Ugovor o procesoru

uvod

Autosoft BV obrađuje, između ostalog, osobne podatke za i u ime kupca. Autosoft BV i korisnik stoga su obvezni prema Općoj uredbi o zaštiti podataka (GDPR) sklopiti Ugovor o obradi. Prema GDPR-u, Autosoft BV je 'procesor', a kupac je 'kontrolor'. Ovaj Ugovor o procesoru također opisuje kako Autosoft BV postupa s obvezom obavijesti o povredi podataka.

Ugovor o procesoru

Koja se sastoji od:
Dio 1: Data Pro izjava
Dio 2: Standardne klauzule za obradu

Dio 1: Data Pro izjava

Opće informacije

1). Ovu Data Pro izjavu sastavio je sljedeći obrađivač podataka (obrađivač):

• Autosoft BV
  Hegelosestraat 547
  7521 AG Enschede

Za pitanja o ovoj Izjavi Data Pro ili zaštiti podataka, obratite se:
Arthur van der Lek: arthur@autosoft.eu / +31 (0) 53 - 428 00 98

2). Ova Data Pro izjava primjenjuje se od 1. kolovoza 2021
Redovito prilagođavamo ovu Data Pro izjavu i sigurnosne mjere opisane u njoj kako bismo osigurali da smo uvijek spremni i ažurni u pogledu zaštite podataka. Obavještavat ćemo vas o novim verzijama putem uobičajenih kanala.

3). Ova Data Pro izjava odnosi se na sljedeće proizvode i usluge za obradu podataka

• Autoweb stranica
• AutoCommerce

4). Opis web stranica za automobile
Automobilske tvrtke koriste Autoweb stranicu. Uz Autowebsite, automobilske tvrtke mogu se predstaviti na internetu.

5). Internetska stranica za automobil za namjenu
Autoweb stranica je dizajnirana i opremljena za obradu sljedećih vrsta podataka:
Posjetitelji web-mjesta koje je Autosoft izradio uz Autowebsite imaju mogućnost ostaviti svoje kontakt podatke tamo kako bi automobilska tvrtka imala priliku pristupiti posjetitelju za daljnje usluge. Ovi podaci za kontakt nisu pohranjeni u Autosoftu, već se prosljeđuju izravno putem e-pošte na adresu e-pošte auto tvrtke.

• Ova usluga ne uzima u obzir obradu posebnih osobnih podataka, podataka o kaznenim osudama i kaznenim djelima ili osobnih brojeva koje izdaje država.

6). Opis Autocommerce
Automobilske tvrtke koriste Autocommerce. Uz Autocommerce, automobilske tvrtke mogu upravljati i prezentirati svoja vozila na vlastitim web stranicama i internetskim portalima za pretraživanje trećih strana.

7). Namjena Autocommerce
Autocommerce je dizajniran i postavljen za obradu sljedećih vrsta podataka:
Automobilske tvrtke mogu postaviti svoja registrirana vozila putem Autocommercea na vlastitu web stranicu Car. Ova registrirana vozila ne sadrže nikakve podatke koji se mogu pratiti do osobnih podataka u bilo kojem obliku. Posjetitelji web stranice Car imaju mogućnost da tamo ostave svoje kontakt podatke kako bi auto kuća imala priliku pristupiti posjetitelju za daljnje usluge. Kontakt podaci koje posjetitelj ostavi na svojoj web stranici Auto pohranjeni su u Autocommerceu.

• Ova usluga ne uzima u obzir obradu posebnih osobnih podataka, podataka o kaznenim osudama i kaznenim djelima ili osobnih brojeva koje izdaje država.

8). Obrađivač podataka koristi Standardne klauzule za obradu za Autowebsite i Autocommerce, koje se mogu naći kao dodatak Ugovoru.

9). Obrađivač podataka obrađuje osobne podatke svojih klijenata unutar EU/EEA za Autowebsite i Autocommerce.

10). Procesor podataka koristi sljedeće podprocesore za Autocommerce:
U nekim slučajevima Autosoft šalje svoja registrirana vozila putem Autocommercea na portale za pretraživanje interneta trećih strana ili podprocesora u ime Car Company. Popis podprocesora dostupan je na zahtjev na support@autosoft.eu.

11). Nakon raskida Ugovora s klijentom, obrađivač podataka će u načelu ukloniti osobne podatke koje obrađuje za klijenta u roku od 3 mjeseca na način da se više ne mogu koristiti i više nisu dostupni (učiniti nedostupnima).

Sigurnosna politika

Sažmite sljedeće sigurnosne mjere koje je obrađivač podataka poduzeo kako bi zaštitio svoj proizvod ili uslugu:

Upravljanje incidentima i politika odgovora
Upravljanje incidentima i politike reagiranja u području informacijske sigurnosti uključuju praćenje i otkrivanje sigurnosnih incidenata na računalu ili IT infrastrukturi, ali i promatranje sumnjivih aktivnosti osoblja, te provedbu ispravnih odgovora na te događaje.

Primarni cilj ove politike je razviti dobro shvaćen i predvidljiv odgovor na zlonamjerne događaje i računalne upade u najširem smislu riječi.

Upravljanje incidentima i politika odgovora je proces upravljanja i zaštite računala, mreža i informacijskih sustava te informacija pohranjenih u njima. Autosoft je svjestan svoje odgovornosti kada je u pitanju zaštita ovih informacija za dobrobit svojih kupaca i partnera u lancu opskrbe. Ova odgovornost se proteže na postupak u slučaju incidenta. Upravljanje incidentima je skup aktivnosti koje definiraju i provode proces koji organizacija može koristiti za promicanje vlastite dobrobiti i sigurnosti javnosti.

IT i sigurnost
ICT struktura Autosoft BV adekvatno je osigurana vatrozidom, a softver za skeniranje virusa održava se ažurnim. Svaki zaposlenik ima profil za prijavu. Prilikom pokretanja računala, zaposlenici moraju unijeti korisničko ime i lozinku i gdje je moguće autentifikaciju u 2 koraka.

Određeni softver također traži ime za prijavu i lozinku i, gdje je moguće, autentifikaciju u 2 koraka. Stimulira se svijest zaposlenika o sigurnom radu, kao što je skretanje pozornosti na neotvaranje sumnjivih mailova, neklikanje na sumnjive poveznice, odjavljivanje pri duljem napuštanju radnog mjesta i sl.

Datoteke se sigurnosno kopiraju tijekom dana i svake noći. Iz sigurnosnih razloga, daljnji postupak pohrane koji okružuje sigurnosnu kopiju je povjerljiv. Autosoft BV je za to sklopio ugovore o uslugama s dobavljačima računala i pružateljima internetskih hostinga.

Politika zaštite podataka
Autosoft BV poduzima odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka korisnika od gubitka ili bilo kojeg oblika nezakonite obrade. Ove tehničke i organizacijske mjere smatraju se odgovarajućom sigurnosnom razinom u smislu članka 1. GDPR-a i pohranjuju se kao dokumenti u središnjem Basecampu (Projekt: Organizacija / politika zaštite podataka) Autosoft BV

Tehnički i organizacijski

1. Mjere kojima se osigurava da samo ovlašteno osoblje ima pristup osobnim podacima koji se obrađuju u kontekstu Ugovora o obrađivaču;
2. Mjere za zaštitu osobnih podataka posebno od slučajnog ili nezakonitog uništenja, gubitka, slučajne izmjene, neovlaštene ili nezakonite pohrane, pristupa ili otkrivanja;
3. Mjere zaštite osobnih podataka posebno od slučajnog ili nezakonitog uništenja, gubitka, slučajne izmjene, neovlaštene ili nezakonite pohrane, pristupa ili otkrivanja tijekom razmjene/prijenosa podataka;
4. Mjere kojima se osigurava sposobnost kontinuiranog osiguranja povjerljivosti, integriteta, dostupnosti i otpornosti sustava i usluga za uređivanje;
5. Mjere za pravodobno vraćanje dostupnosti i pristupa osobnim podacima u slučaju fizičkog ili tehničkog incidenta;
6. Mjere za utvrđivanje ranjivosti u pogledu obrade osobnih podataka u sustavima koji se koriste za pružanje usluga prema ugovoru;

Organizacijske kao što su:

• Ograničavanje kruga službenika koji imaju pristup određenim osobnim podacima na one osobe kojima su podaci potrebni za obavljanje svojih dužnosti;
• davanje pristupa ovim osobama samo osobnim podacima koji su im potrebni za obavljanje njihovih dužnosti;
• usuglašavanje klauzule o povjerljivosti sa klauzulom kazne sa svim osobama kojima će se odobriti pristup osobnim podacima;
• pohranjivanje osobnih podataka na poslužiteljima u zatvorenom prostoru;
• čuvanje papirnatih datoteka u ormarićima koji se zaključavaju;
• stvaranje svijesti o informacijskoj sigurnosti među zaposlenicima;
• uspostavljanje jasnih protokola i postupaka za pravodobno i učinkovito rješavanje incidenata informacijske sigurnosti i sigurnosnih ranjivosti;

Obrađivač podataka koristi vlastite metodologije i procedure za upravljanje koje se uklapaju u radnu metodu organizacije:

• Unutar Basecampa se upravlja relevantnim dokumentima i povremeno ih ocjenjuje.

Protokol povrede podataka

U slučaju da nešto krene po zlu, procesor podataka koristi sljedeći protokol curenja podataka kako bi osigurao da je klijent svjestan incidenata:

Autosoft BV – Postupak povrede podataka

Što je povreda podataka i kada to moram prijaviti AP-u?
Kršenje podataka je incident informacijske sigurnosti koji uključuje kršenje sigurnosti osobnih podataka izlaganjem gubitku ili nezakonitom obradom kao što su (ali ne iscrpno):

• Prilagodba i/ili promjena osobnih podataka i neovlašteni pristup tim osobnim podacima;
• U slučaju hakerske provale;
• Gubitak USB sticka, krađa prijenosnog računala;
• Slanje osjetljivih podataka na netočnu adresu e-pošte;

Prema zakonu, 'ozbiljna' povreda podataka mora se prijaviti nizozemskom tijelu za zaštitu podataka bez nepotrebnog odgađanja, a ako je moguće najkasnije 72 sata nakon otkrića.

Autosoft BV ne mora prijaviti nizozemsko tijelo za zaštitu podataka ako je stvarna identifikacija pojedinačnih fizičkih osoba razumno isključena.
Sve sumnje o incidentu u vezi s informacijskom sigurnošću bit će razriješene u prvom stupnju support@autosoft.eu prijavljen i registriran. Podrška prijavljuje incident Upravljačkom timu i određuje koje daljnje radnje treba poduzeti.

Postupak praćenja

Kada moram obavijestiti ispitanike?
Kršenje podataka mora se prijaviti ispitaniku ako, u slučaju kršenja, postoji veliki rizik da će povreda imati štetne posljedice za njegov ili njezin privatni život. Nepovoljne posljedice za nositelja podataka su: narušavanje njegova ugleda i ugleda, prijevara identiteta ili diskriminacija. Ako je Autosoft BV poduzeo odgovarajuće tehničke mjere zaštite, čineći dotične osobne podatke nerazumljivim ili nedostupnim, obavijest ispitanika nije potrebna. Obavijest nositelju podataka mora sadržavati opis, jasnim i jednostavnim jezikom, prirode povrede osobnih podataka i najmanje:

• ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke na kojoj se može dobiti više informacija;
• vjerojatne posljedice povrede osobnih podataka;
• mjere koje je voditelj obrade predložio ili poduzeo za rješavanje povrede osobnih podataka, uključujući, prema potrebi, mjere za ublažavanje svih štetnih učinaka. Procjenu mora li se povreda podataka prijaviti Nizozemskom tijelu za zaštitu podataka i/ili pogođenim osobama uvijek donosi Autosoft BV. Kako bi se utvrdilo mora li se incident prijaviti, nizozemsko tijelo za zaštitu podataka izradilo je pravila politike (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) i radna skupina 29 europskih smjernica za nadzor objavljene o obvezi izvješćivanja u GDPR-u. Ako Autosoft BV nije prijavio povredu podataka, nizozemsko tijelo za zaštitu podataka može zahtijevati da Autosoft BV ipak podnese prijavu. Neprijavljivanje se može kazniti administrativnom kaznom.

Kako mogu prijaviti kršenje podataka?
Nizozemsko tijelo za zaštitu podataka čini dostupnim web obrazac koji se mora koristiti za prijavu povreda podataka (https://dataleks.autoriteitpersoonsgegevens.nl/). Nizozemsko tijelo za zaštitu podataka vodi registar primljenih obavijesti o povredi podataka. Ovaj registar nije javan. Ako nizozemsko tijelo za zaštitu podataka izrekne novčanu kaznu kao rezultat povrede podataka, ova će odluka biti objavljena. Kršenje podataka također se objavljuje kada ispitanici trebaju biti obaviješteni o povredi podataka. Obavijest nositelju podataka u svakom slučaju mora navesti prirodu kršenja i tijela u kojima ispitanik može dobiti više informacija o kršenju. Također se mora navesti što ispitanik može sam učiniti kako bi ograničio negativne posljedice povrede podataka. Na primjer, mijenjanje korisničkih imena i lozinki kada su možda bili ugroženi kršenjem.

Što trebam prijaviti?
Obavijest nizozemskom tijelu za zaštitu podataka uključuje:

• Izvjestitelj povrede podataka.
• Osoba koju Nizozemsko tijelo za zaštitu podataka može kontaktirati za daljnje informacije o prijavi.
• Sažetak incidenta u kojem je došlo do povrede sigurnosti osobnih podataka.
• Vrijeme povrede.
• Priroda kršenja.
• Vrsta osobnih podataka o kojoj se radi.
• Posljedice koje povreda može imati za privatnost uključenih.
• Tehničke i organizacijske mjere koje je Autosoft BV poduzeo kako bi se uhvatio u koštac s kršenjem i spriječio daljnja kršenja.
• Je li Autosoft BV prijavio povredu podataka ispitanicima i ako nije, namjerava li Autosoft BV to učiniti:
• Ako je tako, sadržaj obavijesti ispitanicima.
• Ako nije, razlog zašto se Autosoft BV suzdržava od prijavljivanja povrede podataka ispitanicima.
• Jesu li osobni podaci šifrirani, raspršeni ili na neki drugi način učinjeni nerazumljivima ili nedostupnima neovlaštenim osobama?

Dio 2: Standardne klauzule za obradu

Verzija: rujan 2019
Formira zajedno s Data Pro izjavom ugovor o obradi i dodatak je Ugovoru i popratnim dodacima kao što su primjenjivi opći uvjeti i odredbe.

Članak 1. Definicije

Pojmovi u nastavku imaju sljedeća značenja u ovim Standardnim klauzulama o obradi, u Izjavi o podacima Pro i u ugovoru:

• 1.1 Nizozemsko tijelo za zaštitu podataka (AP): nadzorno tijelo, kako je opisano u članku 4., pod 21. Prosj.
• 1.2 AVG: Opća uredba o zaštiti podataka.
• 1.3 Procesor podataka: strana koja, kao dobavljač ICT-a, obrađuje osobne podatke u korist svog Klijenta u kontekstu izvršenja Ugovora.
• 1.4 Data Pro izjava: izjava Obrađivača podataka u kojoj daje informacije u vezi s namjeravanom uporabom svog proizvoda ili usluge, poduzetim sigurnosnim mjerama, poduprocesorima, curenjem podataka, certificiranjima i postupanjem s pravima subjekata podataka.
• 1.5 Subjekt podataka (subjekt podataka): identificirana ili identificirana fizička osoba.
• 1.6 Klijent: strana u čije ime Obrađivač podataka obrađuje osobne podatke. Klijent može biti ili kontrolor (“kontrolor”) ili drugi procesor.
• 1.7 Ugovor: ugovor između Naručitelja i Obrađivača podataka, na temelju kojeg ICT dobavljač isporučuje usluge i/ili proizvode Klijentu, čiji je dio ugovor o obrađivaču.
• 1.8 Osobni podaci: sve informacije o identificiranoj ili identificiranoj fizičkoj osobi, kako je opisano u članku 4., pod 1. AVG-a, koje Obrađivač podataka obrađuje u kontekstu izvršavanja svojih obveza koje proizlaze iz Ugovora.
• 1.9 Ugovor o obradi: ove Standardne klauzule za obradu, koje zajedno s Data Pro izjavom (ili usporedivim informacijama) od Obrađivača podataka čine ugovor o obradi kako je navedeno u članku 28. stavku 3. GDPR-a.

Članak 2. Općenito

• 2.1 Ove Standardne klauzule o obradi primjenjuju se na svu obradu osobnih podataka koju Obrađivač podataka obavlja u kontekstu isporuke svojih proizvoda i usluga te na sve ugovore i ponude. Primjenjivost Ugovora o obradi Klijenta izričito se odbija.
• 2.2 Obrađivač podataka može s vremena na vrijeme izmijeniti Izjavu Data Pro, a posebno sigurnosne mjere sadržane u njoj kako bi odražavale promjenjive okolnosti. Obrađivač podataka obavijestit će Klijenta o značajnim promjenama. Ako Klijent ne može razumno pristati na prilagodbe, Klijent ima pravo raskinuti ugovor o obradi u pisanom obliku u roku od 30 dana od obavijesti o prilagodbama.
• 2.3 Obrađivač podataka obrađuje osobne podatke u ime i za račun Klijenta u skladu s pisanim uputama Klijenta dogovorenim s Obrađivačem podataka.
• 2.4 Klijent, odnosno njegov kupac, je voditelj obrade u smislu GDPR-a, ima kontrolu nad obradom osobnih podataka te je odredio svrhu i način obrade osobnih podataka.
• 2.5 Obrađivač podataka je obrađivač u smislu GDPR-a i stoga nema kontrolu nad svrhom i načinom obrade osobnih podataka te stoga ne donosi nikakve odluke o, između ostalog, korištenju osobnih podataka.
• 2.6 Obrađivač podataka provodi GDPR kako je navedeno u ovim Standardnim klauzulama za obradu, Izjavi o podacima Pro i Ugovoru. Na Klijentu je da na temelju ovih informacija procijeni nudi li Obrađivač podataka dovoljna jamstva u pogledu primjene odgovarajućih tehničkih i organizacijskih mjera kako bi obrada udovoljila zahtjevima GDPR-a i zaštiti prava ispitanika. je dovoljan.zajamčen.
• 2.7 Klijent jamči Obrađivaču podataka da djeluje u skladu s GDPR-om, da u svakom trenutku adekvatno štiti svoje sustave i infrastrukturu te da sadržaj, korištenje i/ili obrada osobnih podataka nisu nezakoniti i ne krše nikakva prava. treće strane.
• 2.8 Administrativna novčana kazna koju je AP izrekao Klijentu ne može se nadoknaditi od Obrađivača podataka.

Članak 3. Sigurnost

• 3.1 Obrađivač podataka poduzima tehničke i organizacijske sigurnosne mjere, kako je opisano u svojoj Izjavi o Data Pro. Prilikom poduzimanja tehničkih i organizacijskih sigurnosnih mjera, Obrađivač podataka uzeo je u obzir stanje tehnike, troškove provedbe sigurnosnih mjera, prirodu, opseg i kontekst obrade, svrhe i namjeravanu upotrebu svojih proizvoda i usluga. , rizike obrade i rizike koji se razlikuju po vjerojatnosti i ozbiljnosti za prava i slobode subjekata podataka koje bi mogao očekivati ​​s obzirom na namjeravanu upotrebu svojih proizvoda i usluga.
• 3.2 Osim ako je izričito drugačije navedeno u Izjavi o Data Pro, proizvod ili usluga Obrađivača podataka nije dizajnirana za obradu posebnih kategorija osobnih podataka ili podataka u vezi s kaznenim osudama ili kaznenim djelima ili osobnim brojevima koje je izdala vlada.
• 3.3 Obrađivač podataka nastoji osigurati da su sigurnosne mjere koje treba poduzeti prikladne za namjeravanu upotrebu proizvoda ili usluge od strane Obrađivača podataka.
• 3.4 Prema mišljenju Naručitelja, opisane sigurnosne mjere nude, uzimajući u obzir čimbenike iz članka 3.1., razinu sigurnosti prilagođenu riziku obrade osobnih podataka koje koristi ili pruža.
• 3.5 Obrađivač podataka može promijeniti poduzete sigurnosne mjere ako je to prema njegovom mišljenju potrebno za nastavak pružanja odgovarajuće razine sigurnosti. Obrađivač podataka zabilježit će važne promjene, na primjer u izmijenjenoj Data Pro izjavi, i obavijestit će Klijenta o tim promjenama gdje je to relevantno.
• 3.6 Klijent može zatražiti od Obrađivača podataka poduzimanje daljnjih sigurnosnih mjera. Obrađivač podataka nema obvezu mijenjati svoje sigurnosne mjere na takav zahtjev. Obrađivač podataka može naplatiti troškove vezane uz izvršene promjene na zahtjev Naručitelja Klijentu. Tek nakon što su izmijenjene sigurnosne mjere koje je želio Klijent pismeno dogovorene i potpisane od strana, Obrađivač podataka je dužan stvarno provesti te sigurnosne mjere.

Članak 4. Kršenje osobnih podataka

• 4.1 Obrađivač podataka ne jamči da su sigurnosne mjere učinkovite u svim okolnostima. Ako Obrađivač podataka otkrije kršenje u vezi s osobnim podacima (kao što je navedeno u članku 4. pod 12. Prosj.), obavijestit će Klijenta bez nepotrebnog odgađanja. Izjava Data Pro (prema protokolu za curenje podataka) utvrđuje kako Obrađivač podataka obavještava Klijenta o kršenjima u vezi s osobnim podacima.
• 4.2 Na voditelju obrade (Klijentu ili njegovom korisniku) je da procijeni mora li se povreda osobnih podataka o kojoj je obavijestio Obrađivač podataka mora prijaviti AP-u ili subjektu podataka. Prijava kršenja u vezi s osobnim podacima, koja se moraju prijaviti AP-u i/ili subjektima podataka u skladu s člancima 33. i 34. GDPR-a, ostaje odgovornost voditelja obrade (Klijenta ili njegovog klijenta) u svakom trenutku. Obrađivač podataka nije dužan prijaviti kršenje osobnih podataka AP-u i/ili subjektu podataka.
• 4.3 Obrađivač podataka će, ako je potrebno, pružiti dodatne informacije o povredi u vezi s osobnim podacima te će surađivati ​​u pružanju potrebnih informacija Klijentu u svrhu obavijesti kako je navedeno u člancima 33. i 34. Prosj.
• 4.4 Obrađivač podataka može Klijentu naplatiti razumne troškove koje ima u ovom kontekstu prema tada primjenjivim cijenama.

Članak 5. Povjerljivost

• 5.1 Obrađivač podataka jamči da osobe koje obrađuju osobne podatke pod njegovom odgovornošću imaju obvezu čuvanja povjerljivosti.
• 5.2 Obrađivač podataka ima pravo osobne podatke ustupiti trećim osobama, ako i u mjeri u kojoj je to potrebno na temelju sudske odluke, zakonskog propisa ili na temelju ovlaštenog naloga državnog tijela.
• 5.3 Svi pristupni i/ili identifikacijski kodovi, certifikati, informacije o politici pristupa i/ili lozinki koje je Obrađivač podataka dao Klijentu i sve informacije koje je Obrađivač podataka dostavio Klijentu koje provode tehničke i organizacijske sigurnosne mjere uključene u Izjavu o podacima Pro povjerljive su. te će se kao takvim tretirati od strane Klijenta i samo će biti poznato ovlaštenim zaposlenicima Klijenta. Klijent osigurava da njegovi zaposlenici poštuju obveze iz ovog članka.

Članak 6. Trajanje i prestanak

• 6.1 Ovaj ugovor o procesoru dio je Ugovora i svaki novi ili daljnji ugovor koji proizlazi iz njega, stupa na snagu u trenutku sklapanja Ugovora i sklapa se na neodređeno vrijeme.
• 6.2 Ovaj ugovor o procesoru prestaje po zakonu nakon raskida Ugovora ili bilo kojeg novog ili daljnjeg sporazuma između stranaka.
• 6.3 U slučaju prestanka ugovora o obradi, Obrađivač podataka će izbrisati sve osobne podatke u svom posjedu i primljene od Klijenta u roku navedenom u Data Pro izjavi na način da se više ne mogu koristiti i više nisu dostupno (učiniti nedostupnim). , ili, ako je dogovoreno, vratite ga Klijentu u strojno čitljivom formatu.
• 6.4 Obrađivač podataka može naplatiti sve troškove koje nastane u kontekstu odredbi članka 6.3. od Klijenta. Daljnji dogovori o tome mogu se postaviti u Data Pro izjavi.
• 6.5 Odredbe članka 6.3 ne primjenjuju se ako zakonski propis onemogućuje Obrađivaču podataka da u potpunosti ili djelomično ukloni ili vrati osobne podatke. U tom slučaju, Obrađivač podataka nastavit će obrađivati ​​osobne podatke samo u mjeri u kojoj je to potrebno u skladu sa svojim zakonskim obvezama. Odredbe članka 6.3 također se ne primjenjuju ako je Obrađivač podataka voditelj obrade u smislu GDPR-a u pogledu osobnih podataka.

Članak 7. Prava subjekata podataka, procjena utjecaja na zaštitu podataka (DPIA) i prava revizije

• 7.1 Obrađivač podataka će, gdje je to moguće, surađivati ​​s razumnim zahtjevima Klijenta koji se odnose na prava subjekata podataka na koja se od Klijenta pozivaju subjekti podataka. Ako se nositelj podataka izravno obrati Obrađivaču podataka, on će tu osobu uputiti na Klijenta gdje je to moguće.
• 7.2 Ako je Klijent dužan to učiniti, Obrađivač podataka će surađivati ​​s procjenom učinka na zaštitu podataka (DPIA) ili naknadnim prethodnim savjetovanjem kako je navedeno u člancima 35. i 36. Prosj.
• 7.3 Obrađivač podataka će surađivati ​​sa zahtjevima Klijenta za uklanjanje osobnih podataka u mjeri u kojoj Klijent to ne može izvršiti sam.
• 7.4 Na zahtjev Klijenta, Obrađivač podataka će također učiniti dostupnim sve dodatne informacije koje su razumno potrebne za dokazivanje usklađenosti s ugovorima iz ovog ugovora o obradi. Ako Klijent ipak ima razloga vjerovati da se obrada osobnih podataka ne odvija u skladu s ugovorom o obradi, može se konzultirati najviše jednom godišnje od neovisnog, certificiranog, vanjskog stručnjaka koji ima dokazano iskustvo s tom vrstom obradu koja se provodi temeljem Ugovora. , izvršiti reviziju o trošku Naručitelja. Revizija će biti ograničena na provjeru usklađenosti s ugovorima u vezi s obradom osobnih podataka kako je navedeno u ovom Ugovoru o obrađivaču. Stručnjak će imati obvezu čuvanja povjerljivosti u pogledu onoga što otkrije i izvijestit će Naručitelja samo ono što rezultira nedostatkom u ispunjavanju obveza koje Obrađivač podataka ima prema ovom ugovoru o obrađivaču. Stručnjak će dostaviti kopiju svog izvješća Obrađivaču podataka. Obrađivač podataka može odbiti reviziju ili uputu stručnjaka ako, po njegovu mišljenju, to krši GDPR ili drugi zakon ili predstavlja nedopušteno kršenje sigurnosnih mjera koje je poduzeo.
• 7.5 Stranke će se konzultirati što je prije moguće o rezultatima izvješća. Stranke će slijediti predložene mjere poboljšanja koje su navedene u izvješću u mjeri u kojoj se to od njih može razumno očekivati. Obrađivač podataka će provesti predložene mjere poboljšanja u mjeri u kojoj su po njegovom mišljenju prikladne, uzimajući u obzir rizike obrade povezane s njegovim proizvodom ili uslugom, stanje tehnike, troškove implementacije, tržište na kojem posluje i namjeravanu uporabu proizvoda ili usluge usluga.
• 7.6 Obrađivač podataka ima pravo naplatiti troškove koje ima u kontekstu odredbi ovog članka od Klijenta.

Članak 8. Podprocesori

• 8.1 Obrađivač podataka je u Izjavi o podacima naveo je li, i ako jest, koje treće strane (podobrađivači ili podobrađivači) Obrađivač podataka sudjeluje u obradi osobnih podataka.
• 8.2 Naručitelj daje dopuštenje Obrađivaču podataka da angažira druge podobrađivače za izvršavanje svojih obveza koje proizlaze iz Ugovora.
• 8.3 Obrađivač podataka obavijestit će Klijenta o promjeni trećih strana koje je angažirao Obrađivač podataka, na primjer putem izmijenjene Izjave o Data Pro. Klijent ima pravo prigovoriti na gore spomenutu promjenu od strane Obrađivača podataka. Obrađivač podataka osigurava da se treće strane koje angažiraju obvezuju na istu razinu sigurnosti u pogledu zaštite osobnih podataka kao i razina sigurnosti na koju je Obrađivač podataka vezan prema Klijentu na temelju Izjave o podacima.

Članak 9. Ostalo

Ove Standardne klauzule o obradi, zajedno s Izjavom Data Pro, čine sastavni dio Ugovora. Sva prava i obveze iz Ugovora, uključujući primjenjive opće uvjete i/ili ograničenja odgovornosti, stoga se također primjenjuju na ugovor o obradi.