Dogovor o procesorju

Uvod

Autosoft BV med drugim obdeluje osebne podatke za in v imenu stranke. Autosoft BV in stranka sta torej v skladu s Splošno uredbo o varstvu podatkov (GDPR) zavezana skleniti pogodbo o obdelovalcu. Po GDPR je Autosoft BV 'procesor', stranka pa 'upravljavec'. Ta pogodba o obdelovalcu opisuje tudi, kako Autosoft BV ravna z obveznostjo obveščanja o kršitvi podatkov.

Dogovor o procesorju

Sestoji iz:
1. del: Izjava Data Pro
2. del: Standardne klavzule za obdelavo

1. del: Izjava Data Pro

Splošne informacije

1). To izjavo Data Pro je sestavil naslednji obdelovalec podatkov (obdelovalec):

• Autosoft BV
  Hegelosestraat 547
  7521 AG Enschede

Za vprašanja v zvezi s to izjavo Data Pro ali varstvom podatkov se obrnite na:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Ta izjava o podatkih se uporablja od 1. avgusta 2021
To izjavo Data Pro in varnostne ukrepe, ki so v njej opisani, redno prilagajamo, da zagotovimo, da smo vedno pripravljeni in posodobljeni v zvezi z varstvom podatkov. O novih različicah vas bomo obveščali po naših običajnih kanalih.

3). Ta izjava Data Pro velja za naslednje izdelke in storitve za obdelavo podatkov

• AutoWebsite
• AutoCommerce

4). Opis Spletna stran za avtomobile
Avtomobilska podjetja uporabljajo spletno mesto Auto. Z Autowebsite se lahko avtomobilska podjetja predstavijo na internetu.

5). Spletno mesto za avtomobile za namensko uporabo
Autowebsite je zasnovan in opremljen za obdelavo naslednjih vrst podatkov:
Obiskovalci spletnih mest, ki jih je razvil Autosoft z Autowebsite, imajo možnost, da tam pustijo svoje kontaktne podatke, tako da ima avtomobilsko podjetje možnost, da se obrne na obiskovalca za nadaljnje storitve. Ti kontaktni podatki niso shranjeni pri Autosoftu, temveč se posredujejo neposredno po e-pošti na e-poštni naslov avtomobilskega podjetja.

• Ta storitev ne upošteva obdelave posebnih osebnih podatkov, podatkov v zvezi s kazenskimi obsodbami in kaznivimi dejanji ali osebnih številk, ki jih izda država.

6). Opis Autocommerce
Avtomobilska podjetja uporabljajo Autocommerce. Z Autocommerce lahko avtomobilska podjetja upravljajo in predstavljajo svoja vozila na lastnih spletnih straneh in spletnih iskalnih portalih tretjih oseb.

7). Namen uporabe Autocommerce
Autocommerce je zasnovan in opremljen za obdelavo naslednjih vrst podatkov:
Avtomobilska podjetja lahko svoja registrirana vozila postavijo prek Autocommerce na lastno spletno mesto Car. Ta registrirana vozila ne vsebujejo nobenih podatkov, ki bi jih bilo mogoče izslediti do osebnih podatkov v kakršni koli obliki. Obiskovalci spletnega mesta Car imajo možnost, da tam pustijo svoje kontaktne podatke, tako da ima avtomobilsko podjetje možnost, da se obrne na obiskovalca za nadaljnje storitve. Kontaktni podatki, ki jih obiskovalec pusti na svoji spletni strani Auto, so shranjeni v Autocommerce.

• Ta storitev ne upošteva obdelave posebnih osebnih podatkov, podatkov v zvezi s kazenskimi obsodbami in kaznivimi dejanji ali osebnih številk, ki jih izda država.

8). Obdelovalec podatkov uporablja Standardne klavzule za obdelavo za Autowebsite in Autocommerce, ki jih najdete kot dodatek k pogodbi.

9). Obdelovalec podatkov obdeluje osebne podatke svojih strank v EU/EGP za Autowebsite in Autocommerce.

10). Obdelovalec podatkov uporablja naslednje podprocesorje za Autocommerce:
V nekaterih primerih Autosoft svoja registrirana vozila prek Autocommercea pošlje na spletne iskalne portale tretjih oseb ali podobdelovalcev v imenu Car Company. Seznam podprocesorjev je na voljo na zahtevo na support@autosoft.eu.

11). Po prekinitvi pogodbe s stranko bo obdelovalec osebne podatke, ki jih obdeluje za stranko, načeloma odstranil v roku 3 mesecev na način, da jih ni več mogoče uporabljati in niso več dostopni (postane nedostopni).

Varnostna politika

Povzemite naslednje varnostne ukrepe, ki jih je obdelovalec podatkov sprejel za zaščito svojega izdelka ali storitve:

Upravljanje incidentov in politika odzivanja
Politika obvladovanja in odzivanja na incidente na področju informacijske varnosti vključuje spremljanje in odkrivanje varnostnih incidentov na računalniški ali IT infrastrukturi, pa tudi opazovanje sumljivih aktivnosti osebja ter izvajanje pravilnih odzivov na te dogodke.

Primarni cilj te politike je razviti dobro razumljen in predvidljiv odziv na zlonamerne dogodke in računalniške vdore v najširšem pomenu besede.

Politika upravljanja in odzivanja na incidente je proces upravljanja in zaščite računalnikov, omrežij in informacijskih sistemov ter informacij, shranjenih v njih. Autosoft se zaveda svoje odgovornosti, ko gre za zaščito teh informacij v korist svojih strank in partnerjev v dobavni verigi. Ta odgovornost sega na postopek v zvezi z incidentom. Upravljanje incidentov je niz dejavnosti, ki definirajo in izvajajo proces, ki ga lahko organizacija uporabi za spodbujanje lastne blaginje in varnosti javnosti.

IT in varnost
Struktura IKT podjetja Autosoft BV je ustrezno zavarovana s požarnim zidom, programska oprema za skeniranje virusov pa je posodobljena. Vsak zaposleni ima svoj profil za prijavo. Ob zagonu računalnika morajo zaposleni vnesti prijavno ime in geslo ter po možnosti z avtentikacijo v dveh korakih.

Določena programska oprema zahteva tudi prijavno ime in geslo ter, kjer je mogoče, preverjanje pristnosti v dveh korakih. Spodbuja se ozaveščenost zaposlenih o varnem delu, kot je opozarjanje na ne odpiranje sumljivih e-poštnih sporočil, neklikanje na sumljive povezave, odjava ob daljšem odhodu z delovnega mesta ipd.

Datoteke se varnostno kopirajo čez dan in vsako noč. Iz varnostnih razlogov je nadaljnji postopek shranjevanja v zvezi z varnostno kopijo zaupen. Autosoft BV ima za to sklenjene storitvene pogodbe z dobavitelji računalnikov in ponudniki internetnega gostovanja.

Politika varstva podatkov
Autosoft BV sprejema ustrezne tehnične in organizacijske ukrepe za zaščito osebnih podatkov stranke pred izgubo ali kakršno koli obliko nezakonite obdelave. Ti tehnični in organizacijski ukrepi se štejejo za ustrezno raven varnosti v smislu 1. člena GDPR in so shranjeni kot dokumenti v osrednjem Basecampu (Projekt: Organizacija / Politika varstva podatkov) Autosoft BV.

Tehnično in organizacijsko

1. Ukrepi za zagotovitev, da ima samo pooblaščeno osebje dostop do osebnih podatkov, ki se obdelujejo v okviru pogodbe o obdelovalcu;
2. Ukrepi za zaščito osebnih podatkov, zlasti pred naključnim ali nezakonitim uničenjem, izgubo, naključno spremembo, nepooblaščenim ali nezakonitim shranjevanjem, dostopom ali razkritjem;
3. Ukrepi za zaščito osebnih podatkov zlasti pred naključnim ali nezakonitim uničenjem, izgubo, naključno spremembo, nepooblaščenim ali nezakonitim shranjevanjem, dostopom ali razkritjem med izmenjavo/prevozom podatkov;
4. Ukrepi za zagotavljanje sposobnosti stalnega zagotavljanja zaupnosti, celovitosti, razpoložljivosti in odpornosti sistemov in storitev za urejanje;
5. Ukrepi za pravočasno obnovitev razpoložljivosti in dostopa do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
6. Ukrepi za odkrivanje ranljivosti v zvezi z obdelavo osebnih podatkov v sistemih, ki se uporabljajo za zagotavljanje storitev po pogodbi;

Organizacijske, kot so:

• Omejitev kroga uradnih oseb, ki imajo dostop do določenih osebnih podatkov, na tiste osebe, ki podatke potrebujejo za opravljanje svojih nalog;
• omogočiti tem osebam dostop le do osebnih podatkov, ki jih potrebujejo za opravljanje svojih nalog;
• dogovor o klavzuli o zaupnosti s klavzulo o kazni z vsemi osebami, ki jim bo omogočen dostop do osebnih podatkov;
• shranjevanje osebnih podatkov na strežnikih v zaprtem prostoru;
• Hranjenje papirnatih datotek v omarah, ki jih je mogoče zakleniti;
• ustvarjanje zavesti o informacijski varnosti med zaposlenimi;
• vzpostavitev jasnih protokolov in postopkov za pravočasno in učinkovito obravnavo incidentov na področju informacijske varnosti in varnostnih ranljivosti;

Obdelovalec podatkov uporablja lastne metodologije in postopke za upravljanje, ki ustrezajo delovni metodi organizacije:

• Znotraj Basecampa se ustrezni dokumenti upravljajo in redno ocenjujejo.

Protokol kršitve podatkov

V primeru, da gre kaj narobe, obdelovalec podatkov uporabi naslednji protokol uhajanja podatkov, da zagotovi, da je stranka seznanjena z incidenti:

Autosoft BV – Postopek za kršitev podatkov

Kaj je kršitev podatkov in kdaj jo moram prijaviti AP?
Kršitev podatkov je incident informacijske varnosti, ki vključuje kršitev varnosti osebnih podatkov zaradi izpostavljenosti izgubi ali nezakoniti obdelavi, kot so (vendar ne izčrpno):

• Prilagajanje in/ali spreminjanje osebnih podatkov ter nepooblaščen dostop do teh osebnih podatkov;
• V primeru vdora hekerja;
• Izguba ključka USB, krajo prenosnega računalnika;
• Pošiljanje občutljivih podatkov na napačen e-poštni naslov;

Po zakonu je treba 'resno' kršitev podatkov brez nepotrebnega odlašanja prijaviti nizozemskemu organu za varstvo podatkov, po možnosti pa najkasneje v 72 urah po odkritju.

Autosoft BV ni treba poročati nizozemskemu organu za varstvo podatkov, če je dejanska identifikacija posameznih fizičnih oseb razumno izključena.
Vsi sumi incidenta na področju informacijske varnosti bodo obravnavani na prvi stopnji support@autosoft.eu prijavljen in registriran. Podpora poroča o incidentu vodstveni skupini in določi, katere nadaljnje ukrepe je treba sprejeti.

Nadaljnji postopek

Kdaj moram obvestiti posameznike, na katere se nanašajo osebni podatki?
Kršitev podatkov je treba prijaviti posamezniku, na katerega se nanašajo osebni podatki, če v primeru kršitve obstaja veliko tveganje, da bo imela kršitev škodljive posledice za njegovo ali njeno zasebno življenje. Neugodne posledice za posameznika, na katerega se nanašajo osebni podatki, so: škoda njegovemu ugledu in ugledu, goljufija identitete ali diskriminacija. Če je Autosoft BV sprejel ustrezne tehnične zaščitne ukrepe, zaradi katerih so zadevni osebni podatki postali nerazumljivi ali nedostopni, obveščanje posameznika, na katerega se nanašajo osebni podatki, ni potrebno. Obvestilo posamezniku, na katerega se osebni podatki nanašajo, vsebuje v jasnem in preprostem jeziku opis narave kršitve osebnih podatkov in vsaj:

• ime in kontaktne podatke pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, kjer je mogoče dobiti več informacij;
• verjetne posledice kršitve varstva osebnih podatkov;
• ukrepe, ki jih predlaga ali sprejme upravljavec za odpravo kršitve osebnih podatkov, vključno, kjer je to primerno, z ukrepi za ublažitev morebitnih škodljivih učinkov te kršitve. Oceno, ali je treba kršitev podatkov prijaviti nizozemskemu organu za varstvo podatkov in/ali prizadetim osebam, vedno odloča Autosoft BV. Da bi ugotovili, ali je treba incident prijaviti, je nizozemski organ za varstvo podatkov sestavil pravila politike (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) in delovna skupina 29 evropskih smernic za nadzornike, objavljenih o obveznosti poročanja v GDPR. Če Autosoft BV ni prijavil kršitve podatkov, lahko nizozemski organ za varstvo podatkov zahteva, da Autosoft BV še vedno predloži poročilo. Neprijava se lahko kaznuje z upravno globo.

Kako prijavim kršitev podatkov?
Nizozemski organ za varstvo podatkov daje na voljo spletni obrazec, ki ga je treba uporabiti za prijavo kršitev podatkov (https://dataleks.autoriteitpersoonsgegevens.nl/). Nizozemski organ za varstvo podatkov vodi register prejetih obvestil o kršitvi podatkov. Ta register ni javen. Če nizozemski organ za varstvo podatkov zaradi kršitve podatkov naloži globo, bo ta odločitev objavljena. Kršitev podatkov se objavi tudi, ko je treba posameznike, na katere se nanašajo osebni podatki, obvestiti o kršitvi podatkov. Obvestilo posameznika, na katerega se osebni podatki nanašajo, mora v vsakem primeru navesti naravo kršitve in organe, pri katerih lahko posameznik, na katerega se nanašajo osebni podatki, pridobi več informacij o kršitvi. Prav tako je treba navesti, kaj lahko posameznik, na katerega se nanašajo osebni podatki, sam naredi, da omeji negativne posledice kršitve podatkov. Na primer, spreminjanje uporabniških imen in gesel, ko so bili morda ogroženi zaradi kršitve.

Kaj naj prijavim?
Obvestilo nizozemskemu organu za varstvo podatkov vključuje:

• Poročevalec kršitve podatkov.
• Oseba, na katero se lahko obrne nizozemski organ za varstvo podatkov za dodatne informacije o poročilu.
• Povzetek incidenta, pri katerem je prišlo do kršitve varnosti osebnih podatkov.
• Čas kršitve.
• Narava kršitve.
• Vrsta zadevnih osebnih podatkov.
• Posledice, ki bi jih lahko imela kršitev za zasebnost vpletenih.
• Tehnični in organizacijski ukrepi, ki jih je Autosoft BV sprejel za odpravo kršitve in preprečevanje nadaljnjih kršitev.
• Ali je Autosoft BV prijavil kršitev podatkov posameznikom, na katere se podatki nanašajo, in če ne, ali namerava Autosoft BV to storiti:
• Če je tako, vsebina obvestila posameznikom, na katere se nanašajo osebni podatki.
• Če ne, razlog, zakaj se Autosoft BV vzdrži poročanja o kršitvi podatkov posameznikom, na katere se nanašajo osebni podatki.
• Ali so bili osebni podatki šifrirani, zgoščeni ali kako drugače nerazumljivi ali nedostopni nepooblaščenim osebam?

2. del: Standardne klavzule za obdelavo

Različica: september 2019
Sestavlja skupaj z izjavo Data Pro pogodbo o obdelavi in ​​je dodatek k pogodbi in pripadajočim prilogam, kot so veljavni splošni pogoji.

1. člen Opredelitve pojmov

Spodnji izrazi imajo naslednje pomene v teh standardnih klavzulah za obdelavo, v izjavi o podatkih Pro in v pogodbi:

• 1.1 Nizozemski organ za varstvo podatkov (AP): nadzorni organ, kot je opisano v 4. členu 21. Povpr.
• 1.2 AVG: Splošno uredbo o varstvu podatkov.
• 1.3 Procesor podatkov: stranka, ki kot dobavitelj IKT obdeluje osebne podatke v korist svojega naročnika v okviru izvajanja pogodbe.
• 1.4 Izjava Data Pro: izjava obdelovalca podatkov, v kateri zagotavlja informacije v zvezi z nameravano uporabo svojega izdelka ali storitve, sprejetimi varnostnimi ukrepi, podobdelovalci, uhajanjem podatkov, potrdili in ravnanjem s pravicami posameznikov, na katere se podatki nanašajo.
• 1.5 Posameznik, na katerega se nanašajo osebni podatki (na katerega se nanašajo osebni podatki): identificirana ali določljiva fizična oseba.
• 1.6 Stranka: stranka, v imenu katere Obdelovalec podatkov obdeluje osebne podatke. Naročnik je lahko krmilnik (»krmilnik«) ali drug procesor.
• 1.7 Dogovor: pogodba med naročnikom in obdelovalcem podatkov, na podlagi katere dobavitelj IKT naročniku dobavlja storitve in/ali izdelke, katere del je pogodba o obdelovalcu.
• 1.8 Osebni podatki: vsi podatki o določeni ali določljivi fizični osebi, kot je opisano v členu 4, pod 1 AVG, ki jih Obdelovalec podatkov obdeluje v okviru izvajanja svojih obveznosti, ki izhajajo iz Pogodbe.
• 1.9 Pogodba o obdelavi: te standardne klavzule za obdelavo, ki skupaj z izjavo Data Pro (ali primerljivimi informacijami) obdelovalca podatkov tvorijo pogodbo o obdelavi iz 28. odstavka 3. člena GDPR.

2. člen Splošno

• 2.1 Te standardne klavzule o obdelavi veljajo za vso obdelavo osebnih podatkov, ki jo izvaja obdelovalec podatkov v okviru dostave svojih izdelkov in storitev ter za vse pogodbe in ponudbe. Uporabnost strankinih pogodb o obdelavi je izrecno zavrnjena.
• 2.2 Obdelovalec podatkov lahko občasno spremeni izjavo Data Pro in zlasti varnostne ukrepe, ki jih vsebuje, da odražajo spreminjajoče se okoliščine. Obdelovalec podatkov bo naročnika obvestil o pomembnih spremembah. Če se naročnik s prilagoditvami ne more razumno strinjati, ima pravico do pisne odpovedi pogodbe o obdelavi v 30 dneh od obvestila o prilagoditvah.
• 2.3 Obdelovalec osebne podatke obdeluje v imenu in za račun naročnika v skladu s pisnimi navodili naročnika, dogovorjenimi z obdelovalcem podatkov.
• 2.4 Naročnik oziroma njegova stranka je upravljavec v smislu GDPR, ima nadzor nad obdelavo osebnih podatkov in je določil namen in način obdelave osebnih podatkov.
• 2.5 Obdelovalec podatkov je obdelovalec v smislu GDPR in zato nima nadzora nad namenom in sredstvi obdelave osebnih podatkov in zato med drugim ne odloča o uporabi osebnih podatkov.
• 2.6 Obdelovalec podatkov izvaja GDPR, kot je določeno v teh standardnih klavzulah za obdelavo, izjavi o podatkih Pro in pogodbi. Naročnik mora na podlagi teh informacij oceniti, ali Obdelovalec podatkov nudi zadostna jamstva glede uporabe ustreznih tehničnih in organizacijskih ukrepov, tako da obdelava ustreza zahtevam GDPR in varstvu pravic posameznikov, na katere se osebni podatki nanašajo. zadostuje zagotovljeno.
• 2.7 Naročnik jamči obdelovalcu podatkov, da deluje v skladu z GDPR, da ves čas ustrezno ščiti svoje sisteme in infrastrukturo ter da vsebina, uporaba in/ali obdelava osebnih podatkov ni nezakonita in ne krši nobenih pravic. tretje osebe.
• 2.8 Upravne globe, ki jo je naročniku naložila AP, ni mogoče izterjati od Obdelovalca podatkov.

3. člen Varnost

• 3.1 Obdelovalec podatkov sprejme tehnične in organizacijske varnostne ukrepe, kot je opisano v svoji izjavi za Data Pro. Pri izvajanju tehničnih in organizacijskih varnostnih ukrepov je Obdelovalec podatkov upošteval stanje tehnike, stroške izvajanja varnostnih ukrepov, naravo, obseg in kontekst obdelave, namene in predvideno uporabo svojih izdelkov in storitev. , tveganja obdelave in tveganja, ki se razlikujejo po verjetnosti in resnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ki bi jih lahko pričakoval glede na nameravano uporabo svojih izdelkov in storitev.
• 3.2 Če v izjavi za Data Pro ni izrecno navedeno drugače, izdelek ali storitev obdelovalca podatkov ni zasnovana za obdelavo posebnih kategorij osebnih podatkov ali podatkov v zvezi s kazenskimi obsodbami ali kaznivimi dejanji ali osebnimi številkami, ki jih izda država.
• 3.3 Obdelovalec podatkov si prizadeva zagotoviti, da so varnostni ukrepi, ki jih mora sprejeti, primerni za nameravano uporabo izdelka ali storitve obdelovalca podatkov.
• 3.4 Po mnenju naročnika opisani varnostni ukrepi ponujajo ob upoštevanju dejavnikov iz člena 3.1 raven varnosti, prilagojeno tveganju obdelave osebnih podatkov, ki jih ta uporablja ali zagotavlja.
• 3.5 Obdelovalec podatkov lahko spremeni sprejete varnostne ukrepe, če je po njegovem mnenju to potrebno za nadaljnje zagotavljanje ustrezne ravni varnosti. Obdelovalec podatkov bo zabeležil pomembne spremembe, na primer v spremenjeno izjavo Data Pro, in o teh spremembah obvestil naročnika, kjer je to ustrezno.
• 3.6 Stranka lahko od obdelovalca podatkov zahteva dodatne varnostne ukrepe. Obdelovalec podatkov na takšno zahtevo ni dolžan spreminjati svojih varnostnih ukrepov. Obdelovalec podatkov lahko stroške v zvezi s spremembami na zahtevo naročnika zaračuna naročniku. Šele potem, ko so spremenjeni varnostni ukrepi, ki jih želi naročnik, pisno dogovorjeni in podpisani s strani strank, je Obdelovalec podatkov dolžan te varnostne ukrepe dejansko izvajati.

4. člen. Kršitev osebnih podatkov

• 4.1 Obdelovalec podatkov ne jamči, da so varnostni ukrepi učinkoviti v vseh okoliščinah. Če obdelovalec podatkov odkrije kršitev v zvezi z osebnimi podatki (kot je navedeno v členu 4 pod 12 Avg), bo o tem brez nepotrebnega odlašanja obvestil stranko. Izjava Data Pro (v skladu s protokolom o uhajanju podatkov) določa, kako obdelovalec podatkov obvešča stranko o kršitvah v zvezi z osebnimi podatki.
• 4.2 Upravljavec (naročnik ali njegova stranka) mora oceniti, ali je treba kršitev osebnih podatkov, o kateri je obvestil obdelovalec podatkov, prijaviti AP ali posameznik, na katerega se nanašajo osebni podatki. Za prijavo kršitev v zvezi z osebnimi podatki, ki jih je treba prijaviti AP in/ali posameznikom, na katere se podatki nanašajo v skladu s členoma 33 in 34 GDPR, je vedno odgovoren upravljavec (naročnik ali njegova stranka). Obdelovalec podatkov ni dolžan prijaviti kršitev osebnih podatkov AP in/ali posamezniku, na katerega se podatki nanašajo.
• 4.3 Obdelovalec podatkov bo po potrebi zagotovil dodatne informacije o kršitvi v zvezi z osebnimi podatki in bo sodeloval pri zagotavljanju potrebnih informacij stranki za namen obvestila iz členov 33 in 34 Avg.
• 4.4 Obdelovalec podatkov lahko naročniku zaračuna razumne stroške, ki nastanejo v tem kontekstu, po takrat veljavnih cenah.

5. člen Zaupnost

• 5.1 Obdelovalec podatkov jamči, da imajo osebe, ki obdelujejo osebne podatke na njegovo odgovornost, dolžnost zaupnosti.
• 5.2 Obdelovalec podatkov je upravičen posredovati osebne podatke tretjim osebam, če in kolikor je posredovanje potrebno na podlagi sodne odločbe, pravnega predpisa ali na podlagi pooblaščene odredbe državnega organa.
• 5.3 Vse dostopne in/ali identifikacijske kode, potrdila, informacije o politiki dostopa in/ali gesla, ki jih obdelovalec podatkov posreduje naročniku, in vse informacije, ki jih obdelovalec podatkov posreduje naročniku, ki izvajajo tehnične in organizacijske varnostne ukrepe, vključene v izjavo Data Pro, so zaupne. in bo tako obravnavan s strani naročnika in seznanjen samo s pooblaščenimi zaposlenimi pri naročniku. Naročnik zagotavlja, da njegovi zaposleni izpolnjujejo obveznosti iz tega člena.

6. člen. Trajanje in prenehanje

• 6.1 Ta pogodba o obdelovalcu je del pogodbe in vsaka nova ali nadaljnja pogodba, ki izhaja iz nje, začne veljati ob sklenitvi pogodbe in je sklenjena za nedoločen čas.
• 6.2 Ta pogodba o obdelovalcu preneha po zakonu z odpovedjo pogodbe ali kakršnega koli novega ali nadaljnjega sporazuma med strankama.
• 6.3 V primeru prenehanja pogodbe o obdelavi bo Obdelovalec podatkov izbrisal vse osebne podatke, ki so v njegovi lasti in so bili prejeti od naročnika v roku, navedenem v Izjavi o obdelavi podatkov, na način, da jih ni več mogoče uporabljati in jih ne bo več dostopen (opraviti nedostopen). , ali, če je dogovorjeno, ga vrnite naročniku v strojno berljivi obliki.
• 6.4 Obdelovalec podatkov lahko naročniku zaračuna vse stroške, ki jih ima v okviru določb člena 6.3. Nadaljnji dogovori o tem so lahko določeni v izjavi o podatkih Pro.
• 6.5 Določbe 6.3. člena se ne uporabljajo, če zakonski predpis obdelovalcu podatkov onemogoča popolno ali delno odstranitev ali vrnitev osebnih podatkov. V takem primeru bo obdelovalec osebnih podatkov še naprej obdeloval osebne podatke v obsegu, ki je potreben v skladu s svojimi zakonskimi obveznostmi. Določbe 6.3. člena tudi ne veljajo, če je obdelovalec podatkov upravljavec v smislu GDPR glede osebnih podatkov.

7. člen Pravice posameznikov, na katere se nanašajo osebni podatki, presoja vpliva na varstvo podatkov (DPIA) in pravice do revizije

• 7.1 Obdelovalec podatkov bo, kjer je to mogoče, sodeloval z razumnimi zahtevami naročnika, ki so povezane s pravicami posameznikov, na katere se nanašajo osebni podatki, na katere se od naročnika sklicujejo posamezniki, na katere se nanašajo osebni podatki. Če se posameznik, na katerega se nanašajo osebni podatki, neposredno obrne na obdelovalca podatkov, bo to osebo napotil k naročniku, kjer je to mogoče.
• 7.2 Če je naročnik k temu dolžan, bo obdelovalec podatkov sodeloval pri presoji vpliva na varstvo podatkov (DPIA) ali naknadnem predhodnem posvetovanju, kot je navedeno v členih 35 in 36 Avg.
• 7.3 Obdelovalec podatkov bo sodeloval pri naročnikovih zahtevah za odstranitev osebnih podatkov, v kolikor naročnik tega ne more izvesti sam.
• 7.4 Na zahtevo naročnika bo obdelovalec podatkov dal na voljo tudi vse nadaljnje informacije, ki so razumno potrebne za dokazovanje skladnosti s pogodbami, sklenjenimi v tej pogodbi o obdelavi. Če ima naročnik kljub temu razlog za domnevo, da obdelava osebnih podatkov ne poteka v skladu s pogodbo o obdelavi, se lahko največ enkrat letno posvetuje z neodvisnim, certificiranim zunanjim strokovnjakom, ki ima dokazljive izkušnje z vrsto obdelavo, ki se izvaja na podlagi pogodbe. , da opravi revizijo na stroške naročnika. Revizija bo omejena na preverjanje skladnosti s pogodbami glede obdelave osebnih podatkov, kot je določeno v tej pogodbi o obdelovalcu. Strokovnjak bo imel dolžnost zaupnosti glede tega, kar bo ugotovil, in bo naročniku poročal le tisto, kar ima za posledico pomanjkljivost pri izpolnjevanju obveznosti, ki jih ima Obdelovalec podatkov po tej pogodbi o obdelovalcu. Izvedenec bo kopijo svojega poročila posredoval obdelovalcu podatkov. Obdelovalec podatkov lahko zavrne revizijo ali navodilo strokovnjaka, če po njegovem mnenju to krši GDPR ali drugo zakonodajo ali pomeni nedopustno kršitev sprejetih varnostnih ukrepov.
• 7.5 Stranke se bodo o rezultatih poročila posvetovale v najkrajšem možnem času. Stranke bodo sledile predlaganim izboljšavnim ukrepom, navedenim v poročilu, v obsegu, v katerem je to od njih mogoče razumno pričakovati. Obdelovalec podatkov bo predlagane ukrepe za izboljšanje izvajal v obsegu, v katerem so po njegovem mnenju ustrezni, pri čemer bo upošteval tveganja obdelave, povezana z njegovim izdelkom ali storitvijo, stanje tehnike, stroške izvajanja, trg, na katerem deluje, in nameravana uporaba izdelka ali storitve storitev.
• 7.6 Obdelovalec podatkov ima pravico, da stroške, ki jih ima v okviru določb tega člena, zaračuna naročniku.

8. člen. Podobdelovalci

• 8.1 Obdelovalec podatkov je v izjavi o osebnih podatkih navedel, ali in če je odgovor pritrdilen, katere tretje osebe (podobdelovalci ali podobdelovalci) se obdeluje osebnih podatkov.
• 8.2 Naročnik dovoljuje Obdelovalcu podatkov, da za izpolnjevanje svojih obveznosti, ki izhajajo iz pogodbe, angažira druge podobdelovalce.
• 8.3 Obdelovalec podatkov bo naročnika obvestil o spremembi tretjih oseb, ki jih je angažiral obdelovalec podatkov, na primer s spremenjeno izjavo Data Pro. Naročnik ima pravico do ugovora zgoraj omenjeni spremembi s strani Obdelovalca podatkov. Obdelovalec podatkov zagotavlja, da se tretje osebe, ki jih angažira, zavežejo enaki stopnji varnosti v zvezi z varstvom osebnih podatkov, kot je varnostna raven, na katero je obdelovalec podatkov vezan do naročnika na podlagi Izjave Data Pro.

9. člen Drugo

Te standardne klavzule o obdelavi skupaj z izjavo Data Pro so sestavni del pogodbe. Vse pravice in obveznosti iz pogodbe, vključno z veljavnimi splošnimi pogoji in/ali omejitvami odgovornosti, torej veljajo tudi za pogodbo o obdelavi.