Угода про переробник

Вступ

Autosoft BV обробляє, серед іншого, персональні дані для та від імені клієнта. Таким чином, Autosoft BV і клієнт зобов’язані відповідно до Загального регламенту про захист даних (GDPR) укласти угоду про обробку даних. Відповідно до GDPR, Autosoft BV — це «процесор», а клієнт — «контролер». У цій угоді з обробником також описано, як Autosoft BV виконує зобов’язання щодо сповіщення про порушення даних.

Угода про переробник

Що складається з:
Частина 1: Заява Data Pro
Частина 2: Стандартні умови обробки

Частина 1: Заява Data Pro

Додаткова інформація

1). Ця Заява Data Pro була складена таким обробником даних (обробником):

• Autosoft BV
  Hegelosestraat 547
  7521 AG Енсхеде

Якщо у вас виникли запитання щодо цієї Заяви Data Pro або захисту даних, звертайтеся:
Артур ван дер Лек: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Ця Заява Data Pro діє з 1 серпня 2021 року
Ми регулярно коригуємо цю Заяву Data Pro та описані в ній заходи безпеки, щоб гарантувати, що ми завжди готові й оновлюємось щодо захисту даних. Ми будемо інформувати вас про нові версії через наші звичайні канали.

3). Ця Заява Data Pro стосується наступних продуктів і послуг з обробки даних

• AutoWebsite
• Автокомерція

4). Опис Сайт автомобіля
Автомобільні компанії використовують сайт Auto. За допомогою Autowebsite автомобільні компанії можуть представити себе в Інтернеті.

5). Веб-сайт «Автомобіль» за призначенням
Автовеб-сайт розроблений та обладнаний для обробки таких типів даних:
Відвідувачі веб-сайтів, розроблених Autosoft разом із Autowebsite, мають можливість залишити там свої контактні дані, щоб автомобільна компанія мала можливість звернутися до відвідувача для отримання додаткових послуг. Ці контактні дані не зберігаються в Autosoft, а пересилаються безпосередньо електронною поштою на адресу електронної пошти автокомпанії.

• Цей сервіс не враховує обробку спеціальних персональних даних, даних про судимості та правопорушення чи персональні номери, видані державою.

6). Опис Автокомерція
Автомобільні компанії використовують Autocommerce. Завдяки Autocommerce автомобільні компанії можуть керувати та представляти свої транспортні засоби на власних веб-сайтах та пошукових інтернет-порталах третіх сторін.

7). Автокомерція за призначенням
Autocommerce розроблено та обладнано для обробки таких типів даних:
Автомобільні компанії можуть розміщувати свої зареєстровані транспортні засоби через Autocommerce на власному веб-сайті Car. Ці зареєстровані транспортні засоби не містять жодних даних, які можна відстежити до персональних даних у будь-якій формі. Відвідувачі сайту «Автомобілі» мають можливість залишити там свої контактні дані, щоб автомобільна компанія мала можливість звернутися до відвідувача для отримання додаткових послуг. Контактні дані, залишені відвідувачем на власному веб-сайті Auto, зберігаються в Autocommerce.

• Цей сервіс не враховує обробку спеціальних персональних даних, даних про судимості та правопорушення чи персональні номери, видані державою.

8). Обробник даних використовує Стандартні положення для обробки для Autowebsite та Autocommerce, які можна знайти як додаток до Угоди.

9). Обробник даних обробляє персональні дані своїх клієнтів у межах ЄС/ЄЕЗ для Autowebsite та Autocommerce.

10). Обробник даних використовує такі підпроцесори для Autocommerce:
У деяких випадках Autosoft надсилає свої зареєстровані транспортні засоби через Autocommerce на пошукові портали третіх сторін або субпроцесорів від імені Car Company. Список субпроцесорів доступний за запитом на support@autosoft.eu.

11). Після розірвання Угоди з клієнтом обробник даних, в принципі, видаляє персональні дані, які він обробляє для клієнта, протягом 3 місяців таким чином, щоб вони більше не могли використовуватися та були недоступними (зробити недоступними).

Політика безпеки

Узагальніть наступні заходи безпеки, які обробник даних вжив для захисту свого продукту або послуги:

Управління інцидентами та політика реагування
Управління інцидентами та політика реагування на них у сфері інформаційної безпеки включають моніторинг і виявлення інцидентів безпеки на комп’ютері чи ІТ-інфраструктурі, а також спостереження за підозрілими діяльністю персоналу та реалізацію правильних реакцій на ці події.

Основна мета цієї політики — розробити добре зрозумілу та передбачувану відповідь на шкідливі події та комп’ютерні вторгнення в найширшому сенсі цього слова.

Політика управління інцидентами та реагування на них – це процес управління та захисту комп’ютерів, мереж та інформаційних систем та інформації, що в них зберігається. Autosoft усвідомлює свою відповідальність, коли мова йде про захист цієї інформації на користь своїх клієнтів і партнерів по ланцюгу поставок. Ця відповідальність поширюється на проведення процедури інциденту. Управління інцидентами – це набір заходів, які визначають та реалізують процес, який організація може використовувати для підвищення власного добробуту та безпеки громадськості.

ІТ та безпека
Структура ІКТ Autosoft BV належним чином захищена брандмауером, а програмне забезпечення для сканування вірусів постійно оновлюється. Кожен співробітник має профіль для входу. Під час запуску комп’ютера працівники повинні ввести ім’я для входу та пароль, а також, якщо це можливо, двоетапну аутентифікацію.

Певне програмне забезпечення також запитує ім’я для входу та пароль, а також, якщо можливо, двоетапну аутентифікацію. Стимулюється обізнаність працівників щодо безпечної роботи, наприклад, привернення уваги до того, щоб не відкривати підозрілі електронні листи, не натискати підозрілі посилання, виходити з системи при тривалому відході з робочого місця тощо.

Резервне копіювання файлів здійснюється вдень і щовечора. З міркувань безпеки подальша процедура зберігання, пов’язана зі створенням резервної копії, є конфіденційною. Для цього Autosoft BV уклала договори на обслуговування з постачальниками комп’ютерів та інтернет-хостингу.

Політика захисту даних
Autosoft BV вживає відповідних технічних та організаційних заходів для захисту персональних даних клієнта від втрати або будь-якої форми незаконної обробки. Ці технічні та організаційні заходи розглядаються як відповідний рівень безпеки у значенні статті 1 GDPR і зберігаються як документи в центральному Basecamp (Проект: Політика організації/захисту даних) Autosoft BV.

Технічні та організаційні

1. Заходи щодо забезпечення доступу лише уповноваженого персоналу до Персональних даних, які обробляються в контексті Угоди про обробку;
2. Заходи щодо захисту Персональних даних, зокрема від випадкового або незаконного знищення, втрати, випадкової зміни, несанкціонованого або незаконного зберігання, доступу або розголошення;
3. Заходи щодо захисту Персональних даних, зокрема від випадкового або незаконного знищення, втрати, випадкової зміни, несанкціонованого або незаконного зберігання, доступу або розкриття під час обміну/транспортування даних;
4. Заходи щодо забезпечення можливості постійного забезпечення конфіденційності, цілісності, доступності та стійкості систем і сервісів редагування;
5. Заходи щодо своєчасного відновлення доступності та доступу до Персональних даних у разі фізичного або технічного інциденту;
6. Заходи щодо виявлення вразливостей щодо обробки Персональних даних у системах, що використовуються для надання послуг за договором;

Організаційні, такі як:

• Обмеження кола посадових осіб, які мають доступ до певних персональних даних, тими особами, яким ці дані необхідні для виконання своїх повноважень;
• надання цим особам доступу лише до персональних даних, які їм необхідні для виконання службових обов’язків;
• узгодження застереження про конфіденційність із застереженням з усіма особами, яким буде надано доступ до персональних даних;
• зберігання персональних даних на серверах у закритому просторі;
• зберігання паперових файлів у шафах, що замикаються;
• формування у співробітників обізнаності з інформаційної безпеки;
• встановлення чітких протоколів і процедур для своєчасного та ефективного вирішення інцидентів інформаційної безпеки та вразливостей безпеки;

Обробник даних використовує власні методології та процедури управління, які вписуються в робочий метод організації:

• У межах Basecamp відповідні документи обробляються та періодично оцінюються.

Протокол порушення даних

У випадку, якщо щось піде не так, обробник даних використовує наступний протокол витоку даних, щоб переконатися, що клієнт знає про інциденти:

Autosoft BV – процедура порушення даних

Що таке злом даних і коли я повинен повідомити про це AP?
Порушення даних – це інцидент інформаційної безпеки, який включає порушення безпеки персональних даних через ризик втрати або незаконної обробки, наприклад (але не вичерпно):

• Коригування та/або зміна персональних даних та несанкціонований доступ до цих персональних даних;
• У разі злому хакером;
• Втрата USB-флешки, крадіжка ноутбука;
• Надсилання конфіденційних даних на неправильну адресу електронної пошти;

Відповідно до закону, про «серйозне» порушення даних має бути повідомлено в голландський орган із захисту даних без зайвої затримки і, якщо можливо, не пізніше ніж через 72 години після виявлення.

Autosoft BV не зобов’язана повідомляти голландський орган із захисту даних, якщо фактична ідентифікація окремих фізичних осіб обґрунтовано виключена.
Усі підозри щодо інциденту інформаційної безпеки будуть розглянуті в першу чергу support@autosoft.eu повідомлено та зареєстровано. Підтримка повідомляє про інцидент команді управління та визначає, які подальші дії слід вжити.

Процедура подальшого спостереження

Коли я маю повідомити суб’єктів даних?
Про порушення даних необхідно повідомити суб’єкта даних, якщо в разі порушення існує високий ризик того, що порушення матиме негативні наслідки для його чи її приватного життя. Несприятливими наслідками для суб’єкта даних є: пошкодження його репутації та репутації, шахрайство з ідентифікацією чи дискримінація. Якщо Autosoft BV вжило відповідних заходів технічного захисту, зробивши відповідні персональні дані незрозумілими або недоступними, повідомляти суб’єкта даних не потрібно. Повідомлення суб’єкту даних має містити чітким і зрозумілим опис характеру порушення персональних даних і принаймні:

• ім'я та контактні дані уповноваженого із захисту даних або іншого контактного пункту, де можна отримати додаткову інформацію;
• ймовірні наслідки порушення персональних даних;
• заходи, запропоновані або вжиті контролером для усунення порушень персональних даних, включаючи, за необхідності, заходи для пом’якшення будь-яких негативних наслідків цього. Оцінка того, чи потрібно повідомити про порушення даних у голландський орган із захисту даних та/або постраждалих осіб, завжди залежить від Autosoft BV. Щоб визначити, чи потрібно повідомляти про інцидент, голландський орган із захисту даних розробив правила політики (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) та робоча група 29 європейських рекомендацій для наглядових органів, опублікованих щодо зобов’язань звітувати в GDPR. Якщо Autosoft BV не повідомила про порушення даних, голландський орган із захисту даних може вимагати, щоб Autosoft BV все ж подала звіт. Неподання може каратися адміністративним штрафом.

Як повідомити про порушення даних?
Голландський орган із захисту даних надає веб-форму, яку необхідно використовувати для повідомлення про порушення даних (https://dataleks.autoriteitpersoonsgegevens.nl/). Голландський орган із захисту даних веде реєстр отриманих повідомлень про порушення даних. Цей реєстр не є публічним. Якщо в результаті порушення даних голландським органом із захисту даних буде накладено штраф, це рішення буде оприлюднено. Порушення даних також оприлюднюється, коли суб’єктів даних необхідно повідомити про порушення даних. Повідомлення суб’єкту даних у будь-якому випадку повинно вказувати на характер порушення та органи, де суб’єкт даних може отримати додаткову інформацію про порушення. Також має бути зазначено, що суб’єкт даних може зробити сам, щоб обмежити негативні наслідки порушення даних. Наприклад, зміна імен користувачів та паролів, коли вони, можливо, були зламані через порушення.

Що я маю повідомити?
Повідомлення до Голландського органу захисту даних включає:

• Журналіст про порушення даних.
• Особа, з якою голландський орган із захисту даних може зв’язатися для отримання додаткової інформації про звіт.
• Короткий опис інциденту, коли сталося порушення безпеки персональних даних.
• Час порушення.
• Характер порушення.
• Тип відповідних персональних даних.
• Наслідки, які може мати порушення для конфіденційності причетних осіб.
• Технічні та організаційні заходи, які компанія Autosoft BV вжила для подолання порушення та запобігання подальшим порушенням.
• Чи повідомляє Autosoft BV суб’єктам даних про порушення даних, і якщо ні, чи має намір Autosoft BV це зробити:
• Якщо так, то зміст повідомлення суб’єктам даних.
• Якщо ні, причина, чому Autosoft BV утримується від повідомлення суб’єктів даних про порушення даних.
• Чи були персональні дані зашифровані, хешовані чи іншим чином зроблені незрозумілими чи недоступними для неавторизованих осіб?

Частина 2: Стандартні умови обробки

Версія: вересень 2019 року
Разом із Заявою Data Pro формує угоду про обробку та є додатком до Угоди та супровідних додатків, таких як застосовні загальні умови.

Стаття 1. Визначення

Терміни, наведені нижче, мають такі значення в цих Стандартних положеннях щодо обробки, у Заяві Data Pro та в угоді:

• 1.1 Голландський орган із захисту даних (AP): наглядовий орган, як зазначено у статті 4, підпункті 21 Сер.
• 1.2 AVG: Загальне положення про захист даних.
• 1.3 Обробник даних: сторона, яка як постачальник ІКТ обробляє Персональні дані на користь свого Клієнта в контексті виконання Угоди.
• 1.4 Заява Data Pro: заява Обробника даних, у якій він надає інформацію щодо передбачуваного використання свого продукту чи послуги, вжитих заходів безпеки, суб-обробників, витоку даних, сертифікації та поводження з правами суб’єктів даних.
• 1.5 Суб'єкт даних (суб'єкт даних): ідентифікована або ідентифікована фізична особа.
• 1.6 Клієнт: сторона, від імені якої Обробник даних обробляє персональні дані. Клієнтом може бути або контролер («контролер»), або інший процесор.
• 1.7 Угода: договір між Клієнтом та Обробником даних, на підставі якого постачальник ІКТ надає послуги та/або продукти Клієнту, частиною якого є угода з обробником.
• 1.8 Персональні дані: вся інформація про ідентифіковану або ідентифіковану фізичну особу, як описано в статті 4, підпункт 1 AVG, яку Обробник даних обробляє в контексті виконання своїх зобов’язань, що випливають з Угоди.
• 1.9 Угода про обробку: ці Стандартні положення щодо обробки, які разом із Заявою Data Pro (або порівнянною інформацією) від Обробника даних утворюють угоду про обробку, як зазначено в статті 28, параграф 3 GDPR.

Стаття 2. Загальні

• 2.1 Ці Стандартні положення щодо обробки застосовуються до всієї обробки Персональних даних, яку здійснює Обробник даних у контексті доставки своїх продуктів і послуг, а також до всіх угод і пропозицій. Застосовність угод Клієнта про обробку категорично відхиляється.
• 2.2 Заява Data Pro, і зокрема заходи безпеки, що містяться в ній, можуть час від часу змінюватися Обробником даних, щоб відобразити обставини, що змінюються. Обробник даних повідомить Клієнта про значні зміни. Якщо Клієнт не може обґрунтовано погодитися на коригування, Клієнт має право розірвати угоду про обробку в письмовій формі протягом 30 днів після повідомлення про коригування.
• 2.3 Обробник даних обробляє Персональні дані від імені та від імені Клієнта відповідно до письмових інструкцій Клієнта, погоджених з Обробником даних.
• 2.4 Клієнт або його клієнт є контролером у розумінні GDPR, контролює обробку Персональних даних і визначає мету та засоби обробки Персональних даних.
• 2.5 Обробник даних є обробником у розумінні GDPR і, отже, не контролює мету та засоби обробки Персональних даних, а отже, не приймає жодних рішень щодо, серед іншого, використання Персональних даних.
• 2.6 Обробник даних реалізує GDPR, як зазначено в цих Стандартних положеннях щодо обробки, Заяві Data Pro та Угоді. Клієнт повинен оцінити на основі цієї інформації, чи надає Обробник даних достатні гарантії щодо застосування відповідних технічних та організаційних заходів, щоб обробка відповідала вимогам GDPR та захисту прав суб’єктів даних. достатньо гарантовано.
• 2.7 Клієнт гарантує Обробнику даних, що він діє відповідно до GDPR, що він завжди захищає свої системи та інфраструктуру, а також що вміст, використання та/або обробка Персональних даних не є незаконними та не порушує жодних прав. третьої особи.
• 2.8 Адміністративний штраф, накладений на Клієнта AP, не може бути стягнутий з Обробника даних.

Стаття 3. Безпека

• 3.1 Обробник даних вживає технічних та організаційних заходів безпеки, як описано в його Заяві Data Pro. Приймаючи технічні та організаційні заходи безпеки, Обробник даних взяв до уваги сучасний рівень техніки, витрати на впровадження заходів безпеки, характер, обсяг і контекст обробки, цілі та цільове використання своїх продуктів і послуг. , ризики обробки та ризики, які відрізняються за ймовірністю та серйозністю для прав і свобод Суб'єктів даних, які він міг очікувати з огляду на цільове використання його продуктів і послуг.
• 3.2 Якщо інше прямо не зазначено в Заяві про Data Pro, продукт або послуга Обробника даних не призначені для обробки спеціальних категорій Персональних даних або даних, що стосуються кримінальних судимостей або правопорушень, або випущених державою особистих номерів.
• 3.3 Обробник даних прагне забезпечити, щоб заходи безпеки, які він вживає, відповідали передбачуваному використанню продукту або послуги Обробником даних.
• 3.4 На думку Клієнта, описані заходи безпеки пропонують, з урахуванням факторів, зазначених у статті 3.1, рівень безпеки, пристосований до ризику обробки Персональних даних, що використовуються або надаються ним.
• 3.5 Обробник даних може вносити зміни до вжитих заходів безпеки, якщо, на його думку, це необхідно для забезпечення належного рівня безпеки. Обробник даних фіксуватиме важливі зміни, наприклад, у зміненій Заяві Data Pro, і інформуватиме Клієнта про ці зміни, якщо це необхідно.
• 3.6 Клієнт може попросити Обробника даних вжити додаткових заходів безпеки. Обробник даних не зобов’язаний вносити зміни до своїх заходів безпеки на такий запит. Обробник даних може стягнути з Клієнта витрати, пов’язані зі змінами, внесеними на вимогу Клієнта. Тільки після того, як змінені заходи безпеки, бажані Клієнтом, будуть узгоджені в письмовій формі та підписані Сторонами, Обробник даних зобов’язаний фактично впровадити ці заходи безпеки.

Стаття 4. Порушення персональних даних

• 4.1 Обробник даних не гарантує, що заходи безпеки ефективні за будь-яких обставин. Якщо Обробник даних виявить порушення у зв’язку з Персональними даними (як зазначено у статті 4, підпункт 12 Avg), він повідомить Клієнта без зайвої затримки. Заява Data Pro (відповідно до протоколу витоку даних) визначає, як Обробник даних інформує Клієнта про порушення, пов’язані з Персональними даними.
• 4.2 Контролер (Клієнт або його клієнт) повинен оцінити, чи потрібно повідомити AP або суб’єкта даних про порушення персональних даних, про яке повідомив Обробник даних. Повідомлення про порушення у зв’язку з Персональними даними, про які необхідно повідомити AP та/або суб’єктів даних відповідно до статей 33 і 34 GDPR, залишається відповідальністю контролера (Клієнта або його клієнта) у будь-який час. Обробник даних не зобов’язаний повідомляти AP та/або суб’єкта даних про порушення персональних даних.
• 4.3 Обробник даних, якщо необхідно, надасть додаткову інформацію про порушення у зв’язку з Персональними даними та співпрацюватиме з наданням необхідної інформації Клієнту з метою повідомлення, як зазначено у статтях 33 та 34 Avg.
• 4.4 Обробник даних може стягувати з Клієнта розумні витрати, які він несе у цьому контексті, за застосовними на той момент ставками.

Стаття 5. Конфіденційність

• 5.1 Обробник даних гарантує, що особи, які обробляють Персональні дані під його відповідальністю, зобов’язані зберігати конфіденційність.
• 5.2 Обробник даних має право надавати Персональні дані третім особам, якщо і наскільки це необхідно на підставі рішення суду, нормативно-правового акта або на підставі уповноваженого наказу державного органу.
• 5.3 Усі коди доступу та/або ідентифікаційні коди, сертифікати, інформація щодо політики доступу та/або паролів, надана Обробником даних Клієнту, а також вся інформація, надана Обробником даних Клієнту, яка реалізує технічні та організаційні заходи безпеки, включені в Заяву Data Pro, є конфіденційною. і буде розглядатися Клієнтом як така і буде відома лише уповноваженим працівникам Клієнта. Клієнт забезпечує виконання своїми працівниками зобов'язань, передбачених цією статтею.

Стаття 6. Строк і припинення

• 6.1 Ця угода про процесор є частиною Угоди, і будь-яка нова або подальша угода, що випливає з неї, набуває чинності в момент укладення Угоди та укладається на невизначений період часу.
• 6.2 Ця угода про процесор припиняється відповідно до закону після припинення дії Угоди або будь-якої нової або подальшої угоди між сторонами.
• 6.3 У разі припинення дії угоди про обробку, Обробник даних видалить усі Персональні дані, що знаходяться у його володінні та отримані від Клієнта протягом терміну, зазначеного в Заяві про Data Pro таким чином, що вони більше не можуть використовуватися та більше не використовуватися. доступний (зробити недоступним). , або, якщо це погоджено, повернути його Клієнту у машиночитаному форматі.
• 6.4 Обробник даних може стягувати з Клієнта будь-які витрати, які він понесе у контексті положень статті 6.3. Подальші угоди щодо цього можуть бути викладені в Заяві Data Pro.
• 6.5 Положення статті 6.3 не застосовуються, якщо законодавче положення забороняє Обробнику даних повністю або частково видалити або повернути Персональні дані. У такому випадку Обробник даних продовжуватиме обробляти Персональні дані лише в обсязі, необхідному відповідно до своїх юридичних зобов’язань. Положення статті 6.3 також не застосовуються, якщо Обробник даних є контролером у значенні GDPR щодо Персональних даних.

Стаття 7. Права суб'єктів даних, Оцінка впливу на захист даних (DPIA) та права на аудит

• 7.1 Обробник даних, де це можливо, співпрацюватиме з обґрунтованими запитами від Клієнта, які стосуються прав Суб’єктів даних, на які суб’єкти даних звертаються від Клієнта. Якщо суб’єкт даних безпосередньо звертається до Обробника даних, він, якщо це можливо, направить цю особу до Клієнта.
• 7.2 Якщо Клієнт зобов’язаний це зробити, Обробник даних буде співпрацювати з оцінкою впливу на захист даних (DPIA) або наступними попередніми консультаціями, як зазначено у статтях 35 і 36 Avg.
• 7.3 Обробник даних співпрацюватиме із запитами Клієнта на видалення персональних даних, якщо Клієнт не може виконати це самостійно.
• 7.4 На запит Клієнта Обробник даних також надасть всю додаткову інформацію, яка є обґрунтовано необхідною для демонстрації дотримання угод, укладених у цій угоді про обробку. Якщо у Клієнта все ж є підстави вважати, що обробка Персональних даних відбувається не відповідно до угоди про обробку, незалежний, сертифікований зовнішній експерт, який має доказовий досвід роботи з типом оброблення, може звертатися до нього не більше одного разу на рік. обробку, яка здійснюється на підставі Договору. , провести аудит за рахунок Клієнта. Аудит буде обмежуватися перевіркою дотримання угод щодо обробки Персональних даних, як зазначено в цій Угоді про обробку. Експерт буде зобов’язаний зберігати конфіденційність щодо того, що він знайшов, і буде повідомляти Клієнту лише те, що призвело до недоліків у виконанні зобов’язань, які Обробник даних має за цією угодою про обробку даних. Експерт надає копію свого звіту обробнику даних. Обробник даних може відмовити в аудиті або вказівці експерта, якщо, на його думку, це порушує GDPR або інше законодавство або є недопустимим порушенням вжитих ним заходів безпеки.
• 7.5 Сторони якомога швидше проведуть консультації щодо результатів звіту. Сторони дотримуватимуться запропонованих заходів щодо покращення, викладених у звіті, оскільки цього можна обґрунтовано від них очікувати. Обробник даних буде впроваджувати запропоновані заходи щодо покращення в тій мірі, в якій вони, на його думку, є доречними, беручи до уваги ризики обробки, пов’язані з його продуктом або послугою, сучасний рівень техніки, витрати на впровадження, ринок, на якому він працює, і цільове використання продукту чи послуги.
• 7.6 Обробник даних має право стягувати з Клієнта витрати, які він несе в контексті положень цієї статті.

Стаття 8. Субпроцесори

• 8.1 Обробник даних вказав у Заяві Data Pro, чи бере участь Обробник даних в обробці Персональних даних і якщо так, які треті сторони (субобробники чи субпроцесори).
• 8.2 Клієнт дає дозвіл Обробнику даних залучати інших субобробників для виконання своїх зобов'язань, що випливають з Угоди.
• 8.3 Обробник даних повідомить Клієнта про зміну третіх сторін, залучених Обробником даних, наприклад, за допомогою зміненої Заяви про Data Pro. Клієнт має право заперечити проти вищезазначених змін Обробником даних. Обробник даних гарантує, що залучені ним треті сторони зобов’язуються дотримуватися того самого рівня безпеки щодо захисту Персональних даних, що й рівень безпеки, до якого Обробник даних зобов’язаний щодо Клієнта на основі Заяви Data Pro.

Стаття 9. Інше

Ці Стандартні положення про обробку разом із Заявою Data Pro є невід’ємною частиною Угоди. Тому всі права та зобов’язання за Угодою, включаючи відповідні загальні умови та/або обмеження відповідальності, також застосовуються до угоди про обробку.