Vinnslusamningur

Inngangur

Autosoft BV vinnur meðal annars með persónuupplýsingar fyrir og fyrir hönd viðskiptavinarins. Autosoft BV og viðskiptavinurinn eru því skylt samkvæmt almennu persónuverndarreglugerðinni (GDPR) að gera vinnslusamning. Samkvæmt GDPR er Autosoft BV „örgjörvi“ og viðskiptavinurinn „stjórnandi“. Þessi vinnslusamningur lýsir einnig hvernig Autosoft BV meðhöndlar tilkynningarskyldu um gagnabrot.

Vinnslusamningur

Samanstendur af:
Part 1: Data Pro Statement
Hluti 2: Staðlað vinnsluákvæði

Part 1: Data Pro Statement

Almennar upplýsingar

1). Þessi Data Pro yfirlýsing hefur verið samin af eftirfarandi gagnavinnsluaðila (vinnsluaðila):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Fyrir spurningar um þessa Data Pro yfirlýsingu eða gagnavernd, vinsamlegast hafðu samband við:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Þessi Data Pro yfirlýsing gildir frá 1. ágúst 2021
Við stillum reglulega þessa Data Pro yfirlýsingu og öryggisráðstafanir sem þar er lýst til að tryggja að við séum alltaf tilbúin og uppfærð með tilliti til gagnaverndar. Við munum halda þér upplýstum um nýjar útgáfur í gegnum venjulegar rásir okkar.

3). Þessi Data Pro yfirlýsing á við um eftirfarandi vörur og þjónustu gagnavinnsluaðila

• AutoWebsite
• AutoCommerce

4). Lýsing Bílavefur
Bílafyrirtæki nota Autowebsite. Með Autowebsite geta bílafyrirtæki kynnt sig á netinu.

5). Heimasíða Bíla fyrir ætlaða notkun
Autowebsite er hannað og búið til að vinna úr eftirfarandi tegundum gagna:
Gestir á vefsíðum sem eru þróaðar af Autosoft með Autowebsite hafa möguleika á að skilja eftir tengiliðaupplýsingar sínar þar svo bílafyrirtækið hafi tækifæri til að leita til gestsins um frekari þjónustu. Þessar tengiliðaupplýsingar eru ekki geymdar hjá Autosoft heldur eru þær sendar beint í gegnum tölvupóst á netfang bílafyrirtækisins.

• Þessi þjónusta tekur ekki tillit til vinnslu sérstakra persónuupplýsinga, eða gagna sem varða refsidóma og brot eða persónunúmer gefin út af stjórnvöldum.

6). Lýsing Autocommerce
Bílafyrirtæki nota Autocommerce. Með Autocommerce geta bílafyrirtæki stjórnað og kynnt ökutæki sín á eigin vefsíðu og netleitargáttum þriðja aðila.

7). Fyrirhuguð notkun Autocommerce
Autocommerce er hannað og búið til að vinna úr eftirfarandi tegundum gagna:
Bílafyrirtæki geta sett skráð ökutæki sín í gegnum Autocommerce á eigin bílavef. Þessi skráðu ökutæki innihalda engin gögn sem rekja má til persónuupplýsinga í neinu formi. Gestir á vefsíðu Bíla hafa möguleika á að skilja eftir tengiliðaupplýsingar sínar þar svo bílafyrirtækið hafi tækifæri til að leita til gestsins um frekari þjónustu. Samskiptaupplýsingarnar sem gesturinn skilur eftir á eigin Auto vefsíðu eru geymdar í Autocommerce.

• Þessi þjónusta tekur ekki tillit til vinnslu sérstakra persónuupplýsinga, eða gagna sem varða refsidóma og brot eða persónunúmer gefin út af stjórnvöldum.

8). Gagnavinnsla notar staðalákvæði við vinnslu fyrir Autowebsite og Autocommerce, sem finna má sem viðauka við samninginn.

9). Gagnavinnsla vinnur persónuupplýsingar viðskiptavina sinna innan ESB/EES fyrir Autowebsite og Autocommerce.

10). Gagnavinnsla notar eftirfarandi undirvinnsluaðila fyrir sjálfvirk viðskipti:
Í sumum tilfellum sendir Autosoft skráð ökutæki sín í gegnum Autocommerce á netleitargáttir þriðja aðila eða undirvinnsluaðila fyrir hönd bílafyrirtækisins. Listi yfir undirvinnsluaðila er fáanlegur sé þess óskað á support@autosoft.eu.

11). Eftir uppsögn samnings við viðskiptavin mun gagnavinnslan í meginatriðum fjarlægja þær persónuupplýsingar sem hann vinnur fyrir viðskiptavininn innan 3ja mánaða á þann hátt að ekki sé lengur hægt að nota þær og séu ekki lengur aðgengilegar (gera óaðgengilegar).

Öryggisstefna

Samantekt eftirfarandi öryggisráðstafana sem gagnavinnslan hefur gripið til til að vernda vöru sína eða þjónustu:

Atvikastjórnun og viðbragðsstefna
Atvikastjórnun og viðbragðsstefnur á sviði upplýsingaöryggis fela í sér eftirlit og uppgötvun öryggisatvika í tölvu- eða upplýsingatækniinnviðum, en einnig athugun starfsmanna á grunsamlegri starfsemi og framkvæmd réttra viðbragða við þessum atburðum.

Meginmarkmið þessarar stefnu er að þróa vel skiljanleg og fyrirsjáanleg viðbrögð við skaðlegum atburðum og tölvuinnbrotum í víðum skilningi þess orðs.

Atviksstjórnun og viðbragðsstefna er ferlið við að stjórna og vernda tölvur, netkerfi og upplýsingakerfi og þær upplýsingar sem þar eru geymdar. Autosoft er meðvitað um ábyrgð sína þegar kemur að því að vernda þessar upplýsingar til hagsbóta fyrir viðskiptavini sína og aðfangakeðjuaðila. Þessi ábyrgð nær til þess að hafa atviksferli. Atviksstjórnun er mengi starfsemi sem skilgreinir og innleiðir ferli sem stofnun getur notað til að stuðla að eigin vellíðan og öryggi almennings.

upplýsingatækni og öryggi
UT uppbygging Autosoft BV er nægilega tryggð með eldvegg og vírusskönnunarhugbúnaðurinn er uppfærður. Sérhver starfsmaður hefur innskráningarsnið. Við ræsingu tölvu þurfa starfsmenn að slá inn notendanafn og lykilorð og þar sem hægt er með 2-þrepa auðkenningu.

Ákveðinn hugbúnaður biður einnig um innskráningarnafn og lykilorð og þar sem hægt er með tveggja þrepa auðkenningu. Meðvitund starfsmanna um að vinna á öruggan hátt er örvuð, svo sem að vekja athygli á því að opna ekki grunsamlega tölvupósta, smella ekki á grunsamlega hlekki, skrá sig út þegar farið er af vinnustað í langan tíma og svo framvegis.

Skrárnar eru afritaðar á dagana og á hverju kvöldi. Af öryggisástæðum er frekari geymsluaðferð í kringum öryggisafritið trúnaðarmál. Autosoft BV hefur gert þjónustusamninga vegna þessa við tölvubirgja og nethýsingaraðila.

Persónuverndarstefna
Autosoft BV gerir viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar viðskiptavinarins gegn tapi eða hvers kyns ólögmætri vinnslu. Litið er á þessar tæknilegu og skipulagslegu ráðstafanir sem viðeigandi öryggisstig í skilningi 1. greinar GDPR og eru geymdar sem skjöl í miðlægum Basecamp (verkefni: stofnun / gagnaverndarstefnu) Autosoft BV

Tæknileg og skipulagsleg

1. Ráðstafanir til að tryggja að aðeins viðurkennt starfsfólk hafi aðgang að persónuupplýsingunum sem unnið er með í tengslum við vinnslusamninginn;
2. Ráðstafanir til að vernda persónuupplýsingarnar, einkum gegn óviljandi eða ólöglegri eyðileggingu, tapi, breytingum fyrir slysni, óleyfilegri eða ólöglegri geymslu, aðgangi eða birtingu;
3. Ráðstafanir til að vernda persónuupplýsingarnar gegn, einkum fyrir slysni eða ólöglegri eyðileggingu, tapi, breytingum fyrir slysni, óleyfilegri eða ólöglegri geymslu, aðgangi eða birtingu við gagnaskipti/flutning;
4. Ráðstafanir til að tryggja getu til að tryggja trúnað, heilleika, aðgengi og seiglu klippikerfa og þjónustu viðvarandi;
5. Ráðstafanir til að endurheimta aðgengi og aðgang að persónuupplýsingum tímanlega ef líkamlegt eða tæknilegt atvik kemur upp;
6. Ráðstafanir til að bera kennsl á varnarleysi með tilliti til vinnslu persónuupplýsinga í kerfum sem notuð eru til að veita þjónustu samkvæmt samningnum;

Skipulag eins og:

• að takmarka hring embættismanna sem hafa aðgang að tilteknum persónuupplýsingum við þá einstaklinga sem þurfa á gögnunum að halda til að geta sinnt störfum sínum;
• að veita þessum einstaklingum aðeins aðgang að persónuupplýsingum sem þeir þurfa til að geta sinnt skyldum sínum;
• að samþykkja þagnarskylduákvæði með refsiákvæði við alla aðila sem aðgangur að persónuupplýsingum verður veittur;
• geymsla persónuupplýsinga á netþjónum í lokuðu rými;
• geyma pappírsskrár í læsanlegum skápum;
• skapa upplýsingaöryggisvitund meðal starfsmanna;
• koma á skýrum samskiptareglum og verklagsreglum til að meðhöndla upplýsingaöryggisatvik og öryggisveikleika tímanlega og á skilvirkan hátt;

Gagnavinnsla notar sína eigin aðferðafræði og verklagsreglur við stjórnun sem falla undir starfshætti stofnunarinnar:

• Innan Basecamp er viðeigandi skjölum stjórnað og þau metin reglulega.

Samskiptareglur um gagnabrot

Ef eitthvað fer úrskeiðis notar gagnavinnslan eftirfarandi samskiptareglur fyrir gagnaleka til að tryggja að viðskiptavinurinn viti af atvikum:

Autosoft BV – Gagnabrotsaðferð

Hvað er gagnabrot og hvenær þarf ég að tilkynna það til AP?
Gagnabrot er upplýsingaöryggisatvik sem felur í sér brot á öryggi persónuupplýsinga með því að verða fyrir tapi eða ólögmætri vinnslu eins og (en ekki tæmandi):

• Aðlaga og/eða breyta persónuupplýsingum og óviðkomandi aðgangi að þessum persónuupplýsingum;
• Ef brotist er inn af tölvuþrjóta;
• Að tapa USB-lykli, þjófnað á fartölvu;
• Senda viðkvæm gögn á rangt netfang;

Samkvæmt lögum ber að tilkynna „alvarlegt“ gagnabrot til hollensku Persónuverndar án ástæðulausrar tafar og ef mögulegt er eigi síðar en 72 klukkustundum eftir að upp komst.

Autosoft BV þarf ekki að tilkynna til hollensku Persónuverndar ef raunveruleg auðkenning einstakra einstaklinga er með sanngjörnum hætti útilokuð.
Tekið verður á öllum grunsemdum um upplýsingaöryggisatvik í fyrsta lagi support@autosoft.eu tilkynnt og skráð. Stuðningur tilkynnir atvikið til stjórnarteymisins og ákveður hvaða eftirfylgni skuli grípa til.

Framhaldsaðferð

Hvenær þarf ég að tilkynna hinum skráða?
Skylt er að tilkynna um gagnabrot til hins skráða ef um brot er að ræða er mikil hætta á að brotið hafi slæmar afleiðingar fyrir einkalíf hans eða hennar. Óhagstæðar afleiðingar fyrir hinn skráða eru: skaði á orðspori hans og orðspori, auðkenningarsvik eða mismunun. Ef Autosoft BV hefur gripið til viðeigandi tæknilegra verndarráðstafana, sem leiðir til þess að viðkomandi persónuupplýsingar eru gerðar óskiljanlegar eða óaðgengilegar, er tilkynningin til hins skráða ekki nauðsynleg. Tilkynningin til hins skráða skal innihalda lýsingu, á skýru og einföldu máli, á eðli persónuupplýsingabrotsins og a.m.k.

• nafn og samskiptaupplýsingar persónuverndarfulltrúa eða annars tengiliðs þar sem hægt er að fá frekari upplýsingar;
• líklegar afleiðingar persónuupplýsingabrotsins;
• ráðstafanir sem ábyrgðaraðili leggur til eða grípur til til að bregðast við persónuupplýsingabrotinu, þar með talið, þar sem við á, ráðstafanir til að draga úr hvers kyns skaðlegum áhrifum þess. Mat á því hvort tilkynna þurfi gagnabrot til hollensku Persónuverndar og/eða viðkomandi einstaklinga er alltaf undir Autosoft BV komið. Til að ákvarða hvort tilkynna þurfi atvik hefur hollenska Persónuverndarstofnun sett stefnureglur (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) og vinnuhópur 29 í evrópskum leiðbeiningum eftirlitsaðila sem birtar eru um tilkynningarskyldu í GDPR. Ef Autosoft BV hefur ekki tilkynnt um gagnabrotið getur hollenska gagnaverndaryfirvöld krafist þess að Autosoft BV geri samt skýrslu. Vanræksla á tilkynningu getur varðað stjórnvaldssekt.

Hvernig tilkynni ég gagnabrot?
Hollenska Persónuverndarstofnunin gerir vefeyðublað aðgengilegt sem þarf að nota til að tilkynna gagnabrot (https://dataleks.autoriteitpersoonsgegevens.nl/). Hollenska Persónuvernd heldur skrá yfir tilkynningar um gagnabrot sem berast. Þessi skrá er ekki opinber. Ef sekt er beitt af hollensku Persónuverndinni vegna gagnabrotsins verður þessi ákvörðun birt opinberlega. Gagnabrot er einnig gert opinbert þegar upplýsa þarf skráða aðila um gagnabrotið. Í tilkynningu til hins skráða þarf í öllum tilvikum að koma fram hvers eðlis brotið er og hvaða stjórnvöld þar geta fengið frekari upplýsingar um brotið. Einnig þarf að koma fram hvað hinn skráði getur sjálfur gert til að takmarka neikvæðar afleiðingar gagnabrotsins. Til dæmis að breyta notendanöfnum og lykilorðum þegar þau kunna að hafa verið í hættu vegna brotsins.

Hvað ætti ég að tilkynna?
Tilkynning til hollensku Persónuverndar inniheldur:

• Fréttaritari gagnabrotsins.
• Sá sem hollenska Persónuvernd getur haft samband við til að fá frekari upplýsingar um skýrsluna.
• Samantekt um atvikið þar sem persónuupplýsingaöryggisbrotið átti sér stað.
• Tími brotsins.
• Eðli brotsins.
• Tegund persónuupplýsinga sem um ræðir.
• Þær afleiðingar sem brotið kann að hafa fyrir friðhelgi einkalífs þeirra sem hlut eiga að máli.
• Þær tæknilegu og skipulagslegu ráðstafanir sem Autosoft BV hefur gripið til til að takast á við brotið og koma í veg fyrir frekari brot.
• Hvort Autosoft BV hafi tilkynnt gagnabrotið til skráðra einstaklinga og ef ekki, hvort Autosoft BV hyggst gera þetta:
• Ef svo er, innihald tilkynningar til hinna skráðu.
• Ef ekki, ástæðan fyrir því að Autosoft BV forðast að tilkynna gagnabrotið til skráðra einstaklinga.
• Hafa persónuupplýsingarnar verið dulkóðaðar, hassaðar eða á annan hátt gerðar óskiljanlegar eða óaðgengilegar óviðkomandi?

Hluti 2: Staðlað vinnsluákvæði

Útgáfa: september 2019
Myndar ásamt Data Pro yfirlýsingunni vinnslusamninginn og er viðauki við samninginn og meðfylgjandi viðauka eins og gildandi almenna skilmála.

1. gr. Skilgreiningar

Hugtökin hér að neðan hafa eftirfarandi merkingu í þessum staðlaða vinnsluákvæðum, í gagnaverndaryfirlýsingunni og í samningnum:

• 1.1 Hollenska gagnaverndarstofnunin (AP): eftirlitsheimild, eins og lýst er í 4. gr., 21. tölul.
• 1.2 AVG: almennu persónuverndarreglugerðinni.
• 1.3 Gagnavinnsla: aðila sem, sem upplýsingatæknibirgir, vinnur persónuupplýsingar í þágu viðskiptavina sinna í tengslum við framkvæmd samningsins.
• 1.4 Data Pro yfirlýsing: yfirlýsing gagnavinnsluaðila þar sem hann veitir upplýsingar um fyrirhugaða notkun á vöru sinni eða þjónustu, öryggisráðstafanir sem gripið hefur verið til, undirvinnsluaðila, gagnaleka, vottorð og meðferð réttinda skráðra einstaklinga.
• 1.5 Skráður einstaklingur (skráður einstaklingur): auðkenndur eða auðkenndur einstaklingur.
• 1.6 Viðskiptavinur: aðila sem gagnavinnsli vinnur með persónuupplýsingum fyrir hönd. Viðskiptavinurinn getur annað hvort verið stjórnandi („stjórnandi“) eða annar vinnsluaðili.
• 1.7 Samningur: samningur viðskiptavinar og gagnavinnsluaðila, á grundvelli þess sem UT-birgir veitir viðskiptavini þjónustu og/eða vörur sem vinnslusamningur er hluti af.
• 1.8 Persónuupplýsingar: allar upplýsingar um auðkenndan eða auðkennanlegan einstakling, eins og lýst er í 4. gr., undirlið 1 AVG, sem gagnavinnslan vinnur í tengslum við framkvæmd skuldbindinga sinna sem leiðir af samningnum.
• 1.9 Vinnslusamningur: Þessi staðlaða vinnsluákvæði, sem ásamt gagnaverndaryfirlýsingunni (eða sambærilegum upplýsingum) frá gagnavinnsluaðila mynda vinnslusamninginn eins og um getur í 28. mgr. 3. gr. GDPR.

2. gr. Almennt

• 2.1 Þessi staðlaða vinnsluákvæði gilda um alla vinnslu persónuupplýsinga sem gagnavinnslan gerir í tengslum við afhendingu á vörum sínum og þjónustu og um alla samninga og tilboð. Gildissviði vinnslusamninga viðskiptavinar er beinlínis hafnað.
• 2.2 Gagnaverndaryfirlýsingunni, og sérstaklega öryggisráðstöfunum sem þar er að finna, kann gagnavinnsluaðili að breyta af og til til að endurspegla breyttar aðstæður. Gagnavinnsla mun upplýsa viðskiptavini um verulegar breytingar. Ef viðskiptavinur getur ekki með sanngjörnum hætti fallist á breytingarnar hefur viðskiptavinur rétt á að segja vinnslusamningnum upp skriflega innan 30 daga frá tilkynningu um leiðréttingarnar.
• 2.3 Gagnavinnsla vinnur persónuupplýsingarnar fyrir hönd og fyrir hönd viðskiptavinar í samræmi við skriflegar fyrirmæli viðskiptavinar sem samið hefur verið um við gagnavinnsluaðila.
• 2.4 Viðskiptavinurinn, eða viðskiptavinur hans, er ábyrgðaraðili í skilningi GDPR, hefur stjórn á vinnslu persónuupplýsinganna og hefur ákveðið tilgang og leiðir til vinnslu persónuupplýsinganna.
• 2.5 Gagnavinnsli er vinnsluaðili í skilningi GDPR og hefur því enga stjórn á tilgangi og leiðum til vinnslu persónuupplýsinganna og tekur því engar ákvarðanir meðal annars um notkun persónuupplýsinganna.
• 2.6 Gagnavinnsla innleiðir GDPR eins og mælt er fyrir um í þessum staðlaða ákvæðum um vinnslu, gagnaverndaryfirlýsingunni og samningnum. Það er viðskiptavinarins að meta á grundvelli þessara upplýsinga hvort gagnavinnslan veiti fullnægjandi tryggingar varðandi beitingu viðeigandi tæknilegra og skipulagslegra ráðstafana þannig að vinnslan uppfylli kröfur GDPR og vernd réttinda skráðra einstaklinga. er nægjanlegt. tryggt.
• 2.7 Viðskiptavinur ábyrgist við gagnavinnsluaðila að hann starfi í samræmi við GDPR, að hann verndar kerfi sín og innviði á fullnægjandi hátt á hverjum tíma og að innihald, notkun og/eða vinnsla persónuupplýsinganna sé ekki ólögleg og brjóti ekki í bága við neinn rétt. af þriðja aðila.
• 2.8 Ekki er hægt að endurheimta stjórnvaldssekt sem AP hefur lagt á viðskiptamann frá gagnavinnsluaðila.

3. gr. Öryggi

• 3.1 Gagnavinnsla gerir tæknilegar og skipulagslegar öryggisráðstafanir eins og lýst er í yfirlýsingu Data Pro. Við gripið er til tæknilegra og skipulagslegra öryggisráðstafana hefur gagnavinnslan tekið mið af nýjustu tækni, framkvæmdarkostnaði öryggisráðstafana, eðli, umfangi og samhengi vinnslunnar, tilgangi og fyrirhugaðri notkun á vörum sínum og þjónustu. , vinnsluáhættu og áhættu sem er ólík að líkindum og alvarleika fyrir réttindi og frelsi skráðra einstaklinga sem hann gæti búist við í ljósi fyrirhugaðrar notkunar á vörum hans og þjónustu.
• 3.2 Nema annað sé sérstaklega tekið fram í gagnaverndaryfirlýsingunni, er vara eða þjónusta gagnavinnsluaðila ekki hönnuð til að vinna sérstaka flokka persónuupplýsinga eða gagna sem tengjast refsidómum eða brotum eða opinberum númerum.
• 3.3 Gagnavinnsla leitast við að tryggja að þær öryggisráðstafanir sem hann á að gera séu viðeigandi fyrir fyrirhugaða notkun gagnavinnsluaðila á vörunni eða þjónustunni.
• 3.4 Að mati viðskiptavinar bjóða þær öryggisráðstafanir sem lýst er yfir, að teknu tilliti til þeirra þátta sem um getur í grein 3.1, öryggisstig sem er sniðið að áhættunni af vinnslu persónuupplýsinganna sem hann notar eða veitir.
• 3.5 Gagnavinnsluaðila er heimilt að gera breytingar á öryggisráðstöfunum sem gripið er til ef það telur hann nauðsynlegt til að tryggja áfram viðeigandi öryggisstig. Gagnavinnsluaðili mun skrá mikilvægar breytingar, til dæmis í breyttri yfirlýsingu um gagnagrunn, og mun upplýsa viðskiptavini um þær breytingar þar sem við á.
• 3.6 Viðskiptavinur getur beðið gagnavinnsluaðila um að grípa til frekari öryggisráðstafana. Gagnavinnsluaðila ber engin skylda til að gera breytingar á öryggisráðstöfunum sínum sé slík beiðni. Gagnavinnsla getur rukkað kostnað vegna breytinga sem gerðar eru að beiðni viðskiptavinar til viðskiptavinar. Aðeins eftir að breyttar öryggisráðstafanir sem viðskiptavinur óskar eftir hafa verið samþykktar skriflega og undirritaðar af aðilum ber gagnavinnsluaðila að framkvæma þessar öryggisráðstafanir í raun.

4. gr. Persónuupplýsingabrot

• 4.1 Gagnavinnsla ábyrgist ekki að öryggisráðstafanir séu virk undir öllum kringumstæðum. Ef gagnavinnslan uppgötvar brot í tengslum við persónuupplýsingar (eins og um getur í 4. gr. 12. lið), mun hann tilkynna viðskiptavinum það án ástæðulausrar tafar. Gagnaverndaryfirlýsingin (samkvæmt samskiptareglunum um gagnaleka) segir til um hvernig gagnavinnslan upplýsir viðskiptavininn um brot í tengslum við persónuupplýsingar.
• 4.2 Það er ábyrgðaraðila (viðskiptavinur eða viðskiptavinur hans) að meta hvort persónuupplýsingabrotið sem gagnavinnslan hefur upplýst um þurfi að tilkynna til AP eða hins skráða. Tilkynning um brot í tengslum við persónuupplýsingar, sem ber að tilkynna til AP og/eða skráðra einstaklinga samkvæmt 33. og 34. gr. GDPR, er ávallt á ábyrgð ábyrgðaraðila (viðskiptavinar eða viðskiptavinar hans). Gagnavinnsluaðila er ekki skylt að tilkynna persónuupplýsingabrot til AP og/eða hins skráða.
• 4.3 Gagnavinnsla mun, ef þörf krefur, veita frekari upplýsingar um brotið í tengslum við persónuupplýsingar og mun vinna að nauðsynlegri upplýsingagjöf til viðskiptavinar vegna tilkynningar skv. 33. og 34. gr.
• 4.4 Gagnavinnsluaðili getur rukkað viðskiptavininn þann sanngjarna kostnað sem hann verður fyrir í þessu samhengi á þeim töxtum sem þá gilda.

5. gr. Trúnaður

• 5.1 Gagnavinnsla ábyrgist að þeir sem vinna persónuupplýsingar á hans ábyrgð beri þagnarskyldu.
• 5.2 Gagnavinnsluaðila er heimilt að veita þriðja aðila persónuupplýsingarnar, ef og að svo miklu leyti sem kveðið er á um það samkvæmt dómsúrskurði, lagafyrirmælum eða á grundvelli heimildar stjórnvalds.
• 5.3 Allar aðgangs- og/eða auðkenniskóðar, vottorð, upplýsingar um aðgang og/eða lykilorðastefnu sem gagnavinnslan veitir viðskiptavinum og allar upplýsingar sem gagnavinnslan veitir viðskiptavinum sem framfylgja tæknilegum og skipulagslegum öryggisráðstöfunum sem innifalin eru í gagnaverndaryfirlýsingunni eru trúnaðarmál. og verður meðhöndluð sem slík af Viðskiptavini og aðeins kynnt viðurkenndum starfsmönnum viðskiptavinarins. Viðskiptavinur tryggir að starfsmenn hans uppfylli skyldur samkvæmt þessari grein.

6. gr. Gildistími og uppsögn

• 6.1 vinnslusamningur þessi er hluti af samningnum og sérhver nýr eða frekari samningur sem af honum leiðir, tekur gildi við gerð samningsins og er gerður um óákveðinn tíma.
• 6.2 vinnslusamningi þessum lýkur samkvæmt lögum við uppsögn samnings eða hvers kyns nýs eða frekari samnings milli aðila.
• 6.3 Ef vinnslusamningi lýkur mun gagnavinnsluaðili eyða öllum persónuupplýsingum sem hann hefur undir höndum og mótteknar frá viðskiptavini innan þess tíma sem kveðið er á um í gagnaverndaryfirlýsingunni á þann hátt að ekki sé lengur hægt að nota þær og eru ekki lengur aðgengilegt (gera óaðgengilegt). , eða, ef um það er samið, skila því til viðskiptavinarins á véllesanlegu sniði.
• 6.4 Gagnavinnsluaðili getur rukkað viðskiptavininn allan kostnað sem hann verður fyrir í samhengi við ákvæði greinar 6.3. Nánari samninga um þetta má kveða á um í Data Pro Statement.
• 6.5 Ákvæði greinar 6.3 eiga ekki við ef lögbundin reglugerð kemur í veg fyrir að gagnavinnslan geti fjarlægt eða skilað persónuupplýsingunum að hluta eða öllu leyti. Í slíku tilviki mun gagnavinnslan aðeins halda áfram að vinna persónuupplýsingarnar að því marki sem nauðsynlegt er samkvæmt lagalegum skyldum sínum. Ákvæði greinar 6.3 eiga heldur ekki við ef gagnavinnslan er ábyrgðaraðili í skilningi GDPR að því er varðar persónuupplýsingarnar.

7. gr. Réttindi skráðra einstaklinga, mat á áhrifum gagnaverndar (DPIA) og endurskoðunarréttindi

• 7.1 Gagnavinnsluaðili mun, þar sem hægt er, vinna með sanngjörnum beiðnum frá viðskiptavinum sem tengjast réttindum skráðra einstaklinga sem skráðir einstaklingar kalla til viðskiptavinar. Ef skráð er leitað beint til gagnavinnsluaðila mun hann vísa þessum aðila til viðskiptavinarins þar sem því verður við komið.
• 7.2 Ef viðskiptavinur ber skylda til að gera það mun gagnavinnsluaðili vinna með mati á áhrifum á gagnavernd (DPIA) eða síðara fyrirfram samráði eins og um getur í 35. og 36. gr.
• 7.3 Gagnavinnsla mun vinna með beiðnum viðskiptavina um fjarlægingu persónuupplýsinga að svo miklu leyti sem viðskiptavinur getur ekki framkvæmt það sjálfur.
• 7.4 Að beiðni viðskiptavinar mun gagnavinnslan einnig gera allar frekari upplýsingar aðgengilegar sem sanngjarnar eru nauðsynlegar til að sýna fram á að farið sé að þeim samningum sem gerðir eru í vinnslusamningi þessum. Hafi viðskiptavinur engu að síður ástæðu til að ætla að vinnsla persónuupplýsinga fari ekki fram í samræmi við vinnslusamninginn getur hann leitað til hennar að hámarki einu sinni á ári hjá óháðum, löggiltum utanaðkomandi sérfræðingi sem hefur sannanlega reynslu af gerð vinnsla sem fer fram á grundvelli samningsins, láta fara fram endurskoðun á kostnað viðskiptavinar. Endurskoðunin mun einskorðast við að kanna hvort farið sé að samningum um vinnslu persónuupplýsinga eins og mælt er fyrir um í vinnslusamningi þessum. Sérfræðingnum ber þagnarskyldu um það sem hann kemst að og tilkynnir viðskiptavinum aðeins það sem leiðir til annmarka á efndum skyldna sem gagnavinnslan hefur samkvæmt vinnslusamningi þessum. Sérfræðingur mun láta gagnavinnsluaðila í té afrit af skýrslu sinni. Gagnavinnsluaðili getur hafnað úttekt eða fyrirmælum frá sérfræðingnum ef það brýtur að hans mati í bága við GDPR eða aðra löggjöf eða felur í sér óleyfilegt brot á öryggisráðstöfunum sem hann hefur gripið til.
• 7.5 Aðilar munu hafa samráð eins fljótt og auðið er um niðurstöður skýrslunnar. Aðilar munu fylgja fyrirhuguðum úrbótaaðgerðum sem mælt er fyrir um í skýrslunni að svo miklu leyti sem sanngjarnt er hægt að ætlast til þess af þeim. Gagnavinnsla mun innleiða fyrirhugaðar umbótaráðstafanir að því marki sem þær eru viðeigandi að hans mati, að teknu tilliti til vinnsluáhættu sem tengist vöru sinni eða þjónustu, nýjustu tækni, innleiðingarkostnaði, markaði sem hann starfar á og fyrirhugaða notkun vörunnar eða þjónustunnar, þjónustunnar.
• 7.6 Gagnavinnsla hefur rétt til að rukka kostnað sem hann verður fyrir í samhengi við ákvæði þessarar greinar á viðskiptavini.

8. gr. Undirvinnsluaðilar

• 8.1 Gagnavinnsluaðili hefur tekið fram í yfirlýsingu gagnaframleiðanda hvort, og ef svo er hvaða þriðju aðilar (undirvinnsluaðilar eða undirvinnsluaðilar) gagnavinnslan tekur þátt í vinnslu persónuupplýsinganna.
• 8.2 Viðskiptavinur veitir gagnavinnsluaðila leyfi til að ráða aðra undirvinnsluaðila til að sinna skyldum sínum sem leiðir af samningnum.
• 8.3 Gagnavinnslan mun upplýsa viðskiptavininn um breytingar á þeim þriðju aðilum sem gagnavinnslan hefur ráðið, td með breyttri Data Pro Statement. Viðskiptavinur hefur rétt til að andmæla fyrrgreindri breytingu af hálfu gagnavinnsluaðila. Gagnavinnslan tryggir að þriðju aðilar sem hann ráðnir til skuldbindi sig til sama öryggisstigs að því er varðar vernd persónuupplýsinga og það öryggisstig sem gagnavinnslan er bundin við viðskiptavininn á grundvelli gagnaverndaryfirlýsingarinnar.

9. gr. Annað

Þessi staðlaða vinnsluákvæði, ásamt Data Pro Statement, eru óaðskiljanlegur hluti samningsins. Öll réttindi og skyldur samkvæmt samningnum, þar á meðal gildandi almennir skilmálar og/eða takmarkanir á ábyrgð, eiga því einnig við um vinnslusamninginn.