Споразум са процесором

Увод

Аутософт БВ обрађује, између осталог, личне податке за и у име клијента. Аутософт БВ и купац су стога обавезни према Општој уредби о заштити података (ГДПР) да закључе уговор о обрађивачу. Према ГДПР-у, Аутософт БВ је „процесор“, а купац је „контролор“. Овај уговор са процесором такође описује како Аутософт БВ поступа са обавезом обавештавања о повреди података.

Споразум са процесором

Који се састоји од:
Део 1: Дата Про изјава
Део 2: Стандардне клаузуле за обраду

Део 1: Дата Про изјава

Опште информације

1). Ову изјаву о подацима Про је саставио следећи обрађивач података (процесор):

• Аутософт БВ
  Хегелосестраат 547
  7521 АГ Еншеде

За питања о овој Изјави о Дата Про или заштити података, контактирајте:
Артур ван дер Лек: артхур@аутософт.еу / +31 (0)53 – 428 00 98

2). Ова Дата Про изјава се примењује од 1. августа 2021
Редовно прилагођавамо ову Изјаву о подацима Про и безбедносне мере описане у њој како бисмо били сигурни да смо увек спремни и ажурни у погледу заштите података. Обавештаваћемо вас о новим верзијама путем наших уобичајених канала.

3). Ова Дата Про изјава се односи на следеће производе и услуге за обраду података

• АутоВебсите
• АутоЦоммерце

4). Опис Сајт аутомобила
Аутомобилске компаније користе Аутовебсите. Са Аутовебсите-ом, аутомобилске компаније могу да се представе на интернету.

5). Интернет страница за аутомобиле за наменску употребу
Аутовеб сајт је дизајниран и опремљен за обраду следећих врста података:
Посетиоци веб локација које је Аутософт развио са Аутовебсите-ом имају могућност да тамо оставе своје контакт податке како би аутомобилска компанија имала прилику да приступи посетиоцу ради даљих услуга. Ови контакт детаљи се не чувају у Аутософту, већ се прослеђују директно путем е-поште на е-маил адресу компаније за аутомобиле.

• Ова услуга не узима у обзир обраду посебних личних података, или података који се односе на кривичне пресуде и кривична дела или државне бројеве издате.

6). Опис Аутоцоммерце
Аутомобилске компаније користе Аутоцоммерце. Са Аутоцоммерце-ом, аутомобилске компаније могу да управљају и представљају своја возила на сопственој веб страници и интернет порталима за претрагу трећих страна.

7). Наменска употреба Аутоцоммерце
Аутоцоммерце је дизајниран и опремљен за обраду следећих типова података:
Аутомобилске компаније могу поставити своја регистрована возила путем Аутоцоммерце-а на сопственој веб страници аутомобила. Ова регистрована возила не садрже никакве податке који се могу пратити до личних података у било ком облику. Посетиоци сајта Ауто имају могућност да тамо оставе своје контакт податке како би ауто-компанија имала прилику да приступи посетиоцу ради даљих услуга. Контакт подаци које посетилац остави на сопственој Ауто веб локацији чувају се у Аутоцоммерце-у.

• Ова услуга не узима у обзир обраду посебних личних података, или података који се односе на кривичне пресуде и кривична дела или државне бројеве издате.

8). Обрађивач података користи Стандардне клаузуле за обраду за Аутовебсите и Аутоцоммерце, које се могу наћи као додатак Уговору.

9). Обрађивач података обрађује личне податке својих клијената унутар ЕУ/ЕЕА за Аутовебсите и Аутоцоммерце.

10). Процесор података користи следеће подпроцесоре за Аутоцоммерце:
У неким случајевима Аутософт шаље своја регистрована возила преко Аутоцоммерце-а на портале за претраживање интернета трећих страна или подпроцесора у име Ауто компаније. Листа подпроцесора је доступна на захтев на суппорт@аутософт.еу.

11). Након раскида Уговора са клијентом, обрађивач података ће у принципу уклонити личне податке које обрађује за клијента у року од 3 месеца на начин да се више не могу користити и више нису доступни (учинити недоступним).

Безбедносна политика

Резимирајте следеће безбедносне мере које је обрађивач података предузео да заштити свој производ или услугу:

Управљање инцидентима и политика реаговања
Управљање инцидентима и политике реаговања у области информационе безбедности обухватају праћење и откривање безбедносних инцидената на рачунару или ИТ инфраструктури, али и уочавање сумњивих активности особља, као и спровођење исправних одговора на те догађаје.

Примарни циљ ове политике је да се развије добро разумљив и предвидљив одговор на злонамерне догађаје и компјутерске упаде у најширем смислу те речи.

Управљање инцидентима и политика одговора је процес управљања и заштите рачунара, мрежа и информационих система и информација које се у њима чувају. Аутософт је свестан своје одговорности када је у питању заштита ових информација у корист својих купаца и партнера у ланцу снабдевања. Ова одговорност се протеже на процедуру за инцидент. Управљање инцидентима је скуп активности које дефинишу и имплементирају процес који организација може користити за промовисање сопственог благостања и безбедности јавности.

ИТ и безбедност
ИКТ структура Аутософт БВ је адекватно обезбеђена заштитним зидом, а софтвер за скенирање вируса се одржава ажурним. Сваки запослени има профил за пријаву. Приликом покретања рачунара, запослени морају да унесу корисничко име и лозинку и где је могуће са аутентификацијом у 2 корака.

Одређени софтвер такође тражи корисничко име и лозинку и, где је могуће, аутентификацију у 2 корака. Стимулише се свест запослених о безбедном раду, као што је скретање пажње на неотварање сумњивих мејлова, некликање на сумњиве линкове, одјављивање при дужем напуштању радног места и сл.

Датотеке се праве резервне копије током дана и сваке ноћи. Из безбедносних разлога, даљи поступак складиштења око резервне копије је поверљив. Аутософт БВ је за ово закључио сервисне уговоре са добављачима рачунара и интернет хостинг провајдерима.

Политика заштите података
Аутософт БВ предузима одговарајуће техничке и организационе мере да заштити личне податке корисника од губитка или било ког облика незаконите обраде. Ове техничке и организационе мере се сматрају одговарајућим безбедносним нивоом у смислу члана 1. ГДПР-а и чувају се као документи у централном Басецамп-у (Пројекат: Организација / Политика заштите података) Аутософт БВ.

Технички и организациони

1. Мере за обезбеђивање да само овлашћено особље има приступ личним подацима који се обрађују у контексту Уговора о обрађивачу;
2. Мере заштите личних података, посебно од случајног или незаконитог уништења, губитка, случајне измене, неовлашћеног или незаконитог складиштења, приступа или откривања;
3. Мере заштите личних података од, посебно, случајног или незаконитог уништења, губитка, случајне измене, неовлашћеног или незаконитог складиштења, приступа или откривања током размене/транспорта података;
4. Мере за обезбеђивање способности да се обезбеди поверљивост, интегритет, доступност и отпорност система и услуга за уређивање на сталној основи;
5. Мере за обнављање доступности и благовременог приступа личним подацима у случају физичког или техничког инцидента;
6. Мере за идентификацију рањивости у вези са обрадом личних података у системима који се користе за пружање услуга по уговору;

Организационе као што су:

• Ограничавање круга службеника који имају приступ одређеним личним подацима на она лица којима су подаци потребни за обављање дужности;
• давање приступа овим лицима само личним подацима који су им потребни за обављање њихових дужности;
• усаглашавање клаузуле о поверљивости са клаузулом казне са свим лицима којима ће бити одобрен приступ личним подацима;
• чување личних података на серверима у затвореном простору;
• чување папирних датотека у ормарићима који се закључавају;
• стварање свести о безбедности информација међу запосленима;
• успостављање јасних протокола и процедура за благовремено и ефикасно поступање са инцидентима безбедности информација и безбедносним рањивостима;

Процесор података користи сопствене методологије и процедуре за управљање које се уклапају у радни метод организације:

• У оквиру Басецамп-а, релевантним документима се управља и периодично се оцењује.

Протокол повреде података

У случају да нешто крене наопако, процесор података користи следећи протокол за цурење података како би осигурао да је клијент свестан инцидената:

Аутософт БВ – Процедура повреде података

Шта је повреда података и када то морам да пријавим АП-у?
Нарушавање података је инцидент безбедности информација који укључује нарушавање безбедности личних података услед излагања губитку или незаконитој обради као што су (али не у потпуности):

• Прилагођавање и/или мењање личних података и неовлашћени приступ овим личним подацима;
• У случају провале хакера;
• Губитак УСБ стицка, крађа лаптопа;
• Слање осетљивих података на нетачну адресу е-поште;

Према закону, 'озбиљна' повреда података мора се пријавити холандском органу за заштиту података без непотребног одлагања, а ако је могуће најкасније 72 сата након открића.

Аутософт БВ не мора да подноси извештаје Холандском органу за заштиту података ако је стварна идентификација појединачних физичких лица разумно искључена.
Све сумње о инциденту у области безбедности информација биће првостепено решене суппорт@аутософт.еу пријављен и регистрован. Подршка пријављује инцидент Управљачком тиму и одређује које даље радње треба предузети.

Процедура праћења

Када морам да обавестим субјекте података?
Кршење података мора бити пријављено субјекту података ако, у случају кршења, постоји велики ризик да ће повреда имати штетне последице по његов или њен приватни живот. Неповољне последице по носиоца података су: нарушавање његовог угледа и угледа, превара идентитета или дискриминација. Ако је Аутософт БВ предузео одговарајуће техничке мере заштите, због чега су лични подаци у питању постали неразумљиви или недоступни, обавештење субјекту података није потребно. Обавештење субјекту података садржи опис, јасним и једноставним језиком, природе повреде личних података и најмање:

• име и контакт податке службеника за заштиту података или друге контакт тачке где се може добити више информација;
• вероватне последице повреде личних података;
• мере које је предложио или предузео контролор за решавање повреде личних података, укључујући, где је то прикладно, мере за ублажавање било каквих штетних ефеката. Процена да ли се повреда података мора пријавити холандском органу за заштиту података и/или погођеним лицима увек доноси Аутософт БВ. Да би се утврдило да ли се инцидент мора пријавити, холандска управа за заштиту података је саставила правила политике (хттпс://ауторитеитперсоонсгегевенс.нл/нл/зелф-доен/тхематиц-белеидсреглемент/белеидсреглемент-мелдспраак-датарекен-2015) и радна група 29 европских смерница за супервизоре објављене о обавези извештавања у ГДПР. Ако Аутософт БВ није пријавио кршење података, холандско тело за заштиту података може захтевати да Аутософт БВ ипак сачини извештај. Непријављивање може бити кажњено административном казном.

Како да пријавим кршење података?
Холандско тело за заштиту података ставља на располагање веб образац који се мора користити за пријаву кршења података (хттпс://даталекс.ауторитеитперсоонсгегевенс.нл/). Холандско тело за заштиту података води регистар примљених обавештења о повреди података. Овај регистар није јаван. Ако холандско тело за заштиту података изрекне новчану казну као резултат повреде података, ова одлука ће бити објављена. Кршење података се такође објављује када субјекти података треба да буду обавештени о повреди података. Обавештење субјекту података мора у сваком случају навести природу повреде и органе у којима субјекат података може добити више информација о кршењу. Такође се мора навести шта субјект података може сам да уради да ограничи негативне последице повреде података. На пример, промена корисничких имена и лозинки када су можда угрожени провалом.

Шта да пријавим?
Обавештење холандском органу за заштиту података укључује:

• Извештач повреде података.
• Особа коју холандски орган за заштиту података може да контактира за даље информације о пријави.
• Резиме инцидента у коме је дошло до повреде безбедности личних података.
• Време повреде.
• Природа повреде.
• Врста личних података о којој се ради.
• Последице које повреда може имати по приватност укључених.
• Техничке и организационе мере које је Аутософт БВ предузео да би се ухватио у коштац са повредом и спречио даље повреде.
• Да ли је Аутософт БВ пријавио повреду података субјектима података и ако није, да ли Аутософт БВ намерава да то уради:
• Ако јесте, садржај обавештења субјектима података.
• Ако није, разлог зашто се Аутософт БВ уздржава од пријављивања повреде података субјектима података.
• Да ли су лични подаци шифровани, хеширани или на други начин учињени неразумљивим или недоступним неовлашћеним лицима?

Део 2: Стандардне клаузуле за обраду

Верзија: септембар 2019
Формира заједно са Дата Про изјавом уговор о обради и представља додатак Уговору и пратећим додацима као што су примењиви општи услови и одредбе.

Члан 1. Дефиниције

Термини у наставку имају следећа значења у овим Стандардним клаузулама за обраду, у Изјави о подацима Про и у уговору:

• 1.1 Холандско тело за заштиту података (АП): надзорни орган, како је описано у члану 4, под 21 Прос.
• 1.2 АВГ: Општа уредба о заштити података.
• 1.3 Процесор података: страна која, као добављач ИКТ, обрађује личне податке у корист свог Клијента у контексту извршења Уговора.
• 1.4 Дата Про изјава: изјава Обрађивача података у којој даје информације у вези са намераваном употребом свог производа или услуге, предузетим безбедносним мерама, под-процесорима, цурењем података, сертификацијама и поступањем са правима субјеката података.
• 1.5 Субјект података (субјект података): идентификовано или идентификовано физичко лице.
• 1.6 Клијент: страна у чије име Обрађивач података обрађује личне податке. Клијент може бити или контролор („контролор“) или други процесор.
• 1.7 Уговор: уговор између Клијента и Обрађивача података, на основу којег ИКТ добављач испоручује услуге и/или производе Клијенту, чији је део уговор о процесору.
• 1.8 Лични подаци: све информације о идентификованом физичком лицу или физичком лицу које се може идентификовати, као што је описано у члану 4, под 1 АВГ, које Обрађивач података обрађује у контексту извршавања својих обавеза које произилазе из Уговора.
• 1.9 Уговор о обради: ове Стандардне клаузуле за обраду, које заједно са Изјавом о подацима Про (или упоредивим информацијама) од Обрађивача података чине уговор о обради како је наведено у члану 28, став 3 ГДПР-а.

Члан 2. Опште

• 2.1 Ове Стандардне клаузуле о обради примењују се на сву обраду личних података коју Обрађивач података врши у контексту испоруке својих производа и услуга и на све уговоре и понуде. Применљивост Клијентових уговора о обради се изричито одбија.
• 2.2 Изјава о подацима Про, а посебно безбедносне мере садржане у њој, може бити измењена од стране Обрађивача података с времена на време како би се одразиле променљиве околности. Обрађивач података ће обавестити Клијента о значајним променама. Ако Клијент не може разумно да пристане на прилагођавања, Клијент има право да раскине уговор о обради у писаној форми у року од 30 дана од обавештења о прилагођавањима.
• 2.3 Обрађивач података обрађује личне податке у име и за рачун Клијента у складу са писаним упутствима Клијента договореним са Обрађивачем података.
• 2.4 Клијент, односно његов купац, је контролор у смислу ГДПР-а, има контролу над обрадом личних података и одредио је сврху и начин обраде личних података.
• 2.5 Обрађивач података је обрађивач у смислу ГДПР-а и стога нема контролу над сврхом и начином обраде личних података и стога не доноси никакве одлуке о, између осталог, коришћењу личних података.
• 2.6 Обрађивач података примењује ГДПР како је наведено у овим Стандардним клаузулама за обраду, Изјави о подацима Про и Уговору. На Клијенту је да на основу ових информација процени да ли Обрађивач података нуди довољне гаранције у погледу примене одговарајућих техничких и организационих мера како би обрада испунила захтеве ГДПР-а и заштиту права субјеката података. је довољан.гарантован.
• 2.7 Клијент гарантује Обрађивачу података да поступа у складу са ГДПР-ом, да адекватно штити своје системе и инфраструктуру у сваком тренутку и да садржај, употреба и/или обрада личних података нису незаконити и не крше ниједно право. трећег лица.
• 2.8 Административна казна коју је АП изрекао Клијенту не може се надокнадити од Обрађивача података.

Члан 3. Обезбеђење

• 3.1 Обрађивач података предузима техничке и организационе мере безбедности, као што је описано у својој Изјави о Дата Про. Приликом предузимања техничких и организационих мера безбедности, Обрађивач података је узео у обзир стање технике, трошкове имплементације безбедносних мера, природу, обим и контекст обраде, сврхе и намеравану употребу својих производа и услуга. , ризике обраде и ризике који се разликују по вероватноћи и озбиљности за права и слободе субјеката података које би он могао очекивати с обзиром на намеравану употребу његових производа и услуга.
• 3.2 Осим ако није изричито другачије наведено у Изјави о подацима Про, производ или услуга Обрађивача података није дизајнирана за обраду посебних категорија личних података или података у вези са кривичним пресудама или кривичним делима или личним бројевима које је издао државни орган.
• 3.3 Обрађивач података настоји да обезбеди да су безбедносне мере које треба да предузме одговарају за намеравану употребу производа или услуге од стране Обрађивача података.
• 3.4 По мишљењу Клијента, описане мере безбедности нуде, узимајући у обзир факторе из члана 3.1, ниво безбедности прилагођен ризику обраде личних података које користи или обезбеђује.
• 3.5 Обрађивач података може да унесе измене у предузете мере безбедности ако је то по његовом мишљењу неопходно да би наставио да пружа одговарајући ниво безбедности. Обрађивач података ће забележити важне промене, на пример у измењеној Изјави о подацима Про, и обавестиће Клијента о тим променама када је то релевантно.
• 3.6 Клијент може захтевати од Обрађивача података да предузме даље мере безбедности. Обрађивач података није у обавези да изврши измене својих безбедносних мера на такав захтев. Обрађивач података може наплатити трошкове у вези са извршеним изменама на захтев Клијента Клијенту. Тек након што се измењене безбедносне мере по жељи Клијента писмено договоре и потпишу од стране, Обрађивач података је дужан да ове мере безбедности стварно примени.

Члан 4. Повреда личних података

• 4.1 Обрађивач података не гарантује да су мере безбедности ефикасне у свим околностима. Ако Обрађивач података открије кршење у вези са личним подацима (као што је наведено у члану 4 под 12 Авг), обавестиће Клијента без непотребног одлагања. Дата Про изјава (према протоколу за цурење података) утврђује како Обрађивач података обавештава Клијента о кршењу података у вези са личним подацима.
• 4.2 На контролору (Клијенту или његовом купцу) је да процени да ли се повреда личних података о којој је Обрађивач података обавестио мора пријавити АП-у или субјекту података. Пријављивање кршења у вези са личним подацима, које се морају пријавити АП-у и/или субјектима података у складу са члановима 33. и 34. ГДПР-а, остаје одговорност контролора (Клијента или његовог клијента) у сваком тренутку. Обрађивач података није у обавези да пријави повреде личних података АП-у и/или субјекту података.
• 4.3 Обрађивач података ће, ако је потребно, пружити додатне информације о кршењу података у вези са личним подацима и сарађиваће у пружању неопходних информација Клијенту у сврху обавештења како је наведено у члановима 33. и 34. Авг.
• 4.4 Обрађивач података може клијенту наплатити разумне трошкове које има у овом контексту по ценама које су тада биле на снази.

Члан 5. Поверљивост

• 5.1 Обрађивач података гарантује да лица која обрађују личне податке под његовом одговорношћу имају обавезу чувања поверљивости.
• 5.2 Обрађивач података има право да личне податке уступи трећим лицима, ако и у мери у којој је то неопходно на основу одлуке суда, законског прописа или на основу овлашћеног налога државног органа.
• 5.3 Сви приступни и/или идентификациони кодови, сертификати, информације у вези са политиком приступа и/или лозинки које Обрађивач података даје Клијенту и све информације које Обрађивач података даје Клијенту које спроводе техничке и организационе безбедносне мере укључене у Изјаву о подацима Про су поверљиве. и биће третирана као таква од стране Клијента и само ће бити позната само овлашћеним запосленима Клијента. Клијент обезбеђује да његови запослени поштују обавезе из овог члана.

Члан 6. Рок и престанак

• 6.1 Овај уговор о процесору чини део Уговора и сваки нови или даљи уговор који произилази из њега, ступа на снагу у тренутку закључења Уговора и закључује се на неодређено време.
• 6.2 Овај уговор о процесору престаје по закону након раскида Уговора или било ког новог или даљег споразума између страна.
• 6.3 У случају престанка уговора о обради, Обрађивач података ће избрисати све личне податке у свом поседу и примљене од Клијента у року наведеном у Изјави о обради података на начин да се више не могу користити и више нису доступан (учини неприступачним). , или, ако је договорено, вратите га Клијенту у машински читљивом формату.
• 6.4 Обрађивач података може наплатити Клијенту све трошкове које има у контексту одредби члана 6.3. Даљи споразуми о овоме могу бити наведени у Изјави о подацима Про.
• 6.5 Одредбе члана 6.3 се не примењују ако законски пропис спречава Обрађивача података да у потпуности или делимично уклони или врати податке о личности. У том случају, Обрађивач података ће наставити да обрађује личне податке само у мери у којој је то неопходно у складу са својим законским обавезама. Одредбе члана 6.3 се такође не примењују ако је Обрађивач података контролор у смислу ГДПР-а у погледу личних података.

Члан 7. Права субјеката података, процена утицаја на заштиту података (ДПИА) и права ревизије

• 7.1 Обрађивач података ће, где је то могуће, сарађивати са разумним захтевима Клијента који се односе на права субјеката података на која се од Клијента позивају субјекти података. Ако субјект података директно приступи Обрађивачу података, он ће ту особу упутити на Клијента где је то могуће.
• 7.2 Ако је Клијент обавезан да то учини, Обрађивач података ће сарађивати са проценом утицаја на заштиту података (ДПИА) или накнадним претходним консултацијама као што је наведено у члановима 35. и 36. Авг.
• 7.3 Обрађивач података ће сарађивати са захтевима Клијента за уклањање личних података уколико Клијент то не може сам да уради.
• 7.4 На захтев Клијента, Обрађивач података ће такође ставити на располагање све даље информације које су разумно неопходне да би се демонстрирао усклађеност са уговорима из овог уговора о обради. Уколико Клијент ипак има разлога да верује да се обрада личних података не одвија у складу са уговором о обради, може се консултовати највише једном годишње са независним, сертификованим, спољним стручњаком који има доказано искуство са врстом обраду која се спроводи на основу Уговора. , извршити ревизију о трошку Клијента. Ревизија ће бити ограничена на проверу усаглашености са уговорима у вези са обрадом личних података како је наведено у овом Уговору о обрађивачу. Стручњак ће имати обавезу чувања поверљивости у погледу онога што открије и пријавиће Клијенту само оно што има за последицу недостатак у испуњавању обавеза које Обрађивач података има по овом уговору о обрађивачу. Експерт ће доставити копију свог извештаја Обрађивачу података. Обрађивач података може одбити ревизију или инструкцију стручњака ако, по његовом мишљењу, ово крши ГДПР или друго законодавство или представља недозвољено кршење безбедносних мера које је предузео.
• 7.5 Странке ће се консултовати што је пре могуће о резултатима извештаја. Странке ће пратити предложене мере побољшања које су наведене у извештају у мери у којој се то може разумно очекивати од њих. Обрађивач података ће применити предложене мере побољшања у мери у којој су по његовом мишљењу одговарајуће, узимајући у обзир ризике обраде повезане са његовим производом или услугом, стање технике, трошкове имплементације, тржиште на којем послује и намеравану употребу производа или услуге услуга.
• 7.6 Обрађивач података има право да трошкове које има у контексту одредби овог члана наплати Клијенту.

Члан 8. Подпроцесори

• 8.1 Обрађивач података је у Изјави о подацима навео да ли, и ако јесте, које треће стране (подпроцесори или подпроцесори) Обрађивач података учествује у обради личних података.
• 8.2 Клијент даје дозволу Обрађивачу података да ангажује друге подобрађиваче за извршавање својих обавеза које произилазе из Уговора.
• 8.3 Обрађивач података ће обавестити Клијента о промени трећих лица ангажованих од стране Обрађивача података, на пример путем измењене Изјаве о Дата Про. Клијент има право да приговори на горе поменуту измену од стране Обрађивача података. Обрађивач података обезбеђује да се треће стране које ангажује обавеже на исти ниво безбедности у погледу заштите личних података као и ниво безбедности на који је Обрађивач података обавезан према Клијенту на основу Изјаве о подацима.

Члан 9. Друго

Ове Стандардне клаузуле о обради, заједно са Изјавом о подацима Про, чине саставни део Уговора. Сва права и обавезе из Уговора, укључујући примењиве опште услове и/или ограничења одговорности, стога се примењују и на уговор о обради.