ដំណើរការកិច្ចព្រមព្រៀង

សេចក្តីណែនាំ

ដំណើរការ Autosoft BV ក្នុងចំណោមរបស់ផ្សេងទៀត ទិន្នន័យផ្ទាល់ខ្លួនសម្រាប់ និងក្នុងនាមអតិថិជន។ ដូច្នេះ Autosoft BV និងអតិថិជនត្រូវមានកាតព្វកិច្ចនៅក្រោមបទប្បញ្ញត្តិការពារទិន្នន័យទូទៅ (GDPR) ដើម្បីបញ្ចប់កិច្ចព្រមព្រៀងដំណើរការ។ យោងតាម ​​GDPR Autosoft BV គឺជា 'processor' ហើយអតិថិជនគឺជា 'controller' ។ កិច្ចព្រមព្រៀងដំណើរការនេះក៏ពិពណ៌នាអំពីរបៀបដែល Autosoft BV ដោះស្រាយកាតព្វកិច្ចជូនដំណឹងអំពីការរំលោភលើទិន្នន័យ។

ដំណើរការកិច្ចព្រមព្រៀង

រួមមានៈ
ផ្នែកទី 1៖ សេចក្តីថ្លែងការណ៍គាំទ្រទិន្នន័យ
ផ្នែកទី 2៖ ឃ្លាដំណើរការស្តង់ដារ

ផ្នែកទី 1៖ សេចក្តីថ្លែងការណ៍គាំទ្រទិន្នន័យ

ព័ត៌មានទូទៅ

១). Data Pro Statement នេះត្រូវបានគូរឡើងដោយ data processor (processor) ខាងក្រោម៖

• Autosoft BV
  ហេង ឡូសស្ត្រាត ៥៤៧
  7521 AG Enschede

សម្រាប់សំណួរអំពី Data Pro Statement ឬការការពារទិន្នន័យ សូមទាក់ទង៖
Arthur van der Lek៖ arthur@autosoft.eu / +31 (0)53 – 428 00 98

២). សេចក្តីថ្លែងការណ៍របស់ Data Pro នេះអនុវត្តចាប់ពីថ្ងៃទី 2 ខែសីហា ឆ្នាំ 1
យើងកែតម្រូវរបាយការណ៍ Data Pro នេះជាទៀងទាត់ និងវិធានការសុវត្ថិភាពដែលបានពិពណ៌នានៅក្នុងនោះ ដើម្បីធានាថាយើងតែងតែត្រូវបានរៀបចំ និងទាន់សម័យទាក់ទងនឹងការការពារទិន្នន័យ។ យើងនឹងជូនដំណឹងដល់អ្នកអំពីកំណែថ្មីតាមរយៈបណ្តាញធម្មតារបស់យើង។

៣). សេចក្តីថ្លែងការណ៍របស់ Data Pro នេះអនុវត្តចំពោះផលិតផល និងសេវាកម្មដំណើរការទិន្នន័យខាងក្រោម

• គេហទំព័រស្វ័យប្រវត្តិ
• ពាណិជ្ជកម្មស្វ័យប្រវត្តិ

៤). ការពិពណ៌នាគេហទំព័ររថយន្ត
ក្រុមហ៊ុនរថយន្តប្រើប្រាស់គេហទំព័រ Autowebsite។ ជាមួយនឹង Autowebsite ក្រុមហ៊ុនរថយន្តអាចបង្ហាញខ្លួនឯងនៅលើអ៊ីនធឺណិត។

៥). មានបំណងប្រើប្រាស់គេហទំព័ររថយន្ត
Autowebsite ត្រូវបានរចនា និងបំពាក់ដើម្បីដំណើរការប្រភេទទិន្នន័យខាងក្រោម៖
អ្នកចូលមើលគេហទំព័រដែលបង្កើតឡើងដោយ Autosoft ជាមួយ Autowebsite មានជម្រើសក្នុងការទុកព័ត៌មានលម្អិតទំនាក់ទំនងរបស់ពួកគេនៅទីនោះ ដើម្បីឱ្យក្រុមហ៊ុនរថយន្តមានឱកាសទាក់ទងអ្នកទស្សនាសម្រាប់សេវាកម្មបន្ថែម។ ព័ត៌មានលម្អិតទំនាក់ទំនងទាំងនេះមិនត្រូវបានរក្សាទុកជាមួយ Autosoft ទេ ប៉ុន្តែត្រូវបានបញ្ជូនបន្តដោយផ្ទាល់តាមរយៈអ៊ីមែលទៅកាន់អាសយដ្ឋានអ៊ីមែលរបស់ក្រុមហ៊ុនរថយន្ត។

• សេវាកម្មនេះមិនគិតពីដំណើរការទិន្នន័យផ្ទាល់ខ្លួនពិសេស ឬទិន្នន័យទាក់ទងនឹងការផ្តន្ទាទោសព្រហ្មទណ្ឌ និងបទល្មើស ឬលេខផ្ទាល់ខ្លួនដែលចេញដោយរដ្ឋាភិបាលនោះទេ។

៦). ការពិពណ៌នា Autocommerce
ក្រុមហ៊ុនរថយន្តប្រើ Autocommerce ។ ជាមួយនឹង Autocommerce ក្រុមហ៊ុនរថយន្តអាចគ្រប់គ្រង និងបង្ហាញយានយន្តរបស់ពួកគេនៅលើគេហទំព័រផ្ទាល់ខ្លួនរបស់ពួកគេ និងគេហទំព័រស្វែងរកតាមអ៊ីនធឺណិតរបស់ភាគីទីបី។

៧). មានបំណងប្រើប្រាស់ Autocommerce
Autocommerce ត្រូវបានរចនាឡើង និងបំពាក់ដើម្បីដំណើរការប្រភេទទិន្នន័យខាងក្រោម៖
ក្រុមហ៊ុនរថយន្តអាចដាក់យានយន្តដែលបានចុះបញ្ជីរបស់ពួកគេតាមរយៈ Autocommerce នៅលើគេហទំព័ររថយន្តផ្ទាល់ខ្លួនរបស់ពួកគេ។ យានជំនិះដែលបានចុះបញ្ជីទាំងនេះមិនមានទិន្នន័យណាមួយដែលអាចតាមដានទៅទិន្នន័យផ្ទាល់ខ្លួនក្នុងទម្រង់ណាមួយឡើយ។ អ្នកចូលមើលគេហទំព័ររថយន្តមានជម្រើសក្នុងការទុកព័ត៌មានលម្អិតទំនាក់ទំនងរបស់ពួកគេនៅទីនោះដើម្បីឱ្យក្រុមហ៊ុនរថយន្តមានឱកាសទាក់ទងអ្នកទស្សនាសម្រាប់សេវាកម្មបន្ថែម។ ព័ត៌មានលម្អិតទំនាក់ទំនងទុកដោយអ្នកទស្សនានៅលើគេហទំព័រស្វ័យប្រវត្តិរបស់ពួកគេត្រូវបានរក្សាទុកនៅក្នុង Autocommerce ។

• សេវាកម្មនេះមិនគិតពីដំណើរការទិន្នន័យផ្ទាល់ខ្លួនពិសេស ឬទិន្នន័យទាក់ទងនឹងការផ្តន្ទាទោសព្រហ្មទណ្ឌ និងបទល្មើស ឬលេខផ្ទាល់ខ្លួនដែលចេញដោយរដ្ឋាភិបាលនោះទេ។

៨). ដំណើរការទិន្នន័យប្រើប្រាស់ Standard Clauses សម្រាប់ដំណើរការសម្រាប់ Autowebsite និង Autocommerce ដែលអាចត្រូវបានរកឃើញជាឧបសម្ព័ន្ធនៃកិច្ចព្រមព្រៀង។

៩). Data processor ដំណើរការទិន្នន័យផ្ទាល់ខ្លួនរបស់អតិថិជនរបស់ខ្លួននៅក្នុង EU/EEA សម្រាប់ Autowebsite និង Autocommerce។

១០). អង្គដំណើរការទិន្នន័យប្រើអង្គដំណើរការរងខាងក្រោមសម្រាប់ពាណិជ្ជកម្មស្វ័យប្រវត្តិ៖
ក្នុងករណីខ្លះ Autosoft បញ្ជូនយានជំនិះដែលបានចុះបញ្ជីរបស់ខ្លួនតាមរយៈ Autocommerce ទៅកាន់វិបផតថលស្វែងរកអ៊ីនធឺណិតរបស់ភាគីទីបី ឬអ្នកដំណើរការរងក្នុងនាមក្រុមហ៊ុនរថយន្ត។ បញ្ជីនៃដំណើរការរងគឺអាចរកបានតាមការស្នើសុំនៅ support@autosoft.eu ។

១១). បន្ទាប់ពីការបញ្ចប់កិច្ចព្រមព្រៀងជាមួយអតិថិជន ដំណើរការទិន្នន័យជាគោលការណ៍នឹងដកទិន្នន័យផ្ទាល់ខ្លួនដែលវាដំណើរការសម្រាប់អតិថិជនក្នុងរយៈពេល 11 ខែ តាមរបៀបដែលពួកគេមិនអាចប្រើបាន និងមិនអាចប្រើប្រាស់បានទៀតទេ (បង្ហាញមិនអាចចូលដំណើរការបាន)។

គោលនយោបាយសន្តិសុខ

សង្ខេបវិធានការសុវត្ថិភាពខាងក្រោមដែលដំណើរការទិន្នន័យបានអនុវត្តដើម្បីការពារផលិតផល ឬសេវាកម្មរបស់វា៖

គោលនយោបាយគ្រប់គ្រង និងឆ្លើយតបឧប្បត្តិហេតុ
ការគ្រប់គ្រងឧប្បត្តិហេតុ និងគោលនយោបាយឆ្លើយតបក្នុងវិស័យសន្តិសុខព័ត៌មានរួមមានការត្រួតពិនិត្យ និងការរកឃើញឧប្បត្តិហេតុសុវត្ថិភាពនៅលើកុំព្យូទ័រ ឬហេដ្ឋារចនាសម្ព័ន្ធ IT ប៉ុន្តែក៏មានការសង្កេតមើលសកម្មភាពគួរឱ្យសង្ស័យដោយបុគ្គលិក និងការអនុវត្តការឆ្លើយតបត្រឹមត្រូវចំពោះព្រឹត្តិការណ៍ទាំងនេះ។

គោលដៅចម្បងនៃគោលការណ៍នេះគឺដើម្បីបង្កើតការឆ្លើយតបដែលយល់ច្បាស់ និងអាចព្យាករណ៍បានចំពោះព្រឹត្តិការណ៍ព្យាបាទ និងការឈ្លានពានកុំព្យូទ័រក្នុងន័យទូលំទូលាយនៃពាក្យ។

ការគ្រប់គ្រងឧប្បត្តិហេតុ និងគោលនយោបាយឆ្លើយតប គឺជាដំណើរការនៃការគ្រប់គ្រង និងការពារកុំព្យូទ័រ បណ្តាញ និងប្រព័ន្ធព័ត៌មាន និងព័ត៌មានដែលរក្សាទុកក្នុងនោះ។ Autosoft ដឹងអំពីទំនួលខុសត្រូវរបស់ខ្លួន នៅពេលនិយាយអំពីការការពារព័ត៌មាននេះ ដើម្បីជាប្រយោជន៍ដល់អតិថិជន និងដៃគូសង្វាក់ផ្គត់ផ្គង់។ ទំនួលខុសត្រូវនេះពង្រីកដល់ការមាននីតិវិធីឧប្បត្តិហេតុ។ ការគ្រប់គ្រងឧប្បត្តិហេតុគឺជាសំណុំនៃសកម្មភាពដែលកំណត់ និងអនុវត្តដំណើរការដែលអង្គការអាចប្រើប្រាស់ដើម្បីលើកកម្ពស់សុខុមាលភាពផ្ទាល់ខ្លួន និងសុវត្ថិភាពសាធារណៈ។

អាយធី និងសន្តិសុខ
រចនាសម្ព័ន្ធ ICT របស់ Autosoft BV ត្រូវបានធានាយ៉ាងត្រឹមត្រូវជាមួយនឹងជញ្ជាំងភ្លើង ហើយកម្មវិធីស្កែនមេរោគត្រូវបានរក្សាទុកឱ្យទាន់សម័យ។ បុគ្គលិកគ្រប់រូបមានប្រវត្តិរូបចូល។ នៅពេលចាប់ផ្តើមកុំព្យូទ័រ និយោជិតត្រូវបញ្ចូលឈ្មោះចូល និងពាក្យសម្ងាត់ ហើយប្រសិនបើអាចធ្វើទៅបានជាមួយនឹងការផ្ទៀងផ្ទាត់ 2 ជំហាន។

កម្មវិធីមួយចំនួនក៏សួររកឈ្មោះចូល និងពាក្យសម្ងាត់ និងកន្លែងដែលអាចធ្វើទៅបានជាមួយនឹងការផ្ទៀងផ្ទាត់ 2 ជំហាន។ ការយល់ដឹងក្នុងចំណោមបុគ្គលិកអំពីការងារប្រកបដោយសុវត្ថិភាពត្រូវបានជំរុញ ដូចជាការទាក់ទាញការយកចិត្តទុកដាក់ចំពោះការមិនបើកអ៊ីមែលដែលគួរឱ្យសង្ស័យ ការមិនចុចលើតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ ការចាកចេញនៅពេលចាកចេញពីកន្លែងធ្វើការយូរ។ល។

ឯកសារត្រូវបានបម្រុងទុកក្នុងអំឡុងពេលថ្ងៃ និងរៀងរាល់យប់។ សម្រាប់ហេតុផលសុវត្ថិភាព នីតិវិធីផ្ទុកបន្ថែមជុំវិញការបម្រុងទុកគឺជាការសម្ងាត់។ Autosoft BV បានបញ្ចប់កិច្ចសន្យាសេវាកម្មសម្រាប់ការនេះជាមួយអ្នកផ្គត់ផ្គង់កុំព្យូទ័រ និងអ្នកផ្តល់សេវាបង្ហោះអ៊ីនធឺណិត។

គោលការណ៍ការពារទិន្នន័យ
Autosoft BV ចាត់វិធានការបច្ចេកទេស និងស្ថាប័នសមស្របដើម្បីការពារទិន្នន័យផ្ទាល់ខ្លួនរបស់អតិថិជនប្រឆាំងនឹងការបាត់បង់ ឬទម្រង់នៃដំណើរការខុសច្បាប់ណាមួយ។ វិធានការបច្ចេកទេស និងអង្គការទាំងនេះត្រូវបានចាត់ទុកថាជាកម្រិតសុវត្ថិភាពសមស្របក្នុងអត្ថន័យនៃមាត្រា 1 នៃ GDPR ហើយត្រូវបានរក្សាទុកជាឯកសារនៅក្នុង Basecamp កណ្តាល (គម្រោង៖ អង្គការ/គោលការណ៍ការពារទិន្នន័យ) នៃ Autosoft BV

បច្ចេកទេស និងការរៀបចំ

1. វិធានការដើម្បីធានាថាមានតែបុគ្គលិកដែលមានការអនុញ្ញាតប៉ុណ្ណោះដែលអាចចូលប្រើទិន្នន័យផ្ទាល់ខ្លួនដែលបានដំណើរការនៅក្នុងបរិបទនៃកិច្ចព្រមព្រៀងដំណើរការ។
2. វិធានការដើម្បីការពារទិន្នន័យផ្ទាល់ខ្លួន ជាពិសេសប្រឆាំងនឹងការបំផ្លិចបំផ្លាញ ការបាត់បង់ដោយចៃដន្យ ឬដោយខុសច្បាប់ ការផ្លាស់ប្តូរដោយចៃដន្យ ការផ្ទុកដោយគ្មានការអនុញ្ញាត ឬខុសច្បាប់ ការចូលប្រើ ឬការបង្ហាញ។
3. វិធានការដើម្បីការពារទិន្នន័យផ្ទាល់ខ្លួនប្រឆាំងនឹង ជាពិសេស ការបំផ្លិចបំផ្លាញដោយចៃដន្យ ឬដោយខុសច្បាប់ ការបាត់បង់ ការផ្លាស់ប្តូរដោយចៃដន្យ ការផ្ទុកដោយគ្មានការអនុញ្ញាត ឬខុសច្បាប់ ការចូលប្រើប្រាស់ ឬការបង្ហាញអំឡុងពេលផ្លាស់ប្តូរ/ដឹកជញ្ជូនទិន្នន័យ។
4. វិធានការដើម្បីធានានូវសមត្ថភាពក្នុងការធានានូវភាពសម្ងាត់ សុចរិតភាព ភាពអាចរកបាន និងភាពធន់នៃប្រព័ន្ធកែសម្រួល និងសេវាកម្មនៅលើមូលដ្ឋានដែលកំពុងបន្ត។
5. វិធានការដើម្បីស្ដារភាពអាចរកបាន និងការចូលប្រើទិន្នន័យផ្ទាល់ខ្លួនក្នុងលក្ខណៈទាន់ពេលវេលាក្នុងករណីមានឧបទ្ទវហេតុខាងរូបវន្ត ឬបច្ចេកទេស។
6. វិធានការដើម្បីកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះទាក់ទងនឹងដំណើរការទិន្នន័យផ្ទាល់ខ្លួននៅក្នុងប្រព័ន្ធដែលប្រើដើម្បីផ្តល់សេវាកម្មក្រោមកិច្ចសន្យា។

ស្ថាប័នដូចជា៖

• ការកំណត់រង្វង់មន្ត្រីដែលមានសិទ្ធិចូលប្រើទិន្នន័យផ្ទាល់ខ្លួនជាក់លាក់ចំពោះបុគ្គលទាំងនោះដែលត្រូវការទិន្នន័យសម្រាប់ការអនុវត្តភារកិច្ចរបស់ពួកគេ។
• ផ្តល់សិទ្ធិឱ្យមនុស្សទាំងនេះចូលប្រើតែទិន្នន័យផ្ទាល់ខ្លួនដែលពួកគេត្រូវការសម្រាប់ការអនុវត្តភារកិច្ចរបស់ពួកគេ;
• ការយល់ព្រមលើឃ្លារក្សាការសម្ងាត់ជាមួយនឹងឃ្លាពិន័យជាមួយមនុស្សទាំងអស់ដែលការចូលប្រើទិន្នន័យផ្ទាល់ខ្លួននឹងត្រូវបានផ្តល់ឱ្យ។
• ការរក្សាទុកទិន្នន័យផ្ទាល់ខ្លួននៅលើម៉ាស៊ីនមេក្នុងកន្លែងបិទជិត;
• រក្សាឯកសារក្រដាសនៅក្នុងទូដែលអាចចាក់សោបាន;
• បង្កើតការយល់ដឹងអំពីសុវត្ថិភាពព័ត៌មានក្នុងចំណោមបុគ្គលិក;
• ការបង្កើតពិធីសារ និងនីតិវិធីច្បាស់លាស់សម្រាប់ការដោះស្រាយទាន់ពេលវេលា និងប្រកបដោយប្រសិទ្ធភាពនៃឧប្បត្តិហេតុសន្តិសុខព័ត៌មាន និងភាពងាយរងគ្រោះផ្នែកសន្តិសុខ។

អង្គដំណើរការទិន្នន័យប្រើប្រាស់វិធីសាស្រ្ត និងនីតិវិធីផ្ទាល់ខ្លួនសម្រាប់ការគ្រប់គ្រងដែលសមស្របនឹងវិធីសាស្រ្តការងាររបស់អង្គការ៖

• នៅក្នុង Basecamp ឯកសារពាក់ព័ន្ធត្រូវបានគ្រប់គ្រង និងវាយតម្លៃតាមកាលកំណត់។

ពិធីការបំពានទិន្នន័យ

នៅក្នុងព្រឹត្តិការណ៍ដែលមានអ្វីមួយខុសប្រក្រតី អង្គដំណើរការទិន្នន័យប្រើពិធីការលេចធ្លាយទិន្នន័យខាងក្រោម ដើម្បីធានាថាអតិថិជនបានដឹងអំពីឧប្បត្តិហេតុ៖

Autosoft BV - ដំណើរការបំពានទិន្នន័យ

តើការបំពានទិន្នន័យគឺជាអ្វី ហើយតើខ្ញុំត្រូវរាយការណ៍វាទៅ AP នៅពេលណា?
ការបំពានទិន្នន័យគឺជាឧប្បត្តិហេតុសុវត្ថិភាពព័ត៌មានដែលពាក់ព័ន្ធនឹងការរំលោភលើសុវត្ថិភាពនៃទិន្នន័យផ្ទាល់ខ្លួនតាមរយៈការប៉ះពាល់នឹងការបាត់បង់ ឬដំណើរការខុសច្បាប់ដូចជា (ប៉ុន្តែមិនពេញលេញទេ)៖

• ការកែតម្រូវ និង/ឬការផ្លាស់ប្តូរទិន្នន័យផ្ទាល់ខ្លួន និងការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះទិន្នន័យផ្ទាល់ខ្លួននេះ;
• នៅក្នុងព្រឹត្តិការណ៍នៃការបំបែកចូលដោយពួក Hacker មួយ;
• ការបាត់បង់ដំបង USB ការលួចកុំព្យូទ័រយួរដៃ;
• ការផ្ញើទិន្នន័យរសើបទៅកាន់អាសយដ្ឋានអ៊ីមែលមិនត្រឹមត្រូវ;

យោងតាមច្បាប់ ការបំពានទិន្នន័យ 'ធ្ងន់ធ្ងរ' ត្រូវតែរាយការណ៍ទៅអាជ្ញាធរការពារទិន្នន័យរបស់ប្រទេសហូឡង់ដោយគ្មានការពន្យារពេលហួសហេតុ ហើយប្រសិនបើអាចធ្វើទៅបានមិនលើសពី 72 ម៉ោងបន្ទាប់ពីការរកឃើញ។

Autosoft BV មិនចាំបាច់រាយការណ៍ទៅអាជ្ញាធរការពារទិន្នន័យហូឡង់ទេ ប្រសិនបើការកំណត់អត្តសញ្ញាណពិតប្រាកដនៃបុគ្គលធម្មជាតិត្រូវបានដកចេញដោយសមហេតុផល។
ការសង្ស័យទាំងអស់នៃឧប្បត្តិហេតុសន្តិសុខព័ត៌មាននឹងត្រូវបានដោះស្រាយជាដំបូង support@autosoft.eu បានរាយការណ៍ និងចុះឈ្មោះ។ ជំនួយរាយការណ៍អំពីឧបទ្ទវហេតុនេះទៅក្រុមគ្រប់គ្រង និងកំណត់នូវសកម្មភាពតាមដានដែលគួរត្រូវធ្វើ។

នីតិវិធីតាមដាន

តើខ្ញុំត្រូវជូនដំណឹងដល់ប្រធានបទទិន្នន័យនៅពេលណា?
ការបំពានទិន្នន័យត្រូវតែរាយការណ៍ទៅប្រធានបទទិន្នន័យ ប្រសិនបើក្នុងករណីមានការរំលោភបំពាន វាមានហានិភ័យខ្ពស់ដែលការបំពាននឹងមានផលវិបាកមិនល្អសម្រាប់ជីវិតឯកជនរបស់គាត់។ ផលវិបាកដែលមិនអំណោយផលសម្រាប់ប្រធានបទទិន្នន័យគឺ៖ ការខូចខាតដល់កិត្តិយស និងកេរ្តិ៍ឈ្មោះ ការក្លែងបន្លំអត្តសញ្ញាណ ឬការរើសអើង។ ប្រសិនបើ Autosoft BV បានចាត់វិធានការការពារបច្ចេកទេសសមស្រប ដែលធ្វើឱ្យទិន្នន័យផ្ទាល់ខ្លួនដែលពាក់ព័ន្ធមិនអាចយល់បាន ឬមិនអាចចូលបាន ការជូនដំណឹងទៅប្រធានបទទិន្នន័យគឺមិនចាំបាច់ទេ។ ការជូនដំណឹងទៅប្រធានបទទិន្នន័យត្រូវមានការពិពណ៌នាជាភាសាច្បាស់លាស់ និងសាមញ្ញ អំពីលក្ខណៈនៃការបំពានទិន្នន័យផ្ទាល់ខ្លួន និងយ៉ាងហោចណាស់៖

• ឈ្មោះ និងព័ត៌មានលម្អិតទំនាក់ទំនងរបស់មន្ត្រីការពារទិន្នន័យ ឬចំណុចទំនាក់ទំនងផ្សេងទៀតដែលអាចទទួលបានព័ត៌មានបន្ថែម។
• ផលវិបាកដែលអាចកើតមាននៃការបំពានទិន្នន័យផ្ទាល់ខ្លួន;
• វិធានការដែលបានស្នើឡើង ឬធ្វើឡើងដោយអ្នកត្រួតពិនិត្យ ដើម្បីដោះស្រាយការបំពានទិន្នន័យផ្ទាល់ខ្លួន រួមទាំងវិធានការណ៍កាត់បន្ថយផលប៉ះពាល់អវិជ្ជមានណាមួយដែលវាសមស្រប។ ការវាយតម្លៃថាតើការបំពានទិន្នន័យត្រូវតែរាយការណ៍ទៅអាជ្ញាធរការពារទិន្នន័យរបស់ប្រទេសហូឡង់ និង/ឬអ្នកដែលរងផលប៉ះពាល់គឺតែងតែអាស្រ័យទៅលើ Autosoft BV។ ដើម្បីកំណត់ថាតើឧបទ្ទវហេតុមួយត្រូវតែត្រូវបានរាយការណ៍ អាជ្ញាធរការពារទិន្នន័យហូឡង់បានរៀបចំច្បាប់គោលនយោបាយ (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) និង ក្រុមការងារទី 29 នៃគោលការណ៍ណែនាំរបស់អ្នកគ្រប់គ្រងអឺរ៉ុបដែលបានបោះពុម្ពផ្សាយអំពីកាតព្វកិច្ចរាយការណ៍នៅក្នុង GDPR ។ ប្រសិនបើ Autosoft BV មិនបានរាយការណ៍អំពីការបំពានទិន្នន័យ អាជ្ញាធរការពារទិន្នន័យហូឡង់អាចតម្រូវឱ្យ Autosoft BV នៅតែធ្វើរបាយការណ៍។ ការខកខានក្នុងការរាយការណ៍អាចនឹងត្រូវពិន័យជាប្រាក់រដ្ឋបាល។

តើខ្ញុំរាយការណ៍ការបំពានទិន្នន័យដោយរបៀបណា?
អាជ្ញាធរការពារទិន្នន័យហូឡង់ បង្កើតទម្រង់គេហទំព័រដែលអាចប្រើបាន ដែលត្រូវតែប្រើសម្រាប់ការរាយការណ៍អំពីការបំពានទិន្នន័យ (https://dataleks.autoriteitpersoonsgegevens.nl/)។ អាជ្ញាធរការពារទិន្នន័យហូឡង់រក្សាការចុះឈ្មោះនៃការជូនដំណឹងអំពីការបំពានទិន្នន័យដែលទទួលបាន។ ការចុះឈ្មោះនេះមិនមែនជាសាធារណៈទេ។ ប្រសិនបើការផាកពិន័យត្រូវបានដាក់ដោយអាជ្ញាធរការពារទិន្នន័យហូឡង់ ដែលជាលទ្ធផលនៃការរំលោភបំពានទិន្នន័យ ការសម្រេចចិត្តនេះនឹងត្រូវបានបង្ហាញជាសាធារណៈ។ ការបំពានទិន្នន័យក៏ត្រូវបានផ្សព្វផ្សាយជាសាធារណៈផងដែរ នៅពេលដែលប្រធានបទទិន្នន័យចាំបាច់ត្រូវជូនដំណឹងអំពីការបំពានទិន្នន័យ។ ការជូនដំណឹងដល់ប្រធានបទទិន្នន័យត្រូវតែក្នុងករណីណាក៏ដោយបង្ហាញពីលក្ខណៈនៃការរំលោភបំពាន និងអាជ្ញាធរដែលប្រធានបទទិន្នន័យអាចទទួលបានព័ត៌មានបន្ថែមអំពីការរំលោភបំពាន។ វាក៏ត្រូវតែបញ្ជាក់ផងដែរនូវអ្វីដែលប្រធានបទទិន្នន័យអាចធ្វើដោយខ្លួនឯងដើម្បីកំណត់ផលវិបាកអវិជ្ជមាននៃការបំពានទិន្នន័យ។ ឧទាហរណ៍ ការផ្លាស់ប្តូរឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ នៅពេលដែលពួកគេអាចត្រូវបានសម្របសម្រួលដោយការបំពាន។

តើខ្ញុំគួររាយការណ៍អ្វីខ្លះ?
ការជូនដំណឹងទៅអាជ្ញាធរការពារទិន្នន័យហូឡង់រួមមាន:

• អ្នករាយការណ៍អំពីការបំពានទិន្នន័យ។
• បុគ្គលដែលអាជ្ញាធរការពារទិន្នន័យហូឡង់អាចទាក់ទងសម្រាប់ព័ត៌មានបន្ថែមអំពីរបាយការណ៍នេះ។
• សេចក្តីសង្ខេបនៃឧប្បត្តិហេតុដែលការបំពានសុវត្ថិភាពទិន្នន័យផ្ទាល់ខ្លួនបានកើតឡើង។
• ពេលវេលានៃការរំលោភ។
• ធម្មជាតិនៃការរំលោភបំពាន។
• ប្រភេទនៃទិន្នន័យផ្ទាល់ខ្លួនដែលពាក់ព័ន្ធ។
• ផលវិបាកដែលការរំលោភអាចមានចំពោះឯកជនភាពរបស់អ្នកដែលពាក់ព័ន្ធ។
• វិធានការបច្ចេកទេស និងអង្គការដែល Autosoft BV បានអនុវត្តដើម្បីដោះស្រាយការរំលោភបំពាន និងដើម្បីការពារការរំលោភបន្ថែមទៀត។
• ថាតើ Autosoft BV បានរាយការណ៍អំពីការបំពានទិន្នន័យទៅប្រធានបទទិន្នន័យហើយឬអត់ ថាតើ Autosoft BV មានបំណងធ្វើដូចនេះដែរឬទេ៖
• បើដូច្នេះមែន ខ្លឹមសារនៃការជូនដំណឹងទៅកាន់ប្រធានបទទិន្នន័យ។
• បើមិនដូច្នោះទេ ហេតុផលដែល Autosoft BV បដិសេធមិនរាយការណ៍អំពីការបំពានទិន្នន័យទៅប្រធានបទទិន្នន័យ។
• តើទិន្នន័យផ្ទាល់ខ្លួនត្រូវបានអ៊ិនគ្រីប ហាស ឬធ្វើឱ្យមិនអាចយល់បាន ឬមិនអាចចូលប្រើបានចំពោះមនុស្សដែលគ្មានការអនុញ្ញាត?

ផ្នែកទី 2៖ ឃ្លាដំណើរការស្តង់ដារ

កំណែ៖ ខែកញ្ញា ឆ្នាំ 2019
ទម្រង់រួមគ្នាជាមួយ Data Pro Statement កិច្ចព្រមព្រៀងដំណើរការ និងជាឧបសម្ព័ន្ធនៃកិច្ចព្រមព្រៀង និងឧបសម្ព័ន្ធដែលភ្ជាប់មកជាមួយ ដូចជាលក្ខខណ្ឌទូទៅដែលអាចអនុវត្តបាន។

មាត្រា 1. និយមន័យ

លក្ខខណ្ឌខាងក្រោមមានអត្ថន័យដូចខាងក្រោមនៅក្នុង Standard Processing Clauses នៅក្នុង Data Pro Statement និងក្នុងកិច្ចព្រមព្រៀង៖

• 1.1 អាជ្ញាធរការពារទិន្នន័យហូឡង់ (AP)៖ អាជ្ញាធរត្រួតពិនិត្យ ដូចដែលបានពិពណ៌នានៅក្នុងមាត្រា 4 អនុ 21 នៃមធ្យមភាគ។
• 1.2 AVG៖ បទប្បញ្ញត្តិការពារទិន្នន័យទូទៅ។
• 1.3 ឧបករណ៍ដំណើរការទិន្នន័យ៖ ភាគីដែលជាអ្នកផ្គត់ផ្គង់ ICT ដំណើរការទិន្នន័យផ្ទាល់ខ្លួនសម្រាប់ជាប្រយោជន៍ដល់អតិថិជនរបស់ខ្លួនក្នុងបរិបទនៃការអនុវត្តកិច្ចព្រមព្រៀង។
• 1.4 សេចក្តីថ្លែងការណ៍គាំទ្រទិន្នន័យ៖ សេចក្តីថ្លែងការណ៍របស់ Data Processor ដែលវាផ្តល់ព័ត៌មានទាក់ទងនឹងការប្រើប្រាស់ផលិតផល ឬសេវាកម្មដែលមានបំណងរបស់ខ្លួន វិធានការសុវត្ថិភាពដែលបានធ្វើឡើង ដំណើរការរង ការលេចធ្លាយទិន្នន័យ ការបញ្ជាក់ និងការគ្រប់គ្រងសិទ្ធិនៃទិន្នន័យ។
• 1.5 ប្រធានបទទិន្នន័យ (ប្រធានបទទិន្នន័យ): បុគ្គលធម្មជាតិដែលបានកំណត់ ឬកំណត់អត្តសញ្ញាណ។
• 1.6 អតិថិជន៖ ភាគីដែលតំណាងឱ្យ Data Processor ដំណើរការទិន្នន័យផ្ទាល់ខ្លួន។ អតិថិជនអាចជាឧបករណ៍បញ្ជា ("ឧបករណ៍បញ្ជា") ឬដំណើរការផ្សេងទៀត។
• 1.7 កិច្ចព្រមព្រៀង៖ កិច្ចព្រមព្រៀងរវាង Client និង Data Processor ដោយផ្អែកលើមូលដ្ឋានដែលអ្នកផ្គត់ផ្គង់ ICT ផ្គត់ផ្គង់សេវាកម្ម និង/ឬផលិតផលដល់អតិថិជន ដែលកិច្ចព្រមព្រៀងដំណើរការជាផ្នែក។
• 1.8 ទិន្នន័យផ្ទាល់ខ្លួន៖ ព័ត៌មានទាំងអស់អំពីបុគ្គលធម្មជាតិដែលបានកំណត់អត្តសញ្ញាណ ឬអាចកំណត់អត្តសញ្ញាណបាន ដូចដែលបានពិពណ៌នានៅក្នុងប្រការ 4 អនុ 1 AVG ដែល Data Processor ដំណើរការក្នុងបរិបទនៃការអនុវត្តកាតព្វកិច្ចរបស់ខ្លួនដែលកើតចេញពីកិច្ចព្រមព្រៀង។
• 1.9 កិច្ចព្រមព្រៀងដំណើរការ៖ ឃ្លាស្ដង់ដារទាំងនេះសម្រាប់ដំណើរការ ដែលរួមជាមួយនឹង Data Pro Statement (ឬព័ត៌មានដែលអាចប្រៀបធៀបបាន) នៃ Data Processor បង្កើតបានជាកិច្ចព្រមព្រៀងដំណើរការដូចមានចែងក្នុងមាត្រា 28 កថាខ័ណ្ឌ 3 នៃ GDPR ។

មាត្រា 2. ទូទៅ

• 2.1 ឃ្លាដំណើរការស្តង់ដារទាំងនេះអនុវត្តចំពោះដំណើរការទាំងអស់នៃទិន្នន័យផ្ទាល់ខ្លួនដែលអ្នកដំណើរការទិន្នន័យធ្វើនៅក្នុងបរិបទនៃការចែកចាយផលិតផល និងសេវាកម្មរបស់ខ្លួន និងចំពោះកិច្ចព្រមព្រៀង និងការផ្តល់ជូនទាំងអស់។ ការអនុវត្តនៃកិច្ចព្រមព្រៀងដំណើរការរបស់អតិថិជនត្រូវបានបដិសេធយ៉ាងច្បាស់លាស់។
• 2.2 សេចក្តីថ្លែងការណ៍របស់ Data Pro និងជាពិសេសវិធានការសុវត្ថិភាពដែលមាននៅក្នុងនោះ អាចត្រូវបានកែប្រែដោយ Data Processor ពីពេលមួយទៅពេលមួយ ដើម្បីឆ្លុះបញ្ចាំងពីស្ថានភាពផ្លាស់ប្តូរ។ Data Processor នឹងជូនដំណឹងដល់អតិថិជនអំពីការផ្លាស់ប្តូរសំខាន់ៗ។ ប្រសិនបើអតិថិជនមិនអាចយល់ស្របដោយសមហេតុផលជាមួយនឹងការកែតម្រូវនោះ អតិថិជនមានសិទ្ធិបញ្ចប់កិច្ចព្រមព្រៀងដំណើរការជាលាយលក្ខណ៍អក្សរក្នុងរយៈពេល 30 ថ្ងៃបន្ទាប់ពីការជូនដំណឹងអំពីការកែតម្រូវ។
• 2.3 Data Processor ដំណើរការទិន្នន័យផ្ទាល់ខ្លួនក្នុងនាម និងក្នុងនាមអតិថិជនដោយអនុលោមតាមការណែនាំជាលាយលក្ខណ៍អក្សររបស់អតិថិជនដែលបានយល់ព្រមជាមួយ Data Processor ។
• 2.4 អតិថិជន ឬអតិថិជនរបស់ខ្លួន គឺជាអ្នកត្រួតពិនិត្យនៅក្នុងអត្ថន័យនៃ GDPR មានការគ្រប់គ្រងលើដំណើរការនៃទិន្នន័យផ្ទាល់ខ្លួន ហើយបានកំណត់គោលបំណង និងមធ្យោបាយនៃដំណើរការទិន្នន័យផ្ទាល់ខ្លួន។
• 2.5 Data Processor គឺជា processor នៅក្នុងអត្ថន័យនៃ GDPR ហើយដូច្នេះមិនមានការគ្រប់គ្រងលើគោលបំណង និងមធ្យោបាយនៃដំណើរការទិន្នន័យផ្ទាល់ខ្លួនទេ ដូច្នេះហើយមិនធ្វើការសម្រេចចិត្តណាមួយអំពីការប្រើប្រាស់ទិន្នន័យផ្ទាល់ខ្លួននោះទេ។
• 2.6 Data Processor អនុវត្ត GDPR ដូចមានចែងក្នុង Standard Clauses សម្រាប់ដំណើរការ សេចក្តីថ្លែងការ Data Pro និងកិច្ចព្រមព្រៀង។ វាអាស្រ័យលើអតិថិជនក្នុងការវាយតម្លៃដោយផ្អែកលើព័ត៌មាននេះថាតើ Data Processor ផ្តល់ការធានាគ្រប់គ្រាន់ទាក់ទងនឹងការអនុវត្តវិធានការបច្ចេកទេស និងអង្គការសមស្រប ដើម្បីឱ្យដំណើរការបំពេញតាមតម្រូវការរបស់ GDPR និងការការពារសិទ្ធិនៃប្រធានបទទិន្នន័យ។ គឺគ្រប់គ្រាន់ ធានា។
• 2.7 អតិថិជនធានាចំពោះដំណើរការទិន្នន័យថាវាធ្វើសកម្មភាពស្របតាម GDPR ថាវាការពារប្រព័ន្ធ និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ខ្លួនឱ្យបានគ្រប់គ្រាន់គ្រប់ពេលវេលា ហើយខ្លឹមសារ ការប្រើប្រាស់ និង/ឬដំណើរការទិន្នន័យផ្ទាល់ខ្លួនគឺមិនខុសច្បាប់ ហើយមិនបំពានសិទ្ធិណាមួយឡើយ។ នៃភាគីទីបី។
• 2.8 ការផាកពិន័យផ្នែករដ្ឋបាលដែលដាក់លើអតិថិជនដោយ AP មិនអាចយកមកវិញពី Data Processor បានទេ។

ប្រការ 3. សន្តិសុខ

• 3.1 Data Processor ប្រកាន់យកវិធានការសុវត្ថិភាពផ្នែកបច្ចេកទេស និងអង្គការ ដូចដែលបានពិពណ៌នានៅក្នុង Data Pro Statement របស់វា។ នៅពេលទទួលយកវិធានការសុវត្ថិភាពផ្នែកបច្ចេកទេស និងស្ថាប័ន អ្នកដំណើរការទិន្នន័យបានគិតគូរពីស្ថានភាពសិល្បៈ ការចំណាយលើការអនុវត្តវិធានការសុវត្ថិភាព លក្ខណៈ វិសាលភាព និងបរិបទនៃដំណើរការ គោលបំណង និងការប្រើប្រាស់ផលិតផល និងសេវាកម្មដែលមានបំណងរបស់ខ្លួន។ ហានិភ័យនៃការដំណើរការ និងហានិភ័យដែលខុសគ្នានៅក្នុងប្រូបាប៊ីលីតេ និងភាពធ្ងន់ធ្ងរសម្រាប់សិទ្ធិ និងសេរីភាពនៃមុខវិជ្ជាទិន្នន័យ ដែលគាត់អាចរំពឹងថានឹងប្រើប្រាស់ផលិតផល និងសេវាកម្មរបស់គាត់។
• 3.2 លុះត្រាតែមានចែងយ៉ាងច្បាស់លាស់ផ្សេងពីនេះនៅក្នុងសេចក្តីថ្លែងការណ៍របស់ Data Pro ផលិតផល ឬសេវាកម្មរបស់ Data Processor មិនត្រូវបានរចនាឡើងដើម្បីដំណើរការប្រភេទពិសេសនៃទិន្នន័យផ្ទាល់ខ្លួន ឬទិន្នន័យទាក់ទងនឹងការផ្តន្ទាទោសព្រហ្មទណ្ឌ ឬបទល្មើស ឬលេខផ្ទាល់ខ្លួនដែលចេញដោយរដ្ឋាភិបាលនោះទេ។
• 3.3 Data Processor ខិតខំធានាថាវិធានការសុវត្ថិភាពដែលត្រូវធ្វើដោយវាគឺសមរម្យសម្រាប់ការប្រើប្រាស់ផលិតផល ឬសេវាកម្មដែលមានបំណងដោយ Data Processor ។
• 3.4 តាមគំនិតរបស់អតិថិជន វិធានការសុវត្ថិភាពដែលបានពិពណ៌នាផ្តល់ជូនដោយគិតគូរពីកត្តាដែលបានលើកឡើងក្នុងមាត្រា 3.1 ដែលជាកម្រិតសុវត្ថិភាពដែលសមស្របនឹងហានិភ័យនៃដំណើរការទិន្នន័យផ្ទាល់ខ្លួនដែលបានប្រើ ឬផ្តល់ដោយវា។
• 3.5 Data Processor អាចនឹងធ្វើការផ្លាស់ប្តូរចំពោះវិធានការសុវត្ថិភាពដែលបានធ្វើឡើង ប្រសិនបើវាយល់ថាវាចាំបាច់ ដើម្បីបន្តផ្តល់នូវកម្រិតសុវត្ថិភាពសមស្រប។ Data Processor នឹងកត់ត្រាការផ្លាស់ប្តូរសំខាន់ៗ ឧទាហរណ៍នៅក្នុង Data Pro Statement ដែលបានធ្វើវិសោធនកម្ម ហើយនឹងជូនដំណឹងដល់អតិថិជនអំពីការផ្លាស់ប្តូរទាំងនោះដែលពាក់ព័ន្ធ។
• 3.6 អតិថិជនអាចស្នើសុំ Data Processor ដើម្បីចាត់វិធានការសុវត្ថិភាពបន្ថែមទៀត។ Data Processor មិនមានកាតព្វកិច្ចធ្វើការផ្លាស់ប្តូរចំពោះវិធានការសុវត្ថិភាពរបស់ខ្លួនតាមការស្នើសុំនោះទេ។ Data Processor អាចគិតថ្លៃចំណាយទាក់ទងនឹងការផ្លាស់ប្តូរដែលបានធ្វើឡើងតាមសំណើរបស់អតិថិជនទៅកាន់អតិថិជន។ លុះត្រាតែបន្ទាប់ពីវិសោធនកម្មវិធានការសុវត្ថិភាពដែលចង់បានដោយអតិថិជនត្រូវបានយល់ព្រមជាលាយលក្ខណ៍អក្សរ និងចុះហត្ថលេខាដោយភាគីនោះ អ្នកដំណើរការទិន្នន័យត្រូវមានកាតព្វកិច្ចអនុវត្តវិធានការសុវត្ថិភាពទាំងនេះយ៉ាងពិតប្រាកដ។

មាត្រា 4. ការបំពានទិន្នន័យផ្ទាល់ខ្លួន

• 4.1 Data Processor មិនធានាថាវិធានការសុវត្ថិភាពមានប្រសិទ្ធភាពក្នុងគ្រប់កាលៈទេសៈទាំងអស់។ ប្រសិនបើអ្នកដំណើរការទិន្នន័យរកឃើញការរំលោភលើទិន្នន័យផ្ទាល់ខ្លួន (ដូចមានចែងក្នុងមាត្រា 4 អនុ 12 Avg) នោះវានឹងជូនដំណឹងដល់អតិថិជនដោយមិនមានការពន្យាពេល។ សេចក្តីថ្លែងការណ៍របស់ Data Pro (ក្រោមពិធីការលេចធ្លាយទិន្នន័យ) កំណត់ពីរបៀបដែល Data Processor ជូនដំណឹងដល់អតិថិជនអំពីការរំលោភលើទិន្នន័យផ្ទាល់ខ្លួន។
• 4.2 វាអាស្រ័យលើឧបករណ៍បញ្ជា (អតិថិជន ឬអតិថិជនរបស់វា) ដើម្បីវាយតម្លៃថាតើការបំពានទិន្នន័យផ្ទាល់ខ្លួនដែលអ្នកដំណើរការទិន្នន័យបានជូនដំណឹងអំពីត្រូវតែរាយការណ៍ទៅ AP ឬប្រធានបទទិន្នន័យ។ ការរាយការណ៍អំពីការបំពានទាក់ទងនឹងទិន្នន័យផ្ទាល់ខ្លួន ដែលត្រូវតែរាយការណ៍ទៅ AP និង/ឬប្រធានបទទិន្នន័យដោយអនុលោមតាមមាត្រា 33 និង 34 GDPR នៅតែជាការទទួលខុសត្រូវរបស់អ្នកគ្រប់គ្រង (អតិថិជន ឬអតិថិជនរបស់ខ្លួន) គ្រប់ពេលវេលា។ Data Processor មិនមានកាតព្វកិច្ចរាយការណ៍ការរំលោភទិន្នន័យផ្ទាល់ខ្លួនទៅកាន់ AP និង/ឬ Data Subject នោះទេ។
• 4.3 អ្នកដំណើរការទិន្នន័យនឹងផ្តល់ព័ត៌មានបន្ថែមអំពីការរំលោភលើទិន្នន័យផ្ទាល់ខ្លួន ប្រសិនបើចាំបាច់ ហើយនឹងសហការជាមួយការផ្តល់ព័ត៌មានចាំបាច់ដល់អតិថិជនសម្រាប់គោលបំណងនៃការជូនដំណឹងដូចមានចែងក្នុងមាត្រា 33 និង 34 ជាមធ្យម។
• 4.4 Data Processor អាចគិតថ្លៃចំណាយសមហេតុផលដែលវាកើតឡើងក្នុងបរិបទនេះទៅអតិថិជនតាមអត្រាដែលអាចអនុវត្តបាន។

មាត្រា 5. ការសម្ងាត់

• 5.1 Data Processor ធានាថាបុគ្គលដែលដំណើរការទិន្នន័យផ្ទាល់ខ្លួនក្រោមការទទួលខុសត្រូវរបស់ខ្លួនមានកាតព្វកិច្ចរក្សាការសម្ងាត់។
• 5.2 អ្នកដំណើរការទិន្នន័យមានសិទ្ធិផ្តល់ទិន្នន័យផ្ទាល់ខ្លួនដល់ភាគីទីបី ប្រសិនបើការផ្តល់គឺចាំបាច់ស្របតាមសេចក្តីសម្រេចរបស់តុលាការ បទប្បញ្ញត្តិផ្លូវច្បាប់ ឬផ្អែកលើការបញ្ជាទិញដែលមានការអនុញ្ញាតពីអាជ្ញាធររដ្ឋាភិបាល។
• 5.3 រាល់ការចូលប្រើប្រាស់ និង/ឬលេខកូដកំណត់អត្តសញ្ញាណ វិញ្ញាបនបត្រ ព័ត៌មានទាក់ទងនឹងការចូលប្រើ និង/ឬគោលការណ៍ពាក្យសម្ងាត់ដែលផ្តល់ដោយ Data Processor ដល់អតិថិជន និងព័ត៌មានទាំងអស់ដែលផ្តល់ដោយ Data Processor ដល់អតិថិជន ដែលអនុវត្តវិធានការសុវត្ថិភាពបច្ចេកទេស និងស្ថាប័នដែលមានក្នុង Data Pro Statement គឺជាការសម្ងាត់។ ហើយ​នឹង​ត្រូវ​បាន​ចាត់​ទុក​ថា​ជា​បែប​នេះ​ដោយ​អតិថិជន ហើយ​ត្រូវ​បាន​គេ​ដឹង​តែ​ចំពោះ​បុគ្គលិក​ដែល​មាន​ការ​អនុញ្ញាត​របស់​អតិថិជន​ប៉ុណ្ណោះ។ អតិថិជនធានាថាបុគ្គលិករបស់ខ្លួនគោរពតាមកាតព្វកិច្ចក្រោមអត្ថបទនេះ។

ប្រការ 6. រយៈពេល និងការបញ្ចប់

• 6.1 កិច្ចព្រមព្រៀងដំណើរការនេះបង្កើតជាផ្នែកនៃកិច្ចព្រមព្រៀង ហើយកិច្ចព្រមព្រៀងថ្មី ឬបន្ថែមណាមួយដែលកើតឡើងពីវា ចូលជាធរមាននៅពេលបញ្ចប់នៃកិច្ចព្រមព្រៀង ហើយត្រូវបានបញ្ចប់ក្នុងរយៈពេលមិនកំណត់។
• 6.2 កិច្ចព្រមព្រៀងដំណើរការនេះបញ្ចប់ដោយប្រតិបត្តិការនៃច្បាប់នៅពេលបញ្ចប់កិច្ចព្រមព្រៀង ឬកិច្ចព្រមព្រៀងថ្មី ឬបន្ថែមទៀតរវាងភាគី។
• 6.3 នៅក្នុងព្រឹត្តិការណ៍នៃការបញ្ចប់នៃកិច្ចព្រមព្រៀងដំណើរការនោះ Data Processor នឹងលុបទិន្នន័យផ្ទាល់ខ្លួនទាំងអស់ដែលមាននៅក្នុងកម្មសិទ្ធរបស់វា ហើយទទួលបានពីអតិថិជនក្នុងរយៈពេលដែលរួមបញ្ចូលក្នុង Data Pro Statement តាមរបៀបដែលវាមិនអាចប្រើប្រាស់បាន និងលែងប្រើទៀត អាច​ចូល​ដំណើរការ​បាន (បង្ហាញ​មិន​អាច​ចូល​ដំណើរការ) ឬ​ប្រសិន​បើ​បាន​យល់​ព្រម ត្រឡប់​វា​ទៅ​ម៉ាស៊ីន​ភ្ញៀវ​ក្នុង​ទម្រង់​ដែល​ម៉ាស៊ីន​អាច​អាន​បាន។
• 6.4 Data Processor អាចគិតថ្លៃចំណាយណាមួយដែលវាកើតឡើងនៅក្នុងបរិបទនៃបទប្បញ្ញត្តិនៃមាត្រា 6.3 ដល់អតិថិជន។ កិច្ចព្រមព្រៀងបន្ថែមអំពីបញ្ហានេះអាចត្រូវបានដាក់ក្នុងសេចក្តីថ្លែងការណ៍របស់ Data Pro ។
• 6.5 បទប្បញ្ញត្តិនៃមាត្រា 6.3 មិនត្រូវបានអនុវត្តទេ ប្រសិនបើបទប្បញ្ញត្តិច្បាប់រារាំងអ្នកដំណើរការទិន្នន័យពីការដកចេញទាំងស្រុង ឬដោយផ្នែក ឬការប្រគល់ទិន្នន័យផ្ទាល់ខ្លួនមកវិញ។ ក្នុងករណីបែបនេះ អ្នកដំណើរការទិន្នន័យនឹងបន្តដំណើរការទិន្នន័យផ្ទាល់ខ្លួនក្នុងកម្រិតចាំបាច់ក្រោមកាតព្វកិច្ចផ្លូវច្បាប់របស់វា។ បទប្បញ្ញត្តិនៃមាត្រា 6.3 ក៏មិនអនុវត្តដែរ ប្រសិនបើ Data Processor គឺជាឧបករណ៍បញ្ជានៅក្នុងអត្ថន័យនៃ GDPR ទាក់ទងនឹងទិន្នន័យផ្ទាល់ខ្លួន។

ប្រការ 7. ប្រធានបទសិទ្ធិទិន្នន័យ ការវាយតម្លៃផលប៉ះពាល់នៃការការពារទិន្នន័យ (DPIA) និងសិទ្ធិសវនកម្ម

• 7.1 Data Processor នឹងសហការជាមួយនឹងសំណើសមហេតុផលពីអតិថិជនដែលទាក់ទងនឹងសិទ្ធិនៃ Data Subjects ដែលទាមទារពីអតិថិជនដោយ Data Subjects។ ប្រសិនបើ Data Processor ត្រូវបានទាក់ទងដោយផ្ទាល់ដោយ Data subject គាត់នឹងបញ្ជូនបុគ្គលនេះទៅ Client តាមដែលអាចធ្វើបាន។
• 7.2 ប្រសិនបើអតិថិជនត្រូវមានកាតព្វកិច្ចធ្វើដូច្នេះ អង្គដំណើរការទិន្នន័យនឹងសហការជាមួយការវាយតម្លៃផលប៉ះពាល់លើការការពារទិន្នន័យ (DPIA) ឬការពិគ្រោះយោបល់ជាមុនជាបន្តបន្ទាប់ដូចមានចែងក្នុងមាត្រា 35 និង 36 ជាមធ្យម។
• 7.3 Data Processor នឹងសហការជាមួយនឹងសំណើពីអតិថិជនសម្រាប់ការលុបទិន្នន័យផ្ទាល់ខ្លួនចេញ ដរាបណាអតិថិជនមិនអាចអនុវត្តវាដោយខ្លួនឯងបាន។
• 7.4 តាមសំណើរបស់អតិថិជន អង្គដំណើរការទិន្នន័យក៏នឹងធ្វើឱ្យមានព័ត៌មានបន្ថែមទៀតទាំងអស់ ដែលចាំបាច់សមហេតុផល ដើម្បីបង្ហាញពីការអនុលោមតាមកិច្ចព្រមព្រៀងដែលបានធ្វើឡើងនៅក្នុងកិច្ចព្រមព្រៀងដំណើរការនេះ។ ទោះបីជាយ៉ាងណាក៏ដោយ ប្រសិនបើអតិថិជនមានហេតុផលដើម្បីជឿថាការដំណើរការទិន្នន័យផ្ទាល់ខ្លួនមិនប្រព្រឹត្តទៅដោយអនុលោមតាមកិច្ចព្រមព្រៀងដំណើរការនោះ វាអាចត្រូវបានពិគ្រោះច្រើនបំផុតម្តងក្នុងមួយឆ្នាំដោយអ្នកជំនាញខាងក្រៅឯករាជ្យ ដែលមានការបញ្ជាក់ និងមានបទពិសោធន៍ដែលអាចបង្ហាញអំពីប្រភេទនៃ ដំណើរការដែលត្រូវបានអនុវត្តនៅលើមូលដ្ឋាននៃកិច្ចព្រមព្រៀង។ មានសវនកម្មដែលធ្វើឡើងដោយចំណាយរបស់អតិថិជន។ សវនកម្មនឹងត្រូវបានកំណត់ចំពោះការត្រួតពិនិត្យការអនុលោមតាមកិច្ចព្រមព្រៀងទាក់ទងនឹងដំណើរការទិន្នន័យផ្ទាល់ខ្លួនដូចដែលមានចែងក្នុងកិច្ចព្រមព្រៀងដំណើរការនេះ។ អ្នកជំនាញនឹងមានកាតព្វកិច្ចរក្សាការសម្ងាត់ទាក់ទងនឹងអ្វីដែលគាត់រកឃើញ ហើយនឹងរាយការណ៍ទៅអតិថិជនតែប៉ុណ្ណោះ ដែលនាំឱ្យមានការខ្វះខាតក្នុងការបំពេញកាតព្វកិច្ចដែល Data Processor មាននៅក្រោមកិច្ចព្រមព្រៀងដំណើរការនេះ។ អ្នកជំនាញនឹងផ្តល់ច្បាប់ចម្លងនៃរបាយការណ៍របស់គាត់ទៅ Data Processor ។ Data Processor អាចបដិសេធការធ្វើសវនកម្ម ឬការណែនាំពីអ្នកជំនាញ ប្រសិនបើនៅក្នុងគំនិតរបស់វា វាបំពាន GDPR ឬច្បាប់ផ្សេងទៀត ឬបង្កើតជាការបំពានដែលមិនអាចអនុញ្ញាតបាននៃវិធានការសុវត្ថិភាពដែលខ្លួនបានធ្វើ។
• 7.5 ភាគីនានានឹងពិគ្រោះយោបល់ឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបានអំពីលទ្ធផលនៃរបាយការណ៍។ ភាគីនានានឹងអនុវត្តតាមវិធានការកែលម្អដែលបានស្នើឡើងដែលមាននៅក្នុងរបាយការណ៍ ដល់កម្រិតដែលនេះអាចជាការរំពឹងទុកពីពួកគេ។ កម្មវិធីដំណើរការទិន្នន័យនឹងអនុវត្តវិធានការកែលម្អដែលបានស្នើឡើងក្នុងកម្រិតដែលពួកគេសមស្របតាមគំនិតរបស់ខ្លួន ដោយគិតគូរពីហានិភ័យនៃដំណើរការដែលទាក់ទងនឹងផលិតផល ឬសេវាកម្មរបស់វា ស្ថានភាពសិល្បៈ តម្លៃនៃការអនុវត្ត ទីផ្សារដែលវាដំណើរការ និង គោលបំណងនៃការប្រើប្រាស់ផលិតផល ឬសេវាកម្ម សេវាកម្ម។
• 7.6 Data Processor មានសិទ្ធិគិតថ្លៃចំណាយដែលវាកើតឡើងក្នុងបរិបទនៃបទប្បញ្ញត្តិនៃអត្ថបទនេះដល់អតិថិជន។

ប្រការ 8. អនុរក្ស

• 8.1 Data Processor បានបញ្ជាក់នៅក្នុង Data Pro Statement ថាតើភាគីទីបី (អ្នកដំណើរការរង ឬអ្នកដំណើរការរង) Data Processor ចូលរួមក្នុងដំណើរការទិន្នន័យផ្ទាល់ខ្លួនដែរឬទេ។
• 8.2 អតិថិជនផ្តល់ការអនុញ្ញាតឱ្យដំណើរការទិន្នន័យដើម្បីភ្ជាប់ដំណើរការរងផ្សេងទៀតដើម្បីអនុវត្តកាតព្វកិច្ចរបស់ខ្លួនដែលកើតចេញពីកិច្ចព្រមព្រៀង។
• 8.3 ឧបករណ៍ដំណើរការទិន្នន័យនឹងជូនដំណឹងដល់អតិថិជនអំពីការផ្លាស់ប្តូរនៅក្នុងភាគីទីបីដែលចូលរួមដោយ Data Processor ជាឧទាហរណ៍ តាមរយៈសេចក្តីថ្លែងការណ៍របស់ Data Pro ដែលបានធ្វើវិសោធនកម្ម។ អតិថិជនមានសិទ្ធិជំទាស់នឹងការផ្លាស់ប្តូរដែលបានរៀបរាប់ខាងលើដោយ Data Processor ។ Data Processor ធានាថាភាគីទីបីដែលចូលរួមដោយខ្លួនបានប្រព្រឹត្តិចំពោះកម្រិតសុវត្ថិភាពដូចគ្នា ទាក់ទងនឹងការការពារទិន្នន័យផ្ទាល់ខ្លួន ដែលជាកម្រិតសុវត្ថិភាពដែល Data Processor ត្រូវបានចងភ្ជាប់ទៅកាន់អតិថិជនដោយផ្អែកលើមូលដ្ឋាននៃ Data Pro Statement។

មាត្រា 9. ផ្សេងៗ

ឃ្លាដំណើរការស្តង់ដារទាំងនេះ រួមជាមួយនឹង Data Pro Statement បង្កើតជាផ្នែកសំខាន់មួយនៃកិច្ចព្រមព្រៀង។ សិទ្ធិ និងកាតព្វកិច្ចទាំងអស់នៅក្រោមកិច្ចព្រមព្រៀង រួមទាំងលក្ខខណ្ឌទូទៅដែលអាចអនុវត្តបាន និង/ឬដែនកំណត់នៃការទទួលខុសត្រូវ ដូច្នេះក៏អនុវត្តចំពោះកិច្ចព្រមព្រៀងដំណើរការផងដែរ។