Töötleja leping

Sissejuhatus

Autosoft BV töötleb muuhulgas isikuandmeid kliendi jaoks ja tema nimel. Seetõttu on Autosoft BV ja klient isikuandmete kaitse üldmääruse (GDPR) alusel kohustatud sõlmima töötleja lepingu. GDPR-i kohaselt on Autosoft BV töötleja ja klient on vastutav töötleja. See töötleja leping kirjeldab ka seda, kuidas Autosoft BV käsitleb andmerikkumisest teatamise kohustust.

Töötleja leping

Koosneb:
1. osa: Data Pro avaldus
Osa 2: Standardsed töötlemisklauslid

1. osa: Data Pro avaldus

General Information

1). Käesoleva Data Pro avalduse on koostanud järgmine andmetöötleja (töötleja):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Selle Data Pro avalduse või andmekaitse kohta küsimuste korral võtke ühendust:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). See Data Pro avaldus kehtib alates 1. augustist 2021
Kohandame regulaarselt seda Data Pro avaldust ja selles kirjeldatud turvameetmeid tagamaks, et oleme andmekaitse osas alati valmis ja ajakohased. Hoiame teid uute versioonidega kursis oma tavaliste kanalite kaudu.

3). See Data Pro avaldus kehtib järgmiste andmetöötleja toodete ja teenuste kohta

• Automaatne veebisait
• Autokaubandus

4). Kirjeldus Auto veebisait
Autoettevõtted kasutavad Autowebsite'i. Autoveebisaidi abil saavad autofirmad end Internetis esitleda.

5). Sihtotstarbeline auto veebisait
Automaatne veebisait on loodud ja varustatud järgmist tüüpi andmete töötlemiseks:
Autosofti poolt Autowebsite’iga arendatud veebilehtede külastajatel on võimalus jätta sinna oma kontaktandmed, et autofirmal oleks võimalus pöörduda külastaja poole edasiste teenuste saamiseks. Neid kontaktandmeid ei salvestata Autosoftiga, vaid edastatakse otse e-posti teel autofirma e-posti aadressile.

• See teenus ei võta arvesse spetsiaalsete isikuandmete töötlemist, süüdimõistvate kohtuotsuste ja kuritegudega seotud andmeid ega valitsuse väljastatud isikunumbreid.

6). Kirjeldus Autocommerce
Autoettevõtted kasutavad autokaubandust. Autokaubanduse abil saavad autoettevõtted hallata ja esitleda oma sõidukeid oma veebisaidil ja kolmandate isikute Interneti-otsinguportaalides.

7). Sihtotstarbeline kasutamine Autokaubandus
Autocommerce on loodud ja seadistatud töötlema järgmist tüüpi andmeid.
Autoettevõtted saavad oma registreeritud sõidukid paigutada Autocommerce'i kaudu oma veebisaidile Auto. Need registreeritud sõidukid ei sisalda andmeid, mida oleks võimalik ühelgi kujul isikuandmetele tagasi viia. Auto veebilehe külastajatel on võimalus jätta sinna oma kontaktandmed, et autofirmal oleks võimalus külastaja poole pöörduda edasiste teenuste saamiseks. Külastaja enda Auto veebisaidile jäetud kontaktandmed salvestatakse Autocommerce'is.

• See teenus ei võta arvesse spetsiaalsete isikuandmete töötlemist, süüdimõistvate kohtuotsuste ja kuritegudega seotud andmeid ega valitsuse väljastatud isikunumbreid.

8). Andmetöötleja kasutab Autoveebisaidi ja Autokaubanduse töötlemiseks tüüptingimusi, mille leiate Lepingu lisana.

9). Andmetöötleja töötleb oma klientide isikuandmeid EL/EMP-s Autoveebisaidi ja Autokaubanduse jaoks.

10). Andmetöötleja kasutab automaatse kaubanduse jaoks järgmisi alamtöötlejaid:
Mõnel juhul saadab Autosoft oma registreeritud sõidukid Autocommerce'i kaudu autoettevõtte nimel kolmandate isikute või alltöötlejate Interneti-otsinguportaalidesse. Alamprotsessorite loend on saadaval nõudmisel aadressil support@autosoft.eu.

11). Pärast Kliendiga sõlmitud Lepingu lõpetamist eemaldab andmetöötleja põhimõtteliselt 3 kuu jooksul kliendi jaoks töödeldavad isikuandmed selliselt, et neid ei saa enam kasutada ja need ei ole enam juurdepääsetavad (muuta ligipääsmatuks).

Julgeolekupoliitika

Tehke kokkuvõte järgmistest turvameetmetest, mida andmetöötleja on oma toote või teenuse kaitsmiseks võtnud:

Juhtumijuhtimise ja reageerimise poliitika
Infoturbe valdkonna intsidentide haldamise ja reageerimise poliitika hõlmab arvuti või IT infrastruktuuri turvaintsidentide jälgimist ja tuvastamist, aga ka personali kahtlaste tegevuste jälgimist ning nendele sündmustele õigete reageeringute rakendamist.

Selle poliitika esmane eesmärk on arendada hästi arusaadav ja etteaimatav reaktsioon pahatahtlikele sündmustele ja arvutisse tungimisele selle sõna kõige laiemas tähenduses.

Juhtumihaldus- ja reageerimispoliitika on arvutite, võrkude ja infosüsteemide ning nendesse salvestatud teabe haldamise ja kaitsmise protsess. Autosoft on teadlik oma kohustustest selle teabe kaitsmisel oma klientide ja tarneahela partnerite huvides. See vastutus hõlmab juhtumimenetlust. Juhtumijuhtimine on tegevuste kogum, mis määratleb ja rakendab protsessi, mida organisatsioon saab kasutada enda heaolu ja avalikkuse turvalisuse edendamiseks.

IT ja turvalisus
Autosoft BV IKT-struktuur on tulemüüriga piisavalt turvatud ja viirusetõrjetarkvara on ajakohastatud. Igal töötajal on sisselogimisprofiil. Arvuti käivitamisel peavad töötajad sisestama kasutajanime ja parooli ning võimalusel 2-astmelise autentimise.

Teatud tarkvara küsib ka sisselogimisnime ja parooli ning võimalusel kaheastmelist autentimist. Ergutatakse töötajate teadlikkust ohutust tööst, näiteks tähelepanu juhtimine kahtlaste meilide mitteavamisele, kahtlaste linkide mitteklõpsamine, töökohalt pikemaks ajaks lahkumisel väljalogimine jne.

Faile varundatakse päevadel ja igal õhtul. Turvalisuse huvides on varukoopiaga seotud edasine salvestusprotseduur konfidentsiaalne. Autosoft BV on sõlminud selleks teenuslepingud arvutitarnijate ja Interneti-majutusteenuste pakkujatega.

Andmekaitsepoliitika
Autosoft BV rakendab asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, et kaitsta kliendi isikuandmeid kaotsimineku või mis tahes vormis ebaseadusliku töötlemise eest. Neid tehnilisi ja korralduslikke meetmeid peetakse GDPR-i artikli 1 tähenduses sobivaks turbetasemeks ja neid säilitatakse dokumentidena Autosoft BV keskses Basecampis (projekt: organisatsioon / andmekaitsepoliitika).

Tehniline ja organisatsiooniline

1. Meetmed tagamaks, et Töötlejalepingu raames töödeldavatele Isikuandmetele on juurdepääs ainult selleks volitatud töötajatel;
2. Meetmed Isikuandmete kaitsmiseks eelkõige juhusliku või ebaseadusliku hävimise, kaotsimineku, juhusliku muutmise, loata või ebaseadusliku säilitamise, juurdepääsu või avalikustamise eest;
3. Meetmed Isikuandmete kaitsmiseks eelkõige juhusliku või ebaseadusliku hävimise, kaotsimineku, juhusliku muutmise, loata või ebaseadusliku säilitamise, juurdepääsu või avaldamise eest andmevahetuse/transpordi ajal;
4. Meetmed, et tagada toimetamissüsteemide ja -teenuste konfidentsiaalsuse, terviklikkuse, käideldavuse ja vastupidavuse pidev suutlikkus;
5. Meetmed Isikuandmete õigeaegse kättesaadavuse ja juurdepääsu taastamiseks füüsilise või tehnilise intsidendi korral;
6. Meetmed isikuandmete töötlemisega seotud haavatavuste tuvastamiseks süsteemides, mida kasutatakse lepingujärgsete teenuste osutamiseks;

Organisatsiooniline, näiteks:

• Teatud isikuandmetele juurdepääsu omavate ametnike ringi piiramine nende isikutega, kes vajavad andmeid oma tööülesannete täitmiseks;
• neile isikutele juurdepääsu võimaldamine ainult neile isikuandmetele, mida nad vajavad oma tööülesannete täitmiseks;
• konfidentsiaalsusklausli koos trahviklausliga kokkuleppimine kõigi isikutega, kellele võimaldatakse juurdepääs isikuandmetele;
• isikuandmete säilitamine serverites suletud ruumis;
• pabertoimikute hoidmine lukustatavates kappides;
• infoturbealase teadlikkuse loomine töötajate seas;
• selgete protokollide ja protseduuride kehtestamine infoturbeintsidentide ja turvahaavatavuste õigeaegseks ja tõhusaks käsitlemiseks;

Andmetöötleja kasutab juhtimiseks oma metoodikat ja protseduure, mis sobivad organisatsiooni töömeetodiga:

• Basecampis hallatakse ja perioodiliselt hinnatakse asjakohaseid dokumente.

Andmerikkumise protokoll

Juhul, kui midagi läheb valesti, kasutab andmetöötleja järgmist andmelekke protokolli, et klient oleks juhtumitest teadlik:

Autosoft BV – andmete rikkumise menetlus

Mis on andmete rikkumine ja millal pean sellest AP-le teatama?
Andmerikkumine on infoturbe intsident, mis hõlmab isikuandmete turvalisuse rikkumist kaotsimineku või ebaseadusliku töötlemise tõttu, näiteks (kuid mitte ammendavalt):

• Isikuandmete korrigeerimine ja/või muutmine ning nendele isikuandmetele volitamata juurdepääs;
• Häkkeri sissemurdmise korral;
• USB-mälupulga kaotamine, sülearvuti vargus;
• Tundlike andmete saatmine valele e-posti aadressile;

Seaduse kohaselt tuleb „tõsisest” andmerikkumisest teavitada Madalmaade andmekaitseametit põhjendamatu viivituseta ja võimalusel hiljemalt 72 tunni jooksul pärast avastamist.

Autosoft BV ei pea Hollandi andmekaitseametile aru andma, kui üksikute füüsiliste isikute tegelik tuvastamine on mõistlikult välistatud.
Kõigi infoturbeintsidendi kahtlustega tegeletakse esmajärjekorras support@autosoft.eu teatatud ja registreeritud. Tugi teatab juhtumist juhtkonnale ja määrab, milliseid järelmeetmeid tuleks võtta.

Järelkontrolli protseduur

Millal ma pean andmesubjekte teavitama?
Andmesubjektile tuleb andmesubjektile teada anda andmetega seotud rikkumisest, kui rikkumise korral on suur oht, et rikkumisel on ebasoodsad tagajärjed tema eraelule. Andmesubjekti jaoks on ebasoodsad tagajärjed: tema maine ja maine kahjustamine, identiteedipettus või diskrimineerimine. Kui Autosoft BV on rakendanud asjakohaseid tehnilisi kaitsemeetmeid, mille tulemusena on asjaomased isikuandmed muutunud arusaamatuks või kättesaamatuks, ei ole andmesubjekti teavitamine vajalik. Teatis andmesubjektile peab sisaldama selges ja arusaadavas keeles isikuandmetega seotud rikkumise laadi kirjeldust ja vähemalt:

• andmekaitseametniku või muu kontaktpunkti nimi ja kontaktandmed, kust saab lisateavet;
• isikuandmetega seotud rikkumise tõenäolised tagajärjed;
• vastutava töötleja kavandatud või võetud meetmed isikuandmetega seotud rikkumise käsitlemiseks, sealhulgas vajaduse korral meetmed selle kahjulike mõjude leevendamiseks. Autosoft BV otsustab alati, kas andmete rikkumisest tuleb teatada Hollandi andmekaitseametile ja/või mõjutatud isikutele. Selleks et otsustada, kas juhtumist tuleb teatada, on Hollandi andmekaitseamet koostanud eeskirjad (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) ja GDPR-is aruandluskohustuse kohta avaldatud Euroopa järelevalveasutuste suuniste töörühm 29. Kui Autosoft BV ei ole andmerikkumisest teatanud, võib Hollandi andmekaitseamet nõuda, et Autosoft BV siiski teataks. Teatamata jätmise eest saab karistada haldustrahviga.

Kuidas teavitada andmete rikkumisest?
Hollandi andmekaitseamet teeb kättesaadavaks veebivormi, mida tuleb kasutada andmetega seotud rikkumistest teatamiseks (https://dataleks.autoriteitpersoonsgegevens.nl/). Hollandi andmekaitseamet peab saadud andmerikkumisteadete kohta registrit. See register ei ole avalik. Kui Hollandi andmekaitseamet määrab andmetega seotud rikkumise tõttu trahvi, avalikustatakse see otsus. Andmerikkumine avalikustatakse ka siis, kui andmesubjekte on vaja andmerikkumisest teavitada. Andmesubjektile saadetavas teatises tuleb igal juhul ära näidata rikkumise olemus ja ametiasutused, kust andmesubjekt saab rikkumise kohta rohkem teavet. Samuti tuleb märkida, mida andmesubjekt saab ise teha, et piirata andmetega seotud rikkumise negatiivseid tagajärgi. Näiteks kasutajanimede ja paroolide muutmine, kui rikkumine võis neid kahjustada.

Millest peaksin teatama?
Madalmaade andmekaitseametile saadetud teatis sisaldab järgmist:

• Andmerikkumisest teataja.
• Isik, kellega Hollandi andmekaitseamet saab aruande kohta lisateabe saamiseks ühendust võtta.
• Kokkuvõte juhtumist, kus isikuandmete turvarikkumine aset leidis.
• Rikkumise aeg.
• Rikkumise olemus.
• Asjaomaste isikuandmete liik.
• Rikkumise tagajärjed asjaosaliste privaatsusele.
• Tehnilised ja korralduslikud meetmed, mida Autosoft BV on võtnud rikkumisega tegelemiseks ja edasiste rikkumiste ärahoidmiseks.
• Kas Autosoft BV on andmesubjektidele andmerikkumisest teatanud ja kui mitte, siis kas Autosoft BV kavatseb seda teha:
• Kui jah, siis andmesubjektidele saadetava teatise sisu.
• Kui ei, siis põhjus, miks Autosoft BV hoidub andmesubjektidele andmerikkumisest teatamisest.
• Kas isikuandmed on krüptitud, räsitud või muudel muudel juhtudel arusaamatuks või volitamata isikutele kättesaamatuks muudetud?

Osa 2: Standardsed töötlemisklauslid

Versioon: september 2019
Moodustab koos Data Pro avaldusega töötlemislepingu ning on lepingu ja sellega kaasnevate lisade (nt kohaldatavad üldtingimused) lisa.

Artikkel 1. Mõisted

Allolevatel terminitel on nendes standardsetes töötlemisklauslites, Data Pro avalduses ja lepingus järgmine tähendus:

• 1.1 Hollandi andmekaitseamet (AP): järelevalveasutus, nagu on kirjeldatud keskm. artikli 4 punktis 21.
• 1.2 AVG: isikuandmete kaitse üldmäärus.
• 1.3 Andmetöötleja: osapool, kes IKT tarnijana töötleb Isikuandmeid oma Kliendi huvides Lepingu täitmise kontekstis.
• 1.4 Data Pro avaldus: Andmetöötleja avaldus, milles ta annab teavet oma toote või teenuse kavandatud kasutamise, võetud turvameetmete, alltöötlejate, andmelekete, sertifikaatide ja andmesubjektide õiguste käsitlemise kohta.
• 1.5 Andmesubjekt (andmesubjekt): tuvastatud või tuvastatav füüsiline isik.
• 1.6 Klient: osapool, kelle nimel Andmetöötleja isikuandmeid töötleb. Klient võib olla kas vastutav töötleja (“kontroller”) või muu töötleja.
• 1.7 Leping: Kliendi ja Andmetöötleja vaheline leping, mille alusel IKT tarnija osutab Kliendile teenuseid ja/või tooteid, mille osaks on töötleja leping.
• 1.8 Isikuandmed: kogu teave tuvastatud või tuvastatava füüsilise isiku kohta, nagu on kirjeldatud AVG artikli 4 lõikes 1, mida andmetöötleja töötleb lepingust tulenevate kohustuste täitmise raames.
• 1.9 Töötlemisleping: need töötlemise tüüptingimused, mis koos andmetöötleja Data Pro avalduse (või võrreldava teabega) moodustavad GDPR-i artikli 28 lõikes 3 viidatud töötlemislepingu.

Artikkel 2. Üldine

• 2.1 Need töötlemise tüüpklauslid kehtivad kogu isikuandmete töötlemisele, mida andmetöötleja oma toodete ja teenuste tarnimise kontekstis teeb, ning kõikidele lepingutele ja pakkumistele. Kliendi töötlemislepingute kohaldatavus on sõnaselgelt tagasi lükatud.
• 2.2 Andmetöötleja võib Data Pro avaldust ja eelkõige selles sisalduvaid turvameetmeid aeg-ajalt muuta, et kajastada muutuvaid asjaolusid. Andmetöötleja teavitab Klienti olulistest muudatustest. Kui Klient ei saa muudatustega mõistlikult nõustuda, on Kliendil õigus töötlemisleping kirjalikult lõpetada 30 päeva jooksul muudatustest teatamisest arvates.
• 2.3 Andmetöötleja töötleb Isikuandmeid Kliendi nimel ja nimel vastavalt Andmetöötlejaga kokku lepitud Kliendi kirjalikele juhistele.
• 2.4 Klient või tema klient on GDPR-i tähenduses vastutav töötleja, omab kontrolli Isikuandmete töötlemise üle ning on kindlaks määranud Isikuandmete töötlemise eesmärgi ja vahendid.
• 2.5 Andmetöötleja on töötleja GDPR-i tähenduses ning seetõttu puudub tal kontroll Isikuandmete töötlemise eesmärgi ja vahendite üle ning seetõttu ei tee ta mingeid otsuseid muuhulgas Isikuandmete kasutamise kohta.
• 2.6 Andmetöötleja rakendab GDPR-i, nagu on sätestatud nendes töötlemise tüüptingimustes, andmetöötlemise avalduses ja lepingus. Kliendi ülesanne on selle teabe põhjal hinnata, kas andmetöötleja pakub piisavaid garantiisid asjakohaste tehniliste ja organisatsiooniliste meetmete rakendamise osas, et töötlemine vastaks GDPR-i nõuetele ja andmesubjektide õiguste kaitsele. on piisav, garanteeritud.
• 2.7 Klient garanteerib Andmetöötlejale, et ta tegutseb kooskõlas GDPR-iga, et ta kaitseb oma süsteeme ja infrastruktuuri igal ajal piisavalt ning et Isikuandmete sisu, kasutamine ja/või töötlemine ei ole ebaseaduslik ega riku õigusi. kolmandast isikust.
• 2.8 AP poolt Kliendile määratud haldustrahvi Andmetöötlejalt sisse nõuda ei saa.

Artikkel 3. Turvalisus

• 3.1 Andmetöötleja rakendab tehnilisi ja organisatsioonilisi turvameetmeid, nagu on kirjeldatud tema Data Pro avalduses. Tehniliste ja organisatsiooniliste turvameetmete rakendamisel on andmetöötleja võtnud arvesse tehnika taset, turvameetmete rakendamise kulusid, töötlemise olemust, ulatust ja konteksti, oma toodete ja teenuste eesmärke ja kavandatud kasutust. , töötlemisriskid ja riskid, mis erinevad tõenäosuse ja tõsiduse poolest andmesubjektide õiguste ja vabaduste suhtes, mida ta võib eeldada oma toodete ja teenuste kavandatud kasutust silmas pidades.
• 3.2 Kui Data Pro avalduses ei ole sõnaselgelt öeldud teisiti, ei ole andmetöötleja toode või teenus ette nähtud isikuandmete erikategooriate või kriminaalkorras süüdimõistvate kohtuotsuste või kuritegude või valitsuse väljastatud isikunumbrite töötlemiseks.
• 3.3 Andmetöötleja püüab tagada, et tema võetavad turvameetmed oleksid asjakohased andmetöötleja poolt toote või teenuse kavandatud kasutamiseks.
• 3.4 Kirjeldatud turvameetmed pakuvad Kliendi hinnangul turvalisuse taset, mis on kohandatud Kliendi poolt kasutatavate või pakutavate Isikuandmete töötlemise riskidele, võttes arvesse punktis 3.1 nimetatud tegureid.
• 3.5 Andmetöötleja võib võetud turvameetmetes muudatusi teha, kui ta peab seda vajaliku turvalisuse jätkamiseks vajalikuks. Andmetöötleja salvestab olulised muudatused, näiteks muudetud Data Pro avalduses, ja teavitab klienti nendest muudatustest, kui see on asjakohane.
• 3.6 Klient võib taotleda andmetöötlejalt täiendavate turvameetmete võtmist. Andmetöötleja ei ole kohustatud sellise nõudmise korral oma turvameetmeid muutma. Andmetöötlejal on võimalik nõuda Kliendi nõudmisel tehtud muudatustega seotud kulud Kliendilt. Alles pärast seda, kui Kliendi soovitud muudetud turvameetmed on kirjalikult kokku lepitud ja poolte poolt allkirjastatud, on Andmetöötleja kohustatud need turvameetmed reaalselt rakendama.

Artikkel 4. Isikuandmetega seotud rikkumine

• 4.1 Andmetöötleja ei garanteeri, et turvameetmed on kõikides tingimustes tõhusad. Kui andmetöötleja avastab isikuandmetega seotud rikkumise (nagu on viidatud artikli 4 alapunktis 12 Avg), teavitab ta sellest klienti põhjendamatu viivituseta. Data Pro avaldus (andmelekke protokolli alusel) sätestab, kuidas Andmetöötleja teavitab Klienti Isikuandmetega seotud rikkumistest.
• 4.2 Vastutava töötleja (kliendi või tema kliendi) ülesanne on hinnata, kas isikuandmetega seotud rikkumisest, millest andmetöötleja on teavitanud, tuleb teavitada AP-d või andmesubjektist. Isikuandmetega seotud rikkumistest teatamine, millest tuleb GDPR artiklite 33 ja 34 kohaselt teatada AP-le ja/või andmesubjektidele, jääb igal ajal vastutava töötleja (kliendi või tema kliendi) kohustuseks. Andmetöötleja ei ole kohustatud teavitama isikuandmetega seotud rikkumistest AP-d ja/või andmesubjekti.
• 4.3 Andmetöötleja annab vajadusel täiendavat teavet isikuandmetega seotud rikkumise kohta ja teeb koostööd Kliendile vajaliku teabe edastamisel, et teavitada artiklitest 33 ja 34 Avg.
• 4.4 Andmetöötleja võib nõuda Kliendilt selles kontekstis tekkinud mõistlikke kulusid tema sel ajal kehtivate tariifide alusel.

Artikkel 5. Konfidentsiaalsus

• 5.1 Andmetöötleja tagab, et tema vastutusel Isikuandmeid töötlevatel isikutel on konfidentsiaalsuskohustus.
• 5.2 Andmetöötlejal on õigus edastada Isikuandmeid kolmandatele isikutele, kui ja kuivõrd see on vajalik kohtulahendi, õigusnormi või valitsusasutuse volitatud korralduse alusel.
• 5.3 Kõik juurdepääsu- ja/või identifitseerimiskoodid, sertifikaadid, teave juurdepääsu- ja/või paroolipoliitika kohta, mille andmetöötleja annab Kliendile, ning kogu andmetöötleja poolt Kliendile antud teave, mis rakendab Data Pro avalduses sisalduvaid tehnilisi ja organisatsioonilisi turvameetmeid, on konfidentsiaalne. ja Klient käsitleb seda sellisena ning teatab ainult Kliendi volitatud töötajatele. Klient tagab, et tema töötajad täidavad käesolevast artiklist tulenevaid kohustusi.

Artikkel 6. Tähtaeg ja lõpetamine

• 6.1 Käesolev töötleja leping on osa Lepingust ja sellest tulenev uus või täiendav leping jõustub Lepingu sõlmimise hetkel ja on sõlmitud määramata ajaks.
• 6.2 See töötleja leping lõpeb seaduse alusel Lepingu või pooltevahelise uue või edasise lepingu lõppemisel.
• 6.3 Töötlemislepingu lõppemise korral kustutab Andmetöötleja kõik tema valduses olevad ja Kliendilt saadud Isikuandmed Data Pro avalduses sisalduva tähtaja jooksul selliselt, et neid ei saa enam kasutada ega ole enam. ligipääsetav (muuta ligipääsmatuks). , või kokkuleppel tagastada see Kliendile masinloetavas vormingus.
• 6.4 Andmetöötleja võib nõuda Kliendilt kõik kulud, mis tal artikli 6.3 sätete kontekstis tekivad. Täiendavad kokkulepped selle kohta on sätestatud Data Pro avalduses.
• 6.5 Punktis 6.3 sätestatut ei kohaldata, kui seadusandlik regulatsioon takistab Andmetöötlejal Isikuandmeid täielikult või osaliselt eemaldada või tagastada. Sellisel juhul jätkab Andmetöötleja Isikuandmete töötlemist ainult ulatuses, mis on vajalik tema juriidilistest kohustustest tulenevalt. Punktis 6.3 sätestatut ei kohaldata ka juhul, kui Andmetöötleja on isikuandmete suhtes GDPR-i tähenduses vastutav töötleja.

Artikkel 7. Andmesubjektide õigused, andmekaitsemõju hindamine (DPIA) ja auditeerimisõigused

• 7.1 Andmetöötleja teeb võimaluse korral koostööd Kliendi mõistlike taotlustega, mis on seotud andmesubjektide õigustega, millele andmesubjektid on kliendilt tuginenud. Kui andmesubjekt pöördub otse andmetöötleja poole, suunab ta selle isiku võimaluse korral Kliendi juurde.
• 7.2 Kui klient on kohustatud seda tegema, teeb andmetöötleja koostööd andmekaitsemõju hindamise (DPIA) või hilisema eelneva konsultatsiooniga, nagu on viidatud artiklites 35 ja 36 Avg.
• 7.3 Andmetöötleja teeb Kliendi isikuandmete eemaldamise taotlustega koostööd niivõrd, kuivõrd Klient ei saa seda ise teha.
• 7.4 Kliendi nõudmisel teeb Andmetöötleja kättesaadavaks ka kogu täiendava teabe, mis on mõistlikult vajalik käesolevas töötlemislepingus sõlmitud kokkulepete täitmise tõendamiseks. Kui Kliendil on siiski põhjust arvata, et Isikuandmete töötlemine ei toimu vastavalt töötlemislepingule, saab temaga konsulteerida mitte rohkem kui kord aastas sõltumatu, sertifitseeritud välisekspert, kellel on tõendatav kogemus vastava isikuandmete töötlemisega. töötlemine, mis toimub Lepingu alusel. , laskma läbi viia auditi Kliendi kulul. Audit piirdub käesolevas töötleja lepingus sätestatud isikuandmete töötlemist käsitlevate lepingute täitmise kontrollimisega. Eksperdil lasub konfidentsiaalsuskohustus seoses sellega, mida ta leiab, ja teatab Kliendile ainult sellest, mis põhjustab Andmetöötleja käesolevast töötleja lepingust tulenevate kohustuste täitmata jätmise. Ekspert esitab andmetöötlejale oma aruande koopia. Andmetöötleja võib keelduda auditist või eksperdi juhisest, kui see tema arvates rikub GDPR-i või muid õigusakte või kujutab endast tema võetud turvameetmete lubamatut rikkumist.
• 7.5 Osapooled konsulteerivad aruande tulemuste üle esimesel võimalusel. Osapooled järgivad aruandes sätestatud kavandatavaid parendusmeetmeid niivõrd, kuivõrd seda võib neilt mõistlikult eeldada. Andmetöötleja rakendab kavandatud parendusmeetmeid ulatuses, mis on tema arvates asjakohane, võttes arvesse tema toote või teenusega seotud töötlemisriske, tehnika taset, rakenduskulusid, turgu, kus ta tegutseb, ja toote või teenuse ettenähtud kasutusotstarve.
• 7.6 Andmetöötlejal on õigus nõuda Kliendilt kulud, mis tal seoses käesoleva artikli sätetega tekivad.

Artikkel 8. Alamtöötlejad

• 8.1 Andmetöötleja on andmepro-avalduses märkinud, kas ja kui jah, millised kolmandad isikud (all- või alltöötlejad) Andmetöötleja tegeleb isikuandmete töötlemisega.
• 8.2 Klient annab Andmetöötlejale loa Lepingust tulenevate kohustuste täitmiseks kaasata teisi alltöötlejaid.
• 8.3 Andmetöötleja teavitab Klienti Andmetöötleja kaasatud kolmandate isikute muutumisest näiteks muudetud Data Pro avalduse kaudu. Kliendil on õigus vaidlustada Andmetöötleja eelnimetatud muudatus. Andmetöötleja tagab, et tema kaasatud kolmandad isikud kohustuvad Isikuandmete kaitse osas järgima sama turbetaset, millega Andmetöötleja on Data Pro avalduse alusel Kliendi suhtes seotud.

Artikkel 9. Muu

Need töötlemise tüüpklauslid koos Data Pro avaldusega moodustavad Lepingu lahutamatu osa. Seetõttu kehtivad töötlemislepingule ka kõik Lepingust tulenevad õigused ja kohustused, sealhulgas kehtivad üldtingimused ja/või vastutuse piirangud.