Perjanjian prosesor

Inleiding

Autosoft BV memproses, antara lain, data pribadi untuk dan atas nama pelanggan. Oleh karena itu, Autosoft BV dan pelanggan diwajibkan berdasarkan Peraturan Perlindungan Data Umum (GDPR) untuk membuat Perjanjian Prosesor. Menurut GDPR, Autosoft BV adalah 'prosesor' dan pelanggan adalah 'pengontrol'. Perjanjian Prosesor ini juga menjelaskan bagaimana Autosoft BV menangani kewajiban pemberitahuan pelanggaran data.

Perjanjian prosesor

Yang terdiri dari:
Bagian 1: Pernyataan Pro Data
Bagian 2: Klausul Pemrosesan Standar

Bagian 1: Pernyataan Pro Data

Informasi Umum

1). Pernyataan Pro Data ini telah disusun oleh pemroses data berikut (pemroses):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Untuk pertanyaan tentang Pernyataan Pro Data ini atau perlindungan data, silakan hubungi:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Pernyataan Data Pro ini berlaku mulai 1 Agustus 2021
Kami secara teratur menyesuaikan Pernyataan Pro Data ini dan langkah-langkah keamanan yang dijelaskan di dalamnya untuk memastikan bahwa kami selalu siap dan up-to-date sehubungan dengan perlindungan data. Kami akan terus memberi Anda informasi tentang versi baru melalui saluran normal kami.

3). Pernyataan Pro Data ini berlaku untuk produk dan layanan pemroses data berikut

• Situs Web Otomatis
• Perdagangan Otomatis

4). Deskripsi Situs web mobil
Perusahaan mobil menggunakan Autowebsite. Dengan Autowebsite, perusahaan mobil dapat menampilkan diri di internet.

5). Tujuan penggunaan situs web Mobil
Situs web otomatis dirancang dan dilengkapi untuk memproses jenis data berikut:
Pengunjung situs web yang dikembangkan oleh Autosoft dengan Autowebsite memiliki opsi untuk meninggalkan detail kontak mereka di sana sehingga perusahaan mobil memiliki kesempatan untuk mendekati pengunjung untuk layanan lebih lanjut. Rincian kontak ini tidak disimpan dengan Autosoft, tetapi diteruskan langsung melalui email ke alamat email perusahaan mobil.

• Layanan ini tidak memperhitungkan pemrosesan data pribadi khusus, atau data yang berkaitan dengan hukuman dan pelanggaran pidana atau nomor pribadi yang dikeluarkan pemerintah.

6). Deskripsi Autocommerce
Perusahaan mobil menggunakan Autocommerce. Dengan Autocommerce, perusahaan mobil dapat mengelola dan mempresentasikan kendaraan mereka di situs web mereka sendiri dan portal pencarian internet pihak ketiga.

7). Penggunaan yang Dimaksudkan Autocommerce
Autocommerce dirancang dan disiapkan untuk memproses jenis data berikut:
Perusahaan mobil dapat menempatkan kendaraan terdaftar mereka melalui Autocommerce di situs web Mobil mereka sendiri. Kendaraan terdaftar ini tidak mengandung data apa pun yang dapat ditelusuri kembali ke data pribadi dalam bentuk apa pun. Pengunjung situs web Mobil memiliki pilihan untuk meninggalkan rincian kontak mereka di sana sehingga perusahaan mobil memiliki kesempatan untuk mendekati pengunjung untuk layanan lebih lanjut. Detail kontak yang ditinggalkan oleh pengunjung di situs web Auto mereka sendiri disimpan di Autocommerce.

• Layanan ini tidak memperhitungkan pemrosesan data pribadi khusus, atau data yang berkaitan dengan hukuman dan pelanggaran pidana atau nomor pribadi yang dikeluarkan pemerintah.

8). Pemroses data menggunakan Klausul Standar untuk pemrosesan untuk Situs Web Otomatis dan Perdagangan Otomatis, yang dapat ditemukan sebagai lampiran pada Perjanjian.

9). Pemroses data memproses data pribadi kliennya di dalam UE/EEA untuk Situs Web Otomatis dan Perdagangan Otomatis.

10). Pemroses data menggunakan subprosesor berikut untuk Autocommerce:
Dalam beberapa kasus, Autosoft mengirimkan kendaraan terdaftarnya melalui Autocommerce ke portal pencarian internet pihak ketiga atau sub-prosesor atas nama Perusahaan Mobil. Daftar sub-prosesor tersedia berdasarkan permintaan di support@autosoft.eu.

11). Setelah pengakhiran Perjanjian dengan klien, pengolah data pada prinsipnya akan menghapus data pribadi yang diproses untuk klien dalam waktu 3 bulan sedemikian rupa sehingga tidak dapat lagi digunakan dan tidak dapat diakses lagi (render tidak dapat diakses).

Kebijakan keamanan

Rangkum langkah-langkah keamanan berikut yang telah diambil oleh pemroses data untuk melindungi produk atau layanannya:

Manajemen insiden dan kebijakan tanggapan
Manajemen insiden dan kebijakan respons di bidang keamanan informasi mencakup pemantauan dan deteksi insiden keamanan pada komputer atau infrastruktur TI, tetapi juga pengamatan aktivitas yang mencurigakan oleh personel, dan penerapan respons yang benar terhadap peristiwa tersebut.

Tujuan utama dari kebijakan ini adalah untuk mengembangkan respons yang dipahami dengan baik dan dapat diprediksi terhadap peristiwa berbahaya dan intrusi komputer dalam arti kata yang seluas-luasnya.

Manajemen insiden dan kebijakan respons adalah proses mengelola dan melindungi komputer, jaringan, dan sistem informasi serta informasi yang tersimpan di dalamnya. Autosoft menyadari tanggung jawabnya dalam hal melindungi informasi ini untuk kepentingan pelanggan dan mitra rantai pasokannya. Tanggung jawab ini meluas hingga memiliki prosedur Insiden. Manajemen insiden adalah serangkaian aktivitas yang mendefinisikan dan menerapkan proses yang dapat digunakan organisasi untuk mempromosikan kesejahteraannya sendiri dan keselamatan publik.

TI dan keamanan
Struktur TIK Autosoft BV cukup diamankan dengan firewall dan perangkat lunak pemindaian virus tetap mutakhir. Setiap karyawan memiliki profil login. Saat menyalakan komputer, karyawan harus memasukkan nama login dan kata sandi dan jika memungkinkan dengan otentikasi 2 langkah.

Perangkat lunak tertentu juga meminta nama login dan kata sandi dan jika memungkinkan dengan otentikasi 2 langkah. Kesadaran di antara karyawan tentang bekerja dengan aman dirangsang, seperti menarik perhatian untuk tidak membuka email yang mencurigakan, tidak mengklik tautan yang mencurigakan, logout saat meninggalkan tempat kerja untuk waktu yang lama, dan sebagainya.

File dicadangkan pada siang dan malam hari. Untuk alasan keamanan, prosedur penyimpanan lebih lanjut seputar pencadangan bersifat rahasia. Autosoft BV telah menyimpulkan kontrak layanan untuk ini dengan pemasok komputer dan penyedia hosting internet.

Kebijakan perlindungan data
Autosoft BV mengambil langkah-langkah teknis dan organisasi yang sesuai untuk melindungi data pribadi pelanggan dari kehilangan atau segala bentuk pemrosesan yang melanggar hukum. Tindakan teknis dan organisasi ini dianggap sebagai tingkat keamanan yang sesuai dalam arti Pasal 1 GDPR dan disimpan sebagai dokumen di Basecamp pusat (Proyek: Organisasi/Kebijakan Perlindungan Data) Autosoft BV

Teknis dan organisasi

1. Tindakan untuk memastikan bahwa hanya personel yang berwenang yang memiliki akses ke Data Pribadi yang diproses dalam konteks Perjanjian Pemroses;
2. Tindakan untuk melindungi Data Pribadi khususnya dari penghancuran, kehilangan, perubahan yang tidak disengaja, penyimpanan, akses, atau pengungkapan yang tidak sah atau melanggar hukum;
3. Tindakan untuk melindungi Data Pribadi terhadap, khususnya, penghancuran, kehilangan, perubahan yang tidak disengaja atau tidak disengaja, penyimpanan, akses atau pengungkapan yang tidak sah atau melanggar hukum selama pertukaran/transportasi data;
4. Langkah-langkah untuk memastikan kemampuan untuk memastikan kerahasiaan, integritas, ketersediaan dan ketahanan sistem dan layanan pengeditan secara berkelanjutan;
5. Tindakan untuk memulihkan ketersediaan dan akses ke Data Pribadi secara tepat waktu jika terjadi insiden fisik atau teknis;
6. Langkah-langkah untuk mengidentifikasi kerentanan terkait dengan pemrosesan Data Pribadi dalam sistem yang digunakan untuk menyediakan layanan berdasarkan kontrak;

Organisasi seperti:

• Membatasi kalangan pejabat yang memiliki akses terhadap data pribadi tertentu kepada orang-orang yang membutuhkan data tersebut untuk pelaksanaan tugasnya;
• memberikan orang-orang ini akses hanya ke data pribadi yang mereka butuhkan untuk pelaksanaan tugas mereka;
• menyetujui klausul kerahasiaan dengan klausa penalti dengan semua orang yang akan diberikan akses ke data pribadi;
• menyimpan data pribadi di server di ruang tertutup;
• menyimpan file kertas di lemari yang dapat dikunci;
• menciptakan kesadaran keamanan informasi di antara karyawan;
• menetapkan protokol dan prosedur yang jelas untuk menangani insiden keamanan informasi dan kerentanan keamanan secara tepat waktu dan efektif;

Pemroses data menggunakan metodologi dan prosedurnya sendiri untuk manajemen yang sesuai dengan metode kerja organisasi:

• Di dalam Basecamp, dokumen yang relevan dikelola dan dievaluasi secara berkala.

Protokol pelanggaran data

Jika terjadi kesalahan, pemroses data menggunakan protokol kebocoran data berikut untuk memastikan bahwa klien mengetahui insiden:

Autosoft BV – Prosedur pelanggaran data

Apa itu pelanggaran data dan kapan saya harus melaporkannya ke AP?
Pelanggaran data adalah insiden keamanan informasi yang melibatkan pelanggaran keamanan data pribadi melalui paparan kehilangan atau pemrosesan yang melanggar hukum seperti (namun tidak secara menyeluruh):

• Menyesuaikan dan/atau mengubah data pribadi dan akses tidak sah ke data pribadi ini;
• Jika terjadi pembobolan oleh peretas;
• Kehilangan stik USB, pencurian laptop;
• Mengirim data sensitif ke alamat email yang salah;

Menurut undang-undang, pelanggaran data 'serius' harus dilaporkan ke Otoritas Perlindungan Data Belanda tanpa penundaan yang tidak semestinya, dan jika mungkin selambat-lambatnya 72 jam setelah penemuan.

Autosoft BV tidak harus melapor ke Otoritas Perlindungan Data Belanda jika identifikasi sebenarnya dari individu perorangan secara wajar dikecualikan.
Semua kecurigaan atas insiden keamanan informasi akan ditangani terlebih dahulu dukungan@autosoft.eu dilaporkan dan didaftarkan. Dukungan melaporkan insiden tersebut kepada Tim Manajemen dan menentukan tindakan tindak lanjut apa yang harus diambil.

Prosedur tindak lanjut

Kapan saya harus memberi tahu subjek data?
Pelanggaran data harus dilaporkan kepada subjek data jika, jika terjadi pelanggaran, terdapat risiko tinggi bahwa pelanggaran tersebut akan berdampak buruk bagi kehidupan pribadinya. Konsekuensi yang tidak menguntungkan bagi subjek data adalah: kerusakan reputasi dan reputasinya, penipuan identitas atau diskriminasi. Jika Autosoft BV telah mengambil tindakan perlindungan teknis yang sesuai, sebagai akibatnya data pribadi yang bersangkutan menjadi tidak dapat dipahami atau tidak dapat diakses, pemberitahuan kepada subjek data tidak diperlukan. Pemberitahuan kepada subjek data harus berisi deskripsi, dalam bahasa yang jelas dan sederhana, tentang sifat pelanggaran data pribadi dan setidaknya:

• nama dan rincian kontak petugas perlindungan data atau titik kontak lain di mana informasi lebih lanjut dapat diperoleh;
• kemungkinan konsekuensi dari pelanggaran data pribadi;
• tindakan yang diusulkan atau diambil oleh pengontrol untuk mengatasi pelanggaran data pribadi, termasuk, jika perlu, tindakan untuk mengurangi efek buruknya. Penilaian apakah pelanggaran data harus dilaporkan ke Otoritas Perlindungan Data Belanda dan/atau orang yang terkena dampak selalu diserahkan kepada Autosoft BV. Untuk menentukan apakah suatu insiden harus dilaporkan, Otoritas Perlindungan Data Belanda telah menyusun aturan kebijakan (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) dan kelompok kerja 29 dari pedoman pengawas Eropa yang diterbitkan tentang kewajiban pelaporan dalam GDPR. Jika Autosoft BV belum melaporkan pelanggaran data, Otoritas Perlindungan Data Belanda mungkin mengharuskan Autosoft BV tetap membuat laporan. Kegagalan untuk melaporkan dapat dihukum dengan denda administrasi.

Bagaimana cara melaporkan pelanggaran data?
Otoritas Perlindungan Data Belanda menyediakan formulir web yang harus digunakan untuk melaporkan pelanggaran data (https://dataleks.autoriteitpersoonsgegevens.nl/). Otoritas Perlindungan Data Belanda menyimpan daftar pemberitahuan pelanggaran data yang diterima. Daftar ini tidak untuk umum. Jika denda dikenakan oleh Otoritas Perlindungan Data Belanda sebagai akibat dari pelanggaran data, keputusan ini akan dipublikasikan. Pelanggaran data juga dipublikasikan ketika subjek data perlu diberi tahu tentang pelanggaran data. Pemberitahuan kepada subjek data dalam hal apa pun harus menunjukkan sifat pelanggaran dan pihak berwenang di mana subjek data dapat memperoleh informasi lebih lanjut tentang pelanggaran tersebut. Juga harus dinyatakan apa yang dapat dilakukan oleh subjek data sendiri untuk membatasi konsekuensi negatif dari pelanggaran data. Misalnya, mengubah nama pengguna dan kata sandi ketika mereka mungkin telah disusupi oleh pelanggaran.

Apa yang harus saya laporkan?
Pemberitahuan kepada Otoritas Perlindungan Data Belanda meliputi:

• Pelapor pembobolan data.
• Orang yang dapat dihubungi oleh Otoritas Perlindungan Data Belanda untuk informasi lebih lanjut tentang laporan tersebut.
• Ringkasan insiden di mana pelanggaran keamanan data pribadi terjadi.
• Waktu terjadinya pelanggaran.
• Sifat pelanggaran.
• Jenis data pribadi yang bersangkutan.
• Konsekuensi pelanggaran tersebut terhadap privasi mereka yang terlibat.
• Langkah-langkah teknis dan organisasi yang telah diambil Autosoft BV untuk mengatasi pelanggaran dan untuk mencegah pelanggaran lebih lanjut.
• Apakah Autosoft BV telah melaporkan pelanggaran data ke subjek data dan jika tidak, apakah Autosoft BV bermaksud untuk melakukannya:
• Jika demikian, isi pemberitahuan ke subjek data.
• Jika tidak, alasan mengapa Autosoft BV menahan diri untuk tidak melaporkan pelanggaran data kepada subjek data.
• Apakah data pribadi telah dienkripsi, di-hash atau dibuat tidak dapat dipahami atau tidak dapat diakses oleh orang yang tidak berwenang?

Bagian 2: Klausul Pemrosesan Standar

Versi: September 2019
Formulir bersama dengan Pernyataan Data Pro perjanjian pemrosesan dan merupakan lampiran Perjanjian dan lampiran yang menyertainya seperti syarat dan ketentuan umum yang berlaku.

Pasal 1. Definisi

Istilah di bawah ini memiliki arti sebagai berikut dalam Klausul Standar untuk diproses, dalam Pernyataan Data Pro, dan dalam perjanjian:

• 1.1 Otoritas Perlindungan Data Belanda (AP): otoritas pengawas, sebagaimana dijelaskan dalam Pasal 4, sub 21 dari Avg.
• 1.2 rata-rata: Peraturan Perlindungan Data Umum.
• 1.3 Pemroses Data: pihak yang, sebagai pemasok TIK, memproses Data Pribadi untuk kepentingan Kliennya dalam konteks pelaksanaan Perjanjian.
• 1.4 Pernyataan Data Pro: pernyataan Pemroses Data yang memberikan informasi mengenai tujuan penggunaan produk atau layanannya, tindakan keamanan yang diambil, sub-pemroses, kebocoran data, sertifikasi, dan penanganan hak Subyek Data.
• 1.5 Data subjek (data subjek): orang alami yang teridentifikasi atau dapat diidentifikasi.
• 1.6 Klien: pihak yang atas namanya Pemroses Data memproses data pribadi. Klien dapat berupa pengontrol ("pengontrol") atau prosesor lain.
• 1.7 Perjanjian: perjanjian antara Klien dan Pemroses Data, yang menjadi dasar pemasok TIK memasok layanan dan/atau produk kepada Klien, yang merupakan bagian dari perjanjian pemroses.
• 1.8 Data pribadi: semua informasi tentang individu yang teridentifikasi atau dapat diidentifikasi, sebagaimana dijelaskan dalam Pasal 4, sub 1 AVG, yang diproses oleh Pemroses Data dalam konteks pelaksanaan kewajibannya yang timbul dari Perjanjian.
• 1.9 Perjanjian pemrosesan: Klausul Standar untuk pemrosesan ini, yang bersama dengan Pernyataan Pro Data (atau informasi yang sebanding) dari Pemroses Data membentuk perjanjian pemrosesan sebagaimana dimaksud dalam Pasal 28, paragraf 3 GDPR.

Pasal 2. Umum

• 2.1 Klausul Pemrosesan Standar ini berlaku untuk semua pemrosesan Data Pribadi yang dilakukan Pemroses Data dalam konteks pengiriman produk dan layanannya serta untuk semua Perjanjian dan penawaran. Penerapan perjanjian pemrosesan Klien secara tegas ditolak.
• 2.2 Pernyataan Data Pro, dan khususnya langkah-langkah keamanan yang terkandung di dalamnya, dapat diubah oleh Pemroses Data dari waktu ke waktu untuk mencerminkan keadaan yang berubah. Pemroses Data akan memberi tahu Klien tentang perubahan signifikan. Jika Klien tidak dapat secara wajar menyetujui penyesuaian, Klien berhak untuk mengakhiri perjanjian pemrosesan secara tertulis dalam waktu 30 hari sejak pemberitahuan penyesuaian.
• 2.3 Pemroses Data memproses Data Pribadi atas nama dan atas nama Klien sesuai dengan instruksi tertulis Klien yang disepakati dengan Pemroses Data.
• 2.4 Klien, atau pelanggannya, adalah pengontrol dalam pengertian GDPR, memiliki kendali atas pemrosesan Data Pribadi dan telah menentukan tujuan dan sarana pemrosesan Data Pribadi.
• 2.5 Pemroses Data adalah pemroses dalam pengertian GDPR dan oleh karena itu tidak memiliki kendali atas tujuan dan sarana pemrosesan Data Pribadi dan oleh karena itu tidak membuat keputusan apa pun tentang, antara lain, penggunaan Data Pribadi.
• 2.6 Pemroses Data menerapkan GDPR sebagaimana ditetapkan dalam Klausul Standar untuk Pemrosesan ini, Pernyataan Pro Data, dan Perjanjian. Terserah Klien untuk menilai berdasarkan informasi ini apakah Pemroses Data menawarkan jaminan yang memadai terkait dengan penerapan langkah-langkah teknis dan organisasi yang sesuai sehingga pemrosesan memenuhi persyaratan GDPR dan perlindungan hak subjek Data cukup. dijamin.
• 2.7 Klien menjamin kepada Pemroses Data bahwa ia bertindak sesuai dengan GDPR, bahwa ia melindungi sistem dan infrastrukturnya secara memadai setiap saat dan bahwa konten, penggunaan, dan/atau pemrosesan Data Pribadi tidak melanggar hukum dan tidak melanggar hak apa pun dari pihak ketiga.
• 2.8 Denda administratif yang dikenakan pada Klien oleh AP tidak dapat dipulihkan dari Pemroses Data.

Pasal 3. Keamanan

• 3.1 Pemroses Data mengambil langkah-langkah keamanan teknis dan organisasi, seperti yang dijelaskan dalam Pernyataan Pro Datanya. Saat mengambil langkah-langkah keamanan teknis dan organisasi, Pemroses Data telah memperhitungkan keadaan seni, biaya implementasi langkah-langkah keamanan, sifat, ruang lingkup dan konteks pemrosesan, tujuan dan tujuan penggunaan produk dan layanannya. , risiko pemrosesan dan risiko yang berbeda dalam probabilitas dan keseriusan untuk hak dan kebebasan Subjek Data yang dapat diharapkannya sehubungan dengan tujuan penggunaan produk dan layanannya.
• 3.2 Kecuali dinyatakan lain secara eksplisit dalam Pernyataan Pro Data, produk atau layanan Pemroses Data tidak dirancang untuk memproses kategori khusus Data Pribadi atau data mengenai hukuman atau pelanggaran pidana atau nomor pribadi yang dikeluarkan pemerintah.
• 3.3 Pemroses Data berusaha keras untuk memastikan bahwa langkah-langkah keamanan yang diambilnya sesuai dengan tujuan penggunaan produk atau layanan oleh Pemroses Data.
• 3.4 Menurut pendapat Klien, tindakan keamanan yang dijelaskan menawarkan, dengan mempertimbangkan faktor-faktor yang dirujuk dalam Pasal 3.1, tingkat keamanan yang disesuaikan dengan risiko pemrosesan Data Pribadi yang digunakan atau disediakan olehnya.
• 3.5 Pemroses Data dapat membuat perubahan pada langkah-langkah keamanan yang diambil jika menurut pendapatnya hal ini diperlukan untuk terus memberikan tingkat keamanan yang sesuai. Pemroses Data akan mencatat perubahan penting, misalnya dalam Pernyataan Pro Data yang diubah, dan akan memberi tahu Klien tentang perubahan tersebut jika relevan.
• 3.6 Klien dapat meminta Pemroses Data untuk mengambil tindakan keamanan lebih lanjut. Pemroses Data tidak berkewajiban untuk membuat perubahan pada tindakan keamanannya atas permintaan tersebut. Pemroses Data dapat membebankan biaya terkait perubahan yang dilakukan atas permintaan Klien kepada Klien. Hanya setelah langkah-langkah keamanan yang diubah yang diinginkan oleh Klien telah disetujui secara tertulis dan ditandatangani oleh Para Pihak, Pemroses Data berkewajiban untuk benar-benar menerapkan langkah-langkah keamanan ini.

Pasal 4. Pelanggaran Data Pribadi

• 4.1 Pemroses Data tidak menjamin bahwa langkah-langkah keamanan efektif dalam semua keadaan. Jika Pemroses Data menemukan pelanggaran sehubungan dengan Data Pribadi (sebagaimana dimaksud dalam Pasal 4 sub 12 Rata-rata), Pemroses Data akan memberi tahu Klien tanpa penundaan yang tidak semestinya. Pernyataan Data Pro (di bawah protokol kebocoran data) menetapkan bagaimana Pemroses Data memberi tahu Klien tentang pelanggaran sehubungan dengan Data Pribadi.
• 4.2 Terserah pengontrol (Klien, atau pelanggannya) untuk menilai apakah pelanggaran Data Pribadi yang telah diinformasikan oleh Pemroses Data harus dilaporkan ke AP atau subjek Data. Pelaporan pelanggaran sehubungan dengan Data Pribadi, yang harus dilaporkan kepada AP dan/atau Subjek Data sesuai dengan Pasal 33 dan 34 GDPR, tetap menjadi tanggung jawab pengontrol (Klien atau pelanggannya) setiap saat. Pemroses Data tidak berkewajiban untuk melaporkan pelanggaran data pribadi kepada AP dan/atau Subjek Data.
• 4.3 Pemroses Data akan, jika perlu, memberikan informasi lebih lanjut tentang pelanggaran sehubungan dengan Data Pribadi dan akan bekerja sama dalam penyediaan informasi yang diperlukan kepada Klien untuk tujuan pemberitahuan sebagaimana dimaksud dalam Pasal 33 dan 34 Rata-rata.
• 4.4 Pemroses Data dapat membebankan biaya wajar yang dikeluarkannya dalam konteks ini kepada Klien dengan tarif yang berlaku pada saat itu.

Pasal 5. Kerahasiaan

• 5.1 Pemroses Data menjamin bahwa orang yang memproses Data Pribadi di bawah tanggung jawabnya memiliki kewajiban kerahasiaan.
• 5.2 Pemroses Data berhak memberikan Data Pribadi kepada pihak ketiga, jika dan sejauh ketentuan diperlukan berdasarkan keputusan pengadilan, peraturan hukum, atau berdasarkan perintah resmi dari otoritas pemerintah.
• 5.3 Semua akses dan/atau kode identifikasi, sertifikat, informasi mengenai akses dan/atau kebijakan kata sandi yang diberikan oleh Pemroses Data kepada Klien dan semua informasi yang diberikan oleh Pemroses Data kepada Klien yang menerapkan langkah-langkah keamanan teknis dan organisasi yang termasuk dalam Pernyataan Pro Data bersifat rahasia. dan akan diperlakukan seperti itu oleh Klien dan hanya diberitahukan kepada karyawan Klien yang berwenang. Klien memastikan bahwa karyawannya mematuhi kewajiban berdasarkan artikel ini.

Pasal 6. Jangka waktu dan pengakhiran

• 6.1 Perjanjian prosesor ini merupakan bagian dari Perjanjian dan setiap perjanjian baru atau lebih lanjut yang timbul darinya, mulai berlaku pada saat penandatanganan Perjanjian dan disimpulkan untuk jangka waktu yang tidak terbatas.
• 6.2 Perjanjian prosesor ini berakhir demi hukum setelah pengakhiran Perjanjian atau perjanjian baru atau lebih lanjut antara para pihak.
• 6.3 Dalam hal berakhirnya perjanjian pemrosesan, Pemroses Data akan menghapus semua Data Pribadi yang dimilikinya dan diterima dari Klien dalam jangka waktu yang termasuk dalam Pernyataan Data Pro sedemikian rupa sehingga tidak dapat lagi digunakan dan tidak lagi dapat diakses (membuat tidak dapat diakses). , atau, jika disetujui, mengembalikannya ke Klien dalam format yang dapat dibaca mesin.
• 6.4 Pemroses Data dapat membebankan biaya apa pun yang ditimbulkannya dalam konteks ketentuan Pasal 6.3 kepada Klien. Kesepakatan lebih lanjut tentang ini dapat ditetapkan dalam Pernyataan Pro Data.
• 6.5 Ketentuan Pasal 6.3 tidak berlaku jika peraturan perundang-undangan mencegah Pemroses Data untuk menghapus atau mengembalikan Data Pribadi secara keseluruhan atau sebagian. Dalam kasus seperti itu, Pemroses Data hanya akan terus memproses Data Pribadi sejauh yang diperlukan berdasarkan kewajiban hukumnya. Ketentuan Pasal 6.3 juga tidak berlaku jika Pemroses Data adalah pengontrol dalam pengertian GDPR terkait dengan Data Pribadi.

Pasal 7. Hak Subyek Data, Data Protection Impact Assessment (DPIA) dan Hak Audit

• 7.1 Pemroses Data akan, jika memungkinkan, bekerja sama dengan permintaan yang wajar dari Klien terkait dengan hak Subjek Data yang diminta dari Klien oleh Subjek Data. Jika Pemroses Data didekati secara langsung oleh subjek Data, ia akan merujuk orang ini ke Klien jika memungkinkan.
• 7.2 Jika Klien diwajibkan untuk melakukannya, Pemroses Data akan bekerja sama dengan penilaian dampak perlindungan data (DPIA) atau konsultasi sebelumnya berikutnya sebagaimana dimaksud dalam Pasal 35 dan 36 Rata-rata.
• 7.3 Pemroses Data akan bekerja sama dengan permintaan dari Klien untuk penghapusan data pribadi sejauh Klien tidak dapat melakukannya sendiri.
• 7.4 Atas permintaan Klien, Pemroses Data juga akan menyediakan semua informasi lebih lanjut yang diperlukan secara wajar untuk menunjukkan kepatuhan terhadap perjanjian yang dibuat dalam perjanjian pemrosesan ini. Namun, jika Klien memiliki alasan untuk meyakini bahwa pemrosesan Data Pribadi tidak terjadi sesuai dengan perjanjian pemrosesan, Klien dapat berkonsultasi paling banyak sekali setahun oleh pakar eksternal yang independen, bersertifikat, yang memiliki pengalaman yang dapat dibuktikan dengan jenis pemrosesan yang dilakukan berdasarkan Perjanjian. , melakukan audit atas biaya Klien. Audit akan dibatasi untuk memeriksa kepatuhan terhadap perjanjian mengenai pemrosesan Data Pribadi sebagaimana ditetapkan dalam Perjanjian Pemroses ini. Pakar akan memiliki kewajiban kerahasiaan sehubungan dengan apa yang dia temukan dan hanya akan melaporkan kepada Klien apa yang mengakibatkan kekurangan dalam pemenuhan kewajiban yang dimiliki Pemroses Data berdasarkan perjanjian pemroses ini. Pakar akan memberikan salinan laporannya kepada Pemroses Data. Pemroses Data dapat menolak audit atau instruksi dari pakar jika, menurut pendapatnya, ini melanggar GDPR atau undang-undang lain atau merupakan pelanggaran yang tidak dapat diterima terhadap tindakan keamanan yang telah diambilnya.
• 7.5 Para pihak akan berkonsultasi sesegera mungkin tentang hasil laporan. Para pihak akan mengikuti langkah-langkah perbaikan yang diusulkan yang ditetapkan dalam laporan sejauh ini dapat diharapkan secara wajar dari mereka. Pemroses Data akan menerapkan langkah-langkah perbaikan yang diusulkan sejauh itu sesuai dengan pendapatnya, dengan mempertimbangkan risiko pemrosesan yang terkait dengan produk atau layanannya, keadaan seni, biaya implementasi, pasar tempat ia beroperasi, dan tujuan penggunaan produk atau layanan.
• 7.6 Pemroses Data berhak membebankan biaya yang ditimbulkannya dalam rangka ketentuan pasal ini kepada Klien.

Pasal 8. Sub-Pemroses

• 8.1 Pemroses Data telah menyatakan dalam Pernyataan Data Pro apakah, dan jika demikian, pihak ketiga mana (sub-pemroses atau sub-pemroses) Pemroses Data yang terlibat dalam pemrosesan Data Pribadi.
• 8.2 Klien memberikan izin kepada Pemroses Data untuk melibatkan sub-pemroses lain untuk melaksanakan kewajibannya yang timbul dari Perjanjian.
• 8.3 Pemroses Data akan memberi tahu Klien tentang perubahan pada pihak ketiga yang dilibatkan oleh Pemroses Data, misalnya melalui Pernyataan Pro Data yang diubah. Klien memiliki hak untuk menolak perubahan yang disebutkan di atas oleh Pemroses Data. Pemroses Data memastikan bahwa pihak ketiga yang dilibatkan olehnya berkomitmen pada tingkat keamanan yang sama sehubungan dengan perlindungan Data Pribadi sebagai tingkat keamanan yang Pemroses Data terikat terhadap Klien berdasarkan Pernyataan Pro Data.

Pasal 9. Lainnya

Klausul Pemrosesan Standar ini, bersama dengan Pernyataan Data Pro, merupakan bagian yang tidak terpisahkan dari Perjanjian. Semua hak dan kewajiban berdasarkan Perjanjian, termasuk syarat dan ketentuan umum yang berlaku dan/atau batasan tanggung jawab, oleh karena itu juga berlaku untuk perjanjian pemrosesan.