Suorittimen sopimus

esittely

Autosoft BV käsittelee muun muassa henkilötietoja asiakkaan puolesta ja puolesta. Autosoft BV ja asiakas ovat siksi velvollisia yleisen tietosuoja-asetuksen (GDPR) mukaan tekemään käsittelijäsopimuksen. GDPR:n mukaan Autosoft BV on "käsittelijä" ja asiakas on "rekisterinpitäjä". Tässä Käsittelijäsopimuksessa kuvataan myös, kuinka Autosoft BV käsittelee tietoturvaloukkausilmoitusvelvollisuutta.

Suorittimen sopimus

Koostuu:
Osa 1: Data Pro -lausunto
Osa 2: Standardikäsittelylausekkeet

Osa 1: Data Pro -lausunto

Yleistä

1). Tämän Data Pro -selosteen on laatinut seuraava tietojen käsittelijä (käsittelijä):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Jos sinulla on kysyttävää tästä Data Pro -lausunnosta tai tietosuojasta, ota yhteyttä:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Tämä Data Pro -seloste on voimassa 1 alkaen
Muokkaamme säännöllisesti tätä Data Pro -selostetta ja siinä kuvattuja turvatoimenpiteitä varmistaaksemme, että olemme aina valmiita ja ajan tasalla tietosuojan suhteen. Pidämme sinut ajan tasalla uusista versioista tavallisten kanavien kautta.

3). Tämä Data Pro -seloste koskee seuraavia tietojenkäsittelyn tuotteita ja palveluita

• Automaattinen verkkosivusto
• AutoCommerce

4). Kuvaus Auton verkkosivusto
Autoyritykset käyttävät Autowebsite-sivustoa. Autowebsite-sivuston avulla autoyritykset voivat esitellä itsensä Internetissä.

5). Käyttötarkoitus Auton verkkosivu
Automaattinen verkkosivusto on suunniteltu ja varustettu käsittelemään seuraavan tyyppisiä tietoja:
Autosoftin ja Autowebsite -sivuston kehittämien verkkosivujen kävijät voivat jättää sinne yhteystietonsa, jotta autoyhtiöllä on mahdollisuus kääntyä vierailijan puoleen lisäpalveluiden saamiseksi. Näitä yhteystietoja ei tallenneta Autosoftiin, vaan ne välitetään suoraan sähköpostitse autoyhtiön sähköpostiosoitteeseen.

• Tämä palvelu ei ota huomioon erityisten henkilötietojen käsittelyä tai rikostuomioita ja rikoksia koskevia tietoja tai valtion myöntämiä henkilönumeroita.

6). Kuvaus Autocommerce
Autoyritykset käyttävät Autocommercea. Autokaupan avulla autoyritykset voivat hallita ja esitellä ajoneuvojaan omilla verkkosivuillaan ja kolmansien osapuolten Internet-hakuportaaleilla.

7). Autokaupan käyttötarkoitus
Autocommerce on suunniteltu ja määritetty käsittelemään seuraavan tyyppisiä tietoja:
Autoyritykset voivat sijoittaa rekisteröidyt ajoneuvonsa Autocommercen kautta omilla autosivustollaan. Nämä rekisteröidyt ajoneuvot eivät sisällä tietoja, jotka voidaan jäljittää henkilötietoihin missään muodossa. Auton verkkosivuilla vierailijoilla on mahdollisuus jättää sinne yhteystietonsa, jotta autoyhtiöllä on mahdollisuus kääntyä vierailijan puoleen lisäpalveluiden saamiseksi. Vierailijan omilla Auton verkkosivuilla jättämät yhteystiedot tallennetaan Autocommerceen.

• Tämä palvelu ei ota huomioon erityisten henkilötietojen käsittelyä tai rikostuomioita ja rikoksia koskevia tietoja tai valtion myöntämiä henkilönumeroita.

8). Tietojen käsittelijä käyttää Autowebsite- ja Autocommercen käsittelyssä vakiolausekkeita, jotka ovat Sopimuksen liitteenä.

9). Tietojen käsittelijä käsittelee asiakkaidensa henkilötietoja EU/ETA-alueella Autowebsite- ja Autocommercea varten.

10). Tietojen käsittelijä käyttää seuraavia alikäsittelijöitä Autocommercessa:
Joissakin tapauksissa Autosoft lähettää rekisteröidyt ajoneuvonsa Autocommercen kautta kolmansien osapuolten tai alikäsittelijöiden Internet-hakuportaaleihin Autoyhtiön puolesta. Luettelo aliprosessoreista on saatavilla pyynnöstä osoitteesta support@autosoft.eu.

11). Asiakkaan kanssa tehdyn Sopimuksen irtisanomisen jälkeen tietojenkäsittelijä poistaa asiakkaan puolesta käsittelemänsä henkilötiedot periaatteessa 3 kuukauden kuluessa siten, että niitä ei voida enää käyttää ja niihin ei ole enää pääsyä (muutetaan käyttökelvottomiksi).

Turvallisuuspolitiikka

Yhteenveto seuraavista turvatoimista, joihin tietojen käsittelijä on ryhtynyt tuotteensa tai palvelunsa suojaamiseksi:

Tapahtumanhallinta- ja reagointipolitiikka
Tietoturva-alan tapaturmien hallinta- ja reagointipolitiikkaan kuuluu tietoturvapoikkeamien seuranta ja havaitseminen tietokoneessa tai IT-infrastruktuurissa, mutta myös henkilöstön epäilyttävän toiminnan havainnointi ja oikea reagointi näihin tapahtumiin.

Tämän politiikan ensisijainen tavoite on kehittää hyvin ymmärretty ja ennustettava vastaus haitallisiin tapahtumiin ja tietokonemurtoihin sanan laajimmassa merkityksessä.

Tapahtumanhallinta- ja reagointipolitiikka on tietokoneiden, verkkojen ja tietojärjestelmien sekä niihin tallennettujen tietojen hallintaa ja suojaamista. Autosoft on tietoinen velvollisuuksistaan ​​suojata näitä tietoja asiakkaidensa ja toimitusketjukumppaneidensa hyödyksi. Tämä vastuu ulottuu tapausmenettelyyn. Tapahtumahallinta on toimintojen kokonaisuus, joka määrittelee ja toteuttaa prosessin, jolla organisaatio voi edistää omaa hyvinvointiaan ja yleisön turvallisuutta.

IT ja turvallisuus
Autosoft BV:n ICT-rakenne on suojattu riittävästi palomuurilla ja virustarkistusohjelmistot pidetään ajan tasalla. Jokaisella työntekijällä on kirjautumisprofiili. Tietokonetta käynnistettäessä työntekijöiden tulee syöttää sisäänkirjautumisnimi ja salasana sekä mahdollisuuksien mukaan 2-vaiheinen tunnistautuminen.

Tietyt ohjelmistot kysyvät myös kirjautumisnimeä ja salasanaa sekä mahdollisuuksien mukaan 2-vaiheista todennusta. Työntekijöiden tietoisuutta turvallisesta työskentelystä edistetään esimerkiksi kiinnittämällä huomiota siihen, ettei epäilyttäviä sähköposteja avata, olla klikkaamatta epäilyttäviä linkkejä, kirjautumalla ulos työpaikalta pitkäksi ajaksi ja niin edelleen.

Tiedostot varmuuskopioidaan päivisin ja joka yö. Turvallisuussyistä varmuuskopiointiin liittyvä tallennusprosessi on luottamuksellinen. Autosoft BV on solminut tästä palvelusopimukset tietokonetoimittajien ja Internet-palveluntarjoajien kanssa.

Tietosuojakäytäntö
Autosoft BV ryhtyy asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin suojellakseen asiakkaan henkilötietoja katoamiselta tai kaikenlaiselta laittomalta käsittelyltä. Näitä teknisiä ja organisatorisia toimenpiteitä pidetään asianmukaisena suojaustasona GDPR:n artiklan 1 mukaisesti ja ne tallennetaan asiakirjoina Autosoft BV:n Basecampiin (Projekti: Organisaatio/Tietosuojakäytäntö)

Tekninen ja organisatorinen

1. Toimenpiteet sen varmistamiseksi, että vain valtuutetulla henkilöstöllä on pääsy Käsittelijäsopimuksen puitteissa käsiteltyihin henkilötietoihin;
2. Toimenpiteet henkilötietojen suojaamiseksi erityisesti vahingossa tapahtuvalta tai laittomalta tuhoamiselta, katoamiselta, vahingossa tapahtuvalta muuttamiselta, luvattomalta tai laittomalta säilyttämiseltä, pääsyltä tai paljastamiselta;
3. Toimenpiteet henkilötietojen suojaamiseksi erityisesti vahingossa tapahtuvalta tai laittomalta tuhoutumiselta, katoamiselta, vahingossa tapahtuvalta muuttamiselta, luvattomalta tai laittomalta säilyttämiseltä, pääsyltä tai paljastamiselta tietojenvaihdon/kuljetuksen aikana;
4. Toimenpiteet, joilla varmistetaan jatkuva kyky varmistaa editointijärjestelmien ja -palvelujen luottamuksellisuus, eheys, saatavuus ja joustavuus;
5. Toimenpiteet henkilötietojen saatavuuden ja pääsyn palauttamiseksi oikea-aikaisesti fyysisen tai teknisen vaaratilanteen sattuessa;
6. Toimenpiteet henkilötietojen käsittelyyn liittyvien haavoittuvuuksien tunnistamiseksi järjestelmissä, joita käytetään sopimuksen mukaisten palvelujen tarjoamiseen;

Organisaatio, kuten:

• Tiettyihin henkilötietoihin pääsyn saavien virkamiesten piirin rajoittaminen niihin henkilöihin, jotka tarvitsevat tietoja tehtäviensä hoitamiseksi;
• antaa näille henkilöille pääsy vain henkilötietoihin, joita he tarvitsevat tehtäviensä suorittamiseksi;
• luottamuksellisuuslausekkeen ja sakkolausekkeen sopiminen kaikkien henkilöiden kanssa, joille myönnetään pääsy henkilötietoihin;
• henkilötietojen tallentaminen palvelimille suljetussa tilassa;
• Paperitiedostojen säilyttäminen lukittavissa kaapeissa;
• tietoturvatietoisuuden lisääminen työntekijöiden keskuudessa;
• selkeiden protokollien ja menettelyjen luominen tietoturvaloukkausten ja tietoturva-aukkojen oikea-aikaista ja tehokasta käsittelyä varten;

Tietojen käsittelijä käyttää johtamiseen omia menetelmiään ja menettelytapojaan, jotka sopivat organisaation työtapaan:

• Basecampissa asiaankuuluvia asiakirjoja hallinnoidaan ja arvioidaan säännöllisesti.

Tietomurtoprotokolla

Jos jokin menee pieleen, tietojen käsittelijä käyttää seuraavaa tietovuotoprotokollaa varmistaakseen, että asiakas on tietoinen tapahtumista:

Autosoft BV – Tietomurtomenettely

Mikä on tietomurto ja milloin minun on ilmoitettava siitä AP:lle?
Tietoturvaloukkaus on tietoturvaloukkaus, johon liittyy henkilötietojen tietoturvaloukkaus altistumalla menetykselle tai laittomalle käsittelylle, kuten (mutta ei tyhjentävästi):

• Henkilötietojen oikaiseminen ja/tai muuttaminen ja luvaton pääsy näihin henkilötietoihin;
• jos hakkeri murtautuu sisään;
• USB-tikun menettäminen, kannettavan tietokoneen varkaus;
• arkaluonteisten tietojen lähettäminen väärään sähköpostiosoitteeseen;

Lain mukaan "vakava" tietoturvaloukkaus on ilmoitettava Alankomaiden tietosuojaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan viimeistään 72 tunnin kuluttua havainnosta.

Autosoft BV:n ei tarvitse raportoida Hollannin tietosuojaviranomaiselle, jos yksittäisten luonnollisten henkilöiden todellinen tunnistaminen on kohtuudella poissuljettua.
Kaikki tietoturvaloukkausepäilyt käsitellään ensisijaisesti support@autosoft.eu ilmoitettu ja rekisteröity. Tuki raportoi tapauksesta johtoryhmälle ja päättää, mihin jatkotoimenpiteisiin on ryhdyttävä.

Seurantamenettely

Milloin minun on ilmoitettava rekisteröidyille?
Tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos on olemassa suuri riski, että tietoturvaloukkauksesta on haitallisia seurauksia hänen yksityiselämässään. Epäsuotuisia seurauksia rekisteröidylle ovat: hänen maineensa ja maineensa vahingoittaminen, henkilöllisyyspetos tai syrjintä. Jos Autosoft BV on ryhtynyt asianmukaisiin teknisiin suojatoimenpiteisiin, joiden seurauksena kyseiset henkilötiedot ovat tulleet käsittämättömiksi tai käsittämättömiksi, ilmoitus rekisteröidylle ei ole tarpeen. Ilmoituksessa rekisteröidylle tulee sisältää selkeällä ja selkeällä kielellä kuvaus henkilötietojen tietoturvaloukkauksen luonteesta ja vähintään:

• tietosuojavastaavan tai muun yhteyspisteen nimi ja yhteystiedot, josta saa lisätietoja;
• henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
• rekisterinpitäjän ehdottamat tai toteuttamat toimenpiteet henkilötietoturvaloukkauksen käsittelemiseksi, mukaan lukien tarvittaessa toimenpiteet sen haittavaikutusten lieventämiseksi. Arvio siitä, onko tietoturvaloukkauksesta ilmoitettava Alankomaiden tietosuojaviranomaiselle ja/tai henkilöille, joita se koskee, on aina Autosoft BV:n tehtävä. Alankomaiden tietosuojaviranomainen on laatinut säännöt (https://autoriteitpersoonsgegevens.nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) määrittääkseen, onko tapauksesta raportoitava. GDPR:n raportointivelvollisuudesta julkaistujen eurooppalaisten valvojien ohjeiden työryhmä 29. Jos Autosoft BV ei ole ilmoittanut tietoturvaloukkauksesta, Hollannin tietosuojaviranomainen voi vaatia, että Autosoft BV tekee silti ilmoituksen. Ilmoittamatta jättämisestä voidaan tuomita hallinnolliseen sakkoon.

Miten ilmoitan tietoturvaloukkauksesta?
Hollannin tietosuojaviranomainen tarjoaa verkkolomakkeen, jota tulee käyttää tietoturvaloukkauksista ilmoittamiseen (https://dataleks.autoriteitpersoonsgegevens.nl/). Hollannin tietosuojaviranomainen pitää rekisteriä vastaanotetuista tietoturvaloukkausilmoituksista. Tämä rekisteri ei ole julkinen. Jos Alankomaiden tietosuojaviranomainen määrää sakon tietoturvaloukkauksen seurauksena, tämä päätös julkistetaan. Tietoturvaloukkaus julkistetaan myös silloin, kun rekisteröidylle on ilmoitettava tietoturvaloukkauksesta. Ilmoituksessa rekisteröidylle tulee joka tapauksessa mainita loukkauksen luonne ja viranomaiset, joista rekisteröity voi saada lisätietoa loukkauksesta. On myös mainittava, mitä rekisteröity voi itse tehdä rajoittaakseen tietoturvaloukkauksen kielteisiä seurauksia. Esimerkiksi käyttäjänimien ja salasanojen vaihtaminen, kun ne ovat saaneet vaarantua tietomurron seurauksena.

Mitä minun pitäisi raportoida?
Ilmoitus Alankomaiden tietosuojaviranomaiselle sisältää:

• Tietomurron toimittaja.
• Henkilö, johon Alankomaiden tietosuojaviranomainen voi ottaa yhteyttä saadakseen lisätietoja raportista.
• Yhteenveto tapauksesta, jossa henkilötietojen tietoturvaloukkaus tapahtui.
• Rikkomuksen ajankohta.
• Rikkomisen luonne.
• Asianomaisten henkilötietojen tyyppi.
• Seuraukset, joita loukkauksella voi olla asianosaisten yksityisyydelle.
• Tekniset ja organisatoriset toimenpiteet, joihin Autosoft BV on ryhtynyt puuttuakseen rikkomiseen ja estääkseen uusia rikkomuksia.
• Onko Autosoft BV ilmoittanut tietoturvaloukkauksesta rekisteröidyille ja jos ei, aikooko Autosoft BV tehdä tämän:
• Jos on, rekisteröidyille tehtävän ilmoituksen sisältö.
• Jos ei, miksi Autosoft BV pidättäytyy ilmoittamasta tietoturvaloukkauksesta rekisteröidyille.
• Onko henkilötiedot salattu, tiivistetty tai muulla tavoin tehty käsittämättömiksi tai luvattomien henkilöiden ulottumattomiin?

Osa 2: Standardikäsittelylausekkeet

Versio: syyskuu 2019
Yhdessä Data Pro -lausunnon kanssa muodostaa käsittelysopimuksen ja on liite Sopimukseen ja sen liitteisiin, kuten sovellettaviin yleisiin ehtoihin.

Artikla 1. Määritelmät

Alla olevilla termeillä on seuraavat merkitykset näissä käsittelyä koskevissa vakiolausekkeissa, Data Pro -lausunnossa ja sopimuksessa:

• 1.1 Hollannin tietosuojaviranomainen (AP): Keskimääräinen valvontaviranomainen 4 §:n 21 momentissa kuvatulla tavalla.
• 1.2 AVG: yleiseen tietosuoja-asetukseen.
• 1.3 Tietojen käsittelijä: osapuoli, joka ICT-toimittajana käsittelee Henkilötietoja Asiakkaansa eduksi Sopimuksen täytäntöönpanon yhteydessä.
• 1.4 Data Pro -lausunto: Tietojen käsittelijän lausunto, jossa se antaa tietoja tuotteensa tai palvelunsa aiotusta käytöstä, toteutetuista turvatoimenpiteistä, alikäsittelijöistä, tietovuodoista, sertifikaateista ja rekisteröityjen oikeuksien käsittelystä.
• 1.5 Rekisteröity (rekisteröity): tunnistettu tai tunnistettavissa oleva luonnollinen henkilö.
• 1.6 Asiakas: osapuoli, jonka puolesta tietojenkäsittelijä käsittelee henkilötietoja. Asiakas voi olla joko rekisterinpitäjä ("ohjain") tai toinen prosessori.
• 1.7 Sopimus: Asiakkaan ja Tietojen käsittelijän välinen sopimus, jonka perusteella ICT-toimittaja toimittaa Asiakkaalle palveluita ja/tai tuotteita, johon käsittelijäsopimus on osa.
• 1.8 Henkilötiedot: kaikki AVG:n 4 artiklan 1 kohdassa kuvatut tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskevat tiedot, joita tietojenkäsittelijä käsittelee sopimuksesta johtuvien velvoitteidensa täyttämisen yhteydessä.
• 1.9 Käsittelysopimus: nämä käsittelyä koskevat vakiolausekkeet, jotka yhdessä tietojenkäsittelijän Data Pro -lausunnon (tai vastaavan tiedon) kanssa muodostavat GDPR:n 28 artiklan 3 kohdassa tarkoitetun käsittelysopimuksen.

Artikla 2. Yleistä

• 2.1 Näitä vakiokäsittelylausekkeita sovelletaan kaikkeen henkilötietojen käsittelyyn, jota tietojenkäsittelijä suorittaa tuotteidensa ja palveluidensa toimittamisen yhteydessä, sekä kaikkiin sopimuksiin ja tarjouksiin. Asiakkaan käsittelysopimusten sovellettavuus on nimenomaisesti hylätty.
• 2.2 Tietojen käsittelijä voi ajoittain muuttaa Data Pro -selostetta ja erityisesti sen sisältämiä turvatoimenpiteitä vastaamaan muuttuvia olosuhteita. Tietojen käsittelijä ilmoittaa Asiakkaalle merkittävistä muutoksista. Jos Asiakas ei voi kohtuudella hyväksyä oikaisuja, Asiakkaalla on oikeus irtisanoa käsittelysopimus kirjallisesti 30 päivän kuluessa oikaisujen tiedoksiantamisesta.
• 2.3 Tietojenkäsittelijä käsittelee Henkilötietoja Asiakkaan puolesta ja puolesta Tietojenkäsittelijän kanssa sovittujen Asiakkaan kirjallisten ohjeiden mukaisesti.
• 2.4 Asiakas tai sen asiakas on GDPR:n mukainen rekisterinpitäjä, joka hallitsee henkilötietojen käsittelyä ja on määrittänyt henkilötietojen käsittelyn tarkoituksen ja keinot.
• 2.5 Tietojen käsittelijä on GDPR:n mukainen käsittelijä, joten sillä ei ole määräysvaltaa henkilötietojen käsittelyn tarkoitukseen ja keinoihin, eikä hän siksi tee päätöksiä muun muassa henkilötietojen käytöstä.
• 2.6 Tietojen käsittelijä toteuttaa GDPR:n näiden käsittelyä koskevien vakiolausekkeiden, Data Pro -lausunnon ja sopimuksen mukaisesti. Asiakkaan tehtävänä on arvioida näiden tietojen perusteella, tarjoaako tietojenkäsittelijä riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden soveltamisesta siten, että käsittely täyttää GDPR:n vaatimukset ja rekisteröityjen oikeuksien suojan. riittää, taattu.
• 2.7 Asiakas takaa tietojenkäsittelijälle, että se toimii GDPR:n mukaisesti, että se suojaa järjestelmänsä ja infrastruktuurinsa asianmukaisesti kaikkina aikoina ja että henkilötietojen sisältö, käyttö ja/tai käsittely ei ole lainvastaista eikä loukkaa mitään oikeuksia. kolmannelta osapuolelta.
• 2.8 AP:n Asiakkaalle määräämää hallinnollista sakkoa ei voida periä tietojenkäsittelijältä.

Artikla 3. Turvallisuus

• 3.1 Tietojen käsittelijä toteuttaa tekniset ja organisatoriset turvatoimenpiteet, jotka on kuvattu Data Pro -lausunnossaan. Tietojen käsittelijä on teknisiä ja organisatorisia turvatoimenpiteitä tehdessään ottanut huomioon tekniikan tason, turvatoimenpiteiden toteutuskustannukset, käsittelyn luonteen, laajuuden ja kontekstin, tuotteidensa ja palveluidensa tarkoitukset ja käyttötarkoitukset. , käsittelyriskit ja riskit, joiden todennäköisyys ja vakavuus eroavat rekisteröityjen oikeuksista ja vapauksista, joita hän voi odottaa tuotteidensa ja palveluidensa käyttötarkoituksen perusteella.
• 3.2 Ellei Data Pro -lausunnossa nimenomaisesti toisin mainita, tietojenkäsittelijän tuotetta tai palvelua ei ole suunniteltu käsittelemään erityisiä henkilötietoja tai rikostuomioita tai rikoksia koskevia tietoja tai valtion myöntämiä henkilönumeroita.
• 3.3 Tietojenkäsittelijä pyrkii varmistamaan, että sen toteuttamat turvatoimenpiteet ovat asianmukaisia ​​tietojenkäsittelijän aiottuun tuotteen tai palvelun käyttöön.
• 3.4 Asiakkaan näkemyksen mukaan kuvatut turvatoimenpiteet tarjoavat, ottaen huomioon kohdassa 3.1 tarkoitetut tekijät, turvatason, joka on räätälöity sen käyttämien tai toimittamiensa Henkilötietojen käsittelyn riskiin.
• 3.5 Tietojen käsittelijä voi tehdä muutoksia turvatoimiin, jos se on hänen mielestään tarpeen asianmukaisen tietoturvatason takaamiseksi. Tietojen käsittelijä kirjaa tärkeät muutokset, esimerkiksi muutettuun Data Pro -lausuntoon, ja ilmoittaa niistä Asiakkaalle tarvittaessa.
• 3.6 Asiakas voi pyytää tietojenkäsittelijää ryhtymään lisätietoturvatoimenpiteisiin. Tietojen käsittelijällä ei ole velvollisuutta muuttaa turvatoimiaan tällaisesta pyynnöstä. Tietojenkäsittelijä voi periä Asiakkaan pyynnöstä tehdyistä muutoksista aiheutuvat kustannukset Asiakkaalta. Vasta sen jälkeen, kun Asiakkaan toivomat muutetut turvatoimenpiteet on kirjallisesti sovittu ja Osapuolet ovat allekirjoittaneet, tietojenkäsittelijä on velvollinen toteuttamaan nämä turvatoimenpiteet tosiasiallisesti.

Artikla 4. Henkilötietojen loukkaus

• 4.1 Tietojen käsittelijä ei takaa, että turvatoimenpiteet ovat tehokkaita kaikissa olosuhteissa. Jos tietojenkäsittelijä havaitsee henkilötietoihin liittyvän tietoturvaloukkauksen (kuten 4 artiklan 12 keskiarvokohdassa viitataan), se ilmoittaa asiasta Asiakkaalle ilman aiheetonta viivytystä. Data Pro -lausunto (tietovuotoprotokollan alla) määrittelee, kuinka Tietojenkäsittelijä ilmoittaa Asiakkaalle henkilötietoihin liittyvistä tietoturvaloukkauksista.
• 4.2 Rekisterinpitäjän (Asiakkaan tai sen asiakkaan) tehtävänä on arvioida, onko henkilötietojen tietoturvaloukkauksesta, josta Tietojen käsittelijä on ilmoittanut, ilmoitettava AP:lle tai rekisteröidylle. Rekisterinpitäjän (Asiakkaan tai sen asiakkaan) vastuulla on aina ilmoittaa henkilötietoihin liittyvistä tietoturvaloukkauksista, jotka on ilmoitettava AP:lle ja/tai rekisteröidyille GDPR-asetuksen 33 ja 34 artiklan mukaisesti. Tietojen käsittelijällä ei ole velvollisuutta ilmoittaa henkilötietojen tietoturvaloukkauksista AP:lle ja/tai rekisteröidylle.
• 4.3 Tietojen käsittelijä antaa tarvittaessa lisätietoja tietoturvaloukkauksesta henkilötietoihin liittyen ja toimii yhteistyössä tarvittavien tietojen toimittamisessa Asiakkaalle 33 ja 34 pykälässä tarkoitettua ilmoitusta varten.
• 4.4 Tietojenkäsittelijä voi veloittaa Asiakkaalta kohtuulliset kustannukset, joita sille tässä yhteydessä aiheutuu kulloinkin voimassa olevien hintojensa mukaisesti.

Artikla 5. Luottamuksellisuus

• 5.1 Tietojenkäsittelijä takaa, että sen vastuulla henkilötietoja käsittelevillä henkilöillä on salassapitovelvollisuus.
• 5.2 Tietojen käsittelijällä on oikeus luovuttaa henkilötietoja kolmansille osapuolille, jos ja siltä osin kuin se on tarpeen tuomioistuimen päätöksen, lain tai viranomaisen valtuuttaman määräyksen perusteella.
• 5.3 Kaikki tietojenkäsittelijän Asiakkaalle antamat pääsy- ja/tai tunnistekoodit, sertifikaatit, pääsy- ja/tai salasanakäytäntöä koskevat tiedot sekä kaikki tietojenkäsittelijän Asiakkaalle antamat tiedot, jotka toteuttavat Data Pro -lausunnossa esitetyt tekniset ja organisatoriset turvatoimenpiteet, ovat luottamuksellisia. Asiakas kohtelee niitä sellaisina ja tiedottaa vain Asiakkaan valtuutetuille työntekijöille. Asiakas varmistaa, että sen työntekijät noudattavat tämän artiklan mukaisia ​​velvoitteita.

Artikla 6. Voimassaoloaika ja irtisanominen

• 6.1 Tämä käsittelijäsopimus on osa Sopimusta ja kaikki siitä johtuvat uudet tai lisäsopimukset tulevat voimaan Sopimuksen tekohetkellä ja ovat voimassa toistaiseksi.
• 6.2 Tämä käsittelijäsopimus päättyy lain mukaan Sopimuksen tai osapuolten välisen uuden tai lisäsopimuksen päättyessä.
• 6.3 Käsittelysopimuksen päättyessä Tietojen käsittelijä poistaa kaikki hallussaan ja Asiakkaalta saamansa Henkilötiedot Data Pro -selosteessa mainitun ajanjakson kuluessa siten, että niitä ei voida enää käyttää eikä ole enää saatavilla (tehdä käyttökelvottomaksi). , tai jos on sovittu, palauttaa se asiakkaalle koneellisesti luettavassa muodossa.
• 6.4 Tietojen käsittelijä voi veloittaa Asiakkaalta kaikki kustannukset, joita sille aiheutuu kohdan 6.3 ehtojen puitteissa. Tästä voidaan sopia lisää Data Pro -lausunnossa.
• 6.5 Kohdan 6.3 määräyksiä ei sovelleta, jos lakisääteinen määräys estää tietojenkäsittelijää kokonaan tai osittain poistamasta tai palauttamasta henkilötietoja. Tällöin Tietojenkäsittelijä jatkaa henkilötietojen käsittelyä vain siinä laajuudessa, kuin se on tarpeen sen laillisten velvoitteidensa mukaisesti. Kohdan 6.3 määräyksiä ei myöskään sovelleta, jos Tietojen käsittelijä on GDPR:n mukainen rekisterinpitäjä henkilötietojen osalta.

Artikla 7. Rekisteröidyn oikeudet, tietosuojavaikutusten arviointi (DPIA) ja tilintarkastusoikeudet

• 7.1 Tietojen käsittelijä toimii mahdollisuuksien mukaan yhteistyössä Asiakkaan kohtuullisten pyyntöjen kanssa, jotka liittyvät rekisteröityjen oikeuksiin, joihin rekisteröidyt ovat vedonneet Asiakkaalta. Jos rekisteröity ottaa suoraan yhteyttä tietojenkäsittelijään, hän ohjaa tämän henkilön mahdollisuuksien mukaan Asiakkaan puoleen.
• 7.2 Jos Asiakas on velvollinen tekemään niin, tietojen käsittelijä tekee yhteistyötä tietosuojavaikutusten arvioinnin (DPIA) tai myöhemmän ennakkoneuvottelun kanssa, kuten 35 ja 36 Avg.
• 7.3 Tietojen käsittelijä tekee yhteistyötä Asiakkaan henkilötietojen poistamista koskevien pyyntöjen kanssa, mikäli Asiakas ei voi tehdä sitä itse.
• 7.4 Asiakkaan pyynnöstä Tietojen käsittelijä antaa saataville myös kaikki muut tiedot, jotka ovat kohtuudella tarpeen osoittaakseen, että tässä käsittelysopimuksessa tehtyjä sopimuksia noudatetaan. Jos Asiakkaalla on kuitenkin syytä uskoa, että henkilötietojen käsittely ei tapahdu käsittelysopimuksen mukaisesti, hän voi olla enintään kerran vuodessa riippumattoman, sertifioidun, ulkopuolisen asiantuntijan, jolla on todistettavasti kokemusta kyseisestä henkilötietojen käsittelystä. Sopimuksen perusteella tapahtuva käsittely. , teettää tarkastuksen Asiakkaan kustannuksella. Tarkastus rajoittuu henkilötietojen käsittelyä koskevien sopimusten noudattamisen tarkistamiseen tämän Käsittelijäsopimuksen mukaisesti. Asiantuntijalla on luottamuksellisuusvelvollisuus koskien löytämänsä ja hän raportoi Asiakkaalle vain sen, mikä johtaa puutteeseen tietojenkäsittelijän tämän käsittelijäsopimuksen mukaisten velvollisuuksien täyttämisessä. Asiantuntija toimittaa kopion raportistaan ​​tietojen käsittelijälle. Tietojen käsittelijä voi evätä tarkastuksen tai asiantuntijan ohjeen, jos se hänen mielestään rikkoo GDPR:ää tai muuta lainsäädäntöä tai merkitsee sen toteuttamien turvatoimien luvatonta rikkomista.
• 7.5 Osapuolet neuvottelevat mahdollisimman pian selvityksen tuloksista. Osapuolet noudattavat selonteossa esitettyjä parannustoimenpiteitä siltä osin kuin niitä voidaan kohtuudella odottaa. Tietojen käsittelijä toteuttaa ehdotetut parannustoimenpiteet siinä määrin kuin ne ovat sen mielestä asianmukaisia ​​ottaen huomioon sen tuotteeseen tai palveluun liittyvät käsittelyriskit, tekniikan tason, toteutuskustannukset, markkinat, joilla se toimii, ja tuotteen tai palvelun käyttötarkoitus.
• 7.6 Tietojen käsittelijällä on oikeus veloittaa Asiakkaalta kulut, jotka sille aiheutuu tämän artiklan määräysten puitteissa.

Artikla 8. Aliprosessorit

• 8.1 Tietojen käsittelijä on ilmoittanut Data Pro -lausunnossa, osallistuuko Tietojen käsittelijä henkilötietojen käsittelyyn, ja jos on, mitkä kolmannet osapuolet (alikäsittelijät tai alikäsittelijät).
• 8.2 Asiakas antaa tietojenkäsittelijälle luvan ottaa muita alikäsittelijöitä suorittamaan Sopimuksesta johtuvia velvoitteitaan.
• 8.3 Tietojenkäsittelijä ilmoittaa Asiakkaalle muutoksesta tietojenkäsittelijän käyttämissä kolmansissa osapuolissa esimerkiksi muutetulla Data Pro -selosteella. Asiakkaalla on oikeus vastustaa edellä mainittua tietojenkäsittelijän muutosta. Tietojenkäsittelijä varmistaa, että sen valtuuttamat kolmannet osapuolet sitoutuvat henkilötietojen suojassa samalle turvallisuustasolle kuin tietoturvatasolle, johon Tietojenkäsittelijä on Data Pro -lausunnon perusteella sidottu Asiakasta kohtaan.

Artikla 9. Muut

Nämä vakiokäsittelylausekkeet yhdessä Data Pro -lausunnon kanssa ovat erottamaton osa sopimusta. Kaikki Sopimuksen mukaiset oikeudet ja velvollisuudet, mukaan lukien sovellettavat yleiset ehdot ja/tai vastuun rajoitukset, koskevat siten myös käsittelysopimusta.