Apdorojimo sutartis

Įvadas

„Autosoft BV“, be kita ko, tvarko asmens duomenis kliento vardu ir jo vardu. Todėl „Autosoft BV“ ir klientas pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) privalo sudaryti tvarkytojo sutartį. Pagal GDPR „Autosoft BV“ yra „procesorius“, o klientas yra „valdytojas“. Šioje tvarkytojo sutartyje taip pat aprašoma, kaip „Autosoft BV“ tvarko įsipareigojimą pranešti apie duomenų pažeidimą.

Apdorojimo sutartis

Susideda iš:
1 dalis: „Data Pro“ pareiškimas
2 dalis. Standartinės apdorojimo sąlygos

1 dalis: „Data Pro“ pareiškimas

Bendra informacija

1). Šį Data Pro pareiškimą parengė šis duomenų tvarkytojas (tvarkytojas):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Jei turite klausimų apie šį „Data Pro“ pareiškimą arba duomenų apsaugą, susisiekite su:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Šis „Data Pro“ pareiškimas taikomas nuo 1 m. rugpjūčio 2021 d
Reguliariai koreguojame šį „Data Pro“ pareiškimą ir jame aprašytas saugos priemones, kad užtikrintume, jog visada esame pasiruošę ir atnaujinami duomenų apsaugos klausimais. Mes jus informuosime apie naujas versijas įprastais kanalais.

3). Šis „Data Pro“ pareiškimas taikomas šiems duomenų tvarkytojo produktams ir paslaugoms

• AutoWebsite
• AutoCommerce

4). Aprašymas Automobilių svetainė
Automobilių įmonės naudojasi Autowebsite. Naudodamiesi „Autowebsite“, automobilių įmonės gali prisistatyti internete.

5). Svetainė pagal paskirtį Automobilis
Autowebsite sukurta ir pritaikyta apdoroti šių tipų duomenis:
„Autosoft“ sukurtų svetainių su „Autowebsite“ lankytojai turi galimybę ten palikti savo kontaktinius duomenis, kad automobilių įmonė turėtų galimybę kreiptis į lankytoją dėl tolimesnių paslaugų. Šie kontaktiniai duomenys nėra saugomi Autosoft, o yra tiesiogiai persiunčiami el. paštu automobilių įmonės el. pašto adresu.

• Ši paslauga neatsižvelgia į ypatingų asmens duomenų tvarkymą, duomenis apie teistumus ir nusikaltimus arba vyriausybės išduotus asmens numerius.

6). Aprašymas Autocommerce
Automobilių įmonės naudojasi „Autocommerce“. Naudodamos „Autocommerce“, automobilių įmonės gali valdyti ir pristatyti savo transporto priemones savo interneto svetainėje ir trečiųjų šalių internetiniuose paieškos portaluose.

7). Numatytas naudojimas Autocommerce
Autocommerce sukurta ir pritaikyta apdoroti šių tipų duomenis:
Automobilių įmonės gali pateikti savo registruotas transporto priemones per Autocommerce savo automobilių svetainėje. Šiose registruotose transporto priemonėse nėra duomenų, kuriuos bet kokia forma būtų galima atsekti iki asmens duomenų. Automobilių svetainės lankytojai turi galimybę ten palikti savo kontaktinius duomenis, kad automobilių įmonė turėtų galimybę kreiptis į lankytoją dėl tolimesnių paslaugų. Kontaktiniai duomenys, kuriuos lankytojas paliko savo „Auto“ svetainėje, yra saugomi „Autocommerce“.

• Ši paslauga neatsižvelgia į ypatingų asmens duomenų tvarkymą, duomenis apie teistumus ir nusikaltimus arba vyriausybės išduotus asmens numerius.

8). Duomenų tvarkytojas naudoja standartines Autowebsite ir Autocommerce apdorojimo sąlygas, kurias galima rasti kaip sutarties priedą.

9). Duomenų tvarkytojas tvarko savo klientų asmens duomenis ES/EEE Autowebsite ir Autocommerce tikslais.

10). Duomenų tvarkytojas Autocommerce naudoja šiuos antrinius tvarkytojus:
Kai kuriais atvejais „Autosoft“ siunčia savo registruotas transporto priemones per „Autocommerce“ į trečiųjų šalių ar antrinių tvarkytojų interneto paieškos portalus Automobilių įmonės vardu. Papildomų procesorių sąrašą galite rasti adresu support@autosoft.eu.

11). Nutraukus Sutartį su klientu, duomenų tvarkytojas iš esmės per 3 mėnesius pašalins kliento tvarkomus asmens duomenis taip, kad jie nebegalėtų būti naudojami ir nebebūtų pasiekiami (padarytų neprieinami).

Saugumo politika

Apibendrinkite šias saugumo priemones, kurių Duomenų tvarkytojas ėmėsi, kad apsaugotų savo produktą ar paslaugą:

Incidentų valdymo ir reagavimo politika
Į incidentų valdymo ir reagavimo politiką informacijos saugumo srityje priskiriamas kompiuterių ar IT infrastruktūros saugumo incidentų stebėjimas ir aptikimas, taip pat personalo įtartinos veiklos stebėjimas ir teisingų reagavimo į šiuos įvykius įgyvendinimas.

Pagrindinis šios politikos tikslas – sukurti gerai suprantamą ir nuspėjamą atsaką į kenkėjiškus įvykius ir kompiuterių įsilaužimus plačiąja to žodžio prasme.

Incidentų valdymo ir reagavimo politika – tai kompiuterių, tinklų ir informacinių sistemų bei juose saugomos informacijos valdymo ir apsaugos procesas. „Autosoft“ žino savo atsakomybę, kai reikia apsaugoti šią informaciją savo klientų ir tiekimo grandinės partnerių labui. Ši atsakomybė apima incidento procedūrą. Incidentų valdymas – tai visuma veiklų, kurios apibrėžia ir įgyvendina procesą, kurį organizacija gali panaudoti savo gerovei ir visuomenės saugumui skatinti.

IT ir saugumas
Autosoft BV IRT struktūra yra tinkamai apsaugota ugniasiene, o virusų nuskaitymo programinė įranga yra nuolat atnaujinama. Kiekvienas darbuotojas turi prisijungimo profilį. Paleidžiant kompiuterį darbuotojai turi įvesti prisijungimo vardą ir slaptažodį bei, jei įmanoma, 2 žingsnių autentifikavimą.

Tam tikra programinė įranga taip pat prašo įvesti prisijungimo vardą ir slaptažodį bei, jei įmanoma, naudoti 2 žingsnių autentifikavimą. Skatinamas darbuotojų informuotumas apie saugų darbą, pavyzdžiui, atkreipiamas dėmesys į įtartinų el. laiškų neatidarymą, įtartinų nuorodų nespaudimas, atsijungimas ilgam paliekant darbo vietą ir pan.

Failų atsarginės kopijos kuriamos dienomis ir kiekvieną naktį. Saugumo sumetimais tolesnė saugojimo procedūra, susijusi su atsargine kopija, yra konfidenciali. „Autosoft BV“ sudarė paslaugų sutartis su kompiuterių tiekėjais ir interneto prieglobos paslaugų teikėjais.

Duomenų apsaugos politika
Autosoft BV imasi atitinkamų techninių ir organizacinių priemonių, kad apsaugotų kliento asmens duomenis nuo praradimo ar bet kokio neteisėto tvarkymo. Šios techninės ir organizacinės priemonės yra laikomos tinkamu saugumo lygiu pagal BDAR 1 straipsnį ir yra saugomos kaip dokumentai centrinėje Autosoft BV Basecamp (projektas: organizacija / duomenų apsaugos politika).

Techninė ir organizacinė

1. Priemonės, užtikrinančios, kad tik įgalioti darbuotojai turėtų prieigą prie Asmens duomenų, tvarkomų pagal Tvarkytojo sutartį;
2. Priemonės, skirtos apsaugoti Asmens duomenis, ypač nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, atsitiktinio pakeitimo, neteisėto ar neteisėto saugojimo, prieigos ar atskleidimo;
3. Priemonės, skirtos apsaugoti Asmens duomenis, visų pirma, nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, atsitiktinio pakeitimo, neteisėto ar neteisėto saugojimo, prieigos ar atskleidimo keičiantis/transportuojant duomenis;
4. Priemonės, užtikrinančios galimybę nuolat užtikrinti redagavimo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;
5. Priemonės, skirtos laiku atkurti Asmens duomenų prieinamumą ir prieigą prie jų fizinio ar techninio incidento atveju;
6. Priemonės, skirtos nustatyti pažeidžiamumą, susijusį su Asmens duomenų tvarkymu sistemose, kuriose teikiamos paslaugos pagal sutartį;

Organizaciniai, tokie kaip:

• Pareigūnų, turinčių prieigą prie tam tikrų asmens duomenų, rato apribojimas iki tų asmenų, kuriems šie duomenys reikalingi savo pareigoms atlikti;
• suteikti šiems asmenims prieigą tik prie asmens duomenų, kurių jiems reikia jų pareigoms atlikti;
• su visais asmenimis, kuriems bus suteikta prieiga prie asmens duomenų, susitarti dėl konfidencialumo sąlygos su nuobauda;
• asmens duomenų saugojimas serveriuose uždaroje erdvėje;
• popierinių bylų laikymas rakinamose spintelėse;
• darbuotojų informuotumo apie informacijos saugumą kūrimas;
• nustatyti aiškius protokolus ir procedūras, skirtas laiku ir veiksmingai valdyti informacijos saugumo incidentus ir saugumo spragas;

Duomenų tvarkytojas valdymui naudoja savo metodikas ir procedūras, kurios atitinka organizacijos darbo metodą:

• Basecamp sistemoje tvarkomi ir periodiškai vertinami atitinkami dokumentai.

Duomenų pažeidimo protokolas

Jei kas nors negerai, duomenų tvarkytojas naudoja šį duomenų nutekėjimo protokolą, kad užtikrintų, jog klientas žinotų apie incidentus:

Autosoft BV – Duomenų pažeidimo procedūra

Kas yra duomenų saugumo pažeidimas ir kada apie tai turiu pranešti AP?
Duomenų pažeidimas yra informacijos saugumo incidentas, susijęs su asmens duomenų saugumo pažeidimu dėl praradimo arba neteisėto apdorojimo, pavyzdžiui (bet ne visapusiškai):

• Asmens duomenų koregavimas ir/ar keitimas ir neteisėta prieiga prie šių asmens duomenų;
• įsilaužėliui įsilaužus;
• USB atmintinės pametimas, nešiojamojo kompiuterio vagystė;
• neskelbtinų duomenų siuntimas neteisingu el. pašto adresu;

Pagal įstatymą apie „rimtą“ duomenų saugumo pažeidimą reikia nedelsiant ir, jei įmanoma, ne vėliau kaip per 72 valandas po aptikimo pranešti Nyderlandų duomenų apsaugos institucijai.

Autosoft BV neprivalo pranešti Nyderlandų duomenų apsaugos institucijai, jei pagrįstai atmetama faktinė atskirų fizinių asmenų tapatybė.
Į visus įtarimus dėl informacijos saugumo incidento kreipiamasi pirmiausia support@autosoft.eu pranešė ir užregistravo. Pagalba praneša apie incidentą valdymo komandai ir nustato, kokių tolesnių veiksmų reikia imtis.

Tolesnė procedūra

Kada turiu pranešti duomenų subjektams?
Apie duomenų saugumo pažeidimą duomenų subjektui reikia pranešti, jeigu pažeidimo atveju yra didelė rizika, kad pažeidimas turės neigiamų pasekmių jo asmeniniam gyvenimui. Duomenų subjektui nepalankios pasekmės yra: žala garbei ir reputacijai, tapatybės sukčiavimas ar diskriminacija. Jei Autosoft BV ėmėsi atitinkamų techninių apsaugos priemonių, dėl kurių atitinkami asmens duomenys tapo nesuprantami arba nepasiekiami, apie tai pranešti duomenų subjektui nebūtina. Pranešime duomenų subjektui turi būti aiškiai ir paprasta kalba aprašomas asmens duomenų saugumo pažeidimo pobūdis ir bent:

• duomenų apsaugos pareigūno arba kito kontaktinio punkto, kuriame galima gauti daugiau informacijos, pavadinimas ir kontaktiniai duomenys;
• galimas asmens duomenų saugumo pažeidimo pasekmes;
• Duomenų valdytojo pasiūlytos ar taikomos priemonės asmens duomenų saugumo pažeidimui pašalinti, įskaitant, jei reikia, priemones bet kokiam neigiamam jo poveikiui sumažinti. Įvertinti, ar apie duomenų pažeidimą turi būti pranešta Nyderlandų duomenų apsaugos institucijai ir (arba) susijusiems asmenims, visada priklauso Autosoft BV. Siekdama nustatyti, ar apie incidentą reikia pranešti, Nyderlandų duomenų apsaugos institucija parengė politikos taisykles (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) ir Europos priežiūros institucijų gairių, paskelbtų BDAR dėl ataskaitų teikimo prievolės, 29 darbo grupė. Jei Autosoft BV nepranešė apie duomenų pažeidimą, Nyderlandų duomenų apsaugos institucija gali reikalauti, kad Autosoft BV vis tiek pateiktų pranešimą. Nepranešimas gali būti baudžiamas administracine nuobauda.

Kaip pranešti apie duomenų pažeidimą?
Nyderlandų duomenų apsaugos institucija pateikia internetinę formą, kurią reikia naudoti pranešant apie duomenų pažeidimus (https://dataleks.autoriteitpersoonsgegevens.nl/). Nyderlandų duomenų apsaugos institucija tvarko gautų pranešimų apie duomenų pažeidimus registrą. Šis registras nėra viešas. Jei Nyderlandų duomenų apsaugos institucija dėl duomenų pažeidimo skirs baudą, šis sprendimas bus paskelbtas viešai. Duomenų saugumo pažeidimas taip pat skelbiamas viešai, kai duomenų subjektus reikia informuoti apie duomenų saugumo pažeidimą. Pranešime duomenų subjektui bet kuriuo atveju turi būti nurodytas pažeidimo pobūdis ir institucijos, kuriose duomenų subjektas gali gauti daugiau informacijos apie pažeidimą. Taip pat turi būti nurodyta, ką duomenų subjektas gali padaryti pats, kad sumažintų neigiamas duomenų saugumo pažeidimo pasekmes. Pavyzdžiui, vartotojo vardų ir slaptažodžių keitimas, kai jie galėjo būti pažeisti dėl pažeidimo.

Ką turėčiau pranešti?
Pranešime Nyderlandų duomenų apsaugos institucijai pateikiama:

• Pranešėjas apie duomenų pažeidimą.
• Asmuo, į kurį Nyderlandų duomenų apsaugos institucija gali kreiptis dėl papildomos informacijos apie ataskaitą.
• Įvykio, kai įvyko asmens duomenų saugumo pažeidimas, santrauka.
• Pažeidimo padarymo laikas.
• Pažeidimo pobūdis.
• Atitinkamų asmens duomenų tipas.
• Pasekmės, kurias pažeidimas gali turėti susijusių asmenų privatumui.
• Techninės ir organizacinės priemonės, kurių Autosoft BV ėmėsi, siekdama kovoti su pažeidimu ir užkirsti kelią tolesniems pažeidimams.
• Ar Autosoft BV pranešė duomenų subjektams apie duomenų saugumo pažeidimą, o jei ne, ar Autosoft BV ketina tai padaryti:
• Jei taip, pranešimo duomenų subjektams turinys.
• Jei ne, priežastis, kodėl Autosoft BV nepraneša duomenų subjektams apie duomenų saugumo pažeidimą.
• Ar asmens duomenys buvo užšifruoti, maišyti ar kitaip padaryti nesuprantami arba neprieinami pašaliniams asmenims?

2 dalis. Standartinės apdorojimo sąlygos

Versija: 2019 m. rugsėjo mėn
Kartu su „Data Pro“ pareiškimu sudaro tvarkymo sutartį ir yra Sutarties priedas bei pridedami priedai, pavyzdžiui, taikomos bendrosios sąlygos.

1 straipsnis. Apibrėžtys

Toliau pateiktos sąvokos šiose standartinėse apdorojimo sąlygose, „Data Pro“ pareiškime ir sutartyje turi šias reikšmes:

• 1.1 Nyderlandų duomenų apsaugos institucija (AP): priežiūros institucija, kaip aprašyta Vid. 4 straipsnio 21 papunktyje.
• 1.2 AVG: Bendrasis duomenų apsaugos reglamentas.
• 1.3 Duomenų tvarkytojas: šalis, kuri, kaip IRT tiekėja, tvarko Asmens duomenis savo Kliento naudai vykdydama Sutartį.
• 1.4 „Data Pro“ pareiškimas: Duomenų tvarkytojo pareiškimas, kuriame pateikiama informacija apie numatomą jo produkto ar paslaugos naudojimą, taikomas saugumo priemones, antrinius tvarkytojus, duomenų nutekėjimą, sertifikatus ir Duomenų subjektų teisių tvarkymą.
• 1.5 Duomenų subjektas (duomenų subjektas): fizinis asmuo, kurio tapatybė yra nustatyta arba gali būti nustatyta.
• 1.6 Klientas: šalis, kurios vardu Duomenų tvarkytojas tvarko asmens duomenis. Klientas gali būti duomenų valdytojas („valdytojas“) arba kitas procesorius.
• 1.7 Sutartis: Kliento ir Duomenų tvarkytojo sutartis, kurios pagrindu IRT tiekėjas teikia Klientui paslaugas ir/ar produktus, kurios dalis yra tvarkytojo sutartis.
• 1.8 Asmens duomenys: visa informacija apie fizinį asmenį, kurio tapatybė yra nustatyta arba kurio tapatybė gali būti nustatyta, kaip aprašyta AVG 4 straipsnio 1 dalyje, kurią Duomenų tvarkytojas tvarko vykdydamas savo įsipareigojimus, kylančius iš Sutarties.
• 1.9 Tvarkymo sutartis: šios standartinės tvarkymo sąlygos, kurios kartu su Duomenų tvarkytojo „Data Pro“ pareiškimu (arba palyginama informacija) sudaro tvarkymo sutartį, kaip nurodyta BDAR 28 straipsnio 3 dalyje.

2 straipsnis. Bendroji dalis

• 2.1 Šios standartinės tvarkymo sąlygos taikomos visam asmens duomenų tvarkymui, kurį duomenų tvarkytojas atlieka teikdamas savo produktus ir paslaugas, ir visoms sutartims bei pasiūlymams. Kliento duomenų tvarkymo sutarčių taikymas yra aiškiai atmestas.
• 2.2 Duomenų tvarkytojas retkarčiais gali keisti Data Pro pareiškimą, ypač jame pateiktas saugumo priemones, kad atspindėtų besikeičiančias aplinkybes. Duomenų tvarkytojas informuos Klientą apie reikšmingus pakeitimus. Jei Klientas pagrįstai negali sutikti su pakeitimais, Klientas turi teisę raštu nutraukti tvarkymo sutartį per 30 dienų nuo pranešimo apie pakeitimus.
• 2.3 Duomenų tvarkytojas tvarko Asmens duomenis Kliento vardu ir jo vardu pagal rašytinius Kliento nurodymus, suderintus su Duomenų tvarkytoju.
• 2.4 Klientas arba jo klientas yra duomenų valdytojas BDAR prasme, kontroliuoja Asmens duomenų tvarkymą ir yra nustatęs Asmens duomenų tvarkymo tikslą ir priemones.
• 2.5 Duomenų tvarkytojas yra duomenų tvarkytojas BDAR prasme, todėl nekontroliuoja Asmens duomenų tvarkymo tikslo ir priemonių, todėl nepriima jokių sprendimų, be kita ko, dėl Asmens duomenų naudojimo.
• 2.6 Duomenų tvarkytojas įgyvendina BDAR, kaip nustatyta šiose standartinėse tvarkymo sąlygose, „Data Pro“ pareiškime ir Sutartyje. Klientas, remdamasis šia informacija, turi įvertinti, ar Duomenų tvarkytojas suteikia pakankamai garantijų dėl tinkamų techninių ir organizacinių priemonių taikymo, kad tvarkymas atitiktų BDAR reikalavimus ir duomenų subjektų teisių apsaugą. yra pakankamai.garantuotas.
• 2.7 Klientas garantuoja Duomenų tvarkytojui, kad jis veikia vadovaudamasis BDAR, kad visą laiką tinkamai saugo savo sistemas ir infrastruktūrą ir kad Asmens duomenų turinys, naudojimas ir/ar tvarkymas nėra neteisėti ir nepažeidžia jokių teisių. trečiosios šalies.
• 2.8 AP Klientui paskirta administracinė bauda iš Duomenų tvarkytojo negali būti išieškoma.

3 straipsnis. Saugumas

• 3.1 Duomenų tvarkytojas imasi techninių ir organizacinių saugumo priemonių, kaip aprašyta jo Data Pro pareiškime. Duomenų tvarkytojas, imdamasis techninių ir organizacinių saugumo priemonių, atsižvelgė į naujausią techniką, saugumo priemonių įgyvendinimo išlaidas, duomenų tvarkymo pobūdį, apimtį ir kontekstą, savo produktų ir paslaugų tikslus ir numatomą naudojimą. , duomenų tvarkymo rizika ir rizika, kurios tikimybė ir rimtumas skiriasi Duomenų subjektų teisėms ir laisvėms, kurių jis gali tikėtis, atsižvelgdamas į numatomą savo produktų ir paslaugų naudojimą.
• 3.2 Jei „Data Pro“ pareiškime aiškiai nenurodyta kitaip, duomenų tvarkytojo produktas ar paslauga nėra skirti specialių kategorijų Asmens duomenims arba duomenims, susijusiems su apkaltinamaisiais nuosprendžiais ar nusikaltimais, arba vyriausybės išduotų asmens numerių tvarkymui.
• 3.3 Duomenų tvarkytojas stengiasi užtikrinti, kad saugumo priemonės, kurių jis turi imtis, būtų tinkamos duomenų tvarkytojo numatytam produkto ar paslaugos naudojimui.
• 3.4 Kliento nuomone, aprašytos saugumo priemonės, atsižvelgiant į 3.1 punkte nurodytus veiksnius, siūlo saugumo lygį, pritaikytą jo naudojamų ar teikiamų Asmens duomenų tvarkymo rizikai.
• 3.5 Duomenų tvarkytojas gali keisti saugumo priemones, kurių buvo imtasi, jei, jo nuomone, tai būtina siekiant ir toliau užtikrinti tinkamą saugumo lygį. Duomenų tvarkytojas užfiksuos svarbius pakeitimus, pavyzdžiui, pakeistame Data Pro pareiškime, ir prireikus informuos Klientą apie šiuos pakeitimus.
• 3.6 Klientas gali prašyti Duomenų tvarkytojo imtis papildomų saugumo priemonių. Duomenų tvarkytojas neprivalo keisti savo saugumo priemonių, gavęs tokį prašymą. Duomenų tvarkytojas išlaidas, susijusias su Kliento prašymu atliktais pakeitimais, gali apmokestinti iš Kliento. Tik po to, kai raštu susitarė dėl Kliento pageidaujamų pakeistų saugumo priemonių ir jas pasirašo Šalys, Duomenų tvarkytojas įsipareigoja šias saugumo priemones realiai įgyvendinti.

4 straipsnis. Asmens duomenų pažeidimas

• 4.1 Duomenų tvarkytojas negarantuoja, kad saugumo priemonės bus veiksmingos bet kokiomis aplinkybėmis. Jei Duomenų tvarkytojas nustato su Asmens duomenimis susijusį pažeidimą (kaip nurodyta 4 straipsnio 12 vid.), jis nedelsdamas informuos Klientą. „Data Pro“ pareiškime (pagal duomenų nutekėjimo protokolą) nustatyta, kaip Duomenų tvarkytojas informuoja Klientą apie pažeidimus, susijusius su Asmens duomenimis.
• 4.2 Duomenų valdytojas (Klientas ar jo klientas) turi įvertinti, ar apie Asmens duomenų saugumo pažeidimą, apie kurį informavo Duomenų tvarkytojas, turi būti pranešta AP arba Duomenų subjektui. Pranešimas apie pažeidimus, susijusius su Asmens duomenimis, apie kuriuos turi būti pranešta AP ir (arba) Duomenų subjektams pagal BDAR 33 ir 34 straipsnius, visada yra duomenų valdytojo (Kliento ar jo kliento) pareiga. Duomenų tvarkytojas neprivalo pranešti AP ir (arba) Duomenų subjektui apie asmens duomenų saugumo pažeidimus.
• 4.3 Duomenų tvarkytojas, jei reikia, suteiks papildomos informacijos apie pažeidimą, susijusį su Asmens duomenimis, ir bendradarbiaus suteikdamas Klientui reikalingą informaciją, kad būtų galima pateikti pranešimą, kaip nurodyta 33 ir 34 straipsniuose Vid.
• 4.4 Duomenų tvarkytojas gali iš Kliento apmokestinti pagrįstas išlaidas, kurias patiria šiuo atveju, pagal tuo metu taikomus tarifus.

5 straipsnis. Konfidencialumas

• 5.1 Duomenų tvarkytojas garantuoja, kad jo atsakomybe tvarkantys Asmens duomenis asmenys laikytųsi konfidencialumo pareigos.
• 5.2 Duomenų tvarkytojas turi teisę teikti Asmens duomenis tretiesiems asmenims, jeigu ir tiek, kiek tai būtina pagal teismo sprendimą, teisinį reglamentą arba pagal įgaliotą valdžios institucijos įsakymą.
• 5.3 Visi prieigos ir (arba) identifikavimo kodai, sertifikatai, informacija apie prieigos ir (arba) slaptažodžių politiką, kurią Duomenų tvarkytojas teikia Klientui, ir visa informacija, kurią Duomenų tvarkytojas teikia Klientui, įgyvendinant technines ir organizacines saugumo priemones, nurodytas Data Pro pareiškime, yra konfidenciali. Klientas taip elgsis ir su jais susipažins tik įgalioti Kliento darbuotojai. Klientas užtikrina, kad jo darbuotojai laikytųsi šiame straipsnyje numatytų įsipareigojimų.

6 straipsnis. Terminas ir nutraukimas

• 6.1 Ši tvarkytojo sutartis yra Sutarties dalis ir bet kokia nauja ar tolesnė sutartis, atsirandanti iš jos, įsigalioja Sutarties sudarymo momentu ir sudaroma neribotam laikui.
• 6.2 Ši tvarkytojo sutartis pagal įstatymą baigiasi nutraukus Sutartį arba bet kokį naują ar tolesnį šalių susitarimą.
• 6.3 Pasibaigus tvarkymo sutarčiai, Duomenų tvarkytojas ištrins visus jo turimus ir iš Kliento gautus Asmens duomenis per „Data Pro“ pareiškime nurodytą terminą taip, kad jie nebegalėtų būti naudojami ir nebebus. prieinamas (padaryti neprieinamas). , arba, susitarus, grąžinti Klientui kompiuterio skaitomu formatu.
• 6.4 Duomenų tvarkytojas gali iš Kliento apmokestinti bet kokias išlaidas, kurias jis patiria pagal 6.3 straipsnio nuostatas. Tolimesni susitarimai dėl to gali būti pateikti Data Pro pareiškime.
• 6.5 6.3 punkto nuostatos netaikomos, jei įstatyminis reglamentavimas neleidžia Duomenų tvarkytojui visiškai ar iš dalies pašalinti arba grąžinti Asmens duomenis. Tokiu atveju Duomenų tvarkytojas toliau tvarkys Asmens duomenis tik tiek, kiek tai būtina pagal jo teisinius įsipareigojimus. 6.3 straipsnio nuostatos taip pat netaikomos, jei Duomenų tvarkytojas yra Asmens duomenų valdytojas BDAR prasme.

7 straipsnis. Duomenų subjektų teisės, poveikio duomenų apsaugai vertinimas (DPAV) ir audito teisės

• 7.1 Duomenų tvarkytojas, jei įmanoma, bendradarbiaus su pagrįstais Kliento prašymais, susijusiais su Duomenų subjektų teisėmis, kurių iš Kliento remiasi Duomenų subjektai. Jei Duomenų subjektas tiesiogiai kreipiasi į Duomenų tvarkytoją, jis, jei įmanoma, nukreips šį asmenį pas Klientą.
• 7.2 Jei Klientas yra įpareigotas tai padaryti, Duomenų tvarkytojas bendradarbiaus atlikdamas poveikio duomenų apsaugai vertinimą (DPAV) arba paskesnę išankstinę konsultaciją, kaip nurodyta 35 ir 36 straipsniuose.
• 7.3 Duomenų tvarkytojas bendradarbiaus su Kliento prašymais pašalinti asmens duomenis tiek, kiek Klientas pats to padaryti negali.
• 7.4 Kliento prašymu Duomenų tvarkytojas taip pat suteiks visą papildomą informaciją, kuri pagrįstai reikalinga siekiant įrodyti, kad laikomasi šioje tvarkymo sutartyje sudarytų susitarimų. Jei Klientas vis dėlto turi pagrindo manyti, kad Asmens duomenys tvarkomi ne pagal tvarkymo sutartį, su juo ne rečiau kaip kartą per metus gali kreiptis nepriklausomas, sertifikuotas, išorės ekspertas, turintis įrodomos patirties dirbant su duomenų tvarkymo sutartimi. apdorojimas, kuris atliekamas Sutarties pagrindu. , Kliento lėšomis atlikti auditą. Auditas apsiribos patikrinimu, ar laikomasi susitarimų dėl Asmens duomenų tvarkymo, kaip nustatyta šioje Tvarkytojo sutartyje. Ekspertas turės konfidencialumo pareigą dėl to, ką randa, ir praneš Klientui tik tai, dėl ko Duomenų tvarkytojas nevykdo įsipareigojimų pagal šią tvarkytojo sutartį. Ekspertas savo ataskaitos kopiją pateiks duomenų tvarkytojui. Duomenų tvarkytojas gali atsisakyti atlikti auditą ar eksperto nurodymą, jei, jo nuomone, tai pažeidžia BDAR ar kitus teisės aktus arba yra neleistinas saugumo priemonių, kurių ėmėsi, pažeidimas.
• 7.5 Šalys kuo greičiau pasikonsultuos dėl ataskaitos rezultatų. Šalys laikysis ataskaitoje nurodytų siūlomų tobulinimo priemonių tiek, kiek iš jų galima to pagrįstai tikėtis. Duomenų tvarkytojas įgyvendins siūlomas tobulinimo priemones tiek, kiek jos yra tinkamos, jo nuomone, atsižvelgdamas į apdorojimo riziką, susijusią su jo produktu ar paslauga, technikos lygį, įgyvendinimo išlaidas, rinką, kurioje jis veikia, ir numatomas prekės ar paslaugos naudojimas.paslaugą.
• 7.6 Duomenų tvarkytojas turi teisę apmokestinti Kliento išlaidas, kurias jis patiria pagal šio straipsnio nuostatas.

8 straipsnis. Subprocesoriai

• 8.1 Duomenų tvarkytojas Duomenų Pro pareiškime nurodė, ar ir jei taip, kurios trečiosios šalys (sub-tvarkytojai ar antriniai tvarkytojai) Duomenų tvarkytojas tvarko Asmens duomenis.
• 8.2 Klientas suteikia leidimą Duomenų tvarkytojui pasitelkti kitus pagalbinius tvarkytojus, kad jie vykdytų savo įsipareigojimus, kylančius iš Sutarties.
• 8.3 Duomenų tvarkytojas informuos Klientą apie Duomenų tvarkytojo pasitelktų trečiųjų šalių pasikeitimą, pavyzdžiui, pakeisdamas Data Pro pareiškimą. Klientas turi teisę nesutikti su pirmiau nurodytu Duomenų tvarkytojo pakeitimu. Duomenų tvarkytojas užtikrina, kad jo įdarbintos trečiosios šalys įsipareigoja laikytis tokio paties saugumo lygio Asmens duomenų apsaugos atžvilgiu, kaip ir saugumo lygis, kurio Duomenų tvarkytojas yra įpareigotas Kliento atžvilgiu pagal Data Pro pareiškimą.

9 straipsnis. Kita

Šios standartinės apdorojimo sąlygos kartu su Data Pro pareiškimu yra neatskiriama Sutarties dalis. Todėl visos teisės ir pareigos pagal Sutartį, įskaitant taikomas bendrąsias sąlygas ir (arba) atsakomybės apribojimus, taip pat taikomos tvarkymo sutarčiai.