Acordul procesatorului

introducere

Autosoft BV prelucrează, printre altele, datele personale pentru și în numele clientului. Prin urmare, Autosoft BV și clientul sunt obligați, în temeiul Regulamentului general privind protecția datelor (GDPR), să încheie un acord de procesator. Conform GDPR, Autosoft BV este un „procesor”, iar clientul este un „controller”. Acest Acord cu Procesor descrie, de asemenea, modul în care Autosoft BV gestionează obligația de notificare a încălcării datelor.

Acordul procesatorului

Constând din:
Partea 1: Declarație Data Pro
Partea 2: Clauze standard de procesare

Partea 1: Declarație Data Pro

Informații generale

1). Această Declarație Data Pro a fost întocmită de următorul procesator de date (procesor):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Pentru întrebări despre această Declarație Data Pro sau despre protecția datelor, vă rugăm să contactați:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Această declarație Data Pro se aplică de la 1 august 2021
Ajustăm în mod regulat această Declarație Data Pro și măsurile de securitate descrise în aceasta pentru a ne asigura că suntem întotdeauna pregătiți și actualizați în ceea ce privește protecția datelor. Vă vom ține la curent cu noile versiuni prin canalele noastre normale.

3). Această Declarație Data Pro se aplică următoarelor produse și servicii de procesare de date

• AutoWebsite
• Comerțul auto

4). Descriere site-ul auto
Companiile auto folosesc site-ul Autoweb. Cu Autowebsite, companiile auto se pot prezenta pe internet.

5). Utilizare destinată site-ul Auto
Autowebsite este proiectat și echipat pentru a prelucra următoarele tipuri de date:
Vizitatorii site-urilor web dezvoltate de Autosoft cu Autowebsite au opțiunea de a-și lăsa datele de contact acolo, astfel încât compania auto să aibă posibilitatea de a aborda vizitatorul pentru servicii suplimentare. Aceste detalii de contact nu sunt stocate cu Autosoft, ci sunt transmise direct prin e-mail la adresa de e-mail a companiei auto.

• Acest serviciu nu ține cont de prelucrarea datelor cu caracter personal speciale, sau a datelor referitoare la condamnări și infracțiuni penale sau a numerelor personale emise de guvern.

6). Descriere Autocommerce
Companiile auto folosesc Autocommerce. Cu Autocommerce, companiile auto își pot gestiona și prezenta vehiculele pe propriul lor site web și portaluri de căutare pe internet ale terților.

7). Utilizare destinată Comerț automat
Comerțul automat este conceput și configurat pentru a procesa următoarele tipuri de date:
Companiile de mașini își pot plasa vehiculele înmatriculate prin Autocommerce pe propriul site web Auto. Aceste vehicule înmatriculate nu conțin date care pot fi urmărite până la date cu caracter personal sub nicio formă. Vizitatorii site-ului Car au opțiunea de a-și lăsa datele de contact acolo, astfel încât compania auto să aibă posibilitatea de a aborda vizitatorul pentru servicii suplimentare. Detaliile de contact lăsate de vizitator pe propriul site web Auto sunt stocate în Autocommerce.

• Acest serviciu nu ține cont de prelucrarea datelor cu caracter personal speciale, sau a datelor referitoare la condamnări și infracțiuni penale sau a numerelor personale emise de guvern.

8). Procesatorul de date utilizează Clauzele standard pentru prelucrare pentru Autowebsite și Autocommerce, care pot fi găsite ca anexă la Acord.

9). Procesatorul de date prelucrează datele personale ale clienților săi în UE/SEE pentru Autowebsite și Autocommerce.

10). Procesatorul de date folosește următorii subprocesatori pentru comerțul automat:
În unele cazuri, Autosoft își trimite vehiculele înmatriculate prin Autocommerce către portalurile de căutare pe internet ale terților sau subprocesorilor în numele Companiei de mașini. O listă a subprocesorilor este disponibilă la cerere la support@autosoft.eu.

11). După încetarea Acordului cu un client, operatorul de date va elimina în principiu datele personale pe care le prelucrează pentru client în termen de 3 luni, astfel încât acestea să nu mai poată fi utilizate și să nu mai fie accesibile (se fac inaccesibile).

Politica de securitate

Rezumați următoarele măsuri de securitate pe care Procesatorul de date le-a luat pentru a-și proteja produsul sau serviciul:

Politica de management și răspuns la incidente
Politicile de management și răspuns la incidente în domeniul securității informațiilor includ monitorizarea și detectarea incidentelor de securitate pe o infrastructură informatică sau informatică, dar și observarea activităților suspecte de către personal, precum și implementarea răspunsurilor corecte la aceste evenimente.

Scopul principal al acestei politici este de a dezvolta un răspuns bine înțeles și previzibil la evenimentele rău intenționate și intruziunile computerizate în cel mai larg sens al cuvântului.

Politica de gestionare și răspuns la incidente este procesul de gestionare și protejare a computerelor, rețelelor și sistemelor de informații și a informațiilor stocate în acestea. Autosoft este conștient de responsabilitățile sale atunci când vine vorba de protejarea acestor informații în beneficiul clienților săi și al partenerilor din lanțul de aprovizionare. Această responsabilitate se extinde la deținerea unei proceduri de incident. Managementul incidentelor este un set de activități care definesc și implementează un proces pe care o organizație îl poate folosi pentru a-și promova propria bunăstare și siguranța publicului.

IT și securitate
Structura TIC a Autosoft BV este securizată în mod adecvat cu un firewall, iar software-ul de scanare antivirus este menținut la zi. Fiecare angajat are un profil de conectare. La pornirea unui computer, angajații trebuie să introducă un nume de autentificare și o parolă și, acolo unde este posibil, cu autentificare în 2 pași.

Anumite programe software solicită, de asemenea, un nume de conectare și o parolă și, acolo unde este posibil, cu autentificare în 2 pași. Este stimulată conștientizarea angajaților cu privire la lucrul în siguranță, cum ar fi atragerea atenției asupra a nu deschide e-mailuri suspecte, a nu face clic pe linkuri suspecte, a deconecta când părăsesc locul de muncă pentru o perioadă lungă de timp și așa mai departe.

Se face copii de siguranță ale fișierelor în timpul zilei și în fiecare noapte. Din motive de securitate, procedura de stocare ulterioară în jurul copiei de rezervă este confidențială. Autosoft BV a încheiat contracte de servicii în acest sens cu furnizori de calculatoare și furnizori de găzduire pe internet.

Politica de protectie a datelor
Autosoft BV ia măsuri tehnice și organizatorice adecvate pentru a proteja datele personale ale clientului împotriva pierderii sau a oricărei forme de prelucrare ilegală. Aceste măsuri tehnice și organizatorice sunt considerate un nivel de securitate adecvat în sensul articolului 1 din GDPR și sunt stocate ca documente în Basecamp central (Proiect: Organizare / Politică de protecție a datelor) al Autosoft BV.

Tehnic și organizatoric

1. Măsuri pentru a se asigura că numai personalul autorizat are acces la Datele cu Caracter Personal prelucrate în contextul Acordului cu Procesorul;
2. Măsuri de protecție a datelor cu caracter personal, în special împotriva distrugerii accidentale sau ilegale, pierderii, modificării accidentale, stocării, accesului sau dezvăluirii neautorizate sau ilegale;
3. Măsuri de protecție a datelor cu caracter personal, în special împotriva distrugerii accidentale sau ilegale, pierderii, modificării accidentale, stocării, accesului sau dezvăluirii neautorizate sau ilegale în timpul schimbului/transportului de date;
4. Măsuri pentru asigurarea capacității de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor și serviciilor de editare în mod continuu;
5. Măsuri de restabilire a disponibilității și accesului la Datele cu caracter personal în timp util în cazul unui incident fizic sau tehnic;
6. Măsuri de identificare a vulnerabilităților cu privire la prelucrarea Datelor cu Caracter Personal în sistemele utilizate pentru furnizarea serviciilor conform contractului;

Organizatori cum ar fi:

• Limitarea cercului funcționarilor care au acces la anumite date cu caracter personal la acele persoane care au nevoie de date pentru îndeplinirea atribuțiilor de serviciu;
• acordarea accesului acestor persoane numai la datele personale de care au nevoie pentru îndeplinirea atribuțiilor lor;
• convenirea unei clauze de confidențialitate cu o clauză de penalizare cu toate persoanele cărora le va fi acordat accesul la datele cu caracter personal;
• stocarea datelor personale pe servere într-un spațiu închis;
• păstrarea dosarelor de hârtie în dulapuri care se încuie;
• crearea de conștientizare a securității informațiilor în rândul angajaților;
• stabilirea de protocoale și proceduri clare pentru gestionarea la timp și eficientă a incidentelor de securitate a informațiilor și a vulnerabilităților de securitate;

Procesorul de date utilizează propriile metodologii și proceduri de management care se încadrează în metoda de lucru a organizației:

• În cadrul Basecamp, documentele relevante sunt gestionate și evaluate periodic.

Protocol de încălcare a datelor

În cazul în care ceva nu merge bine, procesorul de date utilizează următorul protocol de scurgere de date pentru a se asigura că clientul este conștient de incidente:

Autosoft BV – Procedura de încălcare a datelor

Ce este o încălcare a datelor și când trebuie să o raportez la AP?
O încălcare a datelor este un incident de securitate a informațiilor care implică o încălcare a securității datelor cu caracter personal prin expunerea la pierderi sau la prelucrare ilegală, cum ar fi (dar nu în mod exhaustiv):

• Ajustarea și/sau modificarea datelor cu caracter personal și accesul neautorizat la aceste date cu caracter personal;
• În cazul unei spargeri de către un hacker;
• Pierderea unui stick USB, furtul unui laptop;
• Trimiterea de date sensibile la o adresă de e-mail incorectă;

Conform legii, o încălcare „gravă” a datelor trebuie raportată la Autoritatea Olandeză pentru Protecția Datelor fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore de la descoperire.

Autosoft BV nu trebuie să raporteze la Autoritatea Olandeză pentru Protecția Datelor dacă identificarea efectivă a persoanelor fizice individuale este exclusă în mod rezonabil.
Toate suspiciunile cu privire la un incident de securitate a informațiilor sunt abordate în primă instanță support@autosoft.eu raportat și înregistrat. Suportul raportează incidentul echipei de management și determină ce măsuri ulterioare trebuie întreprinse.

Procedura de urmărire

Când trebuie să notific persoanele vizate?
O încălcare a datelor trebuie raportată persoanei vizate dacă, în cazul unei încălcări, există un risc mare ca încălcarea să aibă consecințe negative asupra vieții sale private. Consecințele nefavorabile pentru persoana vizată sunt: ​​deteriorarea reputației și reputației sale, fraudă de identitate sau discriminare. În cazul în care Autosoft BV a luat măsuri tehnice de protecție adecvate, în urma cărora datele cu caracter personal în cauză devin de neînțeles sau inaccesibile, notificarea persoanei vizate nu este necesară. Notificarea către persoana vizată trebuie să conțină o descriere, într-un limbaj clar și simplu, a naturii încălcării datelor cu caracter personal și cel puțin:

• numele și datele de contact ale responsabilului cu protecția datelor sau ale altui punct de contact de unde se pot obține mai multe informații;
• consecințele probabile ale încălcării datelor cu caracter personal;
• măsurile propuse sau luate de operator pentru a aborda încălcarea datelor cu caracter personal, inclusiv, după caz, măsuri pentru atenuarea oricăror efecte adverse ale acesteia. Evaluarea dacă o încălcare a datelor trebuie raportată Autorității Olandeze pentru Protecția Datelor și/sau persoanelor afectate este întotdeauna la latitudinea Autosoft BV. Pentru a determina dacă un incident trebuie raportat, Autoritatea Olandeză pentru Protecția Datelor a elaborat reguli de politică (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) și grupul de lucru 29 din ghidurile europeni de supraveghere publicate cu privire la obligația de raportare în GDPR. Dacă Autosoft BV nu a raportat încălcarea datelor, Autoritatea Olandeză pentru Protecția Datelor poate solicita ca Autosoft BV să facă în continuare un raport. Nedenunțarea poate fi pedepsită cu amendă administrativă.

Cum raportez o încălcare a datelor?
Autoritatea Olandeză pentru Protecția Datelor pune la dispoziție un formular web care trebuie utilizat pentru raportarea încălcării datelor (https://dataleks.autoriteitpersoonsgegevens.nl/). Autoritatea Olandeză pentru Protecția Datelor ține un registru al notificărilor de încălcare a datelor primite. Acest registru nu este public. În cazul în care Autoritatea Olandeză pentru Protecția Datelor impune o amendă ca urmare a încălcării datelor, această decizie va fi făcută publică. O încălcare a datelor este, de asemenea, făcută publică atunci când persoanele vizate trebuie informate cu privire la încălcarea datelor. Notificarea către persoana vizată trebuie să indice în orice caz natura încălcării și autoritățile de unde persoana vizată poate obține mai multe informații despre încălcare. De asemenea, trebuie precizat ce poate face persoana vizată pentru a limita consecințele negative ale încălcării datelor. De exemplu, schimbarea numelor de utilizator și a parolelor atunci când acestea ar fi putut fi compromise de încălcare.

Ce ar trebui să raportez?
O notificare către Autoritatea Olandeză pentru Protecția Datelor include:

• Raportorul încălcării datelor.
• Persoana pe care Autoritatea Olandeză pentru Protecția Datelor o poate contacta pentru mai multe informații despre raport.
• Un rezumat al incidentului în care a avut loc încălcarea securității datelor cu caracter personal.
• Momentul încălcării.
• Natura încălcării.
• Tipul de date personale vizate.
• Consecințele pe care le poate avea încălcarea asupra vieții private a celor implicați.
• Măsurile tehnice și organizatorice pe care Autosoft BV le-a luat pentru a aborda încălcarea și pentru a preveni încălcările ulterioare.
• Dacă Autosoft BV a raportat încălcarea datelor persoanelor vizate și dacă nu, dacă Autosoft BV intenționează să facă acest lucru:
• Dacă da, conținutul notificării către persoanele vizate.
• Dacă nu, motivul pentru care Autosoft BV se abține de la raportarea încălcării datelor către persoanele vizate.
• Datele cu caracter personal au fost criptate, hashing sau făcute în alt mod de neînțeles sau inaccesibile persoanelor neautorizate?

Partea 2: Clauze standard de procesare

Versiune: septembrie 2019
Formează împreună cu Declarația Data Pro acordul de prelucrare și este o anexă la Acord și la anexele însoțitoare, cum ar fi termenii și condițiile generale aplicabile.

Articolul 1. Definiții

Termenii de mai jos au următoarele semnificații în aceste Clauze standard pentru prelucrare, în Declarația Data Pro și în acord:

• 1.1 Autoritatea olandeză pentru protecția datelor (AP): autoritatea de supraveghere, așa cum este descrisă la articolul 4, sub 21 din Legea medie.
• 1.2 AVG: Regulamentul general privind protecția datelor.
• 1.3 Procesor de date: parte care, în calitate de furnizor TIC, prelucrează Date personale în beneficiul Clientului său în contextul executării Acordului.
• 1.4 Declarație Data Pro: Declarație a Procesatorului de date în care furnizează informații cu privire la utilizarea prevăzută a produsului sau serviciului său, măsurile de securitate luate, sub-procesorii, scurgerile de date, certificările și gestionarea drepturilor Subiecților datelor.
• 1.5 Subiectul datelor (subiectul datelor): o persoană fizică identificată sau identificabilă.
• 1.6 Client: parte în numele căreia Procesatorul de date prelucrează date cu caracter personal. Clientul poate fi fie un controlor („controller”), fie un alt procesator.
• 1.7 Acord: acordul dintre Client și Procesatorul de date, în baza căruia furnizorul TIC furnizează Clientului servicii și/sau produse, din care face parte contractul de procesator.
• 1.8 Date personale: toate informațiile despre o persoană fizică identificată sau identificabilă, conform articolului 4, sub 1 AVG, pe care Procesorul de date le prelucrează în contextul îndeplinirii obligațiilor sale care decurg din Acord.
• 1.9 Acord de prelucrare: aceste Clauze standard de prelucrare, care împreună cu Declarația Data Pro (sau informații comparabile) de la Procesorul de date formează acordul de prelucrare menționat la articolul 28, alineatul 3 din GDPR.

Articolul 2. General

• 2.1 Aceste clauze standard de prelucrare se aplică tuturor prelucrărilor de date cu caracter personal pe care le face Procesatorul de date în contextul livrării produselor și serviciilor sale și tuturor acordurilor și ofertelor. Aplicabilitatea acordurilor de prelucrare ale Clientului este respinsă în mod expres.
• 2.2 Declarația Data Pro, și în special măsurile de securitate conținute în aceasta, pot fi modificate de către Procesorul de date din când în când pentru a reflecta circumstanțele în schimbare. Procesorul de date va informa Clientul cu privire la modificările semnificative. Dacă Clientul nu poate fi de acord în mod rezonabil cu ajustările, Clientul are dreptul de a rezilia contractul de procesare în scris în termen de 30 de zile de la notificarea ajustărilor.
• 2.3 Procesatorul de date prelucrează Datele personale în numele și în numele Clientului, în conformitate cu instrucțiunile scrise ale Clientului convenite cu Procesatorul de date.
• 2.4 Clientul sau clientul său este operatorul în sensul GDPR, deține controlul asupra prelucrării Datelor cu caracter personal și a determinat scopul și mijloacele de prelucrare a datelor cu caracter personal.
• 2.5 Procesorul de date este un procesator în sensul GDPR și, prin urmare, nu are control asupra scopului și mijloacelor de prelucrare a datelor cu caracter personal și, prin urmare, nu ia nicio decizie cu privire, printre altele, la utilizarea datelor cu caracter personal.
• 2.6 Procesorul de date implementează GDPR așa cum este prevăzut în aceste Clauze standard pentru prelucrare, Declarația Data Pro și Acordul. Este de competența Clientului să evalueze, pe baza acestor informații, dacă Procesorul de date oferă garanții suficiente cu privire la aplicarea măsurilor tehnice și organizatorice adecvate, astfel încât prelucrarea să îndeplinească cerințele GDPR și protecția drepturilor persoanelor vizate. este suficient.garantat.
• 2.7 Clientul garantează Procesatorului de date că acționează în conformitate cu GDPR, că își protejează în mod adecvat sistemele și infrastructura în orice moment și că conținutul, utilizarea și/sau prelucrarea datelor cu caracter personal nu sunt ilegale și nu încalcă niciun drept. a unui terț.
• 2.8 O amendă administrativă impusă Clientului de către AP nu poate fi recuperată de la Procesorul de Date.

Articolul 3. Securitate

• 3.1 Procesorul de date ia măsurile de securitate tehnice și organizatorice, așa cum sunt descrise în Declarația Data Pro. La luarea măsurilor tehnice și organizatorice de securitate, Procesatorul de date a ținut cont de stadiul tehnicii, costurile de implementare a măsurilor de securitate, natura, sfera și contextul prelucrării, scopurile și utilizarea prevăzută a produselor și serviciilor sale. , riscurile de prelucrare și riscurile care diferă ca probabilitate și gravitate pentru drepturile și libertățile Subiecților datelor la care s-ar putea aștepta având în vedere utilizarea prevăzută a produselor și serviciilor sale.
• 3.2 Cu excepția cazului în care se specifică în mod explicit altfel în Declarația Data Pro, produsul sau serviciul Procesorului de date nu este conceput pentru a prelucra categorii speciale de Date cu caracter personal sau date referitoare la condamnări sau infracțiuni penale sau numere personale emise de guvern.
• 3.3 Procesatorul de date se străduiește să se asigure că măsurile de securitate care trebuie luate de acesta sunt adecvate pentru utilizarea prevăzută a produsului sau serviciului de către Procesorul de date.
• 3.4 În opinia Clientului, măsurile de securitate descrise oferă, ținând cont de factorii menționați la articolul 3.1, un nivel de securitate adaptat riscului prelucrării Datelor cu Caracter Personal utilizate sau furnizate de acesta.
• 3.5 Procesatorul de date poate face modificări măsurilor de securitate luate dacă, în opinia sa, acest lucru este necesar pentru a asigura în continuare un nivel adecvat de securitate. Procesorul de date va înregistra modificările importante, de exemplu într-o Declarație Data Pro modificată și va informa Clientul cu privire la aceste modificări, acolo unde este cazul.
• 3.6 Clientul poate solicita Procesatorului de date să ia măsuri suplimentare de securitate. Procesatorul de date nu are obligația de a modifica măsurile sale de securitate la o astfel de solicitare. Procesatorul de date poate percepe clientului costurile aferente modificărilor efectuate la cererea Clientului. Numai după ce măsurile de securitate modificate dorite de Client au fost agreate în scris și semnate de către Părți, Procesatorul de Date este obligat să implementeze efectiv aceste măsuri de securitate.

Articolul 4. Încălcarea datelor cu caracter personal

• 4.1 Procesorul de date nu garantează că măsurile de securitate sunt eficiente în toate circumstanțele. În cazul în care Procesatorul de date descoperă o încălcare în legătură cu Datele cu caracter personal (așa cum este menționat la articolul 4 sub 12 Avg), acesta va informa Clientul fără întârzieri nejustificate. Declarația Data Pro (în cadrul protocolului de scurgere de date) stabilește modul în care Procesatorul de date informează Clientul despre încălcări în legătură cu Datele cu caracter personal.
• 4.2 Este la latitudinea operatorului (Clientul sau clientul acestuia) să evalueze dacă încălcarea datelor cu caracter personal despre care a informat Procesorul de date trebuie raportată AP sau persoanei vizate. Raportarea încălcărilor în legătură cu Datele cu caracter personal, care trebuie raportate AP și/sau Subiecților datelor în conformitate cu articolele 33 și 34 GDPR, rămâne responsabilitatea operatorului (Clientului sau clientului acestuia) în orice moment. Procesatorul de date nu este obligat să raporteze încălcările datelor cu caracter personal către AP și/sau Persoana vizată.
• 4.3 Procesatorul de date va furniza, dacă este necesar, informații suplimentare despre încălcarea în legătură cu Datele cu caracter personal și va coopera cu furnizarea informațiilor necesare către Client în scopul unei notificări, conform articolelor 33 și 34 Avg.
• 4.4 Procesatorul de date poate percepe clientului costurile rezonabile pe care le suportă în acest context la tarifele aplicabile atunci.

Articolul 5. Confidențialitate

• 5.1 Procesorul de date garantează că persoanele care prelucrează Date cu caracter personal sub responsabilitatea sa au obligația de confidențialitate.
• 5.2 Procesatorul de date are dreptul de a furniza datele cu caracter personal unor terți, dacă și în măsura în care este necesară furnizarea în temeiul unei hotărâri judecătorești, unei reglementări legale sau pe baza unui ordin autorizat din partea unei autorități guvernamentale.
• 5.3 Toate codurile de acces și/sau identificare, certificatele, informațiile referitoare la politica de acces și/sau parole furnizate de Procesorul de date Clientului și toate informațiile furnizate de Procesorul de Date Clientului care implementează măsurile de securitate tehnice și organizatorice incluse în Declarația Data Pro sunt confidențiale. și vor fi tratate ca atare de către Client și făcute cunoscute numai angajaților autorizați ai Clientului. Clientul se asigură că angajații săi respectă obligațiile prevăzute în acest articol.

Articolul 6. Durata și rezilierea

• 6.1 Acest acord de procesator face parte din Acord și orice acord nou sau ulterior care decurge din acesta, intră în vigoare la momentul încheierii Acordului și este încheiat pentru o perioadă de timp nedeterminată.
• 6.2 Acest acord cu procesorul încetează prin aplicarea legii la rezilierea acordului sau a oricărui acord nou sau ulterior între părți.
• 6.3 În cazul încetării acordului de prelucrare, Procesatorul de date va șterge toate Datele cu caracter personal aflate în posesia sa și primite de la Client în termenul inclus în Declarația Data Pro, astfel încât acestea să nu mai poată fi utilizate și să nu mai fie accesibil (se face inaccesibil) sau, dacă este de acord, returnați-l Clientului într-un format care poate fi citit de mașină.
• 6.4 Procesatorul de date poate percepe Clientului orice costuri pe care le suportă în contextul prevederilor articolului 6.3. Acorduri suplimentare în acest sens pot fi stabilite în Declarația Data Pro.
• 6.5 Prevederile articolului 6.3 nu se aplică în cazul în care o reglementare legală împiedică Procesatorul de date să elimine sau să returneze complet sau parțial datele cu caracter personal. Într-un astfel de caz, Procesatorul de date va continua să prelucreze Datele cu caracter personal numai în măsura în care este necesar conform obligațiilor sale legale. Prevederile articolului 6.3 nu se aplică nici în cazul în care Procesorul de date este operatorul în sensul GDPR cu privire la Datele cu caracter personal.

Articolul 7. Drepturile persoanelor vizate, evaluarea impactului privind protecția datelor (DPIA) și drepturile de audit

• 7.1 Procesatorul de date va coopera, acolo unde este posibil, cu cereri rezonabile din partea Clientului care sunt legate de drepturile Subiecților datelor invocate de către Client de către Subiecții datelor. Dacă Procesorul de date este abordat direct de o persoană vizată, acesta va trimite această persoană către Client, acolo unde este posibil.
• 7.2 Dacă Clientul este obligat să facă acest lucru, Procesatorul de date va coopera cu o evaluare a impactului asupra protecției datelor (DPIA) sau o consultare prealabilă ulterioară, conform articolelor 35 și 36 Avg.
• 7.3 Procesatorul de date va coopera cu solicitările Clientului pentru eliminarea datelor cu caracter personal, în măsura în care Clientul nu poate efectua acest lucru singur.
• 7.4 La cererea Clientului, Procesatorul de date va pune la dispoziție, de asemenea, toate informațiile suplimentare care sunt necesare în mod rezonabil pentru a demonstra conformitatea cu acordurile încheiate în acest acord de prelucrare. În cazul în care Clientul are totuși motive să creadă că prelucrarea datelor cu caracter personal nu are loc în conformitate cu acordul de prelucrare, acesta poate fi consultat cel mult o dată pe an de către un expert extern independent, certificat, care are experiență demonstrabilă cu tipul de prelucrare care se efectuează pe baza Contractului. , au un audit efectuat pe cheltuiala Clientului. Auditul se va limita la verificarea conformității cu acordurile privind prelucrarea Datelor cu Caracter Personal, astfel cum sunt prevăzute în prezentul Acord cu Procesor. Expertul va avea datoria de confidențialitate cu privire la ceea ce găsește și va raporta Clientului doar ceea ce are ca rezultat o deficiență în îndeplinirea obligațiilor pe care Procesorul de date le are în temeiul prezentului contract de procesator. Expertul va furniza o copie a raportului său Procesatorului de date. Procesatorul de date poate refuza un audit sau o instrucțiune din partea expertului dacă, în opinia sa, aceasta încalcă GDPR sau altă legislație sau constituie o încălcare nepermisă a măsurilor de securitate pe care le-a luat.
• 7.5 Părțile se vor consulta cât mai curând posibil cu privire la rezultatele raportului. Părțile vor urma măsurile de îmbunătățire propuse prevăzute în raport, în măsura în care acest lucru se poate aștepta în mod rezonabil de la ele. Procesatorul de date va implementa măsurile de îmbunătățire propuse în măsura în care acestea sunt adecvate în opinia sa, ținând cont de riscurile de prelucrare asociate cu produsul sau serviciul său, stadiul tehnicii, costurile de implementare, piața în care operează și utilizarea prevăzută a produsului sau serviciului.serviciul.
• 7.6 Procesatorul de date are dreptul de a percepe Clientului costurile pe care le suportă în contextul prevederilor prezentului articol.

Articolul 8. Subprocesatori

• 8.1 Procesatorul de date a declarat în Declarația Data Pro dacă și, dacă da, ce părți terțe (subprocesori sau subprocesatori) Procesor de date se angajează în prelucrarea datelor cu caracter personal.
• 8.2 Clientul dă permisiunea Procesatorului de date să angajeze alți subprocesatori pentru a-și îndeplini obligațiile care decurg din Acord.
• 8.3 Procesatorul de date va informa Clientul cu privire la o schimbare a terților angajați de către Procesorul de date, de exemplu prin intermediul unei Declarații Data Pro modificate. Clientul are dreptul de a se opune modificării menționate anterior de către Procesorul de date. Procesatorul de date se asigură că terții angajați de acesta se angajează la același nivel de securitate în ceea ce privește protecția Datelor cu caracter personal ca și nivelul de securitate la care Procesorul de date este legat față de Client pe baza Declarației Data Pro.

Articolul 9. Altele

Aceste Clauze Standard de Procesare, împreună cu Declarația Data Pro, fac parte integrantă din Acord. Toate drepturile și obligațiile din Acord, inclusiv termenii și condițiile generale aplicabile și/sau limitările de răspundere, se aplică, prin urmare, și acordului de procesare.