परिचय
ऑटोसॉफ्ट BV इतर गोष्टींबरोबरच, ग्राहकासाठी आणि त्याच्या वतीने वैयक्तिक डेटा प्रक्रिया करते. म्हणून Autosoft BV आणि ग्राहक प्रोसेसर करार पूर्ण करण्यासाठी जनरल डेटा प्रोटेक्शन रेग्युलेशन (GDPR) अंतर्गत बांधील आहेत. GDPR नुसार, Autosoft BV 'प्रोसेसर' आहे आणि ग्राहक 'कंट्रोलर' आहे. हा प्रोसेसर करार Autosoft BV डेटा उल्लंघन सूचना दायित्व कसे हाताळते याचे देखील वर्णन करतो.
प्रक्रिया करार
चा समावेश असणारी:
भाग 1: डेटा प्रो स्टेटमेंट
भाग २: मानक प्रक्रिया कलमे
भाग 1: डेटा प्रो स्टेटमेंट
सामान्य माहिती
1). हे डेटा प्रो स्टेटमेंट खालील डेटा प्रोसेसरने तयार केले आहे:
- ऑटोसॉफ्ट BV
हेंगेलोसेस्ट्रॅट 547
7521 AG Enschede
या डेटा प्रो स्टेटमेंट किंवा डेटा संरक्षणाबद्दल प्रश्नांसाठी, कृपया संपर्क साधा:
आर्थर व्हॅन डेर लेक: arthur@autosoft.eu / +31 (0)53 – 428 00 98
2). हे डेटा प्रो स्टेटमेंट 1 ऑगस्ट 2021 पासून प्रभावी आहे
डेटा संरक्षणाबाबत नेहमी तयार आणि अद्ययावत राहण्यासाठी आम्ही हे डेटा प्रो स्टेटमेंट आणि त्यात वर्णन केलेले सुरक्षा उपाय नियमितपणे समायोजित करतो. आम्ही तुम्हाला आमच्या सामान्य चॅनेलद्वारे नवीन आवृत्त्यांची माहिती देत राहू.
3). हे डेटा प्रो स्टेटमेंट खालील डेटा प्रोसेसर उत्पादने आणि सेवांना लागू होते
- ऑटोवेबसाइट
- ऑटोकॉमर्स
4). वर्णन कार वेबसाइट
कार कंपन्या ऑटोवेबसाइट वापरतात. ऑटोवेबसाइटसह, कार कंपन्या इंटरनेटवर स्वतःला सादर करू शकतात.
५). हेतू वापरण्यासाठी कार वेबसाइट
ऑटोवेबसाइट खालील प्रकारच्या डेटावर प्रक्रिया करण्यासाठी डिझाइन आणि सेट अप केली आहे:
ऑटोसॉफ्टने ऑटोवेबसाइटसह विकसित केलेल्या वेबसाइट्सच्या अभ्यागतांना त्यांचे संपर्क तपशील तेथे सोडण्याचा पर्याय आहे जेणेकरून कार कंपनीला पुढील सेवांसाठी अभ्यागताशी संपर्क साधण्याची संधी मिळेल. हे संपर्क तपशील ऑटोसॉफ्टमध्ये साठवले जात नाहीत परंतु कार कंपनीच्या ई-मेल पत्त्यावर थेट ई-मेलद्वारे अग्रेषित केले जातात.
- ही सेवा विशेष वैयक्तिक डेटा किंवा गुन्हेगारी शिक्षा आणि गुन्ह्यांशी संबंधित डेटा किंवा सरकारने जारी केलेल्या वैयक्तिक क्रमांकांच्या प्रक्रियेचा विचार करत नाही.
६). वर्णन ऑटोकॉमर्स
कार कंपन्या ऑटोकॉमर्स वापरतात. ऑटोकॉमर्ससह, कार कंपन्या त्यांची वाहने त्यांच्या स्वतःच्या वेबसाइटवर आणि तृतीय पक्षांच्या इंटरनेट शोध पोर्टलवर व्यवस्थापित करू शकतात आणि सादर करू शकतात.
७). उद्देशित वापर ऑटोकॉमर्स
ऑटोकॉमर्स खालील प्रकारच्या डेटावर प्रक्रिया करण्यासाठी डिझाइन केलेले आणि सेट केले आहे:
कार कंपन्या त्यांची नोंदणीकृत वाहने ऑटोकॉमर्सद्वारे त्यांच्या स्वतःच्या कार वेबसाइटवर ठेवू शकतात. या नोंदणीकृत वाहनांमध्ये कोणताही डेटा नसतो जो कोणत्याही प्रकारे वैयक्तिक डेटामध्ये परत येऊ शकतो. कार वेबसाइटच्या अभ्यागतांना त्यांचे संपर्क तपशील तेथे सोडण्याचा पर्याय आहे जेणेकरून कार कंपनीला पुढील सेवांसाठी अभ्यागताशी संपर्क साधण्याची संधी मिळेल. अभ्यागताने त्यांच्या स्वतःच्या ऑटो वेबसाइटवर सोडलेले संपर्क तपशील ऑटोकॉमर्समध्ये संग्रहित केले जातात.
- ही सेवा विशेष वैयक्तिक डेटा किंवा गुन्हेगारी शिक्षा आणि गुन्ह्यांशी संबंधित डेटा किंवा सरकारने जारी केलेल्या वैयक्तिक क्रमांकांच्या प्रक्रियेचा विचार करत नाही.
8). डेटा प्रोसेसर ऑटोवेबसाइट आणि ऑटोकॉमर्ससाठी प्रक्रिया करण्यासाठी मानक क्लॉज वापरतो, जे कराराच्या परिशिष्ट म्हणून आढळू शकतात.
9). डेटा प्रोसेसर ऑटोवेबसाइट आणि ऑटोकॉमर्ससाठी EU/EEA मध्ये त्याच्या क्लायंटच्या वैयक्तिक डेटावर प्रक्रिया करतो.
10). डेटा प्रोसेसर ऑटोकॉमर्ससाठी खालील सब-प्रोसेसर वापरतो:
काही प्रकरणांमध्ये, ऑटोसॉफ्ट, कार कंपनीच्या वतीने, तिची नोंदणीकृत वाहने ऑटोकॉमर्सद्वारे तृतीय पक्ष किंवा उप-प्रोसेसरच्या इंटरनेट शोध पोर्टलवर पाठवते. support@autosoft.eu कडून विनंती केल्यावर सब-प्रोसेसरची यादी उपलब्ध आहे.
11). क्लायंटसोबतचा करार संपुष्टात आणल्यानंतर, डेटा प्रोसेसर, तत्त्वतः, क्लायंटसाठी प्रक्रिया करत असलेला वैयक्तिक डेटा 3 महिन्यांच्या आत अशा प्रकारे काढून टाकेल की तो यापुढे वापरला जाऊ शकत नाही आणि यापुढे प्रवेश करता येणार नाही (अॅक्सेसेबल रेंडर करा).
सुरक्षा धोरण
डेटा प्रोसेसरने त्याचे उत्पादन किंवा सेवेचे संरक्षण करण्यासाठी घेतलेल्या खालील सुरक्षा उपायांचा सारांश:
घटना व्यवस्थापन आणि प्रतिसाद धोरण
माहिती सुरक्षा घटना व्यवस्थापन आणि प्रतिसाद धोरणांमध्ये संगणक किंवा IT पायाभूत सुविधांवर सुरक्षा घटनांचे (सुरक्षा घटना) निरीक्षण आणि शोध तसेच कर्मचार्यांकडून संशयास्पद क्रियाकलाप शोधणे आणि या घटनांना योग्य प्रतिसादांची अंमलबजावणी करणे समाविष्ट आहे.
या धोरणाचा प्राथमिक उद्देश दुर्भावनापूर्ण घटनांना आणि संगणकाच्या घुसखोरींना व्यापक अर्थाने चांगल्या प्रकारे समजला जाणारा आणि अंदाज करता येणारा प्रतिसाद विकसित करणे हा आहे.
घटना व्यवस्थापन आणि प्रतिसाद धोरण ही संगणक, नेटवर्क आणि माहिती प्रणाली आणि त्यामध्ये संग्रहित माहितीचे व्यवस्थापन आणि संरक्षण करण्याची प्रक्रिया आहे. ऑटोसॉफ्टला त्याच्या ग्राहकांच्या आणि पुरवठा शृंखला भागीदारांच्या फायद्यासाठी या माहितीचे संरक्षण करताना त्याच्या जबाबदाऱ्यांची जाणीव असते. ही जबाबदारी घटना प्रक्रियेपर्यंत आहे. घटना व्यवस्थापन हा क्रियाकलापांचा एक संच आहे जो एक प्रक्रिया परिभाषित करतो आणि त्याची अंमलबजावणी करतो ज्याचा वापर संस्था स्वतःचे कल्याण आणि लोकांच्या सुरक्षिततेसाठी करू शकते.
आयसीटी आणि सुरक्षा
ऑटोसॉफ्ट बीव्ही ची आयसीटी रचना फायरवॉलसह पुरेशी सुरक्षित आहे आणि व्हायरस स्कॅन सॉफ्टवेअर अद्ययावत ठेवले आहे. प्रत्येक कर्मचाऱ्याचे लॉगिन प्रोफाइल असते. संगणक सुरू करताना, कर्मचार्यांनी लॉगिन नाव आणि पासवर्ड प्रविष्ट करणे आवश्यक आहे आणि शक्य असेल तेथे 2-चरण प्रमाणीकरणासह.
काही सॉफ्टवेअर लॉगिन नाव आणि पासवर्ड आणि 2-चरण प्रमाणीकरणासह शक्य असेल तेथे देखील विचारतात. कर्मचार्यांमध्ये सुरक्षित कामकाजाबाबत जागरुकता उत्तेजित केली जाते, जसे की संशयास्पद ई-मेल न उघडणे, संशयास्पद लिंक्सवर क्लिक न करणे, कामाच्या ठिकाणी दीर्घकाळ बाहेर पडताना लॉग आउट करणे इ.
दिवस आणि रात्री फायलींचा बॅकअप घेतला जातो. सुरक्षिततेच्या कारणास्तव, बॅकअपसाठी पुढील स्टोरेज प्रक्रिया गोपनीय आहे. Autosoft BV ने या उद्देशासाठी संगणक पुरवठादार आणि इंटरनेट होस्टिंग प्रदात्यांशी सेवा करार केला आहे.
डेटा संरक्षण धोरण
ग्राहकाच्या वैयक्तिक डेटाचे नुकसान किंवा कोणत्याही प्रकारच्या बेकायदेशीर प्रक्रियेपासून संरक्षण करण्यासाठी Autosoft BV योग्य तांत्रिक आणि संस्थात्मक उपाययोजना करते. हे तांत्रिक आणि संस्थात्मक उपाय GDPR च्या कलम 1 च्या अर्थामध्ये योग्य सुरक्षा स्तर म्हणून गणले जातात आणि Autosoft BV च्या सेंट्रल बेसकॅम्प (प्रोजेक्ट: ऑर्गनायझेशन/डेटा प्रोटेक्शन पॉलिसी) मध्ये दस्तऐवज म्हणून संग्रहित केले जातात.
तांत्रिक आणि संस्थात्मक
- डेटा प्रोसेसिंग करारांतर्गत प्रक्रिया केलेल्या वैयक्तिक डेटामध्ये केवळ अधिकृत कर्मचार्यांनाच प्रवेश आहे याची खात्री करण्यासाठी उपाय;
- वैयक्तिक डेटाचे संरक्षण करण्यासाठी उपाय, विशेषतः अपघाती किंवा बेकायदेशीर नाश, नुकसान, अपघाती बदल, अनधिकृत किंवा बेकायदेशीर स्टोरेज, प्रवेश किंवा प्रकटीकरण;
- वैयक्तिक डेटाचे संरक्षण करण्यासाठी उपाय, विशेषतः अपघाती किंवा बेकायदेशीर नाश, नुकसान, अपघाती बदल, अनधिकृत किंवा बेकायदेशीर स्टोरेज, डेटा एक्सचेंज/ट्रान्सपोर्ट दरम्यान प्रवेश किंवा प्रकटीकरण;
- प्रक्रिया प्रणाली आणि सेवांची गोपनीयता, अखंडता, उपलब्धता आणि लवचिकता सतत आधारावर सुनिश्चित करण्याची क्षमता सुनिश्चित करण्यासाठी उपाय;
- भौतिक किंवा तांत्रिक घटना घडल्यास वेळेवर वैयक्तिक डेटाची उपलब्धता आणि प्रवेश पुनर्संचयित करण्याची क्षमता सुनिश्चित करण्यासाठी उपाय;
- असाइनमेंट कराराच्या अंतर्गत सेवांच्या तरतुदीसाठी वापरल्या जाणार्या सिस्टममधील वैयक्तिक डेटाच्या प्रक्रियेच्या संदर्भात कमकुवतपणा ओळखण्यासाठी उपाय;
संस्थात्मक जसे:
- विशिष्ट वैयक्तिक डेटामध्ये प्रवेश असलेल्या अधिकार्यांचे वर्तुळ मर्यादित करणे ज्यांना त्यांच्या कर्तव्याच्या कामगिरीसाठी डेटाची आवश्यकता आहे;
- या व्यक्तींना त्यांच्या कर्तव्याच्या कामगिरीसाठी आवश्यक असलेल्या वैयक्तिक डेटामध्ये प्रवेश देणे;
- ज्यांना वैयक्तिक डेटामध्ये प्रवेश दिला जाईल अशा सर्व व्यक्तींसह पेनल्टी क्लॉजसह नॉन-डिक्लोजर क्लॉजला सहमती देणे;
- बंद खोलीत सर्व्हरवर वैयक्तिक डेटा संचयित करणे;
- लॉक करण्यायोग्य कॅबिनेटमध्ये कागदी फाइल्स ठेवणे;
- कर्मचार्यांमध्ये माहिती सुरक्षा जागरूकता निर्माण करणे;
- माहिती सुरक्षा घटना आणि सुरक्षा असुरक्षा वेळेवर आणि प्रभावी हाताळण्यासाठी स्पष्ट प्रोटोकॉल आणि प्रक्रिया स्थापित करणे;
डेटा प्रोसेसर संस्थेच्या कार्यपद्धतीमध्ये योग्य व्यवस्थापनासाठी स्वतःच्या पद्धती आणि कार्यपद्धती वापरतो:
- बेसकॅम्पमध्ये, संबंधित दस्तऐवज व्यवस्थापित केले जातात आणि वेळोवेळी त्यांचे मूल्यांकन केले जाते.
डेटा उल्लंघन प्रोटोकॉल
काहीतरी चूक झाल्यास, क्लायंटला घटनांची जाणीव आहे याची खात्री करण्यासाठी डेटा प्रोसेसर खालील डेटा ब्रीच प्रोटोकॉल वापरतो:
ऑटोसॉफ्ट बीव्ही - डेटा उल्लंघन प्रक्रिया
डेटा भंग म्हणजे काय आणि मी त्याचा अहवाल AP ला कधी द्यावा?
डेटा उल्लंघन ही एक माहिती सुरक्षा घटना आहे ज्यामध्ये नुकसान किंवा बेकायदेशीर प्रक्रियेच्या प्रदर्शनाद्वारे वैयक्तिक डेटाच्या सुरक्षिततेचा भंग होतो जसे की (परंतु संपूर्ण नाही):
- वैयक्तिक डेटा समायोजित करणे आणि/किंवा बदलणे आणि या वैयक्तिक डेटामध्ये अनधिकृत प्रवेश;
- हॅकरद्वारे ब्रेक-इन झाल्यास;
- यूएसबी स्टिक हरवणे, लॅपटॉपची चोरी;
- चुकीच्या ईमेल पत्त्यावर संवेदनशील डेटा पाठवणे;
कायद्यानुसार, 'गंभीर' डेटा उल्लंघनाची माहिती डच डेटा प्रोटेक्शन ऑथॉरिटीला अवाजवी विलंब न लावता, आणि शक्य असल्यास, शोधानंतर 72 तासांनंतर कळवणे आवश्यक आहे.
वैयक्तिक नैसर्गिक व्यक्तींची वास्तविक ओळख वाजवीपणे वगळल्यास Autosoft BV ला डच डेटा संरक्षण प्राधिकरणाकडे तक्रार करण्याची गरज नाही.
माहिती सुरक्षा घटनेच्या सर्व संशयांना सुरुवातीला संबोधित केले जाते support@autosoft.eu नोंदवले आणि नोंदणी केली. सपोर्ट व्यवस्थापन कार्यसंघाला घटनेचा अहवाल देतो आणि कोणत्या फॉलो-अप कृती करणे आवश्यक आहे हे निर्धारित करते.
पाठपुरावा प्रक्रिया
मला हे डेटा विषयांना कधी कळवावे लागेल?
भंग झाल्यास, त्याच्या खाजगी जीवनावर प्रतिकूल परिणाम होण्याची उच्च जोखीम असल्यास, डेटाच्या भंगाची माहिती डेटा विषयाकडे नोंदविली जाणे आवश्यक आहे. डेटा विषयासाठी प्रतिकूल परिणाम आहेत: सन्मान आणि चांगले नाव, ओळख फसवणूक किंवा भेदभाव. जर Autosoft BV ने योग्य तांत्रिक संरक्षण उपाय केले असतील, ज्याचा परिणाम म्हणून विचाराधीन वैयक्तिक डेटा अगम्य किंवा दुर्गम झाला असेल, तर डेटा विषयाला सूचना देणे आवश्यक नाही. डेटा विषयावरील अधिसूचनेमध्ये वैयक्तिक डेटा उल्लंघनाच्या स्वरूपाचे स्पष्ट आणि सोप्या भाषेत वर्णन आणि किमान:
- डेटा संरक्षण अधिकाऱ्याचे नाव आणि संपर्क तपशील किंवा संपर्काचे इतर ठिकाण जिथे अधिक माहिती मिळू शकते;
- वैयक्तिक डेटाच्या उल्लंघनाचे संभाव्य परिणाम;
- वैयक्तिक डेटा उल्लंघनास संबोधित करण्यासाठी नियंत्रकाद्वारे प्रस्तावित किंवा घेतलेले उपाय, जेथे योग्य असेल तेथे, त्याचे कोणतेही प्रतिकूल परिणाम कमी करण्यासाठी उपायांसह. डच डेटा प्रोटेक्शन अथॉरिटी आणि/किंवा प्रभावित व्यक्तींना डेटा उल्लंघनाची तक्रार करणे आवश्यक आहे की नाही याचे मूल्यांकन करणे ही नेहमीच ऑटोसॉफ्ट BV ची जबाबदारी आहे. एखाद्या घटनेची नोंद करणे आवश्यक आहे की नाही हे निर्धारित करण्यासाठी, डच डेटा संरक्षण प्राधिकरणाने धोरण नियम तयार केले आहेत (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thethematical-policy-rules/policy-rules-notification-data-leaks- 2015) आणि युरोपियन पर्यवेक्षकांच्या कार्यकारी गट 29 ने GDPR मध्ये अहवाल देण्याच्या दायित्वावर मार्गदर्शक तत्त्वे प्रकाशित केली. जर Autosoft BV ने डेटा लीकचा अहवाल दिला नसेल, तर डच डेटा प्रोटेक्शन ऑथॉरिटीने Autosoft BV ला अजून अहवाल देण्याची आवश्यकता असू शकते. अहवाल देण्यात अयशस्वी झाल्यास प्रशासकीय दंडासह शिक्षा होऊ शकते.
मी डेटा उल्लंघनाची तक्रार कशी करू?
डच डेटा संरक्षण प्राधिकरण एक वेब फॉर्म प्रदान करते जो डेटा लीकची तक्रार करण्यासाठी वापरला जाणे आवश्यक आहे (https://data leaks.authority personal data.nl/). डच डेटा संरक्षण प्राधिकरण प्राप्त झालेल्या डेटा उल्लंघनाच्या अहवालांची नोंद ठेवते. हे रजिस्टर सार्वजनिक नाही. डेटा उल्लंघनाच्या परिणामी डच डेटा संरक्षण प्राधिकरणाद्वारे दंड आकारला गेल्यास, हा निर्णय सार्वजनिक केला जाईल. या क्षणी डेटा भंग देखील सार्वजनिक केला जातो की ज्यांना डेटा उल्लंघनाबद्दल माहिती दिली जावी. डेटा विषयावरील अधिसूचना कोणत्याही परिस्थितीत उल्लंघनाचे स्वरूप आणि डेटा विषय उल्लंघनाबद्दल अधिक माहिती मिळवू शकणारे अधिकारी सूचित करणे आवश्यक आहे. शिवाय, डेटा भंगाचे नकारात्मक परिणाम मर्यादित करण्यासाठी डेटा विषय स्वतः काय करू शकतो हे सूचित केले पाहिजे. उदाहरणार्थ, वापरकर्तानाव आणि संकेतशब्द बदलणे जेव्हा त्यांच्याशी उल्लंघनामुळे तडजोड झाली असेल.
मी काय तक्रार करावी?
डच डेटा संरक्षण प्राधिकरणाला दिलेल्या अहवालात हे समाविष्ट आहे:
- डेटा भंगाचा रिपोर्टर.
- अहवालाविषयी अधिक माहितीसाठी डच डेटा संरक्षण प्राधिकरण ज्या व्यक्तीशी संपर्क साधू शकते.
- वैयक्तिक डेटा सुरक्षा भंग झालेल्या घटनेचा सारांश.
- भंगाची वेळ.
- भंगाचे स्वरूप.
- संबंधित वैयक्तिक डेटाचा प्रकार.
- उल्लंघनामुळे गुंतलेल्यांच्या गोपनीयतेवर परिणाम होऊ शकतात.
- उल्लंघनाचा सामना करण्यासाठी आणि पुढील उल्लंघन टाळण्यासाठी Autosoft BV ने घेतलेल्या तांत्रिक आणि संस्थात्मक उपाय.
- Autosoft BV ने डेटा भंगाची तक्रार गुंतलेल्यांना दिली आहे का आणि नसल्यास, Autosoft BV ने असे करण्याचा इरादा आहे का:
- तसे असल्यास, डेटा विषयांना सूचनांची सामग्री.
- तसे नसल्यास, Autosoft BV ने डेटा उल्लंघनाचा अहवाल देण्यापासून परावृत्त का केले याचे कारण.
- वैयक्तिक डेटा कूटबद्ध, हॅश किंवा अन्यथा अनाधिकृत व्यक्तींसाठी अगम्य किंवा अगम्य बनविला गेला आहे का?
भाग २: मानक प्रक्रिया कलमे
आवृत्ती: सप्टेंबर 2019
डेटा प्रो स्टेटमेंटसह एकत्रितपणे, प्रक्रिया करार तयार करतो आणि करार आणि संबंधित परिशिष्ट जसे की लागू सामान्य अटी आणि शर्तींचे परिशिष्ट आहे.
लेख 1. व्याख्या
खालील अटींचा या मानक प्रक्रिया क्लॉजमध्ये, डेटा प्रो स्टेटमेंटमध्ये आणि करारामध्ये खालील अर्थ आहे:
- 1.1 डच डेटा संरक्षण प्राधिकरण (AP): पर्यवेक्षी प्राधिकरण, अनुच्छेद 4 मध्ये वर्णन केल्याप्रमाणे, उप 21 सरासरी.
- 1.2 AVG: सामान्य डेटा संरक्षण नियमन.
- 1.3 डेटा प्रोसेसर: पक्ष जो, एक ICT पुरवठादार म्हणून, प्रोसेसर म्हणून कराराच्या अंमलबजावणीच्या संदर्भात त्याच्या क्लायंटसाठी वैयक्तिक डेटावर प्रक्रिया करतो.
- 1.4 डेटा प्रो स्टेटमेंट: डेटा प्रोसेसरचे विधान ज्यामध्ये ते इतर गोष्टींबरोबरच, त्याच्या उत्पादनाचा किंवा सेवेचा हेतू वापरणे, घेतलेले सुरक्षा उपाय, उप-प्रोसेसर, डेटा लीक, प्रमाणपत्रे आणि डेटा विषयांच्या अधिकारांशी संबंधित माहिती प्रदान करते.
- 1.5 डेटा विषय (डेटा विषय): ओळखली जाणारी किंवा ओळखण्यायोग्य नैसर्गिक व्यक्ती.
- 1.6 क्लायंट: पक्ष ज्यांच्या वतीने डेटा प्रोसेसर वैयक्तिक डेटावर प्रक्रिया करतो. क्लायंट कंट्रोलर ("कंट्रोलर") आणि दुसरा प्रोसेसर दोन्ही असू शकतो.
- १.७ करार: क्लायंट आणि डेटा प्रोसेसर यांच्यात लागू होणारा करार, ज्याच्या आधारावर ICT पुरवठादार क्लायंटला सेवा आणि/किंवा उत्पादने पुरवतो, ज्याचा प्रक्रिया कराराचा भाग आहे.
- 1.8 वैयक्तिक डेटा: अनुच्छेद 4, उप 1 GDPR मध्ये वर्णन केल्याप्रमाणे ओळखल्या जाणार्या किंवा ओळखण्यायोग्य नैसर्गिक व्यक्तीबद्दलची सर्व माहिती, जी डेटा प्रोसेसर करारामुळे उद्भवलेल्या त्याच्या दायित्वांच्या कामगिरीच्या संदर्भात प्रक्रिया करतो.
- 1.9 प्रोसेसर करार: प्रक्रियेसाठी हे मानक कलम, जे डेटा प्रोसेसरच्या डेटा प्रो स्टेटमेंटसह (किंवा तुलनात्मक माहिती) एकत्रितपणे अनुच्छेद 28, परिच्छेद 3 मध्ये नमूद केल्याप्रमाणे प्रोसेसर करार तयार करतात.
अनुच्छेद 2. सामान्य
- 2.1 ही मानक प्रक्रिया कलमे वैयक्तिक डेटाच्या सर्व प्रक्रियेवर लागू होतात जी डेटा प्रोसेसर त्याच्या उत्पादनांच्या आणि सेवांच्या तरतुदीच्या संदर्भात आणि सर्व करार आणि ऑफरच्या संदर्भात करते. क्लायंटच्या करारावर प्रक्रिया करण्याची लागूता स्पष्टपणे नाकारली जाते.
- 2.2 डेटा प्रो स्टेटमेंट आणि विशेषत: त्यामध्ये असलेले सुरक्षा उपाय, बदलत्या परिस्थितीचे प्रतिबिंबित करण्यासाठी डेटा प्रोसेसरद्वारे वेळोवेळी सुधारणा केल्या जाऊ शकतात. डेटा प्रोसेसर क्लायंटला महत्त्वपूर्ण बदलांची माहिती देईल. जर क्लायंट समायोजनांशी वाजवीपणे सहमत होऊ शकत नसेल, तर क्लायंटला ऍडजस्टमेंटच्या अधिसूचनेनंतर 30 दिवसांच्या आत, कारणे सांगून प्रक्रिया करार लिखित स्वरूपात समाप्त करण्याचा अधिकार आहे.
- 2.3 डेटा प्रोसेसर क्लायंटच्या वतीने आणि डेटा प्रोसेसरशी सहमत असलेल्या क्लायंटच्या लेखी सूचनांनुसार वैयक्तिक डेटावर प्रक्रिया करतो.
- 2.4 क्लायंट, किंवा त्याचा ग्राहक, AVG च्या अर्थामध्ये नियंत्रक आहे, वैयक्तिक डेटाच्या प्रक्रियेवर त्याचे नियंत्रण आहे आणि वैयक्तिक डेटाच्या प्रक्रियेचा उद्देश आणि साधन निर्धारित केले आहे.
- 2.5 डेटा प्रोसेसर हा AVG च्या अर्थातील एक प्रोसेसर आहे आणि म्हणून वैयक्तिक डेटाच्या प्रक्रियेच्या उद्देशावर आणि साधनांवर त्याचे कोणतेही नियंत्रण नाही आणि त्यामुळे वैयक्तिक डेटाच्या वापराबाबत इतर गोष्टींसह निर्णय घेत नाही.
- 2.6 डेटा प्रोसेसर या मानक प्रक्रिया क्लॉज, डेटा प्रो स्टेटमेंट आणि करारामध्ये नमूद केल्यानुसार GDPR लागू करतो. या माहितीच्या आधारे डेटा प्रोसेसर योग्य तांत्रिक आणि संस्थात्मक उपायांच्या वापरासंदर्भात पुरेशी हमी देतो की नाही हे मूल्यांकन करणे क्लायंटवर अवलंबून आहे जेणेकरून प्रक्रिया GDPR च्या आवश्यकता पूर्ण करेल आणि डेटा विषयांच्या अधिकारांचे संरक्षण करेल. पुरेसे आहे. हमी.
- 2.7 क्लायंट डेटा प्रोसेसरला हमी देतो की तो AVG नुसार कार्य करेल, तो नेहमी त्याच्या सिस्टम आणि पायाभूत सुविधा पुरेशा प्रमाणात सुरक्षित करेल आणि वैयक्तिक डेटाची सामग्री, वापर आणि/किंवा प्रक्रिया बेकायदेशीर नाही आणि कोणत्याही प्रकारचे उल्लंघन करत नाही. तृतीय पक्षाचा अधिकार.
- 2.8 AP द्वारे क्लायंटवर लावलेला प्रशासकीय दंड डेटा प्रोसेसरकडून वसूल केला जाऊ शकत नाही.
कलम 3. सुरक्षा
- 3.1 डेटा प्रोसेसर त्याच्या डेटा प्रो स्टेटमेंटमध्ये वर्णन केल्याप्रमाणे तांत्रिक आणि संस्थात्मक सुरक्षा उपाय घेतो. तांत्रिक आणि संस्थात्मक सुरक्षा उपाय करताना, डेटा प्रोसेसरने अत्याधुनिक स्थिती, सुरक्षा उपायांच्या अंमलबजावणीसाठी लागणारा खर्च, प्रक्रियेचे स्वरूप, व्याप्ती आणि संदर्भ, त्याची उत्पादने आणि सेवांचा उद्देश आणि हेतू यांचा विचार केला आहे. प्रक्रिया जोखीम आणि डेटा विषयांच्या अधिकार आणि स्वातंत्र्यासाठी वेगवेगळ्या संभाव्यता आणि तीव्रतेचे धोके, ज्याची तो त्याच्या उत्पादनांचा आणि सेवांचा हेतू वापरून अपेक्षा करू शकतो.
- 3.2 डेटा प्रो स्टेटमेंटमध्ये अन्यथा स्पष्टपणे नमूद केल्याशिवाय, डेटा प्रोसेसर उत्पादन किंवा सेवा वैयक्तिक डेटाच्या विशेष श्रेणी किंवा गुन्हेगारी दोष किंवा गुन्ह्यांशी संबंधित डेटा किंवा सरकारने जारी केलेल्या वैयक्तिक क्रमांकांच्या प्रक्रियेसाठी डिझाइन केलेले नाही.
- 3.3 डेटा प्रोसेसर हे सुनिश्चित करण्याचा प्रयत्न करतो की डेटा प्रोसेसरद्वारे उत्पादन किंवा सेवेच्या हेतूने वापरण्यासाठी त्याद्वारे घेतले जाणारे सुरक्षा उपाय योग्य आहेत.
- 3.4 क्लायंटच्या मते, वर्णित सुरक्षा उपाय, कलम 3.1 मध्ये संदर्भित घटक लक्षात घेऊन, वापरलेल्या किंवा प्रदान केलेल्या वैयक्तिक डेटावर प्रक्रिया करण्याच्या जोखमीनुसार सुरक्षिततेची पातळी ऑफर करतात.
- 3.5 डेटा प्रोसेसर घेतलेल्या सुरक्षा उपायांमध्ये बदल करू शकतो, जर त्याच्या मते, सुरक्षिततेची योग्य पातळी प्रदान करणे सुरू ठेवण्यासाठी हे आवश्यक असेल. डेटा प्रोसेसर महत्त्वाचे बदल रेकॉर्ड करेल, उदाहरणार्थ सुधारित डेटा प्रो स्टेटमेंटमध्ये, आणि संबंधित बदलांची क्लायंटला माहिती देईल.
- 3.6 क्लायंट डेटा प्रोसेसरला पुढील सुरक्षा उपायांसाठी विनंती करू शकतो. अशा विनंतीवर डेटा प्रोसेसर त्याच्या सुरक्षा उपायांमध्ये बदल करण्यास बांधील नाही. डेटा प्रोसेसर क्लायंटच्या विनंतीनुसार लागू केलेल्या बदलांशी संबंधित खर्च आकारू शकतो. क्लायंटने इच्छित सुधारित सुरक्षा उपायांना लेखी सहमती दिल्यानंतर आणि पक्षांनी स्वाक्षरी केल्यानंतरच डेटा प्रोसेसर या सुरक्षा उपायांची प्रत्यक्षात अंमलबजावणी करण्यास बांधील आहे.
कलम 4. वैयक्तिक डेटाचे उल्लंघन
- 4.1 डेटा प्रोसेसर हमी देत नाही की सुरक्षा उपाय सर्व परिस्थितीत प्रभावी आहेत. डेटा प्रोसेसरला वैयक्तिक डेटाच्या संबंधात उल्लंघन झाल्याचे आढळल्यास (अनुच्छेद 4 उप 12 सरासरी मध्ये संदर्भित), तो अवास्तव विलंब न करता क्लायंटला सूचित करेल. डेटा प्रो स्टेटमेंट (डेटा ब्रीच प्रोटोकॉल अंतर्गत) डेटा प्रोसेसर क्लायंटला वैयक्तिक डेटाशी संबंधित उल्लंघनांबद्दल कोणत्या पद्धतीने सूचित करते ते निर्दिष्ट करते.
- 4.2 डेटा प्रोसेसरने ज्या वैयक्तिक डेटाबद्दल माहिती दिली आहे त्याच्याशी संबंधित उल्लंघनाचा अहवाल AP किंवा डेटा विषयाला देणे आवश्यक आहे की नाही हे मूल्यांकन करणे हे नियंत्रकावर (क्लायंट किंवा त्याच्या ग्राहकावर) अवलंबून आहे. वैयक्तिक डेटाच्या संबंधात उल्लंघनाची तक्रार करणे, ज्याचा अहवाल AP आणि/किंवा डेटा विषयांना अनुच्छेद 33 आणि 34 GDPR नुसार नोंदविला जाणे आवश्यक आहे, ही नेहमीच नियंत्रकाची (क्लायंट किंवा त्याचे ग्राहक) जबाबदारी असते. डेटा प्रोसेसर AP आणि/किंवा डेटा विषयाला वैयक्तिक डेटा उल्लंघनाची तक्रार करण्यास बांधील नाही.
- 4.3 डेटा प्रोसेसर, आवश्यक असल्यास, वैयक्तिक डेटाच्या संदर्भात उल्लंघनाबद्दल अधिक माहिती प्रदान करेल आणि कलम 33 आणि 34 सरासरी मध्ये संदर्भित केलेल्या अधिसूचनेसाठी क्लायंटला आवश्यक माहिती प्रदान करण्यात सहकार्य करेल.
- 4.4 डेटा प्रोसेसर या संदर्भातील वाजवी खर्च क्लायंटला त्याच्या त्यावेळच्या लागू दराने आकारू शकतो.
कलम 5. गोपनीयता
- 5.1 डेटा प्रोसेसर हमी देतो की वैयक्तिक डेटावर त्याच्या जबाबदारीखाली प्रक्रिया करणार्या व्यक्तींचे गोपनीयतेचे कर्तव्य आहे.
- 5.2 न्यायालयाच्या निर्णयानुसार, वैधानिक नियमानुसार किंवा सरकारी एजन्सीच्या अधिकृत आदेशाच्या आधारे तरतूद आवश्यक असल्यास, डेटा प्रोसेसर तृतीय पक्षांना वैयक्तिक डेटा प्रदान करण्याचा अधिकार आहे.
- 5.3 सर्व प्रवेश आणि/किंवा ओळख कोड, प्रमाणपत्रे, डेटा प्रोसेसरद्वारे क्लायंटला प्रदान केलेली प्रवेश आणि/किंवा पासवर्ड धोरणांसंबंधी माहिती आणि डेटा प्रोसेसरद्वारे क्लायंटला प्रदान केलेली सर्व माहिती जी डेटा प्रोमध्ये समाविष्ट असलेल्या तांत्रिक आणि संस्थात्मक सुरक्षा उपायांना महत्त्व देते. विधान गोपनीय आहे. आणि क्लायंटद्वारे असे मानले जाईल आणि केवळ क्लायंटच्या अधिकृत कर्मचार्यांनाच कळवले जाईल. क्लायंट हे सुनिश्चित करेल की त्याचे कर्मचारी या लेखाखालील दायित्वांचे पालन करतात.
अनुच्छेद 6. कालावधी आणि समाप्ती
- 6.1 हा डेटा प्रोसेसिंग करार कराराचा एक भाग आहे आणि त्यातून उद्भवणारा कोणताही नवीन किंवा पुढील करार कराराच्या समाप्तीच्या वेळी प्रभावी होईल आणि अनिश्चित कालावधीसाठी समाप्त होईल.
- 6.2 हा प्रक्रिया करार कराराच्या समाप्तीनंतर किंवा पक्षांमधील कोणताही नवीन किंवा पुढील करार झाल्यानंतर कायद्याच्या ऑपरेशनद्वारे समाप्त होतो.
- 6.3 प्रक्रिया करार संपुष्टात आल्यास, डेटा प्रोसेसर त्याच्या ताब्यातील सर्व वैयक्तिक डेटा काढून टाकेल आणि डेटा प्रो स्टेटमेंटमध्ये नमूद केलेल्या कालावधीत क्लायंटकडून प्राप्त होईल अशा प्रकारे तो वापरला जाऊ शकत नाही आणि यापुढे प्रवेश करता येणार नाही. (अगम्य रेंडर करा). , किंवा, सहमत असल्यास, ते क्लायंटला मशीन-वाचनीय स्वरूपात परत करा.
- 6.4 कलम 6.3 च्या तरतुदींच्या संदर्भात डेटा प्रोसेसर क्लायंटकडून कोणताही खर्च आकारू शकतो. यावरील पुढील करार डेटा प्रो स्टेटमेंटमध्ये मांडले जाऊ शकतात.
- 6.5 जर कायदेशीर नियमन डेटा प्रोसेसरद्वारे वैयक्तिक डेटा पूर्ण किंवा आंशिक काढून टाकण्यास किंवा परत करण्यास प्रतिबंध करत असेल तर कलम 6.3 च्या तरतुदी लागू होत नाहीत. अशा परिस्थितीत, डेटा प्रोसेसर केवळ त्याच्या कायदेशीर दायित्वांनुसार आवश्यक मर्यादेपर्यंत वैयक्तिक डेटावर प्रक्रिया करणे सुरू ठेवेल. जर डेटा प्रोसेसर वैयक्तिक डेटाच्या संदर्भात GDPR च्या अर्थामध्ये नियंत्रक असेल तर कलम 6.3 च्या तरतुदी देखील लागू होत नाहीत.
कलम 7. अधिकार डेटा विषय, डेटा संरक्षण प्रभाव मूल्यांकन (DPIA) आणि ऑडिट अधिकार
- 7.1 डेटा प्रोसेसर, जेथे शक्य असेल तेथे, क्लायंटच्या वाजवी विनंत्यांना सहकार्य करेल जे डेटा विषयांद्वारे क्लायंटच्या विरूद्ध डेटा विषयांच्या अधिकारांशी संबंधित आहेत. जर डेटा प्रोसेसर थेट डेटा विषयाद्वारे संपर्क साधला असेल, तर ते शक्य असेल तेथे क्लायंटकडे पाठवेल.
- 7.2 क्लायंट तसे करण्यास बांधील असल्यास, डेटा प्रोसेसर डेटा संरक्षण प्रभाव मूल्यांकन (DPIA) किंवा वाजवी विनंतीनंतर अनुच्छेद 35 आणि 36 सरासरी मध्ये नमूद केल्यानुसार त्यानंतरच्या पूर्व सल्लामसलतीस सहकार्य करेल.
- 7.3 डेटा प्रोसेसर क्लायंटकडून वैयक्तिक डेटा काढून टाकण्याच्या विनंत्यांना सहकार्य करेल कारण क्लायंट हे स्वतः करू शकत नाही.
- 7.4 या व्यतिरिक्त, क्लायंटच्या विनंतीनुसार, डेटा प्रोसेसर पुढील सर्व माहिती उपलब्ध करून देईल जी या प्रक्रिया करारामध्ये केलेल्या करारांचे पालन दर्शविण्यासाठी वाजवीपणे आवश्यक आहे. तरीही, क्लायंटकडे असे मानण्याचे कारण असेल की वैयक्तिक डेटाची प्रक्रिया प्रक्रिया करारानुसार होत नाही, तर स्वतंत्र, प्रमाणित, बाह्य तज्ञ ज्यांना प्रकाराचा प्रात्यक्षिक अनुभव आहे अशा व्यक्तीकडून वर्षातून एकापेक्षा जास्त वेळा सल्लामसलत केली जाऊ शकत नाही. कराराच्या आधारे केलेल्या प्रक्रियेचे. , क्लायंटच्या खर्चावर यावर ऑडिट करा. ऑडिट या प्रोसेसर करारामध्ये नमूद केल्यानुसार वैयक्तिक डेटाच्या प्रक्रियेशी संबंधित करारांचे पालन तपासण्यापुरते मर्यादित असेल. तज्ञाचे त्याला जे सापडते त्याबाबत गोपनीयतेचे कर्तव्य असेल आणि तो फक्त क्लायंटला अहवाल देईल ज्यामुळे या प्रक्रिया कराराअंतर्गत डेटा प्रोसेसरच्या दायित्वांच्या पूर्ततेमध्ये कमतरता आहे. तज्ञ त्याच्या अहवालाची प्रत डेटा प्रोसेसरला देईल. डेटा प्रोसेसर तज्ञाकडून लेखापरीक्षण किंवा सूचना नाकारू शकतो, जर त्याच्या मते, हे AVG किंवा इतर कायद्यांशी विरोधाभासी असेल किंवा त्याने घेतलेल्या सुरक्षा उपायांचे अनुज्ञेय उल्लंघन केले असेल.
- 7.5 अहवालातील निकालांबद्दल पक्ष शक्य तितक्या लवकर सल्लामसलत करतील. पक्ष अहवालात मांडलेल्या प्रस्तावित सुधारणा उपायांचे पालन करतील कारण त्यांच्याकडून ही अपेक्षा केली जाऊ शकते. डेटा प्रोसेसर त्याच्या उत्पादनाशी किंवा सेवेशी संबंधित प्रक्रिया जोखीम, अत्याधुनिक स्थिती, अंमलबजावणी खर्च, तो ज्या बाजारपेठेत चालतो आणि ज्याचा हेतू वापरतो त्या विचारात घेऊन, त्याला योग्य वाटेल त्याप्रमाणे प्रस्तावित सुधारणा उपायांची अंमलबजावणी करेल. उत्पादन किंवा सेवा. सेवा.
- 7.6 डेटा प्रोसेसरला या लेखातील तरतुदींच्या संदर्भात क्लायंटकडून होणाऱ्या खर्चासाठी शुल्क आकारण्याचा अधिकार आहे.
कलम 8. सब-प्रोसेसर
- 8.1 डेटा प्रोसेसरने डेटा प्रो स्टेटमेंटमध्ये नमूद केले आहे की, जर असेल तर, कोणते तृतीय पक्ष (सब-प्रोसेसर किंवा सब-प्रोसेसर) डेटा प्रोसेसर वैयक्तिक डेटाच्या प्रक्रियेत गुंतले आहेत.
- 8.2 क्लायंट डेटा प्रोसेसरला इतर सब-प्रोसेसरला करारातून उद्भवलेल्या त्याच्या जबाबदाऱ्या पार पाडण्याची परवानगी देतो.
- 8.3 डेटा प्रोसेसर क्लायंटला डेटा प्रोसेसरद्वारे गुंतलेल्या तृतीय पक्षांमधील बदलाबद्दल माहिती देईल, उदाहरणार्थ सुधारित डेटा प्रो स्टेटमेंटद्वारे. क्लायंटला डेटा प्रोसेसरद्वारे वर नमूद केलेल्या बदलावर आक्षेप घेण्याचा अधिकार आहे. डेटा प्रोसेसर हे सुनिश्चित करतो की त्याद्वारे गुंतलेले तृतीय पक्ष वैयक्तिक डेटाच्या संरक्षणाच्या संदर्भात डेटा प्रो स्टेटमेंटच्या आधारावर डेटा प्रोसेसर क्लायंटला ज्या सुरक्षा स्तरावर बांधील आहेत त्याच सुरक्षा स्तरावर वचनबद्ध आहेत.
कलम 9. इतर
डेटा प्रो स्टेटमेंटसह हे मानक प्रक्रिया कलमे कराराचा अविभाज्य भाग बनतात. लागू होणार्या सामान्य अटी आणि शर्ती आणि/किंवा दायित्वाच्या मर्यादांसह कराराखालील सर्व अधिकार आणि दायित्वे, म्हणून प्रक्रिया कराराला देखील लागू होतात.