Veraarbechtung Accord

Aféierung

Autosoft BV veraarbecht ënner anerem perséinlech Donnéeë fir an am Numm vum Client. Autosoft BV an de Client sinn dofir ënner der General Data Protection Regulation (GDPR) verflicht, e Prozessorofkommes ofzeschléissen. Geméiss dem GDPR ass Autosoft BV e 'Prozessor' an de Client ass e 'Controller'. Dëse Prozessorofkommes beschreift och wéi Autosoft BV d'Datebroch Notifikatiounsverpflichtung behandelt.

Veraarbechtung Accord

Besteet aus:
Deel 1: Data Pro Ausso
Deel 2: Standard Veraarbechtung Klauselen

Deel 1: Data Pro Ausso

Allgemeng Informatioun

1). Dës Data Pro Statement gouf vum folgenden Dateprozessor (Prozessor):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Fir Froen iwwer dës Data Pro Statement oder Dateschutz, kontaktéiert w.e.g.:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Dës Data Pro Statement gëllt vum 1. August 2021
Mir passen dës Data Pro Statement regelméisseg an d'Sécherheetsmoossnamen déi do beschriwwe sinn un, fir sécherzestellen, datt mir ëmmer bereet sinn an um Dateschutz aktuell sinn. Mir halen Iech iwwer eis normal Channels iwwer nei Versiounen informéiert.

3). Dës Data Pro Statement gëllt fir déi folgend Dateprozessorprodukter a Servicer

• AutoWebsäit
• AutoCommerce

4). Beschreiwung Auto Websäit
Autofirmen benotzen Autowebsite. Mat Autowebsite kënnen Autosfirmen sech um Internet presentéieren.

5). Absicht Auto Websäit
Autowebsite ass entworf an ausgestatt fir déi folgend Zorte vun Donnéeën ze veraarbecht:
Besucher op Websäiten, déi vun Autosoft mat Autowebsite entwéckelt goufen, hunn d'Méiglechkeet hir Kontaktdetailer do ze verloossen, sou datt d'Autosfirma d'Méiglechkeet huet de Besucher fir weider Servicer ze kommen. Dës Kontaktdetailer ginn net mat Autosoft gespäichert, mä ginn direkt per E-Mail un d'E-Mailadress vun der Autosfirma weidergeleet.

• Dëse Service berücksichtegt net d'Veraarbechtung vu spezielle perséinlechen Donnéeën, oder Donnéeën am Zesummenhang mat kriminellen Iwwerzeegungen a Beleidegungen oder vun der Regierung erausginn perséinlechen Zuelen.

6). Beschreiwung Autocommerce
Autosfirmen benotzen Autocommerce. Mat Autocommerce kënnen Autosfirmen hir Gefierer op hirer eegener Websäit an Internet Sichportale vun Drëtte verwalten a presentéieren.

7). Virgesinn Benotzung Autocommerce
Autocommerce ass entworf an ausgestatt fir déi folgend Zorte vun Daten ze veraarbecht:
Autosfirmen kënnen hir registréiert Gefierer iwwer Autocommerce op hirer eegener Auto Websäit setzen. Dës registréiert Gefierer enthalen keng Donnéeën, déi an iergendenger Form op perséinlech Donnéeën zréckverfollegt kënne ginn. D'Besucher vun der Auto Websäit hunn d'Méiglechkeet hir Kontaktdetailer do ze verloossen, sou datt d'Autofirma d'Méiglechkeet huet de Besucher fir weider Servicer ze kommen. D'Kontaktdetailer, déi de Besucher op hirer eegener Auto Websäit hannerlooss hunn, ginn am Autocommerce gespäichert.

• Dëse Service berücksichtegt net d'Veraarbechtung vu spezielle perséinlechen Donnéeën, oder Donnéeën am Zesummenhang mat kriminellen Iwwerzeegungen a Beleidegungen oder vun der Regierung erausginn perséinlechen Zuelen.

8). Dateprozessor benotzt d'Standardklauselen fir d'Veraarbechtung fir Autowebsite an Autocommerce, déi als Appendix zum Ofkommes fonnt kënne ginn.

9). Dateprozessor veraarbecht d'perséinlech Donnéeë vu senge Clienten bannent der EU/EWO fir Autowebsite an Autocommerce.

10). Dateprozessor benotzt déi folgend Ënnerveraarbechter fir Autocommerce:
A verschiddene Fäll schéckt Autosoft seng registréiert Gefierer iwwer Autocommerce un d'Internet Sichportale vun Drëttubidder oder Ënnerveraarbechter am Numm vun der Autosfirma. Eng Lëscht vun Ënnerveraarbechter ass op Ufro verfügbar op support@autosoft.eu.

11). Nom Ofkommes mat engem Client wäert den Dateprozessor am Prinzip déi perséinlech Donnéeën, déi e fir de Client veraarbecht, bannent 3 Méint ewechhuelen, sou datt se net méi kënne benotzt ginn an net méi zougänglech sinn (inaccessible maachen).

Sécherheetspolitik

Zesummefaassung déi folgend Sécherheetsmoossnamen déi den Dateprozessor geholl huet fir säi Produkt oder Service ze schützen:

Tëschefall Gestioun an Äntwert Politik
Tëschefall Gestioun an Äntwert Politiken am Beräich vun Informatiounen Sécherheet ëmfaasst d'Iwwerwaachung an Detectioun vun Sécherheet Tëschefäll op engem Computer oder IT Infrastruktur, mä och d'Observatioun vun verdächteg Aktivitéiten vum Personal, an d'Ëmsetzung vun der korrekt Äntwerte op dës Evenementer.

D'Haaptziel vun dëser Politik ass eng gutt verstanen an prévisibel Äntwert op béiswëlleg Eventer a Computerintrusiounen am breetste Sënn vum Wuert z'entwéckelen.

Tëschefallmanagement an Äntwert Politik ass de Prozess fir Computeren, Netzwierker an Informatiounssystemer ze managen an ze schützen an d'Informatioun dran gespäichert. Autosoft ass bewosst seng Verantwortung wann et drëm geet dës Informatioun ze schützen fir de Benefice vu senge Clienten a Versuergungskettenpartner. Dës Verantwortung erstreckt sech op eng Tëschefallprozedur. Tëschefallmanagement ass eng Rei vun Aktivitéiten déi e Prozess definéieren an ëmsetzen deen eng Organisatioun ka benotzen fir säin eegent Wuelbefannen an d'Sécherheet vum Public ze förderen.

IT a Sécherheet
D'ICT-Struktur vun Autosoft BV ass adequat mat enger Firewall geséchert an d'Virusscannersoftware gëtt um neiste Stand gehaal. All Mataarbechter huet e Login Profil. Beim Start vun engem Computer mussen d'Mataarbechter e Loginnumm a Passwuert aginn a wa méiglech mat 2-Schrëtt Authentifikatioun.

Bestëmmte Software freet och e Loginnumm a Passwuert a wa méiglech mat 2-Schrëtt Authentifikatioun. D'Bewosstsinn tëscht de Mataarbechter iwwer sécher Aarbecht gëtt stimuléiert, wéi zum Beispill d'Opmierksamkeet ze zéien fir verdächteg E-Mailen net opzemaachen, net op verdächteg Linken ze klicken, ausloggen wann Dir d'Aarbechtsplaz fir eng laang Zäit verloosst, asw.

D'Dateie ginn während den Deeg an all Nuecht gebackupt. Aus Sécherheetsgrënn ass déi weider Späicherprozedur ronderëm de Backup vertraulech. Autosoft BV huet Servicekontrakter dofir mat Computerleverandoren an Internethosting Ubidder ofgeschloss.

Dateschutzpolitik
Autosoft BV hëlt entspriechend technesch an organisatoresch Moossname fir de Client seng perséinlech Donnéeën géint Verloscht oder iergendenger Form vun illegaler Veraarbechtung ze schützen. Dës technesch an organisatoresch Moossname ginn als en passenden Sécherheetsniveau am Sënn vum Artikel 1 vum GDPR ugesinn a ginn als Dokumenter am zentrale Basecamp (Projet: Organisatioun / Dateschutzpolitik) vun Autosoft BV gespäichert.

Technesch an organisatoresch

1. Moossname fir ze garantéieren datt nëmmen autoriséiert Personal Zougang zu de perséinlechen Donnéeën hunn, déi am Kontext vum Prozessorofkommes veraarbecht ginn;
2. Moossname fir d'Perséinlech Donnéeën besonnesch géint zoufälleg oder illegal Zerstéierung, Verloscht, zoufälleg Ännerung, onerlaabten oder onerlaabten Lagerung, Zougang oder Verëffentlechung ze schützen;
3. Moossname fir d'Perséinlech Donnéeën ze schützen virun allem géint versehentlech oder illegal Zerstéierung, Verloscht, zoufälleg Ännerung, onerlaabten oder illegaler Lagerung, Zougang oder Verëffentlechung während Datenaustausch / Transport;
4. Moossname fir d'Fäegkeet ze garantéieren fir d'Vertraulechkeet, d'Integritéit, d'Disponibilitéit an d'Widderstandsfäegkeet vun den Redaktiounssystemer a Servicer op eng kontinuéierlech Basis ze garantéieren;
5. Moossname fir d'Disponibilitéit an den Zougang zu de perséinlechen Donnéeën am Fall vun engem kierperlechen oder techneschen Tëschefall fristgerecht ze restauréieren;
6. Moossname fir Schwachstelle mat Bezuch op d'Veraarbechtung vu perséinlechen Donnéeën an de Systemer ze identifizéieren déi benotzt gi fir d'Servicer ënner dem Kontrakt ze liwweren;

Organisatoresch wéi:

• Limitéiert de Krees vun de Beamten, déi Zougang zu bestëmmte perséinlechen Donnéeën hunn, fir déi Persounen, déi d'Donnéeën brauchen fir hir Aufgaben ze maachen;
• dës Persounen Zougang zu nëmmen perséinlechen Donnéeën ze ginn, déi se fir d'Leeschtung vun hire Flichten brauchen;
• eng Vertraulechkeetsklausel mat enger Strofklausel averstane mat all Persounen, deenen Zougang zu perséinlechen Donnéeën zougelooss gëtt;
• Späicheren vun perséinlechen Donnéeën op Serveren an engem zouene Raum;
• hält Pabeierdateien an gespaarten Schränke;
• Schafe vun Informatiounssécherheetsbewosstsinn tëscht Mataarbechter;
• kloer Protokoller a Prozedure fir d'rechtzäiteg an effektiv Handhabung vun Informatiounssécherheetsvirfäll a Sécherheetsschwieregkeeten opzestellen;

Dateprozessor benotzt seng eege Methodologien a Prozedure fir Gestioun, déi an der Aarbechtsmethod vun der Organisatioun passen:

• Relevant Dokumenter ginn am Basecamp geréiert a periodesch evaluéiert.

Dateverletzungsprotokoll

Am Fall wou eppes falsch geet, benotzt den Dateprozessor de folgenden Datelekprotokoll fir sécherzestellen datt de Client vun Tëschefäll bewosst ass:

Autosoft BV - Dateverletzungsprozedur

Wat ass eng Dateverletzung a wéini muss ech et der AP mellen?
En Dateverletzung ass en Informatiounssécherheetsvirfall, deen e Verstouss géint d'Sécherheet vu perséinlechen Donnéeën duerch Belaaschtung vu Verloscht oder illegaler Veraarbechtung involvéiert wéi (awer net ustrengend):

• Upassung an / oder Ännerung vun perséinlechen Donnéeën an onerlaabten Zougang zu dëse perséinlechen Donnéeën;
• Am Fall vun engem Abroch vun engem Hacker;
• Verléiere vun engem USB Stick, Vol vun engem Laptop;
• Sensibel Donnéeën op eng falsch E-Mailadress schécken;

Geméiss dem Gesetz muss eng "eeschte" Dateverletzung un der hollännescher Dateschutzautoritéit ouni onnéideg Verspéidung gemellt ginn, a wa méiglech net méi spéit wéi 72 Stonnen no der Entdeckung.

Autosoft BV muss net un der hollännescher Dateschutzautoritéit mellen, wann d'tatsächlech Identifikatioun vun eenzelne natierleche Persounen raisonnabel ausgeschloss ass.
All Verdacht op en Informatiounssécherheetsvirfall gëtt an der éischter Instanz behandelt support@autosoft.eu gemellt an ugemellt. Ënnerstëtzung mellt den Tëschefall un d'Gestiounsteam a bestëmmt wéi eng Suiviaktioune solle geholl ginn.

Suivi Prozedur

Wéini muss ech d'Datenthemen matdeelen?
Eng Dateverstouss muss dem Datesujet gemellt ginn, wann et am Fall vun enger Verletzung e grousse Risiko besteet datt d'Verstouss negativ Konsequenze fir säi Privatliewen huet. Ongënschteg Konsequenze fir den Dateschutz sinn: Schied un sengem Ruff a sengem Ruff, Identitéitsbedruch oder Diskriminatioun. Wann Autosoft BV entspriechend technesch Schutzmoossnamen geholl huet, déi betraffe perséinlech Donnéeën onverständlech oder onzougänglech maachen, ass d'Notifikatioun un den Dateschutz net néideg. D'Notifikatioun un den Datesubjekt enthält eng Beschreiwung, a kloer a kloer Sprooch, vun der Natur vun der perséinlecher Dateverletzung an op d'mannst:

• den Numm an d'Kontaktdetailer vum Dateschutzbeamten oder engem anere Kontaktpunkt wou méi Informatioune kritt kënne ginn;
• déi méiglech Konsequenze vun der perséinlecher Dateverletzung;
• d'Moossnamen, déi vum Controller proposéiert oder geholl ginn, fir d'perséinlech Dateverletzung unzegoen, inklusiv, wa passend, Moossname fir all negativ Auswierkunge dovun ze reduzéieren. D'Bewäertung ob eng Dateverletzung un der hollännescher Dateschutzautoritéit an/oder déi betraffe Persoune muss gemellt ginn ass ëmmer un Autosoft BV. Fir festzestellen, ob en Tëschefall muss gemellt ginn, huet déi hollännesch Dateschutzautoritéit Politikregelen opgestallt (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) an de Aarbechtsgrupp 29 vun den europäesche Supervisor Richtlinnen publizéiert iwwer d'Berichterstattung am GDPR. Wann Autosoft BV d'Dateverletzung net gemellt huet, kann déi hollännesch Dateschutzautoritéit verlaangen datt Autosoft BV nach ëmmer e Bericht mécht. Versoen ze mellen kann mat enger administrativer Geldstrof bestrooft ginn.

Wéi mellen ech eng Dateverletzung?
Déi hollännesch Dateschutzautoritéit stellt e Webformular zur Verfügung, déi benotzt muss ginn fir Dateverletzungen ze mellen (https://dataleks.autoriteitpersoonsgegevens.nl/). Déi hollännesch Dateschutzautoritéit hält e Register vun den Notifikatioune fir Dateverletzungen. Dëse Register ass net ëffentlech. Wann eng Geldstrof vun der hollännescher Dateschutzautoritéit als Resultat vun der Dateverletzung opgestallt gëtt, gëtt dës Entscheedung ëffentlech gemaach. Eng Dateverletzung gëtt och ëffentlech gemaach wann Datesujeten iwwer d'Dateverletzung informéiert musse ginn. D’Notifikatioun un den Dateschutz muss op jiddwer Fall d’Natur vun der Verstouss an d’Autoritéiten uginn, wou den Datesujet méi Informatiounen iwwert d’Verletzung ka kréien. Et muss och festgehale ginn, wat den Dateschutz selwer maache kann, fir déi negativ Konsequenze vun der Dateverletzung ze limitéieren. Zum Beispill, Benotzernimm a Passwierder z'änneren wann se duerch d'Verletzung kompromittéiert sinn.

Wat soll ech mellen?
Eng Notifikatioun un déi hollännesch Dateschutzautoritéit enthält:

• De Reporter vun der Dateverletzung.
• D'Persoun mat där d'hollännesch Dateschutzautoritéit kontaktéiere kann fir weider Informatioun iwwer de Bericht.
• E Resumé vum Tëschefall wou de perséinlechen Datesécherheetsverletzung geschitt ass.
• Zäit vun der Verletzung.
• D'Natur vun der Verletzung.
• D'Zort vu perséinlechen Donnéeë betrëfft.
• D'Konsequenzen déi d'Verletzung kann hunn fir d'Privatsphär vun de Betraffene.
• Déi technesch an organisatoresch Moossnamen déi Autosoft BV geholl huet fir d'Verletzung unzegoen a weider Verstéiss ze verhënneren.
• Ob Autosoft BV d'Dateverletzung un den Datesubjekte gemellt huet a wann net, ob Autosoft BV wëlles dat ze maachen:
• Wann jo, den Inhalt vun der Notifikatioun un d'Datenthemen.
• Wann net, de Grond firwat Autosoft BV refuséiert d'Dateverletzung un d'Datensujeten ze mellen.
• Sinn déi perséinlech Donnéeë verschlësselt, gehasht oder soss onverständlech oder onzougänglech fir onerlaabten Persounen gemaach?

Deel 2: Standard Veraarbechtung Klauselen

Versioun: September 2019
Zesumme mat der Data Pro Statement, bildt den Veraarbechtungsofkommes an ass en Appendix zum Ofkommes an déi begleetend Annexe wéi applicabel allgemeng Konditioune.

Artikel 1. Definitiounen

D'Konditioune hei ënnen hunn déi folgend Bedeitungen an dëse Standardklauselen fir d'Veraarbechtung, an der Data Pro Statement an am Ofkommes:

• 1.1 Hollännesch Dateschutzautoritéit (AP): Iwwerwaachungsautoritéit, wéi am Artikel 4, Ënner 21 vun der Avg.
• 1.2 AVG: General Dateschutzreglement.
• 1.3 Dateprozessor: Partei, déi als ICT Zouliwwerer perséinlech Donnéeën zum Virdeel vu sengem Client am Kontext vun der Ausféierung vum Ofkommes veraarbecht.
• 1.4 Data Pro Erklärung: Erklärung vum Dateprozessor, an deem et Informatioune gëtt iwwer déi virgesinn Notzung vu sengem Produkt oder Service, Sécherheetsmoossnamen, Ënnerveraarbechter, Dateleaks, Zertifizéierungen an Ëmgank mat de Rechter vun Datesujeten.
• 1.5 Datesubjekt (Datenbetreffend): eng identifizéiert oder erkennbar natierlech Persoun.
• 1.6 Client: Partei, op deem hirem Numm den Dateprozessor perséinlech Donnéeën veraarbecht. De Client kann entweder e Controller ("Controller") oder en anere Prozessor sinn.
• 1.7 Accord: den Accord tëscht dem Client an dem Dateprozessor, op Basis vun deem den ICT Fournisseur dem Client Servicer an/oder Produkter liwwert, vun deenen de Prozessorvertrag Deel ass.
• 1.8 Perséinlech Donnéeën: all Informatioun iwwer eng identifizéiert oder identifizéierend natierlech Persoun, wéi am Artikel 4, Ënner 1 AVG beschriwwen, déi den Dateprozessor am Kontext vun der Leeschtung vu senge Verpflichtungen aus dem Ofkommes veraarbecht.
• 1.9 Veraarbechtungsofkommes: dës Standardklauselen fir d'Veraarbechtung, déi zesumme mat der Data Pro Statement (oder vergläichbarer Informatioun) vum Dateprozessor den Veraarbechtungsvertrag bilden wéi am Artikel 28, Abschnitt 3 vum GDPR bezeechent gëtt.

Artikel 2. Allgemeng

• 2.1 Dës Standardveraarbechtungsklauselen gëllen fir all Veraarbechtung vu perséinlechen Donnéeën, déi den Dateprozessor am Kontext vun der Liwwerung vu senge Produkter a Servicer mécht an op all Ofkommes an Offeren. D'Uwendbarkeet vun de Veraarbechtungsverträg vum Client gëtt ausdrécklech verworf.
• 2.2 D'Data Pro Erklärung, a besonnesch d'Sécherheetsmoossnamen déi dra enthale sinn, kënne vun Zäit zu Zäit vum Dateprozessor geännert ginn fir verännert Ëmstänn ze reflektéieren. Den Dateprozessor informéiert Client iwwer bedeitend Ännerungen. Wann de Client net raisonnabel mat den Upassungen averstanen ass, huet de Client d'Recht d'Veraarbechtungsvertrag schrëftlech bannent 30 Deeg no der Notifikatioun vun den Upassungen ofzeschléissen.
• 2.3 Dateprozessor veraarbecht déi perséinlech Donnéeën am Numm vum an am Numm vum Client am Aklang mat de schrëftlechen Instruktioune vum Client ausgemaach mam Dateprozessor.
• 2.4 De Client, oder säi Client, ass de Controller am Sënn vum GDPR, huet Kontroll iwwer d'Veraarbechtung vun de perséinlechen Donnéeën an huet den Zweck an d'Moyene fir d'Veraarbechtung vun de perséinlechen Donnéeën festgeluecht.
• 2.5 Den Dateprozessor ass e Prozessor am Sënn vum GDPR an huet dofir keng Kontroll iwwer den Zweck an d'Moyene vun der Veraarbechtung vun de Perséinlechen Donnéeën an mécht dofir keng Entscheedungen iwwer ënner anerem d'Benotzung vun de perséinlechen Donnéeën.
• 2.6 Dateprozessor implementéiert den GDPR wéi an dëse Standardklauselen fir d'Veraarbechtung, d'Date Pro Statement an d'Ofkommes festgeluecht. Et ass un de Client fir op Basis vun dëser Informatioun ze beurteelen ob den Dateprozessor genuch Garantien ubitt wat d'Uwendung vun passenden techneschen an organisatoresche Moossnamen ugeet, sou datt d'Veraarbechtung den Ufuerderunge vum GDPR an dem Schutz vun de Rechter vun den Datepersounen entsprécht. ass genuch, garantéiert.
• 2.7 De Client garantéiert dem Dateveraarbechter datt en am Aklang mat dem GDPR handelt, datt hien seng Systemer an Infrastruktur zu all Moment adequat schützt an datt den Inhalt, d'Benotzung an/oder d'Veraarbechtung vun de perséinlechen Donnéeën net illegal sinn a kee Recht verletzen. vun enger drëtter Partei.
• 2.8 Eng administrativ Geldstrof, déi dem Client vun der AP opgeluecht gouf, kann net vum Dateprozessor erholl ginn.

Artikel 3. Sécherheet

• 3.1 Den Dateprozessor hëlt déi technesch an organisatoresch Sécherheetsmoossnamen, sou wéi et a senger Data Pro Statement beschriwwe gëtt. Wann d'technesch an organisatoresch Sécherheetsmoossnamen huelen, huet den Dateprozessor den Zoustand vun der Konscht, d'Ëmsetzungskäschte vun de Sécherheetsmoossnamen, d'Natur, den Ëmfang an de Kontext vun der Veraarbechtung, d'Ziler an déi virgesinn Notzung vu senge Produkter a Servicer berücksichtegt. , d'Veraarbechtungsrisiken an d'Risiken, déi sech an der Wahrscheinlechkeet an der Eescht ënnerscheeden fir d'Rechter a Fräiheete vun den Datesujeten, déi hien am Hibléck op déi virgesinn Notzung vu senge Produkter a Servicer erwaarden kann.
• 3.2 Wann net explizit anescht an der Date Pro Statement uginn ass, ass de Produkt oder Service vum Dateprozessor net entwéckelt fir speziell Kategorien vu perséinlechen Donnéeën oder Donnéeën betreffend kriminellen Iwwerzeegungen oder Beleidegungen oder Regierungsausginn perséinlech Zuelen ze veraarbecht.
• 3.3 Den Dateprozessor beméit sech dofir ze garantéieren datt d'Sécherheetsmoossnamen, déi vun him geholl ginn, passend sinn fir déi virgesinn Notzung vum Produkt oder Service vum Dateprozessor.
• 3.4 Der Meenung vum Client bidden déi beschriwwe Sécherheetsmoossnamen, ënner Beuechtung vun de Faktoren, déi am Artikel 3.1 bezeechent ginn, e Sécherheetsniveau ugepasst op de Risiko vun der Veraarbechtung vun de perséinlechen Donnéeën, déi se benotzt oder zur Verfügung stellen.
• 3.5 Den Dateprozessor kann Ännerungen un de Sécherheetsmoossname maachen, wann et no senger Meenung no néideg ass fir weider e passenden Sécherheetsniveau ze bidden. Den Dateprozessor wäert wichteg Ännerungen ophuelen, zum Beispill an enger amendéierter Data Pro Statement, a wäert de Client iwwer dës Ännerungen informéieren wann relevant.
• 3.6 Client kann den Dateprozessor ufroen fir weider Sécherheetsmoossnamen ze huelen. Den Dateprozessor ass keng Verpflichtung fir Ännerunge fir seng Sécherheetsmoossnamen op esou Ufro ze maachen. Den Dateprozessor kann d'Käschten am Zesummenhang mat den Ännerungen op Ufro vum Client un de Client bezuelen. Eréischt nodeems déi vum Client gewënschte geännert Sécherheetsmoossnamen schrëftlech ausgemaach a vun de Parteien ënnerschriwwe goufen, ass den Dateprozessor verflicht dës Sécherheetsmoossnamen tatsächlech ëmzesetzen.

Artikel 4. Perséinlech Dateverletzung

• 4.1 Den Dateprozessor garantéiert net datt d'Sécherheetsmoossnamen ënner allen Ëmstänn effektiv sinn. Wann den Dateprozessor e Verstouss am Zesummenhang mat Perséinlechen Donnéeën entdeckt (wéi am Artikel 4 Sub 12 Avg bezeechent), informéiert hien de Client ouni onnéideg Verspéidung. D'Data Pro Statement (ënnert Datelekprotokoll) stellt fest wéi den Dateprozessor de Client informéiert iwwer Verstéiss a Verbindung mat Perséinlechen Donnéeën.
• 4.2 Et ass un de Controller (Client oder säi Client) fir ze bewäerten ob d'Verletzung vun der Perséinlecher Date, iwwer déi den Dateprozessor informéiert huet, un d'AP oder d'Datenbetreffer gemellt muss ginn. D'Berichterstattung vu Verstéiss am Zesummenhang mat Perséinlechen Donnéeën, déi un d'AP an/oder Datesujeten gemellt musse ginn no den Artikelen 33 an 34 GDPR, bleift zu all Moment d'Verantwortung vum Controller (Client oder säi Client). Dateprozessor ass net verpflicht, perséinlech Dateverletzungen un d'AP an/oder den Datebetreff ze mellen.
• 4.3 Den Dateprozessor gëtt, wann néideg, weider Informatioun iwwer d'Verstouss am Zesummenhang mat Perséinlechen Donnéeën a wäert mat der néideger Informatiounsversuergung un de Client kooperéieren fir den Zweck vun enger Notifikatioun wéi an den Artikelen 33 an 34 Avg.
• 4.4 Den Dateprozessor kann déi raisonnabel Käschten, déi en an dësem Kontext entstinn, dem Client op sengen zoutreffend Tariffer berechnen.

Artikel 5. Confidentialitéit

• 5.1 Dateprozessor garantéiert datt d'Persounen, déi perséinlech Donnéeën ënner senger Verantwortung veraarbecht hunn, eng Vertraulechkeetspflicht hunn.
• 5.2 Dateprozessor ass berechtegt d'Perséinlech Donnéeën un Drëttubidder ze liwweren, wann a souwäit Dispositioun néideg ass no enger Geriichtsentscheedung, enger gesetzlecher Regulatioun oder op Basis vun engem autoriséierten Uerder vun enger Regierungsautoritéit.
• 5.3 All Zougangs- an/oder Identifikatiounscoden, Certificaten, Informatioun iwwer Zougang an/oder Passwuertpolitik, déi vum Dateprozessor un de Client geliwwert gëtt an all Informatioun vum Dateprozessor un de Client, déi d'technesch an organisatoresch Sécherheetsmoossnamen implementéiert, déi an der Data Pro Statement abegraff sinn, sinn vertraulech. a gëtt als solch vum Client behandelt an nëmmen un autoriséiert Mataarbechter vum Client bekannt gemaach. De Client suergt dofir datt seng Mataarbechter d'Verpflichtungen ënner dësem Artikel respektéieren.

Artikel 6. Dauer an Termin

• 6.1 Dëse Prozessorofkommes ass en Deel vum Ofkommes an all nei oder weider Ofkommes, déi dovunner entstinn, trëtt a Kraaft zum Zäitpunkt vum Ofschloss vum Ofkommes a gëtt fir eng onbestëmmten Zäit ofgeschloss.
• 6.2 Dëse Prozessorofkommes endet duerch d'Operatioun vum Gesetz op d'Enn vum Ofkommes oder all neien oder weideren Accord tëscht de Parteien.
• 6.3 Am Fall vum Enn vum Veraarbechtungsofkommes läscht den Dateprozessor all Perséinlech Donnéeën a sengem Besëtz a kritt vum Client bannent dem Termin, deen an der Data Pro Statement abegraff ass, sou datt se net méi kënne benotzt ginn an net méi sinn. zougänglech (net zougänglech maachen). , oder, wann ausgemaach, et un de Client an engem maschinn liesbare Format zréckginn.
• 6.4 Den Dateprozessor kann de Client all Käschten déi hien am Kader vun de Bestëmmunge vum Artikel 6.3 mécht. Weider Ofkommes doriwwer kënnen an der Data Pro Statement festgeluecht ginn.
• 6.5 D'Bestëmmunge vum Artikel 6.3 gëllen net wann e gesetzleche Reglement den Dateveraarbechter verhënnert, déi perséinlech Donnéeën komplett oder deelweis ze läschen oder zréckzeginn. An esou engem Fall wäert den Dateprozessor nëmme weiderhin d'perséinlech Donnéeën ze veraarbechten an deem Ausmooss néideg ënner senge gesetzleche Verpflichtungen. D'Bestëmmunge vum Artikel 6.3 gëllen och net wann den Dateveraarbechter de Controller am Sënn vum GDPR wat d'perséinlech Donnéeën ugeet.

Artikel 7. Rechter vun Datesubjekter, Dateschutz Impact Assessment (DPIA) an Audit Rechter

• 7.1 Den Dateprozessor wäert, wa méiglech, mat raisonnabelen Ufroe vum Client kooperéieren, déi mat de Rechter vun Datesujeten am Zesummenhang sinn, déi vum Client vun den Datesujeten opgeruff ginn. Wann den Dateprozessor direkt vun engem Datesubjekt ugeschwat gëtt, wäert hien dës Persoun op de Client verweisen wa méiglech.
• 7.2 Wann de Client verpflicht ass dat ze maachen, wäert den Dateprozessor mat enger Dateschutz Impakt Bewäertung (DPIA) kooperéieren oder eng spéider viraussiichtlech Konsultatioun wéi an den Artikelen 35 an 36 Avg.
• 7.3 Den Dateprozessor kooperéiert mat Ufroe vum Client fir d'Ewechhuele vu perséinlechen Donnéeën souwäit de Client dëst net selwer kann ausféieren.
• 7.4 Op Ufro vum Client wäert den Dateprozessor och all weider Informatioun zur Verfügung stellen, déi raisonnabel néideg ass fir d'Konformitéit mat den Accorden an dësem Veraarbechtungsvertrag ze weisen. Wann de Client trotzdem Grond huet ze gleewen datt d'Veraarbechtung vu perséinlechen Donnéeën net am Aklang mam Veraarbechtungsofkommes stattfënnt, kann se maximal eemol am Joer vun engem onofhängegen, zertifizéierten externen Expert konsultéiert ginn, deen noweisbar Erfahrung mat der Aart vun Veraarbechtung déi op Basis vum Ofkommes duerchgefouert gëtt. , hunn en Audit op Käschte vum Client duerchgefouert. Den Audit wäert limitéiert sinn op d'Konformitéit mat den Ofkommes iwwer d'Veraarbechtung vu perséinlechen Donnéeën ze kontrolléieren wéi an dësem Prozessorofkommes festgeluecht. Den Expert huet eng Vertraulechkeetspflicht iwwer dat wat hien fënnt a mellt dem Client nëmmen dat wat zu engem Defizit an der Erfëllung vun de Verpflichtungen resultéiert, déi den Dateprozessor ënner dësem Veraarbechtungsvertrag huet. Den Expert gëtt eng Kopie vu sengem Bericht un den Dateprozessor. Den Dateprozessor kann en Audit oder Instruktioun vum Expert refuséieren, wann, senger Meenung no, dëst de GDPR oder aner Gesetzgebung verletzt oder en onerlaabte Verstouss géint d'Sécherheetsmoossnamen ausmécht, déi hien geholl huet.
• 7.5 D'Parteie konsultéieren sou séier wéi méiglech iwwer d'Resultater vum Bericht. D’Parteie wäerten déi virgeschloe Verbesserungsmoossnamen, déi am Rapport festgeluecht sinn, nokommen, souwäit dat vun hinne vernünfteg erwaart gëtt. Den Dateprozessor wäert déi proposéiert Verbesserungsmoossnamen ëmsetzen an d'Mooss datt se a senger Meenung passend sinn, ënner Beuechtung vun de Veraarbechtungsrisiken, déi mat sengem Produkt oder Service verbonne sinn, den Zoustand vun der Konscht, d'Ëmsetzungskäschten, de Maart an deem et funktionnéiert, an déi virgesinn Notzung vum Produkt oder Service. de Service.
• 7.6 Den Dateprozessor huet d'Recht d'Käschten ze bezuelen déi hien am Kontext vun de Bestëmmunge vun dësem Artikel un de Client mécht.

Artikel 8. Ënner-Prozessoren

• 8.1 Dateprozessor huet an der Data Pro Statement uginn ob, a wa jo, wéi eng Drëttpersounen (Ënnerveraarbechter oder Ënnerveraarbechter) den Dateprozessor engagéiert mat der Veraarbechtung vun de perséinlechen Donnéeën.
• 8.2 De Client gëtt dem Dateprozessor Erlaabnis fir aner Ënnerveraarbechter ze engagéieren fir seng Verpflichtungen aus dem Ofkommes auszeféieren.
• 8.3 Den Dateprozessor informéiert de Client iwwer eng Ännerung vun den Drëtte Parteien, déi vum Dateprozessor engagéiert sinn, zum Beispill duerch eng geännert Data Pro Statement. De Client huet d'Recht géint déi uewe genannte Ännerung vum Dateprozessor ze protestéieren. Den Dateprozessor suergt dofir datt déi Drëtt Parteien, déi vun him engagéiert sinn, sech op dee selwechte Sécherheetsniveau a Bezuch op de Schutz vu perséinlechen Donnéeën verpflichte wéi de Sécherheetsniveau, un deem den Dateprozessor un de Client gebonnen ass op Basis vun der Data Pro Statement.

Artikel 9. Aner

Dës Standardveraarbechtungsklauselen, zesumme mat der Data Pro Statement, bilden en integralen Deel vum Ofkommes. All Rechter a Pflichten ënner dem Ofkommes, inklusiv déi applicabel allgemeng Bedéngungen an/oder Aschränkungen vun der Haftung, gëllen dofir och fir de Veraarbechtungsofkommes.