Perjanjian Pemprosesan

Pengenalan

Autosoft BV memproses, antara lain, data peribadi untuk dan bagi pihak pelanggan. Autosoft BV dan pelanggan oleh itu bertanggungjawab di bawah Peraturan Perlindungan Data Umum (GDPR) untuk memuktamadkan Perjanjian Pemproses. Menurut GDPR, Autosoft BV ialah 'pemproses' dan pelanggan adalah 'pengawal'. Perjanjian Pemproses ini juga menerangkan cara Autosoft BV mengendalikan kewajipan pemberitahuan pelanggaran data.

Perjanjian Pemprosesan

Yang terdiri daripada:
Bahagian 1: Penyata Data Pro
Bahagian 2: Klausa Pemprosesan Standard

Bahagian 1: Penyata Data Pro

Maklumat Umum

1). Penyata Data Pro ini telah disediakan oleh pemproses data berikut (pemproses):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Untuk pertanyaan tentang Pernyataan Data Pro atau perlindungan data ini, sila hubungi:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Penyata Data Pro ini terpakai mulai 1 Ogos 2021
Kami kerap melaraskan Penyata Data Pro ini dan langkah keselamatan yang diterangkan di dalamnya untuk memastikan kami sentiasa bersedia dan terkini berkaitan dengan perlindungan data. Kami akan memaklumkan anda tentang versi baharu melalui saluran biasa kami.

3). Pernyataan Data Pro ini digunakan pada produk dan perkhidmatan pemproses data berikut

• AutoWebsite
• AutoDagang

4). Penerangan Laman web kereta
Syarikat kereta menggunakan Autowebsite. Dengan Autowebsite, syarikat kereta boleh menampilkan diri mereka di internet.

5). Tujuan menggunakan laman web Kereta
Autowebsite direka bentuk dan dilengkapi untuk memproses jenis data berikut:
Pelawat ke tapak web yang dibangunkan oleh Autosoft dengan Autowebsite mempunyai pilihan untuk meninggalkan butiran hubungan mereka di sana supaya syarikat kereta berpeluang mendekati pelawat untuk mendapatkan perkhidmatan lanjut. Butiran hubungan ini tidak disimpan dengan Autosoft, tetapi dimajukan terus melalui e-mel ke alamat e-mel syarikat kereta.

• Perkhidmatan ini tidak mengambil kira pemprosesan data peribadi khas, atau data berkenaan sabitan jenayah dan kesalahan atau nombor peribadi yang dikeluarkan oleh kerajaan.

6). Perihalan Autodagang
Syarikat kereta menggunakan Autocommerce. Dengan Autodagang, syarikat kereta boleh mengurus dan membentangkan kenderaan mereka di laman web mereka sendiri dan portal carian internet pihak ketiga.

7). Tujuan Penggunaan Autodagang
Autodagang direka bentuk dan dilengkapi untuk memproses jenis data berikut:
Syarikat kereta boleh meletakkan kenderaan berdaftar mereka melalui Autocommerce di tapak web Kereta mereka sendiri. Kenderaan berdaftar ini tidak mengandungi sebarang data yang boleh dikesan kembali kepada data peribadi dalam sebarang bentuk. Pelawat ke laman web Kereta mempunyai pilihan untuk meninggalkan butiran hubungan mereka di sana supaya syarikat kereta berpeluang mendekati pelawat untuk mendapatkan perkhidmatan lanjut. Butiran hubungan yang ditinggalkan oleh pelawat di tapak web Auto mereka sendiri disimpan dalam Autodagang.

• Perkhidmatan ini tidak mengambil kira pemprosesan data peribadi khas, atau data berkenaan sabitan jenayah dan kesalahan atau nombor peribadi yang dikeluarkan oleh kerajaan.

8). Pemproses data menggunakan Klausa Standard untuk pemprosesan untuk Autowebsite dan Autocommerce, yang boleh didapati sebagai lampiran kepada Perjanjian.

9). Pemproses data memproses data peribadi pelanggannya dalam EU/EEA untuk Autowebsite dan Autocommerce.

10). Pemproses data menggunakan sub-pemproses berikut untuk Autodagang:
Dalam sesetengah kes Autosoft menghantar kenderaan berdaftarnya melalui Autodagang ke portal carian internet pihak ketiga atau sub-pemproses bagi pihak Syarikat Kereta. Senarai sub-pemproses tersedia atas permintaan di support@autosoft.eu.

11). Selepas penamatan Perjanjian dengan pelanggan, pemproses data pada dasarnya akan mengalih keluar data peribadi yang diproses untuk pelanggan dalam tempoh 3 bulan dengan cara yang tidak boleh digunakan lagi dan tidak lagi boleh diakses (menjadikan tidak boleh diakses).

Dasar keselamatan

Ringkaskan langkah keselamatan berikut yang telah diambil oleh pemproses Data untuk melindungi produk atau perkhidmatannya:

Pengurusan insiden dan dasar tindak balas
Dasar pengurusan insiden dan tindak balas dalam bidang keselamatan maklumat termasuk pemantauan dan pengesanan insiden keselamatan pada komputer atau infrastruktur IT, tetapi juga pemerhatian aktiviti yang mencurigakan oleh kakitangan, dan pelaksanaan respons yang betul kepada peristiwa ini.

Matlamat utama dasar ini adalah untuk membangunkan tindak balas yang difahami dengan baik dan boleh diramal kepada peristiwa berniat jahat dan pencerobohan komputer dalam erti kata yang paling luas.

Dasar pengurusan dan tindak balas insiden ialah proses mengurus dan melindungi komputer, rangkaian dan sistem maklumat serta maklumat yang disimpan di dalamnya. Autosoft sedar akan tanggungjawabnya apabila melindungi maklumat ini untuk manfaat pelanggan dan rakan kongsi rantaian bekalannya. Tanggungjawab ini meliputi prosedur Insiden. Pengurusan insiden ialah satu set aktiviti yang mentakrifkan dan melaksanakan proses yang boleh digunakan oleh organisasi untuk mempromosikan kesejahteraannya sendiri dan keselamatan orang ramai.

IT dan keselamatan
Struktur ICT Autosoft BV dilindungi secukupnya dengan tembok api dan perisian pengimbasan virus sentiasa dikemas kini. Setiap pekerja mempunyai profil log masuk. Semasa memulakan komputer, pekerja mesti memasukkan nama log masuk dan kata laluan dan jika boleh dengan pengesahan 2 langkah.

Perisian tertentu juga meminta nama log masuk dan kata laluan dan jika boleh dengan pengesahan 2 langkah. Kesedaran di kalangan pekerja tentang bekerja dengan selamat dirangsang, seperti menarik perhatian untuk tidak membuka e-mel yang mencurigakan, tidak mengklik pautan yang mencurigakan, log keluar apabila meninggalkan tempat kerja untuk masa yang lama, dan sebagainya.

Fail disandarkan pada waktu siang dan setiap malam. Atas sebab keselamatan, prosedur penyimpanan selanjutnya yang mengelilingi sandaran adalah sulit. Autosoft BV telah menamatkan kontrak perkhidmatan untuk ini dengan pembekal komputer dan penyedia pengehosan internet.

Dasar perlindungan data
Autosoft BV mengambil langkah teknikal dan organisasi yang sesuai untuk melindungi data peribadi pelanggan daripada kehilangan atau sebarang bentuk pemprosesan yang menyalahi undang-undang. Langkah teknikal dan organisasi ini dianggap sebagai tahap keselamatan yang sesuai dalam pengertian Artikel 1 GDPR dan disimpan sebagai dokumen dalam Basecamp pusat (Projek: Organisasi / Dasar Perlindungan Data) Autosoft BV

Teknikal dan organisasi

1. Langkah untuk memastikan bahawa hanya kakitangan yang diberi kuasa mempunyai akses kepada Data Peribadi yang diproses dalam konteks Perjanjian Pemproses;
2. Langkah-langkah untuk melindungi Data Peribadi khususnya daripada pemusnahan, kehilangan, pengubahan secara tidak sengaja, penyimpanan, akses atau pendedahan yang tidak dibenarkan atau menyalahi undang-undang;
3. Langkah-langkah untuk melindungi Data Peribadi khususnya daripada pemusnahan, kehilangan, pengubahan secara tidak sengaja, penyimpanan, akses atau pendedahan yang tidak dibenarkan atau menyalahi undang-undang semasa pertukaran/pengangkutan data;
4. Langkah-langkah untuk memastikan keupayaan untuk memastikan kerahsiaan, integriti, ketersediaan dan daya tahan sistem dan perkhidmatan penyuntingan secara berterusan;
5. Langkah-langkah untuk memulihkan ketersediaan dan akses kepada Data Peribadi tepat pada masanya sekiranya berlaku insiden fizikal atau teknikal;
6. Langkah-langkah untuk mengenal pasti kelemahan berkenaan dengan pemprosesan Data Peribadi dalam sistem yang digunakan untuk menyediakan perkhidmatan di bawah kontrak;

Organisasi seperti:

• Mengehadkan kalangan pegawai yang mempunyai akses kepada data peribadi tertentu kepada mereka yang memerlukan data untuk melaksanakan tugas mereka;
• memberikan mereka akses kepada hanya data peribadi yang mereka perlukan untuk melaksanakan tugas mereka;
• bersetuju dengan klausa kerahsiaan dengan klausa penalti dengan semua orang yang akses kepada data peribadi akan diberikan;
• menyimpan data peribadi pada pelayan dalam ruang tertutup;
• menyimpan fail kertas dalam kabinet yang boleh dikunci;
• mewujudkan kesedaran keselamatan maklumat di kalangan pekerja;
• mewujudkan protokol dan prosedur yang jelas untuk pengendalian insiden keselamatan maklumat dan kelemahan keselamatan yang tepat pada masanya dan berkesan;

Pemproses data menggunakan metodologi dan prosedurnya sendiri untuk pengurusan yang sesuai dengan kaedah kerja organisasi:

• Dokumen yang berkaitan diuruskan dan dinilai secara berkala dalam Basecamp.

Protokol pelanggaran data

Sekiranya berlaku kesilapan, pemproses data menggunakan protokol kebocoran data berikut untuk memastikan pelanggan mengetahui kejadian:

Autosoft BV – Prosedur pelanggaran data

Apakah pelanggaran data dan bila saya perlu melaporkannya kepada AP?
Pelanggaran data ialah insiden keselamatan maklumat yang melibatkan pelanggaran keselamatan data peribadi melalui pendedahan kepada kehilangan atau pemprosesan yang menyalahi undang-undang seperti (tetapi tidak secara menyeluruh):

• Melaraskan dan/atau menukar data peribadi dan akses tanpa kebenaran kepada data peribadi ini;
• Sekiranya berlaku pecah masuk oleh penggodam;
• Kehilangan batang USB, kecurian komputer riba;
• Menghantar data sensitif ke alamat e-mel yang salah;

Mengikut undang-undang, pelanggaran data yang 'serius' mesti dilaporkan kepada Pihak Berkuasa Perlindungan Data Belanda tanpa kelewatan yang tidak wajar, dan jika boleh tidak lewat daripada 72 jam selepas penemuan itu.

Autosoft BV tidak perlu melaporkan kepada Pihak Berkuasa Perlindungan Data Belanda jika pengenalan sebenar individu individu secara munasabah dikecualikan.
Semua syak wasangka tentang insiden keselamatan maklumat akan ditangani pada peringkat pertama support@autosoft.eu dilaporkan dan didaftarkan. Sokongan melaporkan kejadian kepada Pasukan Pengurusan dan menentukan tindakan susulan yang perlu diambil.

Prosedur susulan

Bilakah saya perlu memberitahu subjek data?
Pelanggaran data mesti dilaporkan kepada subjek data jika, sekiranya berlaku pelanggaran, terdapat risiko tinggi bahawa pelanggaran itu akan membawa kesan buruk terhadap kehidupan peribadinya. Akibat yang tidak baik untuk subjek data ialah: kerosakan pada reputasi dan reputasinya, penipuan identiti atau diskriminasi. Jika Autosoft BV telah mengambil langkah perlindungan teknikal yang sesuai, akibatnya data peribadi yang berkenaan menjadi tidak dapat difahami atau tidak boleh diakses, pemberitahuan kepada subjek data tidak diperlukan. Pemberitahuan kepada subjek data hendaklah mengandungi penerangan, dalam bahasa yang jelas dan jelas, tentang sifat pelanggaran data peribadi dan sekurang-kurangnya:

• nama dan butiran hubungan pegawai perlindungan data atau pusat hubungan lain di mana maklumat lanjut boleh diperolehi;
• kemungkinan akibat daripada pelanggaran data peribadi;
• langkah-langkah yang dicadangkan atau diambil oleh pengawal untuk menangani pelanggaran data peribadi, termasuk, jika sesuai, langkah-langkah untuk mengurangkan sebarang kesan buruk daripadanya. Penilaian sama ada pelanggaran data mesti dilaporkan kepada Pihak Berkuasa Perlindungan Data Belanda dan/atau orang yang terjejas sentiasa bergantung kepada Autosoft BV. Untuk menentukan sama ada insiden mesti dilaporkan, Pihak Berkuasa Perlindungan Data Belanda telah merangka peraturan dasar (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) dan kumpulan kerja 29 garis panduan penyelia Eropah yang diterbitkan mengenai kewajipan pelaporan dalam GDPR. Jika Autosoft BV belum melaporkan pelanggaran data, Pihak Berkuasa Perlindungan Data Belanda mungkin memerlukan Autosoft BV masih membuat laporan. Kegagalan melaporkan boleh dikenakan denda pentadbiran.

Bagaimanakah cara saya melaporkan pelanggaran data?
Pihak Berkuasa Perlindungan Data Belanda menyediakan borang web yang mesti digunakan untuk melaporkan pelanggaran data (https://dataleks.autoriteitpersoonsgegevens.nl/). Pihak Berkuasa Perlindungan Data Belanda menyimpan daftar pemberitahuan pelanggaran data yang diterima. Daftar ini bukan awam. Jika denda dikenakan oleh Pihak Berkuasa Perlindungan Data Belanda akibat daripada pelanggaran data, keputusan ini akan didedahkan kepada umum. Pelanggaran data juga didedahkan kepada umum apabila subjek data perlu dimaklumkan tentang pelanggaran data tersebut. Pemberitahuan kepada subjek data mestilah dalam apa jua keadaan menunjukkan sifat pelanggaran dan pihak berkuasa di mana subjek data boleh mendapatkan maklumat lanjut tentang pelanggaran tersebut. Ia juga mesti dinyatakan apa yang subjek data boleh lakukan sendiri untuk mengehadkan akibat negatif daripada pelanggaran data. Contohnya, menukar nama pengguna dan kata laluan apabila mereka mungkin telah dikompromi oleh pelanggaran tersebut.

Apakah yang perlu saya laporkan?
Pemberitahuan kepada Pihak Berkuasa Perlindungan Data Belanda termasuk:

• Pelapor pelanggaran data.
• Orang yang boleh dihubungi Pihak Berkuasa Perlindungan Data Belanda untuk mendapatkan maklumat lanjut tentang laporan tersebut.
• Ringkasan kejadian di mana pelanggaran keselamatan data peribadi berlaku.
• Masa pelanggaran.
• Sifat pelanggaran.
• Jenis data peribadi yang berkenaan.
• Akibat pelanggaran yang mungkin berlaku terhadap privasi mereka yang terlibat.
• Langkah teknikal dan organisasi yang telah diambil oleh Autosoft BV untuk menangani pelanggaran dan untuk mencegah pelanggaran selanjutnya.
• Sama ada Autosoft BV telah melaporkan pelanggaran data kepada subjek data dan jika tidak, sama ada Autosoft BV bercadang untuk berbuat demikian:
• Jika ya, kandungan pemberitahuan kepada subjek data.
• Jika tidak, sebab Autosoft BV mengelak daripada melaporkan pelanggaran data kepada subjek data.
• Adakah data peribadi telah disulitkan, dicincang atau sebaliknya dibuat tidak dapat difahami atau tidak boleh diakses oleh orang yang tidak dibenarkan?

Bahagian 2: Klausa Pemprosesan Standard

Versi: September 2019
Borang bersama-sama dengan Penyata Data Pro perjanjian pemprosesan dan merupakan lampiran kepada Perjanjian dan lampiran yang disertakan seperti terma dan syarat am yang berkenaan.

Perkara 1. Definisi

Terma di bawah mempunyai maksud berikut dalam Klausa Standard ini untuk pemprosesan, dalam Penyata Data Pro dan dalam perjanjian:

• 1.1 Pihak Berkuasa Perlindungan Data Belanda (AP): pihak berkuasa penyeliaan, seperti yang diterangkan dalam Perkara 4, sub 21 Purata.
• 1.2 AVG: Peraturan Perlindungan Data Am.
• 1.3 Pemproses Data: pihak yang, sebagai pembekal ICT, memproses Data Peribadi untuk manfaat Pelanggannya dalam konteks pelaksanaan Perjanjian.
• 1.4 Kenyataan Data Pro: penyata Pemproses Data di mana ia memberikan maklumat berkenaan dengan tujuan penggunaan produk atau perkhidmatannya, langkah keselamatan yang diambil, sub-pemproses, kebocoran data, pensijilan dan pengendalian hak Subjek Data.
• 1.5 Subjek data (subjek data): orang semula jadi yang dikenal pasti atau boleh dikenal pasti.
• 1.6 Pelanggan: pihak yang bagi pihak Pemproses Data memproses data peribadi. Klien boleh sama ada pengawal ("pengawal") atau pemproses lain.
• 1.7 Perjanjian: perjanjian antara Pelanggan dan Pemproses Data, yang berasaskan pembekal ICT membekalkan perkhidmatan dan/atau produk kepada Pelanggan, di mana perjanjian pemproses menjadi sebahagian daripadanya.
• 1.8 Data peribadi: semua maklumat tentang orang asli yang dikenal pasti atau boleh dikenal pasti, seperti yang diterangkan dalam Perkara 4, sub 1 AVG, yang diproses oleh Pemproses Data dalam konteks pelaksanaan kewajipannya yang timbul daripada Perjanjian.
• 1.9 Perjanjian pemprosesan: Klausa Standard untuk pemprosesan ini, yang bersama-sama dengan Pernyataan Data Pro (atau maklumat setanding) daripada Pemproses Data membentuk perjanjian pemprosesan seperti yang dirujuk dalam Perkara 28, perenggan 3 GDPR.

Perkara 2. Am

• 2.1 Klausa Pemprosesan Standard ini terpakai kepada semua pemprosesan Data Peribadi yang Pemproses Data lakukan dalam konteks penghantaran produk dan perkhidmatannya dan kepada semua Perjanjian dan tawaran. Kebolehgunaan perjanjian pemprosesan Pelanggan ditolak dengan nyata.
• 2.2 Pernyataan Data Pro, dan khususnya langkah keselamatan yang terkandung di dalamnya, boleh dipinda oleh Pemproses Data dari semasa ke semasa untuk menggambarkan keadaan yang berubah-ubah. Pemproses Data akan memberitahu Pelanggan tentang perubahan ketara. Jika Klien tidak boleh secara munasabah bersetuju dengan pelarasan, Klien berhak untuk menamatkan perjanjian pemprosesan secara bertulis dalam tempoh 30 hari selepas pemberitahuan pelarasan.
• 2.3 Pemproses Data memproses Data Peribadi bagi pihak dan bagi pihak Pelanggan mengikut arahan bertulis Pelanggan yang dipersetujui dengan Pemproses Data.
• 2.4 Pelanggan, atau pelanggannya, adalah pengawal dalam pengertian GDPR, mempunyai kawalan ke atas pemprosesan Data Peribadi dan telah menentukan tujuan dan cara memproses Data Peribadi.
• 2.5 Pemproses Data ialah pemproses dalam pengertian GDPR dan oleh itu tidak mempunyai kawalan ke atas tujuan dan cara memproses Data Peribadi dan oleh itu tidak membuat sebarang keputusan tentang, antara lain, penggunaan Data Peribadi.
• 2.6 Pemproses Data melaksanakan GDPR seperti yang ditetapkan dalam Klausa Standard untuk Pemprosesan, Pernyataan Data Pro dan Perjanjian ini. Terpulang kepada Pelanggan untuk menilai berdasarkan maklumat ini sama ada Pemproses Data menawarkan jaminan yang mencukupi berkenaan dengan penggunaan langkah teknikal dan organisasi yang sesuai supaya pemprosesan memenuhi keperluan GDPR dan perlindungan hak subjek Data adalah mencukupi.dijamin.
• 2.7 Pelanggan memberi jaminan kepada Pemproses Data bahawa ia bertindak mengikut GDPR, bahawa ia melindungi sistem dan infrastrukturnya dengan secukupnya pada setiap masa dan bahawa kandungan, penggunaan dan/atau pemprosesan Data Peribadi tidak menyalahi undang-undang dan tidak melanggar sebarang hak. daripada pihak ketiga.
• 2.8 Denda pentadbiran yang dikenakan ke atas Pelanggan oleh AP tidak boleh dipulihkan daripada Pemproses Data.

Perkara 3. Keselamatan

• 3.1 Pemproses Data mengambil langkah keselamatan teknikal dan organisasi, seperti yang diterangkan dalam Penyata Data Pronya. Apabila mengambil langkah keselamatan teknikal dan organisasi, Pemproses Data telah mengambil kira keadaan terkini, kos pelaksanaan langkah keselamatan, sifat, skop dan konteks pemprosesan, tujuan dan tujuan penggunaan produk dan perkhidmatannya. , risiko pemprosesan dan risiko yang berbeza dari segi kebarangkalian dan keseriusan untuk hak dan kebebasan Subjek Data yang dia boleh jangkakan memandangkan tujuan penggunaan produk dan perkhidmatannya.
• 3.2 Melainkan dinyatakan sebaliknya secara eksplisit dalam Pernyataan Data Pro, produk atau perkhidmatan Pemproses Data tidak direka bentuk untuk memproses kategori khas Data Peribadi atau data berkenaan sabitan jenayah atau kesalahan atau nombor peribadi yang dikeluarkan kerajaan.
• 3.3 Pemproses Data berusaha untuk memastikan bahawa langkah keselamatan yang akan diambil olehnya adalah sesuai untuk tujuan penggunaan produk atau perkhidmatan oleh Pemproses Data.
• 3.4 Pada pendapat Pelanggan, langkah keselamatan yang diterangkan menawarkan, dengan mengambil kira faktor yang dirujuk dalam Perkara 3.1, tahap keselamatan yang disesuaikan dengan risiko pemprosesan Data Peribadi yang digunakan atau disediakan olehnya.
• 3.5 Pemproses Data boleh membuat perubahan pada langkah keselamatan yang diambil jika pada pendapatnya ini perlu untuk terus menyediakan tahap keselamatan yang sesuai. Pemproses Data akan merekodkan perubahan penting, contohnya dalam Pernyataan Data Pro yang dipinda, dan akan memaklumkan Pelanggan tentang perubahan tersebut jika berkaitan.
• 3.6 Pelanggan boleh meminta Pemproses Data untuk mengambil langkah keselamatan selanjutnya. Pemproses Data tidak bertanggungjawab untuk membuat perubahan pada langkah keselamatannya atas permintaan sedemikian. Pemproses Data boleh mengenakan kos yang berkaitan dengan perubahan yang dibuat atas permintaan Klien kepada Klien. Hanya selepas langkah-langkah keselamatan yang dipinda yang dikehendaki oleh Pelanggan telah dipersetujui secara bertulis dan ditandatangani oleh Pihak, Pemproses Data bertanggungjawab untuk melaksanakan langkah-langkah keselamatan ini.

Perkara 4. Pelanggaran Data Peribadi

• 4.1 Pemproses Data tidak menjamin bahawa langkah keselamatan adalah berkesan dalam semua keadaan. Jika Pemproses Data menemui pelanggaran berkaitan Data Peribadi (seperti yang dirujuk dalam Perkara 4 sub 12 Purata), ia akan memaklumkan kepada Pelanggan tanpa kelewatan yang tidak wajar. Penyata Data Pro (di bawah protokol kebocoran data) menetapkan cara Pemproses Data memaklumkan Pelanggan tentang pelanggaran yang berkaitan dengan Data Peribadi.
• 4.2 Terpulang kepada pengawal (Pelanggan, atau pelanggannya) untuk menilai sama ada pelanggaran Data Peribadi yang telah dimaklumkan oleh Pemproses Data mesti dilaporkan kepada AP atau subjek Data. Pelaporan pelanggaran berkaitan Data Peribadi, yang mesti dilaporkan kepada AP dan/atau Subjek Data menurut Artikel 33 dan 34 GDPR, kekal menjadi tanggungjawab pengawal (Pelanggan atau pelanggannya) pada setiap masa. Pemproses Data tidak diwajibkan untuk melaporkan pelanggaran data peribadi kepada AP dan/atau Subjek Data.
• 4.3 Pemproses Data akan, jika perlu, memberikan maklumat lanjut tentang pelanggaran yang berkaitan dengan Data Peribadi dan akan bekerjasama dengan peruntukan maklumat yang diperlukan kepada Pelanggan untuk tujuan pemberitahuan seperti yang dirujuk dalam Artikel 33 dan 34 Purata.
• 4.4 Pemproses Data boleh mengenakan kos munasabah yang ditanggung dalam konteks ini kepada Pelanggan pada kadar yang terpakai pada masa itu.

Perkara 5. Kerahsiaan

• 5.1 Pemproses Data menjamin bahawa orang yang memproses Data Peribadi di bawah tanggungjawabnya mempunyai kewajipan kerahsiaan.
• 5.2 Pemproses Data berhak untuk memberikan Data Peribadi kepada pihak ketiga, jika dan setakat peruntukan yang diperlukan menurut keputusan mahkamah, peraturan undang-undang atau berdasarkan perintah yang dibenarkan daripada pihak berkuasa kerajaan.
• 5.3 Semua akses dan/atau kod pengenalan, sijil, maklumat mengenai akses dan/atau dasar kata laluan yang diberikan oleh Pemproses Data kepada Pelanggan dan semua maklumat yang diberikan oleh Pemproses Data kepada Pelanggan yang melaksanakan langkah keselamatan teknikal dan organisasi yang disertakan dalam Pernyataan Data Pro adalah sulit. dan akan dilayan sedemikian oleh Klien dan hanya dimaklumkan kepada pekerja Klien yang diberi kuasa. Pelanggan memastikan bahawa pekerjanya mematuhi kewajipan di bawah artikel ini.

Perkara 6. Tempoh dan penamatan

• 6.1 Perjanjian pemproses ini merupakan sebahagian daripada Perjanjian dan mana-mana perjanjian baharu atau lanjutan yang timbul daripadanya, berkuat kuasa pada masa Perjanjian itu dibuat dan dimuktamadkan untuk tempoh masa yang tidak ditentukan.
• 6.2 Perjanjian pemproses ini berakhir dengan kuatkuasa undang-undang apabila Perjanjian ditamatkan atau sebarang perjanjian baharu atau lanjutan antara pihak-pihak.
• 6.3 Sekiranya perjanjian pemprosesan berakhir, Pemproses Data akan memadamkan semua Data Peribadi yang dimilikinya dan diterima daripada Klien dalam tempoh yang disertakan dalam Penyata Data Pro sedemikian rupa sehingga ia tidak lagi boleh digunakan dan tidak lagi. boleh diakses (menjadikan tidak boleh diakses). , atau, jika dipersetujui, kembalikannya kepada Klien dalam format yang boleh dibaca mesin.
• 6.4 Pemproses Data boleh mengenakan sebarang kos yang ditanggungnya dalam konteks peruntukan Perkara 6.3 kepada Pelanggan. Perjanjian lanjut mengenai perkara ini boleh ditetapkan dalam Pernyataan Data Pro.
• 6.5 Peruntukan Perkara 6.3 tidak terpakai jika peraturan berkanun menghalang Pemproses Data daripada mengalih keluar atau memulangkan Data Peribadi sepenuhnya atau sebahagiannya. Dalam kes sedemikian, Pemproses Data hanya akan terus memproses Data Peribadi setakat yang diperlukan di bawah kewajipan undang-undangnya. Peruntukan Perkara 6.3 juga tidak terpakai jika Pemproses Data adalah pengawal dalam pengertian GDPR berkenaan dengan Data Peribadi.

Perkara 7. Subjek Data Hak, Penilaian Kesan Perlindungan Data (DPIA) dan Hak Audit

• 7.1 Pemproses Data akan, jika boleh, bekerjasama dengan permintaan munasabah daripada Klien yang berkaitan dengan hak Subjek Data yang digunakan daripada Pelanggan oleh Subjek Data. Jika Pemproses Data didekati secara langsung oleh subjek Data, dia akan merujuk orang ini kepada Pelanggan jika boleh.
• 7.2 Jika Pelanggan diwajibkan berbuat demikian, Pemproses Data akan bekerjasama dengan penilaian impak perlindungan data (DPIA) atau perundingan terdahulu yang berikutnya seperti yang dirujuk dalam Artikel 35 dan 36 Purata.
• 7.3 Pemproses Data akan bekerjasama dengan permintaan daripada Klien untuk mengalih keluar data peribadi setakat Klien tidak dapat melaksanakannya sendiri.
• 7.4 Atas permintaan Pelanggan, Pemproses Data juga akan menyediakan semua maklumat lanjut yang semunasabahnya perlu untuk menunjukkan pematuhan dengan perjanjian yang dibuat dalam perjanjian pemprosesan ini. Jika Pelanggan bagaimanapun mempunyai sebab untuk mempercayai bahawa pemprosesan Data Peribadi tidak berlaku mengikut perjanjian pemprosesan, ia boleh dirujuk paling banyak sekali setahun oleh pakar luar bebas, bertauliah, yang mempunyai pengalaman yang boleh dibuktikan dengan jenis pemprosesan yang dijalankan berdasarkan Perjanjian. , mempunyai audit yang dijalankan atas perbelanjaan Pelanggan. Audit akan dihadkan kepada menyemak pematuhan dengan perjanjian berkenaan pemprosesan Data Peribadi seperti yang ditetapkan dalam Perjanjian Pemproses ini. Pakar akan mempunyai kewajipan kerahsiaan berkenaan dengan apa yang dia temui dan hanya akan melaporkan kepada Klien yang mengakibatkan kekurangan dalam pemenuhan kewajipan yang dimiliki oleh Pemproses Data di bawah perjanjian pemproses ini. Pakar akan memberikan salinan laporannya kepada Pemproses Data. Pemproses Data boleh menolak audit atau arahan daripada pakar jika, pada pendapatnya, ini melanggar GDPR atau perundangan lain atau merupakan pelanggaran yang tidak dibenarkan terhadap langkah keselamatan yang telah diambilnya.
• 7.5 Pihak-pihak akan berunding secepat mungkin mengenai hasil laporan tersebut. Pihak-pihak akan mengikuti langkah-langkah penambahbaikan yang dicadangkan yang ditetapkan dalam laporan itu kerana ini boleh dijangkakan daripada mereka. Pemproses Data akan melaksanakan langkah penambahbaikan yang dicadangkan setakat yang sesuai pada pendapatnya, dengan mengambil kira risiko pemprosesan yang berkaitan dengan produk atau perkhidmatannya, keadaan terkini, kos pelaksanaan, pasaran di mana ia beroperasi, dan penggunaan produk atau perkhidmatan yang dimaksudkan.perkhidmatan.
• 7.6 Pemproses Data mempunyai hak untuk mengecaj kos yang ditanggungnya dalam konteks peruntukan artikel ini kepada Pelanggan.

Perkara 8. Sub-Pemproses

• 8.1 Pemproses Data telah menyatakan dalam Pernyataan Data Pro sama ada, dan jika ya pihak ketiga (sub-pemproses atau sub-pemproses) Pemproses Data terlibat dalam pemprosesan Data Peribadi.
• 8.2 Pelanggan memberi kebenaran kepada Pemproses Data untuk melibatkan sub-pemproses lain untuk melaksanakan kewajipannya yang timbul daripada Perjanjian.
• 8.3 Pemproses Data akan memaklumkan Pelanggan tentang perubahan dalam pihak ketiga yang terlibat oleh Pemproses Data, contohnya melalui Pernyataan Data Pro yang dipinda. Pelanggan mempunyai hak untuk membantah perubahan yang dinyatakan di atas oleh Pemproses Data. Pemproses Data memastikan bahawa pihak ketiga yang terlibat dengannya komited pada tahap keselamatan yang sama berkenaan dengan perlindungan Data Peribadi sebagai tahap keselamatan yang mana Pemproses Data terikat kepada Pelanggan berdasarkan Pernyataan Data Pro.

Perkara 9. Lain-lain

Klausa Pemprosesan Standard ini, bersama-sama dengan Pernyataan Data Pro, membentuk bahagian penting Perjanjian. Semua hak dan kewajipan di bawah Perjanjian, termasuk terma dan syarat am yang berkenaan dan/atau had liabiliti, oleh itu juga terpakai pada perjanjian pemprosesan.