoru. Na Klijentu je da na osnovu ovih informacija procijeni da li Obrađivač podataka nudi dovoljne garancije u pogledu primjene odgovarajućih tehničkih i organizacijskih mjera kako bi obrada ispunila zahtjeve GDPR-a i zaštitu prava subjekata podataka. je dovoljno, garantovano.
• 2.7 Klijent jamči Obrađivaču podataka da postupa u skladu s GDPR-om, da adekvatno štiti svoje sisteme i infrastrukturu u svakom trenutku i da sadržaj, korištenje i/ili obrada osobnih podataka nije nezakonit i ne krši nijedno pravo. treće strane.
• 2.8 Administrativna kazna koju je AP izrekao Klijentu ne može se nadoknaditi od Obrađivača podataka.

Član 3. Sigurnost

• 3.1 Obrađivač podataka preduzima tehničke i organizacijske sigurnosne mjere, kao što je opisano u svojoj Izjavi o podacima Pro. Prilikom poduzimanja tehničkih i organizacijskih mjera sigurnosti, Obrađivač podataka je uzeo u obzir stanje tehnike, troškove implementacije sigurnosnih mjera, prirodu, obim i kontekst obrade, svrhe i namjeravanu upotrebu svojih proizvoda i usluga. , rizike obrade i rizike koji se razlikuju po vjerovatnoći i ozbiljnosti za prava i slobode subjekata podataka koje bi mogao očekivati ​​s obzirom na namjeravanu upotrebu njegovih proizvoda i usluga.
• 3.2 Osim ako nije izričito drugačije navedeno u Izjavi o podacima Pro, proizvod ili usluga Obrađivača podataka nije dizajnirana za obradu posebnih kategorija ličnih podataka ili podataka u vezi sa krivičnim presudama ili krivičnim djelima ili ličnim brojevima koje je izdala vlada.
• 3.3 Obrađivač podataka nastoji da osigura da su sigurnosne mjere koje treba poduzeti prikladne za namjeravanu upotrebu proizvoda ili usluge od strane Obrađivača podataka.
• 3.4 Po mišljenju Klijenta, opisane sigurnosne mjere nude, uzimajući u obzir faktore iz člana 3.1, nivo sigurnosti prilagođen riziku obrade ličnih podataka koje koristi ili pruža.
• 3.5 Obrađivač podataka može izvršiti izmjene preduzetih mjera sigurnosti ako je to po njegovom mišljenju neophodno kako bi se nastavio pružati odgovarajući nivo sigurnosti. Obrađivač podataka će zabilježiti važne promjene, na primjer u izmijenjenoj Data Pro izjavi, i obavijestit će Klijenta o tim promjenama gdje je to relevantno.
• 3.6 Klijent može zatražiti od Obrađivača podataka da preduzme dalje sigurnosne mjere. Obrađivač podataka nije u obavezi da izvrši izmjene svojih sigurnosnih mjera na takav zahtjev. Obrađivač podataka može naplatiti troškove u vezi sa izvršenim promjenama na zahtjev Klijenta Klijentu. Tek nakon što se izmijenjene sigurnosne mjere po želji Klijenta pismeno dogovore i potpišu od strane, Obrađivač podataka je dužan da ove sigurnosne mjere stvarno implementira.

Član 4. Povreda ličnih podataka

• 4.1 Obrađivač podataka ne garantuje da su sigurnosne mjere efikasne u svim okolnostima. Ako Obrađivač podataka otkrije kršenje u vezi sa ličnim podacima (kao što je navedeno u članu 4 pod 12 Avg), obavestiće Klijenta bez nepotrebnog odlaganja. Data Pro izjava (u skladu sa protokolom za curenje podataka) utvrđuje kako Obrađivač podataka obavještava Klijenta o kršenju podataka u vezi sa ličnim podacima.
• 4.2 Na kontroloru (Klijentu ili njegovom kupcu) je da procijeni da li se povreda ličnih podataka o kojoj je informirao Obrađivač podataka mora prijaviti AP-u ili subjektu podataka. Prijavljivanje kršenja u vezi sa ličnim podacima, koje se moraju prijaviti AP-u i/ili subjektima podataka u skladu sa članovima 33. i 34. GDPR-a, ostaje odgovornost kontrolora (Klijenta ili njegovog klijenta) u svakom trenutku. Obrađivač podataka nije dužan prijaviti kršenje ličnih podataka AP-u i/ili subjektu podataka.
• 4.3 Obrađivač podataka će, ako je potrebno, pružiti dodatne informacije o kršenju podataka u vezi sa ličnim podacima i sarađivat će u pružanju neophodnih informacija Klijentu u svrhu obavještenja kako je navedeno u članovima 33. i 34. Prosj.
• 4.4 Obrađivač podataka može Klijentu naplatiti razumne troškove koje ima u ovom kontekstu po cijenama koje su tada primjenjive.

Član 5. Povjerljivost

• 5.1 Obrađivač podataka garantuje da osobe koje obrađuju lične podatke pod njegovom odgovornošću imaju obavezu čuvanja povjerljivosti.
• 5.2 Obrađivač podataka ima pravo da lične podatke ustupi trećim licima, ako i u meri u kojoj je to neophodno na osnovu odluke suda, zakonskog propisa ili na osnovu ovlašćenog naloga državnog organa.
• 5.3 Svi pristupni i/ili identifikacioni kodovi, sertifikati, informacije u vezi sa politikom pristupa i/ili lozinki koje Obrađivač podataka daje Klijentu i sve informacije koje Obrađivač podataka daje Klijentu koje sprovode tehničke i organizacione bezbednosne mere uključene u Izjavu o podacima Pro poverljive su. i kao takav će se tretirati od strane Klijenta i biti će ga upoznati samo ovlašteni zaposlenici Klijenta. Klijent osigurava da se njegovi zaposleni pridržavaju obaveza iz ovog člana.

Član 6. Rok i prestanak

• 6.1 Ovaj ugovor o obrađivaču čini dio Ugovora i svaki novi ili dalji ugovor koji proizilazi iz njega, stupa na snagu u trenutku zaključenja Ugovora i zaključuje se na neodređeno vrijeme.
• 6.2 Ovaj ugovor o procesoru prestaje po zakonu nakon raskida Ugovora ili bilo kojeg novog ili daljnjeg sporazuma između strana.
• 6.3 U slučaju prestanka ugovora o obradi, Obrađivač podataka će izbrisati sve lične podatke u svom posjedu i primljene od Klijenta u roku navedenom u Data Pro izjavi na način da se više ne mogu koristiti i više nisu dostupno (učini nedostupnim). , ili, ako je dogovoreno, vratite ga Klijentu u mašinski čitljivom formatu.
• 6.4 Obrađivač podataka može naplatiti Klijentu sve troškove koje ima u kontekstu odredbi člana 6.3. Dalji sporazumi o tome mogu biti navedeni u Izjavi o podacima Pro.
• 6.5 Odredbe člana 6.3 se ne primenjuju ako zakonski propis sprečava Obrađivača podataka da u potpunosti ili delimično ukloni ili vrati lične podatke. U tom slučaju, Obrađivač podataka će nastaviti da obrađuje lične podatke samo u onoj meri u kojoj je to neophodno u skladu sa svojim zakonskim obavezama. Odredbe člana 6.3 također se ne primjenjuju ako je Obrađivač podataka kontrolor u smislu GDPR-a u pogledu ličnih podataka.

Član 7. Prava subjekata podataka, procjena uticaja na zaštitu podataka (DPIA) i prava revizije

• 7.1 Obrađivač podataka će, gdje je to moguće, sarađivati ​​sa razumnim zahtjevima Klijenta koji se odnose na prava subjekata podataka na koja se od Klijenta pozivaju subjekti podataka. Ako subjekt podataka direktno pristupi Obrađivaču podataka, on će tu osobu uputiti na Klijenta gdje je to moguće.
• 7.2 Ako je Klijent obavezan da to učini, Obrađivač podataka će sarađivati ​​sa procjenom uticaja na zaštitu podataka (DPIA) ili naknadnim prethodnim konsultacijama kako je navedeno u članovima 35. i 36. Prosj.
• 7.3 Obrađivač podataka će sarađivati ​​sa zahtjevima Klijenta za uklanjanje ličnih podataka ukoliko Klijent to ne može sam izvršiti.
• 7.4 Na zahtjev Klijenta, Obrađivač podataka će također staviti na raspolaganje sve dodatne informacije koje su razumno potrebne da dokaže usklađenost sa ugovorima navedenim u ovom ugovoru o obradi. Ako Klijent ipak ima razloga vjerovati da se obrada osobnih podataka ne odvija u skladu sa ugovorom o obradi, može se konsultovati najviše jednom godišnje od strane nezavisnog, certificiranog, vanjskog stručnjaka koji ima dokazano iskustvo s tom vrstom obradu koja se vrši na osnovu Ugovora., izvršiti reviziju o trošku Klijenta. Revizija će biti ograničena na provjeru usklađenosti sa ugovorima u vezi sa obradom ličnih podataka kako je navedeno u ovom Ugovoru o obrađivaču. Stručnjak će imati obavezu čuvanja povjerljivosti u pogledu onoga što otkrije i samo će prijaviti Klijentu ono što rezultira nedostatkom u ispunjavanju obaveza koje Obrađivač podataka ima prema ovom ugovoru o obrađivaču. Ekspert će dostaviti kopiju svog izvještaja Obrađivaču podataka. Obrađivač podataka može odbiti reviziju ili instrukciju stručnjaka ako, po njegovom mišljenju, to krši GDPR ili drugo zakonodavstvo ili predstavlja nedozvoljeno kršenje sigurnosnih mjera koje je poduzeo.
• 7.5 Strane će se konsultovati što je pre moguće o rezultatima izveštaja. Stranke će pratiti predložene mjere poboljšanja koje su navedene u izvještaju u onoj mjeri u kojoj se to od njih može razumno očekivati. Obrađivač podataka će implementirati predložene mjere poboljšanja u mjeri u kojoj su po njegovom mišljenju primjerene, uzimajući u obzir rizike obrade povezane s njegovim proizvodom ili uslugom, stanje tehnike, troškove implementacije, tržište na kojem posluje i namjeravanu upotrebu proizvoda ili usluge usluga.
• 7.6 Obrađivač podataka ima pravo da troškove koje ima u kontekstu odredbi ovog člana naplati Klijentu.

Član 8. Podprocesori

• 8.1 Obrađivač podataka je u Izjavi o podacima naveo da li, i ako jeste, koje treće strane (podobrađivači ili pod-procesori) Obrađivač podataka sudjeluje u obradi ličnih podataka.
• 8.2 Klijent daje dozvolu Obrađivaču podataka da angažuje druge podobrađivače za izvršavanje svojih obaveza koje proizilaze iz Ugovora.
• 8.3 Obrađivač podataka će obavijestiti Klijenta o promjeni trećih strana koje je angažirao Obrađivač podataka, na primjer putem dopunjene Izjave o podacima Pro. Klijent ima pravo prigovora na gore navedenu promjenu od strane Obrađivača podataka. Obrađivač podataka osigurava da se treće strane koje angažuje obaveže na isti nivo sigurnosti u pogledu zaštite ličnih podataka kao i sigurnosni nivo na koji je Obrađivač podataka vezan prema Klijentu na osnovu Izjave o podacima.

Član 9. Ostalo

Ove Standardne klauzule o obradi, zajedno sa Data Pro izjavom, čine sastavni dio Ugovora. Sva prava i obaveze iz Ugovora, uključujući važeće opšte uslove i/ili ograničenja odgovornosti, stoga se primenjuju i na ugovor o obradi.