Dohoda spracovateľa

úvod

Autosoft BV okrem iného spracúva osobné údaje pre zákazníka av jeho mene. Autosoft BV a zákazník sú preto podľa všeobecného nariadenia o ochrane údajov (GDPR) povinní uzavrieť Spracovateľskú zmluvu. Podľa GDPR je Autosoft BV „spracovateľ“ a zákazník je „správca“. Táto Spracovateľská zmluva tiež popisuje, ako Autosoft BV nakladá s povinnosťou oznamovať porušenie ochrany údajov.

Dohoda spracovateľa

Pozostáva z:
Časť 1: Údaje o profesionálnom vyhlásení
Časť 2: Štandardné ustanovenia o spracovaní

Časť 1: Údaje o profesionálnom vyhlásení

Všeobecné informácie

1). Toto vyhlásenie o dátovom profesionálovi vypracoval nasledujúci spracovateľ údajov (spracovateľ):

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Ak máte otázky týkajúce sa tohto Vyhlásenia o ochrane údajov alebo ochrany údajov, kontaktujte:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Toto vyhlásenie o údajoch platí od 1. augusta 2021
Toto Vyhlásenie o ochrane údajov a bezpečnostné opatrenia v ňom opísané pravidelne upravujeme, aby sme zaistili, že budeme vždy pripravení a aktuálni, pokiaľ ide o ochranu údajov. O nových verziách vás budeme priebežne informovať prostredníctvom našich bežných kanálov.

3). Toto vyhlásenie Data Pro sa vzťahuje na nasledujúce produkty a služby na spracovanie údajov

• Autowebsite
• Automobilový dom

4). Popis Webová stránka auta
Automobilové spoločnosti používajú Autowebsite. S Autowebsite sa môžu automobilky prezentovať na internete.

5). Zamýšľané použitie webovej stránky Car
Autoweb je navrhnutý a vybavený na spracovanie nasledujúcich typov údajov:
Návštevníci webových stránok vyvinutých Autosoftom s Autowebsite majú možnosť zanechať na nich svoje kontaktné údaje, aby automobilka mala možnosť osloviť návštevníka ohľadom ďalších služieb. Tieto kontaktné údaje nie sú uložené v Autosofte, ale sú zasielané priamo e-mailom na e-mailovú adresu automobilky.

• Táto služba nezohľadňuje spracúvanie osobitných osobných údajov, ani údajov týkajúcich sa odsúdení za trestné činy a priestupky alebo vládou vydávaných rodných čísel.

6). Popis Autocommerce
Automobilové spoločnosti používajú Autocommerce. S Autocommerce môžu automobilky spravovať a prezentovať svoje vozidlá na vlastnej webovej stránke a internetových vyhľadávacích portáloch tretích strán.

7). Zamýšľané použitie Autocommerce
Autocommerce je navrhnutý a vybavený na spracovanie nasledujúcich typov údajov:
Automobilové spoločnosti môžu umiestniť svoje registrované vozidlá prostredníctvom Autocommerce na svojej vlastnej webovej stránke Car. Tieto registrované vozidlá neobsahujú žiadne údaje, ktoré by bolo možné v akejkoľvek forme spätne vysledovať k osobným údajom. Návštevníci stránky Car majú možnosť nechať tam svoje kontaktné údaje, aby mala automobilka možnosť osloviť návštevníka ohľadom ďalších služieb. Kontaktné údaje zanechané návštevníkom na ich vlastnej webovej stránke Auto sú uložené v Autocommerce.

• Táto služba nezohľadňuje spracúvanie osobitných osobných údajov, ani údajov týkajúcich sa odsúdení za trestné činy a priestupky alebo vládou vydávaných rodných čísel.

8). Spracovateľ údajov používa na spracovanie pre Autowebsite a Autocommerce Štandardné doložky, ktoré nájdete ako prílohu Zmluvy.

9). Spracovateľ údajov spracúva osobné údaje svojich klientov v rámci EÚ/EHP pre Autowebsite a Autocommerce.

10). Spracovateľ údajov používa pre Autocommerce nasledujúcich podprocesorov:
V niektorých prípadoch Autosoft posiela svoje registrované vozidlá prostredníctvom Autocommerce na internetové vyhľadávacie portály tretích strán alebo subdodávateľov v mene Automobilovej spoločnosti. Zoznam čiastkových spracovateľov je k dispozícii na vyžiadanie na adrese support@autosoft.eu.

11). Po ukončení zmluvy s klientom spracovateľ v zásade do 3 mesiacov odstráni osobné údaje, ktoré pre klienta spracúva, a to tak, že ich už nie je možné použiť a nebudú prístupné (render neprístupné).

Bezpečnostná politika

Zhrňte nasledujúce bezpečnostné opatrenia, ktoré spracovateľ údajov prijal na ochranu svojho produktu alebo služby:

Riadenie incidentov a politika reakcie
Politiky riadenia a reakcie na incidenty v oblasti informačnej bezpečnosti zahŕňajú monitorovanie a detekciu bezpečnostných incidentov na počítači alebo IT infraštruktúre, ale aj sledovanie podozrivých aktivít personálom a implementáciu správnych reakcií na tieto udalosti.

Primárnym cieľom tejto politiky je vyvinúť dobre zrozumiteľnú a predvídateľnú reakciu na škodlivé udalosti a narušenie počítača v najširšom zmysle slova.

Politika riadenia a reakcie na incidenty je proces riadenia a ochrany počítačov, sietí a informačných systémov a informácií v nich uložených. Autosoft si je vedomý svojej zodpovednosti, pokiaľ ide o ochranu týchto informácií v prospech svojich zákazníkov a partnerov dodávateľského reťazca. Táto zodpovednosť sa vzťahuje aj na konanie o incidente. Manažment incidentov je súbor činností, ktoré definujú a implementujú proces, ktorý môže organizácia použiť na podporu vlastného blaha a bezpečnosti verejnosti.

IT a bezpečnosť
Štruktúra ICT Autosoft BV je dostatočne zabezpečená firewallom a antivírusový softvér je udržiavaný v aktuálnom stave. Každý zamestnanec má prihlasovací profil. Pri spúšťaní počítača musia zamestnanci zadať prihlasovacie meno a heslo a ak je to možné, s 2-stupňovou autentifikáciou.

Určitý softvér tiež vyžaduje prihlasovacie meno a heslo a tam, kde je to možné, s 2-stupňovou autentifikáciou. Stimuluje sa povedomie zamestnancov o bezpečnej práci, napríklad upozorňovanie na neotváranie podozrivých e-mailov, neklikanie na podozrivé odkazy, odhlasovanie sa pri dlhom odchode z pracoviska a pod.

Súbory sa zálohujú počas dní a každú noc. Z bezpečnostných dôvodov je ďalší postup ukladania okolo zálohy dôverný. Autosoft BV na to uzavrel servisné zmluvy s dodávateľmi počítačov a poskytovateľmi internetového hostingu.

Zásady ochrany údajov
Autosoft BV prijíma primerané technické a organizačné opatrenia na ochranu osobných údajov zákazníka pred stratou alebo akoukoľvek formou nezákonného spracovania. Tieto technické a organizačné opatrenia sa považujú za primeranú úroveň zabezpečenia v zmysle článku 1 GDPR a sú uložené ako dokumenty v centrálnom Basecampe (Projekt: Organizácia / Politika ochrany údajov) spoločnosti Autosoft BV.

Technická a organizačná

1. Opatrenia, ktoré zabezpečia, že k Osobným údajom spracúvaným v rámci zmluvy so spracovateľom budú mať prístup len oprávnené osoby;
2. Opatrenia na ochranu Osobných údajov najmä pred náhodným alebo nezákonným zničením, stratou, náhodnou zmenou, neoprávneným alebo nezákonným ukladaním, prístupom alebo zverejnením;
3. Opatrenia na ochranu osobných údajov najmä pred náhodným alebo nezákonným zničením, stratou, náhodnou zmenou, neoprávneným alebo nezákonným ukladaním, prístupom alebo zverejnením počas výmeny/prepravy údajov;
4. Opatrenia na zabezpečenie schopnosti nepretržite zabezpečiť dôvernosť, integritu, dostupnosť a odolnosť redakčných systémov a služieb;
5. Opatrenia na včasné obnovenie dostupnosti a prístupu k Osobným údajom v prípade fyzického alebo technického incidentu;
6. Opatrenia na identifikáciu slabých miest v súvislosti so spracovaním Osobných údajov v systémoch používaných na poskytovanie služieb na základe zmluvy;

Organizačné ako napr.

• Obmedzenie okruhu úradníkov, ktorí majú prístup k určitým osobným údajom, na tie osoby, ktoré údaje potrebujú na plnenie svojich povinností;
• poskytnúť týmto osobám prístup len k tým osobným údajom, ktoré potrebujú na plnenie svojich povinností;
• dohodnutie doložky o mlčanlivosti s doložkou o sankciách so všetkými osobami, ktorým bude umožnený prístup k osobným údajom;
• ukladanie osobných údajov na serveroch v uzavretom priestore;
• uchovávanie papierových spisov v uzamykateľných skrinkách;
• vytváranie povedomia o bezpečnosti informácií medzi zamestnancami;
• stanovenie jasných protokolov a postupov na včasné a efektívne riešenie incidentov v oblasti informačnej bezpečnosti a bezpečnostných zraniteľností;

Spracovateľ údajov používa vlastné metodiky a postupy riadenia, ktoré zapadajú do pracovnej metódy organizácie:

• V rámci Basecampu sú príslušné dokumenty spravované a pravidelne vyhodnocované.

Protokol o porušení údajov

V prípade, že sa niečo pokazí, spracovateľ údajov použije nasledujúci protokol o úniku údajov, aby zabezpečil, že klient vie o incidentoch:

Autosoft BV – Postup pri porušení údajov

Čo je to porušenie ochrany údajov a kedy to musím nahlásiť AP?
Porušenie ochrany údajov je incident v oblasti bezpečnosti informácií zahŕňajúci porušenie bezpečnosti osobných údajov vystavením strate alebo nezákonnému spracovaniu, ako napríklad (ale nie vyčerpávajúco):

• Úprava a/alebo zmena osobných údajov a neoprávnený prístup k týmto osobným údajom;
• V prípade vlámania sa hackerom;
• Strata USB kľúča, krádež notebooku;
• odosielanie citlivých údajov na nesprávnu e-mailovú adresu;

Podľa zákona musí byť „závažné“ porušenie údajov nahlásené holandskému úradu na ochranu údajov bez zbytočného odkladu, a ak je to možné, najneskôr do 72 hodín po jeho zistení.

Autosoft BV nemusí hlásiť holandskému úradu na ochranu údajov, ak je skutočná identifikácia jednotlivých fyzických osôb odôvodnene vylúčená.
Všetky podozrenia z incidentu informačnej bezpečnosti sa riešia v prvom rade podpora@autosoft.eu nahlásené a zaregistrované. Podpora nahlási incident riadiacemu tímu a určí, aké následné opatrenia by sa mali prijať.

Následný postup

Kedy musím informovať dotknuté osoby?
Porušenie ochrany údajov je potrebné oznámiť dotknutej osobe, ak v prípade porušenia existuje vysoké riziko, že porušenie bude mať nepriaznivé dôsledky na jej súkromný život. Nepriaznivé dôsledky pre dotknutú osobu sú: poškodenie jej dobrého mena a dobrej povesti, podvod s identitou alebo diskriminácia. Ak spoločnosť Autosoft BV prijala primerané technické ochranné opatrenia, v dôsledku ktorých sú dotknuté osobné údaje nezrozumiteľné alebo nedostupné, oznámenie dotknutej osobe nie je potrebné. Oznámenie dotknutej osobe musí obsahovať jasný a zrozumiteľný popis povahy porušenia ochrany osobných údajov a aspoň:

• meno a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií;
• pravdepodobné dôsledky porušenia ochrany osobných údajov;
• opatrenia navrhnuté alebo prijaté prevádzkovateľom na riešenie porušenia ochrany osobných údajov, prípadne vrátane opatrení na zmiernenie akýchkoľvek jeho nepriaznivých účinkov. Posúdenie, či je potrebné nahlásiť porušenie ochrany údajov holandskému úradu na ochranu údajov a/alebo dotknutým osobám, je vždy na spoločnosti Autosoft BV. Aby sa určilo, či sa incident musí nahlásiť, holandský úrad na ochranu údajov vypracoval pravidlá (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) a pracovnej skupiny 29 usmernení európskych orgánov dohľadu zverejnených o oznamovacej povinnosti v GDPR. Ak spoločnosť Autosoft BV nenahlásila porušenie ochrany údajov, holandský úrad na ochranu údajov môže vyžadovať, aby spoločnosť Autosoft BV stále podala správu. Nenahlásenie môže byť potrestané správnou pokutou.

Ako nahlásim porušenie ochrany údajov?
Holandský úrad na ochranu údajov sprístupňuje webový formulár, ktorý sa musí použiť na nahlásenie porušenia ochrany údajov (https://dataleks.autoriteitpersoonsgegevens.nl/). Holandský úrad na ochranu údajov vedie register prijatých oznámení o porušení ochrany údajov. Tento register nie je verejný. Ak holandský úrad na ochranu údajov uloží pokutu v dôsledku porušenia ochrany údajov, toto rozhodnutie sa zverejní. Porušenie ochrany údajov sa zverejňuje aj vtedy, keď je potrebné informovať dotknuté osoby o porušení ochrany údajov. Oznámenie dotknutej osobe musí v každom prípade uvádzať povahu porušenia a orgány, kde môže dotknutá osoba získať ďalšie informácie o porušení. Musí sa tiež uviesť, čo môže dotknutá osoba urobiť sama, aby obmedzila negatívne dôsledky porušenia ochrany údajov. Napríklad zmena používateľských mien a hesiel, keď mohli byť narušené.

Čo mám nahlásiť?
Oznámenie holandskému úradu na ochranu údajov zahŕňa:

• Oznamovateľ porušenia ochrany údajov.
• Osoba, na ktorú sa môže holandský úrad na ochranu údajov obrátiť so žiadosťou o ďalšie informácie o správe.
• Súhrn incidentu, pri ktorom došlo k narušeniu zabezpečenia osobných údajov.
• Čas porušenia.
• Povaha porušenia.
• Typ dotknutých osobných údajov.
• Dôsledky, ktoré môže mať porušenie pre súkromie zúčastnených.
• Technické a organizačné opatrenia, ktoré spoločnosť Autosoft BV prijala na riešenie tohto porušenia a na zabránenie ďalším porušeniam.
• Či spoločnosť Autosoft BV oznámila porušenie ochrany údajov dotknutým osobám a ak nie, či tak spoločnosť Autosoft BV zamýšľa urobiť:
• Ak áno, obsah oznámenia dotknutým osobám.
• Ak nie, dôvod, prečo sa Autosoft BV zdrží oznamovania porušenia ochrany údajov dotknutým osobám.
• Boli osobné údaje zašifrované, hašované alebo inak nezrozumiteľné alebo neprístupné neoprávneným osobám?

Časť 2: Štandardné ustanovenia o spracovaní

Verzia: september 2019
Spolu s Vyhlásením o údajoch tvorí spracovateľskú zmluvu a je prílohou k zmluve a sprievodným prílohám, ako sú platné všeobecné obchodné podmienky.

Článok 1. Definície

Nižšie uvedené výrazy majú v týchto štandardných doložkách na spracovanie, vo vyhlásení o údajoch a v zmluve nasledujúci význam:

• 1.1 Holandský úrad na ochranu údajov (AP): dozorný orgán, ako je popísané v článku 4 ods. 21 priem.
• 1.2 AVG: všeobecného nariadenia o ochrane údajov.
• 1.3 Spracovateľ údajov: strana, ktorá ako dodávateľ ICT spracúva Osobné údaje v prospech svojho Klienta v rámci plnenia Zmluvy.
• 1.4 Vyhlásenie Data Pro: vyhlásenie Spracovateľa údajov, v ktorom poskytuje informácie o zamýšľanom použití svojho produktu alebo služby, prijatých bezpečnostných opatreniach, čiastkových spracovateľoch, únikoch údajov, certifikáciách a nakladaní s právami Dotknutých osôb.
• 1.5 Dotknutá osoba (dotknutá osoba): identifikovaná alebo identifikovateľná fyzická osoba.
• 1.6 Klient: strana, v mene ktorej Spracovateľ spracúva osobné údaje. Klientom môže byť prevádzkovateľ (ďalej len „prevádzkovateľ“) alebo iný spracovateľ.
• 1.7 Dohoda: zmluva medzi Objednávateľom a Spracovateľom údajov, na základe ktorej dodávateľ ICT dodáva Objednávateľovi služby a/alebo produkty, ktorej súčasťou je spracovateľská zmluva.
• 1.8 Osobné údaje: všetky informácie o identifikovanej alebo identifikovateľnej fyzickej osobe, ako je popísané v článku 4 ods. 1 AVG, ktoré Spracovateľ údajov spracúva v rámci plnenia svojich záväzkov vyplývajúcich zo Zmluvy.
• 1.9 Zmluva o spracovaní: tieto Štandardné doložky pre spracovanie, ktoré spolu s Vyhlásením o údajoch (alebo porovnateľnými informáciami) od Spracovateľa údajov tvoria zmluvu o spracovaní, ako je uvedené v článku 28 ods. 3 GDPR.

Článok 2. Všeobecné

• 2.1 Tieto štandardné doložky o spracovaní sa vzťahujú na všetko spracovanie osobných údajov, ktoré spracovávateľ údajov vykonáva v súvislosti s dodaním svojich produktov a služieb, a na všetky zmluvy a ponuky. Aplikovateľnosť spracovateľských zmlúv Objednávateľa sa výslovne odmieta.
• 2.2 Vyhlásenie Data Pro, a najmä bezpečnostné opatrenia v ňom obsiahnuté, môže Spracovateľ údajov z času na čas upraviť, aby odrážali meniace sa okolnosti. Spracovateľ údajov bude informovať klienta o významných zmenách. Ak objednávateľ nemôže s úpravami primerane súhlasiť, je oprávnený písomne ​​vypovedať spracovateľskú zmluvu do 30 dní od oznámenia úprav.
• 2.3 Spracovateľ spracúva Osobné údaje v mene a na účet Klienta v súlade s písomnými pokynmi Klienta dohodnutými so Spracovateľom údajov.
• 2.4 Klient alebo jeho zákazník je prevádzkovateľom v zmysle GDPR, má kontrolu nad spracúvaním Osobných údajov a určil účel a prostriedky spracúvania Osobných údajov.
• 2.5 Spracovateľ údajov je spracovateľom v zmysle GDPR, a preto nemá kontrolu nad účelom a prostriedkami spracúvania Osobných údajov, a preto okrem iného nerozhoduje o použití Osobných údajov.
• 2.6 Spracovateľ údajov implementuje GDPR, ako je stanovené v týchto štandardných doložkách pre spracovanie, vo vyhlásení o ochrane údajov a v zmluve. Je na Klientovi, aby na základe týchto informácií posúdil, či Spracovateľ poskytuje dostatočné záruky s ohľadom na uplatnenie vhodných technických a organizačných opatrení tak, aby spracovanie spĺňalo požiadavky GDPR a ochrany práv dotknutých osôb. je postačujúce.zaručené.
• 2.7 Klient zaručuje Spracovateľovi, že postupuje v súlade s GDPR, že svoje systémy a infraštruktúru po celú dobu primerane chráni a že obsah, použitie a/alebo spracovanie Osobných údajov nie je nezákonné a neporušuje žiadne práva. tretej strany.
• 2.8 Správnu pokutu uloženú Klientovi zo strany AP nemožno vymáhať od Spracovateľa údajov.

Článok 3. Bezpečnosť

• 3.1 Spracovateľ údajov prijíma technické a organizačné bezpečnostné opatrenia, ako je popísané v jeho Vyhlásení Data Pro. Spracovateľ údajov pri prijímaní technických a organizačných bezpečnostných opatrení zohľadnil súčasný stav techniky, náklady na implementáciu bezpečnostných opatrení, povahu, rozsah a kontext spracovania, účely a zamýšľané použitie svojich produktov a služieb. , riziká spracovania a riziká, ktoré sa líšia pravdepodobnosťou a závažnosťou pre práva a slobody Dotknutých osôb, ktoré by mohol očakávať vzhľadom na zamýšľané použitie svojich produktov a služieb.
• 3.2 Pokiaľ nie je výslovne uvedené inak vo vyhlásení Data Pro, produkt alebo služba Spracovateľa údajov nie sú určené na spracovanie špeciálnych kategórií osobných údajov alebo údajov týkajúcich sa odsúdení za trestné činy alebo trestných činov alebo vládou vydaných osobných čísel.
• 3.3 Spracovateľ údajov sa snaží zabezpečiť, aby bezpečnostné opatrenia, ktoré má prijať, boli vhodné pre zamýšľané použitie produktu alebo služby Spracovateľom údajov.
• 3.4 Podľa názoru Klienta popisované bezpečnostné opatrenia ponúkajú s prihliadnutím na faktory uvedené v článku 3.1 úroveň bezpečnosti prispôsobenú riziku spracovania ním používaných alebo poskytovaných Osobných údajov.
• 3.5 Spracovateľ údajov môže vykonať zmeny v prijatých bezpečnostných opatreniach, ak je to podľa jeho názoru potrebné na to, aby naďalej poskytoval primeranú úroveň bezpečnosti. Spracovateľ údajov zaznamená dôležité zmeny, napríklad v upravenom Vyhlásení o údajoch, a bude o týchto zmenách informovať Klienta, ak je to relevantné.
• 3.6 Klient môže požiadať Spracovateľa údajov, aby prijal ďalšie bezpečnostné opatrenia. Spracovateľ údajov nie je povinný na základe takejto žiadosti meniť svoje bezpečnostné opatrenia. Spracovateľ údajov môže účtovať náklady súvisiace so zmenami vykonanými na žiadosť Klienta voči Klientovi. Až po písomnom odsúhlasení zmenených bezpečnostných opatrení požadovaných Klientom a ich podpise Zmluvnými stranami je Spracovateľ údajov povinný tieto bezpečnostné opatrenia skutočne implementovať.

Článok 4. Porušenie osobných údajov

• 4.1 Spracovateľ údajov nezaručuje, že bezpečnostné opatrenia sú účinné za každých okolností. Ak Spracovateľ údajov zistí porušenie v súvislosti s Osobnými údajmi (ako je uvedené v článku 4 ods. 12 Avg), bude o tom Klienta bez zbytočného odkladu informovať. Vyhlásenie Data Pro (pod protokolom o úniku údajov) stanovuje, akým spôsobom Spracovateľ údajov informuje Klienta o porušeniach ochrany osobných údajov.
• 4.2 Je na prevádzkovateľovi (Klientovi alebo jeho zákazníkovi), aby posúdil, či porušenie ochrany osobných údajov, o ktorom Spracovateľ údajov informoval, musí byť oznámené AP alebo dotknutej osobe. Hlásenie porušení v súvislosti s Osobnými údajmi, ktoré je potrebné nahlásiť AP a/alebo Dotknutým osobám podľa článkov 33 a 34 GDPR, zostáva vždy v zodpovednosti prevádzkovateľa (Klienta alebo jeho zákazníka). Spracovateľ údajov nie je povinný hlásiť AP a/alebo Dotknutú osobu porušenie ochrany osobných údajov.
• 4.3 Spracovateľ údajov v prípade potreby poskytne ďalšie informácie o porušení v súvislosti s Osobnými údajmi a bude spolupracovať s poskytnutím potrebných informácií Klientovi za účelom oznámenia, ako je uvedené v článkoch 33 a 34 Priem.
• 4.4 Spracovateľ údajov môže klientovi účtovať primerané náklady, ktoré mu v tejto súvislosti vzniknú, podľa sadzieb platných v danom čase.

Článok 5. Dôvernosť

• 5.1 Spracovateľ údajov zaručuje, že osoby, ktoré spracúvajú Osobné údaje na jeho zodpovednosť, majú povinnosť mlčanlivosti.
• 5.2 Spracovateľ je oprávnený poskytnúť osobné údaje tretím osobám, ak a pokiaľ je to nevyhnutné na základe rozhodnutia súdu, právneho predpisu alebo na základe povereného príkazu orgánu štátnej správy.
• 5.3 Všetky prístupové a/alebo identifikačné kódy, certifikáty, informácie týkajúce sa politiky prístupu a/alebo hesla poskytnuté Spracovateľom údajov Klientovi a všetky informácie poskytnuté Spracovateľom údajov Klientovi, ktoré implementujú technické a organizačné bezpečnostné opatrenia zahrnuté vo Vyhlásení Data Pro, sú dôverné. a Klient s nimi bude takto zaobchádzať a oznámi to iba oprávneným zamestnancom Klienta. Klient zabezpečuje, aby jeho zamestnanci dodržiavali povinnosti podľa tohto článku.

Článok 6. Doba platnosti a ukončenie

• 6.1 Táto spracovateľská zmluva je súčasťou zmluvy a každá nová alebo ďalšia dohoda z nej vyplývajúca, nadobúda účinnosť okamihom uzavretia zmluvy a uzatvára sa na dobu neurčitú.
• 6.2 Táto spracovateľská zmluva končí zo zákona ukončením zmluvy alebo akejkoľvek novej alebo ďalšej dohody medzi zmluvnými stranami.
• 6.3 V prípade skončenia zmluvy o spracúvaní údajov Spracovateľ vymaže všetky Osobné údaje, ktoré má a ktoré od Klienta prijal v lehote uvedenej vo Vyhlásení o údajoch, takým spôsobom, že ich už nebude možné ďalej používať a nie sú prístupné (render neprístupný)., alebo ak bolo dohodnuté, vrátiť ho Klientovi v strojovo čitateľnom formáte.
• 6.4 Spracovateľ údajov môže Klientovi účtovať akékoľvek náklady, ktoré mu vzniknú v súvislosti s ustanoveniami článku 6.3. Ďalšie dohody o tom môžu byť uvedené vo vyhlásení Data Pro.
• 6.5 Ustanovenia článku 6.3 sa nepoužijú, ak zákonný predpis bráni Spracovateľovi úplne alebo čiastočne odstrániť alebo vrátiť Osobné údaje. V takom prípade bude Spracovateľ osobných údajov naďalej spracúvať Osobné údaje len v rozsahu nevyhnutnom pre jeho zákonné povinnosti. Ustanovenia článku 6.3 sa tiež neuplatňujú, ak je prevádzkovateľom v zmysle GDPR v súvislosti s Osobnými údajmi Spracovateľ.

Článok 7. Práva dotknutých osôb, posúdenie vplyvu na ochranu údajov (DPIA) a práva na audit

• 7.1 Spracovateľ údajov bude tam, kde je to možné, spolupracovať s primeranými požiadavkami Klienta, ktoré súvisia s právami Dotknutých osôb, ktoré od Klienta odvolávajú Dotknuté osoby. Ak sa na Spracovateľa údajov obráti priamo dotknutá osoba, odkáže túto osobu, ak je to možné, na Klienta.
• 7.2 Ak je to Klient povinný urobiť, Spracovateľ údajov bude spolupracovať s posúdením vplyvu na ochranu údajov (DPIA) alebo následnou predchádzajúcou konzultáciou, ako je uvedené v článkoch 35 a 36 Priem.
• 7.3 Spracovateľ údajov bude spolupracovať so žiadosťami Klienta o odstránenie osobných údajov, pokiaľ to Klient nemôže vykonať sám.
• 7.4 Na žiadosť Klienta Spracovateľ údajov sprístupní aj všetky ďalšie informácie, ktoré sú primerane potrebné na preukázanie súladu s dohodami uzavretými v tejto zmluve o spracovaní. Ak má Klient napriek tomu dôvod domnievať sa, že k spracovaniu Osobných údajov nedochádza v súlade so zmluvou o spracovaní, môže sa s ním maximálne raz ročne poradiť s nezávislým, certifikovaným, externým odborníkom, ktorý má preukázateľné skúsenosti s daným typom spracovania, ktoré sa vykonáva na základe Zmluvy., nechať vykonať audit na náklady Klienta. Audit sa obmedzí na kontrolu dodržiavania dohôd týkajúcich sa spracovania osobných údajov, ako je uvedené v tejto zmluve so spracovateľom. Znalec bude mať povinnosť mlčanlivosti o tom, čo zistí a Klientovi oznámi len to, čo má za následok nedostatok v plnení povinností, ktoré má Spracovateľ podľa tejto spracovateľskej zmluvy. Expert poskytne kópiu svojej správy spracovateľovi údajov. Spracovateľ údajov môže odmietnuť audit alebo pokyn odborníka, ak to podľa jeho názoru porušuje GDPR alebo iné právne predpisy alebo predstavuje neprípustné porušenie prijatých bezpečnostných opatrení.
• 7.5 Strany budú čo najskôr konzultovať výsledky správy. Strany budú dodržiavať navrhované opatrenia na zlepšenie uvedené v správe, pokiaľ to možno od nich odôvodnene očakávať. Spracovateľ údajov zavedie navrhované opatrenia na zlepšenie v rozsahu, v akom sú podľa jeho názoru vhodné, pričom zohľadní riziká spracovania spojené s jeho produktom alebo službou, súčasný stav techniky, náklady na implementáciu, trh, na ktorom pôsobí, a zamýšľané použitie produktu alebo služby.
• 7.6 Spracovateľ údajov má právo účtovať klientovi náklady, ktoré mu vzniknú v súvislosti s ustanoveniami tohto článku.

Článok 8. Subspracovatelia

• 8.1 Spracovateľ údajov vo vyhlásení o údajoch uviedol, či a ak áno, ktoré tretie strany (subdodávatelia alebo subdodávatelia) spracúvajú osobné údaje.
• 8.2 Klient dáva súhlas Spracovateľovi údajov, aby na plnenie svojich záväzkov vyplývajúcich zo Zmluvy zaangažoval ďalších čiastkových spracovateľov.
• 8.3 Spracovateľ údajov bude Klienta informovať o zmene tretích strán, ktoré Spracovateľ údajov angažoval, napríklad prostredníctvom upraveného Vyhlásenia o údajoch. Klient má právo namietať voči vyššie uvedenej zmene zo strany Spracovateľa údajov. Spracovateľ údajov zabezpečuje, aby sa ním poverené tretie strany zaviazali k rovnakej úrovni zabezpečenia, pokiaľ ide o ochranu Osobných údajov, ako je úroveň zabezpečenia, na ktorú je Spracovateľ údajov zaviazaný voči Klientovi na základe Vyhlásenia Data Pro.

Článok 9. Iné

Tieto štandardné klauzuly o spracovaní spolu s Vyhlásením o údajoch tvoria neoddeliteľnú súčasť zmluvy. Všetky práva a povinnosti vyplývajúce zo Zmluvy, vrátane platných všeobecných obchodných podmienok a/alebo obmedzení zodpovednosti, sa teda vzťahujú aj na zmluvu o spracovaní.