Cytundeb Prosesu

Cyflwyniad

Mae Autosoft BV yn prosesu, ymhlith pethau eraill, ddata personol ar gyfer ac ar ran y cwsmer. Felly mae'n ofynnol o dan y Rheoliad Diogelu Data Cyffredinol (GDPR) i Autosoft BV a'r cwsmer ddod i Gytundeb Prosesydd. Yn ôl y GDPR, mae Autosoft BV yn 'brosesydd' ac mae'r cwsmer yn 'rheolwr'. Mae'r Cytundeb Prosesydd hwn hefyd yn disgrifio sut mae Autosoft BV yn trin y rhwymedigaeth hysbysu torri data.

Cytundeb Prosesu

Yn cynnwys:
Rhan 1: Datganiad Pro Data
Rhan 2: Cymalau Prosesu Safonol

Rhan 1: Datganiad Pro Data

Gwybodaeth Gyffredinol

1). Lluniwyd y Datganiad Pro Data hwn gan y prosesydd data (prosesydd) canlynol:

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Am gwestiynau am y Datganiad Pro Data hwn neu ddiogelu data, cysylltwch â:
Arthur van der Lek: arthur@autosoft.eu / +31 (0) 53 - 428 00 98

2). Mae'r Datganiad Pro Data hwn yn berthnasol o 1 Awst, 2021
Rydym yn addasu'r Datganiad Pro Data hwn yn rheolaidd a'r mesurau diogelwch a ddisgrifir ynddo i sicrhau ein bod bob amser yn barod ac yn gyfoes o ran diogelu data. Byddwn yn eich hysbysu am fersiynau newydd trwy ein sianeli arferol.

3). Mae'r Datganiad Pro Data hwn yn berthnasol i'r cynhyrchion a'r gwasanaethau prosesydd data canlynol

• Gwefan Auto
• AutoFasnach

4). Disgrifiad Gwefan car
Mae cwmnïau ceir yn defnyddio Autowebsite. Gyda Autowebsite, gall cwmnïau ceir gyflwyno eu hunain ar y rhyngrwyd.

5). Gwefan Car wedi'i bwriadu
Mae Autowebsite wedi'i ddylunio a'i gyfarparu i brosesu'r mathau canlynol o ddata:
Mae gan ymwelwyr â gwefannau a ddatblygwyd gan Autosoft gydag Autowebsite yr opsiwn i adael eu manylion cyswllt yno fel bod y cwmni ceir yn cael cyfle i fynd at yr ymwelydd am wasanaethau pellach. Nid yw'r manylion cyswllt hyn yn cael eu storio gydag Autosoft, ond fe'u hanfonir yn uniongyrchol trwy e-bost i gyfeiriad e-bost y cwmni ceir.

• Nid yw'r gwasanaeth hwn yn ystyried prosesu data personol arbennig, na data sy'n ymwneud ag euogfarnau troseddol a throseddau neu rifau personol a gyhoeddir gan y llywodraeth.

6). Disgrifiad Autocommerce
Mae cwmnïau ceir yn defnyddio Autocommerce. Gydag Autocommerce, gall cwmnïau ceir reoli a chyflwyno eu cerbydau ar eu gwefan eu hunain a phyrth chwilio rhyngrwyd trydydd partïon.

7). Autocommerce Defnydd Bwriedig
Mae awtocommerce wedi'i ddylunio a'i sefydlu i brosesu'r mathau canlynol o ddata:
Gall cwmnïau ceir roi eu cerbydau cofrestredig trwy Autocommerce ar eu gwefan Car eu hunain. Nid yw'r cerbydau cofrestredig hyn yn cynnwys unrhyw ddata y gellir ei olrhain yn ôl i ddata personol ar unrhyw ffurf. Mae gan ymwelwyr â gwefan Car yr opsiwn i adael eu manylion cyswllt yno fel bod y cwmni ceir yn cael cyfle i fynd at yr ymwelydd am wasanaethau pellach. Mae'r manylion cyswllt a adawyd gan yr ymwelydd ar eu gwefan Auto eu hunain yn cael eu storio mewn Autocommerce.

• Nid yw'r gwasanaeth hwn yn ystyried prosesu data personol arbennig, na data sy'n ymwneud ag euogfarnau troseddol a throseddau neu rifau personol a gyhoeddir gan y llywodraeth.

8). Mae'r prosesydd data yn defnyddio'r Cymalau Safonol ar gyfer prosesu ar gyfer Autowebsite ac Autocommerce, y gellir eu gweld fel atodiad i'r Cytundeb.

9). Prosesydd data sy'n prosesu data personol ei gleientiaid yn yr UE / AEE ar gyfer Autowebsite ac Autocommerce.

10). Mae'r prosesydd data yn defnyddio'r is-broseswyr canlynol ar gyfer Autocommerce:
Mewn rhai achosion mae Autosoft yn anfon ei gerbydau cofrestredig trwy Autocommerce i byrth chwilio rhyngrwyd trydydd partïon neu is-broseswyr ar ran y Cwmni Car. Mae rhestr o is-broseswyr ar gael ar gais yn support@autosoft.eu.

11). Ar ôl terfynu'r Cytundeb gyda chleient, bydd y prosesydd data mewn egwyddor yn dileu'r data personol y mae'n ei brosesu ar gyfer y cleient o fewn 3 mis yn y fath fodd fel na ellir eu defnyddio mwyach ac nad ydynt bellach yn hygyrch (yn anhygyrch).

Polisi diogelwch

Crynhowch y mesurau diogelwch canlynol y mae'r prosesydd Data wedi'u cymryd i amddiffyn ei gynnyrch neu wasanaeth:

Polisi rheoli digwyddiadau ac ymateb
Mae polisïau rheoli digwyddiadau ac ymateb ym maes diogelwch gwybodaeth yn cynnwys monitro a chanfod digwyddiadau diogelwch ar gyfrifiadur neu seilwaith TG, ond hefyd arsylwi gweithgareddau amheus gan y personél, a gweithredu'r ymatebion cywir i'r digwyddiadau hyn.

Prif nod y polisi hwn yw datblygu ymateb rhagweladwy y gellir ei ddeall yn dda i ddigwyddiadau maleisus ac ymyriadau cyfrifiadurol yn ystyr ehangaf y gair.

Polisi rheoli ac ymateb i ddigwyddiadau yw'r broses o reoli ac amddiffyn cyfrifiaduron, rhwydweithiau a systemau gwybodaeth a'r wybodaeth sy'n cael ei storio ynddynt. Mae Autosoft yn ymwybodol o'i gyfrifoldebau o ran diogelu'r wybodaeth hon er budd ei gwsmeriaid a'i bartneriaid yn y gadwyn gyflenwi. Mae'r cyfrifoldeb hwn yn ymestyn i gael gweithdrefn Digwyddiad. Mae rheoli digwyddiadau yn set o weithgareddau sy'n diffinio ac yn gweithredu proses y gall sefydliad ei defnyddio i hyrwyddo ei les ei hun a diogelwch y cyhoedd.

TG a diogelwch
Mae strwythur TGCh Autosoft BV wedi'i ddiogelu'n ddigonol gyda wal dân a chaiff y feddalwedd sganio firws ei diweddaru. Mae gan bob gweithiwr broffil mewngofnodi. Wrth gychwyn cyfrifiadur, rhaid i'r gweithwyr nodi enw mewngofnodi a chyfrinair a lle bo hynny'n bosibl gyda dilysiad 2 gam.

Mae meddalwedd penodol hefyd yn gofyn am enw mewngofnodi a chyfrinair a lle bo hynny'n bosibl gyda dilysiad 2 gam. Mae ymwybyddiaeth ymhlith gweithwyr am weithio'n ddiogel yn cael ei ysgogi, megis tynnu sylw at beidio ag agor e-byst amheus, peidio â chlicio ar ddolenni amheus, allgofnodi wrth adael y gweithle am amser hir, ac ati.

Mae'r ffeiliau wrth gefn yn ystod y dyddiau a phob nos. Am resymau diogelwch, mae'r weithdrefn storio bellach sy'n ymwneud â'r copi wrth gefn yn gyfrinachol. Mae Autosoft BV wedi cwblhau contractau gwasanaeth ar gyfer hyn gyda chyflenwyr cyfrifiaduron a darparwyr cynnal rhyngrwyd.

Polisi diogelu data
Mae Autosoft BV yn cymryd mesurau technegol a sefydliadol priodol i amddiffyn data personol y cwsmer rhag colled neu unrhyw fath o brosesu anghyfreithlon. Mae'r mesurau technegol a sefydliadol hyn yn cael eu hystyried fel lefel ddiogelwch briodol o fewn ystyr Erthygl 1 o'r GDPR ac fe'u storir fel dogfennau yn y Basecamp canolog (Prosiect: Polisi Trefniadaeth / Diogelu Data) Autosoft BV

Technegol a sefydliadol

1. Mesurau i sicrhau mai dim ond personél awdurdodedig sydd â mynediad at y Data Personol a brosesir yng nghyd-destun y Cytundeb Prosesydd;
2. Mesurau i amddiffyn y Data Personol yn benodol rhag dinistrio, colli, newid damweiniol neu ddamweiniol, storio, datgelu neu ddatgelu heb awdurdod neu anghyfreithlon;
3. Mesurau i amddiffyn y Data Personol yn benodol rhag dinistrio, colled, newid damweiniol, damweiniol neu anghyfreithlon, storio neu ddatgelu heb awdurdod neu anghyfreithlon yn ystod cyfnewid / cludo data;
4. Mesurau i sicrhau'r gallu i sicrhau cyfrinachedd, uniondeb, argaeledd a gwytnwch y systemau a'r gwasanaethau golygu yn barhaus;
5. Mesurau i adfer argaeledd a mynediad at y Data Personol mewn modd amserol os bydd digwyddiad corfforol neu dechnegol;
6. Mesurau i nodi gwendidau o ran prosesu Data Personol yn y systemau a ddefnyddir i ddarparu'r gwasanaethau o dan y contract;

Sefydliadol fel:

• Cyfyngu'r cylch o swyddogion sydd â mynediad at ddata personol penodol i'r unigolion hynny sydd angen y data i gyflawni eu dyletswyddau;
• rhoi mynediad i'r unigolion hynny i ddim ond data personol sydd ei angen arnynt i gyflawni eu dyletswyddau;
• cytuno ar gymal cyfrinachedd gyda chymal cosb gyda'r holl bobl y rhoddir mynediad iddynt i ddata personol;
• storio data personol ar weinyddion mewn man caeedig;
• cadw ffeiliau papur mewn cypyrddau y gellir eu cloi;
• creu ymwybyddiaeth o ddiogelwch gwybodaeth ymhlith gweithwyr;
• sefydlu protocolau a gweithdrefnau clir ar gyfer trin digwyddiadau diogelwch gwybodaeth yn amserol ac yn effeithiol a gwendidau diogelwch;

Mae'r prosesydd data yn defnyddio ei fethodolegau a'i weithdrefnau rheoli ei hun sy'n cyd-fynd â dull gweithio'r sefydliad:

• Mae dogfennau perthnasol yn cael eu rheoli a'u gwerthuso o bryd i'w gilydd yn Basecamp.

Protocol torri data

Os bydd rhywbeth yn mynd o'i le, mae'r prosesydd data yn defnyddio'r protocol gollwng data canlynol i sicrhau bod y cleient yn ymwybodol o ddigwyddiadau:

Autosoft BV - Trefn torri data

Beth yw torri data a phryd y mae'n rhaid i mi ei riportio i'r AP?
Mae torri data yn ddigwyddiad diogelwch gwybodaeth sy'n cynnwys torri diogelwch data personol trwy ddod i gysylltiad â cholled neu brosesu anghyfreithlon fel (ond nid yn gynhwysfawr):

• Addasu a / neu newid data personol a mynediad heb awdurdod i'r data personol hwn;
• Os bydd haciwr yn torri i mewn;
• Colli ffon USB, dwyn gliniadur;
• Anfon data sensitif i gyfeiriad e-bost anghywir;

Yn ôl y gyfraith, rhaid rhoi gwybod i Awdurdod Diogelu Data'r Iseldiroedd am doriad data 'difrifol' heb oedi gormodol, ac os yn bosibl heb fod yn hwyrach na 72 awr ar ôl y darganfyddiad.

Nid oes rhaid i Autosoft BV adrodd i Awdurdod Diogelu Data'r Iseldiroedd os yw adnabod pobl naturiol unigol wedi'i eithrio yn rhesymol.
Bydd pob amheuaeth o ddigwyddiad diogelwch gwybodaeth yn cael sylw yn y lle cyntaf cefnogaeth@autosoft.eu adrodd a chofrestru. Mae cefnogaeth yn riportio'r digwyddiad i'r Tîm Rheoli ac yn penderfynu pa gamau dilynol y dylid eu cymryd.

Trefn ddilynol

Pryd mae'n rhaid i mi hysbysu'r gwrthrych data?
Rhaid rhoi gwybod i'r gwrthrych data am doriad data os oes risg uchel, os bydd toriad, y bydd y toriad yn arwain at ganlyniadau niweidiol i'w fywyd preifat. Canlyniadau anffafriol i'r gwrthrych data yw: niwed i'w enw da a'i enw da, twyll hunaniaeth neu wahaniaethu. Os yw Autosoft BV wedi cymryd mesurau amddiffyn technegol priodol, gan wneud y data personol dan sylw yn annealladwy neu'n anhygyrch, nid oes angen hysbysu'r gwrthrych data. Rhaid i'r hysbysiad i wrthrych y data gynnwys disgrifiad, mewn iaith glir a blaen, o natur y toriad data personol ac o leiaf:

• enw a manylion cyswllt y swyddog diogelu data neu bwynt cyswllt arall lle gellir cael mwy o wybodaeth;
• canlyniadau tebygol y toriad data personol;
• y mesurau a gynigiwyd neu a gymerwyd gan y rheolwr i fynd i'r afael â'r toriad data personol, gan gynnwys, lle bo hynny'n briodol, fesurau i liniaru unrhyw effeithiau niweidiol. Mae Autosoft BV bob amser yn asesu a oes rhaid rhoi gwybod i Awdurdod Diogelu Data yr Iseldiroedd a / neu'r bobl yr effeithir arnynt. Er mwyn penderfynu a oes rhaid rhoi gwybod am ddigwyddiad, mae Awdurdod Diogelu Data'r Iseldiroedd wedi llunio rheolau polisi (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) a'r gweithgor 29 o ganllawiau goruchwylwyr Ewropeaidd a gyhoeddwyd ar y rhwymedigaeth adrodd yn y GDPR. Os nad yw Autosoft BV wedi riportio’r toriad data, efallai y bydd Awdurdod Diogelu Data’r Iseldiroedd yn mynnu bod Autosoft BV yn dal i lunio adroddiad. Gellir cosbi methu ag adrodd gyda dirwy weinyddol.

Sut mae rhoi gwybod am dorri data?
Mae Awdurdod Diogelu Data yr Iseldiroedd yn sicrhau bod ffurflen we ar gael y mae'n rhaid ei defnyddio i riportio toriadau data (https://dataleks.autoriteitpersoonsgegevens.nl/). Mae Awdurdod Diogelu Data'r Iseldiroedd yn cadw cofrestr o'r hysbysiadau torri data a dderbynnir. Nid yw'r gofrestr hon yn gyhoeddus. Os bydd dirwy yn cael ei gosod gan Awdurdod Diogelu Data yr Iseldiroedd o ganlyniad i'r toriad data, bydd y penderfyniad hwn yn cael ei gyhoeddi. Cyhoeddir toriad data hefyd pan fydd angen hysbysu gwrthrych data am y toriad data. Rhaid i'r hysbysiad i wrthrych y data nodi beth bynnag yw natur y tramgwydd a'r awdurdodau lle gall gwrthrych y data gael mwy o wybodaeth am y tramgwydd. Rhaid nodi hefyd yr hyn y gall gwrthrych y data ei wneud ei hun i gyfyngu ar ganlyniadau negyddol y toriad data. Er enghraifft, newid enwau defnyddwyr a chyfrineiriau pan allent fod wedi eu peryglu gan y toriad.

Beth ddylwn i ei adrodd?
Mae hysbysiad i Awdurdod Diogelu Data yr Iseldiroedd yn cynnwys:

• Gohebydd y toriad data.
• Yr unigolyn y gall Awdurdod Diogelu Data'r Iseldiroedd gysylltu ag ef i gael mwy o wybodaeth am yr adroddiad.
• Crynodeb o'r digwyddiad lle digwyddodd y toriad diogelwch data personol.
• Amser y tramgwydd.
• Natur y tramgwydd.
• Y math o ddata personol dan sylw.
• Y canlyniadau y gallai'r tramgwydd eu cael i breifatrwydd y rhai sy'n cymryd rhan.
• Y mesurau technegol a sefydliadol y mae Autosoft BV wedi'u cymryd i fynd i'r afael â'r tramgwydd ac i atal tramgwyddau pellach.
• P'un a yw Autosoft BV wedi riportio'r toriad data i'r gwrthrych data ac os na, a yw Autosoft BV yn bwriadu gwneud hynny:
• Os felly, cynnwys yr hysbysiad i'r gwrthrych data.
• Os na, y rheswm pam mae Autosoft BV yn ymatal rhag riportio'r toriad data i'r gwrthrych data.
• A yw'r data personol wedi'i amgryptio, ei frysio neu ei wneud fel arall yn annealladwy neu'n anhygyrch i bobl anawdurdodedig?

Rhan 2: Cymalau Prosesu Safonol

Fersiwn: Medi 2019
Ynghyd â'r Datganiad Pro Data, mae'n ffurfio'r cytundeb prosesu ac mae'n atodiad i'r Cytundeb a'r atodiadau sy'n cyd-fynd ag ef fel telerau ac amodau cyffredinol cymwys.

Erthygl 1. Diffiniadau

Mae i'r termau isod yr ystyron canlynol yn y Cymalau Safonol hyn ar gyfer prosesu, yn y Datganiad Pro Data ac yn y cytundeb:

• 1.1 Awdurdod Diogelu Data yr Iseldiroedd (AP): awdurdod goruchwylio, fel y disgrifir yn Erthygl 4, is-adran 21 o'r Avg.
• 1.2 AVG: y Rheoliad Diogelu Data Cyffredinol.
• 1.3 Prosesydd Data: parti sydd, fel cyflenwr TGCh, yn prosesu Data Personol er budd ei Gleient yng nghyd-destun gweithredu'r Cytundeb.
• 1.4 Datganiad Pro Data: datganiad y Prosesydd Data lle mae'n darparu gwybodaeth mewn perthynas â'r defnydd arfaethedig o'i gynnyrch neu wasanaeth, mesurau diogelwch a gymerwyd, is-broseswyr, gollyngiadau data, ardystiadau a thrin hawliau Pynciau Data.
• 1.5 Pwnc data (gwrthrych y data): person naturiol dynodedig neu adnabyddadwy.
• 1.6 Cleient: parti y mae Prosesydd Data yn prosesu data personol ar ei ran. Gall y Cleient fod naill ai'n rheolwr (“rheolydd”) neu'n brosesydd arall.
• 1.7 Cytundeb: y cytundeb rhwng y Cleient a'r Prosesydd Data, y mae'r cyflenwr TGCh yn cyflenwi gwasanaethau a / neu gynhyrchion i'r Cleient, y mae'r cytundeb prosesydd yn rhan ohono.
• 1.8 Data personol: yr holl wybodaeth am berson naturiol dynodedig neu adnabyddadwy, fel y disgrifir yn Erthygl 4, is 1 AVG, y mae'r Prosesydd Data yn ei brosesu yng nghyd-destun cyflawni ei rwymedigaethau sy'n deillio o'r Cytundeb.
• 1.9 Cytundeb prosesu: mae'r Cymalau Safonol hyn ar gyfer prosesu, sydd, ynghyd â'r Datganiad Pro Data (neu wybodaeth gymharol) gan y Prosesydd Data yn ffurfio'r cytundeb prosesu fel y cyfeirir ato yn Erthygl 28, paragraff 3 o'r GDPR.

Erthygl 2. Cyffredinol

• 2.1 Mae'r Cymalau Prosesu Safonol hyn yn berthnasol i bob prosesu Data Personol y mae'r Prosesydd Data yn ei wneud yng nghyd-destun cyflwyno ei gynhyrchion a'i wasanaethau ac i bob Cytundeb a chynnig. Gwrthodir cymhwysedd cytundebau prosesu'r Cleient yn benodol.
• 2.2 Gall y Prosesydd Data ddiwygio'r Datganiad Pro Data, ac yn benodol y mesurau diogelwch a gynhwysir ynddo, o bryd i'w gilydd i adlewyrchu amgylchiadau sy'n newid. Bydd y Prosesydd Data yn hysbysu'r Cleient o newidiadau sylweddol. Os na all y Cleient gytuno'n rhesymol i'r addasiadau, mae gan y Cleient hawl i derfynu'r cytundeb prosesu yn ysgrifenedig cyn pen 30 diwrnod ar ôl cael gwybod am yr addasiadau.
• 2.3 Mae'r Prosesydd Data yn prosesu'r Data Personol ar ran ac ar ran y Cleient yn unol â chyfarwyddiadau ysgrifenedig y Cleient y cytunwyd arno gyda'r Prosesydd Data.
• 2.4 Y Cleient, neu ei gwsmer, yw'r rheolwr o fewn ystyr y GDPR, mae ganddo reolaeth dros brosesu'r Data Personol ac mae wedi pennu pwrpas a dull prosesu'r Data Personol.
• 2.5 Prosesydd Data yw Prosesydd o fewn ystyr y GDPR ac felly nid oes ganddo reolaeth dros bwrpas a modd prosesu'r Data Personol ac felly nid yw'n gwneud unrhyw benderfyniadau ynghylch, ymhlith pethau eraill, defnyddio'r Data Personol.
• 2.6 Mae'r Prosesydd Data yn gweithredu'r GDPR fel y'i nodir yn y Cymalau Safonol hyn ar gyfer Prosesu, y Datganiad Pro Data a'r Cytundeb. Mater i'r Cleient yw asesu ar sail y wybodaeth hon a yw'r Prosesydd Data yn cynnig gwarantau digonol o ran cymhwyso mesurau technegol a sefydliadol priodol fel bod y prosesu yn cwrdd â gofynion y GDPR a diogelu hawliau pynciau Data yn ddigonol. wedi'i warantu.
• 2.7 Mae'r Cleient yn gwarantu i'r Prosesydd Data ei fod yn gweithredu yn unol â'r GDPR, ei fod yn amddiffyn ei systemau a'i seilwaith yn ddigonol bob amser ac nad yw cynnwys, defnydd a / neu brosesu'r Data Personol yn anghyfreithlon ac nad ydynt yn torri unrhyw hawl o drydydd parti.
• 2.8 Ni ellir adennill dirwy weinyddol a osodwyd ar y Cleient gan yr AP gan y Prosesydd Data.

Erthygl 3. Diogelwch

• 3.1 Mae'r Prosesydd Data yn cymryd y mesurau diogelwch technegol a sefydliadol, fel y disgrifir yn ei Ddatganiad Pro Data. Wrth gymryd y mesurau diogelwch technegol a sefydliadol, mae'r Prosesydd Data wedi ystyried y radd flaenaf, costau gweithredu'r mesurau diogelwch, natur, cwmpas a chyd-destun y prosesu, y dibenion a'r defnydd arfaethedig o'i gynhyrchion a'i wasanaethau , y risgiau prosesu a'r risgiau sy'n wahanol o ran tebygolrwydd a difrifoldeb ar gyfer hawliau a rhyddid Pynciau Data y gallai eu disgwyl o ystyried y defnydd a fwriadwyd o'i gynhyrchion a'i wasanaethau.
• 3.2 Oni nodir yn benodol fel arall yn y Datganiad Pro Data, nid yw cynnyrch neu wasanaeth y Prosesydd Data wedi'i gynllunio i brosesu categorïau arbennig o Ddata Personol neu ddata ynghylch euogfarnau neu droseddau troseddol neu rifau personol a gyhoeddir gan y llywodraeth.
• 3.3 Mae'r Prosesydd Data yn ymdrechu i sicrhau bod y mesurau diogelwch i'w cymryd ganddo yn briodol ar gyfer defnydd arfaethedig y cynnyrch neu'r gwasanaeth gan y Prosesydd Data.
• 3.4 Ym marn y Cleient, mae'r mesurau diogelwch a ddisgrifir yn cynnig, gan ystyried y ffactorau y cyfeirir atynt yn Erthygl 3.1, lefel ddiogelwch wedi'i theilwra i'r risg o brosesu'r Data Personol a ddefnyddir neu a ddarperir ganddo.
• 3.5 Gall y Prosesydd Data wneud newidiadau i'r mesurau diogelwch a gymerir os yw hyn yn angenrheidiol yn ei farn ef i barhau i ddarparu lefel briodol o ddiogelwch. Bydd y Prosesydd Data yn cofnodi newidiadau pwysig, er enghraifft mewn Datganiad Pro Data diwygiedig, a bydd yn hysbysu'r Cleient o'r newidiadau hynny lle bo hynny'n berthnasol.
• 3.6 Gall cleient ofyn i'r Prosesydd Data gymryd mesurau diogelwch pellach. Nid oes unrhyw rwymedigaeth ar Brosesydd Data i wneud newidiadau i'w fesurau diogelwch ar gais o'r fath. Gall y Prosesydd Data godi'r costau sy'n gysylltiedig â'r newidiadau a wneir ar gais y Cleient i'r Cleient. Dim ond ar ôl i'r Partïon gytuno'n ysgrifenedig ar y mesurau diogelwch diwygiedig a ddymunir gan y Cleient, y mae'n ofynnol i'r Prosesydd Data weithredu'r mesurau diogelwch hyn mewn gwirionedd.

Erthygl 4. Torri Data Personol

• 4.1 Nid yw'r Prosesydd Data yn gwarantu bod y mesurau diogelwch yn effeithiol ym mhob amgylchiad. Os bydd y Prosesydd Data yn darganfod toriad mewn cysylltiad â Data Personol (fel y cyfeirir ato yn Erthygl 4 is 12 Avg), bydd yn hysbysu'r Cleient heb oedi gormodol. Mae'r Datganiad Pro Data (o dan brotocol gollwng data) yn nodi sut mae'r Prosesydd Data yn hysbysu'r Cleient am doriadau mewn cysylltiad â Data Personol.
• 4.2 Y rheolwr (Cleient, neu ei gwsmer) sydd i asesu a oes rhaid rhoi gwybod i'r AP neu'r gwrthrych Data am y toriad Data Personol y mae'r Prosesydd Data wedi hysbysu amdano. Mae'r rheolwr (Cleient neu ei gwsmer) yn parhau i fod yn gyfrifol am riportio toriadau mewn cysylltiad â Data Personol, y mae'n rhaid eu hadrodd i'r AP a / neu'r Pynciau Data yn unol ag Erthyglau 33 a 34 GDPR. Nid oes rheidrwydd ar y Prosesydd Data i riportio toriadau data personol i'r AP a / neu'r Pwnc Data.
• 4.3 Bydd y Prosesydd Data, os oes angen, yn darparu gwybodaeth bellach am y toriad mewn cysylltiad â Data Personol a bydd yn cydweithredu â'r ddarpariaeth wybodaeth angenrheidiol i'r Cleient at ddibenion hysbysiad fel y cyfeirir ato yn Erthyglau 33 a 34 Avg.
• 4.4 Gall y Prosesydd Data godi'r costau rhesymol y mae'n eu hysgwyddo yn y cyd-destun hwn ar y Cleient ar ei gyfraddau cymwys ar y pryd.

Erthygl 5. Cyfrinachedd

• 5.1 Mae'r Prosesydd Data yn gwarantu bod dyletswydd cyfrinachedd ar y personau sy'n prosesu Data Personol o dan ei gyfrifoldeb.
• 5.2 Mae gan Brosesydd Data hawl i ddarparu'r Data Personol i drydydd partïon, os a lle bo angen darpariaeth yn unol â phenderfyniad llys, rheoliad cyfreithiol neu ar sail gorchymyn awdurdodedig gan awdurdod llywodraeth.
• 5.3 Mae'r holl godau mynediad a / neu adnabod, tystysgrifau, gwybodaeth ynghylch mynediad a / neu bolisi cyfrinair a ddarperir gan Brosesydd Data i'r Cleient a'r holl wybodaeth a ddarperir gan y Prosesydd Data i'r Cleient sy'n gweithredu'r mesurau diogelwch technegol a sefydliadol a gynhwysir yn y Datganiad Data Pro yn gyfrinachol. a bydd yn cael ei drin felly gan y Cleient a'i wneud yn hysbys i weithwyr awdurdodedig y Cleient yn unig. Mae'r Cleient yn sicrhau bod ei weithwyr yn cydymffurfio â'r rhwymedigaethau o dan yr erthygl hon.

Erthygl 6. Tymor a therfynu

• 6.1 Mae'r cytundeb prosesydd hwn yn rhan o'r Cytundeb ac mae unrhyw gytundeb newydd neu bellach sy'n codi ohono, yn dod i rym ar ddiwedd y Cytundeb ac yn cael ei gwblhau am gyfnod amhenodol o amser.
• 6.2 Daw'r cytundeb prosesydd hwn i ben trwy weithrediad y gyfraith ar derfynu'r Cytundeb neu unrhyw gytundeb newydd neu bellach rhwng y partïon.
• 6.3 Os daw'r cytundeb prosesu i ben, bydd y Prosesydd Data yn dileu'r holl Ddata Personol yn ei feddiant ac a dderbynnir gan y Cleient o fewn y tymor a gynhwysir yn y Datganiad Pro Data yn y fath fodd fel na ellir ei ddefnyddio mwyach ac nad yw bellach yn yn hygyrch (yn anhygyrch), neu, os cytunir arno, ei ddychwelyd i'r Cleient mewn fformat peiriant-ddarllenadwy.
• 6.4 Gall y Prosesydd Data godi unrhyw gostau y mae'n eu hysgwyddo yng nghyd-destun darpariaethau Erthygl 6.3 ar y Cleient. Gellir nodi cytundebau pellach ynglŷn â hyn yn y Datganiad Pro Data.
• 6.5 Nid yw darpariaethau Erthygl 6.3 yn berthnasol os yw rheoliad statudol yn atal y Prosesydd Data rhag tynnu neu ddychwelyd y Data Personol yn llwyr neu'n rhannol. Mewn achos o'r fath, dim ond i'r graddau sy'n angenrheidiol o dan ei rwymedigaethau cyfreithiol y bydd y Prosesydd Data yn parhau i brosesu'r Data Personol. Nid yw darpariaethau Erthygl 6.3 hefyd yn berthnasol os mai'r Prosesydd Data yw'r rheolydd o fewn ystyr y GDPR mewn perthynas â'r Data Personol.

Erthygl 7. Pynciau Data Hawliau, Asesiad Effaith Diogelu Data (DPIA) a Hawliau Archwilio

• 7.1 Bydd y Prosesydd Data, lle bo hynny'n bosibl, yn cydweithredu â cheisiadau rhesymol gan Gleient sy'n ymwneud â hawliau Pynciau Data a ddeisyfir gan Gleient gan Bynciau Data. Os bydd gwrthrych Data yn cysylltu â Phrosesydd Data yn uniongyrchol, bydd yn cyfeirio'r person hwn at y Cleient lle bo hynny'n bosibl.
• 7.2 Os oes rheidrwydd ar y Cleient i wneud hynny, bydd y Prosesydd Data yn cydweithredu ag asesiad effaith diogelu data (DPIA) neu ymgynghoriad blaenorol wedi hynny fel y cyfeirir ato yn Erthyglau 35 a 36 Avg.
• 7.3 Bydd y Prosesydd Data yn cydweithredu â cheisiadau gan Gleient i gael gwared ar ddata personol i'r graddau na all y Cleient gyflawni hyn ei hun.
• 7.4 Ar gais y Cleient, bydd y Prosesydd Data hefyd yn sicrhau bod yr holl wybodaeth bellach ar gael sy'n rhesymol angenrheidiol i ddangos ei fod yn cydymffurfio â'r cytundebau a wnaed yn y cytundeb prosesu hwn. Serch hynny, os oes gan y Cleient reswm i gredu nad yw Data Data Personol yn cael ei brosesu yn unol â'r cytundeb prosesu, gellir ymgynghori ag ef ar unwaith unwaith y flwyddyn gan arbenigwr annibynnol, ardystiedig, allanol sydd â phrofiad amlwg gyda'r math o prosesu sy'n cael ei gynnal ar sail y Cytundeb., cynnal archwiliad ar draul y Cleient. Bydd yr archwiliad yn gyfyngedig i wirio cydymffurfiad â'r cytundebau ynghylch prosesu Data Personol fel y nodir yn y Cytundeb Prosesydd hwn. Bydd gan yr arbenigwr ddyletswydd cyfrinachedd o ran yr hyn y mae'n ei ddarganfod a bydd ond yn adrodd i'r Cleient yr hyn sy'n arwain at ddiffyg wrth gyflawni'r rhwymedigaethau sydd gan y Prosesydd Data o dan y cytundeb prosesydd hwn. Bydd yr arbenigwr yn darparu copi o'i adroddiad i'r Prosesydd Data. Gall y Prosesydd Data wrthod archwiliad neu gyfarwyddyd gan yr arbenigwr os yw hyn, yn ei farn ef, yn torri'r GDPR neu ddeddfwriaeth arall neu'n gyfystyr â thorri na chaniateir y mesurau diogelwch y mae wedi'u cymryd.
• 7.5 Bydd y partïon yn ymgynghori cyn gynted â phosibl ynghylch canlyniadau'r adroddiad. Bydd y partïon yn dilyn y mesurau gwella arfaethedig a nodir yn yr adroddiad i'r graddau y gellir yn rhesymol ddisgwyl hyn ganddynt. Bydd y Prosesydd Data yn gweithredu'r mesurau gwella arfaethedig i'r graddau eu bod yn briodol yn ei farn ef, gan ystyried y risgiau prosesu sy'n gysylltiedig â'i gynnyrch neu wasanaeth, y radd flaenaf, y costau gweithredu, y farchnad y mae'n gweithredu ynddi, a y defnydd a fwriadwyd o'r cynnyrch neu'r gwasanaeth.
• 7.6 Mae gan y Prosesydd Data yr hawl i godi'r costau y mae'n eu hysgwyddo yng nghyd-destun darpariaethau'r erthygl hon ar y Cleient.

Erthygl 8. Is-broseswyr

• 8.1 Mae'r Prosesydd Data wedi nodi yn y Datganiad Pro Data a yw, ac os felly, pa Brosesydd Data trydydd partïon (is-broseswyr neu is-broseswyr) sy'n ymwneud â phrosesu'r Data Personol.
• 8.2 Mae'r cleient yn rhoi caniatâd i'r Prosesydd Data gyflogi is-broseswyr eraill i gyflawni ei rwymedigaethau sy'n deillio o'r Cytundeb.
• 8.3 Bydd y Prosesydd Data yn hysbysu'r Cleient am newid yn y trydydd partïon a gyflogir gan y Prosesydd Data, er enghraifft trwy Ddatganiad Pro Data diwygiedig. Mae gan y Cleient yr hawl i wrthwynebu'r newid uchod gan y Prosesydd Data. Mae'r Prosesydd Data yn sicrhau bod y trydydd partïon y mae'n ymgysylltu â nhw yn ymrwymo i'r un lefel ddiogelwch o ran amddiffyn Data Personol â'r lefel ddiogelwch y mae'r Prosesydd Data yn rhwym tuag at y Cleient ar sail y Datganiad Pro Data.

Erthygl 9. Arall

Mae'r Cymalau Prosesu Safonol hyn, ynghyd â'r Datganiad Pro Data, yn rhan annatod o'r Cytundeb. Felly mae'r holl hawliau a rhwymedigaethau o dan y Cytundeb, gan gynnwys y telerau ac amodau cyffredinol cymwys a / neu gyfyngiadau atebolrwydd, hefyd yn berthnasol i'r cytundeb prosesu.