Bijlage gegevensverwerking

Data verwerkingsbijlage

 

Deze Bijlage vormt een integraal onderdeel van de Overeenkomst en wordt aangegaan door:

 

  1. (i) De Klant ("Data Exporteur")
  2. (ii) IQUALIF ("Data Importeur")

 

Elk zijnde een "Partij" en gezamenlijk "Partijen".

 

Preambule

WAAR de Data Importeur professionele softwarediensten, computer- en gerelateerde diensten levert (zoals browsers met geavanceerde zoekfuncties);

WAAR op grond van de Overeenkomst heeft de Data Importeur ermee ingestemd om aan de Data Exporteur de in de Overeenkomst gespecificeerde diensten te leveren ("Diensten");

WAAR, door het leveren van de Diensten, de Data Importeur toegang krijgt tot of profiteert van de informatie van de Data Exporteur of andere personen met een (potentiële) relatie met de Data Exporteur, en deze informatie kan worden gekwalificeerd als persoonsgegevens binnen de betekenis van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens ("GDPR") en andere toepasselijke gegevensbeschermingswetten.

WAAR deze Bijlage de voorwaarden bevat die van toepassing zijn op de verzameling, verwerking en het gebruik van dergelijke persoonsgegevens door de Data Importeur in haar hoedanigheid als de gemachtigde gegevensverwerker van de Data Exporteur, om te waarborgen dat de Partijen voldoen aan de toepasselijke gegevensbeschermingswetgeving.

 

DERHALVE, en om de Partijen in staat te stellen hun relatie wettelijk voort te zetten, hebben de Partijen deze Bijlage als volgt afgesloten:

Deel 1

 

1. Structuur van het document en definities

1.1 Structuur

Deze Bijlage bestaat uit verschillende delen als volgt:

 

Deel 1: 

bevat algemene bepalingen, bijvoorbeeld over de gebruikte definities in deze Bijlage, naleving van lokale wetten, timing en beëindiging

 
Deel 2:

bevat de inhoud van het ongewijzigde Modelcontractclausules-document

 
Bijlage 1.1 van Deel 2:

bevat de details van de verwerkingsactiviteiten die door de Data Importeur aan de Data Exporteur worden verstrekt als de gemachtigde gegevensverwerker (inclusief de verwerking, aard en doel van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen) onder deze Bijlage

 
Bijlage 2 van Deel 2:

bevat een beschrijving van de technische en organisatorische beveiligingsmaatregelen van de Data Importeur, die worden toegepast in verband met alle verwerkingsactiviteiten beschreven in Bijlage 1.1 van Deel 2

 
Deel 3:

bevat de handtekeningen van de Partijen die gebonden zijn aan deze Bijlage en identificeert elke Data Importeur

 

 

1.2 Terminologie en definities

Voor de doeleinden van deze Bijlage zijn de terminologie en definities die door de GDPR worden gebruikt van toepassing (In de inhoud van het Modelcontractclausules-document in Deel 2, waar gedefinieerde termen niet met hoofdletters worden geschreven). 

 

"Lidstaat"

betekent een land dat lid is van de Europese Unie of de Europese Economische Ruimte

 
"Bijzondere categorieën van (persoonlijke) gegevens"

verwijst naar persoonsgegevens die raciale of etnische afkomst, politieke opvattingen, religieuze of filosofische overtuigingen, of lidmaatschap van een vakbond onthullen, en genetische gegevens, biometrische gegevens, indien verwerkt voor het doel van het uniek identificeren van een persoon, gegevens over gezondheid, gegevens over het seksleven of de seksuele oriëntatie van een persoon

 
"Modelcontractclausules"

betekent de Modelcontractclausules voor de overdracht van persoonsgegevens van verwerkers die in derde landen zijn gevestigd, onder besluit 2010/87/EU van de Commissie van 5 februari 2010, dat is gewijzigd door het Uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016

 
"Gegevensverwerker"

betekent elke verwerker, binnen of buiten de EU/EEA, die ermee instemt persoonsgegevens te ontvangen van de Data Importeur of een andere verwerker van de Data Importeur, uitsluitend voor de verwerkingstaken die door de Data Exporteur worden uitgevoerd na de overdracht, in overeenstemming met de instructies van de Data Exporteur, de voorwaarden van deze Bijlage en de Overeenkomst met de Data Importeur

 

 

 

2. Verplichtingen van de Data Exporteur

2.1 De Data Exporteur heeft de verplichting om te zorgen voor naleving van alle toepasselijke verplichtingen onder de GDPR en andere relevante gegevensbeschermingswetten die op de Data Exporteur van toepassing zijn, en om deze naleving aan te tonen zoals vereist door artikel 5(2) van de GDPR. De Data Exporteur garandeert dat de Data Importeur voorafgaande toestemming van de betrokkenen heeft verkregen in overeenstemming met artikel 6(a) van de GDPR en dat hij heeft voldaan aan zijn verplichting om de betrokkenen te informeren volgens artikelen 13 en 14 van de GDPR.

2.2 De Data Exporteur moet de Data Importeur de betreffende bestanden van de verwerkingsactiviteiten verstrekken in overeenstemming met artikel 30(1) van de GDPR, gerelateerd aan de Diensten onder deze Bijlage, voor zover nodig voor de Data Importeur om te voldoen aan de verplichtingen onder artikel 30(2) van de GDPR.

2.3 De Data Exporteur moet een functionaris voor gegevensbescherming of vertegenwoordiger aanstellen voor zover vereist door de toepasselijke gegevensbeschermingswetgeving. De Data Exporteur is verplicht de contactgegevens van de gegevensbeschermingsfunctionaris of vertegenwoordiger, indien aanwezig, aan de Data Importeur te verstrekken.

2.4 De Data Exporteur bevestigt voorafgaand aan de voltooiing van de verwerking, door acceptatie van deze Bijlage, dat de technische en organisatorische beveiligingsmaatregelen van de Data Importeur, zoals uiteengezet in Bijlage 2 van Deel 2, passend en voldoende zijn om de rechten van de betrokkene te beschermen en bevestigt dat de Data Importeur voldoende waarborgen biedt in dit opzicht.

 

3. Naleving van lokale wetgeving

Om te voldoen aan de vereisten voor de implementatie van de verwerkers krachtens artikel 28 van de GDPR, zijn de volgende wijzigingen van toepassing:

 

3.1 Instructies

  1. (i) De Data Exporteur instrueert de Data Importeur om persoonsgegevens alleen te verwerken namens de Data Exporteur. De instructies van de Data Exporteur worden in deze Bijlage en in de Overeenkomst gegeven. De Data Exporteur is verplicht te zorgen dat alle instructies die aan de Data Importeur worden gegeven, voldoen aan de toepasselijke gegevensbeschermingswetten. De Data Importeur moet persoonsgegevens alleen verwerken in overeenstemming met de instructies van de Data Exporteur, tenzij anders vereist door de Europese Unie of de wet van de Lidstaat (in dat laatste geval geldt clausule 3.2 (iv) (c) van Deel 1).
  2. (ii) Alle andere instructies die verder gaan dan de instructies in deze Bijlage of in de Overeenkomst, moeten worden opgenomen in de onderhavige Bijlage en de Overeenkomst. Als het uitvoeren van deze aanvullende instructie kosten met zich meebrengt voor de Data Importeur, moet de Data Importeur de Data Exporteur vooraf informeren over deze kosten en een verklaring geven voordat de instructie wordt uitgevoerd. Pas nadat de Data Exporteur de acceptatie van deze kosten voor de uitvoering van de instructie heeft bevestigd, zal de Data Importeur deze aanvullende instructie uitvoeren. De Data Exporteur moet aanvullende instructies schriftelijk geven, tenzij urgentie of andere specifieke omstandigheden een andere vorm vereisen (bijvoorbeeld mondeling, elektronisch). Instructies in een andere vorm dan schriftelijk moeten schriftelijk worden bevestigd en zonder uitstel door de Data Exporteur.
  3. 1. Tenzij de Data Exporteur de rectificatie, verwijdering of beperking van persoonsgegevens zelf kan uitvoeren, kunnen de instructies ook betrekking hebben op de rectificatie, verwijdering en/of beperking van persoonsgegevens zoals beschreven in clausule 3.3 van Deel 1.
  4. 2. De Data Importeur moet de Data Exporteur onmiddellijk informeren als hij van mening is dat een instructie in strijd is met de GDPR of andere toepasselijke gegevensbeschermingsbepalingen van de Europese Unie of een Lidstaat ("Betwiste Instructie"). Als de Data Importeur van mening is dat een instructie in strijd is met de GDPR of andere toepasselijke gegevensbeschermingsbepalingen, is hij niet verplicht deze Betwiste Instructie uit te voeren. Als de Data Exporteur de Betwiste Instructie bevestigt na ontvangst van informatie van de Data Importeur en zijn verantwoordelijkheid erkent voor de Betwiste Instructie, zal de Data Importeur deze uitvoeren, tenzij de Betwiste Instructie betrekking heeft op (i) de implementatie van technische en organisatorische maatregelen, (ii) de rechten van de betrokkenen of (iii) de inzet van gegevensverwerkers. In deze gevallen kan de Data Importeur contact opnemen met een bevoegde toezichthoudende autoriteit om de betwiste instructie wettelijk te laten beoordelen. Als de toezichthoudende autoriteit de betwiste instructie als legaal verklaart, zal de Data Importeur deze uitvoeren. Clausule 3.1 (ii) van Deel 1 blijft van toepassing.

 

3.2 Verplichtingen van de Data Importeur

  1. (i) De Data Importeur moet zorgen dat personen die door hem gemachtigd zijn persoonsgegevens te verwerken namens de Data Exporteur, met name werknemers van de Data Importeur en werknemers van eventuele onderaannemers, zich hebben verplicht tot geheimhouding of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en dat deze personen die toegang hebben tot persoonsgegevens, deze verwerken in overeenstemming met de instructies van de Data Exporteur.
  2. (ii) De Data Importeur moet de technische en organisatorische beveiligingsmaatregelen implementeren zoals uiteengezet in Bijlage 2 van Deel 2 voordat hij de persoonsgegevens verwerkt namens de Data Exporteur. De Data Importeur mag de technische en organisatorische beveiligingsmaatregelen wijzigen indien deze niet minder bescherming bieden dan die in Bijlage 2 van Deel 2.
  3. (iii) De Data Importeur moet de Data Exporteur, op verzoek van de Data Exporteur, informeren over de naleving van de verplichtingen onder deze Bijlage. Deze informatie wordt geacht te zijn verstrekt door het aanleveren van een auditrapport (met betrekking tot beveiliging, systeemtoegankelijkheid en vertrouwelijkheid) ("Auditrapport"). Indien wettelijk aanvullende auditactiviteiten vereist zijn, kan de Data Exporteur verzoeken dat inspecties worden uitgevoerd door de Data Exporteur of een door de Data Exporteur aangewezen auditor, onder voorwaarde dat deze auditor een geheimhoudingsverklaring ondertekent naar redelijke tevredenheid van de Data Importeur ("Audit"). Deze Audit is onderworpen aan de volgende voorwaarden: (i) voorafgaande schriftelijke acceptatie door de Data Importeur; en (ii) de kosten voor de on-site audit zijn voor rekening van de Data Exporteur. De Data Exporteur moet een auditrapport opstellen met de resultaten en observaties van de on-site audit ("On-site Audit Rapport"). De On-site Audit Rapporten en de Auditrapporten zijn vertrouwelijke informatie van de Data Importeur en mogen niet worden gedeeld met derden, tenzij wettelijk vereist of met toestemming van de Data Importeur.
  4. (iv) De Data Importeur heeft de verplichting om de Data Exporteur zonder onnodig uitstel te informeren:
    1. a. over elk wettelijk bindend verzoek tot openbaarmaking van persoonsgegevens door een opsporingsautoriteit, tenzij anders verboden, zoals een verbod onder het strafrecht ter bescherming van de vertrouwelijkheid van een politieonderzoek
    2. b. over elke klacht en verzoek dat rechtstreeks van een betrokkene is ontvangen (bijvoorbeeld over toegang, rectificatie, verwijdering, beperking van verwerking, gegevensoverdracht, bezwaar tegen gegevensverwerking, geautomatiseerde besluitvorming) zonder op dat verzoek te reageren, tenzij de Data Importeur daartoe gemachtigd is
    3. c. indien de Data Importeur of gegevensverwerker op grond van de wet van de Europese Unie of van de Lidstaat waarin de Data Importeur of gegevensverwerker onder valt, verplicht is om de persoonsgegevens te verwerken buiten de instructies van de Data Exporteur, voorafgaand aan het uitvoeren van dergelijke verwerking, tenzij de wetten van de Europese Unie of de Lidstaat dergelijke verwerking op basis van vitaal openbaar belang verbieden, in welk geval de kennisgeving aan de Data Exporteur de wettelijke vereiste onder die wet van de Europese Unie of de Lidstaat moet specificeren; of
    4. d. indien de Data Importeur een inbreuk op persoonsgegevens vaststelt, uitsluitend vanwege zichzelf of zijn onderaannemer, die de persoonsgegevens van de Data Exporteur zou beïnvloeden, in welk geval de Data Importeur de Data Exporteur zal helpen bij de verplichting, in overeenstemming met de toepasselijke gegevensbeschermingswet, om de betrokkenen en, indien van toepassing, de toezichthoudende autoriteiten te informeren door de beschikbare informatie te verstrekken, in overeenstemming met artikel 33(3) van de GDPR.
    5. (v) Op verzoek van de Data Exporteur moet de Data Importeur de Data Exporteur ondersteunen bij het uitvoeren van een gegevensbeschermingseffectbeoordeling die vereist kan zijn op grond van artikel 35 van de GDPR en een voorafgaande raadpleging die vereist kan zijn op grond van artikel 36 van de GDPR, betreffende de diensten die de Data Importeur aan de Data Exporteur levert onder deze Bijlage, door de benodigde informatie te verstrekken. De Data Importeur is slechts verplicht deze hulp te bieden indien de Data Exporteur zijn verplichting niet op andere wijze kan vervullen. De Data Importeur zal de kosten van dergelijke hulp aan de Data Exporteur meedelen. Zodra de Data Exporteur heeft bevestigd dat hij deze kosten kan dragen, zal de Data Importeur deze hulp bieden.
    6. (vi) Aan het einde van de dienstverlening kan de Data Exporteur verzoeken dat de persoonsgegevens die door de Data Importeur onder deze Bijlage zijn verwerkt, binnen een maand na de diensten worden teruggegeven of vernietigd, en bewijs van vernietiging verstrekken, tenzij de wetgeving van de Lidstaat of de Europese Unie vereist dat de Data Importeur deze persoonsgegevens bewaart of behoudt. In dat geval garandeert de Data Importeur dat hij de vertrouwelijkheid van de persoonsgegevens waarborgt en dat hij de gegevens niet langer actief verwerkt.

 

3.3 Rechten van betrokkenen

  1.  
    1. (i) De Data Exporteur beheert en reageert op verzoeken van betrokkenen. De Data Importeur is niet verplicht rechtstreeks op verzoeken van betrokkenen te reageren.
    2. (ii) Als de Data Exporteur de Data Importeur nodig heeft om te helpen bij het verwerken en beantwoorden van verzoeken van betrokkenen, zal de Data Exporteur een verdere instructie geven in overeenstemming met clausule 3.1 (ii) van Deel 1. De Data Importeur zal de Data Exporteur ondersteunen met de volgende passende en technische organisatorische maatregelen om te reageren op verzoeken om uitoefening van de rechten van betrokkenen zoals beschreven in Hoofdstuk III van de GDPR:
    3. a. Voor verzoeken om informatie zal de Data Importeur alleen de informatie verstrekken die vereist is op grond van artikelen 13 en 14 van de GDPR, indien de Data Exporteur deze niet zelf kan vinden.
    4. b. Voor verzoeken om toegang (artikel 15 van de GDPR) zal de Data Importeur alleen de informatie verstrekken die aan de betrokkene moet worden verstrekt voor het genoemde verzoek, indien de betrokkene deze niet zelf kan vinden.
    5. c. Voor verzoeken om rectificatie (artikel 16 van de GDPR), verwijdering (artikel 17 van de GDPR), beperking van verwerking (artikel 18 van de GDPR) of gegevensoverdracht (artikel 20 van de GDPR), en alleen indien de Data Exporteur deze niet zelf kan rectificeren, verwijderen, beperken of doorgeven aan een andere derde partij, zal de Data Importeur de Data Exporteur de mogelijkheid bieden om de persoonsgegevens te rectificeren, te verwijderen, te beperken of door te geven, of, indien dit niet mogelijk is, zal hij de hulp bieden om deze gegevens te rectificeren, te verwijderen, te beperken of door te geven aan de andere derde partij.
    6. d. Voor de kennisgeving over rectificatie, verwijdering of beperking van verwerking zal de Data Importeur de Data Exporteur helpen door alle ontvangers van persoonsgegevens die door de Data Importeur als verwerkers worden betrokken, te informeren indien de Data Exporteur daarom verzoekt en indien de Data Exporteur de situatie niet zelf kan herstellen.
    7. e. Voor het uitoefenen van het recht van bezwaar door een betrokkene (artikelen 21 en 22 van de GDPR) zal de Data Exporteur bepalen of het bezwaar gegrond is en hoe ermee om te gaan.
    8. (iii) De hulpverplichtingen van de Data Importeur zijn beperkt tot persoonsgegevens die binnen haar infrastructuur worden verwerkt (bijvoorbeeld databases, systemen, applicaties die eigendom zijn van of door de Data Importeur worden geleverd).
    9. (iv) De Data Exporteur bepaalt of een betrokkene de rechten van betrokkenen kan uitoefenen zoals beschreven in clausule 3.1 van Deel 1 en zal de Data Importeur informeren over de mate waarin de hulp zoals beschreven in clausules 3.3 (ii), (iii) van Deel 1 noodzakelijk is.
    10. (v) Als de Data Exporteur aanvullende of gewijzigde technische en organisatorische maatregelen verlangt om de rechten van betrokkenen te waarborgen die verder gaan dan de hulp die door de Data Importeur wordt geboden onder subclausule 3.3 (ii), (iii) van Deel 1, zal de Data Importeur de Data Exporteur informeren over de kosten van het implementeren van dergelijke aanvullende of gewijzigde maatregelen. Zodra de Data Exporteur heeft bevestigd dat hij deze kosten kan dragen, zal de Data Importeur deze maatregelen implementeren om de Data Exporteur te helpen bij het reageren op de verzoeken van betrokkenen.
    11. (vi) Zonder afbreuk te doen aan de reikwijdte van clausule 3.3 (v) van Deel 1, zal de Data Exporteur verplicht zijn de Data Importeur te vergoeden voor de redelijke kosten die hij maakt bij het reageren op de verzoeken van betrokkenen.

 

3.4 Subverwerking

  1.  
    1. (i) De Data Exporteur machtigt de Data Importeur om subverwerkers in te schakelen voor de levering van diensten onder deze Bijlage. De Data Importeur moet dergelijke Data verwerkers zorgvuldig selecteren. De Data Exporteur keurt de in Bijlage 1.1 van Deel 2 genoemde Data verwerkers goed.
    2. (ii) De Data Importeur zal haar verplichtingen onder deze Bijlage overdragen aan de Data verwerker(s) voor zover van toepassing op de uitbestede diensten.
    3. (iii) De Data Importeur kan een andere geschikte en betrouwbare Data verwerker (s) ontslaan, vervangen of aanstellen. Indien de Data Exporteur hier schriftelijk om verzoekt, moet de Data Importeur het onderstaande procedure volgen:
  2.  
    1. a. De Data Importeur informeert de Data Exporteur voorafgaand aan wijzigingen in de lijst van Data verwerkers zoals vermeld in clausule 3.4 (i) van Deel 1. Als de Data Exporteur binnen dertig dagen na ontvangst van de kennisgeving geen bezwaar maakt, worden de extra Data verwerkers geacht te zijn geaccepteerd.
    2. b. Als de Data Exporteur een legitieme reden heeft om bezwaar te maken tegen een extra Data verwerker, zal hij dit vooraf schriftelijk melden aan de Data Importeur binnen dertig dagen na ontvangst van de kennisgeving van de Data Importeur en vóórdat de dienst van de Data Importeur in gebruik wordt genomen. Als de Data Exporteur bezwaar maakt tegen het gebruik van een extra Data verwerker, kan de Data Importeur het bezwaar opheffen door een van de volgende opties (naar eigen keuze): (A) de Data Importeur zal haar plannen om een extra verwerker te gebruiken met betrekking tot de persoonsgegevens van de Data Exporteur, annuleren; (B) de Data Importeur zal de door de Data Exporteur gevraagde corrigerende maatregelen nemen (het bezwaar intrekken) en de extra verwerker gebruiken voor de persoonsgegevens van de Data Exporteur; (C) de Data Importeur kan stoppen met het leveren van of de Data Exporteur kan ermee instemmen om (tijdelijk of permanent) een bepaald aspect van de dienst niet te gebruiken dat het gebruik van de verdere verwerker van de Data Exporteur zou inhouden.
  3.  
    1. (iv) Als de Data verwerker buiten de EU/EEA gevestigd is in een land dat niet als voldoende beschermd wordt beschouwd volgens een besluit van de Europese Commissie, zal de Data Importeur maatregelen nemen om te voldoen aan een adequaat niveau van gegevensbescherming in overeenstemming met de GDPR (deze maatregelen kunnen onder andere bestaan uit - onder andere - het gebruik van gegevensverwerkingsovereenkomsten op basis van de clausules van het EU-model, overdracht aan zelf-gecertificeerde Data verwerkers binnen het kader van het EU-US Privacy Shield of een vergelijkbaar programma).

 

3.5 Verloop

Het verstrijken van deze Bijlage is gelijk aan de vervaldatum van de overeenkomst waarop deze betrekking heeft. Behoudens anders in deze Bijlage bepaald, blijven de rechten en verplichtingen met betrekking tot beëindiging hetzelfde als die in de Overeenkomst.

 

4. Beperking van aansprakelijkheid

4.1 Elke partij handelt haar verplichtingen onder deze Bijlage en de toepasselijke gegevensbeschermingswetgeving.

4.2 Elke aansprakelijkheid met betrekking tot een schending van de verplichtingen onder deze Bijlage of de toepasselijke gegevensbeschermingswetgeving is onderworpen aan en wordt beheerst door de aansprakelijkheidsbepalingen zoals uiteengezet in, of van toepassing op, de Overeenkomst, tenzij anders in deze Bijlage bepaald. Als aansprakelijkheid wordt beheerst door de aansprakelijkheidsbepalingen van de Overeenkomst, worden voor het berekenen van aansprakelijkheidslimieten of het bepalen van de toepassing van andere aansprakelijkheidsbeperkingen, alle aansprakelijkheid die onder deze Bijlage ontstaat, geacht te zijn ontstaan onder de Overeenkomst.

 

5. Algemene bepalingen

5.1 Indien er inconsistenties of discrepanties zijn tussen Deel 1 en Deel 2 van deze Bijlage, heeft Deel 2 voorrang. In een dergelijk geval blijft Deel 1, dat verder gaat dan Deel 2 (d.w.z. de voorwaarden van de Modelclausules), zonder tegenspraak geldig.

5.2 Indien er een discrepantie ontstaat tussen de bepalingen van deze Bijlage en die van andere contracten die de partijen binden, heeft deze Bijlage voorrang met betrekking tot de gegevensbeschermingsverplichtingen van de partijen. Bij twijfel of bepalingen in andere contracten betrekking hebben op de gegevensbeschermingsverplichtingen van de partijen, heeft deze Bijlage voorrang.

5.3 Indien een bepaling van deze Bijlage ongeldig of niet-afdwingbaar is, blijven de overige bepalingen volledig van kracht. De ongeldige of niet-afdwingbare bepaling wordt zodanig gewijzigd dat deze geldig en afdwingbaar is, terwijl zoveel mogelijk de bedoeling van de partijen wordt behouden, of - indien dit niet mogelijk is - wordt geïnterpreteerd alsof het ongeldige of niet-afdwingbare deel nooit deel uitmaakte van het contract. Dit geldt ook indien er een omissie in deze Bijlage is.

5.5 Voor zover nodig kunnen de Partijen wijzigingen verzoeken in Deel 1, Clausule 3 (Naleving van lokale wetgeving) of andere delen van de Bijlage om te voldoen aan interpretaties, richtlijnen of bevelen van bevoegde autoriteiten van de Unie of de Lidstaten, nationale handhavingsbepalingen, of andere juridische ontwikkelingen met betrekking tot de GDPR of andere voorwaarden voor delegatie aan entiteiten betrokken bij gegevensverwerking, en specifiek met betrekking tot het gebruik van de Modelcontractclausules in de GDPR. De voorwaarden van de Modelcontractclausules mogen niet worden gewijzigd of vervangen tenzij de Europese Commissie dit uitdrukkelijk goedkeurt (bijvoorbeeld door nieuwe adequate clausules en gegevensbeschermingsnormen).

5.6 Elke verwijzing in deze Bijlage naar de "Clausules" wordt begrepen als verwijzend naar alle bepalingen van deze Bijlage, tenzij anders vermeld.

5.7 De keuze van het recht in Deel 2, Clausule 9 is van toepassing op de gehele Overeenkomst.

 

6. Persoonsgegevens die door de partijen voor persoonlijke doeleinden worden verzonden en verwerkt (overdracht van de gegevensbeheerder naar de gegevensbeheerder)

6.1 De Partijen weten volledig dat bepaalde persoonsgegevens worden overgedragen van de Data Exporteur naar de Data Importeur en vice versa, en dat dergelijke gegevens door elke Partij voor haar eigen doeleinden worden verwerkt. Met betrekking tot dergelijke persoonsgegevens heeft dit geen invloed op de andere bepalingen van deze Bijlage (behalve voor deze clausule 6).

6.2 De Data Exporteur mag persoonsgegevens overdragen met betrekking tot het personeel van de Data Importeur aan de Data Importeur, inclusief informatie over beveiligingsincidenten, of andere documenten of bestanden die door de Data Exporteur in verband met de Diensten van het personeel van de Data Importeur zijn gemaakt of opgesteld. De Data Importeur mag dergelijke persoonsgegevens voor haar eigen doeleinden verwerken, met name in haar professionele relaties met het personeel van de Data Importeur, voor kwaliteitscontrole en training, of voor zakelijke doeleinden.

6.3 De Data Importeur mag persoonsgegevens overdragen aan de Data Exporteur, inclusief de naam en contactgegevens van het personeel van de Data Importeur. De Data Exporteur mag dergelijke persoonsgegevens voor haar eigen doeleinden verwerken.

6.4 Beide partijen zullen voldoen aan alle toepasselijke gegevensbeschermingswetten, inclusief de GDPR, bij het verzamelen, verwerken en gebruiken van dergelijke persoonsgegevens die van de andere partij onder clausule 1 van Deel 1 worden ontvangen. In het bijzonder zullen beide Partijen adequate beveiligingsmaatregelen nemen, die een vergelijkbaar niveau van bescherming bieden als de beveiligingsmaatregelen in Bijlage 2 van Deel 2. Elke toegang tot dergelijke persoonsgegevens wordt beperkt tot de noodzaak om deze te kennen.

6.5 Beide Partijen moeten dergelijke persoonsgegevens zo snel mogelijk verwijderen nadat de doelstellingen zijn bereikt.

Deel 2

 

BESLUIT VAN DE COMMISSIE

op 5 februari 2010

over de modelcontractclausules voor de overdracht van persoonsgegevens aan verwerkers die in derde landen zijn gevestigd onder Richtlijn 95/46/EG van het Europees Parlement en de Raad

 

 

 

Clausule 1

Definities

In de zin van de clausules:

a) 'persoonsgegevens', 'bijzondere categorieën gegevens', 'verwerking', 'verwerkingsverantwoordelijke', 'verwerker', 'betrokkene' en 'toezichthoudende autoriteit' hebben dezelfde betekenis als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens (1);

b) de 'Data Exporteur' is de gegevensbeheerder die de persoonsgegevens overdraagt;

c) de 'Data Importeur' is de verwerker die ermee instemt persoonsgegevens te ontvangen van de Data Exporteur, bedoeld om te worden verwerkt namens de Data Exporteur na de overdracht, in overeenstemming met zijn instructies en onder de voorwaarden van deze clausules, en die niet onder het mechanisme van een derde land dat een adequaat beschermingsniveau biedt, valt volgens artikel 25(1) van Richtlijn 95/46/EG; (d) 'Verwerker' betekent de door de Data Importeur ingeschakelde verwerker of door een andere verwerker van de Data Importeur, die ermee instemt persoonsgegevens te ontvangen van de Data Importeur of een andere verwerker van de Data Importeur, uitsluitend voor verwerkingsactiviteiten die worden uitgevoerd namens de Data Exporteur na de overdracht, in overeenstemming met de instructies van de Data Exporteur, onder de voorwaarden van deze clausules en onder de voorwaarden van de schriftelijke onderaanneming van de gegevensverwerkingsovereenkomst;

e) "toepasselijke gegevensbeschermingswet" betekent de wetgeving die de fundamentele rechten en vrijheden van personen beschermt, inclusief het recht op privacy met betrekking tot de verwerking van persoonsgegevens, en die van toepassing is op een verwerkingsverantwoordelijke in de Lidstaat waar de Data Exporteur is gevestigd;

f) “technische en organisatorische maatregelen met betrekking tot beveiliging” betekent maatregelen bedoeld om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeautoriseerde bekendmaking of toegang, in het bijzonder waar de verwerking het overdragen van gegevens via netwerken omvat, en tegen alle andere onwettige vormen van verwerking.

Clausule 2

Details van de overdracht

De details van de overdracht, inclusief, indien van toepassing, bijzondere categorieën persoonsgegevens, worden gespecificeerd in Bijlage 1, die een integraal onderdeel vormt van deze clausules.

Clausule 3

Derde-begunstigde clausule

1. De betrokkene kan deze Clausule, Clausule 4(b) tot (i), Clausule 5(a) tot (e) en (g) tot (j), Clausule 6(1) en (2), Clausule 7, Clausule 8(2) en Clausules 9 tot 12 afdwingen tegen de Data Exporteur als derde-begunstigde.

2. De betrokkene kan deze Clausule, Clausule 5(a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8(2) en Clausules 9 tot 12 afdwingen tegen de Data Importeur wanneer de Data Exporteur fysiek is verdwenen of niet meer bestaat volgens de wet, tenzij al zijn wettelijke verplichtingen via contract of wettelijke werking zijn overgedragen aan de opvolgende entiteit, waarop de rechten en verplichtingen van de Data Exporteur dan overgaan, en waartegen de betrokkene zijn rechten kan afdwingen.

De betrokkene kan deze Clausule, Clausule 5(a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8(2) en Clausules 9 tot 12 afdwingen tegen de gegevensverwerker, maar alleen in gevallen waarin de Data Exporteur en de Data Importeur fysiek zijn verdwenen, niet meer bestaan of insolvent zijn, tenzij alle wettelijke verplichtingen van de Data Exporteur via contract of wettelijke werking zijn overgedragen aan de wettelijke opvolger, tegen wie de betrokkene zijn rechten kan uitoefenen. De aansprakelijkheid van de gegevensverwerker moet beperkt blijven tot haar eigen verwerkingsactiviteiten onder deze clausules.

4. De partijen hebben geen bezwaar dat de betrokkene wordt vertegenwoordigd door een vereniging of andere instantie indien hij of zij dat wenst en indien de nationale wetgeving dat toestaat.

Clausule 4

Verplichtingen van de Data Exporteur

De Data Exporteur aanvaardt en garandeert het volgende:

a) de verwerking, inclusief de daadwerkelijke overdracht van persoonsgegevens, is en zal blijven plaatsvinden in overeenstemming met de relevante bepalingen van de toepasselijke gegevensbeschermingswet (en, indien van toepassing, is gemeld aan de bevoegde autoriteiten van de Lidstaat waar de Data Exporteur is gevestigd) en schendt niet de relevante bepalingen van die Staat;

b) zij hebben de Data Importeur geïnstrueerd, en zullen dat blijven doen gedurende de duur van de diensten voor gegevensverwerking, om de overdracht van persoonsgegevens uitsluitend te laten plaatsvinden namens de Data Exporteur en in overeenstemming met de toepasselijke gegevensbeschermingswet en deze clausules;

c) de Data Importeur zal voldoende waarborgen bieden met betrekking tot de technische en organisatorische beveiligingsmaatregelen zoals gespecificeerd in Bijlage 2 van dit contract;

d) na evaluatie van de vereisten van de toepasselijke gegevensbeschermingswet, zijn de beveiligingsmaatregelen adequaat om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeautoriseerde bekendmaking of toegang, in het bijzonder waar de verwerking het overdragen van gegevens via een netwerk omvat, en tegen alle andere onwettige vormen van verwerking, en zorgen voor een beveiligingsniveau dat passend is bij de risico's van de verwerking en de aard van de te beschermen gegevens, rekening houdend met het technologische niveau en de kosten van implementatie;

e) zij zullen zorgen voor naleving van de beveiligingsmaatregelen;

f) indien de overdracht betrekking heeft op bijzondere categorieën gegevens, is de betrokkene geïnformeerd of zal hij worden geïnformeerd vóór de overdracht dat zijn of haar gegevens kunnen worden overgedragen aan een derde land dat geen adequaat beschermingsniveau biedt binnen de betekenis van Richtlijn 95/46/EG;

g) zij zullen elke kennisgeving ontvangen van de Data Importeur of een gegevensverwerker onder Clausules 5(b) en 8(3) doorsturen naar de gegevensbeschermingstoezichthoudende autoriteit indien zij besluiten de overdracht voort te zetten of de opschorting op te heffen;

h) zij zullen aan betrokkenen, indien zij daarom verzoeken, een kopie van deze Clausules, behalve Bijlage 2, en een samenvatting van de beveiligingsmaatregelen, en een kopie van eventuele verdere onderaannemingsovereenkomst, die onder deze Clausules is gesloten, verstrekken, tenzij de Clausules of de overeenkomst commerciële informatie bevatten, in welk geval zij die informatie kunnen verwijderen;

i) in geval van onderaanneming van het gegevensverwerkingsproces, wordt de verwerkingsactiviteit uitgevoerd in overeenstemming met Clausule 11 door een gegevensverwerker die ten minste hetzelfde beschermingsniveau voor persoonsgegevens en de rechten van betrokkenen biedt als de Data Importeur onder deze Clausules; en

j) zij zullen zorgen voor naleving van Clausule 4(a) tot (i).

Clausule 5

Verplichtingen van de Data Importeur

De Data Importeur aanvaardt en garandeert het volgende:

a) zij zullen de persoonsgegevens alleen verwerken namens de Data Exporteur en onder diens instructies en deze clausules; indien zij om welke reden dan ook niet kunnen voldoen, zullen zij de Data Exporteur zo snel mogelijk informeren, waarna de Data Exporteur de gegevensoverdracht kan opschorten en/of de overeenkomst kan beëindigen;

b) zij hebben geen reden te geloven dat de toepasselijke wetgeving hen verhindert de instructies van de Data Exporteur uit te voeren en de verplichtingen onder de overeenkomst na te komen, en indien die wet wijzigt op een wijze die een materieel nadelig effect kan hebben op de garanties en verplichtingen onder de Clausules, zullen zij de Data Exporteur hiervan zonder uitstel op de hoogte stellen, waarna de Data Exporteur de gegevensoverdracht kan opschorten en/of de overeenkomst kan beëindigen; (c) zij hebben de technische en organisatorische beveiligingsmaatregelen geïmplementeerd zoals gespecificeerd in Bijlage 2 voorafgaand aan de verwerking van de overdracht van persoonsgegevens;

d) zij zullen de Data Exporteur zonder uitstel informeren:

i) over elk wettelijk bindend verzoek tot openbaarmaking van persoonsgegevens door een opsporingsautoriteit, tenzij anders vermeld, zoals een strafverbod om de geheimhouding van een politieonderzoek te waarborgen;

ii) over elke incidentele of ongeautoriseerde toegang; en

iii) over elk verzoek dat rechtstreeks van de betrokkenen is ontvangen, zonder erop te reageren tenzij zij daartoe gemachtigd zijn;

e) zij zullen alle vragen van de Data Exporteur over de verwerking van de persoonsgegevens die worden overgedragen, snel en correct behandelen en handelen volgens de mening van de toezichthoudende autoriteit over de verwerking van de overgedragen gegevens;

f) op verzoek van de Data Exporteur zullen zij hun gegevensverwerkingsfaciliteiten onderwerpen aan een audit van de verwerkingen die onder deze clausules vallen, uit te voeren door de Data Exporteur of een toezichthoudende instantie bestaande uit onafhankelijke leden met de vereiste professionele kwalificaties, onder voorwaarde van geheimhouding en gekozen door de Data Exporteur, indien nodig met instemming van de toezichthoudende autoriteit;

g) zij zullen de betrokkene, indien hij daarom verzoekt, een kopie van deze Clausules of van de bestaande onderaannemingsovereenkomst verstrekken, tenzij de Clausules of de overeenkomst commerciële informatie bevatten, in welk geval zij die informatie kunnen verwijderen, behalve Bijlage 2, dat wordt vervangen door een samenvatting van de beveiligingsmaatregelen, omdat de betrokkene anders geen kopie kan verkrijgen van de Data Exporteur;

h) in het geval van vertrouwelijke onderaanneming van het gegevensverwerkingsproces, zullen zij de Data Exporteur vooraf informeren en schriftelijke toestemming verkrijgen;

i) de diensten voor gegevensverwerking die door de gegevensverwerker worden geleverd, voldoen aan Clausule 11;

j) zij zullen zo snel mogelijk een kopie van elke onderaanneming van de gegevensverwerkingsovereenkomst die zij onder deze Clausules zijn aangegaan, aan de Data Exporteur sturen.

Clausule 6

Aansprakelijkheid

1. De partijen komen overeen dat elke betrokkene die schade heeft geleden door een schending van de verplichtingen genoemd in Clausule 3 of Clausule 11 door een partij of door een gegevensverwerker, vergoeding kan vorderen van de Data Exporteur voor de geleden schade.

2. Als een betrokkene wordt verhinderd een vordering tot schadevergoeding in te stellen zoals bedoeld in lid 1 tegen de Data Exporteur wegens het niet-naleven door de Data Importeur of haar gegevensverwerker van enige verplichting onder Clausule 3 of Clausule 11 omdat de Data Exporteur fysiek is verdwenen, niet meer bestaat volgens de wet of insolvent is, stemt de Data Importeur ermee in dat de betrokkene een klacht kan indienen tegen haar alsof zij de Data Exporteur was, tenzij alle wettelijke verplichtingen van de Data Exporteur via contract of wettelijke werking zijn overgedragen aan haar opvolgende entiteit, tegen wie de betrokkene zijn rechten kan uitoefenen. De aansprakelijkheid van de Data Importeur mag niet verder gaan dan haar eigen verwerkingsactiviteiten onder deze clausules.

3. Als een betrokkene wordt verhinderd de vordering bedoeld in de leden 1 en 2 in te stellen tegen de Data Exporteur of de Data Importeur wegens schending door de Data verwerker van haar verplichtingen onder Clausule 3 of Clausule 11 omdat de Data Exporteur en de Data Importeur fysiek zijn verdwenen, niet meer bestaan of insolvent zijn, stemt de Data verwerker ermee in dat de betrokkene een klacht kan indienen over haar eigen verwerkingstaken in overeenstemming met deze clausules alsof zij de Data Exporteur of de Data Importeur was, tenzij alle wettelijke verplichtingen van de Data Exporteur of de Data Importeur via contract of wettelijke werking zijn overgedragen aan de wettelijke opvolger, tegen wie de betrokkene zijn rechten kan uitoefenen. De aansprakelijkheid van de Data verwerker moet beperkt blijven tot haar eigen verwerkingsactiviteiten onder deze clausules.

 

Clausule 7

Mediation en jurisdictie

1. De Data Importeur stemt ermee in dat indien de betrokkene onder de clausules het recht van derden-begunstigde uitoefent en/of vergoeding eist voor de geleden schade, hij de beslissing van de betrokkene accepteert:

a) het geschil voor te leggen aan een onafhankelijke bemiddelaar of, indien passend, aan de toezichthoudende autoriteit;

b) het geschil voor te leggen aan de rechtbanken van de Lidstaat waar de Data Exporteur is gevestigd.

2. De partijen stemmen ermee in dat de keuze van de betrokkene geen invloed heeft op het procedurele of substantieve recht van de betrokkene om herstel te verkrijgen volgens andere bepalingen van nationale of internationale wetgeving.

Clausule 8

Samenwerking met toezichthoudende autoriteiten

1. De Data Exporteur stemt ermee in een kopie van dit contract te deponeren bij de toezichthoudende autoriteit indien deze dat verlangt of indien dergelijke deponering is voorzien door de toepasselijke gegevensbeschermingswet.

2. De partijen stemmen ermee in dat de toezichthoudende autoriteit controles kan uitvoeren bij de Data Importeur en elke Data verwerker onder dezelfde voorwaarden en in dezelfde mate als controles bij de Data Exporteur, in overeenstemming met de toepasselijke gegevensbeschermingswet.

3. De Data Importeur zal de Data Exporteur zo spoedig mogelijk informeren over het bestaan van wetgeving betreffende de Data Importeur of een Data verwerker die het verificatieproces bij de Data Importeur of een Data verwerker verhindert volgens lid 2. In dat geval kan de Data Exporteur de in clausule 5(b) bedoelde maatregelen nemen.

Clausule 9

Toepasselijk recht

De clausules worden toegepast en beheerst door het recht van de Lidstaat waar de Data Exporteur is gevestigd.

Clausule 10

Aanpassing van de overeenkomst

De partijen verbinden zich ertoe de bepalingen van deze clausules niet te wijzigen. De partijen blijven vrij andere commerciële clausules op te nemen die zij noodzakelijk achten, mits deze niet in strijd zijn met deze clausules.

Clausule 11

Vervolgonderaanneming

1. De Data Importeur mag geen van haar verwerkingsactiviteiten die zij namens de Data Exporteur onder deze clausules uitvoert, uitbesteden zonder voorafgaande schriftelijke toestemming van de Data Exporteur. De Data Importeur mag haar verplichtingen onder deze clausules alleen uitbesteden met toestemming van de Data Exporteur, via een schriftelijke overeenkomst met de Data verwerker die dezelfde verplichtingen oplegt als deze clausules. Indien de Data verwerker niet aan haar gegevensbeschermingsverplichtingen kan voldoen onder die schriftelijke overeenkomst, blijft de Data Importeur volledig verantwoordelijk tegenover de Data Exporteur voor de naleving van die verplichtingen.

2. De voorafgaande schriftelijke overeenkomst tussen de Data Importeur en de Data verwerker moet ook een derde-begunstigde clausule bevatten zoals beschreven in Clausule 3 voor gevallen waarin de betrokkene het recht op schadevergoeding niet kan uitoefenen tegen de Data Exporteur of de Data Importeur omdat de Data Exporteur of de Data Importeur fysiek is verdwenen, niet meer bestaat of insolvent is, tenzij alle wettelijke verplichtingen van de Data Exporteur via contract of wettelijke werking zijn overgedragen aan de opvolgende entiteit, tegen wie de betrokkene zijn rechten kan uitoefenen. De aansprakelijkheid van de Data verwerker moet beperkt blijven tot haar eigen verwerkingsactiviteiten onder deze clausules.

3. De bepalingen met betrekking tot gegevensbescherming bij onderaanneming van de gegevensverwerking zoals bedoeld in lid 1, worden beheerst door het recht van de Lidstaat waar de Data Exporteur is gevestigd.

4. De Data Exporteur houdt een lijst bij van de onderaannemingsovereenkomsten voor gegevensverwerking die onder deze clausules zijn gesloten en door de Data Importeur zijn gemeld volgens clausule 5(j), die ten minste eenmaal per jaar wordt bijgewerkt. Deze lijst wordt ter beschikking gesteld aan de gegevensbeschermingsautoriteit van de Data Exporteur.

Clausule 12

Verplichting na beëindiging van gegevensverwerkingdiensten

1. De partijen komen overeen dat na voltooiing van de gegevensverwerking, de Data Importeur en de Data verwerker alle overgedragen persoonsgegevens en kopieën daarvan teruggeven aan de Data Exporteur, of alle dergelijke gegevens verwijderen en het bewijs van verwijdering aan de Data Exporteur verstrekken, tenzij de wetgeving de Data Importeur verbiedt om alle of een deel van de overgedragen persoonsgegevens terug te geven of te vernietigen. In dat geval garandeert de Data Importeur dat hij de vertrouwelijkheid van de overgedragen persoonsgegevens waarborgt en dat hij de gegevens niet langer actief verwerkt.

2. De Data Importeur en de Data verwerker zorgen ervoor dat, indien daarom wordt gevraagd door de Data Exporteur en/of de toezichthoudende autoriteit, zij hun middelen voor gegevensverwerking onderwerpen aan verificatie van de maatregelen genoemd in lid 1.