处理器协议

介绍

Autosoft BV 为客户处理个人数据，并代表客户处理个人数据。 因此，根据通用数据保护条例 (GDPR)，Autosoft BV 和客户有义务签订处理器协议。 根据 GDPR，Autosoft BV 是“处理器”，客户是“控制器”。 本处理商协议还描述了 Autosoft BV 如何处理数据泄露通知义务。

处理器协议

包含由...组成：
第 1 部分：数据专业声明
第 2 部分：标准处理条款

第 1 部分：数据专业声明

一般信息

1）。 本数据专业声明由以下数据处理者（处理者）起草：

• Autosoft BV
  第 547 章
  7521 AG 恩斯赫德

有关本数据专业声明或数据保护的问题，请联系：
Arthur van der Lek：arthur@autosoft.eu / +31 (0)53 – 428 00 98

2）。 本数据专业声明自 1 年 2021 月 XNUMX 日起适用
我们会定期调整本数据专业声明和其中描述的安全措施，以确保我们在数据保护方面始终做好准备并保持最新状态。 我们将通过我们的正常渠道向您通报新版本。

3）。 本数据专业声明适用于以下数据处理器产品和服务

• 汽车网站
• 汽车商务

4）。 描述 汽车网站
汽车公司使用汽车网站。 通过 Autowebsite，汽车公司可以在互联网上展示自己。

5）。 预期用途汽车网站
Autowebsite 的设计和配备可以处理以下类型的数据：
访问由 Autosoft 和 Autowebsite 开发的网站的访问者可以选择在那里留下他们的联系方式，以便汽车公司有机会与访问者联系以获得进一步的服务。 这些联系方式不会存储在 Autosoft 中，而是直接通过电子邮件转发到汽车公司的电子邮件地址。

• 该服务不考虑特殊个人数据的处理，或有关刑事定罪和犯罪的数据或政府发布的个人号码。

6). 描述 汽车贸易
汽车公司使用 Autocommerce。 通过 Autocommerce，汽车公司可以在自己的网站和第三方的互联网搜索门户上管理和展示他们的车辆。

7）。 预期用途汽车商务
Autocommerce 的设计和配备可以处理以下类型的数据：
汽车公司可以通过 Autocommerce 在他们自己的汽车网站上放置他们注册的车辆。 这些注册车辆不包含任何可以以任何形式追溯到个人数据的数据。 Car 网站的访问者可以选择在那里留下他们的联系方式，以便汽车公司有机会与访问者联系以获得进一步的服务。 访问者在他们自己的 Auto 网站上留下的联系方式存储在 Autocommerce 中。

• 该服务不考虑特殊个人数据的处理，或有关刑事定罪和犯罪的数据或政府发布的个人号码。

8). 数据处理器使用标准条款处理汽车网站和汽车商务，可作为协议的附录找到。

9). 数据处理器处理其在欧盟/欧洲经济区内的汽车网站和汽车商务客户的个人数据。

10）。 数据处理器为 Autocommerce 使用以下子处理器：
在某些情况下，Autosoft 代表汽车公司通过 Autocommerce 将其注册车辆发送到第三方或分处理商的互联网搜索门户。 可通过 support@autosoft.eu 索取子处理器列表。

11)。 在与客户的协议终止后，数据处理者原则上将在 3 个月内删除其为客户处理的个人数据，以使其不再可用且无法再访问（呈现为不可访问）。

安全策略

总结数据处理器为保护其产品或服务而采取的以下安全措施：

事件管理和响应政策
信息安全领域的事件管理和响应策略包括对计算机或 IT 基础设施上的安全事件的监控和检测，还包括人员对可疑活动的观察，以及对这些事件的正确响应的实施。

该策略的主要目标是针对最广泛意义上的恶意事件和计算机入侵制定易于理解且可预测的响应。

事件管理和响应策略是管理和保护计算机、网络和信息系统以及存储在其中的信息的过程。 为了客户和供应链合作伙伴的利益，Autosoft 意识到自己有责任保护这些信息。 这种责任延伸到事件程序。 事件管理是一组活动，用于定义和实施组织可以用来促进自身福祉和公众安全的过程。

信息技术和安全
Autosoft BV 的 ICT 结构有防火墙充分保护，病毒扫描软件保持最新。 每个员工都有一个登录配置文件。 启动计算机时，员工必须输入登录名和密码，并在可能的情况下使用两步验证。

某些软件还会要求提供登录名和密码，并在可能的情况下使用两步验证。 激发员工对安全工作的意识，例如提请注意不要打开可疑电子邮件、不要点击可疑链接、长时间离开工作场所时退出等。

这些文件在白天和每晚进行备份。 出于安全原因，围绕备份的进一步存储过程是保密的。 Autosoft BV 已与计算机供应商和互联网托管服务提供商签订了服务合同。

数据保护政策
Autosoft BV 采取适当的技术和组织措施来保护客户的个人数据免遭丢失或任何形式的非法处理。 这些技术和组织措施被视为 GDPR 第 1 条含义内的适当安全级别，并作为文档存储在 Autosoft BV 的中央 Basecamp（项目：组织/数据保护政策）中

技术和组织

1. 确保只有授权人员才能访问在处理者协议范围内处理的个人数据的措施；
2. 保护个人数据的措施，尤其是防止意外或非法破坏、丢失、意外更改、未经授权或非法存储、访问或披露；
3. 保护个人数据的措施，尤其是在数据交换/传输过程中防止意外或非法破坏、丢失、意外更改、未经授权或非法存储、访问或披露；
4. 确保能够持续确保编辑系统和服务的机密性、完整性、可用性和弹性的措施；
5. 在发生物理或技术事故时及时恢复个人数据的可用性和访问的措施；
6. 在用于提供合同服务的系统中识别个人数据处理漏洞的措施；

组织机构如：

• 将有权访问某些个人数据的官员范围限制在那些需要数据以履行职责的人；
• 仅授予这些人访问其履行职责所需的个人数据的权限；
• 与所有有权访问个人数据的人同意保密条款和惩罚条款；
• 将个人数据存储在封闭空间的服务器上；
• 将纸质文件保存在可上锁的柜子中；
• 培养员工的信息安全意识；
• 建立明确的协议和程序，以及时有效地处理信息安全事件和安全漏洞；

数据处理者使用适合组织工作方法的自己的管理方法和程序：

• 在 Basecamp 内管理和定期评估相关文件。

数据泄露协议

如果出现问题，数据处理器使用以下数据泄漏协议来确保客户端知道事件：

Autosoft BV – 数据泄露程序

什么是数据泄露，我什么时候必须向 AP 报告？
数据泄露是一种信息安全事件，涉及通过暴露于丢失或非法处理而破坏个人数据的安全，例如（但并非详尽无遗）：

• 调整和/或更改个人数据以及未经授权访问这些个人数据；
• 在黑客入侵的情况下；
• 丢失 U 盘、笔记本电脑被盗；
• 将敏感数据发送到错误的电子邮件地址；

根据法律规定，“严重”数据泄露必须立即报告给荷兰数据保护局，如果可能，不得迟于发现后 72 小时。

如果合理排除个人自然人的实际身份，Autosoft BV 不必向荷兰数据保护局报告。
所有对信息安全事件的怀疑将在第一时间解决 支持@autosoft.eu 报告并登记。 支持部门将事件报告给管理团队，并确定应采取哪些后续行动。

跟进程序

我什么时候必须通知数据主体？
如果在发生数据泄露事件时，数据泄露对他或她的私人生活产生不利后果的风险很高，则必须向数据主体报告数据泄露事件。 对数据主体的不利后果是：损害其名誉和声誉、身份欺诈或歧视。 如果 Autosoft BV 采取了适当的技术保护措施，导致相关个人数据变得难以理解或无法访问，则无需通知数据主体。 给数据主体的通知应包含以清晰明了的语言描述个人数据泄露的性质，并且至少：

• 数据保护官或其他可以获得更多信息的联络点的姓名和联系方式；
• 个人数据泄露的可能后果；
• 控制者为解决个人数据泄露而提议或采取的措施，包括在适当情况下减轻其任何不利影响的措施。 是否必须向荷兰数据保护局和/或受影响的人报告数据泄露事件的评估始终由 Autosoft BV 决定。 为了确定是否必须报告事件，荷兰数据保护局制定了政策规则 (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) 和欧洲监管机构指南的第 29 工作组发布了关于 GDPR 中报告义务的内容。 如果 Autosoft BV 未报告数据泄露，荷兰数据保护局可能会要求 Autosoft BV 仍进行报告。 不报告可处以行政罚款。

如何报告数据泄露？
荷兰数据保护局提供了一个必须用于报告数据泄露的网络表单 (https://dataleks.autoriteitpersoonsgegevens.nl/)。 荷兰数据保护局对收到的数据泄露通知进行登记。 该登记册不公开。 如果荷兰数据保护局因数据泄露而处以罚款，则该决定将公开。 当需要将数据泄露告知数据主体时，数据泄露也会被公开。 在任何情况下，向数据主体发出的通知都必须说明侵权的性质以及数据主体可以从何处获得更多有关侵权的信息。 还必须说明数据主体可以自己做什么来限制数据泄露的负面后果。 例如，当用户名和密码可能因违规而受到损害时更改用户名和密码。

我应该报告什么？
向荷兰数据保护局发出的通知包括：

• 数据泄露的记者。
• 荷兰数据保护局可以联系以获取有关报告的更多信息的人。
• 发生个人数据安全漏洞的事件摘要。
• 侵权时间。
• 侵权的性质。
• 相关个人数据的类型。
• 侵权行为可能对当事人隐私造成的后果。
• Autosoft BV 为解决侵权行为并防止进一步侵权所采取的技术和组织措施。
• Autosoft BV 是否已向数据主体报告数据泄露事件，如果没有，Autosoft BV 是否打算这样做：
• 如果是，则向数据主体发出通知的内容。
• 如果不是，则 Autosoft BV 不向数据主体报告数据泄露的原因。
• 个人数据是否被加密、散列或以其他方式使未经授权的人无法理解或无法访问？

第 2 部分：标准处理条款

版本：2019 年 XNUMX 月
与数据专业声明一起形成处理协议，并且是协议和随附附录（例如适用的一般条款和条件）的附录。

Artikel 1.定义

以下术语在这些标准处理条款、数据专业声明和协议中具有以下含义：

• 1.1 荷兰数据保护局 (AP)： 监管机构，如平均第 4 条第 21 条所述。
• 1.2 平均： 通用数据保护条例。
• 1.3 数据处理器： 作为 ICT 供应商，在执行协议的背景下为其客户的利益处理个人数据的一方。
• 1.4 数据专业声明： 数据处理方的声明，其中提供有关其产品或服务的预期用途、采取的安全措施、子处理方、数据泄漏、证明和处理数据主体权利的信息。
• 1.5 数据主体（Data subject）： 已识别或可识别的自然人。
• 1.6 客户： 代表数据处理器处理个人数据的一方。 客户可以是控制者（“控制者”）或其他处理者。
• 1.7 协议： 客户与数据处理器之间的协议，在此基础上，ICT 供应商向客户提供服务和/或产品，处理器协议构成其中的一部分。
• 1.8 个人数据：如第 4 条第 1 条 AVG 中所述，数据处理方在履行协议产生的义务时处理的有关已识别或可识别自然人的所有信息。
• 1.9 处理协议：这些处理标准条款与数据处理方的数据支持声明（或类似信息）一起构成了 GDPR 第 28 条第 3 款所述的处理协议。

第 2 条 总则

• 2.1 这些标准处理条款适用于数据处理器在交付其产品和服务的背景下对个人数据进行的所有处理以及所有协议和优惠。 明确拒绝客户处理协议的适用性。
• 2.2 数据专业声明，尤其是其中包含的安全措施，可能会由数据处理器不时修改，以反映不断变化的情况。 数据处理器将通知客户重大变化。 如果客户不能合理地同意调整，客户有权在收到调整通知后的 30 天内以书面形式终止处理协议。
• 2.3 数据处理器根据客户与数据处理器同意的书面指示，代表客户处理个人数据。
• 2.4 客户或其客户是 GDPR 意义上的控制者，控制个人数据的处理，并确定了处理个人数据的目的和方式。
• 2.5 数据处理器是 GDPR 意义上的处理器，因此无法控制处理个人数据的目的和方式，因此不会就个人数据的使用等做出任何决定。
• 2.6 数据处理器执行这些标准处理条款、数据专业声明和协议中规定的 GDPR。 由客户根据此信息评估数据处理器是否在应用适当的技术和组织措施方面提供足够的保证，以便处理符合 GDPR 的要求并保护数据主体的权利足够了。保证。
• 2.7 客户向数据处理方保证其按照 GDPR 行事，始终充分保护其系统和基础设施，并且个人数据的内容、使用和/或处理不违法且不侵犯任何权利第三方的。
• 2.8 无法从数据处理器收回 AP 对客户端施加的行政罚款。

第三条 安全

• 3.1 数据处理器采取技术和组织安全措施，如其数据专业声明中所述。 在采取技术和组织安全措施时，数据处理器已考虑到技术水平、安全措施的实施成本、处理的性质、范围和背景、其产品和服务的目的和预期用途，数据主体的权利和自由的处理风险和在概率和严重性方面不同的风险，他可以根据其产品和服务的预期用途而预期。
• 3.2 除非数据专业声明中另有明确说明，否则数据处理器的产品或服务并非旨在处理特殊类别的个人数据或与刑事定罪或犯罪或政府颁发的个人号码相关的数据。
• 3.3 数据处理器努力确保其采取的安全措施适合数据处理器对产品或服务的预期用途。
• 3.4 客户认为，考虑到第 3.1 条中提到的因素，所描述的安全措施提供了一个安全级别，以适应其使用或提供的个人数据的处理风险。
• 3.5 如果数据处理器认为有必要继续提供适当的安全级别，则数据处理器可能会更改所采取的安全措施。 数据处理器将记录重要的更改，例如在修订后的数据支持声明中，并将在相关时将这些更改通知客户。
• 3.6 客户可以要求数据处理器采取进一步的安全措施。 数据处理器没有义务根据此类请求更改其安全措施。 数据处理方可以根据客户的要求向客户收取与更改相关的费用。 只有在客户要求修改的安全措施得到双方书面同意并签署后，数据处理方才有义务实际实施这些安全措施。

第 4 条 个人数据泄露

• 4.1 数据处理器不保证安全措施在所有情况下都有效。 如果数据处理器发现与个人数据有关的违规行为（如第 4 条第 12 条平均分项所述），它将立即通知客户。 数据专业声明（根据数据泄漏协议）规定了数据处理器如何通知客户有关个人数据的违规行为。
• 4.2 由控制者（客户或其客户）来评估是否必须向 AP 或数据主体报告数据处理器已告知的个人数据泄露。 必须根据 GDPR 第 33 条和第 34 条向 AP 和/或数据主体报告与个人数据有关的违规行为的报告始终是控制者（客户或其客户）的责任。 数据处理器没有义务向 AP 和/或数据主体报告个人数据泄露。
• 4.3 如有必要，数据处理器将提供与个人数据相关的违规行为的进一步信息，并将配合向客户提供必要的信息，以便按照第 33 条和第 34 条的规定发送通知。
• 4.4 数据处理器可以按当时适用的费率向客户收取在此情况下产生的合理费用。

第五条 保密

• 5.1 数据处理器保证负责处理个人数据的人员有保密义务。
• 5.2 如果根据法院判决、法律法规或政府当局的授权命令需要提供个人数据，则数据处理器有权向第三方提供个人数据。
• 5.3 数据处理器向客户提供的所有访问和/或识别代码、证书、有关访问和/或密码策略的信息以及数据处理器向客户提供的所有信息都是保密的，这些信息实施了数据专业声明中包含的技术和组织安全措施。并且将由客户如此对待，并且仅向客户的授权员工公布。 客户确保其员工遵守本条规定的义务。

第 6 条 期限和终止

• 6.1 本处理者协议构成本协议的一部分，任何新的或由此产生的协议在本协议签订时生效，并无限期地签订。
• 6.2 本处理器协议在本协议或双方之间的任何新的或进一步的协议终止时因法律的实施而终止。
• 6.3 如果处理协议终止，数据处理方将在数据专业声明中包含的期限内删除其拥有和从客户处收到的所有个人数据，使其无法再使用且不再可访问（呈现为不可访问），或者，如果同意，以机器可读的格式将其返回给客户。
• 6.4 数据处理器可以向客户收取第 6.3 条规定范围内产生的任何费用。 相关的进一步协议可以在数据专业声明中规定。
• 6.5 如果法律规定阻止数据处理者完全或部分删除或返回个人数据，则第 6.3 条的规定不适用。 在这种情况下，数据处理方将仅在其法律义务规定的必要范围内继续处理个人数据。 如果数据处理者是 GDPR 所指的个人数据控制者，则第 6.3 条的规定也不适用。

第 7 条数据主体的权利、数据保护影响评估 (DPIA) 和审计权

• 7.1 数据处理方将在可能的情况下配合客户提出的与数据主体从客户处调用的数据主体权利相关的合理请求。 如果数据主体直接联系数据处理者，他会在可能的情况下将此人推荐给客户。
• 7.2 如果客户有义务这样做，则数据处理器将配合数据保护影响评估 (DPIA) 或第 35 条和第 36 条平均规定的后续事先咨询。
• 7.3 数据处理器将配合客户提出的删除个人数据的请求，前提是客户无法自行执行此操作。
• 7.4 应客户的要求，数据处理器还将提供所有合理必要的进一步信息，以证明遵守本处理协议中的协议。 尽管如此，如果客户有理由相信个人数据的处理并未按照处理协议进行，则最多可以每年由独立的、经过认证的、外部专家进行咨询，该专家对此类类型具有明显的经验根据协议进行的处理，由客户承担费用进行审计。 审计将仅限于检查是否符合本处理者协议中规定的有关处理个人数据的协议。 专家对其发现的内容负有保密义务，并且只会向客户报告导致数据处理者在履行本处理者协议项下的义务方面存在缺陷的情况。 专家将向数据处理器提供其报告的副本。 如果数据处理器认为这违反了 GDPR 或其他立法或构成对其已采取的安全措施的不允许的违反，则数据处理器可以拒绝专家的审计或指示。
• 7.5 双方将尽快就报告结果进行磋商。 双方将在合理预期的范围内遵循报告中提出的改进措施。 数据处理器将在其认为合适的范围内实施所提议的改进措施，同时考虑与其产品或服务相关的处理风险、最新技术、实施成本、其运营所在的市场，以及产品或服务的预期用途。
• 7.6 数据处理器有权向客户收取在本文规定范围内产生的费用。

第 8 条. 子处理者

• 8.1 数据处理方已在数据专业声明中说明，如果是，则由哪些第三方（子处理方或子处理方）数据处理方参与个人数据的处理。
• 8.2 客户允许数据处理方聘请其他子处理方履行其因协议而产生的义务。
• 8.3 数据处理器将通知客户有关数据处理器聘用的第三方的变化，例如通过修订的数据专业声明。 客户有权反对数据处理器的上述更改。 数据处理器确保其聘用的第三方承诺在个人数据保护方面的安全级别与数据处理器根据数据专业声明对客户所约束的安全级别相同。

第九条 其他

这些标准处理条款与数据专业声明一起构成协议的组成部分。 因此，本协议下的所有权利和义务，包括适用的一般条款和条件和/或责任限制，也适用于处理协议。