प्रोसेसर समझौता

परिचय

Autosoft BV अन्य बातों के अलावा, ग्राहक के लिए और उसकी ओर से व्यक्तिगत डेटा को संसाधित करता है। इसलिए Autosoft BV और ग्राहक सामान्य डेटा सुरक्षा विनियमन (GDPR) के तहत एक प्रोसेसर अनुबंध समाप्त करने के लिए बाध्य हैं। GDPR के अनुसार, Autosoft BV एक 'प्रोसेसर' है और ग्राहक एक 'नियंत्रक' है। यह प्रोसेसर अनुबंध यह भी बताता है कि Autosoft BV डेटा उल्लंघन अधिसूचना दायित्व को कैसे संभालता है।

प्रोसेसर समझौता

को मिलाकर:
भाग 1: डेटा प्रो स्टेटमेंट
भाग 2: मानक प्रसंस्करण खंड

भाग 1: डेटा प्रो स्टेटमेंट

सामान्य जानकारी

1) । यह डेटा प्रो स्टेटमेंट निम्नलिखित डेटा प्रोसेसर (प्रोसेसर) द्वारा तैयार किया गया है:

• ऑटोसॉफ्ट बीवी
  हेंजेलोस्ट्राट 547
  7521 एजी एनशेडे

इस डेटा प्रो स्टेटमेंट या डेटा सुरक्षा के बारे में प्रश्नों के लिए, कृपया संपर्क करें:
आर्थर वैन डेर लेक: arthur@autosoft.eu / +31 (0)53 - 428 00 98

2))। यह डेटा प्रो स्टेटमेंट 1 अगस्त, 2021 से लागू होता है
हम इस डेटा प्रो स्टेटमेंट और उसमें वर्णित सुरक्षा उपायों को नियमित रूप से समायोजित करते हैं ताकि यह सुनिश्चित हो सके कि हम डेटा सुरक्षा के संबंध में हमेशा तैयार और अद्यतित हैं। हम अपने सामान्य चैनलों के माध्यम से आपको नए संस्करणों से अवगत कराते रहेंगे।

3))। यह डेटा प्रो स्टेटमेंट निम्नलिखित डेटा प्रोसेसर उत्पादों और सेवाओं पर लागू होता है

• ऑटो वेबसाइट
• ऑटोकामर्स

4))। विवरण कार वेबसाइट
कार कंपनियां ऑटोवेबसाइट का इस्तेमाल करती हैं। ऑटोवेबसाइट से कार कंपनियां इंटरनेट पर खुद को पेश कर सकती हैं।

5). इरादा उपयोग कार वेबसाइट
Autowebsite को निम्न प्रकार के डेटा को संसाधित करने के लिए डिज़ाइन और सुसज्जित किया गया है:
Autowebsite के साथ Autosoft द्वारा विकसित वेबसाइटों के विज़िटर के पास अपने संपर्क विवरण को वहीं छोड़ने का विकल्प होता है ताकि कार कंपनी को आगे की सेवाओं के लिए विज़िटर से संपर्क करने का अवसर मिले। ये संपर्क विवरण ऑटोसॉफ्ट के साथ संग्रहीत नहीं हैं, लेकिन सीधे ई-मेल के माध्यम से कार कंपनी के ई-मेल पते पर अग्रेषित किए जाते हैं।

• यह सेवा विशेष व्यक्तिगत डेटा के प्रसंस्करण, या सरकार द्वारा जारी किए गए आपराधिक दोषियों और अपराधों या व्यक्तिगत नंबरों से संबंधित डेटा को ध्यान में नहीं रखती है।

6)। विवरण ऑटोकॉमर्स
कार कंपनियां ऑटोकॉमर्स का इस्तेमाल करती हैं। ऑटोकॉमर्स के साथ, कार कंपनियां अपने वाहनों को अपनी वेबसाइट और तीसरे पक्ष के इंटरनेट सर्च पोर्टल पर प्रबंधित और प्रस्तुत कर सकती हैं।

7))। इरादा उपयोग ऑटोकॉमर्स
ऑटोकॉमर्स को निम्न प्रकार के डेटा को संसाधित करने के लिए डिज़ाइन और सुसज्जित किया गया है:
कार कंपनियां अपने पंजीकृत वाहनों को ऑटोकॉमर्स के माध्यम से अपनी कार वेबसाइट पर रख सकती हैं। इन पंजीकृत वाहनों में कोई डेटा नहीं होता है जिसे किसी भी रूप में व्यक्तिगत डेटा पर वापस खोजा जा सकता है। कार वेबसाइट पर आने वाले लोगों के पास अपने संपर्क विवरण को वहीं छोड़ने का विकल्प होता है ताकि कार कंपनी को आगे की सेवाओं के लिए आगंतुक से संपर्क करने का अवसर मिल सके। विज़िटर द्वारा अपनी ऑटो वेबसाइट पर छोड़े गए संपर्क विवरण ऑटोकॉमर्स में संग्रहीत किए जाते हैं।

• यह सेवा विशेष व्यक्तिगत डेटा के प्रसंस्करण, या सरकार द्वारा जारी किए गए आपराधिक दोषियों और अपराधों या व्यक्तिगत नंबरों से संबंधित डेटा को ध्यान में नहीं रखती है।

8)। डेटा प्रोसेसर ऑटोवेबसाइट और ऑटोकॉमर्स के प्रसंस्करण के लिए मानक क्लॉज का उपयोग करता है, जिसे अनुबंध के परिशिष्ट के रूप में पाया जा सकता है।

9)। डेटा प्रोसेसर ऑटोवेबसाइट और ऑटोकॉमर्स के लिए ईयू/ईईए के भीतर अपने ग्राहकों के व्यक्तिगत डेटा को संसाधित करता है।

10)। डेटा प्रोसेसर ऑटोकॉमर्स के लिए निम्नलिखित सब-प्रोसेसर का उपयोग करता है:
कुछ मामलों में Autosoft अपने पंजीकृत वाहनों को Autocommerce के माध्यम से कार कंपनी की ओर से तृतीय पक्षों या सब-प्रोसेसर के इंटरनेट सर्च पोर्टल पर भेजता है। अनुरोध पर support@autosoft.eu पर उप-प्रोसेसरों की सूची उपलब्ध है।

11 3)। क्लाइंट के साथ अनुबंध की समाप्ति के बाद, डेटा प्रोसेसर सैद्धांतिक रूप से उस व्यक्तिगत डेटा को हटा देगा जिसे वह XNUMX महीने के भीतर क्लाइंट के लिए संसाधित करता है ताकि उनका उपयोग नहीं किया जा सके और अब पहुंच योग्य नहीं है (पहुंच योग्य नहीं है)।

सुरक्षा नीति

डेटा प्रोसेसर ने अपने उत्पाद या सेवा की सुरक्षा के लिए निम्नलिखित सुरक्षा उपायों का सारांश दिया है:

घटना प्रबंधन और प्रतिक्रिया नीति
सूचना सुरक्षा के क्षेत्र में घटना प्रबंधन और प्रतिक्रिया नीतियों में कंप्यूटर या आईटी अवसंरचना पर सुरक्षा घटनाओं की निगरानी और पता लगाना शामिल है, लेकिन कर्मियों द्वारा संदिग्ध गतिविधियों का अवलोकन और इन घटनाओं के लिए सही प्रतिक्रियाओं का कार्यान्वयन भी शामिल है।

इस नीति का प्राथमिक लक्ष्य शब्द के व्यापक अर्थों में दुर्भावनापूर्ण घटनाओं और कंप्यूटर घुसपैठ के लिए एक अच्छी तरह से समझी और पूर्वानुमेय प्रतिक्रिया विकसित करना है।

हादसा प्रबंधन और प्रतिक्रिया नीति कंप्यूटर, नेटवर्क और सूचना प्रणाली और उसमें संग्रहीत जानकारी के प्रबंधन और सुरक्षा की प्रक्रिया है। जब अपने ग्राहकों और आपूर्ति श्रृंखला भागीदारों के लाभ के लिए इस जानकारी की रक्षा करने की बात आती है तो Autosoft अपनी जिम्मेदारियों से अवगत होता है। यह जिम्मेदारी एक हादसा प्रक्रिया होने तक फैली हुई है। घटना प्रबंधन गतिविधियों का एक समूह है जो एक प्रक्रिया को परिभाषित और कार्यान्वित करता है जिसका उपयोग एक संगठन अपनी भलाई और जनता की सुरक्षा को बढ़ावा देने के लिए कर सकता है।

आईटी और सुरक्षा
Autosoft BV की ICT संरचना फ़ायरवॉल के साथ पर्याप्त रूप से सुरक्षित है और वायरस स्कैनिंग सॉफ़्टवेयर को अप-टू-डेट रखा जाता है। प्रत्येक कर्मचारी की एक लॉगिन प्रोफ़ाइल होती है। कंप्यूटर शुरू करते समय, कर्मचारियों को एक लॉगिन नाम और पासवर्ड दर्ज करना होगा और जहां संभव हो 2-चरणीय प्रमाणीकरण के साथ।

कुछ सॉफ़्टवेयर 2-चरणीय प्रमाणीकरण के साथ लॉगिन नाम और पासवर्ड और जहाँ संभव हो, माँगते हैं। कर्मचारियों के बीच सुरक्षित रूप से काम करने के बारे में जागरूकता को प्रेरित किया जाता है, जैसे कि संदिग्ध ईमेल न खोलने पर ध्यान आकर्षित करना, संदिग्ध लिंक पर क्लिक न करना, लंबे समय तक कार्यस्थल से बाहर निकलने पर लॉग आउट करना, और इसी तरह।

फाइलों का बैकअप दिन में और हर रात रखा जाता है। सुरक्षा कारणों से, बैकअप के आस-पास की आगे की संग्रहण प्रक्रिया गोपनीय है। Autosoft BV ने इसके लिए कंप्यूटर आपूर्तिकर्ताओं और इंटरनेट होस्टिंग प्रदाताओं के साथ सेवा अनुबंध समाप्त कर लिया है।

डेटा सुरक्षा नीति
Autosoft BV ग्राहक के व्यक्तिगत डेटा को हानि या किसी भी प्रकार के गैर-कानूनी संसाधन से बचाने के लिए उपयुक्त तकनीकी और संगठनात्मक उपाय करता है। इन तकनीकी और संगठनात्मक उपायों को GDPR के अनुच्छेद 1 के अर्थ के भीतर एक उपयुक्त सुरक्षा स्तर के रूप में माना जाता है और Autosoft BV के केंद्रीय बेसकैंप (परियोजना: संगठन/डेटा सुरक्षा नीति) में दस्तावेजों के रूप में संग्रहीत किया जाता है।

तकनीकी और संगठनात्मक

1. यह सुनिश्चित करने के उपाय कि केवल अधिकृत कर्मियों के पास प्रोसेसर अनुबंध के संदर्भ में संसाधित व्यक्तिगत डेटा तक पहुंच है;
2. व्यक्तिगत डेटा को विशेष रूप से आकस्मिक या गैरकानूनी विनाश, हानि, आकस्मिक परिवर्तन, अनधिकृत या गैरकानूनी भंडारण, पहुंच या प्रकटीकरण के खिलाफ सुरक्षा के उपाय;
3. व्यक्तिगत डेटा की सुरक्षा के उपाय, विशेष रूप से, आकस्मिक या गैरकानूनी विनाश, हानि, आकस्मिक परिवर्तन, अनधिकृत या गैरकानूनी भंडारण, डेटा विनिमय/परिवहन के दौरान पहुंच या प्रकटीकरण;
4. निरंतर आधार पर संपादन प्रणालियों और सेवाओं की गोपनीयता, अखंडता, उपलब्धता और लचीलापन सुनिश्चित करने की क्षमता सुनिश्चित करने के उपाय;
5. भौतिक या तकनीकी घटना की स्थिति में व्यक्तिगत डेटा की उपलब्धता और पहुंच को समयबद्ध तरीके से बहाल करने के उपाय;
6. अनुबंध के तहत सेवाएं प्रदान करने के लिए उपयोग की जाने वाली प्रणालियों में व्यक्तिगत डेटा के प्रसंस्करण के संबंध में कमजोरियों की पहचान करने के उपाय;

संगठनात्मक जैसे:

• कुछ व्यक्तिगत डेटा तक पहुंच रखने वाले अधिकारियों के सर्कल को उन व्यक्तियों तक सीमित करना जिन्हें अपने कर्तव्यों के प्रदर्शन के लिए डेटा की आवश्यकता होती है;
• इन व्यक्तियों को केवल व्यक्तिगत डेटा तक पहुंच प्रदान करना जो उन्हें अपने कर्तव्यों के प्रदर्शन के लिए आवश्यक है;
• उन सभी व्यक्तियों के साथ पेनल्टी क्लॉज के साथ गोपनीयता क्लॉज से सहमत होना, जिन्हें व्यक्तिगत डेटा तक पहुंच प्रदान की जाएगी;
• एक बंद जगह में सर्वर पर व्यक्तिगत डेटा संग्रहीत करना;
• लॉक करने योग्य अलमारियाँ में कागज़ की फाइलें रखना;
• कर्मचारियों के बीच सूचना सुरक्षा जागरूकता पैदा करना;
• सूचना सुरक्षा घटनाओं और सुरक्षा कमजोरियों से समय पर और प्रभावी ढंग से निपटने के लिए स्पष्ट प्रोटोकॉल और प्रक्रियाएं स्थापित करना;

डेटा प्रोसेसर प्रबंधन के लिए अपने स्वयं के तरीकों और प्रक्रियाओं का उपयोग करता है जो संगठन की कार्य पद्धति में फिट होते हैं:

• प्रासंगिक दस्तावेजों का प्रबंधन और समय-समय पर बेसकैंप के भीतर मूल्यांकन किया जाता है।

डेटा उल्लंघन प्रोटोकॉल

इस घटना में कि कुछ गलत हो जाता है, डेटा प्रोसेसर निम्नलिखित डेटा लीक प्रोटोकॉल का उपयोग करता है ताकि यह सुनिश्चित हो सके कि क्लाइंट घटनाओं से अवगत है:

ऑटोसॉफ्ट बीवी - डेटा ब्रीच प्रक्रिया

डेटा उल्लंघन क्या है और मुझे इसकी रिपोर्ट AP को कब करनी होगी?
एक डेटा उल्लंघन एक सूचना सुरक्षा घटना है जिसमें हानि या गैरकानूनी प्रसंस्करण जैसे (लेकिन संपूर्ण रूप से नहीं) के जोखिम के माध्यम से व्यक्तिगत डेटा की सुरक्षा का उल्लंघन शामिल है:

• व्यक्तिगत डेटा को समायोजित करना और/या बदलना और इस व्यक्तिगत डेटा तक अनधिकृत पहुंच;
• हैकर द्वारा सेंधमारी की स्थिति में;
• एक यूएसबी स्टिक खोना, एक लैपटॉप की चोरी;
• संवेदनशील डेटा को गलत ईमेल पते पर भेजना;

कानून के अनुसार, बिना किसी देरी के डच डेटा प्रोटेक्शन अथॉरिटी को 'गंभीर' डेटा उल्लंघन की सूचना दी जानी चाहिए, और यदि संभव हो तो खोज के बाद 72 घंटे के बाद नहीं।

यदि व्यक्तिगत प्राकृतिक व्यक्तियों की वास्तविक पहचान को उचित रूप से बाहर रखा गया है, तो Autosoft BV को डच डेटा सुरक्षा प्राधिकरण को रिपोर्ट करने की आवश्यकता नहीं है।
सूचना सुरक्षा घटना के सभी संदेहों को पहली बार में संबोधित किया जाएगा support@autosoft.eu रिपोर्ट और पंजीकृत। समर्थन प्रबंधन टीम को घटना की रिपोर्ट करता है और निर्धारित करता है कि कौन सी अनुवर्ती कार्रवाई की जानी चाहिए।

अनुवर्ती प्रक्रिया

मुझे डेटा विषयों को कब सूचित करना होगा?
डेटा उल्लंघन की सूचना डेटा विषय को दी जानी चाहिए, यदि उल्लंघन की स्थिति में, एक उच्च जोखिम है कि उल्लंघन के उसके निजी जीवन के लिए प्रतिकूल परिणाम होंगे। डेटा विषय के प्रतिकूल परिणाम हैं: उसकी प्रतिष्ठा और प्रतिष्ठा को नुकसान, पहचान धोखाधड़ी या भेदभाव। यदि Autosoft BV ने उचित तकनीकी सुरक्षा उपाय किए हैं, जिसके परिणामस्वरूप संबंधित व्यक्तिगत डेटा को समझ से बाहर या दुर्गम बना दिया जाता है, तो डेटा विषय के लिए अधिसूचना आवश्यक नहीं है। डेटा विषय की अधिसूचना में व्यक्तिगत डेटा उल्लंघन की प्रकृति का स्पष्ट और सरल भाषा में विवरण होना चाहिए और कम से कम:

• डेटा सुरक्षा अधिकारी या अन्य संपर्क बिंदु का नाम और संपर्क विवरण जहां अधिक जानकारी प्राप्त की जा सकती है;
• व्यक्तिगत डेटा उल्लंघन के संभावित परिणाम;
• व्यक्तिगत डेटा उल्लंघन को संबोधित करने के लिए नियंत्रक द्वारा प्रस्तावित या उठाए गए उपाय, जहां उपयुक्त हो, इसके किसी भी प्रतिकूल प्रभाव को कम करने के उपाय शामिल हैं। डेटा उल्लंघन की रिपोर्ट डच डेटा प्रोटेक्शन अथॉरिटी और/या प्रभावित व्यक्तियों को दी जानी चाहिए या नहीं, इसका आकलन हमेशा Autosoft BV पर निर्भर करता है। यह निर्धारित करने के लिए कि क्या किसी घटना की रिपोर्ट की जानी चाहिए, डच डेटा संरक्षण प्राधिकरण ने नीति नियम (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) और जीडीपीआर में रिपोर्टिंग दायित्व पर प्रकाशित यूरोपीय पर्यवेक्षकों के दिशानिर्देशों के कार्य समूह 29। यदि Autosoft BV ने डेटा उल्लंघन की रिपोर्ट नहीं की है, तो डच डेटा सुरक्षा प्राधिकरण को Autosoft BV से अभी भी एक रिपोर्ट बनाने की आवश्यकता हो सकती है। रिपोर्ट न करने पर प्रशासनिक जुर्माना लगाया जा सकता है।

मैं डेटा उल्लंघन की रिपोर्ट कैसे करूं?
डच डेटा प्रोटेक्शन अथॉरिटी एक वेब फॉर्म उपलब्ध कराती है जिसका उपयोग डेटा उल्लंघनों की रिपोर्ट करने के लिए किया जाना चाहिए (https://dataleks.autoriteitpersoonsgegevens.nl/)। डच डेटा संरक्षण प्राधिकरण प्राप्त डेटा उल्लंघन सूचनाओं का एक रजिस्टर रखता है। यह रजिस्टर सार्वजनिक नहीं है। यदि डेटा उल्लंघन के परिणामस्वरूप डच डेटा संरक्षण प्राधिकरण द्वारा जुर्माना लगाया जाता है, तो यह निर्णय सार्वजनिक किया जाएगा। डेटा उल्लंघन के बारे में डेटा विषयों को सूचित करने की आवश्यकता होने पर डेटा उल्लंघन को भी सार्वजनिक किया जाता है। किसी भी मामले में डेटा विषय के लिए अधिसूचना उल्लंघन की प्रकृति और उन अधिकारियों को इंगित करना चाहिए जहां डेटा विषय उल्लंघन के बारे में अधिक जानकारी प्राप्त कर सकता है। यह भी बताया जाना चाहिए कि डेटा उल्लंघन के नकारात्मक परिणामों को सीमित करने के लिए डेटा विषय स्वयं क्या कर सकता है। उदाहरण के लिए, उपयोगकर्ता नाम और पासवर्ड बदलना जब उल्लंघन द्वारा समझौता किया गया हो।

मुझे क्या रिपोर्ट करना चाहिए?
डच डेटा सुरक्षा प्राधिकरण को एक अधिसूचना में शामिल हैं:

• डेटा ब्रीच का रिपोर्टर।
• वह व्यक्ति जिससे डच डेटा सुरक्षा प्राधिकरण रिपोर्ट के बारे में अधिक जानकारी के लिए संपर्क कर सकता है।
• उस घटना का सारांश जहां व्यक्तिगत डेटा सुरक्षा उल्लंघन हुआ।
• उल्लंघन का समय।
• उल्लंघन की प्रकृति।
• संबंधित व्यक्तिगत डेटा का प्रकार।
• इसमें शामिल लोगों की निजता पर उल्लंघन के परिणाम हो सकते हैं।
• उल्लंघन से निपटने और आगे के उल्लंघन को रोकने के लिए Autosoft BV ने जो तकनीकी और संगठनात्मक उपाय किए हैं।
• क्या Autosoft BV ने डेटा विषयों को डेटा उल्लंघन की सूचना दी है और यदि नहीं, तो क्या Autosoft BV ऐसा करने का इरादा रखता है:
• यदि हां, तो डेटा विषयों के लिए अधिसूचना की सामग्री।
• यदि नहीं, तो इसका कारण है कि Autosoft BV डेटा विषयों को डेटा उल्लंघन की रिपोर्ट करने से परहेज करता है।
• क्या व्यक्तिगत डेटा एन्क्रिप्ट किया गया है, हैश किया गया है या अन्यथा अनधिकृत व्यक्तियों के लिए समझ से बाहर या दुर्गम बना दिया गया है?

भाग 2: मानक प्रसंस्करण खंड

संस्करण: सितंबर 2019
डेटा प्रो स्टेटमेंट के साथ फॉर्म प्रोसेसिंग एग्रीमेंट और एग्रीमेंट का एक परिशिष्ट है और साथ में लागू सामान्य नियम और शर्तें जैसे परिशिष्ट हैं।

अनुच्छेद 1. परिभाषाएँ

डेटा प्रो स्टेटमेंट और अनुबंध में इन मानक प्रोसेसिंग क्लॉज़ में नीचे दी गई शर्तों के निम्नलिखित अर्थ हैं:

• 1.1 डच डेटा संरक्षण प्राधिकरण (एपी): पर्यवेक्षी प्राधिकरण, जैसा कि औसत के अनुच्छेद 4, उप 21 में वर्णित है।
• 1.2 औसत: सामान्य डेटा संरक्षण विनियमन।
• 1.3 डाटा प्रोसेसर: वह पक्ष, जो एक आईसीटी आपूर्तिकर्ता के रूप में, अनुबंध के निष्पादन के संदर्भ में अपने ग्राहक के लाभ के लिए व्यक्तिगत डेटा को संसाधित करता है।
• 1.4 डेटा प्रो स्टेटमेंट: डेटा प्रोसेसर का विवरण जिसमें यह अपने उत्पाद या सेवा के इच्छित उपयोग, सुरक्षा उपायों, उप-प्रोसेसर, डेटा लीक, प्रमाणन और डेटा विषयों के अधिकारों के संचालन के संबंध में जानकारी प्रदान करता है।
• 1.5 डेटा विषय (डेटा विषय): एक पहचाना या पहचाने जाने योग्य प्राकृतिक व्यक्ति।
• 1.6 ग्राहक: पार्टी जिसकी ओर से डेटा प्रोसेसर व्यक्तिगत डेटा को संसाधित करता है। क्लाइंट या तो नियंत्रक ("नियंत्रक") या कोई अन्य प्रोसेसर हो सकता है।
• 1.7 समझौता: क्लाइंट और डेटा प्रोसेसर के बीच समझौता, जिसके आधार पर आईसीटी आपूर्तिकर्ता क्लाइंट को सेवाओं और/या उत्पादों की आपूर्ति करता है, जिसमें से प्रोसेसर समझौता हिस्सा बनता है।
• 1.8 व्यक्तिगत डेटा: एक पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति के बारे में सभी जानकारी, जैसा कि अनुच्छेद 4, उप 1 एवीजी में वर्णित है, जिसे डेटा प्रोसेसर अनुबंध से उत्पन्न होने वाले अपने दायित्वों के प्रदर्शन के संदर्भ में संसाधित करता है।
• 1.9 प्रोसेसिंग समझौता: प्रोसेसिंग के लिए ये मानक क्लॉज, जो डेटा प्रोसेसर से डेटा प्रो स्टेटमेंट (या तुलनीय जानकारी) के साथ मिलकर जीडीपीआर के अनुच्छेद 28, पैराग्राफ 3 में संदर्भित प्रोसेसिंग एग्रीमेंट बनाते हैं।

अनुच्छेद 2. सामान्य

• 2.1 ये मानक प्रसंस्करण खंड व्यक्तिगत डेटा के सभी प्रसंस्करण पर लागू होते हैं जो डेटा प्रोसेसर अपने उत्पादों और सेवाओं के वितरण और सभी समझौतों और प्रस्तावों के संदर्भ में करता है। ग्राहक के प्रसंस्करण समझौतों की प्रयोज्यता स्पष्ट रूप से अस्वीकार कर दी गई है।
• 2.2 डेटा प्रो स्टेटमेंट, और विशेष रूप से उसमें निहित सुरक्षा उपायों को, बदलती परिस्थितियों को दर्शाने के लिए समय-समय पर डेटा प्रोसेसर द्वारा संशोधित किया जा सकता है। डेटा प्रोसेसर क्लाइंट को महत्वपूर्ण बदलावों की सूचना देगा। यदि ग्राहक समायोजन के लिए उचित रूप से सहमत नहीं हो सकता है, तो ग्राहक समायोजन की अधिसूचना के 30 दिनों के भीतर लिखित रूप में प्रसंस्करण समझौते को समाप्त करने का हकदार है।
• 2.3 डेटा प्रोसेसर डेटा प्रोसेसर से सहमत क्लाइंट के लिखित निर्देशों के अनुसार क्लाइंट की ओर से और उसकी ओर से व्यक्तिगत डेटा को संसाधित करता है।
• 2.4 ग्राहक, या उसका ग्राहक, GDPR के अर्थ के भीतर नियंत्रक है, व्यक्तिगत डेटा के प्रसंस्करण पर नियंत्रण रखता है और व्यक्तिगत डेटा को संसाधित करने के उद्देश्य और साधनों को निर्धारित करता है।
• 2.5 डेटा प्रोसेसर जीडीपीआर के अर्थ के भीतर एक प्रोसेसर है और इसलिए व्यक्तिगत डेटा को संसाधित करने के उद्देश्य और साधनों पर इसका कोई नियंत्रण नहीं है और इसलिए अन्य बातों के अलावा, व्यक्तिगत डेटा के उपयोग के बारे में कोई निर्णय नहीं लेता है।
• 2.6 डेटा प्रोसेसर, प्रोसेसिंग, डेटा प्रो स्टेटमेंट और एग्रीमेंट के लिए इन स्टैंडर्ड क्लॉज़ में निर्धारित GDPR को लागू करता है। यह ग्राहक पर निर्भर है कि वह इस जानकारी के आधार पर आकलन करे कि क्या डेटा प्रोसेसर उपयुक्त तकनीकी और संगठनात्मक उपायों के आवेदन के संबंध में पर्याप्त गारंटी प्रदान करता है ताकि प्रसंस्करण GDPR की आवश्यकताओं और डेटा विषयों के अधिकारों की सुरक्षा को पूरा कर सके। पर्याप्त है। गारंटी है।
• 2.7 क्लाइंट डेटा प्रोसेसर को गारंटी देता है कि वह जीडीपीआर के अनुसार कार्य करता है, कि वह हर समय अपने सिस्टम और बुनियादी ढांचे की पर्याप्त रूप से रक्षा करता है और व्यक्तिगत डेटा की सामग्री, उपयोग और/या प्रसंस्करण गैरकानूनी नहीं है और किसी भी अधिकार का उल्लंघन नहीं करता है। किसी तीसरे पक्ष का।
• 2.8 एपी द्वारा क्लाइंट पर लगाया गया प्रशासनिक जुर्माना डेटा प्रोसेसर से वसूल नहीं किया जा सकता है।

अनुच्छेद 3. सुरक्षा

• 3.1 डेटा प्रोसेसर तकनीकी और संगठनात्मक सुरक्षा उपाय करता है, जैसा कि इसके डेटा प्रो स्टेटमेंट में वर्णित है। तकनीकी और संगठनात्मक सुरक्षा उपायों को लेते समय, डेटा प्रोसेसर ने कला की स्थिति, सुरक्षा उपायों की कार्यान्वयन लागत, प्रसंस्करण की प्रकृति, दायरे और संदर्भ, उद्देश्यों और इसके उत्पादों और सेवाओं के इच्छित उपयोग को ध्यान में रखा है। , प्रसंस्करण जोखिम और जोखिम जो डेटा विषयों के अधिकारों और स्वतंत्रता के लिए संभाव्यता और गंभीरता में भिन्न होते हैं जो वह अपने उत्पादों और सेवाओं के इच्छित उपयोग को देखते हुए उम्मीद कर सकता था।
• 3.2 जब तक डेटा प्रो स्टेटमेंट में स्पष्ट रूप से अन्यथा न कहा गया हो, डेटा प्रोसेसर के उत्पाद या सेवा को व्यक्तिगत डेटा की विशेष श्रेणियों या आपराधिक दोषियों या अपराधों या सरकार द्वारा जारी व्यक्तिगत नंबरों से संबंधित डेटा को संसाधित करने के लिए डिज़ाइन नहीं किया गया है।
• 3.3 डेटा प्रोसेसर यह सुनिश्चित करने का प्रयास करता है कि इसके द्वारा किए जाने वाले सुरक्षा उपाय डेटा प्रोसेसर द्वारा उत्पाद या सेवा के इच्छित उपयोग के लिए उपयुक्त हैं।
• 3.4 क्लाइंट की राय में, वर्णित सुरक्षा उपाय अनुच्छेद 3.1 में निर्दिष्ट कारकों को ध्यान में रखते हुए, उपयोग किए गए या इसके द्वारा प्रदान किए गए व्यक्तिगत डेटा के प्रसंस्करण के जोखिम के अनुरूप सुरक्षा स्तर प्रदान करते हैं।
• 3.5 डेटा प्रोसेसर सुरक्षा उपायों में बदलाव कर सकता है यदि वह उचित स्तर की सुरक्षा प्रदान करना जारी रखने के लिए इसे आवश्यक समझता है। डेटा प्रोसेसर महत्वपूर्ण परिवर्तनों को रिकॉर्ड करेगा, उदाहरण के लिए एक संशोधित डेटा प्रो स्टेटमेंट में, और क्लाइंट को उन परिवर्तनों के बारे में सूचित करेगा जहां प्रासंगिक होगा।
• 3.6 क्लाइंट डेटा प्रोसेसर से और सुरक्षा उपाय करने का अनुरोध कर सकता है। डेटा प्रोसेसर ऐसे अनुरोध पर अपने सुरक्षा उपायों में बदलाव करने के लिए बाध्य नहीं है। डेटा प्रोसेसर क्लाइंट के अनुरोध पर क्लाइंट से किए गए परिवर्तनों से संबंधित लागतों को चार्ज कर सकता है। क्लाइंट द्वारा वांछित संशोधित सुरक्षा उपायों के बाद ही पार्टियों द्वारा लिखित और हस्ताक्षरित सहमति दी गई है, डेटा प्रोसेसर वास्तव में इन सुरक्षा उपायों को लागू करने के लिए बाध्य है।

अनुच्छेद 4. व्यक्तिगत डेटा का उल्लंघन

• 4.1 डेटा प्रोसेसर इस बात की गारंटी नहीं देता है कि सुरक्षा उपाय सभी परिस्थितियों में प्रभावी हैं। यदि डेटा प्रोसेसर व्यक्तिगत डेटा के संबंध में उल्लंघन का पता लगाता है (जैसा कि अनुच्छेद 4 उप 12 औसत में संदर्भित है), तो यह बिना किसी देरी के क्लाइंट को सूचित करेगा। डेटा प्रो स्टेटमेंट (डेटा लीक प्रोटोकॉल के तहत) यह निर्धारित करता है कि डेटा प्रोसेसर क्लाइंट को व्यक्तिगत डेटा के संबंध में उल्लंघनों के बारे में कैसे सूचित करता है।
• 4.2 यह आकलन करने के लिए नियंत्रक (क्लाइंट, या उसके ग्राहक) पर निर्भर है कि डेटा प्रोसेसर ने जिस व्यक्तिगत डेटा उल्लंघन के बारे में सूचित किया है, उसे एपी या डेटा विषय को सूचित किया जाना चाहिए या नहीं। व्यक्तिगत डेटा के संबंध में उल्लंघनों की रिपोर्टिंग, जिसे अनुच्छेद 33 और 34 जीडीपीआर के अनुसार एपी और/या डेटा विषयों को रिपोर्ट किया जाना चाहिए, हर समय नियंत्रक (ग्राहक या उसके ग्राहक) की जिम्मेदारी बनी रहती है। डेटा प्रोसेसर एपी और/या डेटा विषय को व्यक्तिगत डेटा उल्लंघनों की रिपोर्ट करने के लिए बाध्य नहीं है।
• 4.3 डेटा प्रोसेसर, यदि आवश्यक हो, व्यक्तिगत डेटा के संबंध में उल्लंघन के बारे में और अधिक जानकारी प्रदान करेगा और लेख 33 और 34 औसत में निर्दिष्ट अधिसूचना के उद्देश्य के लिए क्लाइंट को आवश्यक सूचना प्रावधान में सहयोग करेगा।
• 4.4 डेटा प्रोसेसर इस संदर्भ में क्लाइंट से उस समय लागू दरों पर उचित लागत वसूल कर सकता है।

अनुच्छेद 5. गोपनीयता

• 5.1 डेटा प्रोसेसर गारंटी देता है कि जो व्यक्ति व्यक्तिगत डेटा को उसकी जिम्मेदारी के तहत संसाधित करते हैं, उनका गोपनीयता का कर्तव्य है।
• 5.2 डेटा प्रोसेसर तीसरे पक्ष को व्यक्तिगत डेटा प्रदान करने का हकदार है, अगर और जहां तक ​​प्रावधान अदालत के फैसले, कानूनी विनियमन या सरकारी प्राधिकरण से अधिकृत आदेश के आधार पर आवश्यक है।
• 5.3 डेटा प्रोसेसर द्वारा क्लाइंट को प्रदान की गई सभी एक्सेस और/या पहचान कोड, प्रमाणपत्र, एक्सेस और/या पासवर्ड नीति के बारे में जानकारी और डेटा प्रोसेसर द्वारा क्लाइंट को प्रदान की गई सभी जानकारी जो डेटा प्रो स्टेटमेंट में शामिल तकनीकी और संगठनात्मक सुरक्षा उपायों को लागू करती है, गोपनीय हैं। और क्लाइंट द्वारा ऐसा व्यवहार किया जाएगा और केवल क्लाइंट के अधिकृत कर्मचारियों को ही इसकी जानकारी दी जाएगी। ग्राहक यह सुनिश्चित करता है कि उसके कर्मचारी इस लेख के तहत दायित्वों का पालन करें।

अनुच्छेद 6. अवधि और समाप्ति

• 6.1 यह प्रोसेसर समझौता समझौते का हिस्सा होता है और इससे उत्पन्न होने वाला कोई भी नया या आगे का समझौता, समझौते के समापन के समय प्रभावी होता है और अनिश्चित काल के लिए संपन्न होता है।
• 6.2 यह प्रोसेसर समझौता अनुबंध की समाप्ति पर या पार्टियों के बीच किसी नए या आगे के समझौते पर कानून के संचालन द्वारा समाप्त होता है।
• 6.3 प्रसंस्करण समझौते के समाप्त होने की स्थिति में, डेटा प्रोसेसर डेटा प्रो स्टेटमेंट में शामिल अवधि के भीतर अपने कब्जे में और क्लाइंट से प्राप्त सभी व्यक्तिगत डेटा को इस तरह से हटा देगा कि इसका अब उपयोग नहीं किया जा सकता है और अब नहीं है पहुंच योग्य (पहुंच योग्य प्रस्तुत करना)। , या, यदि सहमत हो, तो इसे क्लाइंट को मशीन-पठनीय प्रारूप में वापस कर दें।
• 6.4 डेटा प्रोसेसर क्लाइंट से अनुच्छेद 6.3 के प्रावधानों के संदर्भ में किसी भी लागत को वहन कर सकता है। इसके बारे में और समझौते डेटा प्रो स्टेटमेंट में निर्धारित किए जा सकते हैं।
• 6.5 यदि कोई वैधानिक विनियमन डेटा प्रोसेसर को व्यक्तिगत डेटा को पूरी तरह या आंशिक रूप से हटाने या वापस करने से रोकता है तो अनुच्छेद 6.3 के प्रावधान लागू नहीं होते हैं। ऐसे मामले में, डेटा प्रोसेसर केवल अपने कानूनी दायित्वों के तहत आवश्यक सीमा तक व्यक्तिगत डेटा को संसाधित करना जारी रखेगा। यदि डेटा प्रोसेसर व्यक्तिगत डेटा के संबंध में GDPR के अर्थ में नियंत्रक है तो अनुच्छेद 6.3 के प्रावधान भी लागू नहीं होते हैं।

अनुच्छेद 7. डेटा विषयों के अधिकार, डेटा संरक्षण प्रभाव आकलन (डीपीआईए) और लेखा परीक्षा अधिकार

• 7.1 डेटा प्रोसेसर, जहां संभव हो, डेटा सब्जेक्ट्स द्वारा क्लाइंट से डेटा सब्जेक्ट्स के अधिकारों से संबंधित क्लाइंट से उचित अनुरोधों के साथ सहयोग करेगा। यदि डेटा प्रोसेसर को डेटा विषय द्वारा सीधे संपर्क किया जाता है, तो वह इस व्यक्ति को जहां संभव हो क्लाइंट को संदर्भित करेगा।
• 7.2 यदि क्लाइंट ऐसा करने के लिए बाध्य है, तो डेटा प्रोसेसर डेटा सुरक्षा प्रभाव मूल्यांकन (DPIA) या बाद के पूर्व परामर्श के साथ सहयोग करेगा जैसा कि अनुच्छेद 35 और 36 औसत में संदर्भित है।
• 7.3 डेटा प्रोसेसर क्लाइंट से व्यक्तिगत डेटा को हटाने के अनुरोधों के साथ सहयोग करेगा, क्योंकि क्लाइंट स्वयं इसे निष्पादित नहीं कर सकता है।
• 7.4 क्लाइंट के अनुरोध पर, डेटा प्रोसेसर आगे की सभी जानकारी भी उपलब्ध कराएगा जो इस प्रसंस्करण समझौते में किए गए समझौतों के अनुपालन को प्रदर्शित करने के लिए उचित रूप से आवश्यक है। यदि ग्राहक के पास यह मानने का कारण है कि व्यक्तिगत डेटा का प्रसंस्करण प्रसंस्करण समझौते के अनुसार नहीं होता है, तो इसे वर्ष में एक बार एक स्वतंत्र, प्रमाणित, बाहरी विशेषज्ञ द्वारा परामर्श किया जा सकता है, जिसके पास इस प्रकार के प्रदर्शन का अनुभव है। प्रसंस्करण जो समझौते के आधार पर किया जाता है। , ग्राहक की कीमत पर एक ऑडिट किया जाता है। ऑडिट इस प्रोसेसर समझौते में निर्धारित व्यक्तिगत डेटा के प्रसंस्करण के संबंध में समझौतों के अनुपालन की जाँच तक सीमित होगा। विशेषज्ञ के पास जो कुछ भी मिलता है उसके संबंध में गोपनीयता का कर्तव्य होगा और केवल क्लाइंट को रिपोर्ट करेगा जिसके परिणामस्वरूप इस प्रोसेसर समझौते के तहत डेटा प्रोसेसर के दायित्वों की पूर्ति में कमी आती है। विशेषज्ञ अपनी रिपोर्ट की एक प्रति डाटा प्रोसेसर को उपलब्ध कराएगा। डेटा प्रोसेसर विशेषज्ञ से ऑडिट या निर्देश से इनकार कर सकता है, अगर उसकी राय में, यह जीडीपीआर या अन्य कानून का उल्लंघन करता है या सुरक्षा उपायों के एक अनुचित उल्लंघन का गठन करता है।
• 7.5 रिपोर्ट के परिणामों के बारे में पक्ष जल्द से जल्द परामर्श करेंगे। पक्ष रिपोर्ट में निर्धारित प्रस्तावित सुधार उपायों का पालन करेंगे, जहां तक ​​उनसे उचित रूप से अपेक्षा की जा सकती है। डेटा प्रोसेसर प्रस्तावित सुधार उपायों को उस सीमा तक लागू करेगा, जो उनकी राय में उपयुक्त हो, इसके उत्पाद या सेवा से जुड़े प्रसंस्करण जोखिमों को ध्यान में रखते हुए, कला की स्थिति, कार्यान्वयन लागत, बाजार जिसमें यह संचालित होता है, और उत्पाद या सेवा का इच्छित उपयोग। सेवा।
• 7.6 डेटा प्रोसेसर को इस लेख के प्रावधानों के संदर्भ में ग्राहक से होने वाली लागतों को वसूलने का अधिकार है।

अनुच्छेद 8. सब-प्रोसेसर

• 8.1 डेटा प्रोसेसर ने डेटा प्रो स्टेटमेंट में कहा है कि क्या, और यदि ऐसा है तो कौन सा तीसरा पक्ष (सब-प्रोसेसर या सब-प्रोसेसर) डेटा प्रोसेसर व्यक्तिगत डेटा के प्रसंस्करण में संलग्न है।
• 8.2 क्लाइंट डेटा प्रोसेसर को अनुबंध से उत्पन्न होने वाले अपने दायित्वों को पूरा करने के लिए अन्य उप-प्रोसेसर को शामिल करने की अनुमति देता है।
• 8.3 डेटा प्रोसेसर क्लाइंट को डेटा प्रोसेसर द्वारा लगाए गए तीसरे पक्ष में बदलाव के बारे में सूचित करेगा, उदाहरण के लिए संशोधित डेटा प्रो स्टेटमेंट के माध्यम से। क्लाइंट को डेटा प्रोसेसर द्वारा उपरोक्त परिवर्तन पर आपत्ति करने का अधिकार है। डेटा प्रोसेसर यह सुनिश्चित करता है कि उसके द्वारा लगाए गए तीसरे पक्ष व्यक्तिगत डेटा की सुरक्षा के संबंध में उसी सुरक्षा स्तर के लिए प्रतिबद्ध हैं, जिस सुरक्षा स्तर पर डेटा प्रोसेसर डेटा प्रो स्टेटमेंट के आधार पर क्लाइंट के लिए बाध्य है।

अनुच्छेद 9. अन्य

ये मानक प्रोसेसिंग क्लॉज, डेटा प्रो स्टेटमेंट के साथ, समझौते का एक अभिन्न हिस्सा हैं। समझौते के तहत सभी अधिकार और दायित्व, लागू सामान्य नियमों और शर्तों और/या दायित्व की सीमाओं सहित, इसलिए प्रसंस्करण समझौते पर भी लागू होते हैं।