프로세서 계약

소개

Autosoft BV는 무엇보다도 고객을 위해 그리고 고객을 대신하여 개인 데이터를 처리합니다. 따라서 Autosoft BV와 고객은 GDPR(일반 데이터 보호 규정)에 따라 프로세서 계약을 체결할 의무가 있습니다. GDPR에 따르면 Autosoft BV는 '프로세서'이고 고객은 '컨트롤러'입니다. 이 프로세서 계약은 또한 Autosoft BV가 데이터 위반 통지 의무를 처리하는 방법을 설명합니다.

프로세서 계약

구성:
1부: Data Pro 선언문
파트 2: 표준 처리 조항

1부: Data Pro 선언문

일반 정보

1). 이 Data Pro 성명서는 다음 데이터 프로세서(프로세서)에 의해 작성되었습니다.

• 오토소프트 BV
  헨겔로세스트라트 547
  7521 AG 엔스케데

이 Data Pro 선언문 또는 데이터 보호에 대한 질문은 다음으로 연락하십시오.
아서 반 데르 렉: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). 이 Data Pro 정책은 1년 2021월 XNUMX일부터 적용됩니다.
우리는 데이터 보호와 관련하여 항상 대비하고 최신 정보를 얻을 수 있도록 이 Data Pro 정책 및 여기에 설명된 보안 조치를 정기적으로 조정합니다. 새 버전은 일반 채널을 통해 계속 알려드리겠습니다.

삼). 이 Data Pro 정책은 다음 데이터 프로세서 제품 및 서비스에 적용됩니다.

• 자동웹사이트
• 자동 상거래

4). 설명 자동차 웹사이트
자동차 회사는 Autowebsite를 사용합니다. Autowebsite를 통해 자동차 회사는 인터넷에 자신을 소개할 수 있습니다.

5). 용도 자동차 웹사이트
Autowebsite는 다음 유형의 데이터를 처리하도록 설계 및 설비되었습니다.
Autosoft가 Autowebsite와 함께 개발한 웹사이트 방문자는 연락처 세부 정보를 거기에 남겨 자동차 회사가 추가 서비스를 위해 방문자에게 접근할 수 있는 기회를 가질 수 있습니다. 이 연락처 세부 정보는 Autosoft에 저장되지 않지만 전자 메일을 통해 자동차 회사의 전자 메일 주소로 직접 전달됩니다.

• 이 서비스는 특수 개인 데이터의 처리, 또는 정부에서 발행한 범죄 유죄 판결 및 범죄에 관한 데이터 또는 개인 번호의 처리를 고려하지 않습니다.

6). 설명 자동 상거래
자동차 회사는 Autocommerce를 사용합니다. Autocommerce를 통해 자동차 회사는 자신의 웹사이트와 제XNUMX자의 인터넷 검색 포털에서 차량을 관리하고 표시할 수 있습니다.

7). 용도 자동 상거래
자동 상거래는 다음 유형의 데이터를 처리하도록 설계 및 설정되었습니다.
자동차 회사는 자신의 자동차 웹사이트에서 Autocommerce를 통해 등록된 차량을 배치할 수 있습니다. 이러한 등록된 차량에는 어떤 형태로든 개인 데이터로 역추적할 수 있는 데이터가 포함되어 있지 않습니다. 자동차 웹사이트 방문자는 연락처를 남겨둘 수 있어 자동차 회사가 방문자에게 추가 서비스를 요청할 수 있습니다. 방문자가 자신의 Auto 웹사이트에 남긴 연락처 정보는 Autocommerce에 저장됩니다.

• 이 서비스는 특수 개인 데이터의 처리, 또는 정부에서 발행한 범죄 유죄 판결 및 범죄에 관한 데이터 또는 개인 번호의 처리를 고려하지 않습니다.

8). 데이터 프로세서는 Autowebsite 및 Autocommerce에 대한 처리를 위해 표준 조항을 사용하며 이는 계약의 부록으로 볼 수 있습니다.

9). 데이터 프로세서는 Autowebsite 및 Autocommerce를 위해 EU/EEA 내에서 고객의 개인 데이터를 처리합니다.

10). 데이터 프로세서는 자동 상거래를 위해 다음 하위 프로세서를 사용합니다.
경우에 따라 Autosoft는 Autocommerce를 통해 등록된 차량을 Car Company를 대신하여 제XNUMX자의 인터넷 검색 포털 또는 하위 처리업체로 보냅니다. 하위 프로세서 목록은 support@autosoft.eu로 요청 시 제공됩니다.

11). 고객과의 계약 해지 후 데이터 처리자는 원칙적으로 고객을 위해 처리한 개인 데이터를 3개월 이내에 더 이상 사용할 수 없고 더 이상 액세스할 수 없는 방식으로 제거합니다(접근 불가로 렌더링).

보안 정책

데이터 프로세서가 제품 또는 서비스를 보호하기 위해 취한 다음 보안 조치를 요약합니다.

사고 관리 및 대응 정책
정보 보안 분야의 사고 관리 및 대응 정책에는 컴퓨터 또는 IT 인프라의 보안 사고 모니터링 및 탐지뿐만 아니라 직원의 의심스러운 활동 관찰 및 이러한 이벤트에 대한 올바른 대응 구현이 포함됩니다.

이 정책의 주요 목표는 가장 넓은 의미의 악성 이벤트 및 컴퓨터 침입에 대해 잘 이해되고 예측 가능한 대응을 개발하는 것입니다.

사고 관리 및 대응 정책은 컴퓨터, 네트워크 및 정보 시스템과 여기에 저장된 정보를 관리하고 보호하는 프로세스입니다. Autosoft는 고객과 공급망 파트너의 이익을 위해 이 정보를 보호해야 하는 책임을 알고 있습니다. 이 책임은 사고 절차를 갖는 것으로 확장됩니다. 사고 관리는 조직이 자체 웰빙과 대중의 안전을 증진하는 데 사용할 수 있는 프로세스를 정의하고 구현하는 일련의 활동입니다.

IT 및 보안
Autosoft BV의 ICT 구조는 방화벽으로 적절하게 보호되며 바이러스 검색 소프트웨어는 최신 상태로 유지됩니다. 모든 직원에게는 로그인 프로필이 있습니다. 컴퓨터를 시작할 때 직원은 로그인 이름과 암호를 입력해야 하며 가능한 경우 2단계 인증을 사용합니다.

특정 소프트웨어는 로그인 이름과 비밀번호를 요구하며 가능한 경우 2단계 인증을 사용합니다. 의심스러운 이메일 열람 자제, 의심스러운 링크 클릭 자제, 장시간 퇴근 시 로그아웃 등 안전한 작업에 대한 직원들의 인식을 고취시키고 있다.

파일은 낮과 밤에 백업됩니다. 보안상의 이유로 백업을 둘러싼 추가 저장 절차는 기밀입니다. Autosoft BV는 이를 위해 컴퓨터 공급업체 및 인터넷 호스팅 제공업체와 서비스 계약을 체결했습니다.

데이터 보호 정책
Autosoft BV는 손실 또는 모든 형태의 불법 처리로부터 고객의 개인 데이터를 보호하기 위해 적절한 기술 및 조직적 조치를 취합니다. 이러한 기술적, 조직적 조치는 GDPR 제1조의 의미 내에서 적절한 보안 수준으로 간주되며 Autosoft BV의 중앙 Basecamp(프로젝트: 조직/데이터 보호 정책)에 문서로 저장됩니다.

기술 및 조직

1. 승인된 직원만 프로세서 계약과 관련하여 처리된 개인 데이터에 액세스할 수 있도록 하는 조치
2. 특히 우발적이거나 불법적인 파괴, 손실, 우발적 변경, 무단 또는 불법적인 저장, 액세스 또는 공개로부터 개인 데이터를 보호하기 위한 조치
3. 특히 데이터 교환/전송 중 우발적 또는 불법적 파괴, 손실, 우발적 변경, 무단 또는 불법 저장, 액세스 또는 공개로부터 개인 데이터를 보호하기 위한 조치
4. 편집 시스템 및 서비스의 기밀성, 무결성, 가용성 및 탄력성을 지속적으로 보장할 수 있는 조치
5. 물리적 또는 기술적 사고가 발생한 경우 적시에 개인 데이터에 대한 가용성 및 액세스를 복원하기 위한 조치
6. 계약에 따라 서비스를 제공하는 데 사용되는 시스템에서 개인 데이터 처리와 관련된 취약성을 식별하기 위한 조치

다음과 같은 조직:

• 특정 개인 데이터에 접근할 수 있는 공무원의 범위를 직무 수행을 위해 데이터가 필요한 사람으로 제한합니다.
• 이들에게 직무 수행에 필요한 개인 데이터에만 액세스 권한을 부여합니다.
• 개인 데이터에 대한 액세스 권한이 부여될 모든 사람과 기밀 유지 조항에 벌금 조항에 동의합니다.
• 폐쇄된 공간의 서버에 개인 데이터를 저장하는 단계;
• 잠글 수 있는 캐비닛에 종이 파일을 보관합니다.
• 직원들 사이에 정보 보안 의식을 고취;
• 정보 보안 사고 및 보안 취약성을 시기적절하고 효과적으로 처리하기 위한 명확한 프로토콜과 절차를 수립합니다.

데이터 프로세서는 조직의 작업 방식에 맞는 자체 방법론과 관리 절차를 사용합니다.

• Basecamp 내에서 관련 문서를 관리하고 주기적으로 평가합니다.

데이터 침해 프로토콜

문제가 발생하는 경우 데이터 프로세서는 다음 데이터 누출 프로토콜을 사용하여 클라이언트가 사고를 인지할 수 있도록 합니다.

Autosoft BV – 데이터 침해 절차

데이터 유출이란 무엇이며 언제 AP에 보고해야 합니까?
데이터 위반은 다음과 같은(완전한 것은 아님) 손실 또는 불법 처리에 대한 노출을 통해 개인 데이터 보안 위반과 관련된 정보 보안 사고입니다.

• 개인 데이터 조정 및/또는 변경, 이 개인 데이터에 대한 무단 액세스
• 해커가 침입한 경우
• USB 스틱 분실, 노트북 도난
• 잘못된 이메일 주소로 민감한 데이터 보내기

법에 따르면 '심각한' 데이터 침해는 부당한 지연 없이, 가능하면 발견 후 72시간 이내에 네덜란드 데이터 보호 당국에 보고해야 합니다.

Autosoft BV는 개별 자연인의 실제 식별이 합리적으로 제외되는 경우 네덜란드 데이터 보호 당국에 보고할 필요가 없습니다.
정보 보안 사고에 대한 모든 의혹은 우선적으로 처리됩니다. support@autosoft.eu 보고 및 등록되었습니다. 지원팀은 사건을 관리팀에 보고하고 어떤 후속 조치를 취해야 하는지 결정합니다.

후속 절차

정보주체에게 언제 알려야 하나요?
개인정보 침해가 개인의 사생활에 부정적인 영향을 미칠 위험성이 높은 경우 정보주체에게 데이터 침해를 보고해야 합니다. 데이터 주체에 대한 불리한 결과는 다음과 같습니다. 그의 평판 및 평판 손상, 신분 사기 또는 차별. Autosoft BV가 적절한 기술적 보호 조치를 취하여 관련 개인 데이터를 이해할 수 없거나 액세스할 수 없게 된 경우 데이터 주체에 대한 통지는 필요하지 않습니다. 데이터 주체에 대한 통지에는 개인 데이터 침해의 성격에 대한 설명과 최소한 다음이 포함되어야 합니다.

• 데이터 보호 책임자 또는 추가 정보를 얻을 수 있는 기타 연락처의 이름 및 연락처
• 개인 데이터 침해의 가능한 결과;
• 적절한 경우 그에 따른 부작용을 완화하기 위한 조치를 포함하여 개인 데이터 침해를 해결하기 위해 컨트롤러가 제안하거나 취한 조치. 데이터 침해를 네덜란드 데이터 보호 당국 및/또는 영향을 받는 사람에게 보고해야 하는지 여부에 대한 평가는 항상 Autosoft BV가 결정합니다. 사건을 보고해야 하는지 여부를 결정하기 위해 네덜란드 데이터 보호 당국은 정책 규칙(https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015)을 작성했으며 GDPR의 보고 의무에 대해 발표된 유럽 감독자 지침의 작업 그룹 29. Autosoft BV가 데이터 침해를 보고하지 않은 경우 네덜란드 데이터 보호 당국은 Autosoft BV가 계속 보고하도록 요구할 수 있습니다. 보고하지 않을 경우 행정 과태료가 부과될 수 있습니다.

데이터 침해를 보고하려면 어떻게 해야 합니까?
네덜란드 데이터 보호국(Dutch Data Protection Authority)은 데이터 침해 보고에 사용해야 하는 웹 양식을 제공합니다(https://dataleks.autoriteitpersoonsgegevens.nl/). 네덜란드 데이터 보호 당국은 수신된 데이터 침해 통지의 등록부를 유지합니다. 이 레지스터는 공개되지 않습니다. 데이터 위반의 결과로 네덜란드 데이터 보호 당국이 벌금을 부과하는 경우 이 결정은 공개됩니다. 데이터 위반은 데이터 주체에게 데이터 위반에 대해 알려야 할 때도 공개됩니다. 정보주체에 대한 통지는 어떠한 경우에도 침해의 성격과 정보주체가 침해에 대한 추가 정보를 얻을 수 있는 기관을 표시해야 합니다. 또한 데이터 침해의 부정적인 결과를 제한하기 위해 데이터 주체가 스스로 할 수 있는 일을 명시해야 합니다. 예를 들어, 침해로 인해 손상되었을 수 있는 사용자 이름과 비밀번호를 변경합니다.

무엇을 보고해야 합니까?
네덜란드 데이터 보호 당국에 대한 통지에는 다음이 포함됩니다.

• 데이터 유출 보고자입니다.
• 네덜란드 데이터 보호 당국이 보고서에 대한 추가 정보를 문의할 수 있는 사람입니다.
• 개인 데이터 보안 침해가 발생한 사건의 요약입니다.
• 위반 시간입니다.
• 침해의 성격.
• 해당 개인 데이터의 유형입니다.
• 침해가 관련된 사람들의 사생활에 미칠 수 있는 결과.
• Autosoft BV가 침해를 해결하고 추가 침해를 방지하기 위해 취한 기술적 및 조직적 조치.
• Autosoft BV가 데이터 주체에게 데이터 침해를 보고했는지 여부와 그렇지 않은 경우 Autosoft BV가 이를 수행할 의도가 있는지 여부:
• 그렇다면 정보주체에 대한 통지의 내용.
• 그렇지 않은 경우 Autosoft BV가 데이터 주체에게 데이터 침해를 보고하지 않는 이유.
• 개인 데이터가 암호화, 해시되거나 승인되지 않은 사람이 이해할 수 없거나 액세스할 수 없게 되었습니까?

파트 2: 표준 처리 조항

버전: 2019년 XNUMX월
Data Pro 성명서와 함께 처리 계약을 형성하고 계약 및 해당 일반 이용 약관과 같은 첨부 부록의 부록입니다.

제1조. 정의

아래 용어는 처리를 위한 본 표준 조항, Data Pro 성명서 및 계약에서 다음과 같은 의미를 갖습니다.

• 1.1 네덜란드 데이터 보호 당국(AP): Avg.
• 1.2 평균: 일반 데이터 보호 규정.
• 1.3 데이터 프로세서: ICT 공급자로서 계약 실행과 관련하여 고객의 이익을 위해 개인 데이터를 처리하는 당사자.
• 1.4 데이터 프로 성명: 제품 또는 서비스의 의도된 사용, 취한 보안 조치, 하위 프로세서, 데이터 누출, 인증 및 데이터 주체의 권리 처리에 관한 정보를 제공하는 데이터 프로세서의 설명.
• 1.5 데이터 주체(데이터 주체): 식별되거나 식별 가능한 자연인.
• 1.6 클라이언트: 데이터 프로세서를 대신하여 개인 데이터를 처리하는 당사자. 클라이언트는 컨트롤러("컨트롤러") 또는 다른 프로세서일 수 있습니다.
• 1.7 합의: ICT 공급자가 클라이언트에게 서비스 및/또는 제품을 공급하는 것을 기반으로 하는 클라이언트와 데이터 프로세서 간의 계약으로 프로세서 계약이 그 일부를 구성합니다.
• 1.8 개인 데이터: AVG 4조, 1항에 설명된 대로 식별되거나 식별 가능한 자연인에 대한 모든 정보로, 데이터 처리자가 계약에서 발생하는 의무를 이행하는 맥락에서 처리합니다.
• 1.9 처리 계약: 데이터 처리자의 Data Pro 성명서(또는 이에 상응하는 정보)와 함께 GDPR 28조 3항에 언급된 처리 계약을 형성하는 처리를 위한 이 표준 조항.

제2조 일반

• 2.1 이 표준 처리 조항은 데이터 처리자가 제품 및 서비스 제공과 관련하여 수행하는 모든 개인 데이터 처리 및 모든 계약 및 제안에 적용됩니다. 클라이언트 처리 계약의 적용 가능성은 명시적으로 거부됩니다.
• 2.2 Data Pro 성명서, 특히 여기에 포함된 보안 조치는 변화하는 상황을 반영하기 위해 데이터 프로세서에 의해 수시로 수정될 수 있습니다. 데이터 프로세서는 중요한 변경 사항을 고객에게 알립니다. 고객이 조정에 합리적으로 동의할 수 없는 경우 고객은 조정 통지 후 30일 이내에 서면으로 처리 계약을 해지할 수 있습니다.
• 2.3 데이터 처리자는 데이터 처리자와 동의한 고객의 서면 지침에 따라 고객을 대신하여 개인 데이터를 처리합니다.
• 2.4 클라이언트 또는 그 고객은 GDPR의 의미 내에서 컨트롤러이며 개인 데이터 처리를 통제하고 개인 데이터 처리 목적과 수단을 결정했습니다.
• 2.5 데이터 처리자는 GDPR의 의미 내에서 처리자이므로 개인 데이터 처리의 목적과 수단에 대한 통제권이 없으므로 무엇보다도 개인 데이터의 사용에 대한 결정을 내리지 않습니다.
• 2.6 데이터 프로세서는 처리에 대한 표준 조항, Data Pro 성명서 및 계약에 명시된 대로 GDPR을 구현합니다. 데이터 처리자가 GDPR의 요구 사항과 데이터 주체의 권리 보호를 충족할 수 있도록 적절한 기술적 및 조직적 조치의 적용과 관련하여 데이터 처리자가 충분한 보장을 제공하는지 여부를 이 정보를 기반으로 평가하는 것은 고객의 몫입니다. 충분합니다. 보장됩니다.
• 2.7 고객은 GDPR에 따라 행동하고 항상 시스템과 인프라를 적절하게 보호하며 개인 데이터의 콘텐츠, 사용 및/또는 처리가 불법이 아니며 어떠한 권리도 침해하지 않음을 데이터 처리자에게 보장합니다. 제XNUMX자의.
• 2.8 AP가 클라이언트에 부과한 관리 벌금은 데이터 프로세서에서 복구할 수 없습니다.

제3조. 보안

• 3.1 데이터 프로세서는 Data Pro 성명서에 설명된 바와 같이 기술적 및 조직적 보안 조치를 취합니다. 기술 및 조직 보안 조치를 취할 때 데이터 프로세서는 최신 기술, 보안 조치의 구현 비용, 처리의 성격, 범위 및 컨텍스트, 제품 및 서비스의 목적 및 의도된 사용을 고려했습니다. , 자신의 제품 및 서비스의 의도된 사용의 관점에서 예상할 수 있는 데이터 주체의 권리와 자유에 대한 확률과 심각성이 다른 처리 위험 및 위험.
• 3.2 Data Pro 성명서에 달리 명시되지 않는 한, 데이터 프로세서의 제품 또는 서비스는 범죄 유죄 판결이나 범죄 또는 정부에서 발급한 개인 번호에 관한 데이터 또는 개인 데이터의 특정 범주를 처리하도록 설계되지 않았습니다.
• 3.3 데이터 프로세서는 자신이 취해야 할 보안 조치가 데이터 프로세서가 제품 또는 서비스를 의도한 용도에 적합하도록 하기 위해 노력합니다.
• 3.4 고객의 의견으로 설명된 보안 조치는 3.1조에 언급된 요소를 고려하여 사용되거나 제공되는 개인 데이터 처리의 위험에 맞는 보안 수준을 제공합니다.
• 3.5 데이터 프로세서는 적절한 수준의 보안을 계속 제공하기 위해 필요하다고 판단되는 경우 취한 보안 조치를 변경할 수 있습니다. 데이터 프로세서는 예를 들어 수정된 Data Pro 성명서에 중요한 변경 사항을 기록하고 관련되는 경우 이러한 변경 사항을 고객에게 알립니다.
• 3.6 고객은 데이터 프로세서에 추가 보안 조치를 요청할 수 있습니다. 데이터 프로세서는 그러한 요청에 따라 보안 조치를 변경할 의무가 없습니다. 데이터 프로세서는 고객의 요청에 따라 변경된 사항과 관련된 비용을 고객에게 청구할 수 있습니다. 고객이 원하는 수정된 보안 조치가 서면으로 동의되고 당사자가 서명한 후에만 데이터 프로세서는 이러한 보안 조치를 실제로 구현할 의무가 있습니다.

제4조. 개인정보 침해

• 4.1 데이터 프로세서는 보안 조치가 모든 상황에서 효과적임을 보장하지 않습니다. 데이터 처리자가 개인 데이터와 관련하여 위반 사항을 발견하는 경우(4조 sub 12 Avg 참조) 과도한 지연 없이 고객에게 알립니다. Data Pro 성명서(데이터 누출 프로토콜에 따름)는 데이터 프로세서가 개인 데이터와 관련된 위반에 대해 고객에게 알리는 방법을 설명합니다.
• 4.2 데이터 처리자가 통지한 개인 데이터 침해가 AP 또는 데이터 주체에 보고되어야 하는지 여부를 평가하는 것은 컨트롤러(클라이언트 또는 고객)의 몫입니다. GDPR 33조 및 34조에 따라 AP 및/또는 데이터 주체에 보고해야 하는 개인 데이터와 관련된 위반 보고는 항상 컨트롤러(클라이언트 또는 고객)의 책임입니다. 데이터 처리자는 개인 데이터 침해를 AP 및/또는 데이터 주체에 보고할 의무가 없습니다.
• 4.3 데이터 처리자는 필요한 경우 개인 데이터와 관련된 위반에 대한 추가 정보를 제공하고 33조 및 34조 평균 XNUMX조에 언급된 통지 목적으로 고객에게 필요한 정보 제공에 협력합니다.
• 4.4 데이터 프로세서는 이 맥락에서 발생하는 합당한 비용을 당시 적용 가능한 요율로 고객에게 청구할 수 있습니다.

제5조. 기밀유지

• 5.1 데이터 처리자는 자신의 책임하에 개인 데이터를 처리하는 사람이 기밀을 유지할 의무가 있음을 보장합니다.
• 5.2 데이터 처리자는 법원 결정, 법적 규정 또는 정부 기관의 승인된 명령에 따라 제공이 필요한 경우 제XNUMX자에게 개인 데이터를 제공할 수 있는 권한이 있습니다.
• 5.3 데이터 프로세서가 고객에게 제공한 모든 액세스 및/또는 식별 코드, 인증서, 액세스 및/또는 비밀번호 정책에 관한 정보, 데이터 프로세서가 Data Pro 성명서에 포함된 기술적 및 조직적 보안 조치를 구현하는 고객에게 제공한 모든 정보는 기밀입니다. 고객은 그렇게 취급하며 고객의 승인된 직원에게만 알려야 합니다. 고객은 직원이 이 조항에 따른 의무를 준수하도록 합니다.

제6조. 기간 및 종료

• 6.1 이 프로세서 계약은 계약의 일부를 구성하고 계약에서 발생하는 신규 또는 추가 계약은 계약 체결 시점에 발효되며 무기한으로 체결됩니다.
• 6.2 이 프로세서 계약은 계약 또는 당사자 간의 신규 또는 추가 계약 종료 시 법의 적용으로 종료됩니다.
• 6.3 처리 계약이 종료되는 경우 데이터 프로세서는 Data Pro 성명서에 포함된 기간 내에 소유하고 클라이언트로부터 받은 모든 개인 데이터를 더 이상 사용할 수 없고 더 이상 사용할 수 없는 방식으로 삭제합니다. 접근 가능(접근 불가로 렌더링). 또는 동의한 경우 기계 판독 가능 형식으로 고객에게 반환합니다.
• 6.4 데이터 처리자는 제6.3조의 조항과 관련하여 발생하는 모든 비용을 고객에게 청구할 수 있습니다. 이에 대한 추가 합의는 Data Pro 성명서에 명시될 수 있습니다.
• 6.5 법적 규정이 데이터 처리자가 개인 데이터를 완전히 또는 부분적으로 제거하거나 반환하는 것을 금지하는 경우 제6.3조의 조항은 적용되지 않습니다. 이러한 경우 데이터 처리자는 법적 의무에 따라 필요한 범위 내에서만 개인 데이터를 계속 처리합니다. 데이터 처리자가 개인 데이터와 관련하여 GDPR의 의미 내에서 컨트롤러인 경우에도 6.3조의 조항이 적용되지 않습니다.

제7조. 정보주체의 권리, 정보보호영향평가(DPIA) 및 감사권

• 7.1 데이터 프로세서는 가능한 경우 데이터 주체가 클라이언트로부터 호출한 데이터 주체의 권리와 관련된 클라이언트의 합당한 요청에 협력합니다. 데이터 처리자에게 데이터 주체가 직접 접근하는 경우 그는 가능한 경우 이 사람을 고객에게 소개합니다.
• 7.2 고객이 그렇게 해야 하는 경우 데이터 처리자는 평균 35조 및 36조에 언급된 대로 데이터 보호 영향 평가(DPIA) 또는 후속 사전 협의에 협력합니다.
• 7.3 데이터 프로세서는 고객이 스스로 수행할 수 없는 한 개인 데이터 제거에 대한 고객의 요청에 협력합니다.
• 7.4 고객의 요청에 따라 데이터 프로세서는 또한 이 처리 계약에서 이루어진 계약의 준수를 입증하는 데 합리적으로 필요한 모든 추가 정보를 제공할 것입니다. 그럼에도 불구하고 고객이 개인 데이터의 처리가 처리 계약에 따라 이루어지지 않는다고 믿을 만한 이유가 있는 경우, 다음 유형에 대해 입증할 수 있는 경험이 있는 독립적이고 인증된 외부 전문가와 최대 XNUMX년에 한 번 상담할 수 있습니다. 계약에 따라 수행되는 처리. , 고객의 비용으로 수행되는 감사. 감사는 이 프로세서 계약에 명시된 개인 데이터 처리에 관한 계약의 준수 여부를 확인하는 것으로 제한됩니다. 전문가는 발견한 내용과 관련하여 기밀을 유지할 의무가 있으며 데이터 처리자가 본 처리자 계약에 따른 의무를 이행하지 못하는 결과를 초래하는 경우에만 고객에게 보고합니다. 전문가는 보고서 사본을 데이터 처리자에게 제공합니다. 데이터 처리자는 이것이 GDPR 또는 기타 법률을 위반하거나 취한 보안 조치의 허용할 수 없는 위반을 구성한다고 판단되는 경우 전문가의 감사 또는 지시를 거부할 수 있습니다.
• 7.5 당사자들은 보고서 결과에 대해 가능한 한 빨리 협의할 것입니다. 당사자는 합리적으로 예상할 수 있는 범위 내에서 보고서에 명시된 제안된 개선 조치를 따를 것입니다. 데이터 프로세서는 제품 또는 서비스와 관련된 처리 위험, 최신 기술, 구현 비용, 데이터 프로세서가 운영되는 시장 및 제품 또는 서비스의 의도된 사용 서비스.
• 7.6 데이터 프로세서는 이 문서의 조항과 관련하여 발생하는 비용을 고객에게 청구할 권리가 있습니다.

제8조. 재처리자

• 8.1 데이터 처리자는 Data Pro 성명서에서 개인 데이터 처리에 관여하는 제XNUMX자(하위 처리자 또는 하위 처리자)를 명시했습니다.
• 8.2 고객은 데이터 프로세서가 계약에서 발생하는 의무를 수행하기 위해 다른 하위 프로세서를 고용할 수 있는 권한을 부여합니다.
• 8.3 데이터 프로세서는 예를 들어 수정된 Data Pro 선언문을 통해 데이터 프로세서와 관련된 제XNUMX자의 변경 사항에 대해 고객에게 알립니다. 클라이언트는 데이터 프로세서에 의한 전술한 변경에 반대할 권리가 있습니다. 데이터 프로세서는 데이터 프로세서가 Data Pro 선언문을 기반으로 고객에게 적용되는 보안 수준과 개인 데이터 보호와 관련하여 동일한 보안 수준을 약속하도록 자신과 관련된 제XNUMX자를 확인합니다.

제9조 기타

이러한 표준 처리 조항은 Data Pro 성명서와 함께 계약의 불가분의 일부를 구성합니다. 따라서 적용 가능한 일반 조건 및/또는 책임 제한을 포함하여 계약에 따른 모든 권리와 의무는 처리 계약에도 적용됩니다.