Acordo de tramitación

Introdución

Autosoft BV trata, entre outras cousas, datos persoais para e en nome do cliente. Autosoft BV e o cliente están, polo tanto, obrigados en virtude do Regulamento Xeral de Protección de Datos (GDPR) a celebrar un Acordo de procesador. Segundo o GDPR, Autosoft BV é un "procesador" e o cliente é un "controlador". Este Acordo do procesador tamén describe como Autosoft BV xestiona a obriga de notificación de violación de datos.

Acordo de tramitación

Composto por:
Parte 1: Declaración Data Pro
Parte 2: Cláusulas tipo de tramitación

Parte 1: Declaración Data Pro

Información xeral

1). Esta declaración Data Pro foi elaborada polo seguinte procesador de datos (encargado do tratamento):

• Autosoft BV
  Estrada Hengelos 547
  7521 AG Enschede

Para preguntas sobre esta Declaración de Data Pro ou sobre a protección de datos, póñase en contacto con:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Esta declaración Data Pro aplica a partir do 1 de agosto de 2021
Axustamos regularmente esta Declaración de Data Pro e as medidas de seguridade descritas nela para garantir que esteamos sempre preparados e actualizados en materia de protección de datos. Manterémosvos informados das novas versións a través das nosas canles habituais.

3). Esta declaración Data Pro aplícase aos seguintes produtos e servizos do procesador de datos

• Sitio web automático
• Autocomercio

4). Descrición Sitio web do coche
As compañías de automóbiles usan o sitio web de Auto. Con Autowebsite, as compañías de automóbiles poden presentarse en internet.

5). Uso previsto Sitio web do coche
Autowebsite está deseñado e equipado para procesar os seguintes tipos de datos:
Os visitantes dos sitios web desenvolvidos por Autosoft con Autowebsite teñen a opción de deixar alí os seus datos de contacto para que a empresa de automóbiles teña a oportunidade de achegarse ao visitante para obter máis servizos. Estes datos de contacto non se almacenan con Autosoft, senón que se reenvían directamente por correo electrónico ao enderezo de correo electrónico da compañía do automóbil.

• Este servizo non ten en conta o tratamento de datos persoais especiais, nin os datos relativos a condenas e delitos penais nin os números persoais emitidos polo goberno.

6). Descrición Autocommerce
As empresas de automóbiles usan o comercio automático. Con Autocommerce, as empresas de automóbiles poden xestionar e presentar os seus vehículos no seu propio sitio web e nos portais de busca en internet de terceiros.

7). Uso previsto Autocommerce
Autocommerce está deseñado e equipado para procesar os seguintes tipos de datos:
As empresas de automóbiles poden colocar os seus vehículos matriculados a través de Autocommerce no seu propio sitio web de Car. Estes vehículos matriculados non conteñen ningún dato que se poida remontar a datos persoais de calquera forma. Os visitantes do sitio web de Car teñen a opción de deixar alí os seus datos de contacto para que a empresa de automóbiles teña a oportunidade de achegarse ao visitante para obter máis servizos. Os datos de contacto deixados polo visitante no seu propio sitio web de Auto almacénanse en Autocommerce.

• Este servizo non ten en conta o tratamento de datos persoais especiais, nin os datos relativos a condenas e delitos penais nin os números persoais emitidos polo goberno.

8). O procesador de datos utiliza as Cláusulas Estándar para o procesamento de Autowebsite e Autocommerce, que se poden atopar como apéndice do Acordo.

9). O procesador de datos trata os datos persoais dos seus clientes dentro da UE/EEE para Autowebsite e Autocommerce.

10). O procesador de datos utiliza os seguintes subprocesadores para o comercio automático:
Nalgúns casos, Autosoft envía os seus vehículos matriculados a través de Autocommerce aos portais de busca en Internet de terceiros ou subprocesadores en nome da Compañía de Automóbiles. Unha lista de subprocesadores está dispoñible baixo petición en support@autosoft.eu.

11). Despois da rescisión do Acordo cun cliente, o procesador de datos eliminará, en principio, os datos persoais que procese para o cliente nun prazo de 3 meses de forma que xa non se poidan utilizar nin sexan accesibles (rendo inaccesibles).

Política de seguridade

Resume as seguintes medidas de seguridade que o procesador de datos tomou para protexer o seu produto ou servizo:

Política de xestión e resposta de incidencias
As políticas de xestión e resposta de incidencias no ámbito da seguridade da información inclúen a vixilancia e detección de incidencias de seguridade nunha infraestrutura informática ou informática, pero tamén a observación de actividades sospeitosas por parte do persoal, e a posta en marcha das respostas correctas a estes eventos.

O obxectivo principal desta política é desenvolver unha resposta ben entendida e previsible a eventos maliciosos e intrusións informáticas no sentido máis amplo da palabra.

A política de xestión e resposta de incidencias é o proceso de xestión e protección de ordenadores, redes e sistemas de información e a información almacenada neles. Autosoft é consciente das súas responsabilidades cando se trata de protexer esta información en beneficio dos seus clientes e socios da cadea de subministración. Esta responsabilidade esténdese a ter un procedemento de Incidente. A xestión de incidencias é un conxunto de actividades que definen e implementan un proceso que unha organización pode utilizar para promover o seu propio benestar e a seguridade do público.

TI e seguridade
A estrutura TIC de Autosoft BV está protexida adecuadamente cun firewall e o software de análise de virus mantense actualizado. Cada empregado ten un perfil de inicio de sesión. Ao iniciar un ordenador, os empregados deben introducir un nome de usuario e un contrasinal e, sempre que sexa posible, unha autenticación en dous pasos.

Algúns programas tamén solicitan un nome de inicio de sesión e un contrasinal e, sempre que sexa posible, unha autenticación en dous pasos. Estimula a concienciación dos empregados sobre o traballo de forma segura, como chamar a atención para non abrir correos electrónicos sospeitosos, non facer clic en ligazóns sospeitosas, pechar sesión ao abandonar o lugar de traballo durante moito tempo, etc.

Realízase unha copia de seguranza dos ficheiros durante os días e todas as noites. Por razóns de seguridade, o procedemento de almacenamento adicional que rodea a copia de seguranza é confidencial. Autosoft BV celebrou contratos de servizo para iso con provedores de ordenadores e provedores de hospedaxe de Internet.

Política de protección de datos
Autosoft BV adopta as medidas técnicas e organizativas adecuadas para protexer os datos persoais do cliente contra a perda ou calquera forma de tratamento ilícito. Estas medidas técnicas e organizativas considéranse como un nivel de seguridade adecuado no sentido do artigo 1 do GDPR e almacénanse como documentos no Basecamp central (Proxecto: Organización / Política de Protección de Datos) de Autosoft BV.

Técnico e organizativo

1. Medidas para garantir que só o persoal autorizado teña acceso aos Datos persoais tratados no contexto do Acordo do procesador;
2. Medidas para protexer os datos persoais, en particular, contra a destrución accidental ou ilegal, a perda, a alteración accidental, o almacenamento, o acceso ou a divulgación non autorizados ou ilícitos;
3. Medidas para protexer os datos persoais, en particular, contra a destrución accidental ou ilegal, a perda, a alteración accidental, o almacenamento, o acceso ou a divulgación non autorizados ou ilícitos durante o intercambio/transporte de datos;
4. Medidas para garantir a capacidade de garantir a confidencialidade, integridade, dispoñibilidade e resistencia dos sistemas e servizos de edición de forma continuada;
5. Medidas para restablecer a dispoñibilidade e o acceso aos Datos Persoais de forma oportuna en caso de incidencia física ou técnica;
6. Medidas para identificar vulnerabilidades no que se refire ao tratamento de Datos Persoais nos sistemas utilizados para prestar os servizos previstos no contrato;

Organizativos como:

• Limitar o círculo de funcionarios que teñen acceso a determinados datos persoais a aquelas persoas que necesiten os datos para o exercicio das súas funcións;
• concederlles acceso a estas persoas só aos datos persoais que necesiten para o desempeño das súas funcións;
• pactar unha cláusula de confidencialidade con cláusula penalizadora con todas as persoas ás que se lles concederá acceso aos datos persoais;
• almacenar datos persoais en servidores nun espazo pechado;
• gardar arquivos de papel en armarios pechables;
• crear conciencia sobre a seguridade da información entre os empregados;
• establecer protocolos e procedementos claros para xestionar incidentes de seguridade da información e vulnerabilidades de seguridade de forma oportuna e eficaz;

O procesador de datos utiliza as súas propias metodoloxías e procedementos de xestión que se axustan ao método de traballo da organización:

• Dentro de Basecamp, os documentos relevantes son xestionados e avalíanse periodicamente.

Protocolo de violación de datos

No caso de que algo saia mal, o procesador de datos utiliza o seguinte protocolo de fuga de datos para garantir que o cliente está ao tanto dos incidentes:

Autosoft BV – Procedemento de violación de datos

Que é unha violación de datos e cando teño que denunciala ao AP?
Unha violación de datos é un incidente de seguridade da información que implica unha violación da seguridade dos datos persoais debido á exposición a perdas ou tratamentos ilícitos, como (pero non exhaustivamente):

• Axustar e/ou cambiar os datos persoais e o acceso non autorizado a estes datos persoais;
• En caso de robo por parte dun hacker;
• Perda dunha memoria USB, roubo dun portátil;
• Enviar datos confidenciais a un enderezo de correo electrónico incorrecto;

Segundo a lei, unha violación de datos "grave" debe ser comunicada á Autoridade de Protección de Datos holandesa sen demoras indebidas e, se é posible, non máis tarde de 72 horas despois do descubrimento.

Autosoft BV non ten que informar á Autoridade Holandesa de Protección de Datos se se excluíu razoablemente a identificación real de persoas físicas individuais.
Todas as sospeitas dun incidente de seguridade da información serán atendidas en primeira instancia support@autosoft.eu denunciado e rexistrado. O soporte informa do incidente ao equipo directivo e determina cales son as accións de seguimento que se deben tomar.

Procedemento de seguimento

Cando teño que avisar aos interesados?
Unha violación de datos debe ser comunicada ao interesado se, en caso de incumprimento, existe un alto risco de que o incumprimento teña consecuencias negativas para a súa vida privada. As consecuencias desfavorables para o interesado son: dano á súa reputación e reputación, fraude de identidade ou discriminación. Se Autosoft BV adoptou as medidas técnicas de protección adecuadas, como consecuencia das cales os datos persoais en cuestión se fixeran incomprensibles ou inaccesibles, non será necesaria a notificación ao interesado. A notificación ao interesado conterá unha descrición, en linguaxe clara e sinxela, da natureza da violación dos datos persoais e polo menos:

• o nome e os datos de contacto do delegado de protección de datos ou doutro punto de contacto onde se poida obter máis información;
• as probables consecuencias da violación de datos persoais;
• as medidas propostas ou adoptadas polo responsable do tratamento para abordar a violación dos datos persoais, incluídas, se é o caso, medidas para mitigar os seus efectos adversos. A avaliación de se unha violación de datos debe ser comunicada á Autoridade de Protección de Datos holandesa e/ou ás persoas afectadas sempre corresponde a Autosoft BV. Para determinar se se debe informar un incidente, a Autoridade de Protección de Datos holandesa elaborou normas de política (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) e Grupo de traballo 29 das directrices dos supervisores europeos publicadas sobre a obriga de informar no GDPR. Se Autosoft BV non informou da violación de datos, a Autoridade de Protección de Datos holandesa pode requirir que Autosoft BV aínda informe. A falta de denuncia poderá ser sancionada con multa administrativa.

Como informo unha violación de datos?
A Autoridade Holandesa de Protección de Datos pon a disposición un formulario web que debe utilizarse para informar de violacións de datos (https://dataleks.autoriteitpersoonsgegevens.nl/). A Autoridade de Protección de Datos Holandesa mantén un rexistro das notificacións de violación de datos recibidas. Este rexistro non é público. Se a Autoridade de Protección de Datos holandesa impón unha multa como resultado da violación de datos, esta decisión farase pública. Unha violación de datos tamén se fai pública cando os interesados ​​deben ser informados sobre a violación de datos. A notificación ao interesado deberá indicar en todo caso a natureza da infracción e as autoridades onde o interesado pode obter máis información sobre a infracción. Tamén debe indicarse o que pode facer o propio interesado para limitar as consecuencias negativas da violación de datos. Por exemplo, cambiar os nomes de usuario e contrasinais cando puidesen verse comprometidos pola infracción.

Que debo informar?
Unha notificación á Autoridade Holandesa de Protección de Datos inclúe:

• O denunciante da violación de datos.
• A persoa coa que a Autoridade holandesa de protección de datos pode contactar para obter máis información sobre o informe.
• Un resumo do incidente onde se produciu a violación da seguridade dos datos persoais.
• O momento da infracción.
• A natureza da infracción.
• O tipo de datos persoais de que se trate.
• As consecuencias que a infracción poida ter para a intimidade dos implicados.
• As medidas técnicas e organizativas que Autosoft BV tomou para facer fronte á infracción e evitar novas infraccións.
• Se Autosoft BV informou da violación de datos aos interesados ​​e, se non, se Autosoft BV ten a intención de facelo:
• En caso afirmativo, o contido da notificación aos interesados.
• Se non é así, o motivo polo que Autosoft BV se abstén de informar da violación de datos aos interesados.
• Os datos persoais foron cifrados, clasificados ou feitos incomprensibles ou inaccesibles para persoas non autorizadas?

Parte 2: Cláusulas tipo de tramitación

Versión: Setembro 2019
Forma xunto coa Declaración Data Pro o acordo de tratamento e é un apéndice ao acordo e aos anexos que o acompañan, como os termos e condicións xerais aplicables.

Artigo 1. Definicións

Os seguintes termos teñen o seguinte significado nestas Cláusulas estándar de procesamento, na Declaración de datos Pro e no acordo:

• 1.1 Autoridade holandesa de protección de datos (AP): autoridade de supervisión, tal e como se describe no artigo 4, sub 21, da Ley Avg.
• 1.2 MEDIA: o Regulamento Xeral de Protección de Datos.
• 1.3 Procesador de datos: parte que, como provedor de TIC, trata os datos persoais en beneficio do seu cliente no contexto da execución do contrato.
• 1.4 Declaración Data Pro: declaración do Encargado do tratamento na que proporciona información sobre o uso previsto do seu produto ou servizo, as medidas de seguridade adoptadas, os subencargados, as filtracións de datos, as certificacións e o manexo dos dereitos dos interesados.
• 1.5 Interesado (suxeito de datos): unha persoa física identificada ou identificable.
• 1.6 Cliente: parte en cuxo nome o procesador de datos trata os datos persoais. O Cliente pode ser un controlador ("controlador") ou outro procesador.
• 1.7 Acordo: o acordo entre o Cliente e o Encargado do tratamento, en base ao cal o provedor de TIC lle proporciona servizos e/ou produtos ao Cliente, do que forma parte o contrato do procesador.
• 1.8 Datos persoais: toda a información sobre unha persoa física identificada ou identificable, segundo se describe no artigo 4, sub 1 da AVG, que o procesador de datos procesa no contexto do cumprimento das súas obrigas derivadas do contrato.
• 1.9 Acordo de tratamento: estas Cláusulas estándar de tratamento, que xunto coa Declaración Data Pro (ou información comparable) do procesador de datos forman o acordo de tratamento ao que se refire o artigo 28, parágrafo 3 do GDPR.

Artigo 2. Xeral

• 2.1 Estas cláusulas estándar de procesamento aplícanse a todo o tratamento de datos persoais que o procesador de datos fai no contexto da entrega dos seus produtos e servizos e a todos os acordos e ofertas. Queda expresamente rexeitada a aplicabilidade dos acordos de tratamento do Cliente.
• 2.2 A Declaración Data Pro, e en particular as medidas de seguridade contidas nela, poden ser modificadas polo procesador de datos de cando en vez para reflectir circunstancias cambiantes. O procesador de datos informará ao cliente dos cambios significativos. Se o cliente non está de acordo razoablemente cos axustes, o cliente ten dereito a rescindir o acordo de procesamento por escrito dentro dos 30 días seguintes á notificación dos axustes.
• 2.3 O procesador de datos procesa os datos persoais en nome e por conta do cliente de acordo coas instrucións escritas do cliente acordadas co procesador de datos.
• 2.4 O cliente, ou o seu cliente, é o responsable do tratamento no sentido do GDPR, ten control sobre o tratamento dos datos persoais e determinou a finalidade e os medios de tratamento dos datos persoais.
• 2.5 O procesador de datos é un procesador no sentido do GDPR e, polo tanto, non ten control sobre a finalidade e os medios de tratamento dos datos persoais e, polo tanto, non toma ningunha decisión sobre, entre outras cousas, o uso dos datos persoais.
• 2.6 O procesador de datos aplica o GDPR tal e como se establece nestas Cláusulas estándar de procesamento, a Declaración de datos Pro e o Acordo. Corresponde ao Cliente avaliar en base a esta información se o Procesador ofrece garantías suficientes en canto á aplicación das medidas técnicas e organizativas adecuadas para que o tratamento cumpra os requisitos do RGPD e a protección dos dereitos dos interesados. é suficiente.garantido.
• 2.7 O Cliente garante ao procesador de datos que actúa conforme ao GDPR, que protexe adecuadamente os seus sistemas e infraestruturas en todo momento e que o contido, uso e/ou tratamento dos datos persoais non son ilícitos e non infrinxen ningún dereito. dun terceiro.
• 2.8 Unha multa administrativa imposta ao cliente polo AP non se pode recuperar do procesador de datos.

Artigo 3. Seguridade

• 3.1 O procesador de datos adopta as medidas de seguridade técnicas e organizativas, tal e como se describe na súa Declaración Data Pro. Ao adoptar as medidas de seguridade técnicas e organizativas, o procesador de datos tivo en conta o estado da técnica, os custos de implementación das medidas de seguridade, a natureza, alcance e contexto do tratamento, as finalidades e o uso previsto dos seus produtos e servizos. , os riscos de tratamento e os riscos que difiren en probabilidade e gravidade para os dereitos e liberdades dos Suxeitos de Datos que este podería esperar tendo en conta o uso previsto dos seus produtos e servizos.
• 3.2 A menos que se indique expresamente o contrario na Declaración de Data Pro, o produto ou servizo do procesador de datos non está deseñado para procesar categorías especiais de datos persoais ou datos relativos a condenas ou delitos penais ou números persoais emitidos polo goberno.
• 3.3 O procesador de datos esfórzase por garantir que as medidas de seguridade que debe adoptar sexan axeitadas para o uso previsto do produto ou servizo polo procesador de datos.
• 3.4 En opinión do Cliente, as medidas de seguridade descritas ofrecen, tendo en conta os factores a que se refire o artigo 3.1, un nivel de seguridade adaptado ao risco do tratamento dos Datos Persoais utilizados ou proporcionados por el.
• 3.5 O procesador de datos poderá realizar cambios nas medidas de seguridade adoptadas se o considera necesario para seguir proporcionando un nivel de seguridade adecuado. O procesador de datos rexistrará os cambios importantes, por exemplo nunha Declaración Data Pro modificada, e informará ao Cliente deses cambios cando sexa pertinente.
• 3.6 O cliente pode solicitar ao procesador de datos que tome máis medidas de seguridade. O procesador de datos non está obrigado a realizar cambios nas súas medidas de seguridade ante tal solicitude. O procesador de datos pode cobrar os custos relacionados cos cambios realizados a petición do cliente ao cliente. Só despois de que as medidas de seguridade modificadas desexadas polo cliente sexan acordadas por escrito e asinadas polas partes, o procesador de datos está obrigado a implementar efectivamente estas medidas de seguridade.

Artigo 4. Incumprimento de datos persoais

• 4.1 O procesador de datos non garante que as medidas de seguridade sexan efectivas en todas as circunstancias. Se o procesador de datos descobre un incumprimento en relación cos datos persoais (tal e como se indica no artigo 4 sub 12 de media), informará ao Cliente sen demora indebida. A Declaración Data Pro (segundo o protocolo de filtración de datos) establece como o procesador de datos informa ao cliente sobre incumprimentos relacionados cos datos persoais.
• 4.2 Corresponde ao controlador (cliente ou o seu cliente) avaliar se o incumprimento de datos persoais que o procesador de datos informou debe informarse ao AP ou ao interesado. A notificación de incumprimentos en relación cos Datos Persoais, que deben ser comunicadas ao AP e/ou aos Suxeitos de Datos de conformidade cos artigos 33 e 34 do RGPD, segue sendo responsabilidade do responsable do tratamento (Cliente ou o seu cliente) en todo momento. O procesador de datos non está obrigado a informar de violacións de datos persoais ao AP e/ou ao interesado.
• 4.3 O procesador de datos, se é necesario, proporcionará máis información sobre o incumprimento en relación cos datos persoais e cooperará coa información necesaria para o cliente co propósito dunha notificación segundo se refire nos artigos 33 e 34.
• 4.4 O procesador de datos pode cobrar ao cliente os custos razoables nos que incorre neste contexto ás súas tarifas aplicables.

Artigo 5. Confidencialidade

• 5.1 O procesador de datos garante que as persoas que procesan os datos persoais baixo a súa responsabilidade teñen o deber de confidencialidade.
• 5.2 O procesador de datos ten dereito a proporcionar os datos persoais a terceiros, se e na medida en que a disposición sexa necesaria en virtude dunha decisión xudicial, unha regulación legal ou sobre a base dunha orde autorizada dunha autoridade gobernamental.
• 5.3 Todos os códigos de acceso e/ou identificación, certificados, información sobre a política de acceso e/ou contrasinal proporcionados polo procesador de datos ao cliente e toda a información proporcionada polo procesador de datos ao cliente que implementa as medidas de seguridade técnicas e organizativas incluídas na Declaración de datos Pro son confidenciais. e será tratado como tal polo Cliente e só se dará a coñecer aos empregados autorizados do Cliente. O Cliente garante que os seus empregados cumpren coas obrigas derivadas deste artigo.

Artigo 6. Prazo e extinción

• 6.1 Este acordo do procesador forma parte do Acordo e calquera acordo novo ou posterior que se deriven del, entrará en vigor no momento da celebración do Acordo e conclúese por un período de tempo indefinido.
• 6.2 Este acordo do procesador remata por efecto da lei ao finalizar o Contrato ou calquera acordo novo ou posterior entre as partes.
• 6.3 No caso de finalizar o acordo de tratamento, o procesador de datos eliminará todos os datos persoais que estea en poder e que reciba do cliente dentro do prazo incluído na Declaración de datos Pro de tal forma que xa non se poidan utilizar nin se poidan utilizar. accesible (rendo inaccesible). , ou, se está de acordo, devolvelo ao Cliente nun formato lexible por máquina.
• 6.4 O procesador de datos pode cobrar ao cliente os custos nos que incorre no contexto das disposicións do artigo 6.3. Pódense establecer outros acordos ao respecto na Declaración Data Pro.
• 6.5 As disposicións do artigo 6.3 non serán de aplicación se unha normativa legal impide que o encargado do tratamento elimine ou devolva total ou parcialmente os datos persoais. En tal caso, o procesador de datos só continuará procesando os datos persoais na medida en que sexa necesario conforme ás súas obrigas legais. As disposicións do artigo 6.3 tampouco se aplican se o procesador de datos é o responsable do tratamento no sentido do GDPR en relación aos datos persoais.

Artigo 7. Dereitos dos Suxeitos de Datos, Avaliación de Impacto da Protección de Datos (DPIA) e Dereitos de Auditoría

• 7.1 O procesador de datos cooperará, sempre que sexa posible, coas solicitudes razoables do Cliente relacionadas cos dereitos dos Suxeitos de datos invocados polo Cliente polos Suxeitos de datos. Se un interesado se achega directamente ao procesador de datos, remitirá a esta ao cliente sempre que sexa posible.
• 7.2 Se o Cliente está obrigado a facelo, o Procesador de datos cooperará cunha avaliación de impacto sobre a protección de datos (DPIA) ou cunha consulta previa posterior, segundo se indican nos artigos 35 e 36.
• 7.3 O procesador de datos cooperará coas solicitudes do Cliente para a eliminación de datos persoais na medida en que o Cliente non poida facelo por si mesmo.
• 7.4 A petición do cliente, o procesador de datos tamén facilitará toda a información adicional que sexa razoablemente necesaria para demostrar o cumprimento dos acordos establecidos neste acordo de procesamento. Non obstante, se o cliente ten motivos para crer que o tratamento dos datos persoais non se realiza de acordo co acordo de tratamento, poderá ser consultado como máximo unha vez ao ano por un experto externo independente, certificado e que teña experiencia demostrable co tipo de tramitación que se realice en base ao Contrato. , realizar unha auditoría por conta do Cliente. A auditoría limitarase a comprobar o cumprimento dos acordos relativos ao tratamento de Datos Persoais tal e como se establece no presente Acordo de tratamento. O experto terá o deber de confidencialidade respecto do que atope e só comunicará ao Cliente aquelo que dea lugar a unha deficiencia no cumprimento das obrigas que o Responsable do tratamento ten en virtude do presente contrato de tratamento. O experto entregará unha copia do seu informe ao Responsable do tratamento. O procesador de datos poderá rexeitar unha auditoría ou instrución do experto se, na súa opinión, isto infrinxe o GDPR ou outra lexislación ou constitúe un incumprimento inadmisible das medidas de seguridade que tomou.
• 7.5 As partes consultaranse canto antes sobre os resultados do informe. As partes seguirán as medidas de mellora propostas establecidas no informe na medida en que se poida esperar razoablemente delas. O procesador de datos aplicará as medidas de mellora propostas na medida en que resulten oportunas ao seu xuízo, tendo en conta os riscos de tratamento asociados ao seu produto ou servizo, o estado da técnica, os custos de implantación, o mercado no que opera e o uso previsto do produto ou servizo.o servizo.
• 7.6 O procesador de datos ten dereito a cobrar ao cliente os custos en que incorre no contexto das disposicións deste artigo.

Artigo 8. Subencargados

• 8.1 O procesador de datos declarou na Declaración de Data Pro se e, en caso afirmativo, cales son os terceiros (subprocesadores ou subprocesadores) que participan no tratamento dos datos persoais.
• 8.2 O cliente dá permiso ao procesador de datos para contratar outros subprocesadores para cumprir as súas obrigas derivadas do acordo.
• 8.3 O procesador de datos informará ó cliente sobre un cambio nos terceiros contratados polo procesador de datos, por exemplo mediante unha Declaración Data Pro modificada. O Cliente ten dereito a opoñerse ao cambio mencionado anteriormente por parte do Procesador de Datos. O procesador de datos garante que os terceiros contratados por el comprométense ao mesmo nivel de seguridade no que respecta á protección dos datos persoais que o nivel de seguridade ao que está vinculado o procesador de datos ao cliente en base á Declaración Data Pro.

Artigo 9. Outros

Estas Cláusulas estándar de procesamento, xunto coa Declaración Data Pro, forman parte integrante do Acordo. Todos os dereitos e obrigas derivados do acordo, incluídos os termos e condicións xerais e/ou limitacións de responsabilidade aplicables, tamén se aplican ao acordo de procesamento.