Umowa z podmiotem przetwarzającym

Wprowadzenie

Autosoft BV przetwarza między innymi dane osobowe dla i w imieniu klienta. Autosoft BV i klient są zatem zobowiązani na mocy ogólnego rozporządzenia o ochronie danych (RODO) do zawarcia umowy dotyczącej przetwarzania. Zgodnie z RODO Autosoft BV jest „przetwarzającym”, a klient „administratorem”. Niniejsza Umowa Przetwarzania Informacji opisuje również, w jaki sposób Autosoft BV radzi sobie z obowiązkiem powiadamiania o naruszeniu danych.

Umowa z podmiotem przetwarzającym

Składający się z:
Część 1: Oświadczenie Data Pro
Część 2: Standardowe Klauzule Przetwarzania

Część 1: Oświadczenie Data Pro

Informacje ogólne

1). Niniejsze Oświadczenie Data Pro zostało sporządzone przez następujący podmiot przetwarzający dane (przetwarzający):

• Autosoft BV
  Hengelosestraat 547
  Zestaw 7521 AG

W przypadku pytań dotyczących niniejszego oświadczenia Data Pro lub ochrony danych prosimy o kontakt:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Niniejsze Oświadczenie Data Pro obowiązuje od 1 sierpnia 2021 r.
Regularnie dostosowujemy niniejsze oświadczenie Data Pro i opisane w nim środki bezpieczeństwa, aby zapewnić, że zawsze jesteśmy przygotowani i aktualni w zakresie ochrony danych. Będziemy Cię informować o nowych wersjach za pośrednictwem naszych zwykłych kanałów.

3). Niniejsze Oświadczenie Data Pro dotyczy następujących produktów i usług przetwarzających dane:

• AutoStrona internetowa
• Handel samochodowy

4). Opis Strona internetowa samochodu
Firmy samochodowe korzystają z Autowebsite. Dzięki Autowebsite firmy samochodowe mogą zaprezentować się w Internecie.

5). Przeznaczenie Serwis samochodowy
Autowebsite jest przystosowany i przystosowany do przetwarzania następujących rodzajów danych:
Odwiedzający strony internetowe opracowane przez Autosoft z Autowebsite mają możliwość pozostawienia tam swoich danych kontaktowych, aby firma samochodowa miała możliwość skontaktowania się z odwiedzającym w celu uzyskania dalszych usług. Te dane kontaktowe nie są przechowywane w Autosoft, ale są przekazywane bezpośrednio pocztą elektroniczną na adres e-mail firmy samochodowej.

• Usługa ta nie uwzględnia przetwarzania specjalnych danych osobowych ani danych dotyczących wyroków skazujących za przestępstwa i przestępstwa ani numerów osobowych wydanych przez rząd.

6). Opis Autocommerce
Firmy samochodowe korzystają z Autocommerce. Dzięki Autocommerce firmy samochodowe mogą zarządzać swoimi pojazdami i prezentować je na własnej stronie internetowej oraz w wyszukiwarkach internetowych stron trzecich.

7). Przeznaczenie Autocommerce
Autocommerce jest zaprojektowany i wyposażony do przetwarzania następujących rodzajów danych:
Firmy samochodowe mogą umieszczać swoje zarejestrowane pojazdy za pośrednictwem Autocommerce na własnej stronie internetowej poświęconej samochodom. Te zarejestrowane pojazdy nie zawierają żadnych danych, które można powiązać z danymi osobowymi w jakiejkolwiek formie. Odwiedzający stronę Car mają możliwość pozostawienia tam swoich danych kontaktowych, aby firma samochodowa miała możliwość skontaktowania się z odwiedzającym w celu uzyskania dalszych usług. Dane kontaktowe pozostawione przez odwiedzającego na jego własnej stronie Auto są przechowywane w Autocommerce.

• Usługa ta nie uwzględnia przetwarzania specjalnych danych osobowych ani danych dotyczących wyroków skazujących za przestępstwa i przestępstwa ani numerów osobowych wydanych przez rząd.

8). Podmiot przetwarzający dane stosuje Standardowe Klauzule dotyczące przetwarzania dla Autostrony i Autocommerce, które można znaleźć jako załącznik do Umowy.

9). Podmiot przetwarzający dane przetwarza dane osobowe swoich klientów w UE/EOG na potrzeby Autowebsite i Autocommerce.

10). Podmiot przetwarzający dane korzysta z następujących podwykonawców przetwarzania dla Autocommerce:
W niektórych przypadkach Autosoft wysyła zarejestrowane pojazdy za pośrednictwem Autocommerce do internetowych portali wyszukiwania stron trzecich lub podwykonawców przetwarzania w imieniu firmy samochodowej. Lista podwykonawców przetwarzania jest dostępna na żądanie pod adresem support@autosoft.eu.

11). Po rozwiązaniu Umowy z klientem podmiot przetwarzający dane co do zasady usunie w ciągu 3 miesięcy dane osobowe, które przetwarza na rzecz klienta w taki sposób, aby nie można było ich już używać i nie były już dostępne (uniemożliwić dostęp).

Polityka bezpieczeństwa

Podsumuj następujące środki bezpieczeństwa, które podmiot przetwarzający dane zastosował w celu ochrony swojego produktu lub usługi:

Zarządzanie incydentami i polityka reagowania
Zasady zarządzania incydentami i reagowania w zakresie bezpieczeństwa informacji obejmują monitorowanie i wykrywanie incydentów bezpieczeństwa na komputerze lub infrastrukturze IT, ale także obserwację podejrzanych działań przez personel oraz wdrażanie prawidłowych reakcji na te zdarzenia.

Podstawowym celem tej polityki jest opracowanie dobrze rozumianej i przewidywalnej reakcji na złośliwe zdarzenia i włamania komputerowe w najszerszym tego słowa znaczeniu.

Polityka zarządzania incydentami i reagowania to proces zarządzania i ochrony komputerów, sieci i systemów informatycznych oraz przechowywanych w nich informacji. Firma Autosoft jest świadoma swoich obowiązków, jeśli chodzi o ochronę tych informacji z korzyścią dla swoich klientów i partnerów w łańcuchu dostaw. Odpowiedzialność ta rozciąga się na posiadanie procedury incydentu. Zarządzanie incydentami to zestaw działań, które definiują i wdrażają proces, który organizacja może wykorzystać do promowania własnego dobrobytu i bezpieczeństwa społeczeństwa.

IT i bezpieczeństwo
Struktura teleinformatyczna Autosoft BV jest odpowiednio zabezpieczona zaporą ogniową, a oprogramowanie antywirusowe jest aktualizowane. Każdy pracownik ma swój profil logowania. Podczas uruchamiania komputera pracownicy muszą wprowadzić login i hasło oraz, w miarę możliwości, dwustopniową autoryzację.

Niektóre programy wymagają również podania nazwy użytkownika i hasła oraz, jeśli to możliwe, dwuetapowego uwierzytelniania. Stymulowana jest wśród pracowników świadomość bezpiecznej pracy, np. zwracanie uwagi na to, by nie otwierać podejrzanych e-maili, nie klikać podejrzanych linków, wylogowywać się przy opuszczaniu miejsca pracy na dłuższy czas i tak dalej.

Kopie zapasowe plików są tworzone w ciągu dnia i każdej nocy. Ze względów bezpieczeństwa dalsza procedura przechowywania związana z kopią zapasową jest poufna. Firma Autosoft BV zawarła w tym zakresie umowy o świadczenie usług z dostawcami komputerów i dostawcami hostingu internetowego.

Polityka ochrony danych
Autosoft BV podejmuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych klienta przed utratą lub jakąkolwiek formą niezgodnego z prawem przetwarzania. Te środki techniczne i organizacyjne są uważane za odpowiedni poziom bezpieczeństwa w rozumieniu art. 1 RODO i są przechowywane jako dokumenty w centralnym Basecamp (Projekt: Organizacja/Polityka ochrony danych) Autosoft BV

Techniczno-organizacyjny

1. Środki zapewniające, że tylko upoważniony personel ma dostęp do Danych Osobowych przetwarzanych w kontekście Umowy Podmiotu Przetwarzającego;
2. Środki ochrony Danych Osobowych, w szczególności przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, przypadkową zmianą, nieuprawnionym lub niezgodnym z prawem przechowywaniem, dostępem lub ujawnieniem;
3. Środki ochrony Danych Osobowych w szczególności przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, przypadkową zmianą, nieuprawnionym lub niezgodnym z prawem przechowywaniem, dostępem lub ujawnieniem podczas wymiany/transportu danych;
4. Środki zapewniające zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług redakcyjnych;
5. Środki mające na celu szybkie przywrócenie dostępności i dostępu do Danych Osobowych w przypadku incydentu fizycznego lub technicznego;
6. Środki identyfikacji podatności w zakresie przetwarzania Danych Osobowych w systemach wykorzystywanych do świadczenia usług objętych umową;

Organizacyjne takie jak:

• Ograniczenie kręgu urzędników mających dostęp do niektórych danych osobowych do tych osób, które potrzebują tych danych do wykonywania swoich obowiązków;
• udzielanie tym osobom dostępu tylko do tych danych osobowych, które są im potrzebne do wykonywania swoich obowiązków;
• uzgodnienie klauzuli poufności z klauzulą ​​sankcyjną ze wszystkimi osobami, którym zostanie udostępniony dostęp do danych osobowych;
• przechowywanie danych osobowych na serwerach w zamkniętej przestrzeni;
• przechowywanie teczek papierowych w zamykanych szafkach;
• budowanie świadomości bezpieczeństwa informacji wśród pracowników;
• ustanowienie jasnych protokołów i procedur dotyczących terminowego i skutecznego postępowania w przypadku incydentów związanych z bezpieczeństwem informacji oraz luk w zabezpieczeniach;

Przetwarzający dane stosuje własne metodologie i procedury zarządzania, które wpisują się w metody pracy organizacji:

• W Basecamp odpowiednie dokumenty są zarządzane i okresowo oceniane.

Protokół naruszenia danych

W przypadku, gdy coś pójdzie nie tak, podmiot przetwarzający dane korzysta z następującego protokołu wycieku danych, aby upewnić się, że klient jest świadomy incydentów:

Autosoft BV – Procedura naruszenia danych

Co to jest naruszenie danych i kiedy muszę zgłosić to AP?
Naruszenie danych to incydent bezpieczeństwa informacji obejmujący naruszenie bezpieczeństwa danych osobowych poprzez narażenie na utratę lub niezgodne z prawem przetwarzanie, takie jak (ale nie wyczerpująco):

• Dostosowanie i/lub zmiana danych osobowych oraz nieuprawniony dostęp do tych danych osobowych;
• W przypadku włamania przez hakera;
• Zgubienie pamięci USB, kradzież laptopa;
• Wysyłanie wrażliwych danych na błędny adres e-mail;

Zgodnie z prawem „poważne” naruszenie danych należy zgłosić holenderskiemu organowi ochrony danych bez zbędnej zwłoki, a jeśli to możliwe nie później niż 72 godziny po odkryciu.

Autosoft BV nie musi zgłaszać się do holenderskiego organu ochrony danych, jeśli faktyczna identyfikacja poszczególnych osób fizycznych jest w uzasadniony sposób wykluczona.
Wszystkie podejrzenia o incydent związany z bezpieczeństwem informacji zostaną rozwiązane w pierwszej kolejności support@autosoft.eu zgłoszone i zarejestrowane. Wsparcie zgłasza incydent do Zespołu Zarządzającego i określa, jakie działania następcze należy podjąć.

Procedura kontrolna

Kiedy muszę powiadomić osoby, których dane dotyczą?
Naruszenie danych należy zgłosić osobie, której dane dotyczą, jeżeli w przypadku naruszenia istnieje wysokie ryzyko, że naruszenie będzie miało negatywne konsekwencje dla jej życia prywatnego. Niekorzystnymi konsekwencjami dla osoby, której dane dotyczą, są: uszczerbek na jej reputacji i reputacji, oszustwo dotyczące tożsamości lub dyskryminacja. Jeżeli Autosoft BV zastosował odpowiednie techniczne środki ochrony, w wyniku których dane osobowe stają się niezrozumiałe lub niedostępne, powiadomienie osoby, której dane dotyczą, nie jest konieczne. Powiadomienie skierowane do osoby, której dane dotyczą, zawiera opis, jasnym i prostym językiem, charakteru naruszenia ochrony danych osobowych oraz co najmniej:

• nazwisko i dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
• prawdopodobne konsekwencje naruszenia danych osobowych;
• środki zaproponowane lub podjęte przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym, w stosownych przypadkach, środki mające na celu złagodzenie wszelkich jego negatywnych skutków. Ocena, czy naruszenie danych należy zgłosić holenderskiemu organowi ochrony danych i/lub osobom, których dotyczy naruszenie, zawsze należy do Autosoft BV. Aby ustalić, czy incydent należy zgłosić, holenderski organ ochrony danych opracował zasady polityki (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) oraz grupa robocza 29 europejskich wytycznych nadzorczych opublikowana w sprawie obowiązku raportowania w RODO. Jeśli firma Autosoft BV nie zgłosiła naruszenia danych, holenderski organ ochrony danych może zażądać, aby firma Autosoft BV nadal dokonała zgłoszenia. Brak zgłoszenia może zostać ukarany grzywną administracyjną.

Jak zgłosić naruszenie danych?
Holenderski Urząd Ochrony Danych udostępnia formularz internetowy, którego należy używać do zgłaszania naruszeń ochrony danych (https://dataleks.autoriteitpersoonsgegevens.nl/). Holenderski Urząd Ochrony Danych prowadzi rejestr otrzymanych powiadomień o naruszeniu danych. Ten rejestr nie jest publiczny. Jeśli holenderski organ ochrony danych nałoży grzywnę w wyniku naruszenia danych, decyzja ta zostanie podana do wiadomości publicznej. Naruszenie danych jest również podawane do wiadomości publicznej, gdy osoby, których dane dotyczą, muszą zostać poinformowane o naruszeniu danych. W każdym przypadku powiadomienie skierowane do osoby, której dane dotyczą, musi wskazywać charakter naruszenia oraz organy, w których osoba, której dane dotyczą, może uzyskać więcej informacji o naruszeniu. Należy również określić, co osoba, której dane dotyczą, może sama zrobić, aby ograniczyć negatywne konsekwencje naruszenia danych. Na przykład zmiana nazw użytkowników i haseł, które mogły zostać naruszone przez naruszenie.

Co mam zgłosić?
Powiadomienie do holenderskiego organu ochrony danych obejmuje:

• Zgłaszający naruszenie danych.
• Osoba, z którą holenderski organ ochrony danych może się skontaktować w celu uzyskania dalszych informacji na temat zgłoszenia.
• Podsumowanie incydentu, w którym doszło do naruszenia bezpieczeństwa danych osobowych.
• Czas naruszenia.
• Charakter naruszenia.
• Rodzaj danych osobowych, których dotyczy.
• Konsekwencje, jakie naruszenie może mieć dla prywatności osób zainteresowanych.
• Środki techniczne i organizacyjne, które firma Autosoft BV podjęła w celu przeciwdziałania naruszeniom i zapobiegania dalszym naruszeniom.
• Czy Autosoft BV zgłosiło naruszenie danych osobom, których dane dotyczą, a jeśli nie, czy Autosoft BV zamierza to zrobić:
• Jeśli tak, treść powiadomienia do osób, których dane dotyczą.
• Jeśli nie, powód, dla którego Autosoft BV powstrzymuje się od zgłaszania naruszenia danych osobom, których dane dotyczą.
• Czy dane osobowe zostały zaszyfrowane, zaszyfrowane lub w inny sposób uczynione niezrozumiałymi lub niedostępnymi dla osób nieuprawnionych?

Część 2: Standardowe Klauzule Przetwarzania

Wersja: wrzesień 2019
Wraz z Oświadczeniem Data Pro stanowi umowę przetwarzania i stanowi załącznik do Umowy i towarzyszących jej załączników, takich jak obowiązujące ogólne warunki.

Artykuł 1. Definicje

Poniższe terminy mają następujące znaczenie w niniejszych standardowych klauzulach dotyczących przetwarzania, w Oświadczeniu Data Pro oraz w umowie:

• 1.1 Holenderski Urząd Ochrony Danych (AP): organ nadzorczy, o którym mowa w art. 4 pkt 21 Avg.
• 1.2 ŚREDNIA: ogólnego rozporządzenia o ochronie danych.
• 1.3 Procesor danych: podmiot, który jako dostawca ICT przetwarza Dane Osobowe na rzecz swojego Klienta w ramach realizacji Umowy.
• 1.4 Oświadczenie dotyczące danych Pro: oświadczenie Podmiotu Przetwarzającego, w którym podaje informacje dotyczące zamierzonego wykorzystania jego produktu lub usługi, podjętych środków bezpieczeństwa, podwykonawców przetwarzania, wycieków danych, certyfikacji i obsługi praw Podmiotów danych.
• 1.5 Podmiot danych (osoba, której dane dotyczą): zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna.
• 1.6 Klient: podmiot, w imieniu którego Przetwarzający Dane przetwarza dane osobowe. Klient może być administratorem („administratorem”) lub innym podmiotem przetwarzającym.
• 1.7 Umowa: umowa pomiędzy Klientem a Przetwarzającym Dane, na podstawie której dostawca ICT dostarcza Klientowi usługi i/lub produkty, której częścią jest umowa powierzenia przetwarzania.
• 1.8 Dane osobowe: wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, zgodnie z opisem w artykule 4, podpunkt 1 AVG, które Przetwarzający Dane przetwarza w kontekście wykonywania swoich zobowiązań wynikających z Umowy.
• 1.9 Umowa przetwarzania: niniejsze standardowe klauzule dotyczące przetwarzania, które wraz z Oświadczeniem Data Pro (lub porównywalnymi informacjami) od Podmiotu przetwarzającego dane tworzą umowę przetwarzania, o której mowa w art. 28 ust. 3 RODO.

Artykuł 2. Ogólne

• 2.1 Niniejsze Standardowe Klauzule Przetwarzania mają zastosowanie do wszelkiego przetwarzania Danych Osobowych, które Przetwarzający dane wykonuje w kontekście dostarczania swoich produktów i usług oraz do wszystkich Umów i ofert. Stosowalność umów powierzenia Klientowi zostaje wyraźnie odrzucona.
• 2.2 Oświadczenie Data Pro, a w szczególności zawarte w nim środki bezpieczeństwa, mogą być od czasu do czasu zmieniane przez Przetwarzającego dane w celu odzwierciedlenia zmieniających się okoliczności. Przetwarzający Dane poinformuje Klienta o istotnych zmianach. Jeżeli Klient nie może racjonalnie zgodzić się na korekty, Klient jest uprawniony do rozwiązania umowy o przetwarzanie na piśmie w ciągu 30 dni od powiadomienia o korektach.
• 2.3 Przetwarzający Dane przetwarza Dane Osobowe w imieniu i w imieniu Klienta zgodnie z pisemnymi instrukcjami Klienta uzgodnionymi z Przetwarzającym Dane.
• 2.4 Klient lub jego klient jest administratorem w rozumieniu RODO, sprawuje kontrolę nad przetwarzaniem Danych Osobowych oraz określił cel i sposób przetwarzania Danych Osobowych.
• 2.5 Przetwarzający Dane jest podmiotem przetwarzającym w rozumieniu RODO i w związku z tym nie ma kontroli nad celem i sposobami przetwarzania Danych Osobowych i w związku z tym nie podejmuje żadnych decyzji dotyczących m.in. wykorzystania Danych Osobowych.
• 2.6 Podmiot przetwarzający dane wdraża RODO zgodnie z niniejszymi Standardowymi Klauzulami Przetwarzania, Oświadczeniem Data Pro i Umową. Do Klienta należy ocena na podstawie tych informacji, czy Przetwarzający Danych daje wystarczające gwarancje w zakresie stosowania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie spełniało wymogi RODO i ochrony praw osób, których dane dotyczą wystarczy. gwarantowane.
• 2.7 Klient gwarantuje Przetwarzającemu Dane, że działa zgodnie z RODO, że przez cały czas odpowiednio chroni swoje systemy i infrastrukturę oraz że treść, wykorzystanie i/lub przetwarzanie Danych Osobowych nie są niezgodne z prawem i nie naruszają żadnych praw osoby trzeciej.
• 2.8 Kara administracyjna nałożona na Klienta przez AP nie może zostać odzyskana od Przetwarzającego Dane.

Artykuł 3. Bezpieczeństwo

• 3.1 Podmiot przetwarzający dane stosuje techniczne i organizacyjne środki bezpieczeństwa, jak opisano w jego oświadczeniu Data Pro. Przy podejmowaniu technicznych i organizacyjnych środków bezpieczeństwa, Przetwarzający Dane wziął pod uwagę aktualny stan wiedzy, koszty wdrożenia środków bezpieczeństwa, charakter, zakres i kontekst przetwarzania, cele i przeznaczenie swoich produktów i usług , ryzyko przetwarzania oraz różne pod względem prawdopodobieństwa i wagi ryzyko dla praw i wolności osób, których dane dotyczą, których mógłby się spodziewać w związku z zamierzonym użytkowaniem jego produktów i usług.
• 3.2 O ile wyraźnie nie określono inaczej w Oświadczeniu Data Pro, produkt lub usługa Podmiotu przetwarzającego dane nie są przeznaczone do przetwarzania specjalnych kategorii Danych osobowych lub danych dotyczących wyroków skazujących lub przestępstw za przestępstwa lub numerów osobistych wydanych przez rząd.
• 3.3 Przetwarzający dane dokłada wszelkich starań, aby podejmowane przez niego środki bezpieczeństwa były odpowiednie do zamierzonego wykorzystania produktu lub usługi przez Przetwarzającego dane.
• 3.4 W ocenie Klienta opisane zabezpieczenia zapewniają poziom bezpieczeństwa dostosowany do ryzyka przetwarzania wykorzystywanych lub dostarczonych przez Klienta Danych Osobowych z uwzględnieniem czynników, o których mowa w art. 3.1.
• 3.5 Przetwarzający Dane może dokonywać zmian w zastosowanych środkach bezpieczeństwa, jeżeli w jego opinii jest to niezbędne do dalszego zapewnienia odpowiedniego poziomu bezpieczeństwa. Podmiot przetwarzający zanotuje ważne zmiany, na przykład w poprawionym Oświadczeniu Data Pro, i w stosownych przypadkach poinformuje Klienta o tych zmianach.
• 3.6 Klient może zażądać od Przetwarzającego dane podjęcia dalszych środków bezpieczeństwa. Przetwarzający dane nie jest zobowiązany do wprowadzania zmian w swoich środkach bezpieczeństwa na takie żądanie. Przetwarzający Dane może obciążyć Klienta kosztami związanymi ze zmianami wprowadzonymi na żądanie Klienta. Dopiero po pisemnym uzgodnieniu i podpisaniu przez Strony zmienionych środków bezpieczeństwa żądanych przez Klienta, Przetwarzający Dane jest zobowiązany do faktycznego wdrożenia tych środków bezpieczeństwa.

Artykuł 4. Naruszenie danych osobowych

• 4.1 Przetwarzający dane nie gwarantuje, że środki bezpieczeństwa są skuteczne we wszystkich okolicznościach. Jeśli Podmiot Przetwarzający wykryje naruszenie w związku z Danymi Osobowymi (o którym mowa w art. 4 ust. 12 śr.), bez zbędnej zwłoki poinformuje o tym Klienta. Oświadczenie Data Pro (w ramach protokołu wycieku danych) określa, w jaki sposób Przetwarzający Dane informuje Klienta o naruszeniach związanych z Danymi Osobowymi.
• 4.2 Do administratora (Klienta lub jego klienta) należy ocena, czy naruszenie Danych Osobowych, o którym poinformował Przetwarzający Dane, musi zostać zgłoszone AP lub Osobie, której dane dotyczą. Zgłaszanie naruszeń w związku z Danymi Osobowymi, które należy zgłosić AP i/lub Podmiotom danych zgodnie z art. 33 i 34 RODO, pozostaje w gestii administratora (Klienta lub jego klienta) przez cały czas. Przetwarzający dane nie jest zobowiązany do zgłaszania naruszeń ochrony danych osobowych AP i/lub Podmiotowi danych.
• 4.3 Przetwarzający Dane w razie potrzeby udzieli dalszych informacji o naruszeniu w związku z Danymi Osobowymi i będzie współpracował przy dostarczaniu niezbędnych informacji Klientowi w celu powiadomienia, o którym mowa w art. 33 i 34 śr.
• 4.4 Przetwarzający dane może obciążyć Klienta uzasadnionymi kosztami, które poniesie w tym kontekście, według obowiązujących wówczas stawek.

Artykuł 5. Poufność

• 5.1 Przetwarzający Dane gwarantuje, że osoby przetwarzające Dane Osobowe na jego odpowiedzialność mają obowiązek zachowania poufności.
• 5.2 Przetwarzający Dane jest uprawniony do udostępnienia Danych Osobowych osobom trzecim, jeżeli i w zakresie, w jakim jest to konieczne na podstawie orzeczenia sądu, przepisu prawnego lub na podstawie upoważnionego nakazu organu rządowego.
• 5.3 Wszystkie kody dostępu i/lub identyfikacyjne, certyfikaty, informacje dotyczące dostępu i/lub polityki haseł przekazane Klientowi przez Podmiot Przetwarzający Dane oraz wszelkie informacje przekazane Klientowi przez Podmiot Przetwarzający, który wdraża techniczne i organizacyjne środki bezpieczeństwa zawarte w Oświadczeniu Data Pro, są poufne. i będą traktowane jako takie przez Klienta i podawane do wiadomości wyłącznie upoważnionym pracownikom Klienta. Klient zapewnia, że ​​jego pracownicy przestrzegają obowiązków wynikających z niniejszego artykułu.

Artykuł 6. Okres obowiązywania i wypowiedzenie

• 6.1 Niniejsza umowa dotycząca przetwarzania stanowi część Umowy, a każda nowa lub dalsza umowa z niej wynikająca wchodzi w życie z chwilą zawarcia Umowy i zostaje zawarta na czas nieokreślony.
• 6.2 Niniejsza umowa dotycząca przetwarzania wygasa z mocy prawa po rozwiązaniu Umowy lub jakiejkolwiek nowej lub dalszej umowy między stronami.
• 6.3 W przypadku wygaśnięcia umowy o przetwarzanie, Przetwarzający Dane usunie wszystkie Dane Osobowe będące w jego posiadaniu i otrzymane od Klienta w terminie zawartym w Oświadczeniu Data Pro w taki sposób, że nie będą już mogły być wykorzystywane i nie są już dostępne (udostępniają niedostępne) lub, jeśli tak uzgodniono, zwróć je Klientowi w formacie do odczytu maszynowego.
• 6.4 Przetwarzający dane może obciążyć Klienta wszelkimi kosztami, jakie poniesie w kontekście postanowień art. 6.3. Dalsze umowy w tym zakresie można określić w Oświadczeniu Data Pro.
• 6.5 Postanowienia art. 6.3 ust. 6.3 nie mają zastosowania, jeżeli przepis ustawowy uniemożliwia Przetwarzającemu dane w całości lub w części usunięcia lub zwrotu Danych Osobowych. W takim przypadku Przetwarzający Dane będzie kontynuował przetwarzanie Danych Osobowych wyłącznie w zakresie niezbędnym na podstawie ciążących na nim obowiązków prawnych. Postanowienia art. XNUMX ust. XNUMX nie mają zastosowania również w przypadku, gdy Przetwarzający jest administratorem w rozumieniu RODO w odniesieniu do Danych Osobowych.

Artykuł 7. Prawa podmiotów danych, ocena skutków dla ochrony danych (DPIA) i prawa do audytu

• 7.1 Przetwarzający dane będzie, w miarę możliwości, współpracował z uzasadnionymi żądaniami Klienta, które są związane z prawami Podmiotów danych przywoływanych od Klienta przez Podmioty danych. Jeżeli Podmiot Danych skontaktuje się bezpośrednio z Podmiotem Przetwarzającym, w miarę możliwości skieruje tę osobę do Klienta.
• 7.2 Jeśli Klient jest do tego zobowiązany, Przetwarzający dane będzie współpracować z oceną skutków dla ochrony danych (DPIA) lub późniejszą uprzednią konsultacją, o której mowa w art. 35 i 36 śr.
• 7.3 Przetwarzający dane będzie współpracował z prośbami Klienta o usunięcie danych osobowych, o ile Klient nie może tego zrobić sam.
• 7.4 Na żądanie Klienta Przetwarzający Dane udostępni również wszelkie dalsze informacje, które są racjonalnie niezbędne do wykazania zgodności z umowami zawartymi w niniejszej umowie przetwarzania. Jeżeli mimo to Klient ma powody, by sądzić, że przetwarzanie Danych Osobowych nie odbywa się zgodnie z umową o przetwarzanie, może konsultować się z nim co najwyżej raz w roku przez niezależnego, certyfikowanego, zewnętrznego eksperta, który ma udokumentowane doświadczenie z tego rodzaju przetwarzania, które odbywa się na podstawie Umowy, zlecić przeprowadzenie audytu na koszt Klienta. Audyt będzie ograniczony do sprawdzenia zgodności z umowami dotyczącymi przetwarzania Danych Osobowych określonymi w niniejszej Umowie Przetwarzania. Ekspert będzie miał obowiązek zachowania poufności w odniesieniu do tego, co znajdzie i zgłosi Klientowi tylko to, co spowoduje uchybienie w wypełnieniu obowiązków, które Przetwarzający dane ma w ramach niniejszej umowy przetwarzania. Ekspert dostarczy kopię swojego raportu Podmiotowi Przetwarzającemu Dane. Przetwarzający dane może odmówić przeprowadzenia audytu lub polecenia eksperta, jeśli jego zdaniem narusza to RODO lub inne przepisy lub stanowi niedopuszczalne naruszenie zastosowanych środków bezpieczeństwa.
• 7.5 Strony jak najszybciej skonsultują się w sprawie wyników raportu. Strony będą stosować się do proponowanych środków naprawczych określonych w raporcie, o ile można tego racjonalnie oczekiwać od nich. Przetwarzający Dane wdroży proponowane środki usprawniające w zakresie, w jakim są one odpowiednie w jego opinii, biorąc pod uwagę ryzyko przetwarzania związane z jego produktem lub usługą, aktualny stan wiedzy, koszty wdrożenia, rynek, na którym działa, oraz przeznaczenie produktu lub usługi.
• 7.6 Przetwarzający dane ma prawo obciążyć Klienta kosztami, które ponosi w związku z postanowieniami niniejszego artykułu.

Artykuł 8. Podprzetwarzający

• 8.1 Podmiot przetwarzający wskazał w oświadczeniu Data Pro, czy, a jeśli tak, które strony trzecie (podprzetwarzający lub podprzetwarzający) przetwarza dane zaangażowane w przetwarzanie danych osobowych.
• 8.2 Klient wyraża zgodę, aby Przetwarzający Dane zaangażował innych podprzetwarzających do wykonania swoich zobowiązań wynikających z Umowy.
• 8.3 Przetwarzający Dane poinformuje Klienta o zmianie osób trzecich zaangażowanych przez Przetwarzającego Dane, na przykład za pomocą zmienionego Oświadczenia Data Pro. Klient ma prawo sprzeciwić się ww. zmianie przez Przetwarzającego Dane. Przetwarzający Danych zapewnia, że ​​zaangażowane przez niego osoby trzecie zobowiązują się do zachowania takiego samego poziomu bezpieczeństwa w zakresie ochrony Danych Osobowych, jak poziom bezpieczeństwa, do którego Przetwarzający Dane jest zobowiązany wobec Klienta na podstawie Oświadczenia Data Pro.

Artykuł 9. Inne

Niniejsze Standardowe Klauzule Przetwarzania, wraz z Oświadczeniem Data Pro, stanowią integralną część Umowy. Wszelkie prawa i obowiązki wynikające z Umowy, w tym obowiązujące ogólne warunki i/lub ograniczenia odpowiedzialności, mają zatem zastosowanie również do umowy o przetwarzanie.