პროცესორის ხელშეკრულება

შესავალი

Autosoft BV ამუშავებს, სხვა საკითხებთან ერთად, პერსონალურ მონაცემებს მომხმარებლისთვის და მისი სახელით. ამიტომ Autosoft BV და მომხმარებელი ვალდებულნი არიან მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) მიხედვით დადონ პროცესორის ხელშეკრულება. GDPR-ის მიხედვით, Autosoft BV არის "პროცესორი", ხოლო მომხმარებელი არის "კონტროლერი". ეს პროცესორის შეთანხმება ასევე აღწერს, თუ როგორ ახორციელებს Autosoft BV მონაცემთა დარღვევის შეტყობინების ვალდებულებას.

პროცესორის ხელშეკრულება

Შედგება:
ნაწილი 1: მონაცემთა პრო განცხადება
ნაწილი 2: სტანდარტული დამუშავების პუნქტები

ნაწილი 1: მონაცემთა პრო განცხადება

ზოგადი ინფორმაცია

1). ეს მონაცემთა პრო განცხადება შედგენილია შემდეგი მონაცემთა დამმუშავებლის (პროცესორის) მიერ:

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

ამ მონაცემთა პრო განაცხადის ან მონაცემთა დაცვის შესახებ კითხვებისთვის, გთხოვთ, დაუკავშირდეთ:
არტურ ვან დერ ლეკი: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). ეს Data Pro განცხადება ვრცელდება 1 წლის 2021 აგვისტოდან
ჩვენ რეგულარულად ვასწორებთ ამ მონაცემთა პრო განცხადებას და მასში აღწერილ უსაფრთხოების ზომებს, რათა უზრუნველყოფილი ვიყოთ ყოველთვის მომზადებული და განახლებული მონაცემთა დაცვასთან დაკავშირებით. ჩვენ გაცნობებთ ახალ ვერსიებს ჩვენი ჩვეულებრივი არხებით.

3). ეს Data Pro განცხადება ვრცელდება მონაცემთა დამმუშავებლის შემდეგ პროდუქტებსა და სერვისებზე

• ავტოსაიტი
• ავტოკომერცია

4). აღწერა მანქანის ვებსაიტი
ავტომობილების კომპანიები იყენებენ Autowebsite-ს. Autowebsite-ის საშუალებით მანქანის კომპანიებს შეუძლიათ საკუთარი თავის ინტერნეტში წარმოჩენა.

5). განკუთვნილი მანქანის ვებსაიტი
Autowebsite შექმნილია და აღჭურვილია შემდეგი ტიპის მონაცემების დასამუშავებლად:
Autosoft-ის მიერ Autowebsite-ით შემუშავებული ვებსაიტების ვიზიტორებს აქვთ შესაძლებლობა დატოვონ იქ თავიანთი საკონტაქტო ინფორმაცია, რათა ავტომობილების კომპანიას ჰქონდეს შესაძლებლობა დაუკავშირდეს ვიზიტორს შემდგომი სერვისებისთვის. ეს საკონტაქტო ინფორმაცია არ ინახება Autosoft-თან, მაგრამ გადაგზავნილია უშუალოდ ელექტრონული ფოსტით მანქანის კომპანიის ელფოსტის მისამართზე.

• ეს სერვისი არ ითვალისწინებს სპეციალური პერსონალური მონაცემების დამუშავებას, ან სისხლის სამართლის მსჯავრდებულებსა და დანაშაულებებთან დაკავშირებულ მონაცემებს ან სახელმწიფოს მიერ გაცემულ პირად ნომრებს.

6). აღწერა ავტოკომერცია
მანქანის კომპანიები იყენებენ ავტოკომერციას. ავტოკომერციით, ავტომობილების კომპანიებს შეუძლიათ მართონ და წარმოადგინონ თავიანთი მანქანები საკუთარ ვებსაიტზე და მესამე მხარის ინტერნეტ საძიებო პორტალებზე.

7). განკუთვნილია ავტოკომერციის გამოყენება
ავტოკომერცია შექმნილია და დაყენებულია შემდეგი ტიპის მონაცემების დასამუშავებლად:
ავტოკომპანიებს შეუძლიათ თავიანთი რეგისტრირებული მანქანები განათავსონ Autocommerce-ის საშუალებით საკუთარ Car-ის ვებსაიტზე. ეს რეგისტრირებული სატრანსპორტო საშუალებები არ შეიცავს რაიმე მონაცემს, რომლის მიკვლევაც შესაძლებელია პერსონალურ მონაცემებზე ნებისმიერი ფორმით. Car-ის ვებსაიტის ვიზიტორებს აქვთ შესაძლებლობა დატოვონ იქ თავიანთი საკონტაქტო ინფორმაცია, რათა ავტოკომპანიას ჰქონდეს შესაძლებლობა დაუკავშირდეს ვიზიტორს შემდგომი სერვისებისთვის. ვიზიტორის მიერ საკუთარ Auto ვებსაიტზე დატოვებული საკონტაქტო ინფორმაცია ინახება Autocommerce-ში.

• ეს სერვისი არ ითვალისწინებს სპეციალური პერსონალური მონაცემების დამუშავებას, ან სისხლის სამართლის მსჯავრდებულებსა და დანაშაულებებთან დაკავშირებულ მონაცემებს ან სახელმწიფოს მიერ გაცემულ პირად ნომრებს.

8). მონაცემთა დამმუშავებელი იყენებს სტანდარტულ პუნქტებს Autowebsite-ისა და Autocommerce-ისთვის დასამუშავებლად, რომელიც შეგიძლიათ იხილოთ ხელშეკრულების დანართის სახით.

9). მონაცემთა დამმუშავებელი ამუშავებს თავისი კლიენტების პერსონალურ მონაცემებს EU/EEA-ში ავტოსაიტებისა და ავტოკომერციისთვის.

10). მონაცემთა დამმუშავებელი იყენებს შემდეგ ქვეპროცესორებს ავტოკომერციისთვის:
ზოგიერთ შემთხვევაში Autosoft აგზავნის თავის რეგისტრირებულ მანქანებს Autocommerce-ის საშუალებით მესამე მხარის ან ქვეპროცესორების ინტერნეტ საძიებო პორტალებზე მანქანის კომპანიის სახელით. ქვეპროცესორების სია ხელმისაწვდომია მოთხოვნით მისამართზე support@autosoft.eu.

11). კლიენტთან ხელშეკრულების შეწყვეტის შემდეგ, მონაცემთა დამმუშავებელი პრინციპში წაშლის პერსონალურ მონაცემებს, რომლებსაც ამუშავებს კლიენტისთვის 3 თვის განმავლობაში ისე, რომ მათი გამოყენება აღარ იყოს შესაძლებელი და აღარ იყოს ხელმისაწვდომი (მიუწვდომელი გახდება).

Დაცვის პოლიცია

შეაჯამეთ უსაფრთხოების შემდეგი ზომები, რომლებიც მონაცემთა დამმუშავებელმა მიიღო თავისი პროდუქტის ან სერვისის დასაცავად:

ინციდენტების მართვისა და რეაგირების პოლიტიკა
ინციდენტების მართვა და რეაგირების პოლიტიკა ინფორმაციული უსაფრთხოების სფეროში მოიცავს კომპიუტერის ან IT ინფრასტრუქტურის უსაფრთხოების ინციდენტების მონიტორინგს და გამოვლენას, მაგრამ ასევე პერსონალის მიერ საეჭვო აქტივობებზე დაკვირვებას და ამ მოვლენებზე სწორი რეაგირების განხორციელებას.

ამ პოლიტიკის უპირველესი მიზანია შექმნას კარგად გააზრებული და პროგნოზირებადი პასუხი მავნე მოვლენებზე და კომპიუტერულ შეჭრაზე ამ სიტყვის ფართო გაგებით.

ინციდენტების მართვისა და რეაგირების პოლიტიკა არის კომპიუტერების, ქსელების და საინფორმაციო სისტემების და მათში შენახული ინფორმაციის მართვისა და დაცვის პროცესი. Autosoft-მა იცის თავისი პასუხისმგებლობები, როდესაც საქმე ეხება ამ ინფორმაციის დაცვას მისი მომხმარებლებისა და მიწოდების ქსელის პარტნიორების სასარგებლოდ. ეს პასუხისმგებლობა ვრცელდება ინციდენტის პროცედურის ჩატარებაზე. ინციდენტების მართვა არის აქტივობების ერთობლიობა, რომელიც განსაზღვრავს და ახორციელებს პროცესს, რომელიც ორგანიზაციას შეუძლია გამოიყენოს საკუთარი კეთილდღეობისა და საზოგადოების უსაფრთხოების ხელშეწყობისთვის.

IT და უსაფრთხოება
Autosoft BV-ის ICT სტრუქტურა ადეკვატურად არის დაცული firewall-ით და ვირუსების სკანირების პროგრამული უზრუნველყოფა განახლებულია. ყველა თანამშრომელს აქვს შესვლის პროფილი. კომპიუტერის ჩართვისას, თანამშრომლებმა უნდა შეიყვანონ შესვლის სახელი და პაროლი და, სადაც ეს შესაძლებელია, 2-საფეხურიანი ავთენტიფიკაციით.

გარკვეული პროგრამული უზრუნველყოფა ასევე ითხოვს შესვლის სახელს და პაროლს და, სადაც ეს შესაძლებელია, 2-საფეხურიანი ავთენტიფიკაციით. თანამშრომლებს შორის უსაფრთხოდ მუშაობის შესახებ ინფორმირებულობის სტიმულირება ხდება, მაგალითად, ყურადღების მიქცევა საეჭვო ელ.წერილების არ გახსნაზე, საეჭვო ბმულებზე დაწკაპუნებაზე, სამუშაო ადგილიდან დიდი ხნით გასვლისას გამოსვლაზე და ა.შ.

ფაილების სარეზერვო ასლები ინახება დღის განმავლობაში და ყოველ ღამე. უსაფრთხოების მიზეზების გამო, სარეზერვო ასლის ირგვლივ შემდგომი შენახვის პროცედურა კონფიდენციალურია. Autosoft BV-მ გააფორმა მომსახურების კონტრაქტები კომპიუტერების მომწოდებლებთან და ინტერნეტ ჰოსტინგის პროვაიდერებთან.

მონაცემთა დაცვის პოლიტიკა
Autosoft BV იღებს შესაბამის ტექნიკურ და ორგანიზაციულ ზომებს, რათა დაიცვას მომხმარებლის პერსონალური მონაცემები დაკარგვისგან ან უკანონო დამუშავებისგან. ეს ტექნიკური და ორგანიზაციული ზომები განიხილება, როგორც უსაფრთხოების შესაბამის დონედ GDPR-ის 1-ლი მუხლის მნიშვნელობით და ინახება როგორც დოკუმენტები Autosoft BV-ის ცენტრალურ Basecamp-ში (პროექტი: ორგანიზაცია / მონაცემთა დაცვის პოლიტიკა).

ტექნიკური და ორგანიზაციული

1. ზომები იმის უზრუნველსაყოფად, რომ დამმუშავებლის ხელშეკრულების კონტექსტში დამუშავებულ პერსონალურ მონაცემებზე წვდომა მხოლოდ უფლებამოსილ პერსონალს ექნება;
2. ზომები პერსონალური მონაცემების დასაცავად, კერძოდ, შემთხვევითი ან უკანონო განადგურებისაგან, დაკარგვისგან, შემთხვევითი ცვლილებისგან, არაავტორიზებული ან უკანონო შენახვა, წვდომა ან გამჟღავნება;
3. ზომები პერსონალური მონაცემების დასაცავად, კერძოდ, შემთხვევითი ან უკანონო განადგურებისაგან, დაკარგვისგან, შემთხვევითი ცვლილებისგან, არაავტორიზებული ან უკანონო შენახვა, წვდომა ან გამჟღავნება მონაცემთა გაცვლის/ტრანსპორტის დროს;
4. ზომები, რომლებიც უზრუნველყოფენ რედაქტირების სისტემებისა და სერვისების კონფიდენციალურობის, მთლიანობის, ხელმისაწვდომობისა და მდგრადობის უზრუნველსაყოფად მუდმივ საფუძველზე;
5. ფიზიკური ან ტექნიკური ინციდენტის შემთხვევაში პერსონალურ მონაცემებზე ხელმისაწვდომობისა და ხელმისაწვდომობის დროულად აღდგენის ღონისძიებები;
6. ზომები პერსონალური მონაცემების დამუშავებასთან დაკავშირებულ მოწყვლადობათა იდენტიფიცირებისთვის იმ სისტემებში, რომლებიც გამოიყენება ხელშეკრულებით გათვალისწინებული სერვისების უზრუნველსაყოფად;

ორგანიზაციული როგორიცაა:

• მოხელეთა წრის შეზღუდვა, რომლებსაც აქვთ წვდომა გარკვეულ პერსონალურ მონაცემებზე იმ პირებით, რომლებსაც ესაჭიროებათ მონაცემები თავიანთი მოვალეობების შესასრულებლად;
• ამ პირებისთვის წვდომის მინიჭება მხოლოდ პერსონალურ მონაცემებზე, რომლებიც მათ სჭირდებათ თავიანთი მოვალეობების შესასრულებლად;
• კონფიდენციალურობის დებულების შეთანხმება საჯარიმო დებულებასთან ყველა იმ პირთან, ვისაც პერსონალურ მონაცემებზე წვდომა მიეცემა;
• პერსონალური მონაცემების შენახვა სერვერებზე დახურულ სივრცეში;
• ქაღალდის ფაილების შენახვა ჩაკეტილ კარადებში;
• თანამშრომლებს შორის ინფორმაციის უსაფრთხოების ცნობიერების შექმნა;
• მკაფიო პროტოკოლებისა და პროცედურების ჩამოყალიბება ინფორმაციული უსაფრთხოების ინციდენტებისა და უსაფრთხოების ხარვეზების დროული და ეფექტური მოგვარებისთვის;

მონაცემთა დამმუშავებელი იყენებს მენეჯმენტის საკუთარ მეთოდოლოგიასა და პროცედურებს, რომლებიც ერგება ორგანიზაციის მუშაობის მეთოდს:

• Basecamp-ის ფარგლებში ხდება შესაბამისი დოკუმენტების მართვა და პერიოდულად შეფასება.

მონაცემთა დარღვევის პროტოკოლი

იმ შემთხვევაში, თუ რამე არასწორედ მოხდება, მონაცემთა დამმუშავებელი იყენებს მონაცემთა გაჟონვის შემდეგ პროტოკოლს, რათა კლიენტმა იცოდეს ინციდენტები:

Autosoft BV – მონაცემთა დარღვევის პროცედურა

რა არის მონაცემთა დარღვევა და როდის უნდა შევატყობინო AP-ს?
მონაცემთა დარღვევა არის ინფორმაციული უსაფრთხოების ინციდენტი, რომელიც მოიცავს პერსონალური მონაცემების უსაფრთხოების დარღვევას დაკარგვის ან უკანონო დამუშავების გზით, როგორიცაა (მაგრამ არა ამომწურავად):

• პერსონალური მონაცემების კორექტირება და/ან შეცვლა და ამ პერსონალურ მონაცემებზე არაავტორიზებული წვდომა;
• ჰაკერის მიერ შეჭრის შემთხვევაში;
• USB დისკის დაკარგვა, ლეპტოპის ქურდობა;
• სენსიტიური მონაცემების გაგზავნა არასწორ ელფოსტის მისამართზე;

კანონის თანახმად, მონაცემთა „სერიოზული“ დარღვევის შესახებ უნდა ეცნობოს ჰოლანდიის მონაცემთა დაცვის ორგანოს ზედმეტი შეფერხების გარეშე და, თუ ეს შესაძლებელია, აღმოჩენიდან არაუგვიანეს 72 საათისა.

Autosoft BV არ უნდა მოახსენოს ჰოლანდიის მონაცემთა დაცვის ორგანოს, თუ ცალკეული ფიზიკური პირების რეალური იდენტიფიკაცია გონივრულად გამორიცხულია.
ინფორმაციული უსაფრთხოების ინციდენტის ყველა ეჭვი პირველ რიგში განიხილება support@autosoft.eu მოახსენა და დარეგისტრირდა. მხარდაჭერა აცნობებს ინციდენტს მენეჯმენტ გუნდს და ადგენს რა შემდგომი ქმედებები უნდა განხორციელდეს.

შემდგომი პროცედურა

როდის უნდა ვაცნობო მონაცემთა სუბიექტებს?
მონაცემთა დარღვევის შესახებ უნდა ეცნობოს მონაცემთა სუბიექტს, თუ დარღვევის შემთხვევაში არსებობს მაღალი რისკი იმისა, რომ დარღვევამ უარყოფითი შედეგები მოჰყვეს მის პირად ცხოვრებას. მონაცემთა სუბიექტისთვის არასახარბიელო შედეგებია: მისი რეპუტაციისა და რეპუტაციის დაზიანება, პირადობის გაყალბება ან დისკრიმინაცია. თუ Autosoft BV-მ მიიღო შესაბამისი ტექნიკური დაცვის ზომები, რის შედეგადაც პერსონალური მონაცემები გაუგებარი ან მიუწვდომელი ხდება, მონაცემთა სუბიექტისთვის შეტყობინება საჭირო არ არის. შეტყობინება მონაცემთა სუბიექტისთვის უნდა შეიცავდეს პერსონალური მონაცემების დარღვევის ბუნების აღწერას მკაფიო და მარტივ ენაზე და მინიმუმ:

• მონაცემთა დაცვის ოფიცრის სახელი და საკონტაქტო ინფორმაცია ან სხვა საკონტაქტო ადგილი, სადაც მეტი ინფორმაციის მიღებაა შესაძლებელი;
• პერსონალური მონაცემების დარღვევის სავარაუდო შედეგები;
• მაკონტროლებლის მიერ შემოთავაზებული ან მიღებული ზომები პერსონალური მონაცემების დარღვევის აღმოსაფხვრელად, მათ შორის, საჭიროების შემთხვევაში, ზომების შესარბილებლად მისი ნებისმიერი უარყოფითი ეფექტის შესამცირებლად. შეფასება იმის შესახებ, უნდა ეცნობოს თუ არა მონაცემთა დარღვევის შესახებ ჰოლანდიის მონაცემთა დაცვის ორგანოს და/ან დაზარალებულ პირებს, ყოველთვის Autosoft BV-ს ევალება. იმის დასადგენად, საჭიროა თუ არა ინციდენტის შესახებ შეტყობინება, ჰოლანდიის მონაცემთა დაცვის ორგანომ შეიმუშავა პოლიტიკის წესები (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) და GDPR-ში ანგარიშგების ვალდებულების შესახებ გამოქვეყნდა ევროპული ზედამხედველების სახელმძღვანელო 29-ე სამუშაო ჯგუფმა. თუ Autosoft BV-მ არ შეატყობინა მონაცემთა დარღვევის შესახებ, ჰოლანდიის მონაცემთა დაცვის ორგანომ შეიძლება მოითხოვოს, რომ Autosoft BV კვლავ გააკეთოს ანგარიში. გამოუცხადებლობა შეიძლება დაისაჯოს ადმინისტრაციული ჯარიმით.

როგორ შევატყობინო მონაცემთა დარღვევის შესახებ?
ჰოლანდიის მონაცემთა დაცვის ორგანო ხელმისაწვდომს ხდის ვებ ფორმას, რომელიც უნდა იყოს გამოყენებული მონაცემთა დარღვევის შესახებ შეტყობინებისთვის (https://dataleks.autoriteitpersoonsgegevens.nl/). ჰოლანდიის მონაცემთა დაცვის ორგანო აწარმოებს რეესტრს მონაცემთა დარღვევის შესახებ მიღებული შეტყობინებების შესახებ. ეს რეესტრი არ არის საჯარო. თუ მონაცემთა დარღვევის შედეგად ჰოლანდიის მონაცემთა დაცვის ორგანოს მიერ დაწესდება ჯარიმა, ეს გადაწყვეტილება გახდება ცნობილი. მონაცემთა დარღვევა ასევე საჯარო ხდება მაშინ, როდესაც მონაცემთა სუბიექტებს სჭირდებათ ინფორმირებული მონაცემების დარღვევის შესახებ. მონაცემთა სუბიექტისთვის შეტყობინება ნებისმიერ შემთხვევაში უნდა მიუთითებდეს დარღვევის ხასიათს და იმ ორგანოებს, სადაც მონაცემთა სუბიექტს შეუძლია მიიღოს მეტი ინფორმაცია დარღვევის შესახებ. ასევე უნდა აღინიშნოს, თუ რისი გაკეთება შეუძლია მონაცემთა სუბიექტს, რათა შეზღუდოს მონაცემთა დარღვევის უარყოფითი შედეგები. მაგალითად, მომხმარებლის სახელებისა და პაროლების შეცვლა, როდესაც ისინი შესაძლოა დაზარალდნენ დარღვევით.

რა უნდა შევატყობინო?
ჰოლანდიის მონაცემთა დაცვის ორგანოს შეტყობინება მოიცავს:

• მონაცემთა დარღვევის მომხსენებელი.
• პირი, რომელსაც ჰოლანდიის მონაცემთა დაცვის ორგანოს შეუძლია დაუკავშირდეს ანგარიშის შესახებ დამატებითი ინფორმაციისთვის.
• ინციდენტის შეჯამება, სადაც მოხდა პერსონალური მონაცემების უსაფრთხოების დარღვევა.
• დარღვევის დრო.
• დარღვევის ბუნება.
• პერსონალური მონაცემების ტიპი.
• შედეგები, რაც დარღვევამ შეიძლება გამოიწვიოს მონაწილე პირთა კონფიდენციალურობისთვის.
• ტექნიკური და ორგანიზაციული ზომები, რომლებიც Autosoft BV-მ მიიღო დარღვევის აღმოსაფხვრელად და შემდგომი დარღვევების თავიდან ასაცილებლად.
• განუცხადა თუ არა Autosoft BV მონაცემთა დარღვევის შესახებ მონაცემთა სუბიექტებს და თუ არა, აპირებს თუ არა Autosoft BV ამის გაკეთებას:
• თუ ასეა, მონაცემთა სუბიექტებისთვის შეტყობინების შინაარსი.
• თუ არა, მიზეზი, რის გამოც Autosoft BV თავს იკავებს მონაცემთა დარღვევის შესახებ მონაცემთა სუბიექტებისთვის შეტყობინებისგან.
• არის თუ არა პერსონალური მონაცემები დაშიფრული, გაშიფრული ან სხვაგვარად გაუგებარი ან მიუწვდომელი არაავტორიზებული პირებისთვის?

ნაწილი 2: სტანდარტული დამუშავების პუნქტები

ვერსია: 2019 წლის სექტემბერი
მონაცემთა პრო განცხადებასთან ერთად აყალიბებს დამუშავების ხელშეკრულებას და წარმოადგენს ხელშეკრულების დანართს და თანმხლებ დანართებს, როგორიცაა მოქმედი ზოგადი პირობები და პირობები.

მუხლი 1. განმარტებები

ქვემოთ მოცემულ ტერმინებს აქვთ შემდეგი მნიშვნელობა დამუშავების ამ სტანდარტულ პუნქტებში, მონაცემთა პრო განცხადებაში და ხელშეკრულებაში:

• 1.1 ჰოლანდიის მონაცემთა დაცვის ორგანო (AP): საზედამხედველო ორგანო, როგორც ეს აღწერილია საშ.
• 1.2 AVG: მონაცემთა დაცვის ზოგადი რეგულაცია.
• 1.3 მონაცემთა დამმუშავებელი: მხარე, რომელიც, როგორც ICT მიმწოდებელი, ამუშავებს პერსონალურ მონაცემებს თავისი კლიენტის სასარგებლოდ, ხელშეკრულების გაფორმების კონტექსტში.
• 1.4 Data Pro განცხადება: მონაცემთა დამმუშავებლის განცხადება, რომელშიც ის აწვდის ინფორმაციას მისი პროდუქტის ან სერვისის მიზნობრივ გამოყენებასთან დაკავშირებით, უსაფრთხოების ზომების მიღებასთან, ქვეპროცესორებთან, მონაცემთა გაჟონვასთან, სერთიფიკატებთან და მონაცემთა სუბიექტების უფლებების მართვასთან დაკავშირებით.
• 1.5 მონაცემთა სუბიექტი (მონაცემთა სუბიექტი): იდენტიფიცირებული ან იდენტიფიცირებადი ფიზიკური პირი.
• 1.6 კლიენტი: მხარე, რომლის სახელით მონაცემთა დამმუშავებელი ამუშავებს პერსონალურ მონაცემებს. კლიენტი შეიძლება იყოს კონტროლერი ("კონტროლერი") ან სხვა პროცესორი.
• 1.7 შეთანხმება: კლიენტსა და მონაცემთა დამმუშავებელს შორის შეთანხმება, რომლის საფუძველზეც ICT მიმწოდებელი აწვდის კლიენტს მომსახურებას ან/და პროდუქტს, რომლის ნაწილია დამმუშავებლის ხელშეკრულება.
• 1.8 პერსონალური მონაცემები: ყველა ინფორმაცია იდენტიფიცირებული ან იდენტიფიცირებადი ფიზიკური პირის შესახებ, როგორც აღწერილია მე-4 მუხლის 1 ქვე AVG-ში, რომელსაც მონაცემთა დამმუშავებელი ამუშავებს ხელშეკრულებიდან გამომდინარე თავისი ვალდებულებების შესრულების კონტექსტში.
• 1.9 დამუშავების ხელშეკრულება: დამუშავების ეს სტანდარტული პუნქტები, რომლებიც მონაცემთა დამმუშავებლისგან მონაცემთა პრო განცხადებასთან (ან შესადარებელ ინფორმაციასთან) ერთად ქმნიან დამუშავების ხელშეკრულებას, როგორც ეს მითითებულია GDPR-ის 28-ე მუხლის მე-3 პუნქტში.

მუხლი 2. ზოგადი

• 2.1 ეს სტანდარტული დამუშავების დებულებები ვრცელდება პერსონალური მონაცემების ყველა დამუშავებაზე, რომელსაც მონაცემთა დამმუშავებელი აკეთებს თავისი პროდუქტებისა და სერვისების მიწოდების კონტექსტში და ყველა შეთანხმებასა და შეთავაზებაზე. კლიენტის დამუშავების ხელშეკრულებების გამოყენებადობა პირდაპირ უარყოფილია.
• 2.2 მონაცემთა პრო განცხადება და, კერძოდ, მასში შემავალი უსაფრთხოების ზომები, შეიძლება დროდადრო შეიცვალოს მონაცემთა დამმუშავებლის მიერ, რათა ასახოს ცვალებადი გარემოებები. მონაცემთა დამმუშავებელი აცნობებს კლიენტს მნიშვნელოვანი ცვლილებების შესახებ. თუ კლიენტი გონივრულად ვერ ეთანხმება კორექტირებას, კლიენტი უფლებამოსილია წერილობით შეწყვიტოს დამუშავების ხელშეკრულება კორექტირების შესახებ შეტყობინების 30 დღის ვადაში.
• 2.3 მონაცემთა დამმუშავებელი ამუშავებს პერსონალურ მონაცემებს კლიენტის სახელით და სახელით კლიენტის წერილობითი ინსტრუქციების შესაბამისად, რომელიც შეთანხმებულია მონაცემთა დამმუშავებელთან.
• 2.4 კლიენტი, ან მისი მომხმარებელი, არის მაკონტროლებელი GDPR-ის მნიშვნელობით, აქვს კონტროლი პერსონალური მონაცემების დამუშავებაზე და განსაზღვრავს პერსონალური მონაცემების დამუშავების მიზანს და საშუალებას.
• 2.5 მონაცემთა დამმუშავებელი არის დამმუშავებელი GDPR-ის მნიშვნელობით და, შესაბამისად, არ აქვს კონტროლი პერსონალური მონაცემების დამუშავების მიზანსა და საშუალებებზე და, შესაბამისად, არ იღებს გადაწყვეტილებებს, სხვა საკითხებთან ერთად, პერსონალური მონაცემების გამოყენებასთან დაკავშირებით.
• 2.6 მონაცემთა დამმუშავებელი ახორციელებს GDPR-ს, როგორც ეს დადგენილია დამუშავების ამ სტანდარტულ პუნქტებში, მონაცემთა პრო განცხადებაში და შეთანხმებაში. კლიენტის გადასაწყვეტია, ამ ინფორმაციის საფუძველზე შეაფასოს, იძლევა თუ არა მონაცემთა დამმუშავებელი საკმარის გარანტიებს შესაბამისი ტექნიკური და ორგანიზაციული ზომების გამოყენებასთან დაკავშირებით, რათა დამუშავება დააკმაყოფილოს GDPR-ის მოთხოვნებს და მონაცემთა სუბიექტების უფლებების დაცვას. საკმარისია გარანტირებული.
• 2.7 კლიენტი გარანტიას აძლევს მონაცემთა დამმუშავებელს, რომ ის მოქმედებს GDPR-ის შესაბამისად, რომ ის ადეკვატურად იცავს მის სისტემებს და ინფრასტრუქტურას ნებისმიერ დროს და რომ პერსონალური მონაცემების შინაარსი, გამოყენება და/ან დამუშავება არ არის უკანონო და არ არღვევს რაიმე უფლებას. მესამე მხარის.
• 2.8 AP-ის მიერ კლიენტისთვის დაკისრებული ადმინისტრაციული ჯარიმა ვერ აღდგება მონაცემთა დამმუშავებლისგან.

მუხლი 3. უსაფრთხოება

• 3.1 მონაცემთა დამმუშავებელი იღებს ტექნიკურ და ორგანიზაციულ უსაფრთხოების ზომებს, როგორც ეს აღწერილია მის Data Pro განცხადებაში. ტექნიკური და ორგანიზაციული უსაფრთხოების ზომების მიღებისას მონაცემთა დამმუშავებელმა მხედველობაში მიიღო ტექნიკური მდგომარეობა, უსაფრთხოების ზომების განხორციელების ხარჯები, დამუშავების ბუნება, ფარგლები და კონტექსტი, მისი პროდუქტებისა და სერვისების მიზნები და დანიშნულება. , დამუშავების რისკები და რისკები, რომლებიც განსხვავდება ალბათობითა და სერიოზულობით მონაცემთა სუბიექტების უფლებებისა და თავისუფლებებისთვის, რომლებიც მას შეიძლება მოელოდეს მისი პროდუქტებისა და სერვისების მიზნობრივი გამოყენების გათვალისწინებით.
• 3.2 თუ სხვაგვარად არ არის ნათქვამი Data Pro-ის განცხადებაში, მონაცემთა დამმუშავებლის პროდუქტი ან სერვისი არ არის შექმნილი პერსონალური მონაცემების სპეციალური კატეგორიების ან მონაცემების დასამუშავებლად, რომლებიც დაკავშირებულია სისხლის სამართლის მსჯავრდებულებთან ან დანაშაულებებთან ან მთავრობის მიერ გაცემულ პერსონალურ ნომრებთან.
• 3.3 მონაცემთა დამმუშავებელი ცდილობს უზრუნველყოს, რომ მის მიერ მიღებული უსაფრთხოების ზომები შეესაბამება მონაცემთა დამმუშავებლის მიერ პროდუქტის ან სერვისის მიზნობრივ გამოყენებას.
• 3.4 კლიენტის აზრით, აღწერილი უსაფრთხოების ზომები 3.1 მუხლში მითითებული ფაქტორების გათვალისწინებით გვთავაზობს უსაფრთხოების დონეს, რომელიც მორგებულია მის მიერ გამოყენებული ან მოწოდებული პერსონალური მონაცემების დამუშავების რისკზე.
• 3.5 მონაცემთა დამმუშავებელს შეუძლია ცვლილებები შეიტანოს უსაფრთხოების ზომებში, თუ მისი აზრით ეს აუცილებელია უსაფრთხოების შესაბამისი დონის უზრუნველსაყოფად. მონაცემთა დამმუშავებელი ჩაიწერს მნიშვნელოვან ცვლილებებს, მაგალითად, შესწორებულ მონაცემთა პრო განცხადებაში და აცნობებს კლიენტს ამ ცვლილებების შესახებ, სადაც ეს შესაბამისია.
• 3.6 კლიენტს შეუძლია მონაცემთა პროცესორს მოსთხოვოს უსაფრთხოების დამატებითი ზომების მიღება. მონაცემთა დამმუშავებელი არ არის ვალდებული შეიტანოს ცვლილებები უსაფრთხოების ზომებში ასეთი მოთხოვნის შემთხვევაში. მონაცემთა დამმუშავებელს შეუძლია კლიენტს დააკისროს კლიენტის მოთხოვნით განხორციელებულ ცვლილებებთან დაკავშირებული ხარჯები. მხოლოდ მას შემდეგ, რაც კლიენტის მიერ სასურველი შეცვლილი უსაფრთხოების ზომები იქნება წერილობითი შეთანხმებული და მხარეთა მიერ ხელმოწერილი, მონაცემთა დამმუშავებელი ვალდებულია რეალურად განახორციელოს უსაფრთხოების ეს ზომები.

მუხლი 4. პერსონალური მონაცემების დარღვევა

• 4.1 მონაცემთა დამმუშავებელი არ იძლევა გარანტიას, რომ უსაფრთხოების ზომები ეფექტურია ნებისმიერ შემთხვევაში. თუ მონაცემთა დამმუშავებელი აღმოაჩენს დარღვევას პერსონალურ მონაცემებთან დაკავშირებით (როგორც ეს მითითებულია მე-4 მუხლის მე-12 საშ.), ის აცნობებს კლიენტს ზედმეტი შეფერხების გარეშე. Data Pro განცხადება (მონაცემთა გაჟონვის პროტოკოლის მიხედვით) ადგენს, თუ როგორ აცნობებს მონაცემთა დამმუშავებელი კლიენტს პერსონალურ მონაცემებთან დაკავშირებით დარღვევის შესახებ.
• 4.2 კონტროლერს (კლიენტს ან მის მომხმარებელს) ევალება შეაფასოს, უნდა ეცნობოს თუ არა პერსონალური მონაცემების დარღვევას, რომლის შესახებაც მონაცემთა დამმუშავებელმა აცნობა, უნდა ეცნობოს AP-ს ან მონაცემთა სუბიექტს. პერსონალურ მონაცემებთან დაკავშირებით დარღვევის შესახებ შეტყობინება, რომელიც უნდა ეცნობოს AP-ს და/ან მონაცემთა სუბიექტს GDPR-ის 33-ე და 34-ე მუხლების შესაბამისად, ყოველთვის რჩება კონტროლერის (კლიენტის ან მისი მომხმარებლის) პასუხისმგებლობაში. მონაცემთა დამმუშავებელი არ არის ვალდებული შეატყობინოს პერსონალური მონაცემების დარღვევის შესახებ AP-ს და/ან მონაცემთა სუბიექტს.
• 4.3 მონაცემთა დამმუშავებელი, საჭიროების შემთხვევაში, მიაწვდის დამატებით ინფორმაციას პერსონალურ მონაცემებთან დაკავშირებით დარღვევის შესახებ და ითანამშრომლებს კლიენტისთვის საჭირო ინფორმაციის მიწოდებასთან შეტყობინების მიზნით, როგორც მითითებულია 33-ე და 34-ე მუხლებში.
• 4.4 მონაცემთა დამმუშავებელს შეუძლია გადაუხადოს კლიენტს ამ კონტექსტში გაწეული გონივრული ხარჯები მისი მაშინ მოქმედი ტარიფებით.

მუხლი 5. კონფიდენციალობა

• 5.1 მონაცემთა დამმუშავებელი გარანტიას იძლევა, რომ პირები, რომლებიც ამუშავებენ პერსონალურ მონაცემებს მისი პასუხისმგებლობით, აქვთ კონფიდენციალურობის ვალდებულება.
• 5.2 მონაცემთა დამმუშავებელი უფლებამოსილია მიაწოდოს პერსონალური მონაცემები მესამე პირებს, თუ და რამდენადაც ეს აუცილებელია სასამართლოს გადაწყვეტილებით, სამართლებრივი დებულებით ან სამთავრობო ორგანოს უფლებამოსილი ბრძანების საფუძველზე.
• 5.3 ყველა დაშვების და/ან საიდენტიფიკაციო კოდი, სერთიფიკატი, ინფორმაცია დაშვების ან/და პაროლის პოლიტიკასთან დაკავშირებით, რომელიც მიწოდებულია მონაცემთა დამმუშავებლის მიერ კლიენტისთვის და მონაცემთა დამმუშავებლის მიერ კლიენტისთვის მიწოდებული ყველა ინფორმაცია, რომელიც ახორციელებს მონაცემთა პრო განცხადებაში შეტანილ ტექნიკურ და ორგანიზაციულ უსაფრთხოების ზომებს, კონფიდენციალურია. და კლიენტი განიხილება, როგორც ასეთი და მხოლოდ კლიენტის უფლებამოსილ თანამშრომლებს ეცნობება. კლიენტი უზრუნველყოფს, რომ მისი თანამშრომლები შეასრულონ ამ მუხლით ნაკისრი ვალდებულებები.

მუხლი 6. ვადა და შეწყვეტა

• 6.1 ეს საპროცესო ხელშეკრულება წარმოადგენს ხელშეკრულების ნაწილს და მისგან გამომდინარე ნებისმიერი ახალი ან შემდგომი შეთანხმება ძალაში შედის ხელშეკრულების დადების მომენტიდან და იდება განუსაზღვრელი ვადით.
• 6.2 ეს საპროცესო შეთანხმება მთავრდება კანონით მოქმედი ხელშეკრულების შეწყვეტის ან მხარეებს შორის ახალი ან შემდგომი შეთანხმების შეწყვეტის შემდეგ.
• 6.3 დამუშავების ხელშეკრულების დასრულების შემთხვევაში, მონაცემთა დამმუშავებელი წაშლის მის მფლობელობაში და კლიენტისგან მიღებულ ყველა პერსონალურ მონაცემს მონაცემთა პრო განცხადებაში შეტანილი ვადის განმავლობაში ისე, რომ აღარ იყოს გამოყენებული და აღარ იყოს. ხელმისაწვდომობა (მიუწვდომელია).
• 6.4 მონაცემთა დამმუშავებელს შეუძლია კლიენტს გადაუხადოს ნებისმიერი ხარჯი, რომელსაც ის გაწევს 6.3 მუხლის დებულებების კონტექსტში. ამის შესახებ შემდგომი შეთანხმებები შეიძლება ჩამოყალიბდეს Data Pro განცხადებაში.
• 6.5 6.3 მუხლის დებულებები არ გამოიყენება, თუ ნორმატიული რეგულაცია ხელს უშლის მონაცემთა დამმუშავებელს პერსონალური მონაცემების სრულად ან ნაწილობრივ ამოღებაში ან დაბრუნებაში. ასეთ შემთხვევაში, მონაცემთა დამმუშავებელი გააგრძელებს პერსონალური მონაცემების დამუშავებას მხოლოდ იმ მოცულობით, რამდენადაც ეს აუცილებელია მისი სამართლებრივი ვალდებულებების შესაბამისად. 6.3 მუხლის დებულებები ასევე არ გამოიყენება, თუ მონაცემთა დამმუშავებელი არის კონტროლიორი GDPR-ის მნიშვნელობით პერსონალურ მონაცემებთან დაკავშირებით.

მუხლი 7. მონაცემთა სუბიექტების უფლებები, მონაცემთა დაცვაზე ზემოქმედების შეფასება (DPIA) და აუდიტის უფლებები

• 7.1 მონაცემთა დამმუშავებელი, სადაც ეს შესაძლებელია, ითანამშრომლებს კლიენტის გონივრულ მოთხოვნებთან, რომლებიც დაკავშირებულია მონაცემთა სუბიექტების უფლებებთან, რომლებსაც კლიენტი მიმართავს მონაცემთა სუბიექტების მიერ. თუ მონაცემთა დამმუშავებელს უშუალოდ მიმართავს მონაცემთა სუბიექტი, ის ამ პირს მიმართავს კლიენტს, სადაც ეს შესაძლებელია.
• 7.2 თუ კლიენტი ვალდებულია ამის გაკეთება, მონაცემთა დამმუშავებელი ითანამშრომლებს მონაცემთა დაცვაზე ზემოქმედების შეფასებასთან (DPIA) ან შემდგომ წინასწარ კონსულტაციასთან, როგორც ეს მითითებულია 35-ე და 36-ე მუხლებში საშუალოდ.
• 7.3 მონაცემთა დამმუშავებელი ითანამშრომლებს კლიენტის მოთხოვნებთან პერსონალური მონაცემების წაშლის შესახებ, რამდენადაც კლიენტი ამას თავად ვერ შეძლებს.
• 7.4 კლიენტის მოთხოვნით, მონაცემთა დამმუშავებელი ასევე ხელმისაწვდომს გახდის ყველა დამატებით ინფორმაციას, რომელიც გონივრულად არის საჭირო ამ დამუშავების ხელშეკრულებაში დადებულ შეთანხმებებთან შესაბამისობის საჩვენებლად. თუ კლიენტს მაინც აქვს საფუძველი იფიქროს, რომ პერსონალური მონაცემების დამუშავება არ ხდება დამუშავების ხელშეკრულების შესაბამისად, მას შეუძლია წელიწადში მაქსიმუმ ერთხელ გაიაროს კონსულტაცია დამოუკიდებელ, სერტიფიცირებულ, გარე ექსპერტთან, რომელსაც აქვს საჩვენებელი გამოცდილება. დამუშავება, რომელიც ხორციელდება ხელშეკრულების საფუძველზე, კლიენტის ხარჯზე განხორციელდეს აუდიტი. აუდიტი შემოიფარგლება მხოლოდ პერსონალური მონაცემების დამუშავებასთან დაკავშირებულ შეთანხმებებთან შესაბამისობის შემოწმებით, როგორც ეს მითითებულია დამმუშავებლის ხელშეკრულებაში. ექსპერტს ეკისრება კონფიდენციალურობის მოვალეობა იმის მიმართ, რასაც აღმოაჩენს და კლიენტს წარუდგენს მხოლოდ იმას, რაც იწვევს ნაკლოვანებას იმ ვალდებულებების შესრულებაში, რაც მონაცემთა დამმუშავებელს აქვს ამ პროცესორის ხელშეკრულებით. ექსპერტი თავისი ანგარიშის ასლს გადასცემს მონაცემთა დამმუშავებელს. მონაცემთა დამმუშავებელს შეუძლია უარი თქვას ექსპერტის აუდიტზე ან ინსტრუქციაზე, თუ, მისი აზრით, ეს არღვევს GDPR-ს ან სხვა კანონმდებლობას ან წარმოადგენს მის მიერ მიღებული უსაფრთხოების ზომების დაუშვებელ დარღვევას.
• 7.5 მხარეები მოხსენების შედეგებთან დაკავშირებით უმოკლეს ვადაში გაივლიან კონსულტაციებს. მხარეები მიჰყვებიან ანგარიშში დადგენილ გაუმჯობესების შემოთავაზებულ ზომებს იმდენად, რამდენადაც ეს მათგან გონივრული იქნება მოსალოდნელი. მონაცემთა დამმუშავებელი განახორციელებს შემოთავაზებულ გაუმჯობესების ზომებს იმდენად, რამდენადაც ისინი მიზანშეწონილია მისი აზრით, მის პროდუქტთან ან სერვისთან დაკავშირებული დამუშავების რისკების, ტექნიკის მდგომარეობის, განხორციელების ხარჯების, ბაზარზე, სადაც ის მუშაობს და პროდუქტის ან სერვისის მიზნობრივი გამოყენება.მომსახურება.
• 7.6 მონაცემთა დამმუშავებელს უფლება აქვს გადაუხადოს კლიენტს ის ხარჯები, რომლებიც მას წარმოშობს ამ მუხლის დებულებების კონტექსტში.

მუხლი 8. ქვეპროცესორები

• 8.1 მონაცემთა დამმუშავებელმა მონაცემთა პროკურატურაში განაცხადა, არის თუ არა, და თუ ასეა, მესამე მხარე (ქვედამმუშავებელი ან ქვედამმუშავებელი) მონაცემთა დამმუშავებელი მონაწილეობს პერსონალური მონაცემების დამუშავებაში.
• 8.2 კლიენტი აძლევს მონაცემთა დამმუშავებელს უფლებას ჩართოს სხვა ქვეპროცესორები ხელშეკრულებიდან გამომდინარე მისი ვალდებულებების შესასრულებლად.
• 8.3 მონაცემთა დამმუშავებელი აცნობებს კლიენტს მონაცემთა დამმუშავებლის მიერ ჩართული მესამე მხარის ცვლილების შესახებ, მაგალითად, შესწორებული Data Pro განაცხადის საშუალებით. კლიენტს უფლება აქვს გააპროტესტოს მონაცემთა დამმუშავებლის მიერ აღნიშნული ცვლილება. მონაცემთა დამმუშავებელი უზრუნველყოფს, რომ მის მიერ ჩართული მესამე მხარეები ასრულებენ ვალდებულებას პერსონალური მონაცემების დაცვასთან დაკავშირებით უსაფრთხოების იმავე დონეზე, როგორც უსაფრთხოების დონე, რომელზეც მონაცემთა დამმუშავებელი ვალდებულია კლიენტის მიმართ მონაცემთა პრო განაცხადის საფუძველზე.

მუხლი 9. სხვა

ეს სტანდარტული დამუშავების პუნქტები, მონაცემთა პრო განცხადებასთან ერთად, წარმოადგენს ხელშეკრულების განუყოფელ ნაწილს. ხელშეკრულებით გათვალისწინებული ყველა უფლება და ვალდებულება, მათ შორის მოქმედი ზოგადი პირობები და/ან პასუხისმგებლობის შეზღუდვები, ასევე ვრცელდება დამუშავების ხელშეკრულებაზე.