Өңдеу келісімі

Кіріспе

Autosoft BV тапсырыс берушінің атынан және оның атынан жеке деректерді өңдейді. Сондықтан Autosoft BV және тұтынушы Деректерді қорғаудың жалпы ережесіне (GDPR) сәйкес Процессор келісімін жасауға міндетті. GDPR сәйкес Autosoft BV «процессор», ал тұтынушы «контроллер» болып табылады. Осы Процессор келісімі сонымен қатар Autosoft BV деректердің бұзылуы туралы хабарландыру міндеттемесін қалай өңдейтінін сипаттайды.

Өңдеу келісімі

Құрамында:
1-бөлім: Data Pro мәлімдемесі
2-бөлім: Стандартты өңдеу ережелері

1-бөлім: Data Pro мәлімдемесі

Жалпы ақпарат

1). Бұл Data Pro мәлімдемесін келесі деректер процессоры (процессоры) жасаған:

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Осы Data Pro мәлімдемесі немесе деректерді қорғау туралы сұрақтарыңыз болса, хабарласыңыз:
Артур ван дер Лек: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Бұл Data Pro мәлімдемесі 1 жылдың 2021 тамызынан бастап қолданылады
Деректерді қорғауға қатысты әрқашан дайын және жаңартылған болуымыз үшін біз осы Data Pro мәлімдемесін және онда сипатталған қауіпсіздік шараларын жүйелі түрде реттеп отырамыз. Біз сізді әдеттегі арналарымыз арқылы жаңа нұсқалар туралы хабардар етіп отырамыз.

3). Бұл Data Pro мәлімдемесі келесі деректер өңдеуші өнімдері мен қызметтеріне қолданылады

• Автовеб-сайт
• Автокоммерция

4). Сипаттама Көлік сайты
Автокөлік компаниялары Autoweb сайтын пайдаланады. Autowebsite көмегімен автокөлік компаниялары өздерін интернетте көрсете алады.

5). Тағайындалған автокөлік веб-сайты
Автовеб-сайт деректердің келесі түрлерін өңдеу үшін әзірленген және жабдықталған:
Autosoft компаниясы Autowebsite көмегімен әзірлеген веб-сайттарға келушілер автокөлік компаниясының келушілерге одан әрі қызмет алу үшін жақындау мүмкіндігіне ие болу үшін байланыс деректерін қалдыру мүмкіндігіне ие. Бұл байланыс деректері Autosoft қолданбасында сақталмайды, бірақ тікелей электронды пошта арқылы автокөлік компаниясының электрондық пошта мекенжайына жіберіледі.

• Бұл қызмет арнайы жеке деректерді немесе қылмыстық соттаулар мен құқық бұзушылықтарға қатысты деректерді немесе үкімет берген жеке нөмірлерді өңдеуді есепке алмайды.

6). Сипаттама Автокоммерция
Автокөлік компаниялары автокоммерцияны пайдаланады. Автокоммерция көмегімен автокөлік компаниялары өз көліктерін өздерінің веб-сайттарында және үшінші тараптардың интернет іздеу порталдарында басқара және көрсете алады.

7). Автокоммерцияны пайдалану мақсаты
Автокоммерция деректердің келесі түрлерін өңдеу үшін әзірленген және жабдықталған:
Автокөлік компаниялары тіркелген көліктерін Autocommerce арқылы өздерінің Car веб-сайтында орналастыра алады. Бұл тіркелген көліктерде жеке деректерге кез келген нысанда қайта қарауға болатын деректер жоқ. Автокөлік веб-сайтына кірушілер автокомпанияның келушілерге одан әрі қызмет көрсету үшін жақындау мүмкіндігіне ие болу үшін байланыс деректерін сол жерде қалдыру мүмкіндігіне ие. Келуші өзінің Auto веб-сайтында қалдырған байланыс мәліметтері Автокоммерцияда сақталады.

• Бұл қызмет арнайы жеке деректерді немесе қылмыстық соттаулар мен құқық бұзушылықтарға қатысты деректерді немесе үкімет берген жеке нөмірлерді өңдеуді есепке алмайды.

8). Деректер процессоры Келісімге қосымша ретінде табуға болатын Автовеб-сайт пен Автокоммерция үшін өңдеу үшін Стандартты тармақтарды пайдаланады.

9). Деректер процессоры автовеб-сайт пен автокоммерция үшін ЕО/ЕЭА шеңберінде өз клиенттерінің жеке деректерін өңдейді.

10). Деректер процессоры автокоммерция үшін келесі қосалқы процессорларды пайдаланады:
Кейбір жағдайларда Autosoft тіркелген көліктерін Автокоммерция арқылы үшінші тараптардың интернет іздеу порталдарына немесе Автокөлік компаниясы атынан қосалқы процессорларға жібереді. Қосымша процессорлар тізімі сұраныс бойынша support@autosoft.eu мекенжайында қолжетімді.

11). Клиентпен Келісімшартты тоқтатқаннан кейін деректер өңдеушісі негізінен 3 ай ішінде клиент үшін өңдейтін жеке деректерді олар енді пайдаланылмайтын және қол жетімді болмайтындай (қолжетімсіз етеді) түрде жояды.

Қауіпсіздік саясаты

Деректер өңдеушісі өнімін немесе қызметін қорғау үшін қабылдаған келесі қауіпсіздік шараларын қорытындылаңыз:

Оқиғаларды басқару және әрекет ету саясаты
Ақпараттық қауіпсіздік саласындағы инциденттерді басқару және әрекет ету саясаты компьютердегі немесе АТ-инфрақұрылымындағы қауіпсіздік инциденттерін бақылау мен анықтауды, сонымен қатар персоналдың күдікті әрекеттерін бақылауды және осы оқиғаларға дұрыс әрекет етуді жүзеге асыруды қамтиды.

Бұл саясаттың негізгі мақсаты – сөздің кең мағынасында зиянды оқиғаларға және компьютерлік шабуылдарға жақсы түсінілген және болжауға болатын әрекетті дамыту.

Оқиғаларды басқару және әрекет ету саясаты – бұл компьютерлерді, желілерді және ақпараттық жүйелерді және оларда сақталған ақпаратты басқару және қорғау процесі. Autosoft бұл ақпаратты тұтынушылар мен жеткізу тізбегі серіктестерінің игілігі үшін қорғауға қатысты өз жауапкершілігін біледі. Бұл жауапкершілік Оқиға процедурасының болуын қамтиды. Оқиғаларды басқару – ұйым өзінің әл-ауқаты мен жұртшылықтың қауіпсіздігін қамтамасыз ету үшін пайдалана алатын процесті анықтайтын және жүзеге асыратын әрекеттер жиынтығы.

АТ және қауіпсіздік
Autosoft BV АКТ құрылымы брандмауэрмен жеткілікті түрде қорғалған және вирустарды сканерлеу бағдарламалық құралы жаңартылған. Әрбір қызметкердің логин профилі бар. Компьютерді іске қосқан кезде қызметкерлер логин мен құпия сөзді және мүмкіндігінше 2-қадамды аутентификация арқылы енгізуі керек.

Кейбір бағдарламалық құрал сонымен қатар логин атын және құпия сөзді және мүмкін болса, 2 қадамды аутентификация арқылы сұрайды. Қызметкерлердің қауіпсіз жұмыс істеу туралы хабардар болуы ынталандырылады, мысалы, күдікті электрондық поштаны ашпауға, күдікті сілтемелерді баспауға, жұмыс орнынан ұзақ уақыт бойы шығу кезінде жүйеден шығуға және т.б.

Файлдардың сақтық көшірмесі күндіз және түнде жасалады. Қауіпсіздік мақсатында сақтық көшірмеге қатысты одан әрі сақтау процедурасы құпия болып табылады. Autosoft BV бұл үшін компьютер жеткізушілерімен және интернет-хостинг провайдерлерімен қызмет көрсету келісімшарттарын жасады.

Деректерді қорғау саясаты
Autosoft BV тұтынушының жеке деректерін жоғалудан немесе заңсыз өңдеудің кез келген түрінен қорғау үшін тиісті техникалық және ұйымдастыру шараларын қабылдайды. Бұл техникалық және ұйымдастырушылық шаралар GDPR 1-бабының мағынасында сәйкес қауіпсіздік деңгейі ретінде қарастырылады және Autosoft BV орталық Basecamp (Жоба: Ұйым/Деректерді қорғау саясаты) құжаттары ретінде сақталады.

Техникалық және ұйымдастырушылық

1. Процессор келісімі контекстінде өңделген Дербес деректерге тек уәкілетті қызметкерлердің қол жеткізуін қамтамасыз ету шаралары;
2. Жеке деректерді, атап айтқанда, кездейсоқ немесе заңсыз жоюдан, жоғалтудан, кездейсоқ өзгертуден, рұқсатсыз немесе заңсыз сақтаудан, қол жеткізуден немесе жария етуден қорғау шаралары;
3. Деректер алмасу/тасымалдау кезінде Дербес деректерді, атап айтқанда, кездейсоқ немесе заңсыз жоюдан, жоғалтудан, кездейсоқ өзгертуден, рұқсатсыз немесе заңсыз сақтаудан, қол жеткізуден немесе жария етуден қорғау шаралары;
4. Тұрақты негізде редакциялау жүйелері мен қызметтерінің құпиялылығын, тұтастығын, қолжетімділігін және тұрақтылығын қамтамасыз ету мүмкіндігін қамтамасыз ету шаралары;
5. Физикалық немесе техникалық инцидент болған жағдайда Дербес деректерге қол жетімділікті және қол жеткізуді уақтылы қалпына келтіру бойынша шаралар;
6. Келісімшарт бойынша қызметтерді көрсету үшін пайдаланылатын жүйелерде Дербес деректерді өңдеуге қатысты осалдықтарды анықтау бойынша шаралар;

Ұйымдастырушылық, мысалы:

• Белгілі бір дербес деректерге рұқсаты бар лауазымды тұлғалардың шеңберін өз міндеттерін орындау үшін деректерге мұқтаж адамдармен шектеу;
• бұл адамдарға өз міндеттерін орындау үшін қажет жеке деректерге ғана рұқсат беру;
• жеке деректерге рұқсат берілетін барлық адамдармен құпиялылық туралы ережені айыппұлмен келісу;
• жабық кеңістікте серверлерде дербес деректерді сақтау;
• қағаз файлдарды құлыпталатын шкафтарда сақтау;
• қызметкерлердің ақпараттық қауіпсіздік туралы хабардарлығын қалыптастыру;
• ақпараттық қауіпсіздік инциденттерін және қауіпсіздіктің осал тұстарын уақтылы және тиімді өңдеу үшін нақты хаттамалар мен рәсімдерді белгілеу;

Деректерді өңдеуші ұйымның жұмыс әдісіне сәйкес келетін басқарудың өзіндік әдістемелері мен процедураларын пайдаланады:

• Basecamp ішінде тиісті құжаттар басқарылады және мерзімді түрде бағаланады.

Деректерді бұзу протоколы

Бірдеңе дұрыс емес болған жағдайда, деректер процессоры клиенттің инциденттер туралы хабардар болуын қамтамасыз ету үшін келесі деректер ағу протоколын пайдаланады:

Autosoft BV – Деректерді бұзу процедурасы

Деректердің бұзылуы дегеніміз не және ол туралы AP-ке қашан хабарлауым керек?
Деректерді бұзу - жоғалту немесе заңсыз өңдеу арқылы жеке деректердің қауіпсіздігін бұзуды қамтитын ақпараттық қауіпсіздік оқиғасы, мысалы (бірақ толық емес):

• Жеке деректерді реттеу және/немесе өзгерту және осы жеке деректерге рұқсатсыз кіру;
• Хакердің кіруі кезінде;
• USB флэш-дискісін жоғалту, ноутбукты ұрлау;
• Қате электрондық пошта мекенжайына құпия деректерді жіберу;

Заңға сәйкес, деректердің «ауыр» бұзылуы туралы Нидерланд деректерін қорғау органына кідіріссіз және мүмкіндігінше табылғаннан кейін 72 сағаттан кешіктірмей хабарлануы керек.

Жеке тұлғалардың нақты сәйкестендірулері негізді түрде алынып тасталса, Autosoft BV Голландиялық деректерді қорғау органына есеп беруге міндетті емес.
Ақпараттық қауіпсіздік оқиғасына қатысты барлық күдіктер бірінші кезекте шешілетін болады support@autosoft.eu хабарланады және тіркелді. Қолдау қызметі оқиға туралы Басқару тобына хабарлайды және қандай кейінгі әрекеттерді орындау керектігін анықтайды.

Бақылау процедурасы

Деректер субъектілеріне қашан хабарлауым керек?
Деректердің бұзылуы туралы деректер субъектісіне хабарлануы керек, егер бұзылған жағдайда оның жеке өміріне қолайсыз салдарлардың болуы қаупі жоғары болса. Деректер субъектісі үшін қолайсыз салдар: оның беделі мен беделіне нұқсан келтіру, жеке басын алдау немесе кемсіту. Егер Autosoft BV тиісті техникалық қорғау шараларын қабылдаса, соның салдарынан тиісті жеке деректер түсініксіз немесе қолжетімсіз болса, деректер субъектісіне хабарлау қажет емес. Деректер субъектісіне арналған хабарламада жеке деректердің бұзылуы сипатының анық және түсінікті тілде сипаттамасы және кем дегенде:

• деректерді қорғау қызметкерінің аты мен байланыс деректері немесе қосымша ақпарат алуға болатын басқа байланыс нүктесі;
• жеке деректерді бұзудың ықтимал салдары;
• жеке деректердің бұзылуын жою үшін бақылаушы ұсынатын немесе қабылдаған шаралар, оның ішінде қажет болған жағдайда оның кез келген жағымсыз әсерлерін азайту шаралары. Деректер бұзылғаны туралы Голландиялық деректерді қорғау органына және/немесе зардап шеккен тұлғаларға хабарлану қажет пе, жоқ па деген бағалау әрқашан Autosoft BV компаниясына байланысты. Оқиға туралы хабарлау қажет пе екенін анықтау үшін Нидерландының Деректерді қорғау органы саясат ережелерін әзірледі (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) және GDPR-дағы есеп беру міндеттемесі бойынша жарияланған еуропалық қадағалаушылардың нұсқауларының 29 жұмыс тобы. Autosoft BV деректердің бұзылуы туралы хабарламаса, Голландиялық деректерді қорғау органы Autosoft BV әлі де есеп беруін талап етуі мүмкін. Хабарламау әкімшілік айыппұлмен жазалануы мүмкін.

Деректер бұзылғаны туралы қалай хабарлауға болады?
Голландиялық деректерді қорғау органы деректердің бұзылуы туралы хабарлау үшін пайдаланылуы тиіс веб-пішінді қолжетімді етеді (https://dataleks.autoriteitpersoonsgegevens.nl/). Голландиялық деректерді қорғау органы алынған деректердің бұзылуы туралы хабарламалардың тізілімін жүргізеді. Бұл тізілім жалпыға қолжетімді емес. Егер деректердің бұзылуының нәтижесінде Нидерландының деректерді қорғау органы айыппұл салса, бұл шешім көпшілікке жарияланады. Деректер субъектілері деректердің бұзылуы туралы хабардар ету қажет болған кезде деректердің бұзылуы да жария болады. Деректер субъектісіне арналған хабарлама кез келген жағдайда бұзушылықтың сипатын және деректер субъектісі құқық бұзушылық туралы қосымша ақпаратты ала алатын органдарды көрсетуі керек. Сондай-ақ деректердің бұзылуының теріс салдарын шектеу үшін деректер субъектісінің өзі не істей алатынын көрсету керек. Мысалы, пайдаланушы аттары мен құпия сөздерді бұзу арқылы бұзылған кезде өзгерту.

Мен не хабарлауым керек?
Голландиялық деректерді қорғау органына хабарлама мыналарды қамтиды:

• Деректердің бұзылуы туралы репортер.
• Есеп туралы қосымша ақпарат алу үшін Голландиялық деректерді қорғау органы хабарласа алатын адам.
• Жеке деректер қауіпсіздігі бұзылған оқиғаның қысқаша мазмұны.
• Құқық бұзу уақыты.
• Құқық бұзушылықтың сипаты.
• Тиісті жеке деректер түрі.
• Бұзушылықтың қатысы бар адамдардың жеке өміріне қол сұғылмауына әкелетін салдары.
• Autosoft BV бұзушылықты жою және одан әрі бұзушылықтардың алдын алу үшін қабылдаған техникалық және ұйымдастырушылық шаралар.
• Autosoft BV деректер субъектілеріне деректердің бұзылғаны туралы хабарлады ма, жоқ болса, Autosoft BV мұны істеуге ниетті ме:
• Олай болса, деректер субъектілеріне хабарламаның мазмұны.
• Әйтпесе, Autosoft BV деректер субъектілеріне деректердің бұзылуы туралы хабарлаудан бас тартуының себебі.
• Жеке деректер шифрланған, хэштелген немесе басқа жолмен түсініксіз немесе рұқсат етілмеген тұлғалар үшін қол жетімсіз етілді ме?

2-бөлім: Стандартты өңдеу ережелері

Нұсқа: қыркүйек 2019 ж
Data Pro мәлімдемесімен бірге өңдеу келісімін қалыптастырады және Келісімге қосымша және қолданылатын жалпы шарттар мен ілеспе қосымшалар болып табылады.

1-бап. Анықтамалар

Төмендегі терминдердің осы Стандартты өңдеу ережелерінде, Data Pro мәлімдемесінде және келісімде келесі мағыналары бар:

• 1.1 Голландиялық деректерді қорғау органы (AP): 4-баптың 21-тармақшасында сипатталғандай қадағалау органы.
• 1.2 AVG: Деректерді қорғаудың жалпы ережесі.
• 1.3 Деректерді өңдеуші: АКТ жеткізушісі ретінде Келісімді орындау контекстінде Клиентінің пайдасы үшін Жеке деректерді өңдейтін тарап.
• 1.4 Data Pro мәлімдемесі: Дерек өңдеуші мәлімдемесі, онда ол өз өнімін немесе қызметін мақсатты пайдалануға, қабылданған қауіпсіздік шараларына, қосалқы өңдеушілерге, деректердің ағып кетуіне, сертификаттауларға және деректер субъектілерінің құқықтарын өңдеуге қатысты ақпаратты береді.
• 1.5 Деректер субъектісі (деректер субъектісі): сәйкестендірілген немесе сәйкестендірілетін жеке тұлға.
• 1.6 Клиент: атынан деректер өңдеушісі жеке деректерді өңдейтін тарап. Клиент контроллер («контроллер») немесе басқа процессор болуы мүмкін.
• 1.7 Келісім: Клиент пен Деректерді өңдеуші арасындағы келісім, оның негізінде АКТ жеткізушісі Клиентке қызметтерді және/немесе өнімдерді жеткізеді, оның бөлігі процессор келісімі болып табылады.
• 1.8 Дербес деректер: AVG 4-баптың 1-тармақшасында сипатталғандай сәйкестендірілген немесе сәйкестендірілетін жеке тұлға туралы барлық ақпарат, оны Дерек өңдеуші Келісімнен туындайтын өз міндеттемелерін орындау контекстінде өңдейді.
• 1.9 Өңдеу келісімі: өңдеуге арналған осы Стандартты баптар, олар Деректерді өңдеушіден Data Pro мәлімдемесімен (немесе салыстырмалы ақпаратпен) бірге GDPR 28-бабының 3-тармағында көрсетілгендей өңдеу келісімін құрайды.

2-бап. Жалпы

• 2.1 Осы Стандартты өңдеу ережелері Деректерді өңдеуші өз өнімдері мен қызметтерін жеткізу контекстінде жасайтын жеке деректерді өңдеуге және барлық Келісімдерге және ұсыныстарға қолданылады. Клиенттің өңдеу келісімдерін қолдану мүмкіндігі ашық түрде қабылданбайды.
• 2.2 Data Pro мәлімдемесіне, әсіресе ондағы қауіпсіздік шараларына, өзгеретін жағдайларды көрсету үшін Дерек өңдеуші мезгіл-мезгіл түзетулер енгізуі мүмкін. Деректерді өңдеуші маңызды өзгерістер туралы Клиентке хабарлайды. Егер Клиент түзетулермен ақылға қонымды түрде келісе алмаса, Клиент түзетулер туралы хабарлама жіберілген күннен бастап 30 күн ішінде өңдеу келісімін жазбаша түрде бұзуға құқылы.
• 2.3 Деректерді өңдеуші Деректер өңдеушімен келісілген Клиенттің жазбаша нұсқауларына сәйкес Клиенттің атынан және тапсырмасы бойынша Дербес деректерді өңдейді.
• 2.4 Клиент немесе оның тұтынушысы GDPR мағынасында бақылаушы болып табылады, Дербес деректердің өңделуін бақылайды және Дербес деректерді өңдеудің мақсаты мен құралдарын анықтайды.
• 2.5 Деректерді өңдеуші GDPR мағынасында өңдеуші болып табылады, сондықтан Жеке деректерді өңдеудің мақсаты мен құралдарын бақылай алмайды, сондықтан басқа нәрселермен қатар жеке деректерді пайдалану туралы ешқандай шешім қабылдамайды.
• 2.6 Деректерді өңдеуші осы өңдеуге арналған стандартты баптарда, Data Pro мәлімдемесінде және Келісімде көрсетілгендей GDPR енгізеді. Клиент осы ақпарат негізінде өңдеу GDPR талаптарына және деректер субъектілерінің құқықтарын қорғауға сәйкес келетін тиісті техникалық және ұйымдастырушылық шараларды қолдануға қатысты деректерді өңдеуші жеткілікті кепілдіктерді ұсына ма, соны бағалай алады. жеткілікті. кепілдендірілген.
• 2.7 Клиент Дерек өңдеушіге оның GDPR сәйкес әрекет ететініне, оның жүйелері мен инфрақұрылымын барлық уақытта тиісті түрде қорғайтынына және жеке деректердің мазмұны, пайдаланылуы және/немесе өңделуі заңсыз емес және ешқандай құқықты бұзбайтынына кепілдік береді. үшінші тараптың.
• 2.8 AP Клиентке салған әкімшілік айыппұлды Дерек өңдеушіден қалпына келтіру мүмкін емес.

3-бап. Қауіпсіздік

• 3.1 Деректер өңдеушісі өзінің Data Pro мәлімдемесінде сипатталғандай техникалық және ұйымдық қауіпсіздік шараларын қабылдайды. Техникалық және ұйымдастырушылық қауіпсіздік шараларын қабылдаған кезде Деректерді өңдеуші техниканың деңгейін, қауіпсіздік шараларын іске асыру шығындарын, өңдеудің сипатын, көлемін және контекстін, оның өнімдері мен қызметтерінің мақсаттары мен мақсатты пайдаланылуын ескерді. , өңдеу тәуекелдері және деректер субъектілерінің құқықтары мен бостандықтары үшін ықтималдығы мен маңыздылығымен ерекшеленетін тәуекелдер, оның өнімдері мен қызметтерін мақсатты пайдалануына байланысты күтуі мүмкін.
• 3.2 Data Pro мәлімдемесінде басқаша анық көрсетілмесе, Деректер өңдеушісінің өнімі немесе қызметі жеке деректердің арнайы санаттарын немесе қылмыстық соттылыққа немесе құқық бұзушылықтарға немесе үкімет берген жеке нөмірлерге қатысты деректерді өңдеуге арналмаған.
• 3.3 Деректерді өңдеуші ол қабылдайтын қауіпсіздік шараларының деректер өңдеушісі өнімді немесе қызметті мақсатты пайдалануына сәйкес болуын қамтамасыз етуге тырысады.
• 3.4 Клиенттің пікірінше, сипатталған қауіпсіздік шаралары 3.1-бапта көрсетілген факторларды ескере отырып, ол пайдаланылған немесе ұсынған Дербес деректерді өңдеу тәуекеліне бейімделген қауіпсіздік деңгейін ұсынады.
• 3.5 Деректерді өңдеуші қауіпсіздіктің тиісті деңгейін қамтамасыз етуді жалғастыру үшін қажет деп санаса, қабылданған қауіпсіздік шараларына өзгерістер енгізуі мүмкін. Деректерді өңдеуші маңызды өзгерістерді жазады, мысалы түзетілген Data Pro мәлімдемесінде және қажет болған жағдайда Клиентке сол өзгерістер туралы хабарлайды.
• 3.6 Клиент Дерек өңдеушіге қосымша қауіпсіздік шараларын қолдануды сұрай алады. Деректерді өңдеуші мұндай сұрау бойынша өзінің қауіпсіздік шараларына өзгерістер енгізуге міндетті емес. Деректерді өңдеуші Клиенттің өтініші бойынша енгізілген өзгерістерге байланысты шығындарды Клиенттен ала алады. Клиент қалаған өзгертілген қауіпсіздік шаралары жазбаша түрде келісілгеннен және Тараптар қол қойғаннан кейін ғана Деректерді өңдеуші осы қауіпсіздік шараларын іс жүзінде жүзеге асыруға міндетті.

4-бап. Дербес деректерді бұзу

• 4.1 Деректерді өңдеуші қауіпсіздік шараларының барлық жағдайда тиімді екеніне кепілдік бермейді. Егер Деректерді өңдеуші Дербес деректерге қатысты бұзушылықты анықтаса (Ортаның 4-тармақшасының 12-тармағында көрсетілгендей), ол Клиентке кідіріссіз хабарлайды. Data Pro мәлімдемесі (деректер ағып кету хаттамасы бойынша) Деректер өңдеушісінің Клиентті жеке деректерге қатысты бұзушылықтар туралы хабардар ету жолын анықтайды.
• 4.2 Дерек өңдеуші хабарлаған Дербес деректердің бұзылуы туралы AP немесе деректер субъектісіне хабарлау қажет пе екенін бағалау контроллерге (клиент немесе оның тұтынушысына) байланысты. GDPR 33 және 34-баптарына сәйкес AP және/немесе деректер субъектілеріне хабарлануы тиіс жеке деректерге қатысты бұзушылықтар туралы хабарлау әрқашан бақылаушының (клиенттің немесе оның тұтынушысының) жауапкершілігі болып қала береді. Деректерді өңдеуші AP және/немесе Деректер субъектісіне жеке деректердің бұзылуы туралы хабарлауға міндетті емес.
• 4.3 Деректерді өңдеуші қажет болған жағдайда Дербес деректерге қатысты бұзушылық туралы қосымша ақпаратты береді және 33 және 34 Орт.
• 4.4 Деректерді өңдеуші осы контекстте туындаған ақылға қонымды шығындарды сол кездегі қолданыстағы тарифтер бойынша Клиенттен ала алады.

5-бап. Құпиялылық

• 5.1 Деректерді өңдеуші өз жауапкершілігімен Жеке деректерді өңдейтін тұлғалардың құпиялылық міндеті бар екеніне кепілдік береді.
• 5.2 Деректерді өңдеуші, егер сот шешіміне, құқықтық реттеуге немесе мемлекеттік органның уәкілетті бұйрығына сәйкес қамтамасыз ету қажет болса, жеке деректерді үшінші тұлғаларға беруге құқылы.
• 5.3 Дерек өңдеуші Клиентке беретін барлық кіру және/немесе сәйкестендіру кодтары, сертификаттар, кіру және/немесе құпия сөз саясатына қатысты ақпарат және Data Pro мәлімдемесіне енгізілген техникалық және ұйымдық қауіпсіздік шараларын жүзеге асыратын Клиентке Дерек өңдеуші берген барлық ақпарат құпия болып табылады. және оны Клиент солай қарастырады және тек Клиенттің уәкілетті қызметкерлеріне белгілі болады. Клиент өз қызметкерлерінің осы бапта көзделген міндеттемелерді орындауын қамтамасыз етеді.

6-бап. Мерзімі және тоқтатылуы

• 6.1 Осы өңдеуші келісімі Шарттың және одан туындайтын кез келген жаңа немесе одан әрі келісімнің бір бөлігін құрайды, Шарт жасасқан кезде күшіне енеді және белгісіз мерзімге жасалады.
• 6.2 Бұл процессор келісімі Шарттың немесе тараптар арасындағы кез келген жаңа немесе одан әрі келісімнің тоқтатылуынан кейін заңның күшімен аяқталады.
• 6.3 Өңдеу келісімі аяқталған жағдайда, Деректерді өңдеуші өз иелігіндегі және Клиенттен алынған барлық Дербес деректерді Data Pro мәлімдемесіне енгізілген мерзім ішінде оларды бұдан былай пайдалану мүмкін болмайтын және бұдан былай болмайтындай етіп жояды. қол жетімді (қолжетімсіз етіп көрсету). , немесе келісілген жағдайда оны Клиентке машина оқылатын пішімде қайтарыңыз.
• 6.4 Деректерді өңдеуші Клиенттен 6.3-баптың ережелері контекстінде кез келген шығындарды өтей алады. Бұл туралы қосымша келісімдер Data Pro мәлімдемесінде көрсетілуі мүмкін.
• 6.5 6.3-баптың ережелері, егер заңнамалық реттеу деректер өңдеушіге Дербес деректерді толығымен немесе ішінара жоюға немесе қайтаруға кедергі келтірсе, қолданылмайды. Мұндай жағдайда Деректерді өңдеуші өзінің заңды міндеттемелері бойынша қажетті көлемде Жеке деректерді өңдеуді жалғастырады. 6.3-баптың ережелері, егер Дерек өңдеуші Дербес деректерге қатысты GDPR мағынасында бақылаушы болса, қолданылмайды.

7-бап. Деректер субъектілерінің құқықтары, деректерді қорғауға әсер етуді бағалау (DPIA) және аудит құқықтары

• 7.1 Деректерді өңдеуші мүмкіндігінше, Клиенттен деректер субъектілері сұраған деректер субъектілерінің құқықтарына қатысты Клиенттің негізделген сұрауларымен ынтымақтасады. Деректер өңдеушіге Деректер субъектісі тікелей хабарласса, ол бұл адамды мүмкіндігінше Клиентке жібереді.
• 7.2 Егер Клиент мұны істеуге міндетті болса, Деректерді өңдеуші 35 және 36 Орт.
• 7.3 Деректер өңдеушісі Клиенттің жеке деректерді жою туралы сұрауларымен ынтымақтасады, себебі Клиент мұны өзі орындай алмайды.
• 7.4 Клиенттің сұрауы бойынша Деректерді өңдеуші осы өңдеу келісімінде жасалған келісімдерге сәйкестігін көрсету үшін негізді қажет болатын барлық қосымша ақпаратты қол жетімді етеді. Егер Клиентте жеке деректерді өңдеу өңдеу келісіміне сәйкес жүзеге аспайды деп пайымдауға негіз болса, онымен жылына бір реттен жиі емес, тәуелсіз, сертификатталған, сыртқы сарапшы кеңес ала алады, оның түрімен дәлелденетін тәжірибесі бар. Шарт негізінде жүзеге асырылатын өңдеу. , Клиент есебінен жүргізілген аудит болуы. Аудит осы Процессор келісімінде бекітілген Жеке деректерді өңдеуге қатысты келісімдердің сақталуын тексерумен шектеледі. Сарапшы өзі тапқан нәрсеге қатысты құпияны сақтауға міндетті болады және Клиентке осы процессор келісімі бойынша Деректерді өңдеуші міндеттемелерін орындауда кемшіліктерге әкелетіні туралы ғана хабарлайды. Сарапшы өз есебінің көшірмесін Деректерді өңдеушіге береді. Деректерді өңдеуші, егер оның пікірінше, бұл GDPR немесе басқа заңнаманы бұзса немесе ол қабылдаған қауіпсіздік шараларын рұқсат етілмейтін бұзу болып табылса, сараптамадан немесе нұсқаудан бас тарта алады.
• 7.5 Тараптар есептің нәтижелері туралы мүмкіндігінше тезірек кеңесетін болады. Тараптар есепте көрсетілген жақсарту шараларын олардан күтуге болатындай дәрежеде ұстанатын болады. Деректерді өңдеуші ұсынылған жақсарту шараларын оның өнімімен немесе қызметімен байланысты өңдеу тәуекелдерін, техниканың соңғы деңгейін, енгізу шығындарын, ол жұмыс істейтін нарықты және және өнімнің немесе қызметтің мақсатты пайдаланылуы, қызмет.
• 7.6 Деректерді өңдеуші Клиенттен осы баптың ережелеріне сәйкес келетін шығындарды өндіруге құқылы.

8-бап. Қосымша өңдеушілер

• 8.1 Деректерді өңдеуші Деректер Процессорының Дербес деректерді өңдеуге қандай үшінші тараптар (қосалқы өңдеушілер немесе қосалқы өңдеушілер) қатысатынын және солай болса, Data Pro мәлімдемесінде мәлімдеді.
• 8.2 Клиент Шарттан туындайтын өз міндеттемелерін орындау үшін Деректерді өңдеушіге басқа қосалқы өңдеушілерді тартуға рұқсат береді.
• 8.3 Деректерді өңдеуші Клиентке деректерді өңдеуші тартатын үшінші тараптардағы өзгерістер туралы хабарлайды, мысалы өзгертілген Data Pro мәлімдемесі арқылы. Клиент Деректерді өңдеушінің жоғарыда аталған өзгертуіне қарсылық білдіруге құқылы. Деректерді өңдеуші өзі тартатын үшінші тұлғалардың Деректер Процессоры Data Pro мәлімдемесі негізінде Клиентпен байланысты қауіпсіздік деңгейі сияқты Дербес деректерді қорғауға қатысты қауіпсіздік деңгейіне міндеттеме алуын қамтамасыз етеді.

9-бап. Басқа

Осы Стандартты өңдеу ережелері Data Pro мәлімдемесімен бірге Келісімнің ажырамас бөлігін құрайды. Шарт бойынша барлық құқықтар мен міндеттер, соның ішінде қолданылатын жалпы талаптар мен талаптарды және/немесе жауапкершілік шектеулерін өңдеу келісіміне де қолданылады.