Մշակման պայմանագիր

Ներածություն

Autosoft BV-ն, ի թիվս այլ բաների, մշակում է անձնական տվյալները հաճախորդի համար և անունից: Autosoft BV-ն և հաճախորդը, հետևաբար, պարտավոր են Տվյալների պաշտպանության ընդհանուր կանոնակարգի (GDPR) համաձայն՝ կնքել մշակողի համաձայնագիր: Ըստ GDPR-ի՝ Autosoft BV-ն «պրոցեսոր» է, իսկ հաճախորդը՝ «վերահսկիչ»: Այս պրոցեսորի համաձայնագիրը նաև նկարագրում է, թե Autosoft BV-ն ինչպես է վարվում տվյալների խախտման մասին ծանուցման պարտավորության հետ:

Մշակման պայմանագիր

Բաղկացած է.
Մաս 1. Data Pro հայտարարություն
Մաս 2. Ստանդարտ մշակման դրույթներ

Մաս 1. Data Pro հայտարարություն

Ընդհանուր տեղեկություններ

1). Այս Data Pro հայտարարությունը կազմվել է հետևյալ տվյալների մշակողի (մշակողի) կողմից.

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Այս Data Pro հայտարարագրի կամ տվյալների պաշտպանության վերաբերյալ հարցերի համար դիմեք՝
Արթուր վան դեր Լեկ՝ arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Այս Data Pro հայտարարությունը կիրառվում է 1 թվականի օգոստոսի 2021-ից
Մենք կանոնավոր կերպով կարգավորում ենք այս Data Pro հայտարարությունը և դրանում նկարագրված անվտանգության միջոցները՝ ապահովելու, որ մենք միշտ պատրաստ և արդիական լինենք տվյալների պաշտպանության հարցում: Մենք ձեզ կտեղեկացնենք նոր տարբերակների մասին մեր սովորական ալիքներով։

3). Այս Data Pro հայտարարությունը վերաբերում է տվյալների մշակման հետևյալ ապրանքներին և ծառայություններին

• Ավտոկայք
• AutoCommerce

4). Նկարագրություն Ավտոմեքենաների կայք
Ավտոմեքենաների ընկերությունները օգտագործում են Autowebsite-ը: Autowebsite-ի միջոցով ավտոմոբիլային ընկերությունները կարող են ներկայանալ համացանցում:

5). Նախատեսված օգտագործման Car կայք
Ավտոկայքը նախագծված և հագեցած է հետևյալ տեսակի տվյալների մշակման համար.
Autosoft-ի կողմից Autowebsite-ով մշակված կայքերի այցելուները հնարավորություն ունեն այնտեղ թողնել իրենց կոնտակտային տվյալները, որպեսզի ավտոընկերությունը հնարավորություն ունենա մոտենալ այցելուին հետագա ծառայությունների համար: Այս կոնտակտային տվյալները չեն պահվում Autosoft-ում, այլ ուղղակիորեն էլեկտրոնային փոստի միջոցով ուղարկվում են ավտոընկերության էլ.փոստի հասցեին:

• Այս ծառայությունը հաշվի չի առնում հատուկ անձնական տվյալների մշակումը կամ քրեական դատավճիռներին և հանցագործություններին վերաբերող տվյալներ կամ պետական ​​կողմից տրված անձնական համարներ:

6). Նկարագրություն Autocommerce
Ավտոմեքենաների ընկերությունները օգտագործում են Autocommerce: Autocommerce-ի միջոցով ավտոմոբիլային ընկերությունները կարող են կառավարել և ներկայացնել իրենց մեքենաները սեփական կայքում և երրորդ անձանց ինտերնետային որոնման պորտալներում:

7). Նախատեսված օգտագործման ավտոմատ առևտուր
Autocommerce-ը նախագծված և հագեցած է հետևյալ տեսակի տվյալների մշակման համար.
Ավտոմոբիլային ընկերությունները կարող են իրենց գրանցված մեքենաները տեղադրել Autocommerce-ի միջոցով իրենց սեփական Ավտոմեքենայի կայքում: Այս գրանցված մեքենաները չեն պարունակում որևէ տվյալ, որը կարող է հետագծվել անձնական տվյալներից որևէ ձևով: Car կայքի այցելուները հնարավորություն ունեն այնտեղ թողնել իրենց կոնտակտային տվյալները, որպեսզի ավտոընկերությունը հնարավորություն ունենա մոտենալ այցելուին հետագա ծառայությունների համար: Այցելուի թողած կոնտակտային տվյալները սեփական Auto կայքում պահվում են Autocommerce-ում:

• Այս ծառայությունը հաշվի չի առնում հատուկ անձնական տվյալների մշակումը կամ քրեական դատավճիռներին և հանցագործություններին վերաբերող տվյալներ կամ պետական ​​կողմից տրված անձնական համարներ:

8). Տվյալների մշակողը օգտագործում է Ստանդարտ դրույթները Ավտոկայքի և Autocommerce-ի մշակման համար, որոնք կարելի է գտնել որպես Համաձայնագրի հավելված:

9): Տվյալների մշակողը մշակում է իր հաճախորդների անձնական տվյալները ԵՄ/ԵՏԱ-ում ավտոկայքի և ավտոառևտրի համար:

10): Տվյալների մշակողն օգտագործում է հետևյալ ենթապրոցեսորները Autocommerce-ի համար.
Որոշ դեպքերում Autosoft-ն իր գրանցված մեքենաներն ուղարկում է Autocommerce-ի միջոցով երրորդ կողմերի կամ ենթապրոցեսորների ինտերնետային որոնման պորտալներին Ավտոընկերության անունից: Ենթամշակողների ցանկը հասանելի է ըստ պահանջի support@autosoft.eu հասցեով:

11): Հաճախորդի հետ Պայմանագրի դադարեցումից հետո տվյալների մշակողը սկզբունքորեն կհեռացնի այն անձնական տվյալները, որոնք նա մշակում է հաճախորդի համար 3 ​​ամսվա ընթացքում այնպես, որ դրանք այլևս չօգտագործվեն և այլևս հասանելի չլինեն (դարձնել անհասանելի):

Անվտանգության քաղաքականություն

Ամփոփեք հետևյալ անվտանգության միջոցները, որոնք Տվյալների մշակողը ձեռնարկել է իր արտադրանքը կամ ծառայությունը պաշտպանելու համար.

Միջադեպերի կառավարման և արձագանքման քաղաքականություն
Տեղեկատվական անվտանգության ոլորտում միջադեպերի կառավարման և արձագանքման քաղաքականությունը ներառում է համակարգչի կամ ՏՏ ենթակառուցվածքի վրա անվտանգության միջադեպերի մոնիտորինգը և հայտնաբերումը, ինչպես նաև անձնակազմի կողմից կասկածելի գործողությունների դիտարկումը և այդ իրադարձություններին ճիշտ պատասխանների իրականացումը:

Այս քաղաքականության առաջնային նպատակն է զարգացնել լավ հասկացված և կանխատեսելի արձագանք չարամիտ իրադարձություններին և համակարգչային ներխուժումներին՝ բառի ամենալայն իմաստով:

Միջադեպերի կառավարման և արձագանքման քաղաքականությունը համակարգիչների, ցանցերի և տեղեկատվական համակարգերի և դրանցում պահվող տեղեկատվության կառավարման և պաշտպանության գործընթացն է: Autosoft-ը տեղյակ է իր պարտականությունների մասին, երբ խոսքը վերաբերում է այս տեղեկատվության պաշտպանությանը՝ ի շահ իր հաճախորդների և մատակարարման շղթայի գործընկերների: Այս պատասխանատվությունը տարածվում է Միջադեպի ընթացակարգի վրա: Միջադեպերի կառավարումը գործողությունների մի շարք է, որը սահմանում և իրականացնում է մի գործընթաց, որը կազմակերպությունը կարող է օգտագործել սեփական բարեկեցությունը և հանրության անվտանգությունը խթանելու համար:

ՏՏ և անվտանգություն
Autosoft BV-ի ՏՀՏ կառուցվածքը պատշաճ կերպով ապահովված է firewall-ով, և վիրուսների սկանավորման ծրագիրը թարմացված է: Յուրաքանչյուր աշխատակից ունի մուտքի պրոֆիլ: Համակարգիչը գործարկելիս աշխատակիցները պետք է մուտքագրեն մուտքի անուն և գաղտնաբառ, իսկ հնարավորության դեպքում՝ 2-քայլ իսկորոշմամբ:

Որոշ ծրագրեր նաև պահանջում են մուտքի անուն և գաղտնաբառ և, հնարավորության դեպքում, 2-քայլ իսկորոշմամբ: Աշխատակիցների շրջանում ապահով աշխատանքի մասին տեղեկացվածությունը խթանում է, օրինակ՝ ուշադրություն հրավիրել կասկածելի էլ. նամակները չբացելու, կասկածելի հղումների վրա չկտտացնելու, աշխատավայրից երկար ժամանակով դուրս գալու ժամանակ և այլն:

Ֆայլերը պահուստավորվում են օրերի ընթացքում և ամեն գիշեր: Անվտանգության նկատառումներից ելնելով, պահուստավորման հետ կապված հետագա պահպանման ընթացակարգը գաղտնի է: Autosoft BV-ն դրա համար սպասարկման պայմանագրեր է կնքել համակարգչային մատակարարների և ինտերնետ հոսթինգի մատակարարների հետ:

Տվյալների պաշտպանության քաղաքականություն
Autosoft BV-ն ձեռնարկում է համապատասխան տեխնիկական և կազմակերպչական միջոցներ՝ պաշտպանելու հաճախորդի անձնական տվյալները կորստից կամ ապօրինի մշակման ցանկացած ձևից: Այս տեխնիկական և կազմակերպչական միջոցառումները համարվում են անվտանգության համապատասխան մակարդակ GDPR-ի 1-ին հոդվածի իմաստով և պահվում են որպես փաստաթղթեր Autosoft BV-ի կենտրոնական Basecamp-ում (Ծրագիր՝ Կազմակերպություն / Տվյալների պաշտպանության քաղաքականություն):

Տեխնիկական և կազմակերպչական

1. Միջոցներ՝ ապահովելու համար, որ միայն լիազորված անձնակազմը հասանելիություն ունենա Անձնական տվյալներին, որոնք մշակվում են Մշակողի Համաձայնագրի համատեքստում.
2. Անձնական տվյալների պաշտպանությանն ուղղված միջոցառումներ, մասնավորապես, պատահական կամ անօրինական ոչնչացումից, կորստից, պատահական փոփոխությունից, չարտոնված կամ ապօրինի պահպանումից, մուտքից կամ բացահայտումից.
3. Անձնական տվյալների պաշտպանության միջոցներ, մասնավորապես, պատահական կամ անօրինական ոչնչացումից, կորստից, պատահական փոփոխությունից, չարտոնված կամ ապօրինի պահպանումից, մուտքից կամ բացահայտումից տվյալների փոխանակման/փոխադրման ընթացքում.
4. Միջոցառումներ՝ շարունակական հիմունքներով խմբագրման համակարգերի և ծառայությունների գաղտնիությունը, ամբողջականությունը, հասանելիությունը և ճկունությունն ապահովելու կարողությունը.
5. Միջոցներ՝ ֆիզիկական կամ տեխնիկական միջադեպի դեպքում Անձնական տվյալների հասանելիությունն ու հասանելիությունը ժամանակին վերականգնելու համար.
6. Պայմանագրով նախատեսված ծառայությունների մատուցման համար օգտագործվող համակարգերում Անձնական տվյալների մշակման հետ կապված խոցելիությունները բացահայտելու միջոցառումներ.

Կազմակերպչական, ինչպիսիք են.

• Պաշտոնատար անձանց շրջանակը, որոնց հասանելի են որոշակի անձնական տվյալներ, սահմանափակելով այն անձանց շրջանակը, որոնց տվյալներն անհրաժեշտ են իրենց պարտականությունների կատարման համար.
• այդ անձանց հասանելիություն տալ միայն անձնական տվյալներին, որոնք նրանց անհրաժեշտ են իրենց պարտականությունների կատարման համար.
• Գաղտնիության դրույթի համաձայնություն տուգանքի դրույթի հետ բոլոր այն անձանց հետ, ում հասանելիություն կտրվի անձնական տվյալներին.
• սերվերների վրա անձնական տվյալների պահպանում փակ տարածքում.
• թղթե ֆայլերը փակվող պահարաններում պահելը.
• աշխատողների շրջանում տեղեկատվական անվտանգության իրազեկման ձևավորում.
• Տեղեկատվական անվտանգության միջադեպերի և անվտանգության խոցելիությունների ժամանակին և արդյունավետ լուծման համար հստակ արձանագրությունների և ընթացակարգերի սահմանում.

Տվյալների մշակողն օգտագործում է իր սեփական մեթոդաբանությունները և ընթացակարգերը կառավարման համար, որոնք համապատասխանում են կազմակերպության աշխատանքային մեթոդին.

• Basecamp-ի շրջանակներում համապատասխան փաստաթղթերը կառավարվում և պարբերաբար գնահատվում են:

Տվյալների խախտման արձանագրություն

Այն դեպքում, երբ ինչ-որ բան սխալ է ընթանում, տվյալների մշակողը օգտագործում է տվյալների արտահոսքի հետևյալ արձանագրությունը՝ համոզվելու համար, որ հաճախորդը տեղյակ է միջադեպերի մասին.

Autosoft BV – Տվյալների խախտման ընթացակարգ

Ի՞նչ է տվյալների խախտումը և ե՞րբ պետք է դրա մասին զեկուցեմ ԱԵԱ-ին:
Տվյալների խախտումը տեղեկատվական անվտանգության միջադեպ է, որը ներառում է անձնական տվյալների անվտանգության խախտում՝ կորստի կամ ապօրինի մշակման միջոցով, ինչպիսիք են (բայց ոչ սպառիչ).

• Անձնական տվյալների ճշգրտում և/կամ փոփոխություն և այս անձնական տվյալների չարտոնված մուտքը.
• Հաքերի կողմից ներխուժման դեպքում;
• USB կրիչի կորուստ, նոութբուքի գողություն;
• Ուղարկել զգայուն տվյալներ սխալ էլփոստի հասցեով.

Օրենքի համաձայն՝ տվյալների «լուրջ» խախտումը պետք է հաղորդվի Նիդեռլանդների Տվյալների պաշտպանության մարմնին առանց անհարկի ուշացման, իսկ հնարավորության դեպքում ոչ ուշ, քան հայտնաբերումից 72 ժամ հետո:

Autosoft BV-ն պարտավոր չէ զեկուցել Նիդեռլանդների տվյալների պաշտպանության մարմնին, եթե առանձին ֆիզիկական անձանց փաստացի նույնականացումը ողջամտորեն բացառված է:
Տեղեկատվական անվտանգության միջադեպի հետ կապված բոլոր կասկածներն առաջին հերթին կլուծվեն support@autosoft.eu զեկուցվել և գրանցվել է. Աջակցությունը հայտնում է միջադեպի մասին Կառավարման թիմին և որոշում, թե ինչ հետագա գործողություններ պետք է ձեռնարկվեն:

Հետագա ընթացակարգ

Ե՞րբ պետք է տեղեկացնեմ տվյալների սուբյեկտներին:
Տվյալների խախտման մասին պետք է հաղորդվի տվյալների սուբյեկտին, եթե խախտման դեպքում մեծ ռիսկ կա, որ խախտումը բացասական հետևանքներ կունենա նրա անձնական կյանքի համար: Տվյալների սուբյեկտի համար անբարենպաստ հետևանքներն են՝ նրա համբավին և համբավին վնասելը, ինքնության խարդախությունը կամ խտրականությունը: Եթե ​​Autosoft BV-ն ձեռնարկել է համապատասխան տեխնիկական պաշտպանության միջոցներ, որոնց արդյունքում տվյալ անձնական տվյալները դառնում են անհասկանալի կամ անհասանելի, տվյալների սուբյեկտին ծանուցումն անհրաժեշտ չէ: Տվյալների սուբյեկտին ծանուցումը պետք է պարունակի պարզ և պարզ լեզվով նկարագրություն անձնական տվյալների խախտման բնույթի և առնվազն.

• տվյալների պաշտպանության աշխատակցի կամ այլ կոնտակտային կետի անունը և կոնտակտային տվյալները, որտեղ կարելի է լրացուցիչ տեղեկություններ ստանալ.
• անձնական տվյալների խախտման հավանական հետևանքները.
• վերահսկիչի կողմից առաջարկված կամ ձեռնարկված միջոցները՝ անձնական տվյալների խախտումը վերացնելու համար, ներառյալ, անհրաժեշտության դեպքում, միջոցներ՝ դրանց ցանկացած անբարենպաստ հետևանքները մեղմելու համար։ Գնահատումը, թե արդյոք տվյալների խախտումը պետք է զեկուցվի Նիդեռլանդների Տվյալների պաշտպանության մարմնին և/կամ տուժած անձանց, միշտ պատկանում է Autosoft BV-ին: Որոշելու համար, թե արդյոք միջադեպը պետք է հաղորդվի, Նիդեռլանդների տվյալների պաշտպանության մարմինը մշակել է քաղաքականության կանոններ (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) և Եվրոպական վերահսկիչների ուղեցույցների 29 աշխատանքային խումբը հրապարակել է GDPR-ում հաշվետվության պարտավորության վերաբերյալ: Եթե ​​Autosoft BV-ն չի հայտնել տվյալների խախտման մասին, Նիդեռլանդների Տվյալների պաշտպանության մարմինը կարող է պահանջել, որ Autosoft BV-ն դեռևս հաշվետվություն ներկայացնի: Չներկայացնելը կարող է պատժվել վարչական տուգանքով։

Ինչպե՞ս կարող եմ հաղորդել տվյալների խախտման մասին:
Հոլանդիայի Տվյալների պաշտպանության մարմինը հասանելի է դարձնում վեբ ձևը, որը պետք է օգտագործվի տվյալների խախտումների մասին զեկուցելու համար (https://dataleks.autoriteitpersoonsgegevens.nl/): Նիդեռլանդների Տվյալների պաշտպանության մարմինը գրանցում է տվյալների խախտումների մասին ստացված ծանուցումները: Այս ռեգիստրը հրապարակային չէ: Եթե ​​տվյալների խախտման արդյունքում Նիդեռլանդների տվյալների պաշտպանության մարմնի կողմից տուգանք սահմանվի, ապա այս որոշումը կհրապարակվի: Տվյալների խախտումը նաև հրապարակվում է, երբ տվյալների սուբյեկտները պետք է տեղեկացված լինեն տվյալների խախտման մասին: Տվյալների սուբյեկտին ծանուցումը պետք է ամեն դեպքում նշի խախտման բնույթը և այն մարմինները, որտեղ տվյալների սուբյեկտը կարող է ավելի շատ տեղեկություններ ստանալ խախտման մասին: Նաև պետք է նշվի, թե տվյալների սուբյեկտն ինքն ինչ կարող է անել տվյալների խախտման բացասական հետևանքները սահմանափակելու համար: Օրինակ՝ օգտատերերի անուններն ու գաղտնաբառերը փոխելը, երբ դրանք կարող են վտանգվել խախտման պատճառով:

Ինչ պետք է զեկուցեմ:
Նիդեռլանդների տվյալների պաշտպանության մարմնին ուղղված ծանուցումը ներառում է.

• Տվյալների խախտման թղթակիցը.
• Անձը, ում Նիդեռլանդների Տվյալների պաշտպանության մարմինը կարող է կապ հաստատել զեկույցի մասին լրացուցիչ տեղեկությունների համար:
• Միջադեպի ամփոփում, որտեղ տեղի է ունեցել անձնական տվյալների անվտանգության խախտում:
• Խախտման ժամանակը.
• Խախտման բնույթը.
• Անձնական տվյալների տեսակը:
• Հետևանքները, որոնք խախտումը կարող է ունենալ ներգրավված անձանց գաղտնիության համար:
• Տեխնիկական և կազմակերպչական միջոցառումները, որոնք Autosoft BV-ն ձեռնարկել է խախտումը վերացնելու և հետագա խախտումները կանխելու համար:
• Արդյո՞ք Autosoft BV-ն հայտնել է տվյալների խախտման մասին տվյալների սուբյեկտներին, և եթե ոչ, արդյոք Autosoft BV-ն մտադիր է դա անել.
• Եթե ​​այո, ապա տվյալների սուբյեկտներին ծանուցման բովանդակությունը:
• Եթե ​​ոչ, պատճառն այն է, որ Autosoft BV-ն ձեռնպահ է մնում տվյալների խախտման մասին տվյալների սուբյեկտներին զեկուցելուց:
• Արդյո՞ք անձնական տվյալները կոդավորված են, հաշված կամ այլ կերպ անհասկանալի կամ անհասանելի են դարձել չարտոնված անձանց համար:

Մաս 2. Ստանդարտ մշակման դրույթներ

Տարբերակ՝ սեպտեմբեր 2019թ
Data Pro-ի հայտարարության հետ միասին ձևավորում է մշակման համաձայնագիրը և հանդիսանում է Համաձայնագրի և ուղեկցող հավելվածների հավելված, ինչպիսիք են՝ կիրառելի ընդհանուր պայմաններն ու պայմանները:

Հոդված 1. Սահմանումներ

Ստորև բերված տերմիններն ունեն հետևյալ նշանակությունը Սույն Ստանդարտ մշակման դրույթներում, Data Pro հայտարարության մեջ և համաձայնագրում.

• 1.1 Հոլանդիայի Տվյալների պաշտպանության մարմին (AP). Վերահսկող մարմինը, ինչպես նկարագրված է Միջին օրենքի 4-րդ հոդվածի 21-րդ ենթ.
• 1.2 AVG: Տվյալների պաշտպանության ընդհանուր կանոնակարգը:
• 1.3 Տվյալների մշակող. կողմ, որը, որպես ՏՀՏ մատակարար, Պայմանագրի կատարման համատեքստում մշակում է Անձնական տվյալները՝ ի շահ իր Հաճախորդի:
• 1.4 Data Pro հայտարարություն. Տվյալների մշակողի հայտարարություն, որում նա տեղեկատվություն է տրամադրում իր արտադրանքի կամ ծառայության նպատակային օգտագործման, ձեռնարկված անվտանգության միջոցների, ենթամշակողների, տվյալների արտահոսքի, հավաստագրերի և տվյալների սուբյեկտների իրավունքների հետ կապված:
• 1.5 Տվյալների սուբյեկտ (տվյալների սուբյեկտ). նույնականացված կամ նույնականացման ենթակա ֆիզիկական անձ:
• 1.6 Հաճախորդ. կողմ, որի անունից Տվյալների մշակողը մշակում է անձնական տվյալները: Հաճախորդը կարող է լինել կամ վերահսկիչ («վերահսկիչ») կամ այլ պրոցեսոր:
• 1.7 Համաձայնագիր. Հաճախորդի և Տվյալների մշակողի միջև համաձայնագիրը, որի հիման վրա ՏՀՏ մատակարարը ծառայություններ և/կամ ապրանքներ է մատակարարում Հաճախորդին, որի մաս է կազմում պրոցեսորի պայմանագիրը:
• 1.8 Անձնական տվյալներ. բոլոր տեղեկությունները նույնականացված կամ ճանաչելի ֆիզիկական անձի մասին, ինչպես նկարագրված է AVG-ի 4-րդ հոդվածի 1-ին ենթակետում, որը Տվյալների մշակողը մշակում է Համաձայնագրից բխող իր պարտավորությունների կատարման համատեքստում:
• 1.9 Մշակման պայմանագիր. մշակման այս ստանդարտ դրույթները, որոնք Տվյալների մշակողի կողմից Տվյալների աջակցության հայտարարագրի (կամ համադրելի տեղեկատվության) հետ միասին կազմում են մշակման համաձայնագիրը, ինչպես նշված է GDPR-ի 28-րդ հոդվածի 3-րդ կետում:

Հոդված 2. Ընդհանուր

• 2.1 Սույն ստանդարտ մշակման դրույթները վերաբերում են Անձնական տվյալների բոլոր մշակմանը, որը Տվյալների մշակողը կատարում է իր ապրանքների և ծառայությունների մատուցման համատեքստում, ինչպես նաև բոլոր Համաձայնագրերի և առաջարկների նկատմամբ: Հաճախորդի մշակման պայմանագրերի կիրառելիությունը ուղղակիորեն մերժվում է:
• 2.2 Data Pro-ի հայտարարությունը, և, մասնավորապես, դրանում պարունակվող անվտանգության միջոցները, կարող են ժամանակ առ ժամանակ փոփոխվել Տվյալների մշակողի կողմից՝ արտացոլելու փոփոխվող հանգամանքները: Տվյալների մշակողը Հաճախորդին կտեղեկացնի էական փոփոխությունների մասին: Եթե ​​Հաճախորդը չի կարող ողջամտորեն համաձայնվել ճշգրտումների հետ, Հաճախորդն իրավունք ունի գրավոր դադարեցնել մշակման պայմանագիրը ճշգրտումների մասին ծանուցումից հետո 30 օրվա ընթացքում:
• 2.3 Տվյալների մշակողը մշակում է Անձնական տվյալները Հաճախորդի անունից և անունից՝ Տվյալների մշակողի հետ համաձայնեցված Հաճախորդի գրավոր ցուցումների համաձայն:
• 2.4 Հաճախորդը կամ նրա հաճախորդը GDPR-ի իմաստով վերահսկիչ է, վերահսկում է Անձնական տվյալների մշակումը և որոշել է անձնական տվյալների մշակման նպատակն ու միջոցները:
• 2.5 Տվյալների մշակողը GDPR-ի իմաստով մշակող է և, հետևաբար, չի վերահսկում Անձնական տվյալների մշակման նպատակը և միջոցները և, հետևաբար, որևէ որոշում չի կայացնում, ի թիվս այլ բաների, Անձնական տվյալների օգտագործման վերաբերյալ:
• 2.6 Տվյալների մշակողը իրականացնում է GDPR-ը, ինչպես սահմանված է Մշակման այս ստանդարտ դրույթներում, Տվյալների ծրագրային հայտարարագրում և Համաձայնագրում: Հաճախորդը պետք է գնահատի այս տեղեկատվության հիման վրա, թե արդյոք Տվյալների մշակողը բավարար երաշխիքներ է տալիս համապատասխան տեխնիկական և կազմակերպչական միջոցառումների կիրառման առնչությամբ, որպեսզի մշակումը համապատասխանի GDPR-ի պահանջներին և տվյալների սուբյեկտների իրավունքների պաշտպանությանը: բավարար է երաշխավորված.
• 2.7 Հաճախորդը երաշխավորում է Տվյալների մշակողին, որ նա գործում է GDPR-ի համաձայն, որ նա համարժեքորեն պաշտպանում է իր համակարգերն ու ենթակառուցվածքները բոլոր ժամանակներում, և որ Անձնական տվյալների բովանդակությունը, օգտագործումը և/կամ մշակումը անօրինական չեն և չեն խախտում որևէ իրավունք: երրորդ կողմի.
• 2.8 ԱԵԱ-ի կողմից Հաճախորդի նկատմամբ նշանակված վարչական տուգանքը չի կարող վերականգնվել Տվյալների մշակողից:

Հոդված 3. Անվտանգություն

• 3.1 Տվյալների մշակողը ձեռնարկում է տեխնիկական և կազմակերպչական անվտանգության միջոցներ, ինչպես նկարագրված է իր Data Pro հայտարարության մեջ: Տեխնիկական և կազմակերպչական անվտանգության միջոցներ ձեռնարկելիս Տվյալների մշակողը հաշվի է առել տեխնիկայի վիճակը, անվտանգության միջոցառումների իրականացման ծախսերը, մշակման բնույթը, շրջանակը և համատեքստը, իր արտադրանքի և ծառայությունների նպատակներն ու նպատակային օգտագործումը: , մշակման ռիսկերը և ռիսկերը, որոնք տարբերվում են հավանականությամբ և լրջությամբ տվյալների սուբյեկտների իրավունքների և ազատությունների համար, որոնք նա կարող էր ակնկալել՝ հաշվի առնելով իր արտադրանքի և ծառայությունների նպատակային օգտագործումը:
• 3.2 Եթե ​​այլ բան հստակորեն նշված չէ Data Pro-ի հայտարարության մեջ, Տվյալների մշակողի արտադրանքը կամ ծառայությունը նախատեսված չէ մշակելու անձնական տվյալների հատուկ կատեգորիաներ կամ տվյալներ քրեական դատվածությունների կամ հանցագործությունների կամ կառավարության կողմից տրված անձնական համարների վերաբերյալ:
• 3.3 Տվյալների մշակողը ձգտում է ապահովել, որ իր կողմից ձեռնարկվելիք անվտանգության միջոցները համապատասխանեն տվյալների մշակողի կողմից արտադրանքի կամ ծառայության նպատակային օգտագործմանը:
• 3.4 Հաճախորդի կարծիքով՝ նկարագրված անվտանգության միջոցներն առաջարկում են անվտանգության մակարդակ, որը հարմարեցված է Հաճախորդի կողմից օգտագործված կամ տրամադրված Անձնական տվյալների մշակման ռիսկին՝ հաշվի առնելով 3.1-րդ հոդվածում նշված գործոնները:
• 3.5 Տվյալների մշակողը կարող է փոփոխություններ կատարել ձեռնարկված անվտանգության միջոցառումներում, եթե, իր կարծիքով, դա անհրաժեշտ է անվտանգության համապատասխան մակարդակ ապահովելու համար: Տվյալների մշակողը կարձանագրի կարևոր փոփոխությունները, օրինակ՝ փոփոխված Data Pro հայտարարության մեջ և անհրաժեշտության դեպքում Հաճախորդին կտեղեկացնի այդ փոփոխությունների մասին:
• 3.6 Հաճախորդը կարող է Տվյալների մշակողից պահանջել անվտանգության լրացուցիչ միջոցներ ձեռնարկել: Տվյալների մշակողը պարտավոր չէ նման խնդրանքով փոփոխություններ կատարել իր անվտանգության միջոցառումներում: Տվյալների մշակողը կարող է Հաճախորդին գանձել Հաճախորդի խնդրանքով կատարված փոփոխությունների հետ կապված ծախսերը: Միայն այն բանից հետո, երբ Հաճախորդի կողմից ցանկալի անվտանգության միջոցները գրավոր համաձայնեցվեն և ստորագրվեն Կողմերի կողմից, Տվյալների մշակողը պարտավոր է իրականում իրականացնել այդ անվտանգության միջոցները:

Հոդված 4. Անձնական տվյալների խախտում

• 4.1 Տվյալների մշակողը չի երաշխավորում, որ անվտանգության միջոցներն արդյունավետ են բոլոր հանգամանքներում: Եթե ​​Տվյալների մշակողը հայտնաբերի Անձնական տվյալների հետ կապված խախտում (ինչպես նշված է 4-րդ հոդվածի 12-րդ ենթակետում միջին հաշվով), նա առանց անհարկի ուշացման կտեղեկացնի Հաճախորդին: Data Pro հայտարարությունը (տվյալների արտահոսքի արձանագրության համաձայն) սահմանում է, թե ինչպես է Տվյալների մշակողը տեղեկացնում Հաճախորդին Անձնական տվյալների հետ կապված խախտումների մասին:
• 4.2 Կարգավորողը (Հաճախորդը կամ նրա հաճախորդը) պետք է գնահատի, թե արդյոք Անձնական տվյալների խախտումը, որի մասին տեղեկացրել է Տվյալների մշակողը, պետք է հաղորդվի ԱԵԱ-ին կամ Տվյալների սուբյեկտին: Անձնական տվյալների հետ կապված խախտումների մասին հաղորդումը, որը պետք է զեկուցվի ԱԵԱ-ին և/կամ տվյալների սուբյեկտներին՝ համաձայն GDPR-ի 33-րդ և 34-րդ հոդվածների, միշտ մնում է վերահսկիչի (Հաճախորդի կամ նրա հաճախորդի) պատասխանատվությունը: Տվյալների մշակողը պարտավոր չէ անձնական տվյալների խախտումների մասին զեկուցել ԱԵԱ-ին և/կամ Տվյալների սուբյեկտին:
• 4.3 Տվյալների մշակողը, անհրաժեշտության դեպքում, կտրամադրի լրացուցիչ տեղեկատվություն Անձնական տվյալների հետ կապված խախտման մասին և կհամագործակցի Հաճախորդին անհրաժեշտ տեղեկատվության տրամադրման հետ՝ 33-րդ և 34-րդ հոդվածներում նշված ծանուցման նպատակով:
• 4.4 Տվյալների մշակողը կարող է այս համատեքստում իր կատարած ողջամիտ ծախսերը Հաճախորդից գանձել իր այն ժամանակվա գործող սակագներով:

Հոդված 5. Գաղտնիություն

• 5.1 Տվյալների մշակողը երաշխավորում է, որ այն անձինք, ովքեր մշակում են Անձնական տվյալները իր պատասխանատվության ներքո, ունեն գաղտնիության պարտականություն:
• 5.2 Տվյալների մշակողն իրավունք ունի Անձնական տվյալները տրամադրել երրորդ անձանց, եթե և այնքանով, որքանով դա անհրաժեշտ է դատարանի որոշմամբ, իրավական կարգավորումով կամ պետական ​​մարմնի լիազորված հրամանի հիման վրա:
• 5.3 Բոլոր մուտքի և/կամ նույնականացման ծածկագրերը, վկայագրերը, մուտքի և/կամ գաղտնաբառի քաղաքականության վերաբերյալ տեղեկատվությունը, որը տրամադրվում է Տվյալների մշակողի կողմից Հաճախորդին, ինչպես նաև Տվյալների մշակողի կողմից Հաճախորդին, որն իրականացնում է Data Pro-ի հայտարարության մեջ ներառված անվտանգության տեխնիկական և կազմակերպչական միջոցառումները, գաղտնի են: և որպես այդպիսին կվերաբերվի Հաճախորդի կողմից և հայտնի կդառնա միայն Հաճախորդի լիազորված աշխատակիցներին: Հաճախորդը երաշխավորում է, որ իր աշխատակիցները կատարում են սույն հոդվածով նախատեսված պարտավորությունները:

Հոդված 6. Ժամկետը և դադարեցումը

• 6.1 Սույն մշակողի պայմանագիրը հանդիսանում է Համաձայնագրի մի մասը, և դրանից բխող ցանկացած նոր կամ հետագա համաձայնագիր ուժի մեջ է մտնում Պայմանագրի կնքման պահից և կնքվում է անորոշ ժամկետով:
• 6.2 Սույն պրոցեսորի պայմանագիրը ուժի մեջ է մտնում օրենքով՝ Պայմանագրի կամ կողմերի միջև որևէ նոր կամ հետագա համաձայնագրի դադարեցումից հետո:
• 6.3 Մշակման պայմանագրի ավարտի դեպքում Տվյալների մշակողը կջնջի իր տիրապետման տակ գտնվող և Հաճախորդից ստացված բոլոր Անձնական տվյալները Data Pro-ի հայտարարության մեջ ներառված ժամկետում այնպես, որ դրանք այլևս չօգտագործվեն և այլևս չօգտագործվեն: հասանելի է (անմատչելի է): , կամ, եթե համաձայնեցված է, վերադարձրեք Հաճախորդին մեքենայական ընթեռնելի ձևաչափով:
• 6.4 Տվյալների մշակողը կարող է Հաճախորդից գանձել ցանկացած ծախս, որը նա կրում է 6.3-րդ հոդվածի դրույթների համատեքստում: Այս մասին լրացուցիչ համաձայնագրերը կարող են ամրագրվել Data Pro-ի հայտարարության մեջ:
• 6.5 6.3-րդ հոդվածի դրույթները չեն կիրառվում, եթե կանոնադրական կարգավորումը խոչընդոտում է Տվյալների մշակողին ամբողջությամբ կամ մասնակիորեն հեռացնել կամ վերադարձնել Անձնական տվյալները: Նման դեպքում Տվյալների մշակողը կշարունակի մշակել Անձնական տվյալները միայն այն չափով, որն անհրաժեշտ է իր իրավական պարտավորությունների շրջանակներում: Հոդված 6.3-ի դրույթները նույնպես չեն կիրառվում, եթե Անձնական տվյալների վերաբերյալ GDPR-ի իմաստով վերահսկիչն է Տվյալների մշակողը:

Հոդված 7. Տվյալների սուբյեկտների իրավունքները, Տվյալների պաշտպանության վրա ազդեցության գնահատումը (ՏՏԳՀ) և աուդիտի իրավունքները

• 7.1 Տվյալների մշակողը, հնարավորության դեպքում, կհամագործակցի Հաճախորդի ողջամիտ պահանջների հետ, որոնք առնչվում են Տվյալների սուբյեկտների իրավունքներին, որոնք դիմում են Հաճախորդից տվյալների սուբյեկտների կողմից: Եթե ​​Տվյալների մշակողին ուղղակիորեն դիմի Տվյալների սուբյեկտը, նա այդ անձին կուղարկի Հաճախորդին, որտեղ հնարավոր է:
• 7.2 Եթե ​​Հաճախորդը պարտավոր է դա անել, Տվյալների մշակողը կհամագործակցի տվյալների պաշտպանության ազդեցության գնահատման (DPIA) կամ հետագա նախնական խորհրդակցության հետ, ինչպես նշված է 35-րդ և 36-րդ հոդվածներում:
• 7.3 Տվյալների մշակողը կհամագործակցի Հաճախորդի կողմից անձնական տվյալների հեռացման հարցումների հետ այնքանով, որքանով Հաճախորդն ինքը չի կարող դա կատարել:
• 7.4 Հաճախորդի խնդրանքով Տվյալների մշակողը հասանելի կդարձնի նաև բոլոր հետագա տեղեկությունները, որոնք ողջամտորեն անհրաժեշտ են՝ ցույց տալու համար, որ համապատասխանում են այս մշակման պայմանագրով կնքված համաձայնագրերին: Եթե ​​Հաճախորդը, այնուամենայնիվ, հիմքեր ունի ենթադրելու, որ Անձնական Տվյալների մշակումը տեղի չի ունենում մշակման համաձայնագրի համաձայն, նրա հետ կարող է խորհրդակցել ամենաշատը տարին մեկ անգամ անկախ, հավաստագրված, արտաքին փորձագետի կողմից, որն ունի ապացուցելի փորձ տվյալ տեսակի հետ: մշակումը, որն իրականացվում է Պայմանագրի հիման վրա, հաճախորդի հաշվին կատարել աուդիտ: Աուդիտը սահմանափակվելու է Անձնական տվյալների մշակման վերաբերյալ համաձայնագրերին համապատասխանության ստուգմամբ, ինչպես սահմանված է այս Մշակողի պայմանագրով: Փորձագետը պարտավոր է գաղտնի պահել այն, ինչ նա գտնում է և Հաճախորդին կզեկուցի միայն այն, ինչը հանգեցնում է Տվյալների մշակողի կողմից սույն պայմանագրով Տվյալների մշակման պարտավորությունների կատարման թերացման: Փորձագետն իր զեկույցի պատճենը կտրամադրի Տվյալների մշակողին: Տվյալների մշակողը կարող է մերժել փորձագետի աուդիտը կամ հրահանգը, եթե, իր կարծիքով, դա խախտում է GDPR-ը կամ այլ օրենսդրությունը կամ հանդիսանում է իր կողմից ձեռնարկված անվտանգության միջոցների անթույլատրելի խախտում:
• 7.5 Զեկույցի արդյունքների շուրջ կողմերը կխորհրդակցեն հնարավորինս արագ։ Կողմերը կհետևեն զեկույցում ամրագրված բարելավման առաջարկվող միջոցառումներին այնքանով, որքանով դա նրանցից ողջամտորեն կարելի է ակնկալել: Տվյալների մշակողը կիրականացնի առաջարկվող բարելավման միջոցառումները այնքանով, որքանով դրանք տեղին են իր կարծիքով՝ հաշվի առնելով իր արտադրանքի կամ ծառայության հետ կապված վերամշակման ռիսկերը, տեխնոլոգիայի վիճակը, իրականացման ծախսերը, շուկան, որտեղ նա գործում է, և ապրանքի կամ ծառայության նպատակային օգտագործումը, ծառայությունը.
• 7.6 Տվյալների մշակողն իրավունք ունի Հաճախորդից գանձել այն ծախսերը, որոնք նա կրում է սույն հոդվածի դրույթների համատեքստում:

Հոդված 8. Ենթամշակողներ

• 8.1 Տվյալների մշակողը նշել է Data Pro-ի հայտարարության մեջ, թե արդյոք, և եթե այո, երրորդ կողմերը (ենթամշակողները կամ ենթամշակողները) Տվյալների մշակողը ներգրավված է Անձնական տվյալների մշակմամբ:
• 8.2 Հաճախորդը թույլ է տալիս Տվյալների մշակողին ներգրավել այլ ենթամշակողների՝ կատարելու Համաձայնագրից բխող իր պարտավորությունները:
• 8.3 Տվյալների մշակողը Հաճախորդին կտեղեկացնի Տվյալների մշակողի կողմից ներգրավված երրորդ կողմերի փոփոխության մասին, օրինակ՝ փոփոխված Data Pro հայտարարության միջոցով: Հաճախորդն իրավունք ունի առարկելու Տվյալների մշակողի կողմից վերը նշված փոփոխությանը: Տվյալների մշակողը երաշխավորում է, որ իր կողմից ներգրավված երրորդ կողմերը պարտավորվում են պահպանել Անձնական տվյալների պաշտպանության նույն անվտանգության մակարդակը, ինչ անվտանգության մակարդակը, որով Տվյալների մշակողը պարտավորված է Հաճախորդի նկատմամբ Data Pro հայտարարության հիման վրա:

Հոդված 9. Այլ

Սույն ստանդարտ մշակման դրույթները Data Pro-ի հայտարարության հետ միասին կազմում են Համաձայնագրի անբաժանելի մասը: Համաձայնագրով նախատեսված բոլոր իրավունքներն ու պարտականությունները, ներառյալ կիրառելի ընդհանուր պայմանները և պայմանները և/կամ պատասխանատվության սահմանափակումները, հետևաբար վերաբերում են նաև մշակման պայմանագրին: