加工協議

介紹

Autosoft BV 為客戶處理個人數據，並代表客戶處理個人數據。 因此，根據通用數據保護條例 (GDPR)，Autosoft BV 和客戶有義務簽訂處理器協議。 根據 GDPR，Autosoft BV 是“處理器”，客戶是“控制器”。 本處理商協議還描述了 Autosoft BV 如何處理數據洩露通知義務。

加工協議

包含由...組成：
第 1 部分：數據專業聲明
第 2 部分：標準處理條款

第 1 部分：數據專業聲明

一般信息

1）。 本數據專業聲明由以下數據處理者（處理者）起草：

• Autosoft BV
  第 547 章
  7521 AG 恩斯赫德

有關本數據專業聲明或數據保護的問題，請聯繫：
Arthur van der Lek：arthur@autosoft.eu / +31 (0)53 – 428 00 98

2）。 本數據專業聲明自 1 年 2021 月 XNUMX 日起適用
我們會定期調整本數據專業聲明和其中描述的安全措施，以確保我們始終準備好並及時了解數據保護。 我們將通過我們的正常渠道向您通報新版本。

3）。 本數據專業聲明適用於以下數據處理器產品和服務

• 汽車網站
• 汽車商務

4）。 描述 汽車網站
汽車公司使用汽車網站。 通過 Autowebsite，汽車公司可以在互聯網上展示自己。

5）。 預期用途汽車網站
Autowebsite 的設計和配備可以處理以下類型的數據：
訪問由 Autosoft 和 Autowebsite 開發的網站的訪問者可以選擇在那裡留下他們的聯繫方式，以便汽車公司有機會與訪問者聯繫以獲得進一步的服務。 這些聯繫方式不會存儲在 Autosoft 中，而是直接通過電子郵件轉發到汽車公司的電子郵件地址。

• 此服務不考慮特殊個人數據的處理，或與刑​​事定罪和犯罪或政府頒發的個人號碼相關的數據。

6). 描述 汽車貿易
汽車公司使用 Autocommerce。 通過 Autocommerce，汽車公司可以在自己的網站和第三方的互聯網搜索門戶上管理和展示他們的車輛。

7）。 預期用途汽車商務
Autocommerce 的設計和配備可以處理以下類型的數據：
汽車公司可以通過 Autocommerce 在他們自己的汽車網站上放置他們註冊的車輛。 這些註冊車輛不包含任何可以以任何形式追溯到個人數據的數據。 Car 網站的訪問者可以選擇在那裡留下他們的聯繫方式，以便汽車公司有機會與訪問者聯繫以獲得進一步的服務。 訪問者在他們自己的 Auto 網站上留下的聯繫方式存儲在 Autocommerce 中。

• 此服務不考慮特殊個人數據的處理，或與刑​​事定罪和犯罪或政府頒發的個人號碼相關的數據。

8). 數據處理器使用標準條款處理汽車網站和汽車商務，可作為協議的附錄找到。

9). 數據處理器處理其在歐盟/歐洲經濟區內的汽車網站和汽車商務客戶的個人數據。

10）。 數據處理器為 Autocommerce 使用以下子處理器：
在某些情況下，Autosoft 代表汽車公司通過 Autocommerce 將其註冊車輛發送到第三方或分處理商的互聯網搜索門戶。 可通過 support@autosoft.eu 索取子處理器列表。

11)。 與客戶的協議終止後，數據處理者原則上將在 3 個月內刪除其為客戶處理的個人數據，以使其不再可用且不再可訪問（呈現為不可訪問）。

安全政策

總結數據處理器為保護其產品或服務而採取的以下安全措施：

事件管理和響應政策
信息安全領域的事件管理和響應策略包括對計算機或 IT 基礎設施上的安全事件的監控和檢測，還包括人員對可疑活動的觀察，以及對這些事件的正確響應的實施。

該策略的主要目標是針對最廣泛意義上的惡意事件和計算機入侵制定易於理解且可預測的響應。

事件管理和響應策略是管理和保護計算機、網絡和信息系統以及存儲在其中的信息的過程。 為了客戶和供應鏈合作夥伴的利益，Autosoft 意識到自己有責任保護這些信息。 這種責任延伸到事件程序。 事件管理是一組活動，用於定義和實施組織可以用來促進自身福祉和公眾安全的過程。

信息技術和安全
Autosoft BV 的 ICT 結構有防火牆充分保護，病毒掃描軟件保持最新。 每個員工都有一個登錄配置文件。 啟動計算機時，員工必須輸入登錄名和密碼，並在可能的情況下使用兩步驗證。

某些軟件還會要求提供登錄名和密碼，並在可能的情況下使用兩步驗證。 激發員工對安全工作的意識，例如提請注意不要打開可疑電子郵件、不要點擊可疑鏈接、長時間離開工作場所時退出等。

這些文件在白天和每晚進行備份。 出於安全原因，圍繞備份的進一步存儲過程是保密的。 Autosoft BV 已與計算機供應商和互聯網託管服務提供商簽訂了服務合同。

數據保護政策
Autosoft BV 採取適當的技術和組織措施來保護客戶的個人數據免遭丟失或任何形式的非法處理。 這些技術和組織措施被視為 GDPR 第 1 條含義內的適當安全級別，並作為文檔存儲在 Autosoft BV 的中央 Basecamp（項目：組織/數據保護政策）中

技術和組織

1. 確保只有授權人員才能訪問在處理者協議範圍內處理的個人數據的措施；
2. 保護個人數據的措施，尤其是防止意外或非法破壞、丟失、意外更改、未經授權或非法存儲、訪問或披露；
3. 在數據交換/傳輸過程中保護個人數據免受意外或非法破壞、丟失、意外更改、未經授權或非法存儲、訪問或披露的措施；
4. 確保能夠持續確保編輯系統和服務的機密性、完整性、可用性和彈性的措施；
5. 在發生物理或技術事故時及時恢復個人數據的可用性和訪問的措施；
6. 在用於提供合同服務的系統中識別個人數據處理漏洞的措施；

組織機構如：

• 將有權訪問某些個人數據的官員範圍限制在那些需要數據以履行其職責的人；
• 僅授予這些人訪問其履行職責所需的個人數據的權限；
• 與所有有權訪問個人數據的人同意保密條款和懲罰條款；
• 將個人數據存儲在封閉空間的服務器上；
• 將紙質文件保存在可上鎖的櫃子中；
• 培養員工的信息安全意識；
• 建立明確的協議和程序，以及時有效地處理信息安全事件和安全漏洞；

數據處理者使用適合組織工作方法的自己的管理方法和程序：

• 在 Basecamp 內管理和定期評估相關文件。

數據洩露協議

如果出現問題，數據處理器使用以下數據洩漏協議來確保客戶端知道事件：

Autosoft BV – 數據洩露程序

什麼是數據洩露，我什麼時候必須向 AP 報告？
數據洩露是一種信息安全事件，涉及通過暴露於丟失或非法處理而破壞個人數據的安全，例如（但並非詳盡無遺）：

• 調整和/或更改個人數據以及未經授權訪問這些個人數據；
• 在黑客入侵的情況下；
• 丟失 U 盤、筆記本電腦被盜；
• 將敏感數據發送到錯誤的電子郵件地址；

根據法律規定，“嚴重”數據洩露必須立即報告給荷蘭數據保護局，如果可能，不得遲於發現後 72 小時。

如果合理排除個人自然人的實際身份，Autosoft BV 不必向荷蘭數據保護局報告。
所有對信息安全事件的懷疑將在第一時間解決 支持@autosoft.eu 報告並登記。 支持部門將事件報告給管理團隊，並確定應採取哪些後續行動。

跟進程序

我什麼時候必須通知數據主體？
如果一旦發生數據洩露，數據洩露很可能會對他或她的私人生活造成不利後果，則必須向數據主體報告數據洩露。 對數據主體的不利後果是：損害其名譽和聲譽、身份欺詐或歧視。 如果 Autosoft BV 採取了適當的技術保護措施，導致相關個人數據變得難以理解或無法訪問，則無需通知數據主體。 給數據主體的通知應包含以清晰明了的語言描述個人數據洩露的性質，並且至少：

• 數據保護官或其他可以獲得更多信息的聯絡點的姓名和聯繫方式；
• 個人數據洩露的可能後果；
• 控制者為解決個人數據洩露問題而提議或採取的措施，包括在適當情況下減輕其任何不利影響的措施。 是否必須向荷蘭數據保護局和/或受影響的人報告數據洩露事件的評估始終由 Autosoft BV 決定。 為了確定是否必須報告事件，荷蘭數據保護局製定了政策規則 (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) 和歐洲監管機構指南的第 29 工作組發布了關於 GDPR 中報告義務的內容。 如果 Autosoft BV 未報告數據洩露，荷蘭數據保護局可能會要求 Autosoft BV 仍進行報告。 不報告可處以行政罰款。

如何報告數據洩露？
荷蘭數據保護局提供了一個必須用於報告數據洩露的網絡表單 (https://dataleks.autoriteitpersoonsgegevens.nl/)。 荷蘭數據保護局對收到的數據洩露通知進行登記。 該登記冊不公開。 如果荷蘭數據保護局因數據洩露而處以罰款，則該決定將公開。 當需要將數據洩露告知數據主體時，數據洩露也會被公開。 在任何情況下，向數據主體發出的通知都必須說明侵權的性質以及數據主體可以從何處獲得更多有關侵權的信息。 還必須說明數據主體可以自己做什麼來限制數據洩露的負面後果。 例如，當用戶名和密碼可能因違規而受到損害時更改用戶名和密碼。

我應該報告什麼？
向荷蘭數據保護局發出的通知包括：

• 數據洩露的記者。
• 荷蘭數據保護局可以聯繫以獲取有關報告的更多信息的人。
• 發生個人數據安全漏洞的事件摘要。
• 侵權時間。
• 侵權的性質。
• 相關個人數據的類型。
• 侵權行為可能對當事人隱私造成的後果。
• Autosoft BV 為解決侵權行為並防止進一步侵權所採取的技術和組織措施。
• Autosoft BV 是否已向數據主體報告數據洩露事件，如果沒有，Autosoft BV 是否打算這樣做：
• 如果是，則向數據主體發出通知的內容。
• 如果不是，則 Autosoft BV 不向數據主體報告數據洩露的原因。
• 個人數據是否被加密、散列或以其他方式使未經授權的人無法理解或無法訪問？

第 2 部分：標準處理條款

版本：2019 年 XNUMX 月
與數據專業聲明一起形成處理協議，並且是協議和隨附附錄（例如適用的一般條款和條件）的附錄。

第 1 條 定義

以下術語在這些標準處理條款、數據專業聲明和協議中具有以下含義：

• 1.1 荷蘭數據保護局 (AP)： 監管機構，如平均第 4 條第 21 條所述。
• 1.2 平均： 通用數據保護條例。
• 1.3 數據處理器： 作為 ICT 供應商，在執行協議的背景下為其客戶的利益處理​​個人數據的一方。
• 1.4 數據專業聲明： 數據處理器的聲明，其中提供有關其產品或服務的預期用途、所採取的安全措施、子處理器、數據洩漏、認證和數據主體權利處理的信息。
• 1.5 數據主體（Data subject）： 已識別或可識別的自然人。
• 1.6 客戶： 代表數據處理器處理個人數據的一方。 客戶可以是控制者（“控制者”）或其他處理者。
• 1.7 協議： 客戶與數據處理器之間的協議，在此基礎上，ICT 供應商向客戶提供服務和/或產品，處理器協議構成其中的一部分。
• 1.8 個人數據：關於已識別或可識別的自然人的所有信息，如第 4 條第 1 條 AVG 所述，數據處理器在履行協議產生的義務的情況下處理這些信息。
• 1.9 處理協議：這些處理標準條款與數據處理方的數據支持聲明（或類似信息）一起構成了 GDPR 第 28 條第 3 款所述的處理協議。

第 2 條 總則

• 2.1 這些標準處理條款適用於數據處理器在交付其產品和服務的背景下對個人數據的所有處理以及所有協議和優惠。 明確拒絕客戶處理協議的適用性。
• 2.2 數據專業聲明，尤其是其中包含的安全措施，可能會由數據處理器不時修改，以反映不斷變化的情況。 數據處理器將通知客戶重大變化。 如果客戶不能合理地同意調整，客戶有權在收到調整通知後 30 天內以書面形式終止處理協議。
• 2.3 數據處理器根據客戶與數據處理器同意的書面指示，代表客戶處理個人數據。
• 2.4 客戶或其客戶是 GDPR 意義上的控制者，控制個人數據的處理，並確定了處理個人數據的目的和方式。
• 2.5 數據處理器是 GDPR 意義上的處理器，因此無法控制處理個人數據的目的和方式，因此不會就個人數據的使用等做出任何決定。
• 2.6 數據處理器執行這些標準處理條款、數據專業聲明和協議中規定的 GDPR。 由客戶根據此信息評估數據處理器是否在應用適當的技術和組織措施方面提供足夠的保證，以便處理符合 GDPR 的要求並保護數據主體的權利足夠了。保證。
• 2.7 客戶向數據處理方保證其按照 GDPR 行事，始終充分保護其係統和基礎設施，並且個人數據的內容、使用和/或處理不違法且不侵犯任何權利第三方的。
• 2.8 無法從數據處理器收回 AP 對客戶端施加的行政罰款。

第三條 安全

• 3.1 數據處理器採取技術和組織安全措施，如其數據專業聲明中所述。 在採取技術和組織安全措施時，數據處理器已考慮到最新技術水平、安全措施的實施成本、處理的性質、範圍和背景、其產品和服務的目的和預期用途，數據主體的權利和自由的處理風險和在概率和嚴重性方面不同的風險，他可以根據其產品和服務的預期用途而預期。
• 3.2 除非數據專業聲明中另有明確說明，否則數據處理器的產品或服務並非旨在處理特殊類別的個人數據或與刑事定罪或犯罪或政府頒發的個人號碼有關的數據。
• 3.3 數據處理器努力確保其採取的安全措施適合數據處理器對產品或服務的預期用途。
• 3.4 客戶認為，考慮到第 3.1 條中提到的因素，所描述的安全措施提供了一個安全級別，以適應其使用或提供的個人數據的處理風險。
• 3.5 如果數據處理器認為有必要繼續提供適當的安全級別，則數據處理器可能會更改所採取的安全措施。 數據處理器將記錄重要的更改，例如在修訂後的數據支持聲明中，並將在相關時將這些更改通知客戶。
• 3.6 客戶可以要求數據處理器採取進一步的安全措施。 數據處理器沒有義務根據此類請求更改其安全措施。 數據處理方可以根據客戶的要求向客戶收取與更改相關的費用。 只有在客戶要求修改的安全措施得到雙方書面同意並簽署後，數據處理方才有義務實際實施這些安全措施。

第 4 條 個人數據洩露

• 4.1 數據處理器不保證安全措施在所有情況下都有效。 如果數據處理器發現與個人數據有關的違規行為（如第 4 條第 12 條平均分項所述），它將立即通知客戶。 數據專業聲明（根據數據洩漏協議）規定了數據處理器如何通知客戶有關個人數據的違規行為。
• 4.2 由控制者（客戶或其客戶）來評估是否必須向 AP 或數據主體報告數據處理器已告知的個人數據洩露。 必鬚根據 GDPR 第 33 條和第 34 條向 AP 和/或數據主體報告與個人數據有關的違規行為的報告始終是控制者（客戶或其客戶）的責任。 數據處理器沒有義務向 AP 和/或數據主體報告個人數據洩露。
• 4.3 如有必要，數據處理器將提供與個人數據相關的違規行為的進一步信息，並將配合向客戶提供必要的信息，以便按照第 33 條和第 34 條的規定發送通知。
• 4.4 數據處理器可以按當時適用的費率向客戶收取在此情況下產生的合理費用。

第五條 保密

• 5.1 數據處理器保證負責處理個人數據的人員有保密義務。
• 5.2 如果根據法院判決、法律法規或政府當局的授權命令有必要提供個人數據，則數據處理器有權向第三方提供個人數據。
• 5.3 數據處理器向客戶提供的所有訪問和/或識別代碼、證書、有關訪問和/或密碼策略的信息以及數據處理器向客戶提供的所有信息都是保密的，這些信息實施了數據專業聲明中包含的技術和組織安全措施。並且將由客戶如此對待，並且僅向客戶的授權員工公佈。 客戶確保其員工遵守本條規定的義務。

第 6 條 期限和終止

• 6.1 本處理者協議構成本協議的一部分，任何新的或由此產生的協議在本協議簽訂時生效，並無限期地簽訂。
• 6.2 本處理器協議在本協議或雙方之間的任何新的或進一步的協議終止時因法律的實施而終止。
• 6.3 如果處理協議終止，數據處理方將在數據專業聲明中包含的期限內刪除其擁有和從客戶處收到的所有個人數據，使其無法再使用且不再可訪問（呈現為不可訪問），或者，如果同意，以機器可讀的格式將其返回給客戶。
• 6.4 數據處理器可以向客戶收取第 6.3 條規定範圍內產生的任何費用。 可以在數據專業聲明中製定關於此的進一步協議。
• 6.5 如果法律規定阻止數據處理者完全或部分刪除或返回個人數據，則第 6.3 條的規定不適用。 在這種情況下，數據處理方將僅在其法律義務規定的必要範圍內繼續處理個人數據。 如果數據處理者是 GDPR 所指的個人數據控制者，則第 6.3 條的規定也不適用。

第 7 條權利數據主體、數據保護影響評估 (DPIA) 和審計權

• 7.1 數據處理方將在可能的情況下配合客戶提出的與數據主體從客戶處調用的數據主體權利相關的合理請求。 如果數據主體直接聯繫數據處理者，他會在可能的情況下將此人推薦給客戶。
• 7.2 如果客戶有義務這樣做，數據處理器將配合數據保護影響評估 (DPIA) 或第 35 條和第 36 條 Avg.
• 7.3 數據處理器將配合客戶提出的刪除個人數據的請求，前提是客戶無法自行執行此操作。
• 7.4 應客戶的要求，數據處理器還將提供所有合理必要的進一步信息，以證明遵守本處理協議中的協議。 儘管如此，如果客戶有理由相信個人數據的處理並未按照處理協議進行，則最多可以每年由獨立的、經過認證的、外部專家進行諮詢，該專家對此類類型具有明顯的經驗根據協議進行的處理，由客戶承擔費用進行審計。 審計將僅限於檢查是否符合本處理者協議中規定的有關處理個人數據的協議。 專家對其發現的內容負有保密義務，並且只會向客戶報告導致數據處理者在履行本處理者協議項下的義務方面存在缺陷的情況。 專家將向數據處理器提供其報告的副本。 如果數據處理器認為這違反了 GDPR 或其他立法或構成對其已採取的安全措施的不允許的違反，則數據處理器可以拒絕專家的審計或指示。
• 7.5 雙方將盡快就報告結果進行磋商。 雙方將在合理預期的範圍內遵循報告中提出的改進措施。 數據處理器將在其認為合適的範圍內實施所提議的改進措施，同時考慮與其產品或服務相關的處理風險、最新技術、實施成本、其運營所在的市場，以及產品或服務的預期用途。
• 7.6 數據處理器有權向客戶收取在本文規定範圍內產生的費用。

第 8 條. 子處理者

• 8.1 數據處理方已在數據專業聲明中說明了數據處理方是否以及如果是這樣的第三方（分處理方或分處理方）參與個人數據的處理。
• 8.2 客戶允許數據處理方聘請其他子處理方履行其因協議而產生的義務。
• 8.3 數據處理器將通知客戶有關數據處理器聘用的第三方的變化，例如通過修訂的數據專業聲明。 客戶有權反對數據處理器的上述更改。 數據處理器確保其聘用的第三方承諾在個人數據保護方面的安全級別與數據處理器根據數據專業聲明對客戶所約束的安全級別相同。

第九條 其他

這些標準處理條款與數據專業聲明一起構成協議的組成部分。 因此，本協議下的所有權利和義務，包括適用的一般條款和條件和/或責任限制，也適用於處理協議。