ข้อตกลงโปรเซสเซอร์

การแนะนำ

การประมวลผล Autosoft BV เหนือสิ่งอื่นใด ข้อมูลส่วนบุคคลสำหรับและในนามของลูกค้า ดังนั้น Autosoft BV และลูกค้าจึงมีหน้าที่ภายใต้ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) ในการสรุปข้อตกลงตัวประมวลผล ตาม GDPR Autosoft BV เป็น 'โปรเซสเซอร์' และลูกค้าคือ 'ตัวควบคุม' ข้อตกลงโปรเซสเซอร์นี้ยังอธิบายวิธีที่ Autosoft BV จัดการกับภาระหน้าที่ในการแจ้งเตือนการละเมิดข้อมูล

ข้อตกลงโปรเซสเซอร์

ซึ่งประกอบด้วย:
ส่วนที่ 1: คำชี้แจง Data Pro
ส่วนที่ 2: มาตราการประมวลผลมาตรฐาน

ส่วนที่ 1: คำชี้แจง Data Pro

ข้อมูลทั่วไป

1). คำชี้แจง Data Pro นี้จัดทำขึ้นโดยผู้ประมวลผลข้อมูล (โปรเซสเซอร์):

• Autosoft BV
  เฮงเงโลเซสตรา 547
  7521 เอจี เอนสเกเด

สำหรับคำถามเกี่ยวกับคำชี้แจง Data Pro หรือการปกป้องข้อมูล โปรดติดต่อ:
อาเธอร์ ฟาน เดอร์ เล็ก: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). คำชี้แจง Data Pro นี้มีผลบังคับใช้ตั้งแต่วันที่ 1 สิงหาคม 2021
เราปรับปรุงคำชี้แจง Data Pro นี้และมาตรการรักษาความปลอดภัยที่อธิบายไว้ในนั้นเป็นประจำเพื่อให้แน่ใจว่าเราเตรียมพร้อมและเป็นปัจจุบันเสมอเกี่ยวกับการปกป้องข้อมูล เราจะแจ้งให้คุณทราบเกี่ยวกับเวอร์ชันใหม่ผ่านช่องทางปกติของเรา

3). คำชี้แจง Data Pro นี้ใช้กับผลิตภัณฑ์และบริการตัวประมวลผลข้อมูลต่อไปนี้

• เว็บไซต์อัตโนมัติ
• ออโต้คอมเมิร์ซ

4). รายละเอียดเว็บไซต์รถยนต์
บริษัทรถยนต์ใช้ Autowebsite Autowebsite ทำให้บริษัทรถยนต์สามารถแสดงตนบนอินเทอร์เน็ตได้

5). เว็บไซต์รถใช้งานที่ตั้งใจไว้
Autowebsite ได้รับการออกแบบและติดตั้งเพื่อประมวลผลข้อมูลประเภทต่อไปนี้:
ผู้เยี่ยมชมเว็บไซต์ที่พัฒนาโดย Autosoft กับ Autowebsite มีตัวเลือกที่จะทิ้งรายละเอียดการติดต่อไว้ที่นั่น เพื่อให้บริษัทรถยนต์มีโอกาสติดต่อผู้เยี่ยมชมเพื่อรับบริการเพิ่มเติม รายละเอียดการติดต่อเหล่านี้จะไม่ถูกเก็บไว้กับ Autosoft แต่จะถูกส่งต่อโดยตรงผ่านอีเมลไปยังที่อยู่อีเมลของบริษัทรถยนต์

• บริการนี้ไม่คำนึงถึงการประมวลผลข้อมูลส่วนบุคคลพิเศษ หรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิด หรือหมายเลขส่วนบุคคลที่ทางราชการออกให้

6). คำอธิบาย Autocommerce
บริษัทรถยนต์ใช้ Autocommerce ด้วย Autocommerce บริษัทรถยนต์สามารถจัดการและนำเสนอยานพาหนะของตนบนเว็บไซต์ของตนเองและพอร์ทัลการค้นหาทางอินเทอร์เน็ตของบุคคลที่สาม

7). วัตถุประสงค์การใช้งาน Autocommerce
Autocommerce ได้รับการออกแบบและติดตั้งเพื่อประมวลผลข้อมูลประเภทต่อไปนี้:
บริษัทรถยนต์สามารถวางยานพาหนะที่จดทะเบียนไว้ผ่านทาง Autocommerce บนเว็บไซต์ Car ของตนเองได้ ยานพาหนะที่จดทะเบียนเหล่านี้ไม่มีข้อมูลใด ๆ ที่สามารถตรวจสอบย้อนกลับไปยังข้อมูลส่วนบุคคลได้ในทุกรูปแบบ ผู้เยี่ยมชมเว็บไซต์ของ Car มีตัวเลือกที่จะทิ้งรายละเอียดการติดต่อไว้ที่นั่น เพื่อให้บริษัทรถยนต์มีโอกาสติดต่อผู้เยี่ยมชมเพื่อรับบริการเพิ่มเติม รายละเอียดการติดต่อที่ผู้เยี่ยมชมทิ้งไว้บนเว็บไซต์ Auto ของพวกเขาจะถูกเก็บไว้ใน Autocommerce

• บริการนี้ไม่คำนึงถึงการประมวลผลข้อมูลส่วนบุคคลพิเศษ หรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาและความผิด หรือหมายเลขส่วนบุคคลที่ทางราชการออกให้

8) ผู้ประมวลผลข้อมูลใช้ Standard Clauses ในการประมวลผลสำหรับเว็บไซต์ Autowebsite และ Autocommerce ซึ่งสามารถพบได้ในภาคผนวกของข้อตกลง

9). ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลของลูกค้าภายใน EU/EEA สำหรับเว็บไซต์อัตโนมัติและการค้าอัตโนมัติ

10). ผู้ประมวลผลข้อมูลใช้ตัวประมวลผลย่อยต่อไปนี้สำหรับ Autocommerce:
ในบางกรณี Autosoft ส่งรถที่จดทะเบียนผ่าน Autocommerce ไปยังพอร์ทัลการค้นหาทางอินเทอร์เน็ตของบุคคลที่สามหรือผู้ประมวลผลย่อยในนามของ Car Company รายชื่อโปรเซสเซอร์ย่อยสามารถขอได้ที่ support@autosoft.eu

11). หลังจากสิ้นสุดข้อตกลงกับลูกค้าแล้ว ผู้ประมวลผลข้อมูลจะลบข้อมูลส่วนบุคคลที่ประมวลผลให้กับลูกค้าภายใน 3 เดือนตามหลักการแล้วในลักษณะที่ไม่สามารถใช้งานได้อีกต่อไปและไม่สามารถเข้าถึงได้อีกต่อไป (ไม่สามารถเข้าถึงการแสดงผลได้)

นโยบายความปลอดภัย

สรุปมาตรการรักษาความปลอดภัยต่อไปนี้ที่ผู้ประมวลผลข้อมูลใช้เพื่อปกป้องผลิตภัณฑ์หรือบริการของตน:

นโยบายการจัดการเหตุการณ์และการตอบสนอง
นโยบายการจัดการเหตุการณ์และการตอบสนองในด้านความปลอดภัยของข้อมูลรวมถึงการตรวจสอบและตรวจจับเหตุการณ์ด้านความปลอดภัยบนคอมพิวเตอร์หรือโครงสร้างพื้นฐานด้านไอที แต่ยังรวมถึงการสังเกตกิจกรรมที่น่าสงสัยโดยบุคลากรและการดำเนินการตอบสนองที่ถูกต้องต่อเหตุการณ์เหล่านี้

เป้าหมายหลักของนโยบายนี้คือการพัฒนาการตอบสนองที่เป็นที่เข้าใจและคาดเดาได้ต่อเหตุการณ์ที่เป็นอันตรายและการบุกรุกของคอมพิวเตอร์ในความหมายที่กว้างที่สุด

นโยบายการจัดการและตอบสนองเหตุการณ์เป็นกระบวนการในการจัดการและปกป้องคอมพิวเตอร์ เครือข่าย และระบบสารสนเทศ และข้อมูลที่เก็บอยู่ในนั้น Autosoft ตระหนักถึงความรับผิดชอบในการปกป้องข้อมูลนี้เพื่อประโยชน์ของลูกค้าและคู่ค้าในห่วงโซ่อุปทาน ความรับผิดชอบนี้ครอบคลุมไปถึงการมีขั้นตอนของเหตุการณ์ การจัดการเหตุการณ์คือชุดของกิจกรรมที่กำหนดและดำเนินการตามกระบวนการที่องค์กรสามารถใช้เพื่อส่งเสริมความเป็นอยู่ที่ดีของตนเองและความปลอดภัยของประชาชน

ไอทีและความปลอดภัย
โครงสร้าง ICT ของ Autosoft BV มีการรักษาความปลอดภัยอย่างเพียงพอด้วยไฟร์วอลล์และซอฟต์แวร์สแกนไวรัสจะได้รับการอัปเดตอยู่เสมอ พนักงานทุกคนมีโปรไฟล์การเข้าสู่ระบบ เมื่อเปิดเครื่องคอมพิวเตอร์ พนักงานต้องใส่ชื่อล็อกอินและรหัสผ่าน และหากเป็นไปได้ด้วยการยืนยันตัวตนแบบ 2 ขั้นตอน

ซอฟต์แวร์บางตัวยังขอชื่อล็อกอินและรหัสผ่านและหากเป็นไปได้ด้วยการตรวจสอบสิทธิ์แบบ 2 ขั้นตอน การรับรู้ของพนักงานเกี่ยวกับการทำงานอย่างปลอดภัยได้รับการกระตุ้น เช่น การให้ความสนใจกับการไม่เปิดอีเมลที่น่าสงสัย การไม่คลิกลิงก์ที่น่าสงสัย ออกจากระบบเมื่อออกจากที่ทำงานเป็นเวลานาน เป็นต้น

ไฟล์ได้รับการสำรองข้อมูลในช่วงกลางวันและทุกคืน ด้วยเหตุผลด้านความปลอดภัย ขั้นตอนการจัดเก็บเพิ่มเติมโดยรอบข้อมูลสำรองจะเป็นความลับ Autosoft BV ได้ทำสัญญาบริการนี้กับซัพพลายเออร์คอมพิวเตอร์และผู้ให้บริการอินเทอร์เน็ตโฮสติ้ง

นโยบายการปกป้องข้อมูล
Autosoft BV ใช้มาตรการทางเทคนิคและเชิงองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าจากการสูญหายหรือการประมวลผลที่ผิดกฎหมายในรูปแบบใดๆ มาตรการทางเทคนิคและเชิงองค์กรเหล่านี้ถือเป็นระดับความปลอดภัยที่เหมาะสมตามความหมายของมาตรา 1 ของ GDPR และจัดเก็บเป็นเอกสารใน Basecamp ส่วนกลาง (โครงการ: นโยบายการปกป้ององค์กร / ข้อมูล) ของ Autosoft BV

ด้านเทคนิคและองค์กร

1. มาตรการเพื่อให้แน่ใจว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลส่วนบุคคลที่ประมวลผลในบริบทของข้อตกลงผู้ประมวลผล
2. มาตรการในการปกป้องข้อมูลส่วนบุคคลโดยเฉพาะอย่างยิ่งจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การสูญหาย การเปลี่ยนแปลงโดยไม่ได้ตั้งใจ การจัดเก็บ การเข้าถึงหรือการเปิดเผยโดยไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมาย
3. มาตรการในการปกป้องข้อมูลส่วนบุคคลโดยเฉพาะจากการทำลายโดยไม่ได้ตั้งใจหรือไม่ชอบด้วยกฎหมาย การสูญหาย การเปลี่ยนแปลงโดยไม่ได้ตั้งใจ การจัดเก็บ การเข้าถึงหรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตหรือไม่ชอบด้วยกฎหมายระหว่างการแลกเปลี่ยน/ถ่ายโอนข้อมูล
4. มาตรการเพื่อให้แน่ใจว่าสามารถรับรองการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการแก้ไขและบริการอย่างต่อเนื่อง
5. มาตรการในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลในเวลาที่เหมาะสมในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค
6. มาตรการระบุช่องโหว่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลในระบบที่ใช้เพื่อให้บริการภายใต้สัญญา

องค์กรเช่น:

• จำกัดวงข้าราชการที่เข้าถึงข้อมูลส่วนบุคคลบางอย่างได้เฉพาะบุคคลที่ต้องการข้อมูลเพื่อปฏิบัติหน้าที่
• การอนุญาตให้บุคคลเหล่านี้เข้าถึงเฉพาะข้อมูลส่วนบุคคลที่จำเป็นสำหรับการปฏิบัติหน้าที่
• ยอมรับข้อกำหนดการรักษาความลับพร้อมบทลงโทษกับทุกคนที่จะได้รับสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล
• การจัดเก็บข้อมูลส่วนบุคคลบนเซิร์ฟเวอร์ในพื้นที่ปิด
• การเก็บไฟล์กระดาษไว้ในตู้ที่ล็อคได้
• การสร้างความตระหนักในความปลอดภัยของข้อมูลในหมู่พนักงาน
• กำหนดโปรโตคอลและขั้นตอนที่ชัดเจนสำหรับการจัดการเหตุการณ์ด้านความปลอดภัยของข้อมูลและจุดอ่อนด้านความปลอดภัยอย่างทันท่วงทีและมีประสิทธิภาพ

ผู้ประมวลผลข้อมูลใช้วิธีการและขั้นตอนของตนเองสำหรับการจัดการที่เหมาะสมกับวิธีการทำงานขององค์กร:

• ภายใน Basecamp เอกสารที่เกี่ยวข้องจะได้รับการจัดการและประเมินผลเป็นระยะ

โปรโตคอลการละเมิดข้อมูล

ในกรณีที่มีสิ่งผิดปกติเกิดขึ้น ตัวประมวลผลข้อมูลจะใช้โปรโตคอลการรั่วไหลของข้อมูลต่อไปนี้เพื่อให้แน่ใจว่าไคลเอ็นต์ตระหนักถึงเหตุการณ์:

Autosoft BV – ขั้นตอนการละเมิดข้อมูล

การละเมิดข้อมูลคืออะไรและฉันต้องรายงานไปยัง AP เมื่อใด
การละเมิดข้อมูลเป็นเหตุการณ์ด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องกับการละเมิดการรักษาความปลอดภัยของข้อมูลส่วนบุคคลผ่านการสูญเสียหรือการประมวลผลที่ผิดกฎหมาย เช่น (แต่ไม่ครบถ้วนสมบูรณ์):

• การปรับและ/หรือการเปลี่ยนแปลงข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลส่วนบุคคลนี้โดยไม่ได้รับอนุญาต
• ในกรณีที่แฮ็กเกอร์บุกเข้ามา
• สูญเสีย USB stick ขโมยแล็ปท็อป;
• การส่งข้อมูลที่สำคัญไปยังที่อยู่อีเมลที่ไม่ถูกต้อง

ตามกฎหมาย จะต้องรายงานการละเมิดข้อมูลที่ 'ร้ายแรง' ต่อหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์โดยไม่ชักช้า และหากเป็นไปได้ภายใน 72 ชั่วโมงหลังจากการค้นพบ

Autosoft BV ไม่ต้องรายงานไปยังหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ หากไม่รวมการระบุตัวตนที่แท้จริงของบุคคลธรรมดาแต่ละบุคคลอย่างสมเหตุสมผล
ข้อสงสัยทั้งหมดเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูลจะได้รับการแก้ไขในอินสแตนซ์แรก support@autosoft.eu รายงานและลงทะเบียน ฝ่ายสนับสนุนรายงานเหตุการณ์ต่อทีมผู้บริหารและพิจารณาว่าควรดำเนินการติดตามผลใดบ้าง

ขั้นตอนการติดตามผล

ฉันต้องแจ้งเจ้าของข้อมูลเมื่อใด
ต้องรายงานการละเมิดข้อมูลไปยังเจ้าของข้อมูล หากในกรณีที่มีการละเมิด มีความเสี่ยงสูงที่การละเมิดจะส่งผลเสียต่อชีวิตส่วนตัวของเขาหรือเธอ ผลลัพธ์ที่ไม่พึงประสงค์สำหรับเจ้าของข้อมูล ได้แก่ ความเสียหายต่อชื่อเสียงและชื่อเสียง การฉ้อโกงหรือการเลือกปฏิบัติ หาก Autosoft BV ใช้มาตรการป้องกันทางเทคนิคที่เหมาะสม ทำให้ข้อมูลส่วนบุคคลที่เกี่ยวข้องไม่สามารถเข้าใจได้หรือเข้าถึงไม่ได้ การแจ้งเตือนไปยังเจ้าของข้อมูลก็ไม่จำเป็น การแจ้งไปยังเจ้าของข้อมูลจะต้องมีคำอธิบายในภาษาที่ชัดเจนและชัดเจนถึงลักษณะของการละเมิดข้อมูลส่วนบุคคลและอย่างน้อย:

• ชื่อและรายละเอียดการติดต่อของเจ้าหน้าที่คุ้มครองข้อมูลหรือจุดติดต่ออื่นที่สามารถขอข้อมูลเพิ่มเติมได้
• ผลที่ตามมาของการละเมิดข้อมูลส่วนบุคคล
• มาตรการที่ผู้ควบคุมเสนอหรือดำเนินการเพื่อจัดการกับการละเมิดข้อมูลส่วนบุคคล รวมถึงมาตรการเพื่อบรรเทาผลกระทบจากการกระทำดังกล่าวตามความเหมาะสม การประเมินว่าจะต้องรายงานการละเมิดข้อมูลต่อหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์และ/หรือบุคคลที่ได้รับผลกระทบหรือไม่นั้นขึ้นอยู่กับ Autosoft BV เสมอ เพื่อตรวจสอบว่าต้องรายงานเหตุการณ์หรือไม่ หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ได้จัดทำกฎนโยบาย (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) และ คณะทำงาน 29 ของหลักเกณฑ์ผู้บังคับบัญชาของยุโรปที่เผยแพร่เกี่ยวกับภาระหน้าที่ในการรายงานใน GDPR หาก Autosoft BV ไม่ได้รายงานการละเมิดข้อมูล Dutch Data Protection Authority อาจกำหนดให้ Autosoft BV ยังคงทำรายงาน การไม่รายงานอาจถูกลงโทษด้วยค่าปรับทางปกครอง

ฉันจะรายงานการละเมิดข้อมูลได้อย่างไร
หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์จัดทำเว็บฟอร์มที่ต้องใช้ในการรายงานการละเมิดข้อมูล (https://dataleks.autoriteitpersoonsgegevens.nl/) หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์เก็บบันทึกการแจ้งเตือนการละเมิดข้อมูลที่ได้รับ การลงทะเบียนนี้ไม่เป็นสาธารณะ หากมีการกำหนดค่าปรับโดยหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์อันเป็นผลมาจากการละเมิดข้อมูล การตัดสินใจนี้จะถูกเปิดเผยต่อสาธารณะ การละเมิดข้อมูลยังถูกเปิดเผยเมื่อเจ้าของข้อมูลจำเป็นต้องได้รับแจ้งเกี่ยวกับการละเมิดข้อมูล การแจ้งไปยังเจ้าของข้อมูลจะต้องระบุถึงลักษณะของการละเมิดในทุกกรณีและหน่วยงานที่เจ้าของข้อมูลสามารถรับข้อมูลเพิ่มเติมเกี่ยวกับการละเมิดได้ นอกจากนี้ยังต้องระบุสิ่งที่เจ้าของข้อมูลสามารถทำได้ด้วยตนเองเพื่อจำกัดผลกระทบด้านลบของการละเมิดข้อมูล ตัวอย่างเช่น การเปลี่ยนชื่อผู้ใช้และรหัสผ่านเมื่ออาจถูกบุกรุกจากการละเมิด

ฉันควรรายงานอะไร
การแจ้งเตือนไปยังหน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์รวมถึง:

• ผู้รายงานข่าวละเมิดข้อมูล
• บุคคลที่หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์สามารถติดต่อเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับรายงาน
• สรุปเหตุการณ์ที่เกิดการละเมิดความปลอดภัยของข้อมูลส่วนบุคคล
• ช่วงเวลาแห่งการละเมิด
• ลักษณะของการละเมิด
• ประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้อง
• ผลที่ตามมาของการละเมิดอาจมีต่อความเป็นส่วนตัวของผู้ที่เกี่ยวข้อง
• มาตรการทางเทคนิคและเชิงองค์กรที่ Autosoft BV ใช้เพื่อจัดการกับการละเมิดและป้องกันการละเมิดเพิ่มเติม
• Autosoft BV ได้รายงานการละเมิดข้อมูลไปยังเจ้าของข้อมูลหรือไม่ และหากไม่ใช่ Autosoft BV ตั้งใจจะทำเช่นนั้นหรือไม่:
• ถ้าเป็นเช่นนั้นเนื้อหาของการแจ้งไปยังเจ้าของข้อมูล
• หากไม่เป็นเช่นนั้น สาเหตุที่ Autosoft BV ละเว้นจากการรายงานการละเมิดข้อมูลไปยังเจ้าของข้อมูล
• ข้อมูลส่วนบุคคลได้รับการเข้ารหัส แฮช หรือทำให้บุคคลที่ไม่ได้รับอนุญาตไม่สามารถเข้าใจหรือไม่สามารถเข้าถึงได้หรือไม่?

ส่วนที่ 2: มาตราการประมวลผลมาตรฐาน

เวอร์ชัน: กันยายน 2019
ร่วมกับคำชี้แจงของ Data Pro ก่อให้เกิดข้อตกลงในการประมวลผลและเป็นภาคผนวกของข้อตกลงและภาคผนวกที่ส่งมาด้วย เช่น ข้อกำหนดและเงื่อนไขทั่วไปที่เกี่ยวข้อง

ข้อ 1. คำจำกัดความ

ข้อกำหนดด้านล่างมีความหมายต่อไปนี้ในข้อกำหนดมาตรฐานสำหรับการประมวลผล ในคำชี้แจงของ Data Pro และในข้อตกลง:

• 1.1 หน่วยงานคุ้มครองข้อมูลของเนเธอร์แลนด์ (AP): หน่วยงานกำกับดูแล ตามที่อธิบายไว้ในมาตรา 4 ย่อย 21 ของค่าเฉลี่ย
• 1.2 เฉลี่ย: ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป
• 1.3 ผู้ประมวลผลข้อมูล: บุคคลที่ในฐานะซัพพลายเออร์ ICT ประมวลผลข้อมูลส่วนบุคคลเพื่อประโยชน์ของลูกค้าในบริบทของการดำเนินการตามข้อตกลง
• 1.4 คำชี้แจง Data Pro: คำชี้แจงของผู้ประมวลผลข้อมูลซึ่งให้ข้อมูลเกี่ยวกับการใช้ผลิตภัณฑ์หรือบริการโดยเจตนา มาตรการรักษาความปลอดภัยที่ใช้ ผู้ประมวลผลย่อย การรั่วไหลของข้อมูล การรับรองและการจัดการสิทธิ์ของเจ้าของข้อมูล
• 1.5 เจ้าของข้อมูล (เจ้าของข้อมูล): บุคคลธรรมดาที่ระบุหรือระบุตัวได้
• 1.6 ลูกค้า: บุคคลที่ประมวลผลข้อมูลส่วนบุคคลในนามของผู้ประมวลผลข้อมูล ลูกค้าสามารถเป็นได้ทั้งผู้ควบคุม (“ผู้ควบคุม”) หรือผู้ประมวลผลรายอื่น
• 1.7 ข้อตกลง: ข้อตกลงระหว่างลูกค้าและผู้ประมวลผลข้อมูล บนพื้นฐานของการที่ซัพพลายเออร์ ICT จัดหาบริการและ/หรือผลิตภัณฑ์ให้กับลูกค้า ซึ่งข้อตกลงของตัวประมวลผลเป็นส่วนหนึ่ง
• 1.8 ข้อมูลส่วนบุคคล: ข้อมูลทั้งหมดเกี่ยวกับบุคคลธรรมดาที่ระบุหรือระบุตัวได้ ตามที่อธิบายไว้ในข้อ 4 ย่อย 1 AVG ซึ่งผู้ประมวลผลข้อมูลประมวลผลในบริบทของการปฏิบัติตามภาระผูกพันที่เกิดขึ้นจากข้อตกลง
• 1.9 ข้อตกลงในการประมวลผล: ข้อมาตรฐานเหล่านี้สำหรับการประมวลผล ซึ่งร่วมกับคำชี้แจง Data Pro (หรือข้อมูลที่เปรียบเทียบได้) จากผู้ประมวลผลข้อมูลทำให้เกิดข้อตกลงในการประมวลผลตามที่อ้างถึงในมาตรา 28 วรรค 3 ของ GDPR

ข้อ 2. ทั่วไป

• 2.1 ข้อการประมวลผลมาตรฐานเหล่านี้ใช้กับการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่ผู้ประมวลผลข้อมูลทำในบริบทของการส่งมอบผลิตภัณฑ์และบริการและข้อตกลงและข้อเสนอทั้งหมด การบังคับใช้ข้อตกลงการประมวลผลของลูกค้าถูกปฏิเสธโดยชัดแจ้ง
• 2.2 คำชี้แจงของ Data Pro และโดยเฉพาะอย่างยิ่งมาตรการรักษาความปลอดภัยที่มีอยู่ในนั้น อาจมีการแก้ไขโดยผู้ประมวลผลข้อมูลเป็นครั้งคราวเพื่อสะท้อนถึงสถานการณ์ที่เปลี่ยนแปลงไป ผู้ประมวลผลข้อมูลจะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงที่สำคัญ หากลูกค้าไม่สามารถตกลงตามสมควรกับการปรับเปลี่ยนได้อย่างสมเหตุสมผล ลูกค้ามีสิทธิ์ที่จะยุติข้อตกลงการดำเนินการเป็นลายลักษณ์อักษรภายใน 30 วันนับจากวันที่ได้รับแจ้งการเปลี่ยนแปลง
• 2.3 ผู้ประมวลผลข้อมูลประมวลผลข้อมูลส่วนบุคคลในนามของและในนามของลูกค้าตามคำแนะนำเป็นลายลักษณ์อักษรของลูกค้าที่ตกลงกับผู้ประมวลผลข้อมูล
• 2.4 ลูกค้าหรือลูกค้าเป็นผู้ควบคุมตามความหมายของ GDPR มีอำนาจควบคุมการประมวลผลข้อมูลส่วนบุคคลและได้กำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล
• 2.5 ผู้ประมวลผลข้อมูลเป็นผู้ประมวลผลตามความหมายของ GDPR ดังนั้นจึงไม่มีการควบคุมวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคล ดังนั้นจึงไม่ได้ทำการตัดสินใจใดๆ เกี่ยวกับการใช้ข้อมูลส่วนบุคคล
• 2.6 ผู้ประมวลผลข้อมูลใช้ GDPR ตามที่กำหนดไว้ในข้อมาตรฐานสำหรับการประมวลผล คำชี้แจง Data Pro และข้อตกลง ขึ้นอยู่กับลูกค้าในการประเมินบนพื้นฐานของข้อมูลนี้ว่าผู้ประมวลผลข้อมูลเสนอการรับประกันที่เพียงพอหรือไม่เกี่ยวกับการใช้มาตรการทางเทคนิคและองค์กรที่เหมาะสม เพื่อให้การประมวลผลเป็นไปตามข้อกำหนดของ GDPR และการคุ้มครองสิทธิ์ของเจ้าของข้อมูล ก็เพียงพอแล้ว รับประกัน
• 2.7 ลูกค้ารับประกันกับผู้ประมวลผลข้อมูลว่าจะปฏิบัติตาม GDPR ว่าจะปกป้องระบบและโครงสร้างพื้นฐานของตนอย่างเพียงพอตลอดเวลา และเนื้อหา การใช้งาน และ/หรือการประมวลผลข้อมูลส่วนบุคคลนั้นไม่ผิดกฎหมายและไม่ละเมิดสิทธิใดๆ ของบุคคลที่สาม
• 2.8 ค่าปรับทางปกครองที่ AP กำหนดโดยไคลเอนต์ไม่สามารถกู้คืนจากตัวประมวลผลข้อมูลได้

ข้อ 3. ความปลอดภัย

• 3.1 ผู้ประมวลผลข้อมูลใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กร ตามที่อธิบายไว้ในคำชี้แจงของ Data Pro เมื่อใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กร ผู้ประมวลผลข้อมูลได้คำนึงถึงความทันสมัย ​​ค่าใช้จ่ายในการดำเนินการตามมาตรการรักษาความปลอดภัย ลักษณะ ขอบเขตและบริบทของการประมวลผล วัตถุประสงค์และวัตถุประสงค์ในการใช้ผลิตภัณฑ์และบริการ ความเสี่ยงในการประมวลผลและความเสี่ยงที่แตกต่างกันในด้านความน่าจะเป็นและความร้ายแรงสำหรับสิทธิ์และเสรีภาพของเจ้าของข้อมูลที่เขาสามารถคาดหวังได้จากการใช้ผลิตภัณฑ์และบริการตามเจตนา
• 3.2 เว้นแต่จะระบุไว้เป็นอย่างอื่นอย่างชัดเจนในคำชี้แจง Data Pro ผลิตภัณฑ์หรือบริการของผู้ประมวลผลข้อมูลไม่ได้ออกแบบมาเพื่อประมวลผลข้อมูลส่วนบุคคลประเภทพิเศษหรือข้อมูลที่เกี่ยวข้องกับการตัดสินลงโทษทางอาญาหรือความผิดหรือหมายเลขส่วนบุคคลที่ออกโดยรัฐบาล
• 3.3 ผู้ประมวลผลข้อมูลมุ่งมั่นที่จะทำให้แน่ใจว่ามาตรการรักษาความปลอดภัยที่จะดำเนินการนั้นเหมาะสมสำหรับวัตถุประสงค์ในการใช้ผลิตภัณฑ์หรือบริการโดยผู้ประมวลผลข้อมูล
• 3.4 ในความเห็นของลูกค้า มาตรการรักษาความปลอดภัยที่อธิบายเสนอโดยคำนึงถึงปัจจัยที่อ้างถึงในข้อ 3.1 ระดับความปลอดภัยที่ปรับให้เหมาะกับความเสี่ยงของการประมวลผลข้อมูลส่วนบุคคลที่ใช้หรือให้ไว้
• 3.5 ผู้ประมวลผลข้อมูลอาจทำการเปลี่ยนแปลงมาตรการรักษาความปลอดภัยที่ใช้ หากเห็นว่าจำเป็นเพื่อให้มีการรักษาความปลอดภัยในระดับที่เหมาะสมต่อไป ผู้ประมวลผลข้อมูลจะบันทึกการเปลี่ยนแปลงที่สำคัญ เช่น ในคำชี้แจง Data Pro ที่แก้ไข และจะแจ้งให้ลูกค้าทราบถึงการเปลี่ยนแปลงที่เกี่ยวข้อง
• 3.6 ลูกค้าสามารถขอให้ผู้ประมวลผลข้อมูลใช้มาตรการรักษาความปลอดภัยเพิ่มเติม ผู้ประมวลผลข้อมูลไม่มีภาระผูกพันในการเปลี่ยนแปลงมาตรการรักษาความปลอดภัยตามคำขอดังกล่าว ผู้ประมวลผลข้อมูลสามารถเรียกเก็บค่าใช้จ่ายที่เกี่ยวข้องกับการเปลี่ยนแปลงที่ทำขึ้นตามคำขอของลูกค้าไปยังลูกค้า หลังจากที่มาตรการรักษาความปลอดภัยที่แก้ไขเพิ่มเติมซึ่งลูกค้าต้องการได้รับการยินยอมเป็นลายลักษณ์อักษรและลงนามโดยคู่สัญญาแล้ว ผู้ประมวลผลข้อมูลมีหน้าที่ต้องนำมาตรการรักษาความปลอดภัยเหล่านี้ไปใช้จริง

ข้อ 4. การละเมิดข้อมูลส่วนบุคคล

• 4.1 ผู้ประมวลผลข้อมูลไม่รับประกันว่ามาตรการรักษาความปลอดภัยจะมีผลบังคับใช้ในทุกสถานการณ์ หากผู้ประมวลผลข้อมูลพบการละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล (ตามที่อ้างถึงในมาตรา 4 ย่อย 12 เฉลี่ย) จะแจ้งให้ลูกค้าทราบโดยไม่ชักช้า คำชี้แจง Data Pro (ภายใต้โปรโตคอลการรั่วไหลของข้อมูล) กำหนดวิธีที่ผู้ประมวลผลข้อมูลแจ้งลูกค้าเกี่ยวกับการละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
• 4.2 ขึ้นอยู่กับผู้ควบคุม (ลูกค้าหรือลูกค้า) ในการประเมินว่าการละเมิดข้อมูลส่วนบุคคลที่ผู้ประมวลผลข้อมูลแจ้งจะต้องรายงานไปยัง AP หรือเจ้าของข้อมูลหรือไม่ การรายงานการละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคลซึ่งต้องรายงานไปยัง AP และ/หรือเจ้าของข้อมูลตามมาตรา 33 และ 34 GDPR ยังคงเป็นความรับผิดชอบของผู้ควบคุม (ลูกค้าหรือลูกค้า) ตลอดเวลา ผู้ประมวลผลข้อมูลไม่จำเป็นต้องรายงานการละเมิดข้อมูลส่วนบุคคลต่อ AP และ/หรือเจ้าของข้อมูล
• 4.3 หากจำเป็น ผู้ประมวลผลข้อมูลจะให้ข้อมูลเพิ่มเติมเกี่ยวกับการละเมิดที่เกี่ยวข้องกับข้อมูลส่วนบุคคล และจะร่วมมือกับการจัดหาข้อมูลที่จำเป็นแก่ลูกค้าเพื่อวัตถุประสงค์ในการแจ้งตามที่อ้างถึงในมาตรา 33 และ 34 ค่าเฉลี่ย
• 4.4 ผู้ประมวลผลข้อมูลสามารถเรียกเก็บค่าใช้จ่ายที่สมเหตุสมผลที่เกิดขึ้นในบริบทนี้กับลูกค้าตามอัตราที่บังคับใช้ในขณะนั้น

ข้อ 5. การรักษาความลับ

• 5.1 ผู้ประมวลผลข้อมูลรับประกันว่าบุคคลที่ประมวลผลข้อมูลส่วนบุคคลภายใต้ความรับผิดชอบมีหน้าที่ในการรักษาความลับ
• 5.2 ผู้ประมวลผลข้อมูลมีสิทธิที่จะให้ข้อมูลส่วนบุคคลแก่บุคคลที่สาม หากและตราบเท่าที่จำเป็นตามคำตัดสินของศาล ข้อบังคับทางกฎหมาย หรือบนพื้นฐานของคำสั่งที่ได้รับอนุญาตจากหน่วยงานของรัฐ
• 5.3 รหัสการเข้าถึงและ/หรือรหัสประจำตัว ใบรับรอง ข้อมูลเกี่ยวกับนโยบายการเข้าถึงและ/หรือรหัสผ่านที่ผู้ประมวลผลข้อมูลมอบให้กับลูกค้า และข้อมูลทั้งหมดที่ผู้ประมวลผลข้อมูลมอบให้กับลูกค้าซึ่งใช้มาตรการทางเทคนิคและความปลอดภัยขององค์กรที่รวมอยู่ในคำชี้แจง Data Pro ถือเป็นความลับ และลูกค้าจะได้รับการปฏิบัติเช่นนั้นและแจ้งให้พนักงานที่ได้รับอนุญาตของลูกค้าทราบเท่านั้น ลูกค้ารับรองว่าพนักงานปฏิบัติตามภาระผูกพันภายใต้บทความนี้

ข้อ 6. เงื่อนไขและการยกเลิก

• 6.1 ข้อตกลงผู้ประมวลผลนี้เป็นส่วนหนึ่งของข้อตกลงและข้อตกลงใหม่หรือข้อตกลงเพิ่มเติมใดๆ ที่เกิดขึ้นจากข้อตกลงนี้ มีผลบังคับใช้ในเวลาที่สรุปข้อตกลงและได้รับการสรุปในช่วงเวลาที่ไม่มีกำหนด
• 6.2 ข้อตกลงผู้ประมวลผลนี้สิ้นสุดโดยการดำเนินการของกฎหมายเมื่อมีการยุติข้อตกลงหรือข้อตกลงใหม่หรือข้อตกลงเพิ่มเติมระหว่างคู่สัญญา
• 6.3 ในกรณีที่ข้อตกลงการประมวลผลสิ้นสุดลง ผู้ประมวลผลข้อมูลจะลบข้อมูลส่วนบุคคลทั้งหมดที่อยู่ในความครอบครองและรับจากลูกค้าภายในระยะเวลาที่รวมอยู่ในคำชี้แจง Data Pro ในลักษณะที่ไม่สามารถใช้งานได้อีกต่อไปและไม่สามารถใช้งานได้อีกต่อไป เข้าถึงได้ (เข้าถึงไม่ได้) หรือหากตกลง ให้ส่งคืนให้กับลูกค้าในรูปแบบที่เครื่องอ่านได้
• 6.4 ผู้ประมวลผลข้อมูลสามารถเรียกเก็บค่าใช้จ่ายใด ๆ ที่เกิดขึ้นในบริบทของบทบัญญัติของข้อ 6.3 ให้กับลูกค้า สามารถระบุข้อตกลงเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ในคำชี้แจงของ Data Pro
• 6.5 บทบัญญัติของข้อ 6.3 ใช้ไม่ได้หากข้อบังคับทางกฎหมายป้องกันไม่ให้ผู้ประมวลผลข้อมูลลบหรือส่งคืนข้อมูลส่วนบุคคลทั้งหมดหรือบางส่วน ในกรณีดังกล่าว ผู้ประมวลผลข้อมูลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลต่อไปในขอบเขตที่จำเป็นภายใต้ภาระผูกพันทางกฎหมายเท่านั้น บทบัญญัติของข้อ 6.3 ยังใช้ไม่ได้หากผู้ประมวลผลข้อมูลเป็นผู้ควบคุมตามความหมายของ GDPR ที่เกี่ยวกับข้อมูลส่วนบุคคล

ข้อ 7 สิทธิ์ของเจ้าของข้อมูล การประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA) และสิทธิ์ในการตรวจสอบ

• 7.1 ผู้ประมวลผลข้อมูลจะร่วมมือกับคำขอที่สมเหตุสมผลจากลูกค้าที่เกี่ยวข้องกับสิทธิ์ของเจ้าของข้อมูลที่เรียกจากลูกค้าโดยเจ้าของข้อมูล หากเป็นไปได้ หากเจ้าของข้อมูลติดต่อผู้ประมวลผลข้อมูลโดยตรง เขาจะแนะนำบุคคลนี้ให้กับลูกค้าหากเป็นไปได้
• 7.2 หากลูกค้าจำเป็นต้องทำเช่นนั้น ผู้ประมวลผลข้อมูลจะร่วมมือกับการประเมินผลกระทบต่อการปกป้องข้อมูล (DPIA) หรือการปรึกษาหารือล่วงหน้าในภายหลังตามที่อ้างถึงในมาตรา 35 และ 36 ค่าเฉลี่ย
• 7.3 ผู้ประมวลผลข้อมูลจะร่วมมือกับคำขอจากลูกค้าในการลบข้อมูลส่วนบุคคลตราบเท่าที่ลูกค้าไม่สามารถดำเนินการนี้ได้
• 7.4 ตามคำขอของลูกค้า ผู้ประมวลผลข้อมูลจะเปิดเผยข้อมูลเพิ่มเติมทั้งหมดที่จำเป็นตามสมควรเพื่อแสดงการปฏิบัติตามข้อตกลงที่ทำไว้ในข้อตกลงการประมวลผลนี้ หากลูกค้ายังคงมีเหตุผลที่เชื่อได้ว่าการประมวลผลข้อมูลส่วนบุคคลไม่ได้เกิดขึ้นตามข้อตกลงในการประมวลผล ผู้เชี่ยวชาญภายนอกที่ได้รับการรับรองและเป็นอิสระสามารถปรึกษาได้มากที่สุดปีละครั้งซึ่งมีประสบการณ์ที่พิสูจน์ได้กับประเภทของ การประมวลผลที่ดำเนินการบนพื้นฐานของข้อตกลง มีการตรวจสอบที่ดำเนินการโดยลูกค้า การตรวจสอบจะถูกจำกัดให้ตรวจสอบการปฏิบัติตามข้อตกลงเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลตามที่กำหนดไว้ในข้อตกลงตัวประมวลผลนี้ ผู้เชี่ยวชาญจะมีหน้าที่ในการรักษาความลับในสิ่งที่เขาพบ และจะรายงานต่อลูกค้าเฉพาะสิ่งที่ส่งผลให้เกิดข้อบกพร่องในการปฏิบัติตามภาระผูกพันที่ผู้ประมวลผลข้อมูลมีภายใต้ข้อตกลงผู้ประมวลผลข้อมูลนี้เท่านั้น ผู้เชี่ยวชาญจะให้สำเนารายงานของเขาแก่ผู้ประมวลผลข้อมูล ผู้ประมวลผลข้อมูลอาจปฏิเสธการตรวจสอบหรือคำสั่งจากผู้เชี่ยวชาญ หากในความเห็นของผู้ประมวลผลข้อมูล การกระทำนี้ละเมิด GDPR หรือกฎหมายอื่น ๆ หรือถือเป็นการละเมิดมาตรการรักษาความปลอดภัยที่ไม่ได้รับอนุญาต
• 7.5 ทั้งสองฝ่ายจะปรึกษาหารือกันโดยเร็วที่สุดเกี่ยวกับผลของรายงาน ทั้งสองฝ่ายจะปฏิบัติตามมาตรการปรับปรุงที่เสนอในรายงานตราบเท่าที่สามารถคาดหวังได้อย่างสมเหตุสมผล ผู้ประมวลผลข้อมูลจะใช้มาตรการปรับปรุงที่เสนอในขอบเขตที่เหมาะสมตามความเห็น โดยคำนึงถึงความเสี่ยงในการประมวลผลที่เกี่ยวข้องกับผลิตภัณฑ์หรือบริการ ความทันสมัย ​​ค่าใช้จ่ายในการดำเนินการ ตลาดที่ดำเนินการ และ วัตถุประสงค์ในการใช้ผลิตภัณฑ์หรือบริการ การบริการ
• 7.6 ผู้ประมวลผลข้อมูลมีสิทธิ์เรียกเก็บค่าใช้จ่ายที่เกิดขึ้นในบริบทของบทบัญญัติของบทความนี้ไปยังลูกค้า

ข้อ 8. โปรเซสเซอร์ย่อย

• 8.1 ผู้ประมวลผลข้อมูลระบุไว้ในคำชี้แจง Data Pro ว่าบุคคลที่สาม (ผู้ประมวลผลข้อมูลย่อยหรือผู้ประมวลผลข้อมูลย่อย) มีส่วนร่วมในการประมวลผลข้อมูลส่วนบุคคลหรือไม่และหากเป็นเช่นนั้น
• 8.2 ลูกค้าอนุญาตให้ผู้ประมวลผลข้อมูลมีส่วนร่วมกับผู้ประมวลผลย่อยรายอื่นเพื่อปฏิบัติตามภาระผูกพันที่เกิดขึ้นจากข้อตกลง
• 8.3 ผู้ประมวลผลข้อมูลจะแจ้งให้ลูกค้าทราบเกี่ยวกับการเปลี่ยนแปลงในบุคคลภายนอกที่มีส่วนเกี่ยวข้องกับผู้ประมวลผลข้อมูล ตัวอย่างเช่น โดยวิธีการแก้ไขคำชี้แจง Data Pro ลูกค้ามีสิทธิ์คัดค้านการเปลี่ยนแปลงดังกล่าวโดยผู้ประมวลผลข้อมูล ผู้ประมวลผลข้อมูลทำให้แน่ใจว่าบุคคลภายนอกที่มีส่วนเกี่ยวข้องกับมันได้กระทำการในระดับความปลอดภัยเดียวกันโดยคำนึงถึงการปกป้องข้อมูลส่วนบุคคลเป็นระดับความปลอดภัยที่ตัวประมวลผลข้อมูลผูกพันกับลูกค้าตามคำชี้แจงของ Data Pro

ข้อ 9. อื่นๆ

เงื่อนไขการประมวลผลมาตรฐานเหล่านี้ ร่วมกับคำชี้แจง Data Pro ถือเป็นส่วนสำคัญของข้อตกลง สิทธิ์และภาระผูกพันทั้งหมดภายใต้ข้อตกลงนี้ รวมถึงข้อกำหนดและเงื่อนไขทั่วไปที่บังคับใช้ และ/หรือข้อจำกัดความรับผิด จึงมีผลบังคับใช้กับข้อตกลงการประมวลผลด้วย