چه زمانی شرکتها به قرارداد پردازش سفارش نیاز دارند؟

داده های شخصی در زمینه میزبانی

با توجه به وسعت وظایف و خدماتی که Adacor برای مشتریان ارائه می دهد ، پردازش سفارش به معنای GDPR می تواند به سرعت پذیرفته شود. از آنجا که ارائه دهنده Cloud Solution ارائه دهنده زیرساخت های فنی وب سایت ها ، سایت های بازاریابی و سایر سیستم عامل های مشتریان است. شرکتی که میزبان سرورها و ماشین های مجازی است ، معمولاً وظیفه واقعی پردازش داده های شخصی را ندارد. اما به دلیل شرایط فنی ، افراد مسئول سیستم امکان دسترسی به آنها را دارند. این احتمالی بدان معنی است که پردازش احتمالی داده ها ضرورت تنظیم این سناریو را توجیه می کند.

تعهدات پردازنده داده

تعهدات مربوط به پردازنده های مسئول و داده در زمینه پردازش داده ها در مواد 28 تا 36 GDPR تنظیم شده است. این یک عصاره غیر جامع از تعهدات قانونی مربوط به پردازنده است:

• داده ها فقط طبق دستورالعمل مشتری قابل پردازش هستند.
• محرمانه باید محترم شمرده شود و محرمانه باید رعایت شود.
• هر دو طرف از انطباق حمایت می کنند. تعهدات مربوط به محافظت از داده ها ، به ویژه پردازش سوالات کاربران آسیب دیده.
• برای حفظ امنیت داده ها باید اقدامات مناسب انجام شود.
• در صورت نقض محافظت از داده ها ، کنترل کننده باید طی یک دوره زمانی ، حادثه را به مرجع نظارت و موضوع داده گزارش دهد. پردازنده باید از او پشتیبانی کند.
• پردازنده مکلف است دایرکتوری را که اطلاعات مربوط به عملیات پردازشی را که برای مشتریان خود انجام می دهد ، فراهم کند.

قرارداد پردازش قرارداد با جزئیات

مطابق ماده 28 بند 3 GDPR یک قرارداد AV به محض پردازش سفارش الزامی است. طبق بند 4 ، قرارداد باید به صورت کتبی باشد. این بدان معناست که باید به نوعی امضا شود. این کار همچنین به صورت الکترونیکی قابل انجام است. ارائه دهندگان خدمات مانند Adacor ، Google یا Amazon AWS قراردادهای AV را به ابتکار عمل خود ارائه می دهند.

ماده 28 بند 3 GDPR حداقل شرایط لازم برای قرارداد AV را توصیف می کند. این شامل اطلاعات زیر است:

• نوع داده های شخصی
• موضوع قرارداد
• مدت زمان ذخیره و پردازش داده ها
• دامنه اختیار صدور دستورالعمل ها برای پردازنده
• حقوق و تعهدات مشتری و گیرنده
• حذف داده ها در پایان سفارش
• امکان دریافت اطلاعات و بررسی اطلاعات
• تنظیم اقدامات فنی و سازمانی (به اصطلاح TOM) ، که پیمانکار هنگام پردازش داده ها باید مطابقت داشته باشد

توصیه می شود از بندهای مشخص شده قرارداد پردازش سفارش استفاده شود. برای طراحی برون سپاری برنامه ریزی شده پردازش به گونه ای که به طور قانونی الزامات پردازش را برآورده کند. به عنوان مثال ، Adacor مشتری های زیادی دارد که پروژه های آنها بصورت تکنیکی طراحی شده است ، اما بندرت در پردازش خاص داده های شخصی متفاوت است.

رسیدگی به پردازش سفارش در Adacor

مدل تجاری Adacor به گونه ای طراحی شده است که محرمانه بودن داده ها در همه زمان ها تضمین شده است. متخصصان IT از Cloud Solution Provider سیستم ها را با اطمینان و اطمینان با هدف حفظ فعالیت سرور در همه زمان ها اجرا می کنند. در زمینه فرآیندهای پردازش که در هر مورد توضیح داده شده است ، شما فقط داده های فنی را که برای بهره برداری ضروری هستند ، می بینید. مگر اینکه شرکت سفارش دهنده نیاز به رویکرد متفاوتی داشته باشد. به عنوان مثال ، اگر یک پایگاه داده در یک قالب خاص مورد نیاز باشد و Adacor با اجرای آن راه اندازی شود ، می تواند این مورد باشد. در اصل ، سرپرستان نمی دانند مشتری از کدام داده های شخصی پردازش می کند بر روی سیستم ها (سرورها ، ماشین های مجازی و …). به همین دلیل ، نوعی قرارداد پردازش چارچوب با هر شرکت مشتری منعقد می شود. این موضوع مباحث را به طور یکنواخت برای کلیه پروژه های فنی از نوع مشابه تنظیم می کند در صورت لزوم (برای مشخصات پروژه) آیین نامه ها را می توان با قراردادهای پردازش تک سفارشات تکمیلی تکمیل کرد.

در همان زمان Adacor مرتباً تجربه می کند که شرکت های مشتری باید الزامات قانونی خاصی یا الزامات انطباق را رعایت کنند. و بنابراین می خواهیم محتوای قرارداد AV خود را مشخص کنید. ارائه دهنده راه حل های ابری مدیریت شده از رفع این نیازها خوشحال است. قراردادهای مربوطه فقط برای بررسی اینکه آیا آنها الزامات شخصی شما را برآورده می کنند بررسی می شوند. در پایان همیشه نتیجه ای حاصل می شود که نیازهای همه افراد درگیر را برآورده می کند.

عواقب حقوقی و عواقب پردازش سفارش

در اصل ، مشتری شخص مسئول و اولین نقطه تماس برای افرادی است که داده هایشان پردازش می شود. این وظیفه را دارد که در طی فرآیند پردازش از حفاظت از داده ها رعایت کند. لازم به ذکر است که پردازنده نیز می تواند پاسخگو باشد (ماده 82 GDPR). مسئولیت وی محدود به نقض تعهداتی است که مطابق بند 2 توسط مشتری اعمال شده است.

مطابق ماده 28 بند 1 GDPR ، مشتری وظیفه انتخاب صحیح و نظارت بر پردازنده را بر عهده دارد. ارائه دهنده منتخب باید بتواند پیروی از الزامات GDPR را به میزان کافی تضمین کند. برای این منظور ، مشتری باید به خود حق حسابرسی کافی اعطا کند. کدام اقدامات آزمون باید انجام شود و در چه فواصل زمانی بستگی به طراحی پردازش سفارش دارد. Adacor شرکتهای مشتری را به سالانه به پرسشنامه های خاص و نیم روز برای بازدید در محل ارائه می دهد.

عواقب گسترده در غیاب قرارداد پردازش قرارداد

ماده 82 (1) GDPR مسئولیت مشترکی را برای نقض قرارداد برای مشتریان و پیمانکاران فراهم می کند. طبق ماده 83 بند 4 GDPR ، مجازات های حداکثر 10 میلیون یورو یا حداکثر 2 درصد از فروش سالانه گذشته امکان پذیر است. تخلفات جدی تر با جریمه های حداکثر 20 میلیون یورو یا 4 درصد از گردش مالی سالانه (ماده 83 بند 5 GDPR) قابل مجازات است. در شرایط خاص ، داده های داده های آنها پردازش شده می توانند مطالبه خسارت کنند.

در گذشته ، مشتریانی مجازات می شدند که ، از جمله موارد دیگر ، باید نقض های زیر را اثبات می کردند:

• عدم وجود قرارداد AV ، گرچه لازم بود.
• قراردادهای نقص AV ، که شامل بندهای غیرقابل قبول بودند.

سایر مباحث مشترک

نکات زیر در زمینه پردازش سفارش اغلب مورد غفلت واقع می شوند. با این وجود ، مرتبط است که …

1. … قرارداد قبل از شروع پردازش سفارش منعقد شده است ،
2. … مشتری باید مرتباً بررسی کند که آیا پیمانکار از نظر پردازش با الزامات حفاظت از داده مطابقت دارد یا
3. … سؤال از پیمانکاران فرعی روشن است ماده 28 GDPR تصریح می کند که ادغام پیمانکاران جدید باید فقط با تأیید کتبی قبلی شخص مسئول مجاز باشد.

نتیجه گیری: دانستن و زندگی شرایط مورد نیاز قرارداد AV

شرکت ها به یک پردازش سفارش با پردازنده پیمانکاری نیاز دارند. اگر داده های شخصی را برای ذخیره سازی ، پردازش یا مصارف دیگر به شرکت های دیگر منتقل می کنند. مقررات قانونی این امر را می توان در GDPR یافت. به شرکتها به خوبی توصیه می شود که با الزامات برخورد جدی کنند. در غیر این صورت خطر جریمه های شدید وجود دارد که می تواند تا 20 میلیون یورو یا 4 درصد از فروش سالانه باشد. به عنوان شخص مسئول پردازش سفارشات ، یک شرکت باید اطمینان حاصل کند که همچنان کنترل می شود ، که داده ها در مقابل دسترسی توسط اشخاص ثالث محافظت می شود و پیمانکاران فرعی به درستی تنظیم می شوند. یک قرارداد AV به عنوان پایه ای برای دستیابی به داده های شخصی در یک زمینه تجاری ، یقین حقوقی به کاربران و این دانش را می دهد که داده های آنها به بهترین وجه ممکن محافظت می شود. شرکت های درگیر از روابط حقوقی روشن بهره مند شده و احتمالاً از جریمه هایی که وجود آنها را تهدید می کند ، جلوگیری می کنند.