Bijlage gegevensverwerking

 

Deze Bijlage maakt integraal deel uit van de Overeenkomst en wordt aangegaan door:

 

  1. (i) De Klant (" Gegevensexporteur ")
  2. (ii) POSTCODEZIP (" Gegevensimporteur ")

 

Elk is een " Partij " en gewoonlijk " Partijen ".

 

Preambule

WAAR de gegevensimporteur professionele softwarediensten, computerdiensten en aanverwante diensten levert;

WAAR op grond van het Contract de Gegevensimporteur ermee heeft ingestemd om de Gegevensexporteur de in het Contract gespecificeerde diensten te verlenen (de " Diensten ");

WAAR, door het verlenen van de Diensten, de Gegevensimporteur toegang krijgt tot of profiteert van toegang tot de gegevens van de Gegevensexporteur of de informatie van andere personen die een (potentiële) relatie hebben met de Gegevensexporteur, dergelijke informatie kan worden gekwalificeerd als persoonsgegevens in de zin van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van personen met betrekking tot de verwerking van persoonsgegevens en betreffende het vrije verkeer van dergelijke gegevens (" GDPR ") en andere toepasselijke wetgeving inzake gegevensbescherming.

WAAR deze Bijlage de voorwaarden bevat die van toepassing zijn op het verzamelen, verwerken en gebruiken van dergelijke persoonsgegevens door de Gegevensimporteur in zijn hoedanigheid van gemachtigde gegevensverwerkingsagent van de Gegevensexporteur, om ervoor te zorgen dat de Partijen de toepasselijke wetgeving inzake gegevensbescherming naleven .

 

DAAROM, en om de Partijen in staat te stellen hun relatie rechtmatig voort te zetten, hebben de Partijen deze Bijlage als volgt gesloten:

Deel 1

 

1. Structuur van het document en definities

1.1 Structuur

Deze bijlage bestaat uit de volgende onderdelen:

 

Deel 1:

bevat algemene bepalingen, bijvoorbeeld met betrekking tot de definities die in deze bijlage worden gebruikt, naleving van lokale wetten, timing en beëindiging

Deel 2:

bevat de hoofdtekst van het ongewijzigde document met standaardcontractbepalingen

Bijlage 1.1 van deel 2:

bevat de details van de verwerkingen die door de Gegevensimporteur aan de Gegevensexporteur als de gemachtigde gegevensverwerker zijn verstrekt (inclusief de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen) onder deze bijlage

Bijlage 2 van deel 2:

bevat een beschrijving van de technische en organisatorische beveiligingsmaatregelen van de Gegevensimporteur, die worden toegepast in verband met alle verwerkingsactiviteiten beschreven in Bijlage 1.1 van Deel 2

Deel 3:

bevat de handtekeningen van de partijen die gebonden zijn aan deze bijlage en identificeert elke gegevensimporteur

 

1.2 Terminologie en definities

Voor de toepassing van deze bijlage zijn de terminologie en definities die worden gebruikt door de AVG van toepassing (in de hoofdtekst van het document met standaardcontractbepalingen in deel 2, waar gedefinieerde termen niet met een hoofdletter worden geschreven). 

 

"Lidstaat"

betekent een land dat behoort tot de Europese Unie of de Europese Economische Ruimte;

"Bijzondere categorieën van (persoons)gegevens"

verwijst naar persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen of lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens, indien verwerkt met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, gegevens over het geslacht van een persoon leven of seksuele geaardheid

"Standaard contractbepalingen"

betekent de modelcontractbepalingen voor de doorgifte van persoonsgegevens van in derde landen gevestigde verwerkingsagenten, krachtens Besluit 2010/87/EU van de Commissie van 5 februari 2010, dat werd gewijzigd door Uitvoeringsbesluit (EU) 2016/2297 van de Commissie op 16 februari december 2016

"Gegevensverwerker"

betekent elke verwerkingsagent, gevestigd binnen of buiten de EU/EER, die ermee instemt om van de Gegevensimporteur of een andere verwerker van de Gegevensimporteur persoonsgegevens te ontvangen met het exclusieve doel van verwerkingsactiviteiten die door de Gegevensexporteur moeten worden uitgevoerd na de overdracht in overeenstemming met de instructies van de Gegevensexporteur, de voorwaarden van deze Bijlage en het Contract met de Gegevensimporteur

 

 

2. Verplichtingen van de gegevensexporteur

2.1 De gegevensexporteur heeft de verplichting om te zorgen voor naleving van alle toepasselijke verplichtingen onder de AVG en alle andere toepasselijke gegevensbeschermingswetten die van toepassing zijn op de gegevensexporteur en om deze naleving aan te tonen zoals vereist door artikel 5, lid 2, van de AVG. De Gegevensexporteur garandeert dat de Gegevensimporteur de voorafgaande toestemming van de betrokkenen heeft verkregen in overeenstemming met artikel 6 (a) van de AVG en heeft voldaan aan zijn verplichting om de betrokkenen te informeren in overeenstemming met de artikelen 13 en 14 van de AVG.

2.2 De Gegevensimporteur moet de Gegevensimporteur de respectieve bestanden van de verwerkingsactiviteiten verstrekken in overeenstemming met artikel 30, lid 1, van de AVG met betrekking tot de Diensten onder deze Bijlage, voor zover nodig voor de Gegevensimporteur om te voldoen aan de verplichting onder Artikel 30 (2) van de AVG.

2.3 De gegevensexporteur moet een functionaris voor gegevensbescherming of een vertegenwoordiger aanstellen voor zover vereist door de toepasselijke wetgeving inzake gegevensbescherming. De Gegevensexporteur is verplicht om de contactgegevens van de gegevensbeschermingsagent of -vertegenwoordiger, indien aanwezig, aan de Gegevensimporteur te verstrekken.

2.4. De gegevensexporteur bevestigt voorafgaand aan de voltooiing van de verwerking, door aanvaarding van deze bijlage, dat de technische en organisatorische beveiligingsmaatregelen van de gegevensimporteur, zoals uiteengezet in bijlage 2 bij deel 2, geschikt en voldoende zijn om de rechten van de betrokkene te beschermen en bevestigt dat de Gegevensimporteur in dit opzicht voldoende waarborgen biedt.

 

3. Naleving van de lokale wetgeving

Om te voldoen aan de vereisten van de implementatie van de verwerkingsagenten volgens artikel 28 van de AVG, zijn de volgende wijzigingen van toepassing:

 

3.1 Instructies

  1. (i) De Gegevensexporteur instrueert de Gegevensimporteur om persoonsgegevens uitsluitend namens de Gegevensexporteur te verwerken. De instructies van de Gegevensexporteur staan ​​in deze Bijlage en in het Contract. De gegevensexporteur is verplicht ervoor te zorgen dat alle instructies aan de gegevensimporteur in overeenstemming zijn met de toepasselijke wetgeving inzake gegevensbescherming. De gegevensimporteur mag persoonsgegevens alleen verwerken in overeenstemming met de instructies van de gegevensexporteur, tenzij anders vereist door de Europese Unie of de wet van de lidstaat (in het laatste geval is deel 1 clausule 3.2 (iv) (c) van toepassing) .
  2. (ii) Alle andere instructies die verder gaan dan de instructies in deze Bijlage of in het Contract moeten worden opgenomen in het onderwerp van deze Bijlage en het Contract. Indien de uitvoering van deze aanvullende instructie kosten met zich meebrengt voor de Gegevensimporteur, zal de Gegevensimporteur de Gegevensexporteur van dergelijke kosten op de hoogte stellen en een toelichting geven alvorens de instructie uit te voeren. Pas nadat de Gegevensimporteur de aanvaarding van deze kosten voor de uitvoering van de instructie heeft bevestigd, voert de Gegevensimporteur deze aanvullende instructie uit. De Gegevensexporteur moet aanvullende schriftelijke instructies geven, tenzij urgentie of andere specifieke omstandigheden een andere vorm (bijvoorbeeld mondeling, elektronisch) vereisen. Opdrachten in een andere vorm dan schriftelijk dienen door de Gegevensexporteur onverwijld schriftelijk te worden bevestigd.
  3. 1. Tenzij de Gegevensexporteur de rectificatie, wissing of beperking van persoonsgegevens niet zelf kan uitvoeren, kunnen de instructies ook betrekking hebben op de rectificatie, wissing en/of beperking van persoonsgegevens zoals uiteengezet in Deel 1 Clausule 3.3.
  4. 2. De Gegevensimporteur moet de Gegevensexporteur onmiddellijk op de hoogte stellen als naar zijn mening een Instructie in strijd is met de AVG of andere toepasselijke gegevensbeschermingsbepalingen van de Europese Unie of een lidstaat (" Betwiste Instructie"). Als de Gegevensimporteur van mening is dat een Instructie in strijd is met de AVG of andere toepasselijke gegevensbeschermingsbepalingen van de Europese Unie of een lidstaat, is de Gegevensimporteur niet verplicht de Betwiste Instructie op te volgen. Als de Gegevensexporteur de Betwiste Instructie bevestigt op ontvangst van informatie van de Gegevensimporteur en erkent zijn verantwoordelijkheid voor de Betwiste Instructie, zal de Gegevensimporteur de Betwiste Instructie uitvoeren, tenzij de Betwiste Instructie betrekking heeft op (i) de uitvoering van technische en organisatorische maatregelen, (ii) de rechten van de Gegevens Onderwerpen of (iii) het inschakelen van gegevensverwerkers In de gevallen (i) tot (iii) kan de Gegevensimporteur contact opnemen met een bevoegde toezichthoudende autoriteit om de betwiste Instructie wettelijk te laten beoordelen door een dergelijke autoriteit.Indien de toezichthoudende autoriteit de aangevochten Instructie rechtsgeldig verklaart, zal de Gegevensimporteur de aangevochten Instructie uitvoeren. Deel 1 Artikel 3.1 (ii) blijft van toepassing.

 

3.2 Verplichtingen van de gegevensimporteur

  1. (i) De Gegevensimporteur moet ervoor zorgen dat personen die door de Gegevensimporteur zijn gemachtigd om persoonsgegevens namens de Gegevensexporteur te verwerken, in het bijzonder werknemers van de Gegevensimporteur en werknemers van een Onderaannemer, zich ertoe hebben verbonden de vertrouwelijkheid in acht te nemen of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en dat deze personen die toegang hebben tot persoonsgegevens deze verwerken in overeenstemming met de instructies van de Gegevensexporteur.
  2. (ii) De Gegevensimporteur moet de technische en organisatorische beveiligingsmaatregelen implementeren zoals uiteengezet in Bijlage 2 bij Deel 2 alvorens de persoonsgegevens namens de Gegevensexporteur te verwerken. De Gegevensimporteur kan de technische en organisatorische beveiligingsmaatregelen van tijd tot tijd wijzigen als deze niet minder bescherming bieden dan die uiteengezet in Bijlage 2 bij Deel 2.
  3. (iii) De gegevensimporteur stelt op verzoek van de gegevensexporteur informatie ter beschikking aan de gegevensexporteur om aan te tonen dat hij voldoet aan de verplichtingen van de gegevensimporteur op grond van deze bijlage. De Partijen komen overeen dat aan deze informatieverplichting wordt voldaan door de Gegevensexporteur een auditrapport te verstrekken (waaronder de beveiliging van de principes, de beschikbaarheid van het systeem en de vertrouwelijkheid) ("Auditrapport"). Indien aanvullende auditactiviteiten wettelijk vereist zijn, kan de Gegevensexporteur verzoeken dat inspecties worden uitgevoerd door de Gegevensexporteur of een andere door de Gegevensexporteur aangewezen auditor, op voorwaarde dat deze auditor een vertrouwelijkheidsovereenkomst met de Gegevensimporteur uitvoert aan de Gegevensimporteur. redelijke tevredenheid ("Audit"). Aan deze Audit zijn de volgende voorwaarden verbonden:(i) de voorafgaande formele schriftelijke aanvaarding van de Gegevensimporteur; en (ii) de gegevensexporteur draagt ​​alle kosten met betrekking tot de audit ter plaatse voor de gegevensexporteur en de gegevensimporteur. De gegevensexporteur moet een auditrapport maken met een samenvatting van de resultaten en observaties van de audit ter plaatse ("auditrapport ter plaatse"). De auditrapporten ter plaatse en de auditrapporten zijn vertrouwelijke informatie van de gegevensimporteur en mogen niet aan derden worden bekendgemaakt, tenzij vereist door de toepasselijke wetgeving inzake gegevensbescherming of in overeenstemming met de toestemming van de gegevensimporteur.De auditrapporten ter plaatse en de auditrapporten zijn vertrouwelijke informatie van de gegevensimporteur en mogen niet aan derden worden bekendgemaakt, tenzij vereist door de toepasselijke wetgeving inzake gegevensbescherming of in overeenstemming met de toestemming van de gegevensimporteur.De auditrapporten ter plaatse en de auditrapporten zijn vertrouwelijke informatie van de gegevensimporteur en mogen niet aan derden worden bekendgemaakt, tenzij vereist door de toepasselijke wetgeving inzake gegevensbescherming of in overeenstemming met de toestemming van de gegevensimporteur.
  4. (iv) De gegevensimporteur is verplicht de gegevensexporteur onverwijld op de hoogte te stellen van:
    1. A. met betrekking tot elk juridisch bindend verzoek om openbaarmaking van persoonsgegevens door een wetshandhavingsinstantie, tenzij anderszins verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een wetshandhavingsonderzoek te beschermen
    2. B. met betrekking tot een klacht en verzoek dat rechtstreeks van een betrokkene is ontvangen (bijvoorbeeld met betrekking tot toegang, rectificatie, verwijdering, beperking van verwerking, gegevensoverdraagbaarheid, bezwaar tegen gegevensverwerking, geautomatiseerde besluitvorming) zonder op dat verzoek te reageren, tenzij de gegevensimporteur is gemachtigd om doen
    3. C. indien de Gegevensimporteur of Gegevensverwerker krachtens het recht van de Europese Unie of van de lidstaat waaraan de Gegevensimporteur of Gegevensverwerker onderworpen is, verplicht is om de persoonsgegevens buiten de instructies van de Gegevensexporteur om te verwerken, alvorens een dergelijke verwerking verder uit te voeren dan de instructies, tenzij de wetgeving van de Europese Unie of van de lidstaat een dergelijke verwerking verbiedt om redenen van vitaal algemeen belang, in welk geval de kennisgeving aan de gegevensexporteur de wettelijke vereiste specificeert op grond van die wetgeving van de Europese Unie of van de lidstaat; of
    4. NS. als de Gegevensimporteur een inbreuk op persoonsgegevens vaststelt, uitsluitend vanwege zichzelf of zijn onderaannemer, die gevolgen zou hebben voor de persoonsgegevens van de Gegevensexporteur die onder dit contract vallen, in welk geval de Gegevensimporteur de Gegevensexporteur zal bijstaan ​​in zijn verplichting, ten opzichte van de toepasselijke wetgeving inzake gegevensbescherming, om de betrokkenen en, indien van toepassing, de toezichthoudende autoriteiten te informeren door de informatie waarover zij beschikt te verstrekken, in overeenstemming met artikel 33, lid 3, van de AVG.
    5. (v) Op verzoek van de gegevensexporteur is de gegevensimporteur verplicht de gegevensexporteur bij te staan ​​in zijn verplichting om een ​​gegevensbeschermingseffectbeoordeling uit te voeren die vereist kan zijn op grond van artikel 35 van de AVG en een voorafgaand overleg dat kan worden vereist door artikel 36 van de AVG met betrekking tot de diensten die door de gegevensimporteur aan de gegevensexporteur worden geleverd onder deze bijlage, het verstrekken van de nodige en informatie aan de gegevensexporteur. De Gegevensimporteur is alleen verplicht om dergelijke assistentie te verlenen als de Gegevensexporteur niet op een andere manier aan zijn verplichting kan voldoen. De Gegevensimporteur zal de Gegevensexporteur informeren over de kosten van dergelijke assistentie. Zodra de Gegevensexporteur heeft bevestigd deze kosten te kunnen dragen, zal de Gegevensimporteur de Gegevensexporteur van deze hulp voorzien.
    6. (vi) Aan het einde van de levering van de diensten kan de Gegevensexporteur binnen een maand na de diensten verzoeken om teruggave van de persoonsgegevens die door de Gegevensimporteur op grond van deze Bijlage zijn verwerkt. Tenzij de wetgeving van de lidstaat of van de Europese Unie vereist dat de gegevensimporteur dergelijke persoonlijke gegevens opslaat of bewaart, zal de gegevensimporteur al dergelijke persoonlijke of niet-persoonlijke gegevens verwijderen na de periode van één maand, ongeacht of ze zijn teruggestuurd naar de Gegevensexporteur op zijn verzoek of niet.

 

3.3 Rechten van betrokkenen

  1.  
    1. (i) De Gegevensexporteur beheert en beantwoordt verzoeken van betrokkenen. Gegevensimporteur is niet verplicht rechtstreeks te reageren op de betrokkenen.
    2. (ii) Indien de Gegevensexporteur de hulp van de Gegevensimporteur nodig heeft bij het verwerken en beantwoorden van de verzoeken van de Betrokkene, zal de Gegevensexporteur een verdere instructie geven in overeenstemming met Clausule 3.1 (ii) van Deel 1. De Gegevensimporteur zal de Gegevensexporteur assisteren met de volgende passende en technische organisatorische maatregelen om als volgt te reageren op de verzoeken om de uitoefening van de rechten van betrokkenen zoals uiteengezet in hoofdstuk III van de AVG:
    3. A. Met betrekking tot verzoeken om informatie zal de Gegevensimporteur de Gegevensexporteur alleen de door artikel 13 en 14 van de PGRD vereiste informatie verstrekken waarover hij kan beschikken als de Gegevensexporteur deze niet zelf kan vinden.
    4. B. Met betrekking tot verzoeken om toegang (Artikel 15 van de AVG) zal de Gegevensimporteur de Gegevensexporteur alleen de informatie verstrekken die geacht wordt aan een betrokkene te worden verstrekt voor dat verzoek om toegang, waarover hij kan beschikken als de laatste kan het niet alleen vinden.
    5. C. Met betrekking tot verzoeken om rectificatie (Artikel 16 van de AVG), verzoeken om verwijdering (Artikel 17 van de AVG), beperking van verzoeken om verwerking (Artikel 18 van de AVG), of verzoeken om overdraagbaarheid (Artikel 20 van de AVG), en alleen indien de Gegevensexporteur de persoonsgegevens niet zelf kan corrigeren of wissen, beperken of doorgeven aan een andere derde, zal de Gegevensimporteur de Gegevensexporteur de mogelijkheid bieden om de betreffende persoonsgegevens te corrigeren of te wissen, te beperken of door te geven aan de andere derde, of indien dit niet mogelijk is, zal zij de hulp verlenen om de betreffende persoonsgegevens te corrigeren of te wissen, te beperken of door te geven aan de andere derde partij.
    6. NS. Met betrekking tot de kennisgeving met betrekking tot rectificatie, verwijdering of beperking van de verwerking (artikel 19 van de AVG), zal de gegevensimporteur de gegevensexporteur helpen door alle ontvangers van persoonsgegevens die door de gegevensimporteur als verwerkers zijn ingeschakeld, op de hoogte te stellen als de gegevensexporteur daarom verzoekt en als de Gegevensexporteur de situatie niet alleen kan verhelpen.
    7. e. Met betrekking tot het recht van verzet dat door een betrokkene wordt uitgeoefend (Artikelen 21 en 22 van de AVG) bepaalt de Gegevensexporteur of het verzet legitiem is en hoe ermee om te gaan.
    8. (iii) De assistentieverplichtingen van de gegevensimporteur zijn beperkt tot persoonsgegevens die worden verwerkt binnen zijn infrastructuur (bijv. databases, systemen, applicaties die eigendom zijn van of worden geleverd door de gegevensimporteur).
    9. (iv) De Gegevensexporteur zal bepalen of een Betrokkene de rechten van Betrokkenen zoals uiteengezet in Clausule 3.1 van dit Deel 1 mag uitoefenen en zal de Gegevensimporteur informeren over de mate waarin de assistentie gespecificeerd in Clausules 3.3 (ii), ( iii) van deel 1 is noodzakelijk.
    10. (v) Als de Gegevensexporteur aanvullende of gewijzigde technische en organisatorische maatregelen verzoekt om te voldoen aan de rechten van betrokkenen die verder gaan dan de hulp die door de Gegevensimporteur wordt geboden onder subclausule 3.3 (ii), (iii) van Deel 1, De Importeur zal de Gegevensexporteur informeren over de kosten van het doorvoeren van dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen. Zodra de Gegevensexporteur heeft bevestigd deze kosten te kunnen dragen, zal de Gegevensimporteur dergelijke aanvullende of gewijzigde technische en organisatorische maatregelen treffen om de Gegevensexporteur te helpen bij het reageren op de verzoeken van de Betrokkenen.
    11. (vi) Zonder de reikwijdte van artikel 3.3 (v) van deel 1 te beperken, is de gegevensexporteur verplicht de gegevensimporteur te vergoeden voor de redelijke kosten die hij heeft gemaakt om te reageren op de verzoeken van de gegevenssubjecten.

 

3.4 Subverwerking

  1.  
    1. (i) De gegevensexporteur geeft toestemming voor het gebruik door de gegevensimporteur van onderaannemers voor de levering van diensten op grond van deze bijlage. De Gegevensimporteur zal deze Gegevensverwerker(s) zorgvuldig selecteren. De Gegevensexporteur keurt de Gegevensverwerker(s) goed die zijn vermeld in Bijlage 1.1 aan het einde van Deel 2.
    2. (ii) De Gegevensimporteur draagt ​​zijn verplichtingen uit hoofde van deze Bijlage over aan de Gegevensverwerker(s) voor zover van toepassing op de uitbestede diensten.
    3. (iii) De Gegevensimporteur kan naar eigen goeddunken een andere geschikte en betrouwbare Gegevensverwerker(s) ontslaan, vervangen of aanstellen. Indien de Gegevensexporteur hier schriftelijk om verzoekt, moet de Gegevensimporteur de onderstaande procedure volgen:
  1.  
    1. A. De gegevensimporteur stelt de gegevensexporteur op de hoogte voordat er wijzigingen worden aangebracht in de lijst van gegevensverwerkers waarnaar wordt verwezen in clausule 3.4 (i) van deel 1. Als de gegevensexporteur geen bezwaar maakt onder clausule 3.4. (b) van deel 1 dertig dagen na ontvangst van de kennisgeving van de gegevensimporteur, worden de aanvullende gegevensverwerkers geacht te zijn geaccepteerd.
    2. B. Als de Gegevensexporteur een legitieme reden heeft om bezwaar te maken tegen een extra Gegevensverwerker, zal hij de Gegevensimporteur hiervan binnen dertig dagen na ontvangst van de kennisgeving van de Gegevensimporteur schriftelijk op de hoogte stellen en voordat de dienst van de Gegevensimporteur in werking wordt gesteld. Als de gegevensexporteur bezwaar maakt tegen het gebruik van een extra gegevensverwerker, kan de gegevensimporteur het bezwaar ongedaan maken door een van de volgende opties (naar eigen goeddunken te kiezen): (A) de gegevensimporteur annuleert zijn plannen om een ​​extra verwerker te gebruiken met betrekking tot de persoonsgegevens van de Gegevensexporteur; (B) de Gegevensimporteur de door de Gegevensexporteur gevraagde corrigerende maatregelen zal nemen in zijn bezwaar (het bezwaar annuleren) en de aanvullende verwerker zal gebruiken met betrekking tot de persoonsgegevens van de Gegevensexporteur;(C) de Gegevensimporteur kan ophouden met het verstrekken of de Gegevensexporteur kan ermee instemmen om (tijdelijk of permanent) geen gebruik te maken van een bepaald aspect van de dienst waarbij gebruik zou worden gemaakt van de verdere verwerker van de Gegevensexporteur door de Gegevensexporteur.
  1.  
    1. (iv) als de gegevensverwerker buiten de EU-EER is gevestigd in een land dat na een besluit van de Europese Commissie niet wordt erkend als een land dat een adequaat niveau van gegevensbescherming biedt, zal de gegevensimporteur de maatregelen nemen om te voldoen aan een adequaat niveau van gegevensbescherming in overeenstemming met de AVG (dergelijke maatregelen kunnen onder meer omvatten en - het gebruik van gegevensverwerkingscontracten op basis van de clausules van het EU-model, overdracht aan zelfgecertificeerde gegevensverwerkers in het kader van het EU-VS-beschermingsschild , of een soortgelijk programma).

 

3.5 Vervaldatum

De vervaldatum van deze Bijlage is gelijk aan de vervaldatum van het overeenkomstige Contract. Tenzij anders bepaald in deze Bijlage, zijn de rechten en plichten met betrekking tot beëindiging dezelfde als die vervat in het Contract.

 

4. Beperking van aansprakelijkheid

4.1 Elke partij handelt haar verplichtingen uit hoofde van deze Bijlage en de toepasselijke wetgeving inzake gegevensbescherming na.

4.2 Elke aansprakelijkheid met betrekking tot een schending van de verplichtingen uit hoofde van deze Bijlage of de toepasselijke wetgeving inzake gegevensbescherming is onderworpen aan en wordt beheerst door de aansprakelijkheidsbepalingen die zijn uiteengezet in of van toepassing zijn op het Contract, tenzij anders bepaald in deze Bijlage. Indien aansprakelijkheid wordt beheerst door de aansprakelijkheidsbepalingen uiteengezet in of van toepassing op het Contract, voor het berekenen van aansprakelijkheidslimieten of het bepalen van de toepassing van andere aansprakelijkheidsbeperkingen, wordt elke aansprakelijkheid die voortvloeit uit deze Bijlage geacht voort te komen uit het Contract.

 

5. Algemene bepalingen

5.1 Als er inconsistenties of discrepanties zijn tussen delen 1 en 2 van deze bijlage, prevaleert deel 2. In het bijzonder, zelfs in een dergelijk geval, blijft deel 1 dat eenvoudig verder gaat dan deel 2 (dwz de voorwaarden van standaardclausules) zonder het in tegenspraak te houden, geldig.

5.2 Als er een discrepantie ontstaat tussen de bepalingen van deze bijlage en die van andere contracten die de partijen binden, prevaleert deze bijlage met betrekking tot de gegevensbeschermingsverplichtingen van de partijen. In geval van twijfel of clausules in andere contracten betrekking hebben op de gegevensbeschermingsverplichtingen van partijen, prevaleert deze bijlage.

5.3 Indien enige bepaling van deze Bijlage ongeldig of niet-afdwingbaar is, blijft de rest van deze Bijlage volledig van kracht. De ongeldige of niet-afdwingbare bepaling zal (i) worden gewijzigd om de geldigheid en afdwingbaarheid ervan te verzekeren, met zoveel mogelijk behoud van de bedoeling van de partijen, of - indien dit niet mogelijk is - (ii) geïnterpreteerd alsof het ongeldige of niet-afdwingbare deel nooit onderdeel geweest van het contract. Het voorgaande is ook van toepassing indien er sprake is van een omissie in deze bijlage.

5.5 Voor zover nodig kunnen de partijen om wijzigingen in deel 1, clausule 3 (naleving van de lokale wetgeving) of andere delen van de bijlage verzoeken om te voldoen aan interpretaties, richtlijnen of bevelen die zijn uitgevaardigd door de bevoegde autoriteiten van de Unie of de Lidstaten, nationale handhavingsbepalingen of andere juridische ontwikkelingen met betrekking tot de AVG of andere voorwaarden voor delegatie aan entiteiten die betrokken zijn bij gegevensverwerking en specifiek met betrekking tot het gebruik van de modelcontractbepalingen in de AVG. De voorwaarden van de modelcontractbepalingen mogen niet worden gewijzigd of vervangen tenzij de Europese Commissie dit uitdrukkelijk goedkeurt (bijvoorbeeld door nieuwe adequate clausules en gegevensbeschermingsnormen).

5.6 Elke verwijzing in deze Bijlage naar de " Clausules " wordt geacht te verwijzen naar alle bepalingen van deze Bijlage, tenzij anders vermeld.

5.7 De rechtskeuze in Deel 2, artikel 9 is van toepassing op de gehele Overeenkomst.

 

6.  Persoonsgegevens die door de partijen worden verzonden en verwerkt voor persoonlijke doeleinden (overdracht van de gegevensbeheerder naar de gegevensbeheerder)

6.1 Partijen weten ten volle dat bepaalde persoonsgegevens worden overgedragen van de Gegevensexporteur naar de Gegevensimporteur en vice versa, en dat dergelijke gegevens door elke Partij voor haar eigen doeleinden worden verwerkt. Wat dergelijke persoonsgegevens betreft, heeft dit geen invloed op de overige bepalingen van deze Bijlage (behalve voor deze clausule 6).

6.2 De Gegevensexporteur kan persoonsgegevens met betrekking tot het personeel van de Gegevensimporteur overdragen aan de Gegevensimporteur, met inbegrip van informatie over beveiligingsincidenten, of andere documenten of bestanden die door de Gegevensexporteur zijn aangemaakt of opgesteld in verband met de Diensten geleverd door het personeel van de gegevensimporteur. De Gegevensimporteur kan dergelijke persoonsgegevens verwerken voor zijn eigen doeleinden, met name in zijn professionele relaties met het personeel van de Gegevensimporteur, voor kwaliteitscontrole en opleiding, of voor zakelijke doeleinden.

6.3. De Gegevensimporteur kan persoonsgegevens overdragen aan de Gegevensexporteur, waaronder de naam en contactgegevens van het personeel van de Gegevensimporteur. De Gegevensexporteur kan dergelijke persoonsgegevens voor eigen doeleinden verwerken.

6.4 Beide partijen zullen alle toepasselijke gegevensbeschermingswetten naleven, inclusief de AVG, bij het verzamelen, verwerken en gebruiken van dergelijke persoonlijke gegevens die van de andere partij zijn ontvangen op grond van clausule 1 van deel 1. Beide partijen zullen in het bijzonder passende beveiligingsmaatregelen nemen, op voorwaarde dat een niveau van bescherming dat vergelijkbaar is met de beveiligingsmaatregelen die zijn uiteengezet in aanhangsel 2 van deel 2. Elke toegang tot dergelijke persoonsgegevens wordt beperkt tot de noodzaak om ze te kennen.

6.5 Beide Partijen dienen dergelijke persoonsgegevens zo spoedig mogelijk na het bereiken van de doelstellingen te verwijderen.

Deel 2

 

BESLUIT VAN DE COMMISSIE

op 5 februari 2010

inzake modelcontractbepalingen voor de doorgifte van persoonsgegevens aan gegevensverwerkers die zijn gevestigd in derde landen op grond van Richtlijn 95/46/EG van het Europees Parlement en de Raad

 

 

 

Artikel 1

definities

In de zin van de clausules:

a) "persoonsgegevens", "bijzondere categorieën gegevens", "verwerking/verwerking", "verantwoordelijke", "verwerker", "betrokkene" en "toezichthoudende autoriteit" hebben dezelfde betekenis als in 95/46/EG Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1);

b) de 'Gegevensexporteur' is de gegevensbeheerder die de persoonsgegevens overdraagt;

c) de 'Gegevensimporteur' is de Gegevensverwerker die ermee instemt om van de Gegevensexporteur persoonsgegevens te ontvangen die bedoeld zijn om namens de Gegevensexporteur te worden verwerkt na de overdracht in overeenstemming met zijn instructies en onder de voorwaarden van deze clausules en die niet onderworpen aan het mechanisme van een derde land dat passende bescherming waarborgt in de zin van artikel 25, lid 1, van Richtlijn 95/46/EG; (d) 'Gegevensverwerker': de gegevensverwerker die is ingeschakeld door de gegevensimporteur of door een andere gegevensverwerker van de gegevensimporteur die ermee instemt om van de gegevensimporteur of een andere gegevensverwerker van de gegevensimporteur persoonsgegevens te ontvangen, uitsluitend voor verwerkingsactiviteiten om worden uitgevoerd namens de Gegevensexporteur na de overdracht in overeenstemming met de instructies van de Gegevensexporteur,onder de voorwaarden uiteengezet in deze clausules en onder de voorwaarden van de schriftelijke uitbesteding van het gegevensverwerkingscontract;

e) "toepasselijke wetgeving inzake gegevensbescherming": de wetgeving ter bescherming van de fundamentele rechten en vrijheden van personen, met inbegrip van het recht op privacy met betrekking tot de verwerking van persoonsgegevens, en die van toepassing is op een verwerkingsverantwoordelijke in de lidstaat waar de gegevensexporteur is gevestigd;

f) "technische en organisatorische maatregelen met betrekking tot beveiliging" betekent maatregelen die bedoeld zijn om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens via netwerken omvat, en tegen alle andere onwettige vormen van verwerking.

Artikel 2

Details van de overdracht

De details van de doorgifte, met inbegrip van, in voorkomend geval, bijzondere categorieën van persoonsgegevens, worden gespecificeerd in Bijlage 1, die een integrerend deel uitmaakt van deze clausules.

Artikel 3

Derde-begunstigde clausule

1. De betrokkene kan deze clausule, clausule 4(b) tot (i), clausule 5(a) tot (e) en (g) tot (j), clausule 6 (1) en (2 ), Clausule 7, Clausule 8(2) en Clausules 9 tot 12 als derde-begunstigde

2. De betrokkene kan deze clausule, clausule 5 (a) tot (e) en (g), clausule 6, clausule 7, clausule 8 (2) en clausules 9 tot 12 afdwingen tegen de gegevensimporteur wanneer de gegevensexporteur fysiek van rechtswege is verdwenen of heeft opgehouden te bestaan, tenzij al zijn wettelijke verplichtingen contractueel of van rechtswege zijn overgedragen aan de rechtsopvolger, op wie de rechten en plichten van de Gegevensexporteur dus terugvallen, en waartegen de gegevens subject kan dus de genoemde clausules afdwingen.

De betrokkene kan deze clausule, clausule 5 (a) tot (e) en (g), clausule 6, clausule 7, clausule 8 (2) en clausules 9 tot 12 tegen de gegevensverwerker afdwingen, maar alleen in gevallen waarin de gegevens Exporteur en de Data-importeur fysiek zijn verdwenen, van rechtswege opgehouden te bestaan ​​of insolvent zijn geworden, tenzij alle wettelijke verplichtingen van de Data-exporteur contractueel of van rechtswege zijn overgedragen aan de rechtsopvolger, aan wie de rechten en verplichtingen van de Gegevensexporteur rusten daarom en tegen wie de betrokkene dergelijke clausules kan afdwingen. Een dergelijke aansprakelijkheid van de gegevensverwerker moet worden beperkt tot zijn eigen verwerkingsactiviteiten onder deze clausules.

4. Partijen hebben er geen bezwaar tegen dat de betrokkene wordt vertegenwoordigd door een vereniging of ander orgaan als hij of zij dat wil en als het nationale recht dit toelaat.

Artikel 4

Verplichtingen van de gegevensexporteur

De Gegevensexporteur aanvaardt en garandeert het volgende:

a) de verwerking, met inbegrip van de feitelijke overdracht van persoonsgegevens, is en zal worden uitgevoerd in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is gemeld aan de bevoegde autoriteiten van de lidstaat waarin de Gegevensexporteur is gevestigd) en de relevante bepalingen van die Staat niet schendt;

b) zij hebben opdracht gegeven, en zullen gedurende de duur van de diensten voor de verwerking van persoonsgegevens, opdracht geven aan de gegevensimporteur om de overgedragen persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en deze clausules te verwerken;

c) de Gegevensimporteur zal zorgen voor voldoende waarborgen met betrekking tot de technische en organisatorische beveiligingsmaatregelen vermeld in Bijlage 2 van dit contract;

d) na evaluatie van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, de veiligheidsmaatregelen toereikend zijn om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens omvat over een netwerk, en tegen alle andere onrechtmatige vormen van verwerking en zorgen voor een beveiligingsniveau dat past bij de risico's die de verwerking met zich meebrengt en de aard van de te beschermen gegevens, gelet op het niveau van de technologie en de uitvoeringskosten;

e) zij zullen toezien op de naleving van beveiligingsmaatregelen;

f) indien de doorgifte betrekking heeft op bijzondere categorieën gegevens, de betrokkene vóór de doorgifte of zo spoedig mogelijk na de doorgifte is geïnformeerd of zal worden geïnformeerd dat zijn of haar gegevens mogen worden doorgegeven aan een derde land dat geen een passend beschermingsniveau in de zin van Richtlijn 95/46/EG;

g) zij zullen elke kennisgeving ontvangen van de gegevensimporteur of een gegevensverwerker op grond van clausules 5 (b) en 8 (3) doorsturen naar de toezichthoudende autoriteit voor gegevensbescherming als deze besluit door te gaan met de overdracht of de schorsing op te heffen;

h) zij stellen de betrokkenen desgevraagd een kopie van deze clausules ter beschikking, met uitzondering van Bijlage 2, en een beknopte beschrijving van de beveiligingsmaatregelen, en een kopie van elke verdere onderaannemingsovereenkomst, gesloten onder deze clausules, tenzij de Clausules of de overeenkomst bevatten commerciële informatie, in welk geval hij deze informatie kan intrekken;

i) in het geval van uitbesteding van het gegevensverwerkingsproces, wordt de verwerkingsactiviteit uitgevoerd in overeenstemming met clausule 11 door een gegevensverwerker die ten minste hetzelfde niveau van bescherming van persoonsgegevens en de rechten van de betrokkene biedt als de gegevensimporteur onder deze clausules ; en

j) het zal zorgen voor naleving van Clausule 4 (a) tot (i).

Artikel 5

Verplichtingen van de gegevensimporteur

De gegevensimporteur accepteert en garandeert het volgende:

a) zij de persoonsgegevens alleen verwerken namens de Gegevensexporteur en volgens de instructies van de Gegevensexporteur en deze clausules; als hij om welke reden dan ook niet kan voldoen, stemt hij ermee in de Gegevensexporteur zo snel mogelijk op de hoogte te stellen van zijn onmogelijkheid, in welk geval de Gegevensexporteur de gegevensoverdracht kan opschorten en/of het contract kan beëindigen;

b) ze geen reden hebben om aan te nemen dat de wet die op hen van toepassing is, hem verhindert om de instructies van de gegevensexporteur en de verplichtingen die op hem rusten krachtens het contract na te komen, en als die wet onderhevig is aan een wijziging die een wezenlijk nadelig effect zou kunnen hebben gevolgen heeft voor de garanties en verplichtingen uit hoofde van de Clausules, zal hij de Gegevensexporteur onverwijld van de wijziging op de hoogte stellen nadat hij hiervan kennis heeft gekregen, in welk geval de Gegevensexporteur de gegevensoverdracht kan opschorten en/of het contract kan beëindigen; (c) zij hebben de in aanhangsel 2 gespecificeerde technische en organisatorische beveiligingsmaatregelen geïmplementeerd alvorens de doorgegeven persoonsgegevens te verwerken;

d) zij zullen de Gegevensexporteur onverwijld op de hoogte stellen:

i) elk bindend verzoek om openbaarmaking van persoonsgegevens van een wetshandhavingsinstantie, tenzij anders aangegeven, zoals een strafrechtelijk verbod gericht op het bewaren van de geheimhouding van een politieonderzoek;

ii) incidentele of ongeoorloofde toegang; en

iii) elk verzoek dat rechtstreeks van de betrokken personen is ontvangen zonder erop te antwoorden, tenzij hij daartoe is gemachtigd; beheerders

e) zij zullen alle vragen van de gegevensexporteur met betrekking tot de verwerking van de overgedragen persoonsgegevens onmiddellijk en correct behandelen en handelen naar het oordeel van de toezichthoudende autoriteit met betrekking tot de verwerking van de overgedragen gegevens;

f) zij zullen op verzoek van de Gegevensexporteur zijn gegevensverwerkingsfaciliteiten onderwerpen aan een audit van de verwerkingsactiviteiten die onder deze clausules vallen, uitgevoerd door de Gegevensexporteur of een toezichthoudend orgaan bestaande uit onafhankelijke leden met de vereiste beroepskwalificaties, onderworpen aan een geheimhoudingsplicht en gekozen door de Gegevensexporteur, in voorkomend geval met instemming van de toezichthoudende autoriteit;

g) zij zullen de betrokkene, indien hij daarom verzoekt, een kopie van deze clausules of een bestaande onderaanneming van het gegevensverwerkingscontract ter beschikking stellen, tenzij de clausules of het contract commerciële informatie bevatten, in welk geval hij deze kan verwijderen informatie, met uitzondering van Bijlage 2, die zal worden vervangen door een beknopte beschrijving van de beveiligingsmaatregelen, wanneer de betrokkene geen kopie kan krijgen van de Gegevensexporteur;

h) in geval van vertrouwelijke verdere uitbesteding van de gegevensverwerking, zal hij ervoor zorgen dat hij de Gegevensexporteur vooraf informeert en de schriftelijke toestemming van de Gegevensexporteur verkrijgt;

i) de verwerkingsdiensten die door de gegevensverwerker worden geleverd, voldoen aan clausule 11;

j) zij zullen onverwijld een kopie sturen van eventuele onderaanneming van de gegevensverwerkingsovereenkomst die door hem is aangegaan onder deze clausules naar de Gegevensexporteur.

Artikel 6

Verantwoordelijkheid

1. Partijen komen overeen dat iedere betrokkene die schade heeft geleden als gevolg van een schending van de verplichtingen genoemd in artikel 3 of artikel 11 door een partij of door een gegevensverwerker, van de gegevensexporteur een vergoeding kan krijgen voor de geleden schade.

2. Indien een betrokkene verhinderd is om een ​​vordering tot schadevergoeding als bedoeld in lid 1 tegen de Gegevensexporteur in te stellen wegens het niet nakomen door de Gegevensimporteur of diens Gegevensverwerker om te voldoen aan een van zijn verplichtingen op grond van artikel 3 of artikel 11 omdat de Gegevens Exporteur fysiek is verdwenen, wettelijk opgehouden te bestaan ​​of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een klacht tegen hem kan indienen als ware hij de gegevensexporteur, tenzij alle wettelijke verplichtingen van de gegevensexporteur contractueel zijn overgedragen of van rechtswege aan zijn opvolger, waartegen de betrokkene dan zijn rechten kan doen gelden. De gegevensimporteur mag zich niet beroepen op een schending van zijn verplichtingen door een gegevensverwerker om zijn eigen aansprakelijkheid te vermijden.

3. Indien een betrokkene verhinderd is de in lid 1 en 2 bedoelde actie tegen de Gegevensexporteur of de Gegevensimporteur in te stellen wegens schending door de Gegevensverwerker van zijn verplichtingen op grond van artikel 3 of artikel 11 omdat de gegevensexporteur en de gegevensimporteur fysiek zijn verdwenen, opgehouden te bestaan ​​of insolvent zijn geworden, stemt de gegevensverwerker ermee in dat de betrokkene een klacht tegen hem kan indienen met betrekking tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules alsof hij de gegevensexporteur of gegevensimporteur is, tenzij alle wettelijke verplichtingen van de Gegevensexporteur of Gegevensimporteur zijn contractueel of van rechtswege overgedragen aan de rechtsopvolger, tegen wie de betrokkene dan zijn rechten kan doen gelden.De aansprakelijkheid van de gegevensverwerker moet worden beperkt tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules.

 

Artikel 7

Bemiddeling en jurisdictie

1. De Gegevensimporteur stemt ermee in dat indien de betrokkene op grond van de clausules het recht van de derde-begunstigde tegen hem inroept en/of vergoeding van de geleden schade eist, hij de beslissing van de betrokkene zal aanvaarden:

a) het geschil voor te leggen aan bemiddeling door een onafhankelijk persoon of, in voorkomend geval, de toezichthoudende autoriteit;

b) het geschil voor te leggen aan de rechtbanken van de lidstaat waar de gegevensexporteur is gevestigd.

2. Partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan het procedurele of materiële recht van de betrokkene om verhaal te halen in overeenstemming met andere bepalingen van nationaal of internationaal recht.

Artikel 8

Samenwerking met toezichthoudende autoriteiten

1. De gegevensexporteur stemt ermee in een kopie van dit contract bij de toezichthoudende autoriteit te deponeren als deze dit vereist of als een dergelijke deponering wordt voorzien door de toepasselijke wetgeving inzake gegevensbescherming.

2. De partijen komen overeen dat de toezichthoudende autoriteit controles mag uitvoeren bij de Gegevensimporteur en elke Gegevensverwerker in dezelfde mate en onder dezelfde voorwaarden als bij controles die worden uitgevoerd bij de Gegevensexporteur in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming.

3. De gegevensimporteur stelt de gegevensexporteur zo spoedig mogelijk op de hoogte van het bestaan ​​van wetgeving met betrekking tot de gegevensimporteur of een gegevensverwerker die verificatie bij de gegevensimporteur of een gegevensverwerker in overeenstemming met lid 2 verhindert. Gegevensexporteur kan de in artikel 5 (b) genoemde maatregelen nemen.

Artikel 9

Toepasselijk recht:

De clausules zijn van toepassing en worden beheerst door het recht van de lidstaat waar de Gegevensexporteur is gevestigd.

Artikel 10

Wijziging van het contract

De partijen verbinden zich ertoe de huidige clausules niet te wijzigen. Het staat de partijen vrij om andere commerciële clausules op te nemen die ze nodig achten, op voorwaarde dat ze niet in strijd zijn met de huidige clausules.

Artikel 11

Latere onderaanneming

1. De Gegevensimporteur besteedt geen van zijn verwerkingsactiviteiten die onder deze clausules worden uitgevoerd namens de Gegevensexporteur uit zonder de voorafgaande schriftelijke toestemming van de Gegevensexporteur. De gegevensimporteur zal zijn verplichtingen uit hoofde van deze clausules alleen uitbesteden, met toestemming van de gegevensexporteur, door middel van een schriftelijke overeenkomst met de gegevensverwerker die aan de gegevensverwerker dezelfde verplichtingen oplegt als die welke krachtens deze clausules aan de gegevensimporteur worden opgelegd. Als de gegevensverwerker niet kan voldoen aan zijn verplichtingen op het gebied van gegevensbescherming op grond van die schriftelijke overeenkomst, blijft de gegevensimporteur volledig verantwoordelijk jegens de gegevensexporteur voor de nakoming van die verplichtingen.

2. De voorafgaande schriftelijke overeenkomst tussen de gegevensimporteur en de gegevensverwerker bevat ook een derdebegunstigdeclausule zoals uiteengezet in clausule 3 voor gevallen waarin de betrokkene verhinderd is om de in clausule 6 bedoelde vordering tot schadevergoeding in te dienen (1 ), tegen de gegevensexporteur of gegevensimporteur omdat de gegevensexporteur of gegevensimporteur fysiek is verdwenen, opgehouden te bestaan ​​in de wet of insolvent is geworden en alle wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur niet zijn overgedragen, contractueel of door operatie van rechtswege, aan een andere opvolgende entiteit. De aansprakelijkheid van de gegevensverwerker moet worden beperkt tot zijn eigen verwerkingsactiviteiten in overeenstemming met deze clausules.

3. De bepalingen met betrekking tot de gegevensbeschermingsaspecten van uitbesteding van de gegevensverwerking van het in lid 1 bedoelde contract worden beheerst door het recht van de lidstaat waar de gegevensexporteur is gevestigd.

4. De gegevensexporteur houdt een lijst bij van de uitbesteding van de gegevensverwerkingsovereenkomsten die op grond van deze clausules zijn gesloten en die door de gegevensimporteur zijn gemeld in overeenstemming met clausule 5 (j), die ten minste eenmaal per jaar wordt bijgewerkt. Deze lijst wordt beschikbaar gesteld aan de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

Artikel 12

Verplichting na beëindiging van diensten voor de verwerking van persoonsgegevens

1. Partijen komen overeen dat de Gegevensimporteur en de Gegevensverwerker na voltooiing van de gegevensverwerkingsdiensten, op het verzoek van de Gegevensexporteur, alle overgedragen persoonsgegevens en kopieën daarvan aan de Gegevensexporteur zullen teruggeven, of al deze gegevens vernietigen en bewijs leveren de vernietiging aan de Gegevensimporteur, tenzij wetgeving opgelegd aan de Gegevensimporteur hem verhindert om alle of een deel van de overgedragen persoonsgegevens terug te geven of te vernietigen. In dat geval garandeert de Gegevensimporteur dat hij de vertrouwelijkheid van de overgedragen persoonsgegevens zal waarborgen en dat hij de gegevens niet langer actief zal verwerken.

2. De Gegevensimporteur en de Gegevensverwerker dragen er zorg voor dat zij op verzoek van de Gegevensexporteur en/of de toezichthoudende autoriteit hun gegevensverwerkingsmiddelen onderwerpen aan verificatie van de in lid 1 genoemde maatregelen.

 

 

 

 

Bijlage 1.1 bij deel 2

Details van de overdracht

 

 

Gegevensexporteur

De Gegevensexporteur is de Klant zoals gedefinieerd in de Contractuele overeenkomst.

 

Gegevensimporteur

De gegevensimporteur is POSTCODEZIP en is toegewezen om de gegevens te verwerken en diensten te verlenen aan de gegevensexporteur.

 

Onderwerpen van de gegevens

De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën van betrokkenen:

een?? telefoonabonnees vermeld in het universele telefoonboek

â˜' Anderen, waaronder:

 

Categorieën van gegevens

De overgedragen persoonsgegevens hebben betrekking op de volgende categorieën gegevens:

 

Categorieën persoonsgegevens van met name de betrokkenen van de Gegevensexporteur,

een?? Voor-en achternaam

â˜' Postadres

een?? Contactgegevens (e-mail, telefoon, IP-adres, etc.)

een?? Details van marketingactiviteiten met betrekking tot de telefoonabonnee

â˜' Anderen, inclusief het type huisvesting, inkomen en gemiddelde leeftijden door de stad anoniem gemaakt

 

Bijzondere gegevenscategorieën (indien van toepassing)

De overgedragen persoonsgegevens hebben betrekking op de volgende bijzondere gegevenscategorieën:

â˜' De overdracht van speciale categorieën gegevens is niet voorzien

een?? Ras of etnische afkomst

een?? Religieuze of filosofische overtuigingen

een?? Vakbondslidmaatschap

een?? Politieke standpunten

een?? Genetische informatie

een?? Biometrische informatie

een?? Informatie over seksuele geaardheid of seksuele leven

een?? Gezondheidsgegevens

 

Verwerkingsactiviteiten

De overgedragen persoonsgegevens zijn onderworpen aan de volgende basisverwerkingsactiviteiten:

 

  •  
    • •  Doel van de verwerking

De verwerking die namens de gegevensexporteur wordt uitgevoerd, is met name gebaseerd op de volgende onderwerpen:

â˜' Verantwoordelijkheid nemen voor de producten of diensten die worden aangeboden door de Gegevensexporteur

â˜' Het aanbod van een product of dienst waar de gebelde persoon om kan vragen

â˜' Opgenomen bestellingen van de opgeroepen personen en verdere verwerking van deze bestellingen

â˜' Vragenlijsten en analyses bestuderen

" Telemarketing"

een?? Anderen, waaronder:

 

  •  
    • •  Aard en doel van de verwerking

De Gegevensimporteur verwerkt de persoonsgegevens van de betrokkenen namens de Gegevensexporteur, om de volgende diensten te verlenen, en met name:

  • â˜' Automatisch invullen van formulieren
  • â˜' Validatieformulier voor adressen

â˜' Verkoop en Marketing

â˜' Anderen, waaronder het bijwerken van databases van gemeentehuizen en politieke partijen

 

  •  
    • •  Dienstverlening en inzet van dienstverleners

 

POSTCODEZIP combineert, centraliseert en levert voornamelijk diensten aan de gegevensexporteur. De diensten die door de genoemde dienstverlener worden geleverd, kunnen (onder meer indien van toepassing) zijn gestructureerd rond de volgende ondersteunende diensten: (i) levering van applicaties, tools, systemen en IT-infrastructuur met betrekking tot de gebruikte dataverwerkingscentra, om en ondersteuning van de diensten, inclusief de verwerking van de persoonsgegevens van de betrokkenen zoals hierboven beschreven, via dergelijke applicaties, tools en systemen, (ii) het verlenen van IT-ondersteuning, onderhoud en andere diensten met betrekking tot dergelijke applicaties, tools, systemen en IT-infrastructuur, inclusief mogelijke toegang tot persoonlijke gegevens die zijn opgeslagen in dergelijke applicaties, tools en systemen, en (iii) het verstrekken van gegevensbeschermingsdiensten, beschermingsbewaking en incidentresponsdiensten,inclusief mogelijke toegang tot persoonsgegevens bij het verlenen van dergelijke beschermingsdiensten. POSTCODEZIP kan gegevensverwerkers inschakelen zoals hieronder uiteengezet om de services te leveren, inclusief ondersteunende services.

 

  •  
    • • Externe externe dienstverleners als subentiteiten die zijn toegewezen aan gegevensverwerking

 

POSTCODEZIP schakelt externe en externe dienstverleners in, die geen dochterondernemingen zijn van POSTCODEZIP, om de levering van diensten aan de Gegevensexporteur te ondersteunen. De Gegevensexporteur keurt dergelijke externe externe dienstverleners goed als subentiteiten die zijn toegewezen aan gegevensverwerking.

 

Als een subentiteit die betrokken is bij de gegevensverwerking zich buiten de EU/EER bevindt, in een land dat op grond van een besluit van de Europese Commissie geacht wordt geen adequaat niveau van gegevensbescherming te hebben, zal de gegevensimporteur stappen ondernemen om een ​​adequaat niveau van gegevensbescherming te verkrijgen. gegevensbescherming in overeenstemming met de AVG en sectie 3.4 (iv) van deel 1.

 

 

Bijlage 2, deel 2

Technische en organisatorische beschermingsmaatregelen

 

De Gegevensimporteur zal de volgende door de Gegevensexporteur bevestigde technische en organisatorische beschermingsmaatregelen nemen om een ​​passend beveiligingsniveau voor de rechten en vrijheden van personen te garanderen, afhankelijk van de risico's. Bij de beoordeling van het betreffende beschermingsniveau heeft de gegevensexporteur met name rekening gehouden met de risico's die aan de verwerking zijn verbonden, met inbegrip van onopzettelijke of onwettige vernietiging, wijziging, ongeoorloofde openbaarmaking of toegang tot doorgestuurde, opgeslagen of anderszins verwerkte persoonsgegevens. Ter verduidelijking: Deze technische en organisatorische beschermingsmaatregelen zijn niet van toepassing op de applicaties, tools, systemen en/of IT-infrastructuur die door de Gegevensexporteur worden geleverd.

1 Algemene technische en organisatorische beschermingsmaatregelen

1.1 Algemene informatie en strategieën voor gegevensbescherming

De volgende stappen moeten worden genomen om algemene strategieën voor gegevens- en informatiebescherming te volgen:

  • a) maatregelen nemen om de maatregelen te evalueren die zijn genomen met betrekking tot technische en organisatorische bescherming;
  • b) trainingen geven om het bewustzijn van medewerkers te vergroten;
  • c) een beschrijving hebben van de betreffende systemen en toegang verlenen aan medewerkers;
  • d) een formeel documentatieproces opzetten wanneer systemen worden geïmplementeerd of gewijzigd;
  • e) het documenteren van de organisatiestructuur, processen, verantwoordelijkheden en respectieve evaluaties;

1.2 Organisatie van informatiebescherming

De volgende maatregelen moeten worden genomen om de activiteiten op het gebied van gegevens- en informatiebescherming te coördineren:

  • a) gedefinieerde verantwoordelijkheden voor de bescherming van informatie en gegevens (bijvoorbeeld via het beleid inzake gegevensbeschermingsbeheer);
  • b) de nodige expertise over het beschermen van informatie en gegevens die beschikbaar blijven;
  • c) alle medewerkers zetten zich in om ervoor te zorgen dat persoonlijke gegevens vertrouwelijk worden behandeld en zijn geïnformeerd over de mogelijke gevolgen van het schenden van deze verbintenis.

1.3 Toegangscontrole tot verwerkingsruimten

De volgende maatregelen moeten worden genomen om te voorkomen dat onbevoegden toegang krijgen tot gegevensverwerkingssystemen (met name software en hardware) wanneer persoonsgegevens worden verwerkt, opgeslagen of verzonden:

  • a) veilige gebieden instellen;
  • b) de toegang tot gegevensverwerkingssystemen beschermen en beperken;
  • c) toegangsautorisaties voor werknemers en derden vast te stellen, inclusief de respectieve documenten;
  • d) elke toegang tot gegevensverwerkingscentra waarin persoonsgegevens zijn opgeslagen, wordt gelogd.

1.4 Toegangscontrole tot gegevensverwerkingssystemen

Om onbevoegde toegang tot gegevensverwerkingssystemen te voorkomen, moeten de volgende maatregelen worden genomen:

  • a) beleid en procedures voor gebruikersauthenticatie;
  • b) het gebruik van wachtwoorden op alle computersystemen;
  • c) voor toegang op afstand tot het netwerk is multi-factor authenticatie vereist en wordt aan de betrokkene verleend in overeenstemming met zijn verantwoordelijkheden en na autorisatie;
  • d) toegang tot specifieke functies is gebaseerd op functiefuncties en/of attributen die individueel zijn toegewezen aan een gebruikersaccount;
  • e) toegangsrechten met betrekking tot persoonsgegevens worden regelmatig herzien;
  • f) registers van wijzigingen in toegangsrechten worden up-to-date gehouden.

1.5 Beheersing van de toegang tot bepaalde gebruiksgebieden van gegevensverwerkingssystemen

De volgende maatregelen moeten worden genomen om ervoor te zorgen dat bevoegde personen met het recht om het gegevensverwerkingssysteem te gebruiken alleen toegang hebben tot gegevens binnen hun respectieve verantwoordelijkheden en toegangsautorisaties en dat persoonlijke gegevens niet zonder toestemming kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd:

  1. 1. 
    1. a) beleid, instructies en training van werknemers met betrekking tot de verplichtingen van elk van hen met betrekking tot vertrouwelijkheid, rechten op toegang tot persoonlijke gegevens en de reikwijdte van de verwerking van persoonlijke gegevens;
  • b) disciplinaire maatregelen tegen personen die zonder toestemming toegang hebben tot persoonsgegevens;
  • c) toegang tot persoonsgegevens wordt alleen verleend aan bevoegde personen, op een 'need-to-know'-basis;
  • d) een lijst van systeembeheerders bijhouden en passende maatregelen nemen om systeembeheerders te controleren;
  • e) geen persoonsgegevens te kopiëren of te reproduceren op enig opslagsysteem om onbevoegden in staat te stellen de informatie van de afzender te verwijderen;
  • f) gecontroleerde en gedocumenteerde verwijdering of vernietiging van gegevens;
  • g) om alle persoonlijke gegevens die om wettelijke of regelgevende redenen moeten worden bewaard (bijv. verplichtingen om gegevens te bewaren) veilig op te slaan, en alleen voor zo lang als wettelijk vereist.

1.6 Transmissieregeling

De volgende maatregelen moeten worden genomen om te voorkomen dat persoonlijke gegevens worden gelezen, gekopieerd, gewijzigd of verwijderd door onbevoegde derden tijdens de verzending of het transport van gegevensopslagapparaten (afhankelijk van de uitgevoerde verwerking van persoonlijke gegevens):

  1. 1. 
    1. a) gebruik van firewalls;
  • b) het vermijden van de opslag van persoonsgegevens op mobiele opslagapparaten voor transportdoeleinden, of het versleutelen van de apparaten;
  • c) gebruik op laptops en andere mobiele apparaten alleen nadat de encryptiebeveiliging is geactiveerd;
  • d) het loggen van overdrachten van persoonsgegevens.

1.7 Controle gegevensinvoer

Om te controleren en te bepalen of persoonsgegevens zijn ingevoerd of verwijderd uit gegevensverwerkingssystemen en door wie, moeten de volgende maatregelen worden genomen:

  1. 1. 
    1. a) een beleid voor het autoriseren van het lezen, wijzigen en verwijderen van opgeslagen gegevens;
  • b) beschermingsmaatregelen met betrekking tot het lezen, wijzigen en verwijderen van opgeslagen gegevens.

1.8 Werkcontrole

In het geval van gedelegeerde verwerking van persoonsgegevens moeten de volgende maatregelen worden genomen om ervoor te zorgen dat deze gegevens worden verwerkt in overeenstemming met de instructies van de Toezichthouder:

  1. 1. 
    1. a) entiteiten of subentiteiten die zijn toegewezen aan gegevensverwerking, met zorg gekozen (dienstverleners die persoonsgegevens verwerken namens de verwerkingsverantwoordelijke);
  • b) instructies met betrekking tot de reikwijdte van elke verwerking van persoonsgegevens aan de werknemers, entiteiten of subentiteiten die aan de gegevensverwerking zijn toegewezen;
  • c) auditrechten overeengekomen met de entiteiten of subentiteiten die aan de gegevensverwerking zijn toegewezen;
  • d) overeenkomsten met de entiteiten of subentiteiten die zijn toegewezen om de gegevens te verwerken.

1.9 Scheiding van verwerking voor andere doeleinden

Om ervoor te zorgen dat gegevens die voor andere doeleinden zijn verzameld, afzonderlijk kunnen worden verwerkt, moeten de volgende maatregelen worden genomen:

  1. 1. 
    1. a) afzonderlijke toegang tot persoonsgegevens in overeenstemming met de bestaande rechten van gebruikers;
  • b) interfaces, batchverwerking en rapportage zijn voor andere doeleinden en functies, zodat voor andere doeleinden verzamelde gegevens afzonderlijk kunnen worden verwerkt.

1.10 Pseudonimisering

De volgende maatregelen moeten worden genomen met betrekking tot de pseudonimisering van persoonsgegevens:

  1. 1. 
    1. a) Indien de Gegevensexporteur een specifieke verwerkingshandeling opdraagt ​​of indien dit door de Gegevensimporteur passend wordt geacht in overeenstemming met de geldende gegevensbeschermingswetten met betrekking tot bepaalde verwerkingsactiviteiten, zal de verwerking van persoonsgegevens op een zodanige manier worden uitgevoerd dat de gegevens zijn zonder het gebruik van aanvullende informatie niet meer aan een bepaalde persoon te herleiden. Deze aanvullende informatie wordt apart bewaard;
  • b) gebruik van pseudonimiseringstechnieken, waaronder randomisatie van toewijzingslijsten; waardecreatie in de vorm van scherpe punten.

1.11 Encryptie

De volgende stappen moeten worden genomen om persoonlijke gegevens te versleutelen in toepassingen en transmissies die versleuteling ondersteunen:

  1.  
    1. a) gebruik van encryptietechnieken;
  • b) het opzetten van coderingsbeheer ter ondersteuning van de geautoriseerde coderingstechnieken;
  • c) ondersteuning van het gebruik van cryptografie door middel van procedures en protocollen voor het genereren, wijzigen, intrekken, vernietigen, distribueren, certificeren, opslaan, vastleggen, gebruiken en archiveren van cryptografische sleutels ter bescherming tegen ongeoorloofde wijziging en openbaarmaking.

1.12 Volledigheid van gegevensverwerkingssystemen en -diensten

Om de volledigheid van systemen en diensten voor gegevensverwerking te waarborgen, moeten de volgende maatregelen worden genomen:

  1. 1. a) bescherming van gegevensverwerkingssystemen tegen manipulatie of vernietiging met passende middelen (bijv. antivirussoftware, software ter voorkoming van gegevensverlies en software tegen malware, softwarepatches, firewalls en beheerde desktopbescherming);
  • b) de installatie van een dienst of software die schadelijk is voor gegevensverwerkingssystemen, diensten of de manipulatie van persoonlijke gegevens te verbieden;
  • c) gebruik van een netwerkinbraakdetectie- en preventiesysteem in de structuur van het netwerk zelf.

1.13 Beschikbaarheid van gegevensverwerkingssystemen en -diensten en de mogelijkheid om bij een materieel of technisch incident de toegang tot en het gebruik van persoonsgegevens te herstellen

De volgende maatregelen moeten worden genomen om de beschikbaarheid van gegevensverwerkingssystemen te waarborgen, evenals om de beschikbaarheid van en toegang tot persoonsgegevens snel te kunnen herstellen in het geval van een materieel of technisch incident (met name door ervoor te zorgen dat persoonsgegevens zijn beschermd tegen onopzettelijke vernietiging of verlies):

  • a) controlemiddelen hebben voor het bewaren van back-upkopieën en het herstellen van verloren of verwijderde gegevens;
  • b) infrastructurele redundantie en prestatietests;
  • c) fysieke bescherming van computerbronnen;
  • d) gebruik van tools om de status en beschikbaarheid van het interne netwerk te monitoren;
  • e) beleid voor incidentrapportage en respons dat de incidentbeheerprocedure regelt, en herhaling van de naleving van dit beleid als onderdeel van regelmatige training;
  • f) back-ups (soms off-site) om het systeem te herstellen zodat het zijn functies weer kan uitvoeren;
  • g) plannen voor bedrijfscontinuïteit/noodherstel

1.14 Veerkracht van gegevensverwerkingssystemen en -diensten

De volgende maatregelen moeten worden genomen om de veerkracht van gegevensverwerkingssystemen en -diensten te waarborgen:

  • a) systemen en harmonieus geconfigureerd, met behulp van goedgekeurde beveiligingsparameters;
  • b) netwerkredundantie;
  • c) inperkingsbeveiliging van kritieke systemen.

1.15 Procedure voor het regelmatig testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen om de beveiliging van gegevensverwerking te waarborgen

Procedure voor het regelmatig testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen ter bescherming van gegevensverwerking.

  • a) de nodige stappen nemen om risico's en mitigatiestrategieën te beoordelen;
  • b) service-analysevergaderingen van de IT-afdeling om actuele problemen aan te pakken;
  • c) plannen voor bedrijfscontinuïteit/noodherstel worden regelmatig bijgewerkt.

 

Deel 3

Handtekeningen van de partijen en lijst van gegevensimporteurs

 

Wanneer u het online bestelformulier invult en valideert door het vakje aan te vinken waarmee u de algemene gebruiksvoorwaarden accepteert, komt het contract tot stand dat de relatie tussen de Klant en POSTCODEZIP regelt.

Het verzenden van de betaling naar POSTCODEZIP beschouwt het contract als overeengekomen en tot stand gebracht.

Let op: deze tekst is vertaald uit het Frans. De originele Franse versie, die geldig en wettelijk beperkend is, is hier beschikbaar  .