प्रशोधन सम्झौता

परिचय

Autosoft BV प्रक्रियाहरू, अन्य चीजहरू बीच, ग्राहकको लागि र तर्फबाट व्यक्तिगत डेटा। Autosoft BV र ग्राहक यसैले सामान्य डेटा संरक्षण नियमन (GDPR) अन्तर्गत प्रोसेसर सम्झौता गर्न बाध्य छन्। GDPR अनुसार, Autosoft BV एक 'प्रोसेसर' हो र ग्राहक एक 'नियन्त्रक' हो। यो प्रोसेसर सम्झौताले Autosoft BV ले डाटा उल्लंघन सूचना दायित्वलाई कसरी ह्यान्डल गर्छ भनेर पनि वर्णन गर्दछ।

प्रशोधन सम्झौता

समावेश:
भाग १: डाटा प्रो कथन
भाग २: मानक प्रशोधन खण्डहरू

भाग १: डाटा प्रो कथन

सामान्य जानकारी

१) यो डाटा प्रो कथन निम्न डाटा प्रोसेसर (प्रोसेसर) द्वारा बनाईएको हो:

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

यस डाटा प्रो कथन वा डाटा सुरक्षा बारे प्रश्नहरूको लागि, कृपया सम्पर्क गर्नुहोस्:
आर्थर भ्यान डेर लेक: arthur@autosoft.eu / +31 (0)53 - 428 00 98

२)। यो डाटा प्रो कथन अगस्त 2, 1 बाट लागू हुन्छ
हामी यो डाटा प्रो कथन र यसमा वर्णन गरिएका सुरक्षा उपायहरू नियमित रूपमा समायोजन गर्छौं कि हामी डाटा सुरक्षाको सन्दर्भमा सधैं तयार र अद्यावधिक छौं। हामी तपाईलाई हाम्रा सामान्य च्यानलहरू मार्फत नयाँ संस्करणहरू बारे जानकारी गराउनेछौं।

३)। यो डाटा प्रो कथन निम्न डाटा प्रोसेसर उत्पादन र सेवाहरूमा लागू हुन्छ

• स्वत: वेबसाइट
• अटोकमर्स

४) विवरण कार वेबसाइट
कार कम्पनीहरूले Autowebsite प्रयोग गर्छन्। Autowebsite को साथ, कार कम्पनीहरूले आफूलाई इन्टरनेटमा प्रस्तुत गर्न सक्छन्।

५) उद्देश्य प्रयोग कार वेबसाइट
Autowebsite निम्न प्रकारको डाटा प्रक्रिया गर्न डिजाइन र सुसज्जित छ:
Autosoft द्वारा Autowebsite को साथ विकसित वेबसाइटहरूमा आगन्तुकहरूले तिनीहरूको सम्पर्क विवरणहरू त्यहाँ छोड्ने विकल्प छ ताकि कार कम्पनीले आगन्तुकलाई थप सेवाहरूको लागि सम्पर्क गर्ने अवसर पाउन सक्छ। यी सम्पर्क विवरणहरू Autosoft मा भण्डारण गरिएको छैन, तर कार कम्पनीको इ-मेल ठेगानामा इ-मेल मार्फत सिधै फर्वार्ड गरिन्छ।

• यो सेवाले विशेष व्यक्तिगत डाटा, वा आपराधिक सजाय र अपराध वा सरकारद्वारा जारी व्यक्तिगत नम्बरहरू सम्बन्धी डाटाको प्रशोधनलाई ध्यानमा राख्दैन।

६) विवरण अटोकमर्स
कार कम्पनीहरूले अटोकमर्स प्रयोग गर्छन्। अटोकमर्सको साथ, कार कम्पनीहरूले तिनीहरूको आफ्नै वेबसाइट र तेस्रो पक्षहरूको इन्टरनेट खोज पोर्टलहरूमा आफ्ना सवारीहरू व्यवस्थापन गर्न र प्रस्तुत गर्न सक्छन्।

७)। उद्देश्य प्रयोग Autocommerce
Autocommerce निम्न प्रकारको डेटा प्रशोधन गर्न डिजाइन र सेट अप गरिएको छ:
कार कम्पनीहरूले अटोकमर्स मार्फत दर्ता भएका सवारीसाधनहरू आफ्नै कार वेबसाइटमा राख्न सक्छन्। यी दर्ता भएका सवारी साधनहरूमा कुनै पनि डाटा समावेश छैन जुन कुनै पनि रूपमा व्यक्तिगत डाटामा ट्रेस गर्न सकिन्छ। कार वेबसाइटमा आगन्तुकहरूले आफ्नो सम्पर्क विवरणहरू त्यहाँ छोड्ने विकल्प छ ताकि कार कम्पनीले आगन्तुकलाई थप सेवाहरूको लागि सम्पर्क गर्ने अवसर पाउँछ। आगन्तुकले आफ्नै अटो वेबसाइटमा छोडेका सम्पर्क विवरणहरू Autocommerce मा भण्डारण गरिएका छन्।

• यो सेवाले विशेष व्यक्तिगत डाटा, वा आपराधिक सजाय र अपराध वा सरकारद्वारा जारी व्यक्तिगत नम्बरहरू सम्बन्धी डाटाको प्रशोधनलाई ध्यानमा राख्दैन।

८)। डेटा प्रोसेसरले Autowebsite र Autocommerce को लागि प्रशोधन गर्न मानक क्लजहरू प्रयोग गर्दछ, जुन सम्झौताको परिशिष्टको रूपमा फेला पार्न सकिन्छ।

९) डाटा प्रोसेसरले अटोवेबसाइट र अटोकमर्सका लागि EU/EEA भित्र आफ्ना ग्राहकहरूको व्यक्तिगत डेटा प्रशोधन गर्दछ।

१०)। डाटा प्रोसेसरले अटोकमर्सका लागि निम्न उप-प्रोसेसरहरू प्रयोग गर्दछ:
केही अवस्थामा Autosoft ले कार कम्पनीको तर्फबाट तेस्रो पक्ष वा उप-प्रोसेसरहरूको इन्टरनेट खोज पोर्टलहरूमा Autocommerce मार्फत दर्ता भएका सवारी साधनहरू पठाउँछ। उप-प्रोसेसरहरूको सूची support@autosoft.eu मा अनुरोधमा उपलब्ध छ।

११)। ग्राहकसँगको सम्झौता समाप्त भएपछि, डाटा प्रोसेसरले सिद्धान्तमा ग्राहकका लागि ३ महिनाभित्र प्रशोधन गर्ने व्यक्तिगत डाटा हटाउनेछ ताकि तिनीहरू अब प्रयोग गर्न सकिँदैन र पहुँचयोग्य हुँदैनन् (रेन्डर दुर्गम)।

सुरक्षा नीति

निम्न सुरक्षा उपायहरू सारांश गर्नुहोस् जुन डाटा प्रोसेसरले आफ्नो उत्पादन वा सेवाको सुरक्षा गर्न लिएको छ:

घटना व्यवस्थापन र प्रतिक्रिया नीति
सूचना सुरक्षाको क्षेत्रमा घटना व्यवस्थापन र प्रतिक्रिया नीतिहरूले कम्प्युटर वा IT पूर्वाधारमा सुरक्षा घटनाहरूको निगरानी र पत्ता लगाउने, तर कर्मचारीहरूद्वारा संदिग्ध गतिविधिहरूको अवलोकन, र यी घटनाहरूमा सही प्रतिक्रियाहरूको कार्यान्वयन समावेश गर्दछ।

यस नीतिको प्राथमिक लक्ष्य शब्दको फराकिलो अर्थमा दुर्भावनापूर्ण घटनाहरू र कम्प्युटर घुसपैठहरूमा राम्रोसँग बुझ्ने र अनुमानित प्रतिक्रिया विकास गर्नु हो।

घटना व्यवस्थापन र प्रतिक्रिया नीति कम्प्युटर, नेटवर्क र सूचना प्रणाली र यसमा भण्डारण गरिएको जानकारीको व्यवस्थापन र सुरक्षा गर्ने प्रक्रिया हो। Autosoft ले आफ्ना ग्राहकहरू र आपूर्ति श्रृंखला साझेदारहरूको फाइदाको लागि यो जानकारी सुरक्षित गर्ने कुरा गर्दा आफ्ना जिम्मेवारीहरू बारे सचेत हुन्छ। यो उत्तरदायित्व घटना प्रक्रियामा विस्तार हुन्छ। घटना व्यवस्थापन गतिविधिहरूको एक सेट हो जसले एक प्रक्रियालाई परिभाषित र कार्यान्वयन गर्दछ जुन संगठनले आफ्नै कल्याण र जनताको सुरक्षालाई प्रवर्द्धन गर्न प्रयोग गर्न सक्छ।

आईटी र सुरक्षा
Autosoft BV को ICT संरचना फायरवालसँग पर्याप्त रूपमा सुरक्षित छ र भाइरस स्क्यानिङ सफ्टवेयर अद्यावधिक राखिएको छ। प्रत्येक कर्मचारीको लगइन प्रोफाइल छ। कम्प्युटर सुरु गर्दा, कर्मचारीहरूले लगइन नाम र पासवर्ड प्रविष्ट गर्नुपर्छ र जहाँ सम्भव छ 2-चरण प्रमाणीकरणको साथ।

निश्चित सफ्टवेयरले लगइन नाम र पासवर्ड र जहाँ सम्भव भएसम्म २-चरण प्रमाणीकरणको लागि सोध्छ। संदिग्ध इमेलहरू नखोल्ने, शङ्कास्पद लिङ्कहरूमा क्लिक नगर्ने, लामो समयको लागि कार्यस्थलबाट बाहिर निस्कँदा लग आउट गर्ने, र यस्तै कुराहरू जस्ता सुरक्षित रूपमा काम गर्ने बारे कर्मचारीहरूमा सचेतता बढाइन्छ।

फाइलहरू दिन र हरेक रातमा जगेडा हुन्छन्। सुरक्षा कारणहरूका लागि, ब्याकअप वरपरको थप भण्डारण प्रक्रिया गोप्य छ। Autosoft BV ले यसका लागि कम्प्युटर आपूर्तिकर्ता र इन्टरनेट होस्टिङ प्रदायकहरूसँग सेवा सम्झौता गरेको छ।

डाटा सुरक्षा नीति
Autosoft BV ले ग्राहकको व्यक्तिगत डेटालाई हानि वा गैरकानूनी प्रक्रियाको कुनै पनि रूपबाट जोगाउन उपयुक्त प्राविधिक र संगठनात्मक उपायहरू लिन्छ। यी प्राविधिक र संगठनात्मक उपायहरूलाई GDPR को धारा १ को अर्थ भित्र उपयुक्त सुरक्षा स्तरको रूपमा मानिन्छ र Autosoft BV को केन्द्रीय आधार शिविर (परियोजना: संगठन / डेटा संरक्षण नीति) मा कागजातहरूको रूपमा भण्डारण गरिन्छ।

प्राविधिक र संगठनात्मक

1. प्रोसेसर सम्झौताको सन्दर्भमा प्रशोधन गरिएको व्यक्तिगत डेटामा केवल अधिकृत कर्मचारीहरूको पहुँच छ भनेर सुनिश्चित गर्ने उपायहरू;
2. आकस्मिक वा गैरकानूनी विनाश, हानि, आकस्मिक परिवर्तन, अनाधिकृत वा गैरकानूनी भण्डारण, पहुँच वा खुलासा विरुद्ध व्यक्तिगत डेटाको सुरक्षा गर्ने उपायहरू;
3. विशेष गरी व्यक्तिगत डाटालाई आकस्मिक वा गैरकानूनी विनाश, हानि, आकस्मिक परिवर्तन, अनाधिकृत वा गैरकानूनी भण्डारण, डाटा आदानप्रदान/ट्रान्सपोर्टको क्रममा पहुँच वा खुलासा विरुद्ध सुरक्षा गर्ने उपायहरू;
4. निरन्तर आधारमा सम्पादन प्रणाली र सेवाहरूको गोपनीयता, अखण्डता, उपलब्धता र लचिलोपन सुनिश्चित गर्ने क्षमता सुनिश्चित गर्न उपायहरू;
5. भौतिक वा प्राविधिक घटनाको घटनामा समयमै व्यक्तिगत डेटामा उपलब्धता र पहुँच पुनर्स्थापना गर्ने उपायहरू;
6. अनुबंध अन्तर्गत सेवाहरू प्रदान गर्न प्रयोग गरिने प्रणालीहरूमा व्यक्तिगत डेटाको प्रशोधनको सन्दर्भमा कमजोरीहरू पहिचान गर्ने उपायहरू;

संगठनात्मक जस्तै:

• केही व्यक्तिगत डाटामा पहुँच भएका अधिकारीहरूको सर्कललाई ती व्यक्तिहरूमा सीमित गर्दै जसलाई उनीहरूको कर्तव्यहरू प्रदर्शन गर्न डाटा चाहिन्छ;
• यी व्यक्तिहरूलाई उनीहरूको कर्तव्यको प्रदर्शनको लागि आवश्यक पर्ने व्यक्तिगत डेटामा मात्र पहुँच प्रदान गर्दै;
• व्यक्तिगत डेटामा पहुँच प्रदान गरिने सबै व्यक्तिहरूसँग पेनाल्टी क्लजको साथ गोपनीयता खण्डमा सहमत;
• बन्द ठाउँमा सर्भरहरूमा व्यक्तिगत डेटा भण्डारण गर्दै;
• लक गर्न मिल्ने क्याबिनेटहरूमा कागज फाइलहरू राख्ने;
• कर्मचारीहरु बीच सूचना सुरक्षा जागरूकता सिर्जना;
• सूचना सुरक्षा घटनाहरू र सुरक्षा कमजोरीहरूको समयमै र प्रभावकारी ह्यान्डलिङको लागि स्पष्ट प्रोटोकल र प्रक्रियाहरू स्थापना गर्दै;

डाटा प्रोसेसरले संगठनको कार्य विधि भित्र मिल्ने व्यवस्थापनका लागि आफ्नै विधि र प्रक्रियाहरू प्रयोग गर्दछ:

• बेसक्याम्प भित्र, सान्दर्भिक कागजातहरू व्यवस्थित र आवधिक रूपमा मूल्याङ्कन गरिन्छ।

डाटा उल्लंघन प्रोटोकल

घटनामा केहि गलत भयो भने, डाटा प्रोसेसरले निम्न डाटा लीक प्रोटोकल प्रयोग गर्दछ कि ग्राहक घटनाहरू बारे सचेत छ भनेर सुनिश्चित गर्न:

Autosoft BV - डाटा उल्लंघन प्रक्रिया

डाटा उल्लंघन के हो र मैले कहिले AP लाई रिपोर्ट गर्नुपर्छ?
डाटा उल्लङ्घन एक सूचना सुरक्षा घटना हो जसमा हानि वा गैरकानूनी प्रक्रिया जस्तै (तर पूर्ण रूपमा होइन): व्यक्तिगत डेटाको सुरक्षाको उल्लंघन समावेश छ।

• समायोजन र/वा व्यक्तिगत डेटा परिवर्तन र यस व्यक्तिगत डेटामा अनाधिकृत पहुँच;
• ह्याकरद्वारा ब्रेक-इनको घटनामा;
• USB स्टिक हराउनु, ल्यापटपको चोरी;
• गलत इमेल ठेगानामा संवेदनशील डाटा पठाउँदै;

कानून अनुसार, एक 'गम्भीर' डेटा उल्लङ्घनलाई अनावश्यक ढिलाइ नगरी डच डाटा संरक्षण प्राधिकरणलाई रिपोर्ट गरिनु पर्छ, र सम्भव भएमा पत्ता लगाएको 72 घण्टा पछि।

यदि व्यक्तिगत प्राकृतिक व्यक्तिहरूको वास्तविक पहिचानलाई उचित रूपमा बहिष्कृत गरिएको छ भने Autosoft BV ले डच डेटा संरक्षण प्राधिकरणलाई रिपोर्ट गर्नुपर्दैन।
सूचना सुरक्षा घटनाको सबै शंकाहरूलाई पहिलो उदाहरणमा सम्बोधन गरिन्छ support@autosoft.eu रिपोर्ट र दर्ता। समर्थनले व्यवस्थापन टोलीलाई घटनाको रिपोर्ट गर्छ र कुन फलो-अप कार्यहरू लिनुपर्छ भनेर निर्धारण गर्दछ।

अनुगमन प्रक्रिया

मैले डेटा विषयहरूलाई कहिले सूचित गर्नुपर्छ?
डेटा उल्लङ्घन डेटा विषयलाई रिपोर्ट गरिनु पर्छ यदि, उल्लंघनको घटनामा, उल्लङ्घनले उसको/उनको निजी जीवनमा प्रतिकूल परिणामहरू ल्याउने उच्च जोखिम छ। डाटा विषयका लागि प्रतिकूल परिणामहरू: उसको प्रतिष्ठा र प्रतिष्ठामा क्षति, पहिचान धोखाधडी वा भेदभाव। यदि Autosoft BV ले उपयुक्त प्राविधिक सुरक्षा उपायहरू लिएको छ, जसको परिणाम स्वरूप सम्बन्धित व्यक्तिगत डाटा बुझ्न नसकिने वा पहुँचयोग्य बनाइएको छ, डाटा विषयलाई सूचना आवश्यक छैन। डाटा विषयको सूचनामा व्यक्तिगत डाटा उल्लङ्घनको प्रकृतिको स्पष्ट र सरल भाषामा विवरण समावेश हुनुपर्छ र कम्तिमा:

• डाटा सुरक्षा अधिकारी वा अन्य सम्पर्क बिन्दुको नाम र सम्पर्क विवरणहरू जहाँ थप जानकारी प्राप्त गर्न सकिन्छ;
• व्यक्तिगत डेटा उल्लङ्घनको सम्भावित परिणामहरू;
• व्यक्तिगत डेटा उल्लङ्घनलाई सम्बोधन गर्न नियन्त्रकद्वारा प्रस्तावित वा लिइएका उपायहरू, जहाँ उपयुक्त भएमा, यसको कुनै पनि प्रतिकूल प्रभावहरूलाई कम गर्ने उपायहरू सहित। डाटा उल्लङ्घन डच डाटा संरक्षण प्राधिकरण र/वा प्रभावित व्यक्तिहरूलाई रिपोर्ट गरिनु पर्छ कि भनेर मूल्याङ्कन सधैं Autosoft BV मा निर्भर गर्दछ। घटना रिपोर्ट गरिनु पर्छ कि छैन भनेर निर्धारण गर्न, डच डाटा संरक्षण प्राधिकरणले नीति नियमहरू बनाएको छ (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) र GDPR मा रिपोर्टिङ दायित्वमा प्रकाशित युरोपेली पर्यवेक्षक दिशानिर्देशहरूको कार्य समूह 29। यदि Autosoft BV ले डाटा उल्लङ्घन रिपोर्ट गरेको छैन भने, डच डाटा संरक्षण प्राधिकरणले Autosoft BV लाई अझै पनि रिपोर्ट गर्न आवश्यक हुन सक्छ। रिपोर्ट गर्न असफल भएमा प्रशासनिक जरिवानाको साथ सजाय हुन सक्छ।

म कसरी डाटा उल्लंघन रिपोर्ट गर्छु?
डच डेटा संरक्षण प्राधिकरणले एक वेब फारम उपलब्ध गराउँछ जुन डेटा उल्लङ्घनहरू रिपोर्ट गर्नको लागि प्रयोग गर्नुपर्छ (https://dataleks.autoriteitpersoonsgegevens.nl/)। डच डाटा संरक्षण प्राधिकरणले प्राप्त डाटा उल्लंघन सूचनाहरूको एक दर्ता राख्छ। यो दर्ता सार्वजनिक छैन। यदि डाटा उल्लंघनको कारण डच डाटा संरक्षण प्राधिकरण द्वारा जरिवाना लगाइयो भने, यो निर्णय सार्वजनिक गरिनेछ। डाटा उल्लङ्घन पनि सार्वजनिक गरिन्छ जब डाटा विषयहरूलाई डाटा उल्लंघनको बारेमा जानकारी दिन आवश्यक हुन्छ। डाटा विषयको सूचनाले कुनै पनि अवस्थामा उल्लङ्घनको प्रकृति र डेटा विषयले उल्लङ्घनको बारेमा थप जानकारी प्राप्त गर्न सक्ने अधिकारीहरूलाई संकेत गर्नुपर्छ। डाटा उल्लङ्घनका नकारात्मक नतिजाहरूलाई सीमित गर्न डाटा विषयले आफैले के गर्न सक्छ भन्ने कुरा पनि बताइनुपर्छ। उदाहरणका लागि, प्रयोगकर्ता नाम र पासवर्डहरू परिवर्तन गर्दा तिनीहरू उल्लङ्घनद्वारा सम्झौता गरिएको हुन सक्छ।

मैले के रिपोर्ट गर्नुपर्छ?
डच डाटा संरक्षण प्राधिकरणको सूचनामा समावेश छ:

• डाटा चोरीको रिपोर्टर।
• रिपोर्टको बारेमा थप जानकारीको लागि डच डेटा संरक्षण प्राधिकरणले सम्पर्क गर्न सक्ने व्यक्ति।
• घटनाको सारांश जहाँ व्यक्तिगत डेटा सुरक्षा उल्लङ्घन भयो।
• उल्लङ्घनको समय।
• उल्लङ्घनको प्रकृति।
• सम्बन्धित व्यक्तिगत डेटा को प्रकार।
• उल्लङ्घनले संलग्न व्यक्तिहरूको गोपनीयताको लागि हुन सक्ने परिणामहरू।
• Autosoft BV ले उल्लङ्घनलाई सम्बोधन गर्न र थप उल्लङ्घनहरू रोक्नको लागि लिएको प्राविधिक र संगठनात्मक उपायहरू।
• Autosoft BV ले डाटा विषयहरूमा डाटा उल्लंघन रिपोर्ट गरेको छ कि छैन र यदि छैन भने, Autosoft BV ले यो गर्न चाहन्छ:
• यदि त्यसो हो भने, डाटा विषयहरूमा सूचनाको सामग्री।
• यदि होइन भने, कारण किन Autosoft BV ले डाटा विषयहरूमा डाटा उल्लङ्घन रिपोर्ट गर्नबाट टाढा रहन्छ।
• के व्यक्तिगत डाटा इन्क्रिप्ट गरिएको छ, ह्यास गरिएको छ वा अन्यथा अनाधिकृत व्यक्तिहरूको लागि अगम्य वा पहुँचयोग्य बनाइएको छ?

भाग २: मानक प्रशोधन खण्डहरू

संस्करण: सेप्टेम्बर 2019
डाटा प्रो कथन प्रशोधन सम्झौताको साथ फारमहरू र सम्झौताको परिशिष्ट र लागू हुने सामान्य नियम र सर्तहरू जस्ता संलग्न परिशिष्टहरू हुन्।

लेख १. परिभाषाहरू

प्रशोधनका लागि यी मानक क्लजहरूमा, डाटा प्रो स्टेटमेन्ट र सम्झौतामा तलका सर्तहरूका निम्न अर्थहरू छन्:

• 1.1 डच डाटा संरक्षण प्राधिकरण (AP): पर्यवेक्षक प्राधिकरण, धारा 4 मा वर्णन गरिए अनुसार, औसत को उप 21।
• १.२ औसत: सामान्य डाटा संरक्षण नियमन।
• 1.3 डाटा प्रोसेसर: आईसीटी आपूर्तिकर्ताको रूपमा, सम्झौताको कार्यान्वयनको सन्दर्भमा आफ्नो ग्राहकको फाइदाको लागि व्यक्तिगत डेटा प्रशोधन गर्ने पक्ष।
• १.४ डाटा प्रो कथन: डाटा प्रोसेसरको कथन जसमा यसले यसको उत्पादन वा सेवाको उद्देश्य प्रयोग, सुरक्षा उपायहरू, उप-प्रोसेसरहरू, डाटा चुहावट, प्रमाणीकरण र डाटा विषयहरूको अधिकारको ह्यान्डलिङको बारेमा जानकारी प्रदान गर्दछ।
• १.५ डाटा विषय (डेटा विषय): एक पहिचान वा पहिचान योग्य प्राकृतिक व्यक्ति।
• १.६ ग्राहक: पार्टी जसको तर्फबाट डाटा प्रोसेसरले व्यक्तिगत डाटा प्रक्रिया गर्दछ। ग्राहक या त नियन्त्रक ("नियन्त्रक") वा अर्को प्रोसेसर हुन सक्छ।
• १.७ सम्झौता: क्लाइन्ट र डाटा प्रोसेसर बीचको सम्झौता, जसको आधारमा आईसीटी आपूर्तिकर्ताले ग्राहकलाई सेवाहरू र/वा उत्पादनहरू आपूर्ति गर्दछ, जसको प्रोसेसर सम्झौता भाग बनाउँछ।
• 1.8 व्यक्तिगत डेटा: अनुच्छेद 4, उप 1 AVG मा वर्णन गरिए अनुसार पहिचान वा पहिचान योग्य प्राकृतिक व्यक्तिको बारेमा सबै जानकारी, जुन डेटा प्रोसेसरले सम्झौताबाट उत्पन्न हुने दायित्वहरूको कार्यसम्पादनको सन्दर्भमा प्रक्रिया गर्दछ।
• 1.9 प्रशोधन सम्झौता: प्रशोधनका लागि यी मानक क्लजहरू, जसले डाटा प्रोसेसरको डाटा प्रो स्टेटमेन्ट (वा तुलनात्मक जानकारी) सँगसँगै GDPR को अनुच्छेद 28, अनुच्छेद 3 मा उल्लेख गरिए अनुसार प्रशोधन सम्झौता बनाउँछ।

धारा २. सामान्य

• 2.1 यी मानक प्रशोधन क्लजहरू व्यक्तिगत डाटाको सबै प्रशोधनमा लागू हुन्छन् जुन डाटा प्रोसेसरले आफ्ना उत्पादनहरू र सेवाहरूको डेलिभरीको सन्दर्भमा र सबै सम्झौता र प्रस्तावहरूमा गर्दछ। ग्राहकको प्रशोधन सम्झौताहरूको लागूता स्पष्ट रूपमा अस्वीकार गरिएको छ।
• 2.2 डाटा प्रो कथन, र विशेष गरी यसमा समावेश सुरक्षा उपायहरू, डाटा प्रोसेसर द्वारा समय समयमा परिमार्जन गर्न सकिन्छ परिवर्तन परिस्थितिहरू प्रतिबिम्बित गर्न। डाटा प्रोसेसरले महत्त्वपूर्ण परिवर्तनहरूको ग्राहकलाई सूचित गर्नेछ। यदि ग्राहकले समायोजनहरूसँग उचित रूपमा सहमत हुन सक्दैन भने, ग्राहकले समायोजनको अधिसूचनाको 30 दिन भित्र लिखित रूपमा प्रशोधन सम्झौता समाप्त गर्ने अधिकार छ।
• 2.3 डाटा प्रोसेसरले डाटा प्रोसेसरसँग सहमत भएको ग्राहकको लिखित निर्देशनहरू अनुसार ग्राहकको तर्फबाट र ग्राहकको तर्फबाट व्यक्तिगत डाटा प्रक्रिया गर्दछ।
• 2.4 ग्राहक, वा यसको ग्राहक, GDPR को अर्थ भित्र नियन्त्रक हो, व्यक्तिगत डेटा को प्रशोधन मा नियन्त्रण छ र व्यक्तिगत डेटा को प्रशोधन को उद्देश्य र माध्यम निर्धारण गरेको छ।
• 2.5 डाटा प्रोसेसर GDPR को अर्थ भित्र एक प्रोसेसर हो र त्यसैले व्यक्तिगत डाटा को प्रशोधन को उद्देश्य र माध्यम मा कुनै नियन्त्रण छैन र यसैले अन्य चीजहरु मा, व्यक्तिगत डाटा को उपयोग को बारे मा कुनै निर्णय गर्दैन।
• 2.6 डाटा प्रोसेसरले GDPR लाई प्रशोधन, डाटा प्रो स्टेटमेन्ट र सम्झौताका लागि यी मानक क्लजहरूमा तोकिए अनुसार लागू गर्दछ। यो जानकारीको आधारमा डाटा प्रोसेसरले उपयुक्त प्राविधिक र संगठनात्मक उपायहरूको प्रयोगको सन्दर्भमा पर्याप्त ग्यारेन्टीहरू प्रदान गर्दछ कि प्रशोधनले GDPR र डाटा विषयहरूको अधिकारको संरक्षणको आवश्यकताहरू पूरा गर्दछ कि भनेर मूल्याङ्कन गर्न ग्राहकमा निर्भर छ। पर्याप्त छ। ग्यारेन्टी।
• 2.7 ग्राहकले डाटा प्रोसेसरलाई ग्यारेन्टी दिन्छ कि यसले GDPR अनुसार कार्य गर्दछ, यसले आफ्नो प्रणाली र पूर्वाधारलाई जहिले पनि पर्याप्त रूपमा सुरक्षित गर्दछ र व्यक्तिगत डेटाको सामग्री, प्रयोग र/वा प्रशोधन गैरकानूनी छैन र कुनै पनि अधिकारको उल्लङ्घन गर्दैन। तेस्रो पक्षको।
• 2.8 AP द्वारा ग्राहकमा लगाइएको प्रशासनिक जरिवाना डाटा प्रोसेसरबाट फिर्ता गर्न सकिँदैन।

धारा ३. सुरक्षा

• 3.1 डाटा प्रोसेसरले यसको डाटा प्रो स्टेटमेन्टमा वर्णन गरिए अनुसार प्राविधिक र संगठनात्मक सुरक्षा उपायहरू लिन्छ। प्राविधिक र संगठनात्मक सुरक्षा उपायहरू लिँदा, डाटा प्रोसेसरले कलाको अवस्था, सुरक्षा उपायहरूको कार्यान्वयन लागत, प्रकृति, दायरा र प्रशोधनको सन्दर्भ, उद्देश्यहरू र यसको उत्पादन र सेवाहरूको अभिप्रेत प्रयोगलाई ध्यानमा राखेको छ। , प्रशोधन जोखिमहरू र जोखिमहरू जुन डेटा विषयहरूको अधिकार र स्वतन्त्रताको लागि सम्भाव्यता र गम्भीरतामा भिन्न हुन्छन् जुन उसले आफ्ना उत्पादनहरू र सेवाहरूको अभिप्रेत प्रयोगलाई ध्यानमा राखेर आशा गर्न सक्छ।
• 3.2 डाटा प्रो कथनमा स्पष्ट रूपमा अन्यथा भनिएको बाहेक, डाटा प्रोसेसरको उत्पादन वा सेवा व्यक्तिगत डाटा वा आपराधिक अभियोगहरू वा अपराधहरू वा सरकारद्वारा जारी व्यक्तिगत नम्बरहरू सम्बन्धी डेटाको विशेष कोटीहरू प्रशोधन गर्न डिजाइन गरिएको छैन।
• 3.3 डाटा प्रोसेसरले यो सुनिश्चित गर्न प्रयास गर्दछ कि यसले लिने सुरक्षा उपायहरू डाटा प्रोसेसर द्वारा उत्पादन वा सेवाको उद्देश्य प्रयोगको लागि उपयुक्त छ।
• 3.4 क्लाइन्टको विचारमा, वर्णित सुरक्षा उपायहरूले लेख 3.1 मा उल्लेख गरिएका कारकहरूलाई ध्यानमा राख्दै, प्रयोग गरिएको वा प्रदान गरेको व्यक्तिगत डाटाको प्रशोधनको जोखिमसँग मिल्ने सुरक्षा स्तर प्रस्ताव गर्दछ।
• 3.5 डाटा प्रोसेसरले सुरक्षाको उपयुक्त स्तर प्रदान गर्न जारी राख्न यो आवश्यक ठानेमा लिइएको सुरक्षा उपायहरूमा परिवर्तन गर्न सक्छ। डाटा प्रोसेसरले महत्त्वपूर्ण परिवर्तनहरू रेकर्ड गर्नेछ, उदाहरणका लागि संशोधित डाटा प्रो स्टेटमेन्टमा, र सान्दर्भिक भएमा ती परिवर्तनहरूको ग्राहकलाई सूचित गर्नेछ।
• 3.6 ग्राहकले डाटा प्रोसेसरलाई थप सुरक्षा उपायहरू लिन अनुरोध गर्न सक्छ। डाटा प्रोसेसर यस्तो अनुरोधमा आफ्नो सुरक्षा उपायहरूमा परिवर्तन गर्न कुनै दायित्व अन्तर्गत छैन। डाटा प्रोसेसरले ग्राहकलाई ग्राहकको अनुरोधमा गरिएका परिवर्तनहरूसँग सम्बन्धित लागतहरू चार्ज गर्न सक्छ। ग्राहकले चाहेको परिमार्जित सुरक्षा उपायहरू लिखित रूपमा सहमति र पक्षहरूद्वारा हस्ताक्षर गरेपछि मात्र, डाटा प्रोसेसरले यी सुरक्षा उपायहरू वास्तवमा कार्यान्वयन गर्न बाध्य हुन्छ।

अनुच्छेद 4. व्यक्तिगत डेटा उल्लंघन

• 4.1 डाटा प्रोसेसरले ग्यारेन्टी गर्दैन कि सुरक्षा उपायहरू सबै परिस्थितिहरूमा प्रभावकारी छन्। यदि डाटा प्रोसेसरले व्यक्तिगत डाटाको सम्बन्धमा उल्लङ्घन पत्ता लगायो (अनुच्छेद 4 उप 12 औसतमा उल्लेख गरिए अनुसार), यसले ग्राहकलाई अनावश्यक ढिलाइ नगरी सूचित गर्नेछ। डाटा प्रो कथन (डेटा चुहावट प्रोटोकल अन्तर्गत) ले डेटा प्रोसेसरले ग्राहकलाई व्यक्तिगत डाटाको सम्बन्धमा उल्लङ्घनहरू बारे कसरी जानकारी दिन्छ भनेर सेट गर्छ।
• 4.2 डाटा प्रोसेसरले जानकारी दिएको व्यक्तिगत डाटा उल्लंघन AP वा डाटा विषयलाई रिपोर्ट गरिनु पर्छ कि भनेर मूल्याङ्कन गर्न यो नियन्त्रक (ग्राहक, वा यसको ग्राहक) मा निर्भर छ। व्यक्तिगत डेटाको सम्बन्धमा उल्लङ्घनको रिपोर्टिङ, जुन AP र/वा डेटा विषयहरूलाई लेख 33 र 34 GDPR बमोजिम रिपोर्ट गरिनु पर्छ, सधैं नियन्त्रक (ग्राहक वा यसको ग्राहक) को जिम्मेवारी रहन्छ। डाटा प्रोसेसर व्यक्तिगत डाटा उल्लंघनहरू AP र/वा डाटा विषयलाई रिपोर्ट गर्न बाध्य छैन।
• 4.3 डाटा प्रोसेसरले, यदि आवश्यक भएमा, व्यक्तिगत डेटाको सम्बन्धमा उल्लङ्घनको बारेमा थप जानकारी प्रदान गर्नेछ र लेख 33 र 34 औसतमा उल्लेख गरिएको सूचनाको उद्देश्यका लागि ग्राहकलाई आवश्यक जानकारी प्रावधानमा सहयोग गर्नेछ।
• 4.4 डाटा प्रोसेसरले यस सन्दर्भमा लाग्ने उचित लागत ग्राहकलाई त्यसको लागू हुने दरहरूमा चार्ज गर्न सक्छ।

धारा ५. गोपनीयता

• 5.1 डाटा प्रोसेसरले ग्यारेन्टी दिन्छ कि व्यक्तिगत डाटालाई यसको जिम्मेवारी अन्तर्गत प्रशोधन गर्ने व्यक्तिहरूको गोपनीयताको कर्तव्य हुन्छ।
• 5.2 डाटा प्रोसेसरले अदालतको निर्णय, कानुनी नियम वा सरकारी अधिकारीबाट आधिकारिक आदेशको आधारमा प्रावधान आवश्यक भएमा तेस्रो पक्षहरूलाई व्यक्तिगत डाटा प्रदान गर्ने अधिकार छ।
• 5.3 सबै पहुँच र/वा पहिचान कोडहरू, प्रमाणपत्रहरू, डाटा प्रोसेसरद्वारा ग्राहकलाई उपलब्ध गराइएको पहुँच र/वा पासवर्ड नीतिसम्बन्धी जानकारी र डाटा प्रो कथनमा समावेश प्राविधिक र संगठनात्मक सुरक्षा उपायहरू लागू गर्ने ग्राहकलाई डाटा प्रोसेसरद्वारा उपलब्ध गराइएका सबै जानकारीहरू गोप्य छन्। र ग्राहकद्वारा त्यस्तो व्यवहार गरिनेछ र ग्राहकका अधिकृत कर्मचारीहरूलाई मात्र जानकारी गराइनेछ। ग्राहकले सुनिश्चित गर्दछ कि यसका कर्मचारीहरूले यस लेख अन्तर्गतको दायित्वहरूको पालना गर्छन्।

धारा 6. अवधि र समाप्ति

• 6.1 यो प्रोसेसर सम्झौताले सम्झौताको अंश बनाउँछ र यसबाट उत्पन्न हुने कुनै पनि नयाँ वा थप सम्झौता, सम्झौताको समापनको समयमा लागू हुन्छ र अनिश्चित अवधिको लागि समाप्त हुन्छ।
• 6.2 यो प्रोसेसर सम्झौता सम्झौताको समाप्ति वा पक्षहरू बीचको कुनै नयाँ वा थप सम्झौतामा कानूनको सञ्चालनद्वारा समाप्त हुन्छ।
• 6.3 प्रशोधन सम्झौताको अन्त्यको घटनामा, डाटा प्रोसेसरले आफ्नो स्वामित्वमा रहेका सबै व्यक्तिगत डाटाहरू मेटाउनेछ र डाटा प्रो स्टेटमेन्टमा समावेश गरिएको अवधि भित्र ग्राहकबाट प्राप्त हुने गरी यो अब प्रयोग गर्न सकिँदैन र अब उप्रान्त हुनेछैन। पहुँचयोग्य (रेन्डर दुर्गम) , वा, यदि सहमत भएमा, मेसिन-पढ्न सकिने ढाँचामा ग्राहकलाई फिर्ता गर्नुहोस्।
• 6.4 डेटा प्रोसेसरले ग्राहकलाई धारा 6.3 को प्रावधानहरूको सन्दर्भमा लाग्ने कुनै पनि लागत चार्ज गर्न सक्छ। यस बारे थप सम्झौताहरू डाटा प्रो स्टेटमेन्टमा राख्न सकिन्छ।
• 6.5 यदि एक वैधानिक नियमनले डाटा प्रोसेसरलाई पूर्ण वा आंशिक रूपमा व्यक्तिगत डाटा हटाउन वा फिर्ता गर्नबाट रोक्छ भने धारा 6.3 को प्रावधानहरू लागू हुँदैनन्। यस्तो अवस्थामा, डाटा प्रोसेसरले आफ्नो कानूनी दायित्वहरू अन्तर्गत आवश्यक हदसम्म व्यक्तिगत डाटालाई मात्र प्रक्रिया गर्न जारी राख्छ। यदि डेटा प्रोसेसर व्यक्तिगत डेटाको सन्दर्भमा GDPR को अर्थ भित्र नियन्त्रक हो भने धारा 6.3 को प्रावधानहरू पनि लागू हुँदैनन्।

धारा ७. डाटा विषय, डाटा संरक्षण प्रभाव मूल्याङ्कन (डीपीआईए) र लेखापरीक्षण अधिकारका अधिकारहरू

• 7.1 डाटा प्रोसेसरले सम्भव भएसम्म, डाटा विषयहरूद्वारा ग्राहकबाट आह्वान गरिएका डाटा विषयहरूको अधिकारसँग सम्बन्धित ग्राहकबाट उचित अनुरोधहरूको साथ सहयोग गर्नेछ। यदि डाटा प्रोसेसरलाई डाटा विषयले सीधै सम्पर्क गरेको छ भने, उसले यो व्यक्तिलाई सम्भव भएसम्म ग्राहकलाई पठाउनेछ।
• 7.2 यदि ग्राहकले त्यसो गर्न बाध्य छ भने, डाटा प्रोसेसरले डेटा संरक्षण प्रभाव मूल्याङ्कन (DPIA) वा लेख 35 र 36 औसतमा उल्लेख गरिए अनुसार अघिल्लो परामर्शमा सहयोग गर्नेछ।
• 7.3 डाटा प्रोसेसरले ग्राहकबाट व्यक्तिगत डेटा हटाउनको लागि अनुरोधहरूको साथ सहयोग गर्नेछ किनकि ग्राहकले यो आफैं गर्न सक्दैन।
• 7.4 ग्राहकको अनुरोधमा, डाटा प्रोसेसरले सबै थप जानकारी उपलब्ध गराउनेछ जुन यस प्रशोधन सम्झौतामा गरिएका सम्झौताहरूको अनुपालन प्रदर्शन गर्न उचित रूपमा आवश्यक छ। यद्यपि ग्राहकसँग व्यक्तिगत डाटाको प्रशोधन प्रक्रिया सम्झौता अनुसार हुँदैन भन्ने विश्वास गर्ने कारण छ भने, यसलाई वर्षको एक पटक एक स्वतन्त्र, प्रमाणित, बाह्य विशेषज्ञबाट परामर्श लिन सकिन्छ जसको प्रकारको साथ प्रदर्शन योग्य अनुभव छ। प्रशोधन जुन सम्झौताको आधारमा गरिन्छ।, ग्राहकको खर्चमा लेखापरीक्षण गराइन्छ। लेखापरीक्षण यस प्रोसेसर सम्झौतामा उल्लेख गरिए अनुसार व्यक्तिगत डाटाको प्रशोधन सम्बन्धी सम्झौताहरूको अनुपालन जाँच गर्न सीमित हुनेछ। विज्ञले आफूले फेला पारेको कुरामा गोप्यताको कर्तव्य हुनेछ र यस प्रोसेसर सम्झौता अन्तर्गत डाटा प्रोसेसरको दायित्वहरू पूरा गर्नमा कमी आएको कुरा मात्र ग्राहकलाई रिपोर्ट गर्नेछ। विशेषज्ञले डाटा प्रोसेसरलाई आफ्नो रिपोर्टको प्रतिलिपि प्रदान गर्नेछ। डाटा प्रोसेसरले विशेषज्ञबाट लेखापरीक्षण वा निर्देशन अस्वीकार गर्न सक्छ यदि, यसको विचारमा, यसले GDPR वा अन्य कानूनको उल्लङ्घन गर्छ वा यसले लिइएको सुरक्षा उपायहरूको अस्वीकार्य उल्लङ्घन गर्दछ।
• 7.5 प्रतिवेदनको नतिजाबारे दलहरूले सकेसम्म चाँडो परामर्श गर्नेछन्। प्रतिवेदनमा उल्लेख गरिएका प्रस्तावित सुधारका उपायहरूलाई पक्षहरूले उनीहरूबाट यथोचित रूपमा अपेक्षा गर्न सकिने हदसम्म पालना गर्नेछन्। डाटा प्रोसेसरले आफ्नो उत्पादन वा सेवासँग सम्बन्धित प्रशोधन जोखिम, कलाको अवस्था, कार्यान्वयन लागत, यसले सञ्चालन गरेको बजार, र उत्पादन वा सेवाको अभिप्रेत प्रयोग। सेवा।
• 7.6 डाटा प्रोसेसरसँग ग्राहकलाई यस लेखका प्रावधानहरूको सन्दर्भमा लाग्ने लागतहरू चार्ज गर्ने अधिकार छ।

लेख ८. उप-प्रोसेसरहरू

• 8.1 डाटा प्रोसेसरले डाटा प्रो स्टेटमेन्टमा बताएको छ कि, र यदि त्यसो हो भने कुन तेस्रो पक्षहरू (सब-प्रोसेसरहरू वा सब-प्रोसेसरहरू) डाटा प्रोसेसरले व्यक्तिगत डाटाको प्रशोधनमा संलग्न छन्।
• 8.2 ग्राहकले डेटा प्रोसेसरलाई अन्य सब-प्रोसेसरहरूलाई सम्झौताबाट उत्पन्न हुने दायित्वहरू पूरा गर्न संलग्न गराउन अनुमति दिन्छ।
• 8.3 डाटा प्रोसेसरले ग्राहकलाई डाटा प्रोसेसरद्वारा संलग्न तेस्रो पक्षहरूमा भएको परिवर्तनको बारेमा जानकारी दिनेछ, उदाहरणका लागि संशोधित डाटा प्रो स्टेटमेन्टको माध्यमबाट। ग्राहकलाई डाटा प्रोसेसर द्वारा माथि उल्लिखित परिवर्तनमा आपत्ति गर्ने अधिकार छ। डाटा प्रोसेसरले यो सुनिश्चित गर्दछ कि यसद्वारा संलग्न तेस्रो पक्षहरूले व्यक्तिगत डाटाको सुरक्षाको सम्बन्धमा समान सुरक्षा स्तरमा प्रतिबद्ध छन् जुन सुरक्षा स्तरमा डाटा प्रोसेसर डाटा प्रो स्टेटमेन्टको आधारमा ग्राहकतर्फ बाध्य छ।

धारा ९. अन्य

यी मानक प्रशोधन क्लजहरू, डाटा प्रो स्टेटमेन्टसँगै, सम्झौताको अभिन्न अंग बनाउँछन्। लागू हुने सामान्य नियम र सर्तहरू र/वा दायित्वको सीमाहरू सहित सम्झौता अन्तर्गतका सबै अधिकार र दायित्वहरू, त्यसैले प्रशोधन सम्झौतामा पनि लागू हुन्छन्।