Processoraftale

introduktion

Autosoft BV behandler blandt andet personoplysninger for og på vegne af kunden. Autosoft BV og kunden er derfor i henhold til den generelle databeskyttelsesforordning (GDPR) forpligtet til at indgå en processoraftale. Ifølge GDPR er Autosoft BV en 'behandler', og kunden er en 'controller'. Denne processoraftale beskriver også, hvordan Autosoft BV håndterer forpligtelsen til at underrette om databrud.

Processoraftale

Bestående af:
Del 1: Data Pro-erklæring
Del 2: Standardbehandlingsklausuler

Del 1: Data Pro-erklæring

Generel information

1). Denne Data Pro-erklæring er udarbejdet af følgende databehandler (behandler):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

For spørgsmål om denne Data Pro-erklæring eller databeskyttelse, kontakt venligst:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Denne Data Pro-erklæring gælder fra den 1. august 2021
Vi justerer løbende denne Data Pro Statement og de sikkerhedsforanstaltninger, der er beskrevet deri, for at sikre, at vi altid er forberedte og opdaterede med hensyn til databeskyttelse. Vi vil holde dig orienteret om nye versioner gennem vores normale kanaler.

3). Denne Data Pro-erklæring gælder for følgende databehandlerprodukter og -tjenester

• AutoWebsite
• Autohandel

4). Beskrivelse Bil hjemmeside
Bilfirmaer bruger Autowebsite. Med Autowebsite kan bilselskaber præsentere sig selv på internettet.

5). Tiltænkt brug Bil hjemmeside
Autowebsite er designet og udstyret til at behandle følgende typer data:
Besøgende på hjemmesider udviklet af Autosoft med Autowebsite har mulighed for at efterlade deres kontaktoplysninger der, så bilfirmaet har mulighed for at henvende sig til den besøgende for yderligere tjenester. Disse kontaktoplysninger gemmes ikke hos Autosoft, men videresendes direkte via e-mail til bilfirmaets e-mailadresse.

• Denne service tager ikke hensyn til behandling af særlige personoplysninger eller data vedrørende straffedomme og lovovertrædelser eller personnumre udstedt af regeringen.

6). Beskrivelse Autohandel
Bilfirmaer bruger Autocommerce. Med Autocommerce kan bilvirksomheder administrere og præsentere deres køretøjer på deres egen hjemmeside og internetsøgeportaler fra tredjeparter.

7). Tiltænkt brug Autohandel
Autocommerce er designet og udstyret til at behandle følgende typer data:
Bilfirmaer kan placere deres registrerede køretøjer via Autocommerce på deres egen Bil-hjemmeside. Disse registrerede køretøjer indeholder ingen data, der kan spores tilbage til personoplysninger i nogen form. Besøgende på Bilens hjemmeside har mulighed for at efterlade deres kontaktoplysninger der, så bilfirmaet har mulighed for at henvende sig til den besøgende for yderligere tjenester. De kontaktoplysninger, som den besøgende har efterladt på deres eget Auto-websted, gemmes i Autocommerce.

• Denne service tager ikke hensyn til behandling af særlige personoplysninger eller data vedrørende straffedomme og lovovertrædelser eller personnumre udstedt af regeringen.

8). Databehandler anvender Standardklausulerne til behandling for Autowebsite og Autocommerce, som findes som bilag til Aftalen.

9). Databehandler behandler sine kunders personlige data inden for EU/EØS for Autowebsite og Autocommerce.

10). Databehandler bruger følgende underbehandlere til autohandel:
I nogle tilfælde sender Autosoft sine registrerede køretøjer via Autocommerce til tredjemands eller underforhandleres internetsøgningsportaler på vegne af bilfirmaet. En liste over underbehandlere er tilgængelig på anmodning på support@autosoft.eu.

11). Efter opsigelse af Aftalen med en klient fjerner databehandleren som udgangspunkt de personoplysninger, som denne behandler for klienten inden for 3 måneder på en sådan måde, at de ikke længere kan bruges og ikke længere er tilgængelige (gøre utilgængelige).

Sikkerhedspolitik

Opsummering af følgende sikkerhedsforanstaltninger, som databehandler har truffet for at beskytte sit produkt eller sin tjeneste:

Hændelsesstyring og responspolitik
Hændelsesstyring og reaktionspolitikker inden for informationssikkerhed omfatter overvågning og detektering af sikkerhedshændelser på en computer eller it-infrastruktur, men også observation af mistænkelige aktiviteter af personalet og implementering af de korrekte reaktioner på disse hændelser.

Det primære mål med denne politik er at udvikle en velforstået og forudsigelig reaktion på ondsindede hændelser og computerindtrængen i ordets bredeste forstand.

Hændelsesstyring og -responspolitik er processen med at styre og beskytte computere, netværk og informationssystemer og de oplysninger, der er lagret deri. Autosoft er bevidst om sit ansvar, når det kommer til at beskytte disse oplysninger til gavn for sine kunder og forsyningskædepartnere. Dette ansvar strækker sig til at have en hændelsesprocedure. Incident management er et sæt aktiviteter, der definerer og implementerer en proces, som en organisation kan bruge til at fremme sin egen trivsel og offentlighedens sikkerhed.

IT og sikkerhed
Autosoft BV's IKT-struktur er tilstrækkeligt sikret med en firewall, og virusscanningssoftwaren holdes opdateret. Hver medarbejder har en login-profil. Ved opstart af computer skal medarbejderne indtaste loginnavn og adgangskode og hvor det er muligt med 2-trins autentificering.

Visse software beder også om et login navn og adgangskode og hvor det er muligt med 2-trins autentificering. Bevidstheden blandt medarbejderne om at arbejde sikkert stimuleres, såsom at gøre opmærksom på ikke at åbne mistænkelige e-mails, ikke klikke på mistænkelige links, logge ud, når man forlader arbejdspladsen i længere tid, og så videre.

Filerne sikkerhedskopieres i løbet af dagene og hver nat. Af sikkerhedsmæssige årsager er den videre opbevaringsprocedure omkring sikkerhedskopien fortrolig. Autosoft BV har indgået servicekontrakter herom med computerleverandører og internethostingudbydere.

Databeskyttelsespolitik
Autosoft BV træffer passende tekniske og organisatoriske foranstaltninger for at beskytte kundens personoplysninger mod tab eller enhver form for ulovlig behandling. Disse tekniske og organisatoriske foranstaltninger betragtes som et passende sikkerhedsniveau i henhold til artikel 1 i GDPR og opbevares som dokumenter i den centrale Basecamp (Projekt: Organisation / Databeskyttelsespolitik) hos Autosoft BV

Teknisk og organisatorisk

1. Foranstaltninger til at sikre, at kun autoriseret personale har adgang til de Personoplysninger, der behandles i forbindelse med Databehandleraftalen;
2. Foranstaltninger til at beskytte personoplysningerne, især mod utilsigtet eller ulovlig ødelæggelse, tab, utilsigtet ændring, uautoriseret eller ulovlig opbevaring, adgang eller videregivelse;
3. Foranstaltninger til at beskytte personoplysningerne især mod utilsigtet eller ulovlig ødelæggelse, tab, utilsigtet ændring, uautoriseret eller ulovlig opbevaring, adgang eller videregivelse under dataudveksling/transport;
4. Foranstaltninger til at sikre muligheden for løbende at sikre fortroligheden, integriteten, tilgængeligheden og modstandsdygtigheden af ​​redigeringssystemerne og -tjenesterne;
5. Foranstaltninger til rettidigt at genoprette tilgængeligheden og adgangen til personoplysningerne i tilfælde af en fysisk eller teknisk hændelse;
6. Foranstaltninger til at identificere sårbarheder med hensyn til behandling af personoplysninger i de systemer, der bruges til at levere tjenesterne i henhold til kontrakten;

Organisatorisk som:

• Begrænsning af kredsen af ​​embedsmænd, der har adgang til visse personoplysninger, til de personer, der har brug for oplysningerne til udførelsen af ​​deres opgaver;
• kun at give disse personer adgang til personoplysninger, som de har brug for til udførelsen af ​​deres opgaver;
• aftale en fortrolighedsklausul med en sanktionsklausul med alle personer, som vil blive givet adgang til personlige data;
• lagring af personlige data på servere i et lukket rum;
• opbevaring af papirfiler i aflåselige skabe;
• skabe bevidsthed om informationssikkerhed blandt medarbejdere;
• etablering af klare protokoller og procedurer til håndtering af informationssikkerhedshændelser og sikkerhedssårbarheder på en rettidig og effektiv måde;

Databehandler anvender sine egne metoder og procedurer til ledelse, der passer ind i organisationens arbejdsmetode:

• Relevante dokumenter administreres og evalueres med jævne mellemrum i Basecamp.

Databrudsprotokol

I tilfælde af at noget går galt, bruger databehandleren følgende datalæk-protokol for at sikre, at klienten er opmærksom på hændelser:

Autosoft BV – Databrudsprocedure

Hvad er et databrud, og hvornår skal jeg rapportere det til AP?
Et databrud er en informationssikkerhedshændelse, der involverer et brud på sikkerheden af ​​personlige data gennem udsættelse for tab eller ulovlig behandling såsom (men ikke udtømmende):

• Justering og/eller ændring af personlige data og uautoriseret adgang til disse personlige data;
• I tilfælde af et indbrud af en hacker;
• At miste en USB-stick, tyveri af en bærbar computer;
• Afsendelse af følsomme data til en forkert e-mailadresse;

Ifølge loven skal et 'alvorligt' databrud anmeldes til den hollandske datatilsyn uden unødig forsinkelse og om muligt senest 72 timer efter opdagelsen.

Autosoft BV behøver ikke at rapportere til den hollandske databeskyttelsesmyndighed, hvis faktisk identifikation af individuelle fysiske personer med rimelighed er udelukket.
Alle mistanker om en informationssikkerhedshændelse vil blive behandlet i første omgang support@autosoft.eu indberettet og registreret. Support rapporterer hændelsen til ledelsesteamet og bestemmer, hvilke opfølgende handlinger der skal tages.

Opfølgningsprocedure

Hvornår skal jeg underrette de registrerede?
Et databrud skal anmeldes til den registrerede, hvis der i tilfælde af et brud er stor risiko for, at bruddet får uheldige konsekvenser for dennes privatliv. Ugunstige konsekvenser for den registrerede er: skade på hans omdømme og omdømme, identitetssvig eller diskrimination. Hvis Autosoft BV har truffet passende tekniske beskyttelsesforanstaltninger, som medfører, at de pågældende personoplysninger gøres uforståelige eller utilgængelige, er underretningen til den registrerede ikke nødvendig. Meddelelsen til den registrerede skal indeholde en beskrivelse i et klart og klart sprog af karakteren af ​​bruddet på persondatasikkerheden og mindst:

• navn og kontaktoplysninger på den databeskyttelsesansvarlige eller et andet kontaktpunkt, hvor flere oplysninger kan fås;
• de sandsynlige konsekvenser af bruddet på persondatasikkerheden;
• de foranstaltninger, der foreslås eller træffes af den registeransvarlige for at imødegå bruddet på persondatasikkerheden, herunder, hvor det er relevant, foranstaltninger til at afbøde eventuelle negative virkninger heraf. Vurderingen af, om et databrud skal rapporteres til den hollandske databeskyttelsesmyndighed og/eller de berørte personer, er altid op til Autosoft BV. For at afgøre, om en hændelse skal rapporteres, har den hollandske databeskyttelsesmyndighed udarbejdet politiske regler (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) og arbejdsgruppe 29 i de europæiske tilsynsvejledninger offentliggjort om rapporteringspligten i GDPR. Hvis Autosoft BV ikke har rapporteret databruddet, kan den hollandske databeskyttelsesmyndighed kræve, at Autosoft BV stadig foretager en anmeldelse. Manglende indberetning kan straffes med en administrativ bøde.

Hvordan rapporterer jeg et databrud?
Den hollandske databeskyttelsesmyndighed stiller en webformular til rådighed, som skal bruges til at rapportere databrud (https://dataleks.autoriteitpersoonsgegevens.nl/). Den hollandske databeskyttelsesmyndighed fører et register over de modtagne meddelelser om databrud. Dette register er ikke offentligt. Hvis der pålægges en bøde af den hollandske databeskyttelsesmyndighed som følge af databruddet, vil denne afgørelse blive offentliggjort. Et databrud offentliggøres også, når de registrerede skal informeres om databruddet. Underretningen til den registrerede skal under alle omstændigheder angive karakteren af ​​overtrædelsen og de myndigheder, hvor den registrerede kan få flere oplysninger om overtrædelsen. Det skal også fremgå, hvad den registrerede selv kan gøre for at begrænse de negative konsekvenser af databruddet. For eksempel ændring af brugernavne og adgangskoder, når de kan være blevet kompromitteret af bruddet.

Hvad skal jeg rapportere?
En meddelelse til den hollandske databeskyttelsesmyndighed omfatter:

• Rapportøren af ​​databruddet.
• Den person, som den hollandske databeskyttelsesmyndighed kan kontakte for yderligere information om rapporten.
• En oversigt over hændelsen, hvor bruddet på persondatasikkerheden fandt sted.
• Tidspunktet for overtrædelsen.
• Overtrædelsens art.
• Den pågældende type personoplysninger.
• De konsekvenser, krænkelsen kan have for de involveredes privatliv.
• De tekniske og organisatoriske foranstaltninger, som Autosoft BV har truffet for at tackle overtrædelsen og for at forhindre yderligere krænkelser.
• Hvorvidt Autosoft BV har rapporteret databruddet til de registrerede, og hvis ikke, om Autosoft BV har til hensigt at gøre det:
• Hvis ja, indholdet af meddelelsen til de registrerede.
• Hvis ikke, grunden til, at Autosoft BV afholder sig fra at rapportere databruddet til de registrerede.
• Er personoplysningerne blevet krypteret, hashed eller på anden måde gjort uforståelige eller utilgængelige for uvedkommende?

Del 2: Standardbehandlingsklausuler

Version: september 2019
Danner sammen med Data Pro Statement behandlingsaftalen og er et bilag til aftalen og de medfølgende bilag såsom gældende generelle vilkår og betingelser.

Artikel 1. Definitioner

Begreberne nedenfor har følgende betydninger i disse standardklausuler for behandling, i Data Pro-erklæringen og i aftalen:

• 1.1 Den hollandske databeskyttelsesmyndighed (AP): tilsynsmyndighed, som beskrevet i artikel 4, stk. 21 i Gns.
• 1.2 GEN.: den generelle databeskyttelsesforordning.
• 1.3 Databehandler: part, der som IKT-leverandør behandler Personoplysninger til fordel for sin Kunde i forbindelse med udførelsen af ​​Aftalen.
• 1.4 Data Pro-erklæring: erklæring fra databehandler, hvori den giver oplysninger med hensyn til den påtænkte brug af sit produkt eller tjeneste, sikkerhedsforanstaltninger, underbehandlere, datalæk, certificeringer og håndtering af rettigheder for registrerede.
• 1.5 Datasubjekt (datasubjekt): en identificeret eller identificerbar fysisk person.
• 1.6 Kunde: part, på hvis vegne Databehandler behandler personoplysninger. Klienten kan enten være en controller ("controller") eller en anden databehandler.
• 1.7 Aftale: aftalen mellem Kunden og Databehandleren, på grundlag af hvilken IKT-leverandøren leverer ydelser og/eller produkter til Kunden, som databehandleraftalen er en del af.
• 1.8 Personoplysninger: alle oplysninger om en identificeret eller identificerbar fysisk person, som beskrevet i artikel 4, stk. 1 AVG, som databehandler behandler i forbindelse med udførelsen af ​​sine forpligtelser i henhold til aftalen.
• 1.9 Behandleraftale: Disse standardklausuler for behandling, som sammen med Data Pro Statement (eller sammenlignelige oplysninger) fra Databehandler udgør behandlingsaftalen som nævnt i artikel 28, stk. 3 i GDPR.

Artikel 2. Generelt

• 2.1 Disse standardbehandlingsklausuler gælder for al behandling af personoplysninger, som databehandler foretager i forbindelse med levering af sine produkter og tjenester og for alle aftaler og tilbud. Anvendeligheden af ​​Kundens behandlingsaftaler afvises udtrykkeligt.
• 2.2 Data Pro-erklæringen, og især sikkerhedsforanstaltningerne indeholdt deri, kan fra tid til anden blive ændret af databehandleren for at afspejle skiftende omstændigheder. Databehandler vil informere Kunden om væsentlige ændringer. Såfremt Kunden ikke med rimelighed kan tilslutte sig justeringerne, er Kunden berettiget til skriftligt at opsige behandlingsaftalen inden 30 dage efter meddelelsen om justeringerne.
• 2.3 Databehandler behandler Personoplysningerne på vegne af og på vegne af Kunden i overensstemmelse med Kundens skriftlige instrukser aftalt med Databehandleren.
• 2.4 Klienten eller dennes kunde er den dataansvarlige i GDPR's forstand, har kontrol over behandlingen af ​​personoplysningerne og har bestemt formålet med og midlerne til at behandle personoplysningerne.
• 2.5 Databehandler er en databehandler i GDPR's forstand og har derfor ingen kontrol over formålet med og midlerne til at behandle personoplysningerne og træffer derfor ingen beslutninger om blandt andet brugen af ​​personoplysningerne.
• 2.6 Databehandler implementerer GDPR som fastsat i disse standardklausuler for behandling, dataproerklæringen og aftalen. Det er op til Klienten at vurdere på baggrund af disse oplysninger, om Databehandler giver tilstrækkelige garantier med hensyn til anvendelse af passende tekniske og organisatoriske foranstaltninger, således at behandlingen opfylder kravene i GDPR og beskyttelsen af ​​de registreredes rettigheder. er tilstrækkelig garanteret.
• 2.7 Kunden garanterer over for databehandleren, at den handler i overensstemmelse med GDPR, at den til enhver tid beskytter sine systemer og infrastruktur tilstrækkeligt, og at indholdet, brugen og/eller behandlingen af ​​personoplysningerne ikke er ulovlige og ikke krænker nogen rettighed. af en tredjepart.
• 2.8 En administrativ bøde, der er pålagt klienten af ​​AP, kan ikke inddrives fra databehandleren.

Artikel 3. Sikkerhed

• 3.1 Databehandler tager de tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i dens Data Pro Statement. Ved gennemførelsen af ​​de tekniske og organisatoriske sikkerhedsforanstaltninger har databehandleren taget højde for det aktuelle tekniske niveau, implementeringsomkostningerne ved sikkerhedsforanstaltningerne, arten, omfanget og sammenhængen af ​​behandlingen, formålene og den påtænkte anvendelse af sine produkter og tjenester. , de behandlingsrisici og de risici, der adskiller sig i sandsynlighed og alvor for de registreredes rettigheder og friheder, som han kunne forvente i lyset af den påtænkte brug af hans produkter og tjenester.
• 3.2 Medmindre andet er udtrykkeligt angivet i Data Pro-erklæringen, er databehandlerens produkt eller service ikke designet til at behandle særlige kategorier af personlige data eller data vedrørende straffedomme eller lovovertrædelser eller offentligt udstedte personnumre.
• 3.3 Databehandler bestræber sig på at sikre, at de sikkerhedsforanstaltninger, den skal træffe, er passende for den påtænkte brug af produktet eller tjenesten af ​​Databehandleren.
• 3.4 Efter kundens opfattelse tilbyder de beskrevne sikkerhedsforanstaltninger, under hensyntagen til de faktorer, der er nævnt i artikel 3.1, et sikkerhedsniveau, der er skræddersyet til risikoen ved behandlingen af ​​de personoplysninger, der anvendes eller leveres af den.
• 3.5 Databehandler kan foretage ændringer i de trufne sikkerhedsforanstaltninger, hvis det efter dennes opfattelse er nødvendigt for fortsat at kunne levere et passende sikkerhedsniveau. Databehandler vil registrere vigtige ændringer, for eksempel i en ændret Data Pro Statement, og vil informere Kunden om disse ændringer, hvor det er relevant.
• 3.6 Kunden kan anmode Databehandler om at træffe yderligere sikkerhedsforanstaltninger. Databehandler er ikke forpligtet til at foretage ændringer i sine sikkerhedsforanstaltninger efter en sådan anmodning. Databehandler kan opkræve omkostningerne i forbindelse med de ændringer, der er foretaget på kundens anmodning til kunden. Først efter at de af Kunden ønskede ændrede sikkerhedsforanstaltninger er skriftligt aftalt og underskrevet af Parterne, er Databehandler forpligtet til faktisk at gennemføre disse sikkerhedsforanstaltninger.

Artikel 4. Brud på persondatasikkerheden

• 4.1 Databehandler garanterer ikke, at sikkerhedsforanstaltningerne er effektive under alle omstændigheder. Hvis databehandleren opdager et brud i forbindelse med personoplysninger (som nævnt i artikel 4, stk. 12 gns.), vil den informere kunden uden unødig forsinkelse. Data Pro-erklæringen (under datalækageprotokollen) angiver, hvordan Databehandleren informerer Kunden om brud i forbindelse med Persondata.
• 4.2 Det er op til den dataansvarlige (Kunden eller dennes kunde) at vurdere, om det Persondatabrud, som Databehandler har informeret om, skal indberettes til AP eller Registrerede. Indberetning af brud i forbindelse med persondata, som skal rapporteres til AP og/eller registrerede i henhold til artikel 33 og 34 GDPR, forbliver til enhver tid den dataansvarliges (klienten eller dennes kunde) ansvar. Databehandler er ikke forpligtet til at indberette brud på persondatasikkerheden til AP og/eller den registrerede.
• 4.3 Databehandler vil om nødvendigt give yderligere oplysninger om bruddet i forbindelse med Persondata og vil medvirke til den nødvendige udlevering af oplysninger til Klienten med henblik på en underretning som nævnt i artikel 33 og 34 Gns.
• 4.4 Databehandleren kan opkræve de rimelige omkostninger, som den pådrager sig i denne sammenhæng, til Kunden til de til enhver tid gældende takster.

Artikel 5. Fortrolighed

• 5.1 Databehandler garanterer, at de personer, der behandler Personoplysninger under dennes ansvar, har tavshedspligt.
• 5.2 Databehandler er berettiget til at udlevere personoplysningerne til tredjemand, hvis og i det omfang, det er nødvendigt i henhold til en domstolsafgørelse, en lovbestemmelse eller på grundlag af en autoriseret kendelse fra en statslig myndighed.
• 5.3 Alle adgangs- og/eller identifikationskoder, certifikater, oplysninger vedrørende adgangs- og/eller adgangskodepolitik, som Databehandleren giver til Kunden, og alle oplysninger, som Databehandleren giver Kunden, og som implementerer de tekniske og organisatoriske sikkerhedsforanstaltninger, der er inkluderet i Data Pro-erklæringen, er fortrolige. og vil blive behandlet som sådan af Klienten og kun gjort bekendt med Kundens autoriserede medarbejdere. Kunden sikrer, at dens medarbejdere overholder forpligtelserne i denne artikel.

Artikel 6. Løbetid og opsigelse

• 6.1 Denne databehandleraftale er en del af Aftalen og enhver ny eller yderligere aftale, der udspringer heraf, træder i kraft på tidspunktet for aftalens indgåelse og indgås på ubestemt tid.
• 6.2 Denne databehandleraftale ophører i kraft af loven ved opsigelse af Aftalen eller enhver ny eller yderligere aftale mellem parterne.
• 6.3 I tilfælde af ophør af databehandleraftalen vil Databehandler slette alle Personoplysninger, som den er i besiddelse af og modtaget fra Kunden inden for den frist, der er indeholdt i Data Pro Statementet på en sådan måde, at de ikke længere kan bruges og ikke længere er tilgængelig (gør utilgængelig). , eller, hvis det er aftalt, returnere det til klienten i et maskinlæsbart format.
• 6.4 Databehandleren kan opkræve alle omkostninger, den pådrager sig i forbindelse med bestemmelserne i artikel 6.3, til kunden. Nærmere aftaler herom kan fastlægges i Data Pro Statement.
• 6.5 Bestemmelserne i artikel 6.3 gælder ikke, hvis en lovbestemt regulering forhindrer Databehandleren i helt eller delvist at fjerne eller returnere Personoplysningerne. I et sådant tilfælde vil Databehandler kun fortsætte med at behandle Personoplysningerne i det omfang, det er nødvendigt i henhold til sine juridiske forpligtelser. Bestemmelserne i artikel 6.3 gælder heller ikke, hvis databehandleren er den dataansvarlige i GDPR's forstand med hensyn til personoplysningerne.

Artikel 7. Datasubjekters rettigheder, databeskyttelsesvurdering (DPIA) og revisionsrettigheder

• 7.1 Databehandleren vil, hvor det er muligt, samarbejde med rimelige anmodninger fra Kunden, der er relateret til rettighederne for de registrerede, som påberåbes fra Kunden af ​​de registrerede. Hvis databehandleren kontaktes direkte af en registreret, vil denne henvise denne person til kunden, hvor det er muligt.
• 7.2 Hvis Kunden er forpligtet til at gøre det, vil Databehandler samarbejde med en databeskyttelseskonsekvensvurdering (DPIA) eller en efterfølgende forudgående høring som nævnt i artikel 35 og 36 Avg.
• 7.3 Databehandler vil samarbejde med anmodninger fra Kunden om fjernelse af personoplysninger i det omfang Kunden ikke selv kan udføre dette.
• 7.4 Databehandler vil ligeledes på anmodning fra Kunden stille alle yderligere oplysninger til rådighed, som med rimelighed er nødvendige for at påvise overholdelse af de aftaler, der er indgået i denne behandlingsaftale. Hvis Kunden alligevel har grund til at tro, at behandlingen af ​​Personoplysninger ikke sker i overensstemmelse med behandleraftalen, kan den højst én gang årligt høres af en uafhængig, certificeret, ekstern ekspert, der har dokumenterbar erfaring med typen af behandling, der udføres på grundlag af Aftalen. , få foretaget en revision for Kundens regning. Revisionen vil være begrænset til at kontrollere overholdelse af aftalerne om behandling af personoplysninger som fastsat i denne Behandleraftale. Den sagkyndige vil have tavshedspligt med hensyn til det, han finder, og vil kun meddele Klienten, hvad der medfører en mangel i opfyldelsen af ​​forpligtelser, som Databehandler har efter denne databehandleraftale. Eksperten vil give en kopi af sin rapport til databehandler. Databehandler kan afvise en revision eller instruks fra eksperten, hvis dette efter dennes vurdering er i strid med GDPR eller anden lovgivning eller udgør et ulovligt brud på de sikkerhedsforanstaltninger, den har truffet.
• 7.5 Parterne rådfører sig hurtigst muligt om resultaterne af rapporten. Parterne vil følge de foreslåede forbedringstiltag, der er fastsat i rapporten i det omfang, det med rimelighed kan forventes af dem. Databehandleren vil implementere de foreslåede forbedringsforanstaltninger i det omfang, de er passende efter dens opfattelse, under hensyntagen til behandlingsrisiciene forbundet med dets produkt eller service, det aktuelle tekniske niveau, implementeringsomkostningerne, det marked, det opererer på, og den påtænkte brug af produktet eller tjenesten. tjenesten.
• 7.6 Databehandleren har ret til at debitere kunden for de omkostninger, den pådrager sig i forbindelse med bestemmelserne i denne artikel.

Artikel 8. Underprocessorer

• 8.1 Databehandler har i Data Pro-erklæringen oplyst, om og i givet fald hvilke tredjeparter (underdatabehandlere eller underdatabehandlere) Databehandler involverer sig i behandlingen af ​​Personoplysningerne.
• 8.2 Kunden giver Databehandler tilladelse til at engagere andre underdatabehandlere til at udføre sine forpligtelser i henhold til Aftalen.
• 8.3 Databehandleren vil informere Kunden om en ændring i de tredjeparter, som Databehandleren engagerer, for eksempel ved hjælp af en ændret Data Pro Statement. Kunden har ret til at gøre indsigelse mod ovennævnte ændring fra Databehandlerens side. Databehandler sikrer, at de tredjeparter, der er engageret af denne, forpligter sig til samme sikkerhedsniveau med hensyn til beskyttelse af personoplysninger som det sikkerhedsniveau, som Databehandler er bundet til over for Kunden på baggrund af Data Pro Statement.

Artikel 9. Andet

Disse standardbehandlingsklausuler udgør sammen med dataproerklæringen en integreret del af aftalen. Alle rettigheder og forpligtelser i henhold til Aftalen, herunder de gældende generelle vilkår og betingelser og/eller ansvarsbegrænsninger, gælder derfor også for behandlingsaftalen.