توافق پردازنده

مقدمه

Autosoft BV، از جمله، داده های شخصی را برای مشتری و از طرف او پردازش می کند. بنابراین، Autosoft BV و مشتری بر اساس مقررات حفاظت از داده های عمومی (GDPR) موظف به انعقاد توافقنامه پردازشگر هستند. طبق GDPR، Autosoft BV یک «پردازنده» و مشتری یک «کنترل کننده» است. این توافقنامه پردازنده همچنین توضیح می‌دهد که Autosoft BV چگونه تعهدات اعلان نقض داده را مدیریت می‌کند.

توافق پردازنده

شامل:
بخش 1: بیانیه Data Pro
بخش 2: بندهای پردازش استاندارد

بخش 1: بیانیه Data Pro

اطلاعات عمومی

1). این بیانیه Data Pro توسط پردازشگر داده (پردازنده) زیر تهیه شده است:

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

برای سؤالات در مورد این بیانیه Data Pro یا حفاظت از داده ها، لطفاً با:
آرتور ون در لک: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). این بیانیه Data Pro از 1 اوت 2021 اعمال می شود
ما به طور منظم این بیانیه Data Pro و اقدامات امنیتی شرح داده شده در آن را تنظیم می کنیم تا اطمینان حاصل شود که همیشه از نظر حفاظت از داده ها آماده و به روز هستیم. ما شما را از طریق کانال های عادی خود از نسخه های جدید مطلع خواهیم کرد.

3). این بیانیه Data Pro در مورد محصولات و خدمات پردازشگر داده زیر اعمال می شود

• وب سایت خودکار
• تجارت خودکار

4). توضیحات وب سایت خودرو
شرکت های خودروسازی از Autowebsite استفاده می کنند. با Autowebsite، شرکت های خودروسازی می توانند خود را در اینترنت معرفی کنند.

5). استفاده در نظر گرفته شده وب سایت خودرو
وب سایت خودکار برای پردازش انواع داده های زیر طراحی و مجهز شده است:
بازدیدکنندگان از وب سایت های توسعه یافته توسط Autosoft با Autowebsite می توانند اطلاعات تماس خود را در آنجا بگذارند تا شرکت خودرو این فرصت را داشته باشد که برای خدمات بیشتر به بازدید کننده مراجعه کند. این اطلاعات تماس با Autosoft ذخیره نمی شود، بلکه مستقیماً از طریق ایمیل به آدرس ایمیل شرکت خودرو ارسال می شود.

• این سرویس پردازش داده های شخصی خاص، یا داده های مربوط به محکومیت ها و جرایم جنایی یا شماره های شخصی صادر شده توسط دولت را در نظر نمی گیرد.

6). توضیحات تجارت خودکار
شرکت های خودروسازی از Autocommerce استفاده می کنند. با تجارت خودکار، شرکت‌های خودروسازی می‌توانند وسایل نقلیه خود را در وب‌سایت خود و درگاه‌های جستجوی اینترنتی اشخاص ثالث مدیریت و ارائه کنند.

7). استفاده مورد نظر از تجارت خودکار
تجارت خودکار برای پردازش انواع داده های زیر طراحی و راه اندازی شده است:
شرکت‌های خودروسازی می‌توانند خودروهای ثبت‌شده خود را از طریق Autocommerce در وب‌سایت خودروی خود قرار دهند. این خودروهای ثبت شده حاوی هیچ داده ای نیستند که بتوان آنها را به هر شکلی به اطلاعات شخصی ردیابی کرد. بازدیدکنندگان از وب‌سایت Car می‌توانند اطلاعات تماس خود را در آنجا بگذارند تا شرکت خودرو این فرصت را داشته باشد که برای خدمات بیشتر به بازدیدکننده مراجعه کند. اطلاعات تماسی که بازدیدکننده در وب سایت Auto خودش به جا گذاشته در Autocommerce ذخیره می شود.

• این سرویس پردازش داده های شخصی خاص، یا داده های مربوط به محکومیت ها و جرایم جنایی یا شماره های شخصی صادر شده توسط دولت را در نظر نمی گیرد.

8). پردازشگر داده از بندهای استاندارد برای پردازش وب‌سایت خودکار و تجارت خودکار استفاده می‌کند که می‌توان آن را به عنوان ضمیمه توافقنامه یافت.

9). پردازشگر داده داده های شخصی مشتریان خود را در اتحادیه اروپا/EEA برای وب سایت و تجارت خودکار پردازش می کند.

10). پردازشگر داده از زیرپردازنده های زیر برای تجارت خودکار استفاده می کند:
در برخی موارد، Autosoft وسایل نقلیه ثبت شده خود را از طریق Autocommerce به درگاه های جستجوی اینترنتی اشخاص ثالث یا زیرپردازنده ها از طرف شرکت خودرو ارسال می کند. فهرستی از زیرپردازنده ها در صورت درخواست در support@autosoft.eu موجود است.

11). پس از خاتمه قرارداد با یک مشتری، پردازشگر داده اصولاً داده های شخصی را که برای مشتری پردازش می کند ظرف مدت 3 ماه به گونه ای حذف می کند که دیگر قابل استفاده نباشند و دیگر در دسترس نباشند (غیرقابل دسترسی شوند).

راهبرد امنیتی

اقدامات امنیتی زیر را که پردازشگر داده برای محافظت از محصول یا خدمات خود انجام داده است، خلاصه کنید:

سیاست مدیریت حوادث و واکنش
سیاست‌های مدیریت حوادث و واکنش در حوزه امنیت اطلاعات شامل رصد و شناسایی حوادث امنیتی در رایانه یا زیرساخت فناوری اطلاعات و همچنین مشاهده فعالیت‌های مشکوک توسط پرسنل و اجرای پاسخ‌های صحیح به این رویدادها است.

هدف اصلی این خط مشی ایجاد پاسخی قابل پیش بینی و درک شده به رویدادهای مخرب و نفوذهای رایانه ای به معنای وسیع کلمه است.

سیاست مدیریت و پاسخ به حوادث، فرآیند مدیریت و حفاظت از رایانه ها، شبکه ها و سیستم های اطلاعاتی و اطلاعات ذخیره شده در آنها است. Autosoft از مسئولیت های خود در هنگام محافظت از این اطلاعات به نفع مشتریان و شرکای زنجیره تامین خود آگاه است. این مسئولیت شامل داشتن یک رویه حادثه می شود. مدیریت رویداد مجموعه‌ای از فعالیت‌ها است که فرآیندی را تعریف و اجرا می‌کند که یک سازمان می‌تواند از آن برای ارتقای رفاه خود و امنیت عمومی استفاده کند.

فناوری اطلاعات و امنیت
ساختار ICT Autosoft BV به اندازه کافی با فایروال ایمن شده است و نرم افزار اسکن ویروس به روز نگه داشته می شود. هر کارمند یک نمایه ورود دارد. هنگام راه‌اندازی رایانه، کارمندان باید نام ورود و رمز عبور و در صورت امکان با احراز هویت 2 مرحله‌ای وارد کنند.

برخی از نرم افزارها همچنین نام و رمز ورود و در صورت امکان با احراز هویت 2 مرحله ای درخواست می کنند. آگاهی در بین کارمندان در مورد کار ایمن تحریک می شود، مانند جلب توجه به باز نکردن ایمیل های مشکوک، کلیک نکردن بر روی لینک های مشکوک، خروج از سیستم هنگام ترک محل کار برای مدت طولانی و غیره.

از فایل ها در طول روز و هر شب پشتیبان گیری می شود. به دلایل امنیتی، روش ذخیره سازی بیشتر پیرامون پشتیبان گیری محرمانه است. Autosoft BV قراردادهای خدماتی برای این کار با تامین کنندگان کامپیوتر و ارائه دهندگان میزبانی اینترنت منعقد کرده است.

سیاست حفاظت از داده ها
Autosoft BV اقدامات فنی و سازمانی مناسبی را برای محافظت از داده های شخصی مشتری در برابر از دست دادن یا هر نوع پردازش غیرقانونی انجام می دهد. این اقدامات فنی و سازمانی به عنوان یک سطح امنیتی مناسب در مفهوم ماده 1 GDPR در نظر گرفته شده و به عنوان اسناد در Basecamp مرکزی (پروژه: سازمان / سیاست حفاظت از داده) Autosoft BV ذخیره می شود.

فنی و سازمانی

1. اقداماتی برای اطمینان از اینکه فقط پرسنل مجاز به داده های شخصی پردازش شده در چارچوب توافق نامه پردازشگر دسترسی دارند.
2. اقداماتی برای محافظت از داده های شخصی به ویژه در برابر تخریب تصادفی یا غیرقانونی، از دست دادن، تغییر تصادفی، ذخیره سازی، دسترسی یا افشای غیرمجاز یا غیرقانونی؛
3. اقداماتی برای محافظت از داده های شخصی به ویژه در برابر تخریب تصادفی یا غیرقانونی، از دست دادن، تغییر تصادفی، ذخیره سازی غیرمجاز یا غیرقانونی، دسترسی یا افشای آن در حین تبادل/حمل و نقل داده ها؛
4. اقداماتی برای اطمینان از توانایی اطمینان از محرمانه بودن، یکپارچگی، در دسترس بودن و انعطاف پذیری سیستم ها و خدمات ویرایش به صورت مداوم؛
5. اقداماتی برای بازگرداندن در دسترس بودن و دسترسی به داده های شخصی به موقع در صورت بروز یک حادثه فیزیکی یا فنی؛
6. اقداماتی برای شناسایی آسیب‌پذیری‌ها در مورد پردازش داده‌های شخصی در سیستم‌های مورد استفاده برای ارائه خدمات تحت قرارداد؛

سازمانی مانند:

• محدود کردن دایره مقاماتی که به اطلاعات شخصی خاصی دسترسی دارند به افرادی که برای انجام وظایف خود به داده ها نیاز دارند.
• اعطای دسترسی به این افراد فقط به داده های شخصی که برای انجام وظایف خود به آنها نیاز دارند.
• توافق یک بند رازداری با یک بند جریمه با تمام افرادی که دسترسی به داده های شخصی به آنها داده می شود.
• ذخیره داده های شخصی در سرورها در فضای بسته؛
• نگهداری فایل های کاغذی در کابینت های قفل شونده؛
• ایجاد آگاهی امنیت اطلاعات در بین کارکنان؛
• ایجاد پروتکل‌ها و رویه‌های شفاف برای رسیدگی به حوادث امنیت اطلاعات و آسیب‌پذیری‌های امنیتی به‌موقع و مؤثر؛

پردازشگر داده از متدولوژی ها و رویه های خود برای مدیریت استفاده می کند که با روش کار سازمان مطابقت دارد:

• در Basecamp، اسناد مربوطه مدیریت و به صورت دوره ای ارزیابی می شوند.

پروتکل نقض داده

در صورتی که مشکلی پیش بیاید، پردازشگر داده از پروتکل نشت داده زیر استفاده می کند تا اطمینان حاصل کند که مشتری از حوادث آگاه است:

Autosoft BV - رویه نقض داده

نقض داده چیست و چه زمانی باید آن را به AP گزارش کنم؟
نقض داده ها یک حادثه امنیت اطلاعات است که شامل نقض امنیت داده های شخصی از طریق قرار گرفتن در معرض از دست دادن یا پردازش غیرقانونی مانند (اما نه به طور کامل) است:

• تنظیم و/یا تغییر داده های شخصی و دسترسی غیرمجاز به این داده های شخصی؛
• در صورت نفوذ توسط هکر؛
• گم شدن یک USB، سرقت لپ تاپ؛
• ارسال اطلاعات حساس به آدرس ایمیل نادرست؛

طبق قانون، نقض "جدی" داده باید بدون تاخیر بی مورد و در صورت امکان حداکثر تا 72 ساعت پس از کشف به سازمان حفاظت از داده هلند گزارش شود.

اگر شناسایی واقعی افراد حقیقی به طور منطقی حذف شده باشد، Autosoft BV مجبور نیست به سازمان حفاظت از داده هلند گزارش دهد.
تمام شبهات مربوط به یک حادثه امنیت اطلاعات در وهله اول بررسی می شود support@autosoft.eu گزارش و ثبت شد. پشتیبانی حادثه را به تیم مدیریت گزارش می دهد و تعیین می کند که چه اقدامات بعدی باید انجام شود.

رویه پیگیری

چه زمانی باید به موضوع داده ها اطلاع دهم؟
اگر در صورت نقض، خطر زیادی وجود داشته باشد که نقض عواقب نامطلوبی برای زندگی خصوصی او داشته باشد، نقض داده باید به موضوع داده گزارش شود. پیامدهای نامطلوب برای موضوع داده عبارتند از: آسیب به شهرت و شهرت او، تقلب در هویت یا تبعیض. اگر Autosoft BV اقدامات حفاظتی فنی مناسبی را انجام داده باشد و اطلاعات شخصی مربوطه را غیرقابل درک یا غیرقابل دسترس کند، اطلاع رسانی به موضوع داده ضروری نیست. اخطار به موضوع داده باید حاوی شرحی به زبانی واضح و روشن از ماهیت نقض داده های شخصی باشد و حداقل:

• نام و مشخصات تماس افسر حفاظت از داده ها یا سایر نقاط تماسی که می توان اطلاعات بیشتری را در آنجا به دست آورد.
• عواقب احتمالی نقض داده های شخصی؛
• اقدامات پیشنهادی یا اتخاذ شده توسط کنترل کننده برای رسیدگی به نقض اطلاعات شخصی، از جمله، در صورت لزوم، اقداماتی برای کاهش هر گونه اثرات نامطلوب آن. ارزیابی اینکه آیا نقض داده باید به سازمان حفاظت از داده هلند و/یا افراد آسیب دیده گزارش شود، همیشه به Autosoft BV بستگی دارد. به منظور تعیین اینکه آیا یک حادثه باید گزارش شود یا خیر، سازمان حفاظت از داده هلند قوانین خط مشی (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) و گروه کاری 29 دستورالعمل ناظران اروپایی که در مورد تعهد گزارش در GDPR منتشر شده است. اگر Autosoft BV نقض داده را گزارش نکرده باشد، ممکن است اداره حفاظت از داده هلند از Autosoft BV بخواهد همچنان گزارشی ارائه کند. عدم ارائه گزارش می تواند با جریمه اداری مجازات شود.

چگونه نقض داده را گزارش کنم؟
سازمان حفاظت از داده هلند یک فرم وب را در دسترس قرار می دهد که باید برای گزارش نقض داده ها استفاده شود (https://dataleks.autoriteitpersoonsgegevens.nl/). سازمان حفاظت از داده هالند ثبتی از اعلان های نقض داده های دریافتی را نگه می دارد. این ثبت عمومی نیست. اگر در نتیجه نقض داده ها توسط سازمان حفاظت از داده هالند جریمه ای اعمال شود، این تصمیم به اطلاع عموم خواهد رسید. نقض داده ها همچنین زمانی که افراد سوژه داده ها باید در مورد نقض داده ها مطلع شوند، عمومی می شود. اخطار به موضوع داده در هر صورت باید نشان دهنده ماهیت نقض و مراجعی باشد که موضوع داده می تواند اطلاعات بیشتری در مورد نقض به دست آورد. همچنین باید بیان شود که موضوع داده خودش چه کاری می تواند انجام دهد تا پیامدهای منفی نقض داده ها را محدود کند. به عنوان مثال، تغییر نام کاربری و رمز عبور زمانی که ممکن است در اثر نقض به خطر افتاده باشد.

چه چیزی را باید گزارش کنم؟
یک اطلاعیه به اداره حفاظت از داده هلند شامل موارد زیر است:

• گزارشگر نقض اطلاعات
• فردی که اداره حفاظت از داده هلند می تواند برای اطلاعات بیشتر در مورد گزارش با او تماس بگیرد.
• خلاصه ای از حادثه ای که در آن نقض امنیت داده های شخصی رخ داده است.
• زمان وقوع تخلف
• ماهیت نقض
• نوع داده های شخصی مربوطه
• عواقبی که نقض ممکن است برای حریم خصوصی افراد درگیر داشته باشد.
• اقدامات فنی و سازمانی که Autosoft BV برای مقابله با تخلف و جلوگیری از تخلفات بعدی انجام داده است.
• آیا Autosoft BV نقض داده‌ها را به سوژه‌های داده گزارش کرده است یا خیر، آیا Autosoft BV قصد انجام این کار را دارد یا خیر:
• اگر چنین است، محتوای اطلاع رسانی به موضوع داده ها.
• در غیر این صورت، دلیل اینکه Autosoft BV از گزارش نقض داده ها به سوژه های داده خودداری می کند.
• آیا داده های شخصی رمزگذاری شده، هش شده یا به شکل دیگری غیرقابل درک یا غیرقابل دسترس برای افراد غیرمجاز شده است؟

بخش 2: بندهای پردازش استاندارد

نسخه: سپتامبر 2019
به همراه بیانیه Data Pro توافقنامه پردازش را تشکیل می دهد و پیوستی به توافقنامه و پیوست های همراه آن مانند شرایط و ضوابط عمومی قابل اجرا است.

ماده 1. تعاریف

اصطلاحات زیر در این بندهای استاندارد برای پردازش، در بیانیه Data Pro و در توافقنامه دارای معانی زیر هستند:

• 1.1 اداره حفاظت از داده هلند (AP): مرجع نظارتی، همانطور که در ماده 4، زیر 21 قانون متوسط ​​​​شرح شده است.
• 1.2 AVG: مقررات عمومی حفاظت از داده ها
• 1.3 پردازشگر داده: طرفی که به عنوان یک تامین کننده فناوری اطلاعات و ارتباطات، داده های شخصی را به نفع مشتری خود در چارچوب اجرای قرارداد پردازش می کند.
• 1.4 بیانیه Data Pro: بیانیه پردازشگر داده که در آن اطلاعاتی را در مورد استفاده مورد نظر از محصول یا خدمات خود، اقدامات امنیتی انجام شده، زیرپردازنده ها، نشت داده ها، گواهینامه ها و رسیدگی به حقوق افراد داده ارائه می دهد.
• 1.5 موضوع داده (موضوع داده): یک شخص حقیقی شناسایی شده یا قابل شناسایی
• 1.6 مشتری: طرفی که پردازشگر داده از طرف او داده های شخصی را پردازش می کند. Client می تواند یک کنترل کننده ("کنترل کننده") یا یک پردازنده دیگر باشد.
• 1.7 توافقنامه: قرارداد بین مشتری و پردازشگر داده، که بر اساس آن تامین کننده فناوری اطلاعات و ارتباطات، خدمات و/یا محصولاتی را به مشتری ارائه می کند، که قرارداد پردازشگر بخشی از آن است.
• 1.8 داده های شخصی: کلیه اطلاعات مربوط به یک شخص حقیقی شناسایی شده یا قابل شناسایی، همانطور که در ماده 4، زیر 1 AVG توضیح داده شده است، که پردازشگر داده در چارچوب اجرای تعهدات خود ناشی از توافق نامه پردازش می کند.
• 1.9 موافقتنامه پردازش: این بندهای استاندارد برای پردازش، که همراه با بیانیه Data Pro (یا اطلاعات قابل مقایسه) از پردازشگر داده، توافقنامه پردازش را که در بند 28 ماده 3 GDPR ذکر شده است، تشکیل می دهد.

ماده 2. عمومی

• 2.1 این بندهای پردازش استاندارد در مورد کلیه پردازش داده های شخصی که پردازشگر داده در زمینه تحویل محصولات و خدمات خود و کلیه توافق نامه ها و پیشنهادات انجام می دهد اعمال می شود. قابل اجرا بودن قراردادهای پردازش مشتری صریحاً رد می شود.
• 2.2 بیانیه Data Pro، و به ویژه اقدامات امنیتی موجود در آن، ممکن است هر از گاهی توسط پردازشگر داده اصلاح شود تا شرایط در حال تغییر را منعکس کند. پردازشگر داده، تغییرات مهم را به مشتری اطلاع خواهد داد. اگر مشتری نتواند به طور منطقی با تنظیمات موافقت کند، مشتری حق دارد ظرف 30 روز پس از اطلاع از تنظیمات، قرارداد پردازش را به صورت کتبی فسخ کند.
• 2.3 پردازشگر داده، داده های شخصی را از طرف و از طرف مشتری مطابق با دستورالعمل های کتبی مشتری که با داده پرداز توافق شده است پردازش می کند.
• 2.4 مشتری، یا مشتری او، کنترل کننده به معنای GDPR است، بر پردازش داده های شخصی کنترل دارد و هدف و ابزار پردازش داده های شخصی را تعیین کرده است.
• 2.5 پردازشگر داده یک پردازشگر به معنای GDPR است و بنابراین هیچ کنترلی بر هدف و ابزار پردازش داده های شخصی ندارد و بنابراین هیچ تصمیمی در مورد استفاده از داده های شخصی از جمله موارد دیگر نمی گیرد.
• 2.6 Data Processor GDPR را همانطور که در این بندهای استاندارد برای پردازش، بیانیه Data Pro و موافقتنامه ذکر شده است، اجرا می کند. این به مشتری بستگی دارد که بر اساس این اطلاعات ارزیابی کند که آیا پردازشگر داده تضمین های کافی را با توجه به اعمال اقدامات فنی و سازمانی مناسب ارائه می دهد تا پردازش با الزامات GDPR و حمایت از حقوق موضوع داده ها مطابقت داشته باشد. کافی است تضمین شده است
• 2.7 مشتری به پردازشگر داده تضمین می‌کند که مطابق با GDPR عمل می‌کند، از سیستم‌ها و زیرساخت‌های خود همیشه محافظت می‌کند و محتوا، استفاده و/یا پردازش داده‌های شخصی غیرقانونی نیست و هیچ حقی را نقض نمی‌کند. از یک شخص ثالث
• 2.8 جریمه اداری تحمیل شده بر روی مشتری توسط AP نمی تواند از Data Processor بازیابی شود.

ماده 3. امنیت

• 3.1 پردازشگر داده اقدامات امنیتی فنی و سازمانی را انجام می دهد، همانطور که در بیانیه Data Pro خود توضیح داده شده است. هنگام اتخاذ تدابیر امنیتی فنی و سازمانی، پردازشگر داده، وضعیت هنر، هزینه های اجرای اقدامات امنیتی، ماهیت، دامنه و زمینه پردازش، اهداف و استفاده مورد نظر از محصولات و خدمات خود را در نظر گرفته است. ، خطرات پردازش و خطراتی که از نظر احتمال و جدیت برای حقوق و آزادی های افراد موضوع داده که او می تواند با توجه به استفاده مورد نظر از محصولات و خدمات خود انتظار داشته باشد متفاوت است.
• 3.2 محصول یا خدمات پردازشگر داده برای پردازش دسته‌های خاصی از داده‌های شخصی یا داده‌های مربوط به محکومیت‌ها یا جرایم جنایی یا شماره‌های شخصی صادر شده توسط دولت طراحی نشده است، مگر اینکه به صراحت در بیانیه Data Pro بیان شده باشد.
• 3.3 پردازشگر داده تلاش می کند تا اطمینان حاصل کند که اقدامات امنیتی که باید توسط آن انجام شود برای استفاده مورد نظر از محصول یا خدمات توسط داده پرداز مناسب است.
• 3.4 به نظر مشتری، اقدامات امنیتی توصیف شده، با در نظر گرفتن عوامل ذکر شده در ماده 3.1، سطح امنیتی متناسب با خطر پردازش داده های شخصی استفاده شده یا ارائه شده توسط آن را ارائه می دهد.
• 3.5 اگر پردازشگر داده برای ادامه ارائه سطح مناسب امنیت لازم بداند، ممکن است تغییراتی در اقدامات امنیتی اتخاذ شده ایجاد کند. پردازشگر داده تغییرات مهم را ثبت خواهد کرد، به عنوان مثال در یک بیانیه اصلاح شده Data Pro، و در صورت لزوم، مشتری را از این تغییرات مطلع خواهد کرد.
• 3.6 مشتری می تواند از پردازشگر داده درخواست کند تا اقدامات امنیتی بیشتری را انجام دهد. پردازشگر داده هیچ تعهدی به ایجاد تغییرات در اقدامات امنیتی خود در صورت چنین درخواستی ندارد. پردازشگر داده می تواند هزینه های مربوط به تغییرات ایجاد شده را بنا به درخواست مشتری از مشتری دریافت کند. تنها پس از اینکه اقدامات امنیتی اصلاح شده مورد نظر مشتری به صورت کتبی مورد توافق قرار گرفت و توسط طرفین امضا شد، پردازشگر داده موظف به اجرای واقعی این اقدامات امنیتی است.

ماده 4. نقض داده های شخصی

• 4.1 پردازشگر داده تضمین نمی کند که اقدامات امنیتی تحت هر شرایطی موثر باشد. اگر پردازشگر داده نقضی را در ارتباط با داده های شخصی کشف کند (همانطور که در ماده 4 زیر 12 میانگین ذکر شده است)، مشتری را بدون تأخیر بی مورد مطلع می کند. بیانیه Data Pro (تحت پروتکل نشت داده) نحوه اطلاع مشتری را در مورد نقض در ارتباط با داده های شخصی توسط پردازشگر داده مشخص می کند.
• 4.2 ارزیابی اینکه آیا نقض داده های شخصی که پردازشگر داده در مورد آن اطلاع داده است، باید به AP یا موضوع داده گزارش شود، به کنترل کننده (مشتری یا مشتری آن) بستگی دارد. گزارش نقض در ارتباط با داده های شخصی، که باید طبق مواد 33 و 34 GDPR به AP و/یا افراد داده گزارش شود، مسئولیت کنترل کننده (مشتری یا مشتری آن) همیشه باقی می ماند. پردازشگر داده موظف به گزارش نقض داده های شخصی به AP و/یا موضوع داده نیست.
• 4.3 پردازشگر داده، در صورت لزوم، اطلاعات بیشتری در مورد نقض در ارتباط با داده های شخصی ارائه می دهد و با ارائه اطلاعات لازم به مشتری به منظور اطلاع رسانی که در مواد 33 و 34 میانگین اشاره شده است، همکاری خواهد کرد.
• 4.4 پردازشگر داده می‌تواند هزینه‌های معقولی را که در این زمینه متحمل می‌شود، با نرخ‌های قابل اجرا از مشتری دریافت کند.

ماده 5. محرمانه بودن

• 5.1 پردازشگر داده تضمین می کند که افرادی که داده های شخصی را تحت مسئولیت خود پردازش می کنند، وظیفه محرمانه بودن را دارند.
• 5.2 پردازشگر داده حق دارد داده های شخصی را در اختیار اشخاص ثالث قرار دهد، در صورتی که و تا آنجایی که بر اساس تصمیم دادگاه، مقررات قانونی یا بر اساس دستور مجاز از یک مقام دولتی، ارائه آن ضروری باشد.
• 5.3 کلیه کدهای دسترسی و/یا شناسایی، گواهی ها، اطلاعات مربوط به خط مشی دسترسی و/یا رمز عبور ارائه شده توسط Data Processor به مشتری و کلیه اطلاعات ارائه شده توسط Data Processor به Client که اقدامات امنیتی فنی و سازمانی مندرج در بیانیه Data Pro را اجرا می کند، محرمانه هستند. و مشتری با آن رفتار خواهد کرد و فقط به کارکنان مجاز مشتری اطلاع داده می شود. مشتری تضمین می کند که کارکنانش به تعهدات مندرج در این ماده عمل می کنند.

ماده 6. مدت و فسخ

• 6.1 این قرارداد پردازشگر بخشی از توافقنامه را تشکیل می دهد و هر توافق جدید یا بعدی ناشی از آن، در زمان انعقاد موافقتنامه لازم الاجرا می شود و برای مدت نامحدودی منعقد می شود.
• 6.2 این قرارداد پردازشگر بر اساس قانون با فسخ قرارداد یا هر توافق جدید یا بعدی بین طرفین به پایان می رسد.
• 6.3 در صورت پایان قرارداد پردازش، پردازشگر داده تمام داده های شخصی را که در اختیار دارد و از مشتری دریافت کرده است را در مدت مندرج در بیانیه Data Pro حذف می کند به گونه ای که دیگر قابل استفاده نباشد و دیگر قابل استفاده نباشد. در دسترس باشد (غیرقابل دسترسی باشد).، یا در صورت توافق، آن را در قالب قابل خواندن ماشین به مشتری برگردانید.
• 6.4 پردازشگر داده می تواند هر هزینه ای را که در چارچوب مفاد ماده 6.3 متحمل می شود از مشتری دریافت کند. توافقات بیشتر در مورد این را می توان در بیانیه Data Pro تنظیم کرد.
• 6.5 مفاد ماده 6.3 در صورتی اعمال نمی شود که یک مقررات قانونی، پردازشگر داده را از حذف یا بازگرداندن کامل یا جزئی داده های شخصی منع کند. در چنین حالتی، پردازشگر داده تنها تا حدی که طبق تعهدات قانونی خود لازم است به پردازش داده های شخصی ادامه می دهد. مفاد ماده 6.3 نیز در صورتی اعمال نمی شود که پردازشگر داده کنترل کننده به معنای GDPR در مورد داده های شخصی باشد.

ماده 7. حقوق موضوع داده ها، ارزیابی تأثیر حفاظت از داده (DPIA) و حقوق حسابرسی

• 7.1 پردازشگر داده، در صورت امکان، با درخواست‌های معقول مشتری در رابطه با حقوق موضوع داده‌ها که توسط سوژه‌های داده از مشتری درخواست می‌شود، همکاری خواهد کرد. اگر یک موضوع داده مستقیماً به پردازشگر داده مراجعه کند، او این شخص را در صورت امکان به مشتری ارجاع می دهد.
• 7.2 اگر مشتری موظف به انجام این کار باشد، پردازشگر داده با ارزیابی تأثیر حفاظت از داده (DPIA) یا مشاوره قبلی بعدی که در مواد 35 و 36 میانگین اشاره شده است همکاری خواهد کرد.
• 7.3 پردازشگر داده تا جایی که مشتری نتواند این کار را انجام دهد، با درخواست های مشتری برای حذف داده های شخصی همکاری خواهد کرد.
• 7.4 به درخواست مشتری، پردازشگر داده همچنین تمام اطلاعات بیشتری را که به طور منطقی برای نشان دادن انطباق با توافق نامه های انجام شده در این توافق نامه پردازش ضروری است، در دسترس قرار می دهد. اگر مشتری دلیلی برای این باور داشته باشد که پردازش داده های شخصی مطابق با توافق نامه پردازش انجام نمی شود، می تواند حداکثر سالی یک بار توسط یک کارشناس خارجی مستقل، گواهی شده و دارای تجربه قابل اثبات در مورد نوع پردازش، با آن مشورت شود. پردازشی که بر اساس توافقنامه انجام می شود، حسابرسی را با هزینه مشتری انجام دهید. ممیزی محدود به بررسی انطباق با توافق نامه های مربوط به پردازش داده های شخصی خواهد بود که در این توافق نامه پردازشگر آمده است. کارشناس نسبت به آنچه می یابد وظیفه محرمانگی خواهد داشت و فقط مواردی را به مشتری گزارش می دهد که منجر به نقص در اجرای تعهداتی شود که پردازشگر داده تحت این قرارداد پردازشگر دارد. کارشناس یک نسخه از گزارش خود را به داده پرداز ارائه می دهد. در صورتی که پردازشگر داده، به نظر او، GDPR یا قوانین دیگر را نقض کند یا به منزله نقض غیرمجاز اقدامات امنیتی باشد، ممکن است از ممیزی یا دستور کارشناس امتناع کند.
• 7.5 طرفین در اسرع وقت درباره نتایج این گزارش رایزنی خواهند کرد. طرفین اقدامات بهبود پیشنهادی مندرج در این گزارش را تا حدی دنبال خواهند کرد که به طور منطقی بتوان از آنها انتظار داشت. پردازشگر داده اقدامات بهبود پیشنهادی را تا حدی که به نظرش مناسب باشد، با در نظر گرفتن ریسک های پردازش مرتبط با محصول یا خدمات خود، وضعیت هنر، هزینه های اجرا، بازاری که در آن فعالیت می کند، اجرا خواهد کرد. استفاده مورد نظر از محصول یا خدمات.
• 7.6 پردازشگر داده حق دارد هزینه هایی را که در چارچوب مفاد این ماده متحمل می شود از مشتری دریافت کند.

ماده 8. پردازشگرهای فرعی

• 8.1 پردازشگر داده در بیانیه Data Pro بیان کرده است که آیا، و اگر چنین است، کدام شخص ثالث (فرعی پردازشگر یا فرعی پردازشگر) پردازشگر داده در پردازش داده های شخصی شرکت می کند یا خیر.
• 8.2 مشتری به داده‌پرداز اجازه می‌دهد تا سایر زیرپردازنده‌ها را برای انجام تعهدات ناشی از توافق‌نامه به کار گیرد.
• 8.3 پردازشگر داده مشتری را در مورد تغییر در اشخاص ثالثی که توسط پردازشگر داده درگیر شده است، به عنوان مثال از طریق یک بیانیه اصلاح شده Data Pro اطلاع خواهد داد. مشتری حق دارد نسبت به تغییر فوق توسط داده پرداز اعتراض کند. پردازشگر داده تضمین می‌کند که اشخاص ثالثی که توسط آن درگیر شده‌اند، با توجه به سطح امنیتی حفاظت از داده‌های شخصی که پردازشگر داده در قبال مشتری بر اساس بیانیه داده‌های حرفه‌ای به آن متعهد است، متعهد می‌شوند.

ماده 9. سایر

این بندهای پردازش استاندارد، همراه با بیانیه Data Pro، بخشی جدایی ناپذیر از توافقنامه را تشکیل می دهند. بنابراین، کلیه حقوق و تعهدات تحت توافق نامه، از جمله شرایط و ضوابط عمومی قابل اجرا و/یا محدودیت های مسئولیت، در مورد توافق نامه پردازش نیز اعمال می شود.