加工契約

はじめに

Autosoft BVは、とりわけ、顧客のために、および顧客に代わって個人データを処理します。 したがって、Autosoft BVとお客様は、一般データ保護規則（GDPR）に基づいてプロセッサー契約を締結する義務があります。 GDPRによると、Autosoft BVは「プロセッサー」であり、顧客は「コントローラー」です。 このプロセッサ契約では、AutosoftBVがデータ侵害の通知義務をどのように処理するかも説明しています。

加工契約

からなる：
パート1：データプロステートメント
パート2：標準処理条項

パート1：データプロステートメント

一般的な情報

1）。 このDataProステートメントは、次のデータプロセッサ（プロセッサ）によって作成されました。

• Autosoft BV
  ヘンゲローゼ通り 547
  7521AGエンスヘーデ

このDataProステートメントまたはデータ保護に関する質問については、以下にお問い合わせください。
Arthur van der Lek：arthur@autosoft.eu / +31（0）53 – 428 00 98

2）。 このデータプロステートメントは、1年2021月XNUMX日から適用されます
当社は、このData Proステートメントとそこに記載されているセキュリティ対策を定期的に調整して、データ保護に関して常に準備が整っており、最新の状態になっていることを確認します。 通常のチャネルを通じて、新しいバージョンをお知らせします。

3）。 このDataProステートメントは、次のデータプロセッサ製品およびサービスに適用されます

• 自動ウェブサイト
• オートコマース

4）。 説明車のウェブサイト
自動車会社はAutowebsiteを使用しています。 Autowebsiteを使用すると、自動車会社はインターネット上で自分自身を提示できます。

5）。 使用目的車のウェブサイト
Autowebsiteは、次の種類のデータを処理するように設計および装備されています。
AutosoftがAutowebsiteを使用して開発したWebサイトへの訪問者は、連絡先の詳細をそこに残すことができるため、自動車会社は訪問者にさらなるサービスを求める機会があります。 これらの連絡先の詳細はAutosoftには保存されませんが、電子メールを介して自動車会社の電子メールアドレスに直接転送されます。

• このサービスでは、特別な個人データ、または犯罪の有罪判決や犯罪に関連するデータ、または政府発行の個人番号の処理は考慮されていません。

6）。 説明オートコマース
自動車会社はオートコマースを使用しています。 Autocommerceを使用すると、自動車会社は自社のWebサイトやサードパーティのインターネット検索ポータルで車両を管理および提示できます。

7）。 使用目的オートコマース
Autocommerceは、次のタイプのデータを処理するように設計および装備されています。
自動車会社は、Autocommerceを介して登録済みの車両を自社の自動車Webサイトに配置できます。 これらの登録車両には、いかなる形式の個人データまでさかのぼることができるデータは含まれていません。 車のWebサイトへの訪問者は、連絡先の詳細をそこに残すことができます。これにより、自動車会社は、訪問者にさらにサービスを提供する機会を得ることができます。 訪問者が自分のAutoWebサイトに残した連絡先の詳細は、Autocommerceに保存されます。

• このサービスでは、特別な個人データ、または犯罪の有罪判決や犯罪に関連するデータ、または政府発行の個人番号の処理は考慮されていません。

8）。 データプロセッサは、AutowebsiteおよびAutocommerceの処理に標準条項を使用します。これは、契約の付録として見つけることができます。

9）。 データプロセッサは、AutowebsiteおよびAutocommerceのEU / EEA内のクライアントの個人データを処理します。

10）。 データプロセッサは、オートコマースに次のサブプロセッサを使用します。
場合によっては、Autosoftは、登録された車両をAutocommerceを介して、自動車会社に代わってサードパーティまたはサブプロセッサのインターネット検索ポータルに送信します。 サブプロセッサのリストは、support @ autosoft.euでリクエストに応じて入手できます。

11）。 クライアントとの契約の終了後、データ処理者は原則として、クライアントのために処理する個人データを3か月以内に削除し、使用できなくなり、アクセスできなくなります（レンダリングにアクセスできなくなります）。

セキュリティポリシー

データプロセッサが製品またはサービスを保護するために講じた次のセキュリティ対策を要約します。

インシデント管理と対応ポリシー
情報セキュリティの分野におけるインシデント管理および対応ポリシーには、コンピューターまたはITインフラストラクチャーでのセキュリティインシデントの監視と検出だけでなく、担当者による疑わしいアクティビティの監視、およびこれらのイベントへの正しい対応の実装が含まれます。

このポリシーの主な目標は、悪意のあるイベントやコンピューターへの侵入に対して、最も広い意味で理解され、予測可能な応答を開発することです。

インシデント管理および対応ポリシーは、コンピューター、ネットワーク、情報システム、およびそこに保存されている情報を管理および保護するプロセスです。 Autosoftは、顧客とサプライチェーンパートナーの利益のためにこの情報を保護することに関して、その責任を認識しています。 この責任は、インシデント手続きの実施にまで及びます。 インシデント管理は、組織が自身の幸福と公衆の安全を促進するために使用できるプロセスを定義および実装する一連のアクティビティです。

ITとセキュリティ
Autosoft BVのICT構造はファイアウォールで適切に保護されており、ウイルススキャンソフトウェアは最新の状態に保たれています。 すべての従業員にはログインプロファイルがあります。 コンピュータを起動するとき、従業員はログイン名とパスワードを入力する必要があり、可能な場合は2段階認証を使用する必要があります。

特定のソフトウェアは、ログイン名とパスワードを要求し、可能な場合は2段階認証を要求します。 不審なメールを開かない、不審なリンクをクリックしない、長時間職場を離れる際にログアウトするなど、従業員の安全への意識が高まります。

ファイルは、日中および毎晩バックアップされます。 セキュリティ上の理由から、バックアップを取り巻くさらなる保管手順は機密扱いです。 Autosoft BVは、このためのサービス契約をコンピューターサプライヤーおよびインターネットホスティングプロバイダーと締結しました。

データ保護ポリシー
Autosoft BVは、お客様の個人データを損失またはあらゆる形態の違法な処理から保護するために、適切な技術的および組織的対策を講じています。 これらの技術的および組織的対策は、GDPRの第1条の意味の範囲内で適切なセキュリティレベルと見なされ、Autosoft BVの中央Basecamp（プロジェクト：組織/データ保護ポリシー）にドキュメントとして保存されます

技術的および組織的

1. 許可された担当者のみが処理者契約のコンテキストで処理された個人データにアクセスできるようにするための措置。
2. 特に偶発的または違法な破壊、紛失、偶発的な改ざん、許可されていないまたは違法な保管、アクセスまたは開示から個人データを保護するための措置。
3. 特に、データ交換/転送中の偶発的または違法な破壊、紛失、偶発的な改ざん、許可されていないまたは違法な保管、アクセスまたは開示から個人データを保護するための措置。
4. 編集システムおよびサービスの機密性、完全性、可用性、および回復力を継続的に確保する能力を確保するための措置。
5. 物理的または技術的な事故が発生した場合に、タイムリーに個人データの可用性とアクセスを回復するための措置。
6. 契約に基づくサービスの提供に使用されるシステムにおける個人データの処理に関する脆弱性を特定するための措置。

次のような組織：

• 特定の個人データにアクセスできる職員の輪を、職務の遂行のためにデータを必要とする人に限定する。
• これらの人に、職務の遂行に必要な個人データのみへのアクセスを許可する。
• 個人データへのアクセスが許可されるすべての人との守秘義務条項と罰則条項に同意する。
• 閉鎖された空間のサーバーに個人データを保存する。
• 紙のファイルをロック可能なキャビネットに保管する。
• 従業員の間に情報セキュリティ意識を高める。
• 情報セキュリティインシデントとセキュリティ脆弱性をタイムリーかつ効果的に処理するための明確なプロトコルと手順を確立する。

データプロセッサは、組織の作業方法に適合する独自の方法論と管理手順を使用します。

• Basecamp内では、関連するドキュメントが管理され、定期的に評価されます。

データ侵害プロトコル

何か問題が発生した場合、データプロセッサは次のデータ漏洩プロトコルを使用して、クライアントがインシデントを認識していることを確認します。

Autosoft BV –データ侵害の手順

データ侵害とは何ですか？いつAPに報告する必要がありますか？
データ侵害とは、次のような（ただし網羅的ではない）損失または違法な処理にさらされることによる個人データのセキュリティの侵害を伴う情報セキュリティインシデントです。

• 個人データの調整および/または変更、およびこの個人データへの不正アクセス。
• ハッカーによる侵入の場合;
• USBスティックの紛失、ノートパソコンの盗難。
• 機密データを間違ったメールアドレスに送信する。

法律によると、「重大な」データ侵害は、過度の遅延なしに、可能であれば発見後72時間以内に、オランダのデータ保護機関に報告する必要があります。

Autosoft BVは、個々の自然人の実際の識別が合理的に除外されている場合、オランダのデータ保護機関に報告する必要はありません。
情報セキュリティインシデントのすべての疑惑は、最初に対処されます support@autosoft.eu 報告および登録。 サポートはインシデントを管理チームに報告し、どのようなフォローアップアクションを実行する必要があるかを決定します。

フォローアップ手順

データ主体にいつ通知する必要がありますか？
情報漏えいが発生した場合、その情報漏えいが彼/彼女の私生活に悪影響を与えるリスクが高い場合は、データ漏えいをデータ主体に報告する必要があります。 データ主体への不利な結果は次のとおりです。彼の評判と評判への損害、個人情報詐欺または差別。 Autosoft BVが適切な技術的保護措置を講じた結果、関連する個人データが理解できない、またはアクセスできなくなった場合、データ主体への通知は必要ありません。 データ主体への通知には、個人データ侵害の性質についての明確でわかりやすい言葉による説明が含まれている必要があります。

• より多くの情報を入手できるデータ保護責任者またはその他の連絡先の名前と連絡先の詳細。
• 個人データ侵害の起こりうる結果。
• 個人データ侵害に対処するために管理者によって提案または講じられた措置。これには、適切な場合、その悪影響を軽減するための措置が含まれます。 データ侵害をオランダのデータ保護機関および/または影響を受ける人物に報告する必要があるかどうかの評価は、常にAutosoftBVに任されています。 インシデントを報告する必要があるかどうかを判断するために、オランダのデータ保護局はポリシールール（https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015）を作成しました。 GDPRの報告義務について公開された欧州監督者ガイドラインのワーキンググループ29。 Autosoft BVがデータ侵害を報告していない場合、オランダのデータ保護局はAutosoftBVが引き続き報告することを要求する場合があります。 報告を怠った場合、行政罰金が科せられます。

データ侵害を報告するにはどうすればよいですか？
オランダのデータ保護局は、データ侵害の報告に使用する必要のあるWebフォームを利用できるようにしています（https://dataleks.autoriteitpersoonsgegevens.nl/）。 オランダのデータ保護局は、受信したデータ侵害通知の記録を保持しています。 このレジスターは公開されていません。 データ侵害の結果としてオランダのデータ保護局から罰金が科せられた場合、この決定は公表されます。 データ漏えいについてデータ主体に通知する必要がある場合も、データ漏えいが公開されます。 データ主体への通知は、いかなる場合でも、侵害の性質と、データ主体が侵害に関する詳細情報を入手できる当局を示さなければなりません。 また、データ侵害の悪影響を制限するためにデータ主体が自分で何ができるかについても述べる必要があります。 たとえば、違反によって侵害された可能性がある場合にユーザー名とパスワードを変更します。

何を報告すればよいですか？
オランダのデータ保護機関への通知には、次のものが含まれます。

• データ漏えいの記者。
• オランダのデータ保護機関がレポートの詳細について連絡できる人。
• 個人情報のセキュリティ侵害が発生した事件の概要。
• 侵害の時。
• 侵害の性質。
• 関連する個人データの種類。
• 侵害が関係者のプライバシーに与える可能性のある結果。
• Autosoft BVが侵害に取り組み、さらなる侵害を防ぐために取った技術的および組織的対策。
• Autosoft BVがデータ侵害をデータ主体に報告したかどうか、報告していない場合は、AutosoftBVがこれを行うつもりかどうか。
• もしそうなら、データ主体への通知の内容。
• そうでない場合、AutosoftBVがデータ侵害をデータ主体に報告することを控える理由。
• 個人データは暗号化、ハッシュ化、またはその他の方法で、許可されていない人が理解できない、またはアクセスできないようになっていますか？

パート2：標準処理条項

バージョン：2019年XNUMX月
Data Proステートメントとともに、処理契約を形成し、契約の付録および該当する一般条件などの付随する付録です。

第1条定義

以下の用語は、処理に関するこれらの標準条項、Data Proステートメント、および契約において次の意味を持ちます。

• 1.1オランダのデータ保護機関（AP）： 平均の第4条、サブ21に記載されている監督当局。
• 1.2 AVG： 一般データ保護規則。
• 1.3データプロセッサ： ICTサプライヤーとして、契約の履行に関連してクラ​​イアントの利益のために個人データを処理する当事者。
• 1.4データプロステートメント： 製品またはサービスの使用目的、講じられたセキュリティ対策、サブプロセッサ、データ漏洩、認証、およびデータ主体の権利の取り扱いに関する情報を提供するデータプロセッサの声明。
• 1.5データ主体（データ主体）： 識別された、または識別可能な自然人。
• 1.6クライアント： データ処理者が個人データを処理する当事者。 クライアントは、コントローラー（「コントローラー」）または別のプロセッサーのいずれかです。
• 1.7合意： クライアントとデータプロセッサ間の契約。これに基づいて、ICTサプライヤはクライアントにサービスや製品を提供します。この契約の一部はプロセッサ契約です。
• 1.8個人データ：第4条、サブ1 AVGに記載されている、特定された、または特定可能な自然人に関するすべての情報。データ処理者は、本契約から生じる義務の履行に関連して処理します。
• 1.9処理契約：これらの処理に関する標準条項は、データ処理者からのデータプロステートメント（または同等の情報）とともに、GDPRの第28条第3項で言及されている処理契約を形成します。

第2条一般

• 2.1 これらの標準処理条項は、データプロセッサがその製品およびサービスの提供に関連して行う個人データのすべての処理、およびすべての契約および提供に適用されます。 クライアントの処理契約の適用は明示的に拒否されます。
• 2.2 データプロステートメント、特にそこに含まれるセキュリティ対策は、状況の変化を反映するために、データプロセッサによって随時修正される場合があります。 データプロセッサは、重要な変更をクライアントに通知します。 クライアントが調整に合理的に同意できない場合、クライアントは調整の通知から30日以内に書面で処理契約を終了する権利があります。
• 2.3 データ処理者は、データ処理者と合意したクライアントの書面による指示に従って、クライアントに代わって、およびクライアントに代わって個人データを処理します。
• 2.4 クライアントまたはその顧客は、GDPRの意味での管理者であり、個人データの処理を管理し、個人データを処理する目的と手段を決定します。
• 2.5 データ処理者はGDPRの意味の範囲内の処理者であり、したがって個人データを処理する目的と手段を制御することはできず、したがって、とりわけ個人データの使用について決定を下すことはありません。
• 2.6 データプロセッサは、これらの処理に関する標準条項、データプロステートメント、および契約に規定されているGDPRを実装します。 この情報に基づいて、データ処理者が適切な技術的および組織的措置の適用に関して十分な保証を提供し、処理がGDPRの要件およびデータ主体の権利の保護を満たすかどうかを評価するのは、クライアントの責任です。十分です。保証されています。
• 2.7 クライアントは、GDPRに従って動作し、システムとインフラストラクチャを常に適切に保護し、個人データのコンテンツ、使用、および/または処理が違法ではなく、いかなる権利も侵害しないことをデータ処理者に保証しますサードパーティの。
• 2.8 APによってクライアントに課せられた管理上の罰金は、データプロセッサから回復することはできません。

第3条セキュリティ

• 3.1 データプロセッサは、データプロステートメントに記載されているように、技術的および組織的なセキュリティ対策を講じています。 データプロセッサは、技術的および組織的なセキュリティ対策を講じる際に、最新技術、セキュリティ対策の実装コスト、処理の性質、範囲、コンテキスト、製品およびサービスの目的と使用目的を考慮に入れています。 、処理リスクと、データ主体の権利と自由に対する確率と重大度が異なるリスクであり、彼の製品とサービスの使用目的に照らして期待できるものです。
• 3.2 Data Proステートメントで特に明記されていない限り、Data Processorの製品またはサービスは、特別なカテゴリの個人データ、または刑事上の有罪判決や犯罪、または政府発行の個人番号に関するデータを処理するようには設計されていません。
• 3.3 データプロセッサは、データプロセッサが講じるセキュリティ対策が、データプロセッサによる製品またはサービスの使用目的に適していることを確認するよう努めています。
• 3.4 クライアントの意見では、説明されているセキュリティ対策は、第3.1条で言及されている要因を考慮して、クライアントによって使用または提供される個人データの処理のリスクに合わせたレベルのセキュリティを提供します。
• 3.5 データ処理者は、適切なレベルのセキュリティを提供し続けるために必要であると判断した場合、講じられたセキュリティ対策を変更する場合があります。 データプロセッサは、たとえば修正されたData Proステートメントに重要な変更を記録し、関連する場合はそれらの変更をクライアントに通知します。
• 3.6 クライアントは、データプロセッサにさらにセキュリティ対策を講じるように要求できます。 データ処理者は、そのような要求に応じてセキュリティ対策を変更する義務を負いません。 データプロセッサは、クライアントからクライアントへの要求に応じて行われた変更に関連する費用を請求することができます。 クライアントが希望する修正されたセキュリティ対策が書面で合意され、当事者によって署名された後にのみ、データ処理者はこれらのセキュリティ対策を実際に実施する義務があります。

第4条個人データ侵害

• 4.1 データプロセッサは、セキュリティ対策がすべての状況で有効であることを保証するものではありません。 データ処理者が個人データに関連する違反を発見した場合（第4条サブ12平均で言及）、過度の遅延なしにクライアントに通知します。 データプロステートメント（データリークプロトコルに基づく）は、データプロセッサが個人データに関連する侵害についてクライアントに通知する方法を示しています。
• 4.2 データ処理者が通知した個人データの侵害をAPまたはデータ主体に報告する必要があるかどうかを評価するのは、管理者（クライアントまたはその顧客）の責任です。 GDPR第33条および第34条に従ってAPおよび/またはデータ主体に報告する必要がある個人データに関連する違反の報告は、常に管理者（クライアントまたはその顧客）の責任です。 データ処理者は、個人データの侵害をAPおよび/またはデータ主体に報告する義務を負いません。
• 4.3 データ処理者は、必要に応じて、個人データに関連する違反に関する詳細情報を提供し、平均第33条および第34条に記載されている通知の目的で、クライアントへの必要な情報提供に協力します。
• 4.4 データプロセッサは、このコンテキストで発生する合理的なコストを、その時点で適用可能なレートでクライアントに請求できます。

第5条守秘義務

• 5.1 データ処理者は、その責任の下で個人データを処理する人が機密保持の義務を負うことを保証します。
• 5.2 データ処理者は、裁判所の決定、法的規制、または政府当局からの許可された命令に基づいて提供が必要な場合に限り、個人データを第三者に提供する権利を有します。
• 5.3 データプロセッサからクライアントに提供されるすべてのアクセスおよび/または識別コード、証明書、アクセスおよび/またはパスワードポリシーに関する情報、およびデータプロステートメントに含まれる技術的および組織的なセキュリティ対策を実装するデータプロセッサからクライアントに提供されるすべての情報は機密情報です。そして、クライアントによってそのように扱われ、クライアントの許可された従業員にのみ通知されます。 クライアントは、その従業員がこの条項に基づく義務を遵守することを保証します。

第6条。期間と終了

• 6.1 この処理者契約は、契約の一部を形成し、それから生じる新しい契約または追加の契約は、契約の締結時に発効し、無期限に締結されます。
• 6.2 この処理者契約は、契約の終了時、または当事者間の新規またはさらなる契約の終了時に法律が施行されることにより終了します。
• 6.3 処理契約が終了した場合、データプロセッサは、Data Proステートメントに含まれる期間内に所有し、クライアントから受け取ったすべての個人データを、使用できなくなり、使用できなくなるように削除します。アクセス可能（アクセス不能にレンダリング）、または同意された場合は、機械可読形式でクライアントに返します。
• 6.4 データ処理者は、第6.3条の規定に関連して発生した費用をクライアントに請求することができます。 これに関するさらなる合意は、DataProステートメントに記載されています。
• 6.5 法定規則により、データ処理者が個人データを完全にまたは部分的に削除または返却することが禁止されている場合、第6.3条の規定は適用されません。 このような場合、データ処理者は、法的義務の下で必要な範囲でのみ個人データを処理し続けます。 データ処理者が個人データに関するGDPRの意味の範囲内で管理者である場合も、第6.3条の規定は適用されません。

第7条データ主体の権利、データ保護影響評価（DPIA）および監査権

• 7.1 データ処理者は、可能な場合、データ主体によってクライアントから呼び出されたデータ主体の権利に関連するクライアントからの合理的な要求に協力します。 データ処理者がデータ主体から直接アプローチされた場合、可能であれば、彼はこの人物をクライアントに紹介します。
• 7.2 クライアントがそうする義務がある場合、データ処理者は、データ保護影響評価（DPIA）または、平均第35条および第36条に記載されているその後の事前協議に協力します。
• 7.3 データ処理者は、クライアントがそれ自体を実行できない限り、個人データの削除を求めるクライアントからの要求に協力します。
• 7.4 クライアントの要求に応じて、データプロセッサは、この処理契約で締結された契約への準拠を実証するために合理的に必要なすべての追加情報も利用できるようにします。 それにもかかわらず、クライアントが個人データの処理が処理契約に従って行われないと信じる理由がある場合は、そのタイプの実証可能な経験を持つ独立した認定された外部の専門家が最大で年にXNUMX回相談することができます契約に基づいて実行される処理。、クライアントの費用負担で監査を実行します。 監査は、本処理者契約に定められた個人データの処理に関する契約の遵守を確認することに限定されます。 専門家は、彼が見つけたものに関して守秘義務を負い、データ処理者がこの処理者契約の下で持つ義務の履行に欠陥をもたらすことのみをクライアントに報告します。 専門家は、レポートのコピーをデータプロセッサに提供します。 データ処理者は、GDPRまたはその他の法律に違反している、または実施したセキュリティ対策の容認できない違反を構成していると判断した場合、専門家からの監査または指示を拒否することがあります。
• 7.5 当事者は、報告の結果についてできるだけ早く協議します。 両当事者は、合理的に期待できる限り、報告書に記載されている提案された改善措置に従います。 データ処理者は、提案された改善策を、その製品またはサービスに関連する処理リスク、最新技術、実施コスト、事業を行う市場、および製品またはサービスの使用目的。サービス。
• 7.6 データ処理者は、この記事の規定に関連して発生した費用をクライアントに請求する権利を有します。

第8条サブプロセッサー

• 8.1 データ処理者は、データプロステートメントで、データ処理者が個人データの処理に従事するかどうか、またその場合はどの第三者（サブプロセッサまたはサブプロセッサ）が関与するかを述べています。
• 8.2 クライアントは、データプロセッサに、契約から生じる義務を実行するために他のサブプロセッサを関与させる許可を与えます。
• 8.3 データ処理者は、たとえば修正されたデータプロステートメントによって、データ処理者が関与する第三者の変更についてクライアントに通知します。 クライアントは、データプロセッサによる前述の変更に異議を唱える権利を有します。 データプロセッサは、データプロセッサが関与する第三者が、個人データの保護に関して、データプロステートメントに基づいてデータプロセッサがクライアントにバインドされているセキュリティレベルと同じセキュリティレベルにコミットすることを保証します。

第9条その他

これらの標準処理条項は、Data Proステートメントとともに、契約の不可欠な部分を形成します。 したがって、適用される一般条件および/または責任の制限を含む、契約に基づくすべての権利と義務は、処理契約にも適用されます。