Gegevensverwerkingsovereenkomst
Geldig vanaf: 1 april 2020
Deze AVG-gegevensverwerkingsovereenkomst (“DPA”) maakt deel uit van de Servicevoorwaarden en Privacy policy of een andere overeenkomst zoals de Servicevoorwaarden die van tijd tot tijd kunnen worden geplaatst (indien van toepassing, de "Overeenkomst"), aangegaan door en tussen de Klant en PSOhub BV ("Bedrijf"), op grond waarvan de Klant toegang heeft gekregen tot PSOhub zoals gedefinieerd in de toepasselijke Servicevoorwaarden van PSOhub. Het doel van deze DPA is om de overeenkomst van partijen weer te geven met betrekking tot de verwerking van persoonsgegevens in overeenstemming met de vereisten van de wetgeving inzake gegevensbescherming zoals hieronder gedefinieerd.
Indien de Klantentiteit die deze DPA aangaat een order met PSOhub heeft uitgevoerd op grond van de Overeenkomst, maar zelf geen partij is bij de Overeenkomst, is deze DPA een addendum bij die Order. Als de klantentiteit die deze DPA aangaat geen partij is bij een Bestelling of de Overeenkomst, is deze DPA niet geldig en niet juridisch bindend. Een dergelijke entiteit moet verzoeken dat de entiteit van de Klant die partij is bij de Overeenkomst deze DPA uitvoert.
- Definities
“ Verwerkingsverantwoordelijke ” betekent de natuurlijke of rechtspersoon, overheidsinstantie, dienst of andere instantie die, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.
“ Wet op gegevensbescherming ” betekent alle toepasselijke wetgeving met betrekking tot gegevensbescherming en privacy, inclusief alle lokale wet- en regelgeving die deze wijzigt of vervangt, inclusief de AVG, samen met alle nationale uitvoeringswetten in elke lidstaat van de Europese Unie of, voor zover van toepassing, in een ander land, zoals van tijd tot tijd gewijzigd, ingetrokken, geconsolideerd of vervangen. De termen "proces", "processen" en "verwerkt" zullen dienovereenkomstig worden geïnterpreteerd.
“ Betrokkene ” betekent de persoon op wie Persoonsgegevens betrekking hebben.
“ AVG ” betekent de Algemene Verordening Gegevensbescherming (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens gegevens en over het vrije verkeer van die gegevens.
“ Instructie ” betekent de schriftelijke, gedocumenteerde instructie, verstrekt door Verwerkingsverantwoordelijke aan Verwerker, en deze opdracht geeft tot het uitvoeren van een specifieke handeling met betrekking tot Persoonsgegevens (inclusief, maar niet beperkt tot, depersonalisatie, blokkeren, verwijderen, beschikbaar stellen).
“ Persoonsgegevens ” betekent alle informatie met betrekking tot een geïdentificeerde of identificeerbare persoon wanneer dergelijke informatie is opgenomen in Klantgegevens en op dezelfde manier wordt beschermd als persoonsgegevens of persoonlijk identificeerbare informatie onder de toepasselijke wetgeving inzake gegevensbescherming.
“ Inbreuk in verband met persoonsgegevens ” betekent een inbreuk op de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot Persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt.
" Verwerking " betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonlijke gegevens, waaronder het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door verzending, verspreiding of anderszins beschikbaar stellen, afstemmen of combineren, beperken of wissen van Persoonsgegevens.
“ Verwerker ” betekent een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of andere instantie die Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke.
“ Standaardcontractbepalingen ” betekent de doorgifte van persoonsgegevens aan verwerkers die zijn gevestigd in derde landen die geen adequaat niveau van gegevensbescherming garanderen zoals uiteengezet in het besluit van de Europese Commissie (C(2010)593 ) van 5 februari 2010.
- Verbintenissen met betrekking tot persoonlijke gegevens
- Elke partij stemt ermee in dat persoonsgegevens onder deze DPA als vertrouwelijke informatie worden behandeld. Bovendien zal elke partij te allen tijde de toepasselijke wetten met betrekking tot gegevensbescherming in het relevante rechtsgebied naleven met betrekking tot elkaars persoonlijke gegevens.
- Persoonsgegevens blijven eigendom van de bekendmakende partij. PSOhub en de klant erkennen dat de klant de verwerkingsverantwoordelijke is en controle houdt over de persoonsgegevens van de betrokkene.
- PSOhub zal de persoonlijke gegevens van de klant alleen verwerken voor zover strikt noodzakelijk voor het leveren van de diensten in overeenstemming met de Servicevoorwaarden en eventuele verdere schriftelijke instructies van de klant die onderling schriftelijk zijn overeengekomen. PSOhub stemt ermee in dat:
- het zal een redelijk en passend beveiligingsprogramma implementeren en onderhouden dat adequate beveiligings-, technische en organisatorische maatregelen omvat om te beschermen tegen ongeoorloofde, onwettige of onopzettelijke verwerking, gebruik, wissing, verlies of vernietiging van of schade aan persoonlijke gegevens van klanten;
- het zal geen persoonlijke gegevens van klanten wijzigen, wijzigen, verwijderen, publiceren of bekendmaken aan derden, noch toestaan dat een derde partij dergelijke persoonlijke gegevens namens PSOhub verwerkt, tenzij de derde partij gebonden is aan vergelijkbare vertrouwelijkheid en gegevensverwerking bepalingen;
- alleen haar personeel dat "need-to-know" krijgt toegang tot persoonlijke gegevens van de klant voor zover dit nodig is om zijn verplichtingen onder de Servicevoorwaarden na te komen. Hij zorgt voor adequate opleiding van zijn personeel en zorgt ervoor dat zij voldoen aan de verplichtingen in deze DPA; en
- het zal alleen persoonlijke gegevens van klanten verwerken voor zover dat nodig is om zijn verplichtingen onder de Servicevoorwaarden na te komen, op schriftelijke instructies van de klant (alleen zoals wederzijds overeengekomen) en in overeenstemming met de toepasselijke wetgeving.
- Bij beëindiging van uw account zal Bedrijf de persoonlijke gegevens verwijderen, vernietigen of anonimiseren in overeenstemming met ons standaard back-up- en bewaarbeleid volgens de Servicevoorwaarden en ons PSOhub-privacybeleid, normaal gesproken, tenzij we verplicht zijn om persoonlijke gegevens te bewaren vanwege aan de wetten van de Europese Unie en/of de lidstaten; in dat geval behoudt PSOhub zich het recht voor om persoonsgegevens te bewaren.
- Het bedrijf zal geen persoonlijke gegevens van klanten overdragen buiten de EU of de VS of naar andere locaties die volgens de EU-wetgeving niet als "adequaat" worden beschouwd zonder de klant een redelijke kennisgeving te verstrekken onder de Servicevoorwaarden
- Klantverbintenissen en hulp van PSOhub
- Klant garandeert dat hij over alle benodigde rechten beschikt om PSOhub de persoonsgegevens te verstrekken voor verwerking in verband met de levering van de PSOhub-diensten.
- Voor zover vereist door de toepasselijke wetgeving, is de klant verantwoordelijk om ervoor te zorgen dat alle toestemmingen van de betrokkene die nodig kunnen zijn voor deze verwerking worden verkregen, en om ervoor te zorgen dat dergelijke toestemmingen worden bijgehouden, inclusief eventuele toestemming om persoonlijke gegevens te gebruiken dat is verkregen van derden. Indien een dergelijke toestemming door een betrokkene wordt ingetrokken, is de klant verantwoordelijk voor het communiceren van het feit van een dergelijke intrekking aan PSOhub, en blijft PSOhub verantwoordelijk voor het uitvoeren van eventuele instructies van de klant met betrekking tot de verdere verwerking van die persoonlijke gegevens, of, zoals mogelijk in overeenstemming met met enige van de wettelijke verplichtingen van het Bedrijf.
- Klant begrijpt, als verwerkingsverantwoordelijke, dat hij verantwoordelijk is (zoals tussen klant en Bedrijf) voor:
- het bepalen van de rechtmatigheid van elke verwerking, het uitvoeren van alle vereiste gegevensbeschermingseffectbeoordelingen en het verantwoorden van regelgevende instanties en individuen, indien nodig;
- redelijke inspanningen leveren om ouderlijke toestemming te verifiëren wanneer gegevens worden verzameld over een betrokkene jonger dan 16 jaar;
- het verstrekken van relevante privacyverklaringen aan betrokkenen zoals vereist kan zijn in uw rechtsgebied, inclusief kennisgeving van hun rechten en het bieden van de mechanismen voor individuen om die rechten uit te oefenen;
- reageren op verzoeken van individuen over hun gegevens en de verwerking daarvan, inclusief verzoeken om persoonsgegevens te laten wijzigen, corrigeren of wissen, en het verstrekken van kopieën van de daadwerkelijk verwerkte gegevens;
- het implementeren van uw eigen passende technische en organisatorische maatregelen om de verwerking in overeenstemming met deze DPA;
- personen en alle relevante regelgevers of autoriteiten op de hoogte stellen van elk incident zoals wettelijk vereist in uw rechtsgebied.
- PSOhub zal de klant helpen door passende technische en organisatorische maatregelen te nemen, voor zover dit redelijkerwijs en commercieel mogelijk is (naar eigen goeddunken en discretie van PSOhub), bij het voldoen aan de verplichtingen van de klant om te reageren op verzoeken van individuen om rechten uit te oefenen onder de AVG .
- Zoals vermeld in ons privacybeleid, stemt de klant ermee in dat PSOhub subverwerkers inschakelt om persoonlijke gegevens van klanten te verwerken voor het toegestane doel van het leveren van producten en diensten waarvoor we een overeenkomst hebben gesloten, op voorwaarde dat:
- PSOhub zal een actuele lijst van haar subverwerkers bijhouden, die zij ten minste 10 dagen voorafgaand aan elke wijziging zal bijwerken met de details van elke wijziging in subverwerkers; en
- PSOhub zal voorwaarden voor gegevensbescherming opleggen aan elke subverwerker waarmee het samenwerkt, zoals vereist om de persoonlijke gegevens van de klant te beschermen volgens de norm die vereist is door de AVG. De Klant kan bezwaar maken tegen de aanstelling of vervanging van PSOhub, op voorwaarde dat een dergelijk bezwaar is gebaseerd op redelijke gronden met betrekking tot gegevensbescherming. In een dergelijk geval zal PSOhub ofwel de subverwerker niet aanstellen of vervangen, of als dat niet mogelijk is, kan de klant de PSOhub-service opschorten of beëindigen.
- Incidentbeheer
- Wanneer een van beide partijen kennis krijgt van een incident dat gevolgen heeft voor de verwerking van persoonsgegevens, zal zij de andere partij onmiddellijk op de hoogte stellen van het incident en redelijkerwijs meewerken om de andere partij in staat te stellen een grondig onderzoek naar het incident te doen, om een juiste reactie te geven en passende verdere stappen te ondernemen naar aanleiding van het incident.
- Beide partijen dienen te allen tijde te beschikken over schriftelijke procedures die hen in staat stellen om elkaar tijdig te woord te staan over een incident. Indien het incident redelijkerwijs een melding van een datalek vereist op grond van de toepasselijke wetgeving, stelt de partij die verantwoordelijk is voor het incident de andere partij onverwijld op de hoogte van het feit dat hij kennis heeft gekregen van een dergelijk incident.
- Alle kennisgevingen die in het kader van deze sectie worden gedaan, moeten worden gedaan aan (indien gemaakt aan PSOhub) en aan ons contactpunt met u (indien gemaakt aan de klant), en zal het volgende bevatten: (i) een beschrijving van de aard van het incident, inclusief, waar mogelijk, de categorieën en het geschatte aantal betrokken personen en de categorieën en het geschatte aantal betrokken records; (ii) de naam en contactgegevens van het contactpunt waar meer informatie kan worden verkregen; (iii) een beschrijving van de waarschijnlijke gevolgen van het incident; en (iv) een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om te nemen om het incident aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke nadelige effecten ervan te beperken.
- Aansprakelijkheid en vrijwaring
5.1 De volgende bepalingen zijn van toepassing in aanvulling op hetgeen is overeengekomen in de Overeenkomst. De in dit artikel 5 bedoelde aansprakelijkheid heeft uitsluitend betrekking op boetes en schade als gevolg van een toerekenbare tekortkoming in de nakoming door Verwerker van deze Verwerkersovereenkomst.
5.2 Verwerker is jegens Verantwoordelijke uitsluitend aansprakelijk voor directe schade als gevolg van boetes en schade als gevolg van toerekenbare en toerekenbare tekortkoming in de nakoming door verwerker van de Verwerkersovereenkomst, tot een maximum van € 100.000,- (honderdduizend euro) per zaak en per kalenderjaar.
5.3 Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk voor en vrijwaart Verwerkingsverantwoordelijke voor alle aanspraken van derden, waaronder Betrokkene(n), tot vergoeding van schade, inclusief eventuele boetes opgelegd aan Verwerker, als gevolg van het niet , niet juiste en/of niet tijdige nakoming door Verwerker van zijn verplichtingen uit deze Verwerkersovereenkomst, mits (i) Verwerker Verwerker onverwijld en schriftelijk op de hoogte stelt van de vordering en (ii) Verwerker de verwerking verlaat van het verweer tegen de vordering, alsmede eventuele schikkingen, geheel aan Verwerker en verleent haar redelijke medewerking aan de verdediging en afwikkeling van de vordering, uitdrukkelijk behoudens de beperking van aansprakelijkheid als bedoeld in lid 2 van dit artikel
- Duur en beëindiging
Deze DPA treedt gelijktijdig in werking met de Servicevoorwaarden van PSOhub en blijft van kracht totdat deze wordt gewijzigd of beëindigd in overeenstemming met de Servicevoorwaarden. Beëindiging of afloop van deze DPA ontslaat de partijen niet van de hierin vermelde vertrouwelijkheidsverplichtingen.