Souhlas zpracovatele

Úvod

Autosoft BV zpracovává mimo jiné osobní údaje pro zákazníka a jeho jménem. Autosoft BV a zákazník jsou proto povinni podle obecného nařízení o ochraně osobních údajů (GDPR) uzavřít zpracovatelskou smlouvu. Autosoft BV je podle GDPR „zpracovatel“ a zákazník je „správce“. Tato Zpracovatelská smlouva také popisuje, jak Autosoft BV nakládá s povinností oznamovat narušení bezpečnosti dat.

Souhlas zpracovatele

Skládá se z:
Část 1: Prohlášení o datu
Část 2: Standardní ustanovení o zpracování

Část 1: Prohlášení o datu

Obecné informace

1). Toto Prohlášení o datu bylo vypracováno následujícím zpracovatelem údajů (zpracovatelem):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Máte-li dotazy týkající se tohoto prohlášení o ochraně dat nebo ochrany údajů, kontaktujte:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Toto prohlášení o datových službách platí od 1. srpna 2021
Toto prohlášení Data Pro Statement a bezpečnostní opatření v něm popsaná pravidelně upravujeme, abychom zajistili, že budeme vždy připraveni a aktuální s ohledem na ochranu údajů. O nových verzích vás budeme průběžně informovat prostřednictvím našich běžných kanálů.

3). Toto prohlášení Data Pro se vztahuje na následující produkty a služby pro zpracování dat

• AutoWeb
• AutoCommerce

4). Popis Webová stránka auta
Automobilky používají Autoweb. S Autowebsite se mohou automobilky prezentovat na internetu.

5). Zamýšlené použití webu Car
Autoweb je navržen a vybaven pro zpracování následujících typů dat:
Návštěvníci webových stránek vyvinutých Autosoftem s Autowebsite mají možnost zde zanechat své kontaktní údaje, aby automobilka měla možnost návštěvníka oslovit pro další služby. Tyto kontaktní údaje nejsou u Autosoftu uloženy, ale jsou předávány přímo e-mailem na e-mailovou adresu automobilky.

• Tato služba nezohledňuje zpracování zvláštních osobních údajů nebo údajů týkajících se odsouzení za trestné činy a trestných činů nebo rodných čísel vydaných vládou.

6). Popis Autocommerce
Automobilky používají Autocommerce. S Autocommerce mohou automobilky spravovat a prezentovat svá vozidla na vlastních webových stránkách a internetových vyhledávacích portálech třetích stran.

7). Zamýšlené použití Autocommerce
Autocommerce je navrženo a nastaveno tak, aby zpracovávalo následující typy dat:
Automobilky mohou umístit svá registrovaná vozidla prostřednictvím Autocommerce na své vlastní webové stránky Car. Tato registrovaná vozidla neobsahují žádné údaje, které by bylo možné v jakékoli podobě zpětně vysledovat k osobním údajům. Návštěvníci webu Car mají možnost zde zanechat své kontaktní údaje, aby automobilka měla možnost návštěvníka oslovit pro další služby. Kontaktní údaje zanechané návštěvníkem na jejich vlastních webových stránkách Auto jsou uloženy v Autocommerce.

• Tato služba nezohledňuje zpracování zvláštních osobních údajů nebo údajů týkajících se odsouzení za trestné činy a trestných činů nebo rodných čísel vydaných vládou.

8). Zpracovatel údajů používá pro zpracování pro Autoweb a Autocommerce Standardní doložky, které naleznete jako přílohu Smlouvy.

9). Zpracovatel údajů zpracovává osobní údaje svých klientů v rámci EU/EHP pro Autowebsite a Autocommerce.

10). Zpracovatel dat používá pro Autocommerce následující dílčí zpracovatele:
V některých případech zasílá Autosoft svá registrovaná vozidla prostřednictvím Autocommerce na internetové vyhledávací portály třetích stran nebo dílčích zpracovatelů jménem Automobilové společnosti. Seznam dílčích zpracovatelů je k dispozici na vyžádání na adrese support@autosoft.eu.

11). Po ukončení Smlouvy s klientem zpracovatel zásadně do 3 měsíců odstraní osobní údaje, které pro klienta zpracovává, a to tak, že je již nelze použít a nebudou nadále přístupné (render nepřístupný).

Bezpečnostní politika

Shrňte následující bezpečnostní opatření, která zpracovatel dat přijal k ochraně svého produktu nebo služby:

Řízení incidentů a politika reakce
Zásady řízení a reakce na incidenty v oblasti informační bezpečnosti zahrnují monitorování a detekci bezpečnostních incidentů na počítači nebo IT infrastruktuře, ale také sledování podezřelých aktivit personálem a implementaci správných reakcí na tyto události.

Primárním cílem této politiky je vyvinout dobře srozumitelnou a předvídatelnou reakci na škodlivé události a narušení počítače v nejširším slova smyslu.

Politika řízení a reakce na incidenty je proces správy a ochrany počítačů, sítí a informačních systémů a informací v nich uložených. Autosoft si je vědom své odpovědnosti, pokud jde o ochranu těchto informací ve prospěch svých zákazníků a partnerů dodavatelského řetězce. Tato odpovědnost se vztahuje i na řízení o incidentu. Řízení incidentů je soubor činností, které definují a implementují proces, který může organizace použít k podpoře svého vlastního blaha a bezpečnosti veřejnosti.

IT a bezpečnost
ICT struktura Autosoft BV je dostatečně zabezpečena firewallem a antivirový software je udržován v aktuálním stavu. Každý zaměstnanec má svůj přihlašovací profil. Při spouštění počítače musí zaměstnanci zadat přihlašovací jméno a heslo a pokud možno s dvoustupňovou autentizací.

Některý software také vyžaduje přihlašovací jméno a heslo a tam, kde je to možné, s dvoufázové ověření. Stimuluje se informovanost zaměstnanců o bezpečné práci, např. upozorňování na neotevírání podezřelých e-mailů, neklikání na podezřelé odkazy, odhlašování při delším odchodu z pracoviště a podobně.

Soubory jsou zálohovány během dnů a každou noc. Z bezpečnostních důvodů je další postup ukládání kolem zálohy důvěrný. Autosoft BV na to uzavřel servisní smlouvy s dodavateli počítačů a poskytovateli internetového hostingu.

Zásady ochrany dat
Autosoft BV přijímá vhodná technická a organizační opatření k ochraně osobních údajů zákazníka před ztrátou nebo jakoukoli formou nezákonného zpracování. Tato technická a organizační opatření jsou považována za odpovídající úroveň zabezpečení ve smyslu článku 1 GDPR a jsou uložena jako dokumenty v centrálním Basecampu (Projekt: Organizace / Zásady ochrany dat) společnosti Autosoft BV.

Technická a organizační

1. Opatření, která zajistí, že k Osobním údajům zpracovávaným v rámci Smlouvy o zpracovateli budou mít přístup pouze oprávněné osoby;
2. Opatření na ochranu Osobních údajů zejména před náhodným nebo nezákonným zničením, ztrátou, náhodnou změnou, neoprávněným nebo nezákonným uložením, přístupem nebo zveřejněním;
3. Opatření na ochranu osobních údajů zejména před náhodným nebo nezákonným zničením, ztrátou, náhodnou změnou, neoprávněným nebo nezákonným ukládáním, přístupem nebo zveřejněním během výměny/přepravy dat;
4. Opatření k zajištění schopnosti průběžně zajistit důvěrnost, integritu, dostupnost a odolnost redakčních systémů a služeb;
5. Opatření k včasnému obnovení dostupnosti a přístupu k Osobním údajům v případě fyzického nebo technického incidentu;
6. Opatření k identifikaci zranitelných míst v souvislosti se zpracováním Osobních údajů v systémech používaných k poskytování služeb na základě smlouvy;

Organizační jako např.

• Omezení okruhu úředníků, kteří mají přístup k některým osobním údajům, na osoby, které údaje potřebují pro plnění svých povinností;
• umožnit těmto osobám přístup pouze k osobním údajům, které potřebují pro plnění svých povinností;
• dohodnout se na doložce o mlčenlivosti s doložkou o sankcích se všemi osobami, kterým bude poskytnut přístup k osobním údajům;
• ukládání osobních údajů na serverech v uzavřeném prostoru;
• uchovávání papírových složek v uzamykatelných skříních;
• vytváření povědomí o bezpečnosti informací mezi zaměstnanci;
• stanovení jasných protokolů a postupů pro včasné a účinné řešení incidentů v oblasti bezpečnosti informací a bezpečnostních zranitelností;

Zpracovatel dat používá vlastní metodiky a postupy pro řízení, které zapadají do pracovní metody organizace:

• V rámci Basecampu jsou příslušné dokumenty spravovány a pravidelně vyhodnocovány.

Protokol o narušení dat

V případě, že se něco pokazí, použije zpracovatel dat následující protokol úniku dat, aby zajistil, že klient o incidentech ví:

Autosoft BV – Postup při narušení dat

Co je to únik dat a kdy to musím nahlásit AP?
Narušení bezpečnosti údajů je incident zabezpečení informací zahrnující porušení zabezpečení osobních údajů vystavením ztrátě nebo nezákonnému zpracování, jako je (ale ne vyčerpávajícím způsobem):

• Úprava a/nebo změna osobních údajů a neoprávněný přístup k těmto osobním údajům;
• V případě vloupání hackerem;
• Ztráta USB klíče, krádež notebooku;
• Odesílání citlivých údajů na nesprávnou e-mailovou adresu;

Podle zákona musí být „závažné“ porušení údajů oznámeno nizozemskému úřadu pro ochranu údajů bez zbytečného odkladu, a pokud možno nejpozději do 72 hodin po zjištění.

Autosoft BV nemusí hlásit nizozemskému úřadu pro ochranu osobních údajů, pokud je skutečná identifikace jednotlivých fyzických osob důvodně vyloučena.
Veškerá podezření na incident informační bezpečnosti budou řešena v první řadě podpora@autosoft.eu hlášeny a registrovány. Podpora nahlásí incident řídícímu týmu a určí, jaká následná opatření by měla být přijata.

Následný postup

Kdy musím informovat subjekty údajů?
Porušení ochrany osobních údajů musí být oznámeno subjektu údajů, pokud v případě porušení existuje vysoké riziko, že porušení bude mít nepříznivé důsledky pro jeho soukromý život. Nepříznivými důsledky pro subjekt údajů jsou: poškození jeho pověsti a pověsti, podvod s identitou nebo diskriminace. Pokud společnost Autosoft BV přijala vhodná technická ochranná opatření, v jejichž důsledku jsou dotčené osobní údaje nesrozumitelné nebo nepřístupné, není oznámení subjektu údajů nutné. Oznámení subjektu údajů musí obsahovat jasný a srozumitelný popis povahy porušení zabezpečení osobních údajů a alespoň:

• jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, kde lze získat více informací;
• pravděpodobné důsledky porušení zabezpečení osobních údajů;
• opatření navržená nebo přijatá správcem k řešení porušení zabezpečení osobních údajů, případně včetně opatření ke zmírnění jeho nepříznivých dopadů. Posouzení, zda musí být narušení ochrany osobních údajů oznámeno nizozemskému úřadu pro ochranu osobních údajů a/nebo dotčeným osobám, je vždy na společnosti Autosoft BV. Aby bylo možné určit, zda je nutné incident nahlásit, vypracoval nizozemský úřad pro ochranu údajů pravidla (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) a pracovní skupina 29 pokynů evropských orgánů dohledu zveřejněných k ohlašovací povinnosti v GDPR. Pokud společnost Autosoft BV neoznámí porušení zabezpečení údajů, může nizozemský úřad pro ochranu údajů požadovat, aby společnost Autosoft BV přesto podala zprávu. Nenahlášení může být potrestáno správní pokutou.

Jak nahlásím únik dat?
Nizozemský úřad pro ochranu údajů zpřístupňuje webový formulář, který je nutné použít pro hlášení porušení zabezpečení údajů (https://dataleks.autoriteitpersoonsgegevens.nl/). Nizozemský úřad pro ochranu údajů vede rejstřík obdržených oznámení o narušení údajů. Tento registr není veřejný. Pokud bude nizozemským úřadem pro ochranu údajů v důsledku porušení údajů uložena pokuta, bude toto rozhodnutí zveřejněno. Porušení ochrany osobních údajů je rovněž zveřejněno, když je třeba o porušení ochrany údajů informovat subjekty údajů. V oznámení subjektu údajů musí být v každém případě uvedena povaha porušení a orgány, kde může subjekt údajů získat více informací o porušení. Musí být také uvedeno, co může subjekt údajů sám udělat, aby omezil negativní důsledky porušení zabezpečení údajů. Například změna uživatelských jmen a hesel, pokud mohla být narušena.

Co mám nahlásit?
Oznámení nizozemskému úřadu pro ochranu údajů zahrnuje:

• Oznamovatel úniku dat.
• Osoba, kterou může nizozemský úřad pro ochranu údajů kontaktovat pro další informace o zprávě.
• Shrnutí incidentu, kdy došlo k porušení zabezpečení osobních údajů.
• Čas porušení.
• Povaha porušení.
• Typ dotčených osobních údajů.
• Důsledky, které může mít porušení pro soukromí zúčastněných.
• Technická a organizační opatření, která společnost Autosoft BV přijala, aby se vypořádala s protiprávním jednáním a zabránila dalšímu protiprávnímu jednání.
• Zda společnost Autosoft BV oznámila porušení ochrany údajů subjektům údajů, a pokud ne, zda tak společnost Autosoft BV zamýšlí učinit:
• Pokud ano, obsah oznámení subjektům údajů.
• Pokud ne, důvod, proč se Autosoft BV zdrží oznámení porušení ochrany údajů subjektům údajů.
• Byly osobní údaje zašifrovány, hašovány nebo jinak znepřístupněny neoprávněným osobám?

Část 2: Standardní ustanovení o zpracování

Verze: září 2019
Spolu s Prohlášením Data Pro tvoří zpracovatelskou smlouvu a je přílohou smlouvy a doprovodných příloh, jako jsou platné všeobecné obchodní podmínky.

Článek 1. Definice

Níže uvedené výrazy mají v těchto standardních zpracovatelských klauzulích, v Prohlášení o datu a ve smlouvě následující význam:

• 1.1 Nizozemský úřad pro ochranu osobních údajů (AP): dozorový orgán, jak je popsáno v čl. 4 odst. 21 Prům.
• 1.2 AVG: obecného nařízení o ochraně osobních údajů.
• 1.3 Zpracovatel dat: strana, která jako dodavatel ICT zpracovává Osobní údaje ve prospěch svého Klienta v rámci plnění Smlouvy.
• 1.4 Prohlášení Data Pro: prohlášení zpracovatele údajů, ve kterém poskytuje informace s ohledem na zamýšlené použití svého produktu nebo služby, přijatá bezpečnostní opatření, dílčí zpracovatele, úniky dat, certifikace a nakládání s právy Subjektů údajů.
• 1.5 Subjekt údajů (subjekt údajů): identifikovaná nebo identifikovatelná fyzická osoba.
• 1.6 Klient: strana, jejímž jménem zpracovatel zpracovává osobní údaje. Klientem může být buď správce („správce“), nebo jiný zpracovatel.
• 1.7 Smlouva: smlouva mezi Objednatelem a Zpracovatelem dat, na základě které dodavatel ICT dodává Objednateli služby a/nebo produkty, jejíž součástí je zpracovatelská smlouva.
• 1.8 Osobní údaje: veškeré informace o identifikované nebo identifikovatelné fyzické osobě, jak je popsáno v čl. 4 odst. 1 AVG, které Zpracovatel zpracovává v rámci plnění svých povinností vyplývajících ze Smlouvy.
• 1.9 Smlouva o zpracování: tyto Standardní doložky pro zpracování, které spolu s Prohlášením o datu (nebo srovnatelnými informacemi) od Zpracovatele údajů tvoří zpracovatelskou smlouvu, jak je uvedeno v čl. 28 odst. 3 GDPR.

Článek 2. Všeobecně

• 2.1 Tyto standardní doložky o zpracování se vztahují na veškeré zpracování osobních údajů, které zpracovatel údajů provádí v souvislosti s dodávkou svých produktů a služeb, a na všechny smlouvy a nabídky. Použitelnost zpracovatelských smluv Klienta se výslovně odmítá.
• 2.2 Prohlášení Data Pro, a zejména bezpečnostní opatření v něm obsažená, může Zpracovatel údajů čas od času upravit, aby odrážel měnící se okolnosti. Zpracovatel dat bude Zákazníka informovat o významných změnách. Nemůže-li objednatel s úpravami rozumně souhlasit, je oprávněn smlouvu o zpracování písemně vypovědět do 30 dnů od oznámení úprav.
• 2.3 Zpracovatel údajů zpracovává Osobní údaje jménem a jménem Klienta v souladu s písemnými pokyny Klienta dohodnutými se Zpracovatelem údajů.
• 2.4 Klient nebo jeho zákazník je správcem ve smyslu GDPR, má kontrolu nad zpracováním Osobních údajů a určil účel a prostředky zpracování Osobních údajů.
• 2.5 Zpracovatel údajů je zpracovatelem ve smyslu GDPR, nemá tedy kontrolu nad účelem a prostředky zpracování Osobních údajů, a proto nerozhoduje mimo jiné o použití Osobních údajů.
• 2.6 Zpracovatel údajů implementuje GDPR, jak je stanoveno v těchto standardních klauzulích pro zpracování, v Prohlášení k datům a ve smlouvě. Je na Klientovi, aby na základě těchto informací posoudil, zda Zpracovatel nabízí dostatečné záruky s ohledem na uplatnění vhodných technických a organizačních opatření tak, aby zpracování odpovídalo požadavkům GDPR a ochraně práv subjektů údajů. je dostačující.
• 2.7 Klient zaručuje zpracovateli údajů, že jedná v souladu s GDPR, že své systémy a infrastrukturu po celou dobu dostatečně chrání a že obsah, použití a/nebo zpracování Osobních údajů není protiprávní a neporušuje žádná práva. třetí strany.
• 2.8 Správní pokutu uloženou Klientovi ze strany AP nelze vymáhat od Zpracovatele dat.

Článek 3. Bezpečnost

• 3.1 Zpracovatel dat přijímá technická a organizační bezpečnostní opatření, jak je popsáno v jeho prohlášení o Data Pro. Při přijímání technických a organizačních bezpečnostních opatření vzal zpracovatel údajů v úvahu současný stav techniky, náklady na implementaci bezpečnostních opatření, povahu, rozsah a kontext zpracování, účely a zamýšlené použití svých produktů a služeb. , riziky zpracování a rizika lišící se pravděpodobností a závažností pro práva a svobody Subjektů údajů, které by mohl očekávat s ohledem na zamýšlené použití svých produktů a služeb.
• 3.2 Pokud není v Prohlášení o datu výslovně uvedeno jinak, produkt nebo služba Zpracovatele dat nejsou určeny ke zpracování zvláštních kategorií osobních údajů nebo údajů týkajících se odsouzení za trestné činy nebo trestných činů nebo vládou vydaných osobních čísel.
• 3.3 Zpracovatel dat se snaží zajistit, aby bezpečnostní opatření, která má přijmout, byla vhodná pro zamýšlené použití produktu nebo služby zpracovatelem dat.
• 3.4 Podle názoru Klienta popsaná bezpečnostní opatření nabízejí úroveň zabezpečení přizpůsobenou riziku zpracování Osobních údajů používaných nebo poskytnutých Klientem, s přihlédnutím k faktorům uvedeným v článku 3.1.
• 3.5 Zpracovatel údajů může provést změny přijatých bezpečnostních opatření, pokud je to podle jeho názoru nezbytné pro další poskytování přiměřené úrovně zabezpečení. Zpracovatel dat zaznamená důležité změny, například v upraveném Prohlášení o datu, a bude o těchto změnách informovat Zákazníka, je-li to relevantní.
• 3.6 Zákazník může požádat zpracovatele údajů, aby přijal další bezpečnostní opatření. Zpracovatel údajů není povinen na základě takové žádosti provádět změny svých bezpečnostních opatření. Zpracovatel dat může účtovat náklady spojené se změnami provedenými na žádost Klienta vůči Klientovi. Teprve poté, co budou změněná bezpečnostní opatření požadovaná Klientem písemně odsouhlasena a podepsána Stranami, je Zpracovatel povinen tato bezpečnostní opatření skutečně zavést.

Článek 4. Porušení osobních údajů

• 4.1 Zpracovatel dat nezaručuje, že bezpečnostní opatření jsou účinná za všech okolností. Pokud Zpracovatel zjistí porušení v souvislosti s Osobními údaji (jak je uvedeno v čl. 4 odst. 12 Avg), bude o tom Klienta bez zbytečného odkladu informovat. Prohlášení Data Pro (pod protokolem o úniku dat) stanoví, jak Zpracovatel informuje Klienta o narušení bezpečnosti v souvislosti s Osobními údaji.
• 4.2 Je na správci (Klientovi nebo jeho zákazníkovi), aby posoudil, zda musí být porušení Osobních údajů, o kterém Zpracovatel informoval, oznámeno AP nebo Subjektu údajů. Hlášení porušení v souvislosti s Osobními údaji, která musí být nahlášena AP a/nebo Subjektům údajů podle článků 33 a 34 GDPR, zůstává vždy v odpovědnosti správce (Klienta nebo jeho zákazníka). Zpracovatel údajů není povinen hlásit porušení zabezpečení osobních údajů AP a/nebo Subjektu údajů.
• 4.3 Zpracovatel údajů v případě potřeby poskytne další informace o narušení v souvislosti s Osobními údaji a bude spolupracovat s poskytnutím nezbytných informací Klientovi za účelem oznámení, jak je uvedeno v článcích 33 a 34 Prům.
• 4.4 Zpracovatel dat může zákazníkovi účtovat přiměřené náklady, které mu v této souvislosti vzniknou, podle svých v té době platných sazeb.

Článek 5. Důvěrnost

• 5.1 Zpracovatel údajů zaručuje, že osoby, které zpracovávají Osobní údaje na jeho odpovědnost, mají povinnost mlčenlivosti.
• 5.2 Zpracovatel je oprávněn poskytnout Osobní údaje třetím osobám, je-li poskytnutí nezbytné na základě rozhodnutí soudu, právního předpisu nebo na základě pověřeného příkazu orgánu státní správy.
• 5.3 Veškeré přístupové a/nebo identifikační kódy, certifikáty, informace týkající se zásad přístupu a/nebo hesla poskytnuté Zpracovatelem dat Klientovi a veškeré informace poskytnuté Zpracovatelem dat Klientovi, které zavádějí technická a organizační bezpečnostní opatření obsažená v Prohlášení Data Pro, jsou důvěrné. a bude s nimi Klientem zacházeno a budou s nimi seznámeni pouze oprávnění zaměstnanci Klienta. Klient zajišťuje, aby jeho zaměstnanci dodržovali povinnosti podle tohoto článku.

Článek 6. Doba platnosti a ukončení

• 6.1 Tato zpracovatelská smlouva je součástí Smlouvy a jakékoli nové nebo další dohody z ní vyplývající, nabývají účinnosti okamžikem uzavření Smlouvy a jsou uzavírány na dobu neurčitou.
• 6.2 Tato zpracovatelská smlouva končí ze zákona ukončením smlouvy nebo jakékoli nové či další smlouvy mezi stranami.
• 6.3 V případě ukončení smlouvy o zpracování vymaže zpracovatel veškeré Osobní údaje, které má a které od Klienta obdržel ve lhůtě uvedené v Prohlášení o zpracování osobních údajů, a to takovým způsobem, že je již nebude možné používat a nebudou nadále používány. přístupné (vykreslení nepřístupné)., nebo, je-li to dohodnuto, vrátit Klientovi ve strojově čitelném formátu.
• 6.4 Zpracovatel dat může Klientovi účtovat jakékoli náklady, které mu vzniknou v souvislosti s ustanoveními článku 6.3. Další ujednání o tom lze stanovit v Prohlášení Data Pro.
• 6.5 Ustanovení čl. 6.3 se nepoužijí, pokud zákonné nařízení brání zpracovateli osobních údajů zcela nebo částečně odstranit nebo vrátit Osobní údaje. V takovém případě bude Zpracovatel nadále zpracovávat Osobní údaje pouze v rozsahu nezbytném pro jeho zákonné povinnosti. Ustanovení čl. 6.3 se rovněž nepoužijí, pokud je správcem ve smyslu GDPR s ohledem na Osobní údaje Zpracovatel.

Článek 7. Práva subjektů údajů, posouzení dopadu na ochranu údajů (DPIA) a práva na audit

• 7.1 Zpracovatel údajů bude tam, kde to bude možné, spolupracovat s přiměřenými požadavky Zákazníka, které se týkají práv Subjektů údajů, kterých se Subjekty údajů od Zákazníka dovolávají. Pokud se na zpracovatele údajů obrátí přímo subjekt údajů, odkáže tuto osobu, pokud je to možné, na klienta.
• 7.2 Pokud je tak Klient povinen učinit, bude zpracovatel údajů spolupracovat s posouzením dopadu na ochranu osobních údajů (DPIA) nebo následnou předchozí konzultací, jak je uvedeno v článcích 35 a 36 Prům.
• 7.3 Zpracovatel údajů bude spolupracovat s požadavky Zákazníka na odstranění osobních údajů, pokud to Zákazník nemůže provést sám.
• 7.4 Na žádost Klienta zpřístupní Zpracovatel údajů také všechny další informace, které jsou přiměřeně nezbytné k prokázání souladu s dohodami uzavřenými v této zpracovatelské smlouvě. Má-li Klient přesto důvod se domnívat, že zpracování Osobních údajů neprobíhá v souladu se smlouvou o zpracování, může jej konzultovat nejvýše jednou ročně nezávislý certifikovaný externí odborník, který má prokazatelné zkušenosti s daným typem zpracování, které je prováděno na základě Smlouvy., nechat provést audit na náklady Klienta. Audit se omezí na kontrolu dodržování dohod týkajících se zpracování osobních údajů, jak je stanoveno v této smlouvě se zpracovatelem. Znalec bude mít povinnost mlčenlivosti o tom, co zjistí, a oznámí Klientovi pouze to, co má za následek nedostatek v plnění povinností, které má Zpracovatel podle této zpracovatelské smlouvy. Expert poskytne kopii své zprávy zpracovateli dat. Zpracovatel údajů může odmítnout audit nebo pokyn odborníka, pokud to podle jeho názoru porušuje GDPR nebo jiné právní předpisy nebo jde o nepřípustné porušení jimi přijatých bezpečnostních opatření.
• 7.5 Strany budou co nejdříve konzultovat výsledky zprávy. Strany se budou řídit navrhovanými opatřeními ke zlepšení stanovenými ve zprávě v rozsahu, v jakém to od nich lze rozumně očekávat. Zpracovatel údajů zavede navrhovaná zlepšovací opatření v rozsahu, v jakém jsou podle jeho názoru vhodná, s ohledem na rizika zpracování spojená s jeho produktem nebo službou, současný stav techniky, náklady na implementaci, trh, na kterém působí, a zamýšlené použití produktu nebo služby.
• 7.6 Zpracovatel údajů má právo účtovat klientovi náklady, které mu v souvislosti s ustanoveními tohoto článku vzniknou.

Článek 8. Dílčí zpracovatelé

• 8.1 Zpracovatel údajů v Prohlášení o ochraně osobních údajů uvedl, zda a pokud ano, které třetí strany (dílčí zpracovatelé nebo dílčí zpracovatelé) se podílí na zpracování osobních údajů.
• 8.2 Zákazník uděluje zpracovateli údajů povolení k tomu, aby k plnění jeho závazků vyplývajících ze smlouvy zapojil další dílčí zpracovatele.
• 8.3 Zpracovatel údajů bude Klienta informovat o změně třetích stran zapojených zpracovatelem údajů, například prostřednictvím upraveného Prohlášení o datu. Klient má právo vznést námitku proti výše uvedené změně ze strany zpracovatele údajů. Zpracovatel údajů zajišťuje, aby se jím zapojené třetí strany zavázaly ke stejné úrovni zabezpečení, pokud jde o ochranu osobních údajů, jako je úroveň zabezpečení, na kterou je Zpracovatel vázán vůči Zákazníkovi na základě Prohlášení Data Pro.

Článek 9. Jiné

Tyto standardní doložky o zpracování tvoří spolu s prohlášením Data Pro nedílnou součást smlouvy. Veškerá práva a povinnosti ze Smlouvy, včetně příslušných všeobecných obchodních podmínek a/nebo omezení odpovědnosti, se tedy vztahují i ​​na smlouvu o zpracování.