Voorwaarden voor Gegevensverwerking Worldline Financial Services (Europe) S.A.

Voorwaarden voor Gegevensverwerking Worldline Financial Services (Europe) S.A.

Versie 07.2021 (EU NL)

1 Inleiding

1.1 Deze Voorwaarden voor Gegevensver-werking zijn van toepassing op de Producten en Diensten waarvoor SIX Payment Services (Europe) S.A. (‹Worldline›) in aanmerking komt als Gegevensverwerker, indien zo opge- nomen in het contract tussen de Contractant en Worldline.

1.2 Deze Voorwaarden voor Gegevensverwerking en de inhoud van het contract vormen de volledige schriftelijke instructies van de Contractant/ Verwerkingsverantwoordelijke aan Worldline/de Gegevensverwerker voor de Verwerking van Persoonsgegevens voor de Producten en Diensten waarvoor Worldline de Gegevensverwerker is.

1.3 De Contractant waarborgt, in zijn hoedanigheid van Verwerkingsver- antwoordelijke, dat alle Persoonsgegevens die Worldline namens hem ver- werkt in het kader van het contract worden verwerkt overeenkomstig de Wetgeving, waaronder zijn eigen verplichtingen inzake de rechtmatigheid van de verwerking, de categorieën van verwerkte gegevens, de rechten van Betrokkenen (waaronder informatie die aan Worldline wordt overge- dragen als Verwerker en Verantwoordelijke), de vaststelling en implemen- tatie van passende bewaarperiodes, het vervullen van ter zake doende for- maliteiten evenals eventuele controles en waarborgen ten aanzien van de toereikendheid van de garanties die Worldline verleent betreffende de ver- werking en bescherming van Persoonsgegevens van Klanten.

1.4 De Contractant is, in zijn hoedanigheid van Verwerkingsverantwoor- delijke, verplicht zich te houden aan de Wetgeving en blijft verantwoordelijk voor elke overtreding van de Wetgeving.

2 Verplichtingen van Worldline

2.1 Als Gegevensverwerker zal Worldline zich houden aan de Wetgeving tijdens de Verwerking van Persoonsgegevens namens de Contractant.

2.2 Worldline zal:

• Persoonsgegevens uitsluitend Verwerken overeenkomstig de schrifte- lijke instructies van de Contractant of zoals vereist om de Producten en Diensten overeenkomstig het contract te leveren;

• de Contractant onmiddellijk op de hoogte brengen indien, naar haar oor- deel, de instructie van de Contractant een inbreuk vormt op de Wetge- ving en om herziene instructies verzoeken;

• met de Contractant samenwerken opdat de Contractant zijn eigen nale- vingsverplichtingen zou kunnen nakomen conform de Wetgeving inzake Gegevensbescherming (bijv. DPIA, register van verwerkingsactiviteiten, voorafgaand overleg); De Contractant erkent en gaat ermee akkoord dat Worldline het recht heeft deze assistentie in rekening te brengen tegen de uur- of dagtarieven die dan van toepassing zijn;

• een intern register bijhouden van activiteiten inzake Gegevensverwer- king die namens de Contractant zijn verricht;

• tijdens de looptijd van het contract de Persoonsgegevens niet langer bewaren dan noodzakelijk en Persoonsgegevens op specifiek verzoek van de Contractant verwijderen, tenzij het bewaren van de Persoonsge- gevens verplicht is op grond van de toepasselijke bedrijfsnormen of de toepasselijke Wetgeving. Worldline zal binnen 30 kalenderdagen aan dit verzoek voldoen.

116.1355.07 EU_NL/04.2022

• wanneer het contract ophoudt geldig te zijn (ongeacht om welke reden) of naar aanleiding van een verzoek om Persoonsgegevens te verwijde- ren of terug te bezorgen aan de Contractant – uitgezonderd Persoons- gegevens die Worldline verwerkt als Verwerkingsverantwoordelijke – zal Worldline, naar keuze van de Contractant, de Persoonsgegevens verwij- deren, anoniem maken of aan de Contractant terugbezorgen (voor zover technisch mogelijk) en bestaande kopieën verwijderen of anoniem maken, tenzij een toepasselijke wet de gehele of gedeeltelijke teruggave of vernietiging van de Persoonsgegevens niet toestaat of vereist dat deze langer worden bewaard (in dat geval zal Worldline de vertrouwelijk- heid van de Persoonsgegevens beschermen en de Persoonsgegevens niet langer actief Verwerken).

• Worldline zal zo snel mogelijk, indien vereist op grond van de Wetgeving, ofwel (i) de Contractant in staat stellen om de Persoonsgegevens te raadplegen of te corrigeren, ofwel (ii) de Contractant een kopie bezor- gen van de Persoonsgegevens die zij Verwerkt en in opdracht van de Contractant verbeteringen aanbrengen overeenkomstig zijn instructies.

• Worldline zal geen Persoonsgegevens verstrekken aan derden, behalve

(i) indien de Contractant Worldline opdracht geeft om dit te doen, (ii) indien vereist door het contract of (iii) indien vereist voor de Verwerking door Gemachtigde Onderaannemers of (iv) indien wettelijk vereist.

• personen die handelen in opdracht van Worldline voor de Verwerking van Persoonsgegevens zullen zich ertoe verbinden de veiligheid en de vertrouwelijkheid van Persoonsgegevens te handhaven conform de bepalingen van het contract. Daartoe zal Worldline de personen die in haar opdracht handelen en die toegang hebben tot de Persoonsgege- vens informatie en opleiding verschaffen over de toepasselijke vereisten en erop toezien dat zij deze vereisten naleven door middel van contrac- tuele of wettelijke geheimhoudingsverplichtingen.

• op schriftelijk verzoek van de Verwerkingsverantwoordelijke en niet later dan 30 kalenderdagen vóór het einde van het contract zal Worldline de Contractant een kopie in leesbare vorm bezorgen van de live Persoons- gegevens in haar systemen. De Contractant erkent en gaat ermee akkoord in dat Worldline het recht heeft de overhandiging van deze kopie in rekening te brengen tegen de tarieven die dan van toepassing zijn.

3 Overeenkomsten met Onderaannemers

3.1 De Contractant verleent specifiek toestemming voor overeenkomsten met leden van de Worldline Groep als Onderaannemers. De Contractant geeft Worldline in het algemeen toestemming om Persoonsgegevens, voor de Doeleinden in de context van het leveren van de Aanvaardingsdiensten of andere Producten of Diensten waarbij Worldline de hoedanigheid heeft van Gegevensverwerker, te delen met of de Verwerking ervan geheel of gedeeltelijk uit te besteden aan Gemachtigde Onderaannemers.

3.2 Worldline heeft het recht om deze informatie via de Website ter beschikking te stellen van de Contractant. De informatie op de Website zal (indien nodig) enkel op de eerste werkdag van elk kwartaal worden gewij- zigd. Deze wijziging zal gelden als kennisgeving van Worldline aan de Con- tractant zoals beschreven in artikel 3.1.

3.3 Worldline zal er via een schriftelijk contract op toezien dat de Gemachtigde Onderaannemer een niveau van bescherming voor Per- soonsgegevens toepast dat gelijkwaardig is aan de bepalingen uiteenge- zet in dit contract en aansprakelijk jegens Worldline is voor alle Verwer- kingsactiviteiten die aan de Gemachtigde Onderaannemer zijn uitbesteed.

3.4 De Contractant heeft het recht om bezwaar aan te tekenen tegen de overeenkomst met een Subverwerker. Om zijn recht op bezwaar uit te oefenen, dient de Contractant Worldline schriftelijk op de hoogte te bren- gen binnen een termijn van 10 werkdagen na de kennisgeving van het gebruik van een nieuwe Verwerker conform artikel 3.2. De Contractant stemt er uitdrukkelijk mee in dat een eventueel bezwaar steeds gemoti- veerd dient te zijn en vergezeld moet zijn van de inhoudelijke of wettelijke redenen voor het bezwaar.

4 Plaats van Verwerking

4.1 Worldline zal ervoor zorgen dat de Verwerking van Persoonsgege- vens gebeurt:

• binnen de Europese Unie;

• binnen om het even welk ander land, grondgebied of meer specifieke sectoren binnen dat land, die naar het oordeel van de Europese Com- missie een toereikend niveau van gegevensbescherming bieden; of

• binnen om het even welk ander land:

• na de voorafgaande schriftelijke toestemming van de Contractant en voor zover de doorgifte van Persoonsgegevens naar dat land rechtma- tig is volgens de Wetgeving, of

• wanneer Worldline toereikende mechanismen heeft ingevoerd om te zorgen voor een toereikend niveau van bescherming volgens de Wet- geving (zoals modelcontractbepalingen).

5 Maatregelen op het vlak van veiligheid en vertrouwelijkheid

5.1 Worldline dient gepaste technische en organisatorische maatregelen op het vlak van veiligheid en vertrouwelijkheid toe te passen om onopzet- telijke of onrechtmatige vernietiging, verlies, wijziging of ongeoorloofde bekendmaking van, of toegang tot Persoonsgegevens te voorkomen. De Contractant aanvaardt dat:

Voorwaarden voor Gegevensverwerking Worldline Financial Services (Europe) S.A.

• de door Worldline vastgelegde en toegepaste technische en organisato- rische veiligheidsmaatregelen gebaseerd zijn op de instructies en infor- matie die Worldline heeft ontvangen van de Contractant,

• hij de technische en organisatorische veiligheidsmaatregelen die ver- meld staan op de Website heeft geraadpleegd en deze als toereikend beschouwt, met inachtneming van het risico van de verwerking en de Doeleinden.

6 Inbreuk op Persoonsgegevens

6.1 Bij een inbreuk tijdens het leveren van de Producten en Diensten waarbij Worldline de hoedanigheid van Gegevensverwerker heeft, zal Worldline onmiddellijk, na het vaststellen van de omstandigheden en gevol- gen van de Inbreuk, de Contractant op de hoogte brengen van de Inbreuk en relevante informatie verstrekken. De kennisgeving van de Inbreuk door Worldline kan in geen enkel geval beschouwd worden als het erkennen van een fout of aansprakelijkheid voor de vermelde Gegevensinbreuk.

6.2 Worldline heeft het recht deze informatie aan de Contractant ter beschikking te stellen via het communicatiekanaal dat zij als meest geschikt beschouwt, zoals het webportaal van de Contractant, de Website of e-mail.

6.3 De Contractant erkent uitdrukkelijk dat hij verantwoordelijk is voor het waarborgen van de naleving van de Wetgeving in de context van een Gegevensinbreuk en dat hij volledig verantwoordelijk is voor het vervullen van de betreffende verplichtingen (waaronder met name alle formaliteiten, zoals kennisgevingen aan de bevoegde autoriteiten).

7 Rechten van Betrokkenen

7.1 Wat de bescherming van de rechten van Betrokkenen conform de Wetgeving betreft, dient de Contractant ervoor te zorgen dat Betrokkenen hun rechten kunnen uitoefenen en dat Betrokkenen afdoende informatie krijgen over de Verwerking op grond van dit contract in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm door middel van helder en duidelijk taalgebruik. Wanneer de Toestemming van de Betrokkene vereist is, dient de Contractant erop toe te zien dat een geldige toestemming, conform de Wetgeving, werd verkregen van de Betrokkene.

7.2 Indien een Betrokkene rechtstreeks contact opneemt met Worldline om zijn of haar individuele rechten uit te oefenen, zal Worldline deze Betrokkene doorverwijzen naar de Contractant. In verband met het boven- staande kan Worldline de basale contactgegevens van de Gegevensver- antwoordelijke verstrekken aan de aanvrager.

7.3 Worldline zal de Verwerkingsverantwoordelijke ondersteunen bij het nakomen van zijn verplichting om te reageren op een verzoek van een Betrokkene, zoals vastgelegd in de Wetgeving en rekening houdend met de aard en de context van de dienst inzake Gegevensverwerking geleverd aan de Contractant. De Contractant gaat ermee akkoord dat Worldline het recht heeft deze assistentie in rekening te brengen tegen de uur- of dagta- rieven die dan van toepassing zijn.

8 Audit

8.1 Worldline zal een onafhankelijke externe auditeur, die geen concur- rent van Worldline is en door de Contractant is gemachtigd op eigen kosten van de Contractant, toestemming verlenen om de naleving van deze Voor- waarden voor gegevensverwerking door Worldline te controleren. Worldline zal redelijke bijstand verlenen bij een dergelijke audit.

9 Aansprakelijkheid

9.1 De aansprakelijkheid van elke Partij jegens de ander wordt geregeld door de toepasselijke bepalingen van het contract.

10 Definities

• Gemachtigde Onderaannemer: een entiteit die ofwel: (a) lid is van de Worldline Groep; en/of (b) een entiteit is die wordt genoemd op de Web- site, zoals van tijd tot tijd bijgewerkt.

• Lid van de Worldline Groep: elke entiteit die onderdeel is van het World- lineconcern. Een entiteit die het Worldline-concern verlaat, blijft in het kader van het contract als Lid van de Worldline Groep beschouwd wor- den gedurende een overgangsfase van maximaal 6 maanden.

• Inbreuk, Gegevensinbreuk, Inbreuk op Persoonsgegevens: verwijst naar een inbreuk op de veiligheid die leidt tot onopzettelijke of onrecht- matige vernietiging, verlies, wijziging of ongeoorloofde bekendmaking van, of toegang tot Persoonsgegevens, die zijn doorgegeven, bewaard of op een andere manier worden verwerkt.

• Verantwoordelijke (Verwerkingsverantwoordelijke), Verwerker (Gege- vensverwerker), Persoonsgegevens, Betrokkene: Deze termen hebben dezelfde betekenis als de definitie die hieraan gegeven wordt in de AVG.

• Data Protection Officer of DPO: xxxxxxxxxxxxxx.xxxxxx@xxxxxxxxx.xxx

• Wetgeving: de Algemene Verordening Gegevensbescherming, officieel bekend als Verordening (EU) 2016/679 (AVG) en alle andere relevante EU- en nationale wetten inzake privacy.

• Producten en Diensten: de producten en diensten die Worldline aan de Contractant levert, zoals vermeld in het contract, en die af en toe kun- nen worden gewijzigd.

• Website: xxxxxxxxx.xxx/xxxxxxxx-xxxxxxxx

• Worldline: Worldline Financial Services (Europe) S.A., Atrium Business Park - 00, xxx xx Xxxxx Xxxxxx, X-0000 Xxxxxxxxx, Xxxxxxxxxx