הסכם עיבוד

מבוא

Autosoft BV מעבדת, בין היתר, נתונים אישיים עבור הלקוח ומטעמו. לפיכך, Autosoft BV והלקוח מחויבים על פי תקנת הגנת המידע הכללית (GDPR) לערוך הסכם מעבד. על פי ה-GDPR, Autosoft BV היא 'מעבד' והלקוח הוא 'בקר'. הסכם מעבד זה מתאר גם כיצד Autosoft BV מטפלת בחובת ההודעה על הפרת נתונים.

הסכם עיבוד

מורכב מ:
חלק 1: הצהרת Data Pro
חלק 2: סעיפי עיבוד סטנדרטיים

חלק 1: הצהרת Data Pro

מידע כללי

1). הצהרת Data Pro זו נעשתה על ידי מעבד הנתונים (מעבד):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

לשאלות לגבי הצהרת דאטה פרו זו או הגנת מידע, אנא צור קשר עם:
ארתור ואן דר לק: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). הצהרת דאטה פרו זו חלה מה-1 באוגוסט 2021
אנו מתאימים באופן קבוע הצהרת Data Pro זו ואת אמצעי האבטחה המתוארים בה כדי להבטיח שאנו תמיד ערוכים ומעודכנים בכל הנוגע להגנה על נתונים. אנו נעדכן אותך לגבי גרסאות חדשות דרך הערוצים הרגילים שלנו.

3). הצהרת Data Pro זו חלה על המוצרים והשירותים הבאים של מעבד הנתונים

• אתר אוטומטי
• מסחר אוטומטי

4). תיאור אתר רכב
חברות רכב משתמשות ב-Autowebsite. עם Autowebsite, חברות רכב יכולות להציג את עצמן באינטרנט.

5). אתר רכב לשימוש מיועד
Autowebsite תוכנן ומצויד לעיבוד סוגי הנתונים הבאים:
למבקרים באתרים שפותחו על ידי Autosoft עם Autowebsite יש אפשרות להשאיר שם את פרטי ההתקשרות שלהם כדי שלחברת הרכב תהיה אפשרות לפנות למבקר לשירותים נוספים. פרטי התקשרות אלו אינם נשמרים אצל אוטוסופט, אלא מועברים ישירות באמצעות דואר אלקטרוני לכתובת הדואר האלקטרוני של חברת הרכב.

• שירות זה אינו לוקח בחשבון עיבוד של נתונים אישיים מיוחדים, או נתונים הנוגעים להרשעות ועבירות פליליות או מספרים אישיים שהונפקו על ידי הממשלה.

6). תיאור מסחר אוטומטי
חברות רכב משתמשות באוטומסחר. עם Autocommerce, חברות רכב יכולות לנהל ולהציג את הרכבים שלהן באתר האינטרנט שלהן ובפורטלי החיפוש באינטרנט של צדדים שלישיים.

7). מסחר אוטומטי לשימוש מיועד
מסחר אוטומטי מתוכנן ומצויד לעיבוד סוגי הנתונים הבאים:
חברות רכב יכולות למקם את כלי הרכב הרשומים שלהן דרך Autocommerce באתר רכב משלהן. כלי רכב רשומים אלו אינם מכילים כל מידע שניתן לאתר אותו לנתונים אישיים בכל צורה שהיא. למבקרים באתר רכב יש אפשרות להשאיר את פרטי ההתקשרות שלהם שם כדי שתהיה לחברת הרכב אפשרות לפנות למבקר לשירותים נוספים. פרטי ההתקשרות שהשאיר המבקר באתר האוטו שלו מאוחסנים ב-Autocommerce.

• שירות זה אינו לוקח בחשבון עיבוד של נתונים אישיים מיוחדים, או נתונים הנוגעים להרשעות ועבירות פליליות או מספרים אישיים שהונפקו על ידי הממשלה.

8). מעבד הנתונים משתמש בסעיפים הסטנדרטיים לעיבוד עבור אתרים אוטומטיים ומסחר אוטומטי, אותם ניתן למצוא כנספח להסכם.

9). מעבד הנתונים מעבד את הנתונים האישיים של לקוחותיו בתוך האיחוד האירופי/EEA עבור אתרים אוטומטיים ומסחר אוטומטי.

10). מעבד הנתונים משתמש במעבדי המשנה הבאים למסחר אוטומטי:
במקרים מסוימים אוטוסופט שולחת את כלי הרכב הרשומים שלה באמצעות Autocommerce לפורטלי החיפוש באינטרנט של צדדים שלישיים או מעבדי משנה מטעם חברת הרכב. רשימה של מעבדי משנה זמינה לפי בקשה בכתובת support@autosoft.eu.

11). לאחר סיום ההסכם עם לקוח, מעבד הנתונים יסיר באופן עקרוני את הנתונים האישיים שהוא מעבד עבור הלקוח תוך 3 חודשים באופן שלא ניתן יהיה להשתמש בהם יותר ואינם נגישים עוד (להפוך אותם לבלתי נגישים).

מדיניות אבטחה

סיכום אמצעי האבטחה הבאים שמעבד הנתונים נקט כדי להגן על המוצר או השירות שלו:

מדיניות ניהול ותגובה לאירועים
מדיניות ניהול ותגובה לאירועים בתחום אבטחת המידע כוללת ניטור ואיתור אירועי אבטחה על גבי תשתית מחשב או IT, אך גם צפייה בפעילויות חשודות על ידי כוח האדם, ויישום התגובות הנכונות לאירועים אלו.

המטרה העיקרית של מדיניות זו היא לפתח תגובה מובנת וצפויה לאירועים זדוניים ופריצות למחשב במובן הרחב של המילה.

מדיניות ניהול ותגובה לאירועים היא תהליך של ניהול והגנה על מחשבים, רשתות ומערכות מידע והמידע המאוחסן בהם. אוטוסופט מודעת לאחריותה בכל הנוגע להגנה על מידע זה לטובת לקוחותיה ושותפי שרשרת האספקה. אחריות זו משתרעת על קיום נוהל אירוע. ניהול תקריות הוא מכלול פעילויות המגדיר ומיישם תהליך שארגון יכול להשתמש בו כדי לקדם את רווחתו שלו ואת בטיחות הציבור.

IT ואבטחה
מבנה ה-ICT של Autosoft BV מאובטח כראוי עם חומת אש ותוכנת סריקת הווירוסים נשמרת מעודכנת. לכל עובד יש פרופיל התחברות. בעת הפעלת מחשב, על העובדים להזין שם כניסה וסיסמא ובמידת האפשר עם אימות דו-שלבי.

תוכנות מסוימות מבקשות גם שם כניסה וסיסמה ובמידת האפשר עם אימות דו-שלבי. מעוררת המודעות בקרב העובדים לעבודה בטוחה, כמו הפניית תשומת לב לאי פתיחת מיילים חשודים, אי לחיצה על קישורים חשודים, יציאה בעת יציאה ממקום העבודה לזמן ממושך וכדומה.

הקבצים מגובים במהלך הימים ובכל לילה. מטעמי אבטחה, הליך האחסון הנוסף סביב הגיבוי חסוי. Autosoft BV חתמה על כך חוזי שירות עם ספקי מחשבים וספקי אירוח אינטרנט.

מדיניות הגנת מידע
Autosoft BV נוקטת באמצעים טכניים וארגוניים מתאימים כדי להגן על הנתונים האישיים של הלקוח מפני אובדן או כל צורה של עיבוד בלתי חוקי. אמצעים טכניים וארגוניים אלו נחשבים כרמת אבטחה מתאימה במשמעות סעיף 1 של ה-GDPR ומאוחסנים כמסמכים ב-Basecamp המרכזי (פרויקט: ארגון / מדיניות הגנת מידע) של Autosoft BV

טכנית וארגונית

1. אמצעים כדי להבטיח שרק לעובדים מורשים תהיה גישה לנתונים האישיים המעובדים בהקשר של הסכם המעבד;
2. אמצעים להגנה על הנתונים האישיים בפרט מפני השמדה מקרית או בלתי חוקית, אובדן, שינוי מקרי, אחסון, גישה או חשיפה לא מורשה או בלתי חוקי;
3. אמצעים להגנה על הנתונים האישיים בפרט מפני השמדה מקרית או בלתי חוקית, אובדן, שינוי בשוגג, אחסון לא מורשה או בלתי חוקי, גישה או חשיפה במהלך חילופי/העברת נתונים;
4. אמצעים להבטחת היכולת להבטיח את הסודיות, היושרה, הזמינות והחוסן של מערכות ושירותי העריכה באופן שוטף;
5. אמצעים לשחזר את הזמינות והגישה לנתונים האישיים במועד במקרה של אירוע פיזי או טכני;
6. אמצעים לזיהוי נקודות תורפה בכל הנוגע לעיבוד נתונים אישיים במערכות המשמשות למתן השירותים במסגרת החוזה;

ארגוני כגון:

• הגבלת מעגל הפקידים שיש להם גישה לנתונים אישיים מסוימים לאותם אנשים הזקוקים לנתונים לצורך מילוי תפקידם;
• הענקת לאנשים אלה גישה רק לנתונים אישיים הנחוצים להם לצורך מילוי תפקידם;
• הסכמה של סעיף סודיות עם סעיף ענישה עם כל האנשים להם תינתן גישה לנתונים אישיים;
• אחסון נתונים אישיים בשרתים במרחב סגור;
• שמירת תיקי נייר בארונות הניתנים לנעילה;
• יצירת מודעות לאבטחת מידע בקרב העובדים;
• קביעת פרוטוקולים ונהלים ברורים לטיפול בזמן ואפקטיבי באירועי אבטחת מידע ופגיעות אבטחה;

מעבד הנתונים משתמש במתודולוגיות ובנהלים משלו לניהול המתאימים לשיטת העבודה של הארגון:

• בתוך Basecamp, מסמכים רלוונטיים מנוהלים ונבחנים מעת לעת.

פרוטוקול פריצת נתונים

במקרה שמשהו אכן משתבש, מעבד הנתונים משתמש בפרוטוקול דליפות הנתונים הבא כדי להבטיח שהלקוח מודע לתקריות:

Autosoft BV - נוהל הפרת נתונים

מהי הפרת נתונים ומתי עלי לדווח על כך ל-AP?
פרצת מידע היא אירוע אבטחת מידע הכולל הפרה של אבטחת המידע האישי באמצעות חשיפה לאובדן או עיבוד בלתי חוקי כגון (אך לא ממצה):

• התאמת ו/או שינוי נתונים אישיים וגישה בלתי מורשית לנתונים אישיים אלה;
• במקרה של פריצה על ידי האקר;
• אובדן מקל USB, גניבת מחשב נייד;
• שליחת נתונים רגישים לכתובת דוא"ל שגויה;

על פי החוק, יש לדווח על פרצת מידע 'חמורה' לרשות הגנת המידע ההולנדית ללא דיחוי מיותר, ובמידת האפשר לא יאוחר מ-72 שעות לאחר הגילוי.

Autosoft BV לא חייבת לדווח לרשות הגנת המידע ההולנדית אם זיהוי ממשי של אנשים טבעיים בודדים נשלל באופן סביר.
כל החשדות לאירוע אבטחת מידע מטופלים בשלב ראשון support@autosoft.eu דווח ונרשם. התמיכה מדווחת על האירוע לצוות ההנהלה וקובעת אילו פעולות המשך יש לנקוט.

הליך מעקב

מתי אני צריך להודיע ​​לנבדקים?
יש לדווח לנושא המידע על הפרת מידע אם במקרה של הפרה קיים סיכון גבוה שלפריצה יהיו השלכות שליליות על חייו הפרטיים. השלכות שליליות על נושא המידע הן: פגיעה בשמו הטוב ובשמו הטוב, הונאת זהות או אפליה. אם Autosoft BV נקטה באמצעי הגנה טכניים מתאימים, וכתוצאה מכך הנתונים האישיים הרלוונטיים הופכים לבלתי מובנים או בלתי נגישים, ההודעה לנושא המידע אינה נחוצה. ההודעה לנושא המידע תכיל תיאור, בשפה ברורה וברורה, של אופי הפרת המידע האישי ולפחות:

• השם ופרטי ההתקשרות של קצין הגנת המידע או נקודת קשר אחרת שבה ניתן לקבל מידע נוסף;
• ההשלכות הסבירות של הפרת המידע האישי;
• האמצעים המוצעים או שננקטים על ידי הבקר כדי לטפל בהפרת המידע האישי, לרבות, במידת הצורך, אמצעים להפחתת ההשפעות השליליות שלה. ההערכה האם יש לדווח על הפרת מידע לרשות ההולנדית להגנת המידע ו/או לאנשים המושפעים היא תמיד תלויה ב-Autosoft BV. על מנת לקבוע אם יש לדווח על אירוע, רשות הגנת המידע ההולנדית ניסחה כללי מדיניות (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) וה- קבוצת עבודה 29 של הנחיות המפקחים האירופיות שפורסמו על חובת הדיווח ב-GDPR. אם Autosoft BV לא דיווחה על הפרת הנתונים, רשות הגנת המידע ההולנדית עשויה לדרוש מ-Autosoft BV עדיין לבצע דיווח. אי דיווח יכול להיענש בקנס מנהלי.

איך אני מדווח על הפרת נתונים?
רשות הגנת המידע ההולנדית מעמידה טופס אינטרנט זמין שבו יש להשתמש לדיווח על הפרות מידע (https://dataleks.autoriteitpersoonsgegevens.nl/). רשות הגנת המידע ההולנדית מנהלת רישום של ההודעות על הפרת מידע שהתקבלו. מרשם זה אינו ציבורי. אם יוטל קנס על ידי רשות הגנת המידע ההולנדית כתוצאה מהפרת המידע, החלטה זו תפורסם ברבים. הפרת מידע מתפרסמת גם כאשר יש צורך ליידע את נושאי המידע על הפרת הנתונים. ההודעה לנושא המידע חייבת בכל מקרה לציין את מהות ההפרה ואת הרשויות שבהן יוכל נושא המידע לקבל מידע נוסף על ההפרה. כמו כן, יש לציין מה נושא המידע יכול לעשות בעצמו כדי להגביל את ההשלכות השליליות של הפרת המידע. לדוגמה, שינוי שמות משתמש וסיסמאות כאשר ייתכן שהם נפגעו מהפרה.

מה עלי לדווח?
הודעה לרשות הגנת המידע ההולנדית כוללת:

• הכתב של הפרת הנתונים.
• האדם שרשות הגנת המידע ההולנדית יכולה לפנות אליו לקבלת מידע נוסף על הדו"ח.
• סיכום האירוע שבו התרחשה הפרת אבטחת המידע האישי.
• זמן ההפרה.
• אופי ההפרה.
• סוג הנתונים האישיים הנוגעים בדבר.
• ההשלכות שעשויות להיות לפגיעה על פרטיות המעורבים.
• האמצעים הטכניים והארגוניים ש-Autosoft BV נקטה כדי להתמודד עם ההפרה ולמנוע הפרות נוספות.
• האם Autosoft BV דיווחה על הפרת הנתונים לנושאי הנתונים ואם לא, האם Autosoft BV מתכוונת לעשות זאת:
• אם כן, תוכן ההודעה לנושאי הנתונים.
• אם לא, הסיבה לכך ש-Autosoft BV נמנעת מלדווח על הפרת המידע לנושאי הנתונים.
• האם המידע האישי הוצפן, גיבוב או הפך בדרך אחרת לבלתי מובן או בלתי נגיש לאנשים לא מורשים?

חלק 2: סעיפי עיבוד סטנדרטיים

גרסה: ספטמבר 2019
טופס יחד עם הצהרת Data Pro את הסכם העיבוד ומהווה נספח להסכם ולנספחים הנלווים כגון תנאים כלליים החלים.

סעיף 1. הגדרות

לתנאים שלהלן יש את המשמעויות הבאות בסעיפים אלה לעיבוד סטנדרטי, בהצהרת ה-Data Pro ובהסכם:

• 1.1 הרשות ההולנדית להגנת מידע (AP): רשות הפיקוח, כמתואר בסעיף 4, תת 21 ל-Avg.
• 1.2 AVG: תקנת הגנת המידע הכללית.
• 1.3 מעבד נתונים: צד שכספק תקשוב מעבד נתונים אישיים לטובת לקוחו במסגרת ביצוע ההסכם.
• 1.4 הצהרת נתונים פרו: הצהרת מעבד הנתונים שבה הוא מספק מידע לגבי השימוש המיועד במוצר או בשירות שלו, אמצעי אבטחה שננקטו, מעבדי משנה, דליפות נתונים, אישורים וטיפול בזכויות של נושאי מידע.
• 1.5 נושא המידע (נושא המידע): אדם טבעי מזוהה או ניתן לזיהוי.
• 1.6 לקוח: צד שמעבד הנתונים מטעמו מעבד נתונים אישיים. הלקוח יכול להיות בקר ("בקר") או מעבד אחר.
• 1.7 הסכם: ההסכם בין הלקוח למעבד הנתונים, שעל בסיסו מספק ספק התקשוב שירותים ו/או מוצרים ללקוח, אשר הסכם המעבד מהווה חלק מהם.
• 1.8 נתונים אישיים: כל מידע על אדם טבעי מזוהה או מזוהה, כמתואר בסעיף 4, תת 1 AVG, אשר מעבד הנתונים מעבד בהקשר לביצוע התחייבויותיו הנובעות מההסכם.
• 1.9 הסכם עיבוד: סעיפי תקן אלה לעיבוד, אשר יחד עם הצהרת ה-Data Pro (או מידע דומה) ממעבד הנתונים מהווים את הסכם העיבוד כמפורט בסעיף 28, סעיף 3 של ה-GDPR.

סעיף 2. כללי

• 2.1 סעיפי עיבוד סטנדרטיים אלה חלים על כל עיבוד של נתונים אישיים שעושה מעבד הנתונים בהקשר של אספקת המוצרים והשירותים שלו ועל כל ההסכמים וההצעות. תחולת הסכמי העיבוד של הלקוח נדחית במפורש.
• 2.2 הצהרת Data Pro, ובמיוחד אמצעי האבטחה הכלולים בה, עשויים להשתנות על ידי מעבד הנתונים מעת לעת כדי לשקף נסיבות משתנות. מעבד הנתונים יודיע ללקוח על שינויים משמעותיים. אם הלקוח לא יכול להסכים באופן סביר להתאמות, רשאי הלקוח לסיים את הסכם העיבוד בכתב תוך 30 יום מההודעה על ההתאמות.
• 2.3 מעבד הנתונים מעבד את הנתונים האישיים בשמו ובשם הלקוח בהתאם להנחיות הכתובות של הלקוח המוסכמות עם מעבד הנתונים.
• 2.4 הלקוח, או הלקוח שלו, הוא הבקר במשמעות ה-GDPR, בעל שליטה על עיבוד הנתונים האישיים וקבע את המטרה והאמצעים לעיבוד הנתונים האישיים.
• 2.5 מעבד הנתונים הוא מעבד במשמעות ה-GDPR ולכן אין לו שליטה על המטרה והאמצעים לעיבוד הנתונים האישיים ולכן אינו מקבל החלטות, בין היתר, על השימוש בנתונים האישיים.
• 2.6 מעבד הנתונים מיישם את ה-GDPR כפי שנקבע בסעיפים סטנדרטיים אלה לעיבוד, הצהרת ה-Data Pro וההסכם. על הלקוח להעריך על סמך מידע זה האם מעבד הנתונים מציע ערבויות מספקות בכל הנוגע ליישום אמצעים טכניים וארגוניים מתאימים כך שהעיבוד יעמוד בדרישות ה-GDPR והגנה על זכויות נושאי המידע. מספיק. מובטח.
• 2.7 הלקוח מבטיח למעבד הנתונים כי הוא פועל בהתאם ל-GDPR, כי הוא מגן כראוי על מערכותיו ותשתיתו בכל עת וכי התוכן, השימוש ו/או העיבוד של הנתונים האישיים אינם בלתי חוקיים ואינם מפרים כל זכות. של צד שלישי.
• 2.8 קנס מינהלי שהוטל על הלקוח על ידי AP אינו ניתן להשבתה ממעבד הנתונים.

סעיף 3. אבטחה

• 3.1 מעבד הנתונים נוקט באמצעי האבטחה הטכניים והארגוניים, כמתואר בהצהרת ה-Data Pro שלו. בעת נקיטת אמצעי האבטחה הטכניים והארגוניים, מעבד הנתונים לקח בחשבון את המצב החדש, את עלויות היישום של אמצעי האבטחה, את אופי, היקפו והקשרו של העיבוד, המטרות והשימוש המיועד במוצרים ובשירותיו. , סיכוני העיבוד והסיכונים השונים בהסתברות וברצינות לזכויות וחירויות של נושאי מידע שהוא יכול לצפות להם לאור השימוש המיועד במוצריו ובשירותיו.
• 3.2 אלא אם צוין אחרת במפורש בהצהרת ה-Data Pro, המוצר או השירות של מעבד הנתונים אינם מיועדים לעבד קטגוריות מיוחדות של נתונים אישיים או נתונים הקשורים להרשעות או עבירות פליליות או למספרים אישיים שהונפקו על ידי הממשלה.
• 3.3 מעבד הנתונים שואף להבטיח שאמצעי האבטחה שינקטו על ידו מתאימים לשימוש המיועד של מעבד הנתונים במוצר או בשירות.
• 3.4 לדעת הלקוח, אמצעי האבטחה המתוארים מציעים רמת אבטחה המותאמת לסיכון של עיבוד הנתונים האישיים המשמשים או מסופקים על ידי הלקוח, תוך התחשבות בגורמים הנזכרים בסעיף 3.1.
• 3.5 מעבד הנתונים רשאי לבצע שינויים באמצעי האבטחה שננקטו אם יראה בכך צורך להמשיך ולספק רמת אבטחה מתאימה. מעבד הנתונים יתעד שינויים חשובים, למשל בהצהרה מתוקנת של Data Pro, ויודיע ללקוח על אותם שינויים במידת הצורך.
• 3.6 הלקוח יכול לבקש ממעבד הנתונים לנקוט באמצעי אבטחה נוספים. מעבד הנתונים אינו מחויב לבצע שינויים באמצעי האבטחה שלו על פי בקשה כזו. מעבד הנתונים יכול לגבות את העלויות הקשורות לשינויים שנעשו לפי בקשת הלקוח ללקוח. רק לאחר שאמצעי האבטחה המתוקנים הרצויים על ידי הלקוח הוסכמו בכתב ונחתמו על ידי הצדדים, מעבד הנתונים מחויב ליישם בפועל אמצעי אבטחה אלו.

סעיף 4. הפרת נתונים אישיים

• 4.1 מעבד הנתונים אינו מתחייב שאמצעי האבטחה יעילים בכל הנסיבות. אם מעבד הנתונים יגלה הפרה בקשר לנתונים אישיים (כמפורט בסעיף 4 תת 12 Avg), הוא יודיע ללקוח ללא דיחוי מיותר. הצהרת ה-Data Pro (תחת פרוטוקול דליפת הנתונים) מפרטת כיצד מעבד הנתונים מודיע ללקוח על הפרות בקשר לנתונים אישיים.
• 4.2 על הבקר (הלקוח, או הלקוח שלו) להעריך האם יש לדווח ל-AP או לנושא הנתונים על הפרת הנתונים האישיים שעליה הודיע ​​מעבד הנתונים. הדיווח על הפרות בקשר לנתונים אישיים, שיש לדווח ל-AP ו/או לנושאי המידע בהתאם לסעיפים 33 ו-34 GDPR, נשאר באחריות הבקר (הלקוח או הלקוח שלו) בכל עת. מעבד הנתונים אינו מחויב לדווח על הפרות מידע אישי ל-AP ו/או לנושא הנתונים.
• 4.3 מעבד הנתונים, במידת הצורך, יספק מידע נוסף על ההפרה בקשר לנתונים אישיים וישתף פעולה עם מסירת המידע הנחוצה ללקוח לצורך הודעה כמפורט בסעיפים 33 ו-34 Avg.
• 4.4 מעבד הנתונים יכול לגבות את העלויות הסבירות שייגרמו לו בהקשר זה מהלקוח לפי התעריפים החלים אז.

סעיף 5. סודיות

• 5.1 מעבד הנתונים מבטיח כי על האנשים המעבדים נתונים אישיים באחריותו חלה חובת סודיות.
• 5.2 מעבד הנתונים רשאי למסור את הנתונים האישיים לצדדים שלישיים, אם וככל שנדרש מסירה על פי החלטת בית משפט, תקנה חוקית או על בסיס צו מורשה מרשות ממשלתית.
• 5.3 כל קודי הגישה ו/או הזיהוי, האישורים, המידע לגבי מדיניות גישה ו/או סיסמאות המסופק על ידי מעבד הנתונים ללקוח וכל המידע המסופק על ידי מעבד הנתונים ללקוח המיישם את אמצעי האבטחה הטכניים והארגוניים הכלולים בהצהרת ה-Data Pro הינם חסויים. ויטופל ככזה על ידי הלקוח ויודע רק לעובדים מורשים של הלקוח. הלקוח מוודא שעובדיו עומדים בהתחייבויות לפי מאמר זה.

סעיף 6. תקופת זמן וסיום

• 6.1 הסכם מעבד זה מהווה חלק מההסכם וכל הסכם חדש או נוסף הנובע ממנו, נכנס לתוקף במועד כריתת ההסכם ומסתיים לתקופה בלתי מוגבלת.
• 6.2 הסכם מעבד זה מסתיים מכוח הדין עם סיום ההסכם או כל הסכם חדש או נוסף בין הצדדים.
• 6.3 במקרה של סיום הסכם העיבוד, מעבד הנתונים ימחק את כל הנתונים האישיים שברשותו והתקבלו מהלקוח בתוך התקופה הכלולה בהצהרת ה-Data Pro, באופן שלא ניתן יהיה להשתמש בהם יותר ולא יהיה עוד. נגיש (להפוך ללא נגיש). , או, אם הוסכם, החזר אותו ללקוח בפורמט קריא במכונה.
• 6.4 מעבד הנתונים יכול לגבות מהלקוח כל עלויות שיגרמו לו במסגרת הוראות סעיף 6.3. הסכמות נוספות בעניין זה ניתנות להצהרת Data Pro.
• 6.5 הוראות סעיף 6.3 אינן חלות אם תקנה סטטוטורית מונעת ממעבד הנתונים להסיר או להחזיר את הנתונים האישיים באופן מלא או חלקי. במקרה כזה, מעבד הנתונים ימשיך לעבד את הנתונים האישיים רק במידה הדרושה על פי התחייבויותיו המשפטיות. הוראות סעיף 6.3 אינן חלות גם אם מעבד הנתונים הוא הבקר במשמעות ה-GDPR לגבי הנתונים האישיים.

סעיף 7. זכויות של נושאי מידע, הערכת השפעה על הגנת נתונים (DPIA) וזכויות ביקורת

• 7.1 מעבד הנתונים ישתף, במידת האפשר, פעולה עם בקשות סבירות מלקוח הקשורות לזכויות של נושאי נתונים המופעלים מלקוח על ידי נושאי מידע. אם נושא המידע יפנה ישירות למעבד הנתונים, הוא יפנה אדם זה ללקוח במידת האפשר.
• 7.2 אם הלקוח יחויב לעשות זאת, מעבד הנתונים ישתף פעולה עם הערכת השפעת הגנת מידע (DPIA) או התייעצות מוקדמת לאחר מכן כמפורט בסעיפים 35 ו-36 Avg.
• 7.3 מעבד הנתונים ישתף פעולה עם בקשות הלקוח להסרת נתונים אישיים ככל שהלקוח לא יכול לבצע זאת בעצמו.
• 7.4 לבקשת הלקוח, מעבד הנתונים גם יגיש את כל המידע הנוסף הדרוש באופן סביר כדי להוכיח עמידה בהסכמים שנעשו בהסכם עיבוד זה. אם בכל זאת יש ללקוח סיבה להאמין כי עיבוד הנתונים האישיים אינו מתבצע בהתאם להסכם העיבוד, ניתן להיוועץ בו לכל היותר אחת לשנה על ידי מומחה חיצוני מוסמך בלתי תלוי, בעל ניסיון מוכח בסוג של עיבוד המתבצע על בסיס ההסכם, לבצע ביקורת על חשבון הלקוח. הביקורת תוגבל לבדיקת עמידה בהסכמים בדבר עיבוד נתונים אישיים כפי שנקבע בהסכם מעבד זה. על המומחה תחול חובת סודיות בכל הנוגע לממצאים והוא ידווח ללקוח רק את הגורם לליקוי במילוי התחייבויות שיש למעבד הנתונים לפי הסכם מעבד זה. המומחה ימסור עותק מהדוח שלו למעבד הנתונים. מעבד הנתונים רשאי לסרב לביקורת או הוראה מהמומחה אם, לדעתו, הדבר מפר את ה-GDPR או חקיקה אחרת או מהווה הפרה בלתי מותרת של אמצעי האבטחה שנקט.
• 7.5 הצדדים יתייעצו בהקדם האפשרי לגבי תוצאות הדיווח. הצדדים יפעלו בהתאם לצעדי השיפור המוצעים שנקבעו בדוח ככל שניתן לצפות מהם באופן סביר. מעבד הנתונים יישם את צעדי השיפור המוצעים במידה שהם מתאימים לדעתו, תוך התחשבות בסיכוני העיבוד הכרוכים במוצר או בשירות שלו, בטכנולוגיה המתקדמת, בעלויות היישום, בשוק בו הוא פועל, וכן השימוש המיועד של המוצר או השירות. השירות.
• 7.6 למעבד הנתונים הזכות לגבות מהלקוח את העלויות שייגרמו לו במסגרת הוראות מאמר זה.

סעיף 8. מעבדי משנה

• 8.1 מעבד הנתונים ציין בהצהרת ה-Data Pro האם, ואם כן אילו צדדים שלישיים (מעבדי משנה או מעבדי משנה) מעבד הנתונים עוסק בעיבוד הנתונים האישיים.
• 8.2 הלקוח נותן רשות למעבד הנתונים להעסיק מעבדי משנה אחרים לביצוע התחייבויותיו הנובעות מההסכם.
• 8.3 מעבד הנתונים יודיע ללקוח על שינוי בצדדים השלישיים המועסקים על ידי מעבד הנתונים, למשל באמצעות הצהרת Data Pro מתוקנת. ללקוח הזכות להתנגד לשינוי האמור על ידי מעבד הנתונים. מעבד הנתונים מבטיח שהצדדים השלישיים המועסקים על ידו מתחייבים לאותה רמת אבטחה בכל הנוגע להגנה על נתונים אישיים כמו רמת האבטחה אליה מחויב מעבד הנתונים כלפי הלקוח על בסיס הצהרת ה-Data Pro.

סעיף 9. אחר

סעיפי עיבוד סטנדרטיים אלה, יחד עם הצהרת Data Pro, מהווים חלק בלתי נפרד מההסכם. כל הזכויות והחובות על פי ההסכם, לרבות התנאים הכלליים החלים ו/או מגבלות האחריות, חלות אפוא גם על הסכם העיבוד.