Đăng nhập
Autosoft - 25 năm đổi mới

Thỏa thuận bên xử lý

Và các điều khoản tiêu chuẩn để xử lý

Giới thiệu

Autosoft BV xử lý, trong số những thứ khác, dữ liệu cá nhân cho và thay mặt cho khách hàng. Do đó, Autosoft BV và khách hàng có nghĩa vụ theo Quy định chung về bảo vệ dữ liệu (GDPR) để ký kết Thỏa thuận về bộ xử lý. Theo GDPR, Autosoft BV là "bộ xử lý" và khách hàng là "người kiểm soát". Thỏa thuận về bộ xử lý này cũng mô tả cách Autosoft BV xử lý nghĩa vụ thông báo vi phạm dữ liệu.

Thỏa thuận bên xử lý

Bao gồm:
Phần 1: Tuyên bố về Data Pro
Phần 2: Các điều khoản xử lý tiêu chuẩn

Phần 1: Tuyên bố về Data Pro

Thông tin chung

1). Tuyên bố về Data Pro này đã được tạo ra bởi bộ xử lý dữ liệu (bộ xử lý) sau:

  • Autosoft BV
    Hengelostraat 547
    7521 AG Enschede

Đối với các câu hỏi về Tuyên bố Chuyên gia Dữ liệu này hoặc bảo vệ dữ liệu, vui lòng liên hệ:
Arthur van der Lek: arthur@autosoft.eu / +31 (0) 53 - 428 00 98

2). Tuyên bố về Data Pro này áp dụng từ ngày 1 tháng 2021 năm XNUMX
Chúng tôi thường xuyên điều chỉnh Tuyên bố về Data Pro này và các biện pháp bảo mật được mô tả trong đó để đảm bảo rằng chúng tôi luôn chuẩn bị và cập nhật liên quan đến việc bảo vệ dữ liệu. Chúng tôi sẽ thông báo cho bạn về các phiên bản mới thông qua các kênh thông thường của chúng tôi.

3). Tuyên bố về Data Pro này áp dụng cho các sản phẩm và dịch vụ của bộ xử lý dữ liệu sau

  • trang web ô tô
  • Thương mại tự động

4). Mô tả trang web về ô tô
Các công ty xe hơi sử dụng Autowebsite. Với Autowebsite, các công ty xe hơi có thể tự giới thiệu mình trên internet.

5). Mục đích sử dụng Trang web xe hơi
Autowebsite được thiết kế và trang bị để xử lý các loại dữ liệu sau:
Khách truy cập vào các trang web do Autosoft phát triển với Autowebsite có tùy chọn để lại chi tiết liên hệ của họ ở đó để công ty xe hơi có cơ hội tiếp cận khách truy cập để có thêm các dịch vụ. Các chi tiết liên hệ này không được lưu trữ với Autosoft, nhưng được chuyển trực tiếp qua e-mail đến địa chỉ e-mail của công ty xe hơi.

  • Dịch vụ này không tính đến việc xử lý dữ liệu cá nhân đặc biệt, hoặc dữ liệu liên quan đến án tích và tội danh hoặc số cá nhân do chính phủ cấp.

6). Mô tả Thương mại tự động
Các công ty xe hơi sử dụng Autocommerce. Với Autocommerce, các công ty xe hơi có thể quản lý và trình bày xe của họ trên trang web của riêng họ và các cổng tìm kiếm trên internet của các bên thứ ba.

7). Thương mại tự động có mục đích sử dụng
Autocommerce được thiết kế và trang bị để xử lý các loại dữ liệu sau:
Các công ty ô tô có thể đặt xe đã đăng ký của họ qua Tự động thương mại trên trang web Ô tô của riêng họ. Các phương tiện đã đăng ký này không chứa bất kỳ dữ liệu nào có thể truy xuất dữ liệu cá nhân dưới mọi hình thức. Khách truy cập vào trang web Xe hơi có tùy chọn để lại chi tiết liên hệ của họ ở đó để công ty xe hơi có cơ hội tiếp cận khách truy cập để có thêm các dịch vụ. Các chi tiết liên hệ do khách truy cập để lại trên trang web Tự động của họ được lưu trữ trong Thương mại tự động.

  • Dịch vụ này không tính đến việc xử lý dữ liệu cá nhân đặc biệt, hoặc dữ liệu liên quan đến án tích và tội danh hoặc số cá nhân do chính phủ cấp.

số 8). Bộ xử lý dữ liệu sử dụng Điều khoản tiêu chuẩn để xử lý cho Trang web tự động và Thương mại tự động, có thể được tìm thấy dưới dạng phụ lục của Thỏa thuận.

9). Bộ xử lý dữ liệu xử lý dữ liệu cá nhân của khách hàng trong EU / EEA cho Autowebsite và Autocommerce.

10). Bộ xử lý dữ liệu sử dụng các bộ xử lý phụ sau cho Tự động thương mại:
Trong một số trường hợp, Autosoft thay mặt Công ty Ô tô gửi các xe đã đăng ký của mình qua Tự động thương mại đến các cổng tìm kiếm trên internet của các bên thứ ba hoặc các nhà xử lý phụ. Danh sách các bộ xử lý phụ có sẵn theo yêu cầu tại support@autosoft.eu.

11). Sau khi chấm dứt Thỏa thuận với khách hàng, về nguyên tắc bộ xử lý dữ liệu sẽ xóa dữ liệu cá nhân mà nó xử lý cho khách hàng trong vòng 3 tháng theo cách mà chúng không thể sử dụng được nữa và không thể truy cập được nữa (khiến không thể truy cập được).

Chính sách bảo mật

Tóm tắt các biện pháp bảo mật sau mà Bộ xử lý dữ liệu đã thực hiện để bảo vệ sản phẩm hoặc dịch vụ của mình:

Chính sách ứng phó và quản lý sự cố
Các chính sách quản lý và ứng phó sự cố trong lĩnh vực an toàn thông tin bao gồm việc giám sát và phát hiện các sự cố bảo mật trên máy tính hoặc cơ sở hạ tầng CNTT, nhưng cũng bao gồm việc theo dõi các hoạt động đáng ngờ của nhân viên và thực hiện các phản ứng chính xác đối với các sự kiện này.

Mục tiêu chính của chính sách này là phát triển một phản ứng dễ hiểu và có thể dự đoán được đối với các sự kiện độc hại và sự xâm nhập máy tính theo nghĩa rộng nhất của từ này.

Chính sách quản lý và ứng phó sự cố là quá trình quản lý và bảo vệ máy tính, mạng và hệ thống thông tin và thông tin được lưu trữ trong đó. Autosoft nhận thức được trách nhiệm của mình khi phải bảo vệ những thông tin này vì lợi ích của khách hàng và các đối tác trong chuỗi cung ứng của mình. Trách nhiệm này mở rộng đến việc có một thủ tục Sự cố. Quản lý sự cố là một tập hợp các hoạt động xác định và thực hiện một quy trình mà một tổ chức có thể sử dụng để thúc đẩy phúc lợi của chính mình và sự an toàn của công chúng.

CNTT và bảo mật
Cấu trúc ICT của Autosoft BV được bảo mật đầy đủ bằng tường lửa và phần mềm quét vi rút được cập nhật. Mỗi nhân viên đều có một hồ sơ đăng nhập. Khi khởi động máy tính, nhân viên phải nhập tên đăng nhập và mật khẩu và nếu có thể với xác thực 2 bước.

Một số phần mềm cũng yêu cầu tên đăng nhập và mật khẩu và nếu có thể với xác thực 2 bước. Nhận thức của nhân viên về việc làm việc an toàn được kích thích, chẳng hạn như thu hút sự chú ý để không mở các email đáng ngờ, không nhấp vào các liên kết đáng ngờ, đăng xuất khi rời khỏi nơi làm việc trong một thời gian dài, v.v.

Các tệp được sao lưu trong ngày và hàng đêm. Vì lý do bảo mật, quy trình lưu trữ thêm xung quanh bản sao lưu là bí mật. Autosoft BV đã ký kết hợp đồng dịch vụ cho việc này với các nhà cung cấp máy tính và nhà cung cấp dịch vụ lưu trữ internet.

Chính sách bảo vệ dữ liệu
Autosoft BV thực hiện các biện pháp tổ chức và kỹ thuật thích hợp để bảo vệ dữ liệu cá nhân của khách hàng khỏi bị mất hoặc bất kỳ hình thức xử lý bất hợp pháp nào. Các biện pháp tổ chức và kỹ thuật này được coi là mức độ bảo mật thích hợp theo nghĩa của Điều 1 của GDPR và được lưu trữ dưới dạng tài liệu trong Basecamp trung tâm (Dự án: Tổ chức / Chính sách bảo vệ dữ liệu) của Autosoft BV

Kỹ thuật và tổ chức

  1. Các biện pháp để đảm bảo rằng chỉ những người được ủy quyền mới có quyền truy cập vào Dữ liệu Cá nhân được xử lý trong khuôn khổ Thỏa thuận về bên xử lý;
  2. Các biện pháp bảo vệ Dữ liệu Cá nhân đặc biệt chống lại việc phá hủy, mất mát, thay đổi ngẫu nhiên hoặc bất hợp pháp, lưu trữ, truy cập hoặc tiết lộ trái phép hoặc bất hợp pháp;
  3. Các biện pháp để bảo vệ Dữ liệu Cá nhân đặc biệt chống lại việc phá hủy, mất mát, thay đổi ngẫu nhiên hoặc bất hợp pháp, lưu trữ, truy cập hoặc tiết lộ trái phép hoặc bất hợp pháp trong quá trình trao đổi / vận chuyển dữ liệu;
  4. Các biện pháp đảm bảo khả năng đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống biên tập và dịch vụ trên cơ sở liên tục;
  5. Các biện pháp khôi phục tính khả dụng và quyền truy cập vào Dữ liệu Cá nhân một cách kịp thời trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật;
  6. Các biện pháp xác định các lỗ hổng liên quan đến việc xử lý Dữ liệu Cá nhân trong các hệ thống được sử dụng để cung cấp các dịch vụ theo hợp đồng;

Tổ chức như:

  • Giới hạn vòng tròn các quan chức có quyền truy cập vào dữ liệu cá nhân nhất định cho những người cần dữ liệu để thực hiện nhiệm vụ của họ;
  • chỉ cấp cho những người này quyền truy cập vào dữ liệu cá nhân mà họ cần để thực hiện nhiệm vụ của mình;
  • đồng ý một điều khoản bảo mật với một điều khoản phạt với tất cả những người được cấp quyền truy cập vào dữ liệu cá nhân;
  • lưu trữ dữ liệu cá nhân trên máy chủ trong một không gian kín;
  • giữ hồ sơ giấy tờ trong tủ có khóa;
  • tạo nhận thức về an toàn thông tin trong nhân viên;
  • thiết lập các giao thức và thủ tục rõ ràng để xử lý kịp thời và hiệu quả các sự cố an toàn thông tin và các lỗ hổng bảo mật;

Bộ xử lý dữ liệu sử dụng các phương pháp và thủ tục riêng để quản lý phù hợp với phương pháp làm việc của tổ chức:

  • Các tài liệu liên quan được quản lý và đánh giá định kỳ trong Basecamp.
Giao thức vi phạm dữ liệu

Trong trường hợp xảy ra sự cố, bộ xử lý dữ liệu sử dụng giao thức rò rỉ dữ liệu sau đây để đảm bảo rằng máy khách nhận thức được các sự cố:

Autosoft BV - Quy trình vi phạm dữ liệu

Vi phạm dữ liệu là gì và khi nào tôi phải báo cáo cho AP?
Vi phạm dữ liệu là một sự cố bảo mật thông tin liên quan đến việc vi phạm tính bảo mật của dữ liệu cá nhân thông qua việc làm mất mát hoặc xử lý bất hợp pháp, chẳng hạn như (nhưng không toàn diện):

  • Điều chỉnh và / hoặc thay đổi dữ liệu cá nhân và truy cập trái phép vào dữ liệu cá nhân này;
  • Trong trường hợp bị hacker đột nhập;
  • Mất USB, trộm máy tính xách tay;
  • Gửi dữ liệu nhạy cảm đến một địa chỉ email không chính xác;

Theo luật, một vi phạm dữ liệu 'nghiêm trọng' phải được báo cáo cho Cơ quan Bảo vệ Dữ liệu của Hà Lan ngay lập tức và nếu có thể thì không quá 72 giờ sau khi phát hiện ra.

Autosoft BV không phải báo cáo với Cơ quan Bảo vệ Dữ liệu Hà Lan nếu việc nhận dạng thực tế của từng thể nhân bị loại trừ một cách hợp lý.
Tất cả những nghi ngờ về sự cố bảo mật thông tin sẽ được giải quyết ngay từ đầu support@autosoft.eu đã báo cáo và đăng ký. Hỗ trợ báo cáo sự cố cho Nhóm quản lý và xác định những hành động tiếp theo cần được thực hiện.

Quy trình theo dõi

Khi nào tôi phải thông báo cho các chủ thể dữ liệu?
Một vi phạm dữ liệu phải được báo cáo cho chủ thể dữ liệu nếu, trong trường hợp vi phạm, có nhiều nguy cơ vi phạm sẽ gây ra những hậu quả bất lợi cho cuộc sống riêng tư của họ. Hậu quả bất lợi cho chủ thể dữ liệu là: tổn hại danh tiếng và uy tín của mình, gian lận danh tính hoặc phân biệt đối xử. Nếu Autosoft BV đã thực hiện các biện pháp bảo vệ kỹ thuật thích hợp, làm cho dữ liệu cá nhân liên quan không thể hiểu được hoặc không thể truy cập được, thì việc thông báo cho chủ thể dữ liệu là không cần thiết. Thông báo cho chủ thể dữ liệu phải có mô tả, bằng ngôn ngữ rõ ràng và đơn giản, về bản chất của vi phạm dữ liệu cá nhân và ít nhất:

  • tên và chi tiết liên hệ của nhân viên bảo vệ dữ liệu hoặc đầu mối liên hệ khác, nơi có thể lấy thêm thông tin;
  • hậu quả có thể xảy ra của việc vi phạm dữ liệu cá nhân;
  • các biện pháp do kiểm soát viên đề xuất hoặc thực hiện để giải quyết vi phạm dữ liệu cá nhân, bao gồm, khi thích hợp, các biện pháp để giảm thiểu bất kỳ tác động xấu nào của vi phạm đó. Việc đánh giá xem vi phạm dữ liệu có phải được báo cáo cho Cơ quan bảo vệ dữ liệu Hà Lan và / hoặc những người bị ảnh hưởng luôn phụ thuộc vào Autosoft BV. Để xác định xem sự cố có phải được báo cáo hay không, Cơ quan bảo vệ dữ liệu Hà Lan đã đưa ra các quy tắc chính sách (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) và Nhóm công tác 29 của các hướng dẫn giám sát châu Âu được công bố về nghĩa vụ báo cáo trong GDPR. Nếu Autosoft BV không báo cáo vi phạm dữ liệu, Cơ quan bảo vệ dữ liệu Hà Lan có thể yêu cầu Autosoft BV vẫn phải báo cáo. Nếu không khai báo có thể bị phạt hành chính.

Làm cách nào để báo cáo vi phạm dữ liệu?
Cơ quan bảo vệ dữ liệu Hà Lan cung cấp một biểu mẫu web phải được sử dụng để báo cáo vi phạm dữ liệu (https://dataleks.autoriteitpersoonsgegevens.nl/). Cơ quan bảo vệ dữ liệu của Hà Lan lưu giữ một sổ đăng ký về các thông báo vi phạm dữ liệu đã nhận được. Sổ đăng ký này không được công khai. Nếu Cơ quan bảo vệ dữ liệu Hà Lan phạt tiền do vi phạm dữ liệu, quyết định này sẽ được công khai. Một vi phạm dữ liệu cũng được công khai khi các chủ thể dữ liệu cần được thông báo về vi phạm dữ liệu. Thông báo cho chủ thể dữ liệu trong mọi trường hợp phải chỉ ra bản chất của hành vi vi phạm và các cơ quan có thẩm quyền nơi chủ thể dữ liệu có thể thu thập thêm thông tin về hành vi vi phạm. Cũng phải nêu rõ chủ thể dữ liệu có thể tự làm gì để hạn chế hậu quả tiêu cực do vi phạm dữ liệu gây ra. Ví dụ: thay đổi tên người dùng và mật khẩu khi chúng có thể đã bị xâm phạm do vi phạm.

Lưu đồ Thông báo về Rò rỉ Dữ liệu

Tôi nên báo cáo những gì?
Thông báo cho Cơ quan bảo vệ dữ liệu của Hà Lan bao gồm:

  • Người báo cáo vụ vi phạm dữ liệu.
  • Người mà Cơ quan bảo vệ dữ liệu Hà Lan có thể liên hệ để biết thêm thông tin về báo cáo.
  • Tóm tắt về sự cố xảy ra vi phạm bảo mật dữ liệu cá nhân.
  • Thời điểm xảy ra vi phạm.
  • Bản chất của hành vi xâm phạm.
  • Loại dữ liệu cá nhân có liên quan.
  • Hậu quả mà hành vi xâm phạm có thể gây ra đối với quyền riêng tư của những người có liên quan.
  • Các biện pháp kỹ thuật và tổ chức mà Autosoft BV đã thực hiện để giải quyết vi phạm và ngăn vi phạm thêm.
  • Cho dù Autosoft BV đã báo cáo vi phạm dữ liệu cho các đối tượng dữ liệu và nếu không, liệu Autosoft BV có ý định làm điều này hay không:
  • Nếu vậy, nội dung của thông báo cho các chủ thể dữ liệu.
  • Nếu không, lý do tại sao Autosoft BV từ chối báo cáo vi phạm dữ liệu cho các đối tượng dữ liệu.
  • Dữ liệu cá nhân đã được mã hóa, băm hoặc làm cho những người không có thẩm quyền không thể hiểu được hoặc không thể truy cập được hay không?

Phần 2: Các điều khoản xử lý tiêu chuẩn

Phiên bản: tháng 2019 năm XNUMX
Cùng với Tuyên bố về Data Pro, tạo thành thỏa thuận xử lý và là phụ lục của Thỏa thuận và các phụ lục kèm theo như các điều khoản và điều kiện chung hiện hành.

Điều 1. Định nghĩa

Các điều khoản dưới đây có ý nghĩa sau trong các Điều khoản tiêu chuẩn này để xử lý, trong Tuyên bố về Data Pro và trong thỏa thuận:

  • 1.1 Cơ quan Bảo vệ Dữ liệu Hà Lan (AP): cơ quan giám sát, như được mô tả trong Điều 4, phụ 21 của Avg.
  • 1.2 AVG: Quy định chung về bảo vệ dữ liệu.
  • 1.3 Bộ xử lý dữ liệu: với tư cách là nhà cung cấp CNTT-TT, xử lý Dữ liệu Cá nhân vì lợi ích của Khách hàng trong bối cảnh thực thi Thỏa thuận.
  • 1.4 Tuyên bố về Data Pro: tuyên bố của Bộ xử lý dữ liệu, trong đó nó cung cấp thông tin liên quan đến mục đích sử dụng sản phẩm hoặc dịch vụ của mình, các biện pháp bảo mật được thực hiện, bộ xử lý phụ, rò rỉ dữ liệu, chứng nhận và xử lý các quyền của Chủ thể dữ liệu.
  • 1.5 Chủ đề dữ liệu (data subject): một thể nhân được xác định hoặc có thể nhận dạng được.
  • 1.6 Khách hàng: bên mà Bộ xử lý dữ liệu thay mặt xử lý dữ liệu cá nhân. Máy khách có thể là một bộ điều khiển (“controller”) hoặc một bộ xử lý khác.
  • 1.7 Thỏa thuận: thỏa thuận giữa Khách hàng và Bên xử lý dữ liệu, trên cơ sở đó nhà cung cấp ICT cung cấp dịch vụ và / hoặc sản phẩm cho Khách hàng, trong đó thỏa thuận xử lý là một phần.
  • 1.8 Dữ liệu cá nhân: tất cả thông tin về một thể nhân được xác định hoặc có thể nhận dạng, như được mô tả trong Điều 4, phụ 1 AVG, mà Bên xử lý dữ liệu xử lý trong bối cảnh thực hiện các nghĩa vụ phát sinh từ Thỏa thuận.
  • 1.9 Thỏa thuận xử lý: các Điều khoản tiêu chuẩn này để xử lý, cùng với Tuyên bố về Data Pro (hoặc thông tin có thể so sánh) từ Bộ xử lý dữ liệu tạo thành thỏa thuận xử lý như được đề cập trong Điều 28, đoạn 3 của GDPR.
Điều 2. Tổng quát
  • 2.1 Các Điều khoản xử lý tiêu chuẩn này áp dụng cho tất cả việc xử lý Dữ liệu cá nhân mà Bên xử lý dữ liệu thực hiện trong bối cảnh phân phối các sản phẩm và dịch vụ của mình cũng như cho tất cả các Thỏa thuận và đề nghị. Khả năng áp dụng các thỏa thuận xử lý của Khách hàng bị từ chối rõ ràng.
  • 2.2 Tuyên bố về Data Pro, và cụ thể là các biện pháp bảo mật có trong đó, có thể được Bộ xử lý dữ liệu sửa đổi theo thời gian để phản ánh các trường hợp thay đổi. Bộ xử lý dữ liệu sẽ thông báo cho Khách hàng về những thay đổi quan trọng. Nếu Khách hàng không thể đồng ý một cách hợp lý với các điều chỉnh, Khách hàng có quyền chấm dứt thỏa thuận xử lý bằng văn bản trong vòng 30 ngày kể từ ngày thông báo về các điều chỉnh.
  • 2.3 Bên xử lý dữ liệu thay mặt và nhân danh Khách hàng xử lý Dữ liệu cá nhân theo hướng dẫn bằng văn bản của Khách hàng đã đồng ý với Bên xử lý dữ liệu.
  • 2.4 Khách hàng, hoặc khách hàng của họ, là người kiểm soát theo nghĩa của GDPR, có quyền kiểm soát việc xử lý Dữ liệu Cá nhân và đã xác định mục đích và phương tiện xử lý Dữ liệu Cá nhân.
  • 2.5 Bộ xử lý dữ liệu là bộ xử lý theo nghĩa của GDPR và do đó không có quyền kiểm soát mục đích và phương tiện xử lý Dữ liệu cá nhân và do đó không đưa ra bất kỳ quyết định nào về việc sử dụng Dữ liệu cá nhân trong số những thứ khác.
  • 2.6 Bộ xử lý dữ liệu triển khai GDPR như được trình bày trong các Điều khoản tiêu chuẩn về xử lý này, Tuyên bố về chuyên gia dữ liệu và Thỏa thuận. Trên cơ sở thông tin này, Khách hàng sẽ đánh giá xem Bên xử lý dữ liệu có cung cấp đủ đảm bảo về việc áp dụng các biện pháp kỹ thuật và tổ chức thích hợp để việc xử lý đáp ứng các yêu cầu của GDPR và bảo vệ quyền của Chủ thể dữ liệu hay không là đủ. được đảm bảo.
  • 2.7 Khách hàng đảm bảo với Bộ xử lý dữ liệu rằng nó hoạt động theo GDPR, rằng nó bảo vệ đầy đủ các hệ thống và cơ sở hạ tầng của mình mọi lúc và nội dung, việc sử dụng và / hoặc xử lý Dữ liệu cá nhân là không trái pháp luật và không vi phạm bất kỳ quyền nào của bên thứ ba.
  • 2.8 AP không thể khôi phục tiền phạt hành chính đối với Khách hàng từ Bộ xử lý dữ liệu.
Điều 3. Bảo mật
  • 3.1 Bộ xử lý dữ liệu thực hiện các biện pháp bảo mật kỹ thuật và tổ chức, như được mô tả trong Tuyên bố về Data Pro của nó. Khi thực hiện các biện pháp bảo mật kỹ thuật và tổ chức, Bộ xử lý dữ liệu đã tính đến tình trạng hiện đại, chi phí thực hiện của các biện pháp bảo mật, bản chất, phạm vi và bối cảnh của quá trình xử lý, mục đích và mục đích sử dụng các sản phẩm và dịch vụ của mình , rủi ro xử lý và rủi ro khác nhau về xác suất và mức độ nghiêm trọng đối với các quyền và tự do của Chủ thể dữ liệu mà anh ta có thể mong đợi về mục đích sử dụng các sản phẩm và dịch vụ của mình.
  • 3.2 Trừ khi có quy định rõ ràng khác trong Tuyên bố về Data Pro, sản phẩm hoặc dịch vụ của Bộ xử lý dữ liệu không được thiết kế để xử lý các danh mục Dữ liệu cá nhân đặc biệt hoặc dữ liệu liên quan đến án tích hoặc tội phạm hoặc số cá nhân do chính phủ cấp.
  • 3.3 Bộ xử lý dữ liệu cố gắng đảm bảo rằng các biện pháp bảo mật mà Bộ xử lý dữ liệu thực hiện là phù hợp với mục đích sử dụng sản phẩm hoặc dịch vụ của Bộ xử lý dữ liệu.
  • 3.4 Theo ý kiến ​​của Khách hàng, các biện pháp bảo mật được mô tả đưa ra, có tính đến các yếu tố được đề cập trong Điều 3.1, một mức độ bảo mật phù hợp với rủi ro khi xử lý Dữ liệu cá nhân được sử dụng hoặc cung cấp bởi nó.
  • 3.5 Bộ xử lý dữ liệu có thể thực hiện các thay đổi đối với các biện pháp bảo mật được thực hiện nếu theo ý kiến ​​của mình, điều này là cần thiết để tiếp tục cung cấp mức độ bảo mật thích hợp. Bộ xử lý dữ liệu sẽ ghi lại những thay đổi quan trọng, chẳng hạn như trong Tuyên bố về Data Pro đã sửa đổi và sẽ thông báo cho Khách hàng về những thay đổi đó nếu có liên quan.
  • 3.6 Khách hàng có thể yêu cầu Bộ xử lý dữ liệu thực hiện các biện pháp bảo mật khác. Bộ xử lý dữ liệu không có nghĩa vụ phải thực hiện các thay đổi đối với các biện pháp bảo mật của mình theo yêu cầu đó. Bộ xử lý dữ liệu có thể tính các chi phí liên quan đến các thay đổi được thực hiện theo yêu cầu của Khách hàng đối với Khách hàng. Chỉ sau khi các biện pháp bảo mật sửa đổi mà Khách hàng mong muốn đã được các Bên đồng ý bằng văn bản và ký kết, Bộ xử lý dữ liệu có nghĩa vụ thực hiện các biện pháp bảo mật này.
Điều 4. Vi phạm Dữ liệu Cá nhân
  • 4.1 Bộ xử lý dữ liệu không đảm bảo rằng các biện pháp bảo mật có hiệu quả trong mọi trường hợp. Nếu Bộ xử lý dữ liệu phát hiện ra vi phạm liên quan đến Dữ liệu cá nhân (như được đề cập trong Điều 4 sub 12 Avg), nó sẽ thông báo cho Khách hàng ngay lập tức. Tuyên bố về Data Pro (theo giao thức rò rỉ dữ liệu) nêu ra cách Bộ xử lý dữ liệu thông báo cho Khách hàng về các vi phạm liên quan đến Dữ liệu cá nhân.
  • 4.2 Người kiểm soát (Khách hàng hoặc khách hàng của họ) tùy thuộc vào việc đánh giá xem liệu vi phạm Dữ liệu cá nhân mà Bên xử lý dữ liệu đã thông báo có phải được báo cáo cho AP hoặc chủ thể Dữ liệu hay không. Việc báo cáo vi phạm liên quan đến Dữ liệu cá nhân, phải được báo cáo cho AP và / hoặc Chủ thể dữ liệu theo Điều 33 và 34 GDPR, luôn thuộc trách nhiệm của người kiểm soát (Khách hàng hoặc khách hàng của họ). Bộ xử lý dữ liệu không có nghĩa vụ báo cáo vi phạm dữ liệu cá nhân cho AP và / hoặc Chủ thể dữ liệu.
  • 4.3 Bên xử lý dữ liệu, nếu cần thiết, sẽ cung cấp thêm thông tin về vi phạm liên quan đến Dữ liệu cá nhân và sẽ hợp tác với việc cung cấp thông tin cần thiết cho Khách hàng nhằm mục đích thông báo như được đề cập trong Điều 33 và 34 Vị trí.
  • 4.4 Bộ xử lý dữ liệu có thể tính các chi phí hợp lý mà nó phải chịu trong bối cảnh này cho Khách hàng theo mức giá áp dụng sau đó.
Điều 5. Bảo mật
  • 5.1 Bộ xử lý dữ liệu đảm bảo rằng những người xử lý Dữ liệu cá nhân theo trách nhiệm của mình có nghĩa vụ bảo mật.
  • 5.2 Bên xử lý dữ liệu được quyền cung cấp Dữ liệu cá nhân cho bên thứ ba, nếu và trong chừng mực việc cung cấp là cần thiết theo quyết định của tòa án, quy định pháp lý hoặc trên cơ sở lệnh được ủy quyền từ cơ quan chính phủ.
  • 5.3 Tất cả các mã truy cập và / hoặc mã nhận dạng, chứng chỉ, thông tin liên quan đến chính sách truy cập và / hoặc mật khẩu do Bộ xử lý dữ liệu cung cấp cho Khách hàng và tất cả thông tin do Bộ xử lý dữ liệu cung cấp cho Khách hàng triển khai các biện pháp bảo mật kỹ thuật và tổ chức có trong Tuyên bố về Data Pro đều được bảo mật. và sẽ được Khách hàng coi như vậy và chỉ những nhân viên được ủy quyền của Khách hàng mới biết. Khách hàng đảm bảo rằng nhân viên của mình tuân thủ các nghĩa vụ theo điều khoản này.
Điều 6. Thời hạn và chấm dứt
  • 6.1 Thỏa thuận xử lý này là một phần của Thỏa thuận và bất kỳ thỏa thuận mới hoặc thêm nào phát sinh từ thỏa thuận đó, sẽ có hiệu lực vào thời điểm ký kết của Thỏa thuận và được ký kết trong một khoảng thời gian không xác định.
  • 6.2 Thỏa thuận xử lý này kết thúc theo quy định của pháp luật khi chấm dứt Thỏa thuận hoặc bất kỳ thỏa thuận mới hoặc bổ sung nào giữa các bên.
  • 6.3 Trong trường hợp thỏa thuận xử lý kết thúc, Bộ xử lý dữ liệu sẽ xóa tất cả Dữ liệu cá nhân thuộc quyền sở hữu và nhận được từ Khách hàng trong thời hạn được bao gồm trong Tuyên bố về Data Pro theo cách không thể sử dụng được nữa và không còn nữa có thể truy cập được (hiển thị không thể truy cập được)., hoặc, nếu đồng ý, hãy trả lại cho Khách hàng ở định dạng máy có thể đọc được.
  • 6.4 Bên xử lý dữ liệu có thể tính bất kỳ chi phí nào mà họ phải chịu theo các quy định của Điều 6.3 cho Khách hàng. Các thỏa thuận khác về điều này có thể được trình bày trong Tuyên bố về Data Pro.
  • 6.5 Các quy định của Điều 6.3 không được áp dụng nếu một quy định pháp luật ngăn cản Bên xử lý dữ liệu xóa hoàn toàn hoặc một phần hoặc trả lại Dữ liệu cá nhân. Trong trường hợp như vậy, Bên xử lý dữ liệu sẽ chỉ tiếp tục xử lý Dữ liệu cá nhân trong phạm vi cần thiết theo nghĩa vụ pháp lý của mình. Các quy định của Điều 6.3 cũng không áp dụng nếu Bên xử lý dữ liệu là người kiểm soát theo nghĩa của GDPR liên quan đến Dữ liệu cá nhân.
Điều 7. Quyền của Chủ thể Dữ liệu, Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) và Quyền Kiểm toán
  • 7.1 Bộ xử lý dữ liệu, nếu có thể, sẽ hợp tác với các yêu cầu hợp lý từ Khách hàng có liên quan đến quyền của Chủ thể dữ liệu do Chủ thể dữ liệu gọi ra từ Khách hàng. Nếu Người xử lý dữ liệu được tiếp cận trực tiếp bởi một chủ thể Dữ liệu, anh ta sẽ giới thiệu người này với Khách hàng nếu có thể.
  • 7.2 Nếu Khách hàng có nghĩa vụ làm như vậy, Bộ xử lý dữ liệu sẽ hợp tác với đánh giá tác động bảo vệ dữ liệu (DPIA) hoặc tư vấn trước tiếp theo như được đề cập trong Điều 35 và 36 Vị trí.
  • 7.3 Bộ xử lý dữ liệu sẽ hợp tác với các yêu cầu từ Khách hàng để xóa dữ liệu cá nhân trong chừng mực Khách hàng không thể tự thực hiện việc này.
  • 7.4 Theo yêu cầu của Khách hàng, Bên xử lý dữ liệu cũng sẽ cung cấp tất cả các thông tin bổ sung cần thiết một cách hợp lý để chứng minh sự tuân thủ các thỏa thuận được đưa ra trong thỏa thuận xử lý này. Tuy nhiên, nếu Khách hàng có lý do để tin rằng việc xử lý Dữ liệu Cá nhân không diễn ra theo thỏa thuận xử lý, thì việc này có thể được tư vấn ít nhất mỗi năm một lần bởi một chuyên gia bên ngoài độc lập, được chứng nhận, có kinh nghiệm rõ ràng về loại quá trình xử lý được thực hiện trên cơ sở của Thỏa thuận., có một cuộc kiểm toán được thực hiện với chi phí của Khách hàng. Việc đánh giá sẽ chỉ giới hạn trong việc kiểm tra việc tuân thủ các thỏa thuận liên quan đến việc xử lý Dữ liệu Cá nhân như được quy định trong Thỏa thuận về bên xử lý này. Chuyên gia sẽ có nghĩa vụ bảo mật đối với những gì anh ta tìm thấy và sẽ chỉ báo cáo cho Khách hàng về việc dẫn đến thiếu sót trong việc thực hiện các nghĩa vụ mà Bên xử lý dữ liệu có theo thỏa thuận bên xử lý này. Chuyên gia sẽ cung cấp một bản sao báo cáo của mình cho Bộ xử lý dữ liệu. Bộ xử lý dữ liệu có thể từ chối đánh giá hoặc hướng dẫn từ chuyên gia nếu, theo ý kiến ​​của mình, điều này vi phạm GDPR hoặc luật khác hoặc cấu thành vi phạm không thể chấp nhận được đối với các biện pháp bảo mật mà nó đã thực hiện.
  • 7.5 Các bên sẽ tham khảo ý kiến ​​trong thời gian sớm nhất có thể về kết quả của báo cáo. Các bên sẽ tuân theo các biện pháp cải tiến được đề xuất được nêu trong báo cáo trong chừng mực vì điều này có thể được mong đợi một cách hợp lý. Bộ xử lý dữ liệu sẽ thực hiện các biện pháp cải tiến được đề xuất trong phạm vi chúng phù hợp theo quan điểm của mình, có tính đến các rủi ro xử lý liên quan đến sản phẩm hoặc dịch vụ của mình, tình trạng kỹ thuật, chi phí triển khai, thị trường mà nó hoạt động, và mục đích sử dụng của sản phẩm hoặc dịch vụ.
  • 7.6 Bên xử lý dữ liệu có quyền tính các chi phí mà nó phải chịu theo các quy định của điều này cho Khách hàng.
Điều 8. Người chế biến phụ
  • 8.1 Bộ xử lý dữ liệu đã nêu trong Tuyên bố về Data Pro liệu và nếu có thì bên thứ ba (bộ xử lý phụ hoặc bộ xử lý phụ) Bộ xử lý dữ liệu có tham gia vào việc xử lý Dữ liệu cá nhân hay không.
  • 8.2 Khách hàng cho phép Bên xử lý dữ liệu thu hút các bên xử lý phụ khác để thực hiện các nghĩa vụ phát sinh từ Thỏa thuận.
  • 8.3 Bên xử lý dữ liệu sẽ thông báo cho Khách hàng về sự thay đổi của các bên thứ ba do Bên xử lý dữ liệu tham gia, ví dụ như thông qua Tuyên bố về Data Pro đã sửa đổi. Khách hàng có quyền phản đối sự thay đổi nói trên của Bộ xử lý dữ liệu. Bộ xử lý dữ liệu đảm bảo rằng các bên thứ ba do nó tham gia cam kết ở cùng một mức độ bảo mật liên quan đến việc bảo vệ Dữ liệu cá nhân như mức độ bảo mật mà Bộ xử lý dữ liệu bị ràng buộc đối với Khách hàng trên cơ sở Tuyên bố của Data Pro.
Điều 9. Khác

Các Điều khoản xử lý tiêu chuẩn này, cùng với Tuyên bố về Data Pro, tạo thành một phần không thể tách rời của Thỏa thuận. Tất cả các quyền và nghĩa vụ theo Thỏa thuận, bao gồm các điều khoản và điều kiện chung hiện hành và / hoặc giới hạn trách nhiệm pháp lý, do đó cũng được áp dụng cho thỏa thuận xử lý.

Phản hồi khách hàng

9,3 van 10

* kết quả khảo sát 2020

Tôi rất vui được giúp bạn trên con đường của bạn

Wouter Koenderink
+ 31 (0) 53 428 00 98

Wouter Koenderink
Adresgegevens

BV Autosoft
Hengelostraat 547
7521 AG Enschede

T: +31 (0) 53 - 428 00 98
support@autosoft.eu

KvK: 08123151
VAT: NL8133.58.097.B.01

Liên hệ



    MẠNG XÃ HỘI





    Cung cấp bởi: Autosoft BV - © 2024 Autosoft - Từ chối trách nhiệm - Quyền riêng tư - BẢN ĐỒ CHI NHÁNH